企业网络安全入侵检测与响应解决方案（最全）.doc

企业网络安全入侵检测与响应解决方案

企业网络安全入侵检测与响应解决方案

2/58

企业网络安全入侵检测与响应解决方案

目录

1当前我们面对的主要安全问题 3

2企业网络安全技术的现状分析 7

2.1网络安全出现了哪些的问题? 7

2.2需要统一安全管理的发展历程 12

2.3SIM安全信息管理的产生 15

2.4从安全信息管理SIM发展到安全威胁管理STM 16

3企业网络安全监控和快速响应解决方案 20

3.1企业网络安全监控的手段 20

3.1.1NetFlow实时监控网络流量 20

3.1.2企业网络IDS/IPS监控及网络入侵保护 25

3.2企业网络快速响应方案 45

3.2.1CS-MARS的部署优势 49

3.2.2CS-MARS防御蠕虫病毒攻击实例 50

4企业网络IPS/MARS的技术指标 错误!未定义书签。

3/58

企业网络安全入侵检测与响应解决方案

1当前我们面对的主要安全问题

在近日召开的2005中国计算机网络安全应急年会(CNCERT/CC’2005)上，国家计算机网络应急技术处理协调中心(简称CNCERT/CC)发布了“2004年全国网络安全状况调查报告”。此次调查是在信息产业部互联网应急处理协调办公室的指导下，针对全国16个城市2800多个企业的网络安全状况进行的。

调查显示，在各类网络安全技术使用中，防火墙的使用率最高，占77.8%;其次为反病毒软件的应用，占到73.4%;访问控制(25.6%)、加密文件系统(20.1%)和入侵检测系统(15.8%)也是通常使用的网络安全技术。生物识别技术、虚拟专用网络、数字签名和证书使用率较低，其中被访者中有很多人不清楚这些技术，还需要一段时间才能得到市场的认可。

在金融、制造、电信、财税、政府、教育、交通、其他类8个行业中，各行业被调查单位对防火墙与反病毒软件的使用率最高，其中财税、政府、教育行业以反病毒软件最普遍，其他行业都对防火墙使用最为普遍。

4/58

企业网络安全入侵检测与响应解决方案

被访单位在2004年所受到的网络攻击类型中最普遍的是病毒、蠕虫或特洛伊木马攻击，占75.3%。被调查对象认为，引发网络安全事件的原因中最主要的是“利用未打补丁或未受保护的软件漏洞”,占50.3%;对员工不充分的安全操作和流程的培训及教育占36.3%;紧随其后的是缺乏全面的网络安全意识教育，占28.7%。

调查数据显示，2004年面临的网络安全威胁最高的是使用自动化网络攻击工具，例如蠕虫或自动传播恶意代码，占67.3%;其次是有熟练攻击经验的攻击者成功绕过网络安全防护措施，占15.4%;大量或非常密集网络攻击尝试，占13.8%。

此次调查是一次比较全面、客观、公正的社会调查，调查结果反映了我国当前网络安全的实际情况。总体而言，我国网络安全管理水平和技术水平较高，网络安全技术和产品，如防火墙、反病毒产品的普及率达到较高水平；企业对保证信息安全的基础性工作的重视程度比较高；近70%的被调查单位有专门的组织或机构负责内部的网络与信息安全，显示出各单位将网络与信息安全作为自身安全的组成部分的认识有所提高，也反映了近年来国家层面对网络与信息安全提出的要求已逐步得到贯彻执行。

5/58

企业网络安全入侵检测与响应解决方案

但是，通过调查也反映出我国企业网络安全方面存在的一些问题，比较突出地反映在网络安全产品使用比较单一，入侵检测系统、身份认证技术、加密技术等普及程度较低，被调查单位内部安全规章不够完善和全面，企业采用网络安全相关标准作为指导的还不多，企业内部网络安全管理人员培训和认证工作仍有待加强等方面。通过这次调查，反映出蠕虫等自动传播的恶意代码、有经验的黑客、拒绝服务攻击是我国面临的最重要的网络安全威胁。而加强配置管理、及时获得计算机漏洞信息和网络安全事件信息、保证网络安全技术措施的及时更新等被认为是最需要的。建立网络安全法律法规、建立网络安全技术监测平台、提高公众网络安全意识被认为是提高网络安全整体水平的最重要的宏观措施。

如何应对现在新的网络安全环境呢?如何在我们的网络上确保安全，及时地发现问题、跟踪定位和阻止泛滥，是每个网络管理人员所思考的问题。现在尽管采用了防火墙、虚拟专用网(VPN)、身份验证机制、入侵检测系统(IDS)和其他技术来保障网络安全，但是网络攻击的传播速度可能会大大提高网络的脆弱性。一