《安全评估工具及方法介绍PPT课件》由会员分享,可在线阅读,更多相关《安全评估工具及方法介绍PPT课件(126页珍藏版)》请在金锄头文库上搜索。
1、安全评估工具及方法介绍安全评估工具及方法介绍安全评估工具及方法介绍议程评估概述评估工具介绍Windows2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估安全评估工具及方法介绍安全风险评估三要素安全评估工具及方法介绍资产“资产”定义电信网和互联网及相关系统资产是具有价值的资源,是安全防护体系保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。资产识别资产识别资产是具有价值的资源,是安全策略保护的对象。风资产是具有价值的资源,是安全策略保护的对象。风险评估中,首先需要将电信网和互联网及相关系统资险评估中,首先需要将电信网和互联网及相关
2、系统资产进行恰当的分类,以此为基础进行下一步的风险评产进行恰当的分类,以此为基础进行下一步的风险评估。估。安全评估工具及方法介绍资产分类及示例分类示例数据保存在设备上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件:操作系统、协议包、工具软件、各种数据库软件等应用软件:外部购买的应用软件,外包开发的应用软件,各种共享、自行或合作开发的各种软件等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列等传输线路:光纤、双绞线等保障设备:动力保障设备(UPS、变电设备等)、消
3、防设施等服务网络服务:各种网络设备、设施提供的网络连接服务等业务提供服务:依赖电信网和互联网及相关系统开展的各类业务等文档纸质的各种文件,如设计文档、管理规定和技术要求等人员掌握重要技术的人员,如网络维护人员、网络或业务的研发人员等其它企业形象,客户关系等安全评估工具及方法介绍威胁威胁是一种对资产构成潜在破坏的可能性因素,是客观存在的。威胁可以通过威胁主体、动机、途径等多种属性来描述。威胁可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的网络威胁有盗取帐号密码、冒名顶替、病毒、特洛伊木马、错误路由、火灾、水
4、灾等。威威胁胁赋赋值值评估者根据经验和(或)有关的统计数据来判断威胁出现的频率安全评估工具及方法介绍威胁分类及示例种类种类描述描述软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害无作为或操作失误由于应该执行而没有执行相应的操作、或无意地执行了错误的操作,对系统造成影响管理不到位安全管理无法落实、不到位,造成安全管理不规范或者管理混乱,从而破坏电信网和互联网及相关系统正常有序运行恶意代码和病毒具有自我复制、自我传播能力,对电信网和互联网及相关系统构成破坏的程
5、序代码越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏电信网和互联网及相关系统的行为黑客攻击技术利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对电信网和互联网及相关系统进行攻击和入侵物理攻击物理接触、物理破坏、盗窃泄密机密泄漏,机密信息泄漏给他人篡改非法修改信息抵赖不承认收到的信息和所作的操作或交易安全评估工具及方法介绍脆弱性“脆弱性”定义脆弱性是电信网和互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用可能被威胁所利用从而危及资产的安全。 脆脆弱弱性
6、性赋赋值值被威胁利用后对资产的损害程度安全评估工具及方法介绍威胁利用脆弱性示例威胁威胁威胁子类威胁子类威胁可利用的脆弱性威胁可利用的脆弱性人为威胁非故意无作为、误操作威胁核心盘有无保护网管服务器及数据的备份厂家支持力度人员素质及管理外力施工光缆铺设合理性承载系统保护机制故障应急机制有效性故意恶意代码和病毒防恶意代码及病毒措施网络及系统漏洞网络攻击防网络攻击措施针对网络攻击的网络脆弱性泄密、篡改、抵赖防泄密、篡改、抵赖措施保密管理的脆弱性安全评估工具及方法介绍风险值计算相乘法风险值计算方法风险值计算方法-相乘法相乘法风险值 资产价值 威胁值 脆弱性值风险值的取值范围为1-125 ,风险值等级化处
7、理,确定风险值对应的风险等级。安全评估工具及方法介绍安全评估网络安全主机安全应用安全数据安全物理安全各层的安全需求:各层的安全需求:1、保证本层自身的安全;、保证本层自身的安全;2、实现本层对上层的安全支撑;、实现本层对上层的安全支撑;3、增强对上层安全侵害的抵抗能力;、增强对上层安全侵害的抵抗能力;4、尽可能减少本层对下层的安全依赖;、尽可能减少本层对下层的安全依赖;5、尽可能减少本层对下层的安全侵害;、尽可能减少本层对下层的安全侵害;安全评估工具及方法介绍单系统评估风险评估实施流程图否是否是风险评估准备已有安全措施的确认风险计算风险是否接受保持已有的安全措施施施施选择适当的安全措施并评估残
