加载中…
信息安全三十六计之以逸待劳——谈文件完整性保护系统
(2006-05-13 09:26:38)| 分类: 信息安全 |
信息安全三十六计之以逸待劳
以逸待劳是三十六计的第四计,原文是这样的:
困敌之势,不以战;损刚益柔。
就是说迫使敌入处于围顿的境地,不与之缠斗。以“刚”比喻敌人,以“柔”比喻自己,意谓困敌可用积极防御、逐渐消耗敌人的有生力量,使之由强变弱,而我因势利导又可使自己变被动为主动,不一定要用直接进攻的方法,同样可以制胜。
从某种意义上说,信息安全的保护也是一场旷日持久的战争,由于计算机网络的扩大和变得更加复杂,渗透到网络中的机会也变大了。而基础设施更加容易被误操作并受到恶意攻击的同时,黑客技术和工具正变得日益奥妙。由于今天存在的对系统的广泛威胁,系统管理员需要使用各种各样的安全工具来有效地保护他们的系统。那么在信息安全的保卫战中,我们是取“刚”,“头痛医头、脚痛医脚”,而陷入困顿;还是取“柔”,以逸待劳,陷敌人于困顿呢?答案是显而易见的。那么,我们怎样在保卫信息安全的战斗中,以逸待劳呢?
“以逸待劳”之计的关键在于掌握主动权,待机而动,以不变应万变,以静对动,是放敌方处于困难局面,不一定只用进攻之法。信息安全之战中,“以逸待劳”之计的关键是主机、服务器的安全。主机、服务器的头号安全卫士当属文件或系统完整性检查工具,例如Tripwire,这种工具是以简单的方法进行安全的防护,以不变应万变。
黑客入侵的方法是多种多样的,例如端口扫描式的情报收集攻击、口令猜测式的利用控制攻击或SYN洪水式的拒绝服务攻击等,其目标的核心是主机、服务器。管理者想把黑客拒之门外,通常会首先重视保护网络边界,密切监测防火墙等,这是对安全需求的自然反应,但主机才是应该首先关注的。文件完整性工具以守住主机为不变,应对变化万千的攻击手段。文件完整性工具第一步验证完整性,接着构筑用户自身的边界防线。因为多数恶意入侵发生在组织内部,攻击者已经获取了访问网络的密码,并能彻底规避边界防御。没有基于主机的完整性评估解决方案,安全管理人员和网络、系统管理员真的会没有头绪。他们也许知道他们被抢劫了,却不知道被偷去了什么,更不知如何响应或应急恢复。
文件完整性保护系统用于检测网络服务器中静态数据的完整性,并通知管理员有关数据的任何更改。它监视所有的文件更改--不论它们是组织内部还是外部创建的。它也能识别其他数据属性的变动,包括文件大小、访问标识和写入时间,并显示在易于阅读的报告中。
“以逸待劳”的战术的核心是防御。文件完整性保护系统能够:
保护系统文件。目前,几乎所有的安全工具均是针对网络的安全而发生作用的,比如防火墙。那么存贮在服务器上的系统文件谁来保护呢?网管能够保证这些文件的安全性吗?
保护应用系统和数据。在许多服务器上,运行着重要的应用系统。比如网站的数据库服务器
保护防火墙和IDS等安全工具。现在许多网络没有考虑对安全工具的保护。如果这些安全工具被攻破或篡改,它们将起不到保护网络安全的作用。
文件完整性保护系统不仅能够保护这些数据和系统,而且保护能力强大:
基于文件的数据完整性检查。由于是基于文件的检查,因此支持绝大多数的应用系统,而不会发生冲突或是兼容性问题。
全面的检查能力。可以检测任何文件,因此在策略文件中管理员可以加入想要检测的任何系统文件或应用系统文件,从而实现最全面的检测。
精确的检查能力。使用了多种消息摘要函数监控文件的内容,即使是最微小的内容改变也会被觉察到。还可以监控UNIX文件系统的14种属性和Windows文件系统(包括注册表)的24种属性。即使是文件内容没有被修改,也能够发现文件的更动。
灵活的策略编写。管理员可以定义规则的名称和风险等级,扫描时可以只检查或不检查特定名称和风险等级的规则。此外,系统还内置了数种属性集合定义,大大节省了用户的策略编写时间。
文件完整性保护系统的信息安全防御是主动和动态的。
它具有快速察觉的功能,通过将可疑的数据与数据库中已知的可靠数据进行比较来检测数据和文件的完整性。强有力的查询覆盖广泛的区域,能够快速告知发生的更改。
它具有无以伦比的恢复能力。给予行业最全面的恢复能力。在一次完整性检查完成后,立即自动产生损坏情况的详细报告。
它具有高效管理性。管理员可以利用它通过SSL加密连接进行远程管理,快速安全地管理整个企业中部署的文件完整性保护系统。
