下载文档原格式
信息安全技术信息安全风险评估方法解读信息安全技术
信息安全风险评估方法
解读
信息安全技术是保障网络和信息系统在相对安全的环境下正常运行,避免或减少因安全事件造成损失的技术手段。
风险评估是信息安全技术中的重要组成部分,它通过对系统、网络、应用和服务中存在的安全风险进行识别、分析和评估,为信息安全控制措施的制定和调整提供依据。
风险评估方法分为两类:基于资产的风险评估和基于威胁的风险评估。
基于资产的风险评估将风险与资产的价值相关联,侧重于保护资产的安全;基于威胁的风险评估将风险与威胁相关联,侧重于预防威胁的发生。
无论是哪种风险评估方法,都需要对系统、网络、应用和服务中的安全风险进行识别、分析和评估。
安全风险包括漏洞、威胁、攻击和脆弱性等。
识别安全风险的方法包括:资产分类、威胁建模、漏洞扫描和渗透测试等。
分析安全风险的方法包括:风险评估工具、专家评估和情景分析等。
评估安全风险的方法包括:风险值计算、风险优先级排序和风险控制策略制定等。
信息安全风险评估方法可以帮助组织了解其面临的安全风险,并
制定相应的控制措施,以降低安全风险。
这些控制措施包括:访问控制、数据加密、入侵检测、漏洞扫描和应急响应等。
信息安全风险分析与应对策略•信息安全风险概述•信息安全风险分析•信息安全风险应对策略•具体应对措施目录01信息安全风险概述1 2 3信息安全是一种保护信息和信息系统免受未经授权的访问、使用、泄露、破坏、修改或者销毁的能力。
信息安全的定义来自内部的和外部的威胁,如黑客攻击、病毒、木马、钓鱼攻击、勒索软件等。
信息安全的威胁软硬件、网络、应用等的安全漏洞,以及人为的错误、管理不善等都可能成为信息安全的薄弱环节。
信息安全的脆弱性03风险管理制定、实施和监督用于减轻信息安全风险的政策、程序和技术。
01风险评估识别关键资产、潜在威胁、脆弱性,并评估可能造成的信息安全风险。
02风险分析分析信息安全风险发生的概率和影响程度,确定需要优先处理的风险。
信息安全现状全球范围内频繁发生的信息安全事件,如网络攻击、数据泄露等。
信息安全的现状与挑战信息安全的挑战技术不断发展,信息安全威胁日益复杂,需要不断提高信息安全意识和能力。
企业与个人的挑战识别和应对来自内部和外部的信息安全风险,保护业务和客户数据的安全。
02信息安全风险分析识别网络攻击01通过监测网络流量和异常行为,识别外部攻击、内部威胁和业务风险。
识别漏洞02对系统、应用、数据库等进行全面漏洞扫描,发现潜在的安全漏洞。
识别数据泄露03通过数据源分析、网络流量分析等技术手段,发现敏感数据的泄露风险。
1 2 3评估潜在的攻击威胁、影响范围和危害程度等。
威胁评估评估漏洞的严重性、利用难度和影响范围等。
漏洞评估综合评估信息安全风险发生的概率和可能带来的损失。
风险评估根据风险发生的概率和可能带来的损失,将信息安全风险划分为不同级别,如低风险、中等风险和高风险。
根据风险级别,制定相应的应对策略和措施,确保风险得到有效管理和控制。
03信息安全风险应对策略03网络安全防护采用先进的网络安全技术,如防火墙、入侵检测系统、虚拟专用网等,保障网络的安全性和稳定性。
01建立完善的安全管理策略制定合理的安全管理制度,加强员工安全意识培训,建立应急响应机制。
信息安全风险评估与管理案例分析随着社会的快速发展和科技的不断进步,信息安全问题越来越受到关注。
尤其是在数字化时代,人们对信息安全的需求变得日益迫切。
然而,信息安全不仅是一项技术问题,更是一个综合性的管理挑战。
本文将通过一个案例分析,探讨信息安全风险评估与管理的重要性和可行性。
案例描述:某企业A是一家拥有大量客户信息和商业机密的互联网公司。
由于其业务的特殊性,其面临的信息安全风险较高。
为了保护客户隐私和避免商业损失,企业A决定进行信息安全风险评估与管理。
第一步:信息安全风险评估信息安全风险评估是信息安全管理的基础,通过对企业A的信息系统进行系统性的评估,识别潜在的风险,分析可能导致信息安全问题的因素。
具体包括以下几个方面:1. 信息资产评估:对企业A的信息资产进行全面评估,包括对客户信息、商业机密、技术资料等进行分类和价值评估。
