第八章 安全管理信息系统.doc

第八章 安全管理信息系统安全8.1 安全管理信息系统安全8.1.1 信息安全的内涵 关于信息安全，不同的人从不同的角度给出不同的定义。 我国计算机信息系统安全专用产品分类原则给出的定义是：“涉及实体安全、运行安全和信息安全三个方面。”国家信息安全重点实验室给出的定义是：“信息安全涉及到信息的机密性、完整性、可用性、可控性。目的就是要保障电子信息体系的有效性。” 美国国家安全局信息保障主任给出的定义是：“因为术语信息安全一直表示信息的机密性，在国防部我们用信息保障来描述信息安全，也叫IA。包含5种安全服务，包括机密性、完整性、可用性、真实性和不可抵赖性。 我国信息安全专家沈昌样院士将信息安全定义为：保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。国际化标准组织ISO信息安全提出的建议定义是:“为数据处理系统建立和采取的技术和管理的安全保护。保护计算机硬件、软件数据不因偶然的和恶意的原因而遭受破坏、更改、泄漏”。综合起来，信息安全是指信息在存贮、获取、传递和处理过程中保持其完整、真实、可用和不被泄漏的特性。更进一步地，信息系统安全可定义为:确保以电磁信号为主要形式的、在计算机网络化系统进行自动通信、处理和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的，与人、网络、与环境有关的技术安全、结构安全和管理安全的总和。8.1.2 信息安全管理的内涵 信息安全管理是通过维护信息的机密性、完整性和可用性等来保护和管理信息资产的一项体制，是为了实现信息安全的目标而进行指导、规范和管理的一系列活动和过程。信息安全管理是企业信息安全保障体系的重要组成部分，是企业发展不可或缺的一部分，对于保护信息资产、降低风险具有重要作用。信息安全管理工作包括制定信息安全方针政策、风险识别、控制目标与制定规范的操作流程、以及对人员进行信息安全培训教育等工作。 8.1.3 信息系统安全的主要威胁凡是使用信息系统的人都知道，灾难可能降临在存储的信息或计算机系统头上。有些是意外灾难，由于停电、电脑使用者没有经验，或是错误使用等原因引起；而有些则是怀有恶意的破坏者故意造成的。信息系统安全的主要威胁包括以下几个方面:（1）意外事件及自然灾害。停电，电脑操作人员的经验不足或粗心，宠物从电脑键盘走过，等等。（2）企业员工和技术顾问。可以访问电子文档的企业内部人员。（3）外部业务往来。电子信息作为业务往来的一部分在两个或更多的业务伙伴间往来就可能存在风险。（4）外部入侵者。侵入网络和电脑系统进行偷窥或破坏的黑客和破坏者（目前在网络上很嚣张的各种病毒就属于这种类型）。 破坏信息系统通常情况下有以下几种方式：未授权访问、信息篡改、拒绝服务、病毒，以及垃圾邮件、间谍软件和Cookie文件。下面就来讨论这些内容。1.未经授权访问人们在无权查看、操作或处理信息的情况下，浏览电子文档查找自己感兴趣的或有用的数据、在屏幕前窥视专有的或机密的信息，或者在信息发布途中将其截获，都属于未授权访问攻击。未授权访问通过偷窃电脑，偷窃存储介质（例如可移动闪存、光盘、或备份磁带），或者仅是打开电脑上未设限制访问的文件就能实现。如果好几个用户共享电脑信息，比如说在一个企业里，内部系统管理员可以要求输入正确的许可信息来阻止对信息的随意窥视或偷窃。此外，管理员可以记录下来未授权个人登录访问的信息。然而，有心的攻击者会想方设法给自己系统管理员的身份或提高自己的访问级别，有时通过窃取密码作为已授权用户登录系统。一种常见的访问密码保护系统的方式是蛮力破解法，即尝试使用大量不同的密码直到找到相匹配的密码。有些系统试图通过增加不成功登录的等待时间，或是使用一种叫CAPTCHAS的验证码识别技术来对付蛮力法。CAPTCHA即全自动区分计算机和人类的图灵测试，它指的是这样一种技术，通常显示为一个组合有字母、数字的扭曲图像，用户必须将图像里的内容输入到格子里（在填写完其他相关信息之后）才能提交。因为图像是扭曲的，所以目前只有人类的眼睛可以识别出这些字母或者数字，从而可以避免自动处理机制不断重复尝试提交表单来获取许可进入系统。 2.