第五章、信息系统安全ppt课件.pptx

《第五章、信息系统安全ppt课件.pptx》由会员分享，可在线阅读，更多相关《第五章、信息系统安全ppt课件.pptx（85页珍藏版）》请在三一办公上搜索。

1、第五章 信息系统安全,本章目录,2,3,系统攻击技术,系统防御手段,信息安全概述,1,本章重难点,本章一般会出选择题、填空题、简答题。 本章的重难点和常考知识点 -信息系统安全的概念、基本要 -信息系统安全评价准则与等级保护 -计算机病毒的基本特征 -蠕虫与计算机病毒的区别 -黑客攻击的基本步骤与攻击手段 -常用系统防御手段的概念、功能及局限性,第一节 信息系统安全概述,信息系统安全可谓概念繁多，如信息安全、网络安全、系统安全、物理安全、计算机安 全等。 （识记：信息系统安全的概念、范畴、系统安全的五个基本要素；信息系统安全技术发展的五个阶段。） （领会：国内外信息系统安全评价准则与等级保护的

2、标准、美国可信计算机系统评价 准则的安全等级划分及含义、我国计算机信息系统安全保护等级划分准则的安全等级划分及含义。）,一、信息系统安全的概念,通常可以把信息系统安全定义如下： 信息系统安全指信息系统的硬件、软件及其系统中的数据受到保护，不因偶然或者恶意的原因而遭到占用、破坏、更改、泄露，系统连续、可靠、正常的运行，信息服务不中断。,一、信息系统安全的概念,从安全作用范畴上划分，信息系统安全包括了物理安全、系统安全和信息安全三方面的内容。 （1）物理安全 指保护计算机设备、设施以及其他媒介免遭地震、水灾、火灾、有害气体和其他环境事 故破坏的措施和过程，特别是避免由于电磁泄露产生信息泄露，从而干

3、扰他人或受他人干扰。,一、信息系统安全的概念,（2）系统安全 是为了保障系统功能而进行的保护信息处理过程安全的措施和过程。系统安全侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失。 （3）信息安全 信息安全是保护所处理信息的机密性与完整性、可控性、不可否认性等。,一、信息系统安全的概念,信息系统安全包含了五个基本要素，分别是机密性、完整性、可用性、可控性和不可否认性。 1）机密性，指防止信息泄露给非授权个人或实体，信息只为授权用户使用的特性，即 信息内容不会被未授权的第三方所知。 2）完整性，指信息未经授权不能进行改变的特性，即信息在存储或传输过程中

4、保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失。,一、信息系统安全的概念,3）可用性，指信息可被授权实体访问并按需求使用的特性，即信息服务在需要时，允许授权用户或实体使用，或者网络部分受损或需要降级使用时，仍能为授权用户提供有效服务。4）可控性，指对信息的传播及内容的访问具有控制能力的特性，可以控制授权范围内的信息流向及行为方式，控制用户的访问权限，同时结合内容审计机制，对出现的信息安全问题提供调查的依据和手段。,一、信息系统安全的概念,5）不可否认性，指在信息系统的交互中，确信参与者的真实性，即所有参与者都不能否认或抵赖曾经完成的操作和承诺。,二、信息系统安全的发展,纵观

5、信息安全技术的发展过程，可将信息系统安全划分为以下几个阶段。 第一阶段：通信保密阶段（20 世纪 40 年代）。标志性事件是 1949 年克劳德埃尔伍德香农发表保密通信的信息理论，从而将密码学研究纳入科学轨道。这个阶段，人们关心的只是通信安全，重点是通过密码技术解决通信保密问题，保证数据的保密性和可靠性， 主要安全威胁是搭线窃听和密码分析，主要的防护措施是数据加密。,二、信息系统安全的发展,第二阶段：计算机系统安全阶段（20 世纪 70 年代）。标志性事件是 1970 年美国国防部提出可信计算机系统评价准则（TCSEC）和 1977 年美国国家安全局公布国家数据加密标准（DES）。该阶段人们关

