利用入侵监测预警系统实现网络与主机信息监测审计
1、 基于网络和主机监测的安全审计基本结构:由一台安全审计、控制中心和若干台网络探测器组成,网络探测器负责监视
通过网络相连的计算机主机,向安全控制中心发送报警和网络活动信息,实时阻断非法的网络连接等。探测器设置在网络的
敏感部位,如内部网络的入口处或担负重要任务或具有重要数据的用血器的周围。探测器应与被监测的主机或网络处于一个共享的以太网环境内。
2、 基于主机监测的安全审计:由一台安全审计、控制中心和安装于网内若干台服务器和网络工作站中的系统代理程序组
成,运行于重要的网络服务器上的系统代理,实时监视分析系统活动和系统日志审计数据,对敏感事件和用户关注的事件实
时报警,基于主机的监测与基于网络的监测相比最显著的弱点就是它不具备入侵实时阻断功能,因而,难以阻止非法操
作。
对重要应用系统运行情况的审计
1、 基于主机操作系统代理:应用系统在启动自身审计功能之后自动将部分系统审核数据传送到主机系统审计日志,再通过
运行于主机操作系统下的实时监控代理程序来读取并分析系统审计日志中的相关数据。与应用编程无关,通用性、实时性
好,但审计粒度粗,对确认的违规行为不能实现阻断控制。
2、 基于应用系统代理:根据不同应用,开发不同的应用代理程序,并在相应应用系统内运行,实时性好,审计粒度由用户
控制,缺点是应用单独编写代理程序,通用性差。
3、 在应用系统内嵌入一个与应用服务同步运行专用的审计服务应用进程。用以全程跟踪应用服务进程的运行。与应用系统
密切相关,每个应用系统需要开发相应的独立程序,通用性、实时性不好,审计粒度可设置。