加载中…
入侵检测系统加强电力企业的网络安全监控与管理
(2006-05-13 08:45:37)| 分类: 信息安全 |
一、前言
电力工业是国民经济的重要基础工业,是国家经济发展战略中的重点和先行产业。在信息化成为社会发展潮流的现今,管理信息系统已经在各个电力公司的的生产、经营中起着越来越重要的作用,成为现代化管理不可缺少的手段。然而,信息管理系统为企业发展带来生机的同时也带来了信息安全问题。
电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前电力行业信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。
对电力系统的网络安全进行监控可以测试电力企业所实施的安全策略和控制手段是否有效。同时,安全监控是检测系统及网络是否有可疑或不正常的通讯的有效办法。这个步骤用于检测网络的潜在漏洞或非授权行为,同时,它可以提醒管理人员网络现有的安全隐患及应采取什么样的防护措施。一旦电力企业系统发生安全事故,管理人员应依据监控系统所提供的警示,采取必要的步骤,在最短的时间恢复系统,以减少企业的损失。
二、入侵检测系统使电力企业网络安全风险可见
1.安全风险可见的意义
安全风险的可见,可以及时发现安全问题,从而解决问题。安全风险或危险,只有可见,才能有效控制其危害的程度。
在网络系统环境下,通过入侵检测系统,网络和系统上的操作行为和系统活动变得的可见,网络系统的安全状况通过这些行为与活动反映出来。
由于网络和系统上的操作行为和系统活动的可见,即使发生安全事故,也能及时查找和分析事故的原因,明确事故责任人。
网络和系统上的操作行为和系统活动的可见,可以增强安全管理的威慑力量。防止部分不法分子铤而走险。
只有提高安全风险的可见度,才能加强安全风险的可控性。可见才可控。
2.入侵检测系统如何使安全风险可见
● 传感器是入侵检测系统的眼睛
传感器是安全信息的探测器,就像是入侵检测系统的眼睛,它能够察看和分析网络和系统中的安全信息。
● 基于传感器的分布式结构
传感器的分布式结构,使得传感器能够部署到网络系统的各个关键环节,关键主机和网络上的关键路径。
● 主机入侵检测与网络入侵检测
主机入侵检测与网络入侵检测的结合,使得安全信息的搜集可以遍布信息系统的各个角落。“眼睛”察看的对象可以是网络数据包,可以是系统日志,可以是注册表,可以是文件,可以是系统事件,可以是特定应用。以网络数据包为例,“眼睛”察看的方式可以是按IP地址、按端口、按服务类型、按用户、按服务器、按可疑对象。
● 从网络层到应用层的检测
可以对单个数据包做分析,也可以对数据包进行重组做分析。可以在IP层做分析,可以在TCP层做分析,可以在应用层做分析。在应用层,可以对HTTP协议进行分析,也可以对邮件进行分析,还可以对数据库数据传输进行分析。
● IDS的“眼睛”是智能眼
入侵检测系统是基于知识和推理的专家系统。它对网络和系统信息的安全分析具有智能化,它能够化腐朽为神奇,将不可理解的二进制数据转化为易于理解的网络与系统的活动信息和入侵的事件。它可以你的眼睛看到网络和系统安全的方方面面,它可以告诉你网络中究竟发生了什么,它可以告诉你怎样解决问题,它可以让普通的网络管理员成为安全的专家。
三、入侵检测系统使电力企业进行可视化的安全管理
安全的核心是管理,入侵检测系统以其特有扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测系统是电力企业进行安全管理,构筑信息网络动态安全和整体安全的必备手段。
IDS在安全风险可见性上具有的天然优势还必须通过可视化的管理手段体现出来的。可视化体现在安全信息的易理解性和安全的可管理性。
1.安全信息的易理解性
安全信息的易理解性表现在网络信息的人文化、安全信息的图表化和信息挖掘。
● 高质量的安全事件描述
IDS易用性的一个非常重要的方面就是报警事件描述的质量。几乎所有的IDS都会提供对报警事件的详细描述,报警事件的描述一般包括:事件名称、事件介绍、发布日期、影响的平台和解决的方法。事件描述中能够提供网站的连接,告诉他操作的思路。很多IDS提供了防火墙联动的功能,在事件的描述中告诉用户如何利用联动阻止攻击,在事件描述中不仅告诉用户事件的起源、影响平台等,还告诉客户如何利用好IDS来一定程度的解决问题。
● 网络信息的人文化
