《信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)和方法》參考課件

5.2信息系統(tǒng)安全風(fēng)險(xiǎn)防范的技術(shù)和方法教材p119-p127信息系統(tǒng)的安全風(fēng)險(xiǎn)來(lái)自多方面,，包括人為的和非人為的、有意的和無(wú)意的等。隨著信息系統(tǒng)安全問(wèn)題的復(fù)雜度不斷提高，危害信息系統(tǒng)安全的手段、方法也不斷變化。人們?cè)絹?lái)越深刻地認(rèn)識(shí)到信息系統(tǒng)安全不能僅從技術(shù)人手，還得從系統(tǒng)的管理角度切人，才能尋找到一個(gè)較合理的解決策略。5.2.1信息系統(tǒng)安全風(fēng)險(xiǎn)的重要術(shù)語(yǔ)探究活動(dòng)討論閱讀學(xué)習(xí)資源包“第五章\課本素材\中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告.pdf”，與同學(xué)分享其中關(guān)于信息安全的技術(shù)方法。信息安全風(fēng)險(xiǎn)術(shù)語(yǔ)描述說(shuō)明威脅威脅是指經(jīng)常存在的、對(duì)信息或信息資入侵者通過(guò)防火墻上的某個(gè)端口訪問(wèn)網(wǎng)絡(luò)、產(chǎn)具有潛在危險(xiǎn)的人、實(shí)體或其他對(duì)象，侵害知識(shí)產(chǎn)權(quán)、某位雇員造成的可能泄露機(jī)密也稱(chēng)為威脅主體，即針對(duì)信息或系統(tǒng)的潛信息或破壞文件完整性的意外錯(cuò)誤、蓄意信息在危險(xiǎn)。入侵者通過(guò)防火墻上的某個(gè)端口訪問(wèn)網(wǎng)絡(luò)、侵害知識(shí)產(chǎn)權(quán)、某位雇員造咸的可能泄露機(jī)密信息或破壞文件完整性的意外錯(cuò)誤、蓄意信息敲詐、軟件攻擊、技術(shù)淘汰等。攻擊敲詐、軟件攻擊、技術(shù)淘汰等。攻擊是不斷地對(duì)資產(chǎn)進(jìn)行蓄意或無(wú)意破壞,或損害信息、或損壞信息系統(tǒng)的一種某人偶然讀取了敏感信息,但沒(méi)有使用該信行為。它分為主動(dòng)攻擊與被動(dòng)攻擊、蓄意息的意圖,為被動(dòng)攻擊。黑客試圖入侵信息系攻擊與無(wú)意攻擊、直接攻擊或間接攻擊等統(tǒng),則為主動(dòng)攻擊。類(lèi)型。某人偶然讀取了敏感信息,但沒(méi)有使用該信息的意圖,為被動(dòng)攻擊。黑客試圖人侵信息系統(tǒng),則為主動(dòng)攻擊。入侵人侵是敵手通過(guò)攻克系統(tǒng)的訪問(wèn)控制休護(hù),得到對(duì)第三方數(shù)據(jù)的非授權(quán)訪問(wèn)。人侵是主動(dòng)、有意圖地對(duì)合法系統(tǒng)進(jìn)行攻擊，獲取未授權(quán)軟硬件資源及數(shù)據(jù)的訪問(wèn)與控制。漏洞漏洞是一個(gè)天然的缺陷,優(yōu)如沒(méi)有上鎖的門(mén),它是信息系統(tǒng)自身存在的弱點(diǎn)或錯(cuò)誤,使信息暴露在被攻擊或被破壞的情況下。信息系統(tǒng)的不斷大型化,造成控制與管理的復(fù)雜程序不斷增加,漏洞也越來(lái)越多，如軟件包缺陷、未受保護(hù)的系統(tǒng)端口、暴露、風(fēng)險(xiǎn)、偽造等。脆弱性脆弱性是一種軟件、硬件、過(guò)程或人為缺陷,它的存在說(shuō)明了缺少應(yīng)該使用的安全措施或者安全措施有缺陷。