收藏
下载资源

信息系统安全第5章.ppt

上传人:壹****1 文档编号:569545417 上传时间:2024-07-30 格式:PPT 页数:41 大小:296.55KB
返回 下载 相关 举报
信息系统安全第5章.ppt_第1页
第1页 / 共41页
信息系统安全第5章.ppt_第2页
第2页 / 共41页
信息系统安全第5章.ppt_第3页
第3页 / 共41页
信息系统安全第5章.ppt_第4页
第4页 / 共41页
信息系统安全第5章.ppt_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《信息系统安全第5章.ppt》由会员分享,可在线阅读,更多相关《信息系统安全第5章.ppt(41页珍藏版)》请在金锄头文库上搜索。

1、张基温 编著 信息系统安全教程 第5章 信息系统防卫第5章信息系统防卫张基温 编著 信息系统安全教程 第5章 信息系统防卫5.1 防火墙技术防火墙技术张基温 编著 信息系统安全教程 第5章 信息系统防卫5.1.1 防火墙的功能防火墙的功能1. 作为网络安全的屏障2. 防止攻击性故障蔓延和内部信息的泄露3. 强化网络安全策略4. 对网络存取和访问进行监控审计和报警5. 远程管理6. MAC与IP地址的绑定7. 流量控制(带宽管理)和统计分析、流量计费8. 其他功能张基温 编著 信息系统安全教程 第5章 信息系统防卫网络防火墙的基本结构1. 屏蔽路由器(Screening Router) 和屏蔽主

2、机(Screening Host)防火墙屏蔽路由器内部网外网具有数据包过滤功能的路由器称为屏蔽路由器。 张基温 编著 信息系统安全教程 第5章 信息系统防卫网络防火墙的基本结构2. 双宿主网关(Dual Homed Gateway)双穴主机外网内部网张基温 编著 信息系统安全教程 第5章 信息系统防卫网络防火墙的基本结构3. 堡垒主机(Bastion Host)屏蔽路由器内部网堡垒主机信息服务器 内部主机双连点堡垒主机过滤式防火墙过滤路由器内部网堡垒主机信息服务器专用网主机单连点堡垒主机过滤式防火墙外部网外部网张基温 编著 信息系统安全教程 第5章 信息系统防卫网络防火墙的基本结构4. 屏蔽子

3、网(Screening Subnet) 防火墙外网堡垒主机信息服务器内部网DMZ内部路由器外部路由器张基温 编著 信息系统安全教程 第5章 信息系统防卫5.1.3 网络防火墙的局限网络防火墙的局限1. 防火墙可能留有漏洞Internet防火墙安全漏洞专用网IPS2. 防火墙不能防止内部出卖性攻击或内部误操作3. 防火墙不能防止数据驱动式的攻击张基温 编著 信息系统安全教程 第5章 信息系统防卫5.2 信息系统安全审计信息系统安全审计安全审计安全审计对系统安全方案中的功能提供持续的评估。这就是安全审计。安全审计功能安全审计功能(1)记录关键事件。关于关键事件的界定由安全官员决定。(2)对潜在的攻

4、击者进行威慑或警告。(3)为系安全管理员提供有价值的系统使用日志,帮助系统管理员及时发现入侵行为和系统漏洞。(4)为安全官员提供一组可供分析的管理数据,用于发现何处有违反安全方案的事件, 张基温 编著 信息系统安全教程 第5章 信息系统防卫5.2.2 安全审计日志安全审计日志典型的日志内容有:事件的性质:数据的输入和输出,文件的更新(改变或修改),系统的用途或期望;全部相关标识:人、设备和程序;有关事件的信息:日期和时间,成功或失败,涉及因素的授权状态,转换次数,系统响应,项目更新地址,建立、更新或删除信息的内容,使用的程序,兼容结果和参数检测,侵权步骤等。对大量生成的日志要适当考虑数据的保存

5、期限。张基温 编著 信息系统安全教程 第5章 信息系统防卫5.2.3 安全审计的类型安全审计的类型1. 根据审计的对象分类操作系统的审计;应用系统的审计;设备的审计;网络应用的审计。2. 审计的关键部位(1)对来自外部攻击的审计;(2)对来自内部攻击的审计;(3)对电子数据的安全审计。张基温 编著 信息系统安全教程 第5章 信息系统防卫5.3 入侵检测入侵检测入侵检测(Intrusion Detection)就是对入侵行为的发觉。 入侵检测系统的主要功能有:监视并分析用户和系统的行为;审计系统配置和漏洞;评估敏感系统和数据的完整性;识别攻击行为、对异常行为进行统计;自动收集与系统相关的补丁;审