6、注如何确保计算机系统中的硬件、软件及信息的机密性、完整 性及可用性，主要的安全威胁扩展到非法访问、恶意代码、脆弱口令等，主要保护措施是安全操作系统设计技术。,二、信息系统安全的发展,第三阶段：网络信息安全阶段（20 世纪 80 年代）。该阶段的标志性事件是 1987 年美 国国家计算机安全中心发布 TCSEC 的可信网络说明和 1988 年 11 月发生的“莫里斯蠕虫事件”。该阶段重点保护信息，强调信息的保密性、完整性、可控性、可用性和不可否认性， 确保合法用户的服务和限制非授权用户的服务，以及必要的防御攻击措施。主要安全威胁有网络入侵、病毒破坏和信息对抗，主要防护措施包括防火墙、漏洞扫描、入

7、侵检测、PKI 公钥基础设施、VPN 虚拟专用网等。,二、信息系统安全的发展,第四阶段：信息安全保障阶段（20 世纪 90 年代末）。标志性事件是 1998 年美国提出信息保障技术框架。该阶段人们认识到信息系统安全是对整个信息和信息系统进行保护的动态过程，因此将信息安全保障分为检测、响应、恢复、保护等几个环节，更强调信息系统整个生命周期的防御。,二、信息系统安全的发展,第五阶段：泛网安全保障阶段（21 世纪初）。该阶段，移动计算、普适计算、传感网、 物联网的出现使得随时随地、无处不在的计算成为可能，安全威胁扩展到智能家电、智能手机、平板电脑、智能芯片、RFID 电子标签、传感器、无线接入等方方

8、面面，威胁变得无处不在。信息系统安全由过去专注于计算机、网络，扩展到了由所有智能设备构成的泛在网络。,三、信息系统安全评价准则与等级保护,1.可信计算机系统评价准则 TCSEC 可信计算机系统评价准则是 1970 年由美国国防部提出并于 1985 年公布，是计算机系统安全评估的第一个正式标准，具有划时代的意义。TCSEC 最初只是军用标准，后来延 至民用领域。它将计算机系统的安全划分为 4 个等级、7 个级别，依据安全性从低到高依次 为 D、C1、C2、B1、B2、B3 和 A1 级，对用户登录、授权管理、访问控制、审计跟踪、隐蔽通道分析、可信通道建立、安全检测、生命周期保障等内容提出了规范性

9、要求。,三、信息系统安全评价准则与等级保护,三、信息系统安全评价准则与等级保护,（1）D 级（最低安全保护级） 该级不设置任何安全保护措施，也就是说任何人都可以占用和修改系统数据和资源。 MS-DOS、Windows95/Windows 98 等操作系统均属于该级。 （2）C1 级（自主安全保护级） 要求硬件有一定的安全级，用户必须通过登录认证方可使用系统，建立了访问许可权限机制，但仍不能控制已登录用户的访问级别。早期的 UNIX、Xenix、NetWare3.0 等系统属于该级别。,三、信息系统安全评价准则与等级保护,（3）C2 级（受控存取保护级） 在 C1 级基础上增加了几个新特性，引进

10、了受控访问环境，进一步限制了用户执行某些 系统指令，采用了系统设计，跟踪记录所有安全事件及系统管理员工作等。目前常用的 Windows XP、Win7/Win8、UNIX、Linux 都属于该级，该级是保证敏感信息安全的最低级。,三、信息系统安全评价准则与等级保护,（4）B1 级（标记安全保护级） 对网络上每个对象都实施保护，支持多级安全，对网络、应用程序工作站实施不同的安全策略，对象必须在访问控制之下，不允许拥有者自己改变所属资源的权限。例如，一个绝 密系统中的文档不能允许文档拥有者共享发布给其他用户，即使该用户是文档的创建者。B1 级是支持秘密、绝密信息保护的第一个级别，主要用于政府机构、

