荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: hellsolaris (qq), 信区: Security
标  题: 网络安全之入侵检测和脆弱性扫描
发信站: 荔园晨风BBS站 (Wed Dec 24 09:14:44 2003)


网络安全之入侵检测和脆弱性扫描


选购要点

入侵检测系统(IDS)作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防
御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,它可在网络系统受
到危害之前拦截和响应入侵。脆弱性扫描工具通过扫描系统或网络中的脆弱性和漏洞,对
用户的安全现状进行评估,并通知用户通过多种方式更新漏洞,提供修补措施。二者往往
结合在一起共同防止入侵的发生。

入侵检测产品

一个成功的入侵检测系统,不仅可使系统管理员时刻了解网络系统(包括程序、文件和硬
件设备等)的任何变更,还能给网络安全策略的制订提供依据。它应该管理配置简单,使
非专业人员非常容易地获得网络安全。入侵检测的规模还应根据网络规模、系统构造和安
全需求的改变而改变。入侵检测系统在发现入侵后,会及时作出响应,包括切断网络连接
、记录事件和报警等。

从技术上看,入侵检测系统(IDS)基本上分为以下几类:基于网络的产品和基于主机的产
品。混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。此外,文件的
完整性检查工具也可看作是一类入侵检测产品。基于网络的入侵检测产品(NIDS)放置在
比较重要的网段内,不停的监视网段中的各种数据包。对每一个数据包或可疑的数据包进
行特征分析。如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报甚至直
接切断网络连接。目前,大部分入侵检测产品是基于网络的。

基于主机的入侵检测产品(HIDS)通常是安装在被重点检测的主机之上,主要是对该主机
的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征
或违反统计规律),入侵检测系统就会采取相应措施。用户在选择入侵检测产品时需要注意
以下事项。

1.是否同时拥有主机监控和网络监控。

主机监控和网络监控两种技术互为补充,是目前主流的入侵检测技术。部分攻击只能通过
对数据包的分析判断是否为攻击,同时部分攻击只能通过判断重要的系统文件、配置文件
是否被修改进行识别(尤其是对内部人员的非法入侵和误操作而言),所以一个好的实时
入侵检测产品应该是同时拥有基于网络及主机的入侵检测模块,采用同一控制台进行集中
管理,分别从网络及主机的层次识别恶意用户的入侵,为关键系统提供分层次的全面保护
功能。

2. 能够检测的攻击数量和升级能力及方便性

IDS的最主要的指标之一就是它能够发现的入侵方式的数量。几乎每个星期都有新的漏洞和
攻击方法出现,如果仅仅能够识别少量的攻击方法或者版本升级缓慢,根本无法保证网络
的安全。产品的升级方式是否灵活也影响到它的功能发挥作用。一个好的实时检测产品应
该在强大的技术支持力量的基础上进行经常性的升级,并且可以直接通过Internet或是下
载升级包进行升级。

3 .对攻击的响应能力

IDS在识别攻击事件的同时,必须作出适当的响应:对恶意的攻击切断、关闭防火墙或路由
器的相关端口、自动修改防火墙策略、账户挂起、恢复被篡改的文件并及时通知管理员。
另外,它还必须有详细的日志能力,例如信息记录和回放功能可以提供详细的分析数据,
并为法律诉讼提供证据。

4. 用户自定义监控策略、自定义异常事件的能力

IDS通常是对网络或操作系统的通用的监控工具,对特殊的监控需求只能通过用户自定制监
控策略实现。例如,对审计日志中出现特殊字符的监控、对指定文件的内容的监控等,需
要通过灵活的用户自定义策略能力实现。

5. 远程集中统一管理能力

企业网络往往覆盖全国甚至全球。如果没有远程管理能力,基本上不具备可用性。

6. 被监控操作系统平台的覆盖率

网络监控和主机监控都应该支持NT和多种Unix平台,才能满足实际需要。

7. 系统本身的安全考虑如加密通信、透明接入等

IDS系统记录了企业最敏感的数据,必须有自我保护机制,防止成为黑客的攻击目标。例如
,控制台和监测模块之间通过SSL或其他专用协议进行加密,且用户可自由选择加密算法。
网络监测模块必须提供透明接入模式,连接被检测网段的网卡可不绑定协议,避免被入侵
者发现,确保IDS系统自身的安全。同时必须提供防御专门针对IDS系统的攻击(Stick等)
的能力。

8. 系统实时监控的性能,主要是和网络流量的关系

由IDS通信造成对网络的负载不能影响正常的网络业务。必须对所要求的数据达到实时分析
的能力,否则无法在危险发生时保护网络。所以必须考虑到网络IDS可以不影响正常工作的
最大带宽。

9. 系统的易用性

全中文界面,方便易学。提供单独的策略编辑器,可同时编辑多个策略,且提供策略打印
功能。提供灵活的报告定制能力,对报告的内容如:源地址、目标地址、时间名称、重要
程度、发生时间及采取的响应措施等信息进行过滤定制。可对监控器进行分组,可同时对
同组的监控器进行管理,如更新策略,升级等。强大的命令行功能,便于与其他系统协同
工作。

10. 产品的市场情况

产品的市场占有率是用户对产品品牌知名度、技术认知的客观反映,好的产品必定有高度
的市场占有率。

11. 产品的本地技术支持能力,包括紧急响应能力

安全产品的技术支持具有紧急的特点,所以,拥有强大的本地技术支持能力也是选择入侵
监测系统的重要因素。包括工程实施是否是由自己完成而不是交给产品代理商完成以及紧
急响应速度和能力等。

产品评比表格

脆弱性扫描产品

脆弱性扫描产品作为与入侵检测产品紧密配合的部分,用户在选择时需要考虑以下问题。


1. 是否具有针对网络和系统的扫描系统

全面的网络系统的漏洞评估应该包括对网络的漏洞评估、对系统主机的漏洞评估以及对数
据库系统的漏洞评估三个方面。相应地,一个完整的脆弱性扫描产品应该具有针对网络和
系统的扫描系统,特别地,针对企业核心数据库,还应该有数据库扫描系统。这是一个基
本的产品覆盖面的问题。

2. 产品的扫描能力

产品的扫描能力是脆弱性扫描产品的基础能力,包括扫描的速度,可扫描设备的范围,支
持的网络协议等等基本参数。这是一个脆弱性扫描产品的基本性能指标。

3. 产品的评估能力

一个好的脆弱性扫描产品不应该仅仅具有扫描能力,更应该作为一个风险评估工具使用,
这就有两方面的要求。首先是扫描的漏洞是否符合国际标准,只有符合国际标准,产品才
可以作为风险评估的标准使用。其次是扫描漏洞的数量,符合国际标准的漏洞的数量是决
定一个脆弱性扫描产品性能的最重要的参数之一。

4. 产品的漏洞修复能力以及报告格式

作为安全产品,目的是实现最大的安全保障,所以,仅仅发现漏洞是远远不够的,重要的
是发现漏洞后如何去修复,也就是扫描报告的详细程度。好的脆弱性扫描系统的报告首先
应该是本地化的,也就是中文的。其次是针对不同的用户应该有不同格式的报告。第三是
必须有详细权威的漏洞修复方法。



产品评测表格结果




--

※ 来源:.荔园晨风BBS站 http://bbs.szu.edu.cn [FROM: 61.144.235.40]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店