基于信息安全管理的入侵檢測系統(tǒng)運(yùn)維體系設(shè)計(jì)

劉世民　郭立勇　羅金玉　郭寶財(cái)

【摘 要】隨著電力企業(yè)網(wǎng)絡(luò)的快速發(fā)展，對信息安全保障能力和運(yùn)維能力的要求越來越高，而傳統(tǒng)的信息安全著眼于常規(guī)信息安全設(shè)備的應(yīng)用，其實(shí)安全設(shè)備應(yīng)用只是信息安全建設(shè)的一個起點(diǎn)，做好設(shè)備的運(yùn)維工作、建立完善的運(yùn)維流程才可以使設(shè)備更好地發(fā)揮其應(yīng)有的作用。所以本文設(shè)計(jì)了一套基于信息安全管理的入侵檢測系統(tǒng)的運(yùn)維管理體系，來解決信息安全保障和入侵檢測系統(tǒng)的運(yùn)維問題。

【關(guān)鍵詞】入侵檢測系統(tǒng) IDS 運(yùn)維體系

防火墻的保護(hù)是必要的，但絕不是僅僅的保護(hù)手段，防火墻需要開通必須的服務(wù)，內(nèi)部需要收發(fā)郵件、需要訪問Internet、需要對外提供WEB和MAIL服務(wù)，在提供正常業(yè)務(wù)的同時(shí)也給了入侵者可乘之機(jī)，他們可以通過外設(shè)設(shè)備、郵件、瀏覽器攻進(jìn)網(wǎng)絡(luò)，也可以直接攻擊WEB和MAIL企業(yè)中的重要的業(yè)務(wù)服務(wù)器；原有的安全設(shè)備，包括防火墻的策略配置復(fù)雜，需要考慮各種協(xié)議、隱藏策略、全局策略、目標(biāo)對象、Inbound和Outbound、地址欺騙、先后順序、等眾多因素，稍有偏差就會出現(xiàn)防護(hù)漏洞[1]；而且有些防火墻自身存在漏洞，目前最好的防火墻技術(shù)都不可避免的存在這樣或那樣的問題，這在業(yè)界已經(jīng)是不爭的事實(shí)。

入侵檢測系統(tǒng)作為固有的防火墻防護(hù)手段的有利補(bǔ)充和互補(bǔ)，是安全防護(hù)體系的第二道防線，入侵檢測系統(tǒng)可以幫助運(yùn)維人員直觀的掌握當(dāng)前網(wǎng)絡(luò)的安全狀況，可以感知的安全問題在多數(shù)情況下都是防火墻無法防御的，由于這些安全問題都是非常規(guī)的安全攻擊事件，因此入侵檢測系統(tǒng)檢測信息對運(yùn)維人員來說是非常重要的參考和借鑒，因此要求入侵檢測系統(tǒng)可用性較高，其必須可以實(shí)施監(jiān)控網(wǎng)絡(luò)情況，又由于入侵檢測系統(tǒng)自身的檢測技術(shù)決定了入侵檢測系統(tǒng)在某些情況下告警信息不夠準(zhǔn)確，誤報(bào)的情況出現(xiàn)的較多，信息可參考的價(jià)值大大折扣，需要我們通過策略優(yōu)化等方式使入侵檢測系統(tǒng)發(fā)揮更重要的作用，入侵檢測系統(tǒng)部署完畢的后期運(yùn)維工作變得尤為重要，入侵檢測系統(tǒng)的運(yùn)維工作涉及到很多方面，將在下文進(jìn)行詳細(xì)闡述。

1入侵檢測系統(tǒng)（IDS）技術(shù)架構(gòu)

入侵檢測技術(shù)（IDS）可以被定義為對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別和相應(yīng)處理的系統(tǒng)[2]。包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)行為，是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

