本文目录
Windows 7是否具有安全审计的功能
Win7对审计功能做了很大的优化,简化配置的同时,增加了对特定用户和用户组的管理措施,特殊人物可以特殊对待。
当将某个文件夹设置为共享后,可以通过操作系统的访问审核功能,让系统记录下访问这个共享文件 的相关信息。这个功能在Windows7以前的操作系统版本中就可以实现。此时的安全审核在共享级。共享 时一个文件服务器的入口点,以便允许用户访问文件服务器上的特定目录。注意,共享级别的安全审核 ,无法做到审计文件访问,即文件级别的安全审核访问。也就是说,现在只是针对一个单独的文件需要 设置审计文件访问,在FAT32等比较老的文件系统中无法实现,他们只能够针对整个文件加设置访问审计 ,而无法针对特定的文件。
一、在文件级别还是在共享级别设置安全审计
共享级别安全性只能够在文件夹上设置安全审计,所以其灵活性相对差一点。而文件级别的安全 审计,可以在特定的服务器上、目录或者文件上设置审计。故系统管理员的灵活性比较高,可以根据时 机需要,在合适的地方部署安全审计。如可以对NTFS分区进行审计允许告知系统管理员谁在访问或者试 图访问特定的目录。在Windows网络中, 对一些关键网络资源的访问进行审计,是提高网络安全与企业 数据安全的比较通用的手法,可以通过安全审计来确定是否有人正试图访问受限制的信息。
在哪 个级别上设置安全审计比较有利呢?这主要看用户的需要。如在一个文件夹中,有数以百计的文件。而其 实比较机密的可能就是五、六个文件。此时如果在文件夹级别上实现安全访问审计的话,那么在安全日 志中,其审核记录会很多。此时查看起来反而会非常的不方便,有时候反而有用的记录会被那些无用记 录所遮挡掉。为此,如果一个文件夹中文件或者子文件夹比较多,而有审计要求的文件又在少数,此时 显然在文件级别上(即对特定的几个文件)设置“审计文件访问”比较合适。如此可以减少系 统管理员后续维护的工作量。相反,在共享文件中,有一个特定的文件夹专门用来放置一些机密文件, 此时就是在文件夹级别上实现安全审计更加的合理。可见在哪个级别上来实现安全审计策略,并没有一 个固定的标准。这主要看用户需求来定的。如果一定要说出一个具体的参考标准,那么可以根据如下这 个准则来选择,即在哪个级别上所产生的审核记录最少而且可以涵盖用户的安全需求,就在哪个级别上 设置安全访问审计。简单的说,就是同时满足两个条件。一是产生的审核记录最少,便于阅读;二是需要 满足用户安全方面的需求。往往则两个条件是相互矛盾的,系统管理员需要在他们之间取得一个均衡。
二、该选用什么样的安全审计策略?
在审计文件访问策略中,可以根据需要选择多种安全 审计策略,即可以告诉操作系统,在发生哪些操作时将访问的信息记入到安全日志中,包括访问人员、 访问者的电脑、访问时间、进行了什么操作等等。如果将全部的访问操作都记录在日志中,那么日志的 容量会变得很大,反而不易于后许的维护与管理。为此系统管理员在设置审计文件访问策略时,往往需 要选择一些特定的事件,以减少安全访问日志的容量。为了达到这个目的,下面的一些建议各位系统管 理员可以参考一下。
一是最少访问操作原则。在Windows7种,将这个访问操作分为很细,如修改 权限、更改所有者等等十多种访问操作。虽然系统管理员需要花一定的时间去考虑该选择哪些操作或者 进行相关的设置,但是对于系统管理员来说这仍然是一个福音。权限细分意味着管理员选择特定的访问 操作之后,就可以得到最少的审核记录。简单的说,“产生的审核记录最少而且可以涵盖用户的安 全需求”这个目标更容易实现。因为在实际工作中,往往只需要对特定的操作进行审计即可。如只 对用户更改文件内容或者访问文件等少部分操作进行审计即可。而不需要对全部操作进行审计。如此产 生的审计记录就会少的多,同时用户的安全需求也得以实现。
二是失败操作优先选择。对于任何 的操作,系统都分为成功与失败两种情况。在大部分情况下,为了收集用户非法访问的信息,只需要让 系统记入失败事件即可。如某个用户,其只能够只读访问某个共享文件。此时管理员就可以给这个文件 设置一个安全访问策略。当用户尝试更改这个文件时将这个信息记入下来。而对于其他的操作,如正常 访问时则不会记录相关的信息。这也可以大幅度的减少安全审计记录。所以笔者建议,一般情况下只要 启用失败事件即可。在其不能够满足需求的情况下,才考虑同时启用成功事件记录。此时一些合法用户 合法访问文件的信息也会被记录下来,此时需要注意的是,安全日志中的内容可能会成倍的增加。在 Windows7操作系统中可以通过刷选的方式来过滤日志的内容,如可以按“失败事件”,让系 统只列出那些失败的记录,以减少系统管理员的阅读量。
三、如何利用蜜糖策略收集非法访问者 的信息?
