《安全审计技术培训》由会员分享,可在线阅读,更多相关《安全审计技术培训(68页珍藏版)》请在金锄头文库上搜索。
1、安全审计技术与应用网御神州SOC事业部 为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计产 品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析提纲2重要资产的安全状况无法监控主机防火墙入侵监测系 统IDS身份认证姓名地址 簿服务有漏洞吗?我们处于 危险中么?我下一步该 做什么?发生什么了?应用网络设备杀毒用户面临的挑战3被动地进行安全防御,造成混乱当前面临的挑战4监控和审计界面过多、手忙脚乱!当前面临的挑战5信息系统安全等级化保护基本要求二级以上ISO27001:2005 4.3.3小节企业内部控制基本规范及其配套指引互联网安全保护技术措施规定第八条相
2、关法律法规都有安全审计的要求! 为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计产 品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析提纲6 安全审计 ,这里专指IT安全审计审计 ,是一套对IT系统及其应用进行量化 检查 与评估的技术和过程。 安全审计 通过对 IT系统中相关信息的收集、分析和报告,来判定现有 IT安全控制的有效性,检查 IT系统的误用和滥用行为,验证 当前安全 策略的合规性,获取犯罪和违规 的证据,确认必要的记录 被文档化, 以及检测 网络异常和入侵安全审计的定义7 对信息系统的各种事件及行为实 行监测 、信息采集、分析并针对 特定
3、事件及行为采取相应比较动 作。 信息系统统安全审计产审计产 品为评 估信息系统的安全性和风险 、完善安全策 略的制定提供审计 数据和审计 服务支撑,从而达到保障信息系统正常 运行的目的。同时,信息系统安全审计产 品对信息系统各组成要素进 行事件采集,将采集数据进行自动综 合和系统分析,能够提高信息系 统安全管理的效率GB/T 20945-2007信息安全技术信息系统安全审计产 品技术要求和评价方法安全审计的定义8信息采集功能,例如日志、网络数据包 数据包:DPI、DFI 日志:日志归一化技术 信息分析功能 简单分析:基于数据库的信息查询与比较 复杂分析:实时关联分析引擎技术 信息存储储功能 海
4、量审计信息的存储 信息完整性、私密性保证 信息展示功能:可视化、告警、联动 自身安全性与可审计审计 性安全审计产品的功能组成9 为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计产 品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析提纲101.设备审计 :对网络设备 、安全设备 等各种设备 的操作和行为进 行 审计 ; 2.主机审计 :审计针对 主机(服务器)的各种操作和行为; 3.终端审计 :对终 端设备 (PC、打印机)等的操作和行为进 行审计 ,包括预配置审计 ; 4.网络审计 :对网络中各种访问 、操作的审计 ,例如telnet操作、 FTP操作
5、、文件共享操作,等等; 5.数据库审计 :对数据库行为和操作、甚至操作的内容进行审计 ; 6.业务 系统审计 :对业务 IT支撑系统的操作、行为、内容的审计 ; 7.用户行为审计 :对企业和组织 的人进行审计 ,包括上网行为审计 、运维操作审计安全审计对象分类11 基于日志分析的安全审计审计 技术术 基于本机代理的安全审计审计 技术术 基于远远程代理的安全审计审计 技术术 基于网络协议络协议 分析的安全审计审计 技术术安全审计技术类型划分12 异构设备 和系统的日志信息采集 事件归一化 事件关联分析 海量事件存储 全局安全态势监 控 安全响应日志审计的核心技术13日志审计的核心技术之间的关系1
6、4事件采集和获取事件归一化事件关联分析安全态势监控安全响应主机、应用、FW, IDS,AV,其他网络和 安全设备获取将异构的事件变成统一 的事件格式对全网的日志进行综合 审计异构事件采集15SNMPSyslog各种协议类型直接采集、代理采集、抓包网络设备安全设备主机、服务器数据库应用系统等等Nokia/Checkpoint日志 文件数据 库事件传感器Syslog/NetFlowSnmp trap开放API接口 Web ServiceODBC事件转发器用于跨网段事件采集 和分布式事件采集应用文件读取事件 源FTP第三方系统: 网管、终端管理等全面的日志采集手段16OPSEC LEA数据 库主机硬
7、件采集器 ,旁路抓包最关键的是事件等级、类型等的归一化事件归一化17ISS IDS日志Dec 07 2005 22:18:55 10.110.4.130 : %PIX-4-106023: Deny tcp src outside: 211.137.43 .182 /3158 dst inside: 21.7 .255.217 / 44504/25/2005 03:00:10 HTTP IIS Unicode Encoding #ISS From62.6 .180.195 SPORT 26712 To 194.117.103.125 DPORT 8 0 Protocol TCP Priority
8、 HIGH “Actions: DISPLAY=Default:0,EMAIL=Default:0“Event Specific Information, ISS IP= 194.117.10. 8设备名称设备地址事件类型源IP目的IP源端口目的端口描述ISS IDSPIX FWPIX 防火墙日志10.110.4.13062.6 .180.195194.117.103.125 8 044521.7 .255.217211.137.43 .182DenyHTTP IIS Unicode Encoding194.117.10.8归一化事件267123158安全事件关联分析外部入侵示例18安全事件关
