信息系統(tǒng)安全第5章.ppt

《信息系統(tǒng)安全第5章.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息系統(tǒng)安全第5章.ppt（41頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

第5章 信息系統(tǒng)防衛(wèi) 5 1防火墻技術(shù) 5 1 1防火墻的功能 1 作為網(wǎng)絡(luò)安全的屏障2 防止攻擊性故障蔓延和內(nèi)部信息的泄露3 強(qiáng)化網(wǎng)絡(luò)安全策略4 對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)和報(bào)警5 遠(yuǎn)程管理6 MAC與IP地址的綁定7 流量控制 帶寬管理 和統(tǒng)計(jì)分析 流量計(jì)費(fèi)8 其他功能 網(wǎng)絡(luò)防火墻的基本結(jié)構(gòu) 1 屏蔽路由器 ScreeningRouter 和屏蔽主機(jī) ScreeningHost 具有數(shù)據(jù)包過濾功能的路由器稱為屏蔽路由器 網(wǎng)絡(luò)防火墻的基本結(jié)構(gòu) 2 雙宿主網(wǎng)關(guān) DualHomedGateway 網(wǎng)絡(luò)防火墻的基本結(jié)構(gòu) 3 堡壘主機(jī) BastionHost 網(wǎng)絡(luò)防火墻的基本結(jié)構(gòu) 4 屏蔽子網(wǎng) ScreeningSubnet 防火墻 5 1 3網(wǎng)絡(luò)防火墻的局限 1 防火墻可能留有漏洞 2 防火墻不能防止內(nèi)部出賣性攻擊或內(nèi)部誤操作3 防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊 5 2信息系統(tǒng)安全審計(jì) 安全審計(jì)對(duì)系統(tǒng)安全方案中的功能提供持續(xù)的評(píng)估 這就是安全審計(jì) 安全審計(jì)功能 1 記錄關(guān)鍵事件 關(guān)于關(guān)鍵事件的界定由安全官員決定 2 對(duì)潛在的攻擊者進(jìn)行威懾或警告 3 為系安全管理員提供有價(jià)值的系統(tǒng)使用日志 幫助系統(tǒng)管理員及時(shí)發(fā)現(xiàn)入侵行為和系統(tǒng)漏洞 4 為安全官員提供一組可供分析的管理數(shù)據(jù) 用于發(fā)現(xiàn)何處有違反安全方案的事件 5 2 2安全審計(jì)日志 典型的日志內(nèi)容有 事件的性質(zhì) 數(shù)據(jù)的輸入和輸出 文件的更新 改變或修改 系統(tǒng)的用途或期望 全部相關(guān)標(biāo)識(shí) 人 設(shè)備和程序 有關(guān)事件的信息 日期和時(shí)間 成功或失敗 涉及因素的授權(quán)狀態(tài) 轉(zhuǎn)換次數(shù) 系統(tǒng)響應(yīng) 項(xiàng)目更新地址 建立 更新或刪除信息的內(nèi)容 使用的程序 兼容結(jié)果和參數(shù)檢測(cè) 侵權(quán)步驟等 對(duì)大量生成的日志要適當(dāng)考慮數(shù)據(jù)的保存期限 5 2 3安全審計(jì)的類型 1 根據(jù)審計(jì)的對(duì)象分類操作系統(tǒng)的審計(jì) 應(yīng)用系統(tǒng)的審計(jì) 設(shè)備的審計(jì) 網(wǎng)絡(luò)應(yīng)用的審計(jì) 2 審計(jì)的關(guān)鍵部位 1 對(duì)來(lái)自外部攻擊的審計(jì) 2 對(duì)來(lái)自內(nèi)部攻擊的審計(jì) 3 對(duì)電子數(shù)據(jù)的安全審計(jì) 