第2章电子商务安全技术管理19118.pptx

《第2章电子商务安全技术管理19118.pptx》由会员分享，可在线阅读，更多相关《第2章电子商务安全技术管理19118.pptx（191页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Company name2 电子商务安全的技术保障2008-6学习目标了解电子商务安全技术保障的主要手段了解电子商务安全技术保障的主要手段掌握常用的防病毒技术及其工作原理掌握常用的防病毒技术及其工作原理了解主要的加密体系，掌握对称密码和公钥密码的了解主要的加密体系，掌握对称密码和公钥密码的加密原理加密原理了解主要的认证技术，掌握数字证书的类型和工作了解主要的认证技术，掌握数字证书的类型和工作原理原理了解如何建立安全的电子商务交易系统了解如何建立安全的电子商务交易系统2沈阳理工大学本章内容从技术角度讲，电子商务交易安全的需求突出表现为网从技术角度讲，电子商务交易安全的需求突出表现为网络系统的硬件

2、、软件及其系统中的数据受到保护，不受偶然络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏，系统连续可靠地运行，网络的或者恶意的原因而遭到破坏，系统连续可靠地运行，网络上的信息都是安全的。上的信息都是安全的。为了保证上述各个方面的安全，电子商务网站或从事电为了保证上述各个方面的安全，电子商务网站或从事电子商务的企业通常会采用一些网络安全技术措施。子商务的企业通常会采用一些网络安全技术措施。本章重点介绍了防火墙技术、加密技术、认证技术等，本章重点介绍了防火墙技术、加密技术、认证技术等，这些安全技术的使用可以从一定程度上满足网络安全需求，这些安全技术的使用可以从一定程度

3、上满足网络安全需求，但不能满足整体的安全需求，因为它们只能保护特定的某一但不能满足整体的安全需求，因为它们只能保护特定的某一方面。如防火墙最主要的功能是访问控制，加密技术可以保方面。如防火墙最主要的功能是访问控制，加密技术可以保证信息传输的安全性。证信息传输的安全性。对于电子商务系统还需要一种整体的安全策略，这种安对于电子商务系统还需要一种整体的安全策略，这种安全策略不仅包括安全技术，还包括安全管理、实时监控、响全策略不仅包括安全技术，还包括安全管理、实时监控、响应和恢复等措施。应和恢复等措施。3沈阳理工大学内容概要内容概要防火墙技术防火墙技术1加密技术加密技术2认证技术认证技术3系统安全模型

4、及具体实现系统安全模型及具体实现44沈阳理工大学2.1防火墙技术防火墙技术1.1.防火墙技术及其访问控制技术防火墙技术及其访问控制技术2.2.入侵检测技术入侵检测技术3.3.安全扫描技术安全扫描技术5沈阳理工大学2.1防火墙技术防火墙技术2.1.1 2.1.1 防火墙技术及其访问控制技术防火墙技术及其访问控制技术1.1.防火墙技术防火墙技术2.2.物理隔离技术物理隔离技术6沈阳理工大学2.1防火墙技术防火墙技术2.1.1 2.1.1 防火墙技术及其访问控制技术防火墙技术及其访问控制技术1.1.防火墙技术防火墙技术防火墙是由软件系统和硬件系统组成的，在内部网与防火墙是由软件系统和硬件系统组成的，

5、在内部网与外部网之间构造保护屏障。所有内外部网之间的连接都必外部网之间构造保护屏障。所有内外部网之间的连接都必须经过保护屏障，并在此进行检查和连接，只有被授权的须经过保护屏障，并在此进行检查和连接，只有被授权的信息才能通过此保护屏障，从而使内部网与外部网形成一信息才能通过此保护屏障，从而使内部网与外部网形成一定的定的隔离隔离，防止非法入侵、非法盗用系统资源，执行安全，防止非法入侵、非法盗用系统资源，执行安全管制机制，记录可疑事件等。管制机制，记录可疑事件等。防火墙用来在两个或多个网络间加强防火墙用来在两个或多个网络间加强访问控制访问控制、实施、实施相应的访问控制策略，力求把那些非法用户隔离在特

