网络入侵检测解决方案.doc

XXXXXXXX 入侵检测系统解决方案入侵检测系统解决方案 北京中科网威信息技术有限公司北京中科网威信息技术有限公司 200X200X 年年 X X 月月 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 1 页 目录目录 一一 前言前言 3 3 1 1 设计目标 3 1 2 安全宗旨 3 1 3 项目集成原则 4 二二 网络安全性分析网络安全性分析 5 5 三三 物理层安全体系物理层安全体系 7 7 3 1 电磁泄露 7 3 2 恶意的物理破坏 8 3 3 电力终端 8 3 4 安全拓扑结构 9 3 5 安全旁路问题 9 3 6 解决措施 10 四四 网络层安全体系网络层安全体系 1111 4 1 外网攻击 12 4 2 内网攻击与监控 15 4 3 网络设备的安全 17 4 4 VLAN 安全保密 18 4 5 入侵取证问题 19 五五 应用层安全体系应用层安全体系 2020 5 1 操作系统安全 20 5 1 1 服务器系统安全解决措施 主要针对 Linux 21 5 1 2 服务器系统安全解决措施 主要针对 Windows 22 5 1 3 主机安全的解决方案 23 六六 网络入侵检测系统网络入侵检测系统 2424 6 1 单一防火墙功能的不足 24 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 2 页 6 2 入侵检测系统的功能和优点 25 6 3 入侵检测系统选型 25 6 4 入侵检测系统部署 29 6 5 中科网威 网威 网络入侵检测系统产品介绍 31 七七 XXXXXXXX 调通中心安全系统网络安全拓扑效果图调通中心安全系统网络安全拓扑效果图 4040 一一 前言前言 此文档就 XXXX 调通中心网络安全方面做全面的规划和设计 从而确定软件 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 3 页 硬件体系的组成及各部分的作用 和应用程序的连接等 从而对整个网络的安 全部分规划 采购起指导性作用 此文档将从物理层 网络层 应用层 管理层等几个方面就 XXXX 调通中心 网络安全进行具体描述 1 1 1 1 设计目标设计目标 最大可能的保护其所辖的网络和系统可以得到充分的信任 可以获得良好 的管理 总体目标是在不影响中心网络正常工作的前提下 实现对中心网络的 全面安全及加固 根据 XXXX 调通中心网的要求及国家涉密计算机系统安全要求 提供包括整 体安全策略 评估 规划 设计 部署 管理 紧急响应以及配套服务组成的 网络安全整体解决方案 1 2 1 2 安全宗旨安全宗旨 建设和服务应遵循如下原则 设计中将以国家涉密计算机系统安全要求为根本 采用国内最先进 符合涉密系统安全要求的安全设备和产品 严格遵守中华人民共和国保密局 公安部相关法律和法规 严格遵守国家涉密计算机系统安全保密规范 我国各级安全主管部门还颁布了一系列条例和规定 本项目遵守国内 的这些安全条例和规定 1 3 1 3 项目集成原则项目集成原则 策略性策略性 建立中心的安全体系 需要先制定完整的 一致性的信息安全策略体系 并将且将安全策略体系和其他企业策略相协调 综合性和整体性综合性和整体性 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 4 页 从系统综合的整体角度充分考虑此次中心网络安全招标项目 制定有效 可行的安全措施 建立完整的安全防范体系 尽量降低对原有网络 系统性能的影响尽量降低对原有网络 系统性能的影响 由于安全设置的增加 必将影响网络和系统的性能 包括对网络传输速率 的影响 对系统本身资源的消耗等 因此需要平衡双方的利弊 提出最为适当 的安全解决建议 避免复杂性避免复杂性 安全解决方案不会使原网络结构的复杂程度增加 并使操作与维护简单化 安全体系的建立也不会对中心的结构做出根本性的修改 扩展性 适应性扩展性 适应性 安全解决方案能够随着中心网络性能及安全需求的变化而变化 要容易适 应 容易修改 兼容性兼容性 安全管理工具应能够和其它系统管理工具有效兼容 保障安全系统自身的安全保障安全系统自身的安全 安全产品和系统都有能力在合理范围内保障系统自身的安全 稳定性稳定性 总体设计方案需保证运行过程中的稳定 顺畅 不对应用系统造成危害 二二 网络安全性分析网络安全性分析 当前 全球性的信息化 网络化进程正在飞速发展 网络技术正逐步改变 着各行各业传统的生产和管理方式 网络应用日新月异 网络在提高生产和管 理效率的同时 也给各类涉密信息网络的安全保密系统建设 应用和管理提出 了新的要求 作为 XXXX 调通中心安全系统的网上形象和网上办公系统 保证网上信息的 安全性 可靠性 保证网络的正常运行 不被不法分子破坏 窜改是整个纪检 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 5 页 监察计算机网络系统中非常重要的一个组成部分 XXXX 调通中心安全系统常涉及的 无论是门户系统 数据流 数据中心和 公共服务 这些都需要网络安全的支持 从用户的登陆认证 非法行为的监控 门户网站的抗攻击性 数据中心的操作安全性等多个方面都离不开网络安全系 统的支持 网络安全整体建设中的某个被忽略的部位弱势 势必影响系统整体的安全 水平 为了对抗各种攻击破坏 避免因为安全隐患而引发的安全事故 