【正文】 法都有一定的缺點。通過數(shù)據挖掘程序搜集到審計數(shù)據，為各種入侵行為和正常操作建立精確的行為模式。但是這種技術主要缺點在于知識的組織困難。它一方面要集中管理全網以及各設備的安全事件，將數(shù)據進行標準化、集中、并進行關聯(lián)和智能分析，以降低誤報率和預告威脅的趨勢；另一方面 還要結合漏洞掃描， 13 提前確定系統(tǒng)是否存在已知漏洞，做到 “ 防范于未然 ” ，以建立前攝性的、而不僅僅是響應式的安全防御體系 。在建立聯(lián)動的一體化安全防御體系中，入侵檢測系統(tǒng)可以自動調整其他安全組件的策略，來防止進一步的攻擊，這時誤報帶來的負面影響可能更大了 —— 因為誤報觸動策略調整之后，本該許可的訪問就無法訪問了，這形成了一種新的 DoS 形式。 在入侵防御系統(tǒng)中，如何降低檢測系統(tǒng)的誤報率是非常關鍵的。例如，防火墻作為限制內外網絡互相訪問的關口，其配置的過濾規(guī)則阻止了非授權用戶對公司網絡的訪問，因此在入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時，由它自動地修改防火墻的安全策略，就能封堵可疑的網絡通信。這無疑給安全管理增加了很多的工作量和難度，也大大地提高了安全維護費用，因此系統(tǒng)需要具有更多主動響應行為的入侵檢測系統(tǒng)，如今的入侵檢 測系統(tǒng)可以通過發(fā)復位包的方式，或者執(zhí)行一段用戶編寫的程序，自動切斷危險的連接。這是一種集檢測、記錄、報警、響應的動態(tài)安全技術，它已經漸漸地從 “ 入侵檢測 ” 發(fā)展為 “ 入侵防御 ” 了。它們處于體系中的一個或多個層次，適用于各級 Inter /Intra 信息系統(tǒng)、金融證券和其它網絡，它們能成為您網絡的安全守護神，忠實地維護您的形象和保護您的利益。 恢復是防范體系的又一個環(huán)節(jié)，無論防范多嚴密，都很難確保萬無一失，所以，采用亡羊補牢、猶為未晚的策略，使用完善的備份機制確保內容的可恢復性，借助自動恢復系統(tǒng)、快速恢復系統(tǒng)來控制和修復破壞，將損失降至最低。 中科網威黑客入侵防范體系 11 12 在發(fā)現(xiàn)入侵行為后，為及時切斷入侵、抵抗攻擊者的進一步破壞活動，做出及時準確的響應是必須的。使用基于網絡的和基于主機的 IDS，加上對偵測系統(tǒng)實施隱蔽技術，可以防止黑客發(fā)現(xiàn)防護手段進而破壞偵測系統(tǒng)，從而為及時發(fā)現(xiàn)攻擊行為并做出響應贏得時間。在防護中通過使用漏洞掃描工具及時發(fā)現(xiàn)問題并進行修補，使用防護工具，通過抗毀技術、系統(tǒng)安全優(yōu)化配置技術的實施，防火墻、 VPN、加密認證等技術和措施的使用，來提高網絡抵抗黑客入侵的能力。 防護是用于提高安全性能，抵抗入侵的主動防御手段。她對現(xiàn)有或將要構建的整個網絡的安全防護性能作出科學、準確的分析評估，并保障將要實施的安全策略技術上的可實現(xiàn)性、經濟上的可行性和組織上的可執(zhí)行性。北京中科網威信息技術有限公司在多年研究工作的基礎上，提出了一種動態(tài)、多層次的黑客入侵防范體系。許多單位不敢涉足網絡領域、許多行業(yè)不能充分利用網絡的性能優(yōu)勢、許多個人對網絡安全沒信心，這些都成為網絡發(fā)展的制約因素，所以，重視和加快網絡安全問題的研究和產品開發(fā)具有重要意義。 但是仍然 有些單位對自己網絡的安全問題毫無認識，以致對是否遭受黑客入侵及 自身的 網絡安全問題毫不知曉。例如 網絡安全問題愈來愈突出， 關于通過網絡攻擊信息系統(tǒng)，造成經濟損失的事件已有多起，并時常見諸報端。通過上 網樹立形象、開展業(yè)務，已經成為政府辦公、企業(yè)發(fā)展的重要手段。 第二章 常用入侵手段與防范對策 黑客入侵過程概述 隨著通訊和計算機技術的迅猛發(fā)展，計算機網絡向世界各個角落迅速延伸。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，可實時監(jiān)控和檢測網絡或系統(tǒng)中的活動狀態(tài)，一旦發(fā)現(xiàn)網絡中的可 疑行為或惡意攻擊， IDS 便可做出及時的報警和響應，甚至可以調整防火墻的配置策略，與其進行聯(lián)動。第二種是生物 特征識別技術 (包括指紋、聲音、手跡、虹膜等 )，該技術以人體唯一的生物特征為依據，具有很好的安全性和有效性，但實現(xiàn)的技術復雜，技術不成熟，實施成本昂貴，在應用推廣中不具有現(xiàn)實意義 。因此，身份認證是整個信息安全體系最基礎的環(huán)節(jié)，身份安全是信息安全的基礎。這些模塊在不同的層次上阻止了未經授權的用戶訪問系統(tǒng)，這些授權的對象都是用戶的數(shù)字身份。而身份認證解決了用戶的物理身份和數(shù)字身份相對應的問題，給他們提供了權限管理的依據。安全網關保證了用戶無法進入未經授權的網段，安全目錄保證了授權用戶能夠對存儲在系統(tǒng)中的資源迅速定位和訪問。