《安全审计技术培训课件》由会员分享,可在线阅读,更多相关《安全审计技术培训课件(68页珍藏版)》请在金锄头文库上搜索。
1、安全审计技术与应用网御神州SOC事业部安全审计技术培训为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析提纲2安全审计技术培训重要资产的安全状况无法监控重要资产的安全状况无法监控有漏洞吗?有漏洞吗?我们处于我们处于危险中么?危险中么?我下一步该我下一步该做什么?做什么?发生什么了?发生什么了?用户面临的挑战被动地进行安全防御,造成混乱3安全审计技术培训当前面临的挑战监控和审计界面过多、手忙脚乱!监控和审计界面过多、手忙脚乱!4安全审计技术培训当前面临的挑战信息系统安全等级化保护基本要求信息系统安全等级化保护基本要求
2、二级以上二级以上ISO27001:2005ISO27001:20054.3.34.3.3小节小节企业内部控制基本规范企业内部控制基本规范及其及其配套指引配套指引互联网安全保护技术措施规定互联网安全保护技术措施规定第八条第八条相关法律法规都有安全审计的要求!相关法律法规都有安全审计的要求!5安全审计技术培训为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析提纲6安全审计技术培训安全审计,这里专指IT安全安全审计,是一套对IT系统及其应用进行量化检查与评估的技术和过程。安全审计通过对IT系统中相关信息的收集、分析和报告
3、,来判定现有IT安全控制的有效性,检查IT系统的误用和滥用行为,验证当前安全策略的合规性,获取犯罪和违规的证据,确认必要的记录被文档化,以及检测网络异常和入侵安全审计的定义7安全审计技术培训对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应比较动作。信息系信息系统安全安全审计产品品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑,从而达到保障信息系统正常运行的目的。同时,信息系统安全审计产品对信息系统各组成要素进行事件采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管理的效率GB/T 20945-2007信息安全技术信息系统安全
4、审计产品技术要求和评价方法安全审计的定义8安全审计技术培训信息采集功能信息采集功能,例如日志、网络数据包数据包:DPI、DFI日志:日志归一化技术信息分析功能信息分析功能简单分析:基于数据库的信息查询与比较复杂分析:实时关联分析引擎技术信息存信息存储功能功能海量审计信息的存储信息完整性、私密性保证信息展示功能信息展示功能:可视化、告警、联动自身安全性与可自身安全性与可审计性性安全审计产品的功能组成9安全审计技术培训为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析提纲10安全审计技术培训1.设备审计:对网络设备、安
5、全设备等各种设备的操作和行为进行审计;2.主机审计:审计针对主机(服务器)的各种操作和行为;3.终端审计:对终端设备(PC、打印机)等的操作和行为进行审计,包括预配置审计;4.网络审计:对网络中各种访问、操作的审计,例如telnet操作、FTP操作、文件共享操作,等等;5.数据库审计:对数据库行为和操作、甚至操作的内容进行审计;6.业务系统审计:对业务IT支撑系统的操作、行为、内容的审计;7.用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计安全审计对象分类11安全审计技术培训基于日志分析的安全基于日志分析的安全审计技技术基于本机代理的安全基于本机代理的安全审计技技术基于基
6、于远程代理的安全程代理的安全审计技技术基于网基于网络协议分析的安全分析的安全审计技技术安全审计技术类型划分12安全审计技术培训异构设备和系统的日志信息采集事件归一化事件关联分析海量事件存储全局安全态势监控安全响应日志审计的核心技术13安全审计技术培训日志审计的核心技术之间的关系事件采集和获取事件采集和获取事件归一化事件归一化事件关联分析事件关联分析安全态势监控安全态势监控安全响应安全响应 主机、应用、主机、应用、FW,IDS,AV,其他网络和,其他网络和安全设备获取安全设备获取将异构的事件变成统一将异构的事件变成统一的事件格式的事件格式对全网的日志进行综合对全网的日志进行综合审计审计14安全审
7、计技术培训异构事件采集SNMPSyslog各种协议类型直接采集、代理采集、抓包网络设备安全设备主机、服务器数据库应用系统等等15安全审计技术培训Nokia/Checkpoint日志文件数据库事件传感器Syslog/NetFlowSnmptrap开放API接口WebServiceODBC事件转发器用于跨网段事件采集和分布式事件采集应用文件读取事件源FTP第三方系统:网管、终端管理等全面的日志采集手段OPSECLEA数据库主机硬件采集器,旁路抓包16安全审计技术培训最关键的是事件等级、类型等的归一化最关键的是事件等级、类型等的归一化事件归一化ISS IDS日志日志Dec07200522:18:55
