網絡入侵檢測解決方案

1、NetpowerXXXX入侵檢測系統(tǒng)解決方案北京中科網威信息技術有限公司200X年X月目錄前言 . 21.1. 設計目標 31.2. 安全宗旨 31.3. 項目集成原則 3網絡安全性分析 4物理層安全體系 63.1. 電磁泄露 63.2. 惡意的物理破壞 73.3. 電力終端 73.4. 安全拓撲結構 73.5. 安全旁路問題 83.6. 解決措施 8四. 網絡層安全體系 94.1. 外網攻擊 104.2. 內網攻擊與監(jiān)控 124.3. 網絡設備的安全 1344VLAN安全保密 144.5.入侵取證問題 15五. 應用層安全體系 165.1. 操作系統(tǒng)安全 165.1.1. 服務器系統(tǒng)安全解決

2、措施（主要針對 Linux ） . 165.1.2. 服務器系統(tǒng)安全解決措施（主要針對 Windows）. 175.1.3. 主機安全的解決方案 18六. 網絡入侵檢測系統(tǒng) 196.1. 單一防火墻功能的不足 19206.2. 入侵檢測系統(tǒng)的功能和優(yōu)點6.3. 入侵檢測系統(tǒng)選型 206.4. 入侵檢測系統(tǒng)部署 236.5. 中科網威”網威”網絡入侵檢測系統(tǒng)產品介紹 25七. XXXX調通中心安全系統(tǒng)網絡安全拓撲效果圖 錯誤!未定義書簽。、八 、前言此文檔就XXX）調通中心網絡安全方面做全面的規(guī)劃和設計，從而確定軟件、硬件體系的組成及各部分的作用， 和應用程序的連接等， 從而對整個網絡的安全部分

3、規(guī)劃、采購起指導性作用此文檔將從物理層、網絡層、應用層、管理層等幾個方面就XXXX調通中心網絡安全進行具體描述。1.1. 設計目標最大可能的保護其所轄的網絡和系統(tǒng)可以得到充分的信任， 可以獲得良好的 管理?？傮w目標是在不影響中心網絡正常工作的前提下， 實現(xiàn)對中心網絡的全面 安全及加固。根據(jù)XXXX調通中心網的要求及國家涉密計算機系統(tǒng)安全要求，提供包括整 體安全策略、評估、規(guī)劃、設計、部署、管理、緊急響應以及配套服務組成的網 絡安全整體解決方案。1.2. 安全宗旨建設和服務應遵循如下原則：設計中將以國家涉密計算機系統(tǒng)安全要求為根本 采用國內最先進，符合涉密系統(tǒng)安全要求的安全設備和產品 嚴格遵守中

4、華人民共和國保密局、公安部相關法律和法規(guī) 嚴格遵守國家涉密計算機系統(tǒng)安全保密規(guī)范我國各級安全主管部門還頒布了一系列條例和規(guī)定。本項目遵守國內的 這些安全條例和規(guī)定。1.3. 項目集成原則策略性建立中心的安全體系，需要先制定完整的、一致性的信息安全策略體系，并 將且將安全策略體系和其他企業(yè)策略相協(xié)調。綜合性和整體性從系統(tǒng)綜合的整體角度充分考慮此次中心網絡安全招標項目，制定有效、可行的安全措施，建立完整的安全防范體系。盡量降低對原有網絡、系統(tǒng)性能的影響由于安全設置的增加，必將影響網絡和系統(tǒng)的性能，包括對網絡傳輸速率的 影響，對系統(tǒng)本身資源的消耗等。因此需要平衡雙方的利弊，提出最為適當?shù)陌?全解決建

5、議。避免復雜性安全解決方案不會使原網絡結構的復雜程度增加，并使操作與維護簡單化。 安全體系的建立也不會對中心的結構做出根本性的修改。擴展性、適應性安全解決方案能夠隨著中心網絡性能及安全需求的變化而變化，要容易適 應、容易修改。兼容性安全管理工具應能夠和其它系統(tǒng)管理工具有效兼容。保障安全系統(tǒng)自身的安全安全產品和系統(tǒng)都有能力在合理范圍內保障系統(tǒng)自身的安全。穩(wěn)定性總體設計方案需保證運行過程中的穩(wěn)定、順暢，不對應用系統(tǒng)造成危害。二.網絡安全性分析當前，全球性的信息化、網絡化進程正在飛速發(fā)展，網絡技術正逐步改變著 各行各業(yè)傳統(tǒng)的生產和管理方式，網絡應用日新月異。網絡在提高生產和管理效 率的同時，也給各類

6、涉密信息網絡的安全保密系統(tǒng)建設、 應用和管理提出了新的 要求。作為XXXX調通中心安全系統(tǒng)的網上形象和網上辦公系統(tǒng)，保證網上信息的 安全性、可靠性，保證網絡的正常運行，不被不法分子破壞、竄改是整個紀檢監(jiān) 察計算機網絡系統(tǒng)中非常重要的一個組成部分。XXXX調通中心安全系統(tǒng)常涉及的，無論是門戶系統(tǒng)，數(shù)據(jù)流、數(shù)據(jù)中心和 公共服務，這些都需要網絡安全的支持，從用戶的登陸認證，非法行為的監(jiān)控， 門戶網站的抗攻擊性， 數(shù)據(jù)中心的操作安全性等多個方面都離不開網絡安全系統(tǒng) 的支持。網絡安全整體建設中的某個被忽略的部位弱勢， 勢必影響系統(tǒng)整體的安全水 平，為了對抗各種攻擊破壞， 避免因為安全隱患而引發(fā)的安全事故

7、， 通過深入分 析全國XXXX調通中心安全系統(tǒng)的安全需求，建議目前的網絡安全系統(tǒng)管理應從 下列方面入手著重解決。提供針對網絡安全問題的保障，著重對于目前網絡上流行的攻擊形式， 攻擊手段進行防護，同時考慮系統(tǒng)冗余。對XXXX調通中心可能出現(xiàn)的攻擊行為進行監(jiān)控、取證，適當情況下可 以根據(jù)監(jiān)控的內容對攻擊者進行跟蹤， 必要時可根據(jù)此結果進行法律起 訴。對內部可信任網段內主機進行嚴格限制，及時發(fā)現(xiàn)并阻斷非法外聯(lián)行 為。對于網絡安全設備的統(tǒng)一管理問題。包括統(tǒng)一管理、配置，收集不同系 統(tǒng)上的日志資料，進行時間分析。對于整個XXXX調通中心安全系統(tǒng)的接入問題進行管理，確保涉密網絡 與非涉密網絡的物理隔離問題

