《信息安全产品分类》
共有二十几个产品大类
》》美国标准分类
鉴别、访问控制、入侵检测、防火墙、公钥基础设施、恶意程序代码防护、漏洞扫描、取证、介质清理或擦除
》》中国公安部分类
操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别
(并未对应技术措施)
》》中国军用标准分类
物理安全产品、平台安全产品、网络安全产品、数据安全产品、用户安全产品、管理安全产品
》》信息安全产品分类(按用途和位置分)
安全网关类:防火墙、UTM、网闸等
评估工具类:(针对网络层漏洞,可以针对某些工具的有力武器)漏洞扫描系统、网络分析系统。
威胁管理类:入侵检测系统(IDS),入侵防御系统IPS,WAB应用防火墙WAF,网络防毒墙、杀毒软件,(特点)统一管控。
应用监管类:(特点)监控管理、(审计)可以还原取证,溯源、DB(数据库)防火墙(目前比较欠缺,易误判)、MAIL(垃圾邮件)防火墙(注意隐私问题)、(SOC)类似最早的大数据分析平台、IT(监控存活状态等)。
安全保密类:三合一(保密单位必须),身份认证(方式:数字证书类等、动态:随时间变化)
《防火墙》
(Firewall)是一个由软件和硬件设备组合而成(纯软件或软硬件组合),在内部网和外部网之间、专用网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。(网络层)
(与网闸工作层面不一样)
(下一代防火墙):高性能,不止针对网络层(3)还提供应用层(7)的防护。
主要用于边界安全的防护实际上一种隔离技术。功能有限,易被穿透。对外不对内。还可以隔离内网中各个专用网,有效控制病毒传播。
透明模式
单臂模式
路由模式:代替路由器进行工作
原理:对网络数据包进行拆包,看IP是否在白名单中,决定是否通行。
NAT:把内网IP地址映射到外网(为什么??)
VPN:IPSec(所有资源可访问),SSL(WEB)
负载均衡
重在策略:协议行为策略,
状态:启用或禁用。阻止方式:允许或拒绝
若要某两个安全域不通信,通过策略配置实现。
还有攻击防护功能。
ARP防护:ARP和MAC绑定
会话限制、URL过滤、拒绝含某些关键字的网站、拒绝外发信息、查看外发信息等
还可以查看日志……
《入侵检测系统》
是一种对网络传输进行即时监控,发现可疑传输时发出警报或采取主动反应措施的网络安全设备。是一种积极主动的安全防护技术。主动拆包抓包,但没有阻断能力。
慢慢发展成硬件。没有界面,BS+CS:控制台进行策略下发。硬件负责处理包,策略等在控制台实现。
入侵检测系统:事件产生器(Eg),目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件;
抓包,把爆提供给其他的模块。
事件分析器(),它经过分析得到数据,并产生分析结果。
进行拆包和匹配。
响应单元:它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
对主机的入侵检测可以切断,一般来说对网络类的安全产品只能是简单的报警,(等级制报警)
事件数据库:它是存放各种中间的最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
源ip,目的ip,触发频率等
》》IDS异常检测方法
1、基于贝叶斯推理检测法:在任何给定时刻,测量变量值,推理判断系统是否发生入侵事件;曾用于判断是否为垃圾邮件
2、基于特征选择检测法:指从一组度量中挑选出能检测入侵的度量,用它来对入侵行为进行预测或分类。
基于某种特征
3、基于贝叶斯网络检测法:用图形方式表示随机变量之间的关系。通过指定的与邻接节点相关一个小的概率集来计算随机变量的联接概率分布。按给定全部节点组合,所有根节点的先验概率和非根节点概率构成这个集。贝叶斯网络是一个有向图,弧表示父、子结点之间的依赖关系。当随机变量的值变为已知时,就允许将它吸收为证据,为其他的剩余随机变量条件值判断提供计算框架。
图工具
4、基于模式预测的检测法:事件序列不是随机发生的而是遵循某种可辨别的模式是基于模式预测的异常检测法的假设条件,其特点是事件序列及相互联系被考虑到了,只关心少数相关安全事件是该检测法的最大优点。
木马的包头?模式的包头?
