入侵检测系统(IDS)的选择,部署和维护工作是基于需求和公司现有的基础设施。一个产品可能会很好的为一家公司工作却不适合另一家。选择通常是最难做的决定,由于产品必须满足业务需求,预定的网络基础设施功能正常,并目前由人为支持。
大多数入侵检测系统的行业标准都支持基于网络的和基于主机的入侵检测系统。基于网络的入侵检测系统通过监测网络特定部分的所有可能包含恶意流量或有误意图的流量来对网络提供保护。基于网络的入侵检测系统的唯一功能是监测该网络流量。基于主机的入侵检测系统是部署在那些具有基函数的设备上,例如Web 服务器 ,数据库服务器和其他主机设备。基于主机的入侵检测系统提供如用户认证,文件修改/删除和其他基于主机的信息,因此,将其划定为网络中设备的第二级保护。
起初行业标准的入侵检测系统部署规定使用基于网络的入侵检测系统,然后是基于主机的入侵检测系统。这确保网络、主机设备得到了保护。任何公司的核心基础都是网络基础设施,然后是这些网络中的设备。入侵检测系统应该按照相同的方式部署。
在三等级方法中基于主机的入侵检测系统应该是作为第二级任务部署的,在基于网络的入侵检测系统之后。一级部署包括网络中位于关键主机设备的外部参数。这些设备包括关键Web,邮件和其它位于DMZ或企业外部网的设备。第二级由大多数DMZ设备中其他非关键DMZ设备组成。最后,第三级会包括位于非军事区中受保护私有网络的所有其他设备,它们是关键的或者包含诸如客户,金融和数据库的机密数据。如上所述,独立的设备组成了网络,并应受到保护,但是只有在第一次网络安全。
基于网络入侵检测系统的建议
基于网络的入侵检测系统应部署在外部DMZ部分,然后才是DMZ部分。这将允许监控所有的外部和DMZ的恶意活动。所有的外部网络部分都应该予以监控,包括入站和出站流量。这将确保连接到外部恶意网络的所有设备都受到了监控和检查。这些建议都是业界用来跟踪外部网,内部网和DMZ环境下恶意活动的标准。对于所有入境点使用基于网络的入侵检测系统的额外保护需要首先确保是针对公司资源的所有恶意企图,不仅是众所周知的网络连接,还包括所有已知的外部链接。
策略和工具推荐
对于入侵检测系统部署的额外建议应该包括事故应急手册,程序和工具的开发。由于入侵检测系统的工作像防盗报警,因此报警声后的人为干预是必要的。拥有和使用好的事故应急技术可以加强从入侵检测系统收集到的数据的价值,以便进一步的检查。针对事件调查的软件工具也应该推行,以确保这些工具可以用来研究,评估和报告结果。如果在任何时候因为恶意活动,公司被迫采取合法行动,这些工具将会伴随着政策和标准的建立而被用来提供证据。如果没有工具或者政策,该公司可能无法采取合法行动或者制止肇事者。
产品部署
基于网络的入侵检测系统应该立即部署在外部Internet网络部分,然后是DMZ部分。基于主机的入侵检测系统应该部署在DMZ的所有关键主机设备。最后,任何其他主要的主机设备也应该拥有一个基于主机的入侵检测系统应用,以确保这些系统同样也受到保护。
入侵检测系统的项目任务
虽然下面列出的项目任务具备一般性,但是通常对于入侵检测系统的部署有一定的行业标准。
开发管理系统:这应该意味着选择和基于网络的、基于主机的设备部署的数量,管理控制台的场所,以及整体基础设施。
开发记录系统:由于一个入侵检测系统可以产生大量的数据,应该配备记录系统以允许大量的数据收集,备份和恢复程序,以及存储设备。在这一阶段,硬件和软件可能都需要被关注。
制定审计策略:这个紧接着之前的两个阶段,因为在这一点上,传感器和记录程序的数量应该被选择。一个IDS如果没有IDS记录的审计策略就相当于完全没有IDS。日志中的关键事件要每日检查,其他内容每周检查一次。严重的级别应该制定跟踪并处理所有事件。这些级别上的行动将包括完成工作的详细描述,人们在调用和收集数据的记录,以防真正的恶意活动或者对于关键系统的入侵。
基于网络的IDS部署:这项工作应该尽快开始以收集数据。同样,基于网络的IDS应该作为行业和建议标准的首个任务被部署。这种方法应该分三个层次,首先是安全参数的最远延伸,然后是DMZ和其他设备。
基于主机的IDS部署:作为一个行业标准,基于主机的IDS部署应该在基于网络的IDS部署之后。这实际上可与基于网络的同时完成,但重点还是应该首先放在基于网络的IDS部署。