8、余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险分析评估过程文档评估过程文档风险评估文件记录评估结果文档安全评估工具及方法介绍风险评估规范的依据安全评估工具及方法介绍风险评估方法工具评估人工检查资料分析访谈问卷调查渗透测试安全评估工具及方法介绍工具评估目的:以网络扫描的方式,发现易于被攻击者利用的安全风险;要求:尽可能和被扫描设备之间无访问控制扫描影响:对网络资源的影响在5%以下,对系统资源的影响在3%以下;安全评估工具及方法介绍人工评估目的:对工具评估结果进行分析;查找工具评估无法发现的安全漏洞;了解系统配置信息,为安全加固做准备;查看系统受攻击情况;要求:以系统管理员方式
9、登陆系统评估影响:不对系统进行任何更改,没有影响;安全评估工具及方法介绍风险规避措施评估前要求对重要系统进行有效备份;扫描中不使用DoS扫描策略;对重要业务系统选择业务量比较小的时间段进行评估;双机热备系统分别扫描,确认工作正常后再继续扫描;发现问题,及时中止,确认问题解决后再继续扫描安全评估工具及方法介绍议程评估概述评估工具介绍Windows2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估安全评估工具及方法介绍什么是扫描器什么是扫描器什么是扫描器黑客实施盗窃之前,最先进行的工作窥探,利用扫描器可以收集到:操作系统类型、开放端口、开放服务及版本号、共享目录,无疑扫描器成了黑客
10、的帮凶!但扫描器无罪,关键看掌握在谁的手里;安全评估工具及方法介绍什么是扫描器什么是扫描器安全管理者眼中的扫描器知己知彼,百战不殆。通过扫描器可以对己方的安全隐患了如指掌;利用扫描器提供的漏洞修补建议,完成系统的加固;防范未授权的扫描:部署防火墙、IDS等;与其它产品联动:防火墙阻断主机、IDS入侵事件过滤;安全评估工具及方法介绍主流扫描器ISSSSSWebRavorLinktrustNetworkScannerXSCANSPUER-SCANNMAPNESSUS流光安全评估工具及方法介绍X-Scan安全评估工具及方法介绍X-Scan安全评估工具及方法介绍NESSUS安全评估工具及方法介绍NES
11、SUS安全评估工具及方法介绍议程评估概述评估工具介绍Windows2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估安全评估工具及方法介绍主要检查项补丁与版本用户与口令服务状况安全配置系统日志主要应用软件被攻击情况检查安全评估工具及方法介绍版本与补丁版本查看办法“我的电脑”属性”开始菜单“管理工具”计算机管理系统信息系统摘要补丁查看办法通过在线WindowsUpdate,检查有哪些安全更新需要安装通过“控制面板”添加/删除软件”查看已经安装了哪些补丁通过注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftUpdates通过其它工具安全评估工具及方法介绍用
12、户与口令确保禁用确保禁用GuestGuest等账户;等账户;检查用户所属的组,关注检查用户所属的组,关注administratorsadministrators组;组;安全评估工具及方法介绍用户与口令C:winntrepairsam文件安全评估工具及方法介绍服务状况“管理工具”服务需要关注的服务Alerter、messenger、snmp、remoteregistryservice、routingandremoteaccess、runas、telnet、ftp、smtp、nntp、terminalservice、www其他远程服务、可疑的服务远程管理服务Terminalservice、pcan
13、ywhere、netmeeting等共享服务C:netshare“管理工具”计算机管理”共享”注意共享访问权限安全评估工具及方法介绍安全配置安全选项“管理工具”“本地安全策略”“安全设置/本地策略/安全选项”对匿名连接的额外限制;对匿名连接的额外限制;允许在未登录前关机;允许在未登录前关机;是否显示上次登录帐号;是否显示上次登录帐号;LANManager身份验证级别;身份验证级别;发送未加密的密码以连接到第三方发送未加密的密码以连接到第三方SMB服务器;服务器;允许弹出可移动允许弹出可移动NTFS媒体;媒体;在断开会话之前所需的空闲时间;在断开会话之前所需的空闲时间;如果无法记录安全审计则立即
14、关闭系统;如果无法记录安全审计则立即关闭系统;登录屏幕上不要显示上次登录的用户名;登录屏幕上不要显示上次登录的用户名;禁用按禁用按CTRL+ALT+DEL进行登录的设置;进行登录的设置;在关机时清理虚拟内存页面交换文件;在关机时清理虚拟内存页面交换文件;安全评估工具及方法介绍系统日志系统日志设置安全评估工具及方法介绍系统日志日志审核设置安全评估工具及方法介绍主要应用软件MSSQLServer等数据库软件Seru-U等ftp软件Apache、IIS等WWW服务软件安全评估工具及方法介绍被攻击情况检查查看系统进程任务管理器查看系统开放服务查看系统端口和连接Netstatan结合fport工具查看系
15、统日志系统日志、安全日志、应用日志、IIS等访问日志C:winntsystem32logfiles安全评估工具及方法介绍被攻击情况检查系统注册表HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun和HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce项下是否有异常程序菜单程序启动Txt、exe等关联程序C:ftypetxtfile等等安全评估工具及方法介绍议程评估概述评估工具介绍Windows2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估安全评估工具及方法介绍主要检查项系统基本信息root用
