访问控制与审计监控2011052401.ppt

访问控制与审计监控 主讲：樊山 谢谢，请提问题！ * * * * * * * * * * * * * * * * * * * * 审计系统的分类（续） 分段式处理模型的基本思想是先收集某个网段一定时间内的数据，然后进行离线式分析。此模型分为实时处理和离线处理两部分。包捕获以前的部分设计为实时处理部分，协议分析还原部分设计为离线处理部分。与流水线模型相比，分段式处理模型的瓶颈在于其包捕获处理能力。分段式处理模型仅能对部分时间段内的高速流量进行处理。 * 网络不良信息内容监控方法 网址过滤技术，即通过封锁网址来达到控制访问的目的，这种方法实现简单，在明确判定网站性质时有较好的控制效果。但这种方法需要定期有哪些信誉好的足球投注网站更新不良信息网站地址，具有滞后性，不能适应动态变化； 网页内容过滤技术，通过在网页文字中有哪些信誉好的足球投注网站设定的关键字来判断是否有不良信息。由于文本内容审计的局限性，当网络中不包含敏感文字时，会造成不良站点被漏过以及合法站点被屏蔽等。 * 网络不良信息内容监控方法（续） 图像内容过滤方式，即利用图像识别技术来判断网页中是否含有不良图像。由于不良网站中通常存在大量不良图片，这种技术已经成为研究热点。 网址过滤技术和基于文本的过滤技术自身具有一定的局限性，对不良信息识别方面准确率不够高。在网络不良信息的传播中，不良图像、视频较之文本信息，其危害性更为严重。所以，对网络中的不良图片及视频等进行分析具有更现实的意义。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * DIAMETER协议的特点 提供向后的兼容性； 解决RADIUS的不足； 双向 最多可支持232个vendor-specific attributes属性； 无限个并发请求； 通过Acknowledgement和Keepalive机制提高弹性； 提供加密保证消息的机密性和完整性； 非集中访问控制 域：一个信任范围，或者是共享共同安全策略的主体和客体的集合 每个域的访问控制与其它域保持独立 跨域访问必须建立信任关系，用户可以从一个域访问另一个域中的资源 信任可以是单向的，也可以是双向的 * 审计和监控技术 知识子域：信息安全审计 了解安全审计的基本概念 理解安全审计的作用和目标 了解审计系统的组成结构 知识子域：安全监控 了解常用安全监控技术 掌握内容审计系统模型以及网络不良信息内容监控方法 * 安全审计 安全审计的基本概念 安全审计的作用 安全审计的目标 审计系统的组成结构 * 安全审计的概念 日志 日志就是记录的事件或统计数据，这些事件或统计数据能提供关于系统使用及性能方面的信息。 审计 审计就是对日志记录的分析，并以清晰的、能理解的方式表述系统信息。 审计使得系统分析员可以评审资源的使用模式，以便评价保护机制的有效性。 * 安全审计的作用 记录系统被访问的过程以及系统保护机制的运行状态； 发现试图绕过保护机制的行为； 及时发现用户身份的变化； 报告并阻碍绕过保护机制的行为并纪录相关过程，为灾难恢复提供信息。 * 安全审计的目标 必须提供足够的信息使得安全人员能够将问题限制于局部，而信息量不足以以此为基础进行攻击； 优化审计记录的内容，审计分析机制应可以对一些特定资源辨认正常的行为。 * 审计系统的组成结构 审计系统包含三个部分：日志记录器、分析器、通告器，分别用于收集数据、分析数据及通报结果。 日志记录器：日志机制可以把信息记录成二进制形式或可读的形式。系统会提供一个日志浏览工具。用户能使用工具检查原始数据或用文本处理工具来编辑数据。 分析器：分析器以日志作为输入，然后分析日志数据。分析的结果可能会改变正在记录的数据，也可能只是检测一些事件或问题。 * 审计系统的组成结构（续） 通告器：分析器把分析结果传送到通告器。通告器把审计结果通知系统管理员和其他实体。这些实体可能执行一些操作来响应通告结果。 * 安全监控的常用技术 恶意行为监控 蜜网 网站挂马监测 网站被黑监测 P2P监测 内容监控 网络舆情分析 * 蜜网技术 蜜网的概念 蜜网的功能 蜜网的核心需求 * 蜜网的概念 “蜜网项目组”（ The Honeynet Project ）的创始人Lance Spitzner给出了蜜网的权威定义。 蜜网是一种安全资源，其价值在于被扫描、攻击和攻陷。 蜜网的核心价值 在于对攻击活动进行监视、检测和分析。 * 蜜网的功能 吸引入侵者来嗅探、攻击，同时不被觉察地将入侵者的活动记录下来，进而评估黑客攻击的目的、使用的工具、运用的手段、造成的后果 可以吸引或转移攻击者的注意力，延缓他们对真正目标的攻击 也可以进行攻击检测和报警 * 蜜网的核心需求 蜜网有着三大核心需求：即数据控制、数据捕获和数据分析。 通过数