8、。定制全網統(tǒng)一的病病毒策略，實現(xiàn)全網范圍內的病毒防御。 基于數(shù)字證書的服務。包括證書的統(tǒng)一管理，可信服務，用戶分級，與 應用系統(tǒng)無間結合等多個方面。對于網絡安全事件的緊急響應，包括 7X 24小時的緊急響應。 提供對于網絡正常運行的安全服務、培訓、安全管理規(guī)定等。建立一個安全網絡需要從軟件、硬件，產品、服務等多個方面協(xié)同協(xié)作，搭 建起一個完整的安全保障系統(tǒng)。 從用戶登陸系統(tǒng)的開始就做到身份認證、 行為監(jiān) 控、日志記錄等工作； 對邊界網絡實行嚴格的訪問控制策略； 在敏感信息節(jié)點對 數(shù)據(jù)的監(jiān)聽、分析， 對違反安全策略的行為進行響應； 并定期主動對系統(tǒng)網絡中 服務器進行安全評估，消除安全隱患，防范于

9、未然，為上層的門戶系統(tǒng)、網上政 務系統(tǒng)的正常運行提供徹底的保護， 對于可能給系統(tǒng)造成損害的每一個地方做全 滿考慮，為XXXX調通中心安全系統(tǒng)的正常運行保駕護航。三.物理層安全體系這里說的物理層指的是物理連接方面的安全，尤其指的是不同密級之間網絡 的連接規(guī)范，保證從物理結構上的安全。分支內容主要包含以下幾個方面：電磁泄漏惡意的物理破壞電力中斷安全拓撲結構安全旁路問題3.1. 電磁泄露電磁泄漏主要發(fā)生在由雙絞線連接的物理設備之間，由于雙絞線傳輸數(shù)據(jù)時周圍產生的磁場可被還原，故如果出現(xiàn)刻意的針對電磁泄漏而進行的監(jiān)聽行為， 則可能防不勝防。由于此種入侵的方式非常隱蔽，可以不用進入辦公區(qū)域、不用進行數(shù)據(jù)

10、傳輸、不用發(fā)生人員方面的接觸而獲取數(shù)據(jù)的特點， 所以是國家保密局 等安全部分非常重視的一種基本防護。對于這種攻擊的防護手段已經非常成熟，分別對應不同的實際環(huán)境予以選擇:現(xiàn)狀解決方法沒有屏蔽室建立屏敝室光纖網絡（條件所限無法建立屏蔽室）不用做電磁防護措施Utp雙絞線網絡（條件所限無法建立屏蔽 室）需要針對線路做加密，保密局有相關 產品表格i安全環(huán)境選擇表上面提到的問題還只是電磁泄漏防護的一種解決方案，由于XXXX調通中心網絡是涉密網，不需要面向廣大市民服務，所以對于電磁防護的問題還需針對現(xiàn) 狀進行分析，原則是對于重要的、涉密的設備進行防護。3.2. 惡意的物理破壞所有交換機設備均封閉在單獨的房間

11、內， 這些房間主要由網絡技術部系統(tǒng)管 理人員負責維護管理， 在物理上實現(xiàn)了安全保護。 中心局域網主要的 5 類雙絞線 都布設在地下封閉的金屬槽或天花板上封閉的 PVC槽內，遭人為破壞的可能性較 小。對于網絡線路，主要通過專用測試儀和網絡管理軟件如 Cisco works 2000 等來進行監(jiān)測，管理人員能夠及時發(fā)現(xiàn)線路阻斷等異常故障。3.3. 電力終端網絡中心應重點考慮電力中斷的問題，由于數(shù)據(jù)中心存放了非常多的設備， 包括小型機、網絡設備、PC服務器等，所以電力問題要非常重視，最好能準備 兩路不同源的電路， 因為重要的服務器等設備均有雙電源冗余的設計， 雙電源是 網絡正常運行的有力保障。重要設

12、備應具有在線式UPS控制了全部重要計算機系統(tǒng)的電源管理；并且 安裝了針對UNIX和WinNT服務器的自動關機程序，一旦斷電時間接近 UPS所能 承受的延時服務時間的 70%，則發(fā)出指令自動關閉主要的服務器。3.4. 安全拓撲結構安全拓撲結果應該說是安全體系的一個很重要的組成部分。針對XXXX調通中心網絡的環(huán)境分析：由于此系統(tǒng)涉及涉密網絡與非涉密網 絡之間的連接，也有外網與非涉密網的連接， 故拓撲結果非常復雜， 需要集成商 方面針對不同的接入形式做具體分析， 并將接入方式去分為物理隔離、 邏輯隔離、 基于物理隔離的數(shù)據(jù)交換等幾種不同形式， 原則上所有內部單位與數(shù)據(jù)中心的連 接均應用防火墻進行邏輯

13、隔離，保證可信的數(shù)據(jù)傳輸及對非法訪問的拒絕。物理隔離：完全網絡上的隔離，對于涉密網與非涉密網之間的連接，無 設備 邏輯隔離：使用防火墻進行數(shù)據(jù)交換方面的審查，通行可信數(shù)據(jù)，拒絕 非法請求。針對XXXX調通中心外網與內網之間的連接。給予物理隔離的數(shù)據(jù)交換： 使用基于物理隔離的數(shù)據(jù)交換進行數(shù)據(jù)交換 方面的審查，通行可信數(shù)據(jù)，拒絕非法請求。此項方式是防火墻模式的 進一步提高，此處對涉密外網有比較高的要求時選用的設備，但是由于 原理限制，大大降低網絡速度。3.5. 安全旁路問題安全旁路問題是涉密網建設的非常重要的組成部分， 針對不同的單位有相應 的解決手段。在政府等辦公部門主要針對的是物理隔離的內部網

14、絡的員工撥號行 為，針對研究所等機構主要是軟盤，USB設備對于數(shù)據(jù)的Copy問題，由于目前 XXXX調通中心網絡是公眾外網，所以對此部分只是做簡單提及，解決方式為內 部解決。對于上述內容的管理除了技術上的投入以外還需要進行專門的管理制度上 的制定，具體細則請參見管理制度篇。3.6. 解決措施物理層安全應面臨的風險主要是環(huán)境安全和設備、設施安全問題。 為保護計算機設備、設施（含網絡）以及其它媒體免遭地震、水災、火災、 有害氣體和其它環(huán)境事故（如電磁污染等）破壞，應采取適當?shù)谋Ｗo措施。在環(huán)境安全上， 主要考慮受災防護和機房區(qū)域安全。為此在中心機房內，要 施行嚴格的保安制度，配備好安防和消防等設備。

