網絡安全審計報告精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網絡安全審計報告主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:網絡安全審計報告范文
作為我國電子政務重要基礎設施的電子政務外網,為了實現服務各級黨政部門,滿足各級政務部門社會管理、公共服務等方面需要的重要功能,要求具有互聯網出口,并且與互聯網邏輯隔離。因此,電子政務外網面臨來自互聯網和內部網用戶兩大急需解決的安全難題。
二、設計思路
本方案按照《國家電子政務外網安全保障體系總體規劃建議》進行設計,規劃范圍以市級電子政務外網為主,以市級電子政務外網運維中心為重點,覆蓋市委、市政府、市人大、市政協和多個委辦局單位以及市屬各個縣區,根據國家電子政務外網安全保障體系的規劃,市級電子政務外網安全體系包括如下三個方面的內容:
(一)安全管理體系。主要包括:按照國家安全保障體系建設標準,建設市級安全管理中心(SOC);以《國家電子政務外網安全標準指南》為標準貫徹執行國家已有安全法規標準,同時制訂符合本市電子政務外網自身特點和要求的有關規定和技術規范。
(二)網絡安全基礎防護體系。主要包括:網絡防護與隔離系統、入侵防御系統、接入認證系統、業務隔離和加密傳輸系統、防病毒、漏洞掃描系統等。
(三)網絡信任體系。主要包括:PKI/CA系統、權限管理系統和認證授權審計系統。
三、方案設計
(一)安全管理中心。市級安全管理中心是市級電子政務外網安全的規劃、實施、協調和管理機構,上聯省級電子政務外網安全管理中心,把各類安全事件以標準格式上報到省中心,同時對縣區管理中心下發安全策略,并接收縣區的日志、事件。縣級安全管理中心在市中心的授權下,具有一定的管理權限,并對縣級安全策略及日志、事件進行采集和上報。市級安全管理中心也是市級網絡安全設施的管理維護機構,為使安全設施能夠最大限度地發揮其安全保障功能,需要建立一個良好的安全綜合管理平臺,以實現業務流程分析,并對業務系統在安全監控、安全審計、健康性評估等方面的運行進行有效的管控,從全局角度進行安全策略的管理,對各類安全事件作出實時的監控及響應,為管理者提供及時的運行情況報告、問題報告、事件報告、安全審計報告、健康性報告和風險分析報告,從而使決策者能及時調整安全防護策略,恰當地進行網絡優化,及時地部署安全措施,消除各類安全隱患。
(二)基礎防護平臺建設。基礎防護平臺主要是以確定的安全防護模型框架為依據,結合政府業務的實際安全需求,在原有互聯網安全設施基礎上進行安全基礎防護體系的新建或擴充、延伸與擴展。包括邊界隔離與控制、身份鑒別、認證與授權、入侵檢測與防御、安全審計與記錄、流量監測與清洗、數據加密傳輸、病毒監測與防護、安全掃描與評估、安全策略集中管理、安全監控管理和安全審計管理等基礎安全防護措施。最終達到提升系統的整體抗攻擊能力,確保電子政務外網能夠更好地支撐各類政務應用系統的運轉。
(三)邊界隔離與控制。防火墻是實現網絡邊界隔離的首選設備,防火墻是運行于軟件和硬件上的,安裝在特定網絡邊界的,實施網間訪問控制的一組組件的集合。它在內部網絡與外部網絡之間形成一道安全保護屏障,防止非法用戶訪問內部網絡上的資源和非法向外傳遞內部信息,同時也防止這類非法和惡意的網絡行為破壞內部網絡。它可以讓用戶在一個安全屏障后接入互聯網,還可以把單位的公共網絡服務器和企業內部網絡隔開,同時也可以通過防火墻將網絡中的服務器與網絡邏輯分離,進行重點防護。部署防火墻能夠保護一個網絡不受來自另外網絡的攻擊。
(四)入侵檢測與防御。在整體的網絡安全中,依靠安全策略的指導,對信息系統防護有積極的意義。但是,無論網絡防護得多么牢固,依舊不能說“網絡是安全的”。因為隨著技術的發展,任何防護措施都不能保證網絡不出現新的安全事件,不被手段高超的人員成功入侵。在攻擊與防御的較量中,實時監測處在一個核心的地位。
(五)安全審計與記錄。安全審計系統記錄了網絡使用者的全部上網行為,是支撐網絡安全事件調查的基礎,是審計信息的重要來源,在電子政務外網的建設中,應當盡量延伸安全審計系統部署的范圍,并采用多種的安全審計系統類型(如網絡審計、主機審計、數據庫審計等)擴展安全審計的層面。
(六)流量檢測與清洗。流量檢測與清洗服務是針對網絡傳輸信息流類型、大小以及諸如DOS/DDOS等安全攻擊行為的監控、告警和防護的一種網絡安全服務。該服務對進出內部網絡的業務數據流量進行實時監控,及時發現包括DOS攻擊在內的異常流量。在不影響正常業務的前提下,清洗掉異常流量。有效滿足各業務系統運作連續性的要求。同時該服務通過時間通告、分析報表等服務內容提升客戶網絡流量的可見性和安全狀況的清晰性。
(七)統一病毒防護平臺。根據電子政務外網省、市、縣三級分布的特點,可采用多級、多種的方式進行病毒防護系統的綜合部署,包括在網絡邊界安裝硬件防病毒網關、針對特定應用布署網絡防病毒系統、針對多數工作終端布署單機版病毒查殺軟件等方式。
(八)終端管理。利用桌面終端管理系統,對于終端電腦從以下四方面進行進行標準化管理:
1.網絡準入。通過網絡邊界部署的防火墻設備、網絡交換機設備與終端管理服務器配合,實現終端用戶的802.1x準入認證,使得所有終端用戶接入電子政務外網網絡必須提出申請,并對接入機器做防病毒等安全審核,在安裝了準入客戶端軟件(Agent)并分配了用戶名/密碼后,才能合法接入網絡并使用信息資源,開展業務工作,實現了對終端用戶的有效管理。
2.網絡切換。通過實現終端用戶訪問互聯網和電子政務外網兩網切換使用功能,實現對兩網資源使用的嚴格管理,避免安全隱患的發生。
3.文件保險箱。利用“文件保險箱”功能,在終端用戶處于“政務外網”訪問狀態時可以使用“文件保險箱”功能,并創建、修改、使用加密文件或文件夾,在終端用戶處于“互聯網”狀態時無法使用此功能,不能創建、修改、使用加密文件或文件夾,從而保證工作文件的安全。
