基于應(yīng)用環(huán)境安全的主機(jī)防護(hù)技術(shù)研究

◆季 君 杜 鈞 張賽昆

（北京電子科技職業(yè)學(xué)院 北京 100176）

基于應(yīng)用環(huán)境安全的主機(jī)防護(hù)技術(shù)研究

◆季 君 杜 鈞 張賽昆

（北京電子科技職業(yè)學(xué)院 北京 100176）

；針對網(wǎng)絡(luò)應(yīng)用環(huán)境系統(tǒng)的安全需求，本文從主機(jī)監(jiān)控方面，闡述了主機(jī)監(jiān)控的原理和主要功能，分析了目前的市場現(xiàn)狀和今后的發(fā)展趨勢。

；應(yīng)用環(huán)境；網(wǎng)絡(luò)安全；主機(jī)監(jiān)控

0 引言

主機(jī)監(jiān)控系統(tǒng)是對網(wǎng)絡(luò)監(jiān)控產(chǎn)品（如網(wǎng)絡(luò)入侵檢測、網(wǎng)絡(luò)審計(jì)、防火墻等）的補(bǔ)充，主要解決內(nèi)網(wǎng)終端節(jié)點(diǎn)的安全防護(hù)問題，如內(nèi)網(wǎng)主機(jī)的非法外聯(lián)、非認(rèn)證主機(jī)的非法接入、主機(jī)安裝運(yùn)行軟件的審計(jì)、主機(jī)外設(shè)的管理、主機(jī)信息泄密等問題。并可以提供報(bào)表管理、級聯(lián)管理、客戶端分組管理、全網(wǎng)統(tǒng)一升級管理等管理手段，通過技術(shù)手段使各種管理?xiàng)l例落實(shí)，增強(qiáng)用戶的安全和保密意識，保護(hù)內(nèi)部的信息不外泄。

1 產(chǎn)品原理

鉤子（Hook），是Windows消息處理機(jī)制的一個平臺，應(yīng)用程序可以在上面設(shè)置子程以監(jiān)視指定窗口的某種消息，而且所監(jiān)視的窗口可以是其他進(jìn)程所創(chuàng)建的。當(dāng)消息到達(dá)后，在目標(biāo)窗口處理函數(shù)之前處理它。鉤子機(jī)制允許應(yīng)用程序截獲處理windows消息或特定事件。

利用Hook技術(shù)，鉤掛特定的應(yīng)用程序編程接口（API）函數(shù)，系統(tǒng)中并沒有現(xiàn)成的這種服務(wù)，但可以構(gòu)造這樣的Hook，截獲API函數(shù)的相關(guān)數(shù)據(jù)。利用此技術(shù)獲取所需的審計(jì)信息及策略配置信息，并進(jìn)行分析、匯總和管理。同時，通過此技術(shù)，可對客戶端程序提供很強(qiáng)的防止卸載功能，以應(yīng)對可能的技術(shù)對抗。

可擴(kuò)展標(biāo)記語言（XML）將通用標(biāo)記語言標(biāo)準(zhǔn)的功能與超文本標(biāo)記語言（HTML）的易用性結(jié)合到Web的應(yīng)用中。XML不再是固定的標(biāo)記，而是允許定義數(shù)量不限的標(biāo)記來描述文檔中的資料，允許嵌套的信息結(jié)構(gòu)。基于XML的Web數(shù)據(jù)庫系統(tǒng)管理采用瀏覽器/服務(wù)器（B/S）工作模式對審計(jì)系統(tǒng)進(jìn)行管理：瀏覽器根據(jù)用戶操作對服務(wù)器提出訪問請求，服務(wù)器將請求分析處理，通過中間層服務(wù)器傳送給數(shù)據(jù)庫服務(wù)器進(jìn)行查詢統(tǒng)計(jì)或事務(wù)處理，將結(jié)果從服務(wù)器向客戶的瀏覽器返回，最終瀏覽器將結(jié)果顯示給用戶。

2 主要功能點(diǎn)

