一、安全監(jiān)控

系統(tǒng)安全監(jiān)控是指對系統(tǒng)的運(yùn)行狀況和系統(tǒng)中的用戶的行為進(jìn)行監(jiān)視、控制和記錄。通過系統(tǒng)安全監(jiān)控，安全管理人員可以有效地監(jiān)視、控制和評估信息系統(tǒng)的安全運(yùn)行狀況，并為進(jìn)一步提高系統(tǒng)安全性提供參考和依據(jù)。

安全監(jiān)控通過實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)或主機(jī)活動(dòng)，監(jiān)視分析用戶和系統(tǒng)的行為，審計(jì)系統(tǒng)配置和漏洞，評估敏感系統(tǒng)和數(shù)據(jù)的完整性，識(shí)別攻擊行為，對異常行為進(jìn)行統(tǒng)計(jì)和跟蹤，識(shí)別違反安全法規(guī)的行為，使用誘騙服務(wù)器記錄黑客行為等功能，使得管理員能夠更有效地監(jiān)視、控制和評估網(wǎng)絡(luò)或主機(jī)系統(tǒng)。

二、安全監(jiān)控的分類

安全監(jiān)控可以分為網(wǎng)絡(luò)安全監(jiān)控和主機(jī)安全監(jiān)控兩大類。

1. 網(wǎng)絡(luò)安全監(jiān)控

網(wǎng)絡(luò)安全監(jiān)控主要實(shí)現(xiàn)以下幾種功能:

• 全面的網(wǎng)絡(luò)安全控制:除了簡單的訪問控制意外，還應(yīng)該有入侵檢測等功能。
• 細(xì)粒度的控制:除了根據(jù)數(shù)據(jù)抱頭為依據(jù)，還應(yīng)該對應(yīng)用層協(xié)議和數(shù)據(jù)包內(nèi)容進(jìn)行過濾。
• 網(wǎng)絡(luò)審計(jì):對所有網(wǎng)絡(luò)活動(dòng)進(jìn)行跟蹤，對應(yīng)用層協(xié)議(如 HTTP ， FTP, SMTP，POP3 、 TELNET 等)會(huì)話過程進(jìn)行實(shí)時(shí)與歷史的重現(xiàn)。
• 其他:包括日志、報(bào)警、報(bào)告和攔截等功能。

2. 主機(jī)安全監(jiān)控

主機(jī)安全監(jiān)控主要實(shí)現(xiàn)以下幾種功能:

• 訪問控制:加強(qiáng)用戶訪問系統(tǒng)資源及服務(wù)時(shí)的安全控制，防止非法用戶的入侵及合法用戶的非法訪問。
• 系統(tǒng)監(jiān)控:實(shí)時(shí)監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)，包括運(yùn)行進(jìn)程、系統(tǒng)設(shè)備、系統(tǒng)資源和網(wǎng)絡(luò)服務(wù)等，判斷在線用戶的行為，禁止其非法操作。
• 系統(tǒng)審計(jì):對用戶的行為及系統(tǒng)事件進(jìn)行記錄審計(jì)。
• 系統(tǒng)漏洞檢查:檢測主機(jī)系統(tǒng)的安全漏洞，防止因主機(jī)設(shè)置不當(dāng)帶來的安全隱患。

安全監(jiān)控的內(nèi)容主要有以下幾點(diǎn)：

第一，主機(jī)系統(tǒng)監(jiān)視:通過系統(tǒng)狀態(tài)監(jiān)視可以實(shí)現(xiàn)對主機(jī)當(dāng)前用戶信息、系統(tǒng)信息、設(shè)備信息、系統(tǒng)進(jìn)程、系統(tǒng)服務(wù)、系統(tǒng)事件、系統(tǒng)窗口、安裝程序以及實(shí)時(shí)屏幕等信息的監(jiān)視和記錄。

第二，網(wǎng)絡(luò)狀態(tài)監(jiān)視:查看受控主機(jī)當(dāng)前活動(dòng)的網(wǎng)絡(luò)連接、開放的系統(tǒng)服務(wù)以及端日，從而全面了解主機(jī)的網(wǎng)絡(luò)狀態(tài)。

第三，用戶操作監(jiān)視:對用戶的系統(tǒng)配置和操作、應(yīng)用程序操作和文件操作等進(jìn)行監(jiān)視和記錄。

第四，主機(jī)應(yīng)用監(jiān)控:對主祝中的進(jìn)程、服務(wù)和應(yīng)用程序窗口進(jìn)行控制。

第五，主機(jī)外設(shè)監(jiān)視:對受控主機(jī)的 USB 端口、串行端口、并行端口等外設(shè)接口，以及 USB 盤、軟驅(qū)、光驅(qū)等外設(shè)實(shí)施存取控制。

第六，網(wǎng)絡(luò)連接監(jiān)控:實(shí)現(xiàn)對非法主機(jī)接入的隔離和對合法主機(jī)網(wǎng)絡(luò)行為的管控。

• 一方面對非法接入的主機(jī)進(jìn)行識(shí)別、報(bào)警和隔離;
• 另一方面實(shí)現(xiàn)對合法主機(jī)網(wǎng)絡(luò)訪問行為的監(jiān)控，包括網(wǎng)絡(luò)地址端口控制、網(wǎng)絡(luò) URL 控制、郵件控制、撥號(hào)連接控制、網(wǎng)絡(luò)共享控制以及網(wǎng)絡(luò)鄰居控制等。