4.補丁管理。利用桌面系統補丁管理的功能,幫助管理員對網內基于Windows平臺的系統快速部署最新的安全更新和重要功能更新。系統能檢測用戶已安裝的補丁和需要安裝的補丁,管理員能通過管理平臺對桌面系統下發安裝補丁的命令。補丁服務器可自動從微軟網站更新補丁庫,管理員負責審核是否允許補丁在終端系統安裝。通過策略定制,終端系統可以自動檢測、下載和安裝已審核的補丁。
(九)采用2+N的業務模式。對于利用互聯網接入的業務系統,必須采用VPN接入,建設互聯網接入區,隔離互聯網與政務外網的數據包,將互聯網業務進行封裝,確保互聯網業務在專網的VPN通道內進行傳輸,對于需要與互聯網聯接的為公眾服務的業務,通過邏輯隔離的安全防范措施,采用防火墻系統、入侵防御系統和網絡防病毒系統,對互聯網接入業務提供必要安全防護,保障電子政務外網的信息安全。
(十)信任體系設計。建立了基于PKI/CA公鑰基礎設施的數字證書認證體系。完善、推廣、促進數字證書體系的發展和根據業務需要建立相應CA機構,并實現某些應用和管理需要的單點登錄要求。
第2篇:網絡安全審計報告范文
電子數據安全是建立在計算機網絡安全基礎上的一個子項安全系統,它既是計算機網絡安全概念的一部分,但又和計算機網絡安全緊密相連,從一定意義上講,計算機網絡安全其實質即是電子數據安全。國際標準化組織(iso)對計算機網絡安全的定義為:“計算機系統有保護計算機系統的硬件、軟件、數據不被偶然或故意地泄露、更改和破壞。”歐洲幾個國家共同提出的“信息技術安全評級準則”,從保密性、完整性和可用性來衡量計算機安全。對電子數據安全的衡量也可借鑒這三個方面的內容,保密性是指計算機系統能防止非法泄露電子數據;完整性是指計算機系統能防止非法修改和刪除電子數據;可用性是指計算機系統能防止非法獨占電子數據資源,當用戶需要使用計算機資源時能有資源可用。
二、電子數據安全的性質
電子數據安全包括了廣義安全和狹義安全。狹義安全僅僅是計算機系統對外部威脅的防范,而廣義的安全是計算機系統在保證電子數據不受破壞并在給定的時間和資源內提供保證質量和確定的服務。在電子數據運行在電子商務等以計算機系統作為一個組織業務目標實現的核心部分時,狹義安全固然重要,但需更多地考慮廣義的安全。在廣義安全中,安全問題涉及到更多的方面,安全問題的性質更為復雜。
(一)電子數據安全的多元性
在計算機網絡系統環境中,風險點和威脅點不是單一的,而存在多元性。這些威脅點包括物理安全、邏輯安全和安全管理三個主要方面。物理安全涉及到關鍵設施、設備的安全和硬件資產存放地點的安全等內容;邏輯安全涉及到訪問控制和電子數據完整性等方面;安全管理包括人員安全管理政策、組織安全管理政策等內容。電子數據安全出現問題可能是其中一個方面出現了漏洞,也可能是其中兩個或是全部出現互相聯系的安全事故。
(二)電子數據安全的動態性
由于信息技術在不斷地更新,電子數據安全問題就具有動態性。因為在今天無關緊要的地方,在明天就可能成為安全系統的隱患;相反,在今天出現問題的地方,在將來就可能已經解決。例如,線路劫持和竊聽的可能性會隨著加密層協議和密鑰技術的廣泛應用大大降低,而客戶機端由于b0這樣的黑客程序存在,同樣出現了安全需要。安全問題的動態性導致不可能存在一勞永逸的解決方案。
(三)電子數據安全的復雜性
安全的多元性使僅僅采用安全產品來防范難以奏效。例如不可能用一個防火墻將所有的安全問題擋在門外,因為黑客常常利用防火墻的隔離性,持續幾個月在防火墻外試探系統漏洞而未被發覺,并最終攻入系統。另外,攻擊者通常會從不同的方面和角度,例如對物理設施或協議、服務等邏輯方式對系統進行試探,可能繞過系統設置的某些安全措施,尋找到系統漏洞而攻入系統。它涉及到計算機和網絡的硬件、軟件知識,從最底層的計算機物理技術到程序設計內核,可以說無其不包,無所不在,因為攻擊行為可能并不是單個人的,而是掌握不同技術的不同人群在各個方向上展開的行動。同樣道理,在防范這些問題時,也只有掌握了各種入侵技術和手段,才能有效的將各種侵犯拒之門外,這樣就決定了電子數據安全的復雜性。
(四)電子數據安全的安全悖論
目前,在電子數據安全的實施中,通常主要采用的是安全產品。例如防火墻、加密狗、密鑰等,一個很自然的問題會被提出:安全產品本身的安全性是如何保證的?這個問題可以遞歸地問下去,這便是安全的悖論。安全產品放置點往往是系統結構的關鍵點,如果安全產品自身的安全性差,將會后患無窮。當然在實際中不可能無限層次地進行產品的安全保證,但一般至少需要兩層保證,即產品開發的安全保證和產品認證的安全保證。
(五)電子數據安全的適度性
由以上可以看出,電子數據不存在l00%的安全。首先由于安全的多元性和動態性,難以找到一個方法對安全問題實現百分之百的覆蓋;其次由于安全的復雜性,不可能在所有方面應付來自各個方面的威脅;再次,即使找到這樣的方法,一般從資源和成本考慮也不可能接受。目前,業界普遍遵循的概念是所謂的“適度安全準則”,即根據具體情況提出適度的安全目標并加以實現。
三、電子數據安全審計
電子數據安全審計是對每個用戶在計算機系統上的操作做一個完整的記錄,以備用戶違反安全規則的事件發生后,有效地追查責任。電子數據安全審計過程的實現可分成三步:第一步,收集審計事件,產生審記記錄;第二步,根據記錄進行安全違反分析;第三步,采取處理措施。
電子數據安全審計工作是保障計算機信息安全的重要手段。凡是用戶在計算機系統上的活動、上機下機時間,與計算機信息系統內敏感的數據、資源、文本等安全有關的事件,可隨時記錄在日志文件中,便于發現、調查、分析及事后追查責任,還可以為加強管理措施提供依據。
(一)審計技術
電子數據安全審計技術可分三種:了解系統,驗證處理和處理結果的驗證。
1.了解系統技術
審計人員通過查閱各種文件如程序表、控制流程等來審計。
2.驗證處理技術
這是保證事務能正確執行,控制能在該系統中起作用。該技術一般分為實際測試和性能測試,實現方法主要有:
(1)事務選擇
審計人員根據制訂的審計標準,可以選擇事務的樣板來仔細分析。樣板可以是隨機的,選擇軟件可以掃描一批輸入事務,也可以由操作系統的事務管理部件引用。
(2)測試數據