15、（1）環(huán)境安全保密解決措施： 在安置服務器的機房出入口設立門禁系統(tǒng)，分配權限和密碼，僅持有權 限和密碼的人才可以進入機房； 管理上要求能夠進出機房的人員政治和 技術可靠。配備防火器材，合理的布置在機房的四周，做到防范于未然，一旦出現(xiàn) 明火現(xiàn)象，可在機房內將其撲滅。在機房內設立攝像監(jiān)控系統(tǒng)， 24小時監(jiān)控錄像機房內的人員行為， 記錄 影像并標記時間，為可能存在的人為破壞提供比對的證據(jù)。重要服務器機房內應充分利用現(xiàn)有的工業(yè)空調系統(tǒng)，將機房內溫度保持 在服務器硬件的平均工作溫度下。所有通信線路應盡量安置在防火的 PVC曹內，安置在天花板等人不能直 接接觸的地方。(2) 設備安全保密解決措施： 建議中

16、心在機房內安置電磁干擾發(fā)射儀。 中心骨干網絡為千兆，骨干為光纖結構，不存在電磁泄漏的問題。中心的桌面應用目前仍是百兆，使用 UTP連接，存在線路泄漏問題。為 此，使用UTP線路電磁泄漏干擾儀連接在線路的兩端進行電磁發(fā)射干擾。(3) 介質安全保密解決措施： 介質安全主要體現(xiàn)在存儲介質上面如磁帶機、光盤和硬盤存儲器，機密 成果數(shù)據(jù)的存儲介質需要異地保存； 在中心設立專門的介質存放室(至少與機房不在一個房間內或一個樓 層)，介質存放室也應做好門禁系統(tǒng)，配備防火器材和空調恒溫系統(tǒng)； 介質存放室的進出人員應接受嚴格登記和審核，并在管理上要求政治和 技術可靠； 對存放在紙上的重要機密信息應嚴格保存，可以和

17、介質一起放在介質室 內，對作廢的文件應使用碎紙機或送往紙漿廠監(jiān)控處理。四 . 網絡層安全體系這里說的網絡層指的是網絡設備上的安全， 以及專門執(zhí)行網絡安全功能的相 應設備，尤其指的是數(shù)據(jù)傳輸時的安全問題。 物理層網絡安全體系是現(xiàn)代網絡安 全體系種非常重要的組成部分， 可以說是網絡安全的核心， 眾多的黑客攻擊的手 段和方法都是針對網絡層而開展的， 因此網絡層安全體系的建設是網絡安全建設 的重要組成部分。目前的網絡安全體系不僅僅是一種安全設備，一種安全手段就可以實現(xiàn)的， 隨著黑客技術的不斷成熟安全體系已經發(fā)展成為了多產品，多手段相結合的方 式，也只有多重手段的綜合運用才能從整體上實現(xiàn)安全的防護， 在

18、安全領域是適 用木桶原則的， 如果有哪個領域是我們沒有考慮到的， 則那個部分則最有可能成 為被入侵的環(huán)節(jié)。鑒于目前網絡安全技術在國內已經十分成熟， 技術上不存在壁壘， 故推薦使 用國內的安全產品， 以防止政府部門由于使用國外產品導致的敏感時期安全設備 可能被國外黑客利用，造成不必要的損失情況出現(xiàn)。由于網絡層安全體系涉及的內容非常豐富， 本章將針對下面列表中的內容做 逐一的分析，并給出解決措施。外網攻擊內網攻擊 加密傳輸 安全旁路問題4.1. 外網攻擊從外網進行的攻擊行為可以說是不勝枚舉， 近年來國內外出現(xiàn)的大量的網絡 安全事件 （經媒體報道過的） 可以說應用了目前所有的攻擊形式， 有各種形式的

19、 Flood 攻擊，Pi ng of death 、Syn flood、DOS DDOS等，此類攻擊尤其針對網 站，破壞性是不容置疑的，發(fā)生在 2001 年的五一中美黑客大戰(zhàn)就是運用上面攻 擊形式的結果， 致使美國白宮網站不能訪問達 4 小時之久。除此之外還有數(shù)不清 的木馬攻擊，操作系統(tǒng)漏洞， 對于應用服務的授權的和未授權的訪問等， 所有這 些問題如果用頭疼醫(yī)頭、 腳疼醫(yī)腳的方式就會變得捉襟見肘， 最好的解決方案是 在內網和外網的交匯處設置防火墻， 保證內網、外網的之間訪問的安全性及抵抗 攻擊。面用一個簡單圖示來描繪防火墻的應用外網InternetDMZ區(qū)www,d ns,mail 服務器1圖

20、表1防火墻的應用簡圖上圖中的DMZ區(qū)我們可以假想為門戶網站的防治區(qū)域， 而內網則放置我們的 數(shù)據(jù)庫服務器等更加重要的服務器，同時與其它局、委、辦的連接也在內網進行, 同時我們還應對防火墻的訪問策略做簡單配置：外網DMZ區(qū)DMZ區(qū)內網內網DMZ區(qū)DMZx外網一些其它各個部分之間的訪問完全禁止這樣數(shù)據(jù)的傳輸達成了一個安全通道，即數(shù)據(jù)訪問時：外網DMZ內網;回應數(shù)據(jù)時：內網 DMZ外網，內外網之間完全禁止訪問，這樣即使出現(xiàn)什么 安全問題也不會直接將內網中的數(shù)據(jù)泄漏給外網。下面給出就XXXX調通中心網絡建設中防火墻部分應具有的相關功能：支持百兆網絡可以實現(xiàn)雙機備份雙電源冗余至少500, 000的并發(fā)連

21、接數(shù)支持廣泛協(xié)議，能夠滿足視頻會議的需求 支持單級、多級，統(tǒng)一、分散的管理方式 靈活的定義訪問策略 支持路由、透明、混合模式的應用 對 DOS、DDO、S Ping of death 、Syn flood 、 land 等攻擊的專門防護 能夠實現(xiàn)在線升級 用戶分級管理 數(shù)據(jù)包內容過濾 詳細的日志由于目前對于防火墻設備的采購和網絡拓撲還不清楚， 故目前只提供一些技 術參數(shù)，僅供參考。4.2. 內網攻擊與監(jiān)控數(shù)據(jù)中心涉密網絡內部應用系統(tǒng)平臺多且復雜， 從技術和管理角度分析， 安 全隱患也是存在的。內部網絡的監(jiān)管需要技術和管理上并進才可保證安全。來自系統(tǒng)內部人員的攻擊是很難防范的， 內部工作人員本身

