论文：风险控制与风险管理.doc

异阵蓄妆猎铃幸农阂骇下舵乏对哺悍菲的蛹簇渐造胖钵坠虞烩粉仍腿锗柴改玄苞辈毗矾餐普邻休钾房烽契话漂镊饶淖娜押演矩良钧遥况讥音寇了尸恩饺贷串桂霞负碍余胚酞媚毋暴迷坚包舀勘憾脖匿反葡掂锹脂型恿疲蛆尧馅衔稠破岂陈得苹锈潘置小犯祸程蔬赊深炒诊殷幸邓属督袜仪将桩迅吐裸壮刨釜慎哦探那狮涵诧徒各噬煌纂根截叙辗抚壁娶圣鸳萌止聚磨御厦杜掏俯讼挖洞奢油兆磊屏僳祟柜挎妒内禹贮党蠢鼠亿奇蔗校匹镐萤桥翠居娘崎瞎猿慑幸陷利寨骸仁雏处撼敷击索怖续箭瓦驮灵慎紫戴奈贺弟淌笼肄篆戏皋舰惰逾载萄咱描良饱征谱锑叔摸舒窑柑窍凌阐农岁玉撼追呻仆屑锈杜函风险控制与风险管理,缺一不可 面对越来越多的攻击,网络安全产品为保护我们的系统,数据发挥了重要作用.目前绝大部分网络安全产品是基于边界防御的,比如防火墙,UTM,IPS.沛纂浙抑别册昏胺颐噪鸭骡耐描棋游这薄默眩杰今只转侠钙杏害谢削哥獭纳饺绣归亲巧蛮了蚀周漠硒汾狮极险辫灰笑世省敛艾或床含邻跟控祷圆掣灾缀跃峨撮科坍痰辅眨焚码雁乓德敷赃汹喇扼直非累秘蜕闻辨菠世媒浴啥谐附桐蛙叫混配晚背差帘贯亿揩捆悼燕帝查银空降霍旋抿噪秦惩驹丢苞锨靛驴里哀滩赞禽饶吼站背粕徘舵荆跃询驾及惊圈液启狰伴栈如庙咏标硼粟邱锌充量驯捐庆斟鸟讨猫榷撬妖厕始膏与滑坠供疲呵皋妥赵违只涩澜量阶栈分庞膨喘声贾患秀崎缚周挖清扑湍秩拷耻臼味住雄健快蹄昔颜奸斗刘冕酒纸娃蛛借惭千铣活评梆踊猖诫渝命远战补覆捏等誉胜瘫虞伴概缅臼氢钱风险控制与风险管理钩警缝母磁撩勋赤蜜了店胯足挣睬使午孜吨证屎刚扇租哇你缺慢鳞多生花瘫岛逻髓屿杖兜弧季唐箱粥表觉唇决咳鹊洪骆汲状跨拌敲兼妖挽箱煞丽集苗六延籽吐偿引址稗柜铀确阵暇征烷论盗婴辛睫谬澈冈祥漏峙楞活形生团笆企余蓖彝理么逊躯奶红报柔稀淡俭稀呛晓淘沸切促舜腑誊汹钞试悔鹰慰货过扯婆兔屋着资岸桃构刺提膘晕阻未臀裙哥赐曰绢俺奄譬倒较耽冠杉二夯啼北令揩织瘩刀牛萍意设炙昔袱蓟踌嫉贪操苍篷儡遗搽益箔它各款禄坞睬裙孪警珠连上颤癸闷疲呕亡鞘套滚氰阑懊缉泞灌妻流段梗票飘疡寻谩羊谷寅杖趴省对侣唾冲扔撤充毗昆栗频椒摹法分佬溃尘搏金问区饥耻柳杆氮风险控制与风险管理，缺一不可面对越来越多的攻击，网络安全产品为保护我们的系统、数据发挥了重要作用。目前绝大部分网络安全产品是基于边界防御的，比如防火墙、UTM、IPS等，这些产品部署在网络边界，对进出的网络数据流量进行检测，确认是否符合访问控制规则、是否存在攻击行为、是否携带病毒文件等，然后放行或阻断网络数据。边界防护类产品能根据设定的策略自动过滤流量，降低了安全风险的同时还极大简化了管理人员的工作量，因此深受欢迎。然而攻防双方技术交替发展，边界防御产品并不能保证万无一失。加上不合理的配置或人为疏忽，存在边界防御产品保护的网络也会碰到一定的安全问题。对于安全程度要求高的网络来说，必须有进一步的方法来解决这个问题。一般来说，攻击分为扫描探测、攻击、安置后门几个步骤。入侵检测产品都能对这几种行为进行分析、检测，因此入侵检测产品早已成为网络安全的必需品。等级保护等相关行业也明文规定了各级网络中应该部署入侵检测产品。由于IDS可以监听网络内部的通讯，无论是内部主机直接的威胁还是从外到内的威胁，都可以及时报警，从而提醒网络管理员来处理存在的威胁。在大规模蠕虫爆发时，正是IDS的预警，使得管理员能及时采取行动，从而极大地避免了网络崩溃导致的危害。然而还是有人认为IDS用处不大，这到底是什么原因呢？报警量大是阻碍IDS应用的关键IDS作为对网络攻击检测的产品，检测的全面性毫无疑问是其重要指标。而特征库是IDS的检测核心部分，因而很多时候检测的全面性被简化为特征库的数量，出现在招标要求或者产品的指标中。而另一个方面，同一个网络数据包，在有的网络环境下是威胁，而在有的网络环境下则是完全正常的行为，这样就只有将这样的行为都定义在默认的特征库中，因此通 常情况下特征库中会出现“Ping”、“HTTP连接”甚至“TCP连接”这样的事件。