16、户安全配置系统服务启动状况关键服务配置用户与口令系统审计文件系统与文件权限其他安全评估工具及方法介绍系统基本信息(补丁)系统补丁信息使用oslevel确定系统版本补丁分为三类-RecommendedMaintenancePackage(RM)-CriticalFix(cfix)-EmergenceFix(efix)推荐使用RPM安装系统补丁对于最新的漏洞,需要efix安全评估工具及方法介绍系统基本信息(其他)系统基本信息uname-a系统网卡信息ifconfig-a系统路由信息netstat-nr网络连接信息netstat-na系统进程信息ps-ef安全评估工具及方法介绍root用户安全配置是
17、否允许root用户远程登录在/etc/security/user文件中设定使用lsuser可以查看使用chuser更改root用户的环境变量/etc/environment是全局的环境变量/etc/security/environ中可以设定单个用户的环境变量也可以通过启动文件设定环境变量安全评估工具及方法介绍系统服务启动状况初始的启动文件/etc/inittabpiobeqdaemonwritesrvhttpdlite通常服务在/etc/rc.*文件中启动rc.nfsrc.tcpiprc.d/inetd的启动文件/etc/inetd.conf安全评估工具及方法介绍关键服务配置R命令(rlogi
18、n,rsh)的配置情况CDE(dtlogin)是否设置访问控制Ftp服务是否限制系统用户访问(/etc/ftpusers)Cron服务NFS服务SNMP服务Sendmail服务DNS服务安全评估工具及方法介绍用户与口令删除无用用户查看是否存在空/弱口令口令策略设定在/etc/security/user文件中设定使用lsuser/chuser查看与修改登录策略设定在/etc/security/login.cfg文件中设定通用用户的环境变量设定在/etc/environment文件中设定安全评估工具及方法介绍系统审计syslog日志的配置状况记录失败登录:/etc/security/failedl
19、ogin使用who查看:who/etc/security/failedlogin记录最新登录:/etc/security/lastlog文本文件,使用more查看记录su的使用:/var/adm/sulog文本文件,使用more查看安全评估工具及方法介绍文件系统与文件权限以安全模式加载文件系统文件基本权限查找setuid,setgid与全局可写的文件find/-perm-4000-ls查找所有setuid的文件find/-perm-2000-ls查找所有setgid的文件find/-perm-0004-ls查找所有全局可写的文件和目录安全评估工具及方法介绍其他修改banner信息在/etc/s
20、ecurity/login.cfg中修改herald参数对网络连接设置访问控制安全评估工具及方法介绍服务安全管理尽可能少泄露系统信息更改telnetdftpdbindsendmail等的banner信息编写安全的用户程序注意避免自己编写的用户程序中常见的安全漏洞,它们往往成为黑客攻击的突破口。安全评估工具及方法介绍主要应用软件安全性服务的安全补丁除了操作系统的安全补丁外,各厂商的应用服务,也需要安装相应的安全补丁。比如比如sendmail、Bind、Apache、WUFTP、数据库、网管系统等等,都、数据库、网管系统等等,都会不定期出现严重的安全漏洞,需要单独安装其安全补丁。会不定期出现严重的
21、安全漏洞,需要单独安装其安全补丁。安全评估工具及方法介绍主要应用软件安全性对服务的安全配置对主要的服务,比如snmpd、sendmail、bind、apache、NFS等,如果必须开放的话,也应该进行相应的安全配置。安全评估工具及方法介绍入侵检查基本理念了解后门的形式会有助于对攻击者入侵行为和后门的检查会有助于对攻击者入侵行为和后门的检查系统是否可信系统已经或者有可能受到攻击,那么许多信息已经不再完全可信系统已经或者有可能受到攻击,那么许多信息已经不再完全可信通过通过lsnetstatpsfind等获得的信息不再可信,因为这些应用程序本等获得的信息不再可信,因为这些应用程序本身可能已经被入侵者
22、篡改;身可能已经被入侵者篡改;syslog日志可能已经被删除或者篡改;日志可能已经被删除或者篡改;文件或者目录的大小属性、时间戳等都可能被伪造。文件或者目录的大小属性、时间戳等都可能被伪造。入侵痕迹入侵者往往会由于技术或者非技术的原因留下蛛丝马迹入侵者往往会由于技术或者非技术的原因留下蛛丝马迹当攻击者多次登录、或者多台机器被入侵时,由于疏忽的原因,留下当攻击者多次登录、或者多台机器被入侵时,由于疏忽的原因,留下痕迹的可能性会更大痕迹的可能性会更大安全评估工具及方法介绍入侵检查使用基本的系统命令ls命令:注意查看文件的注意查看文件的ACLTime时间戳、权限位、大小、属主等;时间戳、权限位、大小
