|
 | 作者: TecZm [teczm]
 版主 |
登录 |
嘿嘿,这个月聊聊安全审计系统 所谓安全审计包括两个方面的内容:安全监管和入侵检测 先说安全监管。 所谓安全监管系统是网络行政管理部门对网内主机的行为监管目的而设计的。包括内网监管和外网监管。 内网监管需求大致包括: 1. 防止内网非授权外联,即非授权接入Internet或其他非可控网络; 2. 防止保密数据非授权拷贝、带出; 3. 网内主机工作状态监视; 4. 内网主机之间非授权访问、攻击等。 由于上述基本需求和个别行业特别需求,网络管理行政机构需要对网内主机进行全方位的安全策略定制和行为约束。由此,就产生了国内蓬勃的安全审计系统供应商群。 一般行业内网与Internet或其它非可控网络是采用物理隔离的手段来保证相对安全的。如现有的金融网络、电力行业网络、金税网、金盾网等。这些网络与不可控网络采用网闸的方式进行必要的数据交换。 [待续...] [此贴被 TecZm(teczm) 在 10月09日12时29分 编辑过] |
| 地主 发表时间: 04-10-09 10:57 |
| 回复: TecZm [teczm] 版主 |
登录 |
|
为了防止发现上一帖所说的非授权行为,故网监部门就需要采用必要的安全审计系统。 目前,行之有效的安审多采用基于主机的安审架构,即: 主机传感器+审计中心 从功能上讲,多包括以下模块: 1. 内网防拨号外联模块,可定制指定主机某时间段内不可拨号; 2. 内网防外联模块,可定制指定主机可通信ip段(采用ip与mac绑定策略); 3. 文件保护模块,可定制指定主机本地硬盘指定文件夹和文件的读写执行权限,该策略执行后,即使指定主机admin也无法执行被禁权限; 4. 防拷贝模块,可即时定制指定主机本地输出输入设备的可使用权限,即可禁用/启用硬盘、光驱、usb口、并口、串口等; 5. 行为审计模块,可记录指定主机的屏幕显示信息、键盘敲击信息等;(这部分很像木马  )6. 进程审计模块,可定制指定主机的进程、网络端口等。 7. 部分BT的安审系统还包括远程控制功能,类似于3389登录  为了防止指定主机使用者的反审计行为,主机传感器(安装在受控端)采用ring0权限模式+隐藏进程+更改OS原有驱动的技术手段来防止受控方删除、卸载审机系统。 [待续...] |
| B1层 发表时间: 04-10-09 12:07 |
| 回复: TecZm [teczm] 版主 |
登录 |
|
对于受控端而言,虽然安审系统采用了如上贴所说的技术手段,若真想使之丧失作用,也不是什么难事。 1. 对于内网防外联模块,可以采用proxy或nat方式,二级主机经proxy或nat后源ip和mac转换成了proxy的了,审计中心自然无法监测。 btw:为了防止此类行为,安监部门可采用轮循技术的防外联系统,但只适用于内网接入Internet,且作为proxy的主机没有封阻相应端口的情况。 2. 对于行为审计模块,受控主机可安装个人版的防火墙,禁止不明进程输出通信即可。 3. 对于防拷贝模块,可使用系统恢复盘恢复设备原有驱动或直接安装自己想要的驱动。 呵呵,最简单的就是重装一遍了。 个人感觉内网安全审计系统对于菜鸟级的授控者而言,用处极大;但...唉,还是那句话,没有自主知识产权的定制的OS,就没有安全。 [待续...] |
| B2层 发表时间: 04-10-09 12:26 |
| 回复: authen [authen]  论坛用户 |
登录 |
|
说完了内网审计,说说外网审计吧。 所谓外网审计,其目的是对于可连入外网的机器与外网的通信内容进行记录、监控。 其主要功能包括: 1.访问的ip或域名; 2.访问的网页,包括网页链接地址、页面信息、当时的页面等; 3.外发的邮件接收mail地址、内容等; 4.ftp上传、下载的ip、内容; 5.msn、QQ加密传送的数据; 6.bbs上的发言...... 采用的多为镜像或代理方式。 对于此类审计,可采用加密通信方式来进行部分规避。包括VPN、SSL、SSH和普通的des加密通信方式。 [待续...] |
| B3层 发表时间: 04-10-09 14:42 |
| 回复: authen [authen] 论坛用户 |
登录 |
|
对于安全监管系统使用中涉及隐私的问题,可以说是各家说辞不一。 这是社会问题,不在此讨论,嘿嘿。 |
| B4层 发表时间: 04-10-09 14:45 |
| 回复: TecZm [teczm] 版主 |
登录 |
|
今天要去实施,就入侵检测写几句开场白,嘿嘿。 入侵检测包括:基于主机的入侵检测和基于网络的入侵检测。 自然,基于主机的ids结构类似内网安全监管部署,即在主机上部署ids软件(传感器),N多个传感器数据经网管控制台汇总至数据库;网管控制台对不符合规则的行为可得到报警,规则一般包括: 1. 主机注册表、关键文件夹规则(win); 2. 关键目录、文件规则(unix); 3. 网络连接规则等 [待续...明天再写] |
| B5层 发表时间: 04-10-10 08:37 |
 | 回复: wzsb_002 [wzsb_002]  论坛用户 |
登录 |
|
楼上那位兄弟说的外网审计,你能不能给我点详细点资料,加我QQ45297360 |
| B6层 发表时间: 04-12-24 16:29 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 系统集成
标题: 安全审计系统的白与黑[连载,欢迎讨论]