這種技術是程序測試的擴展,審計人員通過系統動作準備處理的事務。通過某些獨立的方法,可以預見正確的結果,并與實際結果相比較。用此方法,審計人員必須通過程序檢驗被處理的測試數據。另外,還有綜合測試、事務標志、跟蹤和映射等方法。
(3)并行仿真。審計人員要通過一應用程序來仿真操作系統的主要功能。當給出實際的和仿真的系統相同數據后,來比較它們的結果。仿真代價較高,借助特定的高級語音可使仿真類似于實際的應用。
(4)驗證處理結果技術
這種技術,審計人員把重點放在數據上,而不是對數據的處理上。這里主要考慮兩個問題:
一是如何選擇和選取數據。將審計數據收集技術插入應用程序審計模塊(此模塊根據指定的標準收集數據,監視意外事件);擴展記錄技術為事務(包括面向應用的工具)建立全部的審計跟蹤;借用于日志恢復的備份庫(如當審計跟蹤時,用兩個可比較的備份去檢驗賬目是否相同);通過審計庫的記錄抽取設施(它允許結合屬性值隨機選擇文件記錄并放在工作文件中,以備以后分析),利用數據庫管理系統的查詢設施抽取用戶數據。
二是從數據中尋找什么?一旦抽取數據后,審計人員可以檢查控制信息(含檢驗控制總數、故障總數和其他控制信息);檢查語義完整性約束;檢查與無關源點的數據。
(二)審計范圍
在系統中,審計通常作為一個相對獨立的子系統來實現。審計范圍包括操作系統和各種應用程序。
操作系統審計子系統的主要目標是檢測和判定對系統的滲透及識別誤操作。其基本功能為:審計對象(如用戶、文件操作、操作命令等)的選擇;審計文件的定義與自動轉換;文件系統完整性的定時檢測;審計信息的格式和輸出媒體;逐出系統、報警閥值的設置與選擇;審計日態記錄及其數據的安全保護等。
應用程序審計子系統的重點是針對應用程序的某些操作作為審計對象進行監視和實時記錄并據記錄結果判斷此應用程序是否被修改和安全控制,是否在發揮正確作用;判斷程序和數據是否完整;依靠使用者身份、口令驗證終端保護等辦法控制應用程序的運行。
(三)審計跟蹤
通常審計跟蹤與日志恢復可結合起來使用,但在概念上它們之間是有區別的。主要區別是日志恢復通常不記錄讀操作;但根據需要,日記恢復處理可以很容易地為審計跟蹤提供審計信息。如果將審計功能與告警功能結合起來,就可以在違反安全規則的事件發生時,或在威脅安全的重要操作進行時,及時向安檢員發出告警信息,以便迅速采取相應對策,避免損失擴大。審計記錄應包括以下信息:事件發生的時間和地點;引發事件的用戶;事件的類型;事件成功與否。
審計跟蹤的特點是:對被審計的系統是透明的;支持所有的應用;允許構造事件實際順序;可以有選擇地、動態地開始或停止記錄;記錄的事件一般應包括以下內容:被審訊的進程、時間、日期、數據庫的操作、事務類型、用戶名、終端號等;可以對單個事件的記錄進行指定。
按照訪問控制類型,審計跟蹤描述一個特定的執行請求,然而,數據庫不限制審計跟蹤的請求。獨立的審計跟蹤更保密,因為審計人員可以限制時間,但代價比較昂貴。
(四)審計的流程
電子數據安全審計工作的流程是:收集來自內核和核外的事件,根據相應的審計條件,判斷是否是審計事件。對審計事件的內容按日志的模式記錄到審計日志中。當審計事件滿足報警閥的報警值時,則向審計人員發送報警信息并記錄其內容。當事件在一定時間內連續發生,滿足逐出系統閥值,則將引起該事件的用戶逐出系統并記錄其內容。
常用的報警類型有:用于實時報告用戶試探進入系統的登錄失敗報警以及用于實時報告系統中病毒活動情況的病毒報警等。
第3篇:網絡安全審計報告范文
20世紀60年代隨著第二代晶體管機的出現和計算機的普及,特別是電算化之后,開始設立數據處理審計及安全辦公室,出現了信息技術審計(IT審計)-EDP審計,當時稱之為計算機審計,到70年代,利用計算機犯罪的案件開始出現,在上引起了強烈反響,人們開始認識到信息技術審計的必要性。進入80年代后,發達國家大力發展信息產業,加上計算機與通信相結合,使計算機的應用更加普及,同時也導致了利用計算機犯罪的比率升高,犯罪率的急劇上升引起了有關政府的極大重視,1984年日本政府公開發表了《IT審計標準》,在全日本的軟件水平中增添了“IT審計師”一級的考試(在系統員考試之上的最高一級),培養從事信息技術審計的骨干隊伍,信息技術審計逐步走向成熟。至20世紀90年代,信息系統向大型化、多樣化及化發展,信息技術審計作為信息社會的安全對策進入普及時期。
二、信息系統審計(ISA)與信息技術審計(ITA)
信息系統審計(Information Systems Audit簡稱ISA)是指以某個業務應用系統為中心的審計,即對計算機信息系統的開發建設、運行環境、使用和維護、內部控制等情況進行監督、檢查,并作出評價,提出意見和建議,它包括對新系統的開發審計和對現有系統的審計。而信息技術審計(Information Technology Audit簡稱ITA)則是側重于對信息技術基礎設施的審計,主要是對技術的安全性進行審計,重點在于網絡安全和通訊安全。包括對防火墻的安全和公共密鑰系統(PKI)的安全性的評價,以及對非法入侵進行檢測等。在部分西方國家央行內部審計中,信息系統審計和信息技術審計有嚴格的區分,分別設置信息系統和信息技術審計機構,我國人民銀行信息技術審計處于起步階段,一般認為信息技術審計既包括對應用系統的審計,也包括對計算機基礎設施的審計,二者是一個包含與被包含的關系,是可以通用的概念。
三、人民銀行信息技術審計的發展方向
人民銀行2000年開始提出信息技術審計的概念,在充分了美國、德國、英國、加拿大、荷蘭、日本等國中央銀行信息技術審計的基礎上,2000年8月在貴陽首次召開了人民銀行信息技術審計工作座談會,以此次會議為標志,人民銀行正式將信息系統安全納入內部審計范疇,并相繼開展了一系列信息系統專項審計。經過幾年的探索,人民銀行對信息技術審計有了明確的定位,信息技術審計逐步走向正規化、日常化。從這幾年的實踐來看,人民銀行信息技術審計雖然引起了各級領導的高度重視,但受人員素質等各種因素的制約,信息技術審計層次較低,基本上側重于規章制度的執行和基礎設施的安全,離信息技術審計的定義相差較遠,筆者認為人民銀行信息技術審計應向以下幾個方向發展:
