防火墙:
IDP Intrusion Detection& Prevention System,入侵侦测防御系统
IDP兼具IDS(Intrusion Detection System,入侵侦测系统)以及IPS(Intrusion Prevention System,入侵防御系统)等两大功能.而要让IDP扮演好IPS的角色,IDP必须要能同时具备:
深层检测(deep packet inspection)
串连模式(in-line mode)
即时侦测(real-time detection)
主动防御(proactive prevention)
以及线速运行(wire-line speed)
等五项关键因素,缺一不可
IDP Intrusion Detection& Prevention System,入侵侦测防御系统
IDP兼具IDS(Intrusion Detection System,入侵侦测系统)以及IPS(Intrusion Prevention System,入侵防御系统)等两大功能.而要让IDP扮演好IPS的角色,IDP必须要能同时具备:
深层检测(deep packet inspection)
串连模式(in-line mode)
即时侦测(real-time detection)
主动防御(proactive prevention)
以及线速运行(wire-line speed)
等五项关键因素,缺一不可
配置过N台的fortinet,见过N台的netscreen,N都大于5
fortinet配置比netscreen简单,界面可以选择中文。
fortinet的功能也比netscreen多,比如说支持IDS、防病毒,当然这两个功能基本上是摆设,当打开这两个功能时,性能会降低50%以上。
netscreen可以针对每个用户(没有针对全体用户)设置××× session,定制性能比较好,但当×××客户端很多时就非常麻烦。fortinet只能对全体用户进行统一的一个设置,虽然简单,但不能给每个用户设置不同的权限。
fortinet的渠道非常混乱,建议多问几家单位,多做比较。而netscreen渠道相对珍贵,正常情况下,各单位报价差不多,利润非常低,一台低端的netscreen能赚个500大洋就很不错了。
fortinet配置比netscreen简单,界面可以选择中文。
fortinet的功能也比netscreen多,比如说支持IDS、防病毒,当然这两个功能基本上是摆设,当打开这两个功能时,性能会降低50%以上。
netscreen可以针对每个用户(没有针对全体用户)设置××× session,定制性能比较好,但当×××客户端很多时就非常麻烦。fortinet只能对全体用户进行统一的一个设置,虽然简单,但不能给每个用户设置不同的权限。
fortinet的渠道非常混乱,建议多问几家单位,多做比较。而netscreen渠道相对珍贵,正常情况下,各单位报价差不多,利润非常低,一台低端的netscreen能赚个500大洋就很不错了。
Fortigate是从Netscreen脱离出来的,有点像港湾与华为的关系。既然是低端防火墙,那么性能不会有明显的区别,考虑成本就好了。
袋鼠与笼子
一天动物园管理员发现袋鼠从笼子里跑出来了,于是开会讨论,一致认为是笼子的高度过低。所以他们决定将笼子的高度由原来的10米加高到20米。结果第二天他们发现袋鼠还是跑到外面来,所以他们又决定再将高度加高到30米。没想到隔天居然又看到袋鼠全跑到外面,于是管理员们大为紧张,决定一不做二不休,将笼子的高度加高到100米。
一天长颈鹿和几只袋鼠们在闲聊,“你们看,这些人会不会再继续加高你们的笼子?”长颈鹿问。“很难说。”袋鼠说∶“如果他们再继续忘记关门的话!” 心得:事有“本末”、“轻重”、“缓急”,关门是本,加高笼子是末,舍本而逐末,当然就不得要领了。
即如国内很多企业的现状,发现安全问题了,不停的去购买设备、购买系统,而不从根本问题上着手。以为“加高笼子”就万事大吉,却更疏忽与“关门”。