信息篡改信息篡改攻击是指有人访问电子信息然后通过某种方式改变信息的内容，比如某员工侵入薪资系统给自己电子加薪和分红，或者黑客入侵政府网站修改信息。 3.拒绝服务拒绝服务攻击是指电子入侵者故意地阻止某项服务的合法用户使用该服务。入侵者经常通过使位于家里、学校或企业的没有安全系统（或安全系统很弱）的电脑感染上病毒或蠕虫来实施这种攻击。当上网的电脑用户没有使用防火墙或杀毒软件来保护自己而易于被攻击时，被安放了恶意代码的染毒服务器就会出现。在用户不知情的情况下，病毒渗入到未受保护的电脑，利用它们将病毒传播到其他的电脑，并对热门网站发起攻击。受到攻击的网站服务器在潮涌般的假冒请求下死机，于是不能对正常因特网用户的合法请求提供服务，举例来说，MyDoom蠕虫病毒能够控制大批染毒服务器来攻击微软公司网站，并完全阻止了其他用户的合法请求。微软公司是病毒作者的关注焦点，微软公司要经常提供下载补丁给它的软件用户以阻止未授权入侵。 4.计算机病毒 病毒是对电脑安全最具威胁的因素之一。病毒一旦破坏数据，就需要公司或个人付出大量的时间、金钱以及资源去弥补它们所造成的损失。病毒由破坏性的代码组成，能删除硬盘数据、控制电脑或造成其他破坏。蠕虫是病毒的一种，它能通过因特网，利用操作系统和软件的安全漏洞进行无休止的复制，进而导致服务器宕机和对因特网用户服务请求的拒绝。举例来说，IdaCode Red蠕虫病毒利用已知的微软网站服务器的安全漏洞，即允许蠕虫大量发送数据包到www.whitehouse.gov，使该服务器超负荷，于是造成拒绝服务攻击，导致美国白宫网站瘫痪。 5.间谍软件、垃圾邮件和Cookie文件 另外三种威胁信息系统安全的方式是间谍软件、垃圾邮件和Cookie文件。 （1）间谍软件间谍软件是指在用户不知情的情况下，通过因特网连接偷偷收集用户信息的软件。间谍软件有时藏在免费软件或共享软件程序中，或者被植入网站，在用户不知情的情况下被下载并安装到用户的电脑上，目的是获取用户的数据来进行市场推广或做广告。间谍软件可以监视计算机用户的活动，并能在后台偷偷地将该信息传给其他人。电子信箱地址、密码、信用卡卡号，以及访问过的网站等信息都可能被间谍软件牧集。从通信的角度看，间谍软件之所以会引发问题，是因为它占用了计算机的内存资源，当它通过因特网连接向其大本营发回信息时，还会占用网络带宽，从而导致系统的不稳定，或者更糟糕的情况是导致系统崩溃。有种特殊的间谍软件叫做广告软件，它能收集用户的个人信息以便量身定做浏览器的网页广告。尽管媒体一直在宣传应立法对间谍软件进行适当的调控，但是认清间谍软件目前并非非法这一点是很重要的。好在防火墙和反间谍软件可以扫描和阻止间谍软件。 （2）垃圾邮件另一种入侵电子邮件造成网络拥堵的常见形式是垃圾邮件。垃圾邮件是指包含垃圾信息的电子邮件或投送垃圾新闻组邮件，通常其目的是为了推销某种产品或服务。垃圾邮件不仅没有任何实际用处，浪费我们的时间，而且还会占用大量的存储空间和网络带宽。有些垃圾邮件就是个骗局，让你为并不存在的慈善事业捐款，或警告你注意根本不存在的病毒或其他网络威胁。有时候，垃圾邮件的附件还带有破坏性的计算机病毒。因此，网络服务供应商和企业内部邮件管理人员现在通常使用防火墙来打击垃圾邮件。有些垃圾邮件是网络钓鱼（或欺骗）邮件，它们通常通过发送垃圾信息到成百上千万的电邮账户（即攻击者对受害者实施“钓鱼”）来骗取银行账号和信用卡持有者给出他们的授权信息。这些虚假信息中的网站链接复制了那些能获取个人信息的合法站点，例如，很多电子邮件用户经常受到来自虚假银行、Epay（网上支付业务）或者PayPal（一种因特网服务商 ）等的攻击。不要回复垃圾邮件，强调这一点是很重要的，尽管有时我们觉得这样做很不错，即使邮件信息包含了将你的邮件地址从接收者列表中删除的指令。回复邮件只会适得其反，因为垃圾邮件发送者可以很容易地识别出有效的电子信箱并标记出来以便以后继续发送垃圾邮件。除了依靠电子邮件的垃圾信息外，还有一种常见的垃圾即时通信消息。垃圾即时通信消息就是一种骗局，因为信息被设计成模仿聊天对话的形式，通常是一个网站链接和一些鼓吹该网站是多么有意思等诸如此类的内容。（3）Cookie文件另一种网上垃圾是Cookie文件。 Cookie文件指的是从网站服务器传递到用户电脑浏览器的信息，然后浏览器以文本格式储存该文件，每当用户浏览器向服务器请求访问页面，该信息就会被发回服务器。 