減少威脅和規避風險是用戶設計網絡安全系統的兩個基本出發點。在美國最近發布的國家信息安全保障計劃中,有關專家將主動威脅和內部威脅列為對用戶危害最大的兩類威脅,這兩類威脅所帶來的損失占據總體安全損失的90%以上。而目前用戶對這兩類威脅的認識程度還不夠深入,對于它們的防御工作只占到日常防護工作的10%左右。
網絡安全防護的重點并不是硬件,而是存儲與運行在網絡上的各種關鍵信息。按照這一理論,越是靠近被防護點的威脅其風險也就越大。由此看來,用戶所面臨的最大風險應該自于網絡內部,網絡安全的重點應該是網絡內部保護。網絡安全是一個具有木桶效應的系統,其性能體現在最薄弱的地方。因此,一個完整的網絡安全防護體系必須覆蓋網絡的整個時空。網絡系統安全的防護空間可劃分為內部安全、邊界安全和信息基礎設施安全,如圖所示。同時,網絡安全又是一個與時間相關的過程,包含著防護、監測和響應三個環節,這三個環節隨著攻擊手段的變化而變化,協同實現網絡安全保障。
在網絡結構和攻擊手段相對簡單的網絡建設早期階段,網絡安全體系是以防護為主體,依靠防火墻、加密和身份認證等手段來實現。隨著攻擊手段的不斷演變,監測和響應環節在現代網絡安全體系中的地位越來越重要,正在逐步成為構建網絡安全體系的核心。
網絡安全體系的監測和響應環節是通過入侵檢測(IDS)來實現的。IDS從網絡系統中的關鍵點收集信息,并加以分析,檢測網絡中是否有違反安全策略的行為和識別遭受襲擊的跡象。作為網絡安全核心技術,入侵檢測技術可以緩解訪問隱患,將網絡安全的各個環節有機結合起來,實現對用戶網絡安全的有效保障。
入侵檢測(IDS)分為基于主機(HIDS)和基于網絡(NIDS)兩種。HIDS安裝在被監測的主機系統上,監測用戶的訪問行為;NIDS安裝在被監測的網段上,監聽網段內的所有數據包,判斷其是否合法。
根據前面提到的網絡威脅原理,離被防護信息點越近,保護的作用就會越有效。由于部署在被保護主機上,HIDS從空間滿足了網絡安全的先決條件; 同時,由于監聽的是用戶的整個訪問行為,HIDS可以有效利用操作系統本身提供的功能,結合異常分析,準確報告攻擊行為,在時間上保證了網絡安全進程實現的過程。HIDS在網絡安全防護時空上的優勢必將使它成為未來網絡安全體系的核心。
