在51CTO安全频道特别策划的《J0ker的CISSP之路》系列的上两篇文章《
数据访问控制方法》和《
分布式访问控制方法》文章里,J0ker向大家介绍了访问控制CBK里涉及的数据库访问控制技术和根据内容实施的访问控制技术,至此,J0ker已经访问控制CBK中包括到的访问控制原则、方法和技术都向大家介绍过了。在接下来几篇文章里,J0ker打算和大家聊聊和访问控制相关的实施保障、保护和管理,并在最后为大家总结一下访问控制CBK的全部内容。
部署访问控制方案是重要的信息系统和信息资产保护手段,但对用户来说,不单应该把保护措施部署到位,监控是否有非法或合法用户破坏保护手段的限制也是同样重要的任务,所以,企业需要定期对网络和信息系统进行安全审计,以发现攻击者的痕迹或入侵尝试。为了让大家更容易的理解J0ker接下去要介绍的内容,我们需要先对“入侵“做一个更为准确的定义:所谓入侵,就是一系列会导致信息系统、网络和信息资产受到可用性、完整性和保密性威胁的行为。
入侵检测和入侵检测系统
为了更好地进行安全审计,企业和其他行业都广泛的采用了被统称为入侵检测系统(Intrusion Detection System,IDS)的一系列软件。可能有一部分朋友可能经常听说IDS这个名词,但不怎么了解它的工作原理——打个简单的比方,IDS和家庭常用的防盗报警器类似,如果有窃贼闯入了受防盗报警器保护的房间,防盗报警器就会发现窃贼并发出巨大的响声,警告房子的主人、邻居或附近的保安,房子已经被非法闯入。IDS在网络上启用之后,会进入不干扰系统和网络运行的后台模式,并检测是否入侵者闯入系统或授权用户在滥用系统资源,如果检测到可疑的行为,IDS将会向系统管理员发出警告信息。
IDS是如何实现对异常行为的检测的?这还得从IDS所使用的入侵检测技术说起,入侵检测技术基于这样一个原则:入侵者所发起的系统和网络攻击是可以通过对多种元素的分析发现的,如网络通信流量、数据包结构和内容、CPU的使用率、输入输出使用和文件操作等,这些元素,或者称为系统行为,构成了系统的审计数据,现有的入侵检测技术再通过检查这些网络流量日志和其他审计数据,从而识别并隔离对系统和网络攻击行为。
系统的各种日志是IDS使用最多的输入数据,尽管在某些情况下,我们仍时常使用特定的关键词对系统日志进行搜索,以找到是否存在异常的系统活动。但在大多数的情况下,现代信息系统和网络产生的海量日志数据并不是我们能够以手工方式进行检查的,我们更多的是使用IDS按照预先定义好的行为模板,对日志进行实时的分析并发现是否正在发生入侵。
常见的入侵检测系统由三个部分组成:探测器(Sensor,有时候我们也将其称为代理,Agent)、分析器和提供给安全管理员使用的用户界面。探测器负责采集IDS使用的数据,并转发到IDS的分析器,IDS的分析器则根据一定的规则对采集到的数据进行分析,并发现是否正在或已经发生入侵行为,而用户界面则用于向安全管理员显示分析器的输出结果。
按照实现原理和使用场合,目前的IDS可以分成两种主要的类型:基于网络的IDS(Network-Based)和基于主机的IDS(Host-Based),基于网络的IDS可以监控网络流量,而基于主机的IDS则对系统的内部日志进行审核以发现可疑的行为。从用户的角度来说,最理想的状况是一个IDS软件能够同时提供基于网络的IDS功能和基于主机的IDS功能,但是,俗话说术业有专攻,企业中常使用的IDS系统仍以单纯的基于网络的IDS或基于主机的IDS为主。下面J0ker将向大家逐一介绍这两种IDS。
基于网络的IDS(Network-Based IDS,NIDS)
基于网络的IDS(NIDS)能够实时的监视通信连接中的网络流量状况,它通常是一个工作在被动模式下的设备,并不会影响它所在网络的使用。NIDS使用混杂模式直接从网络传输媒介(网线、无线、光纤等)获取所传输数据的拷贝,并在这些数据到达其目的地之前对这些数据的内容进行分析,NIDS也能够根据协议或数据的其他特征进行分析。
企业中主要使用NIDS来发现拒绝服务攻击和网络流量上包含的恶意代码,当NIDS发现这类攻击出现后,可以根据预先设置的行为模式,警告网络的管理员,并断开正在进行攻击的网络连接。为了增强NIDS的能力,许多NIDS还和防火墙进行集成,可能自动的定义新的规则以拦截将来可能出现的某种攻击。
NIDS需要运行在一个独立的主机上,从而避免通常产品系统上安装的其他软件对NIDS的工作产生的影响,许多安全厂商也推出了网络设备形式的IDS,用户只需要简单的将这样的IDS接入网络,并进行简单的配置即可投入使用。但这种形式的NIDS最大的不足是它的适应性,随着企业提升网络连接速度,NIDS需要监控更多的网络流量,如果网络流量超过它所能监控的等级,将可能造成攻击行为的漏报或误报。因此,为了保证使用的有效性,企业在购买NIDS的时候,应该考虑NIDS能够支持企业在未来一段时间内增加的网络带宽和流量。
NIDS面临的另一个问题是企业网络中加密流量的增加,虽然加密技术能够保护传输数据的保密性,但NIDS因为无法检查加密流量中,将有可能放过本来应该拦截的未授权访问或攻击流量。另外,NIDS的管理和数据传输应该采用和生产网络相隔离的专用管理网络,防止因为攻击者或其他无意的原因丢失NIDS收集到的数据和发出的安全警报。
基于主机的IDS(Host-Based IDS,HIDS)
和NIDS不同,基于主机的IDS(HIDS)主要使用探测器来监测一台主机的安全状况,HIDS的探测器能够监测系统的各种日志信息、关键的系统文件和其他可以审计的内容,并发现未授权的更改或可疑的行为和活动。HIDS可以监测在受控主机上发生的攻击,并能够提供更为有效的攻击响应,如果HIDS的配置正确,在不正常的行为发生的时候HIDS能够即时向管理员发送警告。
针对用户同时监控多个主机的需求,不少安全厂商也推出了支持多主机审核的HIDS产品,我们平时使用的许多个人版防火墙和反病毒软件里面,其实也包含了一个定制过的HIDS,或实现了一部分的HIDS功能。HIDS的主要缺陷是会占用其所在系统的一部分系统资源,在关键系统上容易导致系统不稳定,也有可能会被入侵者在攻击时首先关闭,从而失去对所在系统的监控能力。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/97195,如需转载请自行联系原作者
