【NISP一级】3.4 网络安全管理设备

【NISP一级】3.4 网络安全管理设备

1. IDS(入侵检测系统)

1.1 基本概念

• 入侵检测系统(IDS)是对入侵行为进行检测并进行响应的网络安全设备。入侵检测系统通过监听的方式获得网络中传输的数据包，通过对数据包的分析判断其中是否含有攻击的行为。
• 对用户知识要求较高，系统的配置、 操作和管理使用较为复杂
• 由于网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要
• 高虚警率，用户处理的负担重
• 由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果
• 在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响

1.2 入侵检测系统的作用

• 主动防御，防火墙的重要补充
• 构建网络安全防御体系重要环节
  • 防火墙——门卫
  • 入侵检测——保安

1.3 入侵检测类型

1.3.1 网络入侵检测(NIDS)

• 优点

• 一般旁路安装，对设备性能要求不高，不容易成为瓶颈

• 局限性

• 无法对加密的数据进行分析检测;

• 高速交换网络中处理负荷较重，存在性能不足;

• 仅能检测到攻击行为，无法对攻击行为后果进行判断(是否攻击成功等)

1.3.1 主机入侵检测(HIDS)

• 优点

• 分析网络报文

• 监视所有系统行为(系统日志、账户系统、文件读写等)

• 能够检测到攻行为的后果

• 能供用于加密网络环境

• 局限性

• 可移植性差， 开发、测试的压力 都比较大；

• 需要消耗主机的硬件资源，会影响到主机的性能；

• 仅能保护安装了产品的主机

1.4入侵检测系统功能

• 发现并报告系统中未授权或违反安全策略行为

• 为网络安全策略的制定提供指导

1.5 入侵检测技术

• 误用检测技术

• 建立入侵行为模型(攻击特征)

• 假设可以识别和表示所有可能的特征

• 基于系统和基于用户的误用

• 异常检测技术

• 设定“正常”的行为模式

• 假设所有的入侵行为是异常的

• 基于系统和基于用户的异常

1.6 入侵检测系统的部署

• 基于对全网数据报文进行分析

• 基于对服务器区的报文进行分析

• 基于对关键主机或服务器

2. 网络安全审计

• 按照一定的安全策略，对系统日志、网络数据、用户活动、环境状况进行检查,以发现系统漏洞、违规操作等行为的安全设备，与其他网络安全产品(防火墙、入侵检测系统、漏洞扫描等)功能上相互独立，同时也相互补充、保护网络的整体安全。
• 网络审计
• 主机审计
• 安全审计系统实际是记录与审查用户操作计算机系统和网络活动，通过对系统记录和行为进行独立审查，对可能存在的攻击者起威慑和警示作用、发现系统的不安全状态以及时进行调整并对安全策略的变更进行评价及反馈等。

3. 漏洞扫描系统

• 漏洞：信息系统安全保障的关键资因素，对信息系统进行安全评估，发现信息系统中的安全漏洞是保障信息系统安全的基础工作。
• 漏洞扫描：一种主动防御的技术,网络安全管理员通过定期的漏洞扫描，能及时发现信息系统中运行的服务存在的安全漏洞和配置缺陷，从而采取针对性的措施，通过停用不需要的服务、修复漏洞、修正配置措施等提高系统的安全性，降低服务被攻击者攻击导致的安全风险。
• 漏洞扫描系统
  • 漏洞扫描系统能够对各类网络设备、操作系统、数据库、支撑软件、应用软件进行安全性检查，是一把双刃剑：
    • 对于网络安全管理人员来说，可以用来发现系统中存在的安全漏洞、配置缺陷
    • 对于攻击者而言，漏洞扫描系统可以寻找信息系统入侵途径
    • 漏洞扫描技术和防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过漏洞扫描，网络安全管理人员能根据扫描的结果来采取针对性的工作，避免系统中存在安全脆弱点，从而提高系统整体安全性。漏洞扫描是信息安全中的常规工作，也是常用的安全性评估手段。

