论入侵检测在企业管理中的应用

2022-09-11

一、计算机网络在我国企业管理中的应用现状

20世纪90年代末, 计算机在我国各企事业单位的管理工作中逐渐普及。随着宽带技术的发展, 从21世纪初开始, 计算机网络技术开始在单位和个人用户中普及, 互联网的应用在中国大陆遍地开花。大型企业的信息管理系统早已从多个单项的业务管理系统转变成大型的集成业务管理系统, 比如人力资源、财务、商务、生产等业务管理软件从独立的系统转变成集成系统的不同模块。而中小型企业的业务管理系统也在从单一的文件管理转变成多种媒体的互联网业务管理, 比如直接应用办公软件、即时通信、电子邮件、搜索引擎等。截止今日, 我国使用计算机办公的企业比例已达到99%, 其中使用互联网办公的企业比例超过95%。经过多年发展, 中国企业已基本实现计算机网络的普及应用。

二、企业需要网络安全管理的原因

计算机网络技术的普及, 给企业带来无比的便利, 在数据通信、资源共享共享的基础上, 帮助企业协同处理大量信息, 帮助企业加快运作速度、缩短决策时间、提高资源利用率、节省人力等成本。借助计算机网络技术, 无纸化办公环保、高效, 财务与人资管理准确、便捷, 生产与销售稳定、可靠, 网上决策与支付安全、可审计。企业在计算机网络应用上的投资带来了更低的成本与更高的收益。

但是, 计算机网络技术在给企业带来诸多利好的同时, 也带来了其伴生的风险, 使企业不得不开始重视对计算机网络的安全管理。计算网络安全包含了网络的系统安全与网络的信息安全, 特别是网络的信息安全。网络安全是指保证计算机的网络系统资源和信息资源不被内外部的不良因素威胁或危害, 使它们持续保持可靠性、完整性、可用性、保密性、可审计性等属性特征。

(一) 网络安全面临的主要威胁

网络安全面临的威胁主要来自于网络的外部或内部, 包括人为的因素和环境的因素。网络设备的运行风险和对网络信息的侵入性威胁, 普遍是人为因素造成的, 其主要表现为病毒破坏、线路窃听、假冒合法用户、非法授权访问、修改或删除数据、干扰系统正常运行等。而环境因素主要来自于自然灾害的不可抗力。这些潜在的风险, 对企业的正常运作与商业机密的保护构成威胁, 可能造成大规模的经济损失。

(二) 网络安全事件频发

我国网络安全态势整体保持平稳, 但随着移动互联网的迅速发展, 特别是近年来智能手机、平板电脑等智能终端设备的普及, 个人信息泄露、账号密码被盗、虚拟资产被盗、电信诈骗等问题愈发严重, 给各行各业的企业和个人造成不同程度的损失, 使得大中小型企业更加重视网络安全的风险管理。

(三) 国家政策层面的支持与要求

互联网是国家发展的重要驱动力之一, 2017年6月1日《中华人民共和国网络安全法》的正式实施, 以及之后个人信息保护、关键信息基础设施保护等网络安全法配套法规的陆续出台, 标志着信息安全行业将由合规性过过度到合规性和强制性驱动并重, 为此后开展网络安全相关工作提供了切实的法律保障, 政府与企业共同打击各类网络安全问题。

企业不仅拥有专业的团队对各业务管理系统进行管理、运行、维护与二次开发, 还应该有专业的团队负责企业内部的网络安全管理, 增强系统的健壮性, 预测并规避网络安全面临的主要威胁, 避免或减少网络安全事件给企业带来的损失。

三、入侵检测技术的应用

入侵检测 (Intrusion Detection) 技术是继防火墙、数据加密等网络信息安全技术之后的新兴防护技术, 它被认为是防火墙之后的第二道安全闸门, 可以在不影响网络性能的情况下对网络进行检测。

(一) 入侵检测技术简介

入侵检测是对入侵行为的检测。传统的网络信息安全防护手段往往是在主机或服务器上安装杀毒软件、在网络的出口署防火墙。在OSI/RM模型中, 防火墙主要作用于第二层到第四层, 杀毒软件则主要作用于第五层到第七层。为了覆盖第四层到第五层之间的空挡区域, 可以使用入侵检测系统 (Intrusion Detection System, 简称IDS) 。

IDS是用于监视网络或系统中的恶意或违规行为的一种设备或软件。典型的IDS设备以旁路的形式部署在重要的网络节点, 检查网络或系统中的恶意行为或违反安全策略的行为, 将这些行为记录下来, 然后通过不同级别的告警及时地通报给网络安全管理员。IDS也可以用于事后的统计分析, 由网络安全管理员定期或不定期的检查统计分析的结果。IDS可以从多个关键节点采集信息, 使用告警过滤技术把恶意行为从误报警中分离出来。IDS还可以和防火墙联动, 通过IDS发现入侵, 通过防火墙阻断入侵。旁路部署的IDS不影响网络的健壮性与性能, 相当于是透明部署。

典型的IDS部署方式如图所示。

IDS是对防火墙的合理补充, 帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力, 提高了网络信息安全基础结构的完整性。

(二) 入侵检测的分类

(1) 入侵检测根据检测的实时性, 可以分为实时检测和事后检测。

(1) 实时检测

实时检测是在线进行的, 一旦发现恶意的行为或违反安全策略的行为立刻断开主机与违规者的连接, 保存证据并向管理员发出告警。

(2) 事后检测

事后检测是离线进行的, 日常收集一些特定类别数据, 由管理员定期进行检查分析, 不能及时发现并抵御入侵。

(2) 入侵检测根据其采用的技术可分为特征检测与异常检测。

(1) 特征检测 (Signature-based Detection)