5、基于统计的异常检测法:是根据用户对象的活动为每个用户都建立一个特征轮廓表,通过对当前特征与以前已经建立的特征进行比较,来判断当前行为的异常性。用户特征轮廓表要根据审计记录情况不断更新,其保护去多衡量指标,这些指标值要根据经验值或一段时间内的统计而得到。
6、基于机器学习检测法:是根据离散数据临时序列学习获得网络、系统和个体的行为特征,并提出了一个实例学习法IBL,IBL是基于相似度,该方法通过新的序列相似度计算将原始数据(如离散事件流和无序的记录)转化成可度量的空间。然后,应用IBL学习技术和一种新的基于序列的分类方法,发现异常类型事件,从而检测入侵行为。其中,成员分类的概率由阈值的选取来决定。
基于学习的。
7、数据挖掘检测法:数据挖掘的目的是要从海量的数据中提取出有用的数据信息。网络中会有大量的审计记录存在,审计记录大多都是以文件形式存放的。如果靠手工方法来发现记录中的异常现象是远远不够的,所以将数据挖掘技术应用于入侵检测中,可以从审计数据中提取有用的知识,然后用这些知识区检测异常入侵和已知的入侵。采用的方法有KDD算法,其优点是善于处理大量数据的能力与数据关联分析的能力,但是实时性较差。
(类似与网络审计的设备)
8、基于应用模式的异常检测法:该方法是根据服务请求类型、服务请求长度、服务请求包大小分布计算网络服务的异常值。通过实时计算的异常值和所训练的阈值比较,从而发现异常行为。
9、基于文本分类的异常检测法:该方法是将系统产生的进程调用集合转换为“文档”。利用K邻聚类文本分类算法,计算文档的相似性。
类似轮廓对比
误用入侵检测系统中的常用方法:
1、模式匹配法:是常常被用于入侵检测技术中。它是通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较,从而对违背安全策略的行为进行发现。模式匹配法可以显著地减少系统负担,有较高的检测率和准确率。
2、专家系统法:这个方法的思想是把安全专家的知识表示成规则知识库,再用推理算法检测入侵。主要是针对有特征的入侵行为。
3、基于状态转移分析的检测法:该方法的基本思想是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定的关联的过程。在网络中发生入侵时及时阻断入侵行为,防止可能还会进一步发生的类似攻击行为。在状态转移分析方法中,一个渗透过程可以看作是由攻击者做出的一系列的行为而导致系统从某个初始状态变为最终某个被危害的状态。
》》入侵检测系统部署
旁路模式部署
探测器(硬件,linux系统)
控制台(软件)
显示中心(本机的一个模块)
控制中心(本机)
IDS引擎(抓包模块,上级类型为控制中心):分析和把内容传递给控制中心,并最终在显示中心显示出来
防火墙:
UTM:统一威胁管理(Unified Threat Management)包含防火墙,也有VPN,IDS,IPS,上网行为管理,防垃圾邮件等功能,但功能开启过多,会导致性能很差,防护能力下降。
NIST SP800系列标准
中国公安部分类
中国军用标准
信息安全产品分类
IT运维管理平台功能
服务台
事件管理
变更管理
问题管理
发布管理
配置管理
流程管理
知识库
IT运维管理平台部署
IT运维管理平台部署在服务器区内,需要安装服务端、控制台、采集引擎,服务器上需要安装插件,网络设备、安全设备和其他设备上需要配置SNMP协议用于接受状态信息等。
IT运维管理平台也同时支持多级关联部署。
信息安全应急响应
应急响应通常是指一个组织为了应对各种意外时间的发生s
抗DDOS防火墙
分布式拒绝服务攻击
负载均衡分为链路负载、应用负载
主要目的:实现资源的有效利用,分担共同压力,避免资源分布不均
第一章
美国标准分类NIST-SP800-36
中国公安部分类:
操作系统,数据库,网络安全,病毒防护,访问控制,加密,鉴别
防火墙将内部网和公众访问网分开
防火墙:
单向,只管进不管出。
内部网和外部网之间、专用网与公共网之间
部署于内、外网边界和各个区域之间,用于权限访问控制和安全域划分
网闸
链路层
不存在依据协议的信息包转发,只有数据文件的无协议"摆渡"
物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接
安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证
数据交换速度慢
抗ddos防火墙
部署于外网边界前端,或将数据引流至过滤引擎,最终回流
负载均衡
分为链路负载和应用负载
负载均衡有三种部署方式:路由模式、桥接模式、服务直接返回模式。
路由模式部署灵活,约60%的用户采用这种方式部署;
桥接模式不改变现有的网络架构;
服务直接返回(DSR)比较适合吞吐量大特别是内容分发的网络应用。
约30%的用户采用这种模式。
vpn
VPN有多种分类方式,主要是按协议进行分类。
VPN的隧道协议主要有三种:PPTP、L2TP和IPSec。
常用VPN类型有SSL VPN(以HTTPS为基础的VPN技术)和IPSec VPN(基于IPSec协
议的VPN技术,由IPSec协议提供隧道安全保障)。
部署在网络、应用、服务器前端。
部署模式有单臂模式、路由模式、透明模式。
小旋风一键搭建网站
