《因特网安全协议》PPT课件.ppt

第7章安全管理和监督、7.1基本概念7.2安全管理7.3安全监督7.4入侵检测7.5总结、7.1基本概念、本节介绍安全管理、安全监督及入侵检测等相关基本概念。 7.1.1安全管理目标7.1.2安全管理原则7.1.3安全管理措施7.1.4人员管理7.1.5技术管理，7.1.1安全管理目标，严格的安全管理应当达到以下目标：防止未经授权的用户拒绝系统管理保证系统的完整性，7.1.2安全管理原则1， 负责安全管理原则的人，负责原则任期有限原则责任分离原则计算机操作和计算机程序机密资料的接收和安全管理、系统管理应用程序和系统程序编制访问证书的管理和其他作业计算机操作和信息处理系统使用媒介的保管等，2、实现安全管理按照工作的重要性确定该系统的安全等级。 根据确定的安全水平，确定安全管理的范围。 制定适当的机房出入管理制度； 制定严格的操作规程。 制定完整的系统维护制度。 制定应急措施。 7.1.2安全管理原则，3 .防止黑客入侵原则可以加强监控能力。 加强安全管理。 集中监视。 多级防御和跨部门物理隔离。 必须随时跟踪最新的网络安全技术，采用国内外先进的网络安全技术、工具、手段和产品。 同时，防护手段出现故障时，需要先进的系统恢复备份技术。 7.1.2安全管理原则，4、安全规划的重要信息机密网络系统的安全防止外部攻击防止内部篡改检测传输内容安全产品的选择，7.1.2安全管理原则，7.1.3安全管理措施，总体上网络安全分为两个方面：网络层：保护网络服务的可用性。 应用程序层保护合法用户对数据的合法访问。 安全检查：在网络运行前和运行中不断通过自我检查，发现系统中存在的安全漏洞，提出报告，教导用户检查方法，及时采取纠正措施。 具体功能包括两个方面来检测检测网络安全漏洞的系统配置错误。 网络层安全检测措施主要是预防黑客攻击，这是积极的预防行为。 应用层的安全措施包括建立全球电子认证系统。 实现全球资源的统一管理。 信息传输加密。 实现审判记录和统计分析。 7.1.3安全管理措施，7.1.4人管理，用户安全意识系统管理者安全意识。 7.1.5技术管理、静态安全技术的缺点是需要人工实施和维护，无法积极跟踪入侵者。 动态安全技术的最大优势是“能动”，通过实时捕捉和分析系统与网络监控系统相结合，入侵检测系统能够发现危险攻击的特征，检测到攻击行为并发出警报，同时采取保护措施。 网络测试技术系统安全测试Web安全测试系统脆弱性检测防火墙的测试、7.2安全管理、1、OSI管理标准框架结构管理信息模型管理信息定义管理对象定义指南一般管理信息另一标准ISO/IEC1O164审计管理、配置管理、容错管理、性能管理和安全管理的7.2.1CMIP的安全管理；2 .公共管理信息协议；CMIP :在采用远程操作模型的请求/响应协议下，管理系统开始向管理对象传输操作。 传输受管理对象生成的事件通知。 面向管理对象的操作是取得管理对象或者其集合属性值。 修改一个或多个受管理对象的一个或多个属性值。 启动并生成受管对象。 从环境中取消一个或多个托管对象。 启动预定义为受管理对象一部分的行为进程。 停止GET操作。 7.2.1CMIP安全管理、安全预警报告功能安全预警监视可疑用户，撤销可疑用户的权限，调用更强的保护机制，删除或修复故障网络或系统的某些组件。安全警报将通过M-EVENT-REPORT通知管理系统。 安全性警报报告中传递的参数分为事件类型和安全性警报原因的组合，以指明警报原因。 安全警报的安全参数表示最初管理对象发现的警报的含义。 安全警报检测器参数是识别检测警报条件的实体。 7.2.1CMIP安全管理，4，安全审核跟踪功能安全审核跟踪检测安全策略的准确性，确认与安全策略的一致性，分析攻击，收集指控攻击者的证据。 安全审计跟踪功能可将事件信息传递到维护日志，并为创建和恢复日志实体的系统提供必要的支持。 安全审计跟踪标准分别定义了服务报告和使用情况报告的两个特殊通知。 “服务报告”显示与提供、拒绝或恢复服务相关的事件。 报告用于安全日志统计信息。 7.2.1CMIP安全管理、管理资源的访问控制架构中，发起者是管理系统或系统的管理员，其目标是被管理系统的信息资源。 根据访问控制规则决定是接受还是拒绝访问请求。 访问规则本身可以管理信息条目并使用CMIP协议进行管理。 规则说明书包含许多元素，包括访问权限、启动器列表、目标列表、时间表、状态条件和身份验证。 访问控制决策过程首先需要验证访问请求的访问控制信息。 使用规则的方式取决于所使用的特定访问控制机制。 7.2.1CMIP安全管理和CMIP安全特性CMIP协议格式说明包括最小安全特性。 终端系统级别的安全服务确保了CMIP会话中所有数据的完整性和机密性。 7.2.1CMIP安全管理，7.2.2SNMP安全管理，1、SNMP是组成简单网络管理协议(SNMP )并支持基于TCP/IP的系统管理的一系列因特网标准的一部分。 SNMP体系结构的主要组件是网络管理站和一些网络元素。 网络管理工作站是运行SNMP和一些网络管理应用程序的主机系统。 