通过深 入分析全国 XXXX 调通中心安全系统的安全需求 建议目前的网络安全系统管理 应从下列方面入手着重解决 提供针对网络安全问题的保障 着重对于目前网络上流行的攻击形式 攻击手段进行防护 同时考虑系统冗余 对 XXXX 调通中心可能出现的攻击行为进行监控 取证 适当情况下可 以根据监控的内容对攻击者进行跟踪 必要时可根据此结果进行法律 起诉 对内部可信任网段内主机进行严格限制 及时发现并阻断非法外联行 为 对于网络安全设备的统一管理问题 包括统一管理 配置 收集不同 系统上的日志资料 进行时间分析 对于整个 XXXX 调通中心安全系统的接入问题进行管理 确保涉密网络 与非涉密网络的物理隔离问题 定制全网统一的病病毒策略 实现全网范围内的病毒防御 基于数字证书的服务 包括证书的统一管理 可信服务 用户分级 与应用系统无间结合等多个方面 对于网络安全事件的紧急响应 包括 7 24 小时的紧急响应 提供对于网络正常运行的安全服务 培训 安全管理规定等 建立一个安全网络需要从软件 硬件 产品 服务等多个方面协同协作 搭建起一个完整的安全保障系统 从用户登陆系统的开始就做到身份认证 行 为监控 日志记录等工作 对边界网络实行严格的访问控制策略 在敏感信息 节点对数据的监听 分析 对违反安全策略的行为进行响应 并定期主动对系 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 6 页 统网络中服务器进行安全评估 消除安全隐患 防范于未然 为上层的门户系 统 网上政务系统的正常运行提供彻底的保护 对于可能给系统造成损害的每 一个地方做全满考虑 为 XXXX 调通中心安全系统的正常运行保驾护航 三三 物理层安全体系物理层安全体系 这里说的物理层指的是物理连接方面的安全 尤其指的是不同密级之间网 络的连接规范 保证从物理结构上的安全 分支内容主要包含以下几个方面 电磁泄漏 恶意的物理破坏 电力中断 安全拓扑结构 安全旁路问题 3 1 3 1 电磁泄露电磁泄露 电磁泄漏主要发生在由双绞线连接的物理设备之间 由于双绞线传输数据 时周围产生的磁场可被还原 故如果出现刻意的针对电磁泄漏而进行的监听行 为 则可能防不胜防 由于此种入侵的方式非常隐蔽 可以不用进入办公区域 不用进行数据传输 不用发生人员方面的接触而获取数据的特点 所以是国家 保密局等安全部分非常重视的一种基本防护 对于这种攻击的防护手段已经非常成熟 分别对应不同的实际环境予以选 择 现状解决方法 没有屏蔽室建立屏蔽室 光纤网络 条件所限无法建立屏蔽室 不用做电磁防护措施 Utp 双绞线网络 条件所限无法建立屏 蔽室 需要针对线路做加密 保密局有相 关产品 表格 1 安全环境选择表 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 7 页 上面提到的问题还只是电磁泄漏防护的一种解决方案 由于 XXXX 调通中心 网络是涉密网 不需要面向广大市民服务 所以对于电磁防护的问题还需针对 现状进行分析 原则是对于重要的 涉密的设备进行防护 3 2 3 2 恶意的物理破坏恶意的物理破坏 所有交换机设备均封闭在单独的房间内 这些房间主要由网络技术部系统 管理人员负责维护管理 在物理上实现了安全保护 中心局域网主要的 5 类双 绞线都布设在地下封闭的金属槽或天花板上封闭的 PVC 槽内 遭人为破坏的可 能性较小 对于网络线路 主要通过专用测试仪和网络管理软件如 Cisco works 2000 等来进行监测 管理人员能够及时发现线路阻断等异常故障 3 3 3 3 电力终端电力终端 网络中心应重点考虑电力中断的问题 由于数据中心存放了非常多的设备 包括小型机 网络设备 PC 服务器等 所以电力问题要非常重视 最好能准备 两路不同源的电路 因为重要的服务器等设备均有双电源冗余的设计 双电源 是网络正常运行的有力保障 重要设备应具有在线式 UPS 控制了全部重要计算机系统的电源管理 并 且安装了针对 UNIX 和 WinNT 服务器的自动关机程序 一旦断电时间接近 UPS 所 能承受的延时服务时间的 70 则发出指令自动关闭主要的服务器 3 4 3 4 安全拓扑结构安全拓扑结构 安全拓扑结果应该说是安全体系的一个很重要的组成部分 针对 XXXX 调通中心网络的环境分析 由于此系统涉及涉密网络与非涉密网 络之间的连接 也有外网与非涉密网的连接 故拓扑结果非常复杂 需要集成 商方面针对不同的接入形式做具体分析 并将接入方式去分为物理隔离 逻辑 隔离 基于物理隔离的数据交换等几种不同形式 原则上所有内部单位与数据 中心的连接均应用防火墙进行逻辑隔离 保证可信的数据传输及对非法访问的 拒绝 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 8 页 物理隔离 完全网络上的隔离 对于涉密网与非涉密网之间的连接 无设备 逻辑隔离 使用防火墙进行数据交换方面的审查 通行可信数据 拒 绝非法请求 针对 XXXX 调通中心外网与内网之间的连接 给予物理隔离的数据交换 使用基于物理隔离的数据交换进行数据交 换方面的审查 通行可信数据 拒绝非法请求 此项方式是防火墙模 式的进一步提高 此处对涉密外网有比较高的要求时选用的设备 但 是由于原理限制 大大降低网络速度 3 5 3 5 安全旁路问题安全旁路问题 安全旁路问题是涉密网建设的非常重要的组成部分 针对不同的单位有相 应的解决手段 