最新因特网安全协议11509幻灯片.ppt

《最新因特网安全协议11509幻灯片.ppt》由会员分享，可在线阅读，更多相关《最新因特网安全协议11509幻灯片.ppt（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第七章第七章 安全管理与审计安全管理与审计7.1 基本概念基本概念 本节介绍有关安全管理、安全审计以及入侵检本节介绍有关安全管理、安全审计以及入侵检测等方面的基本概念。测等方面的基本概念。7.1.1 安全管理目标安全管理目标7.1.2 安全管理原则安全管理原则7.1.3 安全管理措施安全管理措施7.1.4 人员管理人员管理7.1.5 技术管理技术管理第七章第七章 安全管理与审计安全管理与审计第七章第七章 安全管理与审计安全管理与审计第七章第七章 安全管理与审计安全管理与审计第七章第七章 安全管理与审计安全管理与审计第七章第七章 安全管理与审计安全管理与审计第七章第七章 安全管理与审计安全管理与

2、审计第七章第七章 安全管理与审计安全管理与审计网络层的安全检测措施，主要是预防黑客的攻击，它网络层的安全检测措施，主要是预防黑客的攻击，它是一种主动的预防行为。是一种主动的预防行为。应用层的安全措施有如下几方面：应用层的安全措施有如下几方面：建立全局的电子身份认证系统。建立全局的电子身份认证系统。实现全局资源的统一管理。实现全局资源的统一管理。信息传输加密。信息传输加密。实现审讯记录和统计分析。实现审讯记录和统计分析。7.1.3 安全管理措施安全管理措施第七章第七章 安全管理与审计安全管理与审计7.1.4 人员管理人员管理用户的安全意识用户的安全意识系统管理员的安全意识。系统管理员的安全意识。

3、第七章第七章 安全管理与审计安全管理与审计7.1.5 技术管理技术管理 静态安全技术静态安全技术缺点是需要人工来实施和维护，不能主动跟踪入侵缺点是需要人工来实施和维护，不能主动跟踪入侵者。者。 动态安全技术动态安全技术最大优点在于最大优点在于“主动性主动性”，通过将实时捕捉和分析，通过将实时捕捉和分析系统与网络监视系统相结合，入侵检测系统能够发现系统与网络监视系统相结合，入侵检测系统能够发现危险攻击的特征，进而探测出攻击行为并发出警报，危险攻击的特征，进而探测出攻击行为并发出警报，同时采取保护措施。同时采取保护措施。网络测试技术网络测试技术系统安全测试系统安全测试Web安全测试安全测试系统漏洞

4、检测系统漏洞检测防火墙的测试防火墙的测试第七章第七章 安全管理与审计安全管理与审计7.2 安全管理安全管理1、OSI管理标准框架结构管理标准框架结构 管理信息模型管理信息模型 管理信息定义管理信息定义 受管对象定义指南受管对象定义指南 一般管理信息一般管理信息另一个标准另一个标准ISO/IEC1O164审计管理、配置管理、容错管理、性能管理和安全管理这五个审计管理、配置管理、容错管理、性能管理和安全管理这五个管理功能区中定义了大量的系统管理功能。管理功能区中定义了大量的系统管理功能。7.2.1 CMIP的安全管理的安全管理第七章第七章 安全管理与审计安全管理与审计2、通用管理信息协议、通用管理

5、信息协议CMIP：是一个采用了远程操作：是一个采用了远程操作模型的请求模型的请求/应答协议，提供以下两种服务：应答协议，提供以下两种服务：传输由管理系统发起并面向受管对象的操作。传输由管理系统发起并面向受管对象的操作。传输由受管对象产生的事件通知。传输由受管对象产生的事件通知。面向受管对象的操作有：面向受管对象的操作有：获得关于一个受管对象或它的集合属性值。获得关于一个受管对象或它的集合属性值。更改一个或多个受管对象的一个或多个属性值。更改一个或多个受管对象的一个或多个属性值。发起并产生一个受管对象。发起并产生一个受管对象。从环境中取消一个或多个受管对象。从环境中取消一个或多个受管对象。激发一

