思科安全入侵检测与响应解决方案文档格式.doc
《思科安全入侵检测与响应解决方案文档格式.doc》由会员分享,可在线阅读,更多相关《思科安全入侵检测与响应解决方案文档格式.doc(50页珍藏版)》请在冰豆网上搜索。
2.4 从安全信息管理SIM发展到安全威胁管理STM 14
3 思科安全监控和快速响应解决方案 18
3.1 思科安全监控的手段 18
3.1.1 NetFlow实时监控网络流量 18
3.1.2 思科IDS/IPS监控及网络入侵保护 23
3.2 思科快速响应方案 38
3.2.1 CS-MARS的部署优势 42
3.2.2 CS-MARS防御蠕虫病毒攻击实例 43
4 思科IPS/MARS的技术指标 50
1当前我们面对的主要安全问题
在近日召开的2005中国计算机网络安全应急年会(CNCERT/CC’2005)上,国家计算机网络应急技术处理协调中心(简称CNCERT/CC)发布了“2004年全国网络安全状况调查报告”。
此次调查是在信息产业部互联网应急处理协调办公室的指导下,针对全国16个城市2800多个企业的网络安全状况进行的。
调查显示,在各类网络安全技术使用中,防火墙的使用率最高,占77.8%;
其次为反病毒软件的应用,占到73.4%;
访问控制(25.6%)、加密文件系统(20.1%)和入侵检测系统(15.8%)也是通常使用的网络安全技术。
生物识别技术、虚拟专用网络、数字签名和证书使用率较低,其中被访者中有很多人不清楚这些技术,还需要一段时间才能得到市场的认可。
在金融、制造、电信、财税、政府、教育、交通、其他类8个行业中,各行业被调查单位对防火墙与反病毒软件的使用率最高,其中财税、政府、教育行业以反病毒软件最普遍,其他行业都对防火墙使用最为普遍。
被访单位在2004年所受到的网络攻击类型中最普遍的是病毒、蠕虫或特洛伊木马攻击,占75.3%。
被调查对象认为,引发网络安全事件的原因中最主要的是“利用未打补丁或未受保护的软件漏洞”,占50.3%;
对员工不充分的安全操作和流程的培训及教育占36.3%;
紧随其后的是缺乏全面的网络安全意识教育,占28.7%。
调查数据显示,2004年面临的网络安全威胁最高的是使用自动化网络攻击工具,例如蠕虫或自动传播恶意代码,占67.3%;
其次是有熟练攻击经验的攻击者成功绕过网络安全防护措施,占15.4%;
大量或非常密集网络攻击尝试,占13.8%。
此次调查是一次比较全面、客观、公正的社会调查,调查结果反映了我国当前网络安全的实际情况。
总体而言,我国网络安全管理水平和技术水平较高,网络安全技术和产品,如防火墙、反病毒产品的普及率达到较高水平;
企业对保证信息安全的基础性工作的重视程度比较高;
近70%的被调查单位有专门的组织或机构负责内部的网络与信息安全,显示出各单位将网络与信息安全作为自身安全的组成部分的认识有所提高,也反映了近年来国家层面对网络与信息安全提出的要求已逐步得到贯彻执行。
但是,通过调查也反映出我国企业网络安全方面存在的一些问题,比较突出地反映在网络安全产品使用比较单一,入侵检测系统、身份认证技术、加密技术等普及程度较低,被调查单位内部安全规章不够完善和全面,企业采用网络安全相关标准作为指导的还不多,企业内部网络安全管理人员培训和认证工作仍有待加强等方面。
通过这次调查,反映出蠕虫等自动传播的恶意代码、有经验的黑客、拒绝服务攻击是我国面临的最重要的网络安全威胁。
而加强配置管理、及时获得计算机漏洞信息和网络安全事件信息、保证网络安全技术措施的及时更新等被认为是最需要的。
建立网络安全法律法规、建立网络安全技术监测平台、提高公众网络安全意识被认为是提高网络安全整体水平的最重要的宏观措施。
如何应对现在新的网络安全环境呢?