23、、属主等;find命令:可以根据文件的可以根据文件的ACLtime时间戳、权限、大小、属主、类型等特性进行时间戳、权限、大小、属主、类型等特性进行查找;查找;pseaf或者/bin/ucb/psaux查看进程信息;ldd查看命令所调用的动态库netstatan命令查看端口链接信息;lsof查看进程打开的端口、打开的文件等属性;strings和file命令查看文件信息;安全评估工具及方法介绍入侵检查使用基本的系统日志查看系统本身的相关日志,但它们被篡改的可能性较大;但它们被篡改的可能性较大;查看网络日志服务器的日志或者查看IDS系统日志等它们一般比较可靠,被篡改的可能性相对较小。它们一般比较可靠
24、,被篡改的可能性相对较小。使用其它工具(chkrootkit)安全评估工具及方法介绍常见的后门形式suid后门把重要的文件cp到隐藏的目录下,设置suid位,比如:cp/bin/ksh/tmp/.aachownroot:root.aachmod4755.aa安全评估工具及方法介绍常见的后门形式inetd后门选择一个不常被使用的服务,用可以产生某种后门的守护进程代替原先的守护进程,比如:将用于提供日期时间的服务将用于提供日期时间的服务daytime替换为能够产生一个替换为能够产生一个suidroot的的shellvi/etc/inetd.confdaytimestreamtcpnowait/bi
25、n/shsh-i.安全评估工具及方法介绍常见的后门形式rc等启动脚本后门在rc启动脚本中运行后门服务,比如在/sbin/rc3或者/etc/rc2.d/S69inet中增加:nclp9999e/bin/sh&将会在将会在tcp9999端口监听。端口监听。安全评估工具及方法介绍常见的后门形式更改/etc/passwd和/etc/shadow文件echofootq:x:0:0:/export/home/footq:/bin/sh/etc/passwdechofootq:/etc/shadow安全评估工具及方法介绍常见的后门形式攻击者可能在crontab或者at中增加定期运行的后门Crontab的语
26、法为:几分几分几点几点几号几号几月几月周几周几命令命令103*0/usr/lib/newsyslogcrontablaaa将当前用户的crontab内容导入到aaa文件crontabbbb将编辑好的crontab文件bbb加载到当前用户的crontab中,使之生效crontabe编辑当前的crontab文件安全评估工具及方法介绍常见的后门形式rootkit黑客的后门工具箱,比如lrk5、ark等,包括以下功能:自动清除日志中的登录记录的工具,比如自动清除日志中的登录记录的工具,比如wipe、zap2等;等;隐藏攻击者目录和文件、进程等的工具,如替换的隐藏攻击者目录和文件、进程等的工具,如替换的
27、netstat、ps、ls、ifconfig等;等;木马,比如替换的木马,比如替换的login、su等;等;后门程序,比如后门程序,比如nc,或者其他的,或者其他的BindShell等;等;以太网的以太网的sniffer;它能伪装被替换文件的sum校验和,更改时间戳等,由于许多命令被替换更改,所以许多东西不再可信,比较难于检查,但是:往往也会存在纰漏和蛛丝马迹,能够被人工发现;往往也会存在纰漏和蛛丝马迹,能够被人工发现;tripwire等文件系统完整性检查工具、等文件系统完整性检查工具、chkrootkit可以发现它。可以发现它。安全评估工具及方法介绍议程评估概述评估工具介绍Windows20
28、00安全评估Unix安全评估网络设备安全性评估网络架构安全评估安全评估工具及方法介绍主要检查项设备负载访问安全账号和口令认证banner服务管理logacl防范DOS攻击功能安全评估工具及方法介绍路由器负载路由器的负载通常取决于下列因素:路由器在网络中所处的层次核心层核心层,汇聚层汇聚层,或者接入层或者接入层路由器执行的软件功能NAT,policy-route,加密等等都会加重设备负担加密等等都会加重设备负担命令showprocessmemshowprocesscpu安全评估工具及方法介绍IOS版本有无漏洞系统漏洞,在非人为条件下,系统在特定网络环境中出现异常;安全性漏洞,破坏者借此控制设备或
29、者造成设备运行异常;网络设备运行中断或者异常即可造成经济损失检测方式网络扫描工具如如LinkTrustNetworkScanner检查版本号,版本过低即可能有漏洞命令命令showversion安全评估工具及方法介绍访问安全Console安全评估工具及方法介绍访问安全auxiliary安全评估工具及方法介绍访问安全vty安全评估工具及方法介绍vty访问安全安全评估工具及方法介绍vty访问安全安全评估工具及方法介绍Privilege从015默认是:1(exec)15(enable)可以自定义其他级别访问安全安全评估工具及方法介绍访问安全安全评估工具及方法介绍账号和口令应按照用户分配账号应按照用户分
30、配账号Router#configtEnter configuration commands, one per line. End withCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernameruser1password3d-zirc0niaRouter(config)#usernameruser1privilege1Router(config)#usernameruser2password2B-or-3BRouter(config)#usernameruser2privilege1Router(confi
