目前企业和政府信息资产被窃的损失,比任何其它型态的计算机系统入侵所造成的损失都要严重。计算机病毒仍是黑客入侵系统最常用的手法,计算机犯罪已不再神秘,已经成为稀松平常的事情。
一般来说,企业或个人用户在进行安全投资时首先考虑的是防病毒、防火墙,至于是在Internet入口处还是内网进行隔离,会进一步考虑。不过,一定会是在第二期或第三期工程才考虑上IDS、身份识别、灾难恢复等等。他们认为既然有了防火墙和防病毒两个安全屏障,安全的问题就不再迫在眉睫了。
IDS对于大多数企业来讲,仍然属于有备无患、锦上添花的概念。东软的王虎先生认为IDS产品的发展阶段仍然处于概念的炒作和广大用户规模应用之间的过度阶段。
IDS往往被作为第三层防护设施。
不过,有一点请牢记:统计表明入侵行为有80%来自内部。安全专家也提醒大家,80%的安全隐患在内部。
资料表明,过去一年中我国因数据失窃造成的损失总金额为1.71亿元;因诈欺造成的损失为1.16亿元;公司内部人员通过内部进行网络犯罪造成的损失为5000万元。平均每一个企业或组织因欺诈所造成的最高损失为460万元。计算机病毒入侵的比率虽从去年的94%下降到了今年的85%,但是在损失方面却从4530万元上升到了4990万元。
这说明仅仅靠安装设置网络安全防护产品无法杜绝恶意侵入行为。
而IDS(入侵检测系统)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源等不良行为的系统。入侵检测系统是近年出现的新型网络安全技术,其目的是提供实时的入侵检测及采取相应的防护手段。它能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统,例如防火墙。识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统移植。
在网络安全领域,随着黑客应用技术的不断“傻瓜化”,入侵检测系统——IDS的地位正在逐渐增加。一个网络中,只有有效实施了IDS,才能敏锐地察觉攻击者的侵犯行为,才能防患于未然!
许多网络安全产品公司的核心产品都是防火墙,安全是总体的概念,只有一种单一产品是不全面的,IDS正是防火墙的有力补充和有效的检测手段。它们两者关注的是不同的安全层面。网络管理员要真正体现其安全意识的时候,可能在防火墙上、在网关处、在可信网络和不可信网络之间。然而IDS为什么还停留在这个阶段呢?需求拉动市场。由于市场容量有限,生产的厂家也只是寥寥几家。需求刺激不够导致市场容量有限。同时,IDS产品商品化时间短,技术不够成熟也是事实。90年代以后才推出的防火墙产品,其技术大规模应用促进了产品发展。而IDS的技术仍然停留在技术论文、数学模型的讨论上,商品化后又不能特别满足用户需求,用户也认为产品不成熟。防火墙在攻击发生的事前和事中作为,而IDS关注的攻击100%在事发后。
IDS很重要的一点是信息的审计功能。很多金融和证券、电信公司使用IDS产品。银行或电信使用国外著名IDS产品,这并不能预防攻击发生。但是如果谁拿走了数据,IDS会留下客观证据。
假如你们公司的网络安全由你来负责,你部署的安全防护阵线和防护策略应该包括:防火墙、防病毒和入侵检测系统。在服务器上运行入侵防御软件,同时基于入侵检测的系统主机监视后台。然后就可以可以检查系统日志,监视关键文档,给关键数据加密……胜利完成了这一切,就可以自动运行弱点扫描系统来帮助网络管理员不断地堵住这些漏洞。
可惜,美梦很快就变成了梦魇,数据的洪水冲过来了。数以百计的日志,成千上万的攻击警告、IDS警报,成百万的可疑事件。你要面对完全崭新的一系列问题:根本原因是不知道应该从哪里下手?
许多公司接受了他们消化不了的安全技术。事实上,从2000年到2001年,美国的入侵检测和弱点评估硬件、软件的市场销路增长超过了90%,到达了五亿三千九百万美元。中国的状况在时间上比美国有一定的延迟,而趋势大体一致。
而企业一般很少配备调查每次可疑事件的资源。相反,他们必须使用已有的工具鉴别和定位。安全管理人员被迫首先处理影响面最大的问题,而与此同时,最具危险的信息往往会被掩埋在数据的海洋里了。
对于安全人员来说,“应该关注哪里”是一个非常重要的问题。以前是否看到过这个攻击者的IP?在那里曾经看到过?以前看到过它几次?某些智能网络安全管理产品,甚至可以让操作者给系统价值分等级,让对系统产生更高危险的事件时产生高度的视觉冲击力。
那么入侵者如何进入系统?