完善IDS政策:这一步应该在整个IDS部署过程之后完成。根据业务需要或者威胁而变更政策,因此这是一个项目中不断变化的部分。
完善书面标准:正因为与其他系统相关联,所以这里必须有适当的公司标准以确保符合整体标准。IDS标准应该在项目开始之前开始,并一直持续到完成。这些标准应该包括配置、政策使用、记录、审计和报告。
IDS以外的项目任务
众所周知,一个有效的入侵检测系统必须包括除了硬件和软件以外的支持。对于事件响应必须制定书面程序,防止在一段时间内如果有针对公司系统的有效恶意尝试。以下是除了IDS以外的推荐步骤。
事件响应:必须制定一个事件响应的过程以确保一旦针对公司系统的恶意企图发生时,有一个可参照的标准。这包括书面程序,实际下一步所做的,调用什么,何时调用,如何调用以及通知链。IDS要像系统背后的事件响应一样良好。当警报响起,假如有重要信息的损失,该公司需要设立一个全面的测试应变程序,以确保没有任何损失,或者记录。一个很好的事件响应程序将会确保数据的完整性,并确保其在检查中有完好的历史证据链。
法医工具包(Forensic toolkits):一旦事故发生时,许多产品都能够完成对数据的审核。这些工具应该加以研究来满足公司的要求并对现场工作人员进行使用的培训。
Gramm-Leach-Bliley 法案
第501和505(b) 规定了针对所有银行的指导方针,建立保护客户信息安全的标准。如果你的公司不是一个金融机构,你仍应该考虑下列标准信息安全实践中的通用性建议。
扫描和漏洞检测:扫描和漏洞检测应该由第三方来完成,以确保IDS和其他安全措施的执行情况。
政策审查:信息安全政策必须经常维护和审查,以确保准确性和与联邦标准的一致性。
防火墙和路由器审查:防火墙和路由器审查应该至少在每季度完成,以确保配置实用的准确和完整。
【编辑推荐】
如何提高服务器的防御性?
攻击通常来自两部分,外网和内网
外网可以通过完善网络安全体系来加强对攻击的抵御能力,如硬件防火墙,入侵检测系统,划分VLAN,完善访问控制列表等手段
内网只能通过完善的管理手段以达到减少病毒广播的的机会,如使用目录服务等
服务器本身不能用于上网,要有自动更新的防病毒软件,安装好各种系统的必要补丁,良好的权限与端口管理,即使不安装防火墙软件,也不会有什么问题的
UTM,IDS和防火墙,三者的区别,各有什么优缺点,都用于什么场合?
UTM:根据IDC的定义,UTM是指能够提供广泛的网络保护的设备,它在一个单一的硬件平台下提供了以下的一些技术特征:防火墙、防病毒、入侵检测和防护功能。 IDC的行业分析师们注意到,针对快速增长的混合型攻击(基于互联网的病毒已经开始在应用层发起攻击),需要一种灵活的、整合各种功能的UTM设备来防止这种攻击的快速蔓延。 IDS:IDS是Intrusion Detection System的缩写,即入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。 无须网络流量流经它便可以工作。 IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。 防火墙:一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。 换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。 具有这样功能的硬件或软件,就是防火墙第一个是技术系统,第二三两个是可以是系统的组成,也可以单毒存在.应用场合:UTM只有大企业才会使用,IDS信息产业相关的中小型企业使用,防火墙几乎每个都会人用.组成属性来分,UTM包括IDS和防火墙等.在网络中,IDS位于防火墙之前.防火墙一般设置在网关,必要时过滤双向数据.
手机病毒来原是什么样的多
预防手机病毒几招:1.接收蓝牙传送文件要特别谨慎,以免收到病毒文件。 2.不慎中毒暂时关闭手机上的蓝牙接收功能,以免继续搜寻感染目标。 3.收到来路不明的短信,不要打开直接删除。 4.对于来路不明的手机程序不要任意安装。 5.下载手机铃声、手机游戏,请至合法官方网站。 6.若不慎中毒请立即删除病毒应用程序,并重新安装受感染的应用程序。 7.安装手机防毒软件。
发表评论