【正文】 否有違反安全策略的行為和被攻擊的跡象。IDS 無法有效阻斷攻擊，比如蠕蟲爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS 無能為力。 補(bǔ)丁管理補(bǔ)丁管理是重要的主動(dòng)防御手段，但補(bǔ)丁管理同時(shí)也存在一些局限性，例如： 對(duì)于某些操作系統(tǒng)，將不再能夠獲得廠商提供的支持。補(bǔ)丁從漏洞發(fā)現(xiàn)、操作系統(tǒng)開發(fā)補(bǔ)丁、測(cè)試補(bǔ)丁、發(fā)布補(bǔ)丁到用戶接收補(bǔ)丁、局部更新測(cè)試補(bǔ)丁到大范圍更新補(bǔ)丁需要一定的時(shí)間周期，即所謂空窗期，在空窗期內(nèi)用戶的系統(tǒng)漏洞無法得到有效的防御，而惡意的程序和代碼有可能利用這段時(shí)間對(duì)系統(tǒng)造成破壞；某些系統(tǒng)和應(yīng)用由于自身的原因（如非授權(quán)軟件、程序沖突等等）不適合打補(bǔ)丁，這樣自身即使存在漏洞，也無法得到修復(fù)；針對(duì)以上技術(shù)和產(chǎn)品面對(duì)新的安全威脅所暴露出來的薄弱之處,作為有效的整體安全體系的重要組成和有效補(bǔ)充,入侵防御系統(tǒng) IPS（Intrusion Prevention System）作為新一代安全防護(hù)產(chǎn)品應(yīng)運(yùn)而生。 入侵防御系統(tǒng)/IPS 提供一種主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)旨在對(duì)常規(guī)網(wǎng)絡(luò)信息網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)備 IPS 入侵防護(hù)系統(tǒng)解決方案建議書9流量中的惡意數(shù)據(jù)包進(jìn)行檢測(cè)，阻止入侵活動(dòng)，預(yù)先對(duì)攻擊性的流量進(jìn)行自動(dòng)攔截，使它們無法造成損失，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后發(fā)出警報(bào)。 從 IPS 的工作原理來看，IPS 有幾個(gè)主要的特點(diǎn)： ? 為企業(yè)網(wǎng)絡(luò)提供虛擬補(bǔ)丁IPS 預(yù)先、自動(dòng)攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、DDoS 等惡意流量，使攻擊無法到達(dá)目的主機(jī)，這樣即使沒有及時(shí)安裝最新的安全補(bǔ)丁，企業(yè)網(wǎng)絡(luò)仍然不會(huì)受到損失。 ? 提供流量?jī)艋壳捌髽I(yè)網(wǎng)絡(luò)遭受到越來越多的流量消耗類型的攻擊方式，比如蠕蟲。IPS 過濾正常流量中的惡意流量，為網(wǎng)絡(luò)加速，還企業(yè)一個(gè)干凈、可用的網(wǎng)絡(luò)環(huán)境。IPS 可以發(fā)現(xiàn)并阻斷間諜軟件的活動(dòng)，保護(hù)企業(yè)機(jī)密。 3 領(lǐng)信信息安全保障解決方案介紹 領(lǐng)信信息安全保障體系“信息安全是一條鏈，其強(qiáng)度取決于鏈上最弱的一環(huán)(著名安全專家 Bruce Schneier 語)” 這句話深刻闡明了整體安全的重要性。