.
A.4 安全审计和监控
A.4.1 技术简介
1)安全审计
安全审计功能
&记录、跟踪系统运行状况&检测安全事件
&对潜在的攻击者起到震慑或警告作用安全审计的分类
系统级、应用级和用户级审计
系统级审计要求至少能够记录登陆结果成功或失败)、修改配置文件的请求等;
应用级审计跟踪监控和记录诸如打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。
用户审计跟踪通常记录用户直接启动的所有命令、所有的标识和鉴别尝试和所访问的文件和资源。
(成功和失败)、登录标识、登录尝试的日期和时
间,退出的日期和时间,所使用的设备、登录后运行的内容(如用户启动应用的尝试,无论
2)安全监控
概念P276
A.4.2 典型产品
安全审计的典型产品是网络安全审计系统(安全监控的典型产品是入侵检测系统(
1),
3)。
2)和入侵防护系统(
1)网络安全审计系统
网络安全审计系统提供了一个统一的集中管理平台。对网络中的网络设备、服务器主机、
数据库、Web服务器等通用应用服务系统以及各种特定业务系统在运行过程中产生的日志、消息、状态等信息进行实时采集,在实时分析的基础上,检测各种软硬件系统的运行状态,发现各种异常事件并发出实时告警,
并通过可视化的界面和报表向管理人员提供准确、
3部分
详尽
的统计分析数据和异常分析报告,协助管理人员及时发现安全隐患,采取有效措施。
包括网络探测引擎、数据管理中心、审计中心
.....
.
2)入侵检测系统(IDS)
通常由数据采集部分、数据分析部分、控制台部分以及日志部分几个部件往往放在不同的主机上。
几个部分构成,并且这
数据采集部分从整个信息系统中获得事件,并向系统的其他部分提供此事件。数据分析部分分析得到的数据,并产生分析结果。控制台部分则是对分析结果做出反应的功能单元,等强烈反应,也可以只是简单的报警。
日志部分是存放各种中间和最终数据的地方的统称,简单的文本文件。数据采集
&1 系统和网络日志文件&2 目录和文件中的不期望的改变&3 程序执行中的不期望行为&4 物理形式的入侵信息数据分析
目前有3种技术手段来进行分析(各有什么优缺点)&模式匹配&统计分析&完整性分析模式匹配:
将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为统计分析:
统计分析的方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)值将被用来与网络、系统的行为进行比较,发生。完整性分析:
完整性分析主要关注某个文件或对象是否被更改,它在发生被更改的,被特洛伊化的应用程序方面特别有效。控制
响应方式有:记录日志、发出报警声、发送电子邮件通知管理员根据数据采集源的不同,主机型入侵检测系统(网络型入侵检测系统(
IDS可分为主机型和网络型HIDS)何时选择、优缺点NIDS)概念、部署的地方、优缺点
2种
这经常包括文件盒目录的内容及属性,
。测量属性的平均
就认为有入侵
任何观察值在正常值范围之外时,
实时的入侵检测事后分析
P280-281
它可以是复杂的数据库,
也可以是
它可以做出切断连接、
改变文件属性
.....
.
3)入侵防御系统(IPS)
基于主机的入侵防御系统(基于网络的入侵防御系统(什么情况下选择
HIPS)NIPS)
IDS,还是IPS
IPS比较适合于阻止大范围的、针对性不是很强的攻击,但对自动预防系统也无法阻止专门的恶意攻击者的操作。
更担心误操作引发灾难性后果。
在金融
这类系统中适合
需要实地考察应用环境。单独目标的攻击阻截可能失效,选择IDS。
应用系统中,用户除了关心遭恶意入侵外,
目前IPS还不具备足够智能识别所有对数据库应用的攻击,一般能做的也就是检测缓冲区溢出,另外IPS跟防火墙配置息息相关,
如果没有安装防火墙,
则没必要安装这类在线工
具。如果用户熟知网段中的协议运用并易于统计分析,则可采用这类技术。
A.5 恶意代码防范
A.5.1 技术简介
蠕虫、逻辑炸弹、特洛伊木马等
A.5.2 典型产品
1)防病毒软件2)防病毒网关
A.6 备份与恢复
A.6.1 技术简介
1)数据备份
完全备份、差异备份记)
(不清除标记,即:备份后不标记为已备份文件)、增量备份(清除标
.....
.
2)系统备份
本地和远程2种方式:
本地备份主要使用容错技术和冗余配置来应对硬件故障;远程备份主要应对灾难事件,有热站和冷站的选择
3)备份与恢复等级
1:本地备份、本地保存的冷备份2:本地备份、异地保存的冷备份
数据备份后送往异地保存,在本地要做好重要网络设备、通信线路和服务器的硬件冗余3:本地热备份站点备份4:异地活动互援备份
主从系统不再固定,而是互为对方的备份系统,且备份中心也放在了异地。根据实际要求与资金投入,还可以选择
&2个系统之间只限于关键应用和数据的相互备份&2个系统之间互为镜像,即
0数据丢失等
A.6.2 典型产品
1)双机备份
2)单机容错(可以实现更多的可用性)
A.7 Web安全防护
A.7.1 技术简介
常见的针对Web攻击的手段有
SQL注入
利用现有应用程序,将恶意SQL命令注入到后台数据库引擎执行的能力
跨站脚本攻击(XSS)
它允许恶意Web用户将代码植入到提供给其他用户使用的页面中。
.....
.
网页挂马
网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马,再上到空间里面,再加代码使得木马在打开网页时运行,网页挂马的方法多种多样。
A.7.2 典型产品
1)Web安全检查服务
远程网页木马检查、远程网页漏洞检查
2)基于Web服务器的入侵防御系统(WIPS)
基于攻击特征检测方法
以SNORT为代表的这种检测方法,类似于传统的的关键字,构建攻击特征库,依据特征库进行比对检测。
缺点:漏报率很高,如果设置了过于严格的特征,至产生误报。基于异常攻击检测方法
此方法的核心思想是通过学习期的训练,
为Web应用程序自动建立各参数的正常使用模
型(URL/COOKIE)。在此后的检测过程中依据此模型来判断实际网络中的各种行为是否异常。
优势:能够不受限制地发现各种异常行为,但异常并不意味着攻击,其误报率较高,实时性不够。VXID
VXID技术(包括针对
SQL注入攻击的VSID技术,以及针对
XSS攻击的VXSSD等技术在
也避免了由
内的Web应用攻击防护技术统称)
优势:这种基于原理的检测方式避免了对固化特征的匹配造成的高漏报率,于检测规则过于严苛造成的误报。
又可能限制客户的
web业务体验,甚
IDS,通过抽取SQL注入、XSS攻击中
A.8 终端安全
A.8.1 技术简介
内网安全问题,实质上并不是因为威胁高深莫测,
而是在于内网安全管理有章可循,
如
果内网安全管理制度能够科学有效执行下去,内网安全问题将得到根本解决。
.....