容侵与容灾2.ppt

主要内容 一、容侵的相关理论 二、容侵系统 三、容灾 一、容侵的相关理论 以防御入侵为主的信息保护阶段 以入侵检测技术为特色的信息保障阶段 以容忍入侵为核心的信息可生存阶段 信息安全技术经历的三个发展阶段： 容侵的概念： 即容忍入侵技术，就是指系统在入侵已发生 的情况下，能保证关键功能继续执行，关键 系统能够持续的提供服务。从入侵的定义可 以看出，生存技术最重要的是容忍入侵或容 忍攻击。解决了容忍入侵，也就解决了系统 的生存问题。 系统故障模型：在面临攻击的情况下，一个系统或系统组件被成功入侵的原因主要有两个： （1）安全漏洞（2）攻击者的攻击 为了实现容忍入侵，防止系统失效，可以对事件链的各个环节进行阻断，该过程可以采用多种安全技术包括： 防止攻击 防止漏洞 排除漏洞 防止入侵 容忍入侵：作为组织系统失效发生后的最后一道防线，容忍入侵意味着能检测到入侵引起的系统错误，并采用响应机制进行错误处理 容侵目标和实现机制 一个容忍入侵系统应该达到以下目标： 能够阻止和预防攻击的发生 能够检测攻击和评估攻击造成的破坏 在遭受攻击后，能够维护和恢复关键数据、关键服务甚至是完全服务。 容侵系统目标的实现，需要一定的安全机制来保证，这些安全机制包括： 安全通信机制 入侵检测机制 入侵遏制机制 错误处理机制 容侵技术的特点 （1）要求尽可能消除系统中单点失效，也就是说，任何单点发生故障不影响整个系统的运转。容忍入侵系统不相信任何单一的系统，因为它们可能会被对手占领。 （2）抵制内部犯罪，攻击时无法完全禁止的，内部犯罪则更加难以根除。容忍入侵通过对权力分散及对技术上单点失效的预防，保证任何少数设备、任何局部网络、任何单一场点都不可能做出泄密或者破坏系统的事情 容侵的安全策略 故障避免和容错 机密性操作 可重配操作 可恢复操作 防失败 容忍入侵系统的研究现状 ITDB项目 SITAR项目 DIT项目 ITUA项目 ITTC项目 COCA项目 MAFTIA计划 二、容侵系统 容忍入侵系统的分类 一类是针对数据进行保护，技术上采用基于门限密码技术的容忍入侵方法。这类容忍入侵方法主要强调保护系统数据的机密性，系统受到恶意攻击后，只要受攻击的主机数目不超过系统预先定义的某个门限值，就可以保持数据的机密性，主要应用对象是银行或者军事系统的数据库，大型的CA中心等。 另一类是针对服务进行保护，技术上采用基于各种容错技术的容忍入侵方法，典型的有SITAR项目、DIT项目和ITUA项目。这种容忍入侵方法主要采用一些容错计算技术来实现系统或者应用的容忍入侵，特别强调系统在受到恶意攻击下的可生存能力，符合信息可生存性的要求。这也是目前容忍入侵系统的主流发展方向。 容忍入侵技术 (1)冗余。冗余是容忍的最基本、最重要的技 术，可以说没有冗余就没有融忍，其原理是：当一个冗余组件失败的时候，其他的冗余组件可以执行该失败组件的功能直到该组件被修复。需要注意的是，冗余不同于复制，复制只是冗余的一种类型，也就是我们所说的物理资源冗余。 容忍入侵技术 (2)多样性。多样性实质上是组件的一个属性，即冗余组件必须在一个或者多个方面有所不同。用不同的设计和实现方法来提供功能相同的计算行为，防止攻击者找到冗余组件中共同的脆弱点。多样性分为硬件多样性、操作系统的多样性以及软件实现的多样性。 容忍入侵技术 (3)代理。代理服务器通常是透明的，一般是系统的最外层的防御，代理常被作为客户交互的人口。由于代理是客户的终点，所以它很可能是攻击的目标。但是，目前的系统设计都没有对代理给予充分的安全重视。 容忍入侵技术 (4)群组通信系统。在有些容忍入侵系统中，如ITUA、ITDOS及MAFTIA系统中，群组通信系统是容忍入侵系统中的一个非常关键的构件。群组通信系统框架一般由以下三个基本的群组管理协议组成：群组成员协议、可靠的多播协议和全序协议。 容忍入侵技术 （5）封装。封装是服务器最常用的方法，一个单独的代理的封装就形成防御线。封装不同于代理的方面是咋封装模块内部存放着服务器的一些内容。封装是一个普遍使用的方法，许多容忍入侵系统都使用了这一技术，如SI-TAR和Willow SITAR封装可以容许COTS服务器使用SlTAR的内部语言。Willow封装则增强了服务器的性能。 容忍入侵技术 (6)沙盒。沙盒是用来分隔用户、服务器和其他不被信任组件的工具。其基本的思想是用沙盒运行不被信任的组件，所有的与其他系统和子系统之问的交互都被限制在一定的范围内。 容忍入侵技术 (7)门限方案。门限方案实质上是一种秘密共享机制，有助