最新安全审计技术培训PPT课件.ppt

《最新安全审计技术培训PPT课件.ppt》由会员分享，可在线阅读，更多相关《最新安全审计技术培训PPT课件.ppt（69页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、安全审计技术培训安全审计技术培训为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析提纲2信息采集功能信息采集功能，例如日志、网络数据包数据包：DPI、DFI日志：日志归一化技术信息分析功能信息分析功能简单分析：基于数据库的信息查询与比较复杂分析：实时关联分析引擎技术信息存信息存储功能功能海量审计信息的存储信息完整性、私密性保证信息展示功能信息展示功能：可视化、告警、联动自身安全性与可自身安全性与可审计性性安全审计产品的功能组成9为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计产品选型过程综合安全审计解

2、决方案从安全审计平台到安全管理平台案例分析提纲101.设备审计：对网络设备、安全设备等各种设备的操作和行为进行审计；2.主机审计：审计针对主机（服务器）的各种操作和行为；3.终端审计：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计；4.网络审计：对网络中各种访问、操作的审计，例如telnet操作、FTP操作、文件共享操作，等等；5.数据库审计：对数据库行为和操作、甚至操作的内容进行审计；6.业务系统审计：对业务IT支撑系统的操作、行为、内容的审计；7.用户行为审计：对企业和组织的人进行审计，包括上网行为审计、运维操作审计安全审计对象分类11基于日志分析的安全基于日志分析的安全

3、审计技技术基于本机代理的安全基于本机代理的安全审计技技术基于基于远程代理的安全程代理的安全审计技技术基于网基于网络协议分析的安全分析的安全审计技技术安全审计技术类型划分12异构设备和系统的日志信息采集事件归一化事件关联分析海量事件存储全局安全态势监控安全响应日志审计的核心技术13日志审计的核心技术之间的关系事件采集和获取事件采集和获取事件归一化事件归一化事件关联分析事件关联分析安全态势监控安全态势监控安全响应安全响应 主机、应用、主机、应用、FW，IDS，AV，其他网络和，其他网络和安全设备获取安全设备获取将异构的事件变成统一将异构的事件变成统一的事件格式的事件格式对全网的日志进行综合对全网的

4、日志进行综合审计审计14异构事件采集SNMPSyslog各种协议类型直接采集、代理采集、抓包网络设备安全设备主机、服务器数据库应用系统等等15Nokia/Checkpoint日志文件数据库事件传感器Syslog/NetFlowSnmp trap开放API接口Web ServiceODBC事件转发器用于跨网段事件采集和分布式事件采集应用文件读取事件源FTP第三方系统：网管、终端管理等全面的日志采集手段OPSEC LEA数据库主机硬件采集器，旁路抓包16最关键的是事件等级、类型等的归一化最关键的是事件等级、类型等的归一化事件归一化ISSIDS日志日志Dec 07 2005 22:18:55 10.

5、110.4.130:%PIX-4-106023:Deny tcp src outside:211.137.43.182/3158 dst inside:21.7.255.217/44504/25/2005 03:00:10 HTTPIISUnicodeEncoding#ISS From62.6.180.195 SPORT 26712 To 194.117.103.125 DPORT 80 Protocol TCP Priority HIGH Actions:DISPLAY=Default:0,EMAIL=Default:0Event Specific Information,ISS IP=19

6、4.117.10.8设备名设备名称称设备地址设备地址事件类型事件类型源源IP目的目的IP源端源端口口目的目的端口端口描述描述ISSIDSPIXFWPIX防火墙日志防火墙日志10.110.4.13062.6.180.195194.117.103.125 8044521.7.255.217211.137.43.182DenyHTTPIISUnicodeEncoding194.117.10.8归一化事件归一化事件26712315817安全事件关联分析外部入侵示例18安全事件关联分析内部违规示例门禁日志VPN日志OA日志1.用户A进入公司服务器机房，通过门禁的时候打卡了，打卡信息记录到了管理中心；2.

7、用户B在家里通过计算机使用用户A的VPN帐号登录公司网络；3.登录后，防火墙产生了一条VPN登录日志，送到了管理中心；4.用户B登录OA服务器，服务器产生一条日志，送到管理中心5.此时，SecFox-LAS的界面显示告警事件，表明有一个用户非法使用了A的帐号登录了OA服务器。19安全态势监控：信息可视化20应急响应日志审计短信、电话告警电子邮件告警服务控制台协同联动网络设备联动第三方系统防火墙/UTM联动IDS/IPS联动传统的日志审计注重的是日志的存储、基于数据库技术的日志查询和统计问题：缺少对不同设备产生的日志的关联分析，因而难以发现隐藏的威胁和违规行为新型的日志审计更加注重日志实时关联分