11、军队等系统应用。,三、信息系统安全评价准则与等级保护,（5）B2 级（结构化保护级） 要求系统中的所有对象都加标记，并给各设备分配安全级别。例如，允许用户访问一台工作站，却不允许该用户访问含有特定资料的磁盘存储系统。 （6）B3 级（安全区域级） 要求工作站或终端通过可信任的途径连接到网络系统内部的主机上；采用硬件来保护系统的数据存储器；根据最小特权原则，增加了系统安全员，将系统管理员、系统操作员和系统安全员的职责分离。,三、信息系统安全评价准则与等级保护,（7）A1 级（验证设计级） 计算机安全等级中最高的一级，包括了其他级别所有的安全措施，增加了严格的设计、 控制和形式化验证过程。设计必须

12、是从数学角度经过验证的，且必须进行隐蔽通道和可信任分析。,三、信息系统安全评价准则与等级保护,2.信息技术安全评价通用准则 信息技术安全评价通用准则，简称 CC 准则，是由美国、加拿大、英国、法国、德国、荷兰六国于 1996 年联合提出的信息技术安全评价准则，现已成为 ISO国际标准。 CC 标准定义了评价信息技术产品和系统安全性的基本准则，提出了目前国际上公认的表述信息技术安全性的结构，即把安全要求分为规范产品和系统安全行为的功能要求，以及解决如何正确有效地实施这些功能的保证要求。,三、信息系统安全评价准则与等级保护,3.计算机信息系统安全保护等级划分准则 计算机信息系统安全保护等级划分准则

13、是我国于 1999 年公布的国家标准。该标准将信息系统安全划分为 5 个安全等级，分别是自主保护级、系统审计保护级、安全标记保护级、 结构化保护级和访问验证保护级，安全保护能力随着安全保护等级逐渐增强。,三、信息系统安全评价准则与等级保护,（1）自主保护级 由用户决定如何对资源进行保护以及采用何种方式进行保护。其安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法读写破坏。,三、信息系统安全评价准则与等级保护,（2）系统审计保护级 支持用户具有更强的自主保护能力，特别是具有审计能力，即能够创建、维护受保护对象的访问审计跟踪记录，记录与系统安全相关事件发生的日期、时间、用户和事件类型

14、等信息，所有安全相关的操作都能够被记录下来，以便发生安全问题时可以根据审计记录分析和 追查事故责任人。,三、信息系统安全评价准则与等级保护,（3）安全标记保护级 具有第二级系统的所有功能，并对访问者及其访问对象实施强制访问控制。通过对访问者和访问对象指定不同的安全标记，限制访问者的权限。,三、信息系统安全评价准则与等级保护,（4）结构化保护级 将前三级的安全保护能力扩展到所有访问者和访问对象，支持形式化的安全保护策略， 具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。 在继承前面安全级别功能的基础上，将安全保护机制划分为关键和非关键部分，直接控制访 问者对访问对

15、象的存取，从而加强系统的抗渗透能力。,三、信息系统安全评价准则与等级保护,（5）访问验证保护级 具备前四级的所有安全功能，还具有仲裁访问者能否访问某些对象的能力。为此，本级的安全保护机制是不能被攻击、被篡改的，具有极强的抗渗透能力。,例题,【单选题】目前常用的 Windows XP、Win7/Win8、UNIX、Linux 等操作系统的安全性属于 TCSEC 可信计算机系统评价准则中的哪一级别（ ）。 A.A1 B.B1 C.C1 D.C2【答案】D【解析】考查 TCSEC 可信计算机系统评价准则。,第二节 系统攻击技术,提到系统攻击技术，很多人会立刻与手法高明、神秘莫测、爱好攻击破坏的“黑客

