信息系統(tǒng)安全策略

★信息系統(tǒng)安全策略是指針對(duì)本單位的計(jì)算機(jī)業(yè)務(wù)應(yīng)用信息系統(tǒng)的安全風(fēng)險(xiǎn)(安全威脅) 進(jìn)行有效的識(shí)別、評(píng)估后仅孩，所采取的各種措施菜职、手段，以及建立的各種管理制度肉微、規(guī)章等匾鸥。由此可見(jiàn)，一個(gè)單位的安全策略一定是定制的浪册，都是針對(duì)本單位的扫腺。
★安全策略的核心內(nèi)容就是“七定”，即定方案村象、定崗笆环、定位攒至、定員、定目標(biāo)躁劣、定制度迫吐、定工作流程。
★把信息系統(tǒng)的安全目標(biāo)定位于“系統(tǒng)永不停機(jī)账忘、數(shù)據(jù)永不丟失志膀、 網(wǎng)絡(luò)永不癱瘓、信息永不泄密”是錯(cuò)誤的鳖擒，是不現(xiàn)實(shí)的也是不可能的溉浙。

第三版教材P607

信息系統(tǒng)安全保護(hù)等級(jí)

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中規(guī)定了計(jì)算機(jī)系統(tǒng)安全保護(hù)能力的五個(gè)等級(jí)：

第一級(jí)為用戶(hù)自主保護(hù)級(jí)，該級(jí)適用于普通內(nèi)聯(lián)網(wǎng)用戶(hù)蒋荚；

第二級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)戳稽，該級(jí)適用于通過(guò)內(nèi)聯(lián)網(wǎng)或國(guó)際網(wǎng)進(jìn)行商務(wù)活動(dòng)，需要保密的非重要單位期升；

第三級(jí)為安全標(biāo)記保護(hù)級(jí)惊奇，該級(jí)適用于地方各級(jí)國(guó)家機(jī)關(guān)、金融機(jī)構(gòu)播赁、郵電通信颂郎、能源與水源供給部門(mén)、交通運(yùn)輸容为、大型工商與信息技術(shù)企業(yè)乓序、重點(diǎn)工程建設(shè)等單位；

第四級(jí)為結(jié)構(gòu)化保護(hù)級(jí)舟奠，該級(jí)適用于中央級(jí)國(guó)家機(jī)關(guān)竭缝、廣播電視部門(mén)、重要物資儲(chǔ)備單位沼瘫、社會(huì)應(yīng)急服務(wù)部門(mén)抬纸、尖端科技企業(yè)集團(tuán)、國(guó)家重點(diǎn)科研機(jī)構(gòu)和國(guó)防建設(shè)等部門(mén)耿戚；

第五級(jí)為訪問(wèn)驗(yàn)證保護(hù)級(jí)湿故，該級(jí)適用于國(guó)防關(guān)鍵部門(mén)和依法需要對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施特殊隔離的單位。

第三版教材P607

助記：主審“機(jī)”構(gòu)訪問(wèn)（自主--審計(jì)--標(biāo)記--結(jié)構(gòu)--訪問(wèn)）

信息系統(tǒng)安全策略設(shè)計(jì)原則

★我國(guó)信息化建設(shè)總結(jié)出來(lái)的寶貴經(jīng)驗(yàn)有8個(gè)總原則和10個(gè)特殊原則：

8個(gè)總原則：

(1) 主要領(lǐng)導(dǎo)人負(fù)責(zé)原則膜蛔。

(2) 規(guī)范定級(jí)原則坛猪。

(3) 依法行政原則。

(4) 以人為本原則皂股。

(5) 注重效費(fèi)比原則(安全需求和現(xiàn)實(shí)資源的有限性)

(6) 全面防范墅茉、突出重點(diǎn)原則。

(7) 系統(tǒng)、動(dòng)態(tài)原則就斤。

(8) 特殊的安全管理原則(遵循10個(gè)特殊原則)

10個(gè)特殊原則：

(1) 分權(quán)制衡原則

(2) 最小特權(quán)原則(對(duì)信息和信息系統(tǒng)訪問(wèn)采用最小特權(quán))