安氏領(lǐng)信基于對(duì)信息安全的深刻理解，以及多年的安全領(lǐng)域建設(shè)經(jīng)驗(yàn)，總結(jié)提煉出安氏獨(dú)有的信息安全保障體系框架模型，該安全體系從保障對(duì)象、安全需求、能力來源三個(gè)維度深刻揭示了信息安全保障的內(nèi)涵：保障對(duì)象是信息安全建設(shè)要保護(hù)的目標(biāo)，分成多個(gè)安全防御領(lǐng)域，包括： 網(wǎng)絡(luò)基礎(chǔ)設(shè)施，網(wǎng)絡(luò)邊界，局域計(jì)算環(huán)境，支持性基礎(chǔ)設(shè)施；安全需求包括信息的機(jī)密性，完整性，可用性，可控性，不可否認(rèn)性等需求；信息的機(jī)密性，完整性，可用性，可控性，不可否認(rèn)性需求是信息安全的基本屬性，所有的安全技術(shù)和安全產(chǎn)品從本質(zhì)來說都是為了滿足被保護(hù)對(duì)象的上述安全需求；為了有效的滿足保障對(duì)象的安全需求，需要從人員，技術(shù)，管理等方面提供安全保障能力；技術(shù)層面的安全保障能力源于業(yè)界所采用的各種安全產(chǎn)品和技術(shù), 包括訪問控制、入侵檢測(cè)、入侵防御、弱點(diǎn)評(píng)估等等技術(shù)；安氏領(lǐng)信信息安全保障體系（ISAF ）在安氏信息保障體系框架（ISAF）之下，安氏領(lǐng)信公司開發(fā)出一系列世界領(lǐng)先的信息安全產(chǎn)品，包括防火墻、入侵檢測(cè)、終端安全管理系統(tǒng)、統(tǒng)一威脅信息網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)備 IPS 入侵防護(hù)系統(tǒng)解決方案建議書11管理系統(tǒng)入侵防御系統(tǒng)等等，提供強(qiáng)有力的技術(shù)手段，幫助用戶構(gòu)筑一個(gè)主動(dòng)的、深層的安全技術(shù)體系，從容應(yīng)對(duì)來自網(wǎng)絡(luò)外部和內(nèi)部的、已知的和未知的安全風(fēng)險(xiǎn)，保護(hù)信息資產(chǎn)的安全，以及企業(yè)業(yè)務(wù)的正常運(yùn)營(yíng)。 安氏領(lǐng)信入侵防御系統(tǒng)介紹 安氏領(lǐng)信入侵檢測(cè)系統(tǒng)（Linktrust IPS）是安氏領(lǐng)信針對(duì)目前流行的蠕蟲、病毒、間諜軟件、垃圾郵件、DDoS 等黑客攻擊，以及網(wǎng)絡(luò)資源濫用（P2P 下載、IM 即時(shí)通訊、網(wǎng)游等）等推出的全新安全防護(hù)方案，其具有先進(jìn)的體系架構(gòu)并繼承了安氏領(lǐng)信入侵檢測(cè)系統(tǒng)先進(jìn)的入侵檢測(cè)技術(shù)，以全面深入的協(xié)議分析技術(shù)為基礎(chǔ)，結(jié)合協(xié)議異常檢測(cè)、協(xié)議異常檢測(cè)、關(guān)聯(lián)分析形成的新一代檢測(cè)引擎，實(shí)時(shí)攔截?cái)?shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在企業(yè)網(wǎng)絡(luò)之外，保護(hù)企業(yè)的信息資產(chǎn)。 ? 阻止間諜軟件的威脅，保護(hù)企業(yè)機(jī)密。 ? 阻止 P2P 應(yīng)用可能導(dǎo)致的企業(yè)重要機(jī)密信息泄漏和可能引發(fā)的與版權(quán)相關(guān)的法律問題。 ? 智能、自動(dòng)化的安全防御，降低企業(yè)整體的安全費(fèi)用以及對(duì)于網(wǎng)絡(luò)安全領(lǐng)域人才的需求。 領(lǐng)信入侵防御系統(tǒng)產(chǎn)品特點(diǎn) ? 實(shí)時(shí)的主動(dòng)防御 信息網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)備 IPS 入侵防護(hù)系統(tǒng)解決方案建議書13? 多種檢測(cè)技術(shù)的結(jié)合使得 Linktrust IPS 可以預(yù)防多種已知和未知攻擊，準(zhǔn)確率保持在很高的水平 ? 最小化人員干預(yù)，結(jié)合安氏領(lǐng)信的 SOC 系統(tǒng)可以使網(wǎng)絡(luò)管理人員從大量的事件分析工作中解脫出來，有效減輕攻擊報(bào)警處理的壓力。