在政府等办公部门主要针对的是物理隔离的内部网络的员工拨 号行为 针对研究所等机构主要是软盘 USB 设备对于数据的 Copy 问题 由于 目前 XXXX 调通中心网络是公众外网 所以对此部分只是做简单提及 解决方式 为内部解决 对于上述内容的管理除了技术上的投入以外还需要进行专门的管理制度上 的制定 具体细则请参见管理制度篇 3 6 3 6 解决措施解决措施 物理层安全应面临的风险主要是环境安全和设备 设施安全问题 为保护计算机设备 设施 含网络 以及其它媒体免遭地震 水灾 火灾 有害气体和其它环境事故 如电磁污染等 破坏 应采取适当的保护措施 在环境安全上 主要考虑受灾防护和机房区域安全 为此在中心机房内 要施行严格的保安制度 配备好安防和消防等设备 1 环境安全保密解决措施 在安置服务器的机房出入口设立门禁系统 分配权限和密码 仅持有 权限和密码的人才可以进入机房 管理上要求能够进出机房的人员政 治和技术可靠 配备防火器材 合理的布置在机房的四周 做到防范于未然 一旦出 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 9 页 现明火现象 可在机房内将其扑灭 在机房内设立摄像监控系统 24 小时监控录像机房内的人员行为 记 录影像并标记时间 为可能存在的人为破坏提供比对的证据 重要服务器机房内应充分利用现有的工业空调系统 将机房内温度保 持在服务器硬件的平均工作温度下 所有通信线路应尽量安置在防火的 PVC 槽内 安置在天花板等人不能 直接接触的地方 2 设备安全保密解决措施 建议中心在机房内安置电磁干扰发射仪 中心骨干网络为千兆 骨干为光纤结构 不存在电磁泄漏的问题 中心的桌面应用目前仍是百兆 使用 UTP 连接 存在线路泄漏问题 为此 使用 UTP 线路电磁泄漏干扰仪连接在线路的两端进行电磁发射 干扰 3 介质安全保密解决措施 介质安全主要体现在存储介质上面如磁带机 光盘和硬盘存储器 机 密成果数据的存储介质需要异地保存 在中心设立专门的介质存放室 至少与机房不在一个房间内或一个楼 层 介质存放室也应做好门禁系统 配备防火器材和空调恒温系统 介质存放室的进出人员应接受严格登记和审核 并在管理上要求政治 和技术可靠 对存放在纸上的重要机密信息应严格保存 可以和介质一起放在介质 室内 对作废的文件应使用碎纸机或送往纸浆厂监控处理 四四 网络层安全体系网络层安全体系 这里说的网络层指的是网络设备上的安全 以及专门执行网络安全功能的 相应设备 尤其指的是数据传输时的安全问题 物理层网络安全体系是现代网 络安全体系种非常重要的组成部分 可以说是网络安全的核心 众多的黑客攻 击的手段和方法都是针对网络层而开展的 因此网络层安全体系的建设是网络 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 10 页 安全建设的重要组成部分 目前的网络安全体系不仅仅是一种安全设备 一种安全手段就可以实现的 随着黑客技术的不断成熟安全体系已经发展成为了多产品 多手段相结合的方 式 也只有多重手段的综合运用才能从整体上实现安全的防护 在安全领域是 适用木桶原则的 如果有哪个领域是我们没有考虑到的 则那个部分则最有可 能成为被入侵的环节 鉴于目前网络安全技术在国内已经十分成熟 技术上不存在壁垒 故推荐 使用国内的安全产品 以防止政府部门由于使用国外产品导致的敏感时期安全 设备可能被国外黑客利用 造成不必要的损失情况出现 由于网络层安全体系涉及的内容非常丰富 本章将针对下面列表中的内容 做逐一的分析 并给出解决措施 外网攻击 内网攻击 加密传输 安全旁路问题 4 1 4 1 外网攻击外网攻击 从外网进行的攻击行为可以说是不胜枚举 近年来国内外出现的大量的网 络安全事件 经媒体报道过的 可以说应用了目前所有的攻击形式 有各种形 式的 Flood 攻击 Ping of death Syn flood DOS DDOS 等 此类攻击尤其 针对网站 破坏性是不容置疑的 发生在 2001 年的五一中美黑客大战就是运用 上面攻击形式的结果 致使美国白宫网站不能访问达 4 小时之久 除此之外还 有数不清的木马攻击 操作系统漏洞 对于应用服务的授权的和未授权的访问 等 所有这些问题如果用头疼医头 脚疼医脚的方式就会变得捉襟见肘 最好 的解决方案是在内网和外网的交汇处设置防火墙 保证内网 外网的之间访问 的安全性及抵抗攻击 下面用一个简单图示来描绘防火墙的应用 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 11 页 Internet 防火墙 DMZ区 服务器www dns mail 内网 外网 图表 1 防火墙的应用简图 上图中的 DMZ 区我们可以假想为门户网站的防治区域 而内网则放置我们 的数据库服务器等更加重要的服务器 同时与其它局 委 办的连接也在内网 进行 同时我们还应对防火墙的访问策略做简单配置 外网 DMZ 区 DMZ 区 内网 内网 DMZ 区 DMZ 区 外网一些 其它各个部分之间的访问完全禁止 这样数据的传输达成了一个安全通道 即数据访问时 外网 DMZ 内网 回应数据时 内网 DMZ 外网 内外网之间完全禁止访问 这样即使出现什 么安全问题也不会直接将内网中的数据泄漏给外网 下面给出就 XXXX 调通中心网络建设中防火墙部分应具有的相关功能 支持百兆网络 可以实现双机备份 双电源冗余 至少 500 000 的并发连接数 