《ips整体解决方案》由会员分享,可在线阅读,更多相关《ips整体解决方案(34页珍藏版)》请在金锄头文库上搜索。
1、国家电网公司国家电网公司 信息网络安全等级保护设备信息网络安全等级保护设备 IPS 入侵防护系统入侵防护系统 解决方案建议书解决方案建议书 2 目 录 1典型网络风险分析典型网络风险分析 .4 1.1病毒、蠕虫泛滥 .4 1.2操作系统和应用软件漏洞隐患 .4 1.3系统安全配置薄弱 .5 1.4各种 DOS 和 DDOS 攻击的带来的威胁5 1.5与工作无关的网络行为 .6 2安全产品及解决方案效能分析安全产品及解决方案效能分析 .6 2.1传统安全技术的薄弱之处 .6 2.1.1防火墙7 2.1.2入侵检测7 2.1.3补丁管理7 2.2入侵防御系统简介 .8 3领信信息安全保障解决方案介
2、绍领信信息安全保障解决方案介绍 .9 3.1领信信息安全保障体系 .9 3.2安氏领信入侵防御系统介绍 .11 3.2.1领信入侵防御系统主要功能11 3.2.2领信入侵防御系统产品特点12 3.2.3领信入侵防御系统支持的工作模式14 3.2.4入侵防御系统推荐部署流程15 3.2.4.1IPS 的学习适应期阶段.16 3.2.4.2IPS 的 Inline 模式工作阶段 .17 4入侵防御系统部署建议入侵防御系统部署建议 .17 4.1系统组件说明 .17 4.1.1集中部署方式18 4.1.2分布部署方式19 4.1.3部署准备20 4.2边界防护部署 .21 3 4.3重点防护部署 .
3、21 5入侵防御系统安全策略配置与应用入侵防御系统安全策略配置与应用 .22 6项目过渡方案及应急预案项目过渡方案及应急预案 .23 6.1过渡方案 .23 6.2应急预案 .24 7工程实施方案工程实施方案 .25 7.1分工界面 .25 7.2工程设计 .26 7.3产品生产及出厂验收 .26 7.4设备运输、包装与到货安排 .26 7.5到货验收 .27 7.6安装调试及系统集成 .28 7.7系统测试 .28 7.8初步验收 .28 7.9系统试运行 .28 7.10最终验收28 7.11工程实施进度表29 8系统验收测试计划系统验收测试计划 .30 8.1系统上线测试 .30 8.2
4、用户管理功能 .31 8.3引擎工作模式配置 .31 8.4组件管理 .31 8.5策略配置 .32 8.6威胁事件收集显示 .32 8.7攻击检测能力 .33 8.8系统升级能力 .33 8.9日志报表 .34 4 1 典型网络风险分析典型网络风险分析 通过对大量企业网络的安全现状和已有安全控制措施进行深入分析,我们 发现很多企业网络中仍然存在着大量的安全隐患和风险,这些风险对企业网络 的正常运行和业务的正常开展构成严重威胁,主要表现在: 1.1病毒、蠕虫泛滥病毒、蠕虫泛滥 目前,企业网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性 大、种类多、变化快等特点,即使再先进的防病毒软件、入
5、侵检测技术也不能 独立有效的完成安全防护,特别是对新类型新变种的防护技术总要相对落后于 新病毒、新蠕虫的入侵。 病毒、蠕虫很容易通过各种途径侵入企业的内部网络,除了利用企业网络 安全防护措施的漏洞外,最大的威胁却是来自于网络用户的各种危险的应用: 不安装杀毒软件;安装杀毒软件但未能及时升级;网络用户在安装完自己的办 公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中, 特别是 INTERNET;移动用户计算机连接到各种情况不明网络环境后,在没有 采取任何措施情况下又连入企业网络;终端用户在使用各种数据介质、软件介 质时都可能将病毒、蠕虫在不知不觉中带入到企业网络中,给企业信息基
