因特网安全协议

第七章安全管理与审计第七章安全管理与审计7.1基本概念7.2安全管理7.3安全审计7.4入侵检测7.5小结第七章安全管理与审计7.1基本概念本节介绍有关安全管理、安全审计以及入侵检测等方面的基本概念。7.1.1安全管理目标7.1.2安全管理原则7.1.3安全管理措施7.1.4人员管理7.1.5技术管理第七章安全管理与审计7.1.1安全管理目标严格的安全管理需要达到以下目标：防止未授权访问防止泄密防止用户拒绝系统的管理保证系统的完整性第七章安全管理与审计7.1.2安全管理原则1、安全管理原则多人负责原则任期有限原则职责分离原则计算机操作与计算机编程机密资料的接收和传送安全管理和系统管理应用程序和系统程序的编制访问证件的管理与其他工作计算机操作与信息处理系统使用媒介的保管等第七章安全管理与审计2、安全管理的实现根据工作的重要程度，确定该系统的安全等级。根据确定的安全等级，确定安全管理的范围。制订相应的机房出入管理制度。制订严格的操作规程。制订完备的系统维护制度。制订应急措施。7.1.2安全管理原则第七章安全管理与审计3、防范黑客原则加强监控能力。加强安全管理。集中监控。多层次防御和部门间的物理隔离。要随时跟踪最新网络安全技术，采用国内外先进的网络安全技术、工具、手段和产品。同时，一旦防护手段失效时，要有先进的系统恢复、备份技术。7.1.2安全管理原则第七章安全管理与审计4、安全规划重要信息保密网络系统的安全防止外部攻击防止内部篡改检查传输内容安全产品的选型7.1.2安全管理原则第七章安全管理与审计7.1.3安全管理措施从整体上来讲网络安全可分为两个方面：网络层：保护网络服务的可用性。应用层：保护合法用户对数据的合法访问。安全检测：在网络运行之前和运行当中通过不断的自测，发现系统存在的安全漏洞，并列出报告，告诉使用者检修的方法，然后及时采取补救措施。具体功能包括两个方面检测网络的安全漏洞检测系统配置错误。第七章安全管理与审计网络层的安全检测措施，主要是预防黑客的攻击，它是一种主动的预防行为。应用层的安全措施有如下几方面：建立全局的电子身份认证系统。实现全局资源的统一管理。信息传输加密。实现审讯记录和统计分析。7.1.3安全管理措施第七章安全管理与审计7.1.4人员管理用户的安全意识系统管理员的安全意识。第七章安全管理与审计7.1.5技术管理静态安全技术缺点是需要人工来实施和维护，不能主动跟踪入侵者。动态安全技术最大优点在于“主动性”，通过将实时捕捉和分析系统与网络监视系统相结合，入侵检测系统能够发现危险攻击的特征，进而探测出攻击行为并发出警报，同时采取保护措施。网络测试技术系统安全测试Web安全测试系统漏洞检测防火墙的测试第七章安全管理与审计7.2安全管理1、OSI管理标准框架结构管理信息模型管理信息定义受管对象定义指南一般管理信息另一个标准ISO/IEC1O164审计管理、配置管理、容错管理、性能管理和安全管理这五个管理功能区中定义了大量的系统管理功能。7.2.1CMIP的安全管理第七章安全管理与审计2、通用管理信息协议CMIP：是一个采用了远程操作模型的请求/应答协议，提供以下两种服务：传输由管理系统发起并面向受管对象的操作。传输由受管对象产生的事件通知。面向受管对象的操作有：获得关于一个受管对象或它的集合属性值。更改一个或多个受管对象的一个或多个属性值。发起并产生一个受管对象。从环境中取消一个或多个受管对象。激发一个作为受管对象一部分的预定义行为过程。停止一个GET操作。7.2.1CMIP的安全管理第七章安全管理与审计安全警报报告功能安全警报能导致以下一些行动：监督可疑用户，取消可疑用户的权限，调用更强的保护机制，去掉或修复故障网络或系统的某个组成部件。安全警报通过M-EVENT-REPORT通知给管理系统。安全警报报告中传递的参数分为三类事件类型和安全警报原因的组合表明了警报的原因。安全警报的安全参数指明了由初始受管客体发觉的警报意义。