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 12 页 支持广泛协议 能够满足视频会议的需求 支持单级 多级 统一 分散的管理方式 灵活的定义访问策略 支持路由 透明 混合模式的应用 对 DOS DDOS Ping of death Syn flood land 等攻击的专门防护 能够实现在线升级 用户分级管理 数据包内容过滤 详细的日志 由于目前对于防火墙设备的采购和网络拓扑还不清楚 故目前只提供一些 技术参数 仅供参考 4 2 4 2 内网攻击与监控内网攻击与监控 数据中心涉密网络内部应用系统平台多且复杂 从技术和管理角度分析 安全隐患也是存在的 内部网络的监管需要技术和管理上并进才可保证安全 来自系统内部人员的攻击是很难防范的 内部工作人员本身在重要应用系 统上都有一定的使用权限 并且对系统应用非常清楚 一次试探性的攻击演练 都可能会对应用造成系统瘫痪的影响 这种行为单单依靠工具的检测是很难彻 底避免的 主要依靠建立完善的管理制度和处罚措施来解决 在中心的内部局域网内 可能存在的攻击者可以将自己的 ip 地址改为他人 的地址发起攻击 这种做法往往会让管理人员转移调查目标 难以发现真正发 起攻击的人 攻击者也可将自己的网卡换掉 修改 mac 地址和 ip 地址向服务器 发起攻击 攻击完后再回到以前的设置 这些问题是目前 XXXX 调通中心的安全 手段所解决不了的 在局域网上 用户安全意识不强 口令设置缺乏科学性 易猜测 且更换 频率低 个别人甚至半年以上才更换一次 这为非法用户盗取数据库资源提供 了可能 部分 UNIX 或 Windows NT 2000 的命令可以实时检测网络数据包的传输 情况 对于 telnet rlogin 这些不加密的网络应用 用户登录口令很容易被发 现和窃取 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 13 页 主机操作系统漏洞和错误的系统设置也能导致非法访问的出现 入侵检测是对入侵行为的监测和控制 它通过监视计算机网络或系统的运 行 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 一旦 发现攻击能够发出警报并采取相应的措施 如阻断 跟踪等 同时 记录受到 攻击的过程 为网络或系统的恢复和追查攻击的来源提供基本数据 此外 网络入侵检测产品不能完全满足要求 一些发生在服务器或入侵行 为和异常现象也会带来不可估量的损失 我们同样建议在服务器 Linux 上安装 能够监测系统资源 文件 内存 和入侵行为的主机入侵检测系统 1 网络入侵检测系统安全解决措施 在骨干交换机上设置一个监听端口 span 在交换机上指定该 span 端口 可以监听服务器所在的端口号或 vlan 然后将网络入侵检测的引擎探 头 硬件引擎 分别接在两个 span 端口上 将引擎的管理端安装在网管工作站上 并将引擎的管理端口接在交换 机上即可 2 对入侵检测系统的技术需求比较简单 简述如下 无 IP 侦测引擎 支持百兆环境 多样的接入方式 多样的相应方式 邮件 声音 互动等 和防火墙实现联动 能处理复杂问题 支持单级 多级的系统管理 提供对大型数据库的支持 策略库支持在线升级 支持 IP 碎片重组数大于 50 000 支持 TCP 流还原连接数大于 800 000 有效工作的流量范围大于 70M 4 3 4 3 网络设备的安全网络设备的安全 中心的网络结构中采用了大量的交换机 作为骨干交换设备的交换机往往 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 14 页 也是攻击者发起攻击的对象 一旦交换机被攻击 dos 整个网络可能存在瘫 痪的严重后果 交换机内依赖的是固有的网络操作系统 ios 网络设备操作系 统 解决交换机的安全性问题也应依靠口令和自身漏洞修补等多方面来考虑 中心互连设备中使用了大量的路由 交换设备 他们都支持 SNMP 简单网管 协议 并且目前我们的监控体系是符合 SNMP 协议来实现监控功能的 这些设备 都维护着一个含有设备运行状态 接口信息等资料的 MIBS 库 运行着 SNMP 的 主机或设备可以称为 SNMP AGENT SNMP 管理端和代理端的通信验证问题仅仅 取决于两个 Community 值 一个是 Read Only RO 值 另一个是 Read Write RW 值 拥有 RO 值的管理端可以查看设备的一些信息包括名称 接 口 ip 地址等 拥有 RW 值的管理端则可以完全管理该设备 令人担忧的是 大多支持 snmp 的互连设备都是处于运行模式 至少有一个 RO 的默认值为 PUBLIC 这样会泄漏很多重要信息 另外 拥有 RW 默认值的设备在互联网上也 是很多 加之 SNMPV2 版本本身的安全验证能力很低 所以极易收到攻击 从而 导致互连设备的瘫痪和流量不正常 如果没有冗余设备 那样整个内部网络就 会瘫痪 互连设备的弱管理口令 IOS 版本太低也会使交换设备受到入侵和拒绝服 务攻击 导致不能正常工作 网络设备的安全性主要从管理终端口令 IOS 系统漏洞和 SNMP 的 COMMUNITY 值问题入手 1 内网网络设备安全保密解决措施 从官方站点下载交换机的最新 ios 版本 要做到及时升级 加强 vty 和 console 的管理口令强度 并且口令要求使用 md5 加密存 储 加强 enable 和 secret 密码的强度 