6、个作为受管对象一部分的预定义行为过程。激发一个作为受管对象一部分的预定义行为过程。停止一个停止一个GET操作。操作。7.2.1 CMIP的安全管理的安全管理第七章第七章 安全管理与审计安全管理与审计 安全警报报告功能安全警报报告功能 安全警报能导致以下一些行动：监督可疑用户，取安全警报能导致以下一些行动：监督可疑用户，取消可疑用户的权限，调用更强的保护机制，去掉或修消可疑用户的权限，调用更强的保护机制，去掉或修复故障网络或系统的某个组成部件。复故障网络或系统的某个组成部件。安全警报通过安全警报通过M-EVENT-REPORT通知给管理系统。通知给管理系统。安全警报报告中传递的参数分为三类安全警

7、报报告中传递的参数分为三类事件类型和安全警报原因的组合表明了警报的原因。事件类型和安全警报原因的组合表明了警报的原因。安全警报的安全参数指明了由初始受管客体发觉的警报意义。安全警报的安全参数指明了由初始受管客体发觉的警报意义。安全警报检测器参数是标识检测警报条件的实体。安全警报检测器参数是标识检测警报条件的实体。7.2.1 CMIP的安全管理的安全管理第七章第七章 安全管理与审计安全管理与审计4、安全审计追踪功能、安全审计追踪功能 安全审计追踪用来检测一个安全策略的正确性，安全审计追踪用来检测一个安全策略的正确性，确认与安全策略的一致性，帮助分析攻击，并且收确认与安全策略的一致性，帮助分析攻击

8、，并且收集用于起诉攻击者的证据。集用于起诉攻击者的证据。 安全审计追踪功能为将事件信息传递给维护日志安全审计追踪功能为将事件信息传递给维护日志并创建和恢复日志实体的系统提供了必要的支持。并创建和恢复日志实体的系统提供了必要的支持。 安全审计追踪功能标准另外定义了两个特殊的通安全审计追踪功能标准另外定义了两个特殊的通知，分别与服务报告和使用报告对应。知，分别与服务报告和使用报告对应。服务报告表明了与一些服务的提供、拒绝或恢复服务报告表明了与一些服务的提供、拒绝或恢复有关的事件。有关的事件。使用报告用于有安全意义的日志统计信息。使用报告用于有安全意义的日志统计信息。7.2.1 CMIP的安全管理的

9、安全管理第七章第七章 安全管理与审计安全管理与审计 管理资源的访问控制管理资源的访问控制 访问控制体系结构中，发起者是管理系统或系统中的访问控制体系结构中，发起者是管理系统或系统中的管理员，目标是受管系统的信息资源。管理员，目标是受管系统的信息资源。 基于访问控制规则来决定是允许还是拒绝访问请求。基于访问控制规则来决定是允许还是拒绝访问请求。访问规则本身可以表示成管理信息条目并且使用访问规则本身可以表示成管理信息条目并且使用CMIP协协议来管理。议来管理。 一条规则的说明书中包含了许多要素，其中包括访问一条规则的说明书中包含了许多要素，其中包括访问的许可、发起者列表、目标列表、时间表、状态条件

10、以及的许可、发起者列表、目标列表、时间表、状态条件以及认证内容等。认证内容等。 在访问控制决策过程中，首先需要验证伴随访问请求在访问控制决策过程中，首先需要验证伴随访问请求出现的任何访问控制信息。出现的任何访问控制信息。 使用规则的方法取决于所使用的特定访问控制机制。使用规则的方法取决于所使用的特定访问控制机制。7.2.1 CMIP的安全管理的安全管理第七章第七章 安全管理与审计安全管理与审计CMIP的安全特性的安全特性 CMIP协议格式说明中包括了最小安全特征。协议格式说明中包括了最小安全特征。 CMIP会话中的所有数据的完整性和机密性由端系统级的会话中的所有数据的完整性和机密性由端系统级的

11、安全服务来保证。安全服务来保证。7.2.1 CMIP的安全管理的安全管理第七章第七章 安全管理与审计安全管理与审计7.2.2 SNMP的安全管理的安全管理1、SNMP构成构成 简单网络管理协议（简单网络管理协议（SNMP）是支持基于）是支持基于TCP/IP的系统的系统管理的一组因特网标准的一部分。管理的一组因特网标准的一部分。 SNMP体系结构的主要部件是一个网络管理站和一些网体系结构的主要部件是一个网络管理站和一些网络要素。网络管理站是一个运行了络要素。网络管理站是一个运行了SNMP以及一些网络管理以及一些网络管理应用的主机系统。网络要素是受管系统，如主机、路由器、应用的主机系统。网络要素是