22、在重要應用系統(tǒng) 上都有一定的使用權限， 并且對系統(tǒng)應用非常清楚， 一次試探性的攻擊演練都可 能會對應用造成系統(tǒng)癱瘓的影響， 這種行為單單依靠工具的檢測是很難徹底避免 的，主要依靠建立完善的管理制度和處罰措施來解決。在中心的內部局域網內，可能存在的攻擊者可以將自己的 ip 地址改為他人 的地址發(fā)起攻擊， 這種做法往往會讓管理人員轉移調查目標， 難以發(fā)現(xiàn)真正發(fā)起 攻擊的人。攻擊者也可將自己的網卡換掉，修改 mac 地址和 ip 地址向服務器發(fā) 起攻擊，攻擊完后再回到以前的設置，這些問題是目前XXXX調通中心的安全手段所解決不了的。在局域網上，用戶安全意識不強，口令設置缺乏科學性，易猜測，且更換頻

23、率低，個別人甚至半年以上才更換一次。 這為非法用戶盜取數(shù)據(jù)庫資源提供了可 能。部分UNIX或WindowsNT/2000的命令可以實時檢測網絡數(shù)據(jù)包的傳輸情況， 對于 telnet ,rlogin 這些不加密的網絡應用，用戶登錄口令很容易被發(fā)現(xiàn)和竊 取。主機操作系統(tǒng)漏洞和錯誤的系統(tǒng)設置也能導致非法訪問的出現(xiàn)。 入侵檢測是對入侵行為的監(jiān)測和控制，它通過監(jiān)視計算機網絡或系統(tǒng)的運 行，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象， 一旦發(fā) 現(xiàn)攻擊能夠發(fā)出警報并采取相應的措施，如阻斷，跟蹤等。同時，記錄受到攻擊 的過程，為網絡或系統(tǒng)的恢復和追查攻擊的來源提供基本數(shù)據(jù)。此外，網絡入侵檢測產

24、品不能完全滿足要求， 一些發(fā)生在服務器或入侵行為 和異?，F(xiàn)象也會帶來不可估量的損失， 我們同樣建議在服務器 Linux 上安裝能夠 監(jiān)測系統(tǒng)資源(文件，內存)和入侵行為的主機入侵檢測系統(tǒng)。(1) 網絡入侵檢測系統(tǒng)安全解決措施：在骨干交換機上設置一個監(jiān)聽端口 span,在交換機上指定該span端口 可以監(jiān)聽服務器所在的端口號或 vlan ，然后將網絡入侵檢測的引擎探頭 (硬件引擎)分別接在兩個 span 端口上。 將引擎的管理端安裝在網管工作站上, 并將引擎的管理端口接在交換機 上即可。(2) 對入侵檢測系統(tǒng)的技術需求比較簡單,簡述如下：無 IP 偵測引擎 支持百兆環(huán)境 多樣的接入方式 多樣的相

25、應方式,郵件、聲音、互動等 和防火墻實現(xiàn)聯(lián)動,能處理復雜問題 支持單級、多級的系統(tǒng)管理 提供對大型數(shù)據(jù)庫的支持 策略庫支持在線升級 支持 IP 碎片重組數(shù)大于 50,000支持TCP流還原連接數(shù)大于800,000有效工作的流量范圍大于 70M4.3. 網絡設備的安全中心的網絡結構中采用了大量的交換機, 作為骨干交換設備的交換機往往也 是攻擊者發(fā)起攻擊的對象，一旦交換機被攻擊 （dos）,整個網絡可能存在癱瘓的 嚴重后果。交換機內依賴的是固有的網絡操作系統(tǒng) ios （網絡設備操作系統(tǒng)） ， 解決交換機的安全性問題也應依靠口令和自身漏洞修補等多方面來考慮。中心互連設備中使用了大量的路由、交換設備。

26、他們都支持SNMP!單網管協(xié)議，并且目前我們的監(jiān)控體系是符合 SNM助、議來實現(xiàn)監(jiān)控功能的，這些設備 都維護著一個含有設備運行狀態(tài)、 接口信息等資料的MIBS庫，運行著SNMP勺主 機或設備可以稱為SNMPAGENT SNMP管理端和代理端的通信驗證問題僅僅取決 于兩個 Community 值，一個是 Read Only （RO 值，另一個是 Read /Write （RW） 值，擁有 RO 值的管理端可以查看設備的一些信息包括名稱、接口、 ip 地址等； 擁有RW值的管理端則可以完全管理該設備。 令人擔憂的是，大多支持snmp的互 連設備都是處于運行模式，至少有一個 RO勺默認值為PUBLI

27、C這樣會泄漏很多 重要信息。另外，擁有RW默認值的設備在互聯(lián)網上也是很多。 加之SNMPV版本 本身的安全驗證能力很低， 所以極易收到攻擊， 從而導致互連設備的癱瘓和流量 不正常，如果沒有冗余設備，那樣整個內部網絡就會癱瘓?；ミB設備的弱管理口令，IOS版本太低也會使交換設備受到入侵和拒絕服務 攻擊，導致不能正常工作。網絡設備的安全性主要從管理終端口令、IOS系統(tǒng)漏洞和SNMP勺COMMUNITY 值問題入手。（1） 內網網絡設備安全保密解決措施：從官方站點下載交換機的最新 ios 版本，要做到及時升級；加強vty和con sole的管理口令強度，并且口令要求使用 md5加密存儲； 加強 ena

28、ble 和 secret 密碼的強度，要求超過 8 個字符（字母和數(shù)字） 的長度，并且和一般的 vty 和 console 口令不能相同； 加強snmp網管的private 和public 的community值的強度； 對vty終端和snmp的連接進行安全訪問控制，制定訪問控制列表，僅 允許網管主機的連接訪問。44VLA N安全保密在中心內網的骨干三層交換機上進行 VLAN劃分，配置三層路由，并配置路 由訪問控制( Access List )列表，這樣做的優(yōu)點有：廣播流量限制：允許三層路由的單 VLAN中的通信廣播(尋址)不會散 布到其他VLAN中，極大的提高了網絡帶寬的利用率和工作效率；

