《信息系统安全第5章.ppt》由会员分享,可在线阅读,更多相关《信息系统安全第5章.ppt(41页珍藏版)》请在三一办公上搜索。
1、第5章,信息系统防卫,5.1 防火墙技术,5.1.1 防火墙的功能,1.作为网络安全的屏障2.防止攻击性故障蔓延和内部信息的泄露3.强化网络安全策略4.对网络存取和访问进行监控审计和报警5.远程管理6.MAC与IP地址的绑定7.流量控制(带宽管理)和统计分析、流量计费8.其他功能,网络防火墙的基本结构,1.屏蔽路由器(Screening Router)和屏蔽主机(Screening Host),具有数据包过滤功能的路由器称为屏蔽路由器。,网络防火墙的基本结构,2.双宿主网关(Dual Homed Gateway),网络防火墙的基本结构,3.堡垒主机(Bastion Host),网络防火墙的基本
2、结构,4.屏蔽子网(Screening Subnet)防火墙,5.1.3 网络防火墙的局限,1.防火墙可能留有漏洞,2.防火墙不能防止内部出卖性攻击或内部误操作3.防火墙不能防止数据驱动式的攻击,5.2 信息系统安全审计,安全审计对系统安全方案中的功能提供持续的评估。这就是安全审计。,安全审计功能(1)记录关键事件。关于关键事件的界定由安全官员决定。(2)对潜在的攻击者进行威慑或警告。(3)为系安全管理员提供有价值的系统使用日志,帮助系统管理员及时发现入侵行为和系统漏洞。(4)为安全官员提供一组可供分析的管理数据,用于发现何处有违反安全方案的事件,,5.2.2 安全审计日志,典型的日志内容有:
3、事件的性质:数据的输入和输出,文件的更新(改变或修改),系统的用途或期望;全部相关标识:人、设备和程序;有关事件的信息:日期和时间,成功或失败,涉及因素的授权状态,转换次数,系统响应,项目更新地址,建立、更新或删除信息的内容,使用的程序,兼容结果和参数检测,侵权步骤等。对大量生成的日志要适当考虑数据的保存期限。,5.2.3 安全审计的类型,1.根据审计的对象分类操作系统的审计;应用系统的审计;设备的审计;网络应用的审计。,2.审计的关键部位(1)对来自外部攻击的审计;(2)对来自内部攻击的审计;(3)对电子数据的安全审计。,5.3 入侵检测,入侵检测(Intrusion Detection)就
4、是对入侵行为的发觉。入侵检测系统的主要功能有:监视并分析用户和系统的行为;审计系统配置和漏洞;评估敏感系统和数据的完整性;识别攻击行为、对异常行为进行统计;自动收集与系统相关的补丁;审计、识别、跟踪违反安全法规的行为;使用诱骗服务器记录黑客行为;入侵检测系统(Intrusion Detection System,IDS)是进行入侵检测的软件和硬件的组合。,5.3.2 入侵检测原理,事后入侵检测的过程,实时入侵检测过程,入侵检测系统的优点及其局限,提高了信息系统安全体系其他部分的完整性;提高了系统的监察能力;可以跟踪用户从进入到退出的所有活动或影响;能够识别并报告数据文件的改动;可以发现系统配置
5、的错误,并能在必要时予以改正;可以识别特定类型的攻击,并进行报警,作出防御响应;可以使管理人员最新的版本升级添加到程序中;允许非专业人员从事系统安全工作;可以为信息系统安全提供指导。,在无人干预的情形下,无法执行对攻击的检测;无法感知组织(公司)安全策略的内容;不能弥补网络协议的漏洞;不能弥补系统提供信息的质量或完整性问题;不能分析网络繁忙时的所有事物;不能总是对数据包级的攻击进行处理;,5.3.3 入侵检测系统的功能结构,入侵检测系统的通用模型,1.信息收集,(1)数据收集的内容 主机和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息,(2)入侵检测系统的