一天动物园管理员发现袋鼠从笼子里跑出来了,于是开会讨论,一致认为是笼子的高度过低。所以他们决定将笼子的高度由原来的10米加高到20米。结果第二天他们发现袋鼠还是跑到外面来,所以他们又决定再将高度加高到30米。没想到隔天居然又看到袋鼠全跑到外面,于是管理员们大为紧张,决定一不做二不休,将笼子的高度加高到100米。
一天长颈鹿和几只袋鼠们在闲聊,“你们看,这些人会不会再继续加高你们的笼子?”长颈鹿问。“很难说。”袋鼠说∶“如果他们再继续忘记关门的话!” 心得:事有“本末”、“轻重”、“缓急”,关门是本,加高笼子是末,舍本而逐末,当然就不得要领了。
即如国内很多企业的现状,发现安全问题了,不停的去购买设备、购买系统,而不从根本问题上着手。以为“加高笼子”就万事大吉,却更疏忽与“关门”。
ISMS(Information Security Management System)是信息安全管理体系。ISO/IEC17799:2000它是继ISO9000、ISO14000和OHSAS18000之后,又产生的一个管理体系标准—信息安全管理体系标准。
信息安全就是组织应明确需要保护的信息资源,确保信息的机密性、完整性和可用性,并保持良好的协调状态。信息安全对企业经营非常重要,为了防止信息安全事故或事件的发生,尽管在技术方面采取了防火墙和入侵监测系统,但是人为因素造成的信息机密流失仍然占有很高的比率(据说约70%)。因此,建立信息安全管理体系十分必要。
为了建立、实施和保持信息安全管理体系,首先应策划信息安全管理体系的方针和目标,识别、分类和清理信息资源,根据其危险程度、薄弱环节和发生频次,实施风险控制,包括回避、转移、控制和消除风险。按PDCA循环模式,建立信息安全管理体系。建立信息安全管理体系共有8个阶段。包括确定ISMS适用范围、策划ISMS方针目标、策划风险控制的过程、识别和评估风险、对风险控制现状分析、选择和制订管理方案、识别存在的遗留风险和正式实施ISMS。
用于ISMS认证的标准有ISO/IEC17799:2000和BS7799-2:1999。据说,到2003年8月15日止,按BS7799认证的企业全世界共有282家,其中中国有5家。英国最多,有99家。ISO/IEC JTC1/SC27正在对ISO/IEC17799:2000进行修订。预计2004或2005年正式发布修订版本。采用ISO/IE C17799建立ISMS,并取得认证的好处在于能够建立完善的信息安全管理体系,从管理角度防止信息系统出现安全事故或事件;对外树立信息系统可靠性形象,满足顾客要求,提高企业竞争能力。认证的范围适合于所有类型和规模的组织,特别是涉及个人信息保护的组织,例如金融、通讯、医疗、社区管理、电子商务和电子政务等。
信息安全就是组织应明确需要保护的信息资源,确保信息的机密性、完整性和可用性,并保持良好的协调状态。信息安全对企业经营非常重要,为了防止信息安全事故或事件的发生,尽管在技术方面采取了防火墙和入侵监测系统,但是人为因素造成的信息机密流失仍然占有很高的比率(据说约70%)。因此,建立信息安全管理体系十分必要。
为了建立、实施和保持信息安全管理体系,首先应策划信息安全管理体系的方针和目标,识别、分类和清理信息资源,根据其危险程度、薄弱环节和发生频次,实施风险控制,包括回避、转移、控制和消除风险。按PDCA循环模式,建立信息安全管理体系。建立信息安全管理体系共有8个阶段。包括确定ISMS适用范围、策划ISMS方针目标、策划风险控制的过程、识别和评估风险、对风险控制现状分析、选择和制订管理方案、识别存在的遗留风险和正式实施ISMS。
用于ISMS认证的标准有ISO/IEC17799:2000和BS7799-2:1999。据说,到2003年8月15日止,按BS7799认证的企业全世界共有282家,其中中国有5家。英国最多,有99家。ISO/IEC JTC1/SC27正在对ISO/IEC17799:2000进行修订。预计2004或2005年正式发布修订版本。采用ISO/IE C17799建立ISMS,并取得认证的好处在于能够建立完善的信息安全管理体系,从管理角度防止信息系统出现安全事故或事件;对外树立信息系统可靠性形象,满足顾客要求,提高企业竞争能力。认证的范围适合于所有类型和规模的组织,特别是涉及个人信息保护的组织,例如金融、通讯、医疗、社区管理、电子商务和电子政务等。