31、g)#end安全评估工具及方法介绍账号和口令Type7Cisco的算法很容易被破解很容易被破解enablepasswordusername*password*servicepassword-encryption(可以保证不在屏幕上直接显示)(可以保证不在屏幕上直接显示)Type5MD5算法算法安全安全enablesecret安全评估工具及方法介绍账号和口令Enablepassword和和enablesecret同时存在时,只有同时存在时,只有enablesecret起作用起作用应该禁止enablepassword,尤其注意二者不能相同安全评估工具及方法介绍认证认证系统联动认证系统联动Route
32、r#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost192.168.6.18Router(config)#tacacs-serverkeyIr31yh8n#w9swD
33、Router(config)#end安全评估工具及方法介绍有些时候,缺省BANNER信息会为黑客提供入侵线索;User Access VerificationPassword: 如上信息意味着该设备是Cisco设备。Router(config)#banner login This is secured device.Unauthorized use is prohibited by law.修改缺省banner安全评估工具及方法介绍HTTP管理模式HTTP管理模式可以使用户以WEB方式管理路由器,但是也带来安全隐患。router(config)#noiphttpserver关闭HTTP模式ro
34、uter(config)#iphttpaccess-classaccess-list用ACL限制可以访问的地址router(config)#iphttpauthentication验证方式:本机或者radius服务器安全评估工具及方法介绍 Router(config)#no access-list 11Router(config)#access-list 11 permit host 10.10.10.1 Router(config)#access-list 11 deny any Router(config)#ip http access-class 11 Router(config)#ip
35、 http authentication local Router(config)#ip http serverHTTP管理模式安全评估工具及方法介绍SNMP是否有安全隐患尽可能禁用SNMP,如确实需要使用SNMP,必须:确保使用SNMP版本3,因为SNMPV3使用了较强的MD5认证技术必须确保MIB库的读写密码(CommunityStringPassword)必须设定为非缺省值(PublicandPrivate)CommunityStringPassword必须为健壮口令,并定期更换;确保授权使用SNMP进行管理的主机限定在指定网段范围内(ACL)安全评估工具及方法介绍Router(conf
36、ig)# no snmp community public Router(config)# no snmp community private Router(config)#access-list 8 permit 172.33.67.1Router(config)#access-list 8 permit 0.0.0.1 172.22.68.20Router(config)#access-list 8 deny anyRouter(config)# !make SNMP read-only and subject to access listRouter(config)#snmp-serve
37、r community hello!# ro 8Router(config)#snmp-server host 172.22.66.18 maddogRouter(config)#snmp-server trap-source loopback 0Router(config)#snmp-server enable traps snmpSNMP是否有安全隐患安全评估工具及方法介绍关闭无用服务很多服务目前Internet上已经很少使用,而且这类服务服务往往存在可供黑客利用的缺陷。Smallservices(echo,discard,chargen,etc.):Router(config)#nose
38、rvicetcp-small-serversRouter(config)#noserviceudp-small-serversBOOTP:Router(config)#noipbootpserverFingerRouter(config)#noipfingerRouter(config)#noservicefinger安全评估工具及方法介绍CDP是否构成隐患?无必要时,关闭CDP协议,黑客通常可以借助CDP更快地了解网络拓扑结构XXXX-NMSW-1#show cdp neiCapability Codes: R - Router, T - Trans Bridge, B - Source R