Cookie文件通常用作合法目的，比如识别用户以便为他们准备需要的网页，或是为了认证。举例来说，当用Cookie文件进入一个网站，有可能会被要求填写一张表单，需要填写姓名和兴趣或者是简单地填写邮政编码。这些信息被打包成Cookie文件，通过网络浏览器加以发送，然后储存在电脑上以便日后使用。当你再次访问同一网站时，浏览器就会向服务器发送Cookie文件以便它能根据你的名字、兴趣为你提供个性化的网页，网络服务器还有可能激活你的邮政编码向你提供当地新闻和天气预报。Cookie文件通常记录用户在网站表单上提供的信息（例如，在定购产品的时候），在这种情况下，Cookie文件可能包含敏感信息（比如信用卡号），一旦未经授权的人进入电脑就会带来安全隐患。专门的Cookie管理或Cookie清除软件可以用来管理Cookie文件，可是管理Cookie文件更简单的方法就是使用网络浏览器的设置。举个例子来说，在IE浏览器的设置中，可以对Cookie文件的使用设置不同的等级，可以完全停止使用；如果允许使用，可以定期地从电脑中删除。数字时代的信息系统193-1998.1.3 信息系统安全体系图8-1 信息系统安全体系框架 如图8-1所示，一个完整的信息安全体系应该是组织机构、管理和安全技术实施的结合，三者缺一不可。在信息系统安全体系框架中，从组织机构、技术、管理等多个层面提供用户为保证其信息安全所需要的安全对策、机制和措施，强调在一个安全体系中进行多层保护。在体系中，管理是根本，技术是前提和手段，组织机构（由组织、岗位、人事等模块构成）则是信息安全中最积极的因素，在采用信息安全技术的同时，应该发挥网络系统中最积极的因素“人”的作用，通过信息安全管理制度和机制来规范人在技术实施和安全操作中的职责，发挥人在信息安全实现中的能动性。因此，建设信息安全保障体系首先要解决“人”的问题，建立完善的安全组织结构，其次是解决“人”和“技术”之间的关系，建立层次化的信息安全策略，包括纲领性策略、安全制度、安全指南和操作流程，最后是解决“人”与“技术（操作）”的问题，通过各种安全机制综合实现预警、保护、检测、响应、恢复等来提高信息的安全保障能力。 1.技术体系信息系统安全体系中技术体系框架的设计，可借鉴美国DISSP计划（美军全国防信息系统安全计划）提出的三维安全体系的思路，将协议层次、信息系统构成单元和安全服务(安全机制)作为三维坐标体系的三个维来表示。如图8-2所示。图8-2 安全技术体系三维图安全机制选作X维，协议层选作Y维，信息系统构成单元选作为Z维。在X维中，由于安全机制并不直接配置在协议层上，也不直接作用在系统单元上，而是通过提供安全服务来发挥作用，为便于从三维图中全面地概览信息系统安全体系中的相互关系，将安全机制作为安全服务的底层支撑放在图中；在安全机制中，将OSI安全体系中的八种机制与物理安全中的电磁辐射安全机制放在一起，可使安全服务中的数据保密性和可靠性、可用性功能赋有更为广泛的安全意义，同时也为物理环境的安全提供了重要的安全机制和服务；协议层以OSI七层模型为参考，只选取可适宜配置安全服务的五个层次；每个维中的“安全管理”是一种概念，它是纯粹基于标准(或协议)的各种技术管理。 2. 组织机构体系 组织机构体系是信息系统安全的组织保障系统，由机构、岗位和人事三个模块构成。岗位是信息安全管理部门根据系统安全需要设定的负责某个安全事务的职位，岗位在系统内部可以是具有垂直领导关系的若干层次的一个序列，一个人可以负责一个或几个安全岗位，但一个人不得同时兼任安全岗所对应的系统管理或具体业务岗位。因此岗位并不是一个机构，它由管理机构设定，由人事机构管理。 人事机构是根据管理机构设定的岗位，对岗位上的雇员进行素质教育、业绩考核和安全监管的机构。人事机构的全部管理活动在国家有关安全的法律、法规、政策规定范围内执行。 8.2 安全管理信息系统资源保护 要保护好信息系统安全首先要对该系统各方面进行审核，包括硬件、软件、数据、网络以及所涉及的业务流程。只有这样做，才能知道企业内部的所有系统哪些方面比较薄弱，比较容易被未授权用户侵入或被授权用户不当使用。经过这种审核，我们就可以设计并实施安全计划来充分利用已有资源去保护系统，以阻止（至少是减少）问题的发生。