6、定的相应的访问控制策略，力求把那些非法用户隔离在特定的网络之外，从而保护某个特定的网络不受其他网络的攻击，网络之外，从而保护某个特定的网络不受其他网络的攻击，但又不影响该特定网络正常的工作。但又不影响该特定网络正常的工作。7沈阳理工大学2.1防火墙技术防火墙技术2.1.1 2.1.1 防火墙技术及其访问控制技术防火墙技术及其访问控制技术1.1.防火墙技术防火墙技术防火墙防火墙技术的技术的基本思想基本思想：并不是要对每台主机系统进：并不是要对每台主机系统进行保护，而是让所有对系统的访问都通过上述所设的保护行保护，而是让所有对系统的访问都通过上述所设的保护层，并且对这一保护层加以保护，尽可能地对外

7、界屏蔽所层，并且对这一保护层加以保护，尽可能地对外界屏蔽所保护网络的信息和结构。保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外部网络它是设置在可信任的内部网络和不可信任的外部网络之间的一道中间屏障，可以实施较为广泛的安全策略来控之间的一道中间屏障，可以实施较为广泛的安全策略来控制信息流，防止各种潜在的、不可预料的入侵破坏。制信息流，防止各种潜在的、不可预料的入侵破坏。8沈阳理工大学2.1防火墙技术防火墙技术9沈阳理工大学2.1防火墙技术防火墙技术2.1.1 2.1.1 防火墙技术及其访问控制技术防火墙技术及其访问控制技术1.1.防火墙技术防火墙技术 防火墙是网络安全策略的有机组

8、成部分，它通过控制防火墙是网络安全策略的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从主体上看，防火墙具有的五大基本功能：的有效管理。从主体上看，防火墙具有的五大基本功能：（1 1）过滤进、出网络的数据）过滤进、出网络的数据 （2 2）管理进、出网络的访问行为）管理进、出网络的访问行为 （3 3）封堵某些禁止的业务）封堵某些禁止的业务 （4 4）记录通过防火墙的信息内容和活动）记录通过防火墙的信息内容和活动 （5 5）对网络攻击检测和报警对网络攻击检测和报警10沈阳理工大学2.1防火墙技术防火墙技术2.

9、1.1 2.1.1 防火墙技术及其访问控制技术防火墙技术及其访问控制技术1.1.防火墙技术防火墙技术 防火墙的类型：防火墙的类型：（1 1）包过滤防火墙）包过滤防火墙 （2 2）代理服务器型防火墙）代理服务器型防火墙 （3 3）复合型防火墙）复合型防火墙 11沈阳理工大学包过滤防火墙基本思想简单对于每个进来的包，适用一组规则，然后决定转发或者丢弃该包往往配置成双向的如何过滤过滤的规则以IP和传输层的头中的域(字段)为基础，包括源和目标IP地址、IP协议域、源和目标端口号过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来作出决定。如果匹配到一条规则，则根据此规则决定转发或者丢弃如果所有

10、规则都不匹配，则根据缺省策略12沈阳理工大学安全缺省策略两种基本策略，或缺省策略没有被拒绝的流量都可以通过(默认转发)管理员必须针对每一种新出现的攻击，制定新的规则没有被允许的流量都要拒绝（默认丢弃）比较保守根据需要，逐渐开放13沈阳理工大学包过滤防火墙数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃 14沈阳理工大学包过滤路由器示意图网络层链路层物理层外部网络内部网络15沈阳理工大学包过滤防火墙(小结)在网络层上进行监测并没有考虑连接状态信息通常在路由器上实现实际上是一种网络的访问控制机制优点

11、实现简单对用户透明效率高缺点正确制定规则并不容易不可能引入认证机制16沈阳理工大学代理服务器也称为应用层网关特点所有的连接都通过防火墙，防火墙作为网关在应用层上实现可以监视包的内容可以实现基于用户的认证所有的应用需要单独实现可以提供理想的日志功能非常安全，但是开销比较大17沈阳理工大学代理服务器应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。18沈阳理工大学19沈阳理工