6、计、识别、跟踪违反安全法规的行为;使用诱骗服务器记录黑客行为;入侵检测系统(Intrusion Detection System, IDS)是进行入侵检测的软件和硬件的组合。张基温 编著 信息系统安全教程 第5章 信息系统防卫5.3.2 入侵检测原理入侵检测原理当前操作入侵检测攻击识别模块攻击处理模块是攻击否?监测NY历史记录入侵监测攻击处理模块攻击识别模块是攻击否?返回NY事后入侵检测的过程实时入侵检测过程张基温 编著 信息系统安全教程 第5章 信息系统防卫入侵检测系统的优点及其局限提高了信息系统安全体系其他部分的完整性;提高了系统的监察能力;可以跟踪用户从进入到退出的所有活动或影响;能够识

7、别并报告数据文件的改动;可以发现系统配置的错误,并能在必要时予以改正;可以识别特定类型的攻击,并进行报警,作出防御响应;可以使管理人员最新的版本升级添加到程序中;允许非专业人员从事系统安全工作;可以为信息系统安全提供指导。在无人干预的情形下,无法执行对攻击的检测;无法感知组织(公司)安全策略的内容;不能弥补网络协议的漏洞;不能弥补系统提供信息的质量或完整性问题;不能分析网络繁忙时的所有事物;不能总是对数据包级的攻击进行处理;张基温 编著 信息系统安全教程 第5章 信息系统防卫5.3.3 入侵检测系统的功能结构入侵检测系统的功能结构入侵检测系统的通用模型数据收集数据分析结果处理数据数据事件结果张

8、基温 编著 信息系统安全教程 第5章 信息系统防卫1. 信息收集(1)数据收集的内容 主机和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息(2)入侵检测系统的数据收集机制 基于主机的数据收集和基于网络的数据收集子网1子网2子网3控制台防火墙 Web服务器域 名服务器 Internet网络引擎内部网 分布式与集中式数据收集机制 直接监控和间接监控 外部探测器和内部探测器张基温 编著 信息系统安全教程 第5章 信息系统防卫2. 数据分析(1)异常发现技术(2)模式发现技术 状态建模 串匹配 专家系统 基于简单规则(3)混合检测人工免疫方法;遗传算法;数据挖掘;

9、。张基温 编著 信息系统安全教程 第5章 信息系统防卫3. 入侵检测系统的特征库来自保留IP地址的连接企图:可通过检查IP报头(IP header)的来源地址识别。带有非法TCP 标志联合物的数据包:可通过TCP 报头中的标志集与已知正确和错误标记联合物的不同点来识别。含有特殊病毒信息的Email:可通过对比每封Email的主题信息和病态Email的主题信息来识别,或者通过搜索特定名字的外延来识别。查询负载中的DNS 缓冲区溢出企图:可通过解析DNS域及检查每个域的长度来识别。另外一个方法是在负载中搜索“壳代码利用”(exploit shellcode)的序列代码组合。对POP3服务器大量发出

10、同一命令而导致DoS攻击:通过跟踪记录某个命令连续发出的次数,看看是否超过了预设上限,而发出报警信息。未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击:通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话,发现未经验证却发命令的入侵企图。张基温 编著 信息系统安全教程 第5章 信息系统防卫4. 响应(1)主动响应针对入侵者采取的措施;修正系统;收集更详细的信息。(2)被动响应在被动响应系统中,系统只报告和记录发生的事件。张基温 编著 信息系统安全教程 第5章 信息系统防卫5.3.4 入侵检入侵检测系统测系统的实现的实现入侵检测系统设置的基本过程 确定安全需求设计IDE的拓扑拓扑改

11、变?配置系统磨合调试磨合达标?使 用拓扑变更或安全更新?调整参数是是否是否否张基温 编著 信息系统安全教程 第5章 信息系统防卫在基于网络的入侵检测系统中部署入侵检测器检测器位置:(1)DMZ区内(2)内网主干(防火墙内侧)(3)外网入口(防火墙外侧)(4)在防火墙的内外都放置(5)关键子网内部网关键子网检测器(3)(4)检测器(1)检测器(2)(4)检测器(5)张基温 编著 信息系统安全教程 第5章 信息系统防卫在基于主机的入侵检测系统中部署入侵检测器基于主机的入侵检测系统通常是一个程序。在基于网络的入侵检测器的部署和配置完成后,基于主机的入侵检测将部署在最重要、最需要保护的主机上。张基温