尽管企业的所有员工将参与到安全系统的审核工作中来，但是通常都由信息系统部门的员工来负责实施选定的安全措施。有的公司甚至会专门出钱请外部的咨询公司来入侵和破坏自己的系统，以便发现和修复系统的薄弱之处。为了省几千块钱却造成每年有数百万美元付诸东流，这种做法是很不明智的，因此企业要经常进行信息系统审核。良好的信息系统审核的关键部分也是一次全面的风险分析。所谓风险分析指的是评估被保护资产的价值，确定资产受损的可能性，并比较资产受损带来的损失和保护资产所要花费的成本的整个过程。企业内部员工经常对他们的系统进行风险分析以确保信息系统安全措施经济、有效。风险分析能够让我们确定要对保护系统安全采取什么样的措施。主要有如下3个方面。降低风险。 采用积极的对策来保护系统，比如安装防火墙。承担风险。 不采取对策，接受一切破环性后果。转移风险。 让其他人来承担风险，比如投资保险或把某些职能外包给其他的专业机构。大公司通常均衡使用这三种方式，对某些系统采用降低风险的措施，某些情况下接受风险并置之不理（即选择承担风险），同时也会给全部或大部分系统活动投保（即转移风险）。降低风险主要有两大类措施，一种以技术为主，一种以人为主。任何一个全面的安全计划都会包含这两类措施。数字时代的信息系统2002018.2.1 技术保护信息安全技术是指为了保障信息资产的完整性、保密性、可用性和可控性，而采取的一系列技术手段和安全措施。解决信息安全问题需要具备专业的技能和丰富的安全经验，否则不但不能真正解决问题，稍有不慎或误操作都可能影响系统的正常运行，造成更大的损失。通过专业可靠的安全技术来解决公司日常运行中的各种安全问题，是降低风险、提高信息安全水平的一个重要手段。 信息安全技术既是一项新兴的技术，又是一项综合性的技术，公司网络管理人员必须不断地学习新的技术，掌握新的网络产品的功能，了解网络病毒、密码攻击、分组窃听、IP 欺骗、拒绝服务、端口攻击等多样化的攻击手段，才能更好地完成信息安全管理工作。 1.身份认证技术认证技术是信息安全理论与技术的一个重要方面,是安全系统中的第一道关卡。用户在访问安全系统之前,首先经过身份识别,然后根据用户的身份和授权数据库决定用户是否能够访问某个资源,将非法访问者拒之门外。在安全的网络通信中,涉及的通信各方必须通过某种形式的身份验证机制来证明他们的身份,然后才能实现对于不同用户的访问控制和记录。认证技术的核心是验证被认证对象的参数的真实性与有效性,用户认证的过程就是用户向需要认证的服务器提交能够证明用户身份的证据。常用的身份认证一般有以下几种方式,下面就其优缺点进行分析1)基于口令的认证方式传统的认证技术主要采用基于口令的认证方法。这种认证方法很简单,系统事先保存每个用户的二元组信息(D,PW)。进入系统时用户输入D和PW,系统根据保存的用户信息和用户输入的信息相比较,从而判断用户身份的合法性。 基于口令的认证方式是最常用的一种技术,但它存在严重的安全问题:(1)是一种单因子的认证,安全性仅依赖于口令,口令一旦泄露,用户即可被冒充；(2)用户往往选择简单、容易被猜测的口令,不能抵御口令猜测攻击；(3)口令在传输过程中可能被截获；(4)系统中所有用户的口令以文件形式存储在认证方,攻击者可以利用系统中存在的漏洞获取系统的口令文件,即使口令经过加密后存放在口令文件中,如果口令文件被窃取,那么就可以进行离线的字典式攻击；(5)只能进行单向认证,即系统可以认证用户,而用户无法对系统进行认证,攻击者可能伪装成系统骗取用户的口令。 2)基于一次性口令的认证方式 为了解决上述基于口令的认证方式的诸多问题,安全专家提出了一次性口令(OneTimePaswsoul,OTP)的密码体制。在网络中,窃取系统口令文件和偷听网络连接获取用户D和口令是最见的攻击方式,如果网上传送的口令只使用一次,攻击者就无法用窃取的口令来访问系统,一次性口令系统就是为了抵制这种重放攻击而设计的。OTP的主要思路是:在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程的安全性。例如:登录密码=MDS(用户名+密码+时间),系统接收到登录口令后以同样的算法做一个验算即可验证用户的合法性。 3)基于物理证件的认证方式基于物理证件的认证方式是一种利用用户所用有的某种东西进行认证方式。