《通信網(wǎng)安全與保密》課件第6章

第6章安全管理6.1安全管理的基本概念6.2安全管理協(xié)議

6.3安全審計(jì) 6.4入侵檢測(cè)6.5小結(jié)

習(xí)題

6.1安全管理的基本概念本節(jié)介紹有關(guān)通信網(wǎng)絡(luò)安全管理協(xié)議、安全審計(jì)以及入侵檢測(cè)等方面的基本概念。6.1.1安全管理目標(biāo)通信網(wǎng)絡(luò)在運(yùn)行過程中，無論采取了什么樣的安全機(jī)制，都要加強(qiáng)管理，保證采取的安全措施得到實(shí)施，及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞，保證其正常運(yùn)行。安全管理需要達(dá)到以下目標(biāo)：

(1)防止未授權(quán)訪問。這是通信網(wǎng)絡(luò)安全最重要的問題，未授權(quán)的人絕對(duì)不能進(jìn)入系統(tǒng)。用戶意識(shí)、良好的口令管理、登錄活動(dòng)記錄和報(bào)告、用戶和網(wǎng)絡(luò)活動(dòng)的周期檢查，這些都是防止未授權(quán)訪問的關(guān)鍵。

(2)防止泄密。這也是通信網(wǎng)絡(luò)安全的一個(gè)重要問題。防止已授權(quán)或未授權(quán)的用戶相互訪問重要信息。文件系統(tǒng)查賬、登錄和報(bào)告、用戶意識(shí)、加密都是防止泄密的具體措施。

(3)防止用戶拒絕系統(tǒng)的管理。這一方面的安全應(yīng)由操作系統(tǒng)來完成。一個(gè)系統(tǒng)不應(yīng)被一個(gè)有意試圖使用過多資源的用戶損害。例如，Unix不能很好地限制用戶對(duì)資源的使用，一個(gè)用戶能夠使用文件系統(tǒng)的整個(gè)磁盤空間，而Unix基本不能阻止用戶這樣做。系統(tǒng)管理員最好用ps命令，記賬程序df和du周期地檢查系統(tǒng)，查出過多占用CUP的進(jìn)程和大量占用磁盤的文件，然后進(jìn)行有效阻止。

(4)保證系統(tǒng)的完整性。這方面的安全與一個(gè)系統(tǒng)管理員的實(shí)際工作和保持一個(gè)可靠的操作系統(tǒng)有關(guān)。例如，周期地備份文件系統(tǒng)、系統(tǒng)崩潰后運(yùn)行fsck檢查、修復(fù)文件系統(tǒng)、當(dāng)有新用戶時(shí)檢測(cè)該用戶是否可能使用系統(tǒng)崩潰的軟件等等。除了配合行政手段外，主要從技術(shù)上實(shí)現(xiàn)安全管理，從范疇上講，涉及用戶空間、資源空間和授權(quán)管理三個(gè)方面。6.1.2安全管理原則和規(guī)劃在進(jìn)行網(wǎng)絡(luò)安全管理方面，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的組織管理和人員管理等問題，這是網(wǎng)絡(luò)安全所必須考慮的基本問題。

1．安全管理原則網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于以下4個(gè)原則。

1)多人負(fù)責(zé)原則每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管指派的，他們忠誠(chéng)可靠，能勝任此項(xiàng)工作。他們應(yīng)該簽署工作情況記錄，以證明安全工作已得到保障，特別要記錄以下與安全有關(guān)的各項(xiàng)活動(dòng)：(1)訪問控制使用證件的發(fā)放與回收。(2)信息處理系統(tǒng)使用的媒介的發(fā)放與回收。(3)處理保密信息。(4)硬件和軟件的維護(hù)。(5)系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改。(6)重要程序和數(shù)據(jù)的刪除和銷毀等。

2)任期有限原則一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行。

3)職責(zé)分離原則在信息處理系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管批準(zhǔn)。出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開。(1)計(jì)算機(jī)操作與計(jì)算機(jī)編程。(2)機(jī)密資料的接收和傳送。(3)安全管理和系統(tǒng)管理。(4)應(yīng)用程序和系統(tǒng)程序的編制。(5)訪問證件的管理與其它工作。(6)計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。

4)防范黑客原則隨著互聯(lián)網(wǎng)絡(luò)的日益普及，網(wǎng)上的一些站點(diǎn)公然教授黑客課程，開辟黑客討論區(qū)，發(fā)布黑客攻擊經(jīng)驗(yàn)，使得黑客攻擊技術(shù)日益公開化，攻擊站點(diǎn)變得越來越容易了。有些管理員認(rèn)為可以借助各種技術(shù)措施，如計(jì)算機(jī)反病毒程序和網(wǎng)絡(luò)防御系統(tǒng)軟件，阻止黑客的非法進(jìn)攻，保證計(jì)算機(jī)信息安全。但是構(gòu)筑信息安全的防洪堤壩依然不能放松，不能對(duì)破壞計(jì)算機(jī)信息安全的事例熟視無睹，還應(yīng)結(jié)合各種安全管理的手段和制度扼制黑客的攻擊，防患于未然。

(1)加強(qiáng)監(jiān)控能力。系統(tǒng)管理員要加強(qiáng)對(duì)系統(tǒng)的安全監(jiān)測(cè)和控制能力，檢測(cè)安全漏洞及配置錯(cuò)誤，對(duì)已發(fā)現(xiàn)的系統(tǒng)漏洞，要立即采取措施進(jìn)行升級(jí)、改造，做到防微杜漸。

(2)加強(qiáng)安全管理。在確保合法用戶的合法訪問的前提下，本著最小授權(quán)的原則給用戶設(shè)置屬性和權(quán)限，加強(qiáng)網(wǎng)絡(luò)訪問控制，做好用戶上網(wǎng)訪問的身份認(rèn)證工作，以物理隔離方式阻擋絕大部分黑客非法進(jìn)入網(wǎng)絡(luò)。

(3)集中監(jiān)控。對(duì)網(wǎng)絡(luò)實(shí)行集中統(tǒng)一管理和集中監(jiān)控機(jī)制，建立和完善口令使用和分級(jí)管理制度，重要口令由專人負(fù)責(zé)，從而防止內(nèi)部人員超級(jí)訪問和越權(quán)采集數(shù)據(jù)。

(4)多層次防御和部門間的物理隔離?？梢栽诜阑饓Φ幕A(chǔ)上實(shí)施對(duì)不同部門之間的由多級(jí)網(wǎng)絡(luò)設(shè)備隔離的小網(wǎng)絡(luò)，根據(jù)信息源的性質(zhì)，盡量對(duì)公眾信息和保密信息實(shí)施不同的安全策略和多級(jí)別保護(hù)模式。

(5)要隨時(shí)跟蹤最新網(wǎng)絡(luò)安全技術(shù)，采用國(guó)內(nèi)外先進(jìn)的網(wǎng)絡(luò)安全技術(shù)、工具、手段和產(chǎn)品。一旦防護(hù)手段失效，要有先進(jìn)的系統(tǒng)恢復(fù)、備份技術(shù)?？傊挥邪寻踩芾碇贫扰c安全管理技術(shù)手段結(jié)合起來，整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性才有保證，網(wǎng)絡(luò)破壞活動(dòng)才能夠被阻擋于門戶之外。

2．安全管理規(guī)劃網(wǎng)絡(luò)安全問題一般可分為網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)安全兩類。網(wǎng)絡(luò)系統(tǒng)安全問題是指網(wǎng)絡(luò)系統(tǒng)遭到未經(jīng)授權(quán)的非法攻擊、訪問或破壞。數(shù)據(jù)安全問題則指機(jī)要、敏感數(shù)據(jù)被竊取，并被非法復(fù)制、使用等。在構(gòu)建一個(gè)安全的網(wǎng)絡(luò)系統(tǒng)之前，要考慮到以下幾方面的問題：

(1)重要信息保密。每個(gè)企、事業(yè)單位等都有一些不能為外人、競(jìng)爭(zhēng)者知道的數(shù)據(jù)，也有各個(gè)部門之間的一些不可共享的數(shù)據(jù)需要保密。這就涉及到人事、財(cái)務(wù)資料的授權(quán)訪問，以及商家的進(jìn)、存、銷渠道，銷售計(jì)劃，客戶名單，商業(yè)行情，交易內(nèi)幕，報(bào)價(jià)，合同，用戶的賬號(hào)，密碼等信息的加密。

(2)網(wǎng)絡(luò)系統(tǒng)的安全。網(wǎng)絡(luò)系統(tǒng)安全指系統(tǒng)進(jìn)程、作業(yè)等不被監(jiān)視、破壞。

(3)防止外部攻擊。防止外來的病毒、“黑客”對(duì)網(wǎng)絡(luò)的各種攻擊和破壞。

(4)防止內(nèi)部篡改。通過對(duì)內(nèi)部資源的加密、簽名來防止資源丟失、被破壞及被篡改。

(5)檢查傳輸內(nèi)容。防止傳輸信息未經(jīng)授權(quán)而泄露或者被篡改和破壞，防止對(duì)通信業(yè)務(wù)進(jìn)行分析。對(duì)網(wǎng)上進(jìn)出的數(shù)據(jù)進(jìn)行過濾等操作，以檢查傳輸內(nèi)容是否合法。網(wǎng)絡(luò)安全應(yīng)有可擴(kuò)展性，當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)大、人員變動(dòng)或者對(duì)安全的要求提高時(shí)，應(yīng)能很容易地對(duì)安全功能進(jìn)行擴(kuò)展。

(6)安全產(chǎn)品的選型。根據(jù)所需防范的具體安全問題類型和期望達(dá)到的安全程度，選擇相應(yīng)的安全產(chǎn)品。同時(shí)要注意由于出口制度等原因，一些國(guó)外安全產(chǎn)品的安全強(qiáng)度受到限制或留有安全缺陷。

3．安全管理的實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作如下：

(1)根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí)。

(2)根據(jù)確定的安全等級(jí)，確定安全管理的范圍。

(3)制定相應(yīng)的機(jī)房出入管理制度。

(4)制定嚴(yán)格的操作規(guī)程。

(5)制定完備的系統(tǒng)維護(hù)制度。

(6)制定應(yīng)急措施。對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng)，如采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理。對(duì)于操作規(guī)程，要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍。對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等。維護(hù)時(shí)要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場(chǎng)，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。要制定系統(tǒng)在緊急情況下如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。6.1.3安全管理措施網(wǎng)絡(luò)安全可分為兩個(gè)方面。第一是網(wǎng)絡(luò)層，保護(hù)網(wǎng)絡(luò)服務(wù)的可用性。第二是應(yīng)用層，保護(hù)合法用戶對(duì)數(shù)據(jù)的合法訪問。網(wǎng)絡(luò)層重點(diǎn)解決的是系統(tǒng)安全問題，應(yīng)用層重點(diǎn)解決的是數(shù)據(jù)安全問題。通過網(wǎng)絡(luò)層和應(yīng)用層、系統(tǒng)安全和數(shù)據(jù)安全相結(jié)合，架構(gòu)了立體的防護(hù)體系，最終來確保網(wǎng)絡(luò)的安全。同時(shí)，技術(shù)手段與管理手段也需要結(jié)合使用。在網(wǎng)絡(luò)層限制訪問，設(shè)一道防火墻，這是最基本的安全設(shè)施。網(wǎng)絡(luò)層的安全檢測(cè)措施主要是預(yù)防黑客的攻擊，它是一種主動(dòng)的預(yù)防行為。安全檢測(cè)近似于病毒檢查，在網(wǎng)絡(luò)運(yùn)行之前和運(yùn)行當(dāng)中通過不斷的自測(cè)，發(fā)現(xiàn)系統(tǒng)存在的安全漏洞，并列出報(bào)告，告訴使用者檢修的方法，然后及時(shí)采取補(bǔ)救措施。這就是安全檢測(cè)的含義，具體功能包括兩個(gè)方面：一是檢測(cè)網(wǎng)絡(luò)的安全漏洞，二是檢測(cè)系統(tǒng)配置錯(cuò)誤。應(yīng)用層的安全措施有如下幾個(gè)方面：