它可以评估损失,使公司迅速恢复业务工作。就象许多系统管理员表明的那样,发现一个入侵行为只是开始。在一个黑客闯入后,有一个难以解决的问题出现了:哪些系统受到了影响?哪些文件被更改了?文件完整性保护系统是系统管理员回答这些问题的最有价值的工具。通过识别出受到危害的计算机或文件,它集中于需要恢复的地方,而非整个网络。在网络已经受到黑客入侵的情况下,时间是宝贵的。检查出错地点所花费的每一秒钟都使黑客有时间更加深入地渗透到网络钟来。
它可以去除黑客创建的任何“后门”。攻击者可能安装了工具包,网络嗅探器或其他恶意代码,使他或她可以收集网络的信息并重新进入网络。明显地,必须找到并删除这些程序,但是它们可能被伪装成合法的系统文件,使自己难以被发现。因为文件完整性工具使用密码算法在系统中扫描文件的内容,即使黑客通过改变文件名或访问时间来掩盖他的踪迹,它也可以发现被破坏的文件。
它建立的数据库可以用来进行犯罪现场取证。被攻击的系统就是一个犯罪现场。在系统恢复过程中,系统管理员应当收集证据以用来起诉入侵者,如果他们被找到的话。例如,如果一个黑客在系统中安装了恶意程序,而这些相同的程序又在他或她的电脑中被发现了,这个数字“指纹”就是一个重要的证据。文件完整性保护系统在犯罪现场取证和从被攻击的系统中为法庭确立"证据线索"方面是一个极有价值的工具。
提升消费者的忠诚度和持久度的最好方法就是彻底信任,具有以安全方式管理的有效系统能提供一个安全而可信的交易环境……以后,安全会与整个电子商务模式完全融合来迎合电子商务的行业需求。安全将成为贸易中具有固有价值的组成部分。
文件完整性保护系统必须包括在任何提供可信赖基础构造的安全体系中。
以逸待劳是三十六计的第四计,原文是这样的:
困敌之势,不以战;损刚益柔。
就是说迫使敌入处于围顿的境地,不与之缠斗。以“刚”比喻敌人,以“柔”比喻自己,意谓困敌可用积极防御、逐渐消耗敌人的有生力量,使之由强变弱,而我因势利导又可使自己变被动为主动,不一定要用直接进攻的方法,同样可以制胜。
从某种意义上说,信息安全的保护也是一场旷日持久的战争,由于计算机网络的扩大和变得更加复杂,渗透到网络中的机会也变大了。而基础设施更加容易被误操作并受到恶意攻击的同时,黑客技术和工具正变得日益奥妙。由于今天存在的对系统的广泛威胁,系统管理员需要使用各种各样的安全工具来有效地保护他们的系统。那么在信息安全的保卫战中,我们是取“刚”,“头痛医头、脚痛医脚”,而陷入困顿;还是取“柔”,以逸待劳,陷敌人于困顿呢?答案是显而易见的。那么,我们怎样在保卫信息安全的战斗中,以逸待劳呢?
“以逸待劳”之计的关键在于掌握主动权,待机而动,以不变应万变,以静对动,是放敌方处于困难局面,不一定只用进攻之法。信息安全之战中,“以逸待劳”之计的关键是主机、服务器的安全。主机、服务器的头号安全卫士当属文件或系统完整性检查工具,例如Tripwire,这种工具是以简单的方法进行安全的防护,以不变应万变。
黑客入侵的方法是多种多样的,例如端口扫描式的情报收集攻击、口令猜测式的利用控制攻击或SYN洪水式的拒绝服务攻击等,其目标的核心是主机、服务器。管理者想把黑客拒之门外,通常会首先重视保护网络边界,密切监测防火墙等,这是对安全需求的自然反应,但主机才是应该首先关注的。文件完整性工具以守住主机为不变,应对变化万千的攻击手段。文件完整性工具第一步验证完整性,接着构筑用户自身的边界防线。因为多数恶意入侵发生在组织内部,攻击者已经获取了访问网络的密码,并能彻底规避边界防御。没有基于主机的完整性评估解决方案,安全管理人员和网络、系统管理员真的会没有头绪。他们也许知道他们被抢劫了,却不知道被偷去了什么,更不知如何响应或应急恢复。
文件完整性保护系统用于检测网络服务器中静态数据的完整性,并通知管理员有关数据的任何更改。它监视所有的文件更改--不论它们是组织内部还是外部创建的。它也能识别其他数据属性的变动,包括文件大小、访问标识和写入时间,并显示在易于阅读的报告中。
“以逸待劳”的战术的核心是防御。文件完整性保护系统能够:
保护系统文件。目前,几乎所有的安全工具均是针对网络的安全而发生作用的,比如防火墙。那么存贮在服务器上的系统文件谁来保护呢?网管能够保证这些文件的安全性吗?
