访问控制和审计监控.pptVIP

Cisco开发；  *  *  *  * *  *  * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *  * *  * 审计系统的分类（续） 分段式处理模型的基本思想是先收集某个网段一定时间内的数据，然后进行离线式分析。此模型分为实时处理和离线处理两部分。包捕获以前的部分设计为实时处理部分，协议分析还原部分设计为离线处理部分。与流水线模型相比，分段式处理模型的瓶颈在于其包捕获处理能力。分段式处理模型仅能对部分时间段内的高速流量进行处理。 * 网络不良信息内容监控方法 网址过滤技术，即通过封锁网址来达到控制访问的目的，这种方法实现简单，在明确判定网站性质时有较好的控制效果。但这种方法需要定期搜索更新不良信息网站地址，具有滞后性，不能适应动态变化； 网页内容过滤技术，通过在网页文字中搜索设定的关键字来判断是否有不良信息。由于文本内容审计的局限性，当网络中不包含敏感文字时，会造成不良站点被漏过以及合法站点被屏蔽等。 * 网络不良信息内容监控方法（续） 图像内容过滤方式，即利用图像识别技术来判断网页中是否含有不良图像。由于不良网站中通常存在大量不良图片，这种技术已经成为研究热点。 网址过滤技术和基于文本的过滤技术自身具有一定的局限性，对不良信息识别方面准确率不够高。在网络不良信息的传播中，不良图像、视频较之文本信息，其危害性更为严重。所以，对网络中的不良图片及视频等进行分析具有更现实的意义。 * 谢谢，请提问题！ * * * * * * * * * * * * * * * * * * * * * * * * * * * * DIAMETER协议的特点 提供向后的兼容性； 解决RADIUS的不足； 双向 最多可支持232个vendor-specific attributes属性； 无限个并发请求； 通过Acknowledgement和Keepalive机制提高弹性； 提供加密保证消息的机密性和完整性； 非集中访问控制 域：一个信任范围，或者是共享共同安全策略的主体和客体的集合 每个域的访问控制与其它域保持独立 跨域访问必须建立信任关系，用户可以从一个域访问另一个域中的资源 信任可以是单向的，也可以是双向的 * 知识域：审计和监控技术 知识子域：信息安全审计 了解安全审计的基本概念 理解安全审计的作用和目标 了解审计系统的组成结构 知识子域：安全监控 了解常用安全监控技术 掌握内容审计系统模型以及网络不良信息内容监控方法 * 安全审计 安全审计的基本概念 安全审计的作用 安全审计的目标 审计系统的组成结构 * 安全审计的概念 日志 日志就是记录的事件或统计数据，这些事件或统计数据能提供关于系统使用及性能方面的信息。 审计 审计就是对日志记录的分析，并以清晰的、能理解的方式表述系统信息。 审计使得系统分析员可以评审资源的使用模式，以便评价保护机制的有效性。 * 安全审计的作用 记录系统被访问的过程以及系统保护机制的运行状态； 发现试图绕过保护机制的行为； 及时发现用户身份的变化； 报告并阻碍绕过保护机制的行为并纪录相关过程，为灾难恢复提供信息。 * 安全审计的目标 必须提供足够的信息使得安全人员能够将问题限制于局部，而信息量不足以以此为基础进行攻击； 优化审计记录的内容，审计分析机制应可以对一些特定资源辨认正常的行为。 * 审计系统的组成结构 审计系统包含三个部分：日志记录器、分析器、通告器，分别用于收集数据、分析数据及通报结果。 日志记录器：日志机制可以把信息记录成二进制形式或可读的形式。系统会提供一个日志浏览工具。用户能使用工具检查原始数据或用文本处理工具来编辑数据。 分析器：分析器以日志作为输入，然后分析日志数据。分析的结果可能会改变正在记录的数据，也可能只是检测一些事件或问题。 * 审计系统的组成结构（续） 通告器：分析器把分析结果传送到通告器。通告器把审计结果通知系统管理员和其他实体。这些实体可能执行一些操作来响应通告结果。 * 安全监控的常用技术 恶意行为监控 蜜网 网站挂马监测 网站被黑监测 P2P监测 内容监控 网络舆情分析 * 蜜网技术 蜜网的概念 蜜网的功能 蜜网的核心需求 * 蜜网的概念 “蜜网项目组”（ The Honeynet Project ）的创始人Lance Spitzner给出了蜜网的权威定义。 蜜网是一种安全资源，其价值在于被扫描、攻击和攻陷。 蜜网的核心价值 在于对攻击活动进行监视、检测和分析。 * 蜜网的功能 吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来，进而评估黑客攻击的目的、使用的工具、运用的手段、造成的后果 可以吸引或转移攻击者的注意力，