安全防护分析与建议之：迅速反应

　　 
　　在网站安全防护措施中，强大的攻击发生前的预防系统，可以起到挡住外部绝大多数攻击，并限制攻击者活动范围的作用。但黑客一旦突破防御，这些措施便显得无能为力了。因此，在黑客攻击发生过程中的安全防范措施，主要靠实时监控与预警阻断系统发挥作用。
　　

　　 ??
　　
　　 ??基于系统事件的强大的闯入者警告系统，是通过Manger/Agent形式深入系统内部，实时检测黑客进攻的安全工具。实时监控、阻断响应系统是一个放置在网上（一般放置在核心交换机位置），通过抓取网络上所有流经的信息数据包，动态分析出哪些是黑客对系统做出的进攻，并立即做出反应。
　　
　　 ??
　　
　　 ??实时监控、阻断响应系统和闯入警告系统两个实时动态的防黑客组合，既可防外，也可防内。一般说来，入侵检测的两大信息源是网络传输数据和系统审计数据。实时监控、阻断响应系统的信息源是网络传输数据，通过监视和分析网络上传输的数据包来发现入侵；闯入警告系统的信息源是系统审计数据，通过分析系统审计日志中大量的跟踪用户活动的细节记录来发现入侵，分别在网络级和系统级共同探测黑客的攻击并及时做出反应和阻断，可以通过email，给系统管理员传呼文件记录，断掉进程，封锁账户等方式来防止黑客进行更深一步的破坏。两者是不可或缺的，例如闯入警告系统可以轻松地发现登录失败、文件存取失败、用户权限增加或获得超级权限、放置特洛依木马等基于操作系统的事件，实时监控、阻断响应系统不能识别；而像死亡之Ping、DDOS、SYN洪流攻击等基于网络级的攻击并不出现在系统审记日志中，闯入警告系统不能发现，而实时监控、阻断响应系统可以轻松识别。系统级的闯入警告系统可以检查出网络级的实时监控、阻断响应系统查不出的攻击，反之亦然。
　　
　　 ??
　　
　　 ??网站信息监控与自动恢复系统可在网站信息受到篡改或破坏时，自动恢复并记录信息被非法改动的时间及相关信息情况。中科网威“磐石” 网站监控与恢复系统是Netpower全产品家族中专门针对Web服务器网页安全问题而设计的一款产品。它实现了对Web文件内容的实时监控，一旦发现被非法篡改，可及时报警并自动恢复，同时形成监控和恢复日志，并提供友好的用户界面以便用户查看、使用。“磐石” 网站监控与恢复系统主要有实时监控、实时显示最新监控信息、自动恢复被篡改的网页、日志查看、远程监控、多用户管理等功能，同时，其高效高速准确的监控、占用系统资源小、方便实用、方便的日志分析、远程监控的便利、多用户上传数据的管理等特色也获得了用户的首肯。

原文转自：http://www.ltesting.net