【導讀】信息系統(tǒng)安全解決方案建議書

　　

【正文】 法對于網絡中的數據包將首先進行協(xié)議分析，當分析到應用層的協(xié)議后，在將協(xié)議的數據內容 和模式匹配庫中的代碼進行比較。這樣的方法可以大大提高匹配的收斂速度，提高性能。 部署類型 基于網絡的入侵檢測 安裝基于網絡入侵檢測（ NIDS）的主機的網絡適配卡連接到被監(jiān)控的網段上。 NIDS 將網絡適配卡設成 promiscuous 模式，可收到本地網段上的所有數據流。當一個包符合了當前有效的過濾規(guī)則時，會被解碼并進行攻擊特征識別分析。每個活動的過程都被保持和跟蹤，這樣跨越了許多包的攻擊特征就可以被檢測出來。因此，當一個“感興趣事件”被檢測到時， NIDS會采取合適的動作。 NIDS 如何部署在交換網絡 中 NIDS 運行在交換式網絡中，有以下三個解決方案： 策略性地布置 Network Sensor 很多情況下，只要仔細地分析網絡的結構和交換器的位置，就可找到好的安全解決方案。比如，如果一個交換機的端口與連接 Inter 的路由器相連，那么就應當在交換機和路由器之間連接一個小 HUB，將 NIDS連接在這個點上。這樣就可以防護來自 Inter 的攻擊，而不處理網絡的其它部分。另外，還可以使用交換機的管理端口甚至一個 VLAN。一些 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 23 交換機（比如， Cisco Catalyst）有一個管理端口（有時稱為 span 端口 ）可以鏡像一個或多個指定端口的數據流?？梢詫?NIDS 配置在這樣的管理端口上，通過鏡像的方式獲得多個端口的數據流。如果交換機的一個端口里連接 Inter 路由器，則可以鏡像連接路由器的這個端口。如果交換機連接多臺重要內聯網服務器，則可以鏡像連接服務器的這幾個端口?，F在，已經有很多交換機支持這種功能。 使用 HIDS 由于 HIDS 是基于主機的工作方式，因此完全不會受到交換方式的影響。在連接交換環(huán)境的服務器上安裝 HIDS，對每個服務器進行保護。將 NIDS、HIDS 結合使用，會達到很好的防護效果。 直接連接交換器本 身 實際上，交換機中已經有網絡上所有端口的數據流，因此完全可以將交換機與入侵檢測引擎集成。這種集成工作需要與交換機廠商合作。 基于主機的入侵檢測 基于主機入侵檢測 (HIDS)的操作系統(tǒng)傳感器在被保護服務器上運行一個進程。每當操作系統(tǒng)產生一個新的日志記錄項，操作系統(tǒng)會向 HIDS發(fā)出中斷。 HIDS 讀取新的日志記錄項，與監(jiān)控特征進行對比，如果匹配會發(fā)起適當的響應。由于一些特征會涉及多個日志記錄項，因此 HIDS 會同時維護和監(jiān)控一些用戶活動流的狀態(tài)。 基于應用的入侵檢測 由于應用千變萬化，因此開發(fā)和購買一個統(tǒng)一的 基于應用的入侵檢測系統(tǒng)是比較困難的。因此在基于應用的入侵檢測主要有兩個方面： 一個方面就是針對不同的應用專門開發(fā)對應的入侵檢測模塊，可以和該應用系統(tǒng)的日志系統(tǒng)結合起來；另外一個方面就是開發(fā)比較通用的應用的入侵檢測，比如 Web 應用的入侵檢測。 應用系統(tǒng)的一般入侵檢測方法 對于一般應用系統(tǒng)，建議在應用系統(tǒng)的開發(fā)過程中，就考慮安全問題。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 24 包括，訪問控制、日志審計、加密等等。 可以規(guī)定該應用系統(tǒng)的正常訪問行為，并且開發(fā)一個安全審計模塊。給模塊包括日志和監(jiān)控方面的功能。在應用系統(tǒng)投入運行時，該審計模塊也同時啟動。 如果 可以將應用系統(tǒng)的訪問行為在網絡層和系統(tǒng)層加以描述，就可以將該應用系統(tǒng)的正常行為和異常行為描述給 NIDS 或者 HIDS。這樣這些 IDS就可以幫助應用系統(tǒng)進行入侵檢測。 WEB 應用的入侵檢測 對于像 Web 應用這樣的比較通用的應用形式，可以總結出比較通用的入侵檢測模式。這樣的入侵檢測系統(tǒng)一般和應用的訪問控制系統(tǒng)相結合使用。