信息系统安全第5节_1_.pptVIP

第5章 信息系统防卫 5.1 防火墙技术 5.1.1 防火墙的功能 1. 作为网络安全的屏障 2. 防止攻击性故障蔓延和内部信息的泄露 3. 强化网络安全策略 4. 对网络存取和访问进行监控审计和报警 5. 远程管理 6. MAC与IP地址的绑定 7. 流量控制（带宽管理）和统计分析、流量计费 8. 其他功能 网络防火墙的基本结构 1. 屏蔽路由器（Screening Router） 和屏蔽主机（Screening Host） 网络防火墙的基本结构 2. 双宿主网关（Dual Homed Gateway） 网络防火墙的基本结构 3. 堡垒主机（Bastion Host） 网络防火墙的基本结构 4. 屏蔽子网（Screening Subnet） 防火墙 5.1.3 网络防火墙的局限 1. 防火墙可能留有漏洞 5.2 信息系统安全审计 安全审计 对系统安全方案中的功能提供持续的评估。这就是安全审计。 5.2.2 安全审计日志 典型的日志内容有： 事件的性质：数据的输入和输出，文件的更新（改变或修改），系统的用途或期望； 全部相关标识：人、设备和程序； 有关事件的信息：日期和时间，成功或失败，涉及因素的授权状态，转换次数，系统响应，项目更新地址，建立、更新或删除信息的内容，使用的程序，兼容结果和参数检测，侵权步骤等。对大量生成的日志要适当考虑数据的保存期限。 5.2.3 安全审计的类型 1. 根据审计的对象分类 操作系统的审计； 应用系统的审计； 设备的审计； 网络应用的审计。 5.3 入侵检测 入侵检测（Intrusion Detection）就是对入侵行为的发觉。 入侵检测系统的主要功能有： 监视并分析用户和系统的行为； 审计系统配置和漏洞； 评估敏感系统和数据的完整性； 识别攻击行为、对异常行为进行统计； 自动收集与系统相关的补丁； 审计、识别、跟踪违反安全法规的行为； 使用诱骗服务器记录黑客行为； …… 入侵检测系统（Intrusion Detection System, IDS）是进行入侵检测的软件和硬件的组合。 5.3.2 入侵检测原理 入侵检测系统的优点及其局限 提高了信息系统安全体系其他部分的完整性； 提高了系统的监察能力； 可以跟踪用户从进入到退出的所有活动或影响； 能够识别并报告数据文件的改动； 可以发现系统配置的错误，并能在必要时予以改正； 可以识别特定类型的攻击，并进行报警，作出防御响应； 可以使管理人员最新的版本升级添加到程序中； 允许非专业人员从事系统安全工作； 可以为信息系统安全提供指导。 5.3.3 入侵检测系统的功能结构 入侵检测系统的通用模型 1. 信息收集 （1）数据收集的内容 ① 主机和网络日志文件 ② 目录和文件中的不期望的改变 ③ 程序执行中的不期望行为 ④ 物理形式的入侵信息 2. 数据分析 （1）异常发现技术 （2）模式发现技术 ① 状态建模 ② 串匹配 ③ 专家系统 ④ 基于简单规则 （3）混合检测 人工免疫方法； 遗传算法； 数据挖掘； ……。 3. 入侵检测系统的特征库 来自保留IP地址的连接企图：可通过检查IP报头（IP header）的来源地址识别。 带有非法TCP 标志联合物的数据包：可通过TCP 报头中的标志集与已知正确和错误标记联合物的不同点来识别。 含有特殊病毒信息的Email：可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的外延来识别。 查询负载中的DNS 缓冲区溢出企图：可通过解析DNS域及检查每个域的长度来识别。另外一个方法是在负载中搜索“壳代码利用”（exploit shellcode）的序列代码组合。 对POP3服务器大量发出同一命令而导致DoS攻击：通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。 未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击：通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话，发现未经验证却发命令的入侵企图。 4. 响应 （1）主动响应 针对入侵者采取的措施； 修正系统； 收集更详细的信息。 （2）被动响应 在被动响应系统中，系统只报告和记录发生的事件。 5.3.4 入侵检测系统的实现 入侵检测系统设置的基本过程 在基于网络的入侵检测系统中部署入侵检测器 检测器位置: （1）DMZ区内 （2）内网主干（防火墙内侧） （3）外网入口（防火墙外侧） （4）在防火墙的内外都放置 （5）关键子网 在基于主机的入侵检测系统中部署入侵检测器 基于主机的入侵检测系统通常是一个程序。在基于网络的入侵检测器的部