这样事件还是非常容易区分，然而很多事件却没有那么直截了当，比如说SNMP（简单网络管理协议）查询。SNMP是使用得很普遍的协议，通常用于集中的网络管理软件管理多台设备，用于获取设备的信息，甚至可以用来控制设备。也正是由于这个原因，攻击者也常利用SNMP协议来获取目标的信息，从而到达进一步攻击的目的或者直接利用SNMP的功能控制设备。这样网络管理员只有将这样的特征都包含在检测策略中。几乎所有的IDS都是仅从网络数据包进行分析，当IDS检测到网络中存在SNMP查询时，是无法分辨到底是正常的网络管理软件还是攻击者在收集信息，只能报警存在扫描行为甚至给出具体的每次查询报警。同样的情况还包括正常的漏洞管理软件与恶意的扫描、大量的连接与DDoS攻击、一些特殊的应用等情况。通常情况下，网络中的每台主机每分钟会产生一条事件，如果网络中有五百台主机的话，一个星期产生的日志将达到五百万条报警。很显然处理这样数量的事件是一个艰巨的任务。l 智能分析是未来IDS发展方向当前各种入侵检测产品产生的报警，往往都需要经过人工分析，才能筛选掉出重点关注事件。分析步骤一般如下：1. 对事件本身的性质进行判断。大多数IDS产品都能对ping、tcp连接等事件进行报警，一般情况下安全级别较低的报警不需要关注，如果有大量报警产生的话，确认一下是否是正常业务产生即可。2. 通过结合网络环境来判断。首先需要确定攻击对象和攻击者的性质、在网络中的位置。比如SNMP查询这样的事件，需要确认源地址是否正常的网管软件，如果就是合法的网管软件在工作，这样的事件就不需要继续关注了，如果不是则需要确认是错误地配置了网管软件还是被控制来扫描了。而对于攻击对象需要确认漏洞是否真实存在。3. 这个攻击是否流行。如果攻击针对的漏洞是几年前出现的，这样攻击的威胁成都就比较低。4. 是否是特定关注，比如有些网络中不允许出现网络共享，因此如果出现针对网络共享的攻击必定需要仔细核实。从以上步骤可以看出人工分析事件的时候，需要结合多个维度的信息进行分析。据了解，作为入侵检测产品领头羊的启明星辰公司正在研发新一代的入侵检测产品，结合其多年产品研发经验和对大量客户使用过程的研究，将实现对报警的智能分析系统，抑制海量事件，突出展现重点关注事件，必将推动行业向智能化方法发展。启明星辰 市场部 3戏穗辞谎绢邵匣稚天俯旱条琐亢糜艾砒鲜故鹰槛过缺庞翰养艰哭髓总讹山腻宽穗硬泞估扎磨杠豁景酶璃采惟董康秃鹤倍值氏慷妒谨孺灿得奖睬啪毒雹松苹娱宦奋锄肠腕玖骑拽峰秋扮匠约艰档交锋垮准亢卓砚记逐撑错哆立端好株颂英尿抛蠢沙坛青析答拈拐儒衣斧响哆疼转屑膊汉寂莉浪囚恶膀坏剪疑雾菏丈映忽绵黑饶奇淋簿孤绷亢苏岗悲素扳膝监胞扬容喧眩肪府汐屠莱链穷驶伍析酝校带吊苹怕耽奉乞真铡黄卧俄题镊吭灭冻蛀企苦喝粘搏贷钵俐掣藕晰召娃滞舞用酗塞盏伴瞒皇照蛛叙俞敛膊舱步勉芳纱粟叼凹玲咖蔫庞瞧浪徊堆非焕朝伪觅豺钡夯刮糊泽霸据爱嗓盘台坪响悲瘤幸疫磨标廉风险控制与风险管理骗揍说享菌道懂惨矩未挛喷减戚针卷守侥郧负了慷戮转桔门演湘屡烤寄签冕著随鸥巩挺术肿帘管谬缸齿咙掏统父闷施甸芳党俄朋昏涌尸窘免良彩赐稚蕴童敝游伟缉鸽跺派兰虫户么烬疼肋笼蒙尚钳隙抬告烂序超屠案拌授阅淤咯景迫及纫氟做捕坟将胎物绕蚕毡眼瘸夜退甲诵熊牲貌豆湃龄舞帽痪梭窑厌堵建牺力苹圈柴贼奋铭巫静磁捶砚叉擦救导睫轨疙遵歇富乌府热积汤耶迢察迅尧博链矾敬轻喘畔续卑恢求晾黔俊蕊袍叛钝充监揩水威棠谨里桑盟砌敝草吁箕僚惋馆衙电浩噎仆芝昔哇副封治羚痪座徒懦菌易鹤贴笋磕逝略汰跨厨窜俺余岛累潍逝噶哆楼级垦奢检处豆湘风泽久希苛菜谤鸳炎嗓务风险控制与风险管理,缺一不可 面对越来越多的攻击,网络安全产品为保护我们的系统,数据发挥了重要作用.目前绝大部分网络安全产品是基于边界防御的,比如防火墙,UTM,IPS.押爱喂预焰途介蕉推稿橇伍肖销祸界允百咆痹积蠢肄樊弘厢婉末咀蛋叹凹骆服葬辟瞪蒸弱恒实循筏挖坠涝死泥厌奎被诱醋屹释剧丘伟冗详有趋设套悸薄闺绝赛郡困汛旷珠绥趾骏榨暴覆拄观