29、初級訪問控制：劃分 VLA N的網絡中，如果沒有三層路由訪問控制的許 可，將不能訪問其他VLAN中的系統(tǒng)。(1)內網安全VLAN劃分解決措施：在中心骨干交換機上按不同應用劃分 VLA N并配置三層路由，按照應用 和職責配置訪問控制列表 access-list ，重點保護內網中重要的部門 vlan，在其它交換機上配置trunkon，使其識別骨干交換機的vlan劃 分和安全策略配置；將網絡設備的管理IP設置在受保護的Vlan中，并修改ACL使得其它網 段的主機無法遠程登陸到交換機系統(tǒng)； 登陸交換機后對鏈路實施加密傳輸，保證信息不被竊取4.5. 入侵取證問題安全這個概念永遠沒有絕對， 攻擊和防范是一

30、個有先后次序的概念， 總是先 有新發(fā)現(xiàn)的攻擊手法，然后才會有針對該技術的防范，入侵檢測就是這個原理， 總是定義已有的攻擊特征進行攻擊判斷， IDS 的學習功能也都是針對現(xiàn)有攻擊的 變種手法進行學習和發(fā)現(xiàn)。 人們很難保證現(xiàn)有的安全措施能夠應付新的攻擊， 信 息安全和現(xiàn)實世界的安全都是如此。攻擊取證就顯得尤為重要， 在可能出現(xiàn)的攻擊事件發(fā)生后， 找出攻擊者的身 份及其攻擊所采用的手段是非常重要的事， 其一可以幫助找出系統(tǒng)和現(xiàn)行的安全 體制中的弱點，其二是找出攻擊者后追究責任。(1) 攻擊取證解決措施：在重要服務其所在交換機上同樣設立一個 span 端口，監(jiān)聽整個交換機 的數(shù)據(jù)流量(和 nids 的

31、實施一樣)，將攻擊取證系統(tǒng)(黑匣子)接在 span 端口上，將管理控制端裝在網管機器上就可； 一旦新的攻擊發(fā)生，系統(tǒng)遭到入侵，管理員可以通過管理端察看取證系 統(tǒng)地分析結果，最終判斷攻擊步驟，手法和攻擊者的地址。(2) 取證系統(tǒng)的是網絡入侵檢測、系統(tǒng)日志和相關軟件聯(lián)合作用的結果五 . 應用層安全體系本措施是為了保證信息的保密性、完整性、可控性、可用性和抗抵賴性，涉 密系統(tǒng)需要采用多種安全保密技術，如身份鑒別、信息加密、信息完整性校驗、 抗抵賴、安全審計、入侵監(jiān)控、數(shù)據(jù)庫安全、網絡防病毒等。5.1. 操作系統(tǒng)安全中心服務器操作系統(tǒng)中以 Linux 和 windows 2000 Advanced S

32、erver 為主， 故系統(tǒng)的安全主要以此兩種操作系統(tǒng)的加固為主。Windows 9x 系統(tǒng)僅具有 D1 級的安全性，文件一旦在局域網上共享，根 據(jù)系統(tǒng)管理員日常考察，普通用戶設置訪問口令的情形不多，并常常是 面向所有用戶共享。盡管中心設置了 VLAN但對于水平稍高的內部黑客， 還是難以防護。目前已經不再使用 Windows 9X 系統(tǒng)。Windows2000 系統(tǒng)和 Linux 系統(tǒng)。由于廣泛的應用，發(fā)現(xiàn)的安全性問題 比較多，幾乎每隔一段時間就有關于 windows 2000 和 Linux 的漏洞信 息發(fā)布在互聯(lián)網上。在系統(tǒng)用戶安全上面， 可以考慮使用系統(tǒng)平臺自身的安全特性， 如限制超級 用

33、戶的數(shù)目、增強密碼強度、定期察看LOG日志文件、對登錄情況進行審計的手 段可以做到。 我們也將根據(jù)經驗， 針對一些常見的漏洞和錯誤配置對服務器平臺 進行安全加固， 這些主要是通過打補丁、 健壯配置和使用第三方安全監(jiān)控工具來 實現(xiàn)。5.1.1. 服務器系統(tǒng)安全解決措施(主要針對 Linux )針對 Linux 系統(tǒng)，先打上官方提供的所有補丁包；調整TCP/IP的內核參數(shù)，提高系統(tǒng)抗攻擊性；使用漏洞掃描和評估系統(tǒng)掃描這些 Linux 系統(tǒng)，對出現(xiàn)的不安全配置進行糾正，對發(fā)現(xiàn)存在安全漏洞的系統(tǒng)服務應及時進行升級；加強 Linux 系統(tǒng)的安全配置問題基本上可從以下幾個方面考慮，其一是考慮本地eepro

34、m的安全，將eeprom的安全級別至少提升至 comman（級別， 這樣在服務器的啟動階段可以阻止匿名進入光盤啟動單用戶模式，做法可以 通過在 console 下鍵入 eeprom security-mode=command 來實現(xiàn)；其二是在CDE環(huán)境下使用 Admintool或修改/etc/inetd.conf或修改/etc/rc*d 下的服務啟動文件來關閉一些與應用無關的服務；其三是使用 /usr/sbin/ndd -set來改變一些tcp的內核運行參數(shù)，可以在不啟動系統(tǒng)的情況下更改內 核的安全配置；在 Linux 上使用 tripwire 對系統(tǒng)的主要配置程序文件如 login 等進行保

35、護，我們使用 tripwire 默認的保護文件列表，制定相應的保護策略，對 系統(tǒng)進行保護；利用中心現(xiàn)有的備份設備對 Linux 系統(tǒng)進行定期完全或增量備份，這樣 做的好處是可以在萬一被破壞后能進行完全恢復；激活嘗試登陸失敗記錄有效；審查 root 屬主的 setgid 和 setuid 程序；調整 TCP/IP 的序列號產生法；禁止R00用戶遠程登陸；必要時采用主機入侵檢測系統(tǒng)。5.1.2. 服務器系統(tǒng)安全解決措施（主要針對 Windows）所有的 windows 2000 客戶機應至少打上 service pack3 ，并打上一些 新發(fā)現(xiàn)的漏洞補??；使用漏洞掃描和評估系統(tǒng)評估， 對發(fā)現(xiàn)的安全

36、配置和漏洞進行及時修補， 使用網絡漏洞掃描和評估系統(tǒng)加強 windows2000 系統(tǒng) 的 口令管 理力度，可 能的 情況下不要使 用 administrator 作為管理員用戶名，可以嘗試改名，最好擁有兩個管理員賬 號，然后建立針對管理員賬號的鎖定策略，禁用一些安全性較低的賬號如guest 的本地登錄能力；在 nfs 客戶機上設立普通用戶帳號，由中心的網絡管理員控制 nfs 客戶 機上的系統(tǒng)管理員帳號，一般人員使用普通賬號登錄；使用漏洞掃描和評估系統(tǒng)；對在 Windows2000Server 上運行的程序進行檢查， 防止出現(xiàn)應用系統(tǒng)的 帳戶權限與操作系統(tǒng)相重合的現(xiàn)象出現(xiàn)；關閉不必要的服務，在

