隨著網絡安全風險系數不斷提高,曾經作為最主要的安全防范手段的防火牆,已經不能滿足人們對網絡安全的需求。
作為對防火牆及其有益的補充,IDS(入侵檢測系統)能夠幫助網絡系統快速發現網絡攻擊的發生,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。
IDS被認為是防火牆之後的第二道安全閘門,它能在不影響網絡性能的情況下對網絡進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
伴隨著計算機網絡技術和互聯網的飛速發展,網絡攻擊和入侵事件與日俱增,特別是近兩年,政府部門、軍事機構、金融機構、企業的計算機網絡頻遭黑客襲擊。攻擊者可以從容地對那些沒有安全保護的網絡進行攻擊和入侵,如進行拒絕服務攻擊、從事非授權的訪問、肆意竊取和篡改重要的數據信息、安裝後門監聽程序以便隨時獲得內部信息、傳播計算機病毒、摧毀主機等等。攻擊和入侵事件給這些機構和企業帶來了巨大的經濟損失和形象的損害,甚至直接威脅到國家的安全。
一、存在的問題
攻擊者為什麼能夠對網絡進行攻擊和入侵呢?原因在於,我們的計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置,主要表現在操作系統、網絡服務、TCP/IP協議、應用程序(如數據庫、浏覽器等)、網絡設備等幾個方面。正是這些弱點、漏洞和不安全設置給攻擊者以可乘之機。另外,由於大部分網絡缺少預警防護機制,即使攻擊者已經侵入到內部網絡,侵入到關鍵的主機,並從事非法的操作,我們的網管人員也很難察覺到。這樣,攻擊者就有足夠的時間來做他們想做的任何事情。
那麼,我們如何防止和避免遭受攻擊和入侵呢?首先要找出網絡中存在的安全弱點、漏洞和不安全的配置;然後采用相應措施堵塞這些弱點、漏洞,對不安全的配置進行修正,最大限度地避免遭受攻擊和入侵;同時,對網絡活動進行實時監測,一旦監測到攻擊行為或違規操作,能夠及時做出反應,包括記錄日志、報警甚至阻斷非法連接。
IDS的出現,解決了以上的問題。設置硬件防火牆,可以提高網絡的通過能力並阻擋一般性的攻擊行為;而采用IDS入侵防護系統,則可以對越過防火牆的攻擊行為以及來自網絡內部的違規操作進行監測和響應。
二、IDS日顯重要
目前,隨著IDS技術的逐漸成熟,在整個安全部署中的重要作用正在被廣大用戶所認可和接受。為了確保網絡安全,必須建立一整套的安全防護體系,進行多層次、多手段的檢測和防護。IDS就是安全防護體系中重要的一環,它能夠及時識別網絡中發生的入侵行為並實時報警。IDS是繼“防火牆”、“信息加密”等傳統安全保護方法之後的新一代安全保障技術。它監視計算機系統或網絡中發生的事件,並對它們進行分析,以尋找危及機密性、完整性、可用性或繞過安全機制的入侵行為。IDS就是自動執行這種監視和分析過程的安全產品。