2. 潜在威胁识别:识别可能对信息安全构成威胁的因素,包括内部因素(员工行为、管理不善等)和外部因素(黑客攻击、病毒传播等)。
3. 脆弱性分析:评估企业A信息系统的脆弱性,包括系统漏洞、数据存储不当等。
4. 风险概率评估:基于潜在威胁和脆弱性分析,评估各个风险事件的发生概率。
通过以上评估,企业A可以清楚地了解自身存在的信息安全风险,为下一步的风险管理提供依据。
第二步:信息安全风险管理信息安全风险管理是信息安全保障的核心内容,主要目标是减轻潜在风险的影响和损失。
在企业A的案例中,信息安全风险管理需要从以下几个方面考虑:1. 风险应对策略:针对不同的风险事件,制定相应的应对策略。
例如,对于黑客攻击,可以加强网络安全防护措施;对于员工行为,可以加强对员工的监管和教育。
2. 信息安全政策和标准:建立健全的信息安全管理体系,明确信息安全政策和标准,确保各项安全措施得以有效实施。
3. 安全技术工具和设施:引入先进的信息安全技术工具,包括防火墙、入侵检测系统等,提高信息系统的安全性。
4. 员工培训和意识提高:加强对员工的信息安全培训,提高员工对信息安全的意识和重视程度,减少内部风险。
远程教育——信息技术安全试题一一、判断题1.根据IS0 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。
正确2.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。
错误3. 只要投资充足,技术措施完备,就能够保证百分之百的信息安全。
错误4. 我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。
正确5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。
正确6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。
错误7.安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。
正确8.Windows 2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。
正确9.信息安全等同于网络安全。
错误10.GB 17859与目前等级保护所规定的安全等级的含义不同,GB 17859中等级划分为现在的等级保护奠定了基础。
正确11.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。
正确12.PKI系统所有的安全操作都是通过数字证书来实现的。
正确13.PKI系统使用了非对称算法、对称算法和散列算法。
正确14.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复Restoration)五个主要环节。
正确15.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。
正确16. 实现信息安全的途径要借助两方面的控制措施:技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。
信息安全试题一、选择题1、从攻击方式区分攻击类型,可分为被动攻击和主动攻击。
被动攻击难以(C),然而(C)这些攻击是可行的;主动攻击难以(C),然而(C)这些攻击是可行的。
A. 阻止,检测,阻止,检测B. 检测,阻止,检测,阻止C. 检测,阻止,阻止,检测D. 上面3项都不是2、可以被数据完整性机制防止的攻击方式是(D)。
A. 假冒源地址或用户的地址欺骗攻击B. 抵赖做过信息的递交行为C. 数据中途被攻击者窃听获取D. 数据在途中被攻击者篡改或破坏3、数字签名要预先使用单向Hash函数进行处理的原因是(C)。
A. 多一道加密工序使密文更难破译B. 提高密文的计算速度C. 缩小签名密文的长度,加快数字签名和验证签名的运算速度D. 保证密文能正确还原成明文4、PKI能够执行的功能是(AC)。