关于SOC/MSS的讨论越来越热闹,因为在安氏的时候经历过不少这方面的事情,刚好昨天晚上还和Jordan通了个电话,因此也来凑个热闹说上几句。
首先,对于一些英文缩写,大家不要理解死了,不同的公司,不同的环境,可以表示不同的或者至少不同程度的意思。比如MSS(managed security services),核心思想就是一个:outsourcing security。但是不同的公司,比如ISS,TruSecure, FoundStone,Counterpane,Exodus,@stake,这些当年MSS的积极鼓吹者,各自的描述和范围是不尽相同的。
再比如SOC,是security operations center 还是 security operation center?就是ISS自己狂推MSS/SOC的时候,关于MSS业务的不同PPT里有时用operations,有时用operation。当然用operations的时候多一些。
Mad的帖子讲Couterpane是MSS/SOC的先行者没错,但是声势最大,影响最大的还是ISS,ISS当时在美国和AT&T, Bell South等很多运营商一起开展MSS服务,大力推广MSS/SOC,当时ISS把MSS当成非常重要的一个发展方向,设计了很多的业务模式,分析了Value Chain,提出大力发展MSSP(managed security services provider)来解决MSS的scalability 和capacity的问题。这和当时×××ISS的一个高级VP是MSS这方面的长期研究者和从业者有关,后来此公离开了ISS,ISS也调整了业务方向,MSS业务也就慢慢淡化下来了。
当时的SOC,是一个安全集中监控、研究、处理流程的概念,通过它实现MSS,为客户提供安全外包服务。它依赖于“security research+ security management application+ security management operations”,因此各位仅仅停留在名字上,甚至缩写上,并没有什么实际意义。operations只是SOC里的一个环节。
2000年初我加入安氏开始建立服务部,当时安全服务如评估、体系设计等等还是只有较少客户认同,国内火热的IDC还没有崩溃,但是也在苦苦寻找增值服务的概念,我们看到了这个机会,利用了ISS的一些知识转移,开始在国内大力推广MSS/SOC的概念,并很快和世纪互联签署了中国第一个MSS/SOC合作协议,(我和郑海明谈了N次后签的合同,该同志是IDC业务的老同志了,现在自己开了个公司做反垃圾邮件产品了),开始形势还不错,但是随着IDC整体市场的萎缩,慢慢这个合作就无疾而终了。当时还同时和多家IDC谈了MSS/SOC合作,并签署了多个合作协议,虽然在MSS上没有带来多少收入,但其中有些IDC成功转型后至今还是安氏不错的合作伙伴,在有些省的安氏SOC项目中发挥了作用。
这里强调的一点是,当时安氏推MSS/SOC服务概念,即使在实际收益上没有大突破,但在安氏的融资过程中,发挥了很好的作用,当时安氏仅仅卖ISS的代理产品,对投资者来说,这并没有太多吸引力,安氏利用“安氏实验室+MSS/SOC+FW开发计划”,给投资者编出的故事还是有一定吸引力的,当年编数字也是一件很有趣的事情。加上Paul的资本市场经验,以及和TM的一些Bargain,拿到了钱。
当时的想法是利用ISS的模型,开发一个SOC平台,包含前面提到的三个要素,然后把这个产品提供给MSSP,把自己定位在Value Chain的高端。
后来SOC的概念被慢慢转移到开始出现的集中安全管理的需求上来。当时联系了eSecurity,Intellitactics和NetForensics三个主要的SIM厂家,最后还是和eSecurity合作了。
至于SIM,还是SOC,还是SMC,MAD在上个帖子进行了论述,可以看作是一种解释。