(3) 標(biāo)準(zhǔn)化原則

(4) 用成熟的先進(jìn)技術(shù)原則

(5) 失效保護(hù)原則(系統(tǒng)運(yùn)行錯(cuò)誤或故障時(shí)必須拒絕非授權(quán)訪問(wèn))

(6) 普遍參與原則

(7) 職責(zé)分離原則

(8) 審計(jì)獨(dú)立原則

(9) 控制社會(huì)影響原則

(10) 保護(hù)資源和效率原則(風(fēng)險(xiǎn)度的觀點(diǎn)和適度安全的觀點(diǎn))

信息安全系統(tǒng)

信息安全系統(tǒng)三維空間

X軸是“安全機(jī)制”：為提供某些安全服務(wù)，利用各種安全技術(shù)和技巧洋机，所形成的一個(gè)較為完善的結(jié)構(gòu)體系坠宴。如“平臺(tái)安全”機(jī)制衔肢，實(shí)際上就是指的安全操作系統(tǒng)顿锰、安全數(shù)據(jù)庫(kù)、應(yīng)用開(kāi)發(fā)運(yùn)營(yíng)的安全平臺(tái)以及網(wǎng)絡(luò)安全管理監(jiān)控系統(tǒng)等刘陶。
Y軸是OSI網(wǎng)絡(luò)參考模型
Z軸是“安全服務(wù)”疑苫，就是從網(wǎng)絡(luò)中的各個(gè)層次提供給信息應(yīng)用系統(tǒng)所需要的安全服務(wù)支持再膳。如：對(duì)等實(shí)體認(rèn)證服務(wù)喂柒、訪問(wèn)控制服務(wù)灾杰、數(shù)據(jù)保密服務(wù)等麦备。
認(rèn)證黍匾、權(quán)限、完整壶笼、加密和不可否認(rèn)五大要素，也叫做“安全空間” 的五大“屬性”沛励。每個(gè)軸上的內(nèi)容越豐富、越深入顽照、越科學(xué)奢人，“安全空間”就越大，安全性就越好指孤。

安全服務(wù)

(1)對(duì)等實(shí)體認(rèn)證服務(wù)叉跛。用于兩個(gè)開(kāi)放系統(tǒng)同等層中的實(shí)體建對(duì)對(duì)方實(shí)體的合法性、真實(shí)性進(jìn)行確認(rèn)爬骤，以防假冒。

(2)數(shù)據(jù)保密服務(wù)。

(3)數(shù)據(jù)完整性服務(wù)栓撞。數(shù)據(jù)完整性服務(wù)用以防止非法實(shí)體對(duì)交換數(shù)據(jù)的修改、插入搀罢、刪除以及在數(shù)據(jù)交換過(guò)程中的數(shù)據(jù)丟失

(4)數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)蝗岖。 數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)用于確保數(shù)據(jù)發(fā)自真正的源點(diǎn)，防止假冒榔至。

(5)禁止否認(rèn)服務(wù)抵赢。

(6)犯罪證據(jù)提供服務(wù)。

信息系統(tǒng)安全屬性

包括：保密性唧取、完整性铅鲤、可用性、不可抵賴(lài)性
一枫弟、保密性：
是應(yīng)用系統(tǒng)的信息不被泄露給非授權(quán)的用戶(hù)邢享、實(shí)體或過(guò)程，或供其利用的特性淡诗。即防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w驼仪，信息只為授權(quán)用戶(hù)使用的特性掸犬。 應(yīng)用系統(tǒng)常用的保密技術(shù)如下：

①最小授權(quán)原則：對(duì)信息的訪問(wèn)權(quán)限僅授權(quán)給需要從事業(yè)務(wù)的用戶(hù)使用。

②防暴露：防止有用信息以各種途徑暴露或傳播出去绪爸。

③信息加密：用加密算法對(duì)信息進(jìn)行加密處理湾碎，非法用戶(hù)無(wú)法對(duì)信息息進(jìn)行解密，叢而無(wú)法讀懂有效信息奠货。
(如加密U盤(pán)介褥，或即時(shí)加密文件）