16、”相 关联。如今，计算机病毒、蠕虫、木马、黑客攻击，成了最常见的系统攻击技术。 （领会：计算机病毒的基本概念和发展历程、基本特征和分类方法；蠕虫的概念和发 展历程、与计算机病毒的区别；木马的概念、工作方式和分类方法；黑客概念的演化、攻击的基本步骤、常见的黑客攻击手段。）,一、计算机病毒,计算机病毒是一种程序代码，它不仅能够破坏计算机系统，而且还能隐藏在正常程序中， 将自身传播、感染到其他程序。是一些人利用计算机系统软件、硬件所固有的脆弱性，编制 的具有特殊功能的程序。 1994 年颁布实施的中华人民共和国计算机信息系统安全保护条例中对病毒明确定义如下：计算机病毒，是指编制或者在计算机程序中插入

17、的破坏计算机功能或者破坏数据， 影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,一、计算机病毒,计算机病毒的出现经历了从概念、雏形，到逐步发展成熟的过程。 1949 年，计算机之父冯诺依曼在第一部商用计算机出现之前，在论文复杂自动装置的理论及组织的进行中勾勒出了病毒的概念。 1959 年，美国电话电报公司 AT&T 的贝尔实验室中，三个年轻人道格拉斯麦基尔罗伊、 维克多维索特斯克以及罗伯特莫里斯在工作之余编写了能够杀死他人程序的程序，称为 “磁芯大战”。,一、计算机病毒,1983 年 11 月，美国南加州大学生弗雷德科恩在UNIX下编写出会引起系统死机的程序。1985 年 3 月，

18、科学美国人专栏作家杜特尼在讨论磁芯大战时开始首次将该程序称 为“病毒”。 1987 年，巴基斯坦兄弟巴斯特和阿姆捷特为了防止自己的软件被盗版，编写了后来被公认为世界上第一个具备完整特征的计算机病毒 C-Brain（脑病毒，又称巴基斯坦病毒），发作后将吃掉盗版者磁盘空间。,一、计算机病毒,1987 年后，形形色色的计算机病毒被发现，如大麻、圣诞树、黑色星期五、CIH 等。 目前，全球计算机病毒数量以亿计，并且仍在以几何级数高速增长，病毒防范刻不容缓。,一、计算机病毒,计算机病毒具有以下几个基本特征： （1）传染性 是指计算机病毒具有把自身代码复制到其他程序中的特性，是计算机病毒最重要的特征，也是

19、判断一段程序代码是否为计算机病毒的重要依据。 （2）隐蔽性 为了防止用户察觉，计算机病毒会想方设法隐藏自身。通常隐藏在磁盘引导扇区或正常程序代码之中，或以隐藏文件形式出现。,一、计算机病毒,（3）潜伏性 计算机病毒在感染系统之后一般并不会立刻发作，而是长期潜伏在系统中，只有满足特 定条件时才启动其破坏模块而爆发。 （4）破坏性 计算机中毒后，都会对系统及应用程序产生不同程度的影响，轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃和瘫痪。,一、计算机病毒,分类：按照计算机病毒的危害划分，可以分为良性病毒和恶性病毒两种。 （1）良性病毒 指那些只是为了表现自身、恶作剧，并不破坏系统和数据

20、，但会占用系统的 CPU 时间和系统开销的一类计算机病毒。如小球病毒、Yankee 病毒、Norun 恶作剧病毒、千年老妖病毒、白雪公主病毒等。,一、计算机病毒,（2）恶性病毒 指那些一旦发作，就会破坏系统或数据，造成计算机系统瘫痪的计算机病毒。该类病毒危害很大，甚至会给用户造成不可逆转的损失。如 CIH 病毒、U 盘病毒、黑色星期五病毒等。,一、计算机病毒,按照计算机病毒的宿主类型划分，计算机病毒可以分为引导区型病毒、文件型病毒和混合型病毒。 （1）引导区型病毒 该病毒侵染软盘或 U 盘的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的“主引导 记录”。通过修改系统引导记录，在系统开机启动时即