12、编著 信息系统安全教程 第5章 信息系统防卫4. 报警策略 检测到入侵行为需要报警。具体报警的内容和方式,需要根据整个网络的环境和安全需要确定。例如:对一般性服务企业,报警集中在已知的有威胁的攻击行为上;对关键性服务企业,需要尽将可能多的报警记录并对部分认定的报警进行实时反馈。张基温 编著 信息系统安全教程 第5章 信息系统防卫5.3.4 入侵检测产品的选择入侵检测产品的选择1. 购买入侵检测系统考虑的基本因素实时性。自动反应能力。能检测到所有事件,不会发生遗漏警报。跨平台性好,能在多种平台上运行。2. 理想的入侵检测系统的几个特点快速控制。良好的误报警管理。显示过滤器。标志已经分析过的事件。

13、层层探究的能力。关联分析能力。报告能力。张基温 编著 信息系统安全教程 第5章 信息系统防卫5.4 网络诱骗网络诱骗项 目被动防御系统主动防御系统主动性被动地守株待兔式防御主动跟踪攻击者攻防方式攻击这主动选择攻击目标,可随意攻击;事先掌握攻击者的行为,进行跟踪,有效制止攻击者的破坏行为对攻击者的威慑对攻击方不构成威胁能对攻击者造成威胁和损害: 诱惑黑客攻击虚假网络而忽视真正的网络 加重黑客的工作量,消耗其资源,让系统管理员有足够时间响应; 收集黑客信息和企图,以便系统进行安全防护和检测。 为起诉留下证据张基温 编著 信息系统安全教程 第5章 信息系统防卫5.4.1 蜜罐蜜罐1. 蜜罐的特点蜜罐

14、是一个包含有漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。蜜罐不向外界提供真正有价值的服务。所有与蜜罐的连接尝试都被视为可疑的连接。2. 蜜罐的目的引诱攻击,拖延对真正有价值目标的攻击;消耗攻击者的时间,以便收集信息,获取证据。3. 蜜罐的主要形式(1)空系统(2)镜像系统(3)虚拟系统张基温 编著 信息系统安全教程 第5章 信息系统防卫5.4.2 蜜网技术蜜网技术 路由器 防火墙Linux密罐主机IDS 交换机Windows密罐主机Solaris密罐主机日志密罐主机日志及报警管理主机 安全管理子网 蜜网子网1. 第一代蜜网张基温 编著 信息系统安全教程

15、第5章 信息系统防卫路由器 HUB密罐 密罐密罐 HUB 蜜网探测器 蜜网子网 受保护子网2. 第二代蜜网张基温 编著 信息系统安全教程 第5章 信息系统防卫宿主机系统虚拟系统虚拟系统虚拟系统3. 第三代蜜网张基温 编著 信息系统安全教程 第5章 信息系统防卫5.4.3 常见网络诱骗工具及产品常见网络诱骗工具及产品 1. 蜜罐实现工具(1)winetd(2)DTK(3)Honeyd2. 蜜网实现工具(1)数据控制:Jptable、snort_inline.。(2)数据捕获:Termlog、Sebek2、snort、Comlog。(3)数据收集:Obfugator。(4)数据分析:Privmsg

16、、TASK、WinInterrogate。张基温 编著 信息系统安全教程 第5章 信息系统防卫5.5 计算机取证计算机取证5.5.1 数字证据的特点数字证据的特点1. 依附性和多样性2. 可伪性和弱证明性3. 数据的挥发性数 据硬件或位置存活时间CPU高速缓冲器,管道几个时钟周期系统RAM关机前内核表进程中关机前固定介质Swap/tmp直至被覆盖或被抹掉可移动介质Cdrom,Floppy,HDO直至被覆盖或被抹掉打印输出被拷贝打印输出直至被毁坏张基温 编著 信息系统安全教程 第5章 信息系统防卫5.5.2 数字取证的基本原则数字取证的基本原则1. 符合程序2. 共同监督3. 保护隐私4. 影响

17、最小如果取证要求必须运行某些业务程序,应当使运行时间尽量短;必须保证取证不给系统带来副作用,如引进病毒等。5. 连续完全6. 原汁原味必须保证提取出来的证据不受电磁或机械的损害;必须保证收集的证据不被取证程序破坏。张基温 编著 信息系统安全教程 第5章 信息系统防卫5.5.3 数字取证的一般步骤数字取证的一般步骤1. 保护现场在取证过程中,保护目标系统,避免发生任何改变、损害;保护证据的完整性,防止证据信息的丢失和破坏;防止病毒感染。2. 证据发现证据信息分为两大类:实时信息(或易失信息),例如网络连接; 非易失信息,即不会随时间或设备断电消失。3. 证据固定4. 证据提取过滤和挖掘;解码:对

