因特网安全协议.ppt

第7章安全管理和审计，7.1基本概念7.2安全管理7.3安全审计7.4入侵检测7.5摘要，7.1基本概念。本节介绍与安全管理、安全审计、入侵检测等相关的基本概念。7.1.1安全管理目标7.1.2安全管理原则7.1.3安全管理措施7.1.4人员管理7.1.5技术管理7.1.1安全管理目标7 . 1 . 1严格的安全管理需要实现以下目标：防止未经授权的访问，防止泄露，防止用户拒绝系统管理，确保系统完整性，7.1.2安全管理原则，1。安全管理的原则是多人负责制、有限任期原则、职责分离原则、计算机操作原则和机密计算机编程数据的接收和传输、安全管理、系统管理应用程序和系统程序的编制、访问证书的管理以及用于其他工作的计算机操作和信息处理系统的介质的存储等。2.安全管理的实现根据工作的重要性决定了系统的安全水平。根据确定的安全等级，确定安全管理范围。制定相应的机房准入管理制度。制定严格的操作规程。建立完整的系统维护体系。制定应急措施。7.1.2安全管理原则，3、防范黑客加强监控能力的原则。加强安全管理。集中监控。部门之间的多级防御和物理隔离。我们应该随时掌握最新的网络安全技术，采用国内外先进的网络安全技术、工具、手段和产品。同时，一旦保护措施失败，应该有先进的系统恢复和备份技术。7.1.2安全管理原则、4、安全规划、重要信息安全网络系统的安全、防止外部攻击、防止内部篡改、检查传输内容的安全产品的选择、7.1.2安全管理原则和7.1.3安全管理措施。一般来说，网络安全可以分为两个方面：网络层：保护网络服务的可用性。应用层：保护合法用户对数据的合法访问。安全检测：在网络运行之前和运行期间，通过不断的自我测试，发现系统中的安全漏洞，并列出报告告诉用户如何修复，然后及时采取补救措施。具体功能包括两个方面来检测网络安全漏洞检测系统的配置错误。网络层安全检测措施，主要是防止黑客攻击，它是一种主动预防行为。应用层的安全措施包括以下几个方面：建立全球电子认证系统。实现全球资源的统一管理。信息传输加密。实现询问记录和统计分析。7.1.3安全管理措施，7.1.4人员管理，用户的安全意识，系统管理员的安全意识。7.1.5技术管理方面，静态安全技术的缺点是需要手动实施和维护，不能主动跟踪入侵者。动态安全技术的最大优势是“主动性”。通过将实时捕获和分析系统与网络监控系统相结合，入侵检测系统可以发现危险攻击的特征，进而检测攻击行为并发出警报，同时采取防护措施。网络测试技术系统安全测试网络安全测试系统漏洞检测防火墙测试，7.2安全管理，1。OSI管理标准框架管理信息模型管理信息定义管理对象定义指南一般管理信息另一个标准ISO/iec 10164审核管理、配置管理、容错管理、性能管理和安全管理定义了这五个管理功能领域中的大量系统管理功能。7 . 2 . 1 MIP安全管理2。公共管理信息协议CMIP是一种请求/响应协议，它采用远程操作模型，并提供以下两种服务：由管理系统发起的受管面向对象操作的传输。传输由托管对象生成的事件通知。托管面向对象o安全警报通过M-EVENT-REPORT通知给管理系统。安全警报报告中传递的参数分为三种事件类型，安全警报原因的组合表示警报的原因。安全警报的安全参数表示初始管理对象检测到的警报重要性。安全警报检测器参数是识别检测警报状况的实体。安全审计跟踪功能安全审计跟踪用于检测安全策略的正确性，确认与安全策略的一致性，帮助分析攻击，并收集证据以起诉攻击者。安全审计跟踪功能为将事件信息传输到维护日志并创建和恢复日志实体的系统提供必要的支持。安全审计跟踪功能标准另外定义了两个特殊通知，分别对应于服务报告和使用报告。服务报告指出与某些服务的提供、拒绝或恢复相关的事件。将报告用于具有安全影响的日志统计。7 . 2 . 1安全管理，管理资源访问控制访问控制架构，发起者是管理系统或系统的管理员，目标是被管理系统的信息资源。基于访问控制规则，决定是允许还是拒绝访问请求。访问规则本身可以表示为管理信息条目，并使用CMIP协议进行管理。规则的规范包含许多元素，包括访问许可、发起者列表、目标列表、时间表、状态条件、认证内容等。在访问控制决策过程中，首先需要验证伴随访问请求的任何访问控制信息。使用规则的方法取决于所使用的特定访问控制机制。7 . 2 . 1 MIP安全管理，CMIP安全特性CMIP协议格式描述包括最低安全特性。CMIP会话中所有数据的完整性和保密性由终端系统级安全服务保证。7 . 2 . 1 MIP安全管理，7 . 2 . 2 NMP安全管理，1。简单网络管理协议(SNMP)是支持基于TCP/IP的系统管理的一套互联网标准的一部分。SNMP体系结构的主要组件是一个网络管理站和一些网络元素。网络管理站是运行简单网络管理协议和一些网络管理应用程序的主机系统。网络元素是受管理的系统，如主机、路由器、网关或服务器。在网管站与网元的通信中，实现简单网络管理协议的实体称为简单网络管理协议实体或简单网络管理协议实体。SNMP实体可以以管理员角色或代理角色执行的操作。