如何应对计算机网络应用中的这种矛盾状况,合理地应用与部署IDS(入侵检测系统)和IPS(入侵防御系统)将有效抵御在计算机网络使用中遇到的安全威胁。
一、IDS的应用
IDS是对入侵行为的发觉。IDS通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。与其他安全产品不同的是,IDS需要更多的智能,它必须做到将获得的数据进行分析,并得出有用的结果。
IDS是防火墙的合理补充,帮助系统应对网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响计算机网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
一个成功的IDS不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能为网络安全策略的制定提供指南。更为重要的是,其管理和配置操作简单,从而使非专业人员可容易地获得网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。IDS在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。
二、IPS的应用
IPS关注的是对入侵行为的控制。IPS串联于通信线路中,既具有IDS的检测功能,又能够实时中止网络入侵行为的新型安全技术设备。当用户明确信息系统安全建设方案和策略之后,可以在IPS中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同,IPS可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断。这是防火墙所做不到的,当然也是入侵检测产品所做不到的。
从产品应用角度来讲,为了达到可以全面检测网络安全状况的目的,IDS要部署在网络内部的中心点,要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。为了实现对外部攻击的防御,IPS需要部署在网络的边界。这样所有来自外部的数据必须串行通过IPS,IPS即可实时分析网络数据,发现攻击行为立即予以阻断。
三、IDS与IPS的联合部署
IDS和IPS是两类不同的系统。IDS的核心价值在于通过对应用网络信息的分析,了解信息系统的安全状况,以建立安全的计算机网络应用系统为目标,提供安全的防护策略。IDS需要部署在网络内部,监控范围必须覆盖整个应用网络,包括来自外部的数据以及内部终端之间传输的数据。IPS的核心价值在于安全策略的实施,即对非法业务行为的阻击。IPS必须部署在网络边界,抵御来自外部的入侵,而对内部的非法业务行为无能为力。IPS位于防火墙和网络设备之间,如果检测到攻击,IPS会在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信。相比之下,IDS只是存在于网络之外起到报警的作用,而不是在网络前面起到防御的作用。
为了做到计算机应用系统安全稳定地运行,我们可以把IDS与IPS有效结合起来,合理配置,为用户提供更加全面的安全解决方案。利用IPS实现对外部攻击的防御,利用IDS可以提供针对企业信息资源全面的审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等都有很重要的作用。结合IPS、IDS与防火墙的综合部署,入侵防御可用性解决方案如图1所示。
图1 IPS、IDS与防火墙综合部署结构
机制,保护防火墙和核心交换机等网络设备免遭入侵和攻击;信息中心和业务服务器的子交换机前端分别部署IPS,可以有效地阻断来自内部和外部对于公共访问和关键业务服务器群的攻击;在各子网的分交换机端口部署分布式IDS的网络引擎,对各子网的通信进行实时监听,发现攻击或者误操作立即报告其中心控制台,向系统管理员发出警报,并且做好时间记录和报告,以便进行事件分析。
通过对IPS、IDS与防火墙的综合部署,我行在总行、分行/省会城市中心支行、地市中心支行三级机构部署了入侵检测引擎,并在总行、分行/省会中心支行两级机构设立安全监控中心。在此基础上,我们正在逐步建立人民银行内联网的大规模安全监测与响应基础设施,建立应急响应机制,形成内联网的纵深防御体系,并能结合内联网网管系统、防病毒系统、防火墙系统和非法拨号监控系统等现有安全防护措施,构建内联网安全基础设施,最终形成信息安全综合保障体系。
网络主干线的IPS和防火墙均采用双机动态热备份部署,确保任何单机故障均不会影响主干网的畅通;将高端IPS串接于路由器与防火墙之间,利用IPS能够快速终结DoS与DDoS、未知的蠕虫、异常应用程序流量攻击所造成的网络断线或阻塞的性能特长,实现网络架构防护机制,保护防火墙和核心交换机等网络设备免遭入侵和攻击;信息中心和业务服务器的子交换机前端分别部署IPS,可以有效地阻断来自内部和外部对于公共访问和关键业务服务器群的攻击;在各子网的分交换机端口部署分布式IDS的网络引擎,对各子网的通信进行实时监听,发现攻击或者误操作立即报告其中心控制台,向系统管理员发出警报,并且做好时间记录和报告,以便进行事件分析。
通过对IPS、IDS与防火墙的综合部署,我行在总行、分行/省会城市中心支行、地市中心支行三级机构部署了入侵检测引擎,并在总行、分行/省会中心支行两级机构设立安全监控中心。在此基础上,我们正在逐步建立人民银行内联网的大规模安全监测与响应基础设施,建立应急响应机制,形成内联网的纵深防御体系,并能结合内联网网管系统、防病毒系统、防火墙系统和非法拨号监控系统等现有安全防护措施,构建内联网安全基础设施,最终形成信息安全综合保障体系。
CIO之家 www.ciozj.com 公众号:imciow