信息安全威胁审计技术.pptx

《信息安全威胁审计技术.pptx》由会员分享，可在线阅读，更多相关《信息安全威胁审计技术.pptx（97页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Neusoft Co.,Ltd.信息安全威胁审计技术信息安全威胁审计技术曹鹏 网络安全产品营销中心解决方案部部长 CISP北京 沈阳东软软件股份有限公司Neusoft Co.,Ltd.怎么去理解审计的重要性和实际用途好象是城市交通安全中的违章摄像头和自动拍照系统。审计策略有时应公开，有时应严格保密。审计结果数据需要有专人负责处理，没有完全自动的审计产品，人的因素非常重要。Neusoft Co.,Ltd.入侵检测系统入侵检测系统WEB日志分析系统终端用户审计和控制系统遭受入侵后的检测工作流程建议安全审计部分内容整体介绍Neusoft Co.,Ltd.哪些站点最容易遭受攻击哪些站点最容易遭受攻击什

2、么是入侵检测入侵检测的主要检测方式入侵检测系统主要能够实现的安全功能有什么入侵检测所面临的技术挑战从入侵检测系统说起Neusoft Co.,Ltd.Neusoft Co.,Ltd.Neusoft Co.,Ltd.政府站点Neusoft Co.,Ltd.很多站点甚至都没有发现自己已经被攻击Neusoft Co.,Ltd.一例利用FORNTPAGE的攻击事件Neusoft Co.,Ltd.利用同样的手段远程进入调试页面状态Neusoft Co.,Ltd.修改后的结果Neusoft Co.,Ltd.入侵过程描述入侵主机情况描述：入侵主机情况描述：该主机位于国家xx局的x层计算机办公室，在11月中曾经

3、连续发生数据库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家xx局网络安全管理部门报告，我公司在接到国家xx局的报告后，立即赶到现场取证分析。操作系统和补丁情况：操作系统和补丁情况：WIN2000个人版操作系统 SP2的补丁包主要服务用途：主要服务用途：做为国家xx局计算中心内部网站使用，负责发布计算中心内部信息。网站运行IIS5，后台数据库采用ACCESS。入侵后的行为表现：入侵后的行为表现：主页页面新闻栏目内容被删除，后台数据库内容被人非法删改。Neusoft Co.,Ltd.分析审计WEB服务器访问日志00:40:59 10.71.1.98 GET/mynews.mdb 20

4、0该记录表明10.71.1.98在早上8点40分的时候非法下载了mynews.mdb数据库，服务器返回200正确请求值，表示请求成功该数据库已经被非法下载。00:42:14 10.71.1.98 GET/login.asp 200随后该攻击者直接访问网站的在线管理系统。Neusoft Co.,Ltd.入侵检测的基本概念真正的入侵检测系统是在20世纪80年代末才开始被研究我们先来明确计算机安全的特性有那三个方面CIA1.机密性2.完整性3.可用性Neusoft Co.,Ltd.什么是入侵呢？破坏上面四性的行为都可以定义为入侵，不管成功与否。从受害者的角度可以说：1.发生了什么？2.谁是受害者？3

5、.受害程度大不大？4.谁是入侵者？5.入侵者的来源在哪里？6.入侵发生的时间？7.入侵是怎么发生的？8.为什么发生入侵？但很多时候我们身边没有一个安全专家可以帮助我们解答这些问题Neusoft Co.,Ltd.为什么需要入侵检测系统检测防护部分阻止不了的入侵检测入侵的前兆入侵事件的归档网络遭受威胁程度的评估入侵事件的恢复Neusoft Co.,Ltd.入侵检测的分类和检测方式基于主机的入侵检测系统基于网络的入侵检测系统基于文件效验方式的入侵检测基于诱捕的蜜罐检测技术Neusoft Co.,Ltd.全面的检测方式异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”

6、，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。支持用户自定义攻击特征代码分析。事后检测：完整的将网络中所有活动数据报的特征记录下来，当发生不可确定的安全时间时，可以将信息包全部回放，进行事后检测分析。协议内容检测：支持常见的明文应用层协议记录，可以及时恢复所有访问原始交互内容。支持用户自定义明文协议特征。Neusoft Co.,Ltd.多种灵活接入方式入侵检测设备直接连接在交换机的侦听口入侵检测设备直接连接在交换机的侦听口入侵检测设备直接连接在交换设备之间，充当透明网桥功能同时进行数据包

7、抓取分析入侵检测设备直接连接在交换设备之间，充当透明网桥功能同时进行数据包抓取分析Neusoft Co.,Ltd.入侵检测设备支持多端口侦听，对中小企业网络更好适应。入侵检测设备支持多端口侦听，对中小企业网络更好适应。内部网络内部网络DMZ区域区域多侦听口设计多台交换机数据同时采集处理Neusoft Co.,Ltd.强大的网络访问内容审计功能可以进行多种协议HTTP、FTP、POP3、SMTP、IMAP、NNTP、Telnet、rsh、rlogin、MSN、Yahoo Messager、DNS等协议的回放和会话记录，便于回放资源访问的详细过程并追查攻击的来源。支持用户自定义扩充Neusoft