A. 鉴别计算机消息的始发者B. 确认计算机的物理位置C. 保守消息的机密D. 确认用户具有的安全性特权5、互联网服务提供者和联网使用单位应当落实的互联网安全保护技术措施包括(ABCD)A 防范计算机病毒、网络入侵和攻击破坏等危害网络安全事项或者行为的技术措施B 重要数据库和系统主要设备的冗灾备份措施C 记录并留存用户登录和退出时间、主叫号码、帐号、互联网地址或域名、系统维护日志的技术措施D 法律、法规和规章规定应当落实的其他安全保护技术措施6、信息安全技术根据信息系统自身的层次化特点,也被划分了不同的层次,这些层次包括(ACDE)。
A 物理层安全B 人员安全C 网络层安全D 系统层安全E 应用层安全7、网络入侵检测系统,既可以对外部黑客的攻击行为进行检测,也可以发现内部攻击者的操作行为,通常部署在(BC)。
A 关键服务器主机B 网络交换机的监听端口C 内网和外网的边界D 桌面系统E 以上都正确8、在安全评估过程中,安全威胁的来源包括(ABCDE)。
A 外部黑客B 内部人员C 信息技术本身D 物理环境E 自然界9、在安全评估过程中,采取(C )手段,可以模拟黑客入侵过程,检测系统安全脆弱。
远程教育——信息技术安全试题一一、判断题1.根据IS0 13335标准,信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。
正确2.信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。
错误3. 只要投资充足,技术措施完备,就能够保证百分之百的信息安全。
错误4. 我国在2006年提出的《2006~2020年国家信息化发展战略》将“建设国家信息安全保障体系”作为9大战略发展方向之一。
正确5.2003年7月国家信息化领导小组第三次会议发布的27号文件,是指导我国信息安全保障工作和加快推进信息化的纲领性文献。
正确6.在我国,严重的网络犯罪行为也不需要接受刑法的相关处罚。
错误7.安全管理的合规性,主要是指在有章可循的基础之上,确保信息安全工作符合国家法律、法规、行业标准、机构内部的方针和规定。
正确8.Windows 2000/xp系统提供了口令安全策略,以对帐户口令安全进行保护。
正确9.信息安全等同于网络安全。
错误10.GB 17859与目前等级保护所规定的安全等级的含义不同,GB 17859中等级划分为现在的等级保护奠定了基础。
正确11.口令认证机制的安全性弱点,可以使得攻击者破解合法用户帐户信息,进而非法获得系统和资源访问权限。
正确12.PKI系统所有的安全操作都是通过数字证书来实现的。
正确13.PKI系统使用了非对称算法、对称算法和散列算法。
正确14.一个完整的信息安全保障体系,应当包括安全策略(Policy)、保护(Protection)、检测(Detection)、响应(Reaction)、恢复Restoration)五个主要环节。
正确15.信息安全的层次化特点决定了应用系统的安全不仅取决于应用层安全机制,同样依赖于底层的物理、网络和系统等层面的安全状况。
正确16. 实现信息安全的途径要借助两方面的控制措施:技术措施和管理措施,从这里就能看出技术和管理并重的基本思想,重技术轻管理,或者重管理轻技术,都是不科学,并且有局限性的错误观点。
信息安全风险评估方法信息安全风险评估是指对组织内的信息系统和数据进行评估,分析存在的安全风险,并制定相应控制措施以降低风险。
在当今信息化时代,信息安全风险评估方法的选择和应用显得尤为重要。
本文将介绍几种常用的信息安全风险评估方法,帮助读者全面了解和应用于实践。
一、定性与定量评估方法1. 定性评估方法定性评估方法主要基于专家经验和判断进行信息安全风险评估。
在评估过程中,专家利用自己的专业知识和经验判断出各种可能出现的风险,并根据风险的可能性和影响程度进行排序和分类。
这种方法相对简单直观,但主观性较强,结果的可靠性有一定差异。
2. 定量评估方法定量评估方法是基于定量数据和统计分析进行信息安全风险评估。