39、oute Bridge S - Switch, H - Host, I - IGMP, r - RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port IDJAB032008YP(XXXX-Gig 4 155 T S WS-C4003 2/2JAB032008YP(XXXX-Gig 3 155 T S WS-C4003 2/1安全评估工具及方法介绍LOGLog类型类型ConsoleloggingTerminallineloggingBufferedlogging空间有限空间有限SyslogloggingSNMPtrapl
40、ogging安全评估工具及方法介绍LOG安全评估工具及方法介绍LOG安全评估工具及方法介绍LOG安全评估工具及方法介绍LOG安全评估工具及方法介绍日志是否开启确保路由器开启日志功能。若路由器没有足够的空间,需要将日志传送到日志服务器上保存;若边界路由器未配合防火墙、IDSIDS、SnifferSniffer等技术使用,必须支持详尽的日志信息;在日志文件中需要记录登录过该设备的用户名、时间和所作的命令操作等详细信息,为发现潜在攻击者的不良行为提供有力依据;安全评估工具及方法介绍Router(config)# logging onRouter(config)# logging 10.1.1.200
41、Router(config)# logging buffered 16000 informationRouter(config)# logging console criticalRouter(config)# logging trap debugging日志是否开启安全评估工具及方法介绍SNMP安全评估工具及方法介绍SNMP安全评估工具及方法介绍访问控制列表标准标准ACLInterface#access-grouplist-numberin(out)安全评估工具及方法介绍访问控制列表扩展扩展ACLInterface#access-grouplist-numberin(out)安全评估工具及方
42、法介绍访问控制列表基于基于name的扩展的扩展ACLInterface#access-grouplist-numberin(out)安全评估工具及方法介绍访问控制列表ACL匹配顺序匹配顺序默认是默认是deny最少一个permit只是单向访问控制只是单向访问控制安全评估工具及方法介绍是否需要和合理利用RPF功能?RPF可以有效地防止基于地址欺骗的攻击手段,提供全网的抗攻击能力,的使用基于以下原则:路由器必须可以开启交换模式如果路由器从某接口接收到的任何包,其回应包必定从该接口返回,则可以在该接口上使用RPF功能;尽可能在靠近接入用户的网络设备上使用;Router(config)#ip cefRo
43、uter(config)#inter e0/0Router(config-if)#ip verify unicast reverse-path 安全评估工具及方法介绍访问控制列表安全评估工具及方法介绍访问控制列表安全评估工具及方法介绍访问控制列表安全评估工具及方法介绍访问控制列表安全评估工具及方法介绍议程评估概述评估工具介绍Windows2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估安全评估工具及方法介绍网络架构安全评估安全域划分边界防护网络安全管理冗余、备份与恢复IP地址规划安全评估工具及方法介绍安全域划分(1)为什么要划分安全域?n组网方式随意性强,缺组网方式随意性强,
44、缺乏统一规划乏统一规划n网络区域之间边界不清网络区域之间边界不清晰,互连互通没有统一晰,互连互通没有统一控制规范控制规范n安全防护手段部署原则安全防护手段部署原则不明确不明确n扩展性差扩展性差n无法有效隔离不同业务领域,无法有效隔离不同业务领域,跨业务领域的非授权互访难于跨业务领域的非授权互访难于发现和控制发现和控制n无法有效控制网络病毒的发作无法有效控制网络病毒的发作区域和影响区域和影响n不能及时的发现安全事件和响不能及时的发现安全事件和响应应n第三方维护人员缺乏访问控制第三方维护人员缺乏访问控制和授权和授权n管理员密码和权限的难以管理管理员密码和权限的难以管理n关键服务器、信息资产的缺乏关
45、键服务器、信息资产的缺乏重点防护重点防护安全评估工具及方法介绍安全域划分(2)安全域划分的根本目的是把一个大规模复杂系统的安全问题,安全域划分的根本目的是把一个大规模复杂系统的安全问题,化解为更小区域的简单系统的安全保护问题。这也是实现大规模复化解为更小区域的简单系统的安全保护问题。这也是实现大规模复杂信息的系统安全分等级保护的有效方法。杂信息的系统安全分等级保护的有效方法。安全域是指具有相同或近安全域是指具有相同或近似安全保护需求的一系列似安全保护需求的一系列ITIT要素的逻辑集合。这些要素的逻辑集合。这些要素主要包括:要素主要包括:业务应用业务应用网络区域网络区域主机主机/ /系统系统组织