1、在審計策略上向參與式審計發展。西方內部審計理念的核心是,內審人員不僅要善于發現,而且更要善于解決問題,并要將所提建議當作本部門的服務產品向管理當局積極推銷,以大大提高審計的效果。而現代內部審計方式的精髓則是參與式審計,即在整個審計過程中與被審人員維持良好的關系,共同分析問題的實際情況及潛在,一起探討改進的可行性和應采取的措施,從而加強內部控制、改善經營管理,防范和化解潛在的風險。
信息技術審計不僅僅是傳統審計業務的簡單擴展,它是在傳統審計、信息系統管理理論、行為理論和計算機科學四個理論基礎上形成的一門邊緣性學科,完全依靠自身的力量完成所有審計工作是不現實的,也是不符合成本效益原則的。西方國家信息技術審計普遍采用的做法是從外部咨詢機構聘請信息技術專家、安全專家以及各種具體應用系統的專家參與審計。
參與式審計主要體現在以下幾個方面:(1)在審計開始時,就對被審部門抱著信任態度,與他們討論審計目標、審計、計劃采取某些審計程序和的理由,以取得他們的理解和支持;(2)征求被審部門的意見,尋求他們的合作;(3)及時與當事人討論審計中發現的問題,共同分析改進的必要性,并探討改進的可行措施;(4)向被審部門報告期中審計結果,其中審計報告可以是口頭的,非正式的,以便及時就地解決和改正存在的問題,避免發生更大的損失;(5)提出最終審計報告時,采用建設性的語調,重點放在問題產生的原因和可能造成的影響、改進的可能性和改進措施上,被審部門已經采取的改進行動也可以包括在審計報告中,以反映他們對審計工作的積極態度。
參與式審計的基礎是信任被審部門,而我國人民銀行內審脫胎于原稽核部門,沿襲了傳統審計的思路和模式,在審計中持著懷疑一切的態度,將自己放在了被審單位的對立面,這樣既不便于內審工作的開展,也了審計的質量和效果。
2、在審計對象上向安全審計。隨著機網絡技術的飛速發展,在人總行司的統一部署下,人民銀行系統計算機網絡經過近10年的建設已初具規模,形成了以內聯網為核心,縱向覆蓋至縣支行,橫向與各機構、財政、稅務及海關、外匯交易中心等單位相聯的大型網絡。在人民銀行系統內同時存在內聯網、外聯網和國際互聯網三套網絡系統,計算機網絡成為人民銀行業務系統運行、信息傳輸的重要平臺和紐帶,其運行狀況直接關系到資金安全和政務信息的安全。網絡在加快信息傳播、加大資源共享、提高辦公效率的同時也成為了人民銀行系統內最大的潛在風險點。
目前人民銀行系統正在運行的計算機系統共有二十多個,涉及支付結算,金融服務以及辦公自動化等各個方面,在這種情況下,處于起步階段的信息技術審計以各個業務應用系統為中心有其合理性:一是審計人員對各業務系統缺乏了解,對各系統還需要一個熟悉的過程,以系統為中心的審計有助于審計人員全面系統地了解業務系統的情況;二是計算機專業人員的缺乏,使以安全性為中心目標的信息技術審計難以有效開展;三是目前對計算機業務應用系統的監督檢查環節還很薄弱,對于保證控制的各項制度措施不能很好地貫徹執行,合規性審計在一定時期內將是信息技術審計的主要。但是隨著信息技術審計工作的不斷開展,審計人員經驗的豐富和技術的提高,信息技術審計應該走出以系統為中心的審計,向以保證組織網絡與信息的安全方向發展,充分發揮信息技術審計技術性、專業性特點。
3、在審計內容上向系統開發審計發展。信息系統之所以風險較高,是因為它不僅涉及數據的安全和保護,而且涉及計算機網絡的一致性和適用性,涉及系統建立和開發過程中的巨額資金流出。應用系統的開發不僅在開發階段要花費大量的人力、物力和財力,而且對已經完成了的應用系統進行修改也將花費大量的時間和資金,相對傳統業務審計而言,對信息系統僅僅進行事后審計意義不大,所以,內審部門對系統開發應在項目計劃階段就要介入,對其開況進行全過程審計監督。
對系統開況進行審計關鍵是要求內審人員“一開始就介入”。通過提前介入,內審部門對項目的概算、項目的必要性、招投標情況、建設工期執行情況、系統的“可審計性”等進行監督,保證系統的合理投資、合理設計開發和有效運行,及早發現系統在風險控制、質量保證和成本效益等方面存在的問題,避免走彎路,防止出現浪費和損失。同時,通過提前介入,也將信息系統的開發、購買、重大修改、委托運營、轉讓和退出使用等管理工作置于內審的有效監督之下。
在西方各國,一般要求信息系統管理部門在進行系統開發、購買、轉讓、重大修改和退出使用時要通知內審部門,內審部門根據系統的重要性決定審計的方式,可以要求提供相關資料,也可以派人參與開發過程,對于大型系統一般成立由財務審計人員和信息技術審計人員共同組成的聯合工作組進行新系統開發審計。目前人民銀行正準備進行應用系統開發審計的嘗試。
4、在審計重點上向風險導向型審計發展。信息技術審計不同于我們以往的業務審計,以往的業務審計往往以發現已經發生的損失,已經實施的舞弊和違規為目的,屬于以損失為基礎的審計;而信息技術審計則具有一定的事前性,其目的在于發現潛在的風險和可能發生的損失。這種目的上的變化要求信息技術審計不可能以損失為基礎,而應該以風險為基礎,因此,信息技術審計部門必須借鑒風險評估的,由對系統運行的合規性審計逐漸轉變為風險導向型審計:根據系統風險評估結果,確定審計計劃,根據對固有風險和控制風險的測算,確定審計重點、制定審計方案。這種以風險為基礎的審計也是當前國際審計界通行的觀念和做法,也是今后我國審計的發展方向。
第4篇:網絡安全審計報告范文
從現代企業制度的構成來看,會計內部控制不僅是建立現代企業制度的需要,同時也是現代企業制度的重要組成部分。內部控制的主要目標是控制企業風險,有些單位監督評審主要依靠內部審計部門來實現,而內部審計部門隸屬于財務部門,企業與財務部門同屬一人領導,內部審計在形式上就缺乏應有的獨立性,使得企業內部控制不能全方位防范和控制企業經營風險。控制范圍涉及時間和空間,內部控制延伸的空間存在較大的隨意性,而受時間、人力和控制成本所限,開展全面內部詳查顯然是不可能的,內部控制只能采取重點抽查,這樣無疑影響到對權力制約和監督的廣度與深度。為了獲得利潤,一些部門掌權者操縱和調節單位收入、成本的時間和金額,出具失真的會計信息。另外,有些部門雖然建立了內部控制制度,但重經營,輕管理,對外部環境和經濟業務等變化缺乏預見性,導致其管理滯后,內部控制制度缺乏科學性和連貫性,難以發揮應有的功效。為此,必須加強對經營者的管理,建立完善一系列的管理制度和措施。