如何在我们的网络上确保安全,及时地发现问题、跟踪定位和阻止泛滥,是每个网络管理人员所思考的问题。
现在尽管采用了防火墙、虚拟专用网(VPN)、身份验证机制、入侵检测系统(IDS)和其他技术来保障网络安全,但是网络攻击的传播速度可能会大大提高网络的脆弱性。
一个蠕虫或者病毒通常只需要借助一台没有正确使用或者更新的计算机,就可以在几分钟之内感染整个企业的网络。
即使这种攻击不是破坏或者盗窃数据,它们也可能会产生大量的网络流量,严重影响企业开展业务的能力,从而导致网络中断和收入损失。
因此,企业在网络上部署安全设备和应用的目的不再只是控制访问权限和发现可能的问题。
其首要目标已经变成以最佳的方式保持网络的正常运行。
而现实是现有的安全产品通常不能够采取足够快的措施制止攻击和保持网络的稳定性。
这使得企业的安全管理人员很难确定为了购买更多的安全技术而增加预算的必要性。
有很多相关的因素共同导致了这种僵局,例如:
·
用于保护和监控网络的各种安全设备――防火墙、IDS、VPN、身份验证设备等――具有不同的、不一致的报告机制。
各个安全设备没有足够的网络拓扑信息,因而无法及时地提供关于网络攻击的信息。
一个典型企业中的各种安全设备可能会产生大量关于网络中流经的数据的信息,以至于操作人员无法有效地处理这些信息。
综合起来看,我们企业遇到的安全问题主要归结为一下五个方面:
§
对实时安全信息不了解,无法及时发出预警信息
安全设备的管理往往是孤立的安全设备,缺乏整个“网络”的意识
事件发生后,无法确诊网络故障的原因或感染源/攻击源,网络业务恢复时间长
缺乏“经验丰富”的网络安全专家去监控,分析,解决问题;
成本比较高
对某些特定安全事件没有适合的方法,如DDoS攻击,蠕虫病毒等
2企业网络安全技术的现状分析
2.1网络安全出现了哪些的问题?
如今,随着计算机和通讯技术的高速发展,网络的开放性、互连性、共享性程度的扩大,企业越来越依赖信息和网络技术来支持他们在全球市场中的迅速成长和扩大。
但随之而来的威胁也越来越多——黑客攻击、恶意代码、蠕虫病毒……可以说,网络从没有象今天这样脆弱不堪、危机四伏,不知道什么时候灾难就会降临。
在黑客技术发展层面,以及越来越频繁爆发的网络危机来看,黑客们已熟悉了防火墙、IDS等安全部件执行的传统访问控制策略。
他们的攻击方式己不只是针对防火墙等产品的开放端口进行扫描,而是直指应用程序层面,寻找一切可以利用的漏洞。
攻击手段越发复杂隐蔽和立体,如冲击波、震荡波等混合了蠕虫和黑客攻击等多重特性,对网络安全提出了新的挑战。
从另一个角度来看,企业在网络建设初期网络安全并没有很好地规划。
随着网络建设的深入,安全产品不断增加,整体缺乏统一管理,相互间没有沟通交互,信息无法有效整合,是一些信息安全的孤岛。
就象现在人们在关注和谈论的IT孤岛问题一样,各个应用系统之间缺乏有效联系,信息得不到整合,发挥不出其应有的价值。
同样的问题放在网络安全上,这一效应就有可能放大成为风险,给企业IT系统的持续运转埋下隐患。
现在的防病毒软件有自己的管理系统,防火墙有自身管理系统,不同的系统有不同的网络管理软件,所以网络管理人员要保持对不同产品管理系统信息的检查。
其实这些来自不同安全产品的信息之间存在很大的相关性,如果分开独立地看待这些来自单一设备的信息,很有可能会忽略到一些重要的细节或关键因素,致使网络遭受重大打击。
设想,当一个攻击发生时,防病毒、防火墙、IDS产品都发出了自身的报警信息,由于缺乏事件的关联性,一个事件会引起多个或大量的安全信息。
这使网络管理人员无法进行及时处理,往往顾此失彼,手足无措,无法针对事件做出及时响应,迅速地给出一个良好、有效的解决办法。
不同安全产品的管理人员处理问题往往只针对自己产品本身,而没有统一调整整个网络的防御策略,这样往往会错过处理的最佳时机,而无法使企业网络在遭受病毒或攻击的时候,最大限度地减少所遭受的损失。
