【正文】 控合法地使用。其他安全 :病毒防治、預防內(nèi)部犯罪。 防火墻是指設(shè)置在不同網(wǎng)絡(luò) (如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng) )或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 防火墻是網(wǎng)絡(luò)安全的屏障 :一個防火墻 (作為阻塞點、控制點 )能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風險。防火墻可以強化網(wǎng)絡(luò)安全策略 :通過以防火墻為中心的安全方案配置，能將所有安全軟件 (如口令、加密、身 8 份認證、審計等 )配置在防火墻上。防止內(nèi)部信息的外泄 :通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。通過 VPN，將企事業(yè)單位在地域上分布在全世界各地的 LAN 或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。 防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為二大類 :分組過濾、應(yīng)用代理。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。響應(yīng)單元則是對分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、改變文件屬性等強烈反應(yīng)，也可以只是簡單的報警。 根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡(luò)型。主機型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當然也可以通過其他手段 (如監(jiān)督系統(tǒng)調(diào)用 )從所在的主機收集信息進行分析。這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測 系統(tǒng)上正在運行的進程是否合法。所有這些系統(tǒng)最近已經(jīng)可 以被用于多種平臺。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段的任務(wù)。從技術(shù)上，入侵檢測分為兩類 :一種基于標志(CSignatureBased)，另一種基于異常情況 (AbnormallyBased)。然而，由于互聯(lián)網(wǎng)所具有的廣泛性和開放性，決定了互聯(lián)網(wǎng)不可避免地存在著信息 9 安全隱患。 PKI 是在公開密鑰理論和技術(shù)基礎(chǔ)上發(fā)展起來的一種綜合安全平臺，能夠為所有 網(wǎng)絡(luò) 應(yīng)用透 明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理，從而達到保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴的目的。目前，PKI 技術(shù)己趨于成熟，其應(yīng)用已覆蓋了從安全 電子 郵 件、虛擬專用網(wǎng)絡(luò) (VPN),Web交互安全到電子商務(wù)、電子政務(wù)、電子事務(wù)安全的眾多領(lǐng)域，許多 企業(yè) 和個人已經(jīng)從 PKI 技術(shù)的使用中獲得了巨大的收益。認證中心又叫 CA 中心，它是負責產(chǎn)生、分配并管理數(shù)字證書的可信賴的第三方權(quán)威機構(gòu)。認證中心通常采用多層次的分 級結(jié)構(gòu)，上級認證中心負責簽發(fā)和管理下級認證中心的證書，最下一級的認證中心直接面向最終用戶。 身份認證是指計算機及網(wǎng)絡(luò)系統(tǒng)確認操作者身份的過程。VPN 在公共網(wǎng)絡(luò)上建立一個經(jīng)過加密的虛擬的專用通道供經(jīng)過授權(quán)的用戶使用 。這些安全產(chǎn)品實際上都是針對用戶數(shù)字身份的權(quán)限管理，他們解決了哪個數(shù)字身份對應(yīng)能干什么的問題。 從木桶理論來看，這些安全產(chǎn)品就是組成木桶的一塊塊木板，則整個系統(tǒng)的安全性取決于最短 的一塊木板。而身份認證模塊就相當于木桶的桶底，由它來保證物理身份和數(shù)字身份的統(tǒng)一，如果桶底是漏的，那桶壁上的木板再長也 10 沒有用。 目前常見的身份認證方式主要有三種，第一種是使用用戶名加口令的方式，這時是最常見的，但這也是最原始、最不安全的身份確認方式，非常容易由于外部泄漏等原因或通過口令猜測、線路竊聽、重放攻擊等手段導致合法用戶身份被偽造 。第三種也是現(xiàn)在電子政務(wù)和電子商務(wù)領(lǐng)域最流行的身份認證方式 ——基于 USBKey 的身份認證 研究入侵檢測與防御的必要性 安全產(chǎn)品的主要目的是使安全風險處于可視和可控的狀態(tài)。 目前，入侵檢測系統(tǒng)已能為來自內(nèi)外部的各種入侵提供全面的安全防御，給客戶帶來識別各種黑客入侵的方法和手段、監(jiān)控內(nèi)部人員的誤操作等，幫用戶及時發(fā)現(xiàn)并解決安全問題和協(xié)助管理員加強網(wǎng)絡(luò)安全的管理。國家政府機構(gòu)、各企事業(yè)單位不僅大多建立了自己的局域網(wǎng)系統(tǒng)，而且通過各種方式與互聯(lián)網(wǎng)相連。然而， Inter（互聯(lián)網(wǎng)）這一開放系統(tǒng)在給人們帶來便利的同時，也帶來一些問題 。在科技最發(fā)達、防御最嚴密的美國國防部五角大樓內(nèi)，每年都有成千上萬的非法入侵者侵入其內(nèi)部網(wǎng)絡(luò)系統(tǒng)，我國的 ISP、證券公司及銀行也多次被國內(nèi)外黑客攻擊。 