【正文】 ? Echo 攻擊檢測 ? Finger 炸彈弱點檢測 ? Land 拒絕服務(wù)攻擊 ? Ping 洪流 ? Ping of Death ? Rwhod 弱點檢測 ? Smurf 拒絕服務(wù)攻擊 ? 同步。目前已支持的攻擊特征示例如下： 網(wǎng)絡(luò)攻擊特征按性質(zhì)可以分為攻擊與解碼兩種，五類表現(xiàn)形式：拒絕服務(wù)攻擊、未授權(quán)訪問嘗試、攻擊前探測、可疑行為、解碼。兩者豐富了監(jiān)測的手段，以達到最佳的防護功能。 這些入侵方法可利用計算機操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)和應(yīng)用程序的一些安全漏洞，對計算機系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)進行干擾和破壞，獲取系統(tǒng)的控制權(quán)、竊取系統(tǒng)文件、阻止系統(tǒng)的正常服務(wù)。能夠檢測識別 Web、 Email、 FTP、 Rlogin、RSH、 Tel、 NFS、 SMB、 SNMP、 DNS 等服務(wù)種類型，并對每一種服務(wù)監(jiān)控策 略提供了配置方法?；?UDP 連北京安盟信息技術(shù)有限公司 —— 解決方案 31 接的數(shù)據(jù)包，則需要管理員根據(jù) NISD 報警日志提供的數(shù)據(jù)手工配置路由器或防火墻阻斷。尋找到網(wǎng)絡(luò)攻擊模式和其他網(wǎng)絡(luò)違規(guī)活動時，入侵檢測系統(tǒng)可以進行如下反應(yīng)： ? 控制臺報警 ? 記錄網(wǎng)絡(luò)攻擊事件 ? 實時阻斷網(wǎng)絡(luò)連接 入侵檢測系統(tǒng)記錄事件的日志詳細的描述了數(shù)據(jù)包的源地址、目的地址、數(shù)據(jù)包類型、 使用的端口、發(fā)生的日期時間以及報警原因等信息。對網(wǎng)絡(luò)流量影響平均低于3%，符合國際工業(yè)標準。 當檢測到網(wǎng)絡(luò)攻擊時： 進行阻斷連接的攻擊響應(yīng)，系統(tǒng)會對試圖攻擊的后續(xù)網(wǎng)絡(luò)信息流有影響。網(wǎng)絡(luò)流量取決于安全控制中心與探測器間的信息流量和能識別攻擊與安全事件的次數(shù)以及日志量。它可以放置在組織范圍內(nèi)的各個網(wǎng)段上，以統(tǒng)一的網(wǎng)絡(luò)安全策略對網(wǎng)絡(luò)進行管理監(jiān)測。控制臺可管理所 有探測器，將探測器發(fā)送來的報警信息和日志信息記入數(shù)據(jù)庫，總控全網(wǎng)安全狀況?？刂婆_可以管理多個探測器。 (5) 綜合 以上 4 種方法進行監(jiān)控其特點是可提高偵測性能，但會產(chǎn)生非常復雜的網(wǎng)絡(luò)安全方案，嚴重影響網(wǎng)絡(luò)的效率，而且目前還沒有一個統(tǒng)一的業(yè)界標準。該技術(shù)不需要任何特殊的審計和登錄機制，只要配置網(wǎng)絡(luò)接口就可以了，不會影響其他數(shù)據(jù)源；其缺點在于如果數(shù)據(jù)流進行了加密，就不能審查其內(nèi)容，對主機上執(zhí)行的命令也感覺不到。這種技術(shù)不依據(jù)歷史數(shù)據(jù)，系統(tǒng)開銷小，可以準確地確定受攻擊的部位，受到攻擊的系統(tǒng)容易恢復；其缺點在于實時性較差，對目標的檢驗數(shù)依賴較大。這種技術(shù)可以用于分布式、加密、交換的環(huán)境中監(jiān)控，把特定的問題同特定的用戶聯(lián)系起來；其缺點在于主機傳感器要和特定的平臺相關(guān)聯(lián)，對網(wǎng)絡(luò)行為不易領(lǐng)會，同時加大了系統(tǒng)的負擔。由于這種技術(shù)可 以更準確地監(jiān)控用戶某一應(yīng)用的行為，所以這種技術(shù)在日益流行的電子商務(wù)中也越來越受到注意，其缺點在于有可能降低技術(shù)本身的安全。 結(jié) 構(gòu)與工作方式 入侵檢測和漏洞檢測系統(tǒng)是防火墻的重要補充，并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能，對網(wǎng)絡(luò)安全進行全方位的保護。 (MIB 庫所一般隨設(shè)備提供 ) /防御 入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全系統(tǒng)的一個重要組成部分，它不但可以實現(xiàn)復雜煩 瑣的信息系統(tǒng)安全管理，而且還可以從目標信息系統(tǒng)和網(wǎng)絡(luò)資源中采集信息，分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號和網(wǎng)絡(luò)系統(tǒng)中的漏洞 ,有時還能實時地北京安盟信息技術(shù)有限公司 —— 解決方案 29 對攻擊作出反應(yīng)。 ? 查找網(wǎng)絡(luò)故障和性能問題。其作用為： ? 預(yù)測網(wǎng)絡(luò)和主機資源的需求，例如網(wǎng)關(guān)流量和服務(wù)器磁盤空間等。數(shù)據(jù)倉庫的信息可以使用 ODBC 工具的標準 SQL語句存取。命令行功能可以維護數(shù)據(jù)倉庫。 Thresholds 功能和網(wǎng)絡(luò)管理系統(tǒng)的 Event Configuration 功能。 （ 4）生成和使用 MIB 表達式 MIB 表達式是 MIB 對象的數(shù)學公式，它令您可以比單獨的 MIB 對象中得到有關(guān)網(wǎng)絡(luò)運行的更有意義的信息。每一個節(jié)點上可以設(shè)置多個閾值，每一個樣本都有一個閾值。還可以通過設(shè)定一個時間間隔進行查詢，采集多個事件，并顯示結(jié)果的圖形。 Thresholds。 Thresholds 配置 NNM，自動地采集您所選擇的 SNMPMIB 對象（設(shè)定特定的采集時間、建立設(shè)備的閾值監(jiān)視、以及控制 Alarm Browser 上所顯示的結(jié)果）。 （ 1）信息采集功能 ? MIB Application Builder 在 NNM 中設(shè)置新的菜單項目，在必要時存取您所選擇的 MIB 對象。您可以配置其它動作顯示在網(wǎng)絡(luò)管理系統(tǒng)的菜單中。一個自動動作命令與特定的事件緊密結(jié)合在一起，并 可以被限制在特定的 IP 主機名稱和 /或者 IPX地址的清單中。 Event Configuration 功能：可以定制事件，例如修改 MIB 生成的錯誤信息的標準措詞，令錯誤信息更加清楚明了。 SNMP MIB Browser 功能：可以裝入和利用各種設(shè)備的 MIB 的功能。當發(fā)生設(shè)備和連接故障時，系統(tǒng)將產(chǎn)生大量事件，而一個關(guān)聯(lián)的事件流中只顯示最有意義的警報，可以更快更簡單地識別網(wǎng)絡(luò)的故障。 Severity 警報的嚴重性 Date/Time 接收該警 報時的星期、日期、和時間 Source 發(fā)出警報的網(wǎng)絡(luò)對象的標識（例如一個節(jié)點名稱） Message 警報的簡要描述 網(wǎng)絡(luò)管理系統(tǒng)的事件關(guān)聯(lián)系統(tǒng) 事件關(guān)聯(lián)通過識別冗余事件的模式 (pattern)，判斷將其舍棄或者用更少更有意義的事件替換的方式，修改事件流。 清單中的每一個警報都顯示了以下的信息： Ack 一個檢查標記，指示該警報是否被確認。 ? 當警報解除之后，將其從清單中刪除。 ? 以多種方法動態(tài)地過濾警報清單，令信息變得更加有用。 ? 將警報分類。 拓撲自動生成 N N M 管理平臺逐級發(fā)現(xiàn)拓撲通過 M IB 參數(shù)查詢、統(tǒng)計流量設(shè)備端口流量報警 服務(wù)器端口流量報警流量響應(yīng)故障響應(yīng)流量閥值設(shè)定網(wǎng)絡(luò)管理策略響應(yīng)策略日志審計 網(wǎng)絡(luò)管理系統(tǒng)可自動發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點、自動產(chǎn)生網(wǎng)絡(luò)拓撲圖，支持 DHCP 動態(tài)北京安盟信息技術(shù)有限公司 —— 解決方案 26 分配 IP 網(wǎng)段的自動發(fā)現(xiàn)。 