《面向未来的安全运维(管理大平台)》由会员分享,可在线阅读,更多相关《面向未来的安全运维(管理大平台)(77页珍藏版)》请在金锄头文库上搜索。
1、3 Sept. 2008 Neusoft Confidential面向未来的安全运维(管理大平台 ) The best way to predict the future is to invent it.曹鹏 技术总监 网络安全产品营销中心 东软集团股份有限公司3 Sept. 2008 Confidential回首信息技术发展100年1880年美国工程师赫尔曼.霍勒里斯发明穿孔制表机,这 种机器采用金属针穿卡接通电路,使卡上的数据记录在一 个测量仪表中,是一个二进制系统,很像今天最早的数字 电脑的二进制运算。 随后多年的人口普查完全采用此技术节省了大量工作成本 ,霍勒里斯随即创建了IBM公司
2、。 1960年美洲银行设计采用“电子记录机器结算”ERMA,该 银行用2年时间安装了32台ERMA计算机,可以处理近 500万个支票和储蓄帐户,而以前这些帐户只能依靠手工 更新。 1965年美国航空公司投入使用的“军刀”SABER系统,每 天则处理4万次预订和2万次售票工作。3 Sept. 2008 Confidential信息安全的热点要持续多久过去十年的时间信息安全发展经历过了众多阶段, 但是依然是当今信息化发展中的最热门话题。 为什么信息安全的发展研究魅力可以持续如此之久 。 我们可以从事件驱动,体系驱动、合规驱动三个方 面来研究信息安全的发展趋势和建设重点。3 Sept. 2008 C
3、onfidentialPart 1 综合管理运维今天面临的挑战3 Sept. 2008 Confidential挑战1:技术的进步还是技术的“迷失”我们真的需要反思在过去几年,信息安全建设工作 中有过什么真正了不起的超越提升吗? FW、IDS、防病毒、IPS、CA、PKI、漏洞扫描、 身份认证、4A审计技术对抗技术的路很难走。 我们的对手呢,他们在过去的几年时间里,你想知 道他们有什么了不起的飞跃吗?3 Sept. 2008 Confidential我们的对手技术飞跃的速度超出 我们的想象系统的开机口令,即使长度到14位,最变态的口令如下: N73k_a7r*EW&2nk# cjST$=W0U
4、*-5CH zw= ijW$i*vEXWIN系统的口令本地LMHASH算法是是7位一段存放的,最多的 口令可能性为(26+ 26 +10 +15)的7次方在每秒800万次的破 解速度下,只需要23天就可以把全部可能性轮循一遍。3 Sept. 2008 Confidential更多的口令甚至连暴力破解都不再需要了口令的本地HASH保护算法在过去几年遭受到了前所未有的 破解势力冲击,安全隐患不断被发现和暴光。 操作系统之外,硬件设备的驱动HACK也逐渐被更多人认识 到其中的可怕。 20年密码攻防战很可能是以安全一方失利来谢幕告终。3 Sept. 2008 Confidential连传统的SSL-V
5、PN技术都不能幸免今天我们的网络银行还有很多单位都在选择SSL- VPN作为自己的主要应用防护的加密手段,当我们 正在用SSL-VPN保护自己的同时,我们真的认为这 是安全的环境吗?3 Sept. 2008 Confidential无线网络的嗅叹轻而易举我经常在机场、酒店大堂、时尚的咖啡厅看到很多 人很自在的拿着笔记本电脑在享受网络冲浪访问。 很多电信运营商也在积极的推广城市热点的接入覆 盖访问。但是,你有考虑过这个环境是否安全吗?3 Sept. 2008 Confidential挑战2:网络越来越庞大和复杂越来越多的行业用户开始建设第2张网络、部署第3 个出口、未来还有4个新系统要上线,可是