④物理保密：利用各種物理方法，如限制递惋、隔離柔滔、掩蔽和控制等措施保護(hù)信息不被泄露。

二萍虽、完整性：
完整性是信息未經(jīng)授權(quán)不能進(jìn)行改變的特性睛廊。即應(yīng)用系統(tǒng)的信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或蓄意地刪除、修改杉编、偽造超全、亂序、重放和插入等破壞和丟失的特性邓馒。完整性與保密性不同嘶朱，保密性要求信息不被泄露給未授權(quán)的人，而完整性則要求信息不致受到各種原因的破壞光酣。影響信息完整性的主要因素有設(shè)備故障疏遏、誤碼(傳輸、處理和存儲(chǔ)過(guò)程中產(chǎn)生的誤碼救军，定時(shí)的穩(wěn)定度和精度降低造成的誤碼财异，各種干擾源造成的誤碼)、人為攻擊和計(jì)算機(jī)病毒等唱遭。
保障應(yīng)用系統(tǒng)完整性的主要方法如下：
①協(xié)議
②糾錯(cuò)編碼方法
③密碼校驗(yàn)和方法
④數(shù)字簽名
⑤公證

三戳寸、可用性：
是應(yīng)用系統(tǒng)信息可被授權(quán)實(shí)體訪問(wèn)并按需求使用的特性〉ㄏ簦可用性是應(yīng)用系統(tǒng)面向用戶(hù)的安全性能±可用性一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來(lái)度量跌穗。

四、不可抵賴(lài)性：
不可抵賴(lài)性也稱(chēng)作不可否認(rèn)性虏辫，在應(yīng)用系統(tǒng)的信息交互過(guò)程中蚌吸，確信參與者的真實(shí)同一性。即所有參與者都不可能否認(rèn)或抵賴(lài)曾經(jīng)完成的操作和承諾砌庄。利用信息源證據(jù)可以防止發(fā)信方不真實(shí)地否認(rèn)已發(fā)送信息羹唠，利用遞交接收證據(jù)可以防止收信方事后否認(rèn)己經(jīng)接收的信息奕枢。

PKI

公鑰基礎(chǔ)設(shè)施PKI(Public Key Infrastructure， 公開(kāi)密鑰基礎(chǔ)設(shè)施)佩微，它是以不對(duì)稱(chēng)密鑰加密技術(shù)為基礎(chǔ)以數(shù)據(jù)機(jī)密性缝彬、完整性、身份認(rèn)證和行為不可抵賴(lài)性為安全目的哺眯，來(lái)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施谷浅。其內(nèi)容包括數(shù)字證書(shū)、不對(duì)稱(chēng)密鑰密碼技術(shù)奶卓、認(rèn)證中心一疯、證書(shū)和密鑰的管理、安全代理軟件夺姑、不可否認(rèn)性服務(wù)墩邀、時(shí)間戳服務(wù)、相關(guān)信息標(biāo)準(zhǔn)盏浙、操作規(guī)范等眉睹。

