|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 自從計(jì)算機(jī)以網(wǎng)絡(luò)方式被連接開始,網(wǎng)絡(luò)安全就成為一個(gè)重大問題,隨著INTERNET的發(fā)展,安全系統(tǒng)的要求也與日俱增,其要求之一就是入侵檢測(cè)系統(tǒng)。 本文旨在介紹幾種常見的入侵檢測(cè)系統(tǒng)及其理論和實(shí)踐,需要指出的是,本文僅僅是一篇介紹性的文章,即使我推薦了許多可能的系統(tǒng),在你相信其可靠性前,最好還是深入的研究一下他們。(NND,煩死我了,要敲4個(gè)字,以后我就簡(jiǎn)稱ID得了。入侵檢測(cè)系統(tǒng)就是IDS :-) ) 一、什么是入侵檢測(cè)。 入侵檢測(cè)是指監(jiān)視或者在可能的情況下,阻止入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡(luò)資源的那種努力。 簡(jiǎn)而言之,它的工作方式是這樣的:你有臺(tái)機(jī)器,被連接到網(wǎng)絡(luò)上,也許就是被連到了INTERNET上,出于可以理解的原因,你也愿意為被授權(quán)者設(shè)置從網(wǎng)絡(luò)上訪問你的系統(tǒng)的許可。比如,你有以臺(tái)連接到INTERNET上的WEB服務(wù)器,愿意讓客戶、職員和潛在客戶可以訪問存儲(chǔ)在WEB服務(wù)器上的頁面。 然而,你并不愿意那些未經(jīng)授權(quán)的職員、顧客或者其他未經(jīng)授權(quán)的第三方訪問系統(tǒng)。比如,你不愿意除了公司雇傭的網(wǎng)頁設(shè)計(jì)人員以外的人員可以修改儲(chǔ)存在機(jī)器上的頁面。典型的做法之一就是使用防火墻或者某種認(rèn)證系統(tǒng)來防止未經(jīng)授權(quán)的訪問。 但是,在一些情況下,簡(jiǎn)單的使用防火墻或者認(rèn)證系統(tǒng)也可以被攻破。入侵檢測(cè)就是這樣以種技術(shù),它會(huì)對(duì)未經(jīng)授權(quán)的連接企圖作出反應(yīng),甚至可以抵御以部分可能的入侵。 那么 二、為什么要使用ID呢? 以下給出了使用ID的理由: (1)你需要保護(hù)自己的數(shù)據(jù)安全和系統(tǒng),而事實(shí)是在現(xiàn)在的INTERNET環(huán)境下,如果你僅僅使用普通的密碼和文件保護(hù)方式,你不可能永遠(yuǎn)保證你數(shù)據(jù)和系統(tǒng)的安全性。 (2)對(duì)于保護(hù)數(shù)據(jù)來說,沒有什么比系統(tǒng)的安全更重要了,想就這么把你的機(jī)器連上INTETNET而不作任何防護(hù),甚至連管理員密碼都不設(shè),就指望這臺(tái)機(jī)器會(huì)太平無事,那簡(jiǎn)直是近乎于癡心妄想。同樣,系統(tǒng)對(duì)核心文件或者授權(quán)數(shù)據(jù)庫(比如NT的SAM和UNIX的/ETC/PASSWORD或者/ETC/SHADOW)的保護(hù)也是非常重要的。 (3)在通過局域網(wǎng)連接到INTERNET的環(huán)境下,經(jīng)常會(huì)采用防火墻或者其他保護(hù)措施,如果在NT環(huán)境下,如果開放了文件共享,或者允許TELNET,這臺(tái)機(jī)器就需要更好的保護(hù),比如在防火墻中對(duì)137-139端口(屬于TCP/UDP),SMB協(xié)議下的NT文件共享加以限制、使用SSH取代UNIX環(huán)境下的TELNET連接。 (4)ID還有進(jìn)一步的作用,由于被放置在防火墻和被保護(hù)的系統(tǒng)之間,ID等于是在系統(tǒng)之上增加了以層保護(hù)。比如,通過ID對(duì)敏感端口的監(jiān)測(cè)就可以判斷防火墻是否已經(jīng)被攻破,或者防護(hù)措施已經(jīng)被滅了。 