【文章內(nèi)容簡介】 2023/4/1 61 訪問控制列表機制的優(yōu)點 ? 最適合于有相對少的需要被區(qū)分的用戶，并且這些用戶中的絕大多數(shù)是穩(wěn)定的情況。如果訪問控制列表太大或經(jīng)常改變，維護訪問控制列表會成為最主要的問題。 ? 不同于其它的機制，對于大范圍的目標(biāo)粒度訪問控制列表均適用，包括非常好的粒度。 ? 一個目標(biāo)的擁有者或管理者可以很容易地廢除以前授予的許可。 2023/4/1 62 能力 ? 能力是發(fā)起者擁有的一個有效標(biāo)簽，它授權(quán)持有者能以特定的方式訪問特定的目標(biāo)。能力可從一個用戶傳遞給另一個用戶，但任何人不能擺脫責(zé)任機構(gòu)而進行修改和偽造。 ? 從發(fā)起者的環(huán)境中根據(jù)一個關(guān)于用戶的訪問許可存儲表產(chǎn)生能力。即運用訪問矩陣中用戶包含的每行信息產(chǎn)生能力。 ? 能力機制適合于目標(biāo)聯(lián)系相對少，對發(fā)起者訪問控制決策容易實現(xiàn)的情況。能力機制的實施主要依賴于在系統(tǒng)間安全傳遞能力的方法。 ? 能力的缺點是目標(biāo)的擁有者和管理者不容易廢除以前授予的許可。 2023/4/1 63 安全標(biāo)簽 ? 安全標(biāo)簽是限制在目標(biāo)上的一組安全屬性信息項。在訪問控制中， 一個安全標(biāo)簽隸屬于一個用戶、一個目標(biāo)、一個訪問請求或傳輸中的一個訪問控制信息。最通常的用途是支持多級訪問控制策略。 ? 在處理一個訪問請求時，目標(biāo)環(huán)境比較請求上的標(biāo)簽和目標(biāo)上的標(biāo)簽，應(yīng)用策略規(guī)則（如Bell Lapadula規(guī)則）決定是允許還是拒絕訪問。 2023/4/1 64 一般的信息模型 ? 訪問控制機制的范圍 發(fā) 起 者 身 份 發(fā) 起 者 身 份 發(fā) 起 者 的 許 可 集目 標(biāo) 身 份 目 標(biāo) 的 許 可 集消 除 級目 標(biāo) 身 份分 類隸 屬 于 發(fā) 起 者 的 信 息 隸 屬 于 目 標(biāo) 的 信 息訪 問 控 制 列 表安 全 標(biāo) 簽?zāi)?力2023/4/1 65 基于口令的機制 ? 一個口令就像一個簡單的能力，它構(gòu)成了對一個目標(biāo)的入場券。任何人出示了與一個目標(biāo)或訪問類型結(jié)合的口令都被準(zhǔn)予用該種獨特的訪問類型訪問目標(biāo)。 ? 當(dāng)這種機制廣泛地應(yīng)用于大型計算機操作系統(tǒng)時，它也暴露了一些嚴重的問題。口令的機密性保護、管理問題、還有當(dāng)口令共享時的弱點都是非常困難的事情。 ? 口令對于只要求認證是一種好的機制，但把它們用作訪問控制為目的的機制是不可取的。 2023/4/1 66 網(wǎng)絡(luò)訪問控制組件的分布 ? 開放系統(tǒng)訪問控制框架（ ISO/IEC 101813）介紹了一個處理組件分布問題的體系結(jié)構(gòu)基礎(chǔ)。 ? 基本的訪問控制功能組件 發(fā) 起 人 目 標(biāo)訪 問 控 制決 策 功 能訪 問 請 求訪 問 控 制 實 施 功 能決 策 請 求決 策 應(yīng) 答2023/4/1 67 訪問控制決策組件采用的資源信息 ? 訪問請求（包含隸屬于發(fā)起者或隸屬于目標(biāo)的信息）； ? 從以前的訪問請求中保留下來的信息； ? 可應(yīng)用的策略規(guī)則； ? 上下文信息。 2023/4/1 68 輸入、輸出、插入訪問控制 ? 通常的做法是在同一系統(tǒng)中為目標(biāo)或發(fā)起者固定一個實施組件。對目標(biāo)實施輸入訪問控制。對發(fā)起者實施輸出訪問控制。 ? 在訪問請求穿越安全區(qū)域邊界時和區(qū)域授權(quán)機構(gòu)要過濾訪問請求時，一般采用在中介點設(shè)置實施組件的辦法，即插入訪問控制。 