5 3入侵檢測(cè) 入侵檢測(cè) IntrusionDetection 就是對(duì)入侵行為的發(fā)覺 入侵檢測(cè)系統(tǒng)的主要功能有 監(jiān)視并分析用戶和系統(tǒng)的行為 審計(jì)系統(tǒng)配置和漏洞 評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性 識(shí)別攻擊行為 對(duì)異常行為進(jìn)行統(tǒng)計(jì) 自動(dòng)收集與系統(tǒng)相關(guān)的補(bǔ)丁 審計(jì) 識(shí)別 跟蹤違反安全法規(guī)的行為 使用誘騙服務(wù)器記錄黑客行為 入侵檢測(cè)系統(tǒng) IntrusionDetectionSystem IDS 是進(jìn)行入侵檢測(cè)的軟件和硬件的組合 5 3 2入侵檢測(cè)原理 事后入侵檢測(cè)的過程 實(shí)時(shí)入侵檢測(cè)過程 入侵檢測(cè)系統(tǒng)的優(yōu)點(diǎn)及其局限 提高了信息系統(tǒng)安全體系其他部分的完整性 提高了系統(tǒng)的監(jiān)察能力 可以跟蹤用戶從進(jìn)入到退出的所有活動(dòng)或影響 能夠識(shí)別并報(bào)告數(shù)據(jù)文件的改動(dòng) 可以發(fā)現(xiàn)系統(tǒng)配置的錯(cuò)誤 并能在必要時(shí)予以改正 可以識(shí)別特定類型的攻擊 并進(jìn)行報(bào)警 作出防御響應(yīng) 可以使管理人員最新的版本升級(jí)添加到程序中 允許非專業(yè)人員從事系統(tǒng)安全工作 可以為信息系統(tǒng)安全提供指導(dǎo) 在無(wú)人干預(yù)的情形下 無(wú)法執(zhí)行對(duì)攻擊的檢測(cè) 無(wú)法感知組織 公司 安全策略的內(nèi)容 不能彌補(bǔ)網(wǎng)絡(luò)協(xié)議的漏洞 不能彌補(bǔ)系統(tǒng)提供信息的質(zhì)量或完整性問題 不能分析網(wǎng)絡(luò)繁忙時(shí)的所有事物 不能總是對(duì)數(shù)據(jù)包級(jí)的攻擊進(jìn)行處理 5 3 3入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu) 入侵檢測(cè)系統(tǒng)的通用模型 1 信息收集 1 數(shù)據(jù)收集的內(nèi)容 主機(jī)和網(wǎng)絡(luò)日志文件 目錄和文件中的不期望的改變 程序執(zhí)行中的不期望行為 物理形式的入侵信息 2 入侵檢測(cè)系統(tǒng)的數(shù)據(jù)收集機(jī)制 基于主機(jī)的數(shù)據(jù)收集和基于網(wǎng)絡(luò)的數(shù)據(jù)收集 分布式與集中式數(shù)據(jù)收集機(jī)制 直接監(jiān)控和間接監(jiān)控 外部探測(cè)器和內(nèi)部探測(cè)器 2 數(shù)據(jù)分析 1 異常發(fā)現(xiàn)技術(shù) 2 模式發(fā)現(xiàn)技術(shù) 狀態(tài)建模 串匹配 專家系統(tǒng) 基于簡(jiǎn)單規(guī)則 3 混合檢測(cè)人工免疫方法 遺傳算法 數(shù)據(jù)挖掘 3 入侵檢測(cè)系統(tǒng)的特征庫(kù) 來(lái)自保留IP地址的連接企圖 可通過檢查IP報(bào)頭 IPheader 的來(lái)源地址識(shí)別 帶有非法TCP標(biāo)志聯(lián)合物的數(shù)據(jù)包 可通過TCP報(bào)頭中的標(biāo)志集與已知正確和錯(cuò)誤標(biāo)記聯(lián)合物的不同點(diǎn)來(lái)識(shí)別 含有特殊病毒信息的Email 