一、安全监控
系统安全监控是指对系统的运行状况和系统中的用户的行为进行监视、控制和记录。通过系统安全监控,安全管理人员可以有效地监视、控制和评估信息系统的安全运行状况,并为进一步提高系统安全性提供参考和依据。
安全监控通过实时监控网络或主机活动,监视分析用户和系统的行为,审计系统配置和漏洞,评估敏感系统和数据的完整性,识别攻击行为,对异常行为进行统计和跟踪,识别违反安全法规的行为,使用诱骗服务器记录黑客行为等功能,使得管理员能够更有效地监视、控制和评估网络或主机系统。
二、安全监控的分类
安全监控可以分为网络安全监控和主机安全监控两大类。
1. 网络安全监控
网络安全监控主要实现以下几种功能:
- 全面的网络安全控制:除了简单的访问控制意外,还应该有入侵检测等功能。
- 细粒度的控制:除了根据数据抱头为依据,还应该对应用层协议和数据包内容进行过滤。
- 网络审计:对所有网络活动进行跟踪,对应用层协议(如 HTTP , FTP, SMTP,POP3 、 TELNET 等)会话过程进行实时与历史的重现。
- 其他:包括日志、报警、报告和拦截等功能。
2. 主机安全监控
主机安全监控主要实现以下几种功能:
- 访问控制:加强用户访问系统资源及服务时的安全控制,防止非法用户的入侵及合法用户的非法访问。
- 系统监控:实时监控系统的运行状态,包括运行进程、系统设备、系统资源和网络服务等,判断在线用户的行为,禁止其非法操作。
- 系统审计:对用户的行为及系统事件进行记录审计。
- 系统漏洞检查:检测主机系统的安全漏洞,防止因主机设置不当带来的安全隐患。
安全监控的内容主要有以下几点:
第一,主机系统监视:通过系统状态监视可以实现对主机当前用户信息、系统信息、设备信息、系统进程、系统服务、系统事件、系统窗口、安装程序以及实时屏幕等信息的监视和记录。
第二,网络状态监视:查看受控主机当前活动的网络连接、开放的系统服务以及端日,从而全面了解主机的网络状态。
第三,用户操作监视:对用户的系统配置和操作、应用程序操作和文件操作等进行监视和记录。
第四,主机应用监控:对主祝中的进程、服务和应用程序窗口进行控制。
第五,主机外设监视:对受控主机的 USB 端口、串行端口、并行端口等外设接口,以及 USB 盘、软驱、光驱等外设实施存取控制。
第六,网络连接监控:实现对非法主机接入的隔离和对合法主机网络行为的管控。
- 一方面对非法接入的主机进行识别、报警和隔离;
- 另一方面实现对合法主机网络访问行为的监控,包括网络地址端口控制、网络 URL 控制、邮件控制、拨号连接控制、网络共享控制以及网络邻居控制等。