大学计算机基础第九章素材.pptVIP

9.2.7 入侵检测技术 入侵检测（Intrusion Detection）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则马上做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。 入侵检测常见的方法： （2）异常检测技术 是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。 　　基本思想是：通过对系统审计数据的分析建立起系统主体（单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等）的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。特征轮廓是借助主体登录的时刻、登录的位置、CPU的使用时间以及文件的存取等属性，来描述它的正常行为特征。当主体的行为特征改变时，对应的特征轮廓也相应改变。 （1）静态配置分析 通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（系统配置信息），而不是系统中的活动。 （3）误用检测技术 通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，来检测系统中的异常行为。 （4）基于系统关键程序的安全规格描述方法 加州大学的Calvin Cheuk Wang Ko提出的基于规格说明的监控技术是一种新的入侵检测方法。其思想是为系统中的安全关键程序编写安全规格说明，用来描述这些关键程序正常的合乎安全要求的行为，并对这些程序的执行进行监控以检测它们是否违背了安全规格说明的要求。 9.2.8 访问控制技术 访问控制是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。 访问控制包括3个要素，即主体、客体和控制策略。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。 自主是指主体能够自主的（可能是间接的）将访问权或访问权的某个子集授予其他主体。 它基于对主体或主体所属的主体组的识别来限制对客体的访问，这种控制是自主的。是一种常用的访问控制方式。 访问控制一般包括3种类型： （1）自主访问控制 为所有的主体和客体指定安全级别，比如绝密级、机密级、秘密级和无密级。不同级别标记了不同重要程度和能力的实体。不同级别的主体对不同级别的客体的访问是在强制的安全策略下实现的。 在强制访问控制机制中，将安全级别进行排序，如按照从高到低排列，规定高级别可以单向访问低级别，也可以规定低级别可以单向访问高级别。这种访问可以是读，也可以是写或修改。 （2）强制访问控制 用户不是自始至终以同样的注册身份和权限访问系统，而是以一定的角色访问，不同的角色被赋予不同的访问权限，系统的访问控制机制只看到角色，而看不到用户。用户在访问系统前，经过角色认证而充当相应的角色。用户获得特定角色后，系统依然可以按照自主访问控制或强制访问控制机制控制角色的访问能力。 （3）基于角色的访问控制 9.2.9 安全审计技术 审计是对用户使用何种信息资源、使用的时间，以及如何使用（执行何种操作）进行记录与监控。审计和监控是实现系统安全的最后一道防线，处于系统的最高层。审计与监控能够再现原有的进程和问题，这对于责任追查和数据恢复非常有必要。审计跟踪是系统活动的流水记录。 审计是对访问控制的必要补充，是访问控制的一个重要内容。 审计跟踪是管理人员用来维护个人职能的技术手段。如果用户知道他们的行为活动被记录在审计日志中，相应的人员需要为自己的行为负责，他们就不太会违反安全策略和绕过安全控制措施。 审计跟踪可以实现多种安全相关目标： （1）个人职能 在发生故障后，审计跟踪可以用于重建事件和数据恢复。通过审查系统活动的审计跟踪可以比较容易地评估故障损失，确定故障发生的时间、原因和过程。 （2）事件重建 如果将审计的每一笔记录都进行上下文分析，就可以实时发现或是过后预防入侵检测活动。 （3）入侵检测 　　审计跟踪可以用于实时审计或监控。 （4）故障分析 9.2.10 信息内容安全技术 内容安全是网络信息安全的最终目标。信息内容安全覆盖面宽、容量大