要求超过 8 个字符 字母和数字 的长度 并且和一般的 vty 和 console 口令不能相同 加强 snmp 网管的 private 和 public 的 community 值的强度 对 vty 终端和 snmp 的连接进行安全访问控制 制定访问控制列表 仅 允许网管主机的连接访问 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 15 页 4 4 4 4 VLANVLAN 安全保密安全保密 在中心内网的骨干三层交换机上进行 VLAN 划分 配置三层路由 并配置路 由访问控制 AccessAccess ListList 列表 这样做的优点有 广播流量限制 允许三层路由的单 VLAN 中的通信广播 寻址 不会散 布到其他 VLAN 中 极大的提高了网络带宽的利用率和工作效率 初级访问控制 划分 VLAN 的网络中 如果没有三层路由访问控制的许 可 将不能访问其他 VLAN 中的系统 1 内网安全 VLAN 划分解决措施 在中心骨干交换机上按不同应用划分 VLAN 并配置三层路由 按照应用 和职责配置访问控制列表 access list 重点保护内网中重要的部门 vlan 在其它交换机上配置 trunk on 使其识别骨干交换机的 vlan 划 分和安全策略配置 将网络设备的管理 IP 设置在受保护的 Vlan 中 并修改 ACL 使得其它 网段的主机无法远程登陆到交换机系统 登陆交换机后对链路实施加密传输 保证信息不被窃取 4 5 4 5 入侵取证问题入侵取证问题 安全这个概念永远没有绝对 攻击和防范是一个有先后次序的概念 总是 先有新发现的攻击手法 然后才会有针对该技术的防范 入侵检测就是这个原 理 总是定义已有的攻击特征进行攻击判断 IDS 的学习功能也都是针对现有 攻击的变种手法进行学习和发现 人们很难保证现有的安全措施能够应付新的 攻击 信息安全和现实世界的安全都是如此 攻击取证就显得尤为重要 在可能出现的攻击事件发生后 找出攻击者的 身份及其攻击所采用的手段是非常重要的事 其一可以帮助找出系统和现行的 安全体制中的弱点 其二是找出攻击者后追究责任 1 攻击取证解决措施 在重要服务其所在交换机上同样设立一个 span 端口 监听整个交换机 的数据流量 和 nids 的实施一样 将攻击取证系统 黑匣子 接在 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 16 页 span 端口上 将管理控制端装在网管机器上就可 一旦新的攻击发生 系统遭到入侵 管理员可以通过管理端察看取证 系统地分析结果 最终判断攻击步骤 手法和攻击者的地址 2 取证系统的是网络入侵检测 系统日志和相关软件联合作用的结果 五五 应用层安全体系应用层安全体系 本措施是为了保证信息的保密性 完整性 可控性 可用性和抗抵赖性 涉密系统需要采用多种安全保密技术 如身份鉴别 信息加密 信息完整性校 验 抗抵赖 安全审计 入侵监控 数据库安全 网络防病毒等 5 1 5 1 操作系统安全操作系统安全 中心服务器操作系统中以 Linux 和 windows 2000 Advanced Server 为主 故系统的安全主要以此两种操作系统的加固为主 Windows 9x 系统仅具有 D1 级的安全性 文件一旦在局域网上共享 根 据系统管理员日常考察 普通用户设置访问口令的情形不多 并常常 是面向所有用户共享 尽管中心设置了 VLAN 但对于水平稍高的内部 黑客 还是难以防护 目前已经不再使用 Windows 9X 系统 Windows 2000 系统和 Linux 系统 由于广泛的应用 发现的安全性问 题比较多 几乎每隔一段时间就有关于 windows 2000 和 Linux 的漏洞 信息发布在互联网上 在系统用户安全上面 可以考虑使用系统平台自身的安全特性 如限制超 级用户的数目 增强密码强度 定期察看 LOG 日志文件 对登录情况进行审计 的手段可以做到 我们也将根据经验 针对一些常见的漏洞和错误配置对服务 器平台进行安全加固 这些主要是通过打补丁 健壮配置和使用第三方安全监 控工具来实现 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 17 页 5 1 1 5 1 1 服务器系统安全解决措施 主要针对服务器系统安全解决措施 主要针对 LinuxLinux 针对 Linux 系统 先打上官方提供的所有补丁包 调整 TCP IP 的内核参数 提高系统抗攻击性 使用漏洞扫描和评估系统扫描这些 Linux 系统 对出现的不安全配置进 行纠正 对发现存在安全漏洞的系统服务应及时进行升级 加强 Linux 系统的安全配置问题基本上可从以下几个方面考虑 其一是 考虑本地 eeprom 的安全 将 eeprom 的安全级别至少提升至 command 级别 这样在服务器的启动阶段可以阻止匿名进入光盘启动单用户模式 做法可 以通过在 console 下键入 eeprom security mode command 来实现 其二是 在 CDE 环境下使用 Admintool 或修改 etc inetd conf 或修改 etc rc d 下的服务启动文件来关闭一些与应用无关的服务 其三是使用 usr sbin ndd set 来改变一些 tcp 的内核运行参数 可以在不启动系 统的情况下更改内核的安全配置 在 Linux 上使用 tripwire 