网络环境中的文件系统包含很多软件和数据文件,他们经常是黑客修改或破坏的目标。目录和文件中非正常改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。黑客经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。 非正常的程序执行
网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用,例如WEB服务器。每个在系统上执行的程序由一到多个进程来实现。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输、设备和其它进程,以及与网络间其它进程的通讯。 一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败,或者是以非用户或管理员意图的方式操作。
信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。 模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。 统计分析
30
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,本来都默认用GUEST帐号登录的,突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。 完整性分析
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,用于事后分析而不用于实时响应。尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
4.6.3漏洞扫描系统部署
网络的应用越来越广泛,而网络不可避免的安全问题也就越来越突出,如今,每天都有数十种有关操作系统、网络软件、应用软件的安全漏洞被公布,利用这些漏洞可以很容易的破坏乃至完全的控制系统;另外,由于管理员的疏忽或者技术水平的限制造成的配置漏洞也是广泛存在的,这对于系统的威胁同样很严重。
动态安全的概念是:帮助管理员主动发现问题。最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的弱点和漏洞,保证系统的安全性。因此省监狱局电子政务网络系统需要一套帮助管理员监控网络通信数据流、发现网络漏洞并解决问题的工具,以保证整体网络系统平台安全。
在入省监狱局电子政务网络系统网络漏洞扫描系统配置中,我们需要使用网络漏洞扫描系统。所选择的网络漏洞扫描系应该包括了网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可
31
能发生的安全事件,最大可能的消除安全隐患。该系统具有强大的漏洞检测能力和检测效率,贴切用户需求的功能定义,灵活多样的检测方式,详尽的漏洞修补方案和友好的报表系统,以及方便的在线升级。
通过在省监狱局电子政务网络系统网络进行自动的安全漏洞检测和分析,我们可以做到:
1、对省监狱局电子政务网络系统网络核心业务重要服务器进行漏洞扫描,发现由于安全管理配置不当、疏忽或操作系统本身存在的漏洞(这些漏洞会使系统中的资料容易被网络上怀有恶意的人窃取,甚着造成系统本身的崩溃),生成详细的可视化报告,同时向管理人员给出相应的解决办法及安全建议。
2、对省监狱局电子政务网络系统网络边界组件、基础组件和其他系统进行漏洞扫描,检查系统的潜在问题,发现操作系统存在的漏洞和安全隐患。
3、在中心使用漏洞扫描系统远程对各企业网进行扫描,发现问题及时通知当地管理人员,便于远程管理和及时修补漏洞。
4、漏洞扫描系统对网络及各种系统进行定期或不定期的扫描监测,并向安全管理员提供系统最新的漏洞报告,使管理员能够随时了解网络系统当前存在的漏洞并及时采取相应的措施进行修补。
5、通过漏洞扫描的结果,对系统进行加固和优化。
4.7安全管理
4.7.1安全管理制度
4.7.1.1业务网服务器上线及日常管理制度 1. 上线前安全配置制度
任务:
重要服务器上线前必须配置为C2级安全性;
进行漏洞扫描和弥补,参照病毒和恶意代码防护制度; 安装病毒防护软件; 安装业务系统软件;
将配置记录在案,适当保存,供以后复审用;
部署后填写《服务器配置表》,提交硬件、软件、配置文档。
32
2. 运行中的日常维护
任务:
定期进行漏洞扫描,参照病毒和恶意代码防护制度;
安装新业务系统前后、重要配置修改前后对服务器进行病毒、漏洞扫描和弥补,参照病毒和恶意代码防护制度; 定期(一般为每周)进行审计日志的检查; 定期(一般为每周)进行应用系统日志的检查; 检查后填写《服务器检查表》。
4.7.1.2安全产品管理制度
1. 防火墙管理制度 2. 入侵检测系统管理制度 3. 漏洞扫描系统管理制度 4. 加密认证系统管理制度
5 结论和建议
省监狱局信息化建设的最终目的是实现监狱系统政务处理的电子化、网络化、自动化。通过此次信息化建设,省监狱局的工作人员可以更加方便自如的开展各项行政业务管理工作,机关工作的效率和质量将得到大大的提高,从而适应国民经济、办公条件和社会环境不断发展变化的需要。
省监狱局的信息化系统建设,对增强政府工作对职能与效率,降低管理成本,更好地为人民群众服务具有十分重要的意义。
33
6附录
6.1设备选型
6.1.1服务器 戴尔? PowerEdge? 2650
戴尔? PowerEdge? 2650
? 戴尔? PowerEdge? 2650 是一款机架优化服务器,其设计可提供同类产品中卓越的性能。 该平台采用英特尔? 至强? 处理器和 ServerWorks? Grand Champion-LE (GC-LE) 芯片组,可提供比PowerEdge 2550更好的系统性能改进。
? 戴尔PowerEdge 2650提供可扩充性和机架密度的完美均衡。 利用三个用户可用的PCI-X插槽以及许多集成特性,客户可在数据中心部署 PowerEdge 2650服务器以支持各种工作负荷。 ? 戴尔PowerEdge 2650具备良好的可用性,其设计能够把服务器宕机减至最少。 powerEdge 2650具备一系列有利特性,如集成RAID,并带自备电池的缓存,和可选的特性,如热插拔冗余电源以及热插拔硬盘,有助于减少为修复部件故障而关机的需要。
34