e. 对网络潜在威胁者予以威慑
摘要:
系统集内容审计与行为监控为一体,以旁路的方式部署在网络中,实时采集网络数据,并按照指定策略对数据进行过滤,然后将数据所体现的内容和行为特性一并存在到数据服务器上。向用户提供审计分析功能,以及后期取证功能
需求背景:
按等级进行计算机信息系统安全保护的相关单位或部门,往往需要对流经部门与外界接点的数据实施内容审计与行为监控的,以防止非法信息恶意传播及国家机密、商业知识和知识产权等信息泄露。并且单位的网管部门需要掌握网络资源的使用情况,提高单位或部门的工作效率。所涉及的单位类型有政府、军队机关的网络管理部门,公安、保密、司法等国家授权的网络安全监察部门,金融、电信、电力、保险、海关、商检、学校、军工等各行业网络管理中心,大中型企业网络管理中心等
典型的系统组成:
安全审计系统由三部分组成:审计引擎、数据中心、管理中心。
上图是典型的单点部署
审计引擎(硬件):审计引擎对流经HUB/Switch的信息进行采集、过滤、重组、预分析,并把分析后的数据流发送给数据中心
数据中心(软件):对审计引擎传送过来的数据流进行存储;按照用户的指令对数据进行还原、解码、解压缩,并可进行关键字查询审计、统计分析
管理中心(软件):提供WEB形式的管理界面,可以方便的对系统进行管理、对网络行为监控、内容审计。用户使用WEB浏览器可以实现对整个系统的管理、使用
上图是适合多级管理的分布式部署
1、流量监控与统计功能:
1)对重要IP进行流量监测,并绘制出直观的流量曲线图,有效发现网上出现的异常流量。 2)支持对历史流量统计分析。
2、持多种应用协议议的还原、审计:
1)Web浏览(HTTP)——能完全截获、记录、回放、归档被监测网络中所有用户浏览的WEB内容。 电子邮件(POP3、SMTP、WEB MAIL)——能完全截获、记录、回放、归档被监测网络中所有用户收发的电子邮件。
2)文件下载(FTP)——能记录、查询访问FTP服务器的用户名、口令。回放用户在服务器上的操作过程、还原用户传输的数据。
3)即时聊天(例如MSN、QQ等)——能完全记录用户登录时间、离开时间;用户登录IP地址、目的IP地址;聊天时使用的用户名;能监视用户聊天频率、还原用户聊天内容。 流媒体(MMS、RTSP)——能记录用户访问的流媒体地址,访问开始时间、结束时间,访问流媒体名称及简介。
4)远程登录(TELNET)——能记录和查询访问服务器上TELNET的用户名和口令字;能记录和回放用户在服务器上的操作过程。
3、支持多种审计方式:
1)实时监控——对网络中各种应用进行实时监控分析。
2)行为监控——可以完全记录、回放用户网络行为。
3)内容查看审计——支持网络数据内容的完全还原,后期可以进行内容审计、取证。
4)关键词审计——根据设定的关键词,自动快速的进行全文检索,匹配成功的内容将以醒目字体颜色显 示。
5)流量监控——通过流量监控,有效发现网上出现的异常流量。
6)报表统计——通过统计分析,发现网络中潜在的危险。
4、报表与统计:
1)、支持多种条件的统计分析。
2)、完善的报表功能:提供多种专业化报表和分析图表
5、支持多种报警响应方式 邮件报警:
1)阻断
2)TOPSEC联动
6.灵活全面的审计策略、采集策略:
1)关键词策略。
2)流量监控策略
3)报警响应策略。
4)统计分析策略
7.高速、完整、海量信息处理能力
1)零拷贝高速抓包
2)分布式数据采集、数据处理
3)强大的包重组和流重组能力,可以监控各种基于协议碎片的逃避检测行为。
8.支持多种编码、压缩格式
1)支持多种编码方式:Base64、Quoted-Printable、UTF-7、UTF-8
2)支持多种压缩格式:Zip、Rar、Arj、Gz等。
9.资源监控、日志功能
1)系统资源实时监控
2)提供完整的操作日志、系统日志记录,可以进行方便的查看、导入导出。
3)多级用户管理,按照功能——角色——用户三级进行权限控制
4)用户友好的管理,查看界面
5)便捷的的部署方式,支持分布式部署。
涉及的关键技术点
1、引擎
在引擎上使用裁减过的Linux操作系统,在截包时候使用“零拷贝技术”,对数据进行IP包重组,流重组后,按照会话(session)归类,形成一个基本分析,传递给数据中心。
易出现的问题:
1)当处理速度不够的时候,丢包,造成IP包不完整或者会话不完整,数据丢失。
2)“零拷贝”在协议栈的哪层实现效果更好。
3)硬件选择问题。
2、数据中心
数据中心把从引擎得到的数据在内存中组为大块数据,写要硬盘,对每个会话所在文件的索引以及会话动作与内容的特性写到数据库中。
易出现的问题:
1)服务器的选型决定硬盘读写速度,硬盘读写速度将是整个系统的瓶镜。写速度慢,则会造成来不及处理引擎传递的数据,造成引擎内存满,丢包或者死机。
2)海量数据的存储问题,如果策略制定不得当,200G硬盘将很快添满,需要合理的方式预防这一问题。分布式无疑是一种合理的选择,但是还涉及技术性的难题。
3)数据还原时机。在引擎传递数据的瞬间做数据还原,会降低接受数据的性能,而且会造成存储文件的增大。因此可以考虑在用户请求查看的时候还原数据。
