网络安全 频道

企业网络安全管理需要入侵检测

  【IT168 专稿】显像管制造和网络安全看上去似乎是相去甚远的两个行业,但随着计算机办公网络的普及和企业信息化建设,网络安全问题日益突出,制造企业同样需要网络安全技术和产品的帮助。咸阳彩虹彩色显像管厂就是在企业内网的安全运维过程中,部署了入侵检测产品并在使用中不断深入挖掘其价值,淋漓尽致地发挥了IDS不可替代的作用。

  作为国家一级企业的咸阳市彩虹彩色显像管厂(以下简称彩虹厂),是国家“六五”和“七五”期间重点建设和扩建项目,也是目前国内产量最大、品种最多、国内市场占有率最高、综合配套能力最强的现代化彩色显像管生产企业。

  从本世纪初期开始,彩虹厂就逐步建立覆盖生产办公等业务的计算机网络,提升了工作效率和办公信息化水平。但是一些网络安全问题也伴随出现,比较突出的就是计算机病毒。某台办公主机不慎感染了网络病毒后迅速扩散到其它内网主机,致使大范围的计算机不能正常工作,甚至还造成节点路由器的瘫痪,影响了正常的网上办公和使用。

  为了解决这些问题,早在2003年彩虹厂的网管技术人员对国内外安全产品进行了深入的考察和对比,采购了启明星辰的天阗入侵检测产品,对全网流量进行实时监控。

  1. 全面呈现 定位威胁

  通过天阗入侵检测系统呈现的实时报警和定期事件统计分析,网管人员能够在病毒爆发初期发现异常。图1所示就是IDS提供的网络正常运转情况下和某次病毒发作时产生大量异常连接的事件统计报告。通过报告的对比,网管人员能够直观地看到网络安全状态发生变化。

  图1 天阗入侵检测系统事件统计报告

  根据报警信息中显示的主机地址和所属部门等信息,网管人员能够快速定位到问题主机,将主机网络隔离后进行病毒清查,根据IDS提供的解决方法清除病毒,确认问题解决后允许其重新接入网络。通过几次这样的处理过程,网管人员建立了问题处理工作机制,有效地遏制了病毒在内网的扩散和传播,在几次全国大范围计算机病毒爆发时,网管人员都采取了及时有效的措施,增强了网络抵御能力,使得彩虹厂网络免受波及和损失。

  2. 有效改善安全管理

  在熟练使用IDS的过程中,网管人员不但能够对内网安全状态了然于胸,更找到了网络安全运维的“感觉”。依托IDS的基础数据和指导建议,彩虹厂有针对性地采购和部署了防火墙、防病毒网关等网络安全产品。针对不同网段的应用,配置了合理的防火墙访问规则;科学地对端口使用进行限制;根据不同级别对内部网络进行Vlan划分。如何衡量这些安全产品是否物尽其用,网络安全状况是否得到了改善,网管人员可以通过天阗入侵检测系统进行前后比对,进行改进和调整策略。2007年初熊猫烧香病毒爆发时,网管人员不仅及时发现了“中毒”主机,隔断了传染源,而且还相应地调整了防火墙的端口策略配置。在技术解决问题的基础上,网管人员推动厂里建立和下发了一系列网络安全管理措施,对像利用U盘进行文件拷贝等日常行为进行了规范,取得了很好的安全建设效果。

  由于认识到了IDS不可替代的作用,2008年彩虹厂对现有网络进行扩容的时候,又追加采购了天阗入侵检测系统,在内网中实现了IDS分布部署、多点检测和集中管理的功能。

  彩虹厂网管人员深有感触地说:“对于出厂的成品,我们能够清晰地辨别合格品和残次品,可以统计故障率,出现问题知道如何调动整个产品线去改进。但对于抽象的网络安全管理,我们之前很难判断什么状态是安全的,也就是说很难去量化。借助IDS,我们能够判断什么状态是相对安全的,什么情况预示着某种入侵和异常,在科学的建议和指导下,能够及时有效地进行处理。在这个过程中,我们建立了合理的安全管理流程,IDS和其它安全产品相互配合,并制定了相关的管理措施。就像管理产品线一样,对网络安全进行控制和管理。 原来买IDS就是为了防病毒,现在发现IDS还能发挥更大的价值和意义。”

  网络在发展,产品技术在创新,单一产品已经不能满足现在网络安全管理的需要了。入侵检测系统通过展现、量化和定位威胁,为网络安全管理提供基础数据,并帮助用户从威胁角度来衡量网络安全建设的成果,从而制定更加有效的安全管理措施,体现了网络安全技术和管理的相互驱动与配合。

0
相关文章