对系统的主要配置程序文件如 login 等进行 保护 我们使用 tripwire 默认的保护文件列表 制定相应的保护策略 对 系统进行保护 利用中心现有的备份设备对 Linux 系统进行定期完全或增量备份 这样 做的好处是可以在万一被破坏后能进行完全恢复 激活尝试登陆失败记录有效 审查 root 属主的 setgid 和 setuid 程序 调整 TCP IP 的序列号产生法 禁止 ROOT 用户远程登陆 必要时采用主机入侵检测系统 5 1 2 5 1 2 服务器系统安全解决措施 主要针对服务器系统安全解决措施 主要针对 WindowsWindows 所有的 windows 2000 客户机应至少打上 service pack3 并打上一些 新发现的漏洞补丁 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 18 页 使用漏洞扫描和评估系统评估 对发现的安全配置和漏洞进行及时修补 使用网络漏洞扫描和评估系统 加强 windows2000 系统的口令管理力度 可能的情况下不要使用 administrator 作为管理员用户名 可以尝试改名 最好拥有两个管理员账 号 然后建立针对管理员账号的锁定策略 禁用一些安全性较低的账号如 guest 的本地登录能力 在 nfs 客户机上设立普通用户帐号 由中心的网络管理员控制 nfs 客户 机上的系统管理员帐号 一般人员使用普通账号登录 使用漏洞扫描和评估系统 对在 Windows2000 Server 上运行的程序进行检查 防止出现应用系统 的帐户权限与操作系统相重合的现象出现 关闭不必要的服务 在提高系统资源的同时降低可能存在的安全隐患 检查系统启动程序 确保无木马等危害系统运行的程序自动运行 使用个人防火墙及防病毒软件保护系统 如果不是必要 关闭远程系统管理 修改应用服务执行者的权限 最好不要有超级用户权限 修改注册表键值 关闭缓存用户信息 如果有必要则使用 NTFS 文件系统 设定安全策略 设定审计及日志信息 最好禁用 Netbios 服务 删除所有不必要的应用服务的示例文件 必要时采用主机监控系统 5 1 3 5 1 3 主机安全的解决方案主机安全的解决方案 主机安全问题有其特定的问题 由于操作系统的问题是随着时间的延续而 逐渐出现的 不是在进行一次安全加固后就可以解决的 所以使用安全工具是 非常好的解决方法 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 19 页 对于工具的选择是一个非常重要的 下面列举出比较重要的几个因素 能及时从网络进行升级 能针对 Windows Unix 两种的操作系统进行评估 提供定时扫描功能 能带帐户进行扫描 能随问题给出解决方案 完善的分类报表功能 六六 网络入侵检测系统网络入侵检测系统 6 1 6 1 单一防火墙功能的不足单一防火墙功能的不足 经过防火墙的部署后 企业网络的安全水平有了很大的提高 能够抵御来自 外部网络的大部分攻击 但是防火墙也有其功能上的不足 一台单一的防火墙 并不能形成一套安全的体系 防火墙的不足主要体现在以下几个方面 虽然部署了防火墙 对网络起到了很好的保护作用 但是毕竟有很多 服务要对外开放 所以很多攻击手法是防火墙无法阻挡的 比如对 Web Server 的基于异常 URL 的攻击 具体体现的例子有 Code Red Nimda 等等很多 如何及早发现这类攻击方式并处理 是必须解决的问题之 一 防火墙虽然可以挡住大部分攻击 但是通常无法留下细节的攻击记录 这对分析攻击行为以及调查取证带来了很大困难 而入侵检测系统刚 好可以解决这一问题 防火墙对其发现的入侵行为的报警功能种类不够丰富 可能会影响对 入侵行为的响应速度 防火墙不能防止它所保护的内部网络中同一网段之内的相互攻击 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 20 页 由于防火墙具有以上一些缺陷 所以部署了防火墙的网络安全体系还有进一 步完善的需要 而网络型入侵检测系统正好可以弥补防火墙的这些缺陷 同防 火墙密切的配合 共同保障网络的安全 入侵检测系统是对入侵行为的监测和控制 它通过监视计算机网络或系统 的运行 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 一旦发现攻击能够发出警报并采取相应的措施 如阻断 跟踪等 同时 记录 受到攻击的过程 为网络或系统的恢复和追查攻击的来源提供基本数据 6 2 6 2 入侵检测系统的功能和优点入侵检测系统的功能和优点 入侵检测的功能和优点主要体现在以下几个方面 能在网络中基于内容的检测 能够在对看似合法访问的信息中发现攻 击的信息 比如隐藏在 URL 中的攻击行为 并做出相应的处理 能够对网络的入侵行为进行详细完整的记录 为以后的调查取证提供 了有力的保障 对发现的入侵行为有多种灵活的处理方式 比如 中断非法连接 发 出电子邮件或传呼警告等等 不仅可以检测来自外部的攻击 还可以检测来自内部的相互攻击 6 3 6 3 入侵检测系统选型入侵检测系统选型 网络入侵检测系统是企业安全防护体系的重要补充 那么我们需要什么样的 网络入侵检测系统 我们根据客户对网络入侵检测系统的要求以及我方自身对 产品的了解和经验 认为一个优秀的网络入侵检测系统产品应该满足以下几个 方面要求 优秀的攻击发现能力 分布部署能力 