8、Co.,Ltd.明文应用协议还原配置Neusoft Co.,Ltd.对于HTTP协议做到访问页面级别的还原Neusoft Co.,Ltd.SMTP协议还原支持Neusoft Co.,Ltd.POP3协议还原支持Neusoft Co.,Ltd.FTP协议还原支持（支持自动回放）Neusoft Co.,Ltd.TELNET协议还原支持（支持自动回放）Neusoft Co.,Ltd.IMAP协议还原支持Neusoft Co.,Ltd.NNTP协议还原支持Neusoft Co.,Ltd.DNS协议还原支持Neusoft Co.,Ltd.MSN（网络聊天）会话回放Neusoft Co.,Ltd.强大的事

9、件定义库Neusoft Co.,Ltd.根据网络自身应用特点添加自定义检测规则Neusoft Co.,Ltd.根据网络自身应用特点添加自定义检测规则Neusoft Co.,Ltd.根据网络自身应用特点添加自定义检测规则Neusoft Co.,Ltd.根据网络自身应用特点添加自定义检测规则Neusoft Co.,Ltd.灵活的策略编辑器Neusoft Co.,Ltd.入侵检测响应选项主动响应1.收集相关信息2.改变环境3.反击攻击者被动响应1.报警和告示2.SNMP/SYSLOG协议通知Neusoft Co.,Ltd.发现攻击多种响应方式可供选择记录日志：事件发生时，记录到监控主机的攻击检测数据

10、库，可通过攻击检测查询。实时报警：事件发生时，实时报警中心显示报警事件，实时报警图标闪烁。邮件报警：事件发生时，将报警事件以邮件的形式发送出去。切断连接：事件发生时，切断事件产生的tcp连接。防火墙联动：由防火墙完成阻断工作。Syslog：事件发生时，记录到配置的Syslog服务器。SNMP Trap：事件发生时，记录到配置的SNMP服务器。播放声音：事件发生时，按事件的优先级发出不同的声音。应在“本地选项”中启用服务、配置声音文件。Windows日志：事件发生时，写入安全管理器所在的主机的日志中。Windows消息：事件发生时，向指定的主机发送消息。运行程序：事件发生时，在安全管理器所在的主

11、机上运行指定的程序。Neusoft Co.,Ltd.实时报警 Neusoft Co.,Ltd.攻击检测 Neusoft Co.,Ltd.应用审计 Neusoft Co.,Ltd.网络审计 Neusoft Co.,Ltd.统计图表 当查看实时报警、攻击检测、内容恢复、应用审计、网络审计记录时，可以通过图表直观的查看各种信息的统计结果。Neusoft Co.,Ltd.实时监控系统 Neusoft Co.,Ltd.自定义监视状态协议方便用户扩充Neusoft Co.,Ltd.实时数据流量 在实时数据流量窗体中可通过折线图查看当前网络中可监听到的网络实时数据流量信息，包括TCP、UDP、ICMP三种协

12、议的数据包数和字节数六种数据流量。Neusoft Co.,Ltd.数据实时捕捉工具 Neusoft Co.,Ltd.支持事件统一管理分层次集中管理 统一取证支持通用管理协议SNMP SYSLOG与企业现有安管中心可以无缝集成Neusoft Co.,Ltd.集中管理器 集中管理多个子监控主机及子管理节点。对子监控主机进行升级、安全策略下发；对子管理节点进行安全策略下发。所有激活的子监控主机向集中管理器提交报警事件，由集中管理器集中审计。可利用统计图表、生成报表功能对收集到的记录进行分析保存。可将收集到的记录导出为CSV文件；可以文本形式保存消息日志。可根据不同的用户权限打开相应的其它管理器，实现

13、对每一台子监控主机的单独管理。Neusoft Co.,Ltd.Neusoft Co.,Ltd.报表查看器 可对通过安全管理器、集中管理器、脱机浏览器查询出的各种数据记录按不同的模板生成报表。可对报表进行打印、保存或以邮件的形式发送出去。可打开保存在本地主机上的rpt格式的报表。可同时打开多个报表，便于集中分析。Neusoft Co.,Ltd.Neusoft Co.,Ltd.Neusoft Co.,Ltd.添加自定义报表 Neusoft Co.,Ltd.Neusoft Co.,Ltd.入侵检测产品报表的重要性只有定期的查看报告才能及时发现攻击企图，对各种入侵行为及时处理。建议每天上班和下班的时候

14、都查看一遍入侵检测产品的报告。报告显示结果是否清楚明了至关重要。介绍我的一个真实的成功案件Neusoft Co.,Ltd.蜜罐技术蜜罐技术就是建立一个虚假的网络，诱惑黑客攻击这个虚拟的网络，从而达到保护真正网络的目的。主要作用：1.诱惑黑客攻击虚假的网络而忽略真正的网络。2.收集黑客的信息和企图，帮助系统进行安全防护和检测，响应。3.消耗黑客的精力，让系统管理员有足够的时间去响应。现有技术允许将4000个IP地址绑定在一台PC机上，显然会增加攻击者的工作量，光用扫描这些IP地址就要花去大量的时间。技术的费用很低，但是能达到很好的效果。Neusoft Co.,Ltd.入侵检测面临的挑战攻击者不断