12、大学应用层网关的结构和协议栈示意图HTTP FTP Telnet Smtp传输层网络层链路层20沈阳理工大学代理服务器的优缺点优点允许用户“直接”访问Internet易于记录日志缺点新的服务不能及时地被代理每个被代理的服务都要求专门的代理软件客户软件需要修改，重新编译或者配置有些服务要求建立直接连接，无法使用代理比如聊天服务、或者即时消息服务代理服务不能避免协议本身的缺陷或者限制21沈阳理工大学常见防火墙系统模型n常见防火墙系统一般按照四种模型构建常见防火墙系统一般按照四种模型构建筛选路由器模型筛选路由器模型单宿主堡垒主机（屏蔽主机防火墙）模型单宿主堡垒主机（屏蔽主机防火墙）模型双宿主堡垒主机

13、模型（屏蔽防火墙系统模型）双宿主堡垒主机模型（屏蔽防火墙系统模型）屏蔽子网模型。屏蔽子网模型。n几个概念几个概念堡垒主机堡垒主机(BastionHost)：对外部网络暴露，同时也是：对外部网络暴露，同时也是内部网络用户的主要连接点内部网络用户的主要连接点单宿主主机单宿主主机(single-homedhost)：只有一个网络接口：只有一个网络接口的通用计算机系统的通用计算机系统双宿主主机双宿主主机(dual-homedhost)：至少有两个网络接口：至少有两个网络接口的通用计算机系统的通用计算机系统DMZ(DemilitarizedZone，非军事区或者停火区，非军事区或者停火区)：在：在内部网

14、络和外部网络之间增加的一个子网内部网络和外部网络之间增加的一个子网22沈阳理工大学筛选路由器模型筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变得十分的危险。该防火墙不能够隐藏内部网络的信息，不具备监视和日志记录功能。23沈阳理工大学单宿主堡垒主机模型单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系

15、统。24沈阳理工大学配置方案一屏蔽主机方案：单宿主堡垒主机只允许堡垒主机可以与外界直接通讯优点：两层保护：包过滤+应用层网关；灵活配置 缺点：一旦包过滤路由器被攻破，则内部网络被暴露25沈阳理工大学双宿主堡垒主机模型双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。26沈阳理工大学配置方案二屏蔽主机方案：双宿主堡垒主机从物理上把内部网络和Internet隔开，必须通过两层屏障优点：两层保护：包过滤+应用层网关；配置灵活27沈阳理工大学屏蔽子网模型屏

16、蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了“中立区”(DMZ，Demilitarized Zone)网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。28沈阳理工大学配置方案三屏蔽子网防火墙优点三层防护，用来阻止入侵者外面的router只向Internet暴露屏蔽子网中的主机内部的router只向内部私有网暴露屏蔽子网中的主机29沈阳理工大学 防火墙的局限性 n防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍

17、将敏感数据拷贝到软盘上。n防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。n防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。n对于绕过防火墙的攻击，它无能为力，例如，在防火墙内部通过拨号出去30沈阳理工大学2.1防火墙技术防火墙技术2.1.1 2.1.1 防火墙技术及其访问控制技术防火墙技术及其访问控制技术2.2.物理隔离技术物理隔离技术 物理隔离技术是近年来发展起来的防止外部黑客攻击物理隔离技术是近年来发展起来的防止外部黑客攻击的有效手段。物理隔离产品主要有：的有效手段。物理隔

18、离产品主要有：物理隔离卡物理隔离卡1）单硬盘物理隔离卡）单硬盘物理隔离卡2）双硬盘物理隔离卡）双硬盘物理隔离卡 隔离网闸隔离网闸31沈阳理工大学2.1防火墙技术防火墙技术2.1.1 2.1.1 防火墙技术及其访问控制技术防火墙技术及其访问控制技术2.2.物理隔离技术物理隔离技术物理隔离卡物理隔离卡1 1）单硬盘物理隔离卡）单硬盘物理隔离卡主要工作原理：主要工作原理：将用户的一个硬盘分成两个区将用户的一个硬盘分成两个区：公共硬盘区（外网）公共硬盘区（外网）安全硬盘区（内网）安全硬盘区（内网）将一个普通计算机变成两台将一个普通计算机变成两台虚拟虚拟计算机；每次启动进计算机；每次启动进入其中的一个硬