8)遠程控制管理 ? 為 Windows 平臺提供遠程控制的功能，能夠進行遠程節(jié)點屏幕、鼠標和鍵盤的接管； ? 支持在一個控制 臺上同時控制多個節(jié)點； ? 能夠在局域網(wǎng)和廣域網(wǎng)上實現(xiàn)遠程控制； ? 具有嚴格的管理員權(quán)限控制，防止非授權(quán)人員進行非法操作； ? 提供集成的對話與文件傳輸功能，協(xié)助管理員進行技術(shù)支持服務(wù)。 7)統(tǒng)一事件處理 ? 具有事件統(tǒng)一報警處理機制，完整的事件管理：捕捉各種管理模塊產(chǎn)生的管理事件，并能捕獲操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用程序產(chǎn)生的日志； ? 具有事件分類、 過濾功能、自動處理能力，需要提供多種報警機制； ? 提供基于規(guī)則的分析能力，并提供使用簡單的規(guī)則定制工具； ? 具有分布式的智能處理能力； ? 具有事件統(tǒng)計分析、報表功能； ? 提供現(xiàn)成可用的處理規(guī)則，降低實施難度和工作量； ? 支持和第三方管理平臺的事件管理集成性； ? 可以定義事件處理策略和規(guī)則； ? 必須能夠集成所有管理應(yīng)用的事件。 5)資產(chǎn)管理 ? 能夠自動掃描轄區(qū)內(nèi)硬件，軟件配置； ? 可以與其它系統(tǒng)管理應(yīng)用集成，尤其為軟件分發(fā)提供所需資源的信息； 北京安盟信息技術(shù)有限公司 —— 解決方案 24 ? 掃描數(shù)據(jù)的保存支持眾多的關(guān)系型數(shù)據(jù)庫： Sybase, Oracle, informix, DB/2 , MSSQL Server； ? 提供查詢功能； 6)備份管理 系統(tǒng)管理軟件應(yīng)可實時對服務(wù)器上的數(shù)據(jù)進行自動備份、恢復及災(zāi)難恢復，防止硬盤、數(shù)據(jù)和介質(zhì)遭到災(zāi)難性的破壞。 4)軟件分發(fā) 軟件分發(fā)系統(tǒng)功能應(yīng)可以使系統(tǒng)管理員集中控制 本轄區(qū) IT 環(huán)境中應(yīng)用程序、數(shù)據(jù)文件的分發(fā)、安裝、卸載和更新。而且組合內(nèi)的資源能夠?qū)崟r動態(tài)更新，以減少人為錯誤和過時信息； ? 具有安全功能，能夠?qū)W(wǎng)絡(luò)管理員進行授權(quán)，認證，以保證網(wǎng)絡(luò)管理本身的安全性 ； ? 網(wǎng)管軟件具有互相備份的功能，以消除網(wǎng)絡(luò)管理的單點失效； ? 網(wǎng)絡(luò)管理數(shù)據(jù)的保存支持眾多的關(guān)系型數(shù)據(jù)庫： Sybase, Oracle, Informix, DB/2 , MSSQL Server； ? 提供 Web 界面顯示網(wǎng)管的圖形界面； ? 能夠控制網(wǎng)管管理區(qū)域； ? 網(wǎng)絡(luò)管理軟件應(yīng)支持跨地域的各分支機構(gòu)局域網(wǎng)內(nèi)部 IP 地址重疊情況，能夠?qū)崿F(xiàn)重疊 IP 地址的轉(zhuǎn)換。 1)管理平臺 ? 系統(tǒng)管理體系需要建立在具有先進架構(gòu)和技術(shù)的管理平臺之上，管理平臺具有優(yōu)秀的集成性、擴展性和伸縮性； ? 管理平臺應(yīng)具有管理信息安全的保障機制，以確保管理信息在網(wǎng)絡(luò)上傳遞上的安全性和高效性（如管理員 ID 和口令的加密）； ? 系統(tǒng)管理集成在統(tǒng)一的分布式管理平臺上，管理平臺應(yīng)采用面向?qū)ο蠹夹g(shù)，為管理應(yīng)用提供公共服務(wù)（如策略文件的分發(fā)）； ? 系統(tǒng)管理軟 件需要保證在被管理設(shè)備上不占用過多的系統(tǒng)資源 ( 如硬盤空間、內(nèi)存等 )； ? 由于系統(tǒng)管理解決方案采用分布式體系結(jié)構(gòu)，以實現(xiàn)分層管理，因此應(yīng)努力減少網(wǎng)絡(luò)帶寬資源的占用； ? 