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 21 页 集中管理能力 易于安装使用 自身安全性好 下面我们就网络入侵检测系统产品选型问题提出自己的建议 经过对国内外流行产品的分析 我们决定推荐使用中科网威 网威 网络入 侵检测系统 网威 网络入侵检测系统是一款基于网络的实时入侵侦测及响应 系统 它监控网络传输并自动检测和响应可疑的行为 在系统受到危害之前截 取和响应安全漏洞和攻击行为 从而最大程度地为企业网络提供安全 中科网 威 网威 网络入侵检测系统的开发受益于中国科学院的核心技术 具有很高 的技术水平 获得广大用户的好评 中科网威 网威 网络入侵检测系统有以下特点 功能特点功能特点 1 网威 IDS 具有 3 种工作模式 能够满足用户各种网络结构要求 单网卡抓包 双网卡抓包 网桥模式 2 网威 IDS 提供多种响应方式 根据用户定义 IDS 警报事件在经过系统 过滤后进行及时响应 包括实时切断连接会话 重新配置防火墙 彻底屏蔽攻 击 给管理员发送电子邮件 发送 SNMP Trap 报警 控制台实时显示 数据库 记录等等 性能特点性能特点 1 在协议分析的基础上 采用 IP 数据包分片重组 TCP 数据流还原 应 用解码等技术分析 检测 能够识别各种伪装或变形的 降低漏报率 同时去 除干扰 减少误报率 2 将 正则表达式 应用在针对特征值的模式匹配检测中 大大减短检测 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 22 页 周期 3 网络引擎软件由三个模块组成 保证了模块相对独立 引擎稳定高效 模 块间采用缓冲机制 确保高带宽下数据丢失率低 管理特点管理特点 1 引擎的集中管理 管理员在中央控制台可以直接控制各个引擎的行为 包 括启动 停止 添加 删除引擎 也可以按照引擎查看 删除 查询实时警报 2 引擎和控制台的双向连接方式 网威 IDS 支持控制台同时作为客户端 和服务器 即同时从一个网络引擎拉数据和向另外一个引擎推数据 这使得网 络引擎和控制台的部署可以满足复杂网络拓扑的实际需求 3 可指定重点监控对象 4 分级的用户管理 5 提供 OpenIDS 接口 为了提高网络安全产品之间协同工作 动态防护的互 操作性 中科网威提供了入侵侦测系统与防火墙互动的开放接口 OpenIDS 6 支持大型数据库存储 控制台允许用户将警报的信息改用大型数据库来 存取 管理 如 MS SQL Server 等 易用性特点易用性特点 1 多种预制的策略模板 系统默认提供六种模板 并且支持用户自定义模 板 允许用户将自己定义的模板和系统的模板进行导入导出的操作 2 完善的策略自定义功能 3 丰富的报表类型 网威 网络入侵侦测系统提供了非常简便的全中文入 侵警报统计和报表工具 3 报警信息的归并 4 全中文界面 5 在线升级能力 系统支持在线远程升级策略库 使系统的策略库时刻保持 防范的最前沿 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 23 页 自身安全性特点自身安全性特点 1 通过串口管理引擎 2 网络引擎操作系统强化安全 网络引擎运行于安全操作系统并经过严格 配置 3 专门设计的抗 DoS 攻击能力 具备防御针对 IDS 的拒绝服务攻击 采用 的重复事件过滤技术和其他监控手段 使得针对 IDS 的 DoS 攻击的冲击降到最 低 4 采集网卡无 IP 5 所有通信都进行认证和加密 全面的产品资质认证全面的产品资质认证 中科网威 网威 网络入侵检测系统具有如下的产品资质认证 为用 户提供满意的产品 公安部销售许可证 国家信息安全测评认证证书 国家保密局技术鉴定 军用信息产品安全资质认证 基于以上原因 我们选择了中科网威 网威 网络入侵检测系统 6 4 6 4 入侵检测系统部署入侵检测系统部署 企业网络虽然进行边界保护 但仅是一个被动防御的行为 对来自应用层 的攻击缺乏有效的监控手段 我们建议在服务器群部分和重要网段部署中科网 威 网威 网络入侵检测系统 对来自应用层或绕过防火墙 对服务器群的功 击进行监控和阻截 网威 入侵检测系统分别部署在监控网段的交换机之上 通过端口镜像 对交换机上的所有数据进行监控和分析 同时在网管网段配置一台 网威 入 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 24 页 侵检测的中央控制台 对网络中部署的 网威 网络入侵检测系统进行集中的 管理和监控 1 网威 网络入侵检测系统分为引擎与控制台两个部分 引擎系统 为一硬件设备 放在监控网段的交换机上 而控制台软件安装在内部 网管工作站上 2 IDS 工作时 需要在交换机上配置 PortMirror 功能 将其他端口流 量映射某一端口上 引擎连接在交换机上该镜像端口 由于 IDS 系统 采用数据缓冲技术 而不是存储 转发技术 所以不会影响网络性能 3 网管网段需要配置一台 PC Server 安装 NIDS 控制台 作为入侵检 测系统的控制台 4 网威 网络入侵检测系统引擎能对检测到的所有进出被保护网段 的访问行为并及时通知控制台并依据控制台的指令做出相应的反应 如报警 阻断等 同时 网威 入侵检测系统还能和 长城 等 防火墙进行联动 即若入侵检测系统的引擎检测到违规的访问行为将 通知防火墙 防火墙将根据收到的信息自动生成动态过虑规则 将该 违规访问行为进行阻断 并通知引擎 网威 网络入侵检测系统部署结构 