21、运行并驻留内存，从而入侵主机系统， 监控系统运行。,一、计算机病毒,（2）文件型病毒 通常它感染各种可执行文件（如“*.com”文件和“*.exe”文件）、可解释执行脚本文 件（*.vbs）、宏代码文件等。在用户运行染毒的可执行文件或脚本代码时，文件型病毒首先被执行，驻留内存，并伺机把病毒代码自身复制到其他文件中。 （3）混合型病毒 具有引导区型病毒和文件型病毒两者的特征，既传染引导区、又传染文件，从而扩大了病毒的传染途径。,二、蠕虫,蠕虫是一种能够利用系统漏洞通过网络进行自我传播的恶意程序。蠕虫是独立存在的程 序，不需要寄宿或者附着在其他程序上。 1988 年 11 月，美国康乃尔大学学生罗

22、伯特莫里斯利用 UNIX 系统上的电子邮件程序 Sendmail 的漏洞，编写了世界上第一个蠕虫莫里斯蠕虫，并在一夜之间在 Internet 网络上蔓延，造成全球 10%的 Internet 主机被感染，直接经济损失 9600 万美元。美国国防部特此成立了计算机应急响应小组以应付类似蠕虫事件。,二、蠕虫,2000 年以后，红色代码、尼姆达、SQL 蠕虫、冲击波、震荡波、魔波、谜波、高波、扫荡波、狙击波、熊猫烧香等各种蠕虫接踵而至，严重影响了 Internet 用户正常的工作、学习和生活。,二、蠕虫,类似病毒，蠕虫也具有传播性、隐蔽性、破坏性等特征，因此也常被称为蠕虫病毒。但严格地讲，蠕虫并不是

23、病毒，二者之间存在着以下不同： 1）存在形式方面：计算机病毒需要寄存在宿主文件中，而蠕虫是一个独立计算机程序，无须宿主文件。 2）传染机制方面：计算机病毒依靠宿主程序运行而传播，而蠕虫则依靠系统漏洞主动攻击，自主传播。,二、蠕虫,3）传染目标方面：计算机病毒传染本地计算机上的各种文件，而蠕虫则传染网络上存在漏洞的主机。 4）防治手段方面：计算机病毒防治的关键是将病毒代码从宿主文件中摘除，而蠕虫防治的关键则是为系统打补丁或者有效设置黑客防火墙。,三、木马,特洛伊木马，简称木马，是一种计算机程序，它能提供一些有用的或者令人感兴趣的功 能，但同时还具有用户不知道的其他功能，例如在用户不知晓的情况下复

24、制文件或窃取密码， 当该程序被调用或激活时将执行一些有害功能。,三、木马,木马通常工作在客户/服务器模式，有两个可执行的程序：一个是客户机，即控制端； 另一个是服务器，即被控制端。植入病毒的计算机是“服务器”，而黑客利用“控制端”进 入“服务器”的计算机。运行木马程序的“服务器”以后，植入病毒的计算机就会有一个或几个端口被打开，黑客可以利用这些打开的端口进入计算机系统，从而盗取用户的个人隐私。,三、木马,木马的分类方式很多。按照木马使用的协议分类，可以分为 TCP 木马、UDP 木马和 ICMP 木马；按照木马攻击的方法分类，可以分为远程访问控制木马、密码发送型木马、键盘记录 型木马和毁坏型木

25、马；按照木马攻击的目标分类，可以分为网游木马、网银木马、即时通信木马、广告木马和后门木马等；按照木马是否需要宿主文件，可以分为大马和小马。,四、黑客攻击,黑客最初是一个褒义词，指热心于计算机技术、水平高超、崇尚自由精神的计算机专家， 后来逐步演化为专门入侵他人系统进行不法行为的计算机高手。黑客攻击是信息系统安全面临的又一个重要威胁。,四、黑客攻击,1.黑客攻击的一般步骤 （1）踩点 主要是获取对方的 IP 地址、域名服务器、管理员信息、公司信息、服务器操作系统、 服务器软件版本等。信息的收集可以利用网络命令如 telnet、net、ping 等或者扫描工具 Portscan、Nmap 等，也可