19、盘入其中的一个硬盘/区。区。它们拥有独立的操作系统，并能通过各自的专用接口它们拥有独立的操作系统，并能通过各自的专用接口与网络连接。与网络连接。32沈阳理工大学2.1防火墙技术防火墙技术2.1.1 2.1.1 防火墙技术及其访问控制技术防火墙技术及其访问控制技术2.2.物理隔离技术物理隔离技术物理隔离卡物理隔离卡1 1）单硬盘物理隔离卡）单硬盘物理隔离卡主要工作原理：主要工作原理：在外网时：操作系统对于在外网时：操作系统对于数据交换区数据交换区可以可以任意读写任意读写，可以把外网的数据可以把外网的数据（如从互联网上下载的有用资料或应用（如从互联网上下载的有用资料或应用程序）程序）复制到数据交换

20、区中。复制到数据交换区中。当切换到内网时：操作系统对当切换到内网时：操作系统对数据交换区数据交换区是是只读只读的，的，无法写入任何数据，但这时我们可以把从外网复制到数据无法写入任何数据，但这时我们可以把从外网复制到数据交换区中的数据复制到内网中使用。由于在内网中数据交交换区中的数据复制到内网中使用。由于在内网中数据交换区是只读的，因此数据只能从外网导入到内网中，而内换区是只读的，因此数据只能从外网导入到内网中，而内网的保密数据绝对不可能通过这个通道传到外网中。即使网的保密数据绝对不可能通过这个通道传到外网中。即使黑客的程序进去内网，也无法窃取保密数据。黑客的程序进去内网，也无法窃取保密数据。3

21、3沈阳理工大学2.1防火墙技术防火墙技术2.1.1 2.1.1 防火墙技术及其访问控制技术防火墙技术及其访问控制技术2.2.物理隔离技术物理隔离技术物理隔离卡物理隔离卡2）双硬盘物理隔离卡）双硬盘物理隔离卡 相对于高端的单硬盘物理隔离卡，相对于高端的单硬盘物理隔离卡，双硬盘物理隔离卡双硬盘物理隔离卡是一种功能相对简单但较为经济的物理隔离产品。是一种功能相对简单但较为经济的物理隔离产品。基本原理：基本原理：在连接到内部网络时，启动内网硬盘及操作系统，同在连接到内部网络时，启动内网硬盘及操作系统，同时关闭外网硬盘；时关闭外网硬盘；在连接到外部网络时，启动外部硬盘及其操作系统，在连接到外部网络时，启

22、动外部硬盘及其操作系统，同时关闭内网硬盘。同时关闭内网硬盘。双网主要适用于政府、军队、企业等已拥有内外网两双网主要适用于政府、军队、企业等已拥有内外网两套环境和设备的用户。套环境和设备的用户。34沈阳理工大学2.1防火墙技术防火墙技术2.1.1 2.1.1 防火墙技术及其访问控制技术防火墙技术及其访问控制技术2.2.物理隔离技术物理隔离技术隔离网闸隔离网闸组成组成：物理隔离网络电脑：物理隔离网络电脑+物理隔离系统交换机物理隔离系统交换机1）物理隔离网络电脑：）物理隔离网络电脑：物理隔离网络电脑负责与物理隔离交换机通信，并承物理隔离网络电脑负责与物理隔离交换机通信，并承担选择内网服务器和外网服务

23、器的功能。担选择内网服务器和外网服务器的功能。2）物理隔离交换机：）物理隔离交换机：物理隔离交换机是一个加载了智能功能的物理隔离交换机是一个加载了智能功能的电子选择开电子选择开关关；具有选择网络的能力。；具有选择网络的能力。35沈阳理工大学36沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术1.1.入侵基础知识介绍入侵基础知识介绍2.2.入侵检测系统入侵检测系统3.3.入侵检测系统的任务入侵检测系统的任务4.4.入侵检测系统的分类入侵检测系统的分类5.5.入侵检测系统的构成入侵检测系统的构成37沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2

