思科安全入侵检测与响应解决方案精选.docVIP

思科安全入侵检测与响应解决方案 Version 1.0 2007-11-03 目录 1 当前我们面对的主要安全问题 3 2 企业网络安全技术的现状分析 7 2.1 网络安全出现了哪些的问题？ 7 2.2 需要统一安全管理的发展历程 11 2.3 SIM安全信息管理的产生 13 2.4 从安全信息管理SIM发展到安全威胁管理STM 14 3 思科安全监控和快速响应解决方案 18 3.1 思科安全监控的手段 18 3.1.1 NetFlow实时监控网络流量 18 3.1.2 思科IDS/IPS监控及网络入侵保护 23 3.2 思科快速响应方案 38 3.2.1 CS-MARS的部署优势 42 3.2.2 CS-MARS防御蠕虫病毒攻击实例 43 4 思科IPS/MARS的技术指标 50 当前我们面对的主要安全问题在近日召开的2005中国计算机网络安全应急年会(CNCERT／CC’2005)上，国家计算机网络应急技术处理协调中心(简称CNCERT／CC)发布了“2004年全国网络安全状况调查报告”。此次调查是在信息产业部互联网应急处理协调办公室的指导下，针对全国16个城市2800多个企业的网络安全状况进行的。调查显示，在各类网络安全技术使用中，防火墙的使用率最高，占77.8%；其次为反病毒软件的应用，占到73.4%；访问控制(25.6%)、加密文件系统(20.1%)和入侵检测系统(15.8%)也是通常使用的网络安全技术。生物识别技术、虚拟专用网络、数字签名和证书使用率较低，其中被访者中有很多人不清楚这些技术，还需要一段时间才能得到市场的认可。在金融、制造、电信、财税、政府、教育、交通、其他类8个行业中，各行业被调查单位对防火墙与反病毒软件的使用率最高，其中财税、政府、教育行业以反病毒软件最普遍，其他行业都对防火墙使用最为普遍。被访单位在2004年所受到的网络攻击类型中最普遍的是病毒、蠕虫或特洛伊木马攻击，占75.3%。被调查对象认为，引发网络安全事件的原因中最主要的是“利用未打补丁或未受保护的软件漏洞”，占50.3%；对员工不充分的安全操作和流程的培训及教育占36.3%；紧随其后的是缺乏全面的网络安全意识教育，占28.7%。调查数据显示，2004年面临的网络安全威胁最高的是使用自动化网络攻击工具，例如蠕虫或自动传播恶意代码，占67.3%；其次是有熟练攻击经验的攻击者成功绕过网络安全防护措施，占15.4%；大量或非常密集网络攻击尝试，占13.8%。此次调查是一次比较全面、客观、公正的社会调查，调查结果反映了我国当前网络安全的实际情况。总体而言，我国网络安全管理水平和技术水平较高，网络安全技术和产品，如防火墙、反病毒产品的普及率达到较高水平；企业对保证信息安全的基础性工作的重视程度比较高；近70%的被调查单位有专门的组织或机构负责内部的网络与信息安全，显示出各单位将网络与信息安全作为自身安全的组成部分的认识有所提高，也反映了近年来国家层面对网络与信息安全提出的要求已逐步得到贯彻执行。但是，通过调查也反映出我国企业网络安全方面存在的一些问题，比较突出地反映在网络安全产品使用比较单一，入侵检测系统、身份认证技术、加密技术等普及程度较低，被调查单位内部安全规章不够完善和全面，企业采用网络安全相关标准作为指导的还不多，企业内部网络安全管理人员培训和认证工作仍有待加强等方面。通过这次调查，反映出蠕虫等自动传播的恶意代码、有经验的黑客、拒绝服务攻击是我国面临的最重要的网络安全威胁。而加强配置管理、及时获得计算机漏洞信息和网络安全事件信息、保证网络安全技术措施的及时更新等被认为是最需要的。建立网络安全法律法规、建立网络安全技术监测平台、提高公众网络安全意识被认为是提高网络安全整体水平的最重要的宏观措施。 如何应对现在新的网络安全环境呢？如何在我们的网络上确保安全，及时地发现问题、跟踪定位和阻止泛滥，是每个网络管理人员所思考的问题。现在尽管采用了防火墙、虚拟专用网（VPN）、身份验证机制、入侵检测系统（IDS）和其他技术来保障网络安全，但是网络攻击的传播速度可能会大大提高网络的脆弱性。一个蠕虫或者病毒通常只需要借助一台没有正确使用或者更新的计算机，就可以在几分钟之内感染整个企业的网络。即使这种攻击不是破坏或者盗窃数据，它们也可能会产生大量的网络流量，严重影响企业开展业务的能力，从而导致网络中断和收入损失。 因此，企业在网络上部署安全设备和应用的目的不再只是控制访问权限和发现可能的问题。其首要目标已经变成以最佳的方式保持网络的正常运行。而现实是现有的安全产品通常不能够采取足够快的措施制止攻击和保持网络的稳定性。这使得企业的安全管理人员很难确定为了购买更多的安全技术而增加预算的必要性。 有很多相关的因素共同导致了这种僵