如未安裝補(bǔ)丁的應(yīng)用程序或操作系統(tǒng)軟件，服務(wù)器和工作站上未實(shí)施密碼管理等。風(fēng)險(xiǎn)風(fēng)險(xiǎn)是威脅主體利用脆弱性的可能性以及相應(yīng)的業(yè)務(wù)影響。網(wǎng)絡(luò)沒(méi)有安裝入侵檢測(cè)系統(tǒng),在不引人注意的情況下被攻擊且很晚才被發(fā)現(xiàn)的可能性就會(huì)較大。信息系統(tǒng)安全風(fēng)險(xiǎn)的術(shù)語(yǔ)如下表所示。5.2.2信息系統(tǒng)安全模型及安全策略1．信息系統(tǒng)安全性、便利性與成本的關(guān)系信息系統(tǒng)不存在絕對(duì)的安全，因?yàn)榘踩院捅憷约俺杀局g有著矛盾的關(guān)系。提高了安全性，相應(yīng)地就會(huì)降低便利性;而提高了安全性,勢(shì)必增大成本;易用性越好，安全性可能就越低，如圖5-3所示。2.P2DR安全模型從信息系統(tǒng)安全的目標(biāo)來(lái)看,信息系統(tǒng)安全是一個(gè)綜合性的問(wèn)題,需要通過(guò)建模的思想來(lái)解決信息系統(tǒng)安全管理問(wèn)題,安全模型能精確和形象地描述信息系統(tǒng)的安全特征,描述和解釋安全相關(guān)行為。精確的安全模型能提高對(duì)關(guān)鍵安全需求的理解層次,從中開(kāi)發(fā)出一套安全性的評(píng)估準(zhǔn)則。信息系統(tǒng)安全模型的種類(lèi)很多,各有特點(diǎn)。下面我們介紹一種常用的安全模型—P2DR模型,如圖所示。該模型包括策略（Policy）、防護(hù)(Protection）、檢測(cè)(Detection）和響應(yīng)（Response）四個(gè)主要部分。分析查閱學(xué)習(xí)資源包“第五章\課本素材\家庭Wi-Fi與公共免費(fèi)Wi-Fi的使用安全策略.doc”，研究其中的密碼設(shè)置策略，運(yùn)用《數(shù)據(jù)與計(jì)算》模塊中程序設(shè)計(jì)的內(nèi)容分析密碼設(shè)置得越長(zhǎng)、數(shù)字與字母混合形成的密碼較安全的原理。（1）策略根據(jù)風(fēng)險(xiǎn)分析產(chǎn)生的安全策略描述了系統(tǒng)中哪些資源要得到保護(hù),以及如何實(shí)現(xiàn)對(duì)它們的保護(hù)等。策略是模型的核心,所有的防護(hù)、檢測(cè)和響應(yīng)都是依據(jù)安全策略實(shí)施的。網(wǎng)絡(luò)安全策略一般包括:訪問(wèn)控制策略、加密通信策略、身份認(rèn)證策略和備份恢復(fù)策略等。（2）防護(hù)

通過(guò)修復(fù)系統(tǒng)漏洞、正確設(shè)計(jì)開(kāi)發(fā)和安裝系統(tǒng)來(lái)預(yù)防安全事件的發(fā)生;通過(guò)定期檢查來(lái)發(fā)現(xiàn)可能存在的系統(tǒng)脆弱性;通過(guò)教育等手段,讓用戶和操作員正確使用系統(tǒng),防止意外威脅;通過(guò)訪問(wèn)控制、監(jiān)視等手段來(lái)防止惡意威脅。采用的防護(hù)技術(shù)通常包括數(shù)據(jù)加密、身份認(rèn)證、訪問(wèn)控制、授權(quán)和虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)、防火墻、安全掃描和數(shù)據(jù)備份等。（3）檢測(cè)