★一個(gè)網(wǎng)絡(luò)的PKI包括以下幾個(gè)基本的構(gòu)件：

• 數(shù)字證書(shū)。這是由認(rèn)證機(jī)構(gòu)經(jīng)過(guò)數(shù)字簽名后發(fā)給網(wǎng)上信息交易主體(企業(yè)或個(gè)人只盹、設(shè)備或程序)的一段電子文檔辣往。
  數(shù)字證書(shū)提供了PKI的基礎(chǔ)。
• 認(rèn)證中心：CA (Certification Authority) 是PKI的核心殖卑。它是公正站削、權(quán)威、可信的第三方網(wǎng)上認(rèn)證機(jī)構(gòu)
• 數(shù)字證書(shū)注冊(cè)審批機(jī)構(gòu)：RA (Registration Authority) 系統(tǒng)是CA的數(shù)字證書(shū)發(fā)放孵稽、管理的延伸许起。
• 數(shù)字簽名：利用發(fā)信者的私鑰和可靠的密碼算法對(duì)待發(fā)信息或其電子摘要進(jìn)行加密處理，這個(gè)過(guò)程和結(jié)果就是數(shù)字簽名菩鲜。經(jīng)過(guò)數(shù)字簽名后的信息具有真實(shí)性和不可否認(rèn)(抵賴(lài))性园细。
• 密鑰和證書(shū)管理工具：管理和審計(jì)數(shù)字證書(shū)的工具，認(rèn)證中心使用它來(lái)管理在一個(gè)CA上的證書(shū)接校。
• 雙證書(shū)體系：PKI采用雙證書(shū)體系猛频， 非對(duì)稱(chēng)算法支持RSA和ECC算法。包括簽名證書(shū)和加密證書(shū)蛛勉。
• PKI的體系架構(gòu)：宏觀來(lái)看鹿寻， PKI概括為兩大部分， 即信任服務(wù)體系和密鑰管理中心诽凌。
• PKI信任服務(wù)體系：是為整個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)(如電子政務(wù)毡熏、電子商務(wù)等) 提供基于PKI數(shù)字證書(shū)認(rèn)證機(jī)制的實(shí)體身份鑒別服務(wù)，它包括認(rèn)證機(jī)構(gòu)侣诵、注冊(cè)機(jī)構(gòu)痢法、證書(shū)庫(kù)狱窘、證書(shū)撤銷(xiāo)和交叉認(rèn)證等。
• PKI密鑰管理中心(Key Management Center财搁， KMC) 提供密鑰管理服務(wù)蘸炸， 向授權(quán)管理部門(mén)提供應(yīng)急情況下的特殊密鑰回復(fù)功能。它包括密鑰管理機(jī)構(gòu)妇拯、密鑰備份和恢復(fù)幻馁、密鑰更新和密鑰歷史檔案等。

數(shù)字證書(shū)和CA

數(shù)字證書(shū)越锈，是PKI的基礎(chǔ)：
這是由認(rèn)證機(jī)構(gòu)經(jīng)過(guò)數(shù)字簽名后發(fā)給網(wǎng)上信息交易主體(企業(yè)或個(gè)人仗嗦、設(shè)備或程序)的一段電子文檔。在這段文檔中包括主體名稱(chēng)甘凭、證書(shū)序號(hào)稀拐、發(fā)證機(jī)構(gòu)名稱(chēng)、證書(shū)有效期丹弱、密碼算法標(biāo)識(shí)德撬、公鑰和私鑰信息和其他屬性信息等。利用數(shù)字證書(shū)躲胳，配合相應(yīng)的安全代理軟件蜓洪，可以在網(wǎng)上信息交易過(guò)程中檢驗(yàn)對(duì)方的身份真?zhèn)危瑢?shí)現(xiàn)信息交易雙方的身份真?zhèn)危?并保證交易信息的真實(shí)性坯苹、完整性隆檀、機(jī)密性和不可否認(rèn)性。數(shù)字證書(shū)提供了PKI的基礎(chǔ)粹湃。

CA(Certification Authority)認(rèn)證中心恐仑， 是PKI的核心
它是公正、權(quán)威为鳄、可信的第三方網(wǎng)上認(rèn)證機(jī)構(gòu)裳仆，負(fù)責(zé)數(shù)字證書(shū)的簽發(fā)、撤銷(xiāo)和生命周期的管理孤钦，還提供密鑰管理和證書(shū)在線查詢(xún)等服務(wù)歧斟。可用在電子商務(wù)偏形、網(wǎng)上銀行等交易中實(shí)現(xiàn)身份認(rèn)證
如幾大CA認(rèn)證中心：
中國(guó)人民銀行聯(lián)合12家銀行建立的金融CFCA安全認(rèn)證中心
中國(guó)電信認(rèn)證中心(CTCA)
海關(guān)認(rèn)證中心(SCCA)
國(guó)家外貿(mào)部EDI中心建立的國(guó)富安CA安全認(rèn)證中心
廣東電子商務(wù)認(rèn)證中心(以后稱(chēng)廣東CA)為首的“網(wǎng)證通”認(rèn)證體系
SHE CA(上海CA) 為首的UCA協(xié)卡認(rèn)證體系

PMI權(quán)限（授權(quán)）管理基礎(chǔ)設(shè)施

PMI（privilege management infrastructure）即權(quán)限管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施静袖。
PMI授權(quán)技術(shù)的核心思想是以資源管理為核心， 將對(duì)資源的訪問(wèn)控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)進(jìn)行管理壳猜， 即由資源的所有者來(lái)進(jìn)行訪問(wèn)控制管理勾徽。PMI主要進(jìn)行授權(quán)管理滑凉， 證明這個(gè)用戶(hù)有什么權(quán)限统扳，能干什么喘帚，即“你能做什么”