SNMP还通过代理服务器提供设备管理。协议操作SNMP特别适合于实现相对较小的网络系统。它有6个基本的SNMP协议互操作性，涉及7种类型的PDU。3.管理功能在SNMP版本1中，采用了基于社区的管理模型。在SNMP版本2中，定义了一个增强的管理模型。4.SNMP安全服务的两个主要威胁是数据篡改和伪造。两个小威胁是修改消息流和窃听。因此，所需的安全服务包括：结合服务完整性和数据源验证、序列完整性和数据机密性。这导致了两个SNMP安全协议的定义。认证协议提供数据完整性、数据源认证和序列完整性保护。对称秘密协议提供数据保密保护。7 . 2 . 2网络安全管理，5。摘要身份验证协议：通过身份验证信息数据项提供保护。此项目与一个通用的SNMPPDU组合成一个SNMP身份验证消息。认证信息项由以下三部分组成：源认证时间戳：该字段传输消息生成的时间，该时间是根据源成员的时钟获得的。目标身份验证时间戳：此字段传输消息生成的时间，该时间根据目标成员的时钟获得。身份验证摘要：此字段传递根据消息计算的印章。7 . 2 . 2网络安全管理，6。对称秘密协议对称秘密协议与摘要认证协议一样，通过加密SNMP认证消息来提供秘密保护。加密使用对称加密算法和pr它由56位DES密钥(加上8位奇偶校验位)和64位初始向量组成。为了确保每个8位组的加密，需要完成消息。(1)密钥管理，包括认证密钥、简单网络管理协议密钥；(2)确保所有系统中的时钟同步，因为序列完整性的正确功能取决于这种同步；(3)建立和维护每个系统的信息，这些信息与进行通信的SNMP成员相关。访问控制：SNMP版本2管理模型包括一个访问控制模型，用于管理哪些SNMPPDU可以在成员之间合法发送。该模型是关于一组特定的托管对象资源的。访问控制信息以访问控制列表的形式存在。访问控制列表有以下组成部分：目标主题资源权限、7 . 2 . 2网络管理程序安全管理和安全审计是对系统记录和活动的独立审查和验证。安全审计的目的包括协助识别和分析未经授权的活动或攻击；帮助并确保这些实体对这些活动做出反应；促进改进损害控制程序的发展；承认与既定安全政策的一致性；报告可能与系统控制不兼容的信息；确定可能需要的控制、政策和程序的变更。7.3安全审计7.3.1安全审计目的，7.3.1安全审计目的，安全警报是由个人或流程发出的警告，以指示出现了异常情况，可能需要及时采取措施。安全警报的目的包括：报告实际或明显的违反安全的企图；报告各种安全相关事件，包括“正常”事件；报告达到特定阈值后触发的事件。7.3.2系统簿记和日志，审计是记录用户利用计算机网络系统开展所有活动的过程，是提高安全性的重要工具。它不仅可以识别谁访问了系统，还可以指示系统是如何使用的。审计日志是记录信息系统安全状态和问题的基础。各级信息系统必须建立管理系统来保存和访问审计日志。7.3.3支持安全审计和警报服务的安全审计功能需要多种功能：事件鉴别器：它提供对事件的初始分析，并确定是否将事件传输到审计记录器或警报处理器。事件记录器：它生成接收到的消息的审计记录，并将该记录存储在安全审计跟踪中。警报处理器：它产生一个审计消息，并产生适当的行动，以响应安全警报。审计分析器：它检查安全审计跟踪，并在适当的时候生成安全警报和安全审计消息。审计跟踪验证器：它从一个或多个安全审计跟踪生成安全审计报告。审计提供者：它根据一定的标准提供审计记录。审计归档器：它归档安全审计跟踪。对分布式安全审计跟踪和报警功能的额外支持也是必要的。这些功能包括：审计跟踪收集器：将分布式审计跟踪的记录收集到安全审计跟踪中。审计计划程序：将部分或全部分布式安全审计跟踪传输到审计跟踪收集功能。7.3.3安全审计功能、7.3.4安全检查和网络系统安全检查是系统及其网络风险评估的重要措施。本节以Unix系统为例说明安全检查的方法。1.簿记。系统检查命令3。检查历史文件4。用根和第5位检查程序。找出隐藏的文件。7.3.5安全性分析。安全分析的目的是再次确认在系统安装过程中是否忽略了一些配置问题。建立一套安全标准，使系统现在建立的安全标准可以作为将来系统安全分析的比较依据。一般来说，它有以下功能：检查系统是否有安全漏洞。在系统安装过程中，系统管理员的疏忽会给入侵者一个机会。建立系统中所有文件的数据库。这样，系统管理员可以在将来经常检查这些文件，以确定文件中是否有异常变化。7.4入侵检测7.4.1入侵检测目的入侵检测的目的是及时发现网络系统中最薄弱的环节，用最有效的方法对网络系统进行定期的安全检测和分析，及时发现和纠正存在的弱点和漏洞，最大限度地保证网络系统的安全。7.4.2入侵检测技术，网络入侵检测实际上是一种信息识别和检测技术，基于审计信息的检测技术，基于统计的入侵检测统计，测量点的选择，统计数据的分析和入侵判断，基于神经网络的入侵检测自动学习，基于规则的入侵检测，7.4.3入侵检测系统，以及入侵检测系统都是实时的网络违规自动识别和响应系统。它位于需要保护敏感数据的网络上或网络上有风险的任何