特征检测指入侵检测基于一些特定的模式, 假设网络入侵都遵循某些特定的模式, 比如网络流量比特序列、恶意软件使用的指令序列, 只要IDS检测到有活动符合这些模式, 则判定为入侵。特征检测可以将已知模式的入侵识别出来, 但对新的入侵方法无能为力, 因此需要像杀毒软件更新病毒库一样更新入侵模式库。

(2) 异常检测 (Anomaly Detection)

异常检测主要用来检测未知模式的入侵, 用于应对恶意软件的迅速发展。异常检测的基础是使用机器学习创建可信任行为的模型, 将可能的未知入侵活动与信任模型进行比较, 如果有活动违反了信任模型的统计规律, 则判定该活动是入侵行为。异常检测理论上可以判断出的入侵行为范围更广, 特别是一些新种类的攻击, 但是无法准确识别出攻击的具体类别, 也可能因为正常用户的非常规行为造成误判。

(3) 入侵检测根据检测对象的不同可划分为基于主机型、基于网络型、分布式等。

(1) 基于主机型

基于主机的IDS一般安装在主机或服务器侧, 也称为基于系统型, 主要使用操作系统的审计日志作为数据源。这种类型的IDS是一种安装在操作系统上的应用软件, 不需要额外的硬件, 不占用网络资源, 但是占用主机资源, 依赖于主机的可靠性, 一般只能检测该主机上发生的入侵, 不能检测网络攻击。

(2) 基于网络型

基于网络的IDS, 以旁路的方式部署在网络中的关键节点, 通过有针对性地监听网络中关键节点上传输的原始流量, 对获取的网络数据进行筛选, 从中提取有用的信息, 再通过与已知攻击特征相匹配或与正常网络行为模型相比较来识别入侵行为。此类检测系统不依赖操作系统、配置简单, 可检测协议攻击、特定环境的攻击等多种攻击类别, 但它只能监视经过关键节点的流量, 无法得到主机或服务器系统的实时状态, 检出率与误报率较粗放。

(3) 分布式

分布式IDS一般为分布式结构, 由多个组建构成, 在关键主机或服务器上采用基于主机的入侵检测, 在网络关键节点上采用基于网络的入侵检测, 同时分析来自主机或服务器系统的审计日志和来自网络关键节点的数据流, 判断网络和系统是否受到攻击。分布式的IDS兼顾了基于主机型和基于网络型的各自优势, 对入侵检测的覆盖更全面。

(三) 入侵检测的步骤

入侵检测的工作过程一般分作三个步骤, 即信息收集、信息分析和结果处理。

1. 信息收集

信息收集的内容包括网络、系统以及用户活动的状态和行为。由部署在多个关键节点的传感器和安装在不同主机或服务器上的代理来收集信息, 包括网络和系统的日志文件、非正常的网络流量、非正常文件改变、非正常的程序执行。

2. 信息分析

收集到的网络、系统及用户活动的状态和行为等信息, 被送到检测引擎, 检测引擎驻留在IDS中, 一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。模式匹配和统计分析用于实时的入侵检测, 完整性分析用于事后分析。

3. 结果处理

根据信息分析的结果, 入侵检测可对不同类别的入侵行为做出适当的反应, 包括详细的日志记录、实时的报警和有限的反击。详细的日志记录和实时的报警属于被动响应, 只会通过报警通知将不正常的行为报告给管理员, 本身并不对入侵行为进行有效干预, 也不能改变已经被攻击的事实。有限的反击又被称为入侵防御 (Intrusion Prevention) , 可对被攻击的系统实施控制, 属于主动响应, 它可以阻断或减轻攻击带来的影响。

(四) 入侵检测面临的挑战

IDS提高了网络信息安全体系的完整性和系统的监察能力, 允许非专业人士从事系统安全工作, 为信息安全策略的创建提供指导。

IDS作为防火墙的合理补充, 它也不是万能的, 需要向提高检测的准确和完备、降低误报与误判、提升处理性能等方面继续努力。以旁路为主的部署方式也决定了IDS难以对检测到的入侵行为进行及时的干预。为了弥补这种缺憾, 可以在广泛部署IDS、了解网络当前状况的前提下, 在合适的位置部署IPS (Intrusion Prevention System, 即入侵防御系统) , 实现对网络入侵的深层防御与精确阻断。

四、结束语

在我国信息化社会的大环境下, 现代企业的管理离不开计算机网络技术的应用, 企业的管理者应对网络信息安全足够重视, 紧跟科技进步的脚步, 合理应用最新的信息安全技术。同时, 还要提高员工网络安全意识, 加强并完善企业的网络信息安全管理体系。IDS是企业进行精细化信息安全管理所用的一种技术手段, 在企业中的应用还需配备专业的管理团队, 完善信息安全管理流程, 提高企业对信息安全风险的管控能力, 才能合理发挥其应有的价值。

摘要：随着我国初步进入信息化社会, 计算机网络在人们日常生活和工作中的应用越来越多。如果保证企业的网络信息安全, 给企业的管理者带来了新的挑战。为了保护企业内部的信息真实可用、同时保护企业信息系统运作正常、避免给企业带来直接或间接的经济损失, 防火墙、杀毒软件、密码学等技术被普遍地应用到企业的网络信息安全管理中。本文主要分析在信息化社会的大环境下, 企业管理中信息安全管理的重要意义, 论述其中入侵检测技术的实际应用, 提高企业对信息安全风险的管理与控制能力。

关键词：企业管理,信息安全,防火墙,入侵检测,应用