8、析在内存中进行事件归并事件追踪：一查到底、及时发现违规和入侵更加强调审计的闭环：发现问题后要能够处理问题告警联动日志审计的技术发展趋势22传统的日志审计 VS新型日志审计新型日志审计多种方式大规模日志采集日志归一化内存中关联分析实时分析告警日志存储历史分析、统计传统日志审计Syslog日志采集日志分类日志存储日志查询、统计告警以syslog为主；速度一般2000EPS包括syslog、Netflow、ODBC、代理、探针；高速采集，30000+EPS简单分类，截取源/目的IP和端口、时间戳等事件映射归一化，统一日志严重等级、日志类型、操作类别、意图和结果日志存储到数据库中，明文一方面存储到内存

9、中进行关联分析同时存储到数据库中，密文基于SQL语句查询，简单分析时序分析、累计分析，超出SQL语句，可视化统计分析、趋势分析、行为分析，可视化单一告警丰富告警动作，设备联动、协同防御23基于日志分析的安全基于日志分析的安全审计技技术基于本机代理的安全基于本机代理的安全审计技技术基于基于远程代理的安全程代理的安全审计技技术基于网基于网络协议分析的安全分析的安全审计技技术安全审计技术类型划分24终端节点接入控制外设管理资产管理桌面风险管理节点访问控制终端远程协助移动存储介质管理补丁更新管理.本机代理技术：终端安全管理系统25u管理所有入网设备，对违规接入设备进行阻断，阻止违规接入设备对系统资源的

10、访问 u阻止违规接入设备对系统资源的访问，同时进行非法接入安全审计，对违规接入进行告警。阻断技术：ARP欺骗方式主机防火墙方式交换机联动方式节点接入节点接入26红外设备：允许/禁止两种方式。蓝牙设备：允许/禁止两种方式。调制解调器：允许/禁止两种方式。USB存储设备：允许/禁止两种方式。软驱：允许/禁止两种方式。光驱：允许/禁止两种方式。串口：允许/禁止两种方式。并口：允许/禁止两种方式。PCMCIA设备：允许/禁止两种方式。外设管理外设管理27设置硬件资产信息收集频率，网络中有多少计算机，哪些人在使用计算机，计算机是哪个部门的，一目了然；设置软件资产信息收集频率，计算机安装的什么操作系统，操

11、作系统的版本，安装了哪些软件，是否安装了合法的防火墙，是否打全了补丁，同样一目了然；硬件资产变化时，可以设置告警；软件资产变化时，可以设置告警；下属单位2下属单位1总部。资产管理资产管理28 通过远程协助，管理人员可以响应远程终端计算机的协助请求，临时接管远程终端计算机，进行本地化操作。例如：开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。管理人员完成维护操作后，释放对终端计算机的接管。终端远程协助终端远程协助29通过移动介质交换的数据是密文，数据离开应用环境后不可用；数据交换前必须通过正确的身份认证，包括密码认证或USB KEY等授权硬件的身份认证；记录数据交换过程的工作

12、日志，便于以后进行跟踪审计；未经授权的移动介质，在工作环境中不可用，只有经过企业授权的移动介质才能进入到企业的办公环境；工作配发的移动介质带出办公环境后变为不可用。移动存储介质管理移动存储介质管理30基于日志分析的安全基于日志分析的安全审计技技术基于本机代理的安全基于本机代理的安全审计技技术基于基于远程代理的安全程代理的安全审计技技术基于网基于网络协议分析的安全分析的安全审计技技术安全审计技术类型划分31漏洞扫描基线配置扫描WEB安全审计多用于事前审计基于远程代理技术的审计32基于日志分析的安全基于日志分析的安全审计技技术基于本机代理的安全基于本机代理的安全审计技技术基于基于远程代理的安全程代

13、理的安全审计技技术基于网基于网络协议分析的安全分析的安全审计技技术安全审计技术类型划分33基于网络协议分析的安全审计端口镜像端口镜像TAPTAP分接分接旁路部署、即插即用，对网络没有任旁路部署、即插即用，对网络没有任何影响何影响34根据具体部署位置的不同，分为两个子类型上网审计：部署在互联网出口处，审计用户使用互联网的行为业务审计：部署在核心业务系统处，审计对核心业务系统的操作行为基于网络协议分析的安全审计35网络协议分析上网审计36网络行为审计业务审计37几个故事：高科技犯罪某移动公司的神州行充值卡盗用事件美国TJX公司信用卡信息泄漏事件交通违章信息非法抹除事件非法窃取公司财务数据库重要数据