安全警报检测器参数是标识检测警报条件的实体。7.2.1CMIP的安全管理第七章安全管理与审计4、安全审计追踪功能安全审计追踪用来检测一个安全策略的正确性，确认与安全策略的一致性，帮助分析攻击，并且收集用于起诉攻击者的证据。安全审计追踪功能为将事件信息传递给维护日志并创建和恢复日志实体的系统提供了必要的支持。安全审计追踪功能标准另外定义了两个特殊的通知，分别与服务报告和使用报告对应。服务报告表明了与一些服务的提供、拒绝或恢复有关的事件。使用报告用于有安全意义的日志统计信息。7.2.1CMIP的安全管理第七章安全管理与审计管理资源的访问控制访问控制体系结构中，发起者是管理系统或系统中的管理员，目标是受管系统的信息资源。基于访问控制规则来决定是允许还是拒绝访问请求。访问规则本身可以表示成管理信息条目并且使用CMIP协议来管理。一条规则的说明书中包含了许多要素，其中包括访问的许可、发起者列表、目标列表、时间表、状态条件以及认证内容等。在访问控制决策过程中，首先需要验证伴随访问请求出现的任何访问控制信息。使用规则的方法取决于所使用的特定访问控制机制。7.2.1CMIP的安全管理第七章安全管理与审计CMIP的安全特性CMIP协议格式说明中包括了最小安全特征。CMIP会话中的所有数据的完整性和机密性由端系统级的安全服务来保证。7.2.1CMIP的安全管理第七章安全管理与审计7.2.2SNMP的安全管理1、SNMP构成简单网络管理协议（SNMP）是支持基于TCP/IP的系统管理的一组因特网标准的一部分。SNMP体系结构的主要部件是一个网络管理站和一些网络要素。网络管理站是一个运行了SNMP以及一些网络管理应用的主机系统。网络要素是受管系统，如主机、路由器、网关或服务器。在网络管理站和网络要素之间进行的通信中，实现SNMP的实体被称为SNMP协议实体或简单的SNMP实体。一个SNMP实体可以以管理者角色或代理角色进行的操作。SNMP也通过代理服务器提供对设备的管理。第七章安全管理与审计2、协议操作SNMP特别适合于实现相对小的网络系统，它有6个基本的SNMP协议互操作，涉及到7种类型的PDU。3、管理功能在SNMP版本1中，采用了基于团体的管理模型。在SNMP版本2中，定义了加强的管理模型。4、SNMP安全服务两个主要威胁是数据篡改和伪造。两个次要的威胁是修改消息流和窃听。因此，所要求的安全服务有：将服务的完整性和数据起源认证结合起来、序列的完整性以及数据的机密性。这样就导致了两个SNMP安全协议的定义。摘要认证协议提供了数据完整性、数据起源认证和序列完整性保护。对称秘密协议提供了数据的机密性保护。7.2.2SNMP的安全管理第七章安全管理与审计5、摘要认证协议：通过一个认证信息数据项提供保护。该项连同一个常用的SNMPPDU结合到一个SNMP认证消息中。认证信息项由下面三部分组成：起源认证时间戳：该字段传递产生消息的时间，该时间根据起源成员的时钟得到。目的认证时间戳：该字段传递产生消息的时间，该时间根据目的成员的时钟得到。认证摘要：该字段传递一个封章，封章是通过对消息计算得到的。7.2.2SNMP的安全管理第七章安全管理与审计6、对称秘密协议对称秘密协议像摘要认证协议一样，通过加密一个SNMP认证消息来提供秘密保护。加密使用了一个对称密码算法和一个预先已经建立的秘密密钥。推荐的算法是DES的CBC模式。密钥长度为128比特。由56比特DES密钥（加上8位的奇偶位）和64比特的初始向量组成。为了保证每8位组加密，消息要求补齐。7.2.2SNMP的安全管理第七章安全管理与审计7、SNMP安全的管理SNMP安全协议的使用依赖于下列管理功能：（1）密钥管理，包括认证密钥和秘密密钥；（2）确保所有系统中的时钟同步，因为序列完整性的正确功能取决于这种同步；（3）建立和维护每个系统的信息，这些系统与发生通信的SNMP成员有关。