可通過對(duì)比每封Email的主題信息和病態(tài)Email的主題信息來(lái)識(shí)別 或者通過搜索特定名字的外延來(lái)識(shí)別 查詢負(fù)載中的DNS緩沖區(qū)溢出企圖 可通過解析DNS域及檢查每個(gè)域的長(zhǎng)度來(lái)識(shí)別 另外一個(gè)方法是在負(fù)載中搜索 殼代碼利用 exploitshellcode 的序列代碼組合 對(duì)POP3服務(wù)器大量發(fā)出同一命令而導(dǎo)致DoS攻擊 通過跟蹤記錄某個(gè)命令連續(xù)發(fā)出的次數(shù) 看看是否超過了預(yù)設(shè)上限 而發(fā)出報(bào)警信息 未登錄情況下使用文件和目錄命令對(duì)FTP服務(wù)器的文件訪問攻擊 通過創(chuàng)建具備狀態(tài)跟蹤的特征樣板以監(jiān)視成功登錄的FTP對(duì)話 發(fā)現(xiàn)未經(jīng)驗(yàn)證卻發(fā)命令的入侵企圖 4 響應(yīng) 1 主動(dòng)響應(yīng)針對(duì)入侵者采取的措施 修正系統(tǒng) 收集更詳細(xì)的信息 2 被動(dòng)響應(yīng)在被動(dòng)響應(yīng)系統(tǒng)中 系統(tǒng)只報(bào)告和記錄發(fā)生的事件 5 3 4入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn) 入侵檢測(cè)系統(tǒng)設(shè)置的基本過程 在基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)中部署入侵檢測(cè)器 檢測(cè)器位置 1 DMZ區(qū)內(nèi) 2 內(nèi)網(wǎng)主干 防火墻內(nèi)側(cè) 3 外網(wǎng)入口 防火墻外側(cè) 4 在防火墻的內(nèi)外都放置 5 關(guān)鍵子網(wǎng) 在基于主機(jī)的入侵檢測(cè)系統(tǒng)中部署入侵檢測(cè)器 基于主機(jī)的入侵檢測(cè)系統(tǒng)通常是一個(gè)程序 在基于網(wǎng)絡(luò)的入侵檢測(cè)器的部署和配置完成后 基于主機(jī)的入侵檢測(cè)將部署在最重要 最需要保護(hù)的主機(jī)上 4 報(bào)警策略 檢測(cè)到入侵行為需要報(bào)警 具體報(bào)警的內(nèi)容和方式 需要根據(jù)整個(gè)網(wǎng)絡(luò)的環(huán)境和安全需要確定 例如 對(duì)一般性服務(wù)企業(yè) 報(bào)警集中在已知的有威脅的攻擊行為上 對(duì)關(guān)鍵性服務(wù)企業(yè) 需要盡將可能多的報(bào)警記錄并對(duì)部分認(rèn)定的報(bào)警進(jìn)行實(shí)時(shí)反饋 5 3 4入侵檢測(cè)產(chǎn)品的選擇 1 購(gòu)買入侵檢測(cè)系統(tǒng)考慮的基本因素實(shí)時(shí)性 自動(dòng)反應(yīng)能力 能檢測(cè)到所有事件 不會(huì)發(fā)生遺漏警報(bào) 跨平臺(tái)性好 能在多種平臺(tái)上運(yùn)行 2 理想的入侵檢測(cè)系統(tǒng)的幾個(gè)特點(diǎn)快速控制 良好的誤報(bào)警管理 顯示過濾器 標(biāo)志已經(jīng)分析過的事件 層層探究的能力 關(guān)聯(lián)分析能力 報(bào)告能力 5 4網(wǎng)絡(luò)誘騙 5 4 1蜜罐 1 蜜罐的特點(diǎn)蜜罐是一個(gè)包含有漏洞的誘騙系統(tǒng) 它通過模擬一個(gè)或多個(gè)易受攻擊的主機(jī) 給攻擊者提供一個(gè)容易攻擊的目標(biāo) 蜜罐不向外界提供真正有價(jià)值的服務(wù) 所有與蜜罐的連接嘗試都被視為可疑的連接 