各位,名称不是最重要的,重要的是集中安全管理这个市场开始慢慢起来了,从最早的三个SIM小公司,到现在各大公司纷纷发力进入(CA,IBM,HP,Cisco(netforensics的主要投资者),集中安全管理的内涵和外延也自然都在发生变化。从较单一的安全产品管理到现在越来越庞大的结构体系,比如包含安全设备管理、关键资产管理、响应流程管理、纳入角色管理等等,全面实现information Security Magazine提出的3C概念,都随着越来越多公司的介入而逐步完善。
至于技术层面,实现真正的关联分析就好比当年的人工智能,可能比较×××水月。更加具有实际意义的是如何有效的结合资产、脆弱性管理,提高威胁事件分析的准确性,纳入合理的响应流程,在现有技术水平上尽可能提高整体安全管理的效率和准确性,这应该是大家努力的方向之一。
首先,对于一些英文缩写,大家不要理解死了,不同的公司,不同的环境,可以表示不同的或者至少不同程度的意思。比如MSS(managed security services),核心思想就是一个:outsourcing security。但是不同的公司,比如ISS,TruSecure, FoundStone,Counterpane,Exodus,@stake,这些当年MSS的积极鼓吹者,各自的描述和范围是不尽相同的。
再比如SOC,是security operations center 还是 security operation center?就是ISS自己狂推MSS/SOC的时候,关于MSS业务的不同PPT里有时用operations,有时用operation。当然用operations的时候多一些。
Mad的帖子讲Couterpane是MSS/SOC的先行者没错,但是声势最大,影响最大的还是ISS,ISS当时在美国和AT&T, Bell South等很多运营商一起开展MSS服务,大力推广MSS/SOC,当时ISS把MSS当成非常重要的一个发展方向,设计了很多的业务模式,分析了Value Chain,提出大力发展MSSP(managed security services provider)来解决MSS的scalability 和capacity的问题。这和当时×××ISS的一个高级VP是MSS这方面的长期研究者和从业者有关,后来此公离开了ISS,ISS也调整了业务方向,MSS业务也就慢慢淡化下来了。
当时的SOC,是一个安全集中监控、研究、处理流程的概念,通过它实现MSS,为客户提供安全外包服务。它依赖于“security research+ security management application+ security management operations”,因此各位仅仅停留在名字上,甚至缩写上,并没有什么实际意义。operations只是SOC里的一个环节。
2000年初我加入安氏开始建立服务部,当时安全服务如评估、体系设计等等还是只有较少客户认同,国内火热的IDC还没有崩溃,但是也在苦苦寻找增值服务的概念,我们看到了这个机会,利用了ISS的一些知识转移,开始在国内大力推广MSS/SOC的概念,并很快和世纪互联签署了中国第一个MSS/SOC合作协议,(我和郑海明谈了N次后签的合同,该同志是IDC业务的老同志了,现在自己开了个公司做反垃圾邮件产品了),开始形势还不错,但是随着IDC整体市场的萎缩,慢慢这个合作就无疾而终了。当时还同时和多家IDC谈了MSS/SOC合作,并签署了多个合作协议,虽然在MSS上没有带来多少收入,但其中有些IDC成功转型后至今还是安氏不错的合作伙伴,在有些省的安氏SOC项目中发挥了作用。
这里强调的一点是,当时安氏推MSS/SOC服务概念,即使在实际收益上没有大突破,但在安氏的融资过程中,发挥了很好的作用,当时安氏仅仅卖ISS的代理产品,对投资者来说,这并没有太多吸引力,安氏利用“安氏实验室+MSS/SOC+FW开发计划”,给投资者编出的故事还是有一定吸引力的,当年编数字也是一件很有趣的事情。加上Paul的资本市场经验,以及和TM的一些Bargain,拿到了钱。
当时的想法是利用ISS的模型,开发一个SOC平台,包含前面提到的三个要素,然后把这个产品提供给MSSP,把自己定位在Value Chain的高端。
