網(wǎng)絡(luò)及信息系統(tǒng)安全現(xiàn)狀及體系基礎(chǔ).ppt

網(wǎng)絡(luò)與信息系統(tǒng)安全現(xiàn)狀及體系基礎(chǔ) 劉春林 目錄 1信息安全發(fā)展和現(xiàn)狀2信息安全定義3網(wǎng)絡(luò)安全事件及其分析4信息安全特征5信息安全層次和結(jié)構(gòu)6信息與網(wǎng)絡(luò)安全組件 安全威脅觸目驚心 根據(jù)公安部一份信息網(wǎng)絡(luò)安全狀況調(diào)查顯示 在被調(diào)查的7072家政府 金融證券 教育科研 電信 廣電 能源交通 國防和商貿(mào)企業(yè)等信息網(wǎng)絡(luò)中 發(fā)生網(wǎng)絡(luò)安全事件的比例為58 其中 計算機(jī)病毒 蠕蟲和木馬程序造成的安全事件占發(fā)生安全事件單位總數(shù)的79 拒絕服務(wù) 端口掃描和篡改網(wǎng)頁等網(wǎng)絡(luò)攻擊事件占43 大規(guī)模垃圾郵件傳播造成的安全事件占36 特別地 計算機(jī)病毒的感染率為87 9 比上一年增加了2 上述調(diào)查對象都是國內(nèi)信息安全投入比較高的大行業(yè) 防火墻 入侵檢測 防病毒等常見安全產(chǎn)品基本都已部署 但仍然遭受了觸目驚心的安全危害 就像 911 之后的美國 人們突然發(fā)現(xiàn) 以前大家對安全問題的看法已經(jīng)不適合新形勢的需要了 原本人們認(rèn)為固若金湯的美國本土 被新的攻擊手段炸得千瘡百孔 目前的互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全部署大家原本很樂觀 但上面列舉的這些觸目驚心的危害清楚地表明 在層出不窮的攻擊手段面前 我們的網(wǎng)絡(luò)安全保護(hù)措施已經(jīng)落后了 安全威脅觸目驚心 在2007年1月舉行的達(dá)沃斯世界經(jīng)濟(jì)論壇上 與會者不但討論了全球經(jīng)濟(jì)問題和氣候變暖的問題 而且也首次觸及了網(wǎng)絡(luò)安全問題 參與這項話題討論的既有政治家也有著名的IT界人士 全球網(wǎng)絡(luò)概念的開發(fā)者文森特 瑟弗表示 再接入互聯(lián)網(wǎng)的6億臺計算機(jī)中 其中有1 5億臺左右都已成為會客的 俘虜 并被用來發(fā)送垃圾郵件 病毒和組織網(wǎng)絡(luò)攻擊行動 然而更令人不安的是這1 5億臺計算機(jī)使用者經(jīng)常無法意識到他們的機(jī)器正被別人非法利用著 參加達(dá)沃斯論壇的住家們甚至指出 互聯(lián)網(wǎng)目前造成的危險已經(jīng)超出它所帶來的好處 根據(jù)美國聯(lián)邦調(diào)查局 FBI 的調(diào)查 美國每年因網(wǎng)絡(luò)安全造成的損失超過170億美元 75 的公司報告 指出經(jīng)濟(jì)損失是由于網(wǎng)絡(luò)系統(tǒng)的安全造成的 50 的安全威脅來自內(nèi)部 我國信息安全發(fā)展和現(xiàn)狀 技術(shù)防御整體水平有待提高各類安全威脅與風(fēng)險幾大安全現(xiàn)狀和威脅計算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的軟 硬件缺乏保護(hù)信息安全所必不可少的有效管理和技術(shù)改造全社會的信息安全意識雖然有所提高 但將其提到實際日程中來依然很少國內(nèi)很多公司在遭到攻擊后 為名譽起見往往并不積極追究黑客法律責(zé)任目前關(guān)于網(wǎng)絡(luò)犯罪的法律還不健全我國信息安全人才培養(yǎng)還遠(yuǎn)遠(yuǎn)不能滿足需要 信息安全的意義和重要性 以信息化帶動工業(yè)化 以工業(yè)化促進(jìn)信息化 