《网络安全监控与防范》由会员分享,可在线阅读,更多相关《网络安全监控与防范(74页珍藏版)》请在金锄头文库上搜索。
1、网络安全监控与防范,罗爱国 绿盟科技,1、绿盟科技概况 2、高校图书馆网络风险分析 3、绿盟科技安全设计理念 4、拒绝服务攻击 5、入侵检测技术 6、极光安全评估系统概述 7、绿盟科技安全服务,1、绿盟科技概况,诚信第一、客户至上 专业服务、面向国际,绿盟科技(NSFOCUS),2000年4月 成立于北京,正式提供NSPS专业安全服务 2000年11月 研发第一款产品冰之眼入侵检测系统 2001年,第一批安全服务试点企业, 发布第二款安全产品-极光远程安全评估系统 2002年,第一批安全服务一级企业,发布第三款安全产品-黑洞抗拒绝服务系统 2003年,发布第四款安全产品ESP企业安全计划 20
2、04年,三家安全二级企业之一,通过ISO9001认证 2004年为止,全国共有近180余名员工,大多数为研发和专业服务技术人员,不断发展的公司,4年来,业务规模每年都以超过100%的速度不断增长,吸引了越来越多的专业技术人员的加入,总部与分支机构,2000 北京:总部与研发中心 2000 上海、广州:分公司 2002 长沙办事处 2003 沈阳办事处 2004 建立济南、成都、武汉、南京、杭州、深州、西安等办事处,安全产品线的发展,NIDS 1.5,NIDS 2.0,NIDS 2.5,NIDS 3.0,ESP 1.0,RSAS 1.0,RSAS 2.4,RSAS 3.0,2000年,2001年
3、,2002年,2003年,Collapsar 1.0-2.3,Collapsar 3.4,NIDS 1.0,HIDS 1.0,HIDS 1.5,RSAS 2.0,不断完善的产品线,不断成熟的产品版本,最大的中文安全信息库,绿盟科技首先建立并维护国内最大和最全面的中文网络安全漏洞库,目前已经达到7000多条。,独立的漏洞发现能力,绿盟科技已经独立发现了20余个涉及网络安全的重大漏洞 为Microsoft、CISCO 、SUN、Netscreen等国际著名厂商提供了多个安全漏洞修补建议,公司荣誉,中关村十佳中小高新技术企业 2002/2003电子政务100强 2003 电子政务优秀解决方案奖 20
4、03 信息安全大会优秀安全解决方案(综合类) ,2、高校图书馆网络风险分析,信息安全的CIA,not. CIA(Central Intelligence Agency)机密性 Confidentiality 完整性 Integrity 可用性 Availability,风险分析,风险 威胁:外部因素对系统可能造成的危害 黑客攻击 蠕虫病毒 线路故障 漏洞:系统本身的缺陷或配置不当 系统漏洞(Win RPC、Solaris RPC) 应用程序(DNS、FTP、Telnet),3、绿盟科技安全设计理念,绿盟科技,ISO 17799 (BS7799),ISO 13335,ISO 7498,IATF
5、2.0,绿盟科技安全体系框架,组织体系,机构建设 人员管理,管理体系,制度管理 资产管理 风险管理 技术管理ISO/IEC 17799-信息安全管理标准 ISO/IEC 13335-信息安全管理方面的规范,技术体系,安全矩阵 安全评估 安全防护 入侵检测 应急恢复如访问控制、网络安全评估系统、入侵检测、防病毒系统等,4、拒绝服务攻击概述,一些拒绝服务攻击案例,有意识的攻击 1999年 yahoo ,ebay ,DDOS出现 2001 Cert被拒绝服务攻击 2001 蜗牛炸弹的影响 2002年cnnic被攻击 2003 全球13台根DNS中有8台被大规模拒绝服务 小规模的攻击行为 无目的的拒绝