评估者利用已有数据和统计模型,对各项安全风险进行量化,从而得出相对准确的评估结果。
该方法需要具备一定的数学和统计知识,适用于对大规模系统进行风险评估。
二、标准化评估方法标准化评估方法是指根据国内外相关标准制定的信息安全风险评估方法。
例如ISO/IEC 27005《信息技术-安全技术-信息安全风险管理指南》,这是一项广泛使用的评估方法,它提供了详细的流程和步骤,帮助组织全面评估和管理信息安全风险。
三、威胁建模方法威胁建模方法是一种针对特定系统和应用场景进行信息安全风险评估的方法。
它通过对系统进行建模,分析系统与威胁之间的关系,识别出可能存在的威胁,并评估威胁的可能性和影响程度。
常用的威胁建模方法有攻击树、威胁模型等。
四、脆弱性评估方法脆弱性评估方法是一种通过发现和分析系统中存在的脆弱性,来评估信息安全风险的方法。
评估者通过对系统进行漏洞扫描、渗透测试等技术手段,发现系统中的安全弱点,进而评估相应的风险。
这种方法对于特定系统的评估较为有效,但需要具备一定的技术能力和经验。
五、综合评估方法综合评估方法是上述方法的综合运用,根据实际情况和需求选择适合的评估方法进行信息安全风险评估。
例如,可以结合定性评估和定量评估方法,综合使用标准化评估和威胁建模方法,以更全面、准确地评估信息安全风险。
信息网络的安全风险分析与防范策略李思伟1, 苏 忠2, 赖建荣2, 周 刚2(1.北京市烟草专卖局,北京 100027;2.空军指挥学院,北京 100097)摘 要:对信息网络的安全风险进行系统分析,并采取有效的防范措施,对于确保信息网络安全具有重要意义。
对信息网络涉及的若干方面的安全风险进行具体分析,指出其可能带来的安全隐患。
在此基础上,提出了相应的防范策略。
关键词:网络安全;风险分析;防范策略Security Risk Analysis and Protection Policy for Information NetworksLI Si-wei1, SU Zhong2, LAI Jian-rong2 ZHOU Gang2(1.Beijing Tobacco Monopoly Administration, Beijing 100027,China; 2.Air Force Command College, Beijing 100097,China)Abstract: To ensure the network security, it is very important to analyze the security risk and take out the protection policy for the information networks. In this paper, the security risks with respect to the corresponding aspects for the information networks are analyzed in detailed, the potential hazards are also pointed out. Finally, some protection policies for the security risk are put forward.Key words: network security; risk analysis; protection policy1引言在网络安全研究领域,研究人员已经意识到,建立一个绝对安全的信息网络几乎是不可能的。
威胁和脆弱性识别指南版本记录批准人(签名):日期:威胁和脆弱性识别指南1.目的为规范信息安全风险评估过程中,对信息资产的所面临的威胁以及自身的脆弱性的识别、分类和赋值,以产生一致的、可比较的结果,特制定本指南。
2.适用范围本规范适用于信息安全风险评估过程中的,对信息资产的威胁以及脆弱性的识别、分类和赋值。
3.术语和定义无4.相关/支持性文件•《信息安全风险评估程序》•《记录控制程序》5.6.程序内容6.1.威胁识别安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者事件。
