俗话说,没有监督的权力就会导致绝对的腐败。这句伟人的名言不仅可以用在政治上,而且,在企业网络安全管理中也可以普遍应用。企业网络的安全审计是指一个记录网络用户进行相关网络操作的所有活动,包括用户知道的与背着用户做的任何活动。企业网络安全审计是提高企业网络安全性的一个重要的基础性工作。
我们之所以要启用网络安全设计制度,它的意义在于:
一方面,企业网络安全审计,可以知道现在有哪些用户在访问企业的网络。有时候,非法攻击者利用后门访问企业访问的时候,通过其他方式是很难发现的。而通过网络安全设计,各种用户都可以一览无余的显示出来。为此,网络安全管理员就可以知道哪些用户是合法的,哪些用户是非法的,从而采取对应的措施。
另一方面,企业网络安全审计还可以告诉网络安全人员,用户都在做些什么。一般来说,企业网络管理中,包括两类用户,一是普通用户,二是网络管理员。但是,有时候,一些普通用户通过一定的手段,也会获取网络管理员的身份。所以,网络安全管理人员也需要知道有哪些普通用户在做一些跟他身份不符的操作。而通过网络安全审计,则可以清楚的告诉企业网络安全管理人员这方面的信息。
所以,笔者认为,企业网络安全审计是做好企业网络安全管理的一个基础性工作,也是一项非常重要的工作。
那么该如何做好企业网络安全审计呢?笔者认为,该从如下几个方面出发。
一是要考虑,该记录什么内容?
要知道,跟网络相关的操作每秒钟都在发生,若一点风吹草动都记录的话,则其安全审计记录的数量会成几何级别上升。如此海量的数据记录信息,不仅存储方面会带来很大的压力,而且后续查看起来也会有非常大的困难。所以说,最好安全审计,不一定是要把所有的操作情况都一一的记录下来。而是要根据企业实际情况,对于安全程度的要求不同,选择记录不同的信息。
就拿笔者的企业来说,虽然说网络设计比较复杂,但是,其网络安全审计涉及的面还是比较小的,主要包括以下几个方面的内容。
一是重要网络设备的运行情况。如防火墙、路由器等等关键设备的运行与管理记录,都会被一一的进行审计。而一些次要的网络设备,如DHCP服务器等等,由于相对来说不易受到攻击,而且,平时也做好了相关的备份工作,所以就没有对他进行相关的安全审计。
二是一些重要应用服务器的安全审计。企业现在有ERP服务器、Oracle数据库服务器、OA服务器、邮箱服务器、文件服务等应用服务器。有些这些服务器跟企业的正常工作息息相关。当这些服务器出现故障的时候,很可能企业的生产经营活动就会受到不良影响。所以,对这些应用服务器进行安全审计,是必要的。
总之,笔者认为,若要对所有的网络活动进行安全审计的话,是一件吃力不讨好的工作。在对网络活动进行安全审计的过程中,要考虑到20/80的原则。即一般来说,只要对20%左右的关键设备、重要服务器与企业级的活动进行审计即可。而完全没有必要眉毛胡子一把抓。因为如此收集过来的信息太过于海量,虽然说,收集这些信息很简单,但是企业没有这么大的精力去统计、分析这些信息。如此的话,这些信息也就变成了垃圾。
二是要考虑,什么时候需要记录什么信息?