(1)建立全局的電子身份認(rèn)證系統(tǒng)。

(2)實(shí)現(xiàn)全局資源的統(tǒng)一管理，在身份認(rèn)證和資源管理的基礎(chǔ)之上，實(shí)現(xiàn)全局的統(tǒng)一授權(quán)管理，也就是說對(duì)全局用戶和資源進(jìn)行集中的授權(quán)管理。

(3)信息傳輸加密，這里包括兩個(gè)方面：一類是數(shù)據(jù)的完整性，是指數(shù)據(jù)本身不能改寫，可以看到但是不能去改動(dòng)它。第二類是數(shù)據(jù)的保密性，數(shù)據(jù)不可竊聽，通過加密來完成。

(4)實(shí)現(xiàn)審訊記錄和統(tǒng)計(jì)分析。首先要建立一套事件發(fā)生的記錄體制，在這個(gè)體制之上對(duì)記錄信息進(jìn)行統(tǒng)計(jì)分析，得出我們所需的各方面信息。有效的網(wǎng)絡(luò)安全方案必須針對(duì)網(wǎng)絡(luò)的易受攻擊點(diǎn)制定保護(hù)措施，同時(shí)還要加強(qiáng)對(duì)網(wǎng)絡(luò)的維護(hù)。一個(gè)系統(tǒng)僅靠外圍安全設(shè)備的保護(hù)是不夠的。典型的安全設(shè)備，如傳統(tǒng)的防火墻、認(rèn)證設(shè)備及系統(tǒng)外殼無法有效阻擋入侵者，它們只能保護(hù)網(wǎng)絡(luò)的入口，一旦被入侵者攻破，便無法檢測(cè)來自系統(tǒng)內(nèi)部的破壞和攻擊行為。管理者應(yīng)盡量縮短對(duì)破壞的反應(yīng)時(shí)間，一旦給攻擊者充足的時(shí)間，那么任何系統(tǒng)都有可能被攻破。為了減少由于入侵造成的損失，安全系統(tǒng)應(yīng)該進(jìn)行實(shí)時(shí)的檢測(cè)，這種方案可以在被入侵的最初幾秒鐘內(nèi)探測(cè)到危險(xiǎn)動(dòng)作。安全系統(tǒng)應(yīng)對(duì)入侵做出快速反應(yīng)，能夠自動(dòng)阻擋入侵者的破壞行為。另外，防止內(nèi)部人員的攻擊也很重要。據(jù)估計(jì)，有50％的攻擊來自于內(nèi)部人員。任何安全系統(tǒng)都需要安裝、維護(hù)和更新，為了降低開支，理想的安全系統(tǒng)應(yīng)具備靈活性、可擴(kuò)充性和透明性。6.1.4人員管理根據(jù)美國(guó)FBI的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過170億美元。75%的公司報(bào)告財(cái)政損失是由于計(jì)算機(jī)系統(tǒng)的安全問題造成的、超過50％的安全威脅來自內(nèi)部，只有17％的公司愿意報(bào)告黑客入侵?？梢妬碜詢?nèi)部的安全威脅的比重是非常大的。在入侵的來源中,首先是內(nèi)部心懷不滿的員工，其次為黑客，另外還有競(jìng)爭(zhēng)者。內(nèi)部工作人員甚至?xí)洚?dāng)間諜，因?yàn)樗麄兡軌蜉^多地接觸內(nèi)部信息，還有工作中的任何不小心都可能給信息安全帶來危險(xiǎn)，這些都使信息安全問題越來越復(fù)雜?，F(xiàn)在社會(huì)競(jìng)爭(zhēng)越來越激烈，競(jìng)爭(zhēng)對(duì)手通過網(wǎng)絡(luò)非法訪問內(nèi)部信息的事件屢見不鮮。在人員管理上要考慮用戶的安全意識(shí)和系統(tǒng)管理員的安全意識(shí)，下面以Unix系統(tǒng)為例來說明這兩個(gè)問題。

1．用戶的安全意識(shí)管理員的職責(zé)之一是保證用戶安全。這其中一部分工作是由用戶的管理部門來完成的，但是作為系統(tǒng)管理員，有責(zé)任發(fā)現(xiàn)和報(bào)告系統(tǒng)的安全問題，因?yàn)橄到y(tǒng)管理員負(fù)責(zé)系統(tǒng)的運(yùn)行。避免系統(tǒng)安全事故的方法是預(yù)防性的。當(dāng)用戶登錄時(shí)，其shell在給出提示前先執(zhí)行/etc/profile文件，要確保該文件中的PATH指定最后搜索當(dāng)前工作目錄，這樣將減少用戶運(yùn)行特洛依木馬的機(jī)會(huì)。將文件建立屏蔽值的設(shè)置放在該文件中也是很合適的，可將其值設(shè)置成至少將防止用戶無意中建立任何人都能寫的文件。要小心選擇屏蔽值，如果限制太嚴(yán)，則用戶會(huì)在自己的.profile中重新調(diào)用umask以抵制系統(tǒng)管理員的意愿，如果用戶大量使用小組權(quán)限共享文件，系統(tǒng)管理員就要設(shè)置限制小組訪問權(quán)限的屏蔽值。系統(tǒng)管理員必須建立系統(tǒng)安全和用戶方便之間的平衡。定期地用grep命令查看用戶.profile文件中的umask，可了解系統(tǒng)安全限制是否超過了用戶極限。系統(tǒng)管理員可以每星期隨機(jī)抽選一個(gè)用戶，將該用戶的安全檢查結(jié)果，如用戶的登錄情況簡(jiǎn)報(bào)、SUID/SGID文件列表等，發(fā)送給管理部門和用戶本人。這樣做的目的是提醒用戶考慮安全問題，促使這些用戶采取措施，刪除文件的寫許可，提醒用戶注意自己有SUID程序，使用戶知道是否有不是自己建立的SUID程序，知道對(duì)文件的管理關(guān)系到數(shù)據(jù)的安全。管理意識(shí)是提高安全性的一個(gè)重要因素。如果用戶的管理部門對(duì)安全要求不強(qiáng)烈，系統(tǒng)管理員可能也忘記強(qiáng)化安全規(guī)則。最好讓管理部門建立一套每個(gè)人都必須遵守的安全標(biāo)準(zhǔn)，如果系統(tǒng)管理員在此基礎(chǔ)上再建立自己的安全規(guī)則，就強(qiáng)化了安全。管理有助于加強(qiáng)用戶意識(shí)，讓用戶明確，信息是有價(jià)值的資產(chǎn)。系統(tǒng)管理員應(yīng)當(dāng)使安全保護(hù)方法對(duì)用戶盡可能簡(jiǎn)單，提供一些提高安全的工具，如公布鎖終端的lock程序，讓用戶自己運(yùn)行secure程序，將檢查用戶口令信息的程序(pwexp)放入/etc/profile中，使用戶知道自己的口令時(shí)間等。多教給用戶一些關(guān)于系統(tǒng)安全的知識(shí)，確保用戶知道自己的許可權(quán)限和umask命令的設(shè)置值。如果注意到用戶在做有損安全的事情，就給他們一些應(yīng)當(dāng)怎樣做才對(duì)的提示。用戶知道的關(guān)于安全的知識(shí)越多，系統(tǒng)管理員在保護(hù)用戶利益方面所要做的事就越少。

2．系統(tǒng)管理員的安全意識(shí)首先要保持系統(tǒng)管理員個(gè)人的登錄安全。若系統(tǒng)管理員的登錄口令泄密了，則竊密者離竊取root只有一步之遙，因?yàn)橄到y(tǒng)管理員經(jīng)常作為root運(yùn)行，竊密者非法進(jìn)入到系統(tǒng)管理員的賬號(hào)后，將用特洛依木馬替換系統(tǒng)管理員的某些程序，系統(tǒng)管理員將作為root運(yùn)行這些已被替換的程序。正是因?yàn)檫@個(gè)原因，在Unix系統(tǒng)中，管理員的賬號(hào)最常受到攻擊。要使su命令在不可讀的文件中記錄所有想成為root的企圖，還可用記賬數(shù)據(jù)或ps命令識(shí)別運(yùn)行su命令的用戶。因此，系統(tǒng)管理員作為root運(yùn)行程序時(shí)應(yīng)當(dāng)特別小心，因?yàn)樽钗⑿〉氖韬鲆部赡軐?dǎo)致悲劇的發(fā)生。下面列出一些指導(dǎo)規(guī)則：

(1)不要作為root或以自己的登錄賬號(hào)運(yùn)行其它用戶的程序。

(2)不要把當(dāng)前工作目錄排在PATH路徑表的前邊。

(3)鍵入/bin/su執(zhí)行su命令。若有su源碼，則將其改成必須用全路徑名運(yùn)行，即su要確認(rèn)argv[0]的頭一個(gè)字符是“/”才運(yùn)行。

(4)不要未注銷賬號(hào)就離開終端，特別是作為root用戶時(shí)更不能這樣。

(5)不允許root在除控制臺(tái)外的任何終端登錄。

(6)經(jīng)常改變r(jià)oot的口令。

(7)確認(rèn)su命令記下的想運(yùn)行su企圖的記錄/usr/adm/sulog，該記錄文件屬root所有。

(8)不要讓其他人作為root運(yùn)行。從運(yùn)行系統(tǒng)的安全環(huán)境考慮，還應(yīng)有以下一些關(guān)鍵的薄弱環(huán)節(jié)：系統(tǒng)是否有Modem，電話號(hào)碼是否公布，系統(tǒng)是否連接到網(wǎng)絡(luò)上，還有什么系統(tǒng)也連接到該網(wǎng)絡(luò)，系統(tǒng)管理員是否使用未知出處或出處不可靠的程序，系統(tǒng)管理員是否將重要信息放在系統(tǒng)中，系統(tǒng)的用戶是否熟悉系統(tǒng)的使用，用戶是否很重視安全問題，用戶的管理部門是否重視安全問題，等等。從保持系統(tǒng)本身的安全考慮，應(yīng)注意以下細(xì)節(jié)：

(1)保持系統(tǒng)文件安全的完整性。檢查所有系統(tǒng)文件的訪問許可，任何具有SUID許可的程序都是非法者想偷換的選擇對(duì)象。

(2)要特別注意設(shè)備文件的訪問許可。

(3)要審查用戶目錄中具有系統(tǒng)ID/系統(tǒng)小組的SUID/SGID許可的文件。

(4)在未檢查用戶的文件系統(tǒng)的SUID/SGID程序和設(shè)備文件之前，不要安裝用戶的文件系統(tǒng)。

(5)將磁盤的備份存放在安全的地方。

(6)設(shè)置口令時(shí)效，如果能訪問Unix的源碼，將加密口令和信息移到僅對(duì)root可讀的文件中，并修改系統(tǒng)的口令處理子程序。

(7)記錄本系統(tǒng)的用戶及其授權(quán)使用的系統(tǒng)。

(8)查出久未使用的登錄賬號(hào)，并取消該賬號(hào)。

(9)確保沒有無口令的登錄賬號(hào)。

(10)啟動(dòng)記賬系統(tǒng)。

(11)查出不尋常的系統(tǒng)使用情況，如大量的占用磁盤，大量使用CPU時(shí)間，大量的進(jìn)程，大量的使用su的企圖，大量無效的登錄以及大量的到某一系統(tǒng)的網(wǎng)絡(luò)傳輸。

(12)修改shell，使其在等待了一定時(shí)間而無任務(wù)時(shí)終止運(yùn)行。

(13)修改login，使其打印出用戶登錄的最后時(shí)間，三次無效登錄后，將通信線掛起，以便系統(tǒng)管理員能檢查出是否有人試圖非法進(jìn)入系統(tǒng)。確保login不讓root在除控制臺(tái)外的任何地方登錄。

(14)修改su，使得只有root能以過期口令通過su進(jìn)入某一賬號(hào)。

(15)當(dāng)安裝來源不可靠的軟件時(shí)，要檢查源碼和makefile文件，查看特殊的子程序調(diào)用或命令。

(16)即使是安裝來源可靠的軟件，也要檢查是否有SUID(SGID)程序，確認(rèn)這些許可的確是必要的。

(17)將重要數(shù)據(jù)保存在軟盤上。

(18)將secure、perms和任何其它做安全檢查的shell程序訪問許可置為僅執(zhí)行。

(19)只要系統(tǒng)有任何人都可調(diào)用的撥號(hào)線，系統(tǒng)就不可能真正地安全。

(20)如果系統(tǒng)管理員認(rèn)為系統(tǒng)已經(jīng)泄密，則應(yīng)當(dāng)設(shè)法查出肇事者。6.1.5技術(shù)管理