8、10.110.4.130:%PIX-4-106023:DenyDenytcpsrcoutside:211.137.43.182211.137.43.182/31583158dstinside:21.7.255.21721.7.255.217/44544504/25/200503:00:10HTTPIISUnicodeEncodingHTTPIISUnicodeEncoding#ISSFrom62.6.180.195SPORT2671226712To194.117.103.125194.117.103.125DPORT8080ProtocolTCPPriorityHIGHActions:DISP
9、LAY=Default:0,EMAIL=Default:0EventSpecificInformation,ISSIP=194.117.10.8194.117.10.8设备名设备名称称设备地址设备地址事件类型事件类型源源IP IP目的目的IP IP源端源端口口目的目的端口端口描述描述ISSIDSISSIDSPIXFWPIXFWPIX 防火墙日志防火墙日志10.110.4.13010.110.4.13062.6.180.19562.6.180.195194.117.103.125194.117.103.125808044544521.7.255.21721.7.255.217211.137.43
10、.182211.137.43.182DenyDenyHTTPIISUnicodeEncodingHTTPIISUnicodeEncoding194.117.10.8194.117.10.8归一化事件归一化事件26712267123158315817安全审计技术培训安全事件关联分析外部入侵示例18安全审计技术培训安全事件关联分析内部违规示例门禁日志VPN日志OA日志1.用户A进入公司服务器机房,通过门禁的时候打卡了,打卡信息记录到了管理中心;2.用户B在家里通过计算机使用用户A的VPN帐号登录公司网络;3.登录后,防火墙产生了一条VPN登录日志,送到了管理中心;4.用户B登录OA服务器,服务器产
11、生一条日志,送到管理中心5.此时,SecFox-LAS的界面显示告警事件,表明有一个用户非法使用了A的帐号登录了OA服务器。19安全审计技术培训安全态势监控:信息可视化20安全审计技术培训应急响应日志审计短信、电话告警电子邮件告警服务控制台协同联动网络设备联动第三方系统防火墙/UTM联动IDS/IPS联动安全审计技术培训传统的日志审计注重的是日志的存储、基于数据库技术的日志查询和统计问题:缺少对不同设备产生的日志的关联分析,因而难以发现隐藏的威胁和违规行为新型的日志审计更加注重日志实时关联分析在内存中进行事件归并事件追踪:一查到底、及时发现违规和入侵更加强调审计的闭环:发现问题后要能够处理问题
12、告警联动日志审计的技术发展趋势22安全审计技术培训传统的日志审计VS新型日志审计新型日志审计多种方式大规模日志采集日志归一化内存中关联分析实时分析告警日志存储历史分析、统计传统日志审计Syslog日志采集日志分类日志存储日志查询、统计告警以syslog为主;速度一般2000EPS包括syslog、Netflow、ODBC、代理、探针;高速采集,30000+EPS简单分类,截取源/目的IP和端口、时间戳等事件映射归一化,统一日志严重等级、日志类型、操作类别、意图和结果日志存储到数据库中,明文一方面存储到内存中进行关联分析同时存储到数据库中,密文基于SQL语句查询,简单分析时序分析、累计分析,超出
13、SQL语句,可视化统计分析、趋势分析、行为分析,可视化单一告警丰富告警动作,设备联动、协同防御23安全审计技术培训基于日志分析的安全基于日志分析的安全审计技技术基于本机代理的安全基于本机代理的安全审计技技术基于基于远程代理的安全程代理的安全审计技技术基于网基于网络协议分析的安全分析的安全审计技技术安全审计技术类型划分24安全审计技术培训终端节点接入控制外设管理资产管理桌面风险管理节点访问控制终端远程协助移动存储介质管理补丁更新管理.本机代理技术:终端安全管理系统25安全审计技术培训u管理所有入网设备,对违规接入设备进行阻断,阻止违规接入设备对系统资源的访问 u阻止违规接入设备对系统资源的访问,
14、同时进行非法接入安全审计,对违规接入进行告警。阻断技术:ARP欺骗方式主机防火墙方式交换机联动方式节点接入节点接入26安全审计技术培训红外设备:允许/禁止两种方式。蓝牙设备:允许/禁止两种方式。调制解调器:允许/禁止两种方式。USB存储设备:允许/禁止两种方式。软驱:允许/禁止两种方式。光驱:允许/禁止两种方式。串口:允许/禁止两种方式。并口:允许/禁止两种方式。PCMCIA设备:允许/禁止两种方式。外设管理外设管理27安全审计技术培训设置硬件资产信息收集频率,网络中有多少计算机,哪些人在使用计算机,计算机是哪个部门的,一目了然;设置软件资产信息收集频率,计算机安装的什么操作系统,操作系统的版
