◆季 君 杜 钧 张赛昆
(北京电子科技职业学院 北京 100176)
基于应用环境安全的主机防护技术研究
◆季 君 杜 钧 张赛昆
(北京电子科技职业学院 北京 100176)
;针对网络应用环境系统的安全需求,本文从主机监控方面,阐述了主机监控的原理和主要功能,分析了目前的市场现状和今后的发展趋势。
;应用环境;网络安全;主机监控
主机监控系统是对网络监控产品(如网络入侵检测、网络审计、防火墙等)的补充,主要解决内网终端节点的安全防护问题,如内网主机的非法外联、非认证主机的非法接入、主机安装运行软件的审计、主机外设的管理、主机信息泄密等问题。并可以提供报表管理、级联管理、客户端分组管理、全网统一升级管理等管理手段,通过技术手段使各种管理条例落实,增强用户的安全和保密意识,保护内部的信息不外泄。
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理windows消息或特定事件。
利用Hook技术,钩挂特定的应用程序编程接口(API)函数,系统中并没有现成的这种服务,但可以构造这样的Hook,截获API函数的相关数据。利用此技术获取所需的审计信息及策略配置信息,并进行分析、汇总和管理。同时,通过此技术,可对客户端程序提供很强的防止卸载功能,以应对可能的技术对抗。
可扩展标记语言(XML)将通用标记语言标准的功能与超文本标记语言(HTML)的易用性结合到Web的应用中。XML不再是固定的标记,而是允许定义数量不限的标记来描述文档中的资料,允许嵌套的信息结构。基于XML的Web数据库系统管理采用浏览器/服务器(B/S)工作模式对审计系统进行管理:浏览器根据用户操作对服务器提出访问请求,服务器将请求分析处理,通过中间层服务器传送给数据库服务器进行查询统计或事务处理,将结果从服务器向客户的浏览器返回,最终浏览器将结果显示给用户。
主机监控系统主要包括以下功能:
通过客户端监控主机的非法外联行为,并可以根据监控策略对主机的非法外联行为实时进行阻断,杜绝安全隐患。多网卡监控能够根据策略阻断用户主机启用多个网卡。IP/MAC绑定限制主机的IP修改、MAC修改、增加IP、修改掩码等操作,抑制IP盗用问题,也防止了局域网主机修改IP以后接入互联网的问题。可以黑白名单的方式对用户的网页访问行为进行控制。接入监控功能对入网资格审查,对非法接入局域网的主机及网络设备,可以根据策略自动或手动进行阻断。硬件资产监控,使管理员对本单位的信息资产一目了然。软件资产监控,通过控制中心可以查询到注册主机的应用软件安装列表、正在运行的进程列表、开放端口等信息,协助管理员对全网主机的软件资产进行查询和统计。文件监控功能可以实现对指定的文件/文件夹进行保护,同时报警和日志,以供审计。打印监控功能对打印行为进行监控可以实现允许/禁止使用打印机,有效控制打印带走涉密文件的行为。USB存储设备管理,系统对U盘管理分为2种级别:一是禁止使用U盘;二是允许使用授权U盘。系统可以实现对主机的外设进行控制,包括USB接口、光驱、软驱、打印机等设备的使用进行控制。主机状态监控,管理员可识别异常代理,也可对用户非法卸载或破坏代理的情况进行监控。整个主机监控以及审计系统可以纳入SOC集中管理平台进行综合管理。提供对客户端操作系统的通信管理,加载客户端防火墙功能。流量管理功能,实时审计网络客户端流量信息,可以进行流量限制以及异常报警。独立的权限分配体系,提供系统管理员、系统审核员和系统审计员和一般操作员权限。不同权限管理员在Web控制台对终端用户的日志进行远程读取查看。
主机安全监控管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的逐步发展的产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,主机安全管理技术无论在现在还是未来都应当归入基础体系网络安全产品之列。
伴随着几年国内信息安全产品市场的安全需求潜力的不断展现,加之网络应用环境将更为复杂多样,基于主机信息安全管理无疑将继续成为各行各业信息系统建设、业务运作的核心工作之一,由于除涉密信息系统、重要信息系统以外,涉及各行业的信息系统建设对基于主机的安全管理需求的强烈。随着信息安全技术和理念的发展,安全监控的关注点已经从设备转向对于设备使用者的行为,用户对于设备使用人行为审计和行为控制的需求越来越明显。
从市场对于终端安全产品的需求来看,近年来,随着网络病毒的迅速蔓延和黑客攻击事件的频繁发生,网络安全防范的重点已经从单机用户迅速转向网络化用户;同时,随着国内电子政务、电子商务和信息化建设工作的不断深化,行业和企业用户的需求逐步显现出来,因此用户对于集团网络安全产品的需求迅速增加,尤其是信息化发展较快和信息安全性要求较高的行业如公安、金融、军队、军工等,对于安全管理平台产品、安全认证、信息加密和监控审计等产品的需求也呈现出旺盛的态势。
在需求结构上,由于行业和企业用户的增加和用户自身技术水平的限制,用户对于产品的需求已从单一的购买独立产品和技术向整体网络安全方案转移。但是生产厂商和产品种类日益繁多,很多产品都流于概念。产品功能划分也比较混乱,多数产品的功能并不齐全,各公司对相同功能点的名称也不尽相同,且同样的主机监控类产品的功能上也互不相同、互有交叉。上述这种情况给用户在选择主机监控类产品带来了很大的不便,另外,安全资质和安全服务资格不足的厂商,不能够有效保障系统部署和后期维护的质量,阻碍了市场自身健康高效的发展。
随着网络安全技术的发展和安全体系的完善,对主机的监控行为已经被列入安全体系的重要组成部分。对主机监控安全管理软件的需求也逐步被厂商提上研发日程。国外这方面产品在2002年期间开始起步,到目前已经比较成熟,因此,国外每年的软件份额比重日益增加,同防火墙、防病毒产品并列同等重要,目前该类产品的市场容量以及潜力是非常巨大的。
而大量案例研究表明,内网终端的脆弱性和内部终端用户成为了导致内网安全风险的主要原因,因此需要专门针对此类行为及隐患的监控技术和管理平台进行审计,随着信息安全技术和理念的发展,主机监控类产品的主机特征监控是对系统的进程、服务等进行保护、控制等监控管理,监控的结果作为安全管理策略下发的判断依据,对主机作出警告或阻断等动作,辅助以桌面密码权限管理、防火墙以及杀毒软件联动等为特征的安全防御,以及通过主机防御流量对防止蠕虫病毒和BT下载等造成的网络带宽严重占用的出现,及时的隔离安全事件源,很大程度上解决了内网安全问题。
[1]吴际忠.企业网络系统的安全防护策略.教育技术导刊,2009.
[2]孔雷,赵锦蓉.计算机网络安全及其防范措施.计算机工程与应用,2001.