2 蜜罐的目的引誘攻擊 拖延對(duì)真正有價(jià)值目標(biāo)的攻擊 消耗攻擊者的時(shí)間 以便收集信息 獲取證據(jù) 3 蜜罐的主要形式 1 空系統(tǒng) 2 鏡像系統(tǒng) 3 虛擬系統(tǒng) 5 4 2蜜網(wǎng)技術(shù) 1 第一代蜜網(wǎng) 2 第二代蜜網(wǎng) 3 第三代蜜網(wǎng) 5 4 3常見網(wǎng)絡(luò)誘騙工具及產(chǎn)品 1 蜜罐實(shí)現(xiàn)工具 1 winetd 2 DTK 3 Honeyd2 蜜網(wǎng)實(shí)現(xiàn)工具 1 數(shù)據(jù)控制 Jptable snort inline 2 數(shù)據(jù)捕獲 Termlog Sebek2 snort Comlog 3 數(shù)據(jù)收集 Obfugator 4 數(shù)據(jù)分析 Privmsg TASK WinInterrogate 5 5計(jì)算機(jī)取證 5 5 1數(shù)字證據(jù)的特點(diǎn)1 依附性和多樣性2 可偽性和弱證明性3 數(shù)據(jù)的揮發(fā)性 5 5 2數(shù)字取證的基本原則 1 符合程序2 共同監(jiān)督3 保護(hù)隱私4 影響最小如果取證要求必須運(yùn)行某些業(yè)務(wù)程序 應(yīng)當(dāng)使運(yùn)行時(shí)間盡量短 必須保證取證不給系統(tǒng)帶來(lái)副作用 如引進(jìn)病毒等 5 連續(xù)完全6 原汁原味必須保證提取出來(lái)的證據(jù)不受電磁或機(jī)械的損害 必須保證收集的證據(jù)不被取證程序破壞 5 5 3數(shù)字取證的一般步驟 1 保護(hù)現(xiàn)場(chǎng)在取證過程中 保護(hù)目標(biāo)系統(tǒng) 避免發(fā)生任何改變 損害 保護(hù)證據(jù)的完整性 防止證據(jù)信息的丟失和破壞 防止病毒感染 2 證據(jù)發(fā)現(xiàn)證據(jù)信息分為兩大類 實(shí)時(shí)信息 或易失信息 例如網(wǎng)絡(luò)連接 非易失信息 即不會(huì)隨時(shí)間或設(shè)備斷電消失 3 證據(jù)固定4 證據(jù)提取過濾和挖掘 解碼 對(duì)軟件或數(shù)據(jù)碎片進(jìn)行殘缺分析 上下文分析 恢復(fù)原來(lái)的面貌 5 證據(jù)分析犯罪行為重構(gòu) 嫌疑人畫像 確定犯罪動(dòng)機(jī) 受害程度行為分析等 6 提交證據(jù) 5 5 4數(shù)字取證的基本技術(shù)和工具 利用IDS取證利用蜜罐取證 1 利用IDS取證 1 確認(rèn)攻擊檢查的主要內(nèi)容有 尋找嗅探器 如sniffer 尋找遠(yuǎn)程控制程序 如netbus backorifice 尋找黑客可能利用的文件共享或通信程序 如eggdrop irc 尋找特權(quán)程序 如find perm 4000 print 尋找未授權(quán)的服務(wù) 如netstat a checkinetd conf 尋找異常文件 考慮系統(tǒng)磁盤大小 檢查文件系統(tǒng)的變動(dòng) 檢查口令文件的變動(dòng)并尋找新用戶 檢測(cè)cron和atjobs 核對(duì)系統(tǒng)和網(wǎng)絡(luò)配置 特別注意過濾規(guī)則 檢查所有主機(jī) 特別是服務(wù)器 2 取證過程1決定取證的目的觀察研究攻擊者 跟蹤并驅(qū)趕攻擊者 捕俘攻擊者 準(zhǔn)備起訴攻擊者 2啟動(dòng)必要的法律程序 3對(duì)系統(tǒng)進(jìn)行完全備份 包括用tcpdump作完全的分組日志 有關(guān)協(xié)議分組的來(lái)龍去脈 一些會(huì)話 如telnet rlogin