6、或许安 全的维护人员连5个都不到。 技术与人的比例开始发展失调。3 Sept. 2008 Confidential挑战3:最有用的日志一直被忽视认真看过入侵检测的日志吗,每天都认真的去看入 侵检测的日志吗,入侵检测之外的其他安全产品、 系统、主机应用、网络设备等等呢,我们每天都会 认真的去看吗?3 Sept. 2008 Confidential挑战4:网络流量缺少深入分析手段根据摩尔定律的技术指引,当前的网络核心流量和 出口流量都保持着高速增长。 但我们今天管理网络流量的技术手段依然还是 SNMP和SNIFFER,缺少长期有效和细粒度的监控 手段。 近年来针对网络带宽进行违规占用和破坏攻击的各
7、 种安全事件层出不穷,值得引起我们的重视。3 Sept. 2008 Confidential挑战5:管理维护人员的“内隐患”今天服务器众多,但是管理人才相对有着专一的趋 势,逐渐分成网络、系统、安全、应用、开发等众 多岗位角色。 IT行业本身特点也使得技术人才普遍年轻,存在大 量技术外包工作,使得内部管理维护的技术人员技 术水平、安全意识和操作规范不统一,很容易造成 系统安全隐患。 传统的系统和网络设备对应的操作日志很难提供事 后追查和溯源。3 Sept. 2008 Confidential挑战6:内部人员的安全意识淡薄随着越来越多的信息资料电子化存储,主动泄密与 被动泄密事件频繁发生,移动存
8、储与终端系统安全 问题领人担忧。 各种商业间谍软件,网页木马和摆渡木马事件在08 年被广泛通报。 由于互联网的无序传播,一份商业信息资料的泄密 ,有时候可能导致的后果比系统被黑或者当机一个 星期还要严重的多。3 Sept. 2008 Confidential挑战7:现在的安全管理模式防火墙IDS/IPSVPN漏洞扫描认证服务器路由器/交换机防病毒软件Windows/ Solaris/UNIX收集网络拓朴信息 阅读和分析 海量数据操作步骤: 1、报警 2、调查 3、防御网络运营安全运营安全知识行动总是过于迟缓3 Sept. 2008 Confidential挑战8: 没有中国特色的信息安全管理策
9、略制度没有生命力没有执行力,很多策略制度没 有写明白该如何去做,怎么做。 管理的标准远不如技术的标准实施的容易,过于西 化的标准看起来虽然严谨漂亮但未必真的适用我们 。 中国式的企业管理被很多人成功的应用,今天“中国 式的信息安全管理”也被越来越多的人所关注。 好的管理是一种成功的企业文化的延伸,管理不应 该是简单的允许哪些与禁止哪些那么简单。3 Sept. 2008 Confidential安全管理平台需要重点关注哪些问题在充分考虑各种来自外部的恶意代码的攻击威胁后,也 要重视其他来自内部的安全隐患,加强权限管理,操作 行为审计、骨干流量分析和统一威胁告警日志的集中分 析管理功能。 充分考虑
10、到技术体系、管理体系与运维体系间的融合。 符合国家关于信息安全的法律法规和各项技术要求。3 Sept. 2008 ConfidentialPart 2 管理大平台-操作行为审计管理3 Sept. 2008 Confidential操作行为审计的工作层面网络层:通过对于网络关键交换设备的流量进行采 集,还原相关的网络层操作行为,以及进行必要的 各种违规和入侵行为进行检测。系统主机层:通过在终端系统安装检测代理,实现 对于终端系统的各种安全控制功能(各种操作行为 控制和审计),同时对于特定操作行为进行及时告 警,在终端层面完成各种移动存储设备的安全管控 。3 Sept. 2008 Confiden
11、tial强大的网络访问内容审计功能可以进行多种协议HTTP、 FTP、 POP3、SMTP、 IMAP、NNTP、 Telnet、rsh、rlogin、MSN、Yahoo Messager、DNS等协议的回放和会话 记录,便于回放资源访问的详细过程 并追查攻击的来源。 支持用户自定义扩充3 Sept. 2008 Confidential明文应用协议还原配置3 Sept. 2008 Confidential对于HTTP协议做到访问页面级别的还原3 Sept. 2008 ConfidentialSMTP协议还原支持3 Sept. 2008 ConfidentialPOP3协议还原支持3 Sept.