三、ID有哪些種類呢? ID可以分為兩大類, (1)基于網(wǎng)絡(luò)的系統(tǒng):這種ID放置于網(wǎng)絡(luò)之上,靠近被檢測(cè)的系統(tǒng),它們監(jiān)測(cè)網(wǎng)絡(luò)流量并判斷是否正常。 (2)基于主機(jī)的系統(tǒng):這種系統(tǒng)經(jīng)常運(yùn)行在被監(jiān)測(cè)的系統(tǒng)之上,用以監(jiān)測(cè)系統(tǒng)上正在運(yùn)行的進(jìn)程是否合法。我還想補(bǔ)充最近出現(xiàn)的一種ID:位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測(cè)系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺(tái)。 基于網(wǎng)絡(luò)的ID 簡(jiǎn)介 基于網(wǎng)絡(luò)的IDS是指監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)流量的系統(tǒng),一塊網(wǎng)卡就可能會(huì)有兩種用途: 普通模式: 受數(shù)據(jù)包里面所包含的MAC地址決定,數(shù)據(jù)被發(fā)送到目的主機(jī)。 任意模式(Promiscuous mode):所有可以被監(jiān)測(cè)到的信息均被主機(jī)接收。 網(wǎng)卡可以在普通模式和任意模式之間進(jìn)行切換,同樣,使用操作系統(tǒng)的低級(jí)功能就可以完成這種變換。基于網(wǎng)絡(luò)的IDS一般是需要把網(wǎng)卡設(shè)置成后以種模式。 包嗅探和網(wǎng)絡(luò)監(jiān)測(cè) 包嗅探和網(wǎng)絡(luò)監(jiān)測(cè)最初是為了監(jiān)測(cè)以太網(wǎng)的流量而設(shè)計(jì)的,最初的代表性產(chǎn)品就是NOVEL的LANALYSER和MS的NETWORK MONITOR。 這些產(chǎn)品一般會(huì)攔截它們?cè)诰W(wǎng)絡(luò)上可疑攔截的一切數(shù)據(jù)包,當(dāng)一個(gè)數(shù)據(jù)包被攔截后,可能會(huì)有以下幾種情況: 對(duì)包進(jìn)行累加,在截取的時(shí)間段內(nèi)對(duì)數(shù)據(jù)包進(jìn)行累加,用以確定該時(shí)間段內(nèi)網(wǎng)絡(luò)的負(fù)載,LANALYSER和MS的NM都在網(wǎng)絡(luò)負(fù)載的表示界面方面有很好的表現(xiàn)。 對(duì)數(shù)據(jù)包進(jìn)行分析:比如,當(dāng)你想對(duì)抵達(dá)一個(gè)WEB服務(wù)器的數(shù)據(jù)進(jìn)行分析時(shí),你往往會(huì)先捕獲一些數(shù)據(jù),然后進(jìn)行分析。 包嗅探工具在近年有了長(zhǎng)足的發(fā)展,象ETHEREAL和新版的MSNM都可以對(duì)數(shù)據(jù)包進(jìn)行詳盡的分析。 最后羅嗦以句(NND,洋人就是P多):工具本身無善惡,全在人心,通過對(duì)連接到UNIX的TELNET連接進(jìn)行包嗅探,就可能可以截取用戶的密碼,任何一個(gè)入侵者一旦得手,首先的事情就是會(huì)安裝包嗅探器(NND,那是說高手,象俺最多在自己的機(jī)器上裝個(gè)嗅探器,嘿嘿) 包嗅探與任意模式 所有包嗅探都需要網(wǎng)卡被設(shè)置為任意模式,因?yàn)閮H在此模式下,所有通過網(wǎng)卡的數(shù)據(jù)可以被傳送到嗅探器,包嗅探的使用前提是安裝他的機(jī)器上使用者具有管理員權(quán)限 還有一點(diǎn)需要引起注意的是交換機(jī)的使用,請(qǐng)注意,不是HUB(NND,當(dāng)我們中國(guó)人沒見過交換機(jī)啊!),在交換機(jī)內(nèi),一個(gè)接口所接收的數(shù)據(jù)并不是一定會(huì)轉(zhuǎn)發(fā)到另一個(gè)接口,所以,在這種情況下,包嗅探器并不一定可以發(fā)揮其作用。 