6.4.3 其他安全控制技术
本课核心知识点整理
防火墙之外,还要补哪些能力
防火墙解决的是边界通信控制,但安全问题还可能发生在身份、权限、主机漏洞、恶意软件和异常行为上。本节的重点是把这些技术各自负责的“问题域”区分清楚。
| 技术 | 解决什么问题 | 常见关键词 |
|---|---|---|
| 加密技术 | 防止数据被未授权读取 | 对称加密、非对称加密、保密性 |
| 用户识别技术 | 确认“你是谁” | 用户名口令、生物特征、门禁卡 |
| 访问控制技术 | 决定“你能做什么” | 权限、主体、客体、授权 |
| 网络防病毒技术 | 发现和清除病毒、木马等恶意代码 | 病毒库、查杀、隔离 |
| 漏洞扫描技术 | 发现系统弱点和未修补风险 | 扫描、风险评估、补丁建议 |
| 入侵检测技术 | 发现可疑入侵行为并报警 | IDS、行为模式、告警 |
用户识别和访问控制不是一回事
这两个概念很容易混:
| 概念 | 关注点 | 例子 |
|---|---|---|
| 用户识别/身份认证 | 证明访问者身份 | 输入用户名口令、刷卡、指纹、人脸、虹膜、视网膜 |
| 访问控制 | 身份确认后限制权限 | 普通员工不能改工资表,访客不能访问数据库 |
简单说:认证回答“是不是你”,授权和访问控制回答“你能不能做这件事”。
漏洞扫描:模拟检查,不等于入侵检测
漏洞扫描技术通过扫描系统、服务、端口、版本、配置等信息,发现潜在薄弱点,并给出风险评估和修复建议。课堂中特别容易考的一点是:漏洞扫描不属于入侵检测。
| 对比项 | 漏洞扫描 | 入侵检测 IDS |
|---|---|---|
| 时间视角 | 攻击发生前发现弱点 | 攻击发生中或发生后发现异常 |
| 主要对象 | 系统漏洞、配置缺陷、弱服务 | 网络流量、用户行为、系统行为 |
| 输出 | 风险报告、补丁建议、整改建议 | 告警、事件记录、可疑行为判断 |
| 是否主动探测 | 通常主动扫描 | 通常被动监听或采集日志分析 |
| 考试判断 | “发现漏洞、风险评估、补丁管理” | “可疑行为、入侵、告警、行为库” |
入侵检测:把行为和规则进行匹配
IDS 的基本思路是采集网络或主机行为,再与已知攻击特征、异常行为模型或专家规则进行匹配,判断是否可疑。
IDS 和 IPS 也要分清:
| 技术 | 部署特点 | 结果 |
|---|---|---|
| IDS | 多数情况下旁路监听 | 发现并告警 |
| IPS | 通常串联在流量路径上 | 发现并阻断 |
防病毒技术:病毒库之外还要看行为
网络防病毒技术主要面对病毒、木马、蠕虫等恶意代码。传统查杀依赖病毒特征库,优点是对已知病毒准确,缺点是面对新变种会滞后。因此现代防护常结合行为检测、沙箱、隔离和云端情报。
| 方法 | 优点 | 局限 |
|---|---|---|
| 特征码查杀 | 已知病毒识别快、误报低 | 对新病毒和变种滞后 |
| 行为检测 | 能发现异常行为 | 可能误报,需要上下文判断 |
| 沙箱分析 | 隔离运行可疑文件 | 开销较大,恶意代码可能反沙箱 |
| 补丁管理 | 从源头减少被利用漏洞 | 需要持续维护,可能有兼容风险 |
这就是技术迭代的原因:仅靠病毒库无法覆盖不断变化的攻击手法,所以逐步引入行为分析、云信誉、终端检测响应等更动态的方法。
例题
通过指纹、人脸、虹膜等方式确认用户身份,属于:
对系统进行检查,发现漏洞并给出风险评估和修复建议,属于:
根据可疑行为模式判断是否发生入侵并发出告警,属于:
自查要点
- 用户识别和访问控制的区别是什么?
- 漏洞扫描为什么不属于入侵检测?
- IDS 和 IPS 的关键区别是什么?
- 为什么仅靠病毒特征库会被新变种绕过?
- 看到“风险报告、补丁建议”应优先想到哪项技术?