目前主要有三种方式:
1、物理入侵是指入侵者以物理方式访问一个机器进行破坏活动,例如趁人不备溜进机房重地赶紧敲打两下键盘试图闯入操作系统、拿着钳子改锥卸掉机器外壳“借”走硬盘装在另一台机器上进行深入研究。
2、系统入侵指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。通常,如果系统没有及时“打”最近的补丁程序,那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理特权。
3、远程入侵指入侵者通过网络渗透到一个系统中。这种情况下,入侵者通常不具备任何特殊权限,他们要通过漏洞扫描或端口扫描等技术发现攻击目标,再利用相关技术执行破坏活动。 IDS主要针对的就是这种入侵。
苍蝇不盯无缝的蛋,入侵者只要找到复杂的计算机网络中的一个缝,就能轻而易举地闯入系统。所以,了解这些缝都有可能在哪里,对于修补它们至关重要。通常,裂缝主要表现在软件编写存在bug、系统配置不当、口令失窃、明文通讯信息被监听以及初始设计存在缺陷等方面。
赛迪评测将在近期组织一次IDS产品的评测。副总裁高国栋先生说:IDS入侵的各种方式有上千种,如果每种手段都进行测试还是有一定困难的。把最常用的1000种攻击方式以及罕见的攻击根据应用的频度分布分为三类。目前网络速度越来快,攻击速度也响应加快。因此测试也要要考虑到高强度攻击对IDS的影响。
IDS的关键技术之一联动阻截已经不再是单一的阻截而是立体防护。关于这一点,中科网威的谭曙光先生是这么说的。从技术的层面来看,联动有两种方式:一是与防火墙的紧密结合。IDS的分析数据也来自防火墙的数据流。由于结合在一起是一个庞大的系统,目前的技术实现起来有一定的困难。另外一种是松散的结合,IDS和防火墙之间的一些协议进行互动。IDS的漏报和误报很高,给联动造成威胁。在IDS和防火墙的认证加密和防止伪证。现在中科网威自己开放了一个和防火墙互动的接口,有可信任主机的列表。防止恶意用户的攻击。和路由器的连动主要是控制访问列表。如果漏报率和误报率的问题不能很好解决的话,联动技术的实用性还是不很高,但是肯定是发展的趋势之一。随着产品的成熟,在IDS产品中应用会越来越多。
安氏的华纪刚先生认为IDS产品是防火墙的辅助工具。防病毒、防火墙、IDS加密,组成一个比较全面的安全架构。IDS在这个系统中被定义为威胁的管理和漏洞的管理。
多数计算机犯罪都来自企业或组织内部人员的看法也许有误,因为还是有40%的系统入侵案是由外来者所为,比例仅略低于由未经授权的内部员工所造成的攻击事件。以可能的攻击来源来分,82%为“独立的黑客”,75%为心怀不满的员工。许多员工越权使用网络下载不健康的内容或盗版软件,及不当使用电子邮件。
这些都说明,企业应随时更新并升级其信息安全防护系统,并考虑和其它企业或政府团体一起加入企业信息共享的Infragard网络系统,购买企业电子险,及设立安全主管专门负责这方面的问题。
在网络安全领域,往往其进步是同一些具有标志性概念的提出联系在一起的,赛门铁克提出的“分层安全防护”就是这样一个概念。它提出了这样一种思路:结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得多的综合保护屏障。分层的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们的攻击频度。分层的安全防护技术具体来说包括攻击检测、攻击防范、攻击后的恢复三个大方向,其中每一个方向有一个代表性的产品:入侵检测系统负责进行攻击检测,防火墙和强制访问控制系统负责攻击防范,攻击后的恢复则由自动恢复系统来解决。
防火墙:由于入侵检测系统有漏洞存在,防火墙就成为多层安全防护中必要的一层。一个防火墙为了提供稳定可靠的安全性,必须跟踪流经它的所有通信信息。为了达到控制目的,防火墙首先必须获得所有通信层和其它应用的信息,然后存储这些信息,还要能够重新获得以及控制这些信息。防火墙仅检查独立的信息包是不够的,因为状态信息是控制新的通信连接的最基本的因素。对于某一通信连接,通信状态(以前的通信信息)和应用状态(其他的应用信息)是对该连接做控制决定的关键因素。因此,为了保证高层的安全,防火墙必须能够访问、分析和利用通信信息、通信状态、应用状态,并做信息处理(基于以上所有元素的灵活的表达式的估算)。