如下图所示 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 25 页 网网段段1 1 天眼 入侵检测 网网段段2 2 天眼 入侵检测 网网段段n n 天眼 入侵检测 网网管管网网段段 天眼 控制中心 图表 网威 入侵检测部署图 6 5 6 5 中科网威中科网威 网威网威 网络入侵检测系统网络入侵检测系统产品介绍产品介绍 6 5 1 1 6 5 1 1 系统简介系统简介 网威 网络入侵侦测系统是由北京中科网威信息技术有限公司积累多年 的安全产品开发经验 在充分调研国内外相关产品和精心准备的基础上独立开 发的一款基于网络的实时入侵侦测及响应系统 网威 系列产品在产品的检测能力 响应能力以及系统自身的保护能力 等方面都进行了精心的设计 该系统作为防火墙的重要补充 与防火墙组成动 态防御 预警系统 它能够监视 10M 100M 1000M 局域以太网上传输的所有网络 数据信息 根据用户指定的保护目标及检测策略对网络上传输的数据进行深度 分析 当可疑行为或攻击行为发生时立即产生警报 同时根据用户需要能采取 多种响应措施 包括立即切断连接会话 重新配置防火墙 发送 SNMP Trap 消 息 发送电子邮件等 系统采用引擎 控制台结构 网络引擎 以专用硬件形式提供 部署于网络 中各个关键点 通过网络和中央控制台 运行于 Windows 平台 交换信息 网 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 26 页 络引擎软件部分运行于安全操作系统之上 负责网络数据的数据获取 分析 检测 对警报进行过滤和实时响应 并发送给控制台进行显示和记录 控制台 负责警报信息的实时显示 记录 查阅等 并支持用户定制检测 响应策略和 控制网络引擎 6 5 1 2 主要功能 网威 网络入侵侦测系统具备一般网络入侵侦测系统的主要功能 同时 针对网络入侵侦测系统面临的威胁和网络入侵侦测系统发展方向开发出多项具 有针对性的新功能 此外该系统对于国内外流行的防火墙 包括中科网威 长 城 防火墙 提供互动接口 具有较完备的检测 响应 互动能力 是一款高 效实用的入侵防范工具 它的具体功能如下 5 5 2 2 1 1 引擎集中管理功能引擎集中管理功能 管理员在中央控制台可以直接控制各个引擎的行为 包括启动 停止 添 加 删除引擎 也可以按照引擎查看 删除 查询实时警报 此外 在必要的 时候用户还可以通过串口连接引擎主机 通过专用界面对引擎进行控制 包括 启动 停止 查看 设置网络接口状态 查看引擎运行状态以及系统维护等 5 5 2 2 2 2 策略管理功能策略管理功能 策略管理功能为用户提供了一个根据不同网段的危险程度 灵活配置安全 策略的工具 网络管理员可以利用策略管理功能 轻松地针对特定的引擎定制 策略 以满足不同的网段对网络安全的要求 同时可以自定义规则 网络管理 员还可以通过 对象管理 菜单 方便地对已经制定的策略进行网络对象 服 务对象 响应方式以及响应对象修改 同时 策略管理功能还向用户提供了入侵侦测规则的扩充能力 网络管理 员可以根据自己需要定制入侵侦测规则 直接应用于网络引擎 很快实现网络 管理员的安全意图 5 5 2 2 3 3 实时入侵侦测功能实时入侵侦测功能 能实时识别各种基于网络的攻击及其变形 包括 DoS 攻击 CGI 攻击 溢 网络入侵检测系统安全解决方案 北京中科网威信息技术有限公司 第 27 页 出攻击 后门探测和活动等 检测攻击或者可疑行为是一般入侵侦测系统的必 要功能 但是大多存在着误报率和漏报率较高的问题 网威 网络入侵侦测系 统部分的解决了这个问题 通过深入的应用协议分析去除干扰并还原攻击本来 面目 成功的降低了误报率和漏报率 使得大量使用 安全扫描 类的黑客工 具进行的变形攻击毫无效果 同时去除了干扰 降低了误报率并减轻了检测引 擎的工作压力 有利于提高性能 目前可以检测 26 大类 1000 余种攻击行为 及其变形 5 5 2 2 4 4 警报过滤功能警报过滤功能 能根据定制的条件 过滤重复警报事件 减轻传输与响应的压力 同时还 能保证警报信息不被遗漏 它能够明显缓解目前针对网络入侵侦测系统的 DoS 攻击 使得系统能够保持不间断稳定工作 5 5 2 2 5 5 实时响应功能实时响应功能 根据用户定义 警报事件在经过系统过滤后进行及时响应 包括实时切断 连接会话 重新配置防火墙 彻底屏蔽攻击 给管理员发送电子邮件 发送 SNMP Trap 报警 控制台实时显示 数据库记录等等 5 5 2 2 6 6 防火墙互动开放接口防火墙互动开放接口 OpenIDSOpenIDS 为了提高网络安全产品之间协同工作 动态防护的互操作性 中科网威提 供了入侵侦测系统与防火墙互动的开放接口 OpenIDS 通过 OpenIDS 可以根 据设定好的阻断时间 通知防火墙选择的进行相应 IP 地址 协议端口的阻断 OpenIDS 现提供两种接口方式 开发包和可运行的 Agent 目前支持 Linux 不需要防火墙厂商进行二次开发 目前可以和 网威 网络入侵侦测系统实现互动的防火墙有包括 中科网 威 长城 防火墙 联想 网御 防火墙 CheckPoint FireWall 1 和天融信 防火墙等 5 5 2 2 7 7 报表统计和数据库维护功能报表统计和数据库维护功能 网威 网络入侵侦测系统提供了非常简便的入侵警报统计和报表工具 用户可以根据各种可选条件 例如 引发报警数据包的源 IP