网络信息的人文化是指网络信息与客户的人文信息相结合。网络信息是指网络资源信息和网络结构信息,表现为员工的工作站,企业的服务器,外网的IP地址,或者其它网络设备信息。人文信息主要指员工信息、部门信息和组织结构信息,而且对服务器也可用简单易记的名称代表。员工的主机名或用户名与IP地址绑定,服务器名与IP地址绑定,在活动TCP连接窗口中显示的不再是难以理解与记忆的IP地址,而是主机名或服务器名,例如: 安全事件的地址信息为IP地址192.168.3.9,这种信息难于理解和记忆。(所以互联网有专门的域名系统,例如新浪的IP地址是:202.101.43.242,而人们往往用www.sina.com.cn这种容易理解和记忆的名字,这种用法已成为业界的标准)。 与安全事件窗口中的安全事件对应是与此事件相关的源主机和目标主机名,员工的网络行为、对服务器的访问连接和安全事件的相关者(入侵者、受攻击者)可以一目了然。而且员工可以与部门信息组合在一起,将安全管理与安全策略结合起来。
● 安全信息分类
对安全信息进行分类有助于用户对信息的浏览,并迅速识别其关注的事件。 举一个互联网门户网站的例子,如Yahoo, SOHU。互联网上的信息如浩瀚海洋,因为有了Yahoo, SOHU这样门户网站对信息进行分类,所以互联网用户可以很快找到所需要的信息。而给客户带来方便也是Yahoo, SOHU的商业模式。 这个例子可以见到信息分类对用户的重要性。入侵检测系统也需要这样分类。
一方面因为入侵检测系统生成的安全信息的特点决定了可以对信息进行分类,如按传感器分类可以汇总某个网络节点(或网段)的安全信息,按报警级别的分类可以总结网络的危险程度,按源地址的分类可以总结某个地址的危害程度,按目标地址的分类可以总结某个地址的危险程度。如果实现用户IP地址绑定、功能服务器分组和用户分组功能,就可以做到按服务器分类可以汇总服务器上的安全信息,对用户/主机的分类可以汇总属于部门的安全信息。
另一方面是因为入侵检测系统会产生大量的报警事件,通过信息分类可以提高安全信息之间的关联性,便于信息的浏览,对于重要的信息也能够一眼识别。
● 安全信息的过滤
在大量信息的情况下,总有不少信息是冗余的,所以重要信息的重点监测就显得尤为重要。可以对某个重点地址(如果是目标地址就是重点保护的主机/服务器,如果是源地址就是重点防范的对象)、重点网段、重点事件、重点服务进行重点检测。可以实时重点检测对象的行为过程,也可以检测重点对象的出现和消失。
● 安全信息的图表化
安全信息通过各种图形、报表和报告等形式表达给客户。
● 信息挖掘
为了透过安全信息挖掘出更有价值的信息,需要对事件进行关联性的分析,包括网络事件与网络事件、主机事件与主机事件、网络事件与主机事件。并提供:
★ 网络异常报告
★ 对反常行为模式的统计分析
★ 有安全隐患的服务器及服务列表
★ 有攻击嫌疑的地址列表
2.安全的可管理性
安全的可管理性表达了对安全易于管理的程度。通过各种管理手段方便用户对安全信息的掌握和对安全的控制。
● 信息的可管理性
系统对安全风险管理的对象进行分类,如员工对象、服务对象、服务器对象等,并对各个对象进行分类管理,如内部员工管理、服务管理、服务器管理。
对内部员工的管理,建立IP地址和内部员工的映射关系,通过IP地址可以反查用户名,通过用户名反查IP地址。
对用户分组,例如按部门分组,以用户组为单位进行监控,部门发生的网络行为和系统活动一目了然。
对重要服务器的管理,可以设定重要服务器的IP地址和开放端口,有针对服务器的安全策略。可以建立服务器组,将服务器归类监控和管理。
系统还具有网络流量的统计功能,例如网络流量与流量分布;可以根据主机(IP)地址统计,根据服务(HTTP,邮件,FTP等)统计,目的是防止资源滥用。
● 控制的可管理性
入侵检测系统对网络的控制手段有:中断TCP会话、伪造ICMP应答、阻塞HTTP请求、模拟SYN/ACK和执行用户自定义程序等。
系统可以根据用户(或源IP)禁止,可以根据目的IP禁止,可以根据端口禁止。
限定用户资源使用权限的手段有:中断TCP会话、伪造ICMP应答、阻塞HTTP请求、模拟SYN/ACK和执行用户自定义程序等。
系统还可以限定用户组的资源使用权限,可以针对服务器设定可对其进行访问的地址。
入侵检测系统还可以与防火墙进行联动,构筑立体化的防护体系。
喜欢
0
赠金笔
前一篇:防火墙性能优化指南
后一篇:2006,内网安全市场的增长期