比如， Baltimore 的 SelectAccess。 入侵檢測的動態(tài)響應機制 入侵檢測主要是一個發(fā)現機制，這樣一個發(fā)現機制要充分和響應機制相配合才能發(fā)揮更大的作用。 目前典型的 IDS 響應機制主要是： NIDS 和防火墻的響應。 優(yōu)勢 這是一個比較完善的解決方案，能對信息系統(tǒng)核心網以及核心服務器集群、對外連接和數據傳送進行全面的監(jiān)控，并且對重要資產都進行了較為妥善的保護，該解決方案具備一定的先進性，保護投資。 不足 NIDS 網絡入侵檢測系統(tǒng)投資較大，會在網絡設備上做一些配合措施。 HIDS 需要在主機上添加監(jiān)控代理，可能會引起主機性能的降低。 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 25 推薦意見 采用 NIDS 網絡入侵檢測系統(tǒng)監(jiān)控方案，只需要在相應的監(jiān)控端口上設置PORT MIRROR 進行流量鏡像即可， 不需要對系統(tǒng)的網絡架構和服務器集群以及業(yè)務產生影響。 不推薦采用 HIDS 方案，由于 HIDS 需要在主機上添加代理 Agent，需要消耗主機本身的性能，同時，如果維護不當或者處理不當，也有可能引起系統(tǒng)性能的不穩(wěn)定；而且，目前信息系統(tǒng)現有的主機系統(tǒng)本身已經不是特別穩(wěn)定，因此，不建議采用 HIDS 方案。 安全評估系統(tǒng) 方案設計 掃描是網絡安全防御中的一項重要技術，其原理是根據已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。目標可以是工作站、服務器、交換機、數據庫應用等各種對象。然后根據掃描結 果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網絡安全整體水平產生重要依據。在網絡安全體系的建設中， 安全掃描工具花費低、效果好、見效快、與網絡的運行相對對立、安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網安全政策的統(tǒng)一和穩(wěn)定。風險評估技術基本上也可分為基于主機的和基于網絡的兩種，前者主要關注軟件所在主機上面的風險漏洞，而后者則是通過網絡遠程探測其它主機的安全風險漏洞。 由于網絡采用的通信協(xié)議并不是為安全通信而設計的，這些協(xié)議和網絡設備存在一些固有的安全隱患，入侵者可利用這些漏洞，通過 網絡實施攻擊?；诰W絡的風險評估技術，主要是模擬黑客攻擊的方法，檢測網絡協(xié)議、網絡服務、網絡設備等方面的漏洞。 現代操作系統(tǒng)代碼數量巨大，成百上千工程師的共同設計編制，很難避免產生安全漏洞。隨著及計算機技術的發(fā)展，操作系統(tǒng)的功能越來越強大，但配置越來越復雜。面對橫跨多種平臺、不同版本、不同種類的操作系統(tǒng)，系統(tǒng)管理員顯 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 26 得力不從心，經常會造成配置上失誤，產生安全問題。系統(tǒng)安全漏洞涉及口令設置、文件權限、賬戶管理、組管理、系統(tǒng)配置等?；谥鳈C的風險評估技術，主要檢查操作系統(tǒng)本身固有的安全漏洞和系統(tǒng)文件的不安全配 置。并指示用戶如何修補漏洞以使操作系統(tǒng)安全風險降到最小，也就增加了整個網絡系統(tǒng)的安全性。 越來越多的關鍵業(yè)務系統(tǒng)和寶貴的信息資源依賴于數據庫平臺，數據庫本身的漏洞和錯誤配置同樣會引起嚴重的安全問題。數據庫風險評估技術主要針對數據庫系統(tǒng)的授權、認證和完整性方面進行安全漏洞檢測。 建議 xxx 銀行 信息系統(tǒng)在省中心安全網段設置一臺安全評估服務器，安裝網絡掃描器和數據掃描器。 網絡掃描器對整個信息系統(tǒng)，包括省行中心、各個地市分行和營業(yè)網點的路由器、交換機、防火墻、主機等系統(tǒng)進行定期評估，發(fā)現最新的漏洞，輸出安全報告， 并及時進行修補，同時，對于地市的設備，如果有漏洞產生，省行中心派發(fā)報告，通知相應的管理員進行針對性修補。 