6、数据收集机制 基于主机的数据收集和基于网络的数据收集,分布式与集中式数据收集机制 直接监控和间接监控 外部探测器和内部探测器,2.数据分析,(1)异常发现技术(2)模式发现技术 状态建模 串匹配 专家系统 基于简单规则(3)混合检测人工免疫方法;遗传算法;数据挖掘;。,3.入侵检测系统的特征库,来自保留IP地址的连接企图:可通过检查IP报头(IP header)的来源地址识别。带有非法TCP 标志联合物的数据包:可通过TCP 报头中的标志集与已知正确和错误标记联合物的不同点来识别。含有特殊病毒信息的Email:可通过对比每封Email的主题信息和病态Email的主题信息来识别,或者通过搜索特定
7、名字的外延来识别。查询负载中的DNS 缓冲区溢出企图:可通过解析DNS域及检查每个域的长度来识别。另外一个方法是在负载中搜索“壳代码利用”(exploit shellcode)的序列代码组合。对POP3服务器大量发出同一命令而导致DoS攻击:通过跟踪记录某个命令连续发出的次数,看看是否超过了预设上限,而发出报警信息。未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击:通过创建具备状态跟踪的特征样板以监视成功登录的FTP对话,发现未经验证却发命令的入侵企图。,4.响应,(1)主动响应针对入侵者采取的措施;修正系统;收集更详细的信息。(2)被动响应在被动响应系统中,系统只报告和记录发生的事
8、件。,5.3.4 入侵检测系统的实现,入侵检测系统设置的基本过程,在基于网络的入侵检测系统中部署入侵检测器,检测器位置:(1)DMZ区内(2)内网主干(防火墙内侧)(3)外网入口(防火墙外侧)(4)在防火墙的内外都放置(5)关键子网,在基于主机的入侵检测系统中部署入侵检测器,基于主机的入侵检测系统通常是一个程序。在基于网络的入侵检测器的部署和配置完成后,基于主机的入侵检测将部署在最重要、最需要保护的主机上。,4.报警策略,检测到入侵行为需要报警。具体报警的内容和方式,需要根据整个网络的环境和安全需要确定。例如:对一般性服务企业,报警集中在已知的有威胁的攻击行为上;对关键性服务企业,需要尽将可能
9、多的报警记录并对部分认定的报警进行实时反馈。,5.3.4 入侵检测产品的选择,1.购买入侵检测系统考虑的基本因素实时性。自动反应能力。能检测到所有事件,不会发生遗漏警报。跨平台性好,能在多种平台上运行。,2.理想的入侵检测系统的几个特点快速控制。良好的误报警管理。显示过滤器。标志已经分析过的事件。层层探究的能力。关联分析能力。报告能力。,5.4 网络诱骗,5.4.1 蜜罐,1.蜜罐的特点蜜罐是一个包含有漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标。蜜罐不向外界提供真正有价值的服务。所有与蜜罐的连接尝试都被视为可疑的连接。,2.蜜罐的目的引诱攻击,拖延对真正
10、有价值目标的攻击;消耗攻击者的时间,以便收集信息,获取证据。,3.蜜罐的主要形式(1)空系统(2)镜像系统(3)虚拟系统,5.4.2 蜜网技术,1.第一代蜜网,2.第二代蜜网,3.第三代蜜网,5.4.3 常见网络诱骗工具及产品,1.蜜罐实现工具(1)winetd(2)DTK(3)Honeyd2.蜜网实现工具(1)数据控制:Jptable、snort_inline.。(2)数据捕获:Termlog、Sebek2、snort、Comlog。(3)数据收集:Obfugator。(4)数据分析:Privmsg、TASK、WinInterrogate。,5.5 计算机取证,5.5.1 数字证据的特点1.