12、受管系统，如主机、路由器、网关或服务器。网关或服务器。 在网络管理站和网络要素之间进行的通信中，实现在网络管理站和网络要素之间进行的通信中，实现SNMP的实体被称为的实体被称为SNMP协议实体或简单的协议实体或简单的SNMP实体。实体。一个一个SNMP实体可以以管理者角色或代理角色进行的操作。实体可以以管理者角色或代理角色进行的操作。 SNMP也通过代理服务器提供对设备的管理。也通过代理服务器提供对设备的管理。第七章第七章 安全管理与审计安全管理与审计2、协议操作、协议操作 SNMP特别适合于实现相对小的网络系统，它有特别适合于实现相对小的网络系统，它有6个基本的个基本的SNMP协议互操作，涉

13、及到协议互操作，涉及到7种类型的种类型的PDU。 3、管理功能、管理功能 在在SNMP版本版本1中，采用了基于团体的管理模型。中，采用了基于团体的管理模型。 在在SNMP版本版本2中，定义了加强的管理模型。中，定义了加强的管理模型。4、SNMP安全服务安全服务 两个主要威胁是数据篡改和伪造。两个次要的威胁是修改消息两个主要威胁是数据篡改和伪造。两个次要的威胁是修改消息流和窃听。因此，所要求的安全服务有：将服务的完整性和数据流和窃听。因此，所要求的安全服务有：将服务的完整性和数据起源认证结合起来、序列的完整性以及数据的机密性。起源认证结合起来、序列的完整性以及数据的机密性。 这样就导致了两个这样

14、就导致了两个SNMP安全协议的定义。安全协议的定义。摘要认证协议提供了数据完整性、数据起源认证和序列完整摘要认证协议提供了数据完整性、数据起源认证和序列完整性保护。性保护。对称秘密协议提供了数据的机密性保护。对称秘密协议提供了数据的机密性保护。7.2.2 SNMP的安全管理的安全管理第七章第七章 安全管理与审计安全管理与审计5、摘要认证协议：通过一个认证信息数据项提供保护。、摘要认证协议：通过一个认证信息数据项提供保护。该项连同一个常用的该项连同一个常用的SNMP PDU结合到一个结合到一个SNMP认证消认证消息中。息中。认证信息项由下面三部分组成：认证信息项由下面三部分组成： 起源认证时间戳

15、：该字段传递产生消息的时间，该时间起源认证时间戳：该字段传递产生消息的时间，该时间根据起源成员的时钟得到。根据起源成员的时钟得到。 目的认证时间戳：该字段传递产生消息的时间，该时间目的认证时间戳：该字段传递产生消息的时间，该时间根据目的成员的时钟得到。根据目的成员的时钟得到。 认证摘要：该字段传递一个封章，封章是通过对消息计认证摘要：该字段传递一个封章，封章是通过对消息计算得到的。算得到的。7.2.2 SNMP的安全管理的安全管理第七章第七章 安全管理与审计安全管理与审计6、对称秘密协议、对称秘密协议 对称秘密协议像摘要认证协议一样，通过加密对称秘密协议像摘要认证协议一样，通过加密一个一个SN

16、MP认证消息来提供秘密保护。加密使用了认证消息来提供秘密保护。加密使用了一个对称密码算法和一个预先已经建立的秘密密钥。一个对称密码算法和一个预先已经建立的秘密密钥。推荐的算法是推荐的算法是DES的的CBC模式。密钥长度为模式。密钥长度为128比比特。由特。由56比特比特DES密钥（加上密钥（加上8位的奇偶位）和位的奇偶位）和64比比特的初始向量组成。为了保证每特的初始向量组成。为了保证每8位组加密，消息要位组加密，消息要求补齐。求补齐。7.2.2 SNMP的安全管理的安全管理第七章第七章 安全管理与审计安全管理与审计7、SNMP安全的管理安全的管理 SNMP安全协议的使用依赖于下列管理功能：安

17、全协议的使用依赖于下列管理功能：（1）密钥管理，包括认证密钥和秘密密钥；）密钥管理，包括认证密钥和秘密密钥；（2）确保所有系统中的时钟同步，因为序列完整性）确保所有系统中的时钟同步，因为序列完整性的正确功能取决于这种同步；的正确功能取决于这种同步；（3）建立和维护每个系统的信息，这些系统与发生）建立和维护每个系统的信息，这些系统与发生通信的通信的SNMP成员有关。成员有关。7.2.2 SNMP的安全管理的安全管理第七章第七章 安全管理与审计安全管理与审计8、访问控制：、访问控制：SNMP版本版本2管理模型包括一个访问控管理模型包括一个访问控制模型，用来管理哪些制模型，用来管理哪些SNMP PD