我们除了要考虑需要收集什么信息之外,在网络安全审计过程中,还需要考虑一个问题,就是在什么时候触发网络安全审计这个动作。这也是为了尽量的让网络安全审计记录一些有价值的信息,从而减少后续的记录统计与分析的工作,尽快发现网络的异常行为。
如对于用户登录文件服务器这一个动作,若用户属于正常访问,则我们没有必要对其进行详细记录。相反,若用户三次试图登录文件服务器,仍然以失败告终;或者其试图访问未经授权的文件时,则就需要记录这些记录。很明显,这可以大幅度的缩小记录的信息量。而把安全审计的重点放在一些异常活动中。
笔者现在在企业网络的安全审计中,主要选择以下事件,作为安全记录的触发时机,
一是一些失败访问的动作。如某些用户试图多次登陆服务器或者网络设备,当用户名或者密码错误超过三次的时候,这些记录的话,都需要记录下来。这主要是因为这往往可以说明是有人试图采用猜密码或者使用密码字典攻击等工具,想非法登陆这些设备。
二是一些未经授权的操作。如某个用户虽然可以登录文件服务器访问某些文件,但是,其也有权限的限制。如其不能够访问某些文件夹,或者对于某些文件夹不能够进行读写操作。如果未经授权的用户有了这些操作,则它们也将成为我们安全审计的对象。这些用户以及它们试图操作的行为,都将会被一一的记录下来。以后我们就会分析这些信息,以判断用户是恶意的还是无意的。
三是一些异常的信息。如在安全审计中,还会记录用户的操作是否会被相应的设备产生比较重大的影响。如是否占用了大量的服务器资源,等等。如在文件服务器中,设置了磁盘限额的话,当用户在文件服务上存储的数据超过了一定的容量时,安全审计就需要记录这方面的信息。网络管理人员需要去审查该用户的文件信息,若这些文件都是必要的,则就需要调整该用户的磁盘限额,否则的话,当容量达到磁盘限额时,就会给他们的工作带来不良的影响。
所以,笔者认为,在企业网络安全审计的过程中,我们还需要考虑什么时候触发这个安全审计的动作。合理的选择这个触发的时机,可以大大的减少我们的工作量,把时间与精力都用在刀刃上。
三是要考虑,如何实现自动报警?
在安全审计过程中,有时候实现自动报警也是非常必要的。因为有时候若不采取自动报警制度的话,有些异常信息我们无法及时发现,而不能够采取及时的措施。等到异常情况出现了再去审计相关的行为时,损失已经造成了,即使找到责任人的话,也不能够挽回。所以,通过自动报警的行为,我们可以把问题消除在萌芽状态,尽量的帮助企业减少损失。
如对于服务器,很多攻击都会造成服务器资源的耗竭,这就是通常所说的“拒绝服务式攻击”。若我们在相关的服务器上,能够采用自动报警制度。如到CPU或者内存使用率达到80%以上时,能够自动向网络安全管理人员报警。如此的话,我们网络安全管理人员就可以及时的采取措施。而不是等到服务器崩溃了,才去想办解决。
如有时候,我们在邮件服务器安全设计的时候,会考虑某些邮箱地址不能够向外部发送邮件,而只能够在企业内部发送邮件。此时,若有些邮箱帐户试图向外部的邮箱发送邮件的时候,就需要记录这些信息。因为此时,网络安全管理人员就需要注意他们是否在把一些机密信息发送给他人。这也是我们安全审计中需要注意的一个内容,需要对其执行自动报警。
所以,为了把问题消除在萌芽状态,而不是等到不可挽回的时候,才去想解决措施。这就必须要求我们在安全审计的过程中,实现一定的自动报警功能。
四是要考虑,如何防止这些记录被非法修改?
