入侵侦测强化企业信息安全(转)（信息安全纵深防御）

入侵侦测强化企业信息安全(转)（信息安全纵深防御）

入侵侦测强化企业信息安全(转)[@more@]

对抗信息系统攻击的最佳防御是整合工具与安全政策，它可以提高有关攻击信息的精确度，并提供实时的信息以有效响应攻击。

安全需求

网络是由各种形态的软硬件所组成，而使用者对于这些软硬件又有着不同的存取需求。为有效防护信息系统，必须有一个考量这些多样化网络组件及其相关安全议题的安全模型。以下是一个基本安全模型的概要：

?1.使用者政策

?2.防火墙

?3.入侵侦测系统

?4.路由器安全

?5.主机系统安全

?6.稽核

?7.紧急应变计划

以下我们将讨论企业会面临的一些问题，特别是在企业信息基础架构内部属入侵侦测系统会被讨论到的议题。

防火墙：必要，但非牢不可破的解决方案

防火墙是企业网络的第一道防线，但绝不应该被视为是可以解决网络安全问题的“法宝”。没有任何一个单一产品可以被视为法宝。当在网络边界与整个基础架构部署防火墙时，它们能提供基本的安全保护。几乎所有重视其业务运作的企业都已经投资且建置防火墙技术。但即使已经建置了防火墙，仍有90%的财星500大企业侦测到安全缺口。问题在于，所有的防火墙都是曝露在外，会遭到外部的攻击或被以各种方式避开。例如，骇客可以刺探运用防火墙的错误设定，透过交换机的拨号联机以避开防火墙，在特定服务上发动拒绝服务攻击(DoS)；使用特洛依木马程序及穿燧技术，甚至发动缓冲区溢位攻击以获得防火墙的rootaccess。因为70%以上的网络信息安全事故来自于内部的攻击，所以企业也必须在重要网络资产内建置防火墙，以降低入侵的相关风险。然而，内部的攻击者仍可再一次地避开或刺探这些防火墙。

防火墙被视为网络的守门员，但是它们能提供的防护却十分有限。它们最大的问题在于，防火墙无法检查通过的封包内容。要检查封包的内容，企业必须在安全部署中加入入侵侦测的机制。入侵侦测系统可以协助在早期阶段辨识攻击，提供企业组织快速的信息安全事端分析与更多的响应时间，并部署防御机制以防范进一步的攻击事件。

提升企业信息安全防御等级入侵侦测系统

若信息安全资产对于某些企业来说具有关系到企业存活的地位时，部署入侵侦测系统就成为非常必要的企业信息安全防护措施。入侵侦测系统可补强防火墙技术的不足。在防火墙内外部署有IDS的侦测器可以协助判断防火墙是否适当地设定与运作。IDS也可以辨识防火墙无法察觉的网络攻击。入侵侦测系统协助企业化被动为主动，能够有效降低网络安全的风险。

入侵侦测系统分为以下四种类型：

?传统网络型入侵侦测系统(NIDS)

?传统主机型入侵侦测系统(HIDS)

?混合型入侵侦测系统(HybridIDS)

?诱捕系统(Deceptionsystems)

传统网络型入侵侦测系统(NIDS)

使用不区分模式的网络卡，以检视每一个经过的网络封包。典型的网络型IDS是由一个或多个侦测器以及可收集并分析来自侦测器资料的主控台所组成。网络型IDS的部署比主机型IDS来得简单且更易于管理，但某些网络型IDS在安装后会因为无法处理大量的网络通讯，而遗漏攻击事件，，且它们会因为误报而产生大量无法管理的警示；使得真正的攻击难以被辨识出来。误报是指在实际上没有攻击行为发生时，因为合法活动所产生的警示。如果一个企业一再地被误报所打击，企业就会开始忽视他们的警示系统及其所收集的资料，使得这个系统变得没有用。误报对大多数的企业来说都是一个持续的挑战。

传统主机型入侵侦测系统(HIDS)

监视主机内部的程序并监控记录文件与可疑活动的资料。某些主机型的IDS是独立运作的。而在其它系统中，每一个主机型的IDS会回报到负责集中评估与响应机制的主系统，这对大型企业的部署来说非常有帮助。因为对大多数的主机型解决方案来说，有限的平台支持与涵盖范围会使得这个解决方案变得难以管理，且它们会因为缺乏封包检测的能力使系统门户大开而遭受网络攻击。

混合型入侵侦测系统

结合主机型与网络型技术。混合型的IDS以系统为基础，并可识别流向或来自该单一主机网络封包上的攻击。混合型的系统不像网络型IDS，它不会检查每一个经过的封包，所以它减缓了某些因为流量分析而造成的效能降低问题。混合式的IDSes藉由监控系统的事件、资料、目录及登录文件中的攻击行为，以提供更多的防护。平台的限制与部署问题仍是一个争议，且它们在传统上会耗费相当的系统资源，但是较之于网络型的IDS，它们较不易发生误报的情形。

诱捕系统(Deceptionsystem)或"honeypot"

是一般的常见的说法，为网络基础架构提供额外层级的防护。诱捕系统通常比其它侦测系统更有价值，因为它可以减少误报与安全假象，诱捕系统可被视为「设定后放置」("setandforget")的IDS，侦测器可由单一系统或多个网络装置组成，其唯一目的是捕获未经授权的活动。此意指任何进出诱捕系统的封包会自然而然地被认为是可疑的，这简化了资料的记录与分析程序，并可提供关于攻击者动机的实用信息。

一般对诱捕系统有一个错误的观念，那就是因为它们会将骇客引诱进来，因此其所收集的证据可能无法用以起诉骇客。事实是，诱捕系统不是主动式的诱捕器(lures)而且它们不容易被发现。骇客只能透过执行用来入侵网络的探测工具来找到诱捕系统。