1．靜態(tài)安全技術(shù)由管理員事先設(shè)置安全規(guī)則，被動(dòng)實(shí)施安全保護(hù)的安全技術(shù)屬于靜態(tài)安全技術(shù)。目前市場(chǎng)上很多流行的安全設(shè)備都屬于靜態(tài)安全技術(shù)范疇，如防火墻和系統(tǒng)外殼等外圍保護(hù)設(shè)備。外圍保護(hù)設(shè)備針對(duì)的是來自系統(tǒng)外部的攻擊，一旦外部入侵者進(jìn)入了系統(tǒng)，他們便不受任何阻擋。認(rèn)證手段也與此類似，一旦入侵者騙過了認(rèn)證系統(tǒng)，那么入侵者便成為系統(tǒng)的內(nèi)部人員。傳統(tǒng)防火墻的缺點(diǎn)在于無法做到安全與速度同步提高，一旦考慮到安全因素而對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行深入檢測(cè)和分析，那么網(wǎng)絡(luò)傳輸速度勢(shì)必受到影響。靜態(tài)安全技術(shù)的缺點(diǎn)是需要人工來實(shí)施和維護(hù)，不能主動(dòng)跟蹤入侵者。傳統(tǒng)的防火墻產(chǎn)品就是典型的這類產(chǎn)品。其高昂的維護(hù)費(fèi)用和對(duì)網(wǎng)絡(luò)性能的影響任何人都無法回避。系統(tǒng)管理員需要專門的安全分析軟件和技術(shù)來確定防火墻是否受到攻擊。針對(duì)靜態(tài)安全技術(shù)的不足，許多世界網(wǎng)絡(luò)安全和管理專家都提出了各自的解決方案，如NAI為傳統(tǒng)的防火墻技術(shù)做出了重要的補(bǔ)充和強(qiáng)化，其最新的防火墻系統(tǒng)包含了NAI技術(shù)專家多年來的研究成果——自適應(yīng)代理技術(shù)。自適應(yīng)代理技術(shù)可根據(jù)用戶定義的安全規(guī)則，動(dòng)態(tài)適應(yīng)傳送中的數(shù)據(jù)流量。當(dāng)安全要求較高時(shí)，安全檢查仍在應(yīng)用層中進(jìn)行，保證實(shí)現(xiàn)傳統(tǒng)防火墻的最大安全性。而一旦可信任身份得到認(rèn)證，其后的數(shù)據(jù)便可直接通過速度快的網(wǎng)絡(luò)層。測(cè)試表明，新的自適應(yīng)代理技術(shù)在保證安全的前提下，其性能比傳統(tǒng)的防火墻技術(shù)提高了10倍。

2．動(dòng)態(tài)安全技術(shù)動(dòng)態(tài)安全技術(shù)能夠主動(dòng)檢測(cè)網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞，并且通常能夠早于人工探測(cè)到危險(xiǎn)行為。它的主要檢測(cè)工具包括能夠進(jìn)行網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序易受攻擊點(diǎn)檢測(cè)的工具和掃描工具，對(duì)可疑行為的監(jiān)視程序以及病毒檢測(cè)工具。自動(dòng)檢測(cè)工具通常還配有自動(dòng)通報(bào)和警告系統(tǒng)，這是一種集網(wǎng)絡(luò)系統(tǒng)入侵檢測(cè)、安全掃描、動(dòng)態(tài)響應(yīng)和審計(jì)分析于一身的全面入侵檢測(cè)解決方案。它提供綜合的審計(jì)工具，發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的安全漏洞，保證網(wǎng)絡(luò)安全的完整性，可以發(fā)現(xiàn)大眾化的安全漏洞和非大眾化的漏洞，它可以確定防火墻的第一條防護(hù)規(guī)則是否發(fā)揮作用，評(píng)估Intranet、Web服務(wù)器、防火墻、路由器，進(jìn)行掃描、測(cè)試和確定存在的可被黑客利用的脆弱性?；诰W(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)，通過網(wǎng)絡(luò)流量檢查保護(hù)企業(yè)財(cái)產(chǎn)，像一個(gè)高級(jí)防盜報(bào)警器，保護(hù)網(wǎng)絡(luò)免受來自內(nèi)外的攻擊，當(dāng)網(wǎng)絡(luò)安全受到非法入侵者威脅時(shí)發(fā)出報(bào)警。其最大的特點(diǎn)是充分發(fā)揮了動(dòng)態(tài)安全技術(shù)的優(yōu)勢(shì)，主動(dòng)檢測(cè)網(wǎng)絡(luò)內(nèi)外的危險(xiǎn)行為和動(dòng)作，記錄網(wǎng)絡(luò)活動(dòng)，捕捉入侵罪證，并且能夠進(jìn)行實(shí)時(shí)報(bào)警。一旦有非法用戶企圖訪問網(wǎng)絡(luò)，通過分布式的網(wǎng)絡(luò)傳感器能很快檢測(cè)到入侵行為，并收集有關(guān)數(shù)據(jù)，然后通過加密連接將細(xì)節(jié)報(bào)告給管理服務(wù)器，生成永久記錄。管理系統(tǒng)立即通過各種可能的手段，如電子郵件、尋呼機(jī)和SNMP系統(tǒng)向管理人員報(bào)告有關(guān)情況。管理人員馬上便可通過撥號(hào)或其它方式進(jìn)入網(wǎng)絡(luò)重新配置路由器，以阻擋入侵行為的繼續(xù)進(jìn)行。所記錄的各種信息將有助于系統(tǒng)管理員恢復(fù)系統(tǒng)正常運(yùn)行，同時(shí)為捕獲入侵者提供法律上的證據(jù)。動(dòng)態(tài)安全技術(shù)的最大優(yōu)點(diǎn)在于主動(dòng)性，通過將實(shí)時(shí)捕捉和分析系統(tǒng)與網(wǎng)絡(luò)監(jiān)視系統(tǒng)相結(jié)合，入侵檢測(cè)系統(tǒng)能夠發(fā)現(xiàn)危險(xiǎn)攻擊的特征，進(jìn)而探測(cè)出攻擊行為并發(fā)出警報(bào)，同時(shí)采取保護(hù)措施。若要使某個(gè)網(wǎng)絡(luò)得到高水平的安全保護(hù)，則應(yīng)該選擇更加主動(dòng)和智能的網(wǎng)絡(luò)安全技術(shù)。完備的網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該能夠監(jiān)視網(wǎng)絡(luò)和識(shí)別攻擊信號(hào)，能夠做到及時(shí)反應(yīng)和保護(hù)，能夠在受到攻擊的任何階段幫助網(wǎng)絡(luò)安全管理人員從容應(yīng)付，并且不應(yīng)該對(duì)網(wǎng)絡(luò)造成過大的負(fù)擔(dān)和產(chǎn)生過高的費(fèi)用。實(shí)際上，沒有任何一種網(wǎng)絡(luò)安全技術(shù)能夠保證網(wǎng)絡(luò)的絕對(duì)安全，用戶應(yīng)選擇那些能夠正視網(wǎng)絡(luò)現(xiàn)存問題的技術(shù)。動(dòng)態(tài)安全技術(shù)能夠面對(duì)存在于網(wǎng)絡(luò)安全中的種種現(xiàn)實(shí)問題和用戶的需求，通過與傳統(tǒng)的外圍安全設(shè)備相結(jié)合，最大程度地保證網(wǎng)絡(luò)安全。

3．網(wǎng)絡(luò)測(cè)試技術(shù)從絕對(duì)意義講，聯(lián)網(wǎng)的計(jì)算機(jī)都是不安全的，都有可能被網(wǎng)上的任一臺(tái)主機(jī)攻擊或插入物理網(wǎng)絡(luò)攻擊，同時(shí)網(wǎng)絡(luò)軟件也引入新的威脅。網(wǎng)絡(luò)安全和系統(tǒng)測(cè)試可以對(duì)內(nèi)部網(wǎng)絡(luò)、操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻等系統(tǒng)的安全漏洞進(jìn)行檢測(cè)，即時(shí)發(fā)現(xiàn)漏洞并給予修補(bǔ)，使入侵者無機(jī)可乘。網(wǎng)絡(luò)安全測(cè)試主要用于掃描因特網(wǎng)網(wǎng)站、路由器、WindowsXP、Unix服務(wù)器及所有基于TCP/IP協(xié)議的網(wǎng)絡(luò)設(shè)備的安全漏洞和薄弱環(huán)節(jié)，分析和指出有關(guān)系統(tǒng)設(shè)置的安全問題及所在的薄弱環(huán)節(jié)，給出相應(yīng)修補(bǔ)措施和安全建議，幫助管理員完善系統(tǒng)設(shè)置。網(wǎng)絡(luò)檢測(cè)技術(shù)包括安全審計(jì)、入侵檢測(cè)等技術(shù)。網(wǎng)絡(luò)安全測(cè)試模塊包含了近百種網(wǎng)絡(luò)安全測(cè)試工具和手段。在進(jìn)行網(wǎng)絡(luò)測(cè)試時(shí)，主要進(jìn)行以下幾方面的測(cè)試。

1)系統(tǒng)安全測(cè)試系統(tǒng)安全測(cè)試模塊包含多種系統(tǒng)安全測(cè)試工具和手段，包括口令檢測(cè)、Password文件檢測(cè)、守護(hù)進(jìn)程檢測(cè)、設(shè)備文件檢測(cè)、用戶占用磁盤空間檢測(cè)、用戶最后登錄時(shí)間檢測(cè)、系統(tǒng)文件檢測(cè)、普通用戶登錄環(huán)境檢測(cè)、超級(jí)用戶登錄環(huán)境檢測(cè)、特權(quán)文件檢測(cè)、系統(tǒng)保護(hù)設(shè)置檢測(cè)等，適用于所有Unix系統(tǒng)安全問題檢測(cè)、掃描，若發(fā)現(xiàn)問題則給出警告提示。

2)?Web服務(wù)器安全測(cè)試

Web服務(wù)器安全檢測(cè)一般用于發(fā)現(xiàn)Web安全薄弱環(huán)節(jié)，分析和指出有關(guān)Web服務(wù)器運(yùn)行及設(shè)置中的主要問題，若發(fā)現(xiàn)問題則給出警告提示、相應(yīng)的修補(bǔ)和防范措施以及安全建議。它應(yīng)具有數(shù)種安全測(cè)試工具和手段，包括Web服務(wù)器特權(quán)檢測(cè)、CGI程序檢測(cè)、符號(hào)鏈接檢測(cè)、Web目錄讀寫權(quán)限檢測(cè)、Web日志分析、Robot防護(hù)測(cè)試、Web文件更新提示等功能。

3)系統(tǒng)漏洞檢測(cè)系統(tǒng)漏洞檢測(cè)主要用于網(wǎng)絡(luò)和系統(tǒng)已知漏洞的檢測(cè)，它使用與黑客相同的攻擊手段對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行模擬攻擊實(shí)驗(yàn)，及時(shí)發(fā)現(xiàn)安全問題和漏洞所在。能夠測(cè)試和分析幾百種黑客常用的、有效的并且危害最大的攻擊手段，對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行模擬入侵實(shí)驗(yàn)，發(fā)現(xiàn)探測(cè)網(wǎng)絡(luò)、系統(tǒng)的嚴(yán)重漏洞。隨著操作系統(tǒng)的不斷變化和升級(jí)以及入侵和反入侵力量的不斷較量，系統(tǒng)漏洞檢測(cè)技術(shù)也應(yīng)成為開放式的結(jié)構(gòu)，進(jìn)行不斷的升級(jí)、更新和完善。