是動(dòng)態(tài)響應(yīng)和加強(qiáng)防護(hù)的依據(jù)，通過(guò)不斷地檢測(cè)和監(jiān)控網(wǎng)絡(luò)系統(tǒng),來(lái)發(fā)現(xiàn)新的威脅和弱點(diǎn)，并通過(guò)循環(huán)反饋來(lái)及時(shí)做出有效的響應(yīng)。當(dāng)攻擊者穿透防護(hù)系統(tǒng)時(shí),檢測(cè)功能就發(fā)揮作用，與防護(hù)系統(tǒng)形成互補(bǔ)。采用的技術(shù)一般有實(shí)時(shí)監(jiān)控和IT審計(jì)。（4）響應(yīng)

在檢測(cè)到安全漏洞和安全事件時(shí),通過(guò)及時(shí)的響應(yīng)措施將網(wǎng)絡(luò)系統(tǒng)的安全性調(diào)整到風(fēng)險(xiǎn)最低的狀態(tài)。評(píng)估系統(tǒng)受到的危害與損失，恢復(fù)系統(tǒng)功能和數(shù)據(jù),啟動(dòng)備份系統(tǒng)等，主要方法包括:關(guān)閉服務(wù)、跟蹤、反擊、消除影響。3.信息系統(tǒng)安全策略分析對(duì)于以計(jì)算機(jī)及網(wǎng)絡(luò)為主體的信息系統(tǒng),其安全策略可從非技術(shù)和技術(shù)兩個(gè)方面來(lái)考慮。其中非技術(shù)策略方面主要包括預(yù)防意識(shí)、管理保障措施、應(yīng)急響應(yīng)機(jī)制等三個(gè)層面;技術(shù)策略分為物理和邏輯兩大方面，主要包括物理系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)等五個(gè)層面。本節(jié)只考慮技術(shù)策略方面，分析如表5-4所示。技術(shù)策略具體內(nèi)涵主要措施具體說(shuō)明物理方面物理系統(tǒng)層面環(huán)境維護(hù)包括讓硬件設(shè)備遠(yuǎn)離噪聲源、振動(dòng)源，遠(yuǎn)離火源和易被水淹沒(méi)的地方，盡量避開(kāi)強(qiáng)電磁場(chǎng)源:保持設(shè)備運(yùn)行所需的溫度;保持系統(tǒng)電源的穩(wěn)定及可靠性。防盜對(duì)于重要的計(jì)算機(jī)系統(tǒng)及外部設(shè)備，可安裝防盜報(bào)警裝置及制訂安全保護(hù)措施。防火經(jīng)常檢查重要部門(mén)各種電路的安全性，做好各種防火措施。防靜電配備良好的接地系統(tǒng)，避免靜電積儲(chǔ)。防雷擊根據(jù)被保護(hù)硬件設(shè)備的特點(diǎn)和雷電侵人的不同途徑，采用相應(yīng)的防護(hù)措施，分類(lèi)分組保護(hù)。防電磁泄露包括控制電磁發(fā)射；屏蔽隔離；對(duì)于相關(guān)干擾，可以采取各種措施使信息相關(guān)電磁發(fā)射泄露即使被收到也無(wú)法識(shí)別。技術(shù)策略具體內(nèi)涵主要措施具體說(shuō)明邏輯方面操作系統(tǒng)層面包括系統(tǒng)安全漏洞掃描、用戶訪問(wèn)機(jī)制、用戶身份認(rèn)證、系統(tǒng)審計(jì)、關(guān)閉不必要的服務(wù)、病毒防護(hù)機(jī)制等。訪問(wèn)控制訪問(wèn)控制是指未經(jīng)授權(quán)的非法用戶拒于系統(tǒng)之外，使之不能進(jìn)入系統(tǒng)。