從而發(fā)揮后發(fā)優(yōu)勢 實現(xiàn)生產(chǎn)力的跨越式發(fā)展以信息化帶動工業(yè)化分為三個層面上意義 第一 信息化有助于工業(yè)企業(yè)經(jīng)營理念的更新和升級 第二 信息化有助于整合企業(yè)內(nèi)部資源 提高勞動生產(chǎn)率 降低勞動成本 第三 信息化有助于工業(yè)企業(yè)廣泛參與社會分工和適應(yīng)新的國際經(jīng)濟(jì)體系 信息安全的未來發(fā)展趨勢 人類一直在嘗試努力研制人工智能 生物技術(shù)與遺傳學(xué)理論天翻地覆的革命 相信人類物種進(jìn)化停滯不前的現(xiàn)狀不會太長久了 遺傳工程及其它生物技術(shù)的進(jìn)步將可以使一種生物擁有更高的能力和更長的壽命 從而可以為自己制造出更聰明 更強壯的宇航員 不僅如此 隨著技術(shù)的進(jìn)步 人工智能機(jī)器人完全有可能和人結(jié)合起來 人工智能機(jī)器可以從人類身上吸取某些 靈氣 而我們?nèi)祟愖陨斫?jīng)過長時間與機(jī)器相處 將會模糊生物性與機(jī)械性之間的界限 因此未來的人將不再是和現(xiàn)在一樣的純粹的生物性的人 其實 人類現(xiàn)在已經(jīng)在這方面顯現(xiàn)一些機(jī)械性的苗頭了 如在心臟里植入心臟啟勃器 在大腦中植入某種芯片等 未來的人也許應(yīng)該改一個名字了 那就是 電子人 在更遠(yuǎn)一點的將來 人類甚至可以將自己的意識下載到所制造的智能機(jī)器里面 使那些 粘乎乎 的生物永生不老 甚至變成 超人 網(wǎng)絡(luò)通常面臨的三個脆弱性 行為管理脆弱性網(wǎng)絡(luò)配置脆弱性技術(shù)脆弱性 從幾個方面來考慮安全 本質(zhì)上講 保護(hù) 網(wǎng)絡(luò)系統(tǒng)的硬件 軟件 數(shù)據(jù) 防止 系統(tǒng)和數(shù)據(jù)遭受破壞 更改 泄露 保證 系統(tǒng)連續(xù)可靠正常地運行 服務(wù)不中斷 廣義上講 領(lǐng)域 涉及到網(wǎng)絡(luò)信息的保密性 完整性 可用性 真實性 可控性的相關(guān)技術(shù)和理論 兩個方面 技術(shù)方面 防止外部用戶的非法入侵管理方面 內(nèi)部員工的教育和管理提高人員的安全意識 信息安全定義 網(wǎng)絡(luò)安全事件及分析 信息安全事件及其分析 入侵系統(tǒng)的常用步驟 信息安全事件及其分析 較高明的入侵步驟 信息安全事件及其分析 被黑的WEB頁面 信息安全事件及其分析 案例一 某電子商務(wù)網(wǎng)站 主服務(wù)器遭到黑客攻擊后癱瘓在啟用備份服務(wù)器后 數(shù)據(jù)大部分被刪除有Juniper防火墻 但防火墻行同虛設(shè)主機(jī)上沒有作過多配置 存在大量的服務(wù)安裝了pcAnywhere遠(yuǎn)程控制軟件 信息安全事件及其分析 案例一的教訓(xùn) 在遭到黑客攻擊后應(yīng)采取的措施 關(guān)鍵數(shù)據(jù)的備份 主機(jī)日志檢查與備份 主機(jī)的服務(wù)端口的關(guān)閉 主機(jī)可疑進(jìn)程的檢查 主機(jī)帳號的修改 防火墻的策略修改 啟用防火墻日志詳細(xì)記錄 避免使用的危險進(jìn)程 利用DiskRecovery技術(shù)對硬盤數(shù)據(jù)進(jìn)行恢復(fù) 信息安全事件及其分析 案例二 中國電信信息港 遭到黑客DDOS DistributionDenialofservice 攻擊服務(wù)器被癱瘓 無法提供正常的服務(wù)來源地址有3000多個 多數(shù)來自國內(nèi)有一部分攻擊主機(jī)是電信內(nèi)部的IP地址 信息安全事件及其分析 案例二的教訓(xùn) 