4)防火墻的測(cè)試除了進(jìn)行與安裝、配置和調(diào)整防火墻有關(guān)的基本測(cè)試之外，還應(yīng)進(jìn)行兩種應(yīng)力測(cè)試。在第一種應(yīng)力測(cè)試當(dāng)中，要在每一個(gè)防火墻上使用一個(gè)簡(jiǎn)單但卻很大的信息荷載對(duì)防火墻進(jìn)行測(cè)試，在測(cè)試當(dāng)中，設(shè)置多臺(tái)PC客戶機(jī)，用來為運(yùn)行于防火墻之后的Web服務(wù)器生成超級(jí)文本轉(zhuǎn)換協(xié)議信息，http申請(qǐng)可以用全交換速度對(duì)系統(tǒng)進(jìn)行測(cè)試，而防火墻的配置則允許http信息僅進(jìn)出于其中的一臺(tái)服務(wù)器。此外，還應(yīng)在沒有防火墻的情況下進(jìn)行一次比較測(cè)試。第二種測(cè)試方法是安全掃描程序，這種掃描程序用來測(cè)試能否透過每一個(gè)防火墻，而從防火墻保護(hù)區(qū)里面窺視信息。這一高強(qiáng)度安全探測(cè)軟件被分別用于針對(duì)每一個(gè)防火墻的兩個(gè)不同模式之中。首先，它被用于一個(gè)目標(biāo)型模式，其設(shè)計(jì)目的是為了專門探測(cè)在一個(gè)標(biāo)準(zhǔn)包過濾防火墻內(nèi)的100多個(gè)脆弱性。這些脆弱性的范圍為從使默認(rèn)口令留在原處至相對(duì)不明顯的Unix系統(tǒng)軟件利用，如Unix公用網(wǎng)關(guān)接口目錄內(nèi)的phf程序等。其次，它被用于一種強(qiáng)制模式，其設(shè)計(jì)目的是為了探測(cè)在防火墻之后的系統(tǒng)脆弱性。6.2安全管理協(xié)議這里從技術(shù)的角度介紹兩類典型的網(wǎng)絡(luò)安全管理協(xié)議。一類是OSI的國(guó)際管理標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了通用管理信息協(xié)議(CMIP)；另一類是因特網(wǎng)網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，即簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)。網(wǎng)絡(luò)管理協(xié)議為管理系統(tǒng)、網(wǎng)絡(luò)和網(wǎng)絡(luò)部件提供了方法。它們支持如配置管理、審計(jì)和事件記錄等管理功能，并且為診斷網(wǎng)絡(luò)問題提供了工具。網(wǎng)絡(luò)管理協(xié)議本身是應(yīng)用層協(xié)議，像其它應(yīng)用層協(xié)議一樣利用低層通信設(shè)施。6.2.1CMIP的安全管理

1．OSI管理標(biāo)準(zhǔn)框架結(jié)構(gòu)

OSI管理標(biāo)準(zhǔn)是由OSI/IECJTC1/SC21分委會(huì)和ITU聯(lián)合開發(fā)的。該標(biāo)準(zhǔn)除了CMIP以外，還包括其它框架標(biāo)準(zhǔn)。

1989年公布了第一個(gè)OSI管理標(biāo)準(zhǔn)，定義了OSI的基本管理框架(ISO/IEC7498-4)。該標(biāo)準(zhǔn)定義了兩種管理類型：一種是OSI系統(tǒng)管理，通常用來支持系統(tǒng)管理；另一種是OSI層管理，與特殊的OSI層實(shí)體有關(guān)。管理框架進(jìn)一步定義了五個(gè)管理功能區(qū)：配置管理、容錯(cuò)管理、審計(jì)管理、性能管理和安全管理。系統(tǒng)管理概述進(jìn)一步擴(kuò)充了管理框架結(jié)構(gòu)，定義了OSI管理標(biāo)準(zhǔn)中所使用的術(shù)語(yǔ)，解釋了基本的OSI管理概念，描述了各種標(biāo)準(zhǔn)之間的關(guān)系，建立了用來確保這些標(biāo)準(zhǔn)的一致性規(guī)則。

OSI管理標(biāo)準(zhǔn)應(yīng)用了面向?qū)ο蟮男畔⒛Ｐ蜆?gòu)造技術(shù)。受管資源在建模時(shí)都被看做受管對(duì)象。受管對(duì)象通過其可接受的活動(dòng)、發(fā)出的通知、所呈現(xiàn)的屬性和所展現(xiàn)的行為來表征。在實(shí)際網(wǎng)絡(luò)中，受管對(duì)象的類型范圍幾乎是無限的，不同的組織可自行定義受管對(duì)象，受管對(duì)象是按照層次組織的。例如一個(gè)文件包含多個(gè)記錄，記錄又包含多個(gè)字段，每個(gè)系統(tǒng)中的包含樹最上面都有一個(gè)系統(tǒng)的受管對(duì)象。在管理信息標(biāo)準(zhǔn)(ISO/IEC10165)中描述了模型的全部信息，主要由下面幾部分信息組成：

(1)管理信息模型：描述了受管對(duì)象、操作和通知、過濾器、遺傳和同質(zhì)異晶性、包含和命名等概念。

(2)管理信息定義：定義了一些有用的受管對(duì)象類、屬性、行為和事件。

(3)受管對(duì)象定義指南：確定這些標(biāo)準(zhǔn)的用戶在定義他們自己的受管對(duì)象類時(shí)所使用的技術(shù)和原則。

(4)一般管理信息：定義了通用的超級(jí)類別(如連接)，根據(jù)這些超級(jí)類別可以定義OSI用的其它層類或資源類。另一個(gè)標(biāo)準(zhǔn)ISO/IEC10164進(jìn)一步在審計(jì)管理、配置管理、容錯(cuò)管理、性能管理和安全管理這5個(gè)管理功能區(qū)中定義了大量的系統(tǒng)管理功能。

2．通用管理信息協(xié)議CMIP

OSI管理的結(jié)構(gòu)由一個(gè)管理系統(tǒng)和一個(gè)包含受管對(duì)象的受管系統(tǒng)組成，兩個(gè)系統(tǒng)采用CMIP應(yīng)用層協(xié)議進(jìn)行通信。

ISO/IEC9595詳細(xì)描述了通用管理信息協(xié)議(CMIP)所提供的服務(wù)，這種服務(wù)稱為通用管理信息服務(wù)(CMIS)。CMIP是一個(gè)采用了遠(yuǎn)程操作模型的請(qǐng)求/應(yīng)答協(xié)議，提供以下兩種服務(wù)：(1)傳輸由管理系統(tǒng)發(fā)起并面向受管對(duì)象的操作。(2)傳輸由受管對(duì)象產(chǎn)生的事件通知。面向受管對(duì)象的操作有：(1)獲得關(guān)于一個(gè)受管對(duì)象或它的集合屬性值。(2)更改一個(gè)或多個(gè)受管對(duì)象的一個(gè)或多個(gè)屬性值。(3)發(fā)起并產(chǎn)生一個(gè)受管對(duì)象。(4)從環(huán)境中取消一個(gè)或多個(gè)受管對(duì)象。(5)激發(fā)一個(gè)作為受管對(duì)象一部分的預(yù)定義行為過程。(6)停止一個(gè)GET操作。

3．安全警報(bào)報(bào)告功能認(rèn)證、訪問控制、機(jī)密性和完整性等這些安全服務(wù)都是為了防止發(fā)生安全泄露。然而，不能保證這些服務(wù)總能正常運(yùn)行。由于不合適的保護(hù)機(jī)制或保護(hù)機(jī)制中的故障，存在新產(chǎn)生的攻擊或這些安全機(jī)制本身不能解決等情況，因此系統(tǒng)總會(huì)有安全泄密的風(fēng)險(xiǎn)。所以，需要有一個(gè)工具能夠檢測(cè)出安全泄露或可疑事件的發(fā)生，并將這些情況報(bào)告給操作員或管理員。這些安全警報(bào)能導(dǎo)致以下一些行動(dòng)：監(jiān)督可疑用戶，取消可疑用戶的權(quán)限，調(diào)用更強(qiáng)的保護(hù)機(jī)制，去掉或修復(fù)故障網(wǎng)絡(luò)或系統(tǒng)的某個(gè)組成部件。一個(gè)與安全相關(guān)的事件會(huì)觸發(fā)一個(gè)安全警報(bào)，從原理上講，任何網(wǎng)絡(luò)或系統(tǒng)部件都能夠檢測(cè)出該事件。在管理模型中，檢測(cè)事件的部件是受管對(duì)象。安全警報(bào)通過M-EVENT-REPORT通知給管理系統(tǒng)。安全警報(bào)報(bào)告功能標(biāo)準(zhǔn)(ISO/IEC10164-1)描述了M-EVENT-REPORT調(diào)用中所傳遞的信息。受管信息定義(ISO/IEC101652)中詳細(xì)說明了交換中所使用的正確的抽象語(yǔ)法。安全警報(bào)報(bào)告中傳遞的參數(shù)分為三類，涵蓋了調(diào)用標(biāo)識(shí)符、模式、受管對(duì)象類、受管對(duì)象事例、事件類型、事件時(shí)間、當(dāng)前時(shí)間、通知標(biāo)識(shí)符、相關(guān)的通知、額外的信息、額外的文本、安全警報(bào)原因、安全警報(bào)的嚴(yán)重性、安全警報(bào)檢測(cè)器、使用服務(wù)的用戶和服務(wù)的提供者等。事件類型和安全警報(bào)原因的組合表明了警報(bào)的原因，這些原因包括完整性破壞、違規(guī)操作、物理入侵、安全服務(wù)或機(jī)制的侵犯、時(shí)間區(qū)域的侵犯等。安全警報(bào)的安全參數(shù)指明了由初始受管客體發(fā)覺的警報(bào)意義，所表示的意義包括系統(tǒng)的完整性是未知的、安全性被損害危及到系統(tǒng)的安全、檢測(cè)到違反安全并且重要的信息或機(jī)制已經(jīng)遭到損害、檢測(cè)到違反安全并且不太重要的信息或機(jī)制已經(jīng)遭到損害以及不相信系統(tǒng)的安全性受到威脅。安全警報(bào)檢測(cè)器參數(shù)是標(biāo)識(shí)檢測(cè)警報(bào)條件的實(shí)體，使用服務(wù)的用戶參數(shù)標(biāo)識(shí)那些請(qǐng)求服務(wù)從而導(dǎo)致警報(bào)發(fā)生的實(shí)體，服務(wù)提供者參數(shù)標(biāo)識(shí)那些提供服務(wù)從而導(dǎo)致警報(bào)發(fā)生的實(shí)體。

4．安全審計(jì)追蹤功能安全審計(jì)追蹤功能對(duì)確保任何網(wǎng)絡(luò)安全都起到重要作用。它可以用來檢測(cè)一個(gè)安全策略的正確性，確認(rèn)與安全策略的一致性，幫助分析攻擊，并且收集用于起訴攻擊者的證據(jù)。安全審計(jì)追蹤記錄了任何可疑的事件，也可以記錄許多日常事件，如建立和終止連接、使用安全機(jī)制和訪問敏感資源。同類或不同類的系統(tǒng)都可以檢測(cè)到被審計(jì)的事件，并由系統(tǒng)中的安全審計(jì)追蹤日志來維護(hù)。安全審計(jì)追蹤功能為將事件信息傳遞給維護(hù)日志并創(chuàng)建和恢復(fù)日志實(shí)體的系統(tǒng)提供了必要的支持。管理一個(gè)安全審計(jì)追蹤日志的機(jī)制基本上與網(wǎng)絡(luò)管理中的管理任何其它類型的事件日志一樣，該標(biāo)準(zhǔn)依賴于事件報(bào)告管理功能和日志控制功能。通知一個(gè)安全審計(jì)追蹤事件的過程類似于產(chǎn)生一個(gè)安全警報(bào)報(bào)告的過程，它包括一些受管對(duì)象對(duì)一個(gè)M-EVENT-REPORT的調(diào)用。一個(gè)安全審計(jì)追蹤日志可以記錄事件類型參數(shù)指示的幾乎任何管理通知。安全審計(jì)追蹤功能標(biāo)準(zhǔn)另外定義了兩個(gè)特殊的通知，分別與服務(wù)報(bào)告和使用報(bào)告對(duì)應(yīng)。服務(wù)報(bào)告表明了與一些服務(wù)的提供、拒絕或恢復(fù)有關(guān)的事件。使用報(bào)告用于有安全意義的日志統(tǒng)計(jì)信息。傳遞的參數(shù)和這些事件的類型基本上與安全警報(bào)報(bào)告中使用的一樣，其中包括任何M-EVENT-REPORT通用的參數(shù)和任何管理警報(bào)通用的參數(shù)。服務(wù)報(bào)告事件類型中定義了一個(gè)額外的參數(shù)，稱為服務(wù)報(bào)告原因，用于表明報(bào)告的原因。這個(gè)參數(shù)是一個(gè)ASN.1對(duì)象標(biāo)識(shí)符，也就是說任何人可以定義并注冊(cè)其值。該標(biāo)準(zhǔn)還定義了一些通用的值，即服務(wù)請(qǐng)求、拒絕服務(wù)、來自服務(wù)的回答、服務(wù)失敗、服務(wù)恢復(fù)和其它原因。審計(jì)追蹤過程的控制和從安全審計(jì)追蹤中檢索實(shí)體都獨(dú)立于上面的通知過程。它們利用了定義在其它標(biāo)準(zhǔn)中的通用過程。事件報(bào)告管理功能為兩個(gè)系統(tǒng)之間的聯(lián)系建立了一個(gè)長(zhǎng)期的事件報(bào)告。日志控制功能支持用于安全審計(jì)追蹤、其它目的的日志創(chuàng)建和刪除以及這些日志記錄的檢索。