包括：通過(guò)用戶身份的識(shí)別和認(rèn)證、可以鑒別合法用戶和非法用戶，阻止非法用戶的訪問(wèn)；通過(guò)訪問(wèn)權(quán)限控制，即對(duì)用戶訪問(wèn)哪些資源、對(duì)資源的使用權(quán)限加以控制。數(shù)據(jù)庫(kù)系統(tǒng)層面包括數(shù)據(jù)庫(kù)安全漏洞掃描、用戶口令管理、用戶操作權(quán)限控制、數(shù)據(jù)庫(kù)審計(jì)等。應(yīng)用系統(tǒng)層面包括認(rèn)證授權(quán)機(jī)制、加密通信機(jī)制、數(shù)據(jù)備份機(jī)制、數(shù)據(jù)恢復(fù)機(jī)制、病毒防護(hù)機(jī)制、用戶操作審計(jì)等。信息加密信息加密是指通過(guò)密鑰技術(shù)，保護(hù)在通信網(wǎng)絡(luò)中傳送、交換和存儲(chǔ)的信息的機(jī)密性、完整性和真實(shí)性不被損害。常用的方法主要有數(shù)據(jù)加密和數(shù)字簽名。網(wǎng)絡(luò)系統(tǒng)層面包括網(wǎng)絡(luò)訊問(wèn)控制、網(wǎng)絡(luò)地址翻譯、網(wǎng)絡(luò)安全漏洞掃描、病毒防護(hù)機(jī)制、網(wǎng)絡(luò)入侵檢測(cè)及防護(hù)、網(wǎng)絡(luò)防火墻等。根據(jù)P2DR模型和表5-4信息系統(tǒng)安全策略分析，參考下圖，對(duì)校園網(wǎng)進(jìn)行安全策略分析。校園網(wǎng)安全策略體系非技術(shù)模塊技術(shù)模塊預(yù)防意識(shí)管理保障措施應(yīng)急響應(yīng)機(jī)制自然破壞保護(hù)機(jī)制質(zhì)量保護(hù)機(jī)制人為破壞防護(hù)機(jī)制責(zé)任分離機(jī)制物理系統(tǒng)操作系統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)系統(tǒng)自然破壞保護(hù)機(jī)制質(zhì)量保護(hù)機(jī)制人為破壞防護(hù)機(jī)制性能匹配認(rèn)證授權(quán)機(jī)制加密通信機(jī)制數(shù)據(jù)備份機(jī)制數(shù)據(jù)恢復(fù)機(jī)制病毒防護(hù)機(jī)制應(yīng)急響應(yīng)機(jī)制應(yīng)急響應(yīng)責(zé)任應(yīng)急響應(yīng)執(zhí)行應(yīng)急響應(yīng)效率網(wǎng)絡(luò)訊問(wèn)控制網(wǎng)絡(luò)地址翻譯網(wǎng)絡(luò)安全漏洞掃描網(wǎng)絡(luò)入侵檢測(cè)及防護(hù)網(wǎng)絡(luò)防火墻系統(tǒng)安全漏洞掃描用戶訪問(wèn)機(jī)制系統(tǒng)審計(jì)用戶身份認(rèn)證關(guān)閉不必要的服務(wù)病毒防護(hù)機(jī)制數(shù)據(jù)庫(kù)審計(jì)用戶操作權(quán)限控制用戶口令管理數(shù)據(jù)庫(kù)安全漏洞掃描5.2.3信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)因?yàn)椴煌男畔⒓夹g(shù)發(fā)展階段對(duì)信息系統(tǒng)安全的關(guān)注和需求有所不同，信息系統(tǒng)安全風(fēng)險(xiǎn)防范的常用技術(shù)方法總是伴隨著問(wèn)題的不斷變化而逐步完善的。當(dāng)通信安全問(wèn)題出現(xiàn)時(shí)，就有通過(guò)密碼技術(shù)對(duì)通信進(jìn)行加密的技術(shù)方法，以保證數(shù)據(jù)的保密性和完整性。