一、部門財務審計松懈的成因
1.知識經濟對財務審計假設的沖擊。部門財務審計假設需要以會計假設作為重要參照依據,然而,在知識經濟條件下,會計理論中的四大假設正面臨著嚴重沖擊。第一,會計主體假設面臨的沖擊。當前,以信息網絡為依托的虛擬企業大量興起,不僅突破了地域空間對企業經濟交往的限制,而且也使得企業的外延界定更為困難,導致會計主體假定不清晰。第二,持續經營假設面臨的沖擊,會計主體在知識經濟環境下,處于競爭日趨激烈、風險日益加大的境地,使得企業受外部環境影響較大,隨時可能出現中止、清算、破產的狀況。第三,會計分期假設面臨的沖擊。會計分期假設難以滿足現階段信息使用者對會計信息隨時、及時使用的需求,無法充分發揮會計信息為決策及時提供依據的重要作用。第四,會計貨幣計量假設面臨的沖擊。因貨幣種類不同而發展的物價變動會計和外幣業務會計,對會計貨幣計量假設帶來了威脅,同時預測非貨幣性信息對于衡量企業發展潛力越來越顯其重要性,這也在一定程度上動搖了貨幣計量假設。根據以上分析可知,知識經濟對會計假設造成了嚴重沖擊,同時也間接地影響了財務審計假設的建立。
2.財務審計內容滯后于財務會計的發展。知識經濟時代下,企業在生產經營中的無形資產比例不斷提高,如商譽、知識產權、人力資源等均成為了企業重要的無形資產,對于提高企業核心競爭力和經濟效益起著不可忽視的作用。同時,由于金融工具的不斷創新以及社會責任會計的產生與發展,致使知識經濟不僅增加了審計工作內容,而且對審計工作提出了更高的要求。然而,當前財務審計明顯滯后于財務會計的發展,沒有針對財務會計的變化及時作出審計內容的調整和拓展,從而導致財務審計工作不完善,出現審計松懈。
3.計算機的運用模糊了財務審計線索。財務審計線索是審計工作順利開展的基礎,審計人員通過跟蹤審計線索,遵循審計程序,審核相關經濟業務,收集審計證據。知識經濟時代轉變了傳統的手工會計核算方式,會計人員只需將財務原始數據及其相關信息輸入財務軟件,便可以利用計算機完成從記賬憑證生成到財務報表輸出的全過程,其中產生的全部數據均可以由計算機進行自動處理。這種方式模糊了財務審計線索,不僅增加了審計調查取證的難度,而且也容易造成部門財務審計的松懈。
4.財務審計制度的局限。在信息化條件下,財務審計的方式方法和審計內容均發生了變化,致使整個審計工作流程也必須重新調整。然而,當前審計制度沒有針對這些新情況、新變化及時進行完善和修訂,從而導致部分審計工作出現無章可循的狀況,沒有給予審計工作充足的制度保障和約束,造成了財務審計松懈。審計制度作為整個權力制約和監督體系中的重要一環,受其職能所限,對權力的制約和監督不可能面面俱到,在對權力的審計監督中遇到的問題形形,目前仍無完善的法律條文來評判,對行使權力應負的經濟責任也無法作出規范的審計評價。
二、治理部門財務審計松懈的對策
1.轉變部門財務審計觀念。知識經濟時代,部門財務審計應當轉變傳統的審計觀念,以應對財務會計的發展,滿足財務審計信息使用者的新需求。第一,樹立部門財務審計服務觀念。現階段,我國大部分企業的內部管理日趨規范,內部審計工作也在不斷完善。為此,部門財務審計工作不能僅局限在核查賬目這一范圍內,而是要立足于企業內部管理的實際需要,積極為企業管理和效益服務,并將監督與評價工作的開展建立在服務的基礎之上。這就要求財務審計人員不斷強化自身的服務意識,更新觀念并拓寬審計領域,以此來幫助企業實現價值的再增值。第二,增強部門財務審計的導向作用。部門財務審計工作還應開展多項管理審計,如成本控制審計、投資項目效益審計、全面預算管理審計等等,借助對部門財務管理的分析和評價,為部門提出實現經濟效益最大化的建議,這有助于部門財務審計向服務型、增值型和導向型審計的跨越。第三,發揮部門財務審計信息預測功能。隨著財務審計信息使用者日趨多元化,如投資者、債權人、企業員工、工商稅務部門、金融證券機構、銀行等,他們對信息的需求復雜多變,既要求審計報告信息具備公允性和真實性,又要求審計信息具備評價性,滿足公眾對信息的需要。
2.轉移部門財務審計重點。知識經濟時代,信息網絡和全球經濟一體化的進程不斷加快,在這樣的背景下,為了進一步適應會計信息化和網絡實體化,有必要轉移部門財務審計重點,具體可從以下兩個方面著手:第一,部門財務審計應當從原本的僅重視財務審計向財務審計與管理審計并重方向轉變。大部分審計團體本身都擁有審計、會計、稅務等方面的專家,他們對客戶的內控制度和財務管理系統也都比較了解。為此,審計工作除了應當做好對財務報表的審計之外,還應滲透到相關的管理活動中去,這將會成為未來時期部門財務審計工作的主要發展趨勢。第二,應將審計工作的重點從有形資產審計向無形資產審計轉變。目前,人力資源、信息和知識已經逐步成為經濟發展的關鍵要素,同時總資產中無形資產的比例也越來越大,其地位和作用也越來越明顯,這使得信息使用者對這部分資產的關注程度越來越高,其已經成為會計核算的重點,財務審計工作也必須將此作為重點,確保信息使用者的利益。
第5篇:網絡安全審計報告范文
論文摘要:隨著計算機的飛速發展以及網絡技術的普遍應用,隨著信息時代的來臨,信息作為一種重要的資源正得到了人們的重視與應用。因特網是一個發展非常活躍的領域,可能會受到黑客的非法攻擊,所以在任何情況下,對于各種事故,無意或有意的破壞,保護數據及其傳送、處理都是非常必要的。計劃如何保護你的局域網免受因特網攻擊帶來的危害時,首先要考慮的是防火墻。防火墻的核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。本文介紹了防火墻技術的基本概念、系統結構、原理、構架、入侵檢測技術及VPN等相關問題。
Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....