IDS是企業(yè)網(wǎng)絡(luò)中的監(jiān)視系統(tǒng)，它通過對網(wǎng)絡(luò)中的威脅實(shí)時(shí)監(jiān)視，一旦發(fā)現(xiàn)異常情況和威脅事件就發(fā)出警告。IDS入侵檢測系統(tǒng)以威脅事件信息來源的不同和事件規(guī)則檢測方法的差異分為幾類：根據(jù)信息來源可分為基于主機(jī)IDS和基于網(wǎng)絡(luò)的IDS，根據(jù)檢測方法又可分為異常入侵檢測和誤用入侵檢測。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作[3]。因此，對IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛旁路部署在所有所關(guān)注流量都必須流經(jīng)的鏈路上或者設(shè)備上。在這里，"所關(guān)注流量"指的是來自全網(wǎng)絡(luò)區(qū)域、高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文和網(wǎng)絡(luò)訪問事件。在如今的網(wǎng)絡(luò)拓?fù)渲校呀?jīng)很難找到以前的HUB式的網(wǎng)絡(luò)共享介質(zhì)的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源、網(wǎng)絡(luò)數(shù)據(jù)集中或者盡可能靠近受保護(hù)資源的位置。

IDS系統(tǒng)的一個典型的工作流程是[4]：傳感器收集和檢測對網(wǎng)絡(luò)、系統(tǒng)的攻擊。事件收集器收集傳感器所記錄的實(shí)時(shí)事件進(jìn)行即時(shí)響應(yīng)，并將這些事件存儲在數(shù)據(jù)庫中。控制臺將根據(jù)響應(yīng)實(shí)時(shí)顯示安全事件和安全事件統(tǒng)計(jì)圖。被存貯在數(shù)據(jù)庫中的數(shù)據(jù)，可以被報(bào)表程序調(diào)用，根據(jù)一些統(tǒng)計(jì)規(guī)則生成用戶關(guān)心的統(tǒng)計(jì)報(bào)表。

2入侵檢測系統(tǒng)運(yùn)維管理體系

2.1維護(hù)作業(yè)計(jì)劃

當(dāng)完成入侵檢測系統(tǒng)部署后，企業(yè)安全技術(shù)人員對入侵檢測系統(tǒng)進(jìn)行維護(hù)以保障系統(tǒng)的高效運(yùn)行和使用。

主要工作流程內(nèi)容包括：

（1）入侵檢測系統(tǒng)用戶管理；（2）系統(tǒng)管理組件功能，添加，刪除組件等；（3）系統(tǒng)策略配置；（4）安全事件收集顯示；（5）查看IDS報(bào)表功能；（6）在數(shù)據(jù)庫中表空間中以各種條件查詢數(shù)據(jù)的功能。

日常運(yùn)維作業(yè)計(jì)劃體系流程如圖1。

2.2變更管理

系統(tǒng)變更是指：根據(jù)業(yè)務(wù)需要，對IDS的部署位置，IP地址，檢測端口等進(jìn)行改變[5]，變更管理一般是在有系統(tǒng)搬遷，擴(kuò)容等事件發(fā)生時(shí)才需要進(jìn)行，不屬于周期性的日常維護(hù)工作，建議變更管理流程如圖2。

2.3告警管理

根據(jù)多年從事信息安全系統(tǒng)建設(shè)的經(jīng)驗(yàn)及在日常工作中積累了豐富的IDS監(jiān)控及告警處理經(jīng)驗(yàn)，IDS日常監(jiān)控方法如下：

（1）關(guān)注高風(fēng)險(xiǎn)事件；（2）關(guān)注新增事件；（3）定期統(tǒng)計(jì)檢測事件報(bào)表了解網(wǎng)絡(luò)中安全事件類型；（4）定期統(tǒng)計(jì)檢測事件報(bào)表了解安全事件數(shù)量變化趨勢；（5）對高風(fēng)險(xiǎn)的檢測安全事件進(jìn)行詳細(xì)統(tǒng)計(jì)，以此為依據(jù)控制安全風(fēng)險(xiǎn)。