計(jì)算機(jī)的安全威脅主要是來(lái)自非法訪問(wèn)、惡意代碼、脆弱口令等，主要防范措施是及時(shí)更新修復(fù)計(jì)算機(jī)漏洞以預(yù)防、檢測(cè)和減小計(jì)算機(jī)系統(tǒng)(軟硬件）用戶執(zhí)行未授權(quán)活動(dòng)所造成的后果。信息系統(tǒng)安全問(wèn)題，主要是確保信息在存儲(chǔ)、處理和傳輸過(guò)程中免受偶然或惡意的非法泄密、轉(zhuǎn)移或破壞。安全措施一般有:防火墻、防病毒、漏洞掃描、入侵檢測(cè)、公鑰基礎(chǔ)設(shè)施(PKI）、VPN等。對(duì)于網(wǎng)絡(luò)空間安全/信息安全保障問(wèn)題,需要關(guān)注的是其安全威脅來(lái)自黑客、恐怖分子、信息戰(zhàn)、自然災(zāi)難、電力中斷等。1.加密技術(shù)信息加密的目的是防止信息被竊取。加密的基本原理是:在發(fā)送端將數(shù)據(jù)變換成某種難以理解的形式，把信息隱臧起來(lái)，在接收端通過(guò)反變換恢復(fù)數(shù)據(jù)的原樣。信息加密與密碼分析是一對(duì)矛盾的兩個(gè)方面。加密是研究如何生成高保密性的有效算法,使受保護(hù)的數(shù)據(jù)處于安全狀態(tài)。密碼分析是研究高效算法破譯密碼以獲取機(jī)密信息。采用密碼技術(shù)的信息系統(tǒng)的安全性主要取決于對(duì)密鑰的保護(hù)。傳統(tǒng)加密方法的加密密鑰K與解密密鑰P是相同的。密鑰由通信雙方約定并秘密掌握，如果丟失了密鑰，加密的數(shù)據(jù)就很容易被破譯。數(shù)千年來(lái)，人類(lèi)一直希望實(shí)現(xiàn)絕對(duì)安全的通信，但傳統(tǒng)的方法沒(méi)有絕對(duì)的安全，至多只是在密鑰保密的前提下增加破譯密文的難度和延長(zhǎng)破譯的時(shí)間。然而，隨著科技的發(fā)展，量子世界帶來(lái)了震撼,科學(xué)家們制作出量子密鑰，這是目前人類(lèi)最安全的加密方式。量子密鑰采用單光子作為載體，任何干擾和復(fù)制都會(huì)讓密碼立即失效,中止涌信中所有竊聽(tīng)行為。我國(guó)的“墨子號(hào)”量子科學(xué)實(shí)驗(yàn)衛(wèi)星利用量子密鑰實(shí)現(xiàn)加密數(shù)據(jù)傳輸和視訊通信。體驗(yàn)

加密與解密是問(wèn)題的兩個(gè)方面。對(duì)于用戶有保密需求和隱私保護(hù)要求的文件，如設(shè)計(jì)方案、合同草案和練習(xí)試題，從安全的角度看我們通常做一些簡(jiǎn)單的壓縮加密。但有時(shí)桃因?yàn)槲募脹](méi)有讀取使用,忘記了密碼，此時(shí)就需要破解軟件，運(yùn)用一些加解密技術(shù)與策略在一定程序上破解之前設(shè)定的密碼。如圖5-6所示的軟件InteoreKARPasswordRecovery,可以對(duì)一些簡(jiǎn)單加密的壓縮文件進(jìn)行恢復(fù)。同學(xué)們可在學(xué)習(xí)資源包“第五章\課本素材”中找到該軟件并安裝，嘗試使用它對(duì)自己的文件進(jìn)行破解恢復(fù)。同學(xué)們也可以嘗試用Python來(lái)編程，實(shí)現(xiàn)用窮舉法分別暴力枚舉3位和6位的純數(shù)字密碼，研究對(duì)于不同長(zhǎng)度密碼窮舉算法的時(shí)間效率。2．