安全漏洞评估系统: 安全漏洞评估系统是一个漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。一个出色的安全评估系统不仅能够检测和报告漏洞,而且还可以发现漏洞发生在什么地方以及发生的原因。它在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞;还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。这就使得风险分析更加精确,并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。最新的漏洞评估系统还采用了独特的“路径分析技术”,用以发现漏洞的根本原因。通过分析漏洞的根本原因,任何重复的漏洞、模式或异常的现象很容易被确定到是否是重要问题,或被确定到网络中的系统并且迅速被排除。
防病毒软件: 防病毒软件的应用也是多层安全防护的一项必要措施。它是专门为防止已知和未知的病毒感染你的信息系统而设计的。它的针对性很强,但是需要不断更新,而且存在一定的片面性。
让我们看看多层防护策略是如何发挥作用的。即使网络中的入侵检测系统失效,防火墙、安全漏洞评估和防病毒软件还会起作用。配置合理的防火墙能够在入侵检测系统发现之前阻止最普通的攻击。安全漏洞评估能够发现漏洞并帮助清除这些漏洞。如果一个系统没有安全漏洞,即使一个攻击没有被发现,那么这样的攻击也不会成功。即使入侵检测系统没有发现已知病毒,防火墙没能够阻止病毒,安全漏洞检测没有清除病毒传播途径,防病毒软件同样能够侦测这些病毒。所以,在使用了多层安全防护措施以后,企图入侵你的公司的信息系统的黑客要付出数倍的代价才有可能达到入侵目的。这时,你的信息系统的安全系数得到了大大的提升。
网络安全的多层防护并不是一个空洞的概念和设想,而是当今领先的专业厂商正在提供的网络安全系列产品和全面解决方案。在这方面,积极倡导并大力实践多层次防护的赛门铁克公司正在这样做。赛门铁克企业安全系列结合了三种技术,包括防毒、过滤解决方案与入侵防护,在收购了Axent之后,更扩展了关于这三方面各项解决方案。在每一领域中,赛门铁克均不断开发出可以支持主要作业平台(如Linux、Unix、Windows NT、Windows 2000、Windows Me等)的各项技术,并在网络上部署多层防护,从防火墙、网络或电子邮件网关口,到服务器或工作站。赛门铁克在完成了AXENT收购案后,还开发并推出了内容过滤、电子邮件扫描与入侵防护等应用于多层防护的一系列新技术、新产品。此外,赛门铁克企业安全系列还添加了与IBM合作开发完成的数字免疫系统(DIS),并正积极建立全球性的专业服务与安全咨询业务。所有这些,并结合赛门铁克著名的管理工具,包括远程遥控方案(pcAnywhere)、存储方案克隆精灵(Ghost)与中央控管中心(System Center),使得赛门铁克能够为企业提供网络安全多层次保护的有效策略和完整方案。
100%的安全性是不可能达到的;如果你拥有多层安全防护系统,那么,黑客渗透进来的成本就更高,他们就需要更多的资源,而这些都是大多数潜在的黑客做不到的。多层安全防护系统使得入侵者更可能放弃对你系统的攻击。
防止网络入侵
内外都要抓
在IT业不景气、大批员工被裁时,内部安全问题就更加棘手。因为被遣员工的权限并没有很明确的纪录下来,比如说MIS人员可能删除了离职员工的主要网络登录权限,但人事部门却可能无法及时删掉该员工的电子邮件帐号。另外,许多大企业中的系统都还仍有一些旧员工的某些权限未被消除,若员工还有远端登录的权限,甚至特别的VPN权限,这些离职员工就有机可乘了。
一般来说,内部入侵事件主要可分成4个来源:内部员工、离职员工、网络设备承包商、供应链中的上下游厂商。在了解了内部安全的严重性及可能的入侵攻击来源后,企业要面对的就是如何解决这个关于“人”的棘手问题,尤其是我们国内,大部分人都会认为自己员工有“忠诚”的观念,因此往往在权限定义上模糊不清,这固然有“人情味”,但也让公司员工可以使用重要的信息资产,这就留下了很大的安全隐患。
所以企业除应加强对员工的管理和辅导外,要全面落实信息安全,就要同时从机制与观念着手。一方面在内部网络的重要节点及重要服务器上部署入侵侦测系统,一方面应订立一套明确的“信息安全政策”,以做为保障信息安全的指标。目前很多公司都设有网络及信息安全方面的政策,但绝大部分安全政策尚不够周全。其实,一个好的企业信息安全政策,应该包括责任归属、网络服务政策、系统使用政策、实体设备使用政策、紧急回应政策及教育培训等,这样才算完备。
当然公司也有一些不太重要的服务器或主机,也常是内部员工容易好奇窥探的,高级主管的桌上PC就是一例。员工考评、重要合约等机密内容常会因为对这些电脑的安全疏忽而外泄。因此安装个人电脑的入侵侦测系统也成了重要环节。
文章转载地址:http://www.365master.com/kt_article_show.php?article_id=1574&categ_code=10041003