24、入侵检测技术入侵检测技术1.1.入侵基础知识介绍入侵基础知识介绍 入侵者入侵者入侵者入侵者伪装者：未被授权的使用计算机的人（伪装者：未被授权的使用计算机的人（伪装者：未被授权的使用计算机的人（伪装者：未被授权的使用计算机的人（OutsideOutsideOutsideOutside）违法者：访问没有经过授权的数据、程序和资源的合法违法者：访问没有经过授权的数据、程序和资源的合法违法者：访问没有经过授权的数据、程序和资源的合法违法者：访问没有经过授权的数据、程序和资源的合法用户（用户（用户（用户（InsideInsideInsideInside）秘密用户：夺取系统超级控制并使用这种控制权逃避审秘

25、密用户：夺取系统超级控制并使用这种控制权逃避审秘密用户：夺取系统超级控制并使用这种控制权逃避审秘密用户：夺取系统超级控制并使用这种控制权逃避审计和访问控制，或者抑制审计记录的人（计和访问控制，或者抑制审计记录的人（计和访问控制，或者抑制审计记录的人（计和访问控制，或者抑制审计记录的人（Outside&Outside&Outside&Outside&InsideInsideInsideInside）防止入侵的手段防止入侵的手段防止入侵的手段防止入侵的手段身份认证身份认证身份认证身份认证安全访问控制安全访问控制安全访问控制安全访问控制入侵检测系统入侵检测系统入侵检测系统入侵检测系统38沈阳理工大学

26、2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术1.1.入侵基础知识介绍入侵基础知识介绍 入侵检测技术入侵检测技术入侵检测技术入侵检测技术入侵检测（入侵检测（入侵检测（入侵检测（Intrusion Detection Intrusion Detection Intrusion Detection Intrusion Detection）：对系统的运行状）：对系统的运行状）：对系统的运行状）：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，态进行监视，发现各种攻击企图、攻击行为或者攻击结果，态进行监视，发现各种攻击企图、攻击行为或者攻击结果，态进行监视

27、，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性以保证系统资源的机密性、完整性和可用性以保证系统资源的机密性、完整性和可用性以保证系统资源的机密性、完整性和可用性入侵行为能够被迅速检测出来并驱逐出去入侵行为能够被迅速检测出来并驱逐出去入侵行为能够被迅速检测出来并驱逐出去入侵行为能够被迅速检测出来并驱逐出去进行入侵检测的软件与硬件的组合便是入侵检测系统进行入侵检测的软件与硬件的组合便是入侵检测系统进行入侵检测的软件与硬件的组合便是入侵检测系统进行入侵检测的软件与硬件的组合便是入侵检测系统（IDSIDSIDSIDS，Intrusion Detection Syste

28、m Intrusion Detection System Intrusion Detection System Intrusion Detection System）入侵检测可以搜集有关入侵技术的信息，自动升级和加入侵检测可以搜集有关入侵技术的信息，自动升级和加入侵检测可以搜集有关入侵技术的信息，自动升级和加入侵检测可以搜集有关入侵技术的信息，自动升级和加强入侵防止机制强入侵防止机制强入侵防止机制强入侵防止机制39沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术2.2.入侵基础系统入侵基础系统 入侵检测系统入侵检测系统入侵检测系统入侵检测系统入侵检测系统从

29、计算机网络系统中的若干关键点收集信入侵检测系统从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的息，并分析这些信息，看看网络中是否有违反安全策略的行为和遇到袭击的迹象。行为和遇到袭击的迹象。入侵检测系统是处于防火墙之后对网络活动的实时监控；入侵检测系统是处于防火墙之后对网络活动的实时监控；入侵检测系统是不仅能检测来自外部的入侵行为，同时也入侵检测系统是不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动。监督内部用户的未授权活动。入侵检测系统被认为是防火墙之后的第二道安全闸门，入侵检测系统被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能

30、对网络进行检测，从而提供在不影响网络性能的情况下能对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。对内部攻击、外部攻击和误操作的实时保护。40沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术3.3.入侵基础系统的任务入侵基础系统的任务 入侵检测系统的任务：入侵检测系统的任务：（1 1）监视、分析用户及系统活动）监视、分析用户及系统活动（2 2）对系统构造和弱点的审计）对系统构造和弱点的审计（3 3）识别、反映已知攻击的活动模式并向相关人士报警）识别、反映已知攻击的活动模式并向相关人士报警（4 4）异常行为模式的统计分析）异常行为模式的统计分