基于網(wǎng)絡(luò)的ID:嗅探器的發(fā)展 不幸的是,從安全的角度來看,包嗅探器好處有限。要去捕獲每一個(gè)數(shù)據(jù)包,然后是分析、手工采取行動(dòng),實(shí)在是一件煩瑣之至的事情,但是,如果用軟件來代替我們的勞動(dòng)呢? 這就是基于網(wǎng)絡(luò)的ID要干的活。比如經(jīng)常使用的ISS RealSecure Engine和Network Flight Recorder. [page_break] 以下給出RealSecure Engine這種ID的作用: 監(jiān)測(cè)網(wǎng)絡(luò)上的數(shù)據(jù)傳輸情況。 如果數(shù)據(jù)為正常數(shù)據(jù),允許其通過(或者留待以后分析),如果數(shù)據(jù)包被認(rèn)為可能會(huì)危害目的地系統(tǒng)的安全,則發(fā)出"connection closed"(使用TCP協(xié)議時(shí))或者"port unreachable’(使用ICMP時(shí))以截?cái)鄶?shù)據(jù)發(fā)送方和接收方之間的連接。 在這種情況下,RealSecure可以在防火墻后建立起以個(gè)有效的阻止系統(tǒng),當(dāng)然,也有在防火墻的位置直接使用RS的,而我(原作者-不是土鱉我啊!)不建議大伙采用這種方法。 基于網(wǎng)絡(luò)的ID還有一些別的功能,比如: 監(jiān)測(cè)明顯的端口掃描。在攻陷系統(tǒng)之前,攻擊者一般會(huì)掃描系統(tǒng)以發(fā)現(xiàn)系統(tǒng)的缺陷,一般說來,INTERNET上來自以臺(tái)主機(jī)的端口掃描往往是有人開始攻擊的先兆。 對(duì)常見的攻擊方式加以監(jiān)測(cè)。通過80端口連接到以臺(tái)WEB服務(wù)器應(yīng)該看來是以件很正常的事情,但是有些同樣通過80端口進(jìn)行的連接就可能是禍心內(nèi)藏哦,看看這個(gè)命令你就知道了: “GET /../../../etc/passwd HTTP/1.0” 鑒別各種IP欺騙。用于完成IP和MAC地址之間轉(zhuǎn)換的ARP協(xié)議往往是攻擊的重點(diǎn),通過在以太網(wǎng)上向目的地址發(fā)布載有虛假ARP數(shù)據(jù)的數(shù)據(jù)包,入侵者可以將自己偽裝成位于另外一個(gè)系統(tǒng)上,這樣的結(jié)果就是各種拒絕服務(wù)攻擊,當(dāng)大型服務(wù)器(如DNS或者身份認(rèn)證服務(wù)器)遭到攻擊時(shí),入侵者可以將數(shù)據(jù)包轉(zhuǎn)發(fā)到自己的系統(tǒng)上。基于網(wǎng)絡(luò)的IDS通過登記ARP包,對(duì)信息源(以太網(wǎng)地址)進(jìn)行認(rèn)定,如果確認(rèn)信息來自于已經(jīng)被攻陷的系統(tǒng),則會(huì)對(duì)入侵者進(jìn)行攔截。 如果探測(cè)到了有問題的行動(dòng),基于網(wǎng)絡(luò)的ID會(huì)自行采取行動(dòng),包括重新配置附近的防火墻以攔截所有來自入侵者的數(shù)據(jù)流. 基于主機(jī)的ID簡(jiǎn)介 當(dāng)數(shù)據(jù)包抵達(dá)目的主機(jī)后,防火墻和網(wǎng)絡(luò)監(jiān)控已經(jīng)無能為力了,但是還有以個(gè)辦法可以試試,那就是“基于主機(jī)的ID” 基于主機(jī)的ID又可以分成兩大類: 網(wǎng)絡(luò)監(jiān)測(cè):這種監(jiān)測(cè)對(duì)抵達(dá)主機(jī)的數(shù)據(jù)進(jìn)行分析并試圖確認(rèn)哪些是潛在的威脅,任何連接都可能是潛在的入侵者所為,請(qǐng)注意,這點(diǎn)與基于網(wǎng)絡(luò)的ID不同,因?yàn)樗鼉H僅對(duì)已經(jīng)抵達(dá)主機(jī)的數(shù)據(jù)進(jìn)行監(jiān)測(cè),而后者則是對(duì)網(wǎng)絡(luò)上的流量進(jìn)行監(jiān)控。