免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2012年上半年 信息系统项目管理师 上午试卷 综合知识
  第17题      
  知识点:   安全策略   入侵检测   入侵检测系统   收集信息   硬件
  关键词:   安全策略   攻击   计算机网络   计算机系统   入侵检测系统   硬件   安全   入侵检测   网络        章/节:   信息系统安全策略       

 
入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件和硬件的组合就构成了入侵检测系统。(17)是入侵检侧系统的核心。
 
 
  A.  评估主要系统和数据的完整性
 
  B.  信息的收集
 
  C.  系统审计
 
  D.  数据分析
 
 
 

 
  第17题    2018年上半年  
   27%
在网络安全防护中,( )注重对网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。
  第17题    2012年下半年  
   49%
我国强制性国家标准《计算机信息安全保护等级划分准则》将计算机信息系统分为5个安全保护等级,其中适用于地方各级国家机关、金融..
  第18题    2016年上半年  
   45%
通过收集和分析计算机系统或网络的关键节点信息,以发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的技术被称为(18)..
   知识点讲解    
   · 安全策略    · 入侵检测    · 入侵检测系统    · 收集信息    · 硬件
 
       安全策略
        安全策略概述
        安全策略是指人们对由于使用计算机业务应用系统而可能导致企业资产损失而进行保护的各种措施、手段,以及建立的各种管理制度、法规等。
        安全策略的核心内容就是“七定”:定方案、定岗、定位、定员、定目标、定制度、定工作流程。
        安全策略具有科学性、严肃性、非二义性和可操作性。
        建立安全策略需要处理好的关系
        1.安全与应用相互依存
        安全与应用既矛盾,又相互依存。没有应用,就不会产生相应的安全需求等问题;不妥善地解决安全问题,就不能更好地开展应用。另外,安全是有代价的,会增加系统建设和运行的费用,会规定对使用的限制,给应用带来一些不便。
        2.风险度的观点
        安全是相对的,是一个风险大小的问题。它是一个动态过程,我们不能一厢情愿地追求所谓绝对安全,而是要将安全风险控制在合理程度或允许的范围内。
        3.适度安全的观点
        安全风险与安全代价相对应,需要经过风险评估后对风险和代价进行均衡,有效控制两者的平衡点,既能保证安全风险的有效控制,又使安全的代价可以接受。
        4.木桶效应观点
        安全就好比木桶的短板,应关注于安全。
        5.安全等级保护
        国家标准《计算机信息安全保护等级划分准则》将计算机信息系统分为以下5个安全保护等级:
        .用户自主保护级:适用于普通内联网用户。
        .系统审计保护级:适用于通过内联网或国际网进行商业活动,需要保密的非重要单位。
        .安全标记保护级:适用于地方各级国家机关、金融单位机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。
        .结构化保护级:适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科研单位机构和国防建设等部门。
        .访问验证保护级:适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
        建立安全策略的设计原则
        建立安全策略的设计原则是在决策之前需要清理头绪,抓住“关键环节”。
        信息系统安全管理的8个总原则:
        .主要领导人负责原则
        .规范定级原则
        .依法行政原则
        .以人为本原则
        .注重效费比原则
        .全面防范、突出重点原则
        .系统、动态原则
        .特殊的安全管理原则
        信息系统安全管理的10个特殊原则是:
        .分权制衡原则
        .最小特权原则
        .标准化原则
        .失效保护原则
        .普遍参与原则
        .职责分离原则
        .审计独立原则
        .控制社会影响原则
        .保护资源和效率原则
        系统安全方案
        全局性的系统方案直接影响到信息系统安全实施与效果。因此,从信息安全考虑,确定一个有利于信息安全的系统组成方案是十分必要的。与系统安全方案有关的系统组成因素包括:
        .主要硬件设备的选型。
        .操作系统和数据库的选型。
        .网络拓扑结构的选型。
        .数据存储方案和存储设备的选型。
        .安全设备的选型。
        .应用软件开发平台的选型。
        .应用软件系统结构的选型。
        .供货商和集成商的选择。
        .业务运营与安全管理的职责划分。
        .应急处理方案的确定以及人员的落实。
        确定系统安全方案主要包括如下内容:
        .首先确定采用MIS+S、S-MIS或S2-MIS体系架构。
        .确定业务和数据存储方案。
        .确定网络拓扑结构。
        .基础安全设施和主要安全设备的选型。
        .业务应用系统安全级别确定。
        .系统资金和人员投入的档次。
        系统安全策略内容
        安全策略的核心内容为“七定”,安全策略种类包括:
        .机房设备安全管理策略。
        .主机和操作系统管理策略。
        .网络和数据库管理策略。
        .应用和输入输出管理策略。
        .应用开发管理策略。
        .应急事故管理策略。
        .密码和安全设备管理策略。
        .信息审计管理策略等。
 
