Page 103 - 化工产品质量与安全管理
P. 103
第三章 化工生产过程检测及技术应用
3. 针对应用协议局限
对于应用层的协议,一般的 NIDS 只简单地处理了常用的如 HTTP、FTP、
SMTP 等,尚有大量的协议没有处理,也不大可能全部处理,直接针对一些特殊
协议或者用户自定义协议的攻击,都能很好地绕过 NIDS 的检查。
4. 针对 IDS 系统本身的漏洞、弱点
正像其他系统一样,每一款 IDS 产品都或多或少地存在着一些漏洞,一旦这
些漏洞被攻击者发现并成功利用,轻者可以让 IDS 系统停止工作,严重者甚至可
以取得对系统的控制权。正如前面所介绍到的,入侵监测系统虽然很好地加强了
系统的安全,但同时也还有很多不足,作为防火墙的合理补充,网络安全需要纵
深的、多样的防护。即使拥有当前最强大的入侵检测系统,如果不及时修补网络
中的安全漏洞的话,安全也无从谈起。未来的入侵检测系统将会结合其他网络管
理软件,形成入侵检测、网络管理、网络监控三位一体的工具。强大的入侵检测
软件的出现极大地方便了网络的管理,其实时报警为网络安全增加了又一道保障。
尽管在技术上仍有许多未克服的问题,但正如攻击技术不断发展一样,入侵的检
测也会不断更新、成熟。
5. 正确使用、合理发挥 IDS 的功能
实施入侵检测系统后不闻不问不能充分发挥 IDS 的作用。一般地,在建设
了 IDS 之后,当有非法入侵时,系统会提示“有人扫描主机”,此时的非法入侵
者正处于收集信息阶段,若网络管理员采用了相应措施,会将此入侵扼杀在萌芽
中。但如果置若罔闻,待入侵者收集了足够信息之后,会发起全面攻击。这样看
来,在安全防范还算健全的情况下,企业被攻击有 4 个原因。第一,网络管理员
能力有限,没有更多的能力关注安全问题,加之网络管理员本身对安全技术掌握
不足,对 IDS 给出的报警信息缺乏深入的研究。第二,对 IDS 缺乏最基本的管理。
虽然 IDS 能够智能地工作,发现攻击后可以做出相应的响应动作,但这不意味着
用户就可以高枕无忧了。用户需要经常查看 IDS 的告警信息,以便及时发现网络
中潜在的攻击行为,并加以预防。第三,IDS 漏报和误报,查不出哪里存在非法
入侵者。有很多 IDS 漏报误报的现象是由于网络变化时,没有及时更改配置规则
而产生的。IDS 被第一次安装配置后不再进行任何调整。在实际的网络环境发生
变化后网络管理员没有针对特定环境的变化做安全产品配置的相应调整,以致这
些产品无法保证新设备的安全。事实上,当网络结构发生变化时,用户应该适时
·91·