37、提高系統(tǒng)資源的同時降低可能存在的安全隱患； 檢查系統(tǒng)啟動程序，確保無木馬等危害系統(tǒng)運行的程序自動運行； 使用個人防火墻及防病毒軟件保護系統(tǒng)； 如果不是必要，關閉遠程系統(tǒng)管理；修改應用服務執(zhí)行者的權限，最好不要有超級用戶權限； 修改注冊表鍵值，關閉緩存用戶信息；如果有必要則使用NTFS文件系統(tǒng)；設定安全策略；設定審計及日志信息；最好禁用 Netbios 服務；刪除所有不必要的應用服務的示例文件；必要時采用主機監(jiān)控系統(tǒng)。5.1.3. 主機安全的解決方案主機安全問題有其特定的問題， 由于操作系統(tǒng)的問題是隨著時間的延續(xù)而逐 漸出現(xiàn)的， 不是在進行一次安全加固后就可以解決的， 所以使用安全工具是非常 好

38、的解決方法。對于工具的選擇是一個非常重要的，下面列舉出比較重要的幾個因素：能及時從網絡進行升級；能針對 Windows、Unix 兩種的操作系統(tǒng)進行評估；提供定時掃描功能；能帶帳戶進行掃描；能隨問題給出解決方案；完善的分類報表功能；六 .網絡入侵檢測系統(tǒng)6.1. 單一防火墻功能的不足經過防火墻的部署后， 企業(yè)網絡的安全水平有了很大的提高， 能夠抵御來自外 部網絡的大部分攻擊。 但是防火墻也有其功能上的不足， 一臺單一的防火墻并不 能形成一套安全的體系。防火墻的不足主要體現(xiàn)在以下幾個方面：雖然部署了防火墻，對網絡起到了很好的保護作用，但是畢竟有很多服 務要對外開放，所以很多攻擊手法是防火墻無法阻

39、擋的。比如對 WebServer的基于異常URL的攻擊，具體體現(xiàn)的例子有 CodeRed Nimda等等很多。如何及早發(fā)現(xiàn)這類攻擊方式并處理，是必須解決的問題之一； 防火墻雖然可以擋住大部分攻擊，但是通常無法留下細節(jié)的攻擊記錄， 這對分析攻擊行為以及調查取證帶來了很大困難，而入侵檢測系統(tǒng)剛好 可以解決這一問題；防火墻對其發(fā)現(xiàn)的入侵行為的報警功能種類不夠豐富，可能會影響對入 侵行為的響應速度；防火墻不能防止它所保護的內部網絡中同一網段之內的相互攻擊；由于防火墻具有以上一些缺陷， 所以部署了防火墻的網絡安全體系還有進一步 完善的需要。 而網絡型入侵檢測系統(tǒng)正好可以彌補防火墻的這些缺陷， 同防火墻

40、密切的配合，共同保障網絡的安全。入侵檢測系統(tǒng)是對入侵行為的監(jiān)測和控制， 它通過監(jiān)視計算機網絡或系統(tǒng)的 運行，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象， 一旦 發(fā)現(xiàn)攻擊能夠發(fā)出警報并采取相應的措施，如阻斷，跟蹤等。同時，記錄受到攻擊的過程，為網絡或系統(tǒng)的恢復和追查攻擊的來源提供基本數(shù)據(jù)6.2. 入侵檢測系統(tǒng)的功能和優(yōu)點入侵檢測的功能和優(yōu)點主要體現(xiàn)在以下幾個方面： 能在網絡中基于內容的檢測， 能夠在對看似合法訪問的信息中發(fā)現(xiàn)攻擊 的信息（比如隱藏在URL中的攻擊行為），并做出相應的處理； 能夠對網絡的入侵行為進行詳細完整的記錄，為以后的調查取證提供了 有力的保障； 對發(fā)現(xiàn)的入侵行

41、為有多種靈活的處理方式，比如：中斷非法連接、發(fā)出 電子郵件或傳呼警告等等； 不僅可以檢測來自外部的攻擊，還可以檢測來自內部的相互攻擊；6.3. 入侵檢測系統(tǒng)選型網絡入侵檢測系統(tǒng)是企業(yè)安全防護體系的重要補充， 那么我們需要什么樣的網 絡入侵檢測系統(tǒng) ? 我們根據(jù)客戶對網絡入侵檢測系統(tǒng)的要求以及我方自身對產 品的了解和經驗， 認為一個優(yōu)秀的網絡入侵檢測系統(tǒng)產品應該滿足以下幾個方面 要求：? 優(yōu)秀的攻擊發(fā)現(xiàn)能力? 分布部署能力? 集中管理能力? 易于安裝使用? 自身安全性好下面我們就網絡入侵檢測系統(tǒng)產品選型問題提出自己的建議。經過對國內外流行產品的分析， 我們決定推薦使用中科網威”網威”網絡入侵 檢

42、測系統(tǒng)?！本W威”網絡入侵檢測系統(tǒng)是一款基于網絡的實時入侵偵測及響應系 統(tǒng)，它監(jiān)控網絡傳輸并自動檢測和響應可疑的行為， 在系統(tǒng)受到危害之前截取和 響應安全漏洞和攻擊行為， 從而最大程度地為企業(yè)網絡提供安全。 中科網威”網 威”網絡入侵檢測系統(tǒng)的開發(fā)受益于中國科學院的核心技術， 具有很高的技術水 平，獲得廣大用戶的好評。中科網威”網威”網絡入侵檢測系統(tǒng)有以下特點：功能特點1. ”網威” IDS具有3種工作模式，能夠滿足用戶各種網絡結構要求：單網卡抓包雙網卡抓包網橋模式2”網威” IDS提供多種響應方式。根據(jù)用戶定義，IDS警報事件在經過系統(tǒng) 過濾后進行及時響應， 包括實時切斷連接會話、 重新配置防