2023/4/1 69 輸入、輸出訪問控制配置實例 發(fā) 起 者目 標(biāo)實 施 功 能決 策 功 能（ a ）發(fā) 起 者實 施 功 能決 策 功 能目 標(biāo)( b )發(fā) 起 者目 標(biāo)實 施 功 能決 策 功 能( c )發(fā) 起 者實 施 功 能決 策 功 能目 標(biāo)( d )發(fā) 起 者實 施 部 件決 策 部 件目 標(biāo)實 施 部 件決 策 部 件發(fā) 起 者實 施 部 件決 策 功 能目 標(biāo)實 施 部 件( e ) ( f )2023/4/1 70 插入訪問控制的實例配置 發(fā) 起 者實 施 部 件決 策 部 件實 施 部 件 實 施 部 件決 策 部 件目 標(biāo)實 施 部 件決 策 部 件2023/4/1 71 訪問控制轉(zhuǎn)發(fā) ? 在分布式系統(tǒng)環(huán)境中，一個用戶或系統(tǒng)為了自己的利益經(jīng)常需要請求另一個系統(tǒng)執(zhí)行某些命令。發(fā)起者 A為了自己的利益想要系統(tǒng) B去訪問一個在系統(tǒng) X上的目標(biāo)。為了達到這一目的， A需要轉(zhuǎn)發(fā)他的訪問權(quán)利給 B。 ? 由于不同的策略，有許多種排列。這樣的排列需要仔細研究，因為它可能允許一個未被直接許可的訪問來訪問。訪問控制傳遞可以采用代理令牌的概念。 2023/4/1 72 訪問控制轉(zhuǎn)發(fā)的一個簡單情況 發(fā) 起 者 目 標(biāo)系 統(tǒng) A 系 統(tǒng) X系 統(tǒng) B2023/4/1 73 內(nèi)容 ? 密碼技術(shù)及應(yīng)用 ? 安全協(xié)議 ? 訪問控制 ? 網(wǎng)絡(luò)安全 ? 系統(tǒng)安全 ? 應(yīng)用安全 2023/4/1 74 網(wǎng)絡(luò)安全技術(shù) ? 防火墻技術(shù)： 在不同的網(wǎng)絡(luò)安全域的邊界上安裝基于訪問控制策略的防火墻，并實施相應(yīng)的安全策略控制。 ? 入侵檢測技術(shù)： 入侵檢測系統(tǒng)提供實時的入侵檢測及采取相應(yīng)的防護手段，如發(fā)現(xiàn)違規(guī)訪問、阻斷網(wǎng)絡(luò)連接、內(nèi)部越權(quán)訪問等，發(fā)現(xiàn)更為隱蔽的攻擊。 ? VPN技術(shù)： 為保證數(shù)據(jù)傳輸?shù)臋C密性和完整性，采用 VPN技術(shù)建立虛擬私有網(wǎng)絡(luò)。 2023/4/1 75 防火墻技術(shù) ? 防火墻是一個或一組實施訪問控制策略的系統(tǒng)。通常安放在內(nèi)部網(wǎng)和外部網(wǎng)之間，是一種網(wǎng)絡(luò)訪問控制技術(shù)，目的是控制網(wǎng)絡(luò)傳輸。 ? 主要作用： ? 限制某些用戶或信息進入一個被嚴格控制的站點； ? 防止進攻者接近其它防御工具； ? 限制某些用戶或信息離開一個被嚴格控制的站點。 2023/4/1 76 第一代防火墻 ? 1991年， ANS Interlock Service ? 包過濾路由器（ Packet Filters Router），實質(zhì)上是一個檢查通過它的數(shù)據(jù)包的路由器，在下三層協(xié)議實現(xiàn)。 ? 特點： ? 利用路由器本身對數(shù)據(jù)包的分析能力，設(shè)置訪問控制列表實施對數(shù)據(jù)包的過濾； ? 實施過濾的技術(shù)基礎(chǔ)是數(shù)據(jù)包中包含的 IP地址、端口號、 IP標(biāo)識和其它網(wǎng)絡(luò)特征。 2023/4/1 77 第一代防火墻 ? 優(yōu)勢： ? 價格相對便宜； ? 適合于在安全要求低、小型、不復(fù)雜的場所使用。 ? 缺陷： ? 配置復(fù)雜，易出錯； ? 路由協(xié)議不能有效過濾使用 FTP協(xié)議從 20號以上端口對內(nèi)部網(wǎng)的探查； ? 攻擊者可使用假冒地址進行欺騙； ? 靜態(tài)的過濾規(guī)則難以適應(yīng)動態(tài)的安全要求； ? 沒有審計跟蹤功能。 2023/4/1 78 第二代防火墻 ? 基于軟件的用戶化應(yīng)用網(wǎng)關(guān)工具套件，采用應(yīng)用協(xié)議代理服務(wù)的工作方式實施安全策略。 ? 功能特點： ? 功能范圍覆蓋到應(yīng)用層，實施了代理服務(wù)； ? 過濾功能從路由器獨立出來； ? 可以針對用戶需要提供模塊化軟件包。 2023/4/1 79 第二代防火墻 ? 優(yōu)勢： ? 具有審計跟蹤和報警功能； ? 軟件可以經(jīng)網(wǎng)絡(luò)發(fā)送； ? 比第一代防火墻安全功能有所提高。 ? 缺陷： ? 軟件實現(xiàn)，限制了處理速度； ? 配置維護復(fù)雜，對用戶有較高的技術(shù)要求； ? 出錯的幾率高。 2023/4/1 80 第三代防火墻 ? 在通用操作系統(tǒng)上建立的防火墻產(chǎn)品 ? 優(yōu)勢： ? 形成了批量生產(chǎn)上市供應(yīng)的專用產(chǎn)品； ? 兼有包過濾功能； ? 設(shè)置了專用代理服務(wù)系統(tǒng)，監(jiān)控各種協(xié)議的數(shù)據(jù)和指令； ? 提供了用戶編程空間和配置參數(shù)的保護； ? 速度和安全性都有所提高。 ? 不足： ? 用戶的安全依賴于防火墻廠商和操作系統(tǒng)廠商兩個方面； ? 操作系統(tǒng)本身的安全性成為安全的制約因素。 2023/4/1 81 第四代防火墻 ? 綜合采用包過濾技術(shù)、代理服務(wù)技術(shù)、可信信息系統(tǒng)技術(shù)、計算機病毒檢測防護技術(shù)和密碼技術(shù)。 ? 特點： ? 具有安全操作系統(tǒng)的源代碼，可實現(xiàn)安全內(nèi)核； ? 對安全內(nèi)核進行加固可以強化安全保護； ? 對每個子系統(tǒng)所實施的安全處理可隔離黑客攻擊于子系統(tǒng)內(nèi)部，不致造成對其它部分的威脅； ? 具備了包過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)的功能； ? 具有識別、認證、完整性校驗和加密等多種密碼功能； ? 具有計算機病毒檢測防護功能； ? 具有較完善的審計跟蹤和報警功能。 2023/4/1 82 防火墻包過濾技術(shù) ? 包過濾防火墻將對每一個接收到的包進行允許或拒絕的決定。針對每一個數(shù)據(jù)報的包頭，按照包過濾規(guī)則進行判定，與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就丟棄。與服務(wù)相關(guān)的過濾，是指基于特定的服務(wù)進行包過濾，由于絕大多數(shù)服務(wù)的監(jiān)聽都駐留在特定TCP/UDP端口，因此，阻塞所有進入特定服務(wù)的連接，防火墻只需將所有包含特定 TCP/UDP目標(biāo)端口的包丟棄即可。 2023/4/1 83 防火墻狀態(tài)檢測技術(shù) ? 包過濾技術(shù)容易受到 IP地址欺騙和針對開放應(yīng)用端口的攻擊 ? 狀態(tài)檢測（ Stateful Inspection）防火墻直接對分組里的數(shù)據(jù)進行處理，并且結(jié)合前后分組里的關(guān)系進行綜合判斷決定是否允許該數(shù)據(jù)包通過。狀態(tài)檢測防火墻之所以能夠完成這個過程，是因為在防火墻內(nèi)部除了有一個需要人為配置的訪問控制規(guī)則表外，還有一個不需配置而由防火墻自動產(chǎn)生的狀態(tài)表。 2023/4/1 84 防火墻應(yīng)用代理技術(shù) ? 