4)用户查询关键字的效率问题。由前一条问题确定的,在用户访问数据时候做数据还原并缓存,这对查询是一个很大的问题,用户将有可能等待很长的一段时间才能得到返回结果。解决方法:使用Ajax技术,在服务器操作的过程中,对进度向用户提示,防止用户以为系统故障。
5)操作系统和数据库选型。数据中心可用平台有很多,但是数据库的性能也将和磁盘性能一样,会成为另一个系统的瓶颈所在。
3、管理中心
用户使用WEB浏览器可以实现对整个系统的管理、使用。考虑到用户使用的方便性和部署的便捷性,应该使用B/S架构的WEB浏览器方式。
易出现的问题:
1)用户界面的扩展性问题。 2)权限控制问题。考虑功能——角色——用户三级的权限控制方式。
拓展话题
安全审计的另一分支:对入侵检测、防火墙、各应用服务器、病毒防护软件等安全产品的海量日志做统计分析,从其中找到用户关心的数据。
和当前的“安全管理平台”所管理的内容类似,但是功能要多的多,其定位为“集中监管、海量审计”。“安全管理平台”是一个操作性的管理平台,而审计系统能提供网络事件的综合性分析以及统计报表的功能,还应该能为网管提供直观而参考意义的数据。
堡垒机
一、什么是运维安全管理与审计系统
运维安全管理与审计系统(俗称 “堡垒机”):是采用新一代智能运维技术框架,基于认证、授权、访问、审计的管理流程设计理念,实现对企事业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计;通过集中化运维管控、运维过程实时监管、运维访问合规性控制、运维过程图形化审计等功能,为企事业IT中心运维构建一套事前预防、事中监控、事后审计完善的安全管理体系。
简单的说,运维安全管理与审计系统(堡垒机)就是用来控制哪些人可以登录哪些资产(事先防范和控制),以及录像记录登录资产后做了什么事情(事中监控和事后溯源)的系统。其核心是可控及审计。可控是指权限可控、行为可控。权限可控指可以方便的设置、回收运维操作人员的权限;行为可控,比如需要集中禁用某个危险命令;可审计,指有权限操作的人员对资产的所有操作都有记录,能够被监控和审计。
二、为什么需要运维安全管理与审计系统
当企业的IT资产越来越多,当参与运维的岗位越来越多样性,运维团队达到一定的规模,不同的人员如运维人员、开发人员、第三方代维、厂商支撑人员需要控制访问不同的资产及权限,如果没有一套好的机制,就会产生混乱。无法有效的做到“哪些人允许以什么样的身份访问哪些设备”,更没办法知道“哪些人登录设备后做了哪些事情”,出问题后无法回溯。
运维安全管理与审计系统(堡垒机)是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。跳板机是一台unix/linux/windows操作系统的服务器,所有运维人员都需要先远程登录跳板机,然后再从跳板机登录其他服务器中进行运维操作。
跳板机解决了远程登录集中管理访问的问题,但跳板机并没有实现对运维人员操作行为的控制和审计,使用跳板机过程中还是会有误操作、违规操作等事故,而且很难定位原因和责任人。此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。同时,对于个别资源(如telnet)可以通过跳板机来完成一定的内控,但是对于更多更特殊的资源(ftp、rdp等)来讲就显得力不从心了。
人们逐渐认识到跳板机的不足,进而需要更新、更好的安全技术理念来实现运维操作管理。需要能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求,并生成一些统计报表配合管理规范来不断提升IT内控的合规性的产品。在这些理念的指导下,2005年前后,运维安全管理与审计系统(堡垒机)开始以一个独立产品形态被广泛部署,有效地降低了运维操作风险,使得运维操作管理变得更简单、更安全。
运维安全管理与审计系统(堡垒机)承担了运维人员在运维过程中唯一的入口,通过精细化授权以明确“哪些人以什么身份访问了哪些设备”,从而让运维混乱变得有序起来,堡垒机不仅可以明确每一个运维人员的访问路径,还可以将每一次访问及操作过程变得可以“审计”,就像飞机中的黑匣子,汽车上的行车记录仪,能够做到针对运维人员的每次一操作均可以录像、全程审计,一但出了问题,可以追踪溯源。
运维安全管理与审计系统的目标可以概括为5W,主要是为了降低运维风险。具体如下:
1)审计:你做了什么?(What)
2)授权:你能做哪些?(Which)
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
😝朋友们如果有需要的话,可以联系领取~
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套工具&国内外网安书籍、文档
① 工具
② 视频
③ 书籍
资源较为敏感,未展示全面,需要的最下面获取
② 简历模板
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!