启明星辰网络安全预警体系遏制“熊猫烧香”(2)
发布时间:2010-08-09   作者:yiming

三、IDS规模部署是实现预警的基础


在上述蠕虫病毒应急事件中,先期部署的预警体系发挥了极大作用,通过一个快速反应、运行良好的预警机制,可以在危机前兆阶段就将其消灭在萌芽状态,在事前->事中->事后3个阶段全面抑制蠕虫病毒的传播。而IDS的规模部署是实现预警的基础。


入侵检测系统(IDS)通常架设在网络重要节点与主机系统之上,可监测网络流量与内容、分析网络内的信息流动。


一谈到入侵检测系统,都会自然而然地想到防黑客入侵,但是防黑客只是IDS的功能之一,入侵检测系统是用来全面、实时了解网络动态的设备。通过对网络上数据的形态、内容、行为(包括合法的、不合法的)的全面监控,可以全面实时了解网络动态现状,对网络行为进行综合分析和预测,在第一时间对网络中的危害做出反应。

 

1. 加强IDS的管理功能


为了提高IDS的可用性,提高对应急响应体系的支持力度,一些主流的安全厂商着力加强了IDS的安全管理功能,提高对全局安全事件的管理能力。主要包括如下几个方面:


1) 分布式部署。分布式部署是入侵检测系统能够支持应急响应体系建设的基本要素,只有进行全网范围内的部署,才能发现整个网络中的安全问题,也才能够进行全网的应急响应。


2) 分级控制。对于大型网络来说,分布式部署的IDS对管理提出了更高的要求。为了有效管理众多的分布式探测引擎,主流IDS已经具备了三级以上的分级控制功能,各级控制中心一方面管理本地的探测引擎,另一方面作为上级IDS的子控,起到“上传下达”的作用。


3) 集中管理。以启明星辰公司天阗IDS为核心部署的入侵管理系统,有一个总控制中心,它连接分控制中心、网络探测引擎和主机探测引擎。通过策略下发机制,可使上级部门能够统一全网的安全防护策略;通过信息上传机制,可使上级部门能够及时了解和监控全网的安全状态。同时可以制定并下发全局安全事件管理策略,接收并显示全局网络安全态势。

 

2. 入侵检测系统对应急响应的支撑


入侵检测系统,可以在以下几个方面支撑应急响应体系的建设:


1) 建立全局预警体系,做到一点发现,全网皆知并及时响应。对于较大规模的网络系统,由于一种攻击从一个区域向其它区域渗透会有一定的延时,在这段延时期间内,入侵检测系统有能力将这种警报发布到尚未受攻击的区域中,以起到及时防范的作用。入侵检测系统不仅能发现局域网上发生的入侵事件,而且可以据此对整个网络做出有针对性的全局预警。


2) 联合多种安全设备,组成立体防御体系。利用入侵验证系统确认攻击结果,利用IP定位系统补充地址信息,与防火墙联动实时阻断非法连接,与漏洞扫描系统联动确认漏洞、降低误报率,以形成各个安全子系统协同工作的联合防御体系,是对应急响应的支持。


3) 全局网络安全态势的地图化显示。入侵检测系统采用拓扑发现和地址定位技术,与GIS显示系统相结合,以地图显示的方式实现安全事件的可视化,能够直观显示全局和各个结点的安全态势,并可及时定位攻击源。用户可以清晰地看到网络安全事件的源头或目标对象,不同地域的网络安全事件发生比例以及事件级别比例。
 

四、小结


《关于加强信息安全保障工作的意见》(中办、国办发2003年27号文)中明确指出:“信息安全监控是及时发现和处置网络攻击、病毒传播,对网络和系统实施保护的重要手段,要建设和完善信息安全监控体系。”纵观目前国内网络安全现状,特别是面对大规模蠕虫病毒爆发时,大多数企事业单位、政府机构都处在事后处理、“亡羊补牢”的阶段,距离“积极预防、及时发现”这个八字方针还非常远。


计算机安全专家与黑客和病毒之间的斗争一直在持续,斗争的方式也在不断地变化。这次“熊猫烧香”病毒确实又给中国的广大网络用户们“上了一课”,虽然很多企事业单位、政府机关的网络安全意识、网络安全保障能力在不断加强,但要实现真正的网络安全,还有很长的路要走。

文章来源:51CTO
  • 联系我们 | 网站地图 | 法律声明 | 投资者关系 | 产品体验
  • © 启明星辰1996-2012 版权所有 京ICP备05032414号 京公网安备110108003435号