26、以通过诱骗对方用户并植入木马、嗅探或者暴力口令破解等实现。,四、黑客攻击,（2）查找、发现漏洞并实施攻击 根据信息收集获得的信息，有针对性地查找目标系统可能存在的漏洞，并利用这些漏洞 实施攻击。 （3）获取目标主机最高控制权 入侵系统获取权限，并进一步提升权限，寻找机密数据，或者以此为跳板，继续攻击其他主机。,四、黑客攻击,（4）消除踪迹，留下后门供日后使用 消除入侵系统过程中产生的相关日志，尽力避免留下入侵踪迹，在目标系统上植入木马， 留下后门，供日后使用。,四、黑客攻击,2.黑客攻击的常用手段 （1）信息收集通过 telnet、ping、tracert、net、nslookup 等工具或

27、Whois 服务、 Google/Baidu 文档搜索等，收集目标系统的端口开放、操作系统、软件版本、管理员信息 等。 （2）扫描攻击-利用扫描工具软件自动检测远程或本地主机上的漏洞或者开放端口， 从而获得目标系统的端口、可用漏洞等信息。,四、黑客攻击,（3）口令攻击通过绕过或破解口令，使口令保护失败，如字典攻击、绕过口令攻击等。 （4）网络窃听利用计算机的网络接口捕获网络上的传输目标地址为其他计算机的 数据报文，并进行报文分析和数据还原。 （5）拒绝服务利用系统或者协议存在的漏洞，仿冒合法用户向目标主机发起大量 服务请求，致使目标网络或主机拥塞、瘫痪甚至死机，无法提供正常服务。,四、黑客攻击

28、,（6）社会工程攻击等利用对受害人的心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的方法。,例题,【单选题】2006 年，我国爆发的熊猫烧香属于（ ）。 A.计算机病毒 B.蠕虫 C.木马 D.黑客攻击【答案】B 【解析】考查蠕虫和计算机病毒的区别。,例题,【单选题】冰河软件属于（ ）。 A.计算机病毒 B.蠕虫 C.木马 D.黑客攻击 【答案】C 【解析】考查木马基本知识。,例题,【单选题】下列哪种特性是计算机病毒最重要的特征，也是判断一段程序代码是否为计算机病毒的重要依据 （ ）。 A.传染性 B.隐蔽性 C.潜伏性 D.破坏性 【答案】A 【解

29、析】考查计算机病毒的基本特征。,第三节 系统防御手段,系统防御手段的出现和发展，存在着一条明显的主线，从最初不惜一切代价御敌于城门之外（防火墙），到城门可能有疏漏而在全城严密监控（入侵检测），再到监控也会疏漏而需要在存在入侵情况下保障正常服务和功能（入侵容忍），最后开始采用虚假目标诱骗攻击 者（蜜罐技术）。,（领会：防火墙的概念、功能及其局限性，防火墙技术的发展过程；入侵检测系统的概念、功能及其局限性，入侵检测技术的发展过程，入侵检测系统的检测技术分类及其特点；入侵容忍系统的概念和功能，常见的入侵容忍技术；蜜罐技术的概念、功能及其局限性，蜜罐技术的发展和分类。）,一、防火墙,原本是当房屋还处于

30、木质结构时，人们用石块在房屋周围堆砌起一堵墙，用来防止火灾发生时蔓延到别的房屋，这样的一种墙被称之为防火墙。 而在 Internet 上，防火墙就是设置在信任程度不同的网络之间的访问控制系统，用于拒绝除了明确允许通过之外的所有通信数据，以保护内部网络的安全。防火墙是信息系统安全的第一道防线。,一、防火墙,防火墙从诞生开始，大致经历了五代的技术发展： （1）第一代防火墙：1983 年，第一代防火墙技术出现，它几乎是与路由器同时问世的， 采用了包过滤技术，称为简单包过滤防火墙。 （2）第二代防火墙：1989 年，贝尔实验室推出了第二代防火墙的初步结构，即应用型防火墙，它可以检查所有应用层的数据包，