主要的物理证件有智能卡和目前流行的USBKye等。这种认证方式基于物理证件的物理安全性,即不易伪造和不能直接读取其中数据。没有管理中心发放的物理证件,则不能访问系统资源,即使物理证件丢失,入侵者仍然需要猜测用户口令。基于物理证件的认证方式是一种双因子的认证方式(PNI+物理证件),即使PNI或物理设备被窃取,用户仍不会被冒充,比基于口令的认证方式具有更好的安全性,在一定程度上解决了口令认证方法的前三个问题,可这种方式仍不能抵御口令猜测攻击。 4)基于生物特征的认证方式这种认证方式以人体惟一的、可靠的、稳定的生物特征(如指纹、虹膜、脸部、掌纹等)为依据,采用计算机的强大功能和网络技术进行图像处理和模式识别。该技术具有很好的安全性、可靠性和有效性,与传统的身份确认手段相比,无疑产生了质的飞跃。近几年来,全球的生物识别技术己从研究阶段转向应用阶段,前景十分广阔。但这种方式适用于安全性要求非常高的场合,而且系统的研制和开发费用昂贵。5)基于公钥的认证方式使用基于公钥的认证方式必须有一个第三方的证明授权C(A)中心为客户签发身份证明。客户和服务器各自从CA获取证明,并且信任该证明授权中心。在会话和通讯时首先交换身份证明,其中包含了将各自的公钥交给对方,然后才使用对方的公钥验证对方的数字签名、交换通讯的加密密钥等。在确定是否接受对方的身份证明时,还需检查有关服务器,以确认该证明是否有效。 2.访问控制技术 访问控制是网络安全保护和防范的主要策略，保证网络资源不被非法访问和使用是其主要任务。访问控制是保证网络安全的重要策略。访问控制采用的控制手段比较多，其中包括入网访问控制、网络权限控制、目录级安全控制、属性安全控制以及服务器安全控制等多种主要手段。 1) 入网访问控制 入网访问控制是提供网络访问中第一层访问控制的。入网访问控制可以控制用户在服务器的登录和网络资源的获取，控制用户准许入网的时间以及控制准许他们由哪台工作站入网。入网访问控制分三个步骤来控制用户的访问：验证和识别用户名、验证和识别用户口令、缺省限制检查用户账号。只要步骤中有任何一个没有通过，用户就不可以进入网络进行访问。防止网络被非法访问，首先需要验证网络用户的用户名和口令。由于在显示屏上用户口令不能显示，为保证口令的安全性，口令长度应该大于6个字符，最好由字母、数字，以及其他字符混合组成口令字符串，并且必须对用户口令进行加密。用户口令还可以使用一次性的，或者使用智能卡来对用户身份进行验证。 2) 网络权限控制 针对网络的非法操作，网络权限控制给出了一种安全保护措施。通过赋予一定的权限给用户和用户组，就可以控制用户和用户组对目录、文件和其他资源进行访问，并且还可以对这些目录、文件的执行进行权限控制，主要通过继承权限屏蔽和受托者指派来实现。用户和用户组在受托者指派控制后，就可以在网络服务器中使用设备、目录和文件。相当于一个过滤器进行继承权限屏蔽，控制子目录从父目录的继承权限。用户的访问权限具有以下几类：一般用户和系统管理员。根据实际需要，系统管理员对用户操作权限进行分配，并负责网络的资源使用情况和安全控制的审计。 3) 目录级安全控制 用户对设备、目录、文件的访问通过目录级安全控制来实现。目录级安全控目录的访问权限主要包括：文件查找权限、写权限、创建权限、删除权限、读权限、修改权限、访问控制权限和系统管理员权限。目录和文件的有效权限主要根据以下因素：继承权限屏蔽取消、用户所在组的受托者指派、用户受托者指派的用户权限。为用户指定适当的访问权限是网络管理员需要进行设置的，用户对服务器的访问是由这些访问权限来进行控制。用户有效地完成工作可以通过对访问权限进行有效组合，这样可以对服务器资源的访问进行有效地用户控制，使得服务器和网络的安全性得到加强。 4) 属性安全控制 网络系统管理员指定给目录和文件访问属性，用户使用网络设备、目录和文件时，在安全权限的基础上，属性安全就提供了更进一步的安全性。通过在网络资源上预先标出一组安全属性，建立访问控制表可以把网络资源的访问权限和用户相对应，从而控制用户对网络资源的访问安全。指定的有效权限和任何受托者指派可同样通过属性设置来实现。因此属性安全控制具有以下权限：系统属性、查看目录和文件、拷贝一个文件、删除目录或文件、共享、向某个文件写数据、隐含文件、执行文件等。 