準(zhǔn)確的檢測(cè)/防護(hù) ? Linktrust IPS 基于狀態(tài)的協(xié)議分析檢測(cè)技術(shù)、流量和協(xié)議異常檢測(cè)技術(shù)、基于漏洞存在的攻擊檢測(cè)技術(shù)，結(jié)合基于特征匹配的檢測(cè)技術(shù)，極大地提高檢測(cè)的準(zhǔn)確性，降低誤報(bào)率。 ? Linktrust IPS 出色的協(xié)議異常檢測(cè)針對(duì)檢測(cè)未知的溢出攻擊與拒絕服務(wù)攻擊，達(dá)到接近 100%的檢測(cè)準(zhǔn)確率和幾乎為零的誤報(bào)率。 ? 優(yōu)異的產(chǎn)品性能 ? Linktrust IPS 專門設(shè)計(jì)了安全、可靠、高效的硬件運(yùn)行平臺(tái)。 ? Linktrust IPS 依賴先進(jìn)的體系架構(gòu)、高性能專用硬件，在實(shí)際網(wǎng)絡(luò)環(huán)境部署中性能表現(xiàn)優(yōu)異，具有線速的分析與處理能力。 信息網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)備 IPS 入侵防護(hù)系統(tǒng)解決方案建議書14? Linktrust IPS 支持雙機(jī)熱備 HA，不僅支持 ActiveStandby（主從熱備） ，還支持 ActiveActive（對(duì)等熱備） ，提供高可用性保障。 ? 極易擴(kuò)展的集中管理平臺(tái)使得用戶在升級(jí)網(wǎng)絡(luò)時(shí)無需額外的投資? 全中文圖形化的操作界面，符合安氏領(lǐng)信產(chǎn)品操作簡(jiǎn)單靈活的傳統(tǒng)。用戶可以根據(jù)自身的安全需求靈活的進(jìn)行選擇和切換。信息網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)備 IPS 入侵防護(hù)系統(tǒng)解決方案建議書15這些工作模式的定義如下：1 透明學(xué)習(xí)模式（ Inline Bridging）：該模式下引擎將根據(jù)安全策略對(duì)網(wǎng)絡(luò)中通過的數(shù)據(jù)進(jìn)行檢測(cè)，但是不會(huì)采取任何阻斷或流量控制操作。2 服務(wù)保障模式（ Inline Failpassthrough）：該模式下引擎將按照安全策略對(duì)所有會(huì)話過程進(jìn)行檢測(cè)，并產(chǎn)生對(duì)不符合安全策略的內(nèi)容進(jìn)行告警和適當(dāng)?shù)姆烙?。另外在一些特殊條件下引擎也會(huì)采用透明轉(zhuǎn)發(fā)或 Bypass 的方式保障服務(wù)可用性。 （非 bypass 功能支持）? 當(dāng)引擎正在執(zhí)行“策略應(yīng)用”命令，或正在編譯簽名時(shí)。4 旁路模式（ Passive）：傳統(tǒng) IDS 部署模式，采用旁路監(jiān)聽方式部屬； 入侵防御系統(tǒng)推薦部署流程安氏領(lǐng)信提供一整套的入侵保護(hù)解決方案，具有良好可擴(kuò)展性的 Linktrust IPS 的部署方式靈活多樣，能夠快速部署在幾乎所有的網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn)從企業(yè)網(wǎng)絡(luò)核心至邊緣及分支機(jī)構(gòu)的全面保護(hù)，適用于不同環(huán)境不同企業(yè)的安全需求。第二階段: IPS 的在線工作階段。其中 Inline 模又可以具體分成服務(wù)保障模式（Inline Failpassthrough）和強(qiáng)制防御模式（Inline Failsevered） ，具體采用何種模式取決與用戶對(duì)安全性的要求和對(duì)設(shè)備魯棒性的要求；我們強(qiáng)烈建議您采用服務(wù)保障模式，這樣可以在設(shè)備故障或失效的情況下仍然保證網(wǎng)絡(luò)的可用性。