15、本,安装了哪些软件,是否安装了合法的防火墙,是否打全了补丁,同样一目了然;硬件资产变化时,可以设置告警;软件资产变化时,可以设置告警;下属单位2下属单位1总部。资产管理资产管理28安全审计技术培训 通过远程协助,管理人员可以响应远程终端计算机的协助请求,临时接管远程终端计算机,进行本地化操作。例如:开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。管理人员完成维护操作后,释放对终端计算机的接管。终端远程协助终端远程协助29安全审计技术培训通过移动介质交换的数据是密文,数据离开应用环境后不可用;数据交换前必须通过正确的身份认证,包括密码认证或USB KEY等授权硬件的身份认证;
16、记录数据交换过程的工作日志,便于以后进行跟踪审计;未经授权的移动介质,在工作环境中不可用,只有经过企业授权的移动介质才能进入到企业的办公环境;工作配发的移动介质带出办公环境后变为不可用。 移动存储介质管理移动存储介质管理30安全审计技术培训基于日志分析的安全基于日志分析的安全审计技技术基于本机代理的安全基于本机代理的安全审计技技术基于基于远程代理的安全程代理的安全审计技技术基于网基于网络协议分析的安全分析的安全审计技技术安全审计技术类型划分31安全审计技术培训漏洞扫描基线配置扫描WEB安全审计多用于事前审计基于远程代理技术的审计32安全审计技术培训基于日志分析的安全基于日志分析的安全审计技技术
17、基于本机代理的安全基于本机代理的安全审计技技术基于基于远程代理的安全程代理的安全审计技技术基于网基于网络协议分析的安全分析的安全审计技技术安全审计技术类型划分33安全审计技术培训基于网络协议分析的安全审计端口镜像端口镜像TAPTAP分接分接旁路部署、即插即用,对网络没有任旁路部署、即插即用,对网络没有任何影响何影响34安全审计技术培训根据具体部署位置的不同,分为两个子类型上网审计:部署在互联网出口处,审计用户使用互联网的行为业务审计:部署在核心业务系统处,审计对核心业务系统的操作行为基于网络协议分析的安全审计35安全审计技术培训网络协议分析上网审计36安全审计技术培训网络行为审计业务审计37安
18、全审计技术培训几个故事:高科技犯罪某移动公司的神州行充值卡盗用事件美国TJX公司信用卡信息泄漏事件交通违章信息非法抹除事件非法窃取公司财务数据库重要数据,CRM系统的重要客户资料医院HIS系统医疗信息、病患信息泄漏事件潜艇信息泄漏事件更多参见:当前面临的挑战38安全审计技术培训案例:某移动公司的神州行充值卡盗用事件39安全审计技术培训案例:美国TJX公司信用卡信息泄漏事件40安全审计技术培训案例:交通违章信息内部违规篡改对于非法连入内网的计算机的直接入侵和内部人员利用合法权限进行的违规操作,没有任何防范措施。41安全审计技术培训启示:内部员工犯罪,非法获取、修改数据库中的重要数据外包人员犯罪,
19、利用职务之便留下后门修改和伪造数据黑客攻击,窃取核心机密当前面临的挑战42安全审计技术培训当前面临的挑战:刑法第七修正案全国人大常委会在今年2月28日通过了刑法修正案(七)的表决,并且从颁布之日起实施。刑法修正案(七)第二百五十三条规定:国家机关或者金融、电信、交通、教育、医疗国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对
20、其直接负责的主管人员和其他直接责任人员主管人员和其他直接责任人员,依照各相应条款的规定处罚。安全审计技术培训数据库审计基于网络协议的主机审计应用审计流量审计业务操作实时监控、过程回放关键技术44安全审计技术培训数据库审计:审计各种数据库系统运行平台2000/2005/20082000/2005/2008Oracle8/9/10Oracle8/9/10DB27/8/9DB27/8/9MySQL4.x/5.xMySQL4.x/5.x12.5/ASE1512.5/ASE15能够对多种操作系统平台(能够对多种操作系统平台(WindowsWindows、LinuxLinux、HP-UXHP-UX、Sol
21、arisSolaris、AIXAIX)下)下各个版本的各个版本的SQLServerSQLServer、OracleOracle、DB2DB2、SybaseSybase、MySQLMySQL等数据库进行审等数据库进行审计计45安全审计技术培训 数据库服务器数据库审计:审计各种访问方式SQL*PlusPL/SQLODBC/JDBCWEB应用客户端程序OLEDB/ADO本地操作企业管理控制台TOADOracleOracle操作日志TNSTNS46安全审计技术培训操作行为内容和描述用户行为数据库用户的登录、注销数 据 定 义 语 言(DDL)操作CREATE,ALTER,DROP等创建、修改或者删除数