31、从而提供身份认证、日志记录等功能，提高网络的安全性。,一、防火墙,（3）第三代防火墙：1992 年，南加州大学信息科学院开发出了基于动态包过滤技术的第三代防火墙，后来演变为目前所说的状态检测防火墙技术。 1994 年，以色列的 CheckPoint 公司开发出第一个采用这种状态检测技术的商业化产品。 （4）第四代防火墙：1997 年，具有安全操作系统的防火墙产品问世，这种防火墙本身 就是一个操作系统，因而在安全性能上较之前的防火墙都有了质的提高。,一、防火墙,（5）第五代防火墙：1998 年，美国的网络联盟公司 NAI 推出了一种自适应代理防火墙 技术，并在其产品 Gaunlet Firewa

32、ll for NT 中得以实现，给代理服务器防火墙赋予了全新的意义，称之为第五代防火墙。,一、防火墙,另外，防火墙既可以是软件，如 CheckPoint 公司的 Firewalls-1 系列防火墙、金山卫士等，也可以是硬件，如思科公司的 PIX系列防火墙等。 通常，软件防火墙价格便宜，但防范效率低，多适合于单机部署和应用，硬件防火墙采用了专门设备，效率高，价格贵，适合于保护整个网络。,一、防火墙,同时，防火墙存在着诸多不足和局限，如防火墙不能防范内部人员的攻击；防火墙不能 防范绕过它的攻击和威胁；防火墙不能防范未知的攻击和威胁等。,二、入侵检测系统,入侵检测系统是一种通过计算机网络或信息系统中

33、的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反完全策略的行为和被攻击的迹象，从而实现安全防护的技术手段。换句话说，入侵检测系统就是用来监视和检测入侵事件的系统，是信息系统安全的第二道防线。,二、入侵检测系统,1980 年，詹姆斯安德森在技术报告计算机安全威胁监控与监视中首次提出入侵 检测的思想； 1986 年，多萝西丹宁首次将入侵检测作为一种计算机系统的安全防御措施， 提出了一个经典的入侵检测系统模型； 近年来，入侵检测系统的研究进入到高速发展阶段， 在智能化、分布式等方面取得了长足进展。,二、入侵检测系统,功能：入侵检测系统是对防火墙的有效补充，提高了信息安全基础结构的完

34、整性。入侵 检测系统可通过向管理员发出入侵或入侵企图来加强防火墙控制，识别防火墙通常不能识别 的攻击，在发现入侵企图后提供必要的信息，提示网络管理员有效地监视、审计并处理系统的安全事件。,二、入侵检测系统,分类：入侵检测技术可以分为两类：误用检测技术和异常检测技术。 （1）误用检测：假设所有入侵行为都可以表达为一种模式或特征，因而可以通过入侵行为的特征库，采用特征匹配的方法来确定入侵事件。优点是检测结果的误报率低、速度快， 但通常不能发现攻击特征库中没有事先指定的攻击行为，所以无法检测未知的攻击和威胁。 目前，大部分的入侵检测系统都使用误用检测技术。,二、入侵检测系统,（2）异常检测：假设入侵

35、者活动异常于正常主体的活动，根据这一理念建立主体正常 活动的特征，将当前主体的行为状况与正常特征相比较。当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测技术的关键是异常阈值与正常特征的选取，其优点是能够发现和识别未知的入侵行为，不足是容易产生误报。,二、入侵检测系统,由于入侵检测系统较好地弥补了防火墙在防范内部攻击方面的不足，因而防火墙+入侵 检测系统成为近年来常见的防御组合模式。然而，入侵检测系统同样存在着以下几点不足： 1）入侵检测系统存在大量误报、漏报，虚警率高。 2）入侵检测系统对 IPSEC、VPN 等加密流难以有效监控，不适应高速网络需求。 3）入侵检测系统通常需要人工干