如次一來就不需要把網(wǎng)卡設(shè)置成××模式了。 主機(jī)監(jiān)測(cè):任何入侵企圖(或者成功的入侵)都會(huì)在監(jiān)測(cè)文件、文件系統(tǒng)、登錄記錄或其他主機(jī)上的文件中留下痕跡,系統(tǒng)管理員們可以從這些文件中找到相關(guān)痕跡。 外來連接監(jiān)測(cè): 主機(jī)可以在數(shù)據(jù)包真正抵達(dá)主機(jī)之前對(duì)試圖進(jìn)入主機(jī)的數(shù)據(jù)包進(jìn)行監(jiān)測(cè),以避免其進(jìn)入系統(tǒng)后可能造成的損害。 可供選擇的處理方式有: 監(jiān)測(cè)未經(jīng)授權(quán)的試圖通過TCP或者UDP端口進(jìn)行的連接,比如如果有人試圖通過未開放任何服務(wù)的端口進(jìn)行連接,就往往意味著有人在尋找系統(tǒng)漏洞。 監(jiān)測(cè)端口掃描:在此我再推薦一種方式:調(diào)整防火墻或者調(diào)整本地IP配置(可以使用LINUX下的IPCHAINS)以拒絕來自可能的入侵者的連接請(qǐng)求。 值得推薦的兩個(gè)文件是ISS的RealSecure Agent和PortSentry. 注冊(cè)行為監(jiān)測(cè) 即使網(wǎng)管做了最大的努力,安裝了最新的IDS,入侵者也有可能使用無法被監(jiān)測(cè)到的的手段來入侵系統(tǒng),造成這種情況的重要可能之一就是入侵者使用包嗅探恩公工具已經(jīng)取得了用戶密碼并能夠合法登錄系統(tǒng)。 HOSTSENTRY這樣的產(chǎn)品的任務(wù)之一就是尋找系統(tǒng)的不尋常操作,對(duì)用戶試圖進(jìn)行注冊(cè)和注銷進(jìn)行監(jiān)控,并就這些活動(dòng)中不正常或者未曾預(yù)料的部分向系統(tǒng)管理員報(bào)警。 根操作監(jiān)控 入侵者的最終目的是為了掌握被入侵主機(jī)上的根用戶權(quán)限,如果一臺(tái)WEB服務(wù)器規(guī)劃的好的話,除了極少數(shù)的計(jì)劃好的維修時(shí)間以外,根用戶應(yīng)該很少會(huì)有什么操作,但是根用戶們也很少按照計(jì)劃去進(jìn)行檢修,而是逮空就干,但是即使是這樣,入侵者也很有可能在兔子都不拉屎的時(shí)間或者地方干出些什么事情來。 需要防御的戰(zhàn)線還有以條:監(jiān)視根用戶或系統(tǒng)管理員的任何操作。許多UNIX系統(tǒng)允許根用戶執(zhí)行包括登錄、監(jiān)測(cè)在內(nèi)的所有運(yùn)算,而象LOGCHECK這樣的工具則可以對(duì)這些登錄記錄加以監(jiān)控并提請(qǐng)網(wǎng)管注意。 如果使用了開放源代碼的操作系統(tǒng),網(wǎng)管們只有一個(gè)選擇:改進(jìn)內(nèi)核。如何改進(jìn)不在本文的討論范圍之內(nèi),畢竟INTERNET網(wǎng)上這樣的資源很多。 監(jiān)測(cè)文件系統(tǒng) 不管你的愿望如何良好,ID怎么賣命,你也不敢保證系統(tǒng)固若金湯,而系統(tǒng)一旦被攻陷,入侵者就會(huì)立即開始更改系統(tǒng)的文件,或者更改一些設(shè)置以廢掉ID們的武功(哦!要練神功,必先自宮!!) 在軟件的安裝過程中,不可避免的會(huì)更改系統(tǒng)設(shè)置,這些設(shè)置更改一般會(huì)在系統(tǒng)的文件或者LIBRARY的變化中體現(xiàn)出來。 類似于TRIPWIRE,F(xiàn)CHECK和AIDE的程序被設(shè)計(jì)用于檢測(cè)系統(tǒng)內(nèi)的文件變動(dòng),并向系統(tǒng)管理員報(bào)告。 在所有系統(tǒng)文件上使用MD5或者其他的加密、校驗(yàn)和等手段,將這些設(shè)置儲(chǔ)存進(jìn)數(shù)據(jù)庫,當(dāng)文件變化時(shí),校驗(yàn)和也會(huì)發(fā)生變化。 