主機(jī)監(jiān)控系統(tǒng)主要包括以下功能：

通過客戶端監(jiān)控主機(jī)的非法外聯(lián)行為，并可以根據(jù)監(jiān)控策略對主機(jī)的非法外聯(lián)行為實(shí)時進(jìn)行阻斷，杜絕安全隱患。多網(wǎng)卡監(jiān)控能夠根據(jù)策略阻斷用戶主機(jī)啟用多個網(wǎng)卡。IP/MAC綁定限制主機(jī)的IP修改、MAC修改、增加IP、修改掩碼等操作，抑制IP盜用問題，也防止了局域網(wǎng)主機(jī)修改IP以后接入互聯(lián)網(wǎng)的問題?？梢院诎酌麊蔚姆绞綄τ脩舻木W(wǎng)頁訪問行為進(jìn)行控制。接入監(jiān)控功能對入網(wǎng)資格審查，對非法接入局域網(wǎng)的主機(jī)及網(wǎng)絡(luò)設(shè)備，可以根據(jù)策略自動或手動進(jìn)行阻斷。硬件資產(chǎn)監(jiān)控，使管理員對本單位的信息資產(chǎn)一目了然。軟件資產(chǎn)監(jiān)控，通過控制中心可以查詢到注冊主機(jī)的應(yīng)用軟件安裝列表、正在運(yùn)行的進(jìn)程列表、開放端口等信息，協(xié)助管理員對全網(wǎng)主機(jī)的軟件資產(chǎn)進(jìn)行查詢和統(tǒng)計(jì)。文件監(jiān)控功能可以實(shí)現(xiàn)對指定的文件/文件夾進(jìn)行保護(hù)，同時報(bào)警和日志，以供審計(jì)。打印監(jiān)控功能對打印行為進(jìn)行監(jiān)控可以實(shí)現(xiàn)允許/禁止使用打印機(jī)，有效控制打印帶走涉密文件的行為。USB存儲設(shè)備管理，系統(tǒng)對U盤管理分為2種級別：一是禁止使用U盤；二是允許使用授權(quán)U盤。系統(tǒng)可以實(shí)現(xiàn)對主機(jī)的外設(shè)進(jìn)行控制，包括USB接口、光驅(qū)、軟驅(qū)、打印機(jī)等設(shè)備的使用進(jìn)行控制。主機(jī)狀態(tài)監(jiān)控，管理員可識別異常代理，也可對用戶非法卸載或破壞代理的情況進(jìn)行監(jiān)控。整個主機(jī)監(jiān)控以及審計(jì)系統(tǒng)可以納入SOC集中管理平臺進(jìn)行綜合管理。提供對客戶端操作系統(tǒng)的通信管理，加載客戶端防火墻功能。流量管理功能，實(shí)時審計(jì)網(wǎng)絡(luò)客戶端流量信息，可以進(jìn)行流量限制以及異常報(bào)警。獨(dú)立的權(quán)限分配體系，提供系統(tǒng)管理員、系統(tǒng)審核員和系統(tǒng)審計(jì)員和一般操作員權(quán)限。不同權(quán)限管理員在Web控制臺對終端用戶的日志進(jìn)行遠(yuǎn)程讀取查看。

3 市場現(xiàn)狀分析

主機(jī)安全監(jiān)控管理技術(shù)的興起是伴隨著網(wǎng)絡(luò)管理事務(wù)密集度的增加，作為網(wǎng)絡(luò)管理技術(shù)的逐步發(fā)展的產(chǎn)物而衍生的，它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián)，是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補(bǔ)充，也是未來網(wǎng)絡(luò)安全防范體系重要的組成部分。因此，主機(jī)安全管理技術(shù)無論在現(xiàn)在還是未來都應(yīng)當(dāng)歸入基礎(chǔ)體系網(wǎng)絡(luò)安全產(chǎn)品之列。

伴隨著幾年國內(nèi)信息安全產(chǎn)品市場的安全需求潛力的不斷展現(xiàn)，加之網(wǎng)絡(luò)應(yīng)用環(huán)境將更為復(fù)雜多樣，基于主機(jī)信息安全管理無疑將繼續(xù)成為各行各業(yè)信息系統(tǒng)建設(shè)、業(yè)務(wù)運(yùn)作的核心工作之一，由于除涉密信息系統(tǒng)、重要信息系統(tǒng)以外，涉及各行業(yè)的信息系統(tǒng)建設(shè)對基于主機(jī)的安全管理需求的強(qiáng)烈。隨著信息安全技術(shù)和理念的發(fā)展，安全監(jiān)控的關(guān)注點(diǎn)已經(jīng)從設(shè)備轉(zhuǎn)向?qū)τ谠O(shè)備使用者的行為，用戶對于設(shè)備使用人行為審計(jì)和行為控制的需求越來越明顯。