5．管理資源的訪問控制網(wǎng)絡(luò)管理有它自己的訪問控制要求，有必要控制誰(shuí)能調(diào)用管理功能，誰(shuí)能創(chuàng)建、刪除、修改或讀取管理信息。這樣的訪問控制在任何使用網(wǎng)絡(luò)管理協(xié)議的網(wǎng)絡(luò)中都是至關(guān)重要的，因?yàn)槠茐牧司W(wǎng)絡(luò)管理資源也就等于破壞了整個(gè)網(wǎng)絡(luò)。

ISO/IEC101649標(biāo)準(zhǔn)中講述了這種類型的訪問控制。該標(biāo)準(zhǔn)給出了一個(gè)訪問控制模型，以及支持系統(tǒng)之間傳遞訪問控制信息所需要的信息對(duì)象定義，并使用了訪問控制框架標(biāo)準(zhǔn)中的術(shù)語(yǔ)和概念模型，包括各種訪問控制策略以及各種訪問控制機(jī)制(如訪問控制列表、能力、安全標(biāo)識(shí)和基于內(nèi)容的控制)。訪問控制體系結(jié)構(gòu)中，發(fā)起者是管理系統(tǒng)或系統(tǒng)中的管理員，目標(biāo)是受管系統(tǒng)的信息資源。一個(gè)目標(biāo)可以是受管對(duì)象、受管對(duì)象的屬性、受管對(duì)象的屬性值或受管對(duì)象的行為。因此，可能為管理員提供了一個(gè)非常精確的控制級(jí)，在這個(gè)控制級(jí)上，管理員可以為某一目的訪問某一管理信息?；谠L問控制規(guī)則來決定是允許還是拒絕訪問請(qǐng)求。訪問規(guī)則本身可以表示成管理信息條目，并且使用CMIP協(xié)議來管理。當(dāng)有許多規(guī)則用于一個(gè)特定的訪問請(qǐng)求時(shí)，這些規(guī)則的優(yōu)先級(jí)順序是拒絕訪問的全局規(guī)則、拒絕訪問的條目規(guī)則、允許訪問的全局規(guī)則、允許訪問的條目規(guī)則以及默認(rèn)規(guī)則。一條規(guī)則的說明書中包含了許多要素，其中包括訪問的許可、發(fā)起者列表、目標(biāo)列表、時(shí)間表、狀態(tài)條件以及認(rèn)證內(nèi)容等。在訪問控制決策過程中，首先需要驗(yàn)證伴隨訪問請(qǐng)求出現(xiàn)的任何訪問控制信息。需要標(biāo)識(shí)發(fā)起者和目標(biāo)使用的任何訪問規(guī)則的身份，并根據(jù)他們的全局、條目、默認(rèn)的意義進(jìn)行歸組，然后根據(jù)優(yōu)先組的限制來使用這些規(guī)則。使用規(guī)則的方法取決于所使用的特定訪問控制機(jī)制。在訪問控制列表機(jī)制中，將發(fā)起者的標(biāo)識(shí)符與使用的訪問控制列表進(jìn)行比較。在能力機(jī)制中，將發(fā)起者提供的能力與規(guī)則中陳述的能力進(jìn)行比較。在基于標(biāo)識(shí)的機(jī)制中，將與發(fā)起者相關(guān)的標(biāo)識(shí)與規(guī)則所識(shí)別的標(biāo)識(shí)集進(jìn)行比較。還需要使用基于內(nèi)容的檢測(cè)，如時(shí)間表、狀態(tài)條件或認(rèn)證級(jí)別。做出訪問決策后，就有其它一系列的行為發(fā)生。例如，建立或刪除受管對(duì)象行為。由于所有行為都依賴于安全策略，因此有必要生成一個(gè)安全警報(bào)和安全審計(jì)追蹤的通知。決策使用的信息需要暫時(shí)保存起來用于以后為相同的發(fā)起者做決策。如果訪問被拒絕，則有各式各樣的方式來應(yīng)答發(fā)起者。安全策略規(guī)定了下列類型的應(yīng)答：指示出拒絕訪問的錯(cuò)誤、沒有響應(yīng)、錯(cuò)誤的響應(yīng)或中斷相關(guān)的應(yīng)用。為支持上面的過程，需要遠(yuǎn)程管理(例如，創(chuàng)建、更新)來存儲(chǔ)用于決策訪問控制的信息。為此，標(biāo)準(zhǔn)提供了幾個(gè)受管對(duì)象類和屬性類型定義，用于表示訪問控制規(guī)則和支持信息結(jié)構(gòu)。這些定義能夠使用ISO/IEC101641中定義的過程來遠(yuǎn)程控制訪問控制信息。6.2.2SNMP的安全管理

1．SNMP構(gòu)成簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)是支持基于TCP/IP的系統(tǒng)管理的一組因特網(wǎng)標(biāo)準(zhǔn)的一部分。自從1990年起，SNMP版本1就已經(jīng)穩(wěn)定下來，并且得到廣泛使用。版本2融合了許多安全內(nèi)容，并于1993年推出。1998年SNMP版本3工作組提出了一組因特網(wǎng)建議標(biāo)準(zhǔn)(RFC2570-2575)。這個(gè)文檔集定義了一個(gè)框架，把安全特征合并到SNMP版本1或SNMP版本2中，對(duì)網(wǎng)絡(luò)安全和訪問控制定義了一組明確的功能要求。

SNMP版本3不是獨(dú)立地取代SNMP版本1或SNMP版本2的協(xié)議，而是定義一種安全能力，并與SNMP版本2或SNMP版本1聯(lián)合使用。

SNMP體系結(jié)構(gòu)的主要部件是一個(gè)網(wǎng)絡(luò)管理站和一些網(wǎng)絡(luò)要素。網(wǎng)絡(luò)管理站是一個(gè)運(yùn)行了SNMP以及一些網(wǎng)絡(luò)管理應(yīng)用的主機(jī)系統(tǒng)。網(wǎng)絡(luò)要素是受管系統(tǒng)，如主機(jī)、路由器、網(wǎng)關(guān)或服務(wù)器。每個(gè)網(wǎng)絡(luò)要素都包含一個(gè)管理代理，該代理實(shí)現(xiàn)了SNMP，并提供對(duì)管理信息的接入，管理信息是管理信息庫(kù)(MIB)中網(wǎng)絡(luò)要素的反映。在網(wǎng)絡(luò)管理站和網(wǎng)絡(luò)要素之間進(jìn)行的通信中，實(shí)現(xiàn)SNMP的實(shí)體被稱為SNMP協(xié)議實(shí)體或簡(jiǎn)單的SNMP實(shí)體。一個(gè)SNMP實(shí)體可以以管理者角色或代理角色進(jìn)行操作。

SNMP也通過代理服務(wù)器提供對(duì)設(shè)備的管理。對(duì)于網(wǎng)絡(luò)管理站而言，代理服務(wù)器起著代理的作用。但是為了處理管理的請(qǐng)求，它還需要和遠(yuǎn)程受管系統(tǒng)做進(jìn)一步的通信。后一個(gè)通信可以是基于SNMP(本地代理配置)的，也可以使用其它協(xié)議(外來代理配置)。SNMP管理員通過外來代理配置管理非SNMP設(shè)備。

SNMP版本2也增加了兩個(gè)以管理員角色進(jìn)行操作的SNMP實(shí)體之間的協(xié)議互操作，從而傳遞管理信息?；镜膮f(xié)議層保證了SNMP實(shí)體通信的需要，典型的有因特網(wǎng)的UDP和IP協(xié)議以及低層協(xié)議。一組受管對(duì)象構(gòu)成了網(wǎng)絡(luò)要素的管理信息，這些受管對(duì)象構(gòu)成了MIB數(shù)據(jù)庫(kù)的一部分。管理信息的因特網(wǎng)結(jié)構(gòu)定義了一套規(guī)則，這套規(guī)則組成了MIB數(shù)據(jù)庫(kù)的模式。因特網(wǎng)受管對(duì)象不同于OSI受管對(duì)象，前者不直接對(duì)行為建模。一個(gè)因特網(wǎng)受管對(duì)象本質(zhì)上是構(gòu)成部分MIB的特定類型數(shù)據(jù)變量。受管對(duì)象的主要要素是語(yǔ)法和對(duì)象名。一個(gè)代理可以識(shí)別一個(gè)受管對(duì)象的多個(gè)實(shí)例，一個(gè)受管對(duì)象實(shí)例由變量名來標(biāo)識(shí)，變量名是對(duì)象名加上實(shí)例標(biāo)識(shí)符后綴。在一個(gè)MIB模型中定義了一組相關(guān)的受管對(duì)象。在RFC系列中為管理配置和陳述因特網(wǎng)協(xié)議實(shí)體定義了各式各樣的MIB模型。一般來說，一個(gè)用戶在一個(gè)網(wǎng)絡(luò)要素上要執(zhí)行一個(gè)操作時(shí)，只有MIB的子集變量是可見的。這樣的子集稱為一個(gè)SNMPMIB觀測(cè)。一個(gè)SNMP代理將MIB分成幾個(gè)MIB觀測(cè)。訪問策略決定了對(duì)于一個(gè)給定的用戶和操作可用哪些MIB觀測(cè)。

2．協(xié)議操作

SNMP特別適合于實(shí)現(xiàn)相對(duì)小的網(wǎng)絡(luò)系統(tǒng)，它有6個(gè)基本的SNMP協(xié)議互操作，涉及到7種類型的PDU，如表6.1所示。表6.1SNMP協(xié)議操作及PDU類型

PDU包含了請(qǐng)求標(biāo)識(shí)符，該標(biāo)識(shí)符用于聯(lián)合請(qǐng)求和應(yīng)答，允許多個(gè)請(qǐng)求并行傳輸，并提供了測(cè)量時(shí)間的工具。SNMPPDU采用了ASN.1符號(hào)。一個(gè)SNMPPDU是在SNMP消息中傳輸?shù)?。PDU融于消息中的方式取決于使用的管理模型。

3．管理功能在SNMP版本1中，采用了基于團(tuán)體的管理模型。一個(gè)SNMP團(tuán)體被定義成一個(gè)SNMP代理和一個(gè)或多個(gè)管理站之間的關(guān)系。每個(gè)SNMP團(tuán)體有一個(gè)8字節(jié)長(zhǎng)的團(tuán)體名。一個(gè)SNMP的訪問模式為read-only或read-write。關(guān)于SNMPMIB觀測(cè)的一對(duì)SNMP訪問模式，稱為一個(gè)SNMP團(tuán)體輪廓。因此，在一個(gè)特定的MIB觀測(cè)中，一個(gè)團(tuán)體輪廓代表了對(duì)變量的訪問權(quán)力。采用基于團(tuán)體的管理模型時(shí)，一個(gè)SNMP消息由一個(gè)版本號(hào)、團(tuán)體名和不受保護(hù)的SNMPPDU組成。接收該消息的代理根據(jù)團(tuán)體名決定請(qǐng)求的合法性和訪問權(quán)限。術(shù)語(yǔ)“平凡的認(rèn)證協(xié)議”有時(shí)用來指該方法。在SNMP版本2中，定義了加強(qiáng)的管理模型。新模型的基本變化是提供了可以明顯區(qū)別每一個(gè)SNMP消息的發(fā)送者和接收者。加強(qiáng)的管理模型引進(jìn)了SNMP成員的概念。一個(gè)SNMP消息使用一個(gè)SNMP成員作為其發(fā)送者，再選另一個(gè)成員作為其接收者。一個(gè)SNMP成員對(duì)應(yīng)一個(gè)SNMP實(shí)體，在能被另一個(gè)與之通信的SNMP實(shí)體理解的一組特定的約束條件下運(yùn)行。一個(gè)SNMP實(shí)體可能要知道與它通信的SNMP實(shí)體，其中每一個(gè)成員能夠識(shí)別另一個(gè)成員的標(biāo)識(shí)，并能保持其特性和狀態(tài)信息，一個(gè)SNMP實(shí)體可以作為多個(gè)SNMP成員的組成部分。