46、人员组织人员物理环境物理环境主体、性质、安全目标和策略等元素的主体、性质、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。同的网络安全域共享同样的安全策略。安全域划分安全评估工具及方法介绍安全域划分(3)安全域划分的基本步骤作为实现信息系统安全等级保护的前提,首先应提出各信息系统组网、作为实现信息系统安全等级保护的前提
47、,首先应提出各信息系统组网、设备部署的基本原则,即进行安全域划分的原则。设备部署的基本原则,即进行安全域划分的原则。在明确安全域划分基本原则基础上,根据不同信息系统的价值和安全在明确安全域划分基本原则基础上,根据不同信息系统的价值和安全风险等级,确定各安全域不同的保护等级。风险等级,确定各安全域不同的保护等级。结合冗余备份、提高数据传输效率等原则,明确组网的基本要求,并结合冗余备份、提高数据传输效率等原则,明确组网的基本要求,并据此进行边界保护和基本安全防护手段的建设工作。据此进行边界保护和基本安全防护手段的建设工作。安全评估工具及方法介绍安全域划分(4)安全域划分的原则业务保障原则:业务保障
48、原则:安全域划分的根本目标是能够更好的保障网络上承载的业务。在保证安全域划分的根本目标是能够更好的保障网络上承载的业务。在保证安全的同时,还要保障业务的正常运行和运行效率。安全的同时,还要保障业务的正常运行和运行效率。结构简化原则:结构简化原则:安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的安全域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络结构便于设计防护体系。网络结构便于设计防护体系。等级保护原则:等级保护原则:安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等
49、。近的安全等级、安全环境、安全策略等。生命周期原则:生命周期原则:对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变对于安全域的划分和布防不仅仅要考虑静态设计,还要考虑不断的变化;化;在安全域的建设和调整过程中要考虑工程化的管理。在安全域的建设和调整过程中要考虑工程化的管理。 安全评估工具及方法介绍安全域划分(5)安全域划分方法安全域的划分除了遵循上述根本原则外,安全域的划分还应考虑如安全域的划分除了遵循上述根本原则外,安全域的划分还应考虑如下两个重要特征:下两个重要特征:安全域内的系统应具有相同或者相近的保护等级;安全域内的系统应具有相同或者相近的保护等级;属于同一安全域内的系统应
50、互相信任,也就是说即使保护需求相同,属于同一安全域内的系统应互相信任,也就是说即使保护需求相同,如果属于不同的系统而且互不信任,也不应该纳入同一安全域进行保如果属于不同的系统而且互不信任,也不应该纳入同一安全域进行保护,护,“信任信任”是一个相对的概念。是一个相对的概念。应当根据业务逻辑、地域与管理模式、业务特点划分安全域、安全应当根据业务逻辑、地域与管理模式、业务特点划分安全域、安全子域、安全区域。子域、安全区域。在安全域内部进一步划分安全区域时,如核心生产区、日常工作区、在安全域内部进一步划分安全区域时,如核心生产区、日常工作区、漫游区、漫游区、DMZDMZ区、第三方互联区等等,重点参考了
51、区、第三方互联区等等,重点参考了IATFIATF计算区域划计算区域划分的理论,并考虑了不同区域和不同的威胁。分的理论,并考虑了不同区域和不同的威胁。安全评估工具及方法介绍边界防护(1)根据根据IATFIATF等安全理论,安全域划分的原则等安全理论,安全域划分的原则明确以后,安全域的边界访问控制是关注明确以后,安全域的边界访问控制是关注的重点。的重点。安全域边界的保护原则是:应以通为主,以隔安全域边界的保护原则是:应以通为主,以隔为辅,即在保证业务系统连通需求的前提下,为辅,即在保证业务系统连通需求的前提下,根据各安全域的威胁等级、保护等级,部署支根据各安全域的威胁等级、保护等级,部署支撑系统的
52、保护方式。撑系统的保护方式。安全评估工具及方法介绍边界防护(2)安全域边界的保护方式在边界整合基础上,结合安全域的威胁等级和保护等级,采用在边界整合基础上,结合安全域的威胁等级和保护等级,采用“重点防护、重点防护、重兵把守重兵把守”的原则,建立安全域互联边界的防护措施,以实施安全域互访的原则,建立安全域互联边界的防护措施,以实施安全域互访的原则。的原则。目前的互联与保护方式主要有:目前的互联与保护方式主要有:单层防火墙控制下的直接互联单层防火墙控制下的直接互联双重异构防火墙控制下的直接互联双重异构防火墙控制下的直接互联接口服务器(如接口服务器(如PORTALPORTAL)方式实现的服务器服务器
53、的互联)方式实现的服务器服务器的互联接口服务器结合物理隔离的互联等。接口服务器结合物理隔离的互联等。确定防护方式主要考虑以下因素:确定防护方式主要考虑以下因素:技术技术安全性安全性实施难度实施难度投资角度投资角度安全域的保护等级、威胁等级,安全域的保护等级、威胁等级,安全评估工具及方法介绍边界防护(3)安全域边界的安全部署在进行安全域边界部分、尤其是漫游区接入的在进行安全域边界部分、尤其是漫游区接入的安全部署时,除了采用上述的保护方式外,还安全部署时,除了采用上述的保护方式外,还要综合考虑病毒自动查杀的病毒墙、补丁管理、要综合考虑病毒自动查杀的病毒墙、补丁管理、漏洞扫描、入侵检测、访问控制、双
