分享
 
 
 

入侵侦测强化企业信息安全

王朝other·作者佚名  2006-01-08
窄屏简体版  字體: |||超大  

赛门铁克大中华区技术总监王岳忠:

连上网际网络使您的企业多了一个管道接触上百万的潜在客户,相对的,这些客户也可藉由网际网络与您的企业联系。许多网站及内部网络会被入侵的原因在于没有采取必要的预防措施以防范攻击。如果企业无法保障网站及客户资料的安全,那么企业将会面临更大的损失风险。一个单一的攻击事件可造成几百万元潜在营收的损失,但那仅只是开始而已。一个攻击事件造成的损害还包括:客户的不便或信心的丧失、智能财产及市场优势的损失、面临客户资料外泄的法律责任以及从攻击事件中复原的时间与金钱成本。

对抗信息系统攻击的最佳防御是整合工具与安全政策,它可以提高有关攻击信息的精确度,并提供实时的信息以有效响应攻击。

安全需求

网络是由各种形态的软硬件所组成,而使用者对于这些软硬件又有着不同的存取需求。为有效防护信息系统,必须有一个考量这些多样化网络组件及其相关安全议题的安全模型。以下是一个基本安全模型的概要:

1. 使用者政策

2. 防火墙

3. 入侵侦测系统

4. 路由器安全

5. 主机系统安全

6. 稽核

7. 紧急应变计划

以下我们将讨论企业会面临的一些问题,特别是在企业信息基础架构内部属入侵侦测系统会被讨论到的议题。

防火墙:必要,但非牢不可破的解决方案

防火墙是企业网络的第一道防线,但绝不应该被视为是可以解决网络安全问题的“法宝”。没有任何一个单一产品可以被视为法宝。当在网络边界与整个基础架构部署防火墙时,它们能提供基本的安全保护。几乎所有重视其业务运作的企业都已经投资且建置防火墙技术。但即使已经建置了防火墙,仍有 90% 的财星 500 大企业侦测到安全缺口。问题在于,所有的防火墙都是曝露在外,会遭到外部的攻击或被以各种方式避开。例如,骇客可以刺探运用防火墙的错误设定,透过交换机的拨号联机以避开防火墙,在特定服务上发动拒绝服务攻击 (DoS);使用特洛依木马程序及穿燧技术,甚至发动缓冲区溢位攻击以获得防火墙的 root access。因为 70% 以上的网络信息安全事故来自于内部的攻击,所以企业也必须在重要网络资产内建置防火墙,以降低入侵的相关风险。然而,内部的攻击者仍可再一次地避开或刺探这些防火墙。

防火墙被视为网络的守门员,但是它们能提供的防护却十分有限。它们最大的问题在于,防火墙无法检查通过的封包内容。要检查封包的内容,企业必须在安全部署中加入入侵侦测的机制。入侵侦测系统可以协助在早期阶段辨识攻击,提供企业组织快速的信息安全事端分析与更多的响应时间,并部署防御机制以防范进一步的攻击事件。

提升企业信息安全防御等级 -- 入侵侦测系统

若信息安全资产对于某些企业来说具有关系到企业存活的地位时,部署入侵侦测系统就成为非常必要的企业信息安全防护措施。入侵侦测系统可补强防火墙技术的不足。在防火墙内外部署有IDS 的侦测器可以协助判断防火墙是否适当地设定与运作。IDS 也可以辨识防火墙无法察觉的网络攻击。入侵侦测系统协助企业化被动为主动,能够有效降低网络安全的风险。

入侵侦测系统分为以下四种类型:

传统网络型入侵侦测系统 (NIDS)

传统主机型入侵侦测系统 (HIDS)

混合型入侵侦测系统 (Hybrid IDS)

诱捕系统 (Deception systems)

传统网络型入侵侦测系统(NIDS)

使用不区分模式的网络卡,以检视每一个经过的网络封包。典型的网络型 IDS 是由一个或多个侦测器以及可收集并分析来自侦测器资料的主控台所组成。网络型 IDS 的部署比主机型 IDS 来得简单且更易于管理,但某些网络型 IDS 在安装后会因为无法处理大量的网络通讯,而遗漏攻击事件,,且它们会因为误报而产生大量无法管理的警示;使得真正的攻击难以被辨识出来。误报是指在实际上没有攻击行为发生时,因为合法活动所产生的警示。如果一个企业一再地被误报所打击,企业就会开始忽视他们的警示系统及其所收集的资料,使得这个系统变得没有用。误报对大多数的企业来说都是一个持续的挑战。

传统主机型入侵侦测系统 (HIDS)

监视主机内部的程序并监控记录文件与可疑活动的资料。某些主机型的 IDS 是独立运作的。而在其它系统中,每一个主机型的 IDS 会回报到负责集中评估与响应机制的主系统,这对大型企业的部署来说非常有帮助。因为对大多数的主机型解决方案来说,有限的平台支持与涵盖范围会使得这个解决方案变得难以管理,且它们会因为缺乏封包检测的能力使系统门户大开而遭受网络攻击。

混合型入侵侦测系统

结合主机型与网络型技术。混合型的 IDS 以系统为基础,并可识别流向或来自该单一主机网络封包上的攻击。混合型的系统不像网络型 IDS,它不会检查每一个经过的封包,所以它减缓了某些因为流量分析而造成的效能降低问题。混合式的 IDSes 藉由监控系统的事件、资料、目录及登录文件中的攻击行为,以提供更多的防护。平台的限制与部署问题仍是一个争议,且它们在传统上会耗费相当的系统资源,但是较之于网络型的 IDS,它们较不易发生误报的情形。

诱捕系统(Deception system)或"honeypot"

是一般的常见的说法,为网络基础架构提供额外层级的防护。诱捕系统通常比其它侦测系统更有价值,因为它可以减少误报与安全假象,诱捕系统可被视为「设定后放置」("set and forget")的 IDS,侦测器可由单一系统或多个网络装置组成,其唯一目的是捕获未经授权的活动。此意指任何进出诱捕系统的封包会自然而然地被认为是可疑的,这简化了资料的记录与分析程序,并可提供关于攻击者动机的实用信息。

一般对诱捕系统有一个错误的观念,那就是因为它们会将骇客引诱进来,因此其所收集的证据可能无法用以起诉骇客。事实是,诱捕系统不是主动式的诱捕器(lures)而且它们不容易被发现。骇客只能透过执行用来入侵网络的探测工具来找到诱捕系统。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有