6、础设 施、企业业务带来无法估量的损失。 1.2操作系统和应用软件漏洞隐患操作系统和应用软件漏洞隐患 企业网络多由数量庞大、种类繁多的软件系统组成,有系统软件、数据库 系统、应用软件等等,尤其是存在于广大终端用户办公桌面上的各种应用软件 不胜繁杂,每一个软件系统都有不可避免的潜在的或已知的软件漏洞,每天软 件开发者都在生产漏洞,每时每刻都可能有软件漏洞被发现被利用。无论哪一 部分的漏洞被利用,都会给企业带来危害,轻者危及个别设备,重者漏洞成为 5 攻击整个企业网络的跳板,危及整个企业网络安全,即使安全防护已经很完备 的企业网络也会由于一个联网用户个人终端 PC 机存在漏洞而丧失其整体安全 防护能
7、力。在与在与黑客的速度竞赛中,企业用户正处在越来越被动的地位, 针对这些漏洞的补丁从补丁程序开发、测试、验证、再到最终的部署可能需要 几天甚至几十天时间, 而黑客攻击的速度却越来越快,例如著名的 CodeRed 蠕 虫扩散到全球用了 12 个小时;而 SQL SLAMMER 感染全世界 90%有漏洞的机 器则只用了 10 分钟; 1.3系统安全配置薄弱系统安全配置薄弱 一个安全的网络应该执行良好的安全配置策略,例如,账号策略、审核策 略、口令策略、匿名访问限制、建立拨号连接限制策略等等。这些安全配置的 正确应用对于各种软件系统自身的安全防护的增强具有重要作用,但在实际的 网络环境中,这些安全配
8、置却被忽视,尤其是那些网络的终端用户,从而导致 软件系统的安全配置“软肋” ,有时可能将严重的配置漏洞完全暴露给整个外部, 使黑客可以长驱直入。 6 1.4各种各种 DoS 和和 DDoS 攻击攻击的带来的威胁的带来的威胁 除了由于操作系统和网络协议存在漏洞和缺陷,而可能遭受攻击外,现在 IT 部门还会拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)的挑战。 DOS 和 DDOS 攻击可以被分为两类:一种是利用网络协议的固有缺陷或实现 上的弱点来进行攻击,与漏洞攻击相似。这类供给典型的例子如 Teardrop、Land、KoD 和 Winnuke;对第一种 DOS 攻击可以通过打补丁的方
9、 法来防御,但对付第二种攻击就没那么简单了,另一类 DOS 和 DDOS 利用看 似合理的海量服务请求来耗尽网络和系统的资源,从而使合法用户无法得到服 务的响应。 DOS 和 DDOS 攻击会耗尽用户宝贵的网络和系统资源,使依赖计算机网络 的正常业务无法进行,严重损害企业的声誉并造成极大的经济损失,据 2004 美国 CSI/FBI 的计算机犯罪和安全调研分析,DOS 和 DDOS 攻击已成为对企 业损害最大的犯罪行为,超出其他各种犯罪类型两倍。 1.5与工作无关的网络行为与工作无关的网络行为 权威调查机构 IDC 的统计表明:3040的工作时间内发生的企业员工 网络访问行为是与业务无关的,比
10、如游戏、聊天、视频、P2P 下载等等;另一 项调查表明:1/3 的员工曾在上班时间玩电脑游戏; Emule、BT 等 P2P 应用和 MSN、QQ 等即时通信软件在很多网络中被不 加控制的使用,使大量宝贵的带宽资源被业务无关流量消耗。这些行为无疑会 浪费网络资源、降低劳动生产率、增加企业运营成本支出,并有可能因为不良 的网络访问行为导致企业信息系统被入侵和机密资料被窃,引起法律责任和诉 讼风险。 7 2 安全产品及解决方案效能分析安全产品及解决方案效能分析 2.1传统安全技术的薄弱之处传统安全技术的薄弱之处 当前随着网络软硬件技术的快速发展,网络信息安全问题日益严重,新的 安全威胁不断涌现,如
11、蠕虫病毒肆意泛滥、系统漏洞层出不穷、漏洞利用 (vulnerability exploit)的时间日益缩短,甚至可能出现零日攻击(zero-day exploit), 同时很多入侵和攻击由网络层逐渐向应用层发展,给检测和识别这些威胁带来了 困难。面临诸多安全问题,传统的安全产品和解决方案显示出其薄弱和不足之 处。 2.1.1防火墙防火墙 绝大多数人在谈到网络安全时,首先会想到“防火墙”。防火墙目前已经得 到了广泛的部署,用户一般采用防火墙作为安全保障体系的第一道防线,防御 黑客攻击。但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多 样,单纯的防火墙已经无法满足企业的安全需要。传统防火