第一章緒論
§1.1概述
隨著以Internet為代表的全球信息化浪潮的來臨,信息網絡技術的應用正日益廣泛,應用層次正在深入,應用領域也從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,其中以黨政系統、大中院校網絡系統、銀行系統、商業系統、管理部門、政府或軍事領域等為典型。伴隨網絡的普及,公共通信網絡傳輸中的數據安全問題日益成為關注的焦點。一方面,網絡化的信息系統提供了資源的共享性、用戶使用的方便性,通過分布式處理提高了系統效率和可靠性,并且還具備可擴充性。另一方面,也正是由于具有這些特點增加了網絡信息系統的不安全性。
開放性的網絡,導致網絡所面臨的破壞和攻擊可能是多方面的,例如:可能來自物理傳輸線路的攻擊,也可以對網絡通信協議和實現實施攻擊,可以是對軟件實施攻擊,也可以對硬件實施攻擊。國際性的網絡,意味著網絡的攻擊不僅僅來自本地網絡的用戶,也可以來自linternet上的任何一臺機器,也就是說,網絡安全所面臨的是一個國際化的挑戰。開放的、國際化的Internet的發展給政府機構、企事業單位的工作帶來了革命性的變革和開放,使得他們能夠利用Internet提高辦事效率、市場反應能力和競爭力。通過Internet,他們可以從異地取回重要數據,同時也面臨Internet開放所帶來的數據安全的挑戰與危險。如何保護企業的機密信息不受黑客和工業間諜的入侵,己成為政府機構、企事業單位信息化建設健康發展所要考慮的重要因素之一。廣泛分布的企業內部網絡由公共網絡互聯起來,這種互聯方式面臨多種安全威脅,極易受到外界的攻擊,導致對網絡的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。
雖然國內己有許多成熟的防火墻及其他相關安全產品,并且這些產品早已打入市場,但是對于安全產品來說,要想進入我軍部隊。我們必須自己掌握安全測試技術,使進入部隊的安全產品不出現問題,所以對網絡安全測試的研究非常重要,具有深遠的意義。
§1.2本文主要工作
了解防火墻的原理、架構、技術實現
了解防火墻的部署和使用配置
熟悉防火墻測試的相關標準
掌握防火墻產品的功能、性能、安全性和可用性的測試方法
掌握入侵檢測與VPN的概念及相關測試方法
第二章防火墻的原理、架構、技術實現
§2.1什么是防火墻?
防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
§2.2防火墻的原理
隨著網絡規模的擴大和開放性的增強,網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測),但這幾乎是一種不切合實際的方法,因為對具有幾百個甚至上千個節點的網絡,它們可能運行著不同的操作系統,當發現了安全缺陷時,每個可能被影響的節點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall),防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備,作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障,它可以實施比較廣泛的安全策略來控制信息流,防止不可預料的潛在的入侵破壞.DMZ外網和內部局域網的防火墻系統。
§2.3防火墻的架構
防火墻產品的三代體系架構主要為:
第一代架構:主要是以單一cpu作為整個系統業務和管理的核心,cpu有x86、powerpc、mips等多類型,產品主要表現形式是pc機、工控機、pc-box或risc-box等;
第二代架構:以np或asic作為業務處理的主要核心,對一般安全業務進行加速,嵌入式cpu為管理核心,產品主要表現形式為box等;
第三代架構:iss(integratedsecuritysystem)集成安全體系架構,以高速安全處理芯片作為業務處理的主要核心,采用高性能cpu發揮多種安全業務的高層應用,產品主要表現形式為基于電信級的高可靠、背板交換式的機架式設備,容量大性能高,各單元及系統更為靈活。
§2.4防火墻的技術實現
從Windows軟件防火墻的誕生開始,這種安全防護產品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭,不斷的進化與升級。從最早期的只能分析來源地址,端口號以及未經處理的報文原文的封包過濾防火墻,后來出現了能對不同的應用程序設置不同的訪問網絡權限的技術;近年來由ZoneAlarm等國外知名品牌牽頭,還開始流行了具有未知攻擊攔截能力的智能行為監控防火墻;最后,由于近來垃圾插件和流氓軟件的盛行,很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上,Windows軟件防火墻從開始的時候單純的一個截包丟包,堵截IP和端口的工具,發展到了今天功能強大的整體性的安全套件。
第三章防火墻的部署和使用配置
§3.1防火墻的部署
雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代型產品為主,但在某些方面也已經開始使用監測型防火墻。基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。
實際上,作為當前防火墻產品的主流趨勢,大多數服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢。由于這種產品是基于應用的,應用網關能提供對協議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過應用,應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。
----那么我們究竟應該在哪些地方部署防火墻呢?
----首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處,以阻擋來自外部網絡的入侵;其次,如果公司內部網絡規模較大,并且設置有虛擬局域網(VLAN),則應該在各個VLAN之間設置防火墻;第三,通過公網連接的總部與各分支機構之間也應該設置防火墻,如果有條件,還應該同時將總部與各分支機構組成虛擬專用網(VPN)。
----安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內部網絡還是與外部公網的連接處,都應該安裝防火墻。
§3.2防火墻的使用配置
一、防火墻的配置規則:
沒有連接的狀態(沒有握手或握手不成功或非法的數據包),任何數據包無法穿過防火墻。(內部發起的連接可以回包。通過ACL開放的服務器允許外部發起連接)
inside可以訪問任何outside和dmz區域。
dmz可以訪問outside區域。
inside訪問dmz需要配合static(靜態地址轉換)。
outside訪問dmz需要配合acl(訪問控制列表)。
二、防火墻設備的設置步驟:
1、確定設置防火墻的部署模式;
2、設置防火墻設備的IP地址信息(接口地址或管理地址(設置在VLAN1上));
3、設置防火墻設備的路由信息;
4、確定經過防火墻設備的IP地址信息(基于策略的源、目標地址);
5、確定網絡應用(如FTP、EMAIL等應用);
6、配置訪問控制策略。
第四章防火墻測試的相關標準
防火墻作為信息安全產品的一種,它的產生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率,更是為了保證國家信息的安全。依照中華人民共和國國家標準GB/T18019-1999《信息技術包過濾防火墻安全技術要求》、GB/T18020-1999《信息技術應用級防火墻安全技術要求》和GB/T17900-1999《網絡服務器的安全技術要求》以及多款防火墻隨機提供的說明文檔,中國軟件評測中心軟件產品測試部根據有關方面的標準和不同防火墻的特點整理出以下軟件防火墻的測試標準:
4.1規則配置方面
要使防火墻軟件更好的服務于用戶,除了其默認的安全規則外,還需要用戶在使用過程中不斷的完善其規則;而規則的設置是否靈活方便、實際效果是否理想等方面,也是判斷一款防火墻軟件整體安全性是否合格的重要標準。簡單快捷的規則配置過程讓防火墻軟件具備更好的親和力,一款防火墻軟件如果能實施在線檢測所有對本機的訪問并控制它們、分別對應用程序、文件或注冊表鍵值實施單獨的規則添加等等,這將成為此款軟件防火墻規則配置的一個特色。
§4.2防御能力方面
對于防火墻防御能力的表現,由于偶然因素太多,因此無法從一個固定平等的測試環境中來得出結果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結果可能仍然有一定的出入,但大致可以做為一個性能參考。
§4.3主動防御提示方面
對于網絡訪問、系統進程訪問、程序運行等本機狀態發生改變時,防火墻軟件一般都會有主動防御提示出現。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應的操作選擇。
§4.4自定義安全級別方面