后来SOC的概念被慢慢转移到开始出现的集中安全管理的需求上来。当时联系了eSecurity,Intellitactics和NetForensics三个主要的SIM厂家,最后还是和eSecurity合作了。
至于SIM,还是SOC,还是SMC,MAD在上个帖子进行了论述,可以看作是一种解释。
各位,名称不是最重要的,重要的是集中安全管理这个市场开始慢慢起来了,从最早的三个SIM小公司,到现在各大公司纷纷发力进入(CA,IBM,HP,Cisco(netforensics的主要投资者),集中安全管理的内涵和外延也自然都在发生变化。从较单一的安全产品管理到现在越来越庞大的结构体系,比如包含安全设备管理、关键资产管理、响应流程管理、纳入角色管理等等,全面实现information Security Magazine提出的3C概念,都随着越来越多公司的介入而逐步完善。
至于技术层面,实现真正的关联分析就好比当年的人工智能,可能比较×××水月。更加具有实际意义的是如何有效的结合资产、脆弱性管理,提高威胁事件分析的准确性,纳入合理的响应流程,在现有技术水平上尽可能提高整体安全管理的效率和准确性,这应该是大家努力的方向之一。
IDS已经在很多企业部署和实施了,而且技术也相对成熟了,但是一直也没有摆脱花瓶的角色,并没有在企业中起多大的作用,最让管理人员头疼的是那大量的数据,根本不知道如何处理和分析,我想问题的关键是我们使用不当造成的,它应该是一个知识积累的过程。其实对于一个企业来说存在着各种各样的应用,各种各样的服务,我们的管理员也搞不清楚什么端口在被使用,那些服务需要运行,各部门之间由于没有专门的IT管理人员,而造成IT方面的沟通不畅,所以没法对企业所使用的资源,端口,服务,流量等进行统计,导致对IDS 和防火墙的规则配置不合理,我想可以试着采用从下到上的方法方法慢慢解决。
先决条件,防火墙在IDS之前
1 .在安装上IDS的最初,在防火墙上阻塞掉已知的不用服务,端口,和流量限制
2 .收集一天/小时的IDS数据,进行分析,查明位置数据的来源,用途和使用部门
3 .讨论防火墙修改规则和IDS监控该服务,端口和流量等的必要性,将决定发往各个部门相关人员(使用非IT专业语言描述规则),要求各部门负责人在规定时间回复该修改对其造成的影响(责任到位,避免扯皮,视情况定不回复者为默认接受该规则),避免因为单一部门修改规则对其他部门造成影响或者今天该部门服务没启用造成的风险
4 .将原有防火墙和IDS配置输入到配置管理DB(以备后用)
5 .非业务繁忙期测试其规则,确认对业务没有影响
6 .发布其规则,正是修改上线
7 .调整IDS规则,关闭合理端口,服务和流量等的监控,减少IDS数据量
8 . 返回步骤2 ,3,4,5,6,7,8
在做项目验收的时候,发现IDS还是非常管用的,在客户现场就通过IDS发现了好多台客户机有问题,主要是其大量的数据,让客户无从下手,我想按照该步骤,慢慢会把IDS的数据量降下来的.在专家很短时间也无法了解企业具体情况,我想这个会有效的.
考虑不一定成熟,希望大家探讨
先决条件,防火墙在IDS之前
1 .在安装上IDS的最初,在防火墙上阻塞掉已知的不用服务,端口,和流量限制
2 .收集一天/小时的IDS数据,进行分析,查明位置数据的来源,用途和使用部门
3 .讨论防火墙修改规则和IDS监控该服务,端口和流量等的必要性,将决定发往各个部门相关人员(使用非IT专业语言描述规则),要求各部门负责人在规定时间回复该修改对其造成的影响(责任到位,避免扯皮,视情况定不回复者为默认接受该规则),避免因为单一部门修改规则对其他部门造成影响或者今天该部门服务没启用造成的风险
4 .将原有防火墙和IDS配置输入到配置管理DB(以备后用)
5 .非业务繁忙期测试其规则,确认对业务没有影响
6 .发布其规则,正是修改上线
7 .调整IDS规则,关闭合理端口,服务和流量等的监控,减少IDS数据量
8 . 返回步骤2 ,3,4,5,6,7,8
在做项目验收的时候,发现IDS还是非常管用的,在客户现场就通过IDS发现了好多台客户机有问题,主要是其大量的数据,让客户无从下手,我想按照该步骤,慢慢会把IDS的数据量降下来的.在专家很短时间也无法了解企业具体情况,我想这个会有效的.