之所以 IPS 需要一個(gè)學(xué)習(xí)適應(yīng)的過程，主要是因?yàn)椋盒畔⒕W(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)備 IPS 入侵防護(hù)系統(tǒng)解決方案建議書17? 防止 IPS 設(shè)備誤阻擋合法的數(shù)據(jù)流量? 根據(jù)被保護(hù)網(wǎng)絡(luò)的流量，調(diào)整各項(xiàng)攻擊閾值參數(shù)（threshold）? 根據(jù)被保護(hù)網(wǎng)絡(luò)環(huán)境，調(diào)整需要檢測(cè)的攻擊特征項(xiàng)目在這個(gè)階段,IPS 以 Inline 模式工作，只檢測(cè)攻擊并告警，不進(jìn)行阻斷首先，將 IPS 的工作模式設(shè)置為 Inline Bridging 模式，并將 IPS 以 Inline模式串接在被保護(hù)網(wǎng)絡(luò)之前，所有進(jìn)出被保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包都會(huì)通過 IPS 的檢查，正常的流量才會(huì)允許進(jìn)入被保護(hù)網(wǎng)絡(luò)。這種模式主要用于首次部署時(shí)對(duì)用戶網(wǎng)絡(luò)環(huán)境的學(xué)習(xí)與策略優(yōu)化階段，根據(jù)檢測(cè)到的網(wǎng)絡(luò)中可能出現(xiàn)的攻擊行為，對(duì)攻擊簽名特征庫和閾值等參數(shù)做出調(diào)整，減少 IPS 產(chǎn)生誤報(bào)的可能性另外在此模式下，用戶可以觀察 IPS 設(shè)備的加入會(huì)不會(huì)對(duì)原有的網(wǎng)絡(luò)應(yīng)用產(chǎn)生影響，以確保 IPS 的性能能夠滿足原有網(wǎng)絡(luò)應(yīng)用的需求。在此階段中有兩種模式可以供不同安全要求的用戶使用：1 Inline Failpassthrough 模式適用于對(duì)網(wǎng)絡(luò)應(yīng)用的連續(xù)性要求高于對(duì)網(wǎng)絡(luò)安全性要求的用戶，在此模式下，如果 IPS 不能正常檢測(cè)攻擊時(shí)或出現(xiàn)故障，將使用 Bypass 和超時(shí)轉(zhuǎn)發(fā)技術(shù)優(yōu)先保證用戶業(yè)務(wù)的連續(xù)性。信息網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)備 IPS 入侵防護(hù)系統(tǒng)解決方案建議書184 入侵防御系統(tǒng)部署建議安氏領(lǐng)信提供一整套的入侵保護(hù)解決方案，具有良好可擴(kuò)展性的Linktrust IPS的部署方式靈活多樣，能夠快速部署在幾乎所有的網(wǎng)絡(luò)環(huán)境中，實(shí)現(xiàn)從企業(yè)網(wǎng)絡(luò)核心至邊緣及分支機(jī)構(gòu)的全面保護(hù)，適用于不同環(huán)境不同企業(yè)的安全需求。它是一個(gè)基于 Windows 的應(yīng)用程序，提供友好的用戶圖形管理界面和多級(jí)別的數(shù)據(jù)訪問控制。EventCollector（事件收集服務(wù)器） 事件收集服務(wù)器是 LinkTrust IPS 的一個(gè)關(guān)鍵組件，為整個(gè)系統(tǒng)的管理核心。LogServer（日志服務(wù)器） 日志服務(wù)器是 LinkTrust IPS 的日志數(shù)據(jù)管理組件。Log Server 需要集成第三方數(shù)據(jù)庫軟件一起協(xié)同工作，數(shù)據(jù)庫軟件目前支持微軟 SQL Server 數(shù)據(jù)庫。