在实际工作中,系统管理员还可以采用一些“蜜糖策略”来收集非法访问者 的信息。什么叫做蜜糖策略呢?其实就是在网络上放点蜜糖,吸引一些想偷蜜的蜜蜂,并将他们的信息记 录下来。如可以在网络的共享文件上,设置一些看似比较重要的文件。然后在这些文件上设置审计访问 策略。如此,就可以成功地收集那些不怀好意的非法入侵者。不过这守纪起来的信息,往往不能够作为 证据使用。而只能够作为一种访问的措施。即系统管理员可以通过这种手段来判断企业网络中是否存在 着一些“不安分子”,老是试图访问一些未经授权的文件,或者对某些文件进行越权操作, 如恶意更改或者删除文件等等。知己知彼,才能够购百战百胜。收集了这些信息之后,系统管理员才可 以采取对应的措施。如加强对这个用户的监控,或者检查一下这个用户的主机是否已经成为了别人的肉 鸡等等。总之系统管理员可以利用这种机制来成功识别内部或者外部的非法访问者,以防止他们做出更 加严重的破坏。
四、注意:文件替换并不会影响原有的审计访问策略。
如上图中,有一 个叫做捕获的图片文件,笔者为其设置了文件级别的安全审计访问,没有在其文件夹“新建文件夹 ”上设置任何的安全审计访问策略。此时,笔者如果将某个相同的文件(文件名相同且没有设置任 何的安全审计访问策略)复制到这个文件夹中,把原先的文件覆盖掉。注意此时将这个没有设置任何的安 全审计访问策略。文件复制过去之后,因为同名会将原先的文件覆盖掉。但是,此时这个安全审计访问 策略的话就转移到新复制过去的那个文件上了。换句话说,现在新的文件有了原来覆盖掉的那个文件的 安全审计访问权限。这是一个很奇怪的现象,笔者也是在无意之中发现。不知道这是Windows7 操作系统 的一个漏洞呢,还是其故意这么设置的?这有待微软操作系统的开发者来解释了。
除了服务器系统之外,windows7系统的安全性也是非常值得信任的,也正因为它极高的安全防护受到了很多用户的喜爱,拥有着一群广泛的体验用户,究竟是怎样的安全机制来保护着系统呢,让我们去认识一下windows7系统下强大的安全功能吧。
1、Kernel Patch:系统级的安全平台的一个亮点就是kernel patch,它可以阻止对进程列表等核心信息的恶意修改,这种安全保护这只有在操作系统能实现,其他杀毒软件是无法实现的。
2、进程权限控制:低级别的进程不能修改高级别的进程。
3、用户权限控制UAC:将用户从管理员权限级别移开,在缺省条件下用户不再一直使用管理员权限,虽然UAC一直被争议,在使用中笔者也常常感到繁琐,但用户权限控制确实是操作系统的发展趋势,因为用户一直使用管理员权限是非常危险的。
当然,Win7还是有了很大的改善,在Vista下,UAC管理范围很宽,很多应用都碰到UAC提示。而在Win7里,减少了需要UAC提示的操作,强调安全的同时更加注重用户体验
4、审计功能:Win7对审计功能做了很大的优化,简化配置的同时,增加了对特定用户和用户组的管理措施,特殊人物可以特殊对待。
5、安全访问:一台机器上多个防火墙的配置。Win7里面可以同时配置存储多个防火墙配置,随着用户位置的变换,自动切换到不同的防火墙配置里。
6、DNSSec支持:增强了域名解析协议标准,老的DNS是有风险的,因此增加了对DNS增强版DNSSec的支持。
7、NAP网络权限保护:这个是在VISTA中就引入的功能,里继续继承了。可以对电脑进行健康检验。
8、DirectAccess安全无缝的同公司网络连接:远程用户通过VPN难以访问公司资源,IT面临对远程机器管理的挑战。win7系统的解决方案就是DirectAccess,提供了公司内外对公司资源的一致性访问体验。提高远程用户的效率。唯一的局限在于,只能在server2008系统中才能使用。
9、应用程序控制AppLocker:禁止非授权的应用程序在网络运行。对应用程序进行标准化管理,通过Group Policy进行管理。其中一个亮点是规则简单,可以基于厂商的信任认证,比如你把AAA公司设为黑名单,以后所有这个公司的软件产品和程序,都会被拒绝。
10、数据保护BitLocker:保护笔记本丢失后数据安全问题,同时也支持对U盘的加密和保护,优盘是病毒传播的重要途径之一,BitLocker可以对U盘进行加密处理,防止别人对你的优盘进行数据写入。这就阻隔的病毒侵入的风险。