注意所有文件的創(chuàng)建和修改時(shí)間,以及它們的時(shí)戳。 對(duì)SUID命令的使用加以監(jiān)控,任何變化或者新的SUID命令被安裝、刪除,都可能會(huì)是問題的征兆。 不管Tripwire, Fcheck, AIDE玩得怎么花,它們的工作原理就是上面那些東西,它們的作用是保證那些數(shù)據(jù)庫和加密的校驗(yàn)和沒出問題。因?yàn)椴慌懦@樣一種可能,入侵者水平很高,高到足以理解操作系統(tǒng)和IDS,直接就把加密的校驗(yàn)和數(shù)據(jù)庫都改得天衣無縫。 基于內(nèi)核的ID 基于內(nèi)核的ID還是以種新生事務(wù),但是成長(zhǎng)很快,尤其是在和LINUX的配合方面。 現(xiàn)在有兩種基于LINUX的不同的基于內(nèi)核的ID,它們是OPENWALL和LIDS。它們?cè)诜乐咕彌_區(qū)溢出方面有了長(zhǎng)足進(jìn)展,增強(qiáng)了文件系統(tǒng)的保護(hù),攔截信號(hào)并使入侵系統(tǒng)變得更加困難。LIDS也采取了一定措施以防止根用戶執(zhí)行一些操作,比如安裝嗅探器或者更改防火墻規(guī)則等等。 內(nèi)核保護(hù)和文件系統(tǒng)保護(hù) 顯而易見的是,雖然最終效果相近,LIDS系統(tǒng)和TRIPWIRE系統(tǒng)差別很大,它們都可以用于阻止入侵者出于未經(jīng)授權(quán)的目的使用系統(tǒng)。 乍看之下,雖然象TRIPWIRE這樣的系統(tǒng)確實(shí)是一個(gè)監(jiān)測(cè)文件系統(tǒng)的好東西,人們也可能會(huì)認(rèn)為他意義不大,人們的共識(shí)是:一旦你的系統(tǒng)被內(nèi)在的入侵者攻陷,最好的辦法就是關(guān)機(jī)重裝系統(tǒng)。損失已然造成,系統(tǒng)已然玩完,你還是老老實(shí)實(shí)從恢復(fù)盤上重裝系統(tǒng)得了。而LIDS提供的服務(wù)則更有誘惑一些,如果說一般的家伙是在屋子里面已經(jīng)被糟踐得一塌糊涂后才來跑來告訴你門開著的話,LIDS可能會(huì)使你的系統(tǒng)免遭損失。 從理論上說,我也同意以上分析,但是如果將LIDS和TRIPWIRE同時(shí)運(yùn)行,肯定會(huì)帶來更好的安全性。雖然LIDS在保護(hù)文件系統(tǒng)方面有著獨(dú)到之處,但是如果再加上象TRIPWIRE這樣的文件系統(tǒng)監(jiān)視器,用他作為一個(gè)“獨(dú)立的”審計(jì)方,效果肯定會(huì)更好,因?yàn)镠ACKER有可能會(huì)挫敗LIDS的努力。 小結(jié) 使用最新的工具可能會(huì)抵御一切已知形式的入侵,不幸的是,隨著日常實(shí)踐,新的威脅和軟件的安全漏洞卻在不斷的被發(fā)現(xiàn)。 [page_break] 在任何環(huán)境下,非常重要的一點(diǎn)是知道你可能面對(duì)的所有威脅,要警惕你系統(tǒng)里面可能存在的潛在漏洞并加以修補(bǔ),以免遭受基于這些漏洞的攻擊。 舉個(gè)例子來說,以臺(tái)通過防火墻被連接到INTERNET 的主機(jī)可以說會(huì)免于大多數(shù)種攻擊,但是機(jī)器里的CGI程序則會(huì)使機(jī)器暴露出脆弱的以面,要尤其注意并確定CGI程序已經(jīng)被合適的配置,數(shù)據(jù)在執(zhí)行前已經(jīng)被確認(rèn)合法有效。而一個(gè)ID程序則會(huì)被放在WEB服務(wù)器和防火墻之間以攔截任何可疑的連接。 隨時(shí)更新 隨著新的入侵手段的發(fā)現(xiàn),上面我們所闡述的工具也在不斷更新,所以及時(shí)更新工具也是非常重要的。 在安裝了相應(yīng)的軟件以后,用戶有必要經(jīng)常訪問一些和安全有關(guān)的頁面和郵件列表,同時(shí),如果你所安裝的軟件或者防火墻報(bào)告說其自身出現(xiàn)缺陷或者其他被入侵的問題,千萬不要為了面子而不去向軟件提供商需求幫助(老外也這么要面子嗎?