信息系统安全第5章.pptxVIP

第5章信息系统防卫第1页，共41页。 5.1 防火墙技术第2页，共41页。 5.1.1 防火墙的功能1. 作为网络安全的屏障2. 防止攻击性故障蔓延和内部信息的泄露3. 强化网络安全策略4. 对网络存取和访问进行监控审计和报警5. 远程管理6. MAC与IP地址的绑定7. 流量控制（带宽管理）和统计分析、流量计费8. 其他功能第3页，共41页。 网络防火墙的基本结构1. 屏蔽路由器（Screening Router） 和屏蔽主机（Screening Host）防火墙屏蔽路由器内部网外网具有数据包过滤功能的路由器称为屏蔽路由器。 第4页，共41页。 网络防火墙的基本结构2. 双宿主网关（Dual Homed Gateway）双穴主机外网内部网第5页，共41页。 网络防火墙的基本结构3. 堡垒主机（Bastion Host）屏蔽路由器内部网堡垒主机信息服务器内部主机双连点堡垒主机过滤式防火墙过滤路由器内部网堡垒主机信息服务器专用网主机单连点堡垒主机过滤式防火墙外部网外部网第6页，共41页。 网络防火墙的基本结构4. 屏蔽子网（Screening Subnet） 防火墙外网堡垒主机信息服务器内部网DMZ内部路由器外部路由器第7页，共41页。 5.1.3 网络防火墙的局限1. 防火墙可能留有漏洞Internet防火墙安全漏洞专用网IPS2. 防火墙不能防止内部出卖性攻击或内部误操作3. 防火墙不能防止数据驱动式的攻击第8页，共41页。 5.2 信息系统安全审计安全审计对系统安全方案中的功能提供持续的评估。这就是安全审计。安全审计功能（1）记录关键事件。关于关键事件的界定由安全官员决定。（2）对潜在的攻击者进行威慑或警告。（3）为系安全管理员提供有价值的系统使用日志，帮助系统管理员及时发现入侵行为和系统漏洞。（4）为安全官员提供一组可供分析的管理数据，用于发现何处有违反安全方案的事件， 第9页，共41页。 5.2.2 安全审计日志典型的日志内容有：事件的性质：数据的输入和输出，文件的更新（改变或修改），系统的用途或期望；全部相关标识：人、设备和程序；有关事件的信息：日期和时间，成功或失败，涉及因素的授权状态，转换次数，系统响应，项目更新地址，建立、更新或删除信息的内容，使用的程序，兼容结果和参数检测，侵权步骤等。对大量生成的日志要适当考虑数据的保存期限。第10页，共41页。 5.2.3 安全审计的类型1. 根据审计的对象分类操作系统的审计；应用系统的审计；设备的审计；网络应用的审计。2. 审计的关键部位（1）对来自外部攻击的审计；（2）对来自内部攻击的审计；（3）对电子数据的安全审计。第11页，共41页。 5.3 入侵检测入侵检测（Intrusion Detection）就是对入侵行为的发觉。 入侵检测系统的主要功能有：监视并分析用户和系统的行为；审计系统配置和漏洞；评估敏感系统和数据的完整性；识别攻击行为、对异常行为进行统计；自动收集与系统相关的补丁；审计、识别、跟踪违反安全法规的行为；使用诱骗服务器记录黑客行为；……入侵检测系统（Intrusion Detection System, IDS）是进行入侵检测的软件和硬件的组合。第12页，共41页。 5.3.2 入侵检测原理当前操作入侵检测攻击识别模块攻击处理模块是攻击否？监测NY历史记录入侵监测攻击处理模块攻击识别模块是攻击否？返回NY事后入侵检测的过程实时入侵检测过程第13页，共41页。 入侵检测系统的优点及其局限提高了信息系统安全体系其他部分的完整性；提高了系统的监察能力；可以跟踪用户从进入到退出的所有活动或影响；能够识别并报告数据文件的改动；可以发现系统配置的错误，并能在必要时予以改正；可以识别特定类型的攻击，并进行报警，作出防御响应；可以使管理人员最新的版本升级添加到程序中；允许非专业人员从事系统安全工作；可以为信息系统安全提供指导。在无人干预的情形下，无法执行对攻击的检测；无法感知组织（公司）安全策略的内容；不能弥补网络协议的漏洞；不能弥补系统提供信息的质量或完整性问题；不能分析网络繁忙时的所有事物；不能总是对数据包级的攻击进行处理；……第14页，共41页。 5.3.3 入侵检测系统的功能结构入侵检测系统的通用模型数据收集数据分析结果处理数据数据事件结果第15页，共41页。 1. 信息收集（1）数据收集的内容① 主机和网络日志文件② 目录和文件中的不期望的改变③ 程序执行中的不期望行为④ 物理形式的入侵信息（2）入侵检测系统的数据收集机制① 基于主机的数据收集和基于网络的数据收集子网1子网2子网3控制台防火墙 Web服务器域