| 为了能够实时监测、记录和分析网络上和用户系统中发生的各类与安全有关的事件(如网络入侵、内部资料窃取、泄密行为等),并阻断严重的违规行为,就需要安全审计跟踪机制的来实现在跟踪中记录有关安全的信息。已知安全审计的存在可对某些潜在的侵犯安全的攻击源起到威慑作用。
|
|
|
| 审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源来说很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
|
|
|
| 因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前以较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
|
|
|
| 维护安全性是一个进行中的过程,必须定期检查及访问。维护系统安全性需要非常警惕,因为任何系统默认的安全性配置都会随着时间的逝去而越加趋向公开。所以要定期审计系统的安全性状态(可以通过手工方式也可以通过自动方式)。例如,在加强一个全新安装的系统的安全性之后,可以在5天后执行软件审计命令以确定系统安全性是否已更改(与安全性配置文件所定义的状态不同)。审计安全性的频繁程度取决于环境的紧急程度与安全策略。有些用户每小时、每天或者每月进行一次审计运行操作。而有些用户每小时运行一次最小扫描(仅检查有限数量),每天运行一次完整扫描(进行全部检查)。
|
|
|
| 在某些情况下,会发现在加强已部署系统的安全性之前检查其安全性状态是很必要的。例如,如果是在接管之前由他人管理的已部署系统,则应检测系统以了解其状态,如果必要的话可以使它们与其他系统所使用的相同安全性配置文件相兼容。
|
|
|
| 此外,还需要审计重要组件以维护已部署系统的安全性状态。如果不定期审计安全性状态,则由于平均信息量或者修改会不知不觉或恶意地更改所需的安全性状态,导致配置随之变化。如果不进行定期检查,则不会发现这些更改并采取相应的纠正措施。这将导致系统的安全性降低,便更容易受到攻击。
|
|
|
| 除了定期审计之外,在升级、安装修补程序与其他的重要系统配置发生更改后也需要进行审计。
|
|
|