5) 服务器安全控制 服务器控制台允许在网络上执行一系列的操作。控制台可以允许用户卸载和装载模块，并且控制软件的删除和安装等操作。服务器安全控制主要包括设定服务器登录时间限制、关闭的时间间隔，非法访问者检测，以及对服务器控制台设置口令锁定，防止非法用户破坏数据，删除和修改重要信息。 3.入侵检测技术任何试图危害资源的可用性、保密性和完整性的活动集合称为入侵。检测入侵活动就是所谓的入侵检测，并采取相对应的措施。动态网络检测技术中包含了入侵检测技术，可以在网络系统中识别恶意的使用行为，包括内部用户的未经授权活动和来自外部用户的入侵行为，网络中一旦发现入侵现象，就应该进行相应的处理。根据若干关键点收集的信息，在计算机系统或者网络中对其进行分析，以确定是否有被攻击的迹象和违反安全策略的行为。 入侵检测系统将得到的数据进行分析，并实现智能化处理，从而得出具有价值的结果。入侵检测系统可以使网络管理员的很多工作得到简化，以确保网络能够安全的运行。实时攻击识别和网络安全检测可以通过入侵检测技术来实现，由于入侵检测系统只是网络系统安全的一个组成部分，因此，在网络安全系统中需要结合使用防火墙等技术，从而实现完整的网络安全解决方案。入侵检测技术在网络中虽然可以对网络攻击行为做出反应和正确识别，由于行为发现是入侵检测技术的侧重点，在整个网络的访问控制策略不能用来代替系统的防火墙。 入侵检测系统的主要功能具体包含以下几个方面： 对已知的攻击行为进行识别； 核查系统漏洞和配置； 对异常行为进行统计分析； 对用户和系统的活动进行分析； 识别违反安全策略的用户活动和操作系统日志管理； 评估数据文件的完整性和系统关键资源。 网络系统构造和弱点的审计； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 在检测方法和系统结构上，入侵检测系统具有三种类型：基于主机的入侵检测系统，基于网络入侵检测系统和基于智能代理的入侵检测系统。 (1) 基于主机的入侵检测系统 该入侵检测系统发现入侵事件是通过审计和分析主机系统的日志文件来实现的，其使用了基于审计追踪的检测方法。网络环境下主机系统通常指的就是设备系统，比如说客户机、防火墙、路由器、服务器以及交换机等。主机系统所有活动记录在日志文件中，可以采用统计分析技术和模式识别来进行审计追踪，比如说神经网络、模型推理和专家系统等。事后进行追踪和分析是基于主机的入侵检测系统的工作方式，由于该系统只能检测已发生的入侵事件，所以对入侵事件反应迟钝，通常用于系统的事后追踪和安全审计，在实时入侵检测场合下不适合应用。 (2) 基于网络的入侵检测系统 该入侵检测系统对于动态检测网络入侵采用实时监测网络数据包的方法。系统通过捕获和检查内容和数据包，比较已知的攻击模式，恶意的网络攻击如果被检测到，那么就阻断攻击采取适当的响应方法。基于网络的入侵检测系统通常由数据库、检测器、响应器和分析器组成。基于网络的入侵检测系统的优点是能够秘密进行入侵检测，因此，被检测的目标很难发现检测行为，并且对基础设施和现有网络系统不会产生影响，还可以使系统平台和被监视目标具有无关性。 (3) 基于智能代理的入侵检测系统 基于代理的分布式网络入侵检测系统属于基于智能代理的入侵检测系统的一种，其主要根据分布式入侵检测模型来扩大监控的范围，通过对网络计算资源的充分利用，减轻主机系统的负载。在该系统中，网络中的各个物理环节都有Agent分布，比如说主机、服务器、路由器、工作站、防火墙等。各Agent之间协同进行工作，并且执行特定的任务，实现全局性控制和决策，该系统充分的利用了Agent之间的信息相关性，使入侵检测的精度得到提高。所以说在可伸缩性上基于代理的分布式系统结构有很好的优势。 检测到非法入侵虽然可以通过网络入侵检测系统来实现，由于很多的网络安全产品互相没有关联性，在安全联动机制上，由于运行机制缺乏协调统一，所以不能与防火墙等安全设备实现联动。 数字化语音室信息系统安全管理方案研究第2章 入侵检测系统的部署遵循如下原则: 1、入侵检测工具的选择应根据每个具体情况的资产的价值、风险的等级、成本的平衡、及可用的资源等原则进行选择； 2、入侵检测可按不同的方式实现，应依据所要保护网络的类型、采用的边界防护系统和安全策略规定的保护级别来决定采用哪种实现方法； 3、对于网络总中心来说，应该在高风险和重点保护的网络环境中，部署基于网络的入侵检测系统，在重要服务器上部署基于主机的入侵检测系统。 