随着电力企业网络的快速发展,对信息安全保障能力和运维能力的要求越来越高,而传统的信息安全着眼于常规信息安全设备的应用,其实安全设备应用只是信息安全建设的一个起点,做好设备的运维工作、建立完善的运维流程才可以使设备更好地发挥其应有的作用。所以本文设计了一套基于信息安全管理的入侵检测系统的运维管理体系,来解决信息安全保障和入侵检测系统的运维问题。
防火墙的保护是必要的,但绝不是仅仅的保护手段,防火墙需要开通必须的服务,内部需要收发邮件、需要访问Internet、需要对外提供WEB和MAIL服务,在提供正常业务的同时也给了入侵者可乘之机,他们可以通过外设设备、邮件、浏览器攻进网络,也可以直接攻击WEB和MAIL企业中的重要的业务服务器;原有的安全设备,包括防火墙的策略配置复杂,需要考虑各种协议、隐藏策略、全局策略、目标对象、Inbound和Outbound、地址欺骗、先后顺序、等众多因素,稍有偏差就会出现防护漏洞[1];而且有些防火墙自身存在漏洞,目前最好的防火墙技术都不可避免的存在这样或那样的问题,这在业界已经是不争的事实。
入侵检测系统作为固有的防火墙防护手段的有利补充和互补,是安全防护体系的第二道防线,入侵检测系统可以帮助运维人员直观的掌握当前网络的安全状况,可以感知的安全问题在多数情况下都是防火墙无法防御的,由于这些安全问题都是非常规的安全攻击事件,因此入侵检测系统检测信息对运维人员来说是非常重要的参考和借鉴,因此要求入侵检测系统可用性较高,其必须可以实施监控网络情况,又由于入侵检测系统自身的检测技术决定了入侵检测系统在某些情况下告警信息不够准确,误报的情况出现的较多,信息可参考的价值大大折扣,需要我们通过策略优化等方式使入侵检测系统发挥更重要的作用,入侵检测系统部署完毕的后期运维工作变得尤为重要,入侵检测系统的运维工作涉及到很多方面,将在下文进行详细阐述。
1入侵检测系统(IDS)技术架构
入侵检测技术(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统[2]。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
IDS是企业网络中的监视系统,它通过对网络中的威胁实时监视,一旦发现异常情况和威胁事件就发出警告。IDS入侵检测系统以威胁事件信息来源的不同和事件规则检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作[3]。因此,对IDS的部署,唯一的要求是:IDS应当挂旁路部署在所有所关注流量都必须流经的链路上或者设备上。在这里,"所关注流量"指的是来自全网络区域、高危网络区域的访问流量和需要进行统计、监视的网络报文和网络访问事件。在如今的网络拓扑中,已经很难找到以前的HUB式的网络共享介质的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源、网络数据集中或者尽可能靠近受保护资源的位置。
IDS系统的一个典型的工作流程是[4]:传感器收集和检测对网络、系统的攻击。事件收集器收集传感器所记录的实时事件进行即时响应,并将这些事件存储在数据库中。控制台将根据响应实时显示安全事件和安全事件统计图。被存贮在数据库中的数据,可以被报表程序调用,根据一些统计规则生成用户关心的统计报表。
2入侵检测系统运维管理体系
2.1维护作业计划
当完成入侵检测系统部署后,企业安全技术人员对入侵检测系统进行维护以保障系统的高效运行和使用。
主要工作流程内容包括:
(1)入侵检测系统用户管理;(2)系统管理组件功能,添加,删除组件等;(3)系统策略配置;(4)安全事件收集显示;(5)查看IDS报表功能;(6)在数据库中表空间中以各种条件查询数据的功能。
日常运维作业计划体系流程如图1。
2.2变更管理
系统变更是指:根据业务需要,对IDS的部署位置,IP地址,检测端口等进行改变[5],变更管理一般是在有系统搬迁,扩容等事件发生时才需要进行,不属于周期性的日常维护工作,建议变更管理流程如图2。
2.3告警管理
根据多年从事信息安全系统建设的经验及在日常工作中积累了丰富的IDS监控及告警处理经验,IDS日常监控方法如下:
(1)关注高风险事件;(2)关注新增事件;(3)定期统计检测事件报表了解网络中安全事件类型;(4)定期统计检测事件报表了解安全事件数量变化趋势;(5)对高风险的检测安全事件进行详细统计,以此为依据控制安全风险。
IDS告警分析处理方法如下[6]:
(1)查看告警详细信息;(2)查看告警帮助信息;(3)查看相关签名参数说明;(4)梳理网络结构;(5)了解相关系统应用;(6)综合分析处理;(7)总结编写、更新《IDS告警处理标准化流程手册》。
2.4故障处理
出现故障时的判断步骤
(1)检查整体网络的连通性和业务系统的运行性。保证整个网元设备之间的网络通讯正常;(2)检查入侵检测系统的运行状态,通过察看入侵检测系统部署在核心交换机的监听端口是否正常工作和指示灯变化来判断;(3)使用console界面上提供的工具来确认主要网元设备之间的通讯访问是否正常;(4)使用sensor调试工具察看sensor端的状态;(5)使用外接显示器或串口的方式察看sensor的工作状态;(6)重新启动sensor,判断网络故障现象能否重现;(7)确定故障出现之前的网络或设备有无重要变化,根据网络环境的变化判断可能引起故障的原因;
组件直接通信状态是否正常的检测方法有很多种,如:Ping命令:判断组件之间的网络连通性;telnet命名:判断组件的相应端口是否打开;console界面上的工具:组件之间的连通性和运行状态测试[7]。
3结语
随着人们对互联网信息安全的重要性的认识程度逐步加深和了解,对网络安全状况需求的增强,入侵检测系统已经越来越多地被很多企业所使用,入侵检测系统发挥为用户提供有助信息的首要条件就是做好系统的运维工作,保证系统运行的连续性、策略、告警信息的准确性,可以通过专人专责、制订工作计划、规划相关处理流程来规范化运维工作。在智能化和流程化如果能够建立一套完善的体系或者框架,那将是对入侵检测系统的运维体系提高到新的高度。
作者:刘世民 郭立勇 罗金玉 郭宝财 来源:中国科技纵横 2016年4期