防火墻代理服務(wù)在確認客戶端連接請求有效后接管連接，代為向服務(wù)器發(fā)出連接請求，代理服務(wù)器應(yīng)根據(jù)服務(wù)器的應(yīng)答，決定如何響應(yīng)客戶端請求。代理服務(wù)進程應(yīng)當(dāng)建立兩個連接（客戶端與代理服務(wù)進程間的連接、代理服務(wù)進程與服務(wù)器端的連接），為確認連接的唯一性與時效性，代理進程應(yīng)當(dāng)維護代理連接表或相關(guān)數(shù)據(jù)庫。 ? 因為工作應(yīng)用層，應(yīng)用代理防火墻提供了包過濾防火墻和狀態(tài)檢測防火墻無法提供的諸多功能，可以進行一些復(fù)雜的訪問控制， 例如 ? 2023/4/1 85 防火墻應(yīng)用代理技術(shù) ? 身份認證機制 ? 內(nèi)容過濾 ? 應(yīng)用層日志 ? 缺陷： ? 所有的連接請求在代理網(wǎng)關(guān)上都要經(jīng)過軟件的接受、分析、轉(zhuǎn)換、轉(zhuǎn)發(fā)等工作 ? 防火墻所能代理的服務(wù)（協(xié)議）必須在防火墻出廠之前進行設(shè)定 2023/4/1 86 防火墻典型配置 2023/4/1 87 防火墻的缺陷 ? 無法防范內(nèi)部攻擊 ? 無法防范針對開放端口的攻擊 ? 無法防范端口反彈木馬的攻擊 ? 無法防范非法通道的漏洞 ? 內(nèi)容過濾與系統(tǒng)效率的矛盾 2023/4/1 88 P2DR安全模型 保護 (Protection) 檢測 (Detection) 響應(yīng) (Response) 備份 (Recovery) 策略 (Policy) 時間 Time 2023/4/1 89 入侵檢測技術(shù) ? 入侵檢測： “對計算機或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件進行監(jiān)視和分析，檢查其中是否包含 入侵 的跡象?！? ——NIST Special Publication on IDS 2023/4/1 90 入侵檢測的優(yōu)勢 ? 彌補其它安全產(chǎn)品或措施的缺陷 ? 傳統(tǒng)安全產(chǎn)品的出發(fā)點 ? 認證機制防止未經(jīng)授權(quán)的使用者登錄用戶的系統(tǒng) ? 加密技術(shù)防止第三者接觸到機密的文件 ? 防火墻防止未經(jīng)許可的數(shù)據(jù)流進入用戶內(nèi)部網(wǎng)絡(luò) 2023/4/1 91 入侵檢測的優(yōu)勢 ? 幫助發(fā)現(xiàn)和處理攻擊的企圖 ? 網(wǎng)絡(luò)或系統(tǒng)探查（ Probe） ? 主機探測、信息收集 ? 端口掃描 ? 漏洞掃描 ? 提供已發(fā)生入侵過程的詳細信息 ? 幫助確定系統(tǒng)存在的問題 ? 為系統(tǒng)恢復(fù)和修正提供參考 2023/4/1 92 入侵檢測的優(yōu)勢 ? 提供攻擊行為的證據(jù) ? 追查入侵的來源 ? 產(chǎn)生 心理威懾力 ? 你有權(quán)保持沉默，如果你放棄這個權(quán)利，你所做的一切都將成為呈堂證供！??！ 2023/4/1 93 入侵檢測的問題 ? 影響網(wǎng)絡(luò)或主機系統(tǒng)的效率 ? 交換環(huán)境下的網(wǎng)絡(luò)型 IDS ? 主機型 IDS ? 檢測能力與檢測效率的矛盾 ? 虛警（ False Positive） ? 漏警（ False Negative） 2023/4/1 94 入侵檢測的問題 ? 入侵的實時檢測、報告及響應(yīng) ? 如何看待入侵檢測的實時性問題 ? “入侵檢測的一個最大商業(yè)謊言是實時性”？ ? 實時性是一個相對的概念 ? 實時性與系統(tǒng)效率的矛盾 ? 入侵檢測與防火墻的合并？ 2023/4/1 95 入侵檢測基本原理 入侵檢測當(dāng)前系統(tǒng)/用戶行為歷史行為特定行為模式