6、服务 蠕虫的传播 SQL Slammer,DDoS的特点,极易实施PC机、广为传播的免费工具软件、好奇心或别的想法危害性极大一两台位于宽带网上的PC机就可以使整个IDC瘫痪极难追查需要多个ISP的紧密配合才有可能进行追查,国内外百兆、千兆硬件防火墙没有有效防止DDoS的方法一台普通PC(P3 800)通过应用层能打出3040Mbps的DoS流量,在linux kernel里能打出近50Mbps的DoS流量,硬件防火墙挡不住一台PC机的攻击! 国内IDC中的硬件防火墙被30M DDoS打得全部瘫痪,致使整个网段无法防问,一些数据,拒绝服务攻击技术的发展,DDoS攻击将越来越多地采用IP欺骗的技术
7、; DDoS攻击呈现由单一攻击源发起进攻,转变为由多个攻击源对单一目标进攻的趋势; DDoS攻击将会变得越来越智能化,试图躲过网络入侵检测系统的检测跟踪,并试图绕过防火墙防御体系; 针对路由器的弱点的DDoS攻击将会增多;,近年一些新的拒绝服务攻击技术,DRDOS 形成难于追查的ACK Flood 代理连接耗尽 Fatboy 等工具 BotNet网络 通过IRC控制数万台个人主机(Zombi PC)发起,专用抗拒绝服务设备 Collapsar介绍,专用ADS设备分类,防火墙和路由器对拒绝服务攻击的抵抗能力是有限的 专用抗拒绝服务设备已经在电信、金融和网上交易站点得到了应用 目前常见的三类产品
8、Syn gate形式+QoS 特征码过滤+Syn gate Syn Gate指纹识别,绿盟科技黑洞产品的基本思想,功能专一,针对性强以高效率为优先,追求效率和精确性全局最优将DDoS攻击带来的损失降到最低点统计分析正常应用情况建立防护模型,辅以其他手段无需特征库指定匹配特征,防护机制智能化无需进行类似防火墙的规则匹配能够针对复杂的网络环境进行灵活的设置,黑洞的功能,防护如下常见的DDoS攻击 SYN Flood ACK Flood ICMP Flood UDP / UDP DNS Query Flood Connection Flood(连接耗尽攻击),其它功能,防护连接耗尽 抑制蠕虫扩散 同
9、时防护内外网 。,产品特色,灵活管理-B/S结构 给管理员更多选择 详细记录攻击行为 自身安全性高 即插即用 灵活的防护方式,使用案例,万网 新网 湖北教育厅 武汉教育局 华泰证券 重庆网通 上海热线,TOM.COM 中国联通总部 南京房产网 S 荆门广播电视局 中智软件 武汉电信 CNNIC,5、入侵检测(IDS)技术,什么是入侵检测系统,IDS(Intrusion Detection System)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。,形象地说,它就是网络摄象
10、机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。,防火墙的局限性,防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙本身的防攻击能力不够,容易成为被攻击的首要目标 防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略,入侵检测的作用,实时检测网络系统的非法行为 网络IDS系统不占用系统的任何资源 网络IDS系统是
11、一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高 它既是实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证 主机IDS系统运行于保护系统之上,可以直接保护、恢复系统 通过与防火墙的联动,可以更有效地阻止非法入侵和破坏,冰之眼的优势与特点,“冰之眼”网络入侵检测系统V3,“冰之眼”(NIDS)是专门针对网络遭受黑客攻击行为而研制的基于网络的入侵检测产品。 采用最新入侵检测引擎和技术,具备强大的实时入侵检测能力。 充分考虑用户需求,设计方便易用的人机界面 支持超大规模的分布式部署,选择IDS产品通常考虑的主要因素,检测技术 深度协议分析 模式匹配 异常发现 性能 捕获数据包
