我区“金财工程”网络安全 三

3、网络入侵检测系统
    （1）定义
    入侵检测技术是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵监测系统有多种形式，如基于主机系统的入侵监测系统、基于数据库的入侵监测系统和基于网络的入侵监测系统等。应用较多的是采用基于网络的入侵监测系统。
    （2）作用
    监视、分析用户及系统活动； 
    审计系统构造和弱点；
    识别反映已知进攻的活动模式并向相关人士报警；
    统计分析异常行为模式；
    评估重要系统和数据文件的完整性； 
    审计跟踪管理操作系统，并识别用户违反安全策略的行为。
    （3）实施
    a、部署
    2005年，计划在自治区本级财政网络和地级市财政网络建立集中监控、分级管理、上下畅通的网络入侵检测系统。自治区本级、地级市财政部门统一部署的NIDS探测器部署于内网的接入区或DMZ区，其管理服务器与财政部NIDS管理服务器协同工作，构成一个完整的管理平台，完成掌控全局安全的任务。
    b、安装
    基于网络的入侵检测系统的检测端Sensor一般被布置在网络的核心交换机，或者部门交换的交换机的镜象端口（采取把Sensor放在核心交换机器的镜像端口还是部门交换机的镜像端口，主要由网络的流量和客户机的数量，以及入侵检测的处理能力和网络发生攻击的频繁程度来定的）的网管机器上，安装上入侵检测系统的控制台，做报警处理，在重要的服务器或者有必要的客户端安装代理程序收集系统和网络日志等系统信息，寻找具有攻击特性的数据包。技术人员对来自主机和网络的检测信息进行分析、监控。