劉世民　郭立勇　羅金玉　郭寶財

【摘 要】隨著電力企業(yè)網絡的快速發(fā)展，對信息安全保障能力和運維能力的要求越來越高，而傳統(tǒng)的信息安全著眼于常規(guī)信息安全設備的應用，其實安全設備應用只是信息安全建設的一個起點，做好設備的運維工作、建立完善的運維流程才可以使設備更好地發(fā)揮其應有的作用。所以本文設計了一套基于信息安全管理的入侵檢測系統(tǒng)的運維管理體系，來解決信息安全保障和入侵檢測系統(tǒng)的運維問題。

【關鍵詞】入侵檢測系統(tǒng) IDS 運維體系

防火墻的保護是必要的，但絕不是僅僅的保護手段，防火墻需要開通必須的服務，內部需要收發(fā)郵件、需要訪問Internet、需要對外提供WEB和MAIL服務，在提供正常業(yè)務的同時也給了入侵者可乘之機，他們可以通過外設設備、郵件、瀏覽器攻進網絡，也可以直接攻擊WEB和MAIL企業(yè)中的重要的業(yè)務服務器；原有的安全設備，包括防火墻的策略配置復雜，需要考慮各種協(xié)議、隱藏策略、全局策略、目標對象、Inbound和Outbound、地址欺騙、先后順序、等眾多因素，稍有偏差就會出現(xiàn)防護漏洞[1]；而且有些防火墻自身存在漏洞，目前最好的防火墻技術都不可避免的存在這樣或那樣的問題，這在業(yè)界已經是不爭的事實。

入侵檢測系統(tǒng)作為固有的防火墻防護手段的有利補充和互補，是安全防護體系的第二道防線，入侵檢測系統(tǒng)可以幫助運維人員直觀的掌握當前網絡的安全狀況，可以感知的安全問題在多數(shù)情況下都是防火墻無法防御的，由于這些安全問題都是非常規(guī)的安全攻擊事件，因此入侵檢測系統(tǒng)檢測信息對運維人員來說是非常重要的參考和借鑒，因此要求入侵檢測系統(tǒng)可用性較高，其必須可以實施監(jiān)控網絡情況，又由于入侵檢測系統(tǒng)自身的檢測技術決定了入侵檢測系統(tǒng)在某些情況下告警信息不夠準確，誤報的情況出現(xiàn)的較多，信息可參考的價值大大折扣，需要我們通過策略優(yōu)化等方式使入侵檢測系統(tǒng)發(fā)揮更重要的作用，入侵檢測系統(tǒng)部署完畢的后期運維工作變得尤為重要，入侵檢測系統(tǒng)的運維工作涉及到很多方面，將在下文進行詳細闡述。

1入侵檢測系統(tǒng)（IDS）技術架構

入侵檢測技術（IDS）可以被定義為對計算機和網絡資源的惡意使用行為進行識別和相應處理的系統(tǒng)[2]。包括系統(tǒng)外部的入侵和內部用戶的非授權行為，是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

IDS是企業(yè)網絡中的監(jiān)視系統(tǒng)，它通過對網絡中的威脅實時監(jiān)視，一旦發(fā)現(xiàn)異常情況和威脅事件就發(fā)出警告。IDS入侵檢測系統(tǒng)以威脅事件信息來源的不同和事件規(guī)則檢測方法的差異分為幾類：根據(jù)信息來源可分為基于主機IDS和基于網絡的IDS，根據(jù)檢測方法又可分為異常入侵檢測和誤用入侵檢測。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設備，沒有跨接在任何鏈路上，無須網絡流量流經它便可以工作[3]。因此，對IDS的部署，唯一的要求是：IDS應當掛旁路部署在所有所關注流量都必須流經的鏈路上或者設備上。在這里，"所關注流量"指的是來自全網絡區(qū)域、高危網絡區(qū)域的訪問流量和需要進行統(tǒng)計、監(jiān)視的網絡報文和網絡訪問事件。在如今的網絡拓撲中，已經很難找到以前的HUB式的網絡共享介質的網絡，絕大部分的網絡區(qū)域都已經全面升級到交換式的網絡結構。因此，IDS在交換式網絡中的位置一般選擇在盡可能靠近攻擊源、網絡數(shù)據(jù)集中或者盡可能靠近受保護資源的位置。

IDS系統(tǒng)的一個典型的工作流程是[4]：傳感器收集和檢測對網絡、系統(tǒng)的攻擊。事件收集器收集傳感器所記錄的實時事件進行即時響應，并將這些事件存儲在數(shù)據(jù)庫中?？刂婆_將根據(jù)響應實時顯示安全事件和安全事件統(tǒng)計圖。被存貯在數(shù)據(jù)庫中的數(shù)據(jù)，可以被報表程序調用，根據(jù)一些統(tǒng)計規(guī)則生成用戶關心的統(tǒng)計報表。