12、墙的不足主要体现 在以下几个方面: 防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击 代码,比如针对 WEB 服务的 Code Red 蠕虫等。 有些主动或被动的攻击行为是来自防火墙内部的,防火墙无法发现内部网 络中的攻击行为。 2.1.2入侵检测入侵检测 入侵检测系统 IDS( Intrusion Detection System)是近几年来发展起来的 一类安全产品,它通过检测、分析网络中的数据流量,从中发现网络系统中是 否有违反安全策略的行为和被攻击的迹象。它弥补了防火墙的某些缺陷,但随 着网络技术的发展,IDS 受到新的挑战: 8 IDS 旁路在网络上,当它检测出黑客入侵
13、攻击时,攻击已到达目标造成损 失。IDS 无法有效阻断攻击,比如蠕虫爆发造成企业网络瘫痪,IDS 无能为 力。 蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多,传播速度加快, 留给人们响应的时间越来越短,使用户来不及对入侵做出响应,往往造成 企业网络瘫痪,IDS 无法把攻击防御在企业网络之外。 2.1.3补丁管理补丁管理 补丁管理是重要的主动防御手段,但补丁管理同时也存在一些局限性,例如: 1、对于某些操作系统,将不再能够获得厂商提供的支持。例如微软宣布将从 2006 年 7 月 11 日开始停止为多个老版本的 Windows 操作系统提供技术支持, 这意味着全球将有超过 7000 万
14、名 Windows 用户面临网络攻击和恶意代码的危 险,因为他们无法继续从微软获得安全更新。 2、补丁从漏洞发现、操作系统开发补丁、测试补丁、发布补丁到用户接收补丁、 局部更新测试补丁到大范围更新补丁需要一定的时间周期,即所谓空窗期,在 空窗期内用户的系统漏洞无法得到有效的防御,而恶意的程序和代码有可能利 用这段时间对系统造成破坏; 3、某些系统和应用由于自身的原因(如非授权软件、程序冲突等等)不适合打 补丁,这样自身即使存在漏洞,也无法得到修复; 针对以上技术和产品面对新的安全威胁所暴露出来的薄弱之处,作为有效的 整体安全体系的重要组成和有效补充,入侵防御系统 IPS(Intrusion P
15、revention System)作为新一代安全防护产品应运而生。 2.2入侵防御系统简介入侵防御系统简介 基于目前网络安全形势的严峻,入侵防御系统 IPS(Intrusion Prevention System)作为新一代安全防护产品应运而生。 入侵防御系统/IPS 提供一种主动的、实时的防护,其设计旨在对常规网络 9 流量中的恶意数据包进行检测,阻止入侵活动,预先对攻击性的流量进行自动 拦截,使它们无法造成损失,而不是简单地在监测到恶意流量的同时或之后发 出警报。IPS 是通过直接串联到网络链路中而实现这一功能的,即 IPS 接收到 外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢
16、掉或采取措施 将攻击源阻断,而不把攻击流量放进内部网络。 从 IPS 的工作原理来看,IPS 有几个主要的特点: 为企业网络提供虚拟补丁 IPS 预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS 等恶意流量,使 攻击无法到达目的主机,这样即使没有及时安装最新的安全补丁,企业网络仍 然不会受到损失。IPS 给企业提供了时间缓冲,在厂商就新漏洞提供补丁和更 新之前确保企业的安全。 提供流量净化 目前企业网络遭受到越来越多的流量消耗类型的攻击方式,比如蠕虫。病 毒造成网络瘫痪、 BT,电驴等 P2P 下载造成网络带宽资源严重占用等。IPS 过 滤正常流量中的恶意流量,为网络加速,还企业一个干净、可用的网络环境。 提供反间谍能力 企业机密数据被窃取,个人信息甚至银行账户被盗,令许多企业和个人蒙 受重大损失。IPS 可以发现并阻断间谍软件的活动,保护企业机密。 总的来说,入侵防御系统 IPS 的设计侧重访问控制,注重主动防御,而不仅 仅是检测和日志记录,解决了入侵检测系统 IDS 的不足,为企业提供了一个全 新的网络安全保护解决方案。 3 领信领信信息安全保障信息安全保障解