18、U可以合法地在成员之可以合法地在成员之间发送，该模型是关于一组特定受管对象资源。访问控间发送，该模型是关于一组特定受管对象资源。访问控制信息以访问控制列表的形式存在。一个访问控制列表制信息以访问控制列表的形式存在。一个访问控制列表有下列组成部分：有下列组成部分：目标目标 主体主体 资源资源 权利权利7.2.2 SNMP的安全管理的安全管理第七章第七章 安全管理与审计安全管理与审计 安全审计是系统记录和活动的独立复审和验证。安安全审计是系统记录和活动的独立复审和验证。安全审计的目的包括全审计的目的包括辅助辨识和分析未经授权的活动或攻击；辅助辨识和分析未经授权的活动或攻击；帮助并且保证那些实体响应

19、行动处理这些活动；帮助并且保证那些实体响应行动处理这些活动；促进开发改进的损伤控制处理程序；促进开发改进的损伤控制处理程序；认可与已经建立的安全策略的一致性；认可与已经建立的安全策略的一致性；报告那些可能与系统控制不相适应的信息；报告那些可能与系统控制不相适应的信息；辨识可能需要的对控制、策略和处理程序的改变。辨识可能需要的对控制、策略和处理程序的改变。7.3 安全审计安全审计 7.3.1安全审计的目的安全审计的目的第七章第七章 安全管理与审计安全管理与审计7.3.1 安全审计的目的安全审计的目的 安全报警是由个人或进程发出的警告，以指安全报警是由个人或进程发出的警告，以指示发生了异常情况，可

20、能需要及时的行动。安全报示发生了异常情况，可能需要及时的行动。安全报警的目的包括：警的目的包括：报告实际的或明显的违背安全的企图；报告实际的或明显的违背安全的企图；报告各种安全相关的事件，包括报告各种安全相关的事件，包括“正常正常”事件；事件；报告达到一定门限后触发产生的事件。报告达到一定门限后触发产生的事件。第七章第七章 安全管理与审计安全管理与审计7.3.2 系统记账与日志系统记账与日志 审计是记录用户使用计算机网络系统进行所有活动审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出

21、系统正被怎样地使用。别谁访问了系统，还能指出系统正被怎样地使用。 审计日志是记录信息系统安全状态和问题的依据。审计日志是记录信息系统安全状态和问题的依据。 各级信息系统必须制定保存和调阅审计日志的管理各级信息系统必须制定保存和调阅审计日志的管理制度。制度。 第七章第七章 安全管理与审计安全管理与审计7.3.3 安全审计的功能安全审计的功能支持一个安全审计和报警服务需要多种功能：支持一个安全审计和报警服务需要多种功能：事件辨别器：它提供事件的初始分析，确定是否将该事事件辨别器：它提供事件的初始分析，确定是否将该事件转送给审计记录器或报警处理器。件转送给审计记录器或报警处理器。事件记录器：它将接收

22、到的消息生成审计记录，并把该事件记录器：它将接收到的消息生成审计记录，并把该记录存入一个安全审计跟踪。记录存入一个安全审计跟踪。报警处理器：它产生一个审计消息，同时产生合适的行报警处理器：它产生一个审计消息，同时产生合适的行动以响应一个安全报警。动以响应一个安全报警。审计分析器：它检查一个安全审计跟踪，如果合适的话，审计分析器：它检查一个安全审计跟踪，如果合适的话，生成安全报警和安全审计消息。生成安全报警和安全审计消息。审计跟踪验证器：它从一个或多个安全审计跟踪产生安审计跟踪验证器：它从一个或多个安全审计跟踪产生安全审计报告。全审计报告。审计提供器：它按照某些准则提供审计记录。审计提供器：它按

23、照某些准则提供审计记录。审计归档器：它将安全审计跟踪归档。审计归档器：它将安全审计跟踪归档。第七章第七章 安全管理与审计安全管理与审计 附加的支持分布式安全审计跟踪和报警的功能附加的支持分布式安全审计跟踪和报警的功能也是必需的，这些功能包括：也是必需的，这些功能包括：审计跟踪收集器：将一个分布式审计跟踪的记录汇集审计跟踪收集器：将一个分布式审计跟踪的记录汇集成一个安全审计跟踪。成一个安全审计跟踪。审计调度器：将分布式安全审计跟踪的某些部分或全审计调度器：将分布式安全审计跟踪的某些部分或全部，传输到该审计跟踪收集功能部，传输到该审计跟踪收集功能 。7.3.3 安全审计的功能安全审计的功能第七章第