Windows7系统的安全性防护是用户们有目共睹的,正因为有上述介绍的这些强大的安全功能做后盾,windows7系统的用户才可以这么放松,这么没烦恼地畅游网络,放心使用系统。
linux安全审计
selinux你可以直接理解为防火墙加系统权限管理,在防火墙的更上一级。
你的问题可以说涵盖比较多,先从系统管理权限来说的话,文件使用ls -l来看的话,第一列会有10个例如-rwx--x--x这样的文字组成的,这个第一位代表这个文件是什么文件,2到4为代表创建者的权限,rwx分别代表读写执行,5-7代表用户所在组的权限,8-10代表其他的人。root超级管理员不受这个属性的控制,每个用户都有一个基本组,也会有附加组。ls -l第二列代表用户创建者,第三列代表文件拥有组。还有s和t的权限。请仔细预读关于linux系统权限管理的相关文献。这是第一层的安全控制,第二层的控制位iptables,防火墙,主要针对外网对本机的出入口的权限控制。selinux涉及一部分系统管理权限以及防火墙的功能,为第三层安全机制。
机房内已经有了日志审计设备,还需要再上数据库安全审计吗
这两个是完全不同的概念,日志审计是收集网络设备,安全设备,服务器的,应用的,所产生日志,数据库安全审计是对操作数据库的行为进行监控,分析,如果发现高危风险会告警,最后还 会形成丰富的报表。安华金和审计做的算行业里能使的产品里比较靠前的,在误报率与漏报率上都很低,精准度够,审计产品这个也最主要,合规的不算,具体可以咨询厂商,如安华金和,望采纳~
举例说明安全审计机制的主要功能
有三种网络安全机制。 概述:
随着TCP/IP协议群在互联网上的广泛采用,信息技术与网络技术得到了飞速发展。随之而来的是安全风险问题的急剧增加。为了保护国家公众信息网以及企业内联网和外联网信息和数据的安全,要大力发展基于信息网络的安全技术。
信息与网络安全技术的目标
由于互联网的开放性、连通性和自由性,用户在享受各类共有信息资源的同事,也存在着自己的秘密信息可能被侵犯或被恶意破坏的危险。信息安全的目标就是保护有可能被侵犯或破坏的机密信息不被外界非法操作者的控制。具体要达到:保密性、完整性、可用性、可控性等目标。
网络安全体系结构
国际标准化组织(ISO)在开放系统互联参考模型(OSI/RM)的基础上,于1989年制定了在OSI环境下解决网络安全的规则:安全体系结构。它扩充了基本参考模型,加入了安全问题的各个方面,为开放系统的安全通信提供了一种概念性、功能性及一致性的途径。OSI安全体系包含七个层次:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。在各层次间进行的安全机制有:
1、加密机制
衡量一个加密技术的可靠性,主要取决于解密过程的难度,而这取决于密钥的长度和算法。
1)对称密钥加密体制对称密钥加密技术使用相同的密钥对数据进行加密和解密,发送者和接收者用相同的密钥。对称密钥加密技术的典型算法是DES(Data Encryption Standard数据加密标准)。DES的密钥长度为56bit,其加密算法是公开的,其保密性仅取决于对密钥的保密。优点是:加密处理简单,加密解密速度快。缺点是:密钥管理困难。
2)非对称密钥加密体制非对称密钥加密系统,又称公钥和私钥系统。其特点是加密和解密使用不同的密钥。
(1)非对称加密系统的关键是寻找对应的公钥和私钥,并运用某种数学方法使得加密过程成为一个不可逆过程,即用公钥加密的信息只能用与该公钥配对的私钥才能解密;反之亦然。
(2)非对称密钥加密的典型算法是RSA。RSA算法的理论基础是数论的欧拉定律,其安全性是基于大数分解的困难性。
优点:(1)解决了密钥管理问题,通过特有的密钥发放体制,使得当用户数大幅度增加时,密钥也不会向外扩散;(2)由于密钥已事先分配,不需要在通信过程中传输密钥,安全性大大提高;(3)具有很高的加密强度。
缺点:加密、解密的速度较慢。
2、安全认证机制
在电子商务活动中,为保证商务、交易及支付活动的真实可靠,需要有一种机制来验证活动中各方的真实身份。安全认证是维持电子商务活动正常进行的保证,它涉及到安全管理、加密处理、PKI及认证管理等重要问题。目前已经有一套完整的技术解决方案可以应用。采用国际通用的PKI技术、X.509证书标准和X.500信息发布标准等技术标准可以安全发放证书,进行安全认证。当然,认证机制还需要法律法规支持。安全认证需要的法律问题包括信用立法、电子签名法、电子交易法、认证管理法律等。