无论对于多么安全的信息系统,安全威胁是一个客观存在的事物,它是风险评估的重要因素之一。
产生安全威胁的主要因素可以分为人为因素和环境因素。
人为因素又可区分为有意和无意两种。
环境因素包括自然界的不可抗的因素和其它物理因素。
威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在保密性、完整性或可用性等方面造成损害。
也可能是偶发的、或蓄意的事件。
一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。
安全事件及其后果是分析威胁的重要依据。
但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全管理人员忽略。
这将导致对安全威胁的认识出现偏差。
在威胁评估过程中,首先就要对组织需要保护的每一项关键资产进行威胁识别。
在威胁识别过程中,应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。
一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响。
6.2.脆弱性识别脆弱性评估也称为弱点评估,是安全风险评估中重要的内容。
弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。
弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。
值得注意的是,弱点虽然是资产本身固有的,但它本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。
找到自身漏洞 信息安全脆弱性分析技术 发布时间:2007.04.28 04:24 来源:赛迪网 作者:lvvl 信息安全所涉及的内容越来越多,从最初的信息保密性,发展到现在的信息的完整性、可用性、可控性和不可否认性,信息技术在一步步走向成熟。
据国外Securityfocus公司的安全脆弱性统计数据表明,绝大部分操作系统存在安全脆弱性。一些应用软件面临同样的问题。再加上管理、软件复杂性等问题,信息产品的安全脆弱性还远未能解决。由于安全脆弱性分析事关重大,安全脆弱性发现技术细节一般不对外公布,例如最近Windows平台上Rpc安全脆弱性,尽管国外安全组织已经报告,但安全脆弱性分析过程及利用始终未透露。
信息系统安全脆弱性分析技术 当前安全脆弱性时刻威胁着网络信息系统的安全。要保障网络信息安全,关键问题之一是解决安全脆弱性问题,包括安全脆弱性扫描、安全脆弱性修补、安全脆弱性预防等。
网络系统的可靠性、健壮性、抗攻击性强弱也取决于所使用的信息产品本身是否存在安全隐患。围绕安全脆弱性分析的研究工作分为以下几个方面:
第一类,基于已知脆弱性检测及局部分析方法 Satan是最早的网络脆弱性分析工具,也是该类研究的代表,由网络安全专家Dan farmer和Wietse venema研制,其基本的设计思路是模拟攻击者来尝试进入自己防守的系统,Satan具有一种扩充性好的框架,只要掌握了扩充规则,就可以把自己的检测程序和检测规则加入到这个框架中去,使它成为Satan的一个有机成分。
正因为如此,当Satan的作者放弃继续开发新版本之后,它能被别的程序员接手过去,从魔鬼(Satan)一跃变成了圣者(Saint)。Saint与Satan相比,增加了许多新的检测方法,但丝毫没有改变Satan的体系结构。Satan 系统只能运行在Unix系统上,远程用户无法使用Satan检测。Saint解决了Satan远程用户问题,但是Satan和Saint都无法对一些远程主机的本地脆弱性进行采集,而且两者的脆弱信息分析方法停留在低级别上,只能处理原始的脆弱信息。
