保密安全防护重在预防,要下好先手棋,主动棋,以信息系统防护为例,提高发现隐患的能力,是防患于未然的前提和基础。从窃密和防护的角度看,攻防双方的能力对抗首先体现为发现隐患能力的较量。一方面,防御者率先发现隐患,就可以取得先机,预先阻止相应的攻击手段,另一方面,窃密者先一步探查到隐患,往往会在环境中建立瞭望点,采取许多步骤,执行许多行动以巩固战果,为进一步渗透入侵建立稳固的环境。
围绕隐患发现能力建设,就要是有雁过留痕,风过留声的机制,防护者只有平时多在保留痕迹上下功夫,才可能在复杂、激烈、多变的攻防对抗中取得雄厚的“用兵”基础,守住防护底线。以Windows系统为例,电脑上运行的一切服务、应用都逃不脱内存和硬盘这两个基本的运行载体,服务和应用在操作系统的管理下表现为数量庞大的进程,无论是普通应用还是经过精心设计的木马病毒,都以进程的形式在计算机中创建、运行、合并、拆分、销毁,周而复始。因此,理论上任何程序的恶意行为都无法完全逃脱操作系统的监控,而操作系统的监控表现为系统审计日志,充分开启系统审计功能是做好电脑终端和网络保密安全防护的第一步。默认情况下,操作系统并未开启进程创建审计功能,输入以下命令打开本地组策略编辑器,开启进程创建审计功能。
gpedit.msc #以管理员帐号运行
开启后,操作系统中运行的任何应用,创建的进程都会留下日志记录,运行以下命令查看相应日志。 eventvwr可以看到,某个程序创建了进程,其日志事件编号为4688 然而,很多木马病毒使用脚本命令行的方式运行,而脚本命令行后面不同的参数会对应完全不同的功能,因此需要将脚本命令行的审计功能开启,产生相应的详细日志记录。方法是打开本地组策略编辑器,开启命令行参数审计功能。 经过以上安全防护配置,可以根据相关日志进行安全分析,有效地提升安全防护能力,即使面对APT攻击和横向移动渗透,也具有相当地主动安全防护作用,有利于在日常巡检中及时发现安全威胁。
当然,不应将安全防护能力建立在单一安全策略下,实施一个相互独立又相互干涉的安全架构,对重要网络节点、应用节点和数据节点设备进行有效覆盖和相互重叠覆盖,才是做好保密安全防护的有力保障。
| 
私信
