【文章內(nèi)容簡介】 7 ? 多級策略示例 絕密 機密 秘密 限制 無密級 絕密 讀 /寫 讀 讀 讀 讀 機密 寫 讀 /寫 讀 讀 讀 秘密 寫 寫 讀 /寫 讀 讀 限制 寫 寫 寫 讀 /寫 讀 無密級 寫 寫 寫 寫 讀 /寫 用戶 目標(biāo) 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 38 ? 非否認(rèn)性 ? 非否認(rèn)用于防止發(fā)送方或接收方抵賴所傳輸?shù)男畔ⅰ? ? 非否認(rèn)確保發(fā)送方在發(fā)送信息后無法否認(rèn)曾發(fā)送過信息這一事實以及所發(fā)送信息的內(nèi)容；接收方在收到信息后也無法否認(rèn)曾收到過信息這一事實以及所收到信息的內(nèi)容。 ? 實現(xiàn) ? 非否認(rèn)主要通過數(shù)字簽名和通信雙方所共同信賴的第三方的仲裁來實現(xiàn)。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 39 ? 可用性 ? 可用性服務(wù)是保障系統(tǒng)正常對外提供服務(wù)的安全措施。 ? 喪失或降低可用性的原因： ? 拒絕服務(wù)攻擊、黑客篡改主頁等； ? 計算機病毒； ? 各種物理損壞、自然災(zāi)害、設(shè)備故障以及操作失誤等。 ? 為了保證系統(tǒng)的可用性，注意以下幾點： ? 實施嚴(yán)格完善的訪問控制策略，杜絕非授權(quán)訪問； ? 采取防病毒措施； ? 資源分布和冗余，防止單點故障帶來的危害； ? 進行數(shù)據(jù)備份，以便故障后能夠快速恢復(fù)； ? 加強安全管理，實施門禁、容災(zāi)和抗毀等措施。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 40 ? 安全審計 ? 安全審計跟蹤是自動記錄用于安全審計的相關(guān)事件的過程。 ? 審計跟蹤將系統(tǒng)中所發(fā)生的管理者關(guān)注的所有的事件記錄到一個日志中，供管理者進行安全審計。 ? 通常安全審計跟蹤的事件有 ? 用戶登錄系統(tǒng)的時間 ? 對敏感目錄和文件的訪問 ? 異常行為等。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 41 ? 記錄內(nèi)容主要包括三個方面： ? 用戶信息（用戶名、網(wǎng)絡(luò)地址） ? 行為信息（訪問內(nèi)容、訪問方式等） ? 時間信息（登錄和注銷時間，特定行為時間等） ? 安全審計跟蹤不僅記錄用戶的行為，而且要記錄管理員的行為。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 42 ? 安全審計是對安全審計跟蹤記錄和過程的檢查。 ? 安全審計的主要目的： ? 測試系統(tǒng)安全策略是否完善和是否一致，形成完善系統(tǒng)安全策略的建議； ? 協(xié)助入侵檢測系統(tǒng)發(fā)現(xiàn)入侵行為； ? 收集入侵證據(jù)以用于針對攻擊者的法律訴訟。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 43 ? 入侵檢測 ? 入侵檢測是通過對實時事件序列和積累的審計跟蹤記錄的分析，自動地向安全管理者警告可能的安全侵犯或自動地阻止入侵行為。 ? 入侵檢測的定義 [Bace01] ? 入侵檢測是指監(jiān)視發(fā)生在計算機或網(wǎng)絡(luò)中的事件，并對這些事件進行分析以識別出攻擊企圖或行為，以保證系統(tǒng)或網(wǎng)絡(luò)資源的機密性、完整性與可用性的過程。 ? 入侵檢測系統(tǒng)（ IDS）則是使入侵檢測過程自動化的軟件或硬件。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 44 ? 入侵檢測系統(tǒng)的目標(biāo) ? 檢測各種各樣的攻擊行為； ? 能夠及時檢測到攻擊的發(fā)生； ? 對檢測結(jié)果的分析應(yīng)是簡單的、易于理解的； ? 具有足夠高的精度。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 45 ? 入侵檢測系統(tǒng)的分類 ? 基于檢測方法分類 – 異常檢測（ Anomalybased） – 誤用檢測（ Misusebased） ? 基于數(shù)據(jù)來源分類 – 主機入侵檢測系統(tǒng)（ Hostbased IDS） – 網(wǎng)絡(luò)入侵檢測系統(tǒng)（ Networkbased IDS） 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 46 ? 異常檢測 ? 異常檢測建立系統(tǒng)或網(wǎng)絡(luò)的正常行為模式，以網(wǎng)絡(luò)或系統(tǒng)行為是否偏離正常行為模式為依據(jù)來檢測攻擊，是建立在入侵行為與網(wǎng)絡(luò)或系統(tǒng)的正常行為不同這一假設(shè)基礎(chǔ)上的。 ? 優(yōu)點： – 能夠檢測到未知類型的攻擊； – 與系統(tǒng)相對無關(guān)； – 通用性較強。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 47 ? 缺點： – 由于不可能對整個系統(tǒng)內(nèi)的所有用戶行為進行全面的描述，或者當(dāng)系統(tǒng)或用戶的正常行為偏離了已知的正常行為模式時，系統(tǒng)的誤報率較高。 – 另外，入侵者可以通過惡意訓(xùn)練的方式，經(jīng)過一段時間訓(xùn)練后使檢測模型認(rèn)為攻擊行為也是正常的。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 48 ? 誤用檢測 ? 誤用檢測方法將已知攻擊的攻擊特征存儲在特征庫中，利用模式匹配的方式檢測攻擊。 ? 優(yōu)點： – 依據(jù)特征庫進行判斷，因此檢測精度很高。 ? 缺點： – 檢測范圍受已知知識的局限，只能檢測已知的攻擊模式，并且需要不斷地升級，以保證系統(tǒng)的完備性。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 49 ? 主機入侵檢測系統(tǒng) ? 從單個主機上提取系統(tǒng)數(shù)據(jù)（如審計記錄等）作為入侵分析的數(shù)據(jù)源。 ? 優(yōu)點： – 對網(wǎng)絡(luò)流量不敏感； – 監(jiān)控粒度更細(xì)； – 檢測精度較高。 ? 缺點： – 與操作系統(tǒng)平臺相關(guān)、可移植性差； – 難以檢測針對網(wǎng)絡(luò)的攻擊。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 50 ? 網(wǎng)絡(luò)入侵檢測系統(tǒng) ? 從網(wǎng)絡(luò)上提取數(shù)據(jù)（如網(wǎng)絡(luò)鏈路層的數(shù)據(jù)幀）作為入侵分析的數(shù)據(jù)源。 ? 優(yōu)點 – 與平臺無關(guān)； – 處于被動接收方式、隱蔽性好； – 能檢測基于網(wǎng)絡(luò)協(xié)議的攻擊類型。 ? 缺點 – 對于加密信道無法實現(xiàn)數(shù)據(jù)解密； – 無法獲得主機系統(tǒng)的實時狀態(tài)信息； – 對所有的網(wǎng)絡(luò)報文進行分析，計算成本較高。 ? 分布式入侵檢測系統(tǒng)將基于主機的入侵檢測和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)結(jié)合起來。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 51 ? 事故響應(yīng) ? 對安防事件做出切實可行的響應(yīng)是企業(yè)安防體系的一個組成部分。 ? 事故響應(yīng)使得在預(yù)防、檢測和應(yīng)付針對網(wǎng)絡(luò)資源的攻擊行為時有章可循、迅速反應(yīng)。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 52 ? 事故響應(yīng)的出現(xiàn)與發(fā)展 ? 事故響應(yīng)概念是從 1988年蠕蟲席卷全球之后開始出現(xiàn)的。 ? 從這次事件中恢復(fù)之后，人們逐步形成了這樣一種共識： Inter需要有一個值得信任的組織來幫助大家應(yīng)對安全事件。 ? 1988年的 11月， CERT/CC（ Computer Emergency Response Team Coordination Center， ，計算機緊急事件響應(yīng)團隊協(xié)調(diào)中心）組織在美國卡內(nèi)基梅隆大學(xué)成立。 ? 但隨著 Inter規(guī)模的爆炸性增長，這種只有一個指揮中心的狀況已經(jīng)滿足不了迅速擴大的安防需求。到 1998年，類似于 CERT的組織在世界各地涌現(xiàn)出來，企業(yè)也開始建立自己的計算機安防事故反應(yīng)團隊（ puter security incident response team，簡稱 CSIR團隊）。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 53 ? CSIR團隊的組成 ? CSIR團隊通常由企業(yè)安全部門和 IT部門的員工組成。 ? CSIR團隊的作用 ? CSIR團隊的主要職責(zé)是提供事故反應(yīng)服務(wù)。 ? 除此之外，還可以利用學(xué)識和經(jīng)驗為企業(yè)提供一些其他的服務(wù)，如對潛在的安全威脅做出預(yù)警、把安全弱點報告給有關(guān)部門等。 ? CSIR團隊為與安防事件有關(guān)的情報和資料提供了一個集散地，這不僅有助于把安全事件控制在一定的范圍內(nèi)，還使證據(jù)收集工作和與第三方（如司法部門等）之間的協(xié)調(diào)工作變得更容易了。 167。 安全服務(wù) 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 54 ? IT行業(yè)中的安全設(shè)備品種繁多，性能各異。 ? 需要有一個能被廣泛接受的標(biāo)準(zhǔn)來對產(chǎn)品的安全性進行評價，判斷一個安全產(chǎn)品的功能是否充分和有效，是否能夠滿足用戶的安全需求。 ? 廣泛使用的安全評價標(biāo)準(zhǔn)： ? 美國可信計算機系統(tǒng)安全評價準(zhǔn)則（ TCSEC） ★ ? 信息技術(shù)安全評價公共準(zhǔn)則（ CC） ? 中國計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（ GB178951999） 167。 安全評價準(zhǔn)則 南京理工大學(xué)計算機科學(xué)與技術(shù)學(xué)院 55 ? 可信計算機系統(tǒng)