J0ker的CISSP之路:Access Control(12)51CTO博客 - 凯发娱乐

J0ker的CISSP之路:Access Control(12)51CTO博客

2019年02月21日08时52分17秒 | 作者: 昆琦 | 标签: 体系,网络,运用 | 浏览: 1227

本文一起发布在:[url]http://netsecurity.51cto.com/art/200809/88391.htm[/url]        在51CTO安全频道特别策划的《J0ker的CISSP之路》系列的上两篇文章《数据拜访操控办法》和《分布式拜访操控办法》文章里,J0ker向咱们介绍了拜访操控CBK里触及的数据库拜访操控技能和依据内容施行的拜访操控技能,至此,J0ker现已拜访操控CBK中包括到的拜访操控准则、办法和技能都向咱们介绍过了。在接下来几篇文章里,J0ker计划和咱们聊聊和拜访操控相关的施行确保、维护和办理,并在最后为咱们总结一下拜访操控CBK的全部内容。      布置拜访操控计划是重要的信息体系和信息财物维护手法,但对用户来说,不单应该把维护措施布置到位,监控是否有不合法或合法用户损坏维护手法的约束也是相同重要的使命,所以,企业需求定时对网络和信息体系进行安全审计,以发现***者的痕迹或***测验。为了让咱们更简略的了解J0ker接下去要介绍的内容,咱们需求先对“***“做一个更为精确的界说:所谓***,就是一系列会导致信息体系、网络和信息财物遭到可用性、完整性和保密性要挟的行为。   ***检测和***检测体系         为了更好地进行安全审计,企业和其他职业都广泛的选用了被统称为***检测体系(Intrusion Detection System,IDS)的一系列软件。或许有一部分朋友或许常常传闻IDS这个名词,但不怎样了解它的作业原理——打个简略的比如,IDS和家庭常用的防盗报警器相似,假如有窃贼闯入了受防盗报警器维护的房间,防盗报警器就会发现窃贼并宣布巨大的响声,正告房子的主人、街坊或邻近的保安,房子现已被不合法闯入。IDS在网络上启用之后,会进入不搅扰体系和网络运转的后台方式,并检测是否***者闯入体系或授权用户在乱用体系资源,假如检测到可疑的行为,IDS将会向体系办理员宣布正告信息。        IDS是怎么完成对反常行为的检测的?这还得从IDS所运用的***检测技能说起,***检测技能依据这样一个准则:***者所建议的体系和网络***是可以经过对多种元素的剖析发现的,如网络通讯流量、数据包结构和内容、CPU的运用率、输入输出运用和文件操作等,这些元素,或许称为体系行为,构成了体系的审计数据,现有的***检测技能再经过查看这些网络流量日志和其他审计数据,然后辨认并阻隔对体系和网络***行为。       体系的各种日志是IDS运用最多的输入数据,尽管在某些情况下,咱们仍经常运用特定的要害词对体系日志进行查找,以找到是否存在反常的体系活动。但在大多数的情况下,现代信息体系和网络发作的海量日志数据并不是咱们可以以手艺方法进行查看的,咱们更多的是运用IDS依照预先界说好的行为模板,对日志进行实时的剖析并发现是否正在发作***。       常见的***检测体系由三个部分组成:探测器(Sensor,有时分咱们也将其称为署理,Agent)、剖析器和供给给安全办理员运用的用户界面。探测器担任收集IDS运用的数据,并转发到IDS的剖析器,IDS的剖析器则依据必定的规矩对收集到的数据进行剖析,并发现是否正在或现已发作***行为,而用户界面则用于向安全办理员显现剖析器的输出成果。       依照完成原理和运用场合,现在的IDS可以分红两种首要的类型:依据网络的IDS(Network-Based)和依据主机的IDS(Host-Based),依据网络的IDS可以监控网络流量,而依据主机的IDS则对体系的内部日志进行审阅以发现可疑的行为。从用户的视点来说,最理想的情况是一个IDS软件可以一起供给依据网络的IDS功用和依据主机的IDS功用,可是,俗话说术业有专攻,企业中常运用的IDS体系仍以单纯的依据网络的IDS或依据主机的IDS为主。下面J0ker将向咱们逐个介绍这两种IDS。   依据网络的IDS(Network-Based IDS,NIDS)          依据网络的IDS(NIDS)可以实时的监督通讯衔接中的网络流量情况,它一般是一个作业在被动方式下的设备,并不会影响它地点网络的运用。NIDS运用稠浊方式直接从网络传输前言(网线、无线、光纤等)获取所传输数据的复制,并在这些数据抵达其目的地之前对这些数据的内容进行剖析,NIDS也可以依据协议或数据的其他特征进行剖析。       企业中首要运用NIDS来发现拒绝服务***和网络流量上包括的恶意代码,当NIDS发现这类***呈现后,可以依据预先设置的行为方式,正告网络的办理员,并断开正在进行***的网络衔接。为了增强NIDS的才能,许多NIDS还和防火墙进行集成,或许主动的界说新的规矩以阻拦将来或许呈现的某种***。       NIDS需求运转在一个独立的主机上,然后避免一般产品体系上装置的其他软件对NIDS的作业发作的影响,许多安全厂商也推出了网络设备方式的IDS,用户只需求简略的将这样的IDS接入网络,并进行简略的装备即可投入运用。但这种方式的NIDS最大的缺乏是它的适应性,跟着企业提高网络衔接速度,NIDS需求监控更多的网络流量,假如网络流量超越它所能监控的等级,将或许形成***行为的漏报或误报。因而,为了确保运用的有用性,企业在购买NIDS的时分,应该考虑NIDS可以支撑企业在未来一段时间内添加的网络带宽和流量。       NIDS面对的另一个问题是企业网络中加密流量的添加,尽管加密技能可以维护传输数据的保密性,但NIDS由于无法查看加密流量中,将有或许放过原本应该阻拦的未授权拜访或***流量。别的,NIDS的办理和数据传输应该选用和出产网络相阻隔的专用办理网络,避免由于***者或其他无意的原因丢掉NIDS收集到的数据和宣布的安全警报。   依据主机的IDS(Host-Based IDS,HIDS)         和NIDS不同,依据主机的IDS(HIDS)首要运用探测器来监测一台主机的安全情况,HIDS的探测器可以监测体系的各种日志信息、要害的体系文件和其他可以审计的内容,并发现未授权的更改或可疑的行为和活动。HIDS可以监测在受控主机上发作的***,并可以供给更为有用的***呼应,假如HIDS的装备正确,在不正常的行为发作的时分HIDS可以即时向办理员发送正告。        针对用户一起监控多个主机的需求,不少安全厂商也推出了支撑多主机审阅的HIDS产品,咱们平常运用的许多个人版防火墙和反病毒软件里边,其实也包括了一个定制过的HIDS,或完成了一部分的HIDS功用。HIDS的首要缺点是会占用其地点体系的一部分体系资源,在要害体系上简略导致体系不稳定,也有或许会被***者在***时首要封闭,然后失掉对地点体系的监控才能。
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表凯发娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章