因特网安全协议_.pptVIP

第七章 安全管理与审计 7.1 基本概念 7.2 安全管理 7.3 安全审计 7.4 入侵检测 7.5 小结 7.1 基本概念 本节介绍有关安全管理、安全审计以及入侵检测等方面的基本概念。 7.1.1 安全管理目标 严格的安全管理需要达到以下目标： 防止未授权访问 防止泄密 防止用户拒绝系统的管理 保证系统的完整性 7.1.2 安全管理原则 1、安全管理原则 多人负责原则 任期有限原则 职责分离原则 计算机操作与计算机编程 机密资料的接收和传送 安全管理和系统管理 应用程序和系统程序的编制 访问证件的管理与其他工作 计算机操作与信息处理系统使用媒介的保管等 7.1.2 安全管理原则 2、安全管理的实现 根据工作的重要程度，确定该系统的安全等级。 根据确定的安全等级，确定安全管理的范围。 制订相应的机房出入管理制度。 制订严格的操作规程。 制订完备的系统维护制度。 制订应急措施。 7.1.2 安全管理原则 3、防范黑客原则 加强监控能力。 加强安全管理。 集中监控。 多层次防御和部门间的物理隔离。 要随时跟踪最新网络安全技术，采用国内外先进的网络安全技术、工具、手段和产品。同时，一旦防护手段失效时，要有先进的系统恢复、备份技术。 7.1.2 安全管理原则 4、安全规划 重要信息保密 网络系统的安全 防止外部攻击 防止内部篡改 检查传输内容 安全产品的选型 7.1.3 安全管理措施 从整体上来讲网络安全可分为两个方面： 网络层：保护网络服务的可用性。 应用层：保护合法用户对数据的合法访问。 安全检测：在网络运行之前和运行当中通过不断的自测，发现系统存在的安全漏洞，并列出报告，告诉使用者检修的方法，然后及时采取补救措施。具体功能包括两个方面 检测网络的安全漏洞 检测系统配置错误。 7.1.3 安全管理措施 网络层的安全检测措施，主要是预防黑客的攻击，它是一种主动的预防行为。 应用层的安全措施有如下几方面： 建立全局的电子身份认证系统。 实现全局资源的统一管理。 信息传输加密。 实现审讯记录和统计分析。 7.1.4 人员管理 用户的安全意识 系统管理员的安全意识。 7.1.5 技术管理 静态安全技术 缺点是需要人工来实施和维护，不能主动跟踪入侵者。 动态安全技术 最大优点在于“主动性”，通过将实时捕捉和分析系统与网络监视系统相结合，入侵检测系统能够发现危险攻击的特征，进而探测出攻击行为并发出警报，同时采取保护措施。 网络测试技术 系统安全测试 Web安全测试 系统漏洞检测 防火墙的测试 7.2 安全管理 1、OSI管理标准框架结构 管理信息模型 管理信息定义 受管对象定义指南 一般管理信息 另一个标准ISO/IEC1O164 审计管理、配置管理、容错管理、性能管理和安全管理这五个管理功能区中定义了大量的系统管理功能。 7.2.1 CMIP的安全管理 2、通用管理信息协议CMIP：是一个采用了远程操作模型的请求/应答协议，提供以下两种服务： 传输由管理系统发起并面向受管对象的操作。 传输由受管对象产生的事件通知。 面向受管对象的操作有： 获得关于一个受管对象或它的集合属性值。 更改一个或多个受管对象的一个或多个属性值。 发起并产生一个受管对象。 从环境中取消一个或多个受管对象。 激发一个作为受管对象一部分的预定义行为过程。 停止一个GET操作。 7.2.1 CMIP的安全管理 安全警报报告功能 安全警报能导致以下一些行动：监督可疑用户，取消可疑用户的权限，调用更强的保护机制，去掉或修复故障网络或系统的某个组成部件。 安全警报通过M-EVENT-REPORT通知给管理系统。 安全警报报告中传递的参数分为三类 事件类型和安全警报原因的组合表明了警报的原因。 安全警报的安全参数指明了由初始受管客体发觉的警报意义。 安全警报检测器参数是标识检测警报条件的实体。 7.2.1 CMIP的安全管理 4、安全审计追踪功能 安全审计追踪用来检测一个安全策略的正确性，确认与安全策略的一致性，帮助分析攻击，并且收集用于起诉攻击者的证据。 安全审计追踪功能为将事件信息传递给维护日志并创建和恢复日志实体的系统提供了必要的支持。 安全审计追踪功能标准另外定义了两个特殊的通知，分别与服务报告和使用报告对应。 服务报告表明了与一些服务的提供、拒绝或恢复有关的事件。 使用报告用于有安全意义的日志统计信息。 7.2.1 CMIP的安全管理 管理资源的访问控制 访问控制体系结构中，发起者是管理系统或系统中的管理员，目标是受管系统的信息资源。 基于访问控制规则来决定是允许还是拒绝访