11 我國信息化事業(yè)能否順利 發(fā)展，一個很關(guān)鍵的因素便是網(wǎng)絡(luò)信息的安全問題，這已成為制約網(wǎng)絡(luò)發(fā)展的首要因素。 黑客入侵防范是網(wǎng)絡(luò)安全的重要組成部分。它以評估為基礎(chǔ)，以策略為核心，以防護、偵測、響應(yīng)和恢復為手段構(gòu)成一個體系 —— 中科網(wǎng)威黑客入侵防范體系，如圖所示： 完整準確的安全評估是中科網(wǎng)威黑客入侵防范體系的基礎(chǔ)。一個成功的網(wǎng)絡(luò)安全體系開始于一個全面的安全策略，它是所有安全技術(shù)和措施的基礎(chǔ)，也是整個中科網(wǎng)威黑客入侵防范體系的核心。它通過建立一種機制來檢查系統(tǒng)的安全設(shè)置，發(fā)現(xiàn)整個網(wǎng)絡(luò)的風險和弱點，確保每層是相互配合而不是相互抵觸地工作，檢測與策略相違背的情況，確保與公司安全政策 保持一致。偵測是保證主動及時發(fā)現(xiàn)攻擊行為，為快速響應(yīng)提供可能的關(guān)鍵環(huán)節(jié)。采用與防火墻互聯(lián)互動、互動互防的技術(shù)手段，形成一個整體策略，而不是單兵作戰(zhàn)，強調(diào)協(xié)作技術(shù)，設(shè)立安全監(jiān)控中心，掌握 整個網(wǎng)絡(luò)的安全運行狀態(tài)，是防止入侵的關(guān)鍵環(huán)節(jié)。使用實時響應(yīng)阻斷系統(tǒng)、攻擊源跟蹤系統(tǒng)、取證系統(tǒng)和必要的反擊系統(tǒng)來確保響應(yīng)的準確、有效和及時，預防同類事件的再發(fā)生，并為捕獲攻擊者提供可能，為抵抗黑客入侵提供有效的保障。 針對以上體系，北京中科網(wǎng)威信息技術(shù)有限公司專門研制開發(fā)了一系列網(wǎng)絡(luò)安全產(chǎn)品 —— “火眼”網(wǎng)絡(luò)安全評估分析系統(tǒng)、“天眼”入侵偵測系統(tǒng)、“磐石”網(wǎng)站監(jiān)控與恢復系統(tǒng)、“長城”防火墻。 常用入侵手段與防范對策 入侵檢測系統(tǒng)通過對計算機網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，它不僅能檢測來自外部的入侵行為，同時也監(jiān)督內(nèi)部用戶的未授權(quán)活動，因此成為繼防病毒和防火墻之后另一被廣泛注意的網(wǎng)絡(luò)安全設(shè)備。 在入侵檢測系統(tǒng)檢測到網(wǎng)絡(luò)中的攻擊或未授權(quán)行為時，傳統(tǒng)的響應(yīng)方式是顯示消息、形成日志、報警或使用 Email 等方式通知安全管理員，然后由管理員手工采取相應(yīng)措施來阻止入侵。 而且，入侵檢測系統(tǒng)作為整體安全技術(shù)的一個組成部分，它還應(yīng)該和其他安全組件協(xié)同工作、建立互動的響應(yīng)機制。這也是為什么入侵檢測系統(tǒng)和防火墻之間的聯(lián)系越來越緊密的原因之一。在傳統(tǒng)的入侵 檢測系統(tǒng)中，誤報對安全管理員形成一種滋擾，大量的誤報還可能淹沒真正的攻擊行為，使安全管理員無從響應(yīng)。 同時，先進的入侵防御系統(tǒng)還必須是一個全方位的安全管理。 基于其它方法的入侵檢測技術(shù)主要有 :利用專家系統(tǒng)進行入侵檢測，其主要是將有關(guān)的入侵知識組織成知識庫，再利用推理引擎進行檢測。利用數(shù)據(jù)挖掘進行入侵檢測，數(shù)據(jù)挖掘是數(shù)據(jù)庫的一項技術(shù)，它的作用從大型數(shù)據(jù)庫中抽取知識，這和分析日志的行為相近。 除專家系統(tǒng)、數(shù)據(jù)挖掘技術(shù)之外，還有神經(jīng) 網(wǎng)絡(luò)，模糊系統(tǒng)，遺傳算法等。 入侵檢測系統(tǒng)的由來及發(fā)展過程 在 IDS 尚未 出現(xiàn)時，網(wǎng)絡(luò)安全管理人員主要依靠人工閱讀網(wǎng)絡(luò)日志來分析是否有網(wǎng)絡(luò)入侵事件的發(fā)生。在 2020 年， 70%的攻擊主要來自于外部網(wǎng)絡(luò)，另 30% 的攻擊來自于內(nèi)部。由干硬件發(fā)展的飛速發(fā)展，使得 IDS 對網(wǎng)絡(luò)通訊可以進行實時檢測和實時報等，形成目前的 IDS 模式。它通過統(tǒng)計網(wǎng)絡(luò)的日常行為建立一個模型，該模型由各項表示正常行為的統(tǒng)計數(shù)字組成。在很短時間內(nèi)重復發(fā)生登錄某臺主機口令出錯的次數(shù)等。 這種入侵檢測檢測技術(shù)的缺點主要在于模型的建立非常困難。為解決誤報警問題，需要根據(jù)網(wǎng)絡(luò)的實際使用情 況對各種設(shè)定的統(tǒng)計值進行不斷的調(diào)節(jié)。這些標志主要包括 :對一個敏感主機的登錄失敗次數(shù)；對一個數(shù)據(jù)的一些標志位的設(shè)置是否符合 RFC 標準 :以及數(shù)據(jù)包的內(nèi)容是否與某個已知攻擊方法的特征代碼相符合等。 3. 基于 其它方法的入侵檢測技術(shù) 網(wǎng)絡(luò)安全領(lǐng)域人員經(jīng)過研究后發(fā)現(xiàn)，目前任一種安全技術(shù)都不可能實現(xiàn)真正意義上的網(wǎng)絡(luò)。 時間線是在時間次序上對網(wǎng)絡(luò)入侵行為進行分析的工具。基于時間線的入侵防御研究是通過對各種網(wǎng)絡(luò)安全技術(shù)分析，分析上它們在時間線上所 處的位置，從而從宏觀把握各項安全技術(shù)的作用范圍及相互之間的