入侵检测系统(IDS)是一种不同于防火墙的、主动保护网络资源的网络安全系统,是防火墙合理和必要的补充。它完全改变了传统网络安全防护体系被动防守的局面,使网络安全防护变得更积极、更主动,特别是IDS的可视化安全管理功能给网络安全防护工作带来了革命性的变化。
随着信息化的高速发展和网络在人们生活、工作中的应用、普及,人们的安全意识也大大提高,对网络安全产品的需要也日益紧迫和严格。眼下,用户对于安全管理系统的要求已不满足于仅仅在出错时弹出一个对话框,而是希望系统在监控过往信息的同时能够对数据进行分析、消化,并以一种更加人性化的方式将网络上存在的安全风险准确地告知用户,使用户一目了然并能迅速做出决策。
一、安全风险的可见和可控
安全风险的可见是指:能够看见和理解网络运作与网络上数据的本来面目。比如:在某一时刻,流经网络的数据量有多大?某一台重要的服务器有没有遭受安全威胁?网上是否存在有攻击嫌疑的主机?等等。重要的是,这些问题的答案应当一目了然。另外,用户如果需要查看一周之内的安全信息或最严重的几种安全威胁的统计分析报表,系统也应当能够立即提供。用户只有在全面掌握安全风险的基础上才能对这些风险进行有效控制,从而在安全管理过程中做出正确决策。
安全风险的可控是指: 利用安全策略、安全管理制度和安全技术手段降低安全问题产生的可能性和影响程度。例如:管理员接到报警得知某用户多次登录失败,则可以断定该用户对公司局域网有不良企图,就可以将其加入到黑名单列表中,对于一些重要的文件或目录,管理员将该用户的权限设置为禁止写或禁止删除,如果该用户有意或无意地执行相应操作,系统将会阻止。当然,对安全风险进行的这一系列控制都是建立在风险可见的基础上。
二、安全信息的直观性
安全信息的直观性主要表现在网络信息的人文化和安全信息的图表化两个方面。
1. 网络信息的人文化
传统IDS所产生的信息往往带有很强的技术特征。例如安全事件的地址信息为IP地址(如192.168.3.9),这种信息难于理解和记忆。网络信息的人文化是指网络信息与客户的人文信息相结合。网络信息是指网络资源信息和网络结构信息,其表现为员工的工作站、企业的服务器、外网的IP地址或者其他网络设备信息。人文信息主要指员工信息、部门信息和组织结构信息,服务器则用简单易记的名称代表。这种转换机制类似于互联网的域名系统,例如新浪的IP地址是:202.101.43.242,而人们往往用www.sina.com.cn这种容易理解和记忆的名字。
金诺网安的KIDS系统就提供了这样的主机名绑定功能,将员工的主机名、用户名或服务器名与IP地址绑定。这样一来,在控制台的监控窗口中显示的不再是难以理解的IP地址,而是主机名Linda或服务器名Mail Server。在安全事件窗口中,与安全事件相关连的是源主机名和目标主机名,使得员工的网络行为、对服务器的访问连接和安全事件的相关者(入侵者、受攻击者)一目了然。
2. 安全信息的图表化
以图表形式生成的报表或报告主要有以下几种。
● 快照:提供当前网络情况的分析,包括网络流量、攻击情况等。
● 统计报告:一段时间内各种网络情况的统计,包括事件日志列表、危险(高风险)事件列表、攻击统计、响应统计。
● 详细报告:包括特定类型攻击明细、对某种特定服务的攻击情况、按攻击次数从多到少对事件排序、特定服务器访问情况。
● 客户定制报告:提供按客户要求定制报告功能。
金诺网安的KIDS系统提供了多种报告网络安全状况的方式和功能强大的报表分析工具,能够满足用户的各种需要。如:流量图可以体现网络当前的流量状况,明细报表提供了按时间段或按严重程度对各类事件的报告,分析报表对报警数据库中记录的数据进行统计分析,还能以拄状图、饼图等形式反映统计结果。
三、安全的可管理性
安全的可管理性表现了对安全易于管理的程度。通过各种管理手段可以方便用户对安全信息的掌握和对安全的控制。可管理性主要分为以下两种:
1. 信息的可管理性
首先,系统通过建立主机IP地址和内部员工之间的映射关系来完成内部员工的管理。通过IP地址可以反查用户名,通过用户名可以查IP地址。KIDS中的主机名绑定功能就提供了一个包含IP地址和主机名称之间映射关系的列表,供用户在需要时查询。
其次,系统对安全风险管理的对象进行分类,如:员工对象、服务对象、服务器对象等。然后,对各种对象进行分类管理,如:内部员工管理、服务管理、服务器管理。对安全信息进行分类有助于用户对信息的浏览,并迅速识别其关注的事件。
再次,系统还具有网络流量的统计功能,可以随时监控网段的使用情况。一旦发现某一时刻网络流量异常则网络管理员可以通过其他指标分析目前网络中是否存在资源滥用的现象并采取相应的措施。KIDS的流量图功能可以使网络管理员随时查看网络的流量状况。
除此之外,还需要对一组重要服务器(目标地址)或一组可疑的或特定的主机(源地址)进行专门管理: 加入到重要服务器组中的对象可以是在网络中起关键作用、需要重点保护的主机,加入到重点检测组中的对象应当是有攻击嫌疑的内部或外部主机。KIDS系统不但提供了对特定源地址或目标地址的管理,还可以根据监控情况生成相应的报表,实现了监控和报表的一体化。新版本的KIDS当中还将推出资源的概念,对网络中的资产、传感器等进行分组管理。
2. 控制的可管理性
IDS对网络的控制手段有:根据黑名单断开、根据灰名单报警、阻塞HTTP请求、通知防火墙阻断、通过SNMP Trap报警和执行用户自定义程序等。
网络管理员经过一段时间的观察之后,可能总结出一些有重大攻击嫌疑的地址或一些可能包含带毒文件的网页。对于这类需要阻断的地址,管理员可以将其添加到黑名单列表中,以后,不管是这些主机访问网上资源,还是网上其他主机访问黑名单列表中的主机,IDS都将实施阻断,这种双向阻断的管理策略为网络安全提供了高度的保障。另外,对于一些虽然可疑,但问题“情节”并不十分严重的主机,可以将其添加到灰名单列表,灰名单列表的监控功能也是双向的,一旦访问的源地址或目标地址中出现了灰名单列表中的IP地址,IDS会根据预先设定的方式报警。
拥有防火墙的用户如能使IDS和防火墙联动,则控制功能可以进一步加强: 当IDS发现入侵时,可以在报警的同时通知防火墙拦截可疑的数据包,实现对入侵行为全方位的控制。对于网络中原先就使用网管软件的用户来说,如果IDS产生的报警消息可以被他们的网管软件所接收,那就意味着其现有资源可以得到最大限度的利用,而且可以实现对包括入侵在内的各种网络异常现象的统一管理。IDS可以通过SNMP Trap消息将报警事件发送到网管平台,实现与各类网管平台的集成。
四、结束语
综上所述,只有全面掌握安全风险才能有效进行安全管理,入侵检测系统(IDS)在安全风险可见性上具有天然优势,而这种优势必须通过可视化的管理手段才能发挥出来。管理可视化主要体现在安全信息的直观性和安全的可管理性上,当IDS与防火墙实现了良好的互动防护后,IDS的特性便得以更加全面地发挥。(作者系上海金诺网络安全技术发展股份有限公司产品总监)