18、软件或数据碎片进行残缺分析、上下文分析,恢复原来的面貌。5. 证据分析犯罪行为重构;嫌疑人画像;确定犯罪动机;受害程度行为分析等。6. 提交证据。张基温 编著 信息系统安全教程 第5章 信息系统防卫5.5.4 数字取证的数字取证的 基本技术和工具基本技术和工具利用IDS取证利用蜜罐取证张基温 编著 信息系统安全教程 第5章 信息系统防卫1. 利用IDS取证(1)确认攻击检查的主要内容有:寻找嗅探器(如sniffer);寻找远程控制程序(如netbus、back orifice);寻找黑客可能利用的文件共享或通信程序(如eggdrop、irc)寻找特权程序(如find/-perm-4000-pr

19、int);寻找未授权的服务(如netstat a、check inetd.conf);寻找异常文件(考虑系统磁盘大小);检查文件系统的变动;检查口令文件的变动并寻找新用户;检测cron和at jobs;核对系统和网络配置(特别注意过滤规则);检查所有主机(特别是服务器)。(2)取证过程1 决定取证的目的观察研究攻击者。跟踪并驱赶攻击者。捕俘攻击者。准备起诉攻击者。2 启动必要的法律程序。3 对系统进行完全备份,包括用tcpdump作完全的分组日志;有关协议分组的来龙去脉;一些会话(如telnet、rlogin、IRC、FTP等)的可能内容。4 根据情况有选择地关闭计算机系统不彻底关闭系统(否则

20、造成信息改变,证据破坏)。不断开网络。将系统备份转移到单用户模式下制作和验证备份。考虑制作磁盘镜像。同步磁盘,暂停系统。5 调查攻击者来源利用tcpdump/who/syslog。运行finger对抗远程系统。寻找攻击者可能利用的账号。张基温 编著 信息系统安全教程 第5章 信息系统防卫2. 利用蜜罐取证(1)获取入侵者信息。(2)获取关于攻击的信息: 攻击的手段、日期和时间; 入侵者添加了一些什么文件? 是否安装了嗅探器或密码?若有,在何处? 是否安装有“rootkit”或木马程序?若有,传播途径是什么? 。(3)建立事件的时间序列。(4)事故费用分析。(5)向管理层、媒体以及法庭提交相应的

21、报告。张基温 编著 信息系统安全教程 第5章 信息系统防卫5.5.5 数字证据数字证据的法律问题的法律问题1. 数字证据的真实性2. 数字证据的证明力3. 数字取证工具的法律效力(1)可测试性漏判测试误判测试(2)错误率可能存在两类错误:工具执行错误提取错误(3)公开性(4)可接受性张基温 编著 信息系统安全教程 第5章 信息系统防卫5.6 数据容错、数据容灾和数据备份数据容错、数据容灾和数据备份保证系统可靠性的三条途径:避错纠错容错 完善设计和制造,试图构造一个不会发生故障的系统。但是,这是不太现实的 任何一个系统总会有纰漏。因此,人们不得不用纠错作为避错的补充。 灾害对系统危害要比错误要大

22、、要严重;即使出现错误,系统也还能执行一组规定的程序。 张基温 编著 信息系统安全教程 第5章 信息系统防卫5.6.1 数据容错数据容错1. 数据容错系统分类(1)高可用度系统(2)长寿命系统(3)延迟维修系统(4)高性能系统(5)关键任务系统2. 常用数据容错技术(1)“空闲”设备“空闲”设备也称双件热备,就是配置两套相同的部件。(2)镜像镜像是两个相同的部件。(3)复现复现也称延迟镜像。(4)负载均衡张基温 编著 信息系统安全教程 第5章 信息系统防卫5.6.2 数据容灾数据容灾1. 数据容灾等级(1)第0级:本地备份、本地保存的冷备份 (2)第1级:本地备份、异地保存的冷备份(3)第2级:热备份站点备份(4)第3级:活动互援备份 2. 异地容灾技术(1)远程镜像技术 (2)快照技术 (3)互连技术(4)虚拟存储张基温 编著 信息系统安全教程 第5章 信息系统防卫5.6.3 数据备份数据备份1. 数据备份的策略(1)完全备份(full backup)(2)增量备份(incremental backup)(3)差别备份(differential backup)(4)按需备份2. 数据备份模式(1)逻辑备份基于文件(file-based)备份 (2)物理备份基于块(block-based)备份或基于设备(device-based)备份 3. 数据备份环境(1)冷备份(2)热备份

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 研究生课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号