ctrl_+u 清空到行首
+ k 清空到行尾
+L 清屏
IDS
网络层,积极主动的安全防护技术。软硬件。
入侵检测系统部署模式为旁路模式部署,在核心交换设备上开放镜像端口,分析镜像
流量中的数据,判别攻击行为。
IPS
位于防火墙和网络的设备之间,依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的
真正用途,然后决定是否允许其进入内网。
能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔
离一些不正常或是具有伤害性的网络资料传输行为。
防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。IPS是对防火墙的补充。
在ISO/OSI网络层次模型(见OSI模型) 中,防火墙主要在第二到第四层起作用,它的作用
在第四到第七层一般很微弱。而防病毒软件主要在第五到第七层起作用。
为了弥补防火墙和防病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经
有入侵检测系统(IDS: Intrusion Detection System)投入使用。入侵检测系统在发现异常情况
后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊
补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。
随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵检测系统
的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者
的进一步发展,汲取了二者的长处
入侵检测系统部署在服务器区域前端
部署模式通常为网桥模式、透明模式,也有部署为路由模式
waf
工作在应用层
Web应用防火墙部署在服务器区域前端,专门针对web应用进行防护
运维审计系统(堡垒机)
主要用于服务器、网络设备、安全设备的权限分离和安全管控
堡垒机部署的前提是必须切断用户直接访问资源的路径,否则部署将没有意义,一般
部署在所有用户都能访问资源的核心网络端口下。
审计系统
一般部署在核心交换机的镜像端口下,用于整体流量分析和日志审计分析。
不改变原有网络结构,不会对网络产生任何影响
数据库防火墙
一般串行部署在数据库服务器前端
风险评估内容:资产评估、威胁评估、脆弱性评估、风险综合分析、风险处置计划。
评估范围:网络结构、网络设备、主机系统、应用系统、安全管理、物理环境。
评估过程:风险评估范围的界定-》资产的识别-》威胁的识别-》脆弱性的识别-》已有安全措施的确认-》风险的分析-》风险评价-》风险处理计划-》残余风险评估
风险评估方法:漏洞扫描、人工检查、渗透测试、问卷调查、安全访谈、审计数据分析、入侵检测
防火墙Firewall
网路层的防护设备,由软件和硬件设备组合而成,在内网和外网之间、专用网和公共网之间的界面上构造的保护屏障
下一代防火墙,即Next Generation Firewall,简称NG Firewalls,是一款可以全面应对应用层威胁的高性能防火墙,提供网络层应用层一体化安全防护。带宽很高
防火墙主要用于边界安全防护的权限控制和安全域的划分,是指一种将内部网和公众防问网分开的方法,他实际上是一种隔离技术。
最小授权原则调整,不仅要设置IP,还要调整防火墙里面的策略
防火墙的三个部署模式:
透明模式有一进一出
单臂模式(网关模式)所有数据经过他才能访问
路由模式:外网和内网之间,动态拨号,静态IP配置,安全域划分都可以
VPN有三种,分别是IPSec VPN(所有资源都能访问到,但是需要下载一个客户端远程访问),SSLVPN(只能访问WEB的资源,)
L2TP VPN三种,常用的是前两种
统一威胁管理(UTM)
包括防病毒、入侵检测和防火墙安全设备划归统一威胁管理,具有防火墙、IPS、防病毒、防垃圾邮件等综合功能
UTM部署于网络边界,除具有防火墙的功能外还能够起IDS、IPS、VPN、流量控制、身份认证和应用层防护
一般用路由模式和透明模式,有了VPN,就不用防火墙了,一般会布置在内网和外网的边界处,不用于安全域的划分
IPS就是防攻击入侵的
IDS就是检测的
VPN就是专用的VPN设备比较好
ssh是远程登录,console是串口直连web是通过浏览器
协同是一个厂家的UTM和防火墙或其他产品之间的协同防护
pppoe拨号
网闸(GAP)
链路层 两个主板
主要是内外网隔离
负载均衡分为链路负载和应用负载
有三种部署模式:路由模式、桥接模式、 服务直接返回模式
信息系统保护等级划分:
自主保护级:信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
指导保护级:
Web应用防火墙用以解决仿火墙一类传统设备束手无策的Web应用安全问题。
WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性和合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