加強對骨干網(wǎng)設(shè)備的監(jiān)控減少骨干網(wǎng)上主機(jī)存在的漏洞在受到攻擊時 迅速確定來源地址 在路由器和防火墻上作一些屏蔽實現(xiàn)IDS IntrusionDetectionSystems 和防火墻的聯(lián)動 信息安全事件及其分析 信息安全的目的 信息安全事件及其分析 安全工作目的 一 安全工作的目的就是為了在安全法律 法規(guī) 政策的支持與指導(dǎo)下 通過采用合適的安全技術(shù)與安全管理措施 完成以下任務(wù) 使用訪問控制機(jī)制 阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò) 即 進(jìn)不來 從而保證網(wǎng)絡(luò)系統(tǒng)的可用性 使用授權(quán)機(jī)制 實現(xiàn)對用戶的權(quán)限控制 即不該拿走的 拿不走 同時結(jié)合內(nèi)容審計機(jī)制 實現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性 使用加密機(jī)制 確保信息不暴漏給未授權(quán)的實體或進(jìn)程 即 看不懂 從而實現(xiàn)信息的保密性 信息安全事件及其分析 安全工作目的 二 使用數(shù)據(jù)完整性鑒別機(jī)制 保證只有得到允許的人才能修改數(shù)據(jù) 而其它人 改不了 從而確保信息的完整性 使用審計 監(jiān)控 防抵賴等安全機(jī)制 使得攻擊者 破壞者 抵賴者 走不脫 并進(jìn)一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段 實現(xiàn)信息安全的可審查性 信息安全事件及其分析 信息安全特性 信息安全特征 信息安全的基本特征 相對性只有相對的安全 沒有絕對的安全系統(tǒng) 操作系統(tǒng)與網(wǎng)絡(luò)管理的相對性 安全性在系統(tǒng)的不同部件間可以轉(zhuǎn)移 信息安全特征 信息安全的基本特征 時效性新的漏洞與攻擊方法不斷發(fā)現(xiàn) NT4 0已從SP1發(fā)展到SP6 Windows2003業(yè)發(fā)現(xiàn)很多漏洞 針對Outlook的病毒攻擊非常普遍 信息安全特征 信息安全的基本特征 配置相關(guān)性 日常管理中的不同配置會引入新的問題 安全測評只證明特定環(huán)境與特定配置下的安全 新的系統(tǒng)部件會引入新的問題 新的設(shè)備的引入 防火墻配置的修改 信息安全的基本特征 攻擊的不確定性攻擊發(fā)起的時間 攻擊者 攻擊目標(biāo)和攻擊發(fā)起的地點都具有不確定性復(fù)雜性 信息安全是一項系統(tǒng)工程 需要技術(shù)的和非技術(shù)的手段 涉及到安全管理 教育 培訓(xùn) 立法 國際合作與互不侵犯協(xié)定 應(yīng)急反應(yīng)等 信息安全特征 信息安全特性與具體實現(xiàn) 信息安全特征 建立信息安全模型 信息安全層次和結(jié)構(gòu) 信息與網(wǎng)絡(luò)系統(tǒng)安全理念 信息安全層次和結(jié)構(gòu) 信息與網(wǎng)絡(luò)系統(tǒng)安全管理模型 信息安全層次和結(jié)構(gòu) 信息安全策略 自上而下地制定安全策略最小特權(quán)原則密碼技術(shù)與方法阻塞點最薄弱環(huán)節(jié) 被忽視的環(huán)節(jié) 失效保護(hù)機(jī)制 缺省拒絕狀態(tài) 缺省接受狀態(tài)不要使用太昂貴的設(shè)備采用多防線技術(shù)不要太過于依賴系統(tǒng)操作 定期備份普遍參與防御多樣 信息安全層次和結(jié)構(gòu) 可定制的安全要素和領(lǐng)域 網(wǎng)絡(luò)物理與拓?fù)浒踩?ARC 訪問控制與安全邊界 