我們熟悉的如防火墻、入侵檢測、 VPN、安全網關、安全目錄等，與身份認證系統(tǒng)有什么區(qū)別和聯(lián)系呢 ?我們從這些安全產品實現(xiàn)的功能來分析就明白了 :防火墻保證了未經授權的用戶無法訪問 相應的端口或使用相應的協(xié)議；入侵檢測系統(tǒng)能夠發(fā)現(xiàn)未經授權用戶攻擊系統(tǒng)的企圖 。 數(shù)字證書，又叫 “數(shù)字身份證 ”、 “數(shù)字 ID”，是由認證中心發(fā)放并經認證中心數(shù)字簽名的，包含公開密鑰擁有者以及公開密鑰相關信息的一種電子文件，可以用來證明數(shù)字證書持有者的真實身份。認證中心是 PKI 安全體系的核心環(huán)節(jié)，因此又稱作 PKI/CA。 在 PKI 體系中， CA(CertificateAuthority，認證中心 )和數(shù)字證書是密不可分的兩個部分。利用 PKI 可以方便地建立和維護一個可信的網絡 計算 環(huán)境，從而使得人們在這個無法直接相互面對的環(huán)境里，能夠確認彼此的身份和所交換的信息，能夠安全地從事商務活動。為了防范信息安全風險，許多新的安全技術和規(guī)范不斷涌現(xiàn)，PKI(PublicKeyInfrastructure，公開密鑰基礎設施 )即是其中一員。 （ CA）與數(shù)字證書 互聯(lián)網的 發(fā)展 和信息技術的普及給人們的工作和生活帶來了前所未有的便利。 對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。往往將一臺機子的網卡設于混雜模式 (PromiseMode)，對所有本網段內的數(shù)據包并進行信息收集，并進行判斷。網絡型入侵檢測。最近出現(xiàn)的一 種ID(IntrusionDetection)：位于操作系統(tǒng)的內核之中并監(jiān)測系統(tǒng)的最底層行為。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)?；谥鳈C的監(jiān)測。事件數(shù)據庫是存放各種中間和最 終數(shù)據的地方的統(tǒng)稱，它可以是復雜的數(shù)據庫，也可以是簡單的文本文件。事件分析器分析得到的數(shù)據，并產生分析結果。 IETF 將一個入侵檢測系統(tǒng)分為四個組件：事件產生器 (EventGenerators)；事件分析器 (EventAnalyzers)；響應單元 (ResponseUnits)和事件數(shù)據庫(EventDataBases)。不僅省去了專用通信線路，而且為信息共享提供了技術保障。除了安全作用，有的防火墻還支持具有 Inter 服務特性的企業(yè)內部網絡技術體系 VPN。對網絡存取和訪問進行監(jiān)控審計 :如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這 些訪問并做出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數(shù)據。由于只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網絡環(huán)境變得更安全。在邏輯上，防火墻是一個分離器 ，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和 Inter 之間的任何活動，保證了內部網絡的安全。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制 (允許、拒絕、監(jiān)測 )出入網絡的信息流，且本身具有較強的抗攻擊能力。 網絡信息安全技術 防火墻技術是建立在 現(xiàn)代 通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯(lián)環(huán)境之中，尤其以接入 Inter網絡為甚。信息安全 :保障存儲、傳輸、應用的機密性 (Confidentiality)、完整性 (Integrity)、抗否認 性(nonRepudiation),可用性 (Availability)。 信息安全防范要確保以下幾方面的安全。正確配置防火墻、網絡防病毒軟件、入侵檢測系統(tǒng)、建立安全認證系統(tǒng)等安全系統(tǒng)。調查表明，認為單位信息網絡安全防護 能力 “較高 ”和 “一般 ”的比較多，分別占 44%。從發(fā)生安全事件的類型分析，遭受 計算 機病毒、蠕蟲和木馬程序破壞的情況最為突出，占安全事件總數(shù)的 79%，其次是垃圾郵件，占 36%，拒絕服務、端口掃描和篡改網頁等網絡攻 擊情況也比較突出，共占到總數(shù)的 43%. 調查結果表明，造成網絡安全事件發(fā)生的主要原因是安全管理制度不落實和安全防范意識薄弱。 計算機與網絡信息系統(tǒng)安全 2020 年 5 月至 2020 年 5 月，在 7072 家被調查