企业网络信息安全审计是保证企业信息安全,风险管理和调整兼容性方面达到完美的境地,安全审计帮助企业更加经济有效地保护企业软硬件安全。
作为信息时代的重要标志,互联网以其“无国界性”和“超领土”的虚拟存在,已全面渗透到现实世界中的政治、社会、经济、军事、科技和文化等领域,以至于许多国家都开始把网络当作继领土、领海、领空之后的“第四空间”。面对网络的严峻挑战,世界很多国家都纷纷行动起来,加强网络安全维护力量的建设,努力采取各种措施来防范和遏制网络对国家安全所造成的威胁。近几年,随着网络安全事件的频频发生,企业对外部入侵和INTERNET的安全日益重视, 但来自网络的攻击却有愈演愈烈之势,网络安全成为企业管理的隐患。信息资料被非法流露、拷贝、篡改,往往给企业造成重大损失。企业网络的安全审计是指一个记录网络用户进行相关网络操作的所有活动,企业网络安全审计是提高企业网络安全性的一个重要的基础性工作。
1现代企业面临的网络安全威胁
网络无限,自由无限——网络资源滥用:IP地址滥用,流量滥用,甚至工作时间聊天、游戏、赌博、疯狂下载、登陆色情反动网站等行为影响工作效率,影响网络正常使用。
蠕虫泛滥,业务瘫痪——病毒蠕虫入侵:由于补丁不及时、网络滥用、非法接入等因素导致网络内病毒蠕虫泛滥、网络阻塞、数据损坏丢失,而且无法找到灾难的源头以迅速采取隔离等处理措施,从而为正常业务带来灾难性的持续的影响。
门户大开,长驱直入——外部非法接入:移动设备(笔记本电脑等)和新增设备未经过安全检查和处理违规接入或者入侵内部网络,带来病毒传播、黑客入侵等不安全因素。
外贼好治,家贼难防——内部非法外联:内部网络用户通过调制解调器、双网卡、无线网卡等设备进行在线违规拨号上网、违规离线上网等,或违反规定将专网专用计算机带出网络进入到其他网络。
网络无界,一损俱损——重要信息泄密:因系统漏洞、病毒入侵、非法接入、非法外联、网络滥用、外设滥用等各种原因与管理不善导致组织内部重要信息泄露或毁灭,造成不可弥补的重大损失。
2企业如何做好网络安全审计要知道,跟网络相关的操作每秒钟都在发生,若一点风吹草动都记录的话,则其安全审计记录的数量会成几何级别上升。如此海量的数据记录信息,不仅存储方面会带来很大的压力,而且后续查看起来也会有非常大的困难。所以说,最好安全审计,不一定是要把所有的操作情况都一一的记录下来。而是要根据企业实际情况,对于安全程度的要求不同,选择记录不同的信息。主要包括以下几个方面的内容。重要网络设备的运行情况。如防火墙、路由器等等关键设备的运行与管理记录,都会被一一的进行审计。而一些次要的网络设备,如DHCP服务器等等,由于相对来说不易受到攻击,而且,平时也做好了相关的备份工作,所以就没有对他进行相关的安全审计。一些重要应用服务器的安全审计。企业现在有ERP服务器、Oracle数据库服务器、OA服务器、邮箱服务器、文件服务等应用服务器。有些这些服务器跟企业的正常工作息息相关。当这些服务器出现故障的时候,很可能企业的生产经营活动就会受到不良影响。所以,对这些应用服务器进行安全审计,是必要的。我们除了要考虑需要收集什么信息之外,在网络安全审计过程中,还需要考虑一个问题,就是在什么时候触发网络安全审计这个动作。这也是为了尽量的让网络安全审计记录一些有价值的信息,从而减少后续的记录统计与分析的工作,尽快发现网络的异常行为。如对于用户登录文件服务器这一个动作,若用户属于正常访问,则我们没有必要对其进行详细记录。相反,若用户三次试图登录文件服务器,仍然以失败告终;或者其试图访问未经授权的文件时,则就需要记录这些记录。很明显,这可以大幅度的缩小记录的信息量。而把安全审计的重点放在一些异常活动中。一些失败访问的动作。如某些用户试图多次登陆服务器或者网络设备,当用户名或者密码错误超过三次的时候,这些记录的话,都需要记录下来。这主要是因为这往往可以说明是有人试图采用猜密码或者使用密码字典攻击等工具,想非法登陆这些设备。一些未经授权的操作。如某个用户虽然可以登录文件服务器访问某些文件,但是,其也有权限的限制。如其不能够访问某些文件夹,或者对于某些文件夹不能够进行读写操作。如果未经授权的用户有了这些操作,则它们也将成为我们安全审计的对象。这些用户以及它们试图操作的行为,都将会被一一的记录下来。以后我们就会分析这些信息,以判断用户是恶意的还是无意的。一些异常的信息。如在安全审计中,还会记录用户的操作是否会被相应的设备产生比较重大的影响。如是否占用了大量的服务器资源,等等。如在文件服务器中,设置了磁盘限额的话,当用户在文件服务上存储的数据超过了一定的容量时,安全审计就需要记录这方面的信息。网络管理人员需要去审查该用户的文件信息,若这些文件都是必要的,则就需要调整该用户的磁盘限额,否则的话,当容量达到磁盘限额时,就会给他们的工作带来不良的影响。我们在实现安全审计的过程中,大部分都是通过服务器的日志来实现的。可以这么说,任何非法攻击都会在相关的日志中,如网络日志或者系统日志中,留下一定的痕迹。而很多非法攻击者,为了隐藏自己的攻击行为,在事后,他们都会试图消除这些痕迹,以方面他们后续的攻击。所以,在安全审计的实现过程中,还需要考虑如何防止这些信息被非法的修改与利用。一般情况下,我们可以采取如下措施来保证这些审计信息的安全。一方面,我们可以修改这些记录信息的位置与文件名。若我们开启了网络日志或者系统日志的话,系统会自动为其创建一个文件来存放这些记录信息。我们在管理中,往往需要更改这些日志文件的名字已经存储路径。如此的话,就可以防止非法攻击者更改这些信息。另一方面,可以采用一些安全审计工具。这些安全审计服务器会及时的把相关信息收集起来。如此的话,即使非法攻击者修改服务器或者操作系统上的日志,也无济于事。因为这些信息,已经被安全审计服务器所记录下来。他们再进行修改也无用。
互联网时代的到来,给我们的企业带来了机遇,也带来了挑战。我们必须高度重视企业网络安全,认真研究,妥善应对,牢牢把握主动权,消除安全隐患,确保企业网络始终处于安全、可靠、保密的环境下运行。
作者:宋 鹏 来源:中国科技纵横 2010年18期