CTL 弱點漏洞分析和風(fēng)險審計 ASS 入侵檢測與防御 IDS 信息監(jiān)控與取證 INF 網(wǎng)絡(luò)病毒防范 VPR 身份認(rèn)證與授權(quán) AAA 通信鏈路安全 LNK 系統(tǒng)安全 SYS 數(shù)據(jù)與數(shù)據(jù)庫安全 DBS 應(yīng)用系統(tǒng)安全 APS 個人桌面安全 PCS 涉密網(wǎng)的物理隔離 PHY 災(zāi)難恢復(fù)與備份 RAB 集中安全管理 MAN 信息安全層次和結(jié)構(gòu) 根據(jù)內(nèi)部網(wǎng)絡(luò)的安全域結(jié)構(gòu) 需要在不同安全域間設(shè)置邊界訪問控制 包括內(nèi)外網(wǎng)連界 內(nèi)網(wǎng)邊界 網(wǎng)絡(luò)邊界訪問控制的設(shè)計包括網(wǎng)絡(luò)隔離方案 邊界防火墻配置方案 局域網(wǎng)虛擬子網(wǎng)間的訪問控制 遠(yuǎn)程訪問控制 網(wǎng)絡(luò)隔離 根據(jù)國家安全主管部門有關(guān)規(guī)定 黨政涉密網(wǎng)要求與因特網(wǎng)物理斷開 對于各單位的涉密應(yīng)用 如涉密辦公應(yīng)用 應(yīng)單獨建立相應(yīng)的網(wǎng)絡(luò) 邊界防火墻 防火墻是網(wǎng)絡(luò)安全最基本的安全措施 目的是要在內(nèi)部 外部兩個網(wǎng)絡(luò)之間建立一個安全隔離帶 通過允許 拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流 實現(xiàn)對進(jìn) 出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計和控制 業(yè)務(wù)網(wǎng)絡(luò)隔離 信息安全層次和結(jié)構(gòu) 訪問控制與安全邊界 CTL 訪問控制與安全邊界 CTL 局域網(wǎng)的多個業(yè)務(wù)系統(tǒng) 辦公應(yīng)用系統(tǒng) 應(yīng)用系統(tǒng) 數(shù)據(jù)中心 可通過有效的虛擬子網(wǎng)劃分來對無關(guān)用戶組間實施安全隔離 提供子網(wǎng)間的訪問控制 VLAN劃分 遠(yuǎn)程訪問控制 通過在廣域連接的出入口配置防火墻 使遠(yuǎn)程用戶對內(nèi)部網(wǎng)服務(wù)器的訪問受到防火墻的控制 遠(yuǎn)程內(nèi)部網(wǎng)用戶可按權(quán)限訪問指定的內(nèi)部網(wǎng)服務(wù)器 另外 通過設(shè)置一臺安全認(rèn)證服務(wù)器 可進(jìn)行撥號用戶身份 遠(yuǎn)程撥號路由器身份的認(rèn)證 從而限制非法單機(jī)和局域網(wǎng)用戶對內(nèi)部網(wǎng)的訪問 認(rèn)證服務(wù)器可設(shè)在防火墻內(nèi) 連接到內(nèi)部網(wǎng)的交換機(jī)上 計算機(jī)的安全 主機(jī)安全 主要考慮保護(hù)合法用戶對于授權(quán)資源的使用 防止非法入侵者對于系統(tǒng)資源的侵占與破壞 其最常用的辦法是利用操作系統(tǒng)的功能 如Unix的用戶認(rèn)證 文件訪問權(quán)限控制 記帳審計等 網(wǎng)絡(luò)安全 主要考慮網(wǎng)絡(luò)上主機(jī)之間的訪問控制 防止來自外部網(wǎng)絡(luò)的入侵 保護(hù)數(shù)據(jù)在網(wǎng)上傳輸時不被泄密和修改 其最常用的方法是防火墻 加密等 信息安全層次和結(jié)構(gòu) 主機(jī)網(wǎng)絡(luò)安全系統(tǒng)體系結(jié)構(gòu) 信息安全層次和結(jié)構(gòu) 