考虑不一定成熟,希望大家探讨
ids是不是摆设,主要是网络管理人员的管理素质决定的,虽然ids产品有误报的通病。目前国内能够买起ids的单位,基本是买了后,也安装了,但是运行中,网络管理员也许根本就不在管理和查看,旁路侦听的工作模式,就是ids坏了也不影响网络,反而,去分析ids的日志记录,做出ids的响应报告,这就需要时间和技术积累了,没有一定的技术储备,就是有ids,他也分析不出网络的问题来!
我的帖子就是想解决这个问题,造成他们不关注IDS的原因
1 是收到数据太多,无从下手
2 就像你说的技术储备,他们看不懂
3 厂商没有告诉客户如何把它用起来,只告诉客户这个有用(我的帖子就是想和大家讨论这个)
但是我的也没什么技术水平,也没有什么技术积累,大家说得什么漏洞,什么注入,我都不太懂,而且到几个很牛x的公司去面试,他们的面试题目我就知道我不会,而且我也不关注特别深入的技术,可是在项目中,我只看到了IDS报了那台机器有什么什么在活动,就带客户去了,结果那个人说,他确实前一段时间上过一个什么网站,而且现在主页被改了,我帮它恢复了,IDS就没再报,我想我的技术水平也就是安装和能看出谁给谁发了什么,但是这就够了,如果特别技术肯定会联系厂家了,另外如果你特别强调需要客户技术人员技术积累,我就想知道这是谁的责任,为什么要把IDS做的那么难懂,那么技术?这是谁的问题呢?我想把产品做的客户用不起来,是产品制造商的责任,更应该值得反思,为什么微软要把产品做的那么x,为什么很多产品要提供GUI,就是在努力使产品易于使用,为什么不提供个帮助告诉客户你那个告警是什么?为什么不告诉用户怎么处理更好?要做的很多
1 是收到数据太多,无从下手
2 就像你说的技术储备,他们看不懂
3 厂商没有告诉客户如何把它用起来,只告诉客户这个有用(我的帖子就是想和大家讨论这个)
但是我的也没什么技术水平,也没有什么技术积累,大家说得什么漏洞,什么注入,我都不太懂,而且到几个很牛x的公司去面试,他们的面试题目我就知道我不会,而且我也不关注特别深入的技术,可是在项目中,我只看到了IDS报了那台机器有什么什么在活动,就带客户去了,结果那个人说,他确实前一段时间上过一个什么网站,而且现在主页被改了,我帮它恢复了,IDS就没再报,我想我的技术水平也就是安装和能看出谁给谁发了什么,但是这就够了,如果特别技术肯定会联系厂家了,另外如果你特别强调需要客户技术人员技术积累,我就想知道这是谁的责任,为什么要把IDS做的那么难懂,那么技术?这是谁的问题呢?我想把产品做的客户用不起来,是产品制造商的责任,更应该值得反思,为什么微软要把产品做的那么x,为什么很多产品要提供GUI,就是在努力使产品易于使用,为什么不提供个帮助告诉客户你那个告警是什么?为什么不告诉用户怎么处理更好?要做的很多
IDS已经在很多企业部署和实施了,而且技术也相对成熟了,但是一直也没有摆脱花瓶的角色,并没有在企业中起多大的作用,最让管理人员头疼的是那大量的数据,根本不知道如何处理和分析,我想问题的关键是我们使用不当造成的,它应该是一个知识积累的过程。其实对于一个企业来说存在着各种各样的应用,各种各样的服务,我们的管理员也搞不清楚什么端口在被使用,那些服务需要运行,各部门之间由于没有专门的IT管理人员(其实各部门不用专门的IT管理人员,整个公司有一套专门的IT人员就可以了),而造成IT方面的沟通不畅,所以没法对企业所使用的资源,端口,服务,流量等进行统计,导致对IDS 和防火墙的规则配置不合理,我想可以试着采用从下到上的方法方法慢慢解决。
先决条件,防火墙在IDS之前
1 .在安装上IDS的最初,在防火墙上阻塞掉已知的不用服务,端口,和流量限制 (个人觉得根据企业要求不同,甚至可以考虑全部封掉,然后根据需求申请开通相关端口,更加安全)2 .收集一天/小时的IDS数据,进行分析,查明位置数据的来源,用途和使用部门(这个活不是很容易干的,管服务器的?管网络的?除非安排专人,不然很容易出现三个和尚没水喝)
