入侵检测
1)入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性行为的一种网络安全技术。

2)要解决的两个基本问题:如何充分并可靠地提取描述行为特征的数据;如何根据特征数据,高效并准确地判断行为的性质。

3)系统构成来说,包括数据源(原始数据)、分析引擎(通过一场检测或误用检测进行分析)和响应(分析结果采用必要和适当的措施)。

4)入侵检测技术:

(1)特征检测也称为误用检测,假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。

(2)异常检测。假设是入侵者活动异常于正常主体的活动。

5)入侵检测系统常用的检测方法有:特征检测、统计检测和专家系统。

6)有两种途径可以用来实时分析庞大的信息量,分别是分割事件流和使用外围网络传感器。

确保信息保密性
保密性确保只有信息的所有者以及他们选择的共享者才能够读取信息。

保护敏感信息,具体要求包括:

尽量避免存储机密:在软件中以完全安全的方式存储机密是不可能的。可以接触到服务器的系统管理员可以访问这些数据。例如,当仅仅是验证用户是否知道某个机密时,则没有必要存储该机密。在这种情况下,可以存储代表机密的哈希值,然后使用用户提供的值计算哈希值,以验证该用户是否知道该机密。
不要在代码中存储机密:不要在代码中对机密进行硬编码。即使不将源代码暴露在 Web 服务器上,但从编译过的可执行文件中仍然可以提取字符串常量。配置漏洞可能会允许攻击者检索可执行文件。
不要在永久性 cookie 中存储敏感数据:避免在永久性 cookie 中存储敏感数据。如果存储的是纯文本数据,最终用户能够看到并修改该数据。如果对其加密,必须考虑密钥管理。
不要使用 HTTP-GET 协议传递敏感数据:避免使用 HTTP-GET 协议存储敏感数据,因为该协议使用查询字符串传递数据。使用查询字符串不能确保敏感数据的安全性,因为查询字符串经常被服务器记录下来。
对数据进行加密或确保通信通道的安全:如果在网络上向客户端发送敏感数据,应对数据进行加密或确保通信通道的安全。通常的做法是在客户端与 Web 服务器之间使用 SSL。当应用系统无法达到此要求时可以通过网络访问控制等手段限制可以访问应用系统的用户。
不要向客户端泄漏信息:发生故障时,不要暴露将会导致信息泄漏的消息。例如,不要暴露包括函数名以及调试内部版本时出问题的行数的堆栈跟踪详细信息。应向客户端返回一般性错误消息。
记录详细的错误信息:向错误日志发送详细的错误消息。应该向服务或应用程序的客户发送最少量的信息,如一般性错误消息和自定义错误日志 ID,随后可以将这些信息映射到事件日志中的详细消息。确保没有记录密码或其他敏感数据。
捕捉异常:使用结构化异常处理机制,并捕捉异常现象。这样做可以避免将应用程序置于不协调的状态,这种状态可能会导致信息泄漏。它还有助于保护应用程序免受拒绝服务攻击。
选择合适的加密方法,具体要求包括:

不使用自创加密方法:成功开发出加密算法和例程是非常难的。因此,应尽量使用平台提供的经过验证和测试的加密服务。
使用正确的算法和密钥大小:选择了正确的算法非常重要,另外,应确保所使用的密钥大小能提供足够的安全级别。密钥越大,安全性越高。
确保加密密钥的安全:加密密钥是输入加密及解密进程的秘密数字。为保证加密数据的安全,必须保护好密钥

IPSec
1)IPSec是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免受窃听和篡改,可以有效抵御网络攻击,同时保持易用性。
2)IPSec有两个基本目标,分别是保护IP数据包安全和为抵御网络攻击提供防护措施。

3)IPSec结合密码保护服务、安全协议组合动态密钥管理三者来实现以上目标。

4)安全模式。IPSec基于一种端对端的安全模式,以数据包为单位加密,主要特征是可以支持IP级所有流量的加密或认证,在IP层提供安全服务。

5)防范攻击:Sniffer;数据篡改;身份欺骗,盗用口令,应用层攻击;中间人攻击;拒绝服务攻击。

6)第三层保护的优点:为现有的应用系统和操作系统配置IPSec几乎无须做任何修改;所有使用IP协议进行数据传输的应用系统和服务都可以使用IPSec;IPSec组策略用于配置IPSec安全服务,为不同类别的数据流提供了各种级别的保护。

安全体系
1)其措施包括防火墙、入侵检测、病毒和木马扫描、安全扫描、日志审计系统等。
2)安全审计包括两个方面:采用网络监控与入侵防范系统,识别网络中各种违规操作与攻击行为,即时响应并进行阻断;对信息内容和业务流程的审计,可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。

3)安全审计功能的6个部分:安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择和安全审计时间存储。

防火墙
防火墙是指建立在内外网络边界上的过滤封锁机制。
1)网络级防火墙也称为过滤型防火墙。事实上是一种具有特殊功能的路由器,采用报文动态过滤技术,能够动态地检查流过的TCP/IP报文或分组头,根据企业所定义的规则,决定禁止某些报文通过或者允许某些报文通过,允许通过的报文将按照路由表设定的路径进行信息转发。相应的防火墙软件工作在传输层与网络层。

包过滤方式的优点:不用改动客户端和主机上的应用程序,因为他工作在网络层和传输层,与应用层无关。

弱点:

(1)过滤的判别依据知识网络层和传输层的有限信息,各种安全要求不能充分满足。

(2)过滤规则数目有限,数目的增加导致性能下降。

(3)缺少上下文关联信息,不能有效过滤UDP、RPC之类的协议。

(4)缺少审计和报警机制,不能验证用户身份,易受地址欺骗型攻击。

(5)对安全管理人员素质要求高。

2)应用级防火墙也称为应用网关型防火墙。目前大多采用代理服务机制,即采用一个网关来管理应用服务,在其上安装对应于每种服务的特殊代码(代理服务程序),在此网关上控制与监督各类应用层服务的网络连接。

四种类型:双穴主机网关、屏蔽主机网关、屏蔽子网网关和应用代理服务器。