IDS告警分析處理方法如下[6]：

（1）查看告警詳細(xì)信息；（2）查看告警幫助信息；（3）查看相關(guān)簽名參數(shù)說明；（4）梳理網(wǎng)絡(luò)結(jié)構(gòu)；（5）了解相關(guān)系統(tǒng)應(yīng)用；（6）綜合分析處理；（7）總結(jié)編寫、更新《IDS告警處理標(biāo)準(zhǔn)化流程手冊》。

2.4故障處理

出現(xiàn)故障時(shí)的判斷步驟

（1）檢查整體網(wǎng)絡(luò)的連通性和業(yè)務(wù)系統(tǒng)的運(yùn)行性。保證整個網(wǎng)元設(shè)備之間的網(wǎng)絡(luò)通訊正常；（2）檢查入侵檢測系統(tǒng)的運(yùn)行狀態(tài)，通過察看入侵檢測系統(tǒng)部署在核心交換機(jī)的監(jiān)聽端口是否正常工作和指示燈變化來判斷；（3）使用console界面上提供的工具來確認(rèn)主要網(wǎng)元設(shè)備之間的通訊訪問是否正常；（4）使用sensor調(diào)試工具察看sensor端的狀態(tài)；（5）使用外接顯示器或串口的方式察看sensor的工作狀態(tài)；（6）重新啟動sensor，判斷網(wǎng)絡(luò)故障現(xiàn)象能否重現(xiàn)；（7）確定故障出現(xiàn)之前的網(wǎng)絡(luò)或設(shè)備有無重要變化，根據(jù)網(wǎng)絡(luò)環(huán)境的變化判斷可能引起故障的原因；

組件直接通信狀態(tài)是否正常的檢測方法有很多種，如：Ping命令：判斷組件之間的網(wǎng)絡(luò)連通性；telnet命名：判斷組件的相應(yīng)端口是否打開；console界面上的工具：組件之間的連通性和運(yùn)行狀態(tài)測試[7]。

3結(jié)語

隨著人們對互聯(lián)網(wǎng)信息安全的重要性的認(rèn)識程度逐步加深和了解，對網(wǎng)絡(luò)安全狀況需求的增強(qiáng)，入侵檢測系統(tǒng)已經(jīng)越來越多地被很多企業(yè)所使用，入侵檢測系統(tǒng)發(fā)揮為用戶提供有助信息的首要條件就是做好系統(tǒng)的運(yùn)維工作，保證系統(tǒng)運(yùn)行的連續(xù)性、策略、告警信息的準(zhǔn)確性，可以通過專人專責(zé)、制訂工作計(jì)劃、規(guī)劃相關(guān)處理流程來規(guī)范化運(yùn)維工作。在智能化和流程化如果能夠建立一套完善的體系或者框架，那將是對入侵檢測系統(tǒng)的運(yùn)維體系提高到新的高度。

參考文獻(xiàn)：

[1]韓東海，王超，李群.《入侵檢測系統(tǒng)及實(shí)例剖析》.清華大學(xué)出版社.

[2]王玉榮.《流程管理（第2版）》.機(jī)械工業(yè)出版社.

[3]葉穎，嚴(yán)毅.基于通用入侵規(guī)范下網(wǎng)絡(luò)入侵檢測系統(tǒng)的實(shí)現(xiàn)[D].2010.

[4]入侵檢測系統(tǒng)的安全策略.TechTarget網(wǎng)絡(luò)[引用日期2015-09-18].

[5]朱杰，黃煙波，翁艷彬.如何保護(hù)入侵檢測系統(tǒng)的安全[J].《微機(jī)發(fā)展》，2003（3）：16-18.

[6]黃惠烽.網(wǎng)絡(luò)入侵檢測系統(tǒng)在高校圖書館中的應(yīng)用[J].《吉林省教育學(xué)院學(xué)報(bào)（上旬）》，2010（4），45.

[7]徐小梅.基于馬爾可夫鏈模型的異常入侵檢測方法研究[D]. 2008.

作者簡介：劉世民（1972—），男，高級工程師，從事信息系統(tǒng)運(yùn)維及信息安全工作。