目录
2. 入侵检测系统(Intrusion Detection System,IDS)
网络安全体系结构
一. 网络安全体系结构概述
参照开放系统互联安全体系结构ISO 7498-2标准,其核心内容是:为保证异构计算机进程之间远距离交换信息的安全,定义了系统应当提供的5种安全服务和8种安全机制,确定了安全服务与安全机制之间的关系,以及在ISO参考模型中安全服务和安全机制的配置。
1995年,ISO 7498-2被等同采用为我国GB/T9387.2-1995《信息系统处理 开放系统互联基本参考模型一第二部分:安全体系结构》;
安全服务可理解为安全需求的一种表示;
安全机制是能够提供一种或多种安全服务的、与具体的实现方式无关且一般不能再细分的安全技术的抽象表示。安全机制是一般是“原子”级,很少交叉业数中心;
安全产品则是一种或多种安全机制的具体实现。
二. 安全服务
1.鉴别
鉴别服务是对通信中的对等实体和数据来源的鉴别。
对待实体鉴别是确认通信中的对等实体是所需要的实体,这种服务在建立连接时或在数据传送阶段提供使用,以证实连接实体的身份,此类服务确保一个实体没有试图冒充其它实体。
数据鉴别服务本质上是要对数据的来源进行确认。
2.访问控制
访问控制决定了什么实体可以访问什么资源,以防止未授权的实体访问系统内的资源。这里“访问”是一个广义的,包含对各类资源的不同访问,如通信资源,读、写、删信息资源等。
当我们打开文件夹,新建文件时,可能没有权限,这是一种典型的访问控制机制。
3.数据完整性
数据完整性服务用来对付试图破坏、篡改信息资源的主动威胁,从而能够防止或检测信息资源受到篡改等破坏。从技术手段而言,有的完整性服务可在数据被短发后予以恢复(校验功能),有些则只能检测到被自发的情况
4.数据保密性
数据保密性服务是对数据提供保护、使之不被非授权地泄露。
具体包括对用户数据进行加密,或使用攻击者无法通过观察通信业务流量而推断出其中的保密信息。
5. 抗抵赖
抗抵赖也称不可否认性,主要表现以下两种形式:
原发抗抵赖:即数据发送者无法否认其发送数据的事实。如A向发B发信,事后,A不能否认该信是其发送的;
接收抗抵赖:即数据接收者事后无法否认其收到过这些数据。如A向B发信,事后B不能否认其收到了该信。
三. 安全机制
1.加密机制
加密即能为数据提供保密必一,也能为通信业务流信息提供保密性。
2.数字签名机制
数字签名机制分为两个过程,一是签名过程,二是验证签名过程
签名过程是使用签名者所私有的信息(私钥),以保证签名的唯一性。
验证签名过程所用的程序与信息是公之与众的,以便每个人都可以验证该签名但无法从签名中推断出签名者的私有信息。
3.访问控制机制
访问控制即是一种服务,也是一种具体的机制。为了判断一个实体是否具有访问权,访问控制机制可以使用该实体已民鉴别过的身份(如登录系统后的身份、或实体属于某个已知具有权限的组织)进行访问控制。如果该实体试图访问非授权的资源,那么访问控制功能会拒绝其企图,还会产生日志等警告。
访问控制建立在以下几种手段之上:
1.访问控制列表
2.鉴别信息
3.试图访问的时间
4.试图访问的持续时间
5.试图访问的地址
4.数据完整性机制
数据完整性分两个方面:一是数据单元的完整性,二是数据流的完整性。
数据单元完整性涉及两个过程,一是发送实体,另一个是接收实体。
发送实体给数据单元附加上一个量(通常是哈希值),且这个量本身可以被加密;接收实体根据数据单元产生一个相应的量,且与发送方的量进行比较,以此确定发送的数据单元是否受到篡改。
数据流完整性可以采取顺序号、时间标记或密码链等手段。
5.鉴别交换机制
鉴别交换是通信过程中一方鉴别另一方身份的过程。常见的实现方式有:口令鉴别、数据加密确认、通信中的“握手”协议、数字签名和公证机构辩认,以及通过利用该实体特征鉴别(如语言、指纹)。