12、 2008 ConfidentialFTP协议还原支持(支持自动回放)3 Sept. 2008 ConfidentialTELNET协议还原支持(支持自动回放)3 Sept. 2008 ConfidentialIMAP协议还原支持3 Sept. 2008 ConfidentialNNTP协议还原支持3 Sept. 2008 ConfidentialDNS协议还原支持3 Sept. 2008 ConfidentialMSN(网络聊天)会话回放3 Sept. 2008 Confidential根据网络自身应用特点添加自定义检测规则3 Sept. 2008 Confidential网络层与系统层审计
13、部署优势网络层:重点部署在重要服务器区域以及关键网络 出口位置,接入隐蔽不需要改变传统系统访问习惯 ,针对目前常用到的收发邮件,系统TELNET和 FTP管理维护,轻松实现所有命令级别操作的完整 还原记录。 终端系统检测引擎:静默安装后台自动执行,完整 控制和审计当前系统的所有操作行为并进行完整记 录。可以针对特定的操作行为进行用户定制化的检 测模式开发,设计人员会配合用户进行完整策略设 定开发。3 Sept. 2008 ConfidentialPart 3 管理大平台-骨干流量分析技术3 Sept. 2008 Confidential各种异常流量问题我们其实并不陌生先说说我在震中的难忘经历
14、4月中家乐福中国官方主页完全无法访问,其次anti -网站遭到黑客攻击无法访问,再随后美国 有线电视新闻网(CNN)网站4月18日报道称,该 网站于17日遭到黑客袭击,公司随后采取的应对措 施导致亚洲部分用户无法访问或者访问速度较慢。 “我们不知道攻击者是谁,也无法确认他们来自哪里 ,”典型声明均这样表示。 今天的攻击者很聪明。3 Sept. 2008 Confidential过去的经典武器SNIFFER3 Sept. 2008 Confidential过去的经典武器SNMP3 Sept. 2008 Confidential全新的数据采集协议NETFLOW优势3 Sept. 2008 Conf
15、idential网络流量分析与响应系统NTARS把运维重点从有形 资产扩大到无形资 产上:u正常核心网络的业 务流量情况分析 uDOS/DDOS攻击u大规模爆发的蠕虫 病毒3 Sept. 2008 Confidential流量基线和流量阀值基线描述了正常情况下目标链路的流量分布和变化规律: 基线功能可以通过对一个指定时间周期内各项流量图式指标 的定义(如总体网络流量水平、流量波动、流量跳变等),建立 流量异常监测的基础模型,并可在运行中不断自我修正以完 成与实际运行特征的吻合,从而提高对异常流量报警的准确 性。 流量阀值则直接定义了目标链路中流量异常的情况: 当指定范围内的流量指标超过该阀值时
16、,系统则判定网络中 出现流量异常,并作出报警和安全响应。 bps和pps在不同的DDOS类型中表现出不同的统计特征: 当攻击以消耗带宽为特征,需要主要参考bps的变化曲线;主 要以UDP和ICMP作为承载协议。 当攻击以消耗服务器的处理资源,需要主要参考pps的变化曲 线;主要以TCP和特殊的UDP(比如DNS 递归查询)作为承载 协议。3 Sept. 2008 Confidential异常报警示例正常流量是多少/异常发生时是多少/异常持续了多久3 Sept. 2008 Confidential优异的性能产产品型号NTARS 6800 产产品形态态软软硬一体化设计设计 构成单单元Controller + Collector 管理界面B/S、SSH端口配置1*10/100/1000Base_Tx Flow采集/管理端口 1*10/100/1000Base_Tx 应应用层层深度检测