我们在实现安全审计的过程中,大部分都是通过服务器的日志来实现的。可以这么说,任何非法攻击都会在相关的日志中,如网络日志或者系统日志中,留下一定的痕迹。而很多非法攻击者,为了隐藏自己的攻击行为,在事后,他们都会试图消除这些痕迹,以方面他们后续的攻击。
所以,在安全审计的实现过程中,还需要考虑如何防止这些信息被非法的修改与利用。一般情况下,我们可以采取如下措施来保证这些审计信息的安全。
一方面,我们可以修改这些记录信息的位置与文件名。若我们开启了网络日志或者系统日志的话,系统会自动为其创建一个文件来存放这些记录信息。我们在管理中,往往需要更改这些日志文件的名字已经存储路径。如此的话,就可以防止非法攻击者更改这些信息。
另一方面,可以采用一些安全审计工具。这些安全审计服务器会及时的把相关信息收集起来。如此的话,即使非法攻击者修改服务器或者操作系统上的日志,也无济于事。因为这些信息,已经被安全审计服务器所记录下来。他们再进行修改也无用。
我们之所以要启用网络安全设计制度,它的意义在于:
一方面,企业网络安全审计,可以知道现在有哪些用户在访问企业的网络。有时候,非法攻击者利用后门访问企业访问的时候,通过其他方式是很难发现的。而通过网络安全设计,各种用户都可以一览无余的显示出来。为此,网络安全管理员就可以知道哪些用户是合法的,哪些用户是非法的,从而采取对应的措施。
另一方面,企业网络安全审计还可以告诉网络安全人员,用户都在做些什么。一般来说,企业网络管理中,包括两类用户,一是普通用户,二是网络管理员。但是,有时候,一些普通用户通过一定的手段,也会获取网络管理员的身份。所以,网络安全管理人员也需要知道有哪些普通用户在做一些跟他身份不符的操作。而通过网络安全审计,则可以清楚的告诉企业网络安全管理人员这方面的信息。
所以,笔者认为,企业网络安全审计是做好企业网络安全管理的一个基础性工作,也是一项非常重要的工作。
那么该如何做好企业网络安全审计呢?笔者认为,该从如下几个方面出发。
一是要考虑,该记录什么内容?
要知道,跟网络相关的操作每秒钟都在发生,若一点风吹草动都记录的话,则其安全审计记录的数量会成几何级别上升。如此海量的数据记录信息,不仅存储方面会带来很大的压力,而且后续查看起来也会有非常大的困难。所以说,最好安全审计,不一定是要把所有的操作情况都一一的记录下来。而是要根据企业实际情况,对于安全程度的要求不同,选择记录不同的信息。
就拿笔者的企业来说,虽然说网络设计比较复杂,但是,其网络安全审计涉及的面还是比较小的,主要包括以下几个方面的内容。
一是重要网络设备的运行情况。如防火墙、路由器等等关键设备的运行与管理记录,都会被一一的进行审计。而一些次要的网络设备,如DHCP服务器等等,由于相对来说不易受到攻击,而且,平时也做好了相关的备份工作,所以就没有对他进行相关的安全审计。
二是一些重要应用服务器的安全审计。企业现在有ERP服务器、Oracle数据库服务器、OA服务器、邮箱服务器、文件服务等应用服务器。有些这些服务器跟企业的正常工作息息相关。当这些服务器出现故障的时候,很可能企业的生产经营活动就会受到不良影响。所以,对这些应用服务器进行安全审计,是必要的。
总之,笔者认为,若要对所有的网络活动进行安全审计的话,是一件吃力不讨好的工作。在对网络活动进行安全审计的过程中,要考虑到20/80的原则。即一般来说,只要对20%左右的关键设备、重要服务器与企业级的活动进行审计即可。而完全没有必要眉毛胡子一把抓。因为如此收集过来的信息太过于海量,虽然说,收集这些信息很简单,但是企业没有这么大的精力去统计、分析这些信息。如此的话,这些信息也就变成了垃圾。
二是要考虑,什么时候需要记录什么信息?