嘿嘿) Which Tools? 使用什么軟件呢? 以上我們已經(jīng)探討了好幾種有著不同功能的工具。為了盡量保證你的環(huán)境的安全性,根據(jù)功能來選擇工具就變得非常重要。工具之間“尺有所短,寸有所長(zhǎng)”的情況很突出,所以,你的安全防線的第以關(guān)應(yīng)該就是防火墻,然后,在防火墻后側(cè)安裝基于網(wǎng)絡(luò)的IDS用于監(jiān)視防火墻,再以后呢(老外就是TMD煩),就應(yīng)該是連接監(jiān)測(cè)工具,比如PORTSEBTRY或者HOSTSENTRY之類的,最后呢,你還可以用LOGCHECK之類的工具來監(jiān)測(cè)那些最終的進(jìn)入者。 當(dāng)您選擇入侵檢測(cè)系統(tǒng)時(shí),要考慮的要點(diǎn)有: 1.系統(tǒng)的價(jià)格 當(dāng)然,價(jià)格是必需考慮的要點(diǎn),不過,性能價(jià)格比、以及要保護(hù)系統(tǒng)的價(jià)值可是更重要的因素。 2.特征庫升級(jí)與維護(hù)的費(fèi)用 象反病毒軟件一樣,入侵檢測(cè)的特征庫需要不斷更新才能檢測(cè)出新出現(xiàn)的攻擊方法。 3.對(duì)于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),最大可處理流量(包/秒PPS)是多少 首先,要分析網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境,如果在512K或2M專線上布署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),則不需要高速的入侵檢測(cè)引擎,而在負(fù)荷較高的環(huán)境中,性能是一個(gè)非常重要的指標(biāo)。 4.該產(chǎn)品容易被躲避嗎 有些常用的躲開入侵檢測(cè)的方法,如:分片、TTL欺騙、異常TCP分段、慢掃描、協(xié)同攻擊等。 5.產(chǎn)品的可伸縮性 系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫大小、傳感器與控制臺(tái)之間通信帶寬和對(duì)審計(jì)日志溢出的處理。 6.運(yùn)行與維護(hù)系統(tǒng)的開銷 產(chǎn)品報(bào)表結(jié)構(gòu)、處理誤報(bào)的方便程度、事件與事志查詢的方便程度以及使用該系統(tǒng)所需的技術(shù)人員數(shù)量。 7.產(chǎn)品支持的入侵特征數(shù) 不同廠商對(duì)檢測(cè)特征庫大小的計(jì)算方法都不一樣,所以不能偏聽一面之辭。 8.產(chǎn)品有哪些響應(yīng)方法 要從本地、遠(yuǎn)程等多個(gè)角度考察。自動(dòng)更改防火墻配置是一個(gè)聽上去很“酷”的功能,但是,自動(dòng)配置防火墻可是一個(gè)極為危險(xiǎn)的舉動(dòng)。 9.是否通過了國(guó)家權(quán)威機(jī)構(gòu)的評(píng)測(cè) 主要的權(quán)威測(cè)評(píng)機(jī)構(gòu)有:國(guó)家信息安全測(cè)評(píng)認(rèn)證中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心。 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個(gè)人學(xué)習(xí)測(cè)試使用,請(qǐng)?jiān)谙螺d后24小時(shí)內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請(qǐng)支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請(qǐng)及時(shí)通知我們(),我們會(huì)及時(shí)處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機(jī)站 關(guān)于本站