PKI主要進(jìn)行身份鑒別， 證明用戶(hù)身份咒钟， 即“你是誰(shuí)”

它們之間的關(guān)系如同簽證和護(hù)照的關(guān)系吹由。簽證具有屬性類(lèi)別，持有哪一類(lèi)別的簽證才能在該國(guó)家進(jìn)行哪一類(lèi)的活動(dòng)(你能做什么)護(hù)照是身份證明朱嘴，唯一標(biāo)識(shí)個(gè)人信息倾鲫，只有持有護(hù)照才能證明你是一個(gè)合法的人(你是誰(shuí))

訪問(wèn)控制

訪問(wèn)控制是信息安全保障機(jī)制的核心內(nèi)容之一， 它是實(shí)現(xiàn)數(shù)據(jù)保密性和完整性的主要手段之一萍嬉。訪問(wèn)控制是為了限制訪問(wèn)主體(或稱(chēng)為發(fā)起者乌昔，是一個(gè)主動(dòng)的實(shí)體；如用戶(hù)壤追、進(jìn)程磕道、服務(wù)等)對(duì)訪問(wèn)客體(需要保護(hù)的資源)的訪問(wèn)權(quán)限， 從而使計(jì)算機(jī)信息應(yīng)用系統(tǒng)在合法范圍內(nèi)使用行冰；

訪問(wèn)控制機(jī)制 決定用戶(hù)以及代表一定用戶(hù)利益的程序能做什么及做到什么程度溺蕉。

訪問(wèn)控制的兩個(gè)重要過(guò)程

(1)認(rèn)證過(guò)程)通過(guò)“鑒別 (authentication) ”來(lái)檢驗(yàn)主體的合法身份。

(2)授權(quán)管理悼做，通過(guò)“授權(quán) (authorization) ” 來(lái)賦予用戶(hù)對(duì)某項(xiàng)資源的訪問(wèn)權(quán)限疯特，訪問(wèn)權(quán)限隨不同的業(yè)務(wù)應(yīng)用有不同的規(guī)范，一般至少包括讀取數(shù)據(jù)肛走、更改數(shù)據(jù)漓雅、運(yùn)行程序和發(fā)起網(wǎng)絡(luò)連接等基本操作。

因?qū)崿F(xiàn)的基本理念不同羹与，訪問(wèn)控制機(jī)制可分為以下兩種：

• 強(qiáng)制訪問(wèn)控制 (Mandatory AccessControl故硅， MAC)
  用戶(hù)不能改變他們的安全級(jí)別或?qū)ο蟮陌踩珜傩浴這樣的訪問(wèn)控制規(guī)則通常對(duì)數(shù)據(jù)和用戶(hù)按照安全等級(jí)劃分標(biāo)簽纵搁，訪問(wèn)控制機(jī)制通過(guò)比較安全標(biāo)簽來(lái)確定授予還是拒絕用戶(hù)對(duì)資源的訪問(wèn)吃衅。在強(qiáng)制訪問(wèn)控制系統(tǒng)中，所有主體(用戶(hù)腾誉，進(jìn)程)和客體(文件徘层，數(shù)據(jù))都被分配了安全標(biāo)簽，安全標(biāo)簽標(biāo)識(shí)一個(gè)安全等級(jí)利职。訪問(wèn)控制執(zhí)行時(shí)對(duì)主體和客體的安全級(jí)別進(jìn)行比較趣效，確定本次訪問(wèn)是否合法。 (比如將軍軍銜的人可以訪問(wèn)部隊(duì)的絕密數(shù)據(jù)猪贪，校尉級(jí)的只能訪問(wèn)部隊(duì)命令數(shù)據(jù))
• 自主訪問(wèn)控制(Discretionary AccessControl跷敬， DAC)
  機(jī)制允許對(duì)象的屬主來(lái)制定針對(duì)該對(duì)象的保護(hù)策略。通常DAC通過(guò)授權(quán)列表(或訪問(wèn)控制列表)來(lái)限定哪些主體計(jì)對(duì)哪些客體可以執(zhí)行什么操作热押。如此將可以非常靈活地對(duì)策略進(jìn)行調(diào)整西傀。(比如網(wǎng)絡(luò)管理員指定數(shù)據(jù)訪問(wèn)控制)斤寇。