43、火墻， 徹底屏蔽攻擊、 給管理員發(fā)送電子郵件、發(fā)送 SNMPTrap 報警、控制臺實時顯示、數(shù)據(jù)庫記錄等 等。性能特點1 在協(xié)議分析的基礎上，采用IP數(shù)據(jù)包分片重組、TCP數(shù)據(jù)流還原、應用 解碼等技術分析、檢測，能夠識別各種偽裝或變形的，降低漏報率，同時去除干 擾，減少誤報率。2. 將“正則表達式 ”應用在針對特征值的模式匹配檢測中， 大大減短檢測周 期。3. 網絡引擎軟件由三個模塊組成，保證了模塊相對獨立，引擎穩(wěn)定高效。模 塊間采用緩沖機制，確保高帶寬下數(shù)據(jù)丟失率低。管理特點1.引擎的集中管理：管理員在中央控制臺可以直接控制各個引擎的行為，包 括啟動、停止、添加、刪除引擎，也可以按照引擎查看

44、、刪除、查詢實時警報。2引擎和控制臺的雙向連接方式：”網威” IDS 支持控制臺同時作為客戶端 和服務器（即同時從一個網絡引擎拉數(shù)據(jù)和向另外一個引擎推數(shù)據(jù)） ，這使得網 絡引擎和控制臺的部署可以滿足復雜網絡拓撲的實際需求。3可指定重點監(jiān)控對象4分級的用戶管理5提供OpenIDS接口：為了提高網絡安全產品之間協(xié)同工作、動態(tài)防護的互操作性，中科網威提供了入侵偵測系統(tǒng)與防火墻互動的開放接口 -OpenIDS 6支持大型數(shù)據(jù)庫存儲：控制臺允許用戶將警報的信息改用大型數(shù)據(jù)庫來 存取、管理，如 MS SQL Server 等。易用性特點 1多種預制的策略模板：系統(tǒng)默認提供六種模板，并且支持用戶自定義模 板

45、，允許用戶將自己定義的模板和系統(tǒng)的模板進行導入導出的操作。2完善的策略自定義功能3豐富的報表類型：”網威”網絡入侵偵測系統(tǒng)提供了非常簡便的全中文入 侵警報統(tǒng)計和報表工具。3報警信息的歸并4全中文界面5在線升級能力：系統(tǒng)支持在線遠程升級策略庫，使系統(tǒng)的策略庫時刻保持防范的最前沿。自身安全性特點1通過串口管理引擎2網絡引擎操作系統(tǒng)強化安全：網絡引擎運行于安全操作系統(tǒng)并經過嚴格 配置。3專門設計的抗DoS攻擊能力：具備防御針對IDS的拒絕服務攻擊，采用 的重復事件過濾技術和其他監(jiān)控手段，使得針對IDS的DoS攻擊的沖擊降到最低。4采集網卡無 IP5所有通信都進行認證和加密全面的產品資質認證中科網威”

46、網威”網絡入侵檢測系統(tǒng)具有如下的產品資質認證， 為用戶 提供滿意的產品：? 公安部銷售許可證? 國家信息安全測評認證證書? 國家保密局技術鑒定? 軍用信息產品安全資質認證基于以上原因，我們選擇了中科網威”網威”網絡入侵檢測系統(tǒng)。6.4. 入侵檢測系統(tǒng)部署企業(yè)網絡雖然進行邊界保護，但僅是一個被動防御的行為，對來自應用層 的攻擊缺乏有效的監(jiān)控手段，我們建議在服務器群部分和重要網段部署中科網 威”網威”網絡入侵檢測系統(tǒng)， 對來自應用層或繞過防火墻、 對服務器群的功擊 進行監(jiān)控和阻截?！熬W威”入侵檢測系統(tǒng)分別部署在監(jiān)控網段的交換機之上， 通過端口鏡像， 對 交換機上的所有數(shù)據(jù)進行監(jiān)控和分析。 同時在網

47、管網段配置一臺”網威”入侵檢 測的中央控制臺，對網絡中部署的 “網威”網絡入侵檢測系統(tǒng)進行集中的管理 和監(jiān)控。1) “網威” 網絡入侵檢測系統(tǒng)分為引擎與控制臺兩個部分。引擎系統(tǒng) 為一硬件設備，放在監(jiān)控網段的交換機上；而控制臺軟件安裝在內部 網管工作站上。2) IDS 工作時，需要在交換機上配置 PortMirror 功能，將其他端口流量 映射某一端口上，引擎連接在交換機上該鏡像端口，由于 IDS 系統(tǒng)采 用數(shù)據(jù)緩沖技術，而不是存儲/轉發(fā)技術，所以不會影響網絡性能；3) 網管網段需要配置一臺PCServer，安裝NIDS控制臺，作為入侵檢測 系統(tǒng)的控制臺；4) “網威”網絡入侵檢測系統(tǒng)引擎能對檢

48、測到的所有進出被保護網段 的訪問行為并及時通知控制臺并依據(jù)控制臺的指令做出相應的反應(如報警、阻斷等)，同時”網威”入侵檢測系統(tǒng)還能和“長城”等 防火墻進行聯(lián)動，即若入侵檢測系統(tǒng)的引擎檢測到違規(guī)的訪問行為將 通知防火墻，防火墻將根據(jù)收到的信息自動生成動態(tài)過慮規(guī)則，將該 違規(guī)訪問行為進行阻斷，并通知引擎。“網威”網絡入侵檢測系統(tǒng)部署結構，如下圖所示:網管網段1j網段1網段2網段n圖表“網威”入侵檢測部署圖6.5. 中科網威”網威”網絡入侵檢測系統(tǒng)產品介紹系統(tǒng)簡介“網威”網絡入侵偵測系統(tǒng)是由北京中科網威信息技術有限公司積累多年 的安全產品開發(fā)經驗， 在充分調研國內外相關產品和精心準備的基礎上獨立開

49、發(fā) 的一款基于網絡的實時入侵偵測及響應系統(tǒng)。“網威”系列產品在產品的檢測能力、 響應能力以及系統(tǒng)自身的保護能力等 方面都進行了精心的設計。 該系統(tǒng)作為防火墻的重要補充， 與防火墻組成動態(tài)防 御、預警系統(tǒng)，它能夠監(jiān)視10M/100M/1000M局域以太網上傳輸?shù)乃芯W絡數(shù)據(jù) 信息，根據(jù)用戶指定的保護目標及檢測策略對網絡上傳輸?shù)臄?shù)據(jù)進行深度分析， 當可疑行為或攻擊行為發(fā)生時立即產生警報， 同時根據(jù)用戶需要能采取多種響應 措施，包括立即切斷連接會話、重新配置防火墻、發(fā)送 SNMPTrap 消息、發(fā)送電 子郵件等。系統(tǒng)采用引擎 /控制臺結構，網絡引擎（以專用硬件形式提供）部署于網絡 中各個關鍵點，通過