7.2.2SNMP的安全管理第七章安全管理与审计8、访问控制：SNMP版本2管理模型包括一个访问控制模型，用来管理哪些SNMPPDU可以合法地在成员之间发送，该模型是关于一组特定受管对象资源。访问控制信息以访问控制列表的形式存在。一个访问控制列表有下列组成部分：目标主体资源权利7.2.2SNMP的安全管理第七章安全管理与审计安全审计是系统记录和活动的独立复审和验证。安全审计的目的包括辅助辨识和分析未经授权的活动或攻击；帮助并且保证那些实体响应行动处理这些活动；促进开发改进的损伤控制处理程序；认可与已经建立的安全策略的一致性；报告那些可能与系统控制不相适应的信息；辨识可能需要的对控制、策略和处理程序的改变。7.3安全审计7.3.1安全审计的目的第七章安全管理与审计7.3.1安全审计的目的安全报警是由个人或进程发出的警告，以指示发生了异常情况，可能需要及时的行动。安全报警的目的包括：报告实际的或明显的违背安全的企图；报告各种安全相关的事件，包括“正常”事件；报告达到一定门限后触发产生的事件。第七章安全管理与审计7.3.2系统记账与日志审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。审计日志是记录信息系统安全状态和问题的依据。各级信息系统必须制定保存和调阅审计日志的管理制度。第七章安全管理与审计7.3.3安全审计的功能支持一个安全审计和报警服务需要多种功能：事件辨别器：它提供事件的初始分析，确定是否将该事件转送给审计记录器或报警处理器。事件记录器：它将接收到的消息生成审计记录，并把该记录存入一个安全审计跟踪。报警处理器：它产生一个审计消息，同时产生合适的行动以响应一个安全报警。审计分析器：它检查一个安全审计跟踪，如果合适的话，生成安全报警和安全审计消息。审计跟踪验证器：它从一个或多个安全审计跟踪产生安全审计报告。审计提供器：它按照某些准则提供审计记录。审计归档器：它将安全审计跟踪归档。第七章安全管理与审计附加的支持分布式安全审计跟踪和报警的功能也是必需的，这些功能包括：审计跟踪收集器：将一个分布式审计跟踪的记录汇集成一个安全审计跟踪。审计调度器：将分布式安全审计跟踪的某些部分或全部，传输到该审计跟踪收集功能。7.3.3安全审计的功能第七章安全管理与审计7.3.4安全检查网络系统安全检测是对系统及其网络进行风险评估的重要措施。本小节以Unix系统为例，说明安全检查的方法。1、记账2、系统检查命令3、查着历史文件4、查属主为root并且带s位的程序5、找出隐藏文件第七章安全管理与审计7.3.5安全分析安全分析的目的在于可以再次确认在系统安装时是否疏忽了某些配置问题；建立一套安全标准，并使系统现在建立的安全标准可作为以后对系统进行安全分析时的对比依据。一般均具有如下功能：检查系统是否存在安全漏洞。在系统安装时，系统管理员的疏忽会给入侵者以可乘之机。建立一个关于系统中所有文件的数据库。这样，系统管理员将来可以经常对这些文件进行检查，辨别文件是否有异常变化。第七章安全管理与审计7.4入侵检测7.4.1入侵检测目的入侵检测的目的就是及时发现网络系统中所存在的最薄弱的环节，使用最有效的方法定期对网络系统进行安全性检测与分析，及时发现并修正存在的弱点和漏洞，最大限度地保证网络系统的安全。第七章安全管理与审计7.4.2入侵检测技术网络入侵检测实际上也是一种信息识别与检测技术基于审计信息的检测技术基于统计的入侵检测统计数据测量点的选取统计数据的分析和入侵判断自动学习基于神经网络的入侵检测基于规则的入侵检测第七章安全管理与审计7.4.3入侵检测系统入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。第七章安全管理与审计实时入侵检测的要求状态跟踪引擎快速字符串匹配和分配引擎基于统计的协议识别基于统计的入侵检测基于规则的入侵检测综合判别第七章安全管理与审计入侵检