网络设备的种类很多,本文为您继续介绍网络安全测评边界完整性检查中的其中一部分内容——入侵防范,您可前往信创致远http://www.dengbao110.com/了解更多内容。
1)边界完整性检查——入侵防范
a)网络安全测评应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
【描述】
要维护信息系统安全,网络安全测评必须进行主动的网络行为检测和监控,以检查是否发生了网络入侵和攻击行为。监视网络入侵和安全事件既包括被动任务也包括主动任务。
很多网络入侵都是在发生攻击之后,通过检查日志文件才检测到的。这种攻击之后的检测通常称为被动入侵检测。只有通过检查日志文件,攻击才得以根据日志信息进行复查和再现。其他入侵尝试可以在攻击发生的同时检测到。这种方法称为“主动”入侵检测,它会查找已知的攻击模式或命令,并阻止这些命令的执行。
完整的网络入侵防范应首先实现对事件的特征分析功能,以发现潜在的攻击行为。应能发现目前主流的各种攻击行为,如端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
目前对入侵防范的技术实现主要是通过在网络安全测评边界部署包含入侵防范功能的安全设备,如入侵检测系统(IDs)、包含入侵防范模块的多功能安全网关(UTM)等。
【检查方法】
访谈网络管理员和查看网络拓扑结构,查看在网络边界处是否部署了包含入侵防范功能的安全设备。如果部署了相应安全设备,则检查该设备产生的系统数据是否能够对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等攻击行为进行检测。
b)当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
【描述】
当检测到攻击行为时,检查该设备是否能够对攻击源IP、攻击类型、攻击目的和攻击时间等信息进行日志记录。通过这些日志记录,可以对攻击行为进行审计分析和追踪溯源。 当发生严重入侵事件时,网络安全测评应能够及时向有关人员报警,报警方式包括短信、邮件、声光报警等
【检查方法】
访谈网络管理员和查看网络拓扑结构,查看在网络边界处是否部署了包含入侵防范功能的设备。如果部署了相应设备,则检查设备的日志记录,查看是否记录了攻击源IP、攻击类型、攻击目的和攻击时间等信息,查看设备采用何种方式进行报警。