54、因素认证、漏洞扫描、入侵检测、访问控制、双因素认证、信息加密等安全技术的统一部署,并实施集中信息加密等安全技术的统一部署,并实施集中的实时监控。的实时监控。除了实施必要的安全保障措施控制外,加强安除了实施必要的安全保障措施控制外,加强安全管理也是不可或缺的一个重要环节。全管理也是不可或缺的一个重要环节。安全评估工具及方法介绍网络安全管理(1)使用了何种网管系统?OpenView、Tivoli等使用了何种管理协议?telnet、snmp、http等是采用带内管理还是带外管理?带外管理,是否注意隔离?是否采用了WindowsDomain或UnixNIS管理?安全评估工具及方法介绍网络安全管理(2)
55、使用流量分析工具进行正常情况下的网络流量进行分析和建模,出现异常流量时立即触发告警并启动相关工单和响应流程;使用各类安全手段的集中管控系统(OMC),如防火墙的控制端、防病毒系统的集中控制端、IDS的集中日志分析系统等,进行较为集中的安全监控;利用部分网管系统,如IP数据网管,对各业务系统工作状态进行实时监控,出现安全相关异常时立即触发安全告警并启动相关工单和响应流程;建设安全运营中心(SOC),实现安全事件进行全局监控预警和响应。安全评估工具及方法介绍网络安全管理(3)对于安全告警监控的技术手段上,主要存在两种情况。第一、部署了多种专业安全技术手段,但并没有部署统一安全管理监控平台的情况,按
56、照专业安全系统的分类,开展相对集中的安全监控工作。第二、已经部署了统一安全管理监控平台的情况,安全监控工作可以围绕安全管理平台进行,将各个专业安全系统的监控手段作为辅助手段。安全评估工具及方法介绍Cisco防火墙安全监控Cisco防火墙可以采用两种方式进行监控Syslog方式采用Kiwi作为syslog服务器将防火墙的日志配置指向syslog服务器ASDM方式安装ASDM客户端软件通过客户端软件登录到防火墙设备可以查看日志、流量、接口信息等安全评估工具及方法介绍Netscreen防火墙监控Netscreen防火墙可以通过三种方式进行安全监控。WEB管理界面监控通过web登录管理界面,查看安全日
57、志告警。通过Syslog服务器集中收集和保存部署KiwiSyslog服务器将防火墙Syslog指向服务器通过防火墙控制端NSM软件进行监控安装NSM控制软件统一管理防火墙监控日志、防火墙状态等。安全评估工具及方法介绍华为防火墙监控华为防火墙通过两种方式进行安全监控通过华为I2000控制软件进行管理和监控安装I2000控制软件,登录管理界面可以对日志、防火墙运行状态进行监控通过syslog服务器进行日志收集和保存安装KiwiSyslog服务器配置防火墙,将syslog日志发送到服务器安全评估工具及方法介绍安氏IDS安全监控安氏IDS通过控制台进行设备状态监控、安全策略设置、安全事件实时监控。安全
58、事件可以按照事件名称、传感器、源IP、目标IP进行分类.通过事件查询工具可以对历史事件进行查询分析。通过报表工具可以生成多种安全报表。安全评估工具及方法介绍绿盟IDS安全监控登录IDS控制台进行安全告警监控、设备状态监控。可以按照事件源、目的、设备、时间等进行分类,可以通过协议分布图监控网络协议分布情况。安全评估工具及方法介绍启明IDS安全监控登录IDS管理控制台,可以进行告警监控,将告警按照严重级别分为连接、低级、中级、高级。登录日志分析程序,可以进行历史事件查询和分析,查询得到的告警可以导出。安全评估工具及方法介绍Symantec防病毒监控Windows任务栏上,单击“开始”“程序”“Sy
59、mantec系统中心控制台”“Symantec系统中心控制台”通过Symantec系统中心控制台跟踪“发现威胁”警报,右键可以查看终端的风险情况,风如果险记录列表中有“隔离失败”、“不操作”,需要通过工单形式派发相关人员处理安全评估工具及方法介绍趋势Officescan防病毒监控通过IE浏览器登陆Officescan管理界面,显示防毒墙网络版的整体情况,可查看最近病毒事件、病毒码版本、病毒爆发警报等信息。选择左侧树状视图中“客户机”,右侧显示“客户机树视图”。右侧客户机列表框将以客户机所在域的形式分别列出,选定后,在右侧出现的列表框上部选择“查看病毒日志”,弹出病毒日志对话框,可查看目前病毒感
60、染情况。安全评估工具及方法介绍安全管理平台集中监控要求已经部署了安全管理平台,可以围绕安全管理平台开展安全监控。安全管理平台的覆盖范围可以包含:网络设备、安全设备、主机等,对这些系统产生的安全告警进行集中收集、分析和风险计算,并围绕风险分析进行安全告警监控.unixunix主主windowswindows网络设备网络设备防火墙防火墙IDSIDS防病毒防病毒syslogagentsyslogsyslogsyslogodbcsnmpsnmpsnmp读文件安全评估工具及方法介绍冗余、备份与恢复核心网络设备是否进行了冗余?交换机、路由器等;链路冗余服务器冗余配置文件离线备份?安全评估工具及方法介绍IP地址规划使用何种IP地址规划?DHCP?/NAT?/私有地址还是公网地址?IP地址规划是否合理?是否利于路由收敛?是否有充足的扩展空间?安全评估工具及方法介绍谢谢大家!谢谢大家!安全评估工具及方法介绍安全评估工具及方法介绍