由此可以初步确定需要在如下网络环境中部署。 4.数据库加密技术由于传统的数据库保护方式是通过设定口令和访问权限等方法实现的,这就留下了一个很大的安全漏洞数据库管理员可以不加限制地访问数据库中的所有数据,解决这一问题的关键是要对数据库加密。 1)数据库加密的粒度 一般来说,数据库加密的粒度可以有四种：表、属性、记录和数据项。 (1)表级加密是在表一级进行加密,加密解密的对象是整个表； (2)属性加密又称域加密或字段加密,是以表中的列为单位进行加密。一般而言属性的个数少于记录的条数,需要的密钥数相对较少； (3)记录级是在记录这一级上进行,即记录加密方法。它将数据库中的记录看成操作对象,统一作加密解密处理； (4)数据项级则是直接对数据库记录中的各个数据项进行加密,这种方法安全性和灵活性最高,也最为复杂。 数据项加密方法与记录加密方法相比,具有较高的效率。例如,在记录加密方法中,为了对记录中的某些属性进行操作,必须先将整个记录脱密,然后取出特定的数据项进行运算。这显然将严重影响整个数据库的处理能力。而在数据项加密方法中,可以直接对特定的数据项进行脱密,从而提高了系统的效率。 数据加密通过对明文进行复杂的加密操作,以达到无法发现明文和密文之间、密文和密钥之间的内在关系。但是,DBMS（数据库管理系统）要完成对数据库文件的管理和使用,必须要具有能够识别部分数据的条件。因此以下几种字段不能加密: (1)索引字段不能加密。为了达到迅速查询的目的,数据库文件需要建立一些索引,索引的建立和应用必须是明文状态,否则将失去索引的作用。 (2)关系运算的比较字段不能加密。DBMG要组织和完成关系运算,参加并、差、积、商、投影、选择和连接等操作的数据一般都要经过条件筛选,这种“条件”选择项必须是明文,否则DBMS无法进行比较筛选。 (3)表间的连接码字段不能加密。数据模型规范化以后,数据库表之间存在着密切的联系,这种相关性往往是通过“外部编码”联系的,这些编码若加密就无法进行表与表之间的连接运算。 2)子密钥加密技术 数据项级加密的优点在于具有最小的加密粒度,具有更好的灵活性和适应性,所以大多数系统都采用这种方式。但若用数据库密钥对每个数据元素重复加密,对于密文搜索攻击是脆弱的:若各字段的数据元素分别用不同的密钥加密,则密钥个数=记录个数×字段个数,其量是非常惊人的,实际上根本无法管理。 为了解决上述问题,可以采用子密钥加密技术。子密钥加密算法的核心思想是每个数据库表只有一个主密钥,各个数据项元素所用的工作密钥是不同的,工作密钥由主密钥通过子密钥生成函数产生。子密钥生成函数应该满足如下条件:(1) 生成重复子密钥的概率应该尽量低,从而使相同的明文元素用不同的子密钥加密,产生出相同的密文的概率尽量低； (2)生成的子密钥不是弱密钥,从Xij的密文中获得其明文值在计算上是不可行的,从一个子密钥获得另外一个子密钥在计算上是不可行的；(3) 在设计子密钥生成函数时应该考虑到所生成的子密钥是各不相同的。 5.数据传输加密技术数据传输加密技术主要是对传输中的数据流进行加密,以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分,加密可以在通信的三个不同层次来实现，即链路加密(位于OSI网络层以下的加密),节点加密,端到端加密(传输前对文件加密,位于OSI网络层以上的加密)。1)链路加密链路加密(Likn一by-LiknEncryption)是传输数据仅在物理层前的数据链路层进行加密,不考虑信源和信宿,它用于保护通信节点间的数据,接收方是传送路径上的各台节点机,信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。链路加密方案的特点是:(1)在链路层上实现,所以对用户完全透明。(2)独立于用户设备,可以将安全加密设备置于用户设备和公用分组交换网络之间。(3)对现有的网络进行安全改造可行性较好,可以不改变现有的网络通信协议,不涉及网络操作系统,不改变用户通信系统,不涉及用户应用系统。