多层次的安全防护系统：让黑客选择放弃.docVIP

　　多层次的安全防护系统：让黑客选择放弃～教育资源库 　　随着网络技术的快速发展和应用的日渐普及，黑客工具不仅变得越来越先进，而且也越来越容易被一般人获取和滥用。 黑客技术的提升和黑客工具的泛滥，造成大量的企业、机构和个人的电脑系统遭受程度不同的入侵和攻击，或面临随时被攻击的危险。这就迫使大家不得不加强对自身电脑网络系统的安全防护，甚至追求所谓彻底的、一劳永逸的、100%的网络安全解决方案。　　但是，网络安全专家和专业厂商强调，没有一个公司的安全系统能保证100%的安全。安全总是相对的。本文阐释的所谓多层次防护，就是应用和实施一个基于多层次安全系统的全面信息安全策略，在各个层次上部署相关的网络安全产品，增加攻击者侵入所花费的时间、成本和所需要的资源，从而卓有成效地降低被攻击的危险，达到安全防护的目标。事实上，多层次防护已经成为当今网络安全的主流策略。 　　攻击与防范的互动 　　网络入侵和安全防范实际上就是指网络攻防技术。攻防技术的此消彼涨始终是网络安全领域前进的动力。攻击技术包括目标网络信息收集技术，目标网络权限提升技术，目标网络渗透技术，目标网络摧毁技术四大类。每一类技术，都是日新月异、不断更新的。所以在网络的安全防范上，我们面对越来越多的新技术的攻击。 　　在用户方面，不管你是否已经受到这些攻击，不管这些攻击是否产生了比较严重的后果，你都必须假设它们对信息系统的威胁总是存在的。因为一旦你的信息系统受到攻击，你就会蒙受无法估量的损失。在任何时候，对信息系统的连续不断的保护是非常必要的。研究分析表明，单一的安全保护往往效果不理想，最佳途径就是采用多层安全防护措施对信息系统进行全方位的保护。 　　建设安全保护层 　　分层的安全防护提供了这样一种思路：结合不同的安全保护因素，例如防病毒软件、防火墙和安全漏洞检测工具，来创建一个比单一防护有效得的多的综合的保护屏障。分层的安全防护成倍地增加了黑客攻击的成本和难度，从而大大减少了他们对企业的攻击。 　　分层的安全防护技术具体来说包括攻击检测，攻击防范，攻击后的恢复这三个大方向，每一个方向上有代表性的产品：入侵检测系统负责进行攻击检测，防火墙和强制访问控制系统负责攻击防范，攻击后的恢复则由自动恢复系统来解决。这三大方向就说明了在网络安全防护上的多层安全防护措施。 　　下面我们就多层次保护中包括的主要环节做具体地说明。 　　入侵检测系统 　　入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。 　　实时入侵检测能力之所以重要，首先因为它能够对付来自内部网络的攻击，其次它能够减少被黑客入侵的时间。基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视。 　　因此，在提供关键服务的服务器上使用入侵监测系统，安装实时的安全监控系统，可以提高服务器系统的可靠性，使网络安全系统更加强健。选择入侵检测系统，应特别注意其主要性能的情况，包括：协议分析及检测能力；解码效率(速度)；自身安全的完备性；精确度及完整度，防欺骗能力；模式更新速度等等。 　　入侵检测系统是分层安全中日益被越普遍采用的成分，它将有效地提升黑客进入网络系统的门槛。入侵监测系统能够通过向管理员发出入侵或者入侵企图警告来加强当前的存取控制系统（例如防火墙）；识别防火墙通常不能识别的攻击（如来自企业内部的攻击）；在发现入侵企图之后提供必要的信息，帮助系统的移植。 　　入侵检测系统虽然已经被越来越被广泛地接受为有效的安全工具，但是有一点非常重要：它不能单独工作。例如，有一种工具软件可以使检测系统失效。这种被称为Stick的工具可发出多个有攻击表现的信息包，从而使成为其攻击目标的网络的IDS频繁发出警告。结果造成管理者无法分辨哪些警告是针对真正的攻击发出的，从而使IDS使去作用。而且，如果有攻击表现的信息包数量超过IDS的处理能力的话，IDS会陷入DoS(拒绝服务)状态。也就是说：入侵者利用Stick模拟大量的虚假的正面攻击来攻击网络中的入侵检测系统。这样入侵检测系统就会试图应付大量的新的攻击。这样会降低入侵检测系统的性能，如果系统不能分辨混在大量的虚假的攻击中的真正的攻击，就可能会导致系统失效。 　　防火墙 　　由于入侵检测系统的漏洞的存在，防火墙的就成为多层安全防护中必要的一层。一个防火墙为了提供稳定可靠的安全性，必须跟踪流经它的所有通信信息。为了达到控制目的，防火墙首先必须获得所有通信层和其它应用的信息，然后存储这些信息，还要能够重新获得以及控制这些信息。 　　防火墙仅检查独立的信息包是不够的，因为状态信息以前的通信