安全监视及入侵检测规指南.docVIP

安全监视及入侵检测规划指南 第一章：导言 概要 媒体对于网络恶意软件泛滥的报道主要是网络资源遭受的外部威胁，但是组织的基础架构可能遭受的最大侵害往往来自内网。 安全监视系统为受法规限制的组织机构运营所必需。全球众多机构陆续推出各种需求，说明使得监视网络、资源使用审查和用户识别需求大涨。组织机构出于对规则限制的考虑，也要求对指定时长内的安全监视数据进行归档。 本指南将介绍在Windows网络中如何规划来自内网和外网的入侵进行监视的系统，以识别恶意行为或程序错误导致的网络异象。 挑战 大型网络和要求不很复杂的网络的监视规划必须包括以下几点: 定义需求 管理员与用户权限定义 监视政策执行 检出事件的处理 收益 安全监视有助于提高识别入侵的能力以及对事件全程进行分析的能力。可使安全部门快速反应减少实际损失，确定受袭范围，以及控制袭击的影响范围、快速识别反常行为特征以及搜集满足规则要求的审计情报，详见第二章。 适用人群 本指南适用于对数据保密要求较严格，需要进行身份保护和数据访问控制组织机构，并对受法规限制的机构特别有用。目标读者是IT经理和IT专员、决策者以及提供相关咨询服务的顾问。 对读者的要求 读者应理解和熟悉自有网络的安全及风险，熟悉Windows事件日志。 本指南采用微软MOF处理模式的操作和支持象限，及MOF安全管理和事件管理方法。 规划指南概要 本指南涵盖了规划方案的基本内容。主要章节如下： 第一章: 导言 本章概括性介绍业务挑战和对组织机构的帮助，适合阅读人群并对本文内各章节和所供方案进行了简要介绍。 第二章：安全监视方法 本章节介绍使用微软及第三方技术实施安全监视和攻击检测的多种可选操作。. 第三章：问题和需求 本章介绍如何使安全监视与其他业务需求相配合，如何防范企业网络内已知潜在威胁和袭击。对违规行为监测、外部入侵识别及进行鉴识分析业务及其技术和安全性挑战的讨论。本章还阐述了与组织机构策略发生冲突的处理方法，并在最后列出此系统的方案需求。 第四章: 方案设计 本章详细介绍如何通过安全监视进行检测入侵及安全审计归档。介绍有效进行安全监视的建议配置，以及组织机构安全策略应进行的调整。对大型组织机构进行安全监视的详细指导，告诉组织机构如何处理大量安全事物存储的审计，以及如何在分布式网络中进行入侵检测的规划。 第二章：安全监视方法 导言 很多企业没有认识到采取安全措施保护网络资产免于内、外部侵袭的必要性，正如使用录像系统发现有人企图进入大厦或某限制区域一样，网络也需要监视网络资产和检测入侵的系统。安全监视是合格网络安全策略的重要部分。 2004年8月，美国密勤局与Carnegie Mellon软件工程学院共同发布的白皮书以及2004年电子犯罪调查报告都证明公共机构更容易遭受来自内部用户的攻击。 本章将介绍微软的相关技术及如何利用安全日记进行分析和归档，以满足用户对安全监视的需求，使用户了解执行方案所需的技术从而进行有效监视。 注：雇员行为产生侵害为内部袭击。来自组织外部的袭击为外部袭击。即使外部人员从网络内部实施侵害依然为外部袭击。 执行安全监视 Windows很多版本在%systemroot%\System32\config目录下内置的安全日志文件可对Windows网络进行安全监视，可记录用户、服务或程序的成功信息或类似的未完成的失败信息，配合其他功能和程序构成中央知识库。管理员小组成员和有帐号的用户可用事件浏览器阅读安全事件日志记录的计算机姓名和IP地址等信息。 注： 安装Service Pack 1的Microsoft Windows Server 2003 版可为不同用户配置不同安全级别，详见第四章。 下表列出了安全事件目录和相应事件。 表2.1: 安全时间审核目录 目录 作用 帐号登陆事件 审核本地帐号登陆请求，如用户使用域帐号则在域控制器中也有体现 帐号管理事件 审核用户和小组帐号的建立、修改和注销，以及密码的更换和重置 目录服务访问事件 审核Active Directory?目录服务中对象的访问 登录事件 审核登陆工作站和其成员服务器的企图 对象访问事件 审核对系统访问控制列表上所列的文件、文件夹、注册口令或打印机的访问要求 策略更改事件 审核任何用户权利分配、审核、帐号以及信任策略方面的变化 特权使用事件 审核用户权限的使用，如变更系统时间等 程序追踪 审核程序开始或结束等应用行为 系统事件 审核计算机系统开机、关机以及影响系统安全的事件或者安全日志 审核策略、组策略的设置路径为Computer Configuration\Windows Settings\Security Settings\Local Policies，通过设置审核策略，或者