信息與網(wǎng)絡(luò)系統(tǒng)的安全框架 保衛(wèi)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 主干網(wǎng)絡(luò)的可用性 無線網(wǎng)絡(luò)安全框架 系統(tǒng)互連和虛擬私有網(wǎng) VPN 保衛(wèi)邊界 網(wǎng)絡(luò)登錄保護(hù) 遠(yuǎn)程訪問 多級安全保衛(wèi)計算環(huán)境 終端用戶環(huán)境 系統(tǒng)應(yīng)用程序的安全支撐基礎(chǔ)設(shè)施 密鑰管理基礎(chǔ)設(shè)施 公共密鑰基礎(chǔ)設(shè)施 KMI PKI 檢測和響應(yīng) 信息安全層次和結(jié)構(gòu) 保護(hù)計算環(huán)境 計算環(huán)境包括終端用戶工作站 臺式機(jī)和筆記本 工作站中包括了周邊設(shè)備 安全框架的一個基本原則是防止穿透網(wǎng)絡(luò)并對計算環(huán)境的信息的保密性 完整性和可用性造成破壞的計算機(jī)攻擊 對于那些最終得逞了的攻擊來說 早期的檢測和有效的響應(yīng)是很關(guān)鍵的 不斷的或周期性的入侵檢測 網(wǎng)絡(luò)掃描以及主機(jī)掃描可以驗證那些已經(jīng)配置的保護(hù)系統(tǒng)的有效性 系統(tǒng)應(yīng)用的安全 基于主機(jī)的檢測與響應(yīng) 信息安全層次和結(jié)構(gòu) 保護(hù)網(wǎng)絡(luò)邊界 一個區(qū)域邊界之內(nèi)通常包含多個局域網(wǎng)以及各種計算資源組件 邊界環(huán)境比較復(fù)雜 它可以包含很多物理上分離的系統(tǒng) 多數(shù)邊界環(huán)境擁有通向其它網(wǎng)絡(luò)的外部連接 它與所連接的網(wǎng)絡(luò)可以在密級等方面有所不同 邊界保護(hù)主要關(guān)注對流入 流出邊界的數(shù)據(jù)流進(jìn)行有效的控制和監(jiān)督 有效地控制措施包括防火墻 門衛(wèi)系統(tǒng) VPN 標(biāo)識和鑒別 訪問控制等 有效的監(jiān)督措施包括基于網(wǎng)絡(luò)的入侵檢測系統(tǒng) IDS 脆弱性掃描器 局域網(wǎng)上的病毒檢測器等 雖然邊界的主要作用是防止外來攻擊 但它也可以來對付某些惡意的內(nèi)部人員 這些內(nèi)部人員有可能利用邊界環(huán)境來發(fā)起攻擊 和通過開放后門 隱蔽通道來為外部攻擊提供方便 信息安全層次和結(jié)構(gòu) 保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 網(wǎng)絡(luò)以及為其提供支撐的相關(guān)基礎(chǔ)設(shè)施 比如管理系統(tǒng) 是必須受到保護(hù)的 在網(wǎng)絡(luò)上 有三種不同的通信流 用戶通信流 控制通信流以及管理通信流 保護(hù)的策略是 使用經(jīng)過批準(zhǔn)的廣域網(wǎng) WAN 來傳輸企業(yè)的機(jī)密數(shù)據(jù) 加密方式采用國家相關(guān)部門批準(zhǔn)的算法 為保護(hù)非加密局域網(wǎng)上交換的敏感數(shù)據(jù) 要求使用符合一定條件的商業(yè)解決方案 信息安全層次和結(jié)構(gòu) 支撐基礎(chǔ)設(shè)施 支持基礎(chǔ)設(shè)施給以下情況提供服務(wù) 網(wǎng)絡(luò) 最終用戶工作站 網(wǎng)絡(luò) 應(yīng)用和文件服務(wù)器 單獨使用的基礎(chǔ)設(shè)施機(jī)器 即 高級的域名服務(wù)器 DNS 服務(wù) 高級目錄服務(wù)器 框架包括兩個方面的內(nèi)容 密鑰管理基礎(chǔ)設(shè)施 