网络元素是受管理的系统，包括主机、路由器、网关和服务器。 在网络管理站和网络元件之间的通信中，实现SNMP的实体称为SNMP协议实体或简单SNMP实体。 SNMP实体可以通过管理员角色或代理角色执行的操作。 SNMP还可以通过代理服务器管理设备。 2、协议操作SNMP有6个基本的SNMP协议互操作，适合于实现7种PDU相关的较小规模的网络系统。 3 .管理功能为SNMP版本1，采用了基于社区的管理模型。 SNMP版本2定义了增强的管理模型。 4、SNMP安全服务的两个主要威胁是数据篡改和伪造。 两个次要威胁是消息流的修改和窃听。 因此，所请求的安全服务将服务的完整性和数据起源认证相结合，其中序列的完整性和数据机密性。 结果定义了两个SNMP安全协议。 摘要验证协议提供了数据完整性、数据来源验证和序列完整性保护。 对称秘密协议可保护数据的机密性。 7.2.2SNMP的安全管理，5，摘要认证协议：在一个认证信息数据项中提供保护。 此项目与常见的SNMPPDU一起包含在SNMP验证消息中。 认证信息项目是起源认证时间戳：传达该字段生成消息的时刻，该时刻根据起源成员的时钟得到。 目标验证时间戳：此字段根据目标成员的时钟传递生成消息的时间。 认证摘要：此栏位会传递计算讯息所得的封条。 7.2.2SNMP的安全管理；6、对称秘密协议；以及摘要认证协议，通过对SNMP认证消息进行加密而提供秘密保护。 加密使用对称加密算法和预先建立的私钥。 推荐的算法是DES的CBC模式。 钥匙的长度是128位。由56位DES密钥(加上8位奇偶校验位)和64位初始向量构成。 为了确保每8位组的加密，消息必须补充。 此外，7.2.2SNMP安全性管理、7和SNMP安全性管理SNMP安全协议的使用依赖于以下管理功能： (1)包括密钥管理、认证密钥和私钥的(2)序列的完整性的正确功能依赖于此同步，使得在所有系统中确保时钟同步(3)进行通信7.2.2SNMP安全管理、8和访问控制： SNMP版本2管理模型包含访问控制模型，用于管理哪些SNMPPDU可以在成员之间合法发送。 此模型适用于一组特定的受管理对象资源。 访问控制信息作为访问控制列表存在。 一个访问控制列表包括目标代理资源权利、7.2.2SNMP安全管理、安全审核以及系统记录和活动的独立审核和验证组成部分。 安全审计的目的是帮助识别和分析未经授权的活动和攻击。这些活动可能与系统控制不一致，这些系统控制已经建立，可以帮助实体根据行为处理这些活动，并促进改进的损坏控制处理程序的开发7.3安全监查7.3.1安全监查的目的、7.3.1安全监查的目的、安全警报是来自个人或过程的警告，表示发生异常，可能需要及时行动。 安全警报的目的是报告各种安全相关事件(包括实际报告或明显违反安全意图的“正常”事件)达到一定阈值后发生的事件。 7.3.2系统计费和日志、审计是记录用户使用计算机网络系统进行所有活动的过程，提高安全性的重要工具。 不仅可以识别是谁访问了系统，还可以说明系统被如何使用。 审计日志是记录信息系统安全状态和问题的依据。 各级信息系统应制定审计日志保存和阅览管理制度。 7.3.3安全审计功能需要多种功能来支持安全审计和警告服务。 事件识别器：提供事件的初始分析，并决定是否将事件传送至稽核记录器或警告处理器。 事件记录器：生成收到的消息作为审计记录，并将该记录存储在安全审计跟踪中。 警告处理器：生成审计消息，并生成适当的操作以响应安全警告。 审计分析器：检查安全审计线索并根据需要生成安全警告和安全审计消息。 稽核轨迹验证器：从一或多个安全稽核轨迹产生安全稽核报表。 审计提供者：根据特定准则提供审计记录。 审计归档：归档安全审计线索。 还需要额外的功能来支持分布式安全审计跟踪和报警。 这些功能包括审计跟踪收集器：将分布式安全审计跟踪记录合并到单个安全审计跟踪中。 稽核排程器：将部份或全部分散式安全稽核轨迹移转至稽核轨迹收集功能。 7.3.3安全审计的功能、7.3.4安全检查、网络系统安全检查是系统及其对网络风险评估的重要措施。 本节以Unix系统为例，说明安全检查的方法。 1、收费2、系统检查命令3、履历文件4，所有者用root检查s位的程序5，找到隐藏文件，7.3.5安全分析，安全分析的目的是为了确认系统设置时是否漏掉了某些配置问题，确立一系列的安全基准，今后确立系统现在建立的安全基准通常，系统具有检查安全漏洞的功能。 安装系统时，系统管理员的疏忽提供了入侵者可以搭乘的机会。 为系统中的所有文件创建数据库。 这样，系统管理者将来能够定期检查这些文件，判断文件是否有异常的变化。7.4入侵检测7.4.1入侵检测的目的是及时发现网络系统中最脆弱的部分，以最有效的方式定期对网络系统进行安全性检测和分析，及时发现和修复存在的弱点和弱点，最大限度地保证网络系统的安全7.4.2入侵检测技术、网络入侵检测实际上是基于信息识别和检测技术监视信息自动学习基于检测技术统计的入侵检测统计数据测量点的选定统计数据的分析和基于入侵判断神经网络的入侵检测规则的入侵检测，7.4.3入侵检测系统、入侵检测系统是真实的通过实时监听网络数据流(位于需要保护敏