基于信息安全管理入侵检测系统运维体系设计.docVIP

基于信息安全管理入侵检测系统运维体系设计 　　【摘 要】随着电力企业网络的快速发展，对信息安全保障能力和运维能力的要求越来越高，而传统的信息安全着眼于常规信息安全设备的应用，其实安全设备应用只是信息安全建设的一个起点，做好设备的运维工作、建立完善的运维流程才可以使设备更好地发挥其应有的作用。所以本文设计了一套基于信息安全管理的入侵检测系统的运维管理体系，来解决信息安全保障和入侵检测系统的运维问题。 　　【关键词】入侵检测系统 IDS 运维体系 　　防火墙的保护是必要的，但绝不是仅仅的保护手段，防火墙需要开通必须的服务，内部需要收发邮件、需要访问Internet、需要对外提供WEB和MAIL服务，在提供正常业务的同时也给了入侵者可乘之机，他们可以通过外设设备、邮件、浏览器攻进网络，也可以直接攻击WEB和MAIL企业中的重要的业务服务器；原有的安全设备，包括防火墙的策略配置复杂，需要考虑各种协议、隐藏策略、全局策略、目标对象、Inbound和Outbound、地址欺骗、先后顺序、等众多因素，稍有偏差就会出现防护漏洞[1]；而且有些防火墙自身存在漏洞，目前最好的防火墙技术都不可避免的存在这样或那样的问题，这在业界已经是不争的事实。 　　入侵检测系统作为固有的防火墙防护手段的有利补充和互补，是安全防护体系的第二道防线，入侵检测系统可以帮助运维人员直观的掌握当前网络的安全状况，可以感知的安全问题在多数情况下都是防火墙无法防御的，由于这些安全问题都是非常规的安全攻击事件，因此入侵检测系统检测信息对运维人员来说是非常重要的参考和借鉴，因此要求入侵检测系统可用性较高，其必须可以实施监控网络情况，又由于入侵检测系统自身的检测技术决定了入侵检测系统在某些情况下告警信息不够准确，误报的情况出现的较多，信息可参考的价值大大折扣，需要我们通过策略优化等方式使入侵检测系统发挥更重要的作用，入侵检测系统部署完毕的后期运维工作变得尤为重要，入侵检测系统的运维工作涉及到很多方面，将在下文进行详细阐述。 　　1入侵检测系统（IDS）技术架构 　　入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统[2]。包括系统外部的入侵和内部用户的非授权行为，是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。 　　IDS是企业网络中的监视系统，它通过对网络中的威胁实时监视，一旦发现异常情况和威胁事件就发出警告。IDS入侵检测系统以威胁事件信息来源的不同和事件规则检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作[3]。因此，对IDS的部署，唯一的要求是：IDS应当挂旁路部署在所有所关注流量都必须流经的链路上或者设备上。在这里，所关注流量指的是来自全网络区域、高危网络区域的访问流量和需要进行统计、监视的网络报文和网络访问事件。在如今的网络拓扑中，已经很难找到以前的HUB式的网络共享介质的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源、网络数据集中或者尽可能靠近受保护资源的位置。 　　IDS系统的一个典型的工作流程是[4]：传感器收集和检测对网络、系统的攻击。事件收集器收集传感器所记录的实时事件进行即时响应，并将这些事件存储在数据库中。控制台将根据响应实时显示安全事件和安全事件统计图。被存贮在数据库中的数据，可以被报表程序调用，根据一些统计规则生成用户关心的统计报表。 　　2入侵检测系统运维管理体系 　　2.1维护作业计划 　　当完成入侵检测系统部署后，企业安全技术人员对入侵检测系统进行维护以保障系统的高效运行和使用。 　　主要工作流程内容包括： 　　（1）入侵检测系统用户管理；（2）系统管理组件功能，添加，删除组件等；（3）系统策略配置；（4）安全事件收集显示；（5）查看IDS报表功能；（6）在数据库中表空间中以各种条件查询数据的功能。 　　日常运维作业计划体系流程如图1。 　　2.2变更管理 　　系统变更是指：根据业务需要，对IDS的部署位置，IP地址，检测端口等进行改变[5]，变更管理一般是在有系统搬迁，扩容等事件发生时才需要进行，不属于周期性的日常维护工作，建议变更管理流程如图2。 　　2.3告警管理 　　根据多年从事信息安全系统建设的经验及在日常工作中积累了丰富的IDS监控及告警处理经验，IDS日常监控方法如下： 　　（1）关注高风险事件；（2）关注新增事件；（3）定