從市場對于終端安全產(chǎn)品的需求來看，近年來，隨著網(wǎng)絡(luò)病毒的迅速蔓延和黑客攻擊事件的頻繁發(fā)生，網(wǎng)絡(luò)安全防范的重點(diǎn)已經(jīng)從單機(jī)用戶迅速轉(zhuǎn)向網(wǎng)絡(luò)化用戶；同時，隨著國內(nèi)電子政務(wù)、電子商務(wù)和信息化建設(shè)工作的不斷深化，行業(yè)和企業(yè)用戶的需求逐步顯現(xiàn)出來，因此用戶對于集團(tuán)網(wǎng)絡(luò)安全產(chǎn)品的需求迅速增加，尤其是信息化發(fā)展較快和信息安全性要求較高的行業(yè)如公安、金融、軍隊(duì)、軍工等，對于安全管理平臺產(chǎn)品、安全認(rèn)證、信息加密和監(jiān)控審計(jì)等產(chǎn)品的需求也呈現(xiàn)出旺盛的態(tài)勢。

在需求結(jié)構(gòu)上，由于行業(yè)和企業(yè)用戶的增加和用戶自身技術(shù)水平的限制，用戶對于產(chǎn)品的需求已從單一的購買獨(dú)立產(chǎn)品和技術(shù)向整體網(wǎng)絡(luò)安全方案轉(zhuǎn)移。但是生產(chǎn)廠商和產(chǎn)品種類日益繁多，很多產(chǎn)品都流于概念。產(chǎn)品功能劃分也比較混亂，多數(shù)產(chǎn)品的功能并不齊全，各公司對相同功能點(diǎn)的名稱也不盡相同，且同樣的主機(jī)監(jiān)控類產(chǎn)品的功能上也互不相同、互有交叉。上述這種情況給用戶在選擇主機(jī)監(jiān)控類產(chǎn)品帶來了很大的不便，另外，安全資質(zhì)和安全服務(wù)資格不足的廠商，不能夠有效保障系統(tǒng)部署和后期維護(hù)的質(zhì)量，阻礙了市場自身健康高效的發(fā)展。

隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展和安全體系的完善，對主機(jī)的監(jiān)控行為已經(jīng)被列入安全體系的重要組成部分。對主機(jī)監(jiān)控安全管理軟件的需求也逐步被廠商提上研發(fā)日程。國外這方面產(chǎn)品在2002年期間開始起步，到目前已經(jīng)比較成熟，因此，國外每年的軟件份額比重日益增加，同防火墻、防病毒產(chǎn)品并列同等重要，目前該類產(chǎn)品的市場容量以及潛力是非常巨大的。

而大量案例研究表明，內(nèi)網(wǎng)終端的脆弱性和內(nèi)部終端用戶成為了導(dǎo)致內(nèi)網(wǎng)安全風(fēng)險(xiǎn)的主要原因，因此需要專門針對此類行為及隱患的監(jiān)控技術(shù)和管理平臺進(jìn)行審計(jì)，隨著信息安全技術(shù)和理念的發(fā)展，主機(jī)監(jiān)控類產(chǎn)品的主機(jī)特征監(jiān)控是對系統(tǒng)的進(jìn)程、服務(wù)等進(jìn)行保護(hù)、控制等監(jiān)控管理，監(jiān)控的結(jié)果作為安全管理策略下發(fā)的判斷依據(jù)，對主機(jī)作出警告或阻斷等動作，輔助以桌面密碼權(quán)限管理、防火墻以及殺毒軟件聯(lián)動等為特征的安全防御，以及通過主機(jī)防御流量對防止蠕蟲病毒和BT下載等造成的網(wǎng)絡(luò)帶寬嚴(yán)重占用的出現(xiàn)，及時的隔離安全事件源，很大程度上解決了內(nèi)網(wǎng)安全問題。

[1]吳際忠.企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)策略.教育技術(shù)導(dǎo)刊，2009.

[2]孔雷，趙錦蓉.計(jì)算機(jī)網(wǎng)絡(luò)安全及其防范措施.計(jì)算機(jī)工程與應(yīng)用，2001.