用戶是否可以參照已有安全級別的安全性描述來設置符合自身特殊需要的規則。防火墻可設置系統防火墻的安全等級、安全規則,以防止電腦被外界入侵。一般的防火墻共有四個級別:
高級:預設的防火墻安全等級,用戶可以上網,收發郵件;l
中級:預設的防火墻安全等級,用戶可以上網,收發郵件,網絡聊天,FTP、Telnet等;l
低級:預設的防火墻安全等級,只對已知的木馬進行攔截,對于其它的訪問,只是給于提示用戶及記錄;l
自定義:用戶可自定義防火墻的安全規則,可以根據需要自行進行配置。l
§4.5其他功能方面
這主要是從軟件的擴展功能表現、操作設置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網址、實施木馬掃描、阻止彈出廣告窗口、將未受保護的無線網絡“學習”為規則、惡意軟件檢測、個人隱私保護等豐富的功能項,是否可以滿足用戶各方面的需要。
§4.6資源占用方面
這方面的測試包括空閑時和瀏覽網頁時的CPU占用率、內存占有率以及屏蔽大量攻擊時的資源占用和相應速度。總的來是就是資源占用率越低越好,啟動的速度越快越好。
§4.7軟件安裝方面
這方面主要測試軟件的安裝使用是否需要重啟系統、安裝過程是不是方便、安裝完成后是否提示升級本地數據庫的信息等等。
§4.8軟件界面方面
軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善,相反地,簡化了用戶的操作設置項也就帶來了更智能的安全防護功能。比如有的防護墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項,這方便用戶根據不同的安全級別啟動相應的防護
第五章防火墻的入侵檢測
§5.1什么是入侵檢測系統?
入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程,它不僅檢測來自外部的入侵行為,同時也檢測內部用戶的未授權活動。
入侵檢測系統(IDS)是從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認為是防火墻之后的第二道安全閘門,它作為一種積極主動的安全防護技術,從網絡安全立體縱深、多層次防御的角度出發,對防范網絡惡意攻擊及誤操作提供了主動的實時保護,從而能夠在網絡系統受到危害之前攔截和響應入侵
§5.2入侵檢測技術及發展
自1980年產生IDS概念以來,已經出現了基于主機和基于網絡的入侵檢測系統,出現了基于知識的模型識別、異常識別和協議分析等入侵檢測技術,并能夠對百兆、千兆甚至更高流量的網絡系統執行入侵檢測。
入侵檢測技術的發展已經歷了四個主要階段:
第一階段是以基于協議解碼和模式匹配為主的技術,其優點是對于已知的攻擊行為非常有效,各種已知的攻擊行為可以對號入座,誤報率低;缺點是高超的黑客采用變形手法或者新技術可以輕易躲避檢測,漏報率高。
第二階段是以基于模式匹配+簡單協議分析+異常統計為主的技術,其優點是能夠分析處理一部分協議,可以進行重組;缺點是匹配效率較低,管理功能較弱。這種檢測技術實際上是在第一階段技術的基礎上增加了部分對異常行為分析的功能。
第三階段是以基于完全協議分析+模式匹配+異常統計為主的技術,其優點是誤報率、漏報率和濫報率較低,效率高,可管理性強,并在此基礎上實現了多級分布式的檢測管理;缺點是可視化程度不夠,防范及管理功能較弱。
第四階段是以基于安全管理+協議分析+模式匹配+異常統計為主的技術,其優點是入侵管理和多項技術協同工作,建立全局的主動保障體系,具有良好的可視化、可控性和可管理性。以該技術為核心,可構造一個積極的動態防御體系,即IMS——入侵管理系統。
新一代的入侵檢測系統應該是具有集成HIDS和NIDS的優點、部署方便、應用靈活、功能強大、并提供攻擊簽名、檢測、報告和事件關聯等配套服務功能的智能化系統§5.3入侵檢測技術分類
從技術上講,入侵檢測技術大致分為基于知識的模式識別、基于知識的異常識別和協議分析三類。而主要的入侵檢測方法有特征檢測法、概率統計分析法和專家知識庫系統。
(1)基于知識的模式識別
這種技術是通過事先定義好的模式數據庫實現的,其基本思想是:首先把各種可能的入侵活動均用某種模式表示出來,并建立模式數據庫,然后監視主體的一舉一動,當檢測到主體活動違反了事先定義的模式規則時,根據模式匹配原則判別是否發生了攻擊行為。
模式識別的關鍵是建立入侵模式的表示形式,同時,要能夠區分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為,屬已知類型,對新類型的入侵是無能為力的,仍需改進。
(2)基于知識的異常識別
這種技術是通過事先建立正常行為檔案庫實現的,其基本思想是:首先把主體的各種正常活動用某種形式描述出來,并建立“正常活動檔案”,當某種活動與所描述的正常活動存在差異時,就認為是“入侵”行為,進而被檢測識別。
異常識別的關鍵是描述正常活動和構建正常活動檔案庫。
利用行為進行識別時,存在四種可能:一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據異常識別思想,把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為,并具有簡單的學習功能。
以下是幾種基于知識的異常識別的檢測方法:
1)基于審計的攻擊檢測技術
這種檢測方法是通過對審計信息的綜合分析實現的,其基本思想是:根據用戶的歷史行為、先前的證據或模型,使用統計分析方法對用戶當前的行為進行檢測和判別,當發現可疑行為時,保持跟蹤并監視其行為,同時向系統安全員提交安全審計報告。
2)基于神經網絡的攻擊檢測技術
由于用戶的行為十分復雜,要準確匹配一個用戶的歷史行為和當前的行為是相當困難的,這也是基于審計攻擊檢測的主要弱點。
而基于神經網絡的攻擊檢測技術則是一個對基于傳統統計技術的攻擊檢測方法的改進方向,它能夠解決傳統的統計分析技術所面臨的若干問題,例如,建立確切的統計分布、實現方法的普遍性、降低算法實現的成本和系統優化等問題。
3)基于專家系統的攻擊檢測技術
所謂專家系統就是一個依據專家經驗定義的推理系統。這種檢測是建立在專家經驗基礎上的,它根據專家經驗進行推理判斷得出結論。例如,當用戶連續三次登錄失敗時,可以把該用戶的第四次登錄視為攻擊行為。
4)基于模型推理的攻擊檢測技術
攻擊者在入侵一個系統時往往采用一定的行為程序,如猜測口令的程序,這種行為程序構成了某種具有一定行為特征的模型,根據這種模型所代表的攻擊意圖的行為特征,可以實時地檢測出惡意的攻擊企圖,盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型,從而能夠監視具有特定行為特征的某些活動。根據假設的攻擊腳本,這種系統就能檢測出非法的用戶行為。一般為了準確判斷,要為不同的入侵者和不同的系統建立特定的攻擊腳本。
使用基于知識的模式識別和基于知識的異常識別所得出的結論差異較大,甚至得出相反結論。這是因為基于知識的模式識別的核心是維護一個入侵模式庫,它對已知攻擊可以詳細、準確地報告出攻擊類型,但對未知攻擊卻無能為力,而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結論的,它雖無法準確判斷出攻擊的手段,但可以發現更廣泛的、甚至未知的攻擊行為。
§5.4入侵檢測技術剖析
1)信號分析
對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配、統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
2)模式匹配
模式匹配就是將收集到的信息與已知的網絡入侵和系統已有模式數據庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
3)統計分析
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。例如,本來都默認用GUEST帳號登錄的,突然用ADMINI帳號登錄。這樣做的優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法,目前正處于研究熱點和迅速發展之中。
4)完整性分析
完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被更改的、被特咯伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,用于事后分析而不用于實時響應。盡管如此,完整性檢測方法還應該是網絡安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模塊,對網絡系統進行全面地掃描檢查。
§5.5防火墻與入侵檢測的聯動
網絡安全是一個整體的動態的系統工程,不能靠幾個產品單獨工作來進行安全防范。理想情況下,整個系統的安全產品應該有一個響應協同,相互通信,協同工作。其中入侵檢測系統和防火墻之間的聯動就能更好的進行安全防護。圖8所示就是入侵檢測系統和防火墻之間的聯動,當入侵檢測系統檢測到入侵后,通過和防火墻通信,讓防火墻自動增加規則,以攔截相關的入侵行為,實現聯動聯防。
§5.6什么是VPN?
VPN的英文全稱是“VirtualPrivateNetwork”,翻譯過來就是“虛擬專用網絡”。顧名思義,虛擬專用網絡我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路,就好比是架設了一條專線一樣,但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線,但是不用給鋪設線路的費用,也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一,目前在交換機,防火墻設備或Windows2000等軟件里也都支持VPN功能,一句話,VPN的核心就是在利用公共網絡建立虛擬私有網。
虛擬專用網(VPN)被定義為通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接;可用于實現企業網站之間安全通信的虛擬專用線路,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。
§5.7VPN的特點
1.安全保障雖然實現VPN的技術和方式很多,但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在安全性方面,由于VPN直接構建在公用網上,實現簡單、方便、靈活,但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改,并且要防止非法用戶對網絡資源或私有信息的訪問。
2.服務質量保證(QoS)
VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。在網絡優化方面,構建VPN的另一重要需求是充分有效地利用有限的廣域網資源,為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低,在流量高峰時引起網絡阻塞,使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略,可以按照優先級分實現帶寬管理,使得各類數據能夠被合理地先后發送,并預防阻塞的發生。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流,方便增加新的節點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為:減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
§5.8VPN防火墻
VPN防火墻就是一種過濾塞(目前你這么理解不算錯),你可以讓你喜歡的東西通過這個塞子,別的玩意都統統過濾掉。在網絡的世界里,要由VPN防火墻過濾的就是承載通信數據的通信包。
最簡單的VPN防火墻是以太網橋。但幾乎沒有人會認為這種原始VPN防火墻能管多大用。大多數VPN防火墻采用的技術和標準可謂五花八門。這些VPN防火墻的形式多種多樣:有的取代系統上已經裝備的TCP/IP協議棧;有的在已有的協議棧上建立自己的軟件模塊;有的干脆就是獨立的一套操作系統。還有一些應用型的VPN防火墻只對特定類型的網絡連接提供保護(比如SMTP或者HTTP協議等)。還有一些基于硬件的VPN防火墻產品其實應該歸入安全路由器一類。以上的產品都可以叫做VPN防火墻,因為他們的工作方式都是一樣的:分析出入VPN防火墻的數據包,決定放行還是把他們扔到一邊。
所有的VPN防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭,根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖,兩個網段之間隔了一個VPN防火墻,VPN防火墻的一端有臺UNIX計算機,另一邊的網段則擺了臺PC客戶機。
當PC客戶機向UNIX計算機發起telnet請求時,PC的telnet客戶程序就產生一個TCP包并把它傳給本地的協議棧準備發送。接下來,協議棧將這個TCP包“塞”到一個IP包里,然后通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里,這個IP包必須經過橫在PC和UNIX計算機中的VPN防火墻才能到達UNIX計算機。
現在我們“命令”(用專業術語來說就是配制)VPN防火墻把所有發給UNIX計算機的數據包都給拒了,完成這項工作以后,比較好的VPN防火墻還會通知客戶程序一聲呢!既然發向目標的IP數據沒法轉發,那么只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。
還有一種情況,你可以命令VPN防火墻專給那臺可憐的PC機找茬,別人的數據包都讓過就它不行。這正是VPN防火墻最基本的功能:根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了,由于黑客們可以采用IP地址欺騙技術,偽裝成合法地址的計算機就可以穿越信任這個地址的VPN防火墻了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是,不要用DNS主機名建立過濾表,對DNS的偽造比IP地址欺騙要容易多了。
后記:
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。入侵檢測系統面臨的最主要挑戰有兩個:一個是虛警率太高,一個是檢測速度太慢。現有的入侵檢測系統還有其他技術上的致命弱點。因此,可以這樣說,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。
但無論如何,入侵檢測不是對所有的入侵都能夠及時發現的,即使擁有當前最強大的入侵檢測系統,如果不及時修補網絡中的安全漏洞的話,安全也無從談起。
同樣入侵檢測技術也存在許多缺點,IDS的檢測模型始終落后于攻擊者的新知識和技術手段。主要表現在以下幾個方面:
1)利用加密技術欺騙IDS;
2)躲避IDS的安全策略;
3)快速發動進攻,使IDS無法反應;
4)發動大規模攻擊,使IDS判斷出錯;
5)直接破壞IDS;
6)智能攻擊技術,邊攻擊邊學習,變IDS為攻擊者的工具。
我認為在與防火墻技術結合中應該注意擴大檢測范圍和類別、加強自學習和自適應的能力方面發展。
參考文獻:
1..MarcusGoncalves著。宋書民,朱智強等譯。防火墻技術指南[M]。機械工業出版社
2.梅杰,許榕生。Internet防火墻技術新發展。微電腦世界.
- 上一篇:船舶機械行業市場范文
- 下一篇:八五普法年度計劃范文