1)数字摘要
数字摘要采用单向Hash函数对信息进行某种变换运算得到固定长度的摘要,并在传输信息时将之加入文件一同送给接收方;接收方收到文件后,用相同的方法进行变换运算得到另一个摘要;然后将自己运算得到的摘要与发送过来的摘要进行比较。这种方法可以验证数据的完整性。
2)数字信封
数字信封用加密技术来保证只有特定的收信人才能阅读信的内容。具体方法是:信息发送方采用对称密钥来加密信息,然后再用接收方的公钥来加密此对称密钥(这部分称为数字信封),再将它和信息一起发送给接收方;接收方先用相应的私钥打开数字信封,得到对称密钥,然后使用对称密钥再解开信息。
3)数字签名
数字签名是指发送方以电子形式签名一个消息或文件,表示签名人对该消息或文件的内容负有责任。数字签名综合使用了数字摘要和非对称加密技术,可以在保证数据完整性的同时保证数据的真实性。
4)数字时间戳
数字时间戳服务(DTS)是提供电子文件发表时间认证的网络安全服务。它由专门的机构(DTS)提供。
5)数字证书
数字证书(Digital ID)含有证书持有者的有关信息,是在网络上证明证书持有者身份的数字标识,它由权威的认证中心(CA)颁发。CA是一个专门验证交易各方身份的权威机构,它向涉及交易的实体颁发数字证书。数字证书由CA做了数字签名,任何第三方都无法修改证书内容。交易各方通过出示自己的数字证书来证明自己的身份。
在电子商务中,数字证书主要有客户证书、商家证书两种。客户证书用于证明电子商务活动中客户端的身份,一般安装在客户浏览器上。商家证书签发给向客户提供服务的商家,一般安装在商家的服务器中,用于向客户证明商家的合法身份。
3、访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用。下面我们分述几种常见的访问控制策略。
1)入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,以及用户入网时间和入网地点。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。只有通过各道关卡,该用户才能顺利入网。
对用户名和口令进行验证是防止非法访问的首道防线。用户登录时,首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证输入的口令,否则,用户将被拒之网络之外。用户口令是用户入网的关键所在。为保证口令的安全性,口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
2)网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
3)目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在月录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(MOdify)、文件查找权限(FileScan)、存取控制权限(AccessControl)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络信息传输的安全性将变得十分重要。
交换机的安全审计怎么做的
记录
记账,记录通过认证用户的网络资源使用情况。
交换机(Switch)意为“开关”是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。其他常见的还有电话语音交换机、光纤交换机等。
交换是按照通信两端传输信息的需要,用人工或设备自动完成的方法,把要传输的信息送到符合要求的相应路由上的技术的统称。交换机根据工作位置的不同,可以分为广域网交换机和局域网交换机。广域的交换机就是一种在通信系统中完成信息交换功能的设备,它应用在数据链路层。交换机有多个端口,每个端口都具有桥接功能,可以连接一个局域网或一台高性能服务器或工作站。实际上,交换机有时被称为多端口网桥。
