【正文】 ?按入侵檢測(cè)形態(tài) ? 硬 件入侵檢測(cè) ? 軟 件入侵檢測(cè) ?按 目 標(biāo)系統(tǒng)的類 型 ? 網(wǎng) 絡(luò)入侵檢測(cè) ? 主 機(jī)入侵檢測(cè) ?按系統(tǒng)結(jié)構(gòu) ? 集 中式 ? 分 布式 69 入侵檢測(cè)的技術(shù)架構(gòu) ?事件產(chǎn)生器： 采集和監(jiān)視被保護(hù)系統(tǒng)的數(shù) 據(jù) ?事件分析器： 分析數(shù) 據(jù) ， 發(fā)現(xiàn)危險(xiǎn)、異常事件，通知響應(yīng)單元 ?響 應(yīng)單元： 對(duì) 分析結(jié)果作出反 應(yīng) ?事件數(shù)據(jù)庫(kù)： 存 放各種中間和最終數(shù)據(jù) 70 事 件 產(chǎn) 生 器 事 件 分 析 器 響 應(yīng) 單 元事 件 數(shù) 據(jù) 庫(kù)動(dòng) 作（ 終 止 進(jìn) 程 、 重 置連 接 、 報(bào) 警 … ）71 入侵檢測(cè)工作過(guò)程 信 息 收 集入 侵 分 析告 警 響 應(yīng)當(dāng) 前 系 統(tǒng) / 用 戶 行 為系 統(tǒng) 日 志 應(yīng) 用 日 志 網(wǎng) 絡(luò) 數(shù) 據(jù) 審 計(jì) 記 錄 其 他 I D S 報(bào) 警. . .知 識(shí) 庫(kù)歷 史 行 為特 定 行 為 模 式其 他分 析 引 擎異 常 檢 測(cè)誤 用 檢 測(cè)入 侵 ？數(shù)據(jù)檢測(cè)技術(shù) ?誤用檢測(cè)技術(shù) ? 建立入侵行為模型 (攻擊特征 ) ? 假設(shè)可以識(shí)別和表示所有可能的 特征 ? 基于 系統(tǒng)和 基于 用戶的誤用 ?異常檢測(cè)技術(shù) ? 設(shè)定“正?！钡?行為模式 ? 假設(shè)所有的入侵行為是異常 的 ? 基于系統(tǒng)和基于用戶的 異常 72 誤用 檢測(cè) 73 ?優(yōu) 點(diǎn) ? 準(zhǔn) 確率 高 ? 算法 簡(jiǎn)單 ?關(guān)鍵問題 ? 有所有的攻擊特征，建立完備的特征 庫(kù) ? 特征庫(kù)要不斷 更新 ? 無(wú)法檢測(cè)新的 入侵 異 常檢測(cè) 74 誤報(bào)率、漏報(bào)率較高 ?優(yōu) 點(diǎn) ? 可檢測(cè)未知攻擊 ? 自適應(yīng)、自學(xué)習(xí)能力 ?關(guān)鍵問題 ? “正常”行為特征的選擇 ? 統(tǒng) 計(jì)算法、統(tǒng)計(jì)點(diǎn)的選擇 ?基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 75 入侵檢測(cè)系統(tǒng)布署 N I D S 分 析 引 擎N I D S 管 理 終 端用 戶服 務(wù) 器內(nèi) 部 網(wǎng) 絡(luò)外 部 網(wǎng) 絡(luò)N I D S 部 署交 換 機(jī)路 由 器入侵檢測(cè)系統(tǒng)布署 ?基于主機(jī)的入侵檢測(cè)系統(tǒng) 76 H I D S 分 析 引 擎H I D S 管 理 終 端用 戶服 務(wù) 器外 部 網(wǎng) 絡(luò)交 換 機(jī)路 由 器檢 測(cè) 代 理 檢 測(cè) 代 理 檢 測(cè) 代 理檢 測(cè) 代 理檢 測(cè) 代 理檢 測(cè) 代 理入侵檢測(cè)系統(tǒng)的局限性 77 ? 對(duì)用戶知識(shí)要求較高，配置、操作和管理使用較為復(fù)雜 ? 網(wǎng)絡(luò)發(fā)展迅速，對(duì)入侵檢測(cè)系統(tǒng)的處理性能要求越來(lái)越高，現(xiàn)有技術(shù)難以滿足實(shí)際需要 ? 高虛警率，用戶處理的負(fù)擔(dān)重 ? 由于警告信息記錄的不完整，許多警告信息可能無(wú)法與入侵行為相關(guān)聯(lián)，難以得到有用的結(jié)果 ? 在應(yīng)對(duì)對(duì)自身的攻擊時(shí)，對(duì)其他數(shù)據(jù)的檢測(cè)也可能會(huì)被抑制或受到影響 知識(shí)域：網(wǎng)絡(luò)安全設(shè)備 ?知識(shí)子域：其它網(wǎng)絡(luò)安全設(shè)備 ? 了解安全隔離與信息交換系統(tǒng)的原理、特點(diǎn)及適用場(chǎng)景 ? 了解入侵防御系統(tǒng)（ IPS）的原理與特點(diǎn) ? 了解安全管理平臺(tái)（ SOC）的主要功能 ? 了解統(tǒng)一威脅管理系統(tǒng)（ UTM）的功能與特點(diǎn) ? 了解網(wǎng)絡(luò)準(zhǔn)入控制（ NAC）的功能、組成及控制方式 78 安全隔離與信息交換系統(tǒng)（網(wǎng)閘） ?組成 ? 外部處理單 元、內(nèi) 部處理單 元、仲 裁處理單元 ?特點(diǎn) ? 斷 開內(nèi)外網(wǎng)之間的會(huì)話（物理隔離、協(xié)議隔離） ? 