| 出版日期:2004-03-22 总期号:1298 本年期号:19 |
|
 |
集成的入侵管理系统带来整体安全防护
整合是硬道理 王竞功 伴随信息技术和网络应用的不断延伸和发展,快速、便捷的互联网已经成为政府、企业与个人信息传递和业务交流的主要平台。但是,通过这个平台与信息一同传递过来的还有很多恶意的网络威胁,这些威胁随时会引发攻击,导致数据信息大量损坏、丢失,甚至造成网络瘫痪。即使抛开巨大的经济上的损失不计,仅是恢复系统消耗的时间就是一种严重的资源浪费了。为了对抗这些威胁,防病毒、防火墙等安全技术随之产生,并不断发展,可是,网络并没有因此而平静。人们不禁要问,安全防护体系中究竟哪一环节出了问题?真正的安全何时能到来呢? 安全体系中的重要环节—入侵检测系统 面对日益复杂的网络环境,人们逐渐认识到,传统单点的安全技术已经难以胜任网络安全的需要。目前的网络攻击呈现出多元化、复杂化、智能化的特点,因此,防火墙在这些攻击面前渐渐暴露出弱点:首先,由于传统的防火墙功能相对单一,所以,某些攻击就可能成功地绕过防火墙;其次,防火墙不能阻止来自内部的袭击,而通过调查显示,近半数的攻击都将来自于内部,这个巨大的缺口使得防火墙形同虚设;再者,由于技术的原因,防火墙通常不能提供实时的入侵检测技术,而入侵检测技术对于现在层出不穷的攻击技术来说是至关重要的。由于传统防火墙在网络安全防护方面暴露出这些弱点,所以,需要在安全体系中加入一种全新的动态的安全技术手段,为系统提供积极的防御。 IDS作为一种积极主动的安全防护技术,对防范网络恶意攻击和误操作提供了主动的实时保护,它可在网络系统受到危害之前拦截和响应入侵。所以,IDS系统被认为是防火墙之后的第二道安全闸门,它通过从计算机网络系统中收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。当前的IDS系统可以分为基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)两种基本方式。简单地讲,前者主要对主机的网络实时连接以及系统审计日志进行智能分析和判断,在宿主系统审计日志文件中寻找攻击特征,然后,给出统计分析报告;后者在网络通信中寻找符合网络入侵模板的数据包,并立即做出相应反应。 入侵检测系统需要突破技术瓶颈 IDS作为网络安全体系中重要的一环,已经在应用中体现了它的重要性。但是,作为一个相对较新的技术,它还处于发展阶段,因此,会存在一些不足,需要不断地完善。 ● IDS的速度瓶颈 网络安全设备的处理速度,一直是影响网络性能的一大瓶颈。在IDS中,截获网络的每一个数据包,并分析匹配其中是否具有某种攻击的特征,需要花费大量的时间和系统资源,目前的IDS通常以旁路方式接入网络,如果其检测速度跟不上网络数据的传输速度,那么,检测系统就会漏掉其中的部分数据包,从而导致漏报而影响系统的准确性和有效性。随着交换式百兆、甚至千兆网络的大量应用,IDS技术发展的速度如何能跟上网络速度的发展是IDS技术上的重大挑战,同时,对于加密数据包的处理也一直是NIDS面临的一个问题。 ● 高漏报和误报率。 高漏报和误报率一直是NIDS的软肋,由于目前的IDS检测系统的分析能力有限,采取地也多是单一的入侵检测分析方法,所以,在处理过程中会产生误报、错报不可避免。但是,对于企业来说,如果存在大量的误报就会使得安全管理人员应接不暇,以致无法处理正确的报警,而漏报会造成的严重损失就更不用细说了。于是,如何有效地降低误报和漏报成为IDS继续发展的前提。 ● 缺乏主动防御能力 检测是一种被动的行为,既然IDS能够第一时间发现入侵,那为什么不采取相应的措施进行阻止呢?