認(rèn)證技術(shù)認(rèn)證有兩個(gè)目的:一是驗(yàn)證信息發(fā)送者的身份，以防止有可能冒充發(fā)關(guān)者身份信息的情況出現(xiàn);二是驗(yàn)證信息的完整性。在用戶身份認(rèn)證中,口令字(即密碼)是當(dāng)前最簡(jiǎn)易的方法。在用白接入和登錄到信息系統(tǒng)時(shí)，需要輸入用戶名和口令字，系統(tǒng)經(jīng)過(guò)對(duì)比確定該訪問(wèn)者是否為合法用戶，再?zèng)Q定是否讓其進(jìn)入系統(tǒng)。口令字的方法雖簡(jiǎn)單，但安全性不夠，在安全性要求較高的系統(tǒng)中，可以采用物理手段甚至生物手段來(lái)識(shí)別。3.主機(jī)系統(tǒng)安全技術(shù)主機(jī)系統(tǒng)安全技術(shù)是指用于保護(hù)計(jì)算機(jī)操作系統(tǒng)和運(yùn)行于其上的信息系統(tǒng)的技術(shù)，具體包括操作系統(tǒng)安全技術(shù)、數(shù)據(jù)庫(kù)安全技術(shù)和可信計(jì)算技術(shù)等。例如:操作系統(tǒng)安全技術(shù)需要解決用戶的賬戶控制、內(nèi)存與進(jìn)程保護(hù)等;而數(shù)據(jù)庫(kù)安全技術(shù)需要解決業(yè)務(wù)數(shù)據(jù)的完整性、安全檢索和敏感數(shù)據(jù)保護(hù)等問(wèn)題。（1）操作系統(tǒng)安全技術(shù)。

一般地，操作系統(tǒng)安全機(jī)制包括用戶賬號(hào)控制機(jī)制、強(qiáng)制完整性控制機(jī)制、用戶界面特權(quán)隔離機(jī)制、網(wǎng)絡(luò)訪問(wèn)保護(hù)機(jī)制等措施。用戶賬號(hào)控制機(jī)制的目的在于使用戶能夠使用標(biāo)準(zhǔn)用戶權(quán)限而不是管理員權(quán)限運(yùn)行系統(tǒng)，這樣用戶不會(huì)有意或無(wú)意地修改系統(tǒng)設(shè)置,破壞他人的敏感信息，即使受到惡意軟件攻擊,也不會(huì)導(dǎo)致系統(tǒng)安全設(shè)置被篡改，達(dá)到增強(qiáng)系統(tǒng)安全性的目的。（2）數(shù)據(jù)庫(kù)安全技術(shù)。

數(shù)據(jù)庫(kù)安全是涉及信息安全技術(shù)領(lǐng)域與數(shù)據(jù)庫(kù)技術(shù)領(lǐng)域的一個(gè)典型交叉學(xué)科,它的發(fā)展歷程與同時(shí)代的數(shù)據(jù)庫(kù)技術(shù)、信息安全技術(shù)的發(fā)展趨勢(shì)息息相關(guān)。關(guān)于數(shù)據(jù)庫(kù)安全技術(shù)中較有代表性的是安全數(shù)據(jù)庫(kù)管理系統(tǒng)、外包數(shù)據(jù)庫(kù)安全、云數(shù)據(jù)庫(kù)/云存儲(chǔ)安全等技術(shù)。其中安全數(shù)據(jù)庫(kù)管理系統(tǒng)中,除了數(shù)據(jù)庫(kù)認(rèn)證、訪問(wèn)控制、審計(jì)等基本安全功能外,關(guān)鍵技術(shù)集中在數(shù)據(jù)庫(kù)形式化安全模型、數(shù)據(jù)庫(kù)加密、多級(jí)安全數(shù)據(jù)庫(kù)事務(wù)模型及數(shù)據(jù)庫(kù)隱形通道分析等;外包數(shù)據(jù)庫(kù)安全包括外包數(shù)據(jù)庫(kù)檢索技術(shù)、查詢驗(yàn)證技術(shù)、訪問(wèn)控制技術(shù)和數(shù)據(jù)庫(kù)水印技術(shù);云數(shù)據(jù)庫(kù)/云存儲(chǔ)安全主要集中在海量信息安全檢索關(guān)鍵技術(shù)、海量數(shù)據(jù)完整性驗(yàn)證及海量數(shù)據(jù)隱私保護(hù)技術(shù)等方面。