第11讲：第7章-入侵检测的标准与评估.pptVIP

* 用户需求分析 7. 可伸缩性需求 前面所述的分布式入侵检测系统的性能要求反映了可伸缩性需求的一个方面，另一个方面是系统部署和操作方面的可伸缩性要求。 8 取证和诉讼需求 如果要把入侵检测系统用于法律起诉用途的工具，则需要满足相关的取证和诉讼需求。许多用于诉讼的需求是与具体过程相关的，这些需求确定了在调查期间的各个阶段需要何种安全等级的数据。 9. 其他需求 返回 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 系统安全设计原则 1. 机制的经济性原则：该原则提倡保护机制的设计应该在有效的前提下，尽量保持实现简单。在正常无错误的条件下，保护机制通常都能够生效。 保护机制的设计必须足够简单明了，以便能够通过手工检查方式或者数学证明方式来进行有效的正确性和有效性评估验证过程。 另外一个考虑因素是，任何复杂系统必然会导致出错的倾向性大于简单系统。简单明确的系统设计，将会大大降低出现故障和错误的概率。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 系统安全设计原则 2. 可靠默认原则：指保护机制的设计应该确保在默认的情况下，任何主体没有访问的特权，而保护机制的设计应该指出在哪些特定的条件下允许访问操作。 如果保护机制没有遵循可靠默认原则，例如在默认情况下允许所有访问请求，则在机制失效情况下，它就会允许所有的访问操作。 可靠默认原则的一个拓展情况就是，在系统设计和实现中的每个资源访问点上，都必须确保在进行实际的访问操作时，必须首先执行特定的操作来获得所需的授权；否则系统应该拒绝后继的操作。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 系统安全设计原则 3. 完全调节原则：该原则要求保护机制检查对每个对象的每次访问操作，必须确保该次操作得到了合理的授权。 遵循此原则并系统地实施之，可以避免一些最常见的安全脆弱性。 如果在保护机制的设计过程中，完全和系统地贯彻此原则，将构成整个机制设计安全保护的最关键基础。 该原则要求访问的完全授权，从而能够增强系统的安全性；但是其并不能确保授权完毕后与进行实际操作之间存在的时间间隔内，授权的状态不会发生变化。因此，需要在具体的实现过程中，保证授权状态检查与实际操作的一致性。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 系统安全设计原则 4. 开放设计原则：开放设计的原则要求保护机制的设计不应该建立在攻击者对机制原理一无所知的假设基础之上。 实施开发设计原则的一个原因就是保护机制的支持者都需要检查保护机制的设计。 保护机制必须能够接受其他人的全面测试，也包括攻击者的攻击测试，来检验安全设计的质量等级。 一般来说，需要依赖于安全证书的形式来激活整个保护机制。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 系统安全设计原则 5. 特权分割原则：该原则的基本要点在于不能够在满足一种条件的情况下，允许对对象的访问操作。一般来说，至少要满足两个特定条件后，才能够做出允许访问的决定。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 系统安全设计原则 6. 最小权限原则：该原则系统中每个实体（包括用户和进程），都应该在其能够满足要求的最小权限下进行操作。在入侵检测系统设计时，实施最小权限原则将能够限制实施攻击的机会，特别是考虑到攻击者有可能利用入侵检测系统作为后继攻击中介体的潜在威胁。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Cop