同 時(shí)集合了其他安全防護(hù)技術(shù) 79 外 部 網(wǎng) 絡(luò) 內(nèi) 部 網(wǎng) 絡(luò)安 全 隔 離 與 信 息 交 換 系 統(tǒng)外 網(wǎng) 處 理單 元內(nèi) 網(wǎng) 處 理單 元隔 離 安 全交 換 單 元入侵防御系統(tǒng) (IPS) ?接入方式：串行 ?工 作機(jī)制：檢測(cè) +阻斷 ?不足 ： 單點(diǎn)故 障、性 能瓶 頸、誤報(bào) 80 可信網(wǎng)絡(luò) 不可信的網(wǎng)絡(luò) 服務(wù) Inter Intra IPS 安全管理平臺(tái)（ SOC） ?SOC的含義 ? 狹義：安全設(shè)備集中管理中心 ? 廣義： IT資源集中管理中心 ?SOC的主要功能 ? 風(fēng)險(xiǎn)管理 ? 服務(wù)管理 ? 系統(tǒng)管理 ? 專業(yè)安全系統(tǒng) 81 統(tǒng)一威脅管理系統(tǒng)（ UTM） ?接入方式：串行 ?工作機(jī)制：檢測(cè) +阻 斷 +病毒防護(hù) +流控 +…… ?不足 ： 單點(diǎn)故障、性能瓶頸、誤 報(bào)、 …… 82 可信網(wǎng)絡(luò) 不可信的網(wǎng)絡(luò) 服務(wù) Inter Intra UTM 網(wǎng)絡(luò)準(zhǔn)入控制 ?作用：對(duì)接入終端進(jìn)行授權(quán) ?組 成：策略服務(wù)器、接入設(shè)備、終端檢查 83 認(rèn)證服務(wù)器 Radius Server 接入設(shè)備 終端設(shè)備 知識(shí)域：網(wǎng)絡(luò)架構(gòu)安全 ?知 識(shí)子域：網(wǎng)絡(luò)架構(gòu)安全基礎(chǔ) ? 理解網(wǎng)絡(luò)架構(gòu)安全的含義 ? 理解網(wǎng)絡(luò)架構(gòu) 安全 設(shè)計(jì) 的 主要工 作 ?知識(shí)子域：網(wǎng)絡(luò)架構(gòu)安全設(shè)計(jì) ? 理解網(wǎng)絡(luò)安全域劃分應(yīng)考慮的主要因素 ? 理解 IP地址 規(guī)劃 方法 ? 理解 VLAN劃分的作用與策略 ? 理解路由交換設(shè)備安全配置常見的要求 ? 理解網(wǎng)絡(luò)邊界訪問控制策略的類型 ? 理解網(wǎng)絡(luò)冗余配置應(yīng)考慮的因素 84 網(wǎng)絡(luò)架構(gòu)安全 ?網(wǎng)絡(luò)是信息系統(tǒng)的基礎(chǔ)支撐環(huán)境 ?IATF中“保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施”主要內(nèi)容 85 骨干網(wǎng)絡(luò) 保護(hù)網(wǎng)絡(luò)邊界 保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施 保護(hù)計(jì)算環(huán)境 網(wǎng)絡(luò)架構(gòu)安全 設(shè)計(jì) ?合理 劃分網(wǎng)絡(luò)安全 區(qū)域 ?規(guī)劃 網(wǎng)絡(luò) IP地址、 Vlan設(shè)計(jì) ?安全配置路由交換設(shè)備 ?網(wǎng)絡(luò)邊界訪問控制策略 ?網(wǎng)絡(luò)冗余配置 86 安全域劃分 ?安全域劃分 ? 安 全域是 遵守相同安全策略的用戶和系統(tǒng)的集合 ?安全域劃分的目的 ? 把大規(guī)模負(fù)責(zé)系統(tǒng)安全問題化解為更小區(qū)域的安全保護(hù)問題 ? 網(wǎng)絡(luò)抗?jié)B透的有效防護(hù)方式，安全域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn) ?安全域的劃分方法 ? 業(yè)務(wù)和功能特性 ? 安全性要求 ? 現(xiàn)有 狀況 （ 有網(wǎng)絡(luò)結(jié)構(gòu)、地域和 機(jī)房 等） 87 IP地址規(guī)劃 ?規(guī) 劃要點(diǎn) ? 自頂向下的方 法 ? 為所設(shè)計(jì)的網(wǎng)絡(luò)中的節(jié)點(diǎn)、網(wǎng)絡(luò)設(shè)備分配合適的 IP地 址 ? 綜 合考慮 網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī) 劃 ?IP地址分配 ? 靜 態(tài) IP地址分配 ? 動(dòng)態(tài) IP地址分配 ? NAT 88 VLAN設(shè)計(jì) ?將 網(wǎng)內(nèi)設(shè)備的邏輯地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組 ?通過(guò) VLAN隔離技術(shù)，可以把一個(gè)網(wǎng)絡(luò)系統(tǒng)中眾多的網(wǎng)絡(luò)設(shè)備分成若干個(gè)虛擬的工作組 ?安全作用 ? 建立 VLAN之間的訪問機(jī)制 ， 阻止蠕蟲和惡意病毒的廣泛傳播 ? 建立 VLAN區(qū)域安全和資源保護(hù) ， 將受限制的應(yīng)用程序和資源置于更為安全的 VLAN中 89 VLAN設(shè)計(jì) ?VLAN的作用 ? 控 制網(wǎng)絡(luò)的廣播風(fēng)暴