  4. VPN(虚拟专网)

    # 4.1 基本概念
  

• 虚拟专用网络(Virtual Private Network,VPN)：利用隧道技术，在公共网络中建立一个虚拟的、临时的、专用的安全网络通道

4.2 VPN实现技术

• 隧道技术
  • PPTP、 L2TP
  • IPSEC、 GRE
  • SSL、TLS
• 密码技术
  • 对称加密
  • 非对称加密

4.3 VPN的优势(相较于建立或租用专线)

• 成本低

• 安全性高

• 简单、灵活、方便

• 能够提供服务保证(身份认证、访问控制、安全管理、流量管理)

4.4 VPN的应用场景

• 满足需要通过互联网进行远程访问企业内部资源需求的组织机构，通过VPN接入，能在确保安全的同时为远程用户提供私有资源的访问。

4.5 VPN的搭建

• 租用运营商VPN网络

• 专业的VPN硬件设备(VPN路由器、服务器等)

• VPN Ser

5. 堡垒主机

• 堡垒主机是运维管理中广泛使用的一个安全设备，主要用于解决远程维护操作安全问题。
• 堡垒主机是经过特殊研发并进行安全增强的计算机系统，部署在远程维护的设备所在的网络区域，所有对设备的远程维护都需要先连接到堡垒主机上，然后通过堡垒主机作为跳板进行远程维护操作，所有堡垒机也叫做跳板机。
• 堡垒主机解决了远程维护管理中的痛点和难点，把安全问题集中在一个点进行管理。
• 堡垒主机上集成了身份认证、访问控制、操作审计的功能，远程维护人员通过堡垒主机认证身份后，根据规则仅能远程维护设定的设备，并且远程维护过程中的所有操作都被堡垒主机记录下来以供审计。
• 所有需要远程维护的设备，例如服务器，可设置主机防火墙只允许堡垒主机进行远程维护，从而避免了被远程利用维护服务进行攻击的可能。
• 所以堡垒主机通常也是攻击者的重点目标，一旦堡垒机被突破，整个内部网络就完全暴露在攻击者面前，因此堡垒主机自身的安全性对整个网
  络的安全至关重要。堡垒主机的配置与其他主机完全不同，其配置需完全遵循最小特权原则，所有不是必须的服务都被删除或禁用，不需要开放的端口防火墙全部进行了阻止，相应的各项功能都为定制开发，从最大程度上避免被攻击导致的安全风险。

6. 安全管理平台

• 安全管理平台(SOC)也被成为安全运营中心，为组织机构提供集中、统一、可视化的安全信息管理。
• SOC通过实时采集各种安全信息，安全动态，进行安全信息关联分析与风险评估，实现安全事件的快速跟踪、定位和应急响应，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一安全 管理支撑平台。
• 网络安全是一个动态的过程！
• SOC (安全管理平台)可对各类网络设备、安全设备、系统软件、应用软件产生的数据进行收集汇总、统- -格式、过滤、存储并进行分析，通过对采集的数据进行关联分析、特征匹配等，使用户能全面的掌握网络的安全状况，对安全状态进行实时监控和管理，对各类资产(服务器、终端、安全设备等)的脆弱性进行评估，从而实现快速发现问题、快速响应。
• SOC (安全管理平台)常见功能：
  • 统一日志管理(集中监控);
  • 统一配置管理(集中管理)
  • 各安全产品和系统的统一协调和处理(协同处理)安全状态的统一管 控(统一安服)
  • 其他功能( 自动风险分析、安全业务流程管理、其他系统对接融合并提供数据支撑等)
• 信息安全作为一个体系的工作，需要把相关的网络和安全设备、操作系统、应用软件等进行统一管理，才能有效的实现安全保障。
• 安全管理平台作为良好的技术基础架构，能为信息系统的安全运维和安全管理提供强有力的支撑。在2019年 发布的我国等级保护标准中，已经将安全管理平台建设写入到安全管理通用要求中，未来越来越多的组织机构都会将安全管理平台纳入信息化规划中。