36、预，缺乏准确定位和处理机制。,三、入侵容忍系统,入侵容忍是指系统在遭受一定入侵或攻击的情况下仍然能够提供所希望的服务。 入侵容忍技术的容错和容侵能力使得构建安全、可生存的入侵检测系统成为可能。入侵 容忍是在入侵已经存在或者发生的情况下，保证系统关键功能的安全性和健壮性，从而提供必要的系统服务。 入侵容忍系统并非一味地容忍，而是根据自身收益选择容忍或响应，是信息系统安全的最后一道防线。,三、入侵容忍系统,入侵容忍系统所使用的容忍技术措施主要有冗余技术、多样性技术和门限方案技术等。 （1）冗余技术：冗余是硬件/软件错误容忍和分布式系统中的技术，原理：当一个组件失败时，其他冗余组件可以执行失败组件的

37、功能直到该组件被修复。,三、入侵容忍系统,（2）多样性技术：通过异构、多样等手段确保所有具有相同功能的复制组件不能具有同一漏洞，以提高系统容忍入侵的能力。 （3）门限方案技术：为攻击者设置一个门槛，当受到的攻击低于门槛时，系统可以容忍恶意攻击行为而保持系统的可用性。,四、蜜罐技术,蜜罐又称诱骗技术或网络陷阱，它通过模拟一个或多个易受攻击的目标系统，给黑客提 供一个包含漏洞并容易被攻破的系统作为他们的攻击目标，从而以虚假目标，吸引敌手攻击， 并记录入侵过程，学习和了解黑客攻击的目的、手段和造成的后果。,四、蜜罐技术,分类： 根据蜜罐和黑客的交互层次的高低，蜜罐技术可以分为低交互蜜罐、中交互蜜罐和

38、高交互蜜罐。 （1）低交互蜜罐：交互层次较低，只是模拟一些端口来提供某种虚假服务，如 FTP 服 务、SMTP 服务等。通常是一种虚拟蜜罐，攻击者并未与真实的操作系统进行交互，大大减少了系统风险，但收集的信息也是有限的。,四、蜜罐技术,（2）中交互蜜罐：交互程度加深，模拟了操作系统更多的服务，使蜜罐看起来更加真 实、对攻击者来说更像是一个真实的系统，蜜罐和攻击者之间提供了更多的交互信息。 （3）高交互蜜罐：就是一个真实的系统，交互程度最高，也是最为复杂的系统。把真 实系统作为诱骗目标暴露给攻击者，所以能够收集攻击者全部的信息。,四、蜜罐技术,根据产品的应用目的不同，蜜罐技术可分为研究型蜜罐和产

39、品型蜜罐。 （1）研究型蜜罐：主要是网络安全研究机构或人员为了学习攻击者的目的、手段等信 息设计的，用来监视和学习攻击者的行为，从而保护系统的安全性。 （2）产品型蜜罐：一般应用于企业等商业组织中，可以检测商业组织网络中存在的威 胁，只有检测到可疑行为才会做出诱骗并对攻击者做出针对性的响应，降低企业网络的安全风险。,四、蜜罐技术,蜜罐技术是一种主动网络防御技术，具有误报率、漏报率低的突出优点。然而，传统蜜罐是一种静态、固定不动的陷阱网络，当入侵者未闯入蜜罐系统或者入侵者意识到蜜罐系统 存在的时候，它将无法发挥作用。 近年来，研究人员提出了各种蜜罐技术的改进，如动态蜜罐、阵列蜜罐、拟态蜜罐等， 一定程度上解决了传统蜜罐技术的不足，使网络攻防构成了深度的诱骗博弈。,例题,【单选题】下列关于防火墙的说法，正确的是（ ） A.防火墙是软件，不是硬件 B.防火墙是硬件，不是软件 C.防火墙可以是软件，也可以是硬件 D.防火墙既不是软件，也不是硬件 【答案】C【解析】考查防火墙基本知识。,本章小结,本章重难点回顾 ：1.信息系统安全的概念、基本要素； 2.信息系统安全评价准则与等级保护；3.计算机病毒的基本特征； 4.蠕虫与计算机病毒的区别；5.黑客攻击的基本步骤与攻击手段；6.常用系统防御手段的概念、功能及局限性。,