KMI 其中包括公鑰基礎(chǔ)設(shè)施 PKI 和檢測響應(yīng)基礎(chǔ)設(shè)施 密鑰管理基礎(chǔ)設(shè)施 KMI提供一種通用的聯(lián)合的處理方式 以便于安全創(chuàng)建 分發(fā)和管理公共密鑰證明和傳統(tǒng)的對稱密鑰 使它們能夠安全服務(wù)于網(wǎng)絡(luò) 領(lǐng)地 和計算機(jī)環(huán)境 這些服務(wù)能夠?qū)Πl(fā)送者和接收者的身份進(jìn)行可靠驗證 并可以保護(hù)信息不會發(fā)生未授權(quán)泄露和更改 KMI支持受控制的相互可操作的用戶 保持為每個用戶團(tuán)體建立的安全策略 信息安全層次和結(jié)構(gòu) 支撐基礎(chǔ)設(shè)施 檢測和響應(yīng) 檢測和響應(yīng)基礎(chǔ)設(shè)施使能夠迅速檢測和響應(yīng)入侵 它也提供一個 熔化 能力 以便于可以觀察事件與其它相關(guān)連 還允許分析員識別潛在的行為模式或新發(fā)展 在多數(shù)實現(xiàn)檢測和響應(yīng)能力的機(jī)構(gòu)中 本地中心監(jiān)視本地運行 并輸送到大區(qū)域或國家中心 需要這個基礎(chǔ)設(shè)施有技術(shù)解決方案 如 入侵檢測和監(jiān)視軟件 一些訓(xùn)練有素的專業(yè)人員 通常指的是計算機(jī)應(yīng)急響應(yīng)小組 CERT 網(wǎng)絡(luò)信息安全層次 層次一 物理環(huán)境的安全性 物理層安全 層次二 操作系統(tǒng)的安全性 系統(tǒng)層安全 層次三 網(wǎng)絡(luò)的安全性 網(wǎng)絡(luò)層安全 層次四 應(yīng)用的安全性 應(yīng)用層安全 層次五 管理的安全性 管理層安全 網(wǎng)絡(luò)信息安全層次與結(jié)構(gòu) 網(wǎng)絡(luò)安全層次架構(gòu) 網(wǎng)絡(luò)信息安全層次與結(jié)構(gòu) 信息與網(wǎng)絡(luò)安全組件 信息整體安全是由安全操作系統(tǒng) 應(yīng)用系統(tǒng) 防火墻 網(wǎng)絡(luò)監(jiān)控 安全掃描 信息審計 通信加密 災(zāi)難恢復(fù) 網(wǎng)絡(luò)反病毒等多個安全組件共同組成的 每一個單獨的組件只能完成其中部分功能 而不能完成全部功能 信息與網(wǎng)絡(luò)安全組件 防火墻 防火墻通常被比喻為網(wǎng)絡(luò)安全的大門 用來鑒別什么樣的數(shù)據(jù)包可以進(jìn)出企業(yè)內(nèi)部網(wǎng) 在應(yīng)對黑客入侵方面 可以阻止基于IP包頭的攻擊和非信任地址的訪問 但防火墻無法阻止和檢測基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵 同時也無法控制內(nèi)部網(wǎng)絡(luò)之間的違規(guī)行為 信息與網(wǎng)絡(luò)安全組件 加密 對稱加密 使用同一個字符串加密和解密數(shù)據(jù)非對稱加密 使用一對密鑰加密解密數(shù)據(jù)HASH散列算法 用HASH函數(shù)把信息混雜 使其不可恢復(fù)原狀 信息與網(wǎng)絡(luò)安全組件 訪問控制 強制訪問控制 Mandatoryaccesscontrol 系統(tǒng)獨立于用戶行為強制執(zhí)行訪問控制 用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩?這種訪問控制規(guī)則通常對數(shù)據(jù)和用戶按照安全等級劃分標(biāo)簽 訪問控制機(jī)制通過比較安全標(biāo)簽來確定的授予還是拒絕用戶對資源的訪問 強制訪問控制進(jìn)行了很強的等級劃分 所以經(jīng)常用于軍事用途 自主訪問控制 Discretionaryaccesscontrol 自主訪問控制機(jī)制允許對象的屬主來制定針對該對象的保護(hù)策略 通常DAC通過授權(quán)列表 或訪問控制列表 來限定哪些主體針對哪些客體可以執(zhí)行什么操作 如此將可以非常靈活地對策略進(jìn)行調(diào)整 由于其易用性與可擴(kuò)展性 自主訪問控制機(jī)制經(jīng)常被用于商業(yè)系統(tǒng) 主流操作系統(tǒng) WindowsServer UNIX系統(tǒng) 防火墻 ACLs 等都是基于自主訪問控制機(jī)制來實現(xiàn)訪問控制 信息與網(wǎng)絡(luò)安全組件 認(rèn)證 密碼認(rèn)證智能卡生物特征 指紋 面部掃描 視網(wǎng)膜掃描 語音分析 位置認(rèn)證 IP 反向DNS 信息與網(wǎng)絡(luò)安全組件 掃描器 掃描器可以說是入侵檢測的一種 主要用來發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù) 網(wǎng)絡(luò)設(shè)備和主機(jī)的漏洞 通過定期的檢測與比較 發(fā)現(xiàn)入侵或違規(guī)行為留下的痕跡 當(dāng)然 掃描器無法發(fā)現(xiàn)正在進(jìn)行的入侵行為 而且它還有可能成為攻擊者的工具 信息與網(wǎng)絡(luò)安全組件 弱點漏洞分析和風(fēng)險審計ASS 信息與網(wǎng)絡(luò)安全組件 防毒軟件 防毒軟件是最為人熟悉的安全工具 可以檢測 清除各種文件型病毒 宏病毒和郵件病毒等 在應(yīng)對黑客入侵方面 它可以查殺特洛伊木馬和蠕蟲等病毒程序 但對于基于網(wǎng)絡(luò)的攻擊行為 如掃描 針對漏洞的攻擊 卻無能為力 信息與網(wǎng)絡(luò)安全組件 網(wǎng)絡(luò)病毒防范 VPR 網(wǎng)絡(luò)病毒具有不可估量的威脅性和破壞力 因而計算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)的重要環(huán)節(jié) 考慮內(nèi)部網(wǎng)絡(luò)系統(tǒng)運行環(huán)境復(fù)雜 網(wǎng)上用戶數(shù)多 同Internet有連接等 需在網(wǎng)絡(luò)上建立多層次的病毒防護(hù)體系 對桌面 服務(wù)器和網(wǎng)關(guān)等潛在病毒進(jìn)入點實行全面保護(hù) 1 建立基于桌面的反病毒系統(tǒng)在內(nèi)部網(wǎng)中的每臺桌面機(jī)上安裝單機(jī)版的反病毒軟件 實時監(jiān)測和捕獲桌面計算機(jī)系統(tǒng)的病毒 防止來自軟盤 光盤以及活動驅(qū)動器等的病毒來源 2 建立基于服務(wù)器的反病毒系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)的文件及應(yīng)用服務(wù)器 一些關(guān)鍵的WindowsNT服務(wù)器 上安裝基于服務(wù)器的反病毒軟件 實時監(jiān)測和捕獲進(jìn)出服務(wù)器的數(shù)據(jù)文件病毒 使病毒無法在網(wǎng)絡(luò)中傳播 信息與網(wǎng)絡(luò)安全組件 網(wǎng)絡(luò)病毒防范 VPR 3 建立基于群件環(huán)境的反病毒系統(tǒng)在網(wǎng)絡(luò)系統(tǒng)的LoutsNotes和MsExchange服務(wù)器上安裝基于群件環(huán)境的反病毒軟件 堵住夾在文檔或電子郵件中的病毒 4 建立基于Internet網(wǎng)關(guān)的反病毒系統(tǒng)在代理服務(wù)器 Proxy 