4.網(wǎng)絡(luò)與系統(tǒng)安全應(yīng)急響應(yīng)技術(shù)（1）防火墻技術(shù)。防火墻是位于不可信的外部網(wǎng)絡(luò)和被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的一個(gè)網(wǎng)絡(luò)安全設(shè)備或由多個(gè)硬件設(shè)備和相應(yīng)軟件組成的系統(tǒng)，如圖5-7所示。防火墻的基本類(lèi)型可分為包過(guò)濾防火墻、代理網(wǎng)關(guān)、包檢查型防火墻和混合型防火墻。（2）入侵檢測(cè)技術(shù)。入侵檢測(cè)技術(shù)是用干檢測(cè)損寶術(shù)個(gè)圖損牢玄宏的機(jī)密性完整性及可用性等行為的一類(lèi)安全技術(shù)。這類(lèi)技術(shù)通過(guò)太惡R護(hù)網(wǎng)斂書(shū)O然中郊里捻設(shè)冬來(lái)監(jiān)視受保護(hù)網(wǎng)絡(luò)或系統(tǒng)的狀態(tài)與活動(dòng),根據(jù)所采集的數(shù)據(jù)，采用相應(yīng)的檢測(cè)萬(wàn)法友現(xiàn)非度儀嘆悉忘的系統(tǒng)與網(wǎng)絡(luò)行為,并為防范入侵行為提供支持手段。一個(gè)入侵檢測(cè)系統(tǒng)（IDS）需要解決三方面的問(wèn)題:首先,它需要允分開(kāi)可靠地采集網(wǎng)絡(luò)和系統(tǒng)中的數(shù)據(jù)、提供描述網(wǎng)絡(luò)和系統(tǒng)行為的特征;其次，它必須根據(jù)以上數(shù)據(jù)和特征,高效并準(zhǔn)確地判斷網(wǎng)絡(luò)和系統(tǒng)行為的性質(zhì);最后，它需要為防范網(wǎng)絡(luò)和系統(tǒng)人侵提供手段。(3）應(yīng)急響應(yīng)技術(shù)。

應(yīng)急響應(yīng)是指在網(wǎng)絡(luò)被破壞的前后采取相應(yīng)的預(yù)防、應(yīng)對(duì)措施。一般分為前期響應(yīng)、中期響應(yīng)與后期響應(yīng)三個(gè)階段,它們跨越緊急安全事件發(fā)生和應(yīng)急響應(yīng)的前后。前期響應(yīng)是指預(yù)案和計(jì)劃、準(zhǔn)備資源、系統(tǒng)和數(shù)據(jù)備份、保障業(yè)務(wù)的連續(xù)性等。中期響應(yīng)的任務(wù)是準(zhǔn)確地查明信息系統(tǒng)遭受了何種程度的損害并摸清災(zāi)害發(fā)生的原因,認(rèn)定災(zāi)害發(fā)生的責(zé)任，制訂下一步的安全策略和追蹤、取證。后期響應(yīng)的目的是確定新的安全策略，并得到新的安全配置，它主要包括提高系統(tǒng)的安全性、進(jìn)行安全評(píng)估、制訂并執(zhí)行新的安全策略等。5．惡意代碼檢測(cè)與防范技術(shù)惡意代碼的防治包括預(yù)防、機(jī)理分析、檢測(cè)和清除等環(huán)節(jié)。其中惡意代碼的預(yù)防是指抵御惡意代碼的傳播和感染,它的方法主要是切斷傳播和感染的途徑或破壞它們實(shí)施的