浅析电力内网主动防御体系.docVIP

浅析电力内网主动防御体系 　　【摘要】在国内的主动防御产品市场启动至今，已经走过了5年多的历程，在这个过程中，内网安全的概念不断完善和丰富，也在不断的演进，但是，时至今日，依然缺乏统一的标准，并由于众多小型内网主动防御安全产品厂商的进入，造成了市场的混乱。与此相对应的是，各个高度信息化的单位，对内网主动防御安全产品的需求凸现，如何选择一个合适的内网主动防御安全产品，已经成为众多网络管理员和CIO的棘手问题。专家指出，CIO和网管人员在选择内网主动防御安全产品的时候，必须从需求、性能和服务三个方面，进行整体内网安全体系的设计和规划，才能够确保成功建立内网安全管理系统，确保内网安全投资的效果。 　　【关键词】主动防御；企业需求；正确部署 　　一、认清主动防御概念 　　（一）主动防御的由来 　　以病毒、木马为主要攻击方式的网络安全事件日益严重，反病毒软件多数情况下对新出现的病毒和木马程序没有识别能力，始终处于被动的位置，不能很好地起到拦截作用。这种情况持续了很多年，随着病毒的变化越来越多，病毒产业链的活动越来越猖獗，这个现象变得更严重了，由此引发了用户对杀毒软件的不信任。 　　为了解决这些日益严重的新威胁，杀毒厂商实际在分两个方向同时启步。一方面采用传统的防杀毒手段，如加强特征识别、加强引擎脱壳、加强样本的收集、加快病毒特征的更新等等。时至今日，这仍然是最主要的，效率最高的应对方法。 　　但是不可避免的，新病毒的层出不穷，会导致内网拥堵、信息泄露等严重后果。另一方面，就是开发新的病毒识别技术。比如行为识别、注册表保护、应用程序保护等等。 　　回头看主动防御这个词，最早应该来自网关或防火墙等网络硬件系统。IDS（入侵检测系统）和IPS（入侵防护系统），这些功能是在防火墙的基础上开发的攻击识别和拦截技术。因为，防火墙是两个网络之间的设备，用来控制两个网络之间的通信，相对自己所在的网络来说，由外而内的访问会根据防火墙的规则表，适用相应的访问策略，策略包括允许、阻止或报告。通常，防火墙对由内而外的访问，是允许的。那么，如果攻击者在内网内存在，将会对整个网络产生安全问题。 　　入侵检测系统是为监测内网的非法访问而开发的设备，根据入侵检测识别库的规则，判断网络中是否存在非法的访问。管理员通过分析这些事件，来对网络的安全状况进行评估，再采取对应的防护策略。入侵检测系统（IDS）一个很重要的问题，就是这类警告太多了，以致于管理员要从浩如烟海的日志中来发掘安全事件，不仅仅容易出错，也增加了管理成本。IPS则相当于防火墙加入侵检测，提高了性能，也减少了误报。这些都是网关设备，这些设计理念，应用到桌面计算机系统，就被引伸为主动防御，即基于主机的入侵防护系统。 　　（二）主动防御的特征 　　用户眼中的主动防御，应该是可以自动实现对未知威胁的拦截和清除，用户不需要关注防御的具体细节。目的很简单，就是我安装了你，你为我负责，老老实实干你的活，别再烦我了。 　　安全软件厂商也一直向这个方向努力，比如，杀毒软件的主动更新，主动漏洞扫描和修复，以及对病毒的自动处理等。某种程度上说，就符合主动防御的特征。 　　（三）主动防御软件的主要功能 　　目前，在很多被列为主动防御的软件中，可实现大致三方面的功能： 　　1.应用程序层的防护，根据一定的规则，执行相应的应用程序。比如，某个应用程序执行时，可能会启动其它程序，或插入其它程序中运行，就会触发应用程序保护的规则。 　　2.注册表的防护，根据规则，响应对注册表的读写操作。这个比较好理解了，某程序执行后，会创建或访问某些注册表键，同样，这些注册表键是被HIPS软件监视或保护的。 　　3.文件防护，对应用程序创建或访问磁盘文件的防护，就是某程序运行后，会创建新的磁盘文件，或者需要访问硬盘上某程序文件，从而触发HIPS软件的监视或保护功能。 　　（四）主动防御软件采取的主要技术 　　1.启发杀毒技术。启发杀毒技术是目前比较成熟的对付未知病毒的技术，以NOD32，Dr.Web、迈克菲，Avira、VBA32等为代表。以NOD32为例，监控系统时候先用内置的特征码库判断，如果判断不出的就把程序纳入NOD32内置的一个微型虚拟机内运行来根据他的行为进行危害判断，发现没有问题再放行。但目前由于系统开销问题，所有的启发杀毒引擎只能用简化的虚拟机，这样一些设计先进的病毒可以判断出这还是虚拟机从而不发作，如果用更复杂的虚拟机，虽然可以发现更多的病毒，但是系统开销又很大。 　　启发引擎只能在速度和效率上找平衡，这也是当前所有启发杀毒技术的无奈。还有一个问题是由于启发杀毒技术为了加速判断，经常需要运用一些规则来判断，但是由于判断的规则有些严厉有些宽松，严厉的经常有误杀问题，宽松的也容易放过一些真正的