我们除了要考虑需要收集什么信息之外,在网络安全审计过程中,还需要考虑一个问题,就是在什么时候触发网络安全审计这个动作。这也是为了尽量的让网络安全审计记录一些有价值的信息,从而减少后续的记录统计与分析的工作,尽快发现网络的异常行为。
如对于用户登录文件服务器这一个动作,若用户属于正常访问,则我们没有必要对其进行详细记录。相反,若用户三次试图登录文件服务器,仍然以失败告终;或者其试图访问未经授权的文件时,则就需要记录这些记录。很明显,这可以大幅度的缩小记录的信息量。而把安全审计的重点放在一些异常活动中。
笔者现在在企业网络的安全审计中,主要选择以下事件,作为安全记录的触发时机,
一是一些失败访问的动作。如某些用户试图多次登陆服务器或者网络设备,当用户名或者密码错误超过三次的时候,这些记录的话,都需要记录下来。这主要是因为这往往可以说明是有人试图采用猜密码或者使用密码字典攻击等工具,想非法登陆这些设备。
二是一些未经授权的操作。如某个用户虽然可以登录文件服务器访问某些文件,但是,其也有权限的限制。如其不能够访问某些文件夹,或者对于某些文件夹不能够进行读写操作。如果未经授权的用户有了这些操作,则它们也将成为我们安全审计的对象。这些用户以及它们试图操作的行为,都将会被一一的记录下来。以后我们就会分析这些信息,以判断用户是恶意的还是无意的。
三是一些异常的信息。如在安全审计中,还会记录用户的操作是否会被相应的设备产生比较重大的影响。如是否占用了大量的服务器资源,等等。如在文件服务器中,设置了磁盘限额的话,当用户在文件服务上存储的数据超过了一定的容量时,安全审计就需要记录这方面的信息。网络管理人员需要去审查该用户的文件信息,若这些文件都是必要的,则就需要调整该用户的磁盘限额,否则的话,当容量达到磁盘限额时,就会给他们的工作带来不良的影响。
所以,笔者认为,在企业网络安全审计的过程中,我们还需要考虑什么时候触发这个安全审计的动作。合理的选择这个触发的时机,可以大大的减少我们的工作量,把时间与精力都用在刀刃上。
三是要考虑,如何实现自动报警?
在安全审计过程中,有时候实现自动报警也是非常必要的。因为有时候若不采取自动报警制度的话,有些异常信息我们无法及时发现,而不能够采取及时的措施。等到异常情况出现了再去审计相关的行为时,损失已经造成了,即使找到责任人的话,也不能够挽回。所以,通过自动报警的行为,我们可以把问题消除在萌芽状态,尽量的帮助企业减少损失。
如对于服务器,很多攻击都会造成服务器资源的耗竭,这就是通常所说的“拒绝服务式攻击”。若我们在相关的服务器上,能够采用自动报警制度。如到CPU或者内存使用率达到80%以上时,能够自动向网络安全管理人员报警。如此的话,我们网络安全管理人员就可以及时的采取措施。而不是等到服务器崩溃了,才去想办解决。
如有时候,我们在邮件服务器安全设计的时候,会考虑某些邮箱地址不能够向外部发送邮件,而只能够在企业内部发送邮件。此时,若有些邮箱帐户试图向外部的邮箱发送邮件的时候,就需要记录这些信息。因为此时,网络安全管理人员就需要注意他们是否在把一些机密信息发送给他人。这也是我们安全审计中需要注意的一个内容,需要对其执行自动报警。
所以,为了把问题消除在萌芽状态,而不是等到不可挽回的时候,才去想解决措施。这就必须要求我们在安全审计的过程中,实现一定的自动报警功能。
四是要考虑,如何防止这些记录被非法修改?
我们在实现安全审计的过程中,大部分都是通过服务器的日志来实现的。可以这么说,任何非法攻击都会在相关的日志中,如网络日志或者系统日志中,留下一定的痕迹。而很多非法攻击者,为了隐藏自己的攻击行为,在事后,他们都会试图消除这些痕迹,以方面他们后续的攻击。
所以,在安全审计的实现过程中,还需要考虑如何防止这些信息被非法的修改与利用。一般情况下,我们可以采取如下措施来保证这些审计信息的安全。
一方面,我们可以修改这些记录信息的位置与文件名。若我们开启了网络日志或者系统日志的话,系统会自动为其创建一个文件来存放这些记录信息。我们在管理中,往往需要更改这些日志文件的名字已经存储路径。如此的话,就可以防止非法攻击者更改这些信息。
另一方面,可以采用一些安全审计工具。这些安全审计服务器会及时的把相关信息收集起来。如此的话,即使非法攻击者修改服务器或者操作系统上的日志,也无济于事。因为这些信息,已经被安全审计服务器所记录下来。他们再进行修改也无用。