31、析（5 5）评估重要系统和数据文件的完整性）评估重要系统和数据文件的完整性（6 6）操作系统的审计跟踪管理，并识别用户违反安全策略的）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。行为。41沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术4.4.入侵基础系统的分类入侵基础系统的分类 入侵检测系统根据其入侵检测系统根据其检测数据来源检测数据来源分为：分为：（1 1）基于主机的入侵检测系统）基于主机的入侵检测系统 从单个主机上提取数据（如审计记录）作为入侵分析从单个主机上提取数据（如审计记录）作为入侵分析的数据源。的数据源。（2 2）基于网络的入侵检测

32、系统）基于网络的入侵检测系统 从网络上提取数据（如网络链路层的数据帧）作为入从网络上提取数据（如网络链路层的数据帧）作为入侵分析的数据源。侵分析的数据源。42沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术4.4.入侵基础系统的分类入侵基础系统的分类 （1 1）基于主机的入侵检测系统（）基于主机的入侵检测系统（HIDSHIDS）从单个主机上提取数据（如审计记录）作为入侵分析从单个主机上提取数据（如审计记录）作为入侵分析的数据源。的数据源。主机入侵检测系统分析对象为主机审计日志，所以需主机入侵检测系统分析对象为主机审计日志，所以需要在主机上安装软件，针对不同

33、的系统、不同的版本需安要在主机上安装软件，针对不同的系统、不同的版本需安装不同的主机引擎，安装配置较为复杂，同时对系统的运装不同的主机引擎，安装配置较为复杂，同时对系统的运行和稳定性造成影响，目前在国内应用较少。行和稳定性造成影响，目前在国内应用较少。43沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术4.4.入侵基础系统的分类入侵基础系统的分类 （2 2）基于网络的入侵检测系统）基于网络的入侵检测系统 从网络上提取数据（如网络链路层的数据帧）作为入从网络上提取数据（如网络链路层的数据帧）作为入侵分析的数据源。侵分析的数据源。网络入侵检测系统分析对象为网络

34、数据流，只需安装网络入侵检测系统分析对象为网络数据流，只需安装在网络的监听端口上，对网络的运行无任何影响，目前国在网络的监听端口上，对网络的运行无任何影响，目前国内使用较为广泛。内使用较为广泛。44沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术5.5.入侵基础系统的构成入侵基础系统的构成 入侵检测系统包括三个功能部件入侵检测系统包括三个功能部件（1 1）信息收集）信息收集（2 2）信息分析）信息分析（3 3）结果处理）结果处理45沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术5.5.入侵基础系统的构成入侵基础系统的

35、构成 信息收集信息收集入侵检测的第一步是信息收集，收集内容包括系统、入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点（不同网需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息段和不同主机）收集信息尽可能扩大检测范围尽可能扩大检测范围从一个源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点46沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术5.5.入侵基础系统的构成入侵基础系统的构成 信息分析信息分析模式匹配模式匹配统计分析统计分析完

36、整性分析，往往用于事后分析完整性分析，往往用于事后分析47沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术5.5.入侵基础系统的分类入侵基础系统的分类 信息分析信息分析模式匹配模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行统误用模式数据库进行比较比较，从而发现违背安全策略的行从而发现违背安全策略的行为。为。48沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术5.5.入侵基础系统的分类入侵基础系统的分类 信息分析信息分析统计分析统计分析统计分析方法

37、首先给系统对象（如用户、文件、目录统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个和设备等）创建一个统计描述统计描述，统计，统计正常使用正常使用时的一些测时的一些测量属性（如访问次数、操作失败次数和延时等）量属性（如访问次数、操作失败次数和延时等）测量属性的平均值和偏差将被用来与网络、系统的行测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。入侵发生。49沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术5.5.入侵基础系统的分类入侵基础

38、系统的分类 信息分析信息分析完整性分析，往往用于事后分析完整性分析，往往用于事后分析完整性分析主要关注某个文件或对象是否被更改；这经完整性分析主要关注某个文件或对象是否被更改；这经常包括文件和目录的内容及属性；在发现被更改的、被安常包括文件和目录的内容及属性；在发现被更改的、被安装木马的应用程序方面特别有效。装木马的应用程序方面特别有效。50沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术5.5.入侵基础系统的分类入侵基础系统的分类 结果处理结果处理入侵响应入侵响应（Intrusion Response）：当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击