如果这种状况持续下去,网络安全管理员所看到的永远只是一个相对独立的安全信息,就像是那个盲人摸象的故事。
看问题只是看到了一个角,而没有看到问题的全部,那些细节和隐藏在外表下的真相可能恰恰被忽略,而它们往往是问题的关键所在。
像电信运营商这样拥有庞大的全国性网络、网络中安全产品数量众多的大型企业,这种问题尤为突出。
我们传统的手段都是通过网络设备/安全设备发送Syslog到服务器上,作安全的事后审计。
一个大型的网络,包含若干的网络产品,这些网络设备随时随地都在发送SysLog信息,每天产生的Log信息达到数万之多,任何一个网络管理员很难通过Syslog来准确定位网络发生的安全故障;
即使有丰富知识的网络管理员,能通过Syslog分析得到有用的网络信息,但是速度也是很慢的。
不断叠加的网络设备,成几何级增长的数据,往往降低了企业对事故的响应速度。
如果再加上一些莫名其妙的虚假警报,公司的网络运维人员数量将急剧增长,但这依然无法保证网络的安全,有的时候企业不得不因为某一两个人的一个微小错误或疏忽而付出高昂的代价。
这就是为什么企业在部署了众多安全设备后,依然无法有效地进行安全防范的原因。
IT管理者们更希望在问题发生的时候,得到一个综合全面的安全报告,以了解企业网络到底处于什么样的状态,遭受过什么样的攻击,正面临着什么样的危险?
而不是每一个产品信息的简单罗列,企业需要一个能集中管理所有产品信息、智能化的安全管理中心。
“安全是三分技术,七分管理。
”已为大家所广泛熟知,但是怎么管理、怎么进行有效地利用,却始终困绕着众多CIO。
诚然,一个良好的安全机制和策略能给企业提供一定的安全保障,但面对网络中数目日益庞大的不同品牌和功能的安全产品,网络管理人员愈发捉襟见肘,单纯依靠人力的管理和维护不但效率低下,而且还面临很多不确定的因素和风险。
综上所述,不难看出,近年来,安全管理中心、集中安全管理平台的理念和整体解决方案越来越得到用户认可的一个深层次原因。
无论是网络安全的产业界,还是行业和企业用户,都越来越重视这一新兴的市场。
很多厂商都从不同的层面,提出了各自的集中安全管理解决方案和思想。
2.2需要统一安全管理的发展历程
统一的安全中心的发展由最开始的基于每一台安全设备的管理,到每一类安全设备(FW/IDS/VPN)的网元级的管理,因为单独的安全设备不能解决安全的网络问题,独立的基于网元的管理更不能解决日益复杂的安全的问题,必须寻求新的方法。
随着信息技术的发展,面对新一代的黑客攻击,蠕虫,病毒等安全威胁,建设安全的网络是业界目前所追求的理想目标。
那么什么是安全的网络?
安全的网络是指能够提供安全连接、安全保证、安全认证、安全抵御以及安全服务,安全感知和管理,具有自我防御能力的网络系统。
单纯从技术的角度而言,目前业界比较认可的安全网络的主要环节包括入侵防护、入侵检测、事件响应和系统灾难恢复。
入侵防护主要是在安全风险评估和对安全威胁充分了解的基础上,根据对安全的期望值和目标,制定相应的解决方案。
入侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析,来发现网络中的入侵行为或异常行为,及时提醒管理员采取响应动作阻止入侵行为的继续。
事件响应是当发生安全事件的时候所采取的处理手段,与入侵防护和入侵检测不同,事件响应主要体现为专业人员的服务和安全管理。
系统恢复是指如何在数据、系统或者网络由于各种原因受到损害后,尽快恢复损失前的状态。
除此之外,风险评估、安全策略和管理规定等,经常也被作为安全保障的重要部分。
但是不论有多少环节,要想实现安全的网络,风险评估、策略制定、入侵防护和入侵检测等都是应急响应的准备工作,有了这些准备工作,事件响应才可以及时得到各种必要的审计数据,进行准确的分析,采取措
升级会员 