Nessus是一款免费、开放源代码和最新的网络脆弱性分析工具,可运行在Linux、Bsd、Solaris和其他平台上,实现多线程和插件功能,提供gtk界面,目前可检查多种远程安全漏洞。但是,Nessus只能从远程进行扫描获取脆弱性。许多脆弱性是本地的,不能通过网络检测到或被利用,例如收集主机配置信息,信任关系和组的信息难以远程获取。 第二类,基于安全属性形式规范脆弱性检测方法 自动和系统地进行脆弱性分析是目前的研究重点,C.R.Ramakri-shnan和R.Sekar提出了一种基于模型的配置脆弱性分析方法,其基本原理是:首先以形式来规范目标的安全属性,例如,普通用户不能够重写系统日志子文件;其次建立系统抽象模型描述安全相关行为,抽象模型由系统的组件模型来组成,例如,文件系统、特权进程等; 最后检查抽象模型是否满足安全属性,如果不满足,则生成一个脆弱性挖掘过程操作序列,用以说明导致这些安全属性冲突的实现过程。
该方法的优点在于检测已知和新的脆弱点,而Cops和Satan主要解决已知脆弱性的检查。但是运用该方法需要占用大量计算资源,目前还无法做到实际可用,另外,方法的可扩展性仍然是一个难题,实际模型要比实验大得多。模型的开发过程依赖于手工建立,模型自动生成技术尚需要解决。
第三类,基于关联的脆弱性分析与检测 这类研究工作利用了第一、第二类研究成果,侧重脆弱性的关联分析,即从攻击者的角度描述脆弱点的挖掘过程。一款基于网络拓扑结构的脆弱分析工具Tva(Topological Vulnerability Analysis)能够模拟渗透安全专家自动地进行高强度脆弱性分析,给出脆弱点挖掘过程,生成攻击图。tva将攻击步骤及条件建立为状态迁移图,这种表示使得脆弱性分析具有好的扩充性,使得输入指定的计算资源算出安全的网络配置。
然而Tva模型化脆弱性挖掘过程依赖尚需要手工输入,该问题的解决需要一种标准的、机器能理解的语言自动获取领域知识。另外,若一个大型网络存在多个脆弱点,则Tva将产生巨大图形,因而图形的管理将成为难题。最后,tva用到的信息要准确可靠,以便确定脆弱点是否可用,但是Tva的脆弱信息只是依靠Nessus。
Laura P.Swiler等人也研制了计算机攻击图形生成工具,将网络配置、攻击者能力、攻击模板、攻击者轮廓输入到攻击图生成器就可以输出攻击图,图中最短路径集表示系统最有可能受到攻击途径。Oleg Sheyner和Joshua Haines用模型检查方法来研究攻击图的自动生成和分析,其基本的思路是将网络抽象成一个有限状态机,状态的迁移表示原子攻击,并且赋予特定安全属性要求。然后用模型检查器Nusmv自动生成攻击图,并以网络攻击领域知识来解释图中状态变量意义和分析图中的状态变迁关系。但是该方法所要处理问题是模型的可扩展性,计算开销大,建模所使用到的数据依赖于手工来实现。
第四类,脆弱性检测基础性工作,主要指脆弱信息的发现、收集、分类、标准化等研究 安全脆弱性检测依赖于安全脆弱性发现,因此脆弱性原创性发现成为最具挑战性的研究工作。当前,从事安全脆弱性挖掘的研究部门主要来自大学、安全公司、黑客团体等。在脆弱性信息发布方面,Cert最具有代表性,它是最早向Internet网络发布脆弱性信息的研究机构。而在脆弱性信息标准化工作上,Mitre开发“通用漏洞列表(Common Vulnerabilities and Exposures,CVE)”来规范脆弱性命名,同时mitre还研制出开放的脆弱性评估语言OVAL(Open Vulnerability Assessment Language),用于脆弱性检测基准测试,目前该语言正在逐步完善之中。 同国外比较,我国脆弱性信息的实时性和完整性尚欠缺,主要原因在于脆弱性新发现滞后于国外。而安全脆弱性检测、消除、防范等都受制于安全脆弱性的发现。因而,安全脆弱性分析成为最具挑战性的研究热点。
入侵检测与预警技术 网络信息系统安全保障涉及到多种安全系统,包括防护、检测、反应和恢复4个层面。入侵检测系统是其中一个重要的组成部分,扮演着数字空间“预警机”的角色。入侵检测技术大致分为五个阶段:第一阶段是基于简单攻击特征模式匹配检测;第二阶段,基于异常行为模型检测;第三阶段,基于入侵报警的关联分析检测;第四阶段,基于攻击意图检测;第五阶段,基于安全态势检测。归纳起来,入侵检测与预警发展动向表现为以下几方面。