39、当检测到入侵或攻击时，采取适当的措施阻止入侵和攻击的进行。的进行。入侵响应系统入侵响应系统（Intrusion Response System）实施入侵响应的系统实施入侵响应的系统51沈阳理工大学响应方式响应方式记录安全事件记录安全事件 产生报警信息产生报警信息 记录附加日志记录附加日志 激活附加入侵检测工具激活附加入侵检测工具 隔离入侵者隔离入侵者IP IP 禁止被攻击对象的特定端口和服务禁止被攻击对象的特定端口和服务 隔离被攻击对象隔离被攻击对象 警告攻击者警告攻击者 跟踪攻击者跟踪攻击者 断开危险连接断开危险连接 攻击攻击者攻击攻击者较温和较温和被动响应被动响应介于温和介于温和和严厉之间

40、和严厉之间主动响应主动响应较严厉较严厉主动响应主动响应52沈阳理工大学实时监控非法入侵的过程示意图报警报警日志记录日志记录攻击检测攻击检测记录入侵记录入侵过程过程 重新配置重新配置防火墙防火墙路由器路由器内部入侵内部入侵入侵检测入侵检测记录记录终止入侵终止入侵53沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术IDSIDS应用应用 与其它网络安全设备联动工作与其它网络安全设备联动工作1.1.与防火墙联动与防火墙联动 IDSIDS不能做最好的阻断不能做最好的阻断-IDS-IDS根据实时检测出的结根据实时检测出的结果调整防火墙来进行相应的阻断果调整防火墙来进行

41、相应的阻断2.2.与扫描器联动与扫描器联动 IDSIDS可以根据扫描器所做的扫描结果，对一点特殊可以根据扫描器所做的扫描结果，对一点特殊系统做重点监测，也可让扫描器根据实时探测的结果做更系统做重点监测，也可让扫描器根据实时探测的结果做更详细的安全评估详细的安全评估54沈阳理工大学2.1防火墙技术防火墙技术2.1.2 2.1.2 入侵检测技术入侵检测技术.如果把防火墙比作大门警卫的话，入侵检测就是网络如果把防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断中不间断的摄像机，入侵检测通过旁路监听的方式不间断地提取网络数据，对网络的运行和性能无任何影响，同时地

42、提取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报判断其中是否含有攻击的企图，通过各种手段向管理员报警。它不但可以发现外部的攻击，也可以发现内部的恶意警。它不但可以发现外部的攻击，也可以发现内部的恶意行为。所以说，行为。所以说，入侵检测是网络安全的第二道闸门入侵检测是网络安全的第二道闸门，是防，是防火墙的必要补充，两者可构成完整的网络安全解决方案。火墙的必要补充，两者可构成完整的网络安全解决方案。55沈阳理工大学典型的攻防模型典型的攻防模型1.1.56沈阳理工大学2.1防火墙技术防火墙技术2.1.3 2.1.3 安全扫描技术安全扫描技术1.1.安

43、全扫描技术的重要性安全扫描技术的重要性2.2.安全扫描技术分类安全扫描技术分类3.3.安全扫描技术的工作原理安全扫描技术的工作原理4.4.安全扫描过程安全扫描过程5.5.安全扫描技术中的核心技术安全扫描技术中的核心技术57沈阳理工大学2.1防火墙技术防火墙技术2.1.3 2.1.3 安全扫描技术安全扫描技术1.1.安全扫描技术的重要性安全扫描技术的重要性 安全扫描就是对计算机系统或者其它网络设备进行安安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可被黑客利用的漏洞。全相关的检测，以找出安全隐患和可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系显然

44、，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统必不可少的手段，必须仔细研因此，安全扫描是保证系统必不可少的手段，必须仔细研究利用。究利用。58沈阳理工大学2.1防火墙技术防火墙技术2.1.3 2.1.3 安全扫描技术安全扫描技术1.1.安全扫描技术的重要性安全扫描技术的重要性安全扫描技术是一类重要的网络安全技术。安全扫描安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全