3 .讨论防火墙修改规则和IDS监控该服务,端口和流量等的必要性,将决定发往各个部门相关人员(使用非IT专业语言描述规则(其实长久以来存在于IT部门和其他部门之间的问题很多都源于此,客户并不知道,你再说什么,而你并不知道客户其实一点都听不懂,IT部门其实配备一个协调性质的职位或许会更加有效果)),要求各部门负责人在规定时间回复该修改对其造成的影响(责任到位,避免扯皮,视情况定不回复者为默认接受该规则),避免因为单一部门修改规则对其他部门造成影响或者今天该部门服务没启用造成的风险 (域管理分组管理能实现这个功能不?)4 .将原有防火墙和IDS配置输入到配置管理DB(以备后用)
5 .非业务繁忙期测试其规则,(绝对同意这条,经常我们都是半夜12点到凌晨五点之间进行改动)确认对业务没有影响
6 .发布其规则,正是修改上线
7 .调整IDS规则,关闭合理端口,服务和流量等的监控,减少IDS数据量
先决条件,防火墙在IDS之前
1 .在安装上IDS的最初,在防火墙上阻塞掉已知的不用服务,端口,和流量限制 (个人觉得根据企业要求不同,甚至可以考虑全部封掉,然后根据需求申请开通相关端口,更加安全)2 .收集一天/小时的IDS数据,进行分析,查明位置数据的来源,用途和使用部门(这个活不是很容易干的,管服务器的?管网络的?除非安排专人,不然很容易出现三个和尚没水喝)
3 .讨论防火墙修改规则和IDS监控该服务,端口和流量等的必要性,将决定发往各个部门相关人员(使用非IT专业语言描述规则(其实长久以来存在于IT部门和其他部门之间的问题很多都源于此,客户并不知道,你再说什么,而你并不知道客户其实一点都听不懂,IT部门其实配备一个协调性质的职位或许会更加有效果)),要求各部门负责人在规定时间回复该修改对其造成的影响(责任到位,避免扯皮,视情况定不回复者为默认接受该规则),避免因为单一部门修改规则对其他部门造成影响或者今天该部门服务没启用造成的风险 (域管理分组管理能实现这个功能不?)4 .将原有防火墙和IDS配置输入到配置管理DB(以备后用)
5 .非业务繁忙期测试其规则,(绝对同意这条,经常我们都是半夜12点到凌晨五点之间进行改动)确认对业务没有影响
6 .发布其规则,正是修改上线
7 .调整IDS规则,关闭合理端口,服务和流量等的监控,减少IDS数据量
SOC vs NOC
目前电信运营商都已建立网管中心(NOC)。根据ITU提出的FCAPS模型,网管系统的主要功能是故障管理(Fault)、配置管理(Configuration)、计费管理(Accounting)、性能管理(Performance)、安全管理(Security)。表面上NOC有安全管理功能,似乎SOC与NOC功能重叠;实际上由于二者定位不同,功能、作用差别很大。概括起来,网管中心与安全运营中心主要区别如下:
※ NOC的安全管理功能侧重访问控制,强调控制对计算机网络中信息的访问,保护系统、服务、数据免受非法入侵、破坏;SOC注重对安全攻击的检测和响应。
※ NOC的安全功能着眼于“事前预防”,即先采取措施预防非法攻击;而SOC的安全功能属于“事后处理”,换句话说,出现安全事件怎样阻断攻击,怎么反击。
※ 网管中心强调对网络的全面管理,在五大功能中安全管理只占很少一部分;而SOC完全面向安全管理,安全功能更专业、全面。
※ SOC在收集安全事件时,有时采用轮询方式,利用某些网管系统的监控功能。
长期以来,人们在NOC的建设、管理、维护方面积累了丰富的经验,SOC的建设和运行可以合理借鉴这些经验。例如,在组织架构和管理模式方面SOC可以参照NOC的做法;但在工作流程设计上SOC最好采用与NOC平行的模式。出于简化管理考虑,国外也有将SOC和NOC放在一起的成功案例。
