信息技术管理出现了史无前例的危机--安全问题。在安全威胁不断扩大及网络攻击的不断出现的形势下,众多的与系统捆绑的系统管理工具和安全漏洞检测工具应运而生,但往往借助这些工具能确切地发现攻击是十分困难的。
在这种信息安全的弱势下,数据和网络的完整性(DNI)工具如Tripwire软件有效的改变了这个局面。它通过完整性检测发现一切外部和内部的攻击和误操作,而不需要破坏现有的安全结构,这是不同于一些其他的入侵检测运作模式的。
应用需求
新入侵手段层出不穷,传统的入侵检测需要根据入侵手段的更新而升级鉴别入侵手段的特征库。
现行还没有对网络设备进行保护的完整的解决方案,入侵者很容易借助网络设备自身的漏洞进入和破坏网络设备。
新病毒的产生远远比病毒码的更新要快得多,借助编制病毒和未扩散的新病毒入侵者让防病毒软件束手无策。
操作系统及应用软件的复杂性导致了不可避免出现安全漏洞,尽管开发商不断推出补丁,但新补丁的装载又可能会包含新的潜在漏洞。
系统管理人员读配置或启动文件的误操作是导致系统和网络故障,并为入侵者提供了机会。
刚被解雇的不称职的系统管理员,在离开公司前放置了后门,这是其他入侵检测软件无法预防和很难解除的。
系统维护人员的短缺使得事故处理时间延长。
入侵检测特性
数据和网络是信息系统的基础组成部分,任何入侵者若不对数据和网络进行更改是无法实现对信息系统的入侵和控制的。
对目标网络设备的攻击导致设备瘫痪,为入侵者创造机会。
通过更改网络设备的配置及运行文件实现对网络设置的控制,使入侵者控制了整个网络的通信。
需要对系统文件进行修改或启动新的进程,如修改Unix下的shadow文件和inetd.conf。
在系统内放置恶性破坏执行文件,文件的启动需要借助特定事件的产生,更改启动配置文件(如 Windows下的system.ini文件)或使用添加计划任务都是入侵者惯用的方法。
在系统被放置木马病毒如netbus,为入侵者建立后门。
通过植入的特定的程序代码或病毒(如nimda)扩散入侵的范围。
Tripwire软件保护
1. 使用Tripwire for Route and Switch对网络中所有网络设备进行间隔10分钟的定时监控,并对关键性设备(如主路由器、核心交换机)的配置和运行文件进行自动恢复,保证网络通信不间断。
2. 通过定义针对DNS服务器Tripwire for Servers策略对不同平台的DNS服务器进行保护。
3. 在目录服务器中使用Tripwire for Servers对企业的用户信息进行监控。
4. 在文件服务器上安装Tripwire for Servers,并在默认策略中添加对共享文件访问进行监控。
5. 利用Tripwrie for Servers对邮件服务器的核心系统和用户邮件进行分级监控。
6. Tripwire for Web Pages和Tripwire for Servers配合使用,借助Tripwire for Web Pages对提供服务的网页进行实时检测和恢复,并运用Tripwire for Servers对Web服务的核心系统文件和网站进行整体定时的监控,确保Web服务器对外提供正确且完整的服务。
结论
所有的信息安全保护系统都不能保证不被入侵,通过事故经验充实入侵识别特征库无法从根本解决安全威胁。基于对信息系统的底层对象进行监控,能确保用户其他一切应用和服务能正常和健康的运转。作为DNI产品的中流砥柱的Tripwire为用户提供了企业级的数据和网络保护解决方案。