角色的訪問(wèn)控制RBAC(Role-Based AccessControl) ：基于角色的訪問(wèn)控制中， 角色由應(yīng)用系統(tǒng)的管理員定義拥褂。角色成員的增減也只能由應(yīng)用系統(tǒng)的管理員來(lái)執(zhí)行娘锁，即只有應(yīng)用系統(tǒng)的管理員有權(quán)定義和分配角色。而且授權(quán)規(guī)定是強(qiáng)加給用戶(hù)的饺鹃，用戶(hù)只能被動(dòng)接受莫秆，不能自主地決定。用戶(hù)也不能自主地將訪問(wèn)權(quán)限傳給他人悔详，這是一種非自主型訪問(wèn)控制闯袒。 (比如很多ERP產(chǎn)品通過(guò)系統(tǒng)管理員給角色授權(quán))

MAC強(qiáng)制訪問(wèn)控制逛尚、DAC自主訪問(wèn)控制與RBAC的區(qū)別：

• RBAC不是基于多級(jí)安全需求的(關(guān)心誰(shuí)可以對(duì)何種信息執(zhí)行何種動(dòng)作) 也物； MAC是基于多級(jí)安全需求的(關(guān)心誰(shuí)可以讀/寫(xiě)什么信息夹厌，防止信息從高安全級(jí)流向低安全級(jí)) 。角色控制比較靈活责蝠。
• 用戶(hù)不能自主地將訪問(wèn)權(quán)限授給別的用戶(hù)党巾， 這是RBAC和DAC的根本區(qū)別。

安全審計(jì)

安全審計(jì)是記錄霜医、審查主體對(duì)客體進(jìn)行訪問(wèn)和使用情況齿拂，保證安全規(guī)則被正確執(zhí)行，并幫助分析安全事故產(chǎn)生的原因肴敛。安全審計(jì)具體包括兩方面的內(nèi)容署海。

(1)采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng)，識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為医男，即時(shí)響應(yīng) (如報(bào)警)并進(jìn)行阻斷砸狞。

(2)對(duì)信息內(nèi)容和業(yè)務(wù)流程進(jìn)行審計(jì)，可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏和單位資產(chǎn)的流失镀梭。

安全審計(jì)系統(tǒng)采用數(shù)據(jù)挖掘和數(shù)據(jù)倉(cāng)庫(kù)技術(shù)刀森，對(duì)歷史數(shù)據(jù)進(jìn)行分析、處理和追蹤报账，實(shí)現(xiàn)在不同網(wǎng)絡(luò)環(huán)境中終端對(duì)終端的監(jiān)控和管理研底，必要時(shí)通過(guò)多種途徑向管理員發(fā)出警告或自動(dòng)采取排錯(cuò)措施。因此信息安全審計(jì)系統(tǒng)被形象地比喻為“黑匣子”和“監(jiān)護(hù)神”

安全審計(jì)產(chǎn)品主要包括主機(jī)類(lèi)透罢、網(wǎng)絡(luò)類(lèi)及數(shù)據(jù)庫(kù)類(lèi)和業(yè)務(wù)應(yīng)用系統(tǒng)級(jí)的審計(jì)產(chǎn)品榜晦。

安全審計(jì)的主要作用：

• 對(duì)潛在的攻擊者起到震懾或警告作用。
• 對(duì)于已經(jīng)發(fā)生的系統(tǒng)破壞行為提供有效的追糾證據(jù)羽圃。
• 為系統(tǒng)安全管理員提供有價(jià)值的系統(tǒng)使用日志乾胶，從而幫助系統(tǒng)安全管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞。
• 為系統(tǒng)安全管理員提供系統(tǒng)運(yùn)行的統(tǒng)計(jì)日志，使系統(tǒng)安全管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)與加強(qiáng)的地方识窿。