IRC FTP等 的可能內(nèi)容 4根據(jù)情況有選擇地關(guān)閉計(jì)算機(jī)系統(tǒng)不徹底關(guān)閉系統(tǒng) 否則造成信息改變 證據(jù)破壞 不斷開網(wǎng)絡(luò) 將系統(tǒng)備份轉(zhuǎn)移到單用戶模式下制作和驗(yàn)證備份 考慮制作磁盤鏡像 同步磁盤 暫停系統(tǒng) 5調(diào)查攻擊者來(lái)源利用tcpdump who syslog 運(yùn)行finger對(duì)抗遠(yuǎn)程系統(tǒng) 尋找攻擊者可能利用的賬號(hào) 2 利用蜜罐取證 1 獲取入侵者信息 2 獲取關(guān)于攻擊的信息 攻擊的手段 日期和時(shí)間 入侵者添加了一些什么文件 是否安裝了嗅探器或密碼 若有 在何處 是否安裝有 rootkit 或木馬程序 若有 傳播途徑是什么 3 建立事件的時(shí)間序列 4 事故費(fèi)用分析 5 向管理層 媒體以及法庭提交相應(yīng)的報(bào)告 5 5 5數(shù)字證據(jù)的法律問題 1 數(shù)字證據(jù)的真實(shí)性2 數(shù)字證據(jù)的證明力 3 數(shù)字取證工具的法律效力 1 可測(cè)試性漏判測(cè)試誤判測(cè)試 2 錯(cuò)誤率可能存在兩類錯(cuò)誤 工具執(zhí)行錯(cuò)誤提取錯(cuò)誤 3 公開性 4 可接受性 5 6數(shù)據(jù)容錯(cuò) 數(shù)據(jù)容災(zāi)和數(shù)據(jù)備份 保證系統(tǒng)可靠性的三條途徑 避錯(cuò)糾錯(cuò)容錯(cuò) 完善設(shè)計(jì)和制造 試圖構(gòu)造一個(gè)不會(huì)發(fā)生故障的系統(tǒng) 但是 這是不太現(xiàn)實(shí)的 任何一個(gè)系統(tǒng)總會(huì)有紕漏 因此 人們不得不用糾錯(cuò)作為避錯(cuò)的補(bǔ)充 災(zāi)害對(duì)系統(tǒng)危害要比錯(cuò)誤要大 要嚴(yán)重 即使出現(xiàn)錯(cuò)誤 系統(tǒng)也還能執(zhí)行一組規(guī)定的程序 5 6 1數(shù)據(jù)容錯(cuò) 1 數(shù)據(jù)容錯(cuò)系統(tǒng)分類 1 高可用度系統(tǒng) 2 長(zhǎng)壽命系統(tǒng) 3 延遲維修系統(tǒng) 4 高性能系統(tǒng) 5 關(guān)鍵任務(wù)系統(tǒng) 2 常用數(shù)據(jù)容錯(cuò)技術(shù) 1 空閑 設(shè)備 空閑 設(shè)備也稱雙件熱備 就是配置兩套相同的部件 2 鏡像鏡像是兩個(gè)相同的部件 3 復(fù)現(xiàn)復(fù)現(xiàn)也稱延遲鏡像 4 負(fù)載均衡 5 6 2數(shù)據(jù)容災(zāi) 1 數(shù)據(jù)容災(zāi)等級(jí) 1 第0級(jí) 本地備份 本地保存的冷備份 2 第1級(jí) 本地備份 異地保存的冷備份 3 第2級(jí) 熱備份站點(diǎn)備份 4 第3級(jí) 活動(dòng)互援備份 2 異地容災(zāi)技術(shù) 1 遠(yuǎn)程鏡像技術(shù) 2 快照技術(shù) 3 互連技術(shù) 4 虛擬存儲(chǔ) 5 6 3數(shù)據(jù)備份 1 數(shù)據(jù)備份的策略 1 完全備份 fullbackup 2 增量備份 incrementalbackup 3 差別備份 differentialbackup 4 按需備份 2 數(shù)據(jù)備份模式 1 邏輯備份 基于文件 file based 備份 2 物理備份 基于塊 block based 備份或基于設(shè)備 device based 備份 3 數(shù)據(jù)備份環(huán)境 1 冷備份 2 熱備份