入侵安全技术集成 由于网络技术的发展和攻击技术的变化,入侵检测系统难以解决所有的问题,例如检测、预防、响应、评估等。入侵检测系统正在发生演变:入侵检测系统、弱点检查系统、防火墙系统 、应急响应系统等,将逐步集成在一起,形成一个综合的信息安全保障系统。例如,Securedecisions公司研究开发了一个安全决策系统产品,集成IDS、Scanner、Firewall等功能,并将报警数据可视化处理。入侵阻断系统(Intrusion Prevention System)成为IDS的未来发展方向。
高性能网络入侵检测 现代网络技术的发展带来的新问题是,IDS需要进行海量计算,因而高性能检测算法及新的入侵检测体系成为研究热点。高性能并行计算技术将用于入侵检测领域,高速模式匹配算法及基于纯硬件的NIDS都是目前国外研究的内容。
入侵检测系统标准化 标准化有利于不同类型IDS之间的数据融合及IDS与其他安全产品之间的互动。IETF(Internet Engineering Task Force)的入侵检测工作组(Intrusion Detection Working Group,简称 IDWG)制定了入侵检测消息交换格式(IDMEF)、入侵检测交换协议(IDXP)、入侵报警(IAP)等标准,以适应入侵检测系统之间安全数据交换的需要。同时,这些标准协议得到了Silicon Defense、Defcom、UCSB等不同组织的支持,而且按照标准的规定进行实现。目前,开放源代码的网络入侵检测系统Snort已经支持Idmef的插件。因此,具有标准化接口的功能将是下一代IDS的发展方向。
嵌入式入侵检测 互联网的应用,使计算模式继主机计算和桌面计算之后,将进入一种全新的计算模式,这就是普适计算模式。普适计算模式强调把计算机嵌入到人们日常生活和工作环境中,使用户能方便地访问信息和得到计算的服务。随着大量移动计算设备的使用,嵌入式入侵检测技术得到了重视。
入侵检测与预警体系化 入侵检测系统由集中向分布式发展,通过探测器分布式部署,实现对入侵行为的分级监控,将报警事件汇总到入侵管理平台,然后集中关联分析,以掌握安全态势的全局监控,从而支持应急响应。目前技术正向“检测-响应”到“预警-准备”方向发展。
网络蠕虫防范技术 与传统的主机病毒相比,网络蠕虫具有更强的繁殖能力和破坏能力。传统的基于单机的病毒预防技术、基于单机联动的局域网病毒防范技术、病毒防火墙技术等都不能很好地适应开放式网络对网络蠕虫的预警要求。例如,传统的单机病毒检测技术依赖于一定的检测规则,不适应网络蠕虫的检测。因为网络中恶意代码种类繁多,形态千变万化,其入侵、感染、发作机制也千差万别。近年来的研究热点主要是:计算机蠕虫的分类、蠕虫流量的仿真及蠕虫预警系统设计与测试、蠕虫的传播仿真实验、蠕虫剖析模型及隔离技术研究。在网络蠕虫的产品市场方面,国外Silicon Defense公司发布围堵蠕虫产品Countermalice,Lancope公司的Stealthwatch产品,该产品是基于行为入侵检测系统,具有威胁管理功能。
总之,就网络蠕虫发展状况来看,网络蠕虫的攻防技术正处于发展期间,其主要技术走向包括:网络蠕虫的快速传播机制及隐蔽机制;网络蠕虫的早期预警技术和仿真测试;网络蠕虫应急响应技术,主要是阻断技术;网络蠕虫理论模型,如基于应用系统的蠕虫、数据库蠕虫、移动环境网络蠕虫。抗网络蠕虫攻击机制,如代码随机化、软件多样性、蠕虫攻击特征自动识别。
信息系统攻击容忍技术 据有关资料统计,通信中断1小时可以使保险公司损失2万美元,使航空公司损失250万美元,使投资银行损失600万美元。如果通信中断2天则足以使银行倒闭。攻击容忍技术解决的安全问题是在面临攻击、失效和偶发事件的情况下,信息网络系统仍能按用户要求完成任务,信息网络系统能够支持用户必要的业务运行。目前,国际上关于信息网络系统生存的研究处于发展阶段,其主要研究领域包括生存性概念及其特性、生存性模型和仿真、生存性工程、系统的生存性分析与评估、网络容错、数据库入侵容忍等。
