安全監(jiān)控　　

系統(tǒng)安全監(jiān)控是指對系統(tǒng)的運行狀況和系統(tǒng)中的用戶的行為進行監(jiān)視、控制和記錄。

通過系統(tǒng)安全監(jiān)控，安全管理人員可以有效地監(jiān)視、控制和評估信息系統(tǒng)的安全運行狀況，并為進一步提高系統(tǒng)安全性提供參考和依據(jù)。

安全監(jiān)控通過實時監(jiān)控網(wǎng)絡(luò)或主機活動，監(jiān)視分析用戶和系統(tǒng)的行為，審計系統(tǒng)配置和漏洞，評估敏感系統(tǒng)和數(shù)據(jù)的完整性，識別攻擊行為，對異常行為進行統(tǒng)計和跟蹤，識別違反安全法規(guī)的行為，使用誘騙服務(wù)器記錄黑客行為等功能，使得管理員能夠更有效地監(jiān)視、控制和評估網(wǎng)絡(luò)或主機系統(tǒng)。

安全監(jiān)控的分類　　

安全監(jiān)控可以分為網(wǎng)絡(luò)安全監(jiān)控和主機安全監(jiān)控兩大類。

一、網(wǎng)絡(luò)安全監(jiān)控　　

網(wǎng)絡(luò)安全監(jiān)控主要實現(xiàn)以下幾種功能:　　

1）全面的網(wǎng)絡(luò)安全控制:除了簡單的訪問控制意外，還應(yīng)該有入侵檢測等功能。

2）細粒度的控制:除了根據(jù)數(shù)據(jù)抱頭為依據(jù)，還應(yīng)該對應(yīng)用層協(xié)議和數(shù)據(jù)包內(nèi)容進行過濾。

3）網(wǎng)絡(luò)審計:對所有網(wǎng)絡(luò)活動進行跟蹤，對應(yīng)用層協(xié)議(如 HTTP ， FTP, SMTP，POP3 、 TELNET 等)會話過程進行實時與歷史的重現(xiàn)。

4）其他:包括日志、報警、報告和攔截等功能。

二、主機安全監(jiān)控　　主機安全監(jiān)控主要實現(xiàn)以下幾種功能:　　

1）訪問控制:加強用戶訪問系統(tǒng)資源及服務(wù)時的安全控制，防止非法用戶的入侵及合法用戶的非法訪問。

2）系統(tǒng)監(jiān)控:實時監(jiān)控系統(tǒng)的運行狀態(tài)，包括運行進程、系統(tǒng)設(shè)備、系統(tǒng)資源和網(wǎng)絡(luò)服務(wù)等，判斷在線用戶的行為，禁止其非法操作。

3）系統(tǒng)審計:對用戶的行為及系統(tǒng)事件進行記錄審計。

4）系統(tǒng)漏洞檢查:檢測主機系統(tǒng)的安全漏洞，防止因主機設(shè)置不當(dāng)帶來的安全隱患。

安全監(jiān)控的內(nèi)容主要有以下幾點：　　

第一，主機系統(tǒng)監(jiān)視:通過系統(tǒng)狀態(tài)監(jiān)視可以實現(xiàn)對主機當(dāng)前用戶信息、系統(tǒng)信息、設(shè)備信息、系統(tǒng)進程、系統(tǒng)服務(wù)、系統(tǒng)事件、系統(tǒng)窗口、安裝程序以及實時屏幕等信息的監(jiān)視和記錄。

第二，網(wǎng)絡(luò)狀態(tài)監(jiān)視:查看受控主機當(dāng)前活動的網(wǎng)絡(luò)連接、開放的系統(tǒng)服務(wù)以及端日，從而全面了解主機的網(wǎng)絡(luò)狀態(tài)。

第三，用戶操作監(jiān)視:對用戶的系統(tǒng)配置和操作、應(yīng)用程序操作和文件操作等進行監(jiān)視和記錄。

第四，主機應(yīng)用監(jiān)控:對主祝中的進程、服務(wù)和應(yīng)用程序窗口進行控制。

第五，主機外設(shè)監(jiān)視:對受控主機的 USB 端口、串行端口、并行端口等外設(shè)接口，以及 USB 盤、軟驅(qū)、光驅(qū)等外設(shè)實施存取控制。

第六，網(wǎng)絡(luò)連接監(jiān)控:實現(xiàn)對非法主機接入的隔離和對合法主機網(wǎng)絡(luò)行為的管控。

一方面對非法接入的主機進行識別、報警和隔離；　　

另一方面實現(xiàn)對合法主機網(wǎng)絡(luò)訪問行為的監(jiān)控，包括網(wǎng)絡(luò)地址端口控制、網(wǎng)絡(luò) URL 控制、郵件控制、撥號連接控制、網(wǎng)絡(luò)共享控制以及網(wǎng)絡(luò)鄰居控制等。