SNMP版本2傳遞的消息是一個(gè)結(jié)構(gòu)，稱為一個(gè)SNMP管理通信，它由目的成員、源成員、內(nèi)容以及PDU組成。

SNMP管理通信融于SNMP消息的方式取決于采用的安全選項(xiàng)。

4．SNMP安全服務(wù)

SNMP版本2包括了要求的安全服務(wù)的討論，以及有關(guān)的兩個(gè)安全協(xié)議和支持用于保護(hù)SNMPPDU的安全技術(shù)的說明。

SNMP環(huán)境中的兩個(gè)主要威脅是數(shù)據(jù)篡改和偽造，兩個(gè)次要的威脅是修改消息流和竊聽。因此，所要求的安全服務(wù)有將服務(wù)的完整性和數(shù)據(jù)起源認(rèn)證結(jié)合起來、序列的完整性以及數(shù)據(jù)的機(jī)密性服務(wù)。這樣就導(dǎo)致了兩個(gè)SNMP安全協(xié)議的定義。摘要認(rèn)證協(xié)議提供了數(shù)據(jù)完整性、數(shù)據(jù)起源認(rèn)證和序列完整性保護(hù)；對(duì)稱秘密協(xié)議提供了數(shù)據(jù)的機(jī)密性保護(hù)。當(dāng)使用了后一個(gè)協(xié)議時(shí)，必然要使用前一個(gè)協(xié)議。

5．摘要認(rèn)證協(xié)議摘要認(rèn)證協(xié)議通過一個(gè)認(rèn)證信息數(shù)據(jù)項(xiàng)提供保護(hù)。該項(xiàng)連同一個(gè)常用的SNMPPDU結(jié)合到一個(gè)SNMP認(rèn)證消息中。認(rèn)證信息項(xiàng)由下面三部分組成：

(1)起源認(rèn)證時(shí)間戳：該字段傳遞產(chǎn)生消息的時(shí)間，該時(shí)間根據(jù)起源成員的時(shí)鐘得到。該字段的主要目的是防止消息的重排或重放，因此也支持序列完整性服務(wù)。

(2)目的認(rèn)證時(shí)間戳：該字段傳遞產(chǎn)生消息的時(shí)間，該時(shí)間根據(jù)目的成員的時(shí)鐘得到。每個(gè)成員都維持與之通信的其它成員的時(shí)鐘值。該字段的主要目的是推進(jìn)時(shí)間的同步。

(3)認(rèn)證摘要：該字段傳遞一個(gè)封章，封章是通過對(duì)消息計(jì)算得到的。封章過程包括利用Hash函數(shù)，將秘密認(rèn)證密鑰與消息內(nèi)容連接起來。秘密認(rèn)證密鑰和摘要都是128比特。產(chǎn)生摘要的方法可以設(shè)計(jì)成簡(jiǎn)單而有效的方式。首先，將完整的SNMP認(rèn)證消息以ASN.1編碼的方式收集，以128比特認(rèn)證密鑰臨時(shí)取代128比特摘要。然后，將Hash函數(shù)應(yīng)用于這些八位串組計(jì)算摘要，并將產(chǎn)生的128比特值寫回串中，覆蓋秘密認(rèn)證密鑰。

6．對(duì)稱秘密協(xié)議對(duì)稱秘密協(xié)議像摘要認(rèn)證協(xié)議一樣，通過加密一個(gè)SNMP認(rèn)證消息來提供秘密保護(hù)。加密使用了一個(gè)對(duì)稱密碼算法和一個(gè)預(yù)先已經(jīng)建立的秘密密鑰。推薦的算法是DES的CBC模式。密鑰長(zhǎng)度為128比特，由56比特DES密鑰(加上8位的奇偶位)和64比特的初始向量組成。為了保證每8位組加密，消息要求補(bǔ)齊。

7．SNMP安全協(xié)議

SNMP安全協(xié)議的使用依賴于下列管理功能：

(1)密鑰管理，包括認(rèn)證密鑰和秘密密鑰。

(2)確保所有系統(tǒng)中的時(shí)鐘同步，因?yàn)樾蛄型暾缘恼_功能取決于這種同步。

(3)建立和維護(hù)每個(gè)系統(tǒng)的信息，這些系統(tǒng)與發(fā)生通信的SNMP成員有關(guān)。

SNMP安全協(xié)議RFC描述了各個(gè)過程，因此一個(gè)中央管理站能使用SNMP通過一套SNMP的實(shí)現(xiàn)來執(zhí)行密鑰管理和時(shí)間同步。同時(shí)不排除選用更加強(qiáng)壯的密鑰管理機(jī)制和其它協(xié)議。為了建立和維護(hù)SNMP成員信息，少量成員的初始配置在初始建立SNMP協(xié)議實(shí)體的時(shí)候需手工配置。因此，成員信息可以在一個(gè)中央管理站使用SNMP本身進(jìn)行維護(hù)。

8．訪問控制

SNMP版本2管理模型包括一個(gè)訪問控制模型，用來管理哪些SNMPPDU可以合法地在成員之間發(fā)送，該模型是關(guān)于一組特定受管對(duì)象資源的。訪問控制信息以訪問控制列表的形式存在。一個(gè)訪問控制列表有以下幾個(gè)組成部分：

(1)目標(biāo)：允許訪問的成員標(biāo)識(shí)符。

(2)主體：擁有訪問權(quán)的成員標(biāo)識(shí)符。

(3)資源：一個(gè)SNMP內(nèi)容標(biāo)識(shí)符，例如，一組受管對(duì)象資源。

(4)權(quán)利：標(biāo)記集合，分別用于每個(gè)SNMP操作，指明操作是否被允許。一旦接收到PDU，接收系統(tǒng)檢查本地存儲(chǔ)的訪問權(quán)限列表，以確保允許通信。當(dāng)然，也可以使用SNMP管理存儲(chǔ)在遠(yuǎn)程系統(tǒng)中的訪問控制信息。6.3安全審計(jì)安全審計(jì)是對(duì)通信網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行詳盡的測(cè)試，并且保存測(cè)試記錄和日志，從中發(fā)現(xiàn)問題，調(diào)整安全策略，降低安全風(fēng)險(xiǎn)。6.3.1安全審計(jì)的目的安全審計(jì)的目的包括：

(1)輔助辨識(shí)和分析未經(jīng)授權(quán)的活動(dòng)或攻擊。

(2)幫助并且保證那些被審計(jì)的實(shí)體安全地處理某些攻擊活動(dòng)。

(3)促進(jìn)開發(fā)改進(jìn)的損傷控制處理程序。

(4)認(rèn)可與已經(jīng)建立的安全策略的一致性。

(5)報(bào)告那些可能與系統(tǒng)控制不相適應(yīng)的信息。

(6)辨識(shí)可能需要的對(duì)控制、策略和處理程序的改變。審計(jì)和可確認(rèn)性都要求那些信息被記錄下來。安全審計(jì)保證例行事件和例外事件均能充分記錄下來，以使事后的調(diào)查確定是否有違背安全的事件發(fā)生，若有違規(guī)事件發(fā)生，審計(jì)信息可幫助查清被侵害的通信系統(tǒng)資源及其責(zé)任人。可確認(rèn)用戶進(jìn)行的活動(dòng)，或者代表用戶進(jìn)行處理過程的有關(guān)信息都能記錄下來，以便將這些活動(dòng)產(chǎn)生的相應(yīng)結(jié)果與可懷疑的用戶聯(lián)系起來，且讓該用戶對(duì)他或她的行動(dòng)負(fù)責(zé)。提供安全審計(jì)服務(wù)有助于提供可確認(rèn)性服務(wù)。安全報(bào)警是由個(gè)人或進(jìn)程發(fā)出的警告，以指示發(fā)生了異常情況，可能需要及時(shí)的行動(dòng)。安全報(bào)警的目的包括：報(bào)告實(shí)際的或明顯的違背安全的企圖；報(bào)告各種與安全相關(guān)的事件，包括“正?！笔录?；報(bào)告達(dá)到一定門限后觸發(fā)產(chǎn)生的事件。6.3.2系統(tǒng)記賬與日志審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程，它是提高安全性的重要工具。它不僅能夠識(shí)別誰(shuí)訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣使用。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對(duì)于確定問題和攻擊源很重要。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問題，并且它是后階段事故處理的重要依據(jù)。另外，通過對(duì)安全事件的不斷收集與積累并且加以分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤和記錄，能夠?qū)Πl(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有力的證據(jù)。審計(jì)日志是記錄通信系統(tǒng)安全狀態(tài)和問題的依據(jù)。各級(jí)通信系統(tǒng)必須制定保存和調(diào)閱審計(jì)日志的管理制度。6.3.3安全審計(jì)的功能安全審計(jì)和報(bào)警服務(wù)需要多種功能，具體如下：

(1)事件辨別器：它提供事件的初始分析，確定是否將該事件轉(zhuǎn)送給審計(jì)記錄器或報(bào)警處理器。

(2)事件記錄器：它將接收到的消息生成審計(jì)記錄，并把該記錄存入一個(gè)安全審計(jì)跟蹤。

(3)報(bào)警處理器：它產(chǎn)生一個(gè)審計(jì)消息，同時(shí)產(chǎn)生合適的行動(dòng)以響應(yīng)一個(gè)安全報(bào)警。

(4)審計(jì)分析器：它檢查一個(gè)安全審計(jì)跟蹤，如果合適的話，生成安全報(bào)警和安全審計(jì)消息。

(5)審計(jì)跟蹤驗(yàn)證器：它從一個(gè)或多個(gè)安全審計(jì)跟蹤產(chǎn)生安全審計(jì)報(bào)告。

(6)審計(jì)提供器：它按照某些準(zhǔn)則提供審計(jì)記錄。

(7)審計(jì)歸檔器：它將安全審計(jì)跟蹤歸檔。附加的支持分布式安全審計(jì)跟蹤和報(bào)警的功能也是必需的，這些功能包括：

(1)審計(jì)跟蹤收集器：將一個(gè)分布式審計(jì)跟蹤的記錄匯集成一個(gè)安全審計(jì)跟蹤。

(2)審計(jì)調(diào)度器：將分布式安全審計(jì)跟蹤的某些部分或全部傳輸?shù)皆搶徲?jì)跟蹤收集功能。通過以上論述可以看出，安全審計(jì)的主要功能是記錄和跟蹤通信系統(tǒng)狀態(tài)的變化，如用戶的活動(dòng)，對(duì)程序和文件的使用情況進(jìn)行監(jiān)控，記錄對(duì)程序和文件的使用以及對(duì)文件的處理過程。安全審計(jì)可以監(jiān)控和捕捉各種安全事件，實(shí)現(xiàn)對(duì)安全事件的識(shí)別、定位，并且做出響應(yīng)。審計(jì)工作由各級(jí)安全管理機(jī)構(gòu)實(shí)施并且進(jìn)行管理。6.3.4安全檢查安全檢查是對(duì)系統(tǒng)及其網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估的重要措施，通過使用安全性分析系統(tǒng)，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)、漏洞與不安全配置，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。本小節(jié)以Unix系統(tǒng)為例，說明安全檢查的方法。像find和secure這樣的程序稱為檢查程序，它們搜索文件系統(tǒng)，尋找出SUID/SGID文件、設(shè)備文件、任何人可寫的系統(tǒng)文件、設(shè)有口令的登錄用戶、具有相同UID/GID的用戶等等。管理員可以通過進(jìn)程記賬、系統(tǒng)檢查命令、查看歷史文件、找出屬主為root的程序、找出隱藏文件等手段發(fā)現(xiàn)安全隱患。下面給出一些安全檢查的方法。