網(wǎng)絡(luò)安全審計(jì)的具體內(nèi)容：

• 監(jiān)控網(wǎng)絡(luò)內(nèi)部的用戶(hù)活動(dòng)牙躺。
• 偵察系統(tǒng)中存在的潛在威脅。
• 對(duì)日常運(yùn)行狀況的統(tǒng)計(jì)和分析腕扶。
• 對(duì)突發(fā)案件和異常事件的事后分析。
• 輔助偵破和取證吨掌。

安全審計(jì)功能分為6個(gè)部分：

• 安全審計(jì)自動(dòng)響應(yīng)功能半抱；
• 安全審計(jì)自動(dòng)生成功能；
• 安全審計(jì)分析功能膜宋；
• 安全審計(jì)瀏覽功能窿侈；
• 安全審計(jì)事件選擇功能；
• 安全審計(jì)事件存儲(chǔ)功能

網(wǎng)絡(luò)攻擊-補(bǔ)充知識(shí)

1.竊惹锩！：通過(guò)數(shù)據(jù)竊聽(tīng)的手段獲得敏感信息史简。攻擊者通過(guò)搭線竊聽(tīng)或電子輻射探測(cè)等手段截獲機(jī)密信息，或通過(guò)信息流量的變化肛著、流向的變化以及通信總量等參數(shù)分析出有用信息圆兵。

2.截取：非法用戶(hù)通過(guò)特殊手段首先獲得信息枢贿，再將此信息發(fā)送給真實(shí)接收者(也可以不給)

3.篡改或偽造：非法用戶(hù)通過(guò)截取手段事先獲得信息殉农，然后把篡改或偽造后的信息發(fā)送給真實(shí)接收者，用戶(hù)獲取的是經(jīng)過(guò)修改后的虛假信息局荚。

4.冒充：非法用戶(hù)假裝成合法用戶(hù)超凳，并設(shè)法使系統(tǒng)相信他就是所扮演的角色，進(jìn)而非法獲得系統(tǒng)訪問(wèn)權(quán)或其他權(quán)力耀态。

☆5.拒絕服務(wù)攻擊：拒絕服務(wù)攻擊是阻止或拒絕合法使用者存取網(wǎng)絡(luò)服務(wù)器的一種破壞性攻擊方式轮傍。廣義上講，任何能夠?qū)е掠脩?hù)的服務(wù)器不能正常提供服務(wù)的攻擊都屬于拒絕服務(wù)攻擊
比如：向?qū)Ψ降挠?jì)算機(jī)和路由器等發(fā)送不正當(dāng)?shù)臄?shù)據(jù)使其陷入不能使用首装。

IDS：入侵檢測(cè)

6.行為否認(rèn)：合法用戶(hù)否認(rèn)已經(jīng)發(fā)生的行為创夜。

7.非授權(quán)訪問(wèn)：未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。

8.傳播病毒：通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒仙逻，其破壞性高且用戶(hù)難于防范挥下。

熊貓燒香-->蠕蟲(chóng)病毒

9.暴力攻擊：是試圖用窮舉法來(lái)破解密碼。

10.木馬病毒：通過(guò)將自身偽裝吸引用戶(hù)下載執(zhí)行桨醋，向施種木馬者提供打開(kāi)被種者電腦的門(mén)戶(hù)棚瘟，遠(yuǎn)程操控被種者的電腦，使施種者可以任意毀壞喜最、竊取被種者的文件

11.緩存溢出攻擊：是是指在存在緩存溢出安全漏洞的計(jì)算機(jī)中偎蘸，攻擊者可以用超出常規(guī)長(zhǎng)度的字符數(shù)來(lái)填滿(mǎn)一個(gè)域，溢出的數(shù)據(jù)就會(huì)覆蓋在合法的數(shù)據(jù)上

12.IP欺騙：是指行動(dòng)產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，以便冒充其他系統(tǒng)或發(fā)件人的身份迷雪。

13.會(huì)話(huà)劫持(Session Hijack) 限书，就是結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段。例如章咧，在一次正常的會(huì)話(huà)過(guò)程當(dāng)中倦西，攻擊者作為第三方參與到其中，他可以在正常數(shù)據(jù)包中插入惡意數(shù)據(jù)赁严，也可以在雙方的會(huì)話(huà)當(dāng)中進(jìn)行監(jiān)聽(tīng)扰柠，甚至可以是代替某一方主機(jī)接管會(huì)話(huà)。