11、依附性和多样性2.可伪性和弱证明性3.数据的挥发性,5.5.2 数字取证的基本原则,1.符合程序2.共同监督3.保护隐私4.影响最小如果取证要求必须运行某些业务程序,应当使运行时间尽量短;必须保证取证不给系统带来副作用,如引进病毒等。5.连续完全6.原汁原味必须保证提取出来的证据不受电磁或机械的损害;必须保证收集的证据不被取证程序破坏。,5.5.3 数字取证的一般步骤,1.保护现场在取证过程中,保护目标系统,避免发生任何改变、损害;保护证据的完整性,防止证据信息的丢失和破坏;防止病毒感染。,2.证据发现证据信息分为两大类:实时信息(或易失信息),例如网络连接;非易失信息,即不会随时间或设备断电
12、消失。,3.证据固定4.证据提取过滤和挖掘;解码:对软件或数据碎片进行残缺分析、上下文分析,恢复原来的面貌。5.证据分析犯罪行为重构;嫌疑人画像;确定犯罪动机;受害程度行为分析等。6.提交证据。,5.5.4 数字取证的 基本技术和工具,利用IDS取证利用蜜罐取证,1.利用IDS取证,(1)确认攻击检查的主要内容有:寻找嗅探器(如sniffer);寻找远程控制程序(如netbus、back orifice);寻找黑客可能利用的文件共享或通信程序(如eggdrop、irc)寻找特权程序(如find/-perm-4000-print);寻找未授权的服务(如netstat a、check inetd.
13、conf);寻找异常文件(考虑系统磁盘大小);检查文件系统的变动;检查口令文件的变动并寻找新用户;检测cron和at jobs;核对系统和网络配置(特别注意过滤规则);检查所有主机(特别是服务器)。,(2)取证过程1 决定取证的目的观察研究攻击者。跟踪并驱赶攻击者。捕俘攻击者。准备起诉攻击者。2 启动必要的法律程序。3 对系统进行完全备份,包括用tcpdump作完全的分组日志;有关协议分组的来龙去脉;一些会话(如telnet、rlogin、IRC、FTP等)的可能内容。4 根据情况有选择地关闭计算机系统不彻底关闭系统(否则造成信息改变,证据破坏)。不断开网络。将系统备份转移到单用户模式下制作和
14、验证备份。考虑制作磁盘镜像。同步磁盘,暂停系统。5 调查攻击者来源利用tcpdump/who/syslog。运行finger对抗远程系统。寻找攻击者可能利用的账号。,2.利用蜜罐取证,(1)获取入侵者信息。(2)获取关于攻击的信息:攻击的手段、日期和时间;入侵者添加了一些什么文件?是否安装了嗅探器或密码?若有,在何处?是否安装有“rootkit”或木马程序?若有,传播途径是什么?。(3)建立事件的时间序列。(4)事故费用分析。(5)向管理层、媒体以及法庭提交相应的报告。,5.5.5 数字证据的法律问题,1.数字证据的真实性2.数字证据的证明力,3.数字取证工具的法律效力(1)可测试性漏判测试误
15、判测试(2)错误率可能存在两类错误:工具执行错误提取错误(3)公开性(4)可接受性,5.6 数据容错、数据容灾和数据备份,保证系统可靠性的三条途径:避错纠错容错,完善设计和制造,试图构造一个不会发生故障的系统。但是,这是不太现实的,任何一个系统总会有纰漏。因此,人们不得不用纠错作为避错的补充。,灾害对系统危害要比错误要大、要严重;即使出现错误,系统也还能执行一组规定的程序。,5.6.1 数据容错,1.数据容错系统分类(1)高可用度系统(2)长寿命系统(3)延迟维修系统(4)高性能系统(5)关键任务系统,2.常用数据容错技术(1)“空闲”设备“空闲”设备也称双件热备,就是配置两套相同的部件。(2
16、)镜像镜像是两个相同的部件。(3)复现复现也称延迟镜像。(4)负载均衡,5.6.2 数据容灾,1.数据容灾等级(1)第0级:本地备份、本地保存的冷备份(2)第1级:本地备份、异地保存的冷备份(3)第2级:热备份站点备份(4)第3级:活动互援备份,2.异地容灾技术(1)远程镜像技术(2)快照技术(3)互连技术(4)虚拟存储,5.6.3 数据备份,1.数据备份的策略(1)完全备份(full backup)(2)增量备份(incremental backup)(3)差别备份(differential backup)(4)按需备份,2.数据备份模式(1)逻辑备份基于文件(file-based)备份(2)物理备份基于块(block-based)备份或基于设备(device-based)备份,3.数据备份环境(1)冷备份(2)热备份,
