三級(jí)網(wǎng)絡(luò)安全:從入侵檢測到入侵防御

入侵檢測系統(tǒng)通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，它不僅能檢測來自外部的入侵行為，同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)，因此成為繼防病毒和防火墻之后另一被廣泛注意的網(wǎng)絡(luò)安全設(shè)備。這是一種集檢測、記錄、報(bào)警、響應(yīng)的動(dòng)態(tài)安全技術(shù)，它已經(jīng)漸漸地從“入侵檢測”發(fā)展為“入侵防御”了。
    在入侵檢測系統(tǒng)檢測到網(wǎng)絡(luò)中的攻擊或未授權(quán)行為時(shí)，傳統(tǒng)的響應(yīng)方式是顯示消息、形成日志、報(bào)警或使用E-mail等方式通知安全管理員，然后由管理員手工采取相應(yīng)措施來阻止入侵。這無疑給安全管理增加了很多的工作量和難度，也大大地提高了安全維護(hù)費(fèi)用，因此系統(tǒng)需要具有更多主動(dòng)響應(yīng)行為的入侵檢測系統(tǒng)，如今的入侵檢測系統(tǒng)可以通過發(fā)復(fù)位包的方式，或者執(zhí)行一段用戶編寫的程序，自動(dòng)切斷危險(xiǎn)的連接。
    而且，入侵檢測系統(tǒng)作為整體安全技術(shù)的一個(gè)組成部分，它還應(yīng)該和其他安全組件協(xié)同工作、建立互動(dòng)的響應(yīng)機(jī)制。例如，防火墻作為限制內(nèi)外網(wǎng)絡(luò)互相訪問的關(guān)口，其配置的過濾規(guī)則阻止了非授權(quán)用戶對(duì)公司網(wǎng)絡(luò)的訪問，因此在入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時(shí)，由它自動(dòng)地修改防火墻的安全策略，就能封堵可疑的網(wǎng)絡(luò)通信。這也是為什么入侵檢測系統(tǒng)和防火墻之間的聯(lián)系越來越緊密的原因之一。
    在入侵防御系統(tǒng)中，如何降低檢測系統(tǒng)的誤報(bào)率是非常關(guān)鍵的。在傳統(tǒng)的入侵檢測系統(tǒng)中，誤報(bào)對(duì)安全管理員形成一種滋擾，大量的誤報(bào)還可能淹沒真正的攻擊行為，使安全管理員無從響應(yīng)。在建立聯(lián)動(dòng)的一體化安全防御體系中，入侵檢測系統(tǒng)可以自動(dòng)調(diào)整其他安全組件的策略，來防止進(jìn)一步的攻擊，這時(shí)誤報(bào)帶來的負(fù)面影響可能更大了——因?yàn)檎`報(bào)觸動(dòng)策略調(diào)整之后，本該許可的訪問就無法訪問了，這形成了一種新的DoS形式。
    同時(shí)，先進(jìn)的入侵防御系統(tǒng)還必須是一個(gè)全方位的安全管理。它一方面要集中管理以及各設(shè)備的安全事件，將數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化、集中、并進(jìn)行關(guān)聯(lián)和智能分析，以降低誤報(bào)率和預(yù)告威脅的趨勢；另一方面還要結(jié)合漏洞掃描，提前確定系統(tǒng)是否存在已知漏洞，做到“防范于未然”，以建立前攝性的、而不僅僅是響應(yīng)式的安全防御體系。
    上海廣電應(yīng)確信有限公司（www.svanetworks.com）作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備廠商，不斷致力于網(wǎng)絡(luò)安全技術(shù)的研究和產(chǎn)品開發(fā)，提供了一系列一流的網(wǎng)絡(luò)安全設(shè)備，針對(duì)不同的用戶需求，制定量身定做的安全方案和入侵防御機(jī)制，有效地保護(hù)組織免受外部和內(nèi)部的攻擊，能協(xié)助企業(yè)從容應(yīng)對(duì)各種入侵和非授權(quán)行為