2入侵檢測系統(tǒng)運維管理體系

2.1維護作業(yè)計劃

當完成入侵檢測系統(tǒng)部署后，企業(yè)安全技術人員對入侵檢測系統(tǒng)進行維護以保障系統(tǒng)的高效運行和使用。

主要工作流程內容包括：

（1）入侵檢測系統(tǒng)用戶管理；（2）系統(tǒng)管理組件功能，添加，刪除組件等；（3）系統(tǒng)策略配置；（4）安全事件收集顯示；（5）查看IDS報表功能；（6）在數(shù)據(jù)庫中表空間中以各種條件查詢數(shù)據(jù)的功能。

日常運維作業(yè)計劃體系流程如圖1。

2.2變更管理

系統(tǒng)變更是指：根據(jù)業(yè)務需要，對IDS的部署位置，IP地址，檢測端口等進行改變[5]，變更管理一般是在有系統(tǒng)搬遷，擴容等事件發(fā)生時才需要進行，不屬于周期性的日常維護工作，建議變更管理流程如圖2。

2.3告警管理

根據(jù)多年從事信息安全系統(tǒng)建設的經驗及在日常工作中積累了豐富的IDS監(jiān)控及告警處理經驗，IDS日常監(jiān)控方法如下：

（1）關注高風險事件；（2）關注新增事件；（3）定期統(tǒng)計檢測事件報表了解網絡中安全事件類型；（4）定期統(tǒng)計檢測事件報表了解安全事件數(shù)量變化趨勢；（5）對高風險的檢測安全事件進行詳細統(tǒng)計，以此為依據(jù)控制安全風險。

IDS告警分析處理方法如下[6]：

（1）查看告警詳細信息；（2）查看告警幫助信息；（3）查看相關簽名參數(shù)說明；（4）梳理網絡結構；（5）了解相關系統(tǒng)應用；（6）綜合分析處理；（7）總結編寫、更新《IDS告警處理標準化流程手冊》。

2.4故障處理

出現(xiàn)故障時的判斷步驟

（1）檢查整體網絡的連通性和業(yè)務系統(tǒng)的運行性。保證整個網元設備之間的網絡通訊正常；（2）檢查入侵檢測系統(tǒng)的運行狀態(tài)，通過察看入侵檢測系統(tǒng)部署在核心交換機的監(jiān)聽端口是否正常工作和指示燈變化來判斷；（3）使用console界面上提供的工具來確認主要網元設備之間的通訊訪問是否正常；（4）使用sensor調試工具察看sensor端的狀態(tài)；（5）使用外接顯示器或串口的方式察看sensor的工作狀態(tài)；（6）重新啟動sensor，判斷網絡故障現(xiàn)象能否重現(xiàn)；（7）確定故障出現(xiàn)之前的網絡或設備有無重要變化，根據(jù)網絡環(huán)境的變化判斷可能引起故障的原因；

組件直接通信狀態(tài)是否正常的檢測方法有很多種，如：Ping命令：判斷組件之間的網絡連通性；telnet命名：判斷組件的相應端口是否打開；console界面上的工具：組件之間的連通性和運行狀態(tài)測試[7]。

3結語

隨著人們對互聯(lián)網信息安全的重要性的認識程度逐步加深和了解，對網絡安全狀況需求的增強，入侵檢測系統(tǒng)已經越來越多地被很多企業(yè)所使用，入侵檢測系統(tǒng)發(fā)揮為用戶提供有助信息的首要條件就是做好系統(tǒng)的運維工作，保證系統(tǒng)運行的連續(xù)性、策略、告警信息的準確性，可以通過專人專責、制訂工作計劃、規(guī)劃相關處理流程來規(guī)范化運維工作。在智能化和流程化如果能夠建立一套完善的體系或者框架，那將是對入侵檢測系統(tǒng)的運維體系提高到新的高度。

參考文獻：

[1]韓東海，王超，李群.《入侵檢測系統(tǒng)及實例剖析》.清華大學出版社.

[2]王玉榮.《流程管理（第2版）》.機械工業(yè)出版社.

[3]葉穎，嚴毅.基于通用入侵規(guī)范下網絡入侵檢測系統(tǒng)的實現(xiàn)[D].2010.

[4]入侵檢測系統(tǒng)的安全策略.TechTarget網絡[引用日期2015-09-18].

[5]朱杰，黃煙波，翁艷彬.如何保護入侵檢測系統(tǒng)的安全[J].《微機發(fā)展》，2003（3）：16-18.

[6]黃惠烽.網絡入侵檢測系統(tǒng)在高校圖書館中的應用[J].《吉林省教育學院學報（上旬）》，2010（4），45.

[7]徐小梅.基于馬爾可夫鏈模型的異常入侵檢測方法研究[D]. 2008.

作者簡介：劉世民（1972—），男，高級工程師，從事信息系統(tǒng)運維及信息安全工作。