45、性。络的安全性。通过对网络的扫描，网络管理员可以通过对网络的扫描，网络管理员可以了解了解网络的安全网络的安全配置和运行的应用服务，及时配置和运行的应用服务，及时发现发现安全漏洞，客观评估网安全漏洞，客观评估网络风险等级。络风险等级。网络管理员可以根据扫描的结果网络管理员可以根据扫描的结果更正更正网络安全漏洞和网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是如果说防火墙和网络监控系统是被动被动的防御手段，那的防御手段，那么安全扫描就是一种么安全扫描就是一种主动主动的防范措施，可以有效避免黑客的防范措施，可以有效避免黑客攻击

46、行为，防患于未然。攻击行为，防患于未然。59沈阳理工大学2.1防火墙技术防火墙技术2.1.3 2.1.3 安全扫描技术安全扫描技术2.2.安全扫描技术的分类安全扫描技术的分类安全扫描技术主要分为两类：安全扫描技术主要分为两类：主机的安全扫描技术主机的安全扫描技术 主机安全扫描技术通过执行一些脚本文件模拟对系统进主机安全扫描技术通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。行攻击的行为并记录系统的反应，从而发现其中的漏洞。网络的安全扫描技术网络的安全扫描技术 网络安全扫描技术主要针对系统中不合适的设置、脆网络安全扫描技术主要针对系统中不合适的设置、脆弱口令，以

47、及其他同安全规则抵触的对象进行检查等。弱口令，以及其他同安全规则抵触的对象进行检查等。60沈阳理工大学2.1防火墙技术防火墙技术2.1.3 2.1.3 安全扫描技术安全扫描技术3.3.安全扫描技术的工作原理安全扫描技术的工作原理 网络安全扫描技术是一种基于互联网远程监测目标网网络安全扫描技术是一种基于互联网远程监测目标网络或本地主机安全性脆弱点的技术。络或本地主机安全性脆弱点的技术。通过网络安全扫描，系统管理员能够发现所维护的通过网络安全扫描，系统管理员能够发现所维护的WebWeb服务器的各种服务器的各种TCP/IPTCP/IP端口的分配、开放的服务、端口的分配、开放的服务、WebWeb服务软

48、服务软件版本和这些服务及软件呈现在互联网上的安全漏洞。件版本和这些服务及软件呈现在互联网上的安全漏洞。网络安全扫描技术也是采用积极的、非破坏性的办法网络安全扫描技术也是采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用一系列的脚本来检验系统是否有可能被攻击崩溃。它利用一系列的脚本模拟对系统进行攻击的行为，并对结果进行分析。模拟对系统进行攻击的行为，并对结果进行分析。61沈阳理工大学2.1防火墙技术防火墙技术2.1.3 2.1.3 安全扫描技术安全扫描技术3.3.安全扫描技术的工作原理安全扫描技术的工作原理 安全扫描器，是一种通过收集系统的信息来自动检测安全扫描器，是一种通过收集系

49、统的信息来自动检测远程或本地主机安全性脆弱点的远程或本地主机安全性脆弱点的程序程序。安全扫描器采用模拟攻击的形式对目标可能存在的已安全扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库等各种目标可以是工作站、服务器、交换机、数据库等各种对象。并且，一般情况下，安全扫描器会根据扫描结果向对象。并且，一般情况下，安全扫描器会根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平提供了重要依据。安全整体水平提供了重要依据。62沈阳理工大学2.1防火墙

50、技术防火墙技术2.1.3 2.1.3 安全扫描技术安全扫描技术3.3.安全扫描技术的工作原理安全扫描技术的工作原理扫描器的作用就是用检测、扫描系统中存在的漏洞或扫描器的作用就是用检测、扫描系统中存在的漏洞或缺陷。目前主要有两种类型的扫描工具，即主机扫描器和缺陷。目前主要有两种类型的扫描工具，即主机扫描器和网络扫描器，它们在功能上各有侧重。网络扫描器，它们在功能上各有侧重。（1 1）主机扫描器）主机扫描器 主机扫描器又称本地扫描器主机扫描器又称本地扫描器，它与待检查系统运行于，它与待检查系统运行于同一节点，执行对同一节点，执行对自身的检查自身的检查。它的主要功能为分析各种。它的主要功能为分析各种