針對核心數據庫系統(tǒng)，定期進行數據庫安全掃描，發(fā)現數據庫系統(tǒng)可能存在的認證、授權和賬號等漏洞或者弱點，及時進行修補和改正。 同時，結合信息庫，定期對掃描評估的結果錄入到信息庫中，完善整個信息資產的安全管理，不斷提高和改進信息系統(tǒng)的安全狀況。 因 xxx 銀行 安全建設實際情況的限制，只建議在省行中心配置一套網絡漏洞掃描器。 可行性分析 風險管理是當前企業(yè)網絡運行的最重要的挑戰(zhàn)之一。有效的、及時的風險管理是對信息資產和安全投資的效益最大化。其中，風險評估是技術最為成熟的一環(huán)。 有效的風險評估的關鍵在于評估的全面性、及時性，以及對風險評估結果的處理上。在這些特性上面，都與安全管理平臺的特性相吻合。 網絡層安全 網絡層是網絡入侵者進攻信息系統(tǒng)的渠道和通路。許多安全問題都集中 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 27 體現在網絡的安全方面。 由于大型網絡系統(tǒng)內運行的 TPC/IP 協(xié)議并非專為安全通訊而設計，所以網絡系統(tǒng)存在大量安全隱患和威脅。網絡入侵者一般采用預攻擊探測、竊聽等搜集信息，然后利用 IP 欺騙、重放或重演、拒絕服務攻擊（ SYN FLOOD， PING FLOOD 等）、分布式拒絕服務攻擊、篡改、堆棧溢出 等手段進行攻擊。 主機安全 由于現代操作系統(tǒng)的代碼龐大，從而不同程度上都存在一些安全漏洞。一些廣泛應用的操作系統(tǒng)，如 Unix， Window NT，其安全漏洞更是廣為流傳。另一方面，系統(tǒng)管理員或使用人員對復雜的操作系統(tǒng)和其自身的安全機制了解不夠，配置不當也會造成的安全隱患。操作系統(tǒng)自身的脆弱性 對操作系統(tǒng)這一層次需要功能全面、智能化的檢測，以幫助網絡管理員高效地完成定期檢測和修復操作系統(tǒng)安全漏洞的工作。系統(tǒng)管理員要不斷跟蹤有關操作系統(tǒng)漏洞的發(fā)布，及時下 載補丁來進行防范，同時要經常對關鍵數據和文件進行備份和妥善保存，隨時留意系統(tǒng)文件的變化。 數據庫安全 許多關鍵的業(yè)務系統(tǒng)運行在數據庫平臺上，如果數據庫安全無法保證，其上的應用系統(tǒng)也會被非法訪問或破壞。數據庫安全隱患集中在： 系統(tǒng)認證：口令強度不夠，過期帳號，登錄攻擊等。 系統(tǒng)授權：帳號權限，登錄時間超時等。 系統(tǒng)完整性： Y2K 兼容，特洛伊木馬，審核配置，補丁和修正程序等。 技術可行性 風險評估的手段多種多樣，例如掃描、白客（滲透）測試、審計等。掃描是最為流行、重要的一種。 在 Inter 安全領域，掃描器 是自動檢測遠程或本地主機安全性弱點的程序。通過使用一個掃描器，用戶可以不留痕跡地發(fā)現遠程服務器 Xxxx 銀行 信息系統(tǒng)安全解決方案建議書 28 的安全性弱點。掃描器能發(fā)現目標主機的某些內在的弱點，這些弱點可能是破壞主機安全性的關鍵因素。這些關鍵因素便于系統(tǒng)管理員可以檢查自己系統(tǒng)的弱點。掃描器對于網絡的安全性之所以重要，是因為它們能發(fā)現網絡的弱點。如果系統(tǒng)管理員使用了掃描器，它將直接有助于加強系統(tǒng)的安全性，將網絡安全漏洞暴露出來。 優(yōu)勢 網絡安全掃描器 網絡安全掃描器時間策略可以是定時操作，掃描對象是整個網絡。它可在一臺單機上對已知的網絡安全漏洞進 行掃描。目前，網絡掃描器的商業(yè)版本，如 Inter 版本，已能對 1000 種以上的來自通訊、服務、防火墻、 WEB 應用等的漏洞進行掃描。它采用模擬攻擊的手段去檢測網絡上每一個 IP 隱藏的漏洞，其掃描對網絡不會做任何修改和造成任何危害。 主機安全掃描器 主機安全掃描器的時間策略可以是定時操作，掃描對象是操作系統(tǒng)。主機安全掃描器包括引擎和控制臺兩個部分。引擎必須分別裝在被掃描的服務器內部，在一臺集中的服務器上安裝控制臺?？刂婆_集中對各引擎管理，引擎負責對各操作系統(tǒng)的文件、口令、帳戶、組等的配 置進行檢查，并對操作系統(tǒng)中是否有黑客特征進行檢測。 其掃描結果同樣可生成報告。并對不安全的文件屬性生成可執(zhí)行的修改腳本。