目前电信运营商都已建立网管中心(NOC)。根据ITU提出的FCAPS模型,网管系统的主要功能是故障管理(Fault)、配置管理(Configuration)、计费管理(Accounting)、性能管理(Performance)、安全管理(Security)。表面上NOC有安全管理功能,似乎SOC与NOC功能重叠;实际上由于二者定位不同,功能、作用差别很大。概括起来,网管中心与安全运营中心主要区别如下:
※ NOC的安全管理功能侧重访问控制,强调控制对计算机网络中信息的访问,保护系统、服务、数据免受非法入侵、破坏;SOC注重对安全攻击的检测和响应。
※ NOC的安全功能着眼于“事前预防”,即先采取措施预防非法攻击;而SOC的安全功能属于“事后处理”,换句话说,出现安全事件怎样阻断攻击,怎么反击。
※ 网管中心强调对网络的全面管理,在五大功能中安全管理只占很少一部分;而SOC完全面向安全管理,安全功能更专业、全面。
※ SOC在收集安全事件时,有时采用轮询方式,利用某些网管系统的监控功能。
长期以来,人们在NOC的建设、管理、维护方面积累了丰富的经验,SOC的建设和运行可以合理借鉴这些经验。例如,在组织架构和管理模式方面SOC可以参照NOC的做法;但在工作流程设计上SOC最好采用与NOC平行的模式。出于简化管理考虑,国外也有将SOC和NOC放在一起的成功案例。
FCAPS
表示网络管理的五种基本功能的缩写
F-Fault Management 故障管理
具有对故障的检测、快速定位、隔离故障点并进行修复等功能,其功能应涉及本端及远端的所有网络元素。应能将维护消息及时通知有关用户。
C---Configuration Management 配置管理
主要是组织网内运转所需要的资源和数据,保证网的基本配置,监控实在的配置和按照具体情况改变配置,设置系统参数,收集并存储各参数,报告与基本配置值的偏差,起动和关闭资源等。
A---Accounting Management 计费管理
依据预定的收费标准对用户使用的各种资源计费并开出收费通知。
P---Performance Management 性能管理
评定通信网及各种网络元素的性能测度,如吞吐量(throughput)、服务质量(QoS ,Quality of Service)或服务等级(DOS,Degree of Service)、时延特性等。测量一般是连续进行的,并在异常或性能恶化情况下及时通知有关用户。测量工具从简单的计数器到复杂的统计工具以及有时变趋向的分析设备。
S---Security Management 安全管理
保证网络正常运行,信息不被外界窃取和破坏,包括对收、发方的合法身份的验证以及访问控制、网内加密等。
表示网络管理的五种基本功能的缩写
F-Fault Management 故障管理
具有对故障的检测、快速定位、隔离故障点并进行修复等功能,其功能应涉及本端及远端的所有网络元素。应能将维护消息及时通知有关用户。
C---Configuration Management 配置管理
主要是组织网内运转所需要的资源和数据,保证网的基本配置,监控实在的配置和按照具体情况改变配置,设置系统参数,收集并存储各参数,报告与基本配置值的偏差,起动和关闭资源等。
A---Accounting Management 计费管理
依据预定的收费标准对用户使用的各种资源计费并开出收费通知。
P---Performance Management 性能管理
评定通信网及各种网络元素的性能测度,如吞吐量(throughput)、服务质量(QoS ,Quality of Service)或服务等级(DOS,Degree of Service)、时延特性等。测量一般是连续进行的,并在异常或性能恶化情况下及时通知有关用户。测量工具从简单的计数器到复杂的统计工具以及有时变趋向的分析设备。
S---Security Management 安全管理
保证网络正常运行,信息不被外界窃取和破坏,包括对收、发方的合法身份的验证以及访问控制、网内加密等。
