|
|
|
|
|
|
|
|
录文件事后分析来运行。前一种方式可更好地防止攻击,而后一种则起到较为被动的攻击响应作用。因为其作用特点不同,基于主机的IDS(HIDS)系统在防止特定攻击方面要好于网络IDS(NIDS),后者通常仅在发现攻击后发出一个报警。思科建议将这两种系统组合起来—关键主机上设置HIDS,整个网络采用NIDS来实现全面的入侵检测系统。
一旦部署,用户必须调整其IDS以提高效率、去除“伪报警”。“伪报警”是指由合法流量或行为引起的报警。“未报警”是IDS系统无法看到的攻击。调整IDS后就可更具体地针对其威胁减缓作用实行配置。如上所述,用户应配置HIDS来中止大多数主机级的有效威胁,因为它能很快地判断某些事件是否确实构成威胁。
安全管理和报告
从体系结构的角度来说,提供网络系统的带外管理是适用于所有管理和报告策略的最好的第一步。从其名称上就可看出,带外(ODB)是指无生产信息流驻留的网络。设备应尽可能地与这样一个网络建立直接本地连接,在无法实现的情况下,设备应经由生产网络上的一条专用加密隧道与其连接。这样的隧道应预先配置,仅在管理和报告所需的特定端口上通信。这一隧道也应锁定,以便适当的主机能启动和终止隧道。确保带外网络自身不会带来安全问题。
在实施完一个ODB管理网络后,记录和报告的处理变得更直接了。大多数联网设备可以发送系统日志数据,这些数据在对网页码:[1] [2] [3] [4] [5] [6] [7] [8] 第6页、共8页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