Report（報(bào)表） 報(bào)表和查詢工具作為 IPS 系統(tǒng)的一個(gè)獨(dú)立的部分，主要完成從數(shù)據(jù)庫提取數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)和顯示數(shù)據(jù)的功能。查詢工具提供查詢安全事件的詳細(xì)信息。這種部署方式易于管理，管理員可以通過對(duì)一臺(tái)機(jī)器的操作完成配置組件、監(jiān)控報(bào)警、查看報(bào)表等操作，在保證 IPS 性能的基礎(chǔ)上充分節(jié)省了用戶的資源。在一個(gè)典型的分布部署方式中，通常環(huán)境中會(huì)有多個(gè)傳感器，LinkTrust IPS 管理組件分布在到四臺(tái)計(jì)算機(jī)上。在這種部署方式中，有兩臺(tái) EC,每臺(tái) EC 可以接收多個(gè)傳感器的報(bào)警事件，同時(shí)這兩臺(tái) EC 又可以作為對(duì)方的備份 EC。這種部署的好處是均衡流量，并保證在一個(gè) EC 故障時(shí)告警能夠及時(shí)送達(dá)管理系統(tǒng)。 部署準(zhǔn)備攻擊者可能會(huì)對(duì)我們的網(wǎng)絡(luò)中的任何可用資源發(fā)起攻擊。而且，定義我們想要保護(hù)的信息和資源，是創(chuàng)建一個(gè)傳感器部署計(jì)劃的第一步。當(dāng)分析我們的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，我們必須考慮很多因素：網(wǎng)絡(luò)入口點(diǎn)。信息網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)備 IPS 入侵防護(hù)系統(tǒng)解決方案建議書21遠(yuǎn)程網(wǎng)絡(luò)?？紤]安全策略限制。 針對(duì)來自外部的攻擊，安氏領(lǐng)信入侵防御解決方案提供在線防御的部署模式，通過將 Linktrust IPS 串接在互聯(lián)網(wǎng)出入口，實(shí)時(shí)攔截?cái)?shù)據(jù)流量中各種類型的惡意攻擊流量，把攻擊防御在企業(yè)網(wǎng)絡(luò)之外，保護(hù)企業(yè)的信息資產(chǎn)。信息網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)備 IPS 入侵防護(hù)系統(tǒng)解決方案建議書22針對(duì)來自內(nèi)部的攻擊，通過將 Linktrust IPS 以 Inline 方式部署在辦公區(qū)出入口、重要服務(wù)器區(qū)出入口，實(shí)時(shí)攔截?cái)?shù)據(jù)流量中各種類型的惡意攻擊流量，把辦公區(qū)內(nèi)的蠕蟲、病毒、間諜軟件等混合攻擊過濾掉，防止影響企業(yè)網(wǎng)絡(luò)的整體安全運(yùn)行，保護(hù)關(guān)鍵服務(wù)器等企業(yè)重要信息資產(chǎn)。簽名是網(wǎng)絡(luò)傳感器用來檢測(cè)一個(gè)事件或一系列事件的內(nèi)部代碼，這些事件有可能表明網(wǎng)絡(luò)受到了攻擊，也可能提供安全方面的信息。2. 每一事件的級(jí)別，事件按照風(fēng)險(xiǎn)級(jí)別劃分為四類：高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)和信息。傳感器使用策略來控制其所監(jiān)測(cè)的內(nèi)容，并對(duì)監(jiān)測(cè)到的事件作出響應(yīng)。您可以使用系統(tǒng)管理平臺(tái)所附帶的預(yù)定義策略，也可以從預(yù)定義策略派生新的策略?？紤]到用戶的不同需求， 系統(tǒng)管理平臺(tái)提供了用戶自定義策略的功能。缺省的安全策略模板類型：策略 說明AttackDetector使用此策略，傳感器只監(jiān)