(4)链路加密方案只对线路上的通信数据予以保护,而在各一节点上的数据可能会以明文形式出现,容易遭到攻击。因此要求中继节点是安全可信的。(5)费用比较昂贵,因为每条通信链路都须配备一对安全加密设备。2)节点加密节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为传输的消息提供安全性；都在中间节点先对消息进行解密,然后进行加密。因为要对所有传输的数据进行加密,所以加密过程对用户是透明的。与链路加密不同的是节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。节点加密要求报头和路由信息以明文形式传输,以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务是脆弱的。3)端到端加密端到端加密(End一End Encrpytion)是为数据从一端到另一端提供的加密方式。数据在发送端被加密,在接收端解密,中间节点处不以明文的形式出现。端到端加密是在应用层完成的。在端到端加密中,除报头外的报文均以密文的形式贯穿于全部传输过程,只是在发送端和接收端才有加、解密设备,而在中间任何节点报文均不解密,因此,不需要有密码设备,同链路加密相比,可减少密码设备的数量。这种方案的特点是:(1)加解密过程只在数据传输的收发双方进行,数据的保密性由他们来保证；(2)数据不但在传输过程中受到保护,而且在网络的中继节点也受到保护,因为在端到端的加密方案中中继节能点处不进行解密操作。 6.密码技术密码技术是网络传输信息和存储信息保护的重要手段,它可以实现信息加密、数字签名等安全服务,大大加强信息保密性、完整性、可认证性等。保证信息的机密性是密码技术的最高目标。利用密码技术,可以将某些重要信息和数据从一个可以理解的明文形式变换成一种复杂错乱的、不可理解的密文形式,在线路上传送或在数据库中存储,其他用户再将密文还原成为明文。这样,即使别人窃取了您的数据,由于没有密钥而无法将之还原成明文,从而保证了数据的安全性。数据加密的方法很多,常用的加密方法有常规的对称密码方法和公开密钥方法两大类。前者的加密和解密的密钥相同；而后者的加密密钥和解密密钥则不同,由公开密钥无法推算出私有密钥,因此加密密钥可以公开而解密密钥需要保密。1.对称密钥密码体制所谓对称密钥密码体制,即加密密钥与解密密钥是相同的。如图8-3所示。图8-3对称密钥密码体制在早期的对称密钥密码体制中,典型的有DES算法。DES(Data Encryption standard）算法原是IBM公司为保护产品的机密于1971年至1972年研制成功的,后被美国国家标准局和国家安全局选为数据加密标准,并于1977年颁布使用。ISO也已将DES作为数据加密标准。DES对64位二进制数据加密,产生64位密文数据。使用的密钥为64位,实际密钥长度为56位(有8位用于奇偶校验)。解密过程和加密相似,但密钥的顺序正好相反。DES的保密性仅取决于对密钥的保密,而算法是公开的。DES内部的复杂结构是至今没有找到捷径破译方法的根本原因。现在DES可由软件和硬件实现。 对称加密算法使用起来简单快捷,密钥较短,且破译困难,但是对称加密算法存在以下几个问题： (1)要求提供一条安全的渠道使通讯双方在首次通讯时协商一个共同的密钥。但在实际中,通信渠道的安全性难以保证； (2)密钥的数目难于管理。因为对于每一个合作者都需要使用不同的密钥很难适应开放社会中大量的信息交流； (3)对称加密算法一般不能提供信息完整性的鉴别。它无法验证收发双方的身份； (4)对称密钥的管理和分发工作是一件具有潜在危险的和烦琐的过程。 为使DES算法的安全性进一步提高，针对DES算法实现过程的不同方面，产生了多种DES算法的变形，3DES就是其中一种。3DES是使用三种不同的密钥进行三次DES加密。先用第一个子密钥对数据进行加密，然后用第二个子密钥进行解密，最后用第三个子密钥再次加密。它比DES具有很高的安全性,因而在性能方面也要慢一些。DES曾为全球的商贸、金融等部门提供了可靠的通信安全保障，但随着计算机速度的提高和价格的下降，DES算法因密钥长度不足和复杂性不够,密钥分配困难等问题以及加密技术的发展，导致基于新的密钥交换协议的新的加密算法的不