这就是入侵检测系统面临的新的市场需求,一个理想的安全防护产品必须引入主动的入侵防御能力,在敌人入侵前就将其击退或消灭。 于是,入侵防御系统(IPS)开始发展起来。以IDS技术为基础的IPS虽然在一定程度上解决了防御的问题,但是,它只能串联在网络上,而且它的防御功能首先要以IDS的高识别率为前提,否则,IPS可能错误阻断正常的数据包,或者放过真正的攻击,这些都会给企业带来更大的损失。所以,IPS是否就是入侵检测发展的最终方向?IPS是否能真正带来安全? 入侵管理系统(IMS)带来整体安全防护 是否要因为存在的一些不足就怀疑一项技术,甚至否定它呢?任何技术都需要一个发展成熟的过程,一款好的入侵检测产品,能够确实降低网络安全风险,使企业更为妥善地利用资源,节省成本并提高效率,以确保企业的网络安全体系能达到更高水平。所以说,作为安全体系中的重要环节,入侵检测技术是要持续发展的,是要通过一定的技术手段发扬优势,弥补缺陷的。信息安全已经不再局限于某一环节上了,现今的安全已经发展成一个动态的、立体的、全面的体系,是一个完整的过程,所以,技术上的不断融合和集成是未来信息安全产品发展的主流趋势。入侵检测系统也同样如此,伴随技术的不断提升,集成多种功能的入侵管理系统必将占领这个舞台。 入侵管理系统(IMS)能够实现对入侵攻击的全面管理,具备有效检测、主动防御、易于管理、节约成本等特点。通过与先进的技术集成,能够使现有的入侵检测系统的管理体系、检测能力、关联分析和响应能力显著提升,从而带来立体纵深、多层次的安全防护。 ● 实时事件关联和分析功能 由于检测系统会收集到来自防火墙、网关等多方面的事件,而且事件的数量巨大,所以,只有实时事件关联和分析功能才能有效保证短时间内的快速响应。它利用最新的关联和分析引擎来过滤错误数据,只提取相关信息,能够感知威胁,同时,不会发生数据过载。实时事件集中、关联和分析可通过跨节点的分析来收集整个网络的信息,确定威胁趋势,在威胁事件发生时快速识别它们。这也是对付新型、大流量攻击的有效措施之一,并且能大幅度降低误报和错报率。 ● 快速响应,阻断威胁 通过评估前后相关事件,快速有效地作出响应。将响应机制引入系统,能够提高系统的防御能力,通过基于频率的策略和根据攻击者活动来关闭系统的能力,采取终止会话、通信记录与回放、流量导出与查询等措施,以协助进行深入分析,围堵并控制攻击。像赛门铁克公司的Symantec ManHunt就是一款具有最新入侵检测技术,又能够积极主动防御的防护产品。它能够提供关联与分析功能,并且能够处理高达每秒2千兆的网络流量。 ● 管理功能 防病毒、防火墙、入侵监测、身份管理、认证等安全产品都会产生大量的日志数据,如果没有及时分析和整理,将导致整个信息安全响应速度的下降并给企业带来安全隐患和威胁。安全信息管理将很好地解决大量安全信息混淆不清、处理不力的问题。融合了安全信息管理,就能很好地解决安全信息的收集、标准化、过滤和简化,将数据转化成智能的、可采取行动的信息,并且可针对安全威胁提供增加的优先级排序、识别、抑制与清除能力。 良好的管理对安全体系至关重要,只有对所有的网络安全解决方案进行良好的管理,才能真正发挥其效用。为此,赛门铁克推出了业界第一个集成的开放性安全管理平台——Symantec Enterprise Security Architecture(SESA),它可以管理防火墙、防病毒、网关解决方案等安全产品,同时,可以收集、分析、关联来自第三方的安全产品产生的安全事件。而Symantec Host IDS就是一款集成SESA的入侵防护产品,能够帮助用户有效地控制威胁,了解安全状态,充分利用系统资源,从而确保系统安全。 |
||||||||||||||||||||||||||