9、联分析内部违规示例19门禁日志VPN日志OA日志1.用户A进入公司服务器机房,通过门禁的时候打卡了,打卡信息记录 到了管理中心; 2.用户B在家里通过计算机使用用户A的VPN帐号登录公司网络; 3.登录后,防火墙产生了一条VPN登录日志,送到了管理中心; 4.用户B登录OA服务器,服务器产生一条日志,送到管理中心 5.此时,SecFox-LAS的界面显示告警事件,表明有一个用户非法使用了 A的帐号登录了OA服务器。安全态势监控:信息可视化20应急响应日志审计短信、电话告警电子邮件告警服务控制台协同联动 网络设备联动第三方系统防火墙/UTM联动IDS/IPS联动 传统 的日志审计 注重的是日志的
10、存储、基于数据库技术的日志查询和统计 问题:缺少对不同设备产 生的日志的关联分析,因而难以发现隐 藏的威胁 和违规行为 新型的日志审计 更加注重日志实时关联分析 在内存中进行 事件归并 事件追踪:一查到底、及时发现违规 和入侵 更加强调审计 的闭环:发现问题 后要能够处理问题 告警 联动日志审计的技术发展趋势22传统的日志审计 VS新型日志审计23新型日志审计多种方式 大规模日志 采集日志归一化内存中 关联分析实时分析告警日志存储历史分析 、统计传统日志审计Syslog 日志采集日志分类日志存储日志查询 、统计告警以syslog为主; 速度一般2000EPS包括syslog、 Netflow、
11、ODBC 、代理、探针; 高速采集, 30000+EPS简单分类,截取源/ 目的IP和端口、时 间戳等事件映射归一化, 统一日志严重等级 、日志类型、操作 类别、意图和结果日志存储到数据库 中,明文一方面存储到内存 中进行关联分析同时存储到数据库 中,密文基于SQL语句查询 ,简单分析时序分析、累计分析,超 出SQL语句,可视化统计分析、趋势分析、行 为分析,可视化单一告警丰富告警 动作,设 备联动、 协同防御 基于日志分析的安全审计审计 技术术 基于本机代理的安全审计审计 技术术 基于远远程代理的安全审计审计 技术术 基于网络协议络协议 分析的安全审计审计 技术术安全审计技术类型划分24 终
12、端节点接入控制 外设管理 资产 管理 桌面风险 管理 节点访问 控制 终端远程协助 移动存储介质管理 补丁更新管理 .本机代理技术:终端安全管理系统25u管理所有入网设备 ,对违规 接入设备进 行阻断,阻止违规 接入设备 对系统资 源的访问 u阻止违规 接入设备对 系统资 源的访问 ,同时进 行非法接入安全审计 ,对违规 接入进行告警。 阻断技术: ARP欺骗方式 主机防火墙方式 交换机联动 方式节点接入26红外设备 :允许/禁止两种方式。 蓝牙设备 :允许/禁止两种方式。 调制解调器:允许/禁止两种方式。 USB存储设备 :允许/禁止两种方式。 软驱 :允许/禁止两种方式。 光驱:允许/禁止
13、两种方式。 串口:允许/禁止两种方式。 并口:允许/禁止两种方式。 PCMCIA设备 :允许/禁止两种方式。外设管理27设置硬件资产信息收集频率,网络中有多少计算机,哪些人在使用计算机,计算机是哪个部门的,一目了然;设置软件资产信息收集频率,计算机安装的什么操作系统,操作系统的版本,安装了哪些软件,是否安装了合法的防火墙,是否打全了补丁,同样一目了然;硬件资产变化时,可以设置告警;软件资产变化时,可以设置告警;下属单位2下属单位1总部。资产管理28通过远 程协助,管理人员可以响 应远 程终端计算机的协助请求,临时 接管远程终端计算机,进行本地化操 作。例如:开关机、搜索可疑文件、服 务/进程查
14、看、系统配置查看、资源使 用监视 等。管理人员完成维护 操作后 ,释放对终 端计算机的接管。终端远程协助29通过移动介质交换的数据是密文,数据离开应 用环境后不可用; 数据交换前必须通过正确的身份认证,包括密 码认证 或USB KEY等授权硬件的身份认证; 记录数据交换过程的工作日志,便于以后进行 跟踪审计; 未经授权的移动介质,在工作环境中不可用, 只有经过企业授权的移动介质才能进入到企业 的办公环境; 工作配发的移动介质带出办公环境后变为不可 用。 移动存储介质管理30 基于日志分析的安全审计审计 技术术 基于本机代理的安全审计审计 技术术 基于远远程代理的安全审计审计 技术术 基于网络协
15、议络协议 分析的安全审计审计 技术术安全审计技术类型划分31 漏洞扫描 基线配置扫描 WEB安全审计 多用于事前审计基于远程代理技术的审计32 基于日志分析的安全审计审计 技术术 基于本机代理的安全审计审计 技术术 基于远远程代理的安全审计审计 技术术 基于网络协议络协议 分析的安全审计审计 技术术安全审计技术类型划分33基于网络协议分析的安全审计34端口镜像TAP分接旁路部署、即插即用,对网络没有任 何影响 根据具体部署位置的不同,分为两个子类型 上网审计:部署在互联网出口处,审计用户使用互联网的行为 业务审计 :部署在核心业务系统处,审计对 核心业务系统的操作行为基于网络协议分析的安全审计35网络协议分析上网审计36网络行为审计业务审计37 几个故事:高科技犯罪 某移动公司的神州行充值卡盗用事件 美国TJX公司信用卡信息泄漏事件 交通违章信息非法抹除事件 非法窃取公司财务数据库重要数据,CRM系统的重要客户资料 医院HIS系统医疗信息、病患信息泄漏事件 潜艇信息泄漏事件 更多参见:http:/ 324773.html当前面临的挑战38案例:某移动公司的神州行充值卡盗用事件39案例:美国TJX公司信用卡信息泄漏事件40案例:
