| 7.
监控的方法和工具
系统日志的检查
定期对系统产生的日志进行检查可以发现安全问题,包括超越系统权限和在非正常时间内访问系统的企图。
自动工具
有多种类型的自动工具可以监控系统的安全问题。下面是一些例子:
病毒扫描器是检查病毒感染的常用手段。这些程序测试可执行程序文件中是否含有病毒。
较验和检查假定程序文件除非正式更新否则不会发生变化。它基于被检查文件的内容生成一个算术值。在检查一个文件完整性时,计算出该文件的较验和并和以前产生的相比较。如果两个值相等,文件的完整性就通过了检验。对程序的较验和的检验可以发现病毒、木马、由于硬件失败造成的改变以及其它原因对文件的更改。但是,较验和也可能被系统入侵者偷偷更换。这可以通过使用数字签名加以防范。
口令破解器检查口令是否存在于字典(可以是常规字典也可以是包含容易猜测的口令的特殊字典)当中以及口令是否是用户名的某种排列组合。比方说特殊字典的条目可以是本地球队或明星的名字;一般的排列组合可以是用户名的反向拼写。
完整性检验软件可以用于检查数据是否被篡改、含有错误或者被遗漏。其技术包括一致性检查和合理性检查以及数据输入和处理期间的正确性检查。这些技术在数据输入和处理时检查数据值是否同预期值或取值范围相吻合;对交易的适当流量、顺序和授权进行分析;或对数据值之间的预期关系进行检查。这些程序包含一系列重要步骤以使人们能够确信,如果他们有意或无意做了不该做的事情,他们都会被发现的。许多这样的程序依赖于对用户个人活动的日志记录。
入侵探测器分析系统的审计跟踪,尤其是能够体现非法活动的登录、连接、操作系统调用、和各种命令参数。
审计跟踪被设计和部署成为能够提供适当的信息以协助进行入侵探测。虽然人们通常认为入侵探测是实时的工作,但实际上入侵既可以通过随时检查审计记录(或通过使用某种标志或提示)实时发现也可以事后(通过批量检查审计记录)发现。
实时入侵探测的主要目标是外部对系统的非法访问尝试。它也可以用做探测系统性能指数的变化来发现诸如病毒或蠕虫的攻击。使用实时审计可能会造成系统性能恶化等问题。
事后检查可以了解到非法入侵的尝试(或事实)以提醒管理人员对损失进行评估和对受到攻击的控制措施进行检查。
系统性能监控实时分析系统性能日志以发现可用性问题,其中包括主动攻击。
配置管理
从安全角度来说,配置管理确保系统在正确的版本(配置)之下运行,任何更改都要通过安全审查。配置管理能够协助确保系统的更改都发生在确认的和受控的环境之下,而不至于对包括安全在内的系统特征造成潜在的伤害。一个好的办法是为配置管理建立一个有计算机安全专家参与的配置控制委员会。
由于有可能减少或增加系统的漏洞所以系统的更改与系统的安全密切相关,而且重大的系统更改还要求更新应急计划、重新进行风险分析和系统鉴定工作。
电子新闻
除了监控系统以外,也有必要监控来自外部的信息。如印刷或电子版的商业文献,其中包含安全漏洞、补丁和其它有关安全方面的信息。比如信息安全论坛的电子邮件列表就可以用来订阅有关威胁、漏洞和补丁方面的信息。
|