系統(tǒng)管理解決方案能夠定義多級管理員，完成授權(quán)的不同管理任務(wù)，杜絕超級用戶，而且能夠限制管理員的管理桌面，登錄節(jié)點，管理權(quán)限； 北京安盟信息技術(shù)有限公司 —— 解決方案 22 ? 管理服務(wù)器應(yīng)支持 windows20xx 或 UNIX 平臺。 ? 由不同的探測器分別分析不同類型的需求或服務(wù)，可避免數(shù)據(jù)損失（丟包）。 ? 提高溯源、定位能力。 ? 提高系統(tǒng)、人員的分析、處理能力。 解決方法： 多級行為監(jiān)控的配置策略可由上級監(jiān)控中心統(tǒng)一管理（配置規(guī)則）下級監(jiān)控中心的運行策略，下級監(jiān)控中心可將高風險級別事件上傳至上級監(jiān)控中心，提高全網(wǎng) 監(jiān)控能力，加強協(xié)助分析能力。 部署 示意圖 如下圖： 北京安盟信息技術(shù)有限公司 —— 解決方案 20 安全產(chǎn)品 網(wǎng)絡(luò)管理技術(shù)是動態(tài)安全管理的核心技術(shù)之一，其中有兩個需要重點考慮的因素： ? 技術(shù)因素 ：行為監(jiān)控系統(tǒng)因為網(wǎng)絡(luò)結(jié)構(gòu)的特性導致其監(jiān)控范圍是有限的，網(wǎng)絡(luò)中的內(nèi)外出入口均應(yīng)配備行為監(jiān)測技術(shù)，避免因部署的局限性而導致分析、響應(yīng)能力的下降（現(xiàn)有的多種網(wǎng)絡(luò)攻擊技術(shù)）。 要建立一個安全的內(nèi) 部網(wǎng)，一個完整的解決方案必須從多方面入手。理想的安全規(guī)劃能否實現(xiàn)，其關(guān)鍵在于網(wǎng)絡(luò)行為分析應(yīng)用的粒度與力度。單一的保護機制不能形成整體抗打擊能力，需要檢測來為響應(yīng)創(chuàng)造條件，有效與充分地響應(yīng)安全事件，將大大減少對保護和恢復的依賴；恢復能力僅是數(shù)據(jù)損失后的最后保障機制。安全隔離系統(tǒng)作為關(guān)鍵業(yè)務(wù)數(shù)據(jù)的最后一道屏障，以其強制訪問控制機制確保重要數(shù)據(jù)不通過網(wǎng)絡(luò)途徑不外泄。 入侵者必須通過多層次的防御屏障。在 市政府 系統(tǒng)部署安全技術(shù)后，形成整體安全防御層次，當系統(tǒng)受到入侵時，各安全防御層會分級阻止違規(guī)行為。 “網(wǎng)絡(luò)安全管理平臺”通過統(tǒng)一的報警與響應(yīng)平臺作為各種層面技術(shù)的信息采集接口，把管理制度、規(guī)范與技術(shù)應(yīng)用有機地結(jié)合起來，既可以用制度指導技術(shù)應(yīng)用，又可以在技術(shù)應(yīng)用的積累中完善制度；使安全管理體系形成一個良性的動態(tài)循 環(huán)。 北京安盟信息技術(shù)有限公司 —— 解決方案 18 在網(wǎng)絡(luò)安全領(lǐng)域中的各種技術(shù)，在系統(tǒng)設(shè)計過程中，因其研究對象的不同、角度不同，導致每一種特定的技術(shù)都有其局限性，因此在建設(shè)網(wǎng)絡(luò)安全管理體系時，實現(xiàn)各種技術(shù)的無縫集成是關(guān)鍵所在。 ? 安全技術(shù)管理 通過安全管理平臺集中管理各種網(wǎng)絡(luò)安全技術(shù)，將各種安全技術(shù)的報警信息、日志信息集中到安全管理平臺上，安全管理平臺對這些信息進行分析和審計，為策略和制度的合理定制奠定基礎(chǔ)。 （ 5）安全技術(shù)與管理制度的協(xié)調(diào)過程 下圖體現(xiàn)了在實現(xiàn)自動化綜合審計技術(shù)建立安全管理平臺后安全技術(shù)、整體安全策略與管理制度的協(xié)調(diào)過程 : 北京安盟信息技術(shù)有限公司 —— 解決方案 17 主交換機防火墻防火墻總部分之機構(gòu)網(wǎng)絡(luò)入侵監(jiān)測路由器路由器防病毒系統(tǒng)安全評估防病毒系統(tǒng)服務(wù)器內(nèi)部用戶基于拓撲的集中管理審計分析整體安全策略體系發(fā)展決策管理制度工作規(guī)范