       入侵检测
        入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性的行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。
        入侵检测系统要解决的最基本的两个问题是:如何充分并可靠地提取描述行为特征的数据,以及如何根据特征数据,高效并准确地判断行为的性质。由系统的构成来说,通常包括数据源(原始数据)、分析引擎(通过异常检测或误用检测进行分析)、响应(对分析结果采用必要和适当的措施)3个模块。
               入侵检测技术
               入侵检测系统所采用的技术可分为特征检测与异常检测两种:
               (1)特征检测。特征检测也称为误用检测,假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式,使之既能够表达“入侵”现象又不会将正常的活动包含进来。
               (2)异常检测。假设入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
               常用检测方法
               入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。
               (1)特征检测。对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
               (2)统计检测。统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:
               .操作模型。假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击。
               .方差。计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。
               .多元模型。操作模型的扩展,通过同时分析多个参数实现检测。
               .马尔柯夫过程模型。将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件。
               .时间序列分析。将事件计数时间序列分析。将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
               统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而绕过入侵检测系统。
               (3)专家系统。用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
               性能
               仅仅能够检测到各种攻击是不够的,入侵检测系统还必须能够承受高速网络和高性能网络节点所产生的事件流的压力。有两种途径可以用来实时分析庞大的信息量,分别是分割事件流和使用外围网络传感器。
               (1)分割事件流。可以使用一个分割器将事件流切分为更小的可以进行管理的事件流,从而入侵检测传感器就可以对它们进行实时分析。
               (2)使用外围网络传感器。在网络外围并靠近系统必须保护的主机附近使用多个传感器。
 
       入侵检测系统
        入侵检测系统(Intrusion Detection System, IDS)可以弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络连接等。
        1)基本概念
        入侵行为主要是指对系统资源的非授权使用,可以造成系统数据的丢失和破坏、系统拒绝服务等危害。对于入侵检测而言的网络攻击可以分为以下4类。
        (1)检查单IP包(包括TCP、UDP)首部即可发觉的攻击,如winnuke、ping of death、land.c、部分OS detection、source routing等。
        (2)检查单IP包,并同时要检查数据段信息才能发觉的攻击,如利用CGI漏洞、缓存溢出攻击等。
        (3)通过检测发生频率才能发觉的攻击,如端口扫描、SYN Flood、smurf攻击等。
        (4)利用分片进行的攻击,如teadrop、nestea、jolt等。
        进行入侵检测的软件与硬件的组合就是入侵检测系统。入侵检测系统的原理模型如下图所示。入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
        