14、，CRM系统的重要客户资料医院HIS系统医疗信息、病患信息泄漏事件潜艇信息泄漏事件更多参见：http:/ 12.5/ASE15能够对多种操作系统平台（能够对多种操作系统平台（Windows、Linux、HP-UX、Solaris、AIX）下各个版本的）下各个版本的SQLServer、Oracle、DB2、Sybase、MySQL等等数据库进行审计数据库进行审计45 数据库服务器数据库审计：审计各种访问方式SQL*PlusPL/SQLODBC/JDBCWEB应用客户端程序OLEDB/ADO本地操作企业管理控制台TOADOracle操作日志TNSTNSFTP/TELNETFTP/TELNET46操

15、作行为内容和描述用户行为数据库用户的登录、注销数 据 定 义 语 言（DDL）操作CREATE，ALTER，DROP等创建、修改或者删除数据库对象（表、索引、视图、存储过程、触发器、域，等等）的SQL指令数 据 操 作 语 言（DML）操作SELECT，DELETE，UPDATE，INSERT等用于检索或者修改数据的SQL指令数 据 控 制 语 言（DCL）操作GRANT，REVOKE等定义数据库用户的权限的SQL指令其它操作包括EXECUTE、COMMIT、ROLLBACK等事务操作指令数据库审计：审计各种操作类型数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数，数据库审计的内容

16、可以细化到库、表、记录、用户、存储过程、函数，任何细小改动都任何细小改动都“难逃法网难逃法网”。47审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为审计FTP操作行为，包括登录、注销，以及访问和上传/下载的目录及其文件名主机审计主机FTPTELNETVNC网上邻居网上邻居481.进行数据操作实监控：对所有外部或是内部用户访问数据库和主机的各种操作行为、内容，进行实时监控;2.对高危操作实时地阻断，干扰攻击或违规行为的执行;3.进行安全预警：对入侵和违规行为进行预警和告警，并能够指导管理员进行应急响应处理;4.进行事后调查取证：对于所有行为能够进行事后查询、取证、调

17、查分析，出具各种审计报表报告。5.协助责任认定、事态评估：系统不光能够记录和定位谁、在什么时候、通过什么方式对数据库进行了什么操作，还能记录操作的结果以及评估可能的危害程 度。业务审计的作用49为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计技术和产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析提纲50确定目标需求分解审计的技术手段选择产品选型技术及其产品选型过程51判定现有IT安全控制的有效性；检查IT系统的误用和滥用行为；验证当前安全策略的合规性；获取犯罪和违规的证据；确认必要的记录被文档化；检测网络异常和入侵确定目标52通过具体的需求分解，确定要审计哪些

18、对象，每种对象要审计哪些内容设备审计主机审计终端审计网络审计数据库审计业务系统审计用户行为审计需求分解53设备审计主机审计 终端审计网络审计日志协议分析本机代理应用审计数据库审计用户行为审计远程代理适应性最广，功能覆盖全，是安全审计的基本要求多用于网络审计、数据库审计、应用审计和用户上网行为审计主要用于终端审计和主机审计使用范围较广，但主要只针对安全漏洞和配置基线进行审计1234审计的技术手段选择54为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计技术和产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析提纲55安全审计的发展趋势56安全审计发展趋势：统一安全审计

19、上网审计上网审计终端审计终端审计信息可视化、关联分析信息可视化、关联分析业务审计业务审计日志审计日志审计统一审计统一审计57Internet业务系统服务区网络系统内部用户区涉密专网服务区分支机构远程个人InternetInternet统一安全审计的实例SecFox-LAS日志审计系统SecFox-NBA业务审计型SecFox-NBA上网审计型SecFox-EPS终端安全管理58统一安全审计：第一步基础平台和日志审计59统一安全审计：第二步网络行为审计60统一安全审计：第三步终端审计61统一安全审计：一体化审计62为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计技术和产品选型过程综

20、合安全审计解决方案从安全审计平台到安全管理平台案例分析63用户需求催生全面安全管理体系重要资产的安全状况无法监控有漏洞吗？我们处于危险中么？我下一步该做什么？发生什么了？内在需求外在需求全网整体安全态势监控系统整体运行状态监控便捷、高效的管控平台和界面集中化的监控、审计、预警、响应、报告全面有效地的契合分级保护的要求符合国家法律、行业法规、企业规定切实可行的内控、信息系统风险防范合规审计本质原因分散的IT安全防御设施复杂的业务信息系统分离的安全防御体系孤立的管理手段64基础设施层基础设施层应用层应用层业务层三个层面 三个维度 安全医生安全管家安全顾问全面可管理的信息与网络安全体系安全决策安全监控安全分析65可控安全管理体系的技术支撑统一管理平台统一安全审计的技术架构67为什么需要安全审计安全审计的定义与组成安全审计技术分析安全审计技术和产品选型过程综合安全审计解决方案从安全审计平台到安全管理平台案例分析68结束语结束语谢谢大家聆听！谢谢大家聆听！69