保护应用系统和数据。在许多服务器上,运行着重要的应用系统。比如网站的数据库服务器
保护防火墙和IDS等安全工具。现在许多网络没有考虑对安全工具的保护。如果这些安全工具被攻破或篡改,它们将起不到保护网络安全的作用。
文件完整性保护系统不仅能够保护这些数据和系统,而且保护能力强大:
基于文件的数据完整性检查。由于是基于文件的检查,因此支持绝大多数的应用系统,而不会发生冲突或是兼容性问题。
全面的检查能力。可以检测任何文件,因此在策略文件中管理员可以加入想要检测的任何系统文件或应用系统文件,从而实现最全面的检测。
精确的检查能力。使用了多种消息摘要函数监控文件的内容,即使是最微小的内容改变也会被觉察到。还可以监控UNIX文件系统的14种属性和Windows文件系统(包括注册表)的24种属性。即使是文件内容没有被修改,也能够发现文件的更动。
灵活的策略编写。管理员可以定义规则的名称和风险等级,扫描时可以只检查或不检查特定名称和风险等级的规则。此外,系统还内置了数种属性集合定义,大大节省了用户的策略编写时间。
文件完整性保护系统的信息安全防御是主动和动态的。
它具有快速察觉的功能,通过将可疑的数据与数据库中已知的可靠数据进行比较来检测数据和文件的完整性。强有力的查询覆盖广泛的区域,能够快速告知发生的更改。
它具有无以伦比的恢复能力。给予行业最全面的恢复能力。在一次完整性检查完成后,立即自动产生损坏情况的详细报告。
它具有高效管理性。管理员可以利用它通过SSL加密连接进行远程管理,快速安全地管理整个企业中部署的文件完整性保护系统。
它可以评估损失,使公司迅速恢复业务工作。就象许多系统管理员表明的那样,发现一个入侵行为只是开始。在一个黑客闯入后,有一个难以解决的问题出现了:哪些系统受到了影响?哪些文件被更改了?文件完整性保护系统是系统管理员回答这些问题的最有价值的工具。通过识别出受到危害的计算机或文件,它集中于需要恢复的地方,而非整个网络。在网络已经受到黑客入侵的情况下,时间是宝贵的。检查出错地点所花费的每一秒钟都使黑客有时间更加深入地渗透到网络钟来。
它可以去除黑客创建的任何“后门”。攻击者可能安装了工具包,网络嗅探器或其他恶意代码,使他或她可以收集网络的信息并重新进入网络。明显地,必须找到并删除这些程序,但是它们可能被伪装成合法的系统文件,使自己难以被发现。因为文件完整性工具使用密码算法在系统中扫描文件的内容,即使黑客通过改变文件名或访问时间来掩盖他的踪迹,它也可以发现被破坏的文件。
它建立的数据库可以用来进行犯罪现场取证。被攻击的系统就是一个犯罪现场。在系统恢复过程中,系统管理员应当收集证据以用来起诉入侵者,如果他们被找到的话。例如,如果一个黑客在系统中安装了恶意程序,而这些相同的程序又在他或她的电脑中被发现了,这个数字“指纹”就是一个重要的证据。文件完整性保护系统在犯罪现场取证和从被攻击的系统中为法庭确立"证据线索"方面是一个极有价值的工具。
提升消费者的忠诚度和持久度的最好方法就是彻底信任,具有以安全方式管理的有效系统能提供一个安全而可信的交易环境……以后,安全会与整个电子商务模式完全融合来迎合电子商务的行业需求。安全将成为贸易中具有固有价值的组成部分。
文件完整性保护系统必须包括在任何提供可信赖基础构造的安全体系中。
喜欢
0
赠金笔
前一篇:透过产品看IDS方向