欢迎来到天天文库
浏览记录
ID:36876912
大小:296.50 KB
页数:41页
时间:2019-05-10
《信息系统安全第5章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第5章信息系统防卫5.1防火墙技术5.1.1防火墙的功能1.作为网络安全的屏障2.防止攻击性故障蔓延和内部信息的泄露3.强化网络安全策略4.对网络存取和访问进行监控审计和报警5.远程管理6.MAC与IP地址的绑定7.流量控制(带宽管理)和统计分析、流量计费8.其他功能网络防火墙的基本结构1.屏蔽路由器(ScreeningRouter)和屏蔽主机(ScreeningHost)防火墙屏蔽路由器内部网外网具有数据包过滤功能的路由器称为屏蔽路由器。网络防火墙的基本结构2.双宿主网关(DualHomedGateway)双穴主机外网内部网网络防火墙的基本结构3.堡垒主机(
2、BastionHost)屏蔽路由器内部网堡垒主机信息服务器内部主机双连点堡垒主机过滤式防火墙过滤路由器内部网堡垒主机信息服务器专用网主机单连点堡垒主机过滤式防火墙外部网外部网网络防火墙的基本结构4.屏蔽子网(ScreeningSubnet)防火墙外网堡垒主机信息服务器内部网DMZ内部路由器外部路由器5.1.3网络防火墙的局限1.防火墙可能留有漏洞Internet防火墙安全漏洞专用网IPS2.防火墙不能防止内部出卖性攻击或内部误操作3.防火墙不能防止数据驱动式的攻击5.2信息系统安全审计安全审计对系统安全方案中的功能提供持续的评估。这就是安全审计。安全审计功能(1)
3、记录关键事件。关于关键事件的界定由安全官员决定。(2)对潜在的攻击者进行威慑或警告。(3)为系安全管理员提供有价值的系统使用日志,帮助系统管理员及时发现入侵行为和系统漏洞。(4)为安全官员提供一组可供分析的管理数据,用于发现何处有违反安全方案的事件,5.2.2安全审计日志典型的日志内容有:事件的性质:数据的输入和输出,文件的更新(改变或修改),系统的用途或期望;全部相关标识:人、设备和程序;有关事件的信息:日期和时间,成功或失败,涉及因素的授权状态,转换次数,系统响应,项目更新地址,建立、更新或删除信息的内容,使用的程序,兼容结果和参数检测,侵权步骤等。对大量生成的
4、日志要适当考虑数据的保存期限。5.2.3安全审计的类型1.根据审计的对象分类操作系统的审计;应用系统的审计;设备的审计;网络应用的审计。2.审计的关键部位(1)对来自外部攻击的审计;(2)对来自内部攻击的审计;(3)对电子数据的安全审计。5.3入侵检测入侵检测(IntrusionDetection)就是对入侵行为的发觉。入侵检测系统的主要功能有:监视并分析用户和系统的行为;审计系统配置和漏洞;评估敏感系统和数据的完整性;识别攻击行为、对异常行为进行统计;自动收集与系统相关的补丁;审计、识别、跟踪违反安全法规的行为;使用诱骗服务器记录黑客行为;……入侵检测系统(Int
5、rusionDetectionSystem,IDS)是进行入侵检测的软件和硬件的组合。5.3.2入侵检测原理当前操作入侵检测攻击识别模块攻击处理模块是攻击否?监测NY历史记录入侵监测攻击处理模块攻击识别模块是攻击否?返回NY事后入侵检测的过程实时入侵检测过程入侵检测系统的优点及其局限提高了信息系统安全体系其他部分的完整性;提高了系统的监察能力;可以跟踪用户从进入到退出的所有活动或影响;能够识别并报告数据文件的改动;可以发现系统配置的错误,并能在必要时予以改正;可以识别特定类型的攻击,并进行报警,作出防御响应;可以使管理人员最新的版本升级添加到程序中;允许非专业人员从
6、事系统安全工作;可以为信息系统安全提供指导。在无人干预的情形下,无法执行对攻击的检测;无法感知组织(公司)安全策略的内容;不能弥补网络协议的漏洞;不能弥补系统提供信息的质量或完整性问题;不能分析网络繁忙时的所有事物;不能总是对数据包级的攻击进行处理;……5.3.3入侵检测系统的功能结构入侵检测系统的通用模型数据收集数据分析结果处理数据数据事件结果1.信息收集(1)数据收集的内容①主机和网络日志文件②目录和文件中的不期望的改变③程序执行中的不期望行为④物理形式的入侵信息(2)入侵检测系统的数据收集机制①基于主机的数据收集和基于网络的数据收集子网1子网2子网3控制台防火
7、墙Web服务器域名服务器Internet网络引擎内部网②分布式与集中式数据收集机制③直接监控和间接监控④外部探测器和内部探测器2.数据分析(1)异常发现技术(2)模式发现技术①状态建模②串匹配③专家系统④基于简单规则(3)混合检测人工免疫方法;遗传算法;数据挖掘;……。3.入侵检测系统的特征库来自保留IP地址的连接企图:可通过检查IP报头(IPheader)的来源地址识别。带有非法TCP标志联合物的数据包:可通过TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别。含有特殊病毒信息的Email:可通过对比每封Email的主题信息和病态Email的主题信
此文档下载收益归作者所有