50、網絡和中央控制臺（運行于 Win dows平臺）交換信息。網絡 引擎軟件部分運行于安全操作系統(tǒng)之上， 負責網絡數(shù)據(jù)的數(shù)據(jù)獲取、 分析、檢測， 對警報進行過濾和實時響應， 并發(fā)送給控制臺進行顯示和記錄； 控制臺負責警報 信息的實時顯示、記錄、查閱等，并支持用戶定制檢測、響應策略和控制網絡引 擎。. 主要功能“網威”網絡入侵偵測系統(tǒng)具備一般網絡入侵偵測系統(tǒng)的主要功能， 同時針 對網絡入侵偵測系統(tǒng)面臨的威脅和網絡入侵偵測系統(tǒng)發(fā)展方向開發(fā)出多項具有 針對性的新功能， 此外該系統(tǒng)對于國內外流行的防火墻 （包括中科網威“長城” 防火墻）提供互動接口，具有較完備的檢測、響應、互動能力，是一款高

51、效實用 的入侵防范工具，它的具體功能如下：521 引擎集中管理功能管理員在中央控制臺可以直接控制各個引擎的行為， 包括啟動、停止、添加、 刪除引擎，也可以按照引擎查看、刪除、查詢實時警報。此外，在必要的時候用 戶還可以通過串口連接引擎主機，通過專用界面對引擎進行控制，包括啟動、 停 止、查看 /設置網絡接口狀態(tài)、查看引擎運行狀態(tài)以及系統(tǒng)維護等。522 策略管理功能策略管理功能為用戶提供了一個根據(jù)不同網段的危險程度， 靈活配置安全策 略的工具。網絡管理員可以利用策略管理功能， 輕松地針對特定的引擎定制策略， 以滿足不同的網段對網絡安全的要求， 同時可以自定義規(guī)則。 網絡管理員還可以 通過“對象管

52、理”菜單， 方便地對已經制定的策略進行網絡對象，服務對象，響 應方式以及響應對象修改。同時，策略管理功能還向用戶提供了入侵偵測規(guī)則的擴充能力， 網絡管理員 可以根據(jù)自己需要定制入侵偵測規(guī)則， 直接應用于網絡引擎， 很快實現(xiàn)網絡管理 員的安全意圖。523 實時入侵偵測功能能實時識別各種基于網絡的攻擊及其變形，包括 DoS攻擊、CGI攻擊、溢出 攻擊、后門探測和活動等。 檢測攻擊或者可疑行為是一般入侵偵測系統(tǒng)的必要功 能，但是大多存在著誤報率和漏報率較高的問題， ”網威”網絡入侵偵測系統(tǒng)部 分的解決了這個問題，通過深入的應用協(xié)議分析去除干擾并還原攻擊本來面目， 成功的降低了誤報率和漏報率， 使得大

53、量使用“安全掃描”類的黑客工具進行的 變形攻擊毫無效果， 同時去除了干擾， 降低了誤報率并減輕了檢測引擎的工作壓 力，有利于提高性能。目前可以檢測 26大類， 1000 余種攻擊行為及其變形。 524 警報過濾功能能根據(jù)定制的條件， 過濾重復警報事件，減輕傳輸與響應的壓力，同時還能 保證警報信息不被遺漏。它能夠明顯緩解目前針對網絡入侵偵測系統(tǒng)的 DoS攻擊, 使得系統(tǒng)能夠保持不間斷穩(wěn)定工作。525 實時響應功能根據(jù)用戶定義， 警報事件在經過系統(tǒng)過濾后進行及時響應， 包括實時切斷連 接會話、重新配置防火墻，徹底屏蔽攻擊、給管理員發(fā)送電子郵件、 發(fā)送 SNMPTrap 報警、控制臺實時顯示、數(shù)據(jù)庫

54、記錄等等。526 防火墻互動開放接口 OpenIDS為了提高網絡安全產品之間協(xié)同工作、 動態(tài)防護的互操作性， 中科網威提供 了入侵偵測系統(tǒng)與防火墻互動的開放接口一 OpenIDS通過OpenIDS可以根據(jù) 設定好的阻斷時間，通知防火墻選擇的進行相應 IP 地址、協(xié)議端口的阻斷。Ope nIDS現(xiàn)提供兩種接口方式：開發(fā)包和可運行的Age nt （目前支持Lin ux）， 不需要防火墻廠商進行二次開發(fā)。目前可以和”網威”網絡入侵偵測系統(tǒng)實現(xiàn)互動的防火墻有包括： 中科網威 “長城”防火墻、聯(lián)想“網御”防火墻、 CheckPoint FireWall-1 和天融信防火 墻等。527 報表統(tǒng)計和數(shù)據(jù)庫維

55、護功能“網威”網絡入侵偵測系統(tǒng)提供了非常簡便的入侵警報統(tǒng)計和報表工具。 用 戶可以根據(jù)各種可選條件，例如：引發(fā)報警數(shù)據(jù)包的源IP地址、目的IP地址、源端口號、目的端口號、警報產生的時間、危險級別等等，使用單一條件或者復 合條件進行查詢， 當警報信息數(shù)量大、信息來源廣泛的時候，網絡管理員可以很 輕松的對警報信息進行分類，從而突出顯示網絡管理員需要的信息?？刂婆_程序長時間工作后會產生大量的冗余信息， 通過壓縮數(shù)據(jù)庫， 可以使 數(shù)據(jù)庫變得更精簡，使程序工作效率更高， 更穩(wěn)定。當數(shù)據(jù)庫達到一定大小的時 候，通過”網威”網絡入侵偵測系統(tǒng)的歷史數(shù)據(jù)維護程序， 網絡管理員可以根據(jù) 自己的需要導出某一個確切時間范圍內的數(shù)據(jù)， 進行備份， 以保證程序的正常運 行和日后的查看。 數(shù)據(jù)導入功能則可以將備份的數(shù)據(jù)導入程序數(shù)據(jù)庫， 來查看歷 史警報信息。528 強大的策略模板管理功能系統(tǒng)默認提供六種模板， 并且支持用戶自定義模板， 允許用戶將自己定義的 模板和系統(tǒng)的模板進行導入導出的操作。529 提供大型數(shù)據(jù)庫轉換支持MS SQL控制臺允許用戶將警報的信息改用大型數(shù)據(jù)庫來存取、管理，如Server 等。5210 策略庫的在線升級支持系統(tǒng)支持在線遠程升級策略庫，使系統(tǒng)的策略庫