22、据库对象(表、索引、视图、存储过程、触发器、域,等等)的SQL指令数 据 操 作 语 言(DML)操作SELECT,DELETE,UPDATE,INSERT等用于检索或者修改数据的SQL指令数 据 控 制 语 言(DCL)操作GRANT,REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令数据库审计:审计各种操作类型数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数,数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数,任何细小改动都任何细小改动都“难逃法网难逃法网”。47安全审计技术培训审计VNC、Telne
23、t、网上邻居和定制的主机协议的登录、注销和一般操作等行为审计FTP操作行为,包括登录、注销,以及访问和上传/下载的目录及其文件名主机审计主机FTPFTPTELNETTELNETVNCVNC网上邻居网上邻居48安全审计技术培训1.进行数据操作实监控:对所有外部或是内部用户访问数据库和主机的各种操作行为、内容,进行实时监控;2.对高危操作实时地阻断,干扰攻击或违规行为的执行;3.进行安全预警:对入侵和违规行为进行预警和告警,并能够指导管理员进行应急响应处理;4.进行事后调查取证:对于所有行为能够进行事后查询、取证、调查分析,出具各种审计报表报告。5.协助责任认定、事态评估:系统不光能够记录和定位谁
24、、在什么时候、通过什么方式对数据库进行了什么操作,还能记录操作的结果以及评估可能的危害程 度。业务审计的作用49安全审计技术培训为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计技术和产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析提纲50安全审计技术培训确定目标需求分解审计的技术手段选择产品选型技术及其产品选型过程51安全审计技术培训判定现有IT安全控制的有效性;检查IT系统的误用和滥用行为;验证当前安全策略的合规性;获取犯罪和违规的证据;确认必要的记录被文档化;检测网络异常和入侵确定目标52安全审计技术培训通过具体的需求分解,确定要审计哪些对象,每种对象要审
25、计哪些内容设备审计主机审计终端审计网络审计数据库审计业务系统审计用户行为审计需求分解53安全审计技术培训设备审计主机审计 终端审计网络审计日志协议分析本机代理应用审计数据库审计用户行为审计远程代理适应性最广,功能覆盖全,是安全审计的基本要求多用于网络审计、数据库审计、应用审计和用户上网行为审计主要用于终端审计和主机审计使用范围较广,但主要只针对安全漏洞和配置基线进行审计1234审计的技术手段选择54安全审计技术培训为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计技术和产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析提纲55安全审计技术培训安全审计的发展趋势56
26、安全审计技术培训安全审计发展趋势:统一安全审计上网审计上网审计终端审计终端审计信息可视化、关联分析信息可视化、关联分析业务审计业务审计日志审计日志审计统一审计统一审计57安全审计技术培训Internet业务系统服务区网络系统内部用户区涉密专网服务区分支机构远程个人InternetInternet统一安全审计的实例SecFox-LAS日志审计系统SecFox-NBA业务审计型SecFox-NBA上网审计型SecFox-EPS终端安全管理58安全审计技术培训统一安全审计:第一步基础平台和日志审计59安全审计技术培训统一安全审计:第二步网络行为审计60安全审计技术培训统一安全审计:第三步终端审计61
27、安全审计技术培训统一安全审计:一体化审计62安全审计技术培训为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计技术和产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析63安全审计技术培训用户需求催生全面安全管理体系重要资产的安全状况无法监控有漏洞吗?我们处于危险中么?我下一步该做什么?发生什么了?内在需求外在需求全网整体安全态势监控系统整体运行状态监控便捷、高效的管控平台和界面集中化的监控、审计、预警、响应、报告全面有效地的契合分级保护的要求符合国家法律、行业法规、企业规定切实可行的内控、信息系统风险防范合规审计本质原因分散的IT安全防御设施复杂的业务信息系统分离的安全防御体系孤立的管理手段64安全审计技术培训基础设施层基础设施层应用层应用层业务层三个层面三个维度安全医生安全管家安全顾问全面可管理的信息与网络安全体系安全决策安全监控安全分析65安全审计技术培训可控安全管理体系的技术支撑统一管理平台安全审计技术培训统一安全审计的技术架构67安全审计技术培训为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计技术和产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析68安全审计技术培训
