企业内部网络主机监控与审计技术研究及应用.pdfVIP

第6屑中国信息塞全棼羼趋势与蛾疃赢屋研过会 I．．．．．]11 Ill IIll] 企业内部网络主机监控 与审计技术研究及应用 成都泰谷信息技术有限公司 四J11大学信息安全研究所 周安民方勇 李焕洲欧晓聪吴少华 摘嘤：内邴网络jF．tJL监控与审计系统是继防火墙、IDS、防病毒软件之后的网络安全产品。本文介 绍j’介、Ik内部例络．{：机面临的安全风险和管理问题，给出r实施主机监控n0必要性。最点给出’j’网络主 机雌控’j审计系统的目标和!实现的技术框架．并给对j了一种具体的应用范例。 火键词；内部M络主机监控审计 1 前言 随肴：信息网络化的r箭速推进，人类社会行为与管理活动已经和网络系统紧密联系起来，网络信息系 统将人类传统的l：作、管理模式“映射”到网络环境t-p，极大地提高_『工作和管理效二簪。人们对r内部 刚络系统，t旨经假定“内部环境是安全的”，但自从网络系统采』1Jj7开放n连的TCP／IP协议后，这种 假设条件在哼f’延f：已经不-Lf|匕,I‘完全成立了。这样，在通过内部网络系统从事、I卜务I：作的问时，将面临一些 人们(I!Jl-ttm／fi曾碰到或不甚1广解的‘“一些挑战： 一如何维持内部信息网络应用环境的正常秩序? ～～如何保证计算机终端既能通过网络途径或外围设备(例如USB、软驱、光驱、打印机等)与外部交 换或其字信息，而又不致将内部敏感信息通过这些途径泄露或将外部的垃圾数据、恶意程序引入到计算 机终j拓? 一如何规范内部工作人员的计算机操作行为? --一一如何有效阻止内部工作人员的计算机违规行为? ～如何在网络安全事件发生的事前、事中和事后、通过预警、监控和审计信息及时发现安全隐患， 有效确定责任源，并提供电子化证据? Ⅲ埘}：述挑战，符个单位，尤其是涉密鹇位，为J’保证员I：能通过州络(包括互联嘲)共享信息的同 时，确保小会㈧为使J{j网络币溶r意或无意地泄漏单位敏感信息，采取相应的行政手段，对本单位内部局 域刚的使刖■I操作规范进行强制性非技术性管理，这些强制性tlg-lP技术管理措施在特定时期和特定环境 l：魁-lJJ¨的，似这种做法必然会限制信息技术的活力，影响其功能的发挥，久呵久之还会造成员I：对信 息l媳的使用仔在心理障碍，因此，长期停留在这种管理状态下是有悖于信息化}刀衷的，是完全不利于 信息化进程发展的。 ¨fj仃，针对网络边界进行保护的防火墙、VPN技术的使娟已经趋于成熟，然而，商f对大多数安全事 件来r1内部网络的客观事实，针对内部网络的安全防范技术和措施却显得不足，因此，近年来许多研究 机构和安全公一司把研究和开发重点转向内部网络安全保护，其中网络监控和审计类产晶及相关技术已引 起吲家，笮队和全社会的广泛重视。这种网络主机监控与审计系统能够辅助嘲络管理人员及时、有效地 对所管辖域内的主机或者网络，实施规定的各种管理操作，规范／维护内部信息网络应用环境的正常秩 序，确保t穆位，E要资源的受控管理，形成“事前预警、事中监控和事后审计”的有效监控过程。这将有 2 内部网络主机监控与审计系统技术框架 网络主机监控与审计系统通常由管理系统、监控代理两部分组成。监控代理是一种短小强悍的监控 程序，驻留在被监控主机中，伴随被监控主机启动而完成自启动运行，按照监控策略自动、实时地监控 主机的内部重要资源、周边设备(接口)和用户的各种操作行 醚2制黧黧舢 。一“尚囱。。囱、、、圆 ．1监控体系立体化 !。r。l 》m譬型剖： F兰：竺一j。掣生一 网络主机监控与审计系统对被监控主机实施全面监控， ‘-；兰多撞簋剁，’。 删，j’乜星剀