網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件 堵住來自Internet通過Http或Ftp等方式進(jìn)入內(nèi)部網(wǎng)絡(luò)的病毒 而且可過濾惡意ActiveX Java和JavaApplet程序 5 建立病毒管理控制中心在中心控制臺 安全管理控制臺 實施策略配置和管理 統(tǒng)一事件和告警處理 保證整個網(wǎng)絡(luò)范圍內(nèi)病毒防護(hù)體系的一致性和完整性 通過自動更新 分發(fā)和告警機(jī)制 使桌面PC和服務(wù)器等設(shè)備自動獲得最新的病毒特征庫 完成終端用戶軟件及病毒特征信息的自動更新和升級 以實現(xiàn)網(wǎng)絡(luò)病毒防范系的集中管理 安全審計系統(tǒng) 安全審計系統(tǒng)通過獨立的 對網(wǎng)絡(luò)行為和主機(jī)操作提供全面與忠實的記錄 方便用戶分析與審查事故原因 很像飛機(jī)上的黑匣子 由于數(shù)據(jù)量和分析量比較大 目前市場上鮮見特別成熟的產(chǎn)品主動式審計 IDS部署 被動式審計 日志監(jiān)控 入侵檢測與防御 IDS IDS IDS的主要功能包括檢測并分析用戶在網(wǎng)絡(luò)中的活動 識別已知的攻擊行為 統(tǒng)計分析異常行為 核查系統(tǒng)配置和漏洞 評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性 管理操作系統(tǒng)日志 識別違反安全策略的用戶活動等 IDS 網(wǎng)絡(luò)型入侵檢測系統(tǒng) NetworkIntrusionDetectionSystem NIDS 的數(shù)據(jù)源來自網(wǎng)絡(luò)上的數(shù)據(jù)包 一般地 用戶可將某臺主機(jī)網(wǎng)卡設(shè)定為混雜模式 以監(jiān)聽本網(wǎng)段內(nèi)所有數(shù)據(jù)包 判斷其是否合法 NIDS擔(dān)負(fù)著監(jiān)視整個網(wǎng)段的任務(wù) IDS NIDS的優(yōu)點主要是使用簡便 不會給運行關(guān)鍵業(yè)務(wù)的主機(jī)和網(wǎng)絡(luò)增加任何負(fù)擔(dān) IDS 主機(jī)型入侵檢測系統(tǒng) HostIntrusionDetectionSystem HIDS 往往以系統(tǒng)日志 應(yīng)用程序日志等作為數(shù)據(jù)源 當(dāng)然也可以通過其他手段從所在的主機(jī)收集信息 并進(jìn)行分析 HIDS主要針對其所在的系統(tǒng)進(jìn)行非法行為的檢測 IDS HIDS的缺點 必須為不同平臺開發(fā)不同的應(yīng)用程序 增加了網(wǎng)絡(luò)系統(tǒng)運行負(fù)荷 而且所需安裝的產(chǎn)品數(shù)量眾多HIDS的優(yōu)點 其內(nèi)在結(jié)構(gòu)不受任何約束 它可利用操作系統(tǒng)本身提供的功能 結(jié)合異常分析 更準(zhǔn)確地報告攻擊行為 信息監(jiān)控與取證 INF 某省信息中心網(wǎng)絡(luò)拓?fù)鋱D 信息網(wǎng)絡(luò)系統(tǒng)安全解決方案 全球黑客動向 組織越來越擴(kuò)大化行動越來越公開化案件越來越頻繁化情況越來越復(fù)雜化 微軟面臨的安全挑戰(zhàn) 微軟自身IT基礎(chǔ)每天遭受超過4000次攻擊至少一次DDoS攻擊攻擊來自全世界補丁發(fā)布到系統(tǒng)漏洞被利用Nimda331SQLSlammer180Welchia Nachi151Blaster25沖擊波 7 1 7 16 7 25 8 11 信息安全威脅 間諜軟件釣魚網(wǎng)站僵尸網(wǎng)絡(luò)88 PC有病毒1 3垃圾郵件