6.通信业务填充机制
通信业务填充机制是指在正常通信流中增加冗余信息,能抵抗通信业务分析。这种机制往往提供通信业务的保密性服务。
7.路由选择控制机制
路由能动态地设定,以便物理上安全的子网络、中继站或链路使用。在使用时可基于安全属性,禁止某些属性的数据通过某子网络、中继站或链路以确保这些通信网络的安全。
8.公证机制
公正机制是指由于第一方和第二方互不相信,于是寻找一个双方都信任的第三方,通过第三方背书在第一方和第二方之间建立信任。在网络中,数据完整性,发送方身份、时间和目的方身份都能通过公主机制得到确保。
四. 安全服务与安全机制的关系
五. 安全产品
1. 防火墙
辞海中的解释“用非燃烧材料砌筑的墙,设在建筑物的两端或在建筑物内将建筑物分割成区段同,以防止火灾蔓延”。在当今网络环境下,常借用这个概念使用防火墙来保护敏感的数据不被窃取和篡改。这里的防火墙通信由计算机系统构成。
防火墙类似一道护栏隔在内部网络和不安全的外部网络之间,是一种保护机制阻断来自外部的网络入侵,保护内部网络安全。
所有进入内部的通信,必须经过防火墙,所有经过防火墙的通信,必须经过安全策略,前提是防火墙自身是安全可靠,不易攻破。
防火墙的功能
1.访问控制功能:是防火墙最基本也是最重要的功能
2.内容控制功能:如过滤垃圾邮件
3.安全日志功能:可以记录网络通信情况,包括什么用户在什么时间进行了什么操作
4.集中管理功能:在一个组织中可能有多台防火墙需要集中统一管理,避免出现配置上的安全漏洞。
5.其它功能:如VPN(虚拟专用网络)、NAT(网络地址转换)防火墙局限性:无法检测内部攻击
2. 入侵检测系统(Intrusion Detection System,IDS)
IDS通过监视受保护系统或网络的状态,可发现正进行或已发生的网络攻击。
IDS功能:
1. 监视用户和系统的活动,IDS通过获取进出某台主的数据、或某网段的数据或某主机的日志等监视用户和系统的活动。
2. 发现入侵行为,包含两方面:
(1)通过分析用户和系统的活动,判断是否存在对系统的入侵行为;
(2)评估系统关键资源和数据文件的完整性,判断系统是否遭到入侵;3. 记录和报警,DS在检测到入侵行为后,记录入侵行为的基本情况,并采取相应措施发出报警,甚至实现防火墙的联动。
入侵检测系统的分类:
1. 基于主机的IDS。用于保护运行关键应用的主机,它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望的活动证据。
基于主机的IDS优点:能确定攻击是否成功、监视粒度更精细、配置灵活、适用于加密网络、不需要额外硬件。
2. 基于网络的IDS。基于网络的IDS主要用于实时监测网络关键路径的信息,通过侦听网络上的所有分组来分析入侵行为。
基于网络IDS优点:实时提供网络保护、可检测面向网络的攻击、不会影响现有网络的性能、更全面的监视企业网络、操作维护相对简单。
基于网络IDS的缺点:无法在加密环境中使用。
3. 恶意代码防护
恶意代码就是一个计算机程序或一段程序代码,执行后完成特定的功能,但这些功能是恶意的,有破坏作用的,如计算机病毒。
恶意代码分类:
病毒:一种靠修改其他程序来插入或进行自身复制,从而感染其他程序的一段程序,具有传染性、隐蔽性、潜伏性、多态性和破坏性等特征。
蠕虫:利用操作系统漏洞进行传播,可以算是病毒的一种发展。
特洛伊木马:指一个隐藏在合法程序中的非法程序。该非法程序被用户在不知情的情况下执行。隐身的木马程序能实现一些功能,如删除文件、发送消息。
逻辑炸弹:可以理解为特定逻辑条件满足时实施破坏的计算机程序,不具有类似病毒的传播性。