24、七章 安全管理与审计安全管理与审计7.3.4 安全检查安全检查 网络系统安全检测是对系统及其网络进行风险评网络系统安全检测是对系统及其网络进行风险评估的重要措施。估的重要措施。 本小节以本小节以Unix系统为例，说明安全检查的方法。系统为例，说明安全检查的方法。1、记账、记账2、系统检查命令、系统检查命令3、查着历史文件、查着历史文件4、查属主为、查属主为root并且带并且带s位的程序位的程序5、找出隐藏文件、找出隐藏文件第七章第七章 安全管理与审计安全管理与审计7.3.5 安全分析安全分析安全分析的目的在于可以再次确认在系统安装时是否安全分析的目的在于可以再次确认在系统安装时是否疏忽了某些配

25、置问题；建立一套安全标准，并使系统疏忽了某些配置问题；建立一套安全标准，并使系统现在建立的安全标准可作为以后对系统进行安全分析现在建立的安全标准可作为以后对系统进行安全分析时的对比依据。时的对比依据。一般均具有如下功能：一般均具有如下功能：n检查系统是否存在安全漏洞。在系统安装时，系统管理员检查系统是否存在安全漏洞。在系统安装时，系统管理员的疏忽会给入侵者以可乘之机。的疏忽会给入侵者以可乘之机。n建立一个关于系统中所有文件的数据库。这样，系统管理建立一个关于系统中所有文件的数据库。这样，系统管理员将来可以经常对这些文件进行检查，辨别文件是否有异常员将来可以经常对这些文件进行检查，辨别文件是否有

26、异常变化。变化。 第七章第七章 安全管理与审计安全管理与审计7.4 入侵检测入侵检测 7.4.1 入侵检测目的入侵检测目的 入侵检测的目的就是及时发现网络系统入侵检测的目的就是及时发现网络系统中所存在的最薄弱的环节，使用最有效的方法中所存在的最薄弱的环节，使用最有效的方法定期对网络系统进行安全性检测与分析，及时定期对网络系统进行安全性检测与分析，及时发现并修正存在的弱点和漏洞，最大限度地保发现并修正存在的弱点和漏洞，最大限度地保证网络系统的安全。证网络系统的安全。第七章第七章 安全管理与审计安全管理与审计7.4.2 入侵检测技术入侵检测技术 网络入侵检测实际上也是一种信息识别与检测技术网络入侵

27、检测实际上也是一种信息识别与检测技术n基于审计信息的检测技术基于审计信息的检测技术n基于统计的入侵检测基于统计的入侵检测n统计数据测量点的选取统计数据测量点的选取n统计数据的分析和入侵判断统计数据的分析和入侵判断n自动学习自动学习n基于神经网络的入侵检测基于神经网络的入侵检测n基于规则的入侵检测基于规则的入侵检测第七章第七章 安全管理与审计安全管理与审计7.4.3 入侵检测系统入侵检测系统入侵检测系统是实时网络违规自动识别和响应入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络络

28、上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。寻找网络违规模式和未授权的网络访问尝试。第七章第七章 安全管理与审计安全管理与审计实时入侵检测的要求实时入侵检测的要求 状态跟踪引擎状态跟踪引擎 快速字符串匹配和分配引擎快速字符串匹配和分配引擎 基于统计的协议识别基于统计的协议识别 基于统计的入侵检测基于统计的入侵检测 基于规则的入侵检测基于规则的入侵检测 综合判别综合判别第七章第七章 安全管理与审计安全管理与审计入侵检测系统的分类入侵检测系统的分类 基于主机基于主机 性能价格比高性能价格比高 更加细腻更加细腻 视野集中视野集中 易于用户剪裁易于用户剪裁 对网络流量不敏感对网络流量不敏感 基于网络基于网络 侦测速度快侦测速度快 隐蔽性好隐蔽性好 视野更宽视野更宽 较少的检测器较少的检测器 占用资源少占用资源少第七章第七章 安全管理与审计安全管理与审计作作 业业P 298 1、4 1简述安全管理的目标和原则。简述安全管理的目标和原则。4简述安全审计的目的和功能。简述安全审计的目的和功能。 37 结束语结束语