12、的能力 分析数据包的能力 规则库的全面性 规则数量 规则更新频率 规则解释的详细程度 解决方案的详细程度 可管理性 多级分布式部署方式 直观中文使用界面 告警事件的合并与过滤 多角度的分析和报告能力,攻击结果判定-新一代NIDS技术的显著标志。 超群的性能百兆、千兆线速抓包、分析 最大碎片重组数 100,000 最大跟踪TCP会话数 100M冰之眼探测器 200,000 1000M冰之眼探测器 500,000 世界一流的规则支持能力,冰之眼入侵检测系统产品特色,基于统计的主告警界面,实际环境中,管理员(用户)需要的是一个对全局安全性的统计概要数据,而不是详细的不停滚动的攻击告警。 详细精确的统
13、计能够提供给用户快速定位最大风险点的能力。,实时TOP10 监控,强大的事件监控与过滤设置,支持常见协议直观回放,HTTP FTP Telnet SMTP POP3 gb2312,utf8编码 支持解出附件,日志分析与报表输出,支持所有部件包括引擎、控制台、规则库在内的实时在线升级(Live) 所有部件均支持离线升级 所有部件均支持定时自动在线升级 引擎支持串口,控制台两种升级路径。,全模块化的自动升级系统,“冰之眼”入侵检测系统应用情况,中南财经政法(图书馆) 中国人民银行 国家民政部 威海市商业银行; 河北移动 金山电信; 武汉电信IDC; 大庆油田; 北京首都在线; 盛大网络; 人民网;
14、 中青网;,海关总署 航天部 首都之窗; 北京石景山区信息中心 中国银河证券; 湘财证券; 江苏省公安厅; 北京地税; 青海电力; 浙江电力; 甘肃电力; 铁岭电力 ,6、极光远程安全评估系统概述,严重漏洞的对安全的威胁,是亡羊补牢还是未雨绸缪? 每天都有安全漏洞被批露 每年出现数十个严重的安全漏洞 利用安全漏洞传播的蠕虫越来越多 往往在发生损失只后才进行被动的防御 对安全事件进行预防,需要安全评估系统,极光优势与特点,产品定位,功能强劲的漏洞检测工具 基于安全操作系统的硬件扫描设备 强大、快速准确的扫描引擎 细致的扫描参数设置 身边的安全专家 提供详细的漏洞分析、专家建议 基于模板驱动多种报
15、告模板 易于广泛使用 精心设计的界面和使用向导 B/S结构,便于使用和管理 支持分布式部署和统一分析,RSAS-200,专业细致的扫描参数调整,管理和实施特性,最简化的系统配置 简单设置网络信息即可使用,即插即扫 方便的升级 手工升级,自动升级两种方式 支持代理升级,方便一些内部网络用户 授权使用模式 防止恶意使用和越权使用 分布式部署 可实现多层部署,逐级上传,统一分析。能够满足复杂网络结构里的全面部署和有效评估。,报表-模板驱动,可定制报表内容表样式 可HTML格式或Word格式下载报告 提供了多个默认模板 行政主管模板 技术主管模板 网络管理员模板 安全管理员模板,完善直观的评估报告,全
16、中文问题描述 详尽解决方案 多主机汇总分析 多任务汇总分析,详细的问题描述,绿盟科技维护的国内最大的中文漏洞库为RSAS的扫描结果的详细、完备描述提供了强大支持,高人一筹的性能指标,与通常的软件扫描器相比,RSAS承载的硬件嵌入系统平台经过特别优化 扫描效率远远高于一般的安全扫描软件,100M局域网情况,10M局域网情况,“极光”产品应用情况,中国电信 中国移动 山东通信 贵州移动 广东移动 云南移动 湖南数据通讯局; 国家信息安全测评中心; 中国人民解放军xxxxx部队; 中国电力财务有限公司; 中国银河证券;,北京石景山区信息中心 成都天府热线; 首都之窗; 重庆长安; 上海市XX局; 大庆油田; 湘财证券; 武汉电信IDC 北京地税; ,7、绿盟科技专业安全服务,安全服务简介,网络安全并不是简单的网络安全产品的堆砌就能解决,它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。 安全服务是一个完整安全体系中不可或缺的一部分,安全服务和各种安全产品和技术的融和使用,才能真正的保障一个大型网络的动态和持续安全。 专业的安全服务非常适合高端客户在已经建立了一定安全体系后,获得系统集成商无法提供的专业性和个性化支持。,