1．記賬

Unix記賬軟件包可用做安全檢查工具，它可以通過設(shè)置選項(xiàng)使得在每個(gè)進(jìn)程結(jié)束時(shí)產(chǎn)生一個(gè)記錄，這些記錄所產(chǎn)生的報(bào)告被稱為進(jìn)程記賬。除最后登錄時(shí)間的記錄外，記賬系統(tǒng)還能保存全天運(yùn)行的所有進(jìn)程的完整記錄、對(duì)于一個(gè)進(jìn)程使用資源的信息、所執(zhí)行的命令名(如UID)、進(jìn)程開始執(zhí)行與結(jié)束的時(shí)間、CPU時(shí)間和實(shí)際消耗的時(shí)間，另外還要看該進(jìn)程是否是root進(jìn)程，如果運(yùn)行的是調(diào)整用戶ID程序，則還包括用戶名等。系統(tǒng)管理員可根據(jù)進(jìn)程記賬的CPU時(shí)間讓用戶交納上機(jī)費(fèi)，也可用進(jìn)程記賬來觀察某一用戶執(zhí)行了哪些命令，這將有助于系統(tǒng)管理員了解系統(tǒng)中的用戶在干什么。進(jìn)程記賬和審計(jì)是兩碼事，審計(jì)是監(jiān)視安全性敏感的事件。進(jìn)程記賬并不記下所執(zhí)行命令的參數(shù)，所以無法知道某一命令修改了哪個(gè)文件，甚至也不知道此命令的執(zhí)行是否成功，但系統(tǒng)管理員仍然可以在進(jìn)程記賬中找出某些線索。基于SystemV的系統(tǒng)和基于BSD的系統(tǒng)在進(jìn)程記賬方面所采納的方法不同，命令也不一樣。

2．系統(tǒng)檢查命令使用一些系統(tǒng)命令可以獲得當(dāng)前系統(tǒng)運(yùn)行狀態(tài)的信息，如用W指令查看系統(tǒng)信息：

$w9:01pmup10:08，user，loadaverag：0.08，0.06，0.05Userttylogin＠idleJCPUPCPUwhatnotesconsole10:54am9days28:0423:29/usr/dt/bin/dtscreen-modeblanknotespts/210:54am10:07/sbin/shnotespts/410:54am10:06/sbin/Shnotespts/510:56am9:59/sbin/sh在w顯示信息的最開頭是發(fā)出w命令的時(shí)間、系統(tǒng)啟動(dòng)后的時(shí)間及注冊(cè)在系統(tǒng)的用戶數(shù)。最后的三個(gè)數(shù)表示平均負(fù)載，即使用系統(tǒng)資源的程度，使用w命令給系統(tǒng)增加了0.08負(fù)載。其它兩個(gè)數(shù)字分別表示在最后5分鐘及15分鐘內(nèi)系統(tǒng)的平均負(fù)載量。請(qǐng)注意，當(dāng)有人在試探password時(shí)，將會(huì)大大增加系統(tǒng)的平均負(fù)載。其它命令如表6.2所示。表6.2系統(tǒng)檢查命令每天總有少量的無效登錄，若無效登錄的次數(shù)突然增加了兩倍，則表明可能有人企圖通過猜測(cè)登錄名和口令，非法進(jìn)入系統(tǒng)。這里最重要的一點(diǎn)是，系統(tǒng)管理員越熟悉自己的用戶和用戶的工作習(xí)慣，就越能快速發(fā)現(xiàn)系統(tǒng)中任何不尋常的事件，而不尋常的事件意味著系統(tǒng)已被人竊密。然而對(duì)于這些命令，黑客完全可以用程序?qū)⒆约旱挠涗涬[藏起來，使管理員用以上幾個(gè)命令都無法直接看到。

3．查看歷史文件在ksh、csh、sh、bash、zsh中都可以保存歷史文件。在運(yùn)行sh和ksh的用戶相應(yīng)文件夾中，加入History=100，可指定sh_history文件保存該用戶最近運(yùn)行的100條記錄。用戶可以運(yùn)行history指令來查看歷史文件中的內(nèi)容。對(duì)于ksh、sh也可運(yùn)行tail-f.sh-history來查看，其順序是從最近運(yùn)行的指令開始。而C-shell是在退出后才能更新文件，所以不能用tail來觀察C-shell執(zhí)行了哪些命令。這些歷史文件比進(jìn)程記賬更為有用，因?yàn)槊顓?shù)也被保留下來，所以可以通過執(zhí)行命令的上下文聯(lián)系察覺到用戶干了些什么。然而，從攻擊的角度來看上面兩點(diǎn)防衛(wèi)措施，對(duì)于history文件，當(dāng)黑客進(jìn)入系統(tǒng)后可以改變shell類型，使保存后來所有指令的history文件失效。黑客總是把他的bash_history文件鏈接到/dev/null，因?yàn)閎ash_history會(huì)記錄他在退出登錄前所輸入的命令。

4．找出隱藏文件當(dāng)黑客在取得root權(quán)限后，會(huì)在系統(tǒng)中留下某些后門文件，最常用的方法就是放在/bin、/usr/bin、/usr/sbin等命令目錄下，但也有其它的方法把它們隱藏起來。使用有三個(gè)點(diǎn)“…”的目錄是最簡(jiǎn)單的建立隱藏目錄的方法，管理員只要留神一下就會(huì)找到它，并且直接敲“cd…”指令就可進(jìn)入此目錄。但是也應(yīng)注意到有兩個(gè)點(diǎn)“..”的目錄，一個(gè)點(diǎn)“.”是代表當(dāng)前目錄，兩個(gè)點(diǎn)“..”是代表父目錄，但為什么有兩個(gè)父目錄呢？其實(shí)是黑客利用了特殊字符建立的目錄，只要用帶參數(shù)b的ls指令就可以看清楚。原來兩個(gè)點(diǎn)“..”后面還跟了個(gè)ASCII字符，對(duì)應(yīng)Ctrl+g，是黑客用makdir..＾G指令建立的。同時(shí)我們也注意到有一個(gè)叫做host的目錄，其實(shí)也是用makdirh＾Gost指令來建立的隱藏目錄。他們也可利用以上方法，如空格鍵，組合出隱藏的目錄，對(duì)于這些情況，管理員應(yīng)該查清楚該目錄下的文件內(nèi)容，再做行動(dòng)。有時(shí)未必是黑客所為，只是用戶想隱藏自己的私人文件而已。如發(fā)現(xiàn)其目錄下有攻擊性程序，可以用“？”代替“\007”等不可見字符，來刪除該目錄。入侵者總是在系統(tǒng)中找一個(gè)目錄作為其文件的“藏身之所”。這里列出幾個(gè)大多數(shù)用戶幾乎從來沒有瀏覽過的目錄。在用戶根目錄中尋找.term，在該目錄下只有一個(gè)temrc可執(zhí)行文件。系統(tǒng)管理員及其同類用戶都經(jīng)?？吹竭@個(gè)隱藏目錄，但幾乎從未進(jìn)入此目錄。6.3.5安全分析安全分析的目的在于可以再次確認(rèn)在系統(tǒng)安裝時(shí)是否疏忽了某些配置問題，建立一套安全標(biāo)準(zhǔn)，并以系統(tǒng)現(xiàn)在建立的安全標(biāo)準(zhǔn)作為對(duì)系統(tǒng)進(jìn)行安全分析時(shí)的對(duì)比依據(jù)。大多數(shù)審計(jì)軟件正是基于上述目的而設(shè)計(jì)的，它們一般均具有如下功能：

(1)檢查系統(tǒng)是否存在安全漏洞。在系統(tǒng)安裝時(shí)，系統(tǒng)管理員的疏忽會(huì)給入侵者以可乘之機(jī)。

(2)建立一個(gè)關(guān)于系統(tǒng)中所有文件的數(shù)據(jù)庫(kù)。這樣，系統(tǒng)管理員將來可以經(jīng)常對(duì)這些文件進(jìn)行檢查，辨別文件是否有異常變化。使用安全分析軟件對(duì)系統(tǒng)的安全性能進(jìn)行分析，找出安全漏洞。目前，最著名的安全分析軟件是COPS、TIGER和TRIPWIRE。

COPS和TIGER都用來檢查安全漏洞，它們兩者間檢查的范圍有較大的重疊，但它們都是免費(fèi)軟件。我們可以同時(shí)使用這兩個(gè)軟件以獲得最大的檢查范圍。而TRIPWIRE是一個(gè)文件系統(tǒng)完整性檢查器，它是專門用來檢查數(shù)據(jù)庫(kù)的。在這方面它的功能遠(yuǎn)比COPS和TIGER強(qiáng)大，但它沒有檢查安全漏洞的能力。這些軟件相互之間都是獨(dú)立的?；旌鲜褂眠@些軟件沒有任何問題。系統(tǒng)安全漏洞與操作系統(tǒng)及其版本有關(guān)，而分析軟件的分析能力也與該分析軟件對(duì)操作系統(tǒng)的了解程度有關(guān)，如果分析軟件對(duì)系統(tǒng)不太了解，它就只能對(duì)系統(tǒng)做一些膚淺的檢查。而上述三個(gè)軟件對(duì)若干較為流行的操作系統(tǒng)都有所了解，因此它們是比較實(shí)用的軟件。為了運(yùn)行這些安全分析軟件，還必須進(jìn)行若干配置工作，在軟件運(yùn)行結(jié)束后要將生成的有關(guān)文件系統(tǒng)的數(shù)據(jù)庫(kù)妥善保存，以便今后核對(duì)用。要定期對(duì)文件系統(tǒng)進(jìn)行審核，并將審核結(jié)果與最初的數(shù)據(jù)庫(kù)進(jìn)行對(duì)比，以確定系統(tǒng)是否異常。審核的頻度最好高一些，因?yàn)橛袝r(shí)入侵者可以入侵到堡壘主機(jī)上，他先保存原來的數(shù)據(jù)庫(kù)，待其完成在堡壘主機(jī)上的攻擊操作后，再恢復(fù)數(shù)據(jù)庫(kù)內(nèi)容。如果剛好是在入侵前與入侵后審核，那么就檢查不出任何問題。因此建議審核工作最好每天進(jìn)行一次。在審核中使用校驗(yàn)和這個(gè)參數(shù)非常有用。入侵者可以在更改程序或文件后再將文檔的日期恢復(fù)成原先的模樣。我們可以通過將每一個(gè)文件與文件基準(zhǔn)庫(kù)進(jìn)行比較來防止這一點(diǎn)，但這樣做對(duì)磁盤空間的浪費(fèi)極大。在這種情況下，用校驗(yàn)和就非常有效。校驗(yàn)和是文件內(nèi)容的統(tǒng)計(jì)結(jié)果，并隨文件內(nèi)容的變化而變化。生成文件夾校驗(yàn)和要花費(fèi)一些機(jī)時(shí)，但對(duì)比將每個(gè)文件與文件基準(zhǔn)庫(kù)所花的時(shí)間，生成校驗(yàn)和所用的時(shí)間要少得多。同時(shí)，存放校驗(yàn)和所花的存儲(chǔ)空間也極小。當(dāng)然，校驗(yàn)和不能代表文件，兩個(gè)不同文件的校驗(yàn)和可能是相同的。我們應(yīng)盡量選用一個(gè)好的生成校驗(yàn)和的算法來防止發(fā)生上述問題。在標(biāo)準(zhǔn)的Unix版本中，校驗(yàn)和生成命令/bin/sum使用的是簡(jiǎn)單的循環(huán)冗余計(jì)數(shù)器(CRC)算法。這個(gè)命令已無法對(duì)付擁有先進(jìn)軟、硬件工具的入侵者?，F(xiàn)代入侵者甚至可以用程序來設(shè)置文件中的空閑字節(jié)，使得該文件具有他所想要的校驗(yàn)和。他們能修改被損壞的/bin/login文件，使之具有與正常文件相同的校驗(yàn)和。為了使校驗(yàn)和發(fā)揮更大的作用，我們建議采用諸如MD5或SNEFRU這類較為特別的算法。這類算法能生成比較大且難以預(yù)測(cè)的校驗(yàn)和。COPS和TIGER就采用了這類算法。