        入侵检测系统的原理模型
        2)任务
        入侵检测系统执行的主要任务包括监视、分析用户及系统活动;审计系统构造的弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
        3)步骤
        入侵检测一般分为3个步骤,依次为信息收集、数据分析、响应(被动响应和主动响应)。
        信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。
        数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。
        入侵检测系统在发现入侵后会及时做出响应,包括切断网络连接、记录事件和报警等。响应一般分为主动响应(阻止攻击或影响进而改变攻击的进程)和被动响应(报告和记录所检测出的问题)两种类型。
        4)入侵检测系统技术
        可以采用概率统计方法、专家系统、神经网络、模式匹配、行为分析等来实现入侵检测系统的检测机制,以分析事件的审计记录,识别特定的模式,生成检测报告和最终的分析结果。
        发现入侵检测一般采用如下两项技术。
        (1)异常发现技术。异常发现技术假定所有入侵行为都是与正常行为不同的。它的原理是,假设可以建立系统正常行为的轨迹,所有与正常轨迹不同的系统状态则视为可疑企图。异常阈值与特征的选择是其成败的关键。其局限在于:并非所有的入侵都表现为异常,而且系统的轨迹难以计算和更新。
        (2)模式发现技术。模式发现技术是假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,所有已知的入侵方法都可以用匹配的方法发现。模式发现技术的关键是如何表达入侵的模式,以正确区分真正的入侵与正常行为。模式发现的优点是误报少;局限是只能发现已知的攻击,对未知的攻击无能为力。
        5)入侵检测系统的分类
        通常,入侵检测系统按其输入数据的来源分为以下3类。
        (1)基于主机的入侵检测系统。其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵。
        (2)基于网络的入侵检测系统。其输入数据来源于网络的信息流,能够检测该网段上发生的网络入侵。
        (3)分布式入侵检测系统。能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统,系统由多个部件组成,采用分布式结构。
        另外,入侵检测系统还有其他一些分类方法。如根据布控物理位置可分为基于网络边界(防火墙、路由器)的监控系统、基于网络的流量监控系统以及基于主机的审计追踪监控系统;根据建模方法可分为基于异常检测的系统、基于行为检测的系统和基于分布式免疫的系统;根据时间分析可分为实时入侵检测系统和离线入侵检测系统。
        6)入侵检测的方法
        入侵检测的方法主要有以下几种。
        (1)静态配置方法。静态配置方法通过检查系统的当前配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(系统配置信息),而不是系统中的活动。所以,采用静态配置分析方法需要尽可能了解系统的缺陷,否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。
        (2)异常性检测方法。异常性检测技术是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是,在许多环境中,为用户建立正常行为模式的特征轮廓,以及确定用户活动的异常性报警的阈值都是比较困难的事,所以仅使用异常性检测技术不可能检测出所有的入侵行为。
        (3)基于行为的检测方法。通过检测用户行为中那些与已知入侵行为模式类似的行为,以及那些利用系统的缺陷或间接违背系统安全规则的行为,来判断系统中的入侵活动。
        入侵检测方法虽然能够在某些方面取得好的效果,但总体看来各有不足,因而越来越多的入侵检测系统都同时采用几种方法,以互补不足,共同完成检测任务。
        7)入侵检测系统的结构
        目前,CIDF(通用入侵检测架构组织)和IETF都试图对入侵检测系统进行标准化。CIDF阐述了一个入侵检测系统的通用模型,将入侵检测系统分为以下4个组件。
        (1)事件产生器。CIDF将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。事件产生器是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
        (2)事件分析器。事件分析器分析得到的数据,并产生分析结果。
        (3)响应单元。响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以是简单的报警。
        (4)事件数据库。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
        在这个模型中,前三者以程序的形式出现,而最后一个常是文件或数据流。入侵检测系统的几个组件常位于不同的主机上。一般会有3台机器,分别运行事件产生器、事件分析器和响应单元。
        8)入侵检测系统的标准化
        IETF的Internet草案工作组(IDWG)专门负责定义入侵检测系统组件之间,以及不同厂商的入侵检测系统之间的通信格式,目前只有相关的草案(Draft),还未形成正式的RFC文档。IDWG文档有以下4类。
        (1)入侵警报协议(IAP)。该协议是用于交换入侵警报信息、运行于TCP之上的应用层协议。
        (2)入侵检测交换协议(IDXP)。这个应用层协议是在入侵检测实体间交换数据,提供入侵检测报文交换格式(IDMEF)报文、无结构的文本和二进制数据的交换。
        (3)IDMEF。IDMEF是数据存放格式隧道(Tunnel)文件,允许块可扩展交换协议(Beep)对等体能作为一个应用层代理,用户通过防火墙得到服务。
        (4)IAP。IAP是最早设计的通信协议,它将被IDXP替换,IDXP建立在Beep基础之上,Tunnel文件配合IDXP使用。
        9)IDS与防火墙的比较
        IDS不同于防火墙的是,它是一个监听设备,没有挂接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的Hub式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:尽可能靠近攻击源和受保护资源。这些位置通常是:服务器区域的交换机,Internet接入路由器之后的第一台交换机,重点保护网段的局域网交换机等。两者的不同点如下表所示。
        
        IDS与防火墙功能的比较
 
       收集信息
        在网络开发过程中,一旦设计者了解网络需求之后,便可进入逻辑网络设计阶段。进入这一阶段的前提是设计者必须有详尽的需求报告和通信规范。
        在网络设计的初始阶段,网络设计人员首先需要对用户的需求了如指掌,然后着手进行网络设计前的准备工作。准备工作首先从收集信息(这些信息包括技术层面的和产品层面的)开始,收集信息一定要以满足用户需求为目标,为网络设计和实施服务。
        收集信息的途径有很多种,主要有以下几个。
        ◆通过参观访问其他单位获得。
        ◆通过厂商资料和宣传品获得。
        ◆通过Internet获得。
        ◆通过投标公司获得。
        ◆通过其他渠道获得。
        对于收集到的信息需要分类整理,参照需求分析说明书找到可靠的且满足需要的技术、产品和设备,然后进一步分析研究。
 
       硬件
        硬件是计算机物理设备的总称,也称为硬件设备,通常是电子的、机械的、磁性的或光的元器件或装置,一般分为中央处理器、存储器和输入、输出设备。
   题号导航      2012年上半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第17题    在手机中做本题