6.3.6追蹤既然網(wǎng)絡(luò)皆有發(fā)信站與收信站，用以標(biāo)識(shí)信息發(fā)送者與信息接收者，除非對(duì)方使用一些特殊的封裝方式或是使用防火墻對(duì)外連接，那么只要有人和你的主機(jī)進(jìn)行通信，你就應(yīng)該知道對(duì)方的IP地址，如果對(duì)方用防火墻來和你通信，最少也能夠知道防火墻的IP地址。也正因?yàn)橹灰腥撕湍氵B接，你就能知道對(duì)方的IP地址，所以如果對(duì)方是透過一臺(tái)Unix主機(jī)和你連接，則更可以透過ident查到是誰(shuí)和你連接。例如，使用Windows中的netstat命令可以看到本機(jī)以及與之相連的遠(yuǎn)程主機(jī)的IP地址、端口號(hào)等等。如果能從nslookup查出某一IP地址的DNS，則可以直接向當(dāng)?shù)豊IC查出入侵者網(wǎng)絡(luò)的資料以及所屬機(jī)構(gòu)。如果這個(gè)IP地址也沒有域名的話，則必須先將IP地址分等級(jí)，再向NIC查詢。用戶還可以通過IP地址了解到入侵者所在的地理位置。6.4入侵檢測(cè)入侵檢測(cè)是利用掃描分析方法檢查網(wǎng)絡(luò)系統(tǒng)，檢測(cè)報(bào)告系統(tǒng)存在的異常以及可能受到的攻擊，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。

6.4.1入侵檢測(cè)的目的入侵檢測(cè)的目的就是及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中所存在的最薄弱的環(huán)節(jié)，使用最有效的方法定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性檢測(cè)與分析，及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞以及可能的攻擊，最大限度地保證網(wǎng)絡(luò)系統(tǒng)的安全。在安全系統(tǒng)中，一般至少應(yīng)當(dāng)考慮外部攻擊、內(nèi)部攻擊和特權(quán)濫用三類安全威脅。攻擊者來自該計(jì)算機(jī)系統(tǒng)的外部時(shí)稱做外部攻擊。那些有機(jī)會(huì)使用計(jì)算機(jī)，但無權(quán)訪問某些特定的數(shù)據(jù)、程序或資源的人企圖越權(quán)使用系統(tǒng)資源時(shí)視為內(nèi)部攻擊，包括假冒者、秘密使用者等。特權(quán)濫用者也是計(jì)算機(jī)系統(tǒng)資源的合法用戶，表現(xiàn)為有意或無意地濫用他們的特權(quán)。異常入侵檢測(cè)的主要前提條件是入侵性活動(dòng)作為異?；顒?dòng)的子集。理想狀況是異?；顒?dòng)集同入侵性活動(dòng)集相等。在這種情況下，若能檢測(cè)所有的異?；顒?dòng)，就能檢測(cè)所有的入侵性活動(dòng)。可是，入侵性活動(dòng)集并不總是與異?；顒?dòng)集相符合?；顒?dòng)存在四種可能性：入侵性而非異常、非入侵性且異常、非入侵性且非異常、入侵且異常。異常入侵檢測(cè)要解決的問題就是構(gòu)造異常活動(dòng)集并從中發(fā)現(xiàn)入侵性活動(dòng)子集。異常入侵檢測(cè)方法依賴于異常模型的建立，不同的模型就構(gòu)成不同的檢測(cè)方法。異常檢測(cè)通過觀測(cè)到的一組測(cè)量值偏離度來預(yù)測(cè)用戶行為的變化，并做出決策判斷。通過檢測(cè)試圖登錄的失敗記錄可以發(fā)現(xiàn)外部攻擊者的攻擊企圖。通過觀察試圖連接特定文件、程序和其它資源的失敗記錄可以發(fā)現(xiàn)內(nèi)部攻擊者的攻擊企圖，如可通過為每個(gè)用戶單獨(dú)建立的行為模型和特定的行為比較來檢測(cè)發(fā)現(xiàn)假冒者。要通過審計(jì)信息來發(fā)現(xiàn)那些特權(quán)濫用者往往是很困難的。特別難以防范的攻擊是具備較高優(yōu)先特權(quán)的內(nèi)部人員的攻擊。攻擊者可以通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計(jì)本身更低級(jí)的操作來逃避審計(jì)。對(duì)于那些具備系統(tǒng)特權(quán)的用戶，需要審查所有關(guān)閉或暫停審計(jì)功能的操作，通過審查被審計(jì)的特殊用戶或者其它的審計(jì)參數(shù)來發(fā)現(xiàn)。審查更低級(jí)的功能，如審查系統(tǒng)服務(wù)或核心系統(tǒng)調(diào)用通常比較困難，通用的方法很難奏效，需要專用的工具和操作才能實(shí)現(xiàn)?？傊?，為了防范隱秘的內(nèi)部攻擊，需要在技術(shù)手段之外確保管理手段行之有效，技術(shù)上則需要監(jiān)視系統(tǒng)范圍的某些特定指標(biāo)(如CPU、內(nèi)存和磁盤的活動(dòng))，并與通常情況下它們的歷史記錄進(jìn)行比較，從比較的結(jié)果來發(fā)現(xiàn)它們。6.4.2入侵檢測(cè)技術(shù)入侵檢測(cè)實(shí)際上也是一種信息識(shí)別與檢測(cè)技術(shù)。入侵活動(dòng)的實(shí)際體現(xiàn)就是數(shù)據(jù)包，它作為信息輸入到檢測(cè)系統(tǒng)之中。檢測(cè)系統(tǒng)對(duì)其進(jìn)行分析和處理之后，得到的就是網(wǎng)絡(luò)入侵的判斷。因此，傳統(tǒng)的信息識(shí)別技術(shù)也可以用到入侵檢測(cè)中來。不過，與通常的信息識(shí)別和檢測(cè)相比，入侵檢測(cè)有其獨(dú)特之處。在入侵檢測(cè)中，不但信息的先后次序十分重要，信息產(chǎn)生的時(shí)間也要作為一個(gè)重要的變量輸入到識(shí)別系統(tǒng)之中。此外，入侵檢測(cè)比一般的信息識(shí)別有更強(qiáng)的上下文和環(huán)境相關(guān)性，不同的環(huán)境下有完全不同的結(jié)果。這兩點(diǎn)是實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測(cè)必需要考慮的因素。

1．基于審計(jì)信息的檢測(cè)技術(shù)審計(jì)技術(shù)使通信系統(tǒng)自動(dòng)記錄下網(wǎng)絡(luò)中機(jī)器的使用時(shí)間、敏感操作和違紀(jì)操作等。審計(jì)類似于飛機(jī)上的“黑匣子”，它為系統(tǒng)進(jìn)行事故原因查詢、定位、事故發(fā)生前的預(yù)測(cè)、報(bào)警以及為事故發(fā)生后的實(shí)時(shí)處理提供詳細(xì)可靠的依據(jù)或支持。審計(jì)對(duì)用戶的正常操作也有記載，因?yàn)橥行┛此普５牟僮?，如修改?shù)據(jù)等，恰恰是攻擊系統(tǒng)的非法操作。審計(jì)跟蹤、攻擊檢測(cè)具有最后的防線性質(zhì)的防范能力，或許是用來發(fā)現(xiàn)合法用戶濫用特權(quán)的唯一方法。審計(jì)跟蹤、攻擊檢測(cè)還提供了一種機(jī)制，能夠在一定程度上使用戶為其失誤或非法行為負(fù)責(zé)，從而增強(qiáng)他們的責(zé)任感，而且審計(jì)跟蹤還能用以證明一個(gè)受到懷疑的人是真的有罪還是無辜的。早期中大型的計(jì)算機(jī)系統(tǒng)中都收集審計(jì)信息來建立跟蹤文件，這些審計(jì)跟蹤的目的多是為了性能測(cè)試或計(jì)費(fèi)，因此對(duì)攻擊檢測(cè)提供的有用信息比較少。此外，審計(jì)跟蹤最主要的困難在于審計(jì)信息粒度的安排，審計(jì)信息粒度較細(xì)時(shí)，數(shù)據(jù)過于龐大和細(xì)節(jié)化，而由于審計(jì)跟蹤機(jī)制所提供的信息數(shù)據(jù)量過于巨大，將有用的信息淹沒在其中，因此，人工檢查由于其不可行而變得毫無意義。為了從大量的有時(shí)是冗余的審計(jì)跟蹤數(shù)據(jù)中提取出對(duì)安全功能有用的信息，基于計(jì)算機(jī)系統(tǒng)審計(jì)跟蹤信息設(shè)計(jì)和實(shí)現(xiàn)的系統(tǒng)安全自動(dòng)分析檢測(cè)工具是很必要的，可以用于從中篩選出涉及安全的信息。其思路與流行的數(shù)據(jù)挖掘技術(shù)是極其類似的。基于審計(jì)的自動(dòng)分析檢測(cè)工具可以是脫機(jī)的，指分析工具非實(shí)時(shí)地對(duì)審計(jì)跟蹤文件提供的信息進(jìn)行處理，從而得到計(jì)算機(jī)系統(tǒng)是否受到過攻擊的結(jié)論，并且提供盡可能多的攻擊者信息。此外，這種自動(dòng)分析檢測(cè)工具也可以是聯(lián)機(jī)的，即分析工具實(shí)時(shí)地對(duì)審計(jì)跟蹤文件提供的信息進(jìn)行同步處理，當(dāng)有可疑的攻擊行為時(shí)，系統(tǒng)提供實(shí)時(shí)警報(bào)，在攻擊發(fā)生時(shí)就能提供攻擊者的有關(guān)信息，其中可以包括攻擊企圖指向的信息。通用的審計(jì)跟蹤提供用于攻擊檢測(cè)的重要信息，例如什么人運(yùn)行了什么程序，何時(shí)訪問或修改過哪些文件，使用過內(nèi)存和磁盤空間的數(shù)量等等，但也可能漏掉部分重要的攻擊檢測(cè)相關(guān)信息。為了使通用的審計(jì)跟蹤能用于攻擊檢測(cè)等安全目的，必須配備自動(dòng)工具對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析，以期盡早發(fā)現(xiàn)那些可疑事件或行為的線索，給出報(bào)警或?qū)勾胧?。?shí)時(shí)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行內(nèi)容審計(jì)，以防止或追查可能的泄密行為。因此，為了滿足國(guó)家保密法的要求，在某些重要的或涉密網(wǎng)絡(luò)中，應(yīng)該安裝使用內(nèi)容審計(jì)系統(tǒng)。

2．基于統(tǒng)計(jì)的入侵檢測(cè)統(tǒng)計(jì)方法是異常入侵檢測(cè)中應(yīng)用最多的一種方法，在應(yīng)用中已經(jīng)有比較成功的實(shí)用方法和系統(tǒng)。常規(guī)的方法是，首先，入侵檢測(cè)系統(tǒng)根據(jù)用戶對(duì)象的活動(dòng)為每個(gè)用戶都建立一個(gè)用戶特征輪廓表，通過比較當(dāng)前特征與以前已建立的特征，從而判斷當(dāng)前行為是否異常。用戶特征輪廓表需要根據(jù)審計(jì)記錄情況不斷地加以更新。特征輪廓表中包含許多衡量指標(biāo)。例如，在IDES中包括活動(dòng)強(qiáng)度指標(biāo)、審計(jì)記錄分布情況指標(biāo)、類別指標(biāo)和序數(shù)指標(biāo)，具體有審計(jì)記錄的產(chǎn)生頻率、用戶的文件存取、I/O活動(dòng)的分布情況與頻率以及CPU和I/O的使用量等等，這些指標(biāo)值可以根據(jù)經(jīng)驗(yàn)值或一段時(shí)間內(nèi)的統(tǒng)計(jì)值得到。統(tǒng)計(jì)方法的典型應(yīng)用主要是基于主機(jī)的入侵檢測(cè)系統(tǒng)的審計(jì)記錄，如IDES。IDES是一個(gè)典型