15、增加的知识，日趋成熟多样自动化工具，以及越来越复杂细致的攻击手法。恶意信息采用加密的方法传输。必须协调、适应多样性的环境中的不同的安全策略。不断增大的网络流量。广泛接受的术语和概念框架的缺乏。不断变化的入侵检测市场给购买、维护IDS造成的困难。Neusoft Co.,Ltd.入侵检测面临的挑战采用不恰当的自动反应所造成的风险。对IDS自身的攻击。大量的误报和漏报使得发现问题的真正所在非常困难。客观的评估与测试信息的缺乏。交换式局域网造成网络数据流的可见性下降，同时更快的网络使数据的实时分析越发困难。Neusoft Co.,Ltd.WEB服务器日志审计WEB日志的分析方法WEB分析工具软件的介绍

16、介绍几个日志分析的实际例子Neusoft Co.,Ltd.通过服务器的返回代码来判断攻击者使用CGI漏洞扫描器对潜在的CGI漏洞脚本进行扫描时，HTTP 404 Not Found errors的记录会大量增长，一次完整的扫描一般可以产生500个以上的连续404错误。攻击者尝试暴力破解服务器上的帐户，HTTP 401 Authorization Required errors 的记录会增长。入侵者尝试SQL 注入脚本攻击，HTTP 500 Server Errors记录会增长。Neusoft Co.,Ltd.终端用户的安全审计终端用户的安全防护一直是信息安全的“死角”，但也是最容易出现问题的地

17、方。随着NT内核的操作系统被大量的采用，所有的工作站其实都是在运行着一台服务器。Neusoft Co.,Ltd.当前的解决问题的途径采用简单快速有效的系统安全加固配置方法，以文档的方式总结出来下发给所有员工。利用SUS服务进行内部网络的补丁统一分发和管理，大大加快内部网络的补丁更新速度和频率。利用一些第三方的软件进行安全审计与控制。Neusoft Co.,Ltd.事件响应不要惊慌，冷静分析和处理问题确定问题的性质，事件严重程度。Neusoft Co.,Ltd.技术处理流程建议暂时中断服务器的网络通讯，但不要急于重新格式化安装新系统。利用SNIFFER监视网络通讯状况利用系统当前分析软件将进程，

18、端口关联表，服务状态，自启动程序列表分析并保存结果。可以将分析的原始数据发送给安全专家请求协助。利用自评估根据检测服务器的安装状态补丁安装情况等。Neusoft Co.,Ltd.Thank youNeusoft Group Ltd.谢谢Neusoft Co.,Ltd.演讲完毕，谢谢观看！Neusoft Co.,Ltd.附录资料：不需要的可以自行删除企业信息化管理专业分析Neusoft Co.,Ltd.目标企业信息化概述企业信息化专业介绍企业信息化学习方法介绍个人期望Neusoft Co.,Ltd.企业信息化概述企业信息化专业介绍企业信息化学习方法介绍个人期望Neusoft Co.,Ltd.什么

19、是企业企业是从事生产、流通、服务等经济活动，以生产或服务满足社会需要，实行自主经营、独立核算、依法设立的一种盈利性的经济组织经济组织。Neusoft Co.,Ltd.你听过哪些企业？东风汽车中国银行百度新浪等等Neusoft Co.,Ltd.什么是信息化定义一：信息化是指培养、发展以计算机为主的智能化工具为代表的新生产力，并使之造福于社会的历史过程。定义二：是指建立在IT产业发展与IT在社会经济各部门扩散的基础之上，运用IT改造传统的经济、社会结构的过程。Neusoft Co.,Ltd.什么是企业信息化企业信息化(Enterprises informatization)，企业信息化实质上是将企

20、业的生产过程、物料移动、事务处理、现金流动、客户交互等业务过程数字化，通过各种信息系统网络加工生成新的信息资源，提供给各层次的人们洞悉、观察各类动态业务中的一切信息，以作出有利于生产要素组合优化的决策，使企业资源合理配置，以使企业能适应瞬息万变的市场经济竞争环境，求得最大的经济效益。Neusoft Co.,Ltd.企业为什么需要信息化生产与销售员工与管理库存与原材料管理市场竞争Neusoft Co.,Ltd.企业信息化主流平台SAP用友金蝶神舟数码OracleNeusoft Co.,Ltd.企业信息化概述企业信息化专业介绍企业信息化学习方法介绍个人期望Neusoft Co.,Ltd.企业信息化

21、管理专业介绍本专业培养能帮助企业进行信息化改造，帮助软件公司进行信息化软件售前和售后技术支持以及企业软件实施，或者作为资讯公司对企业业务流程进行设计与改造的高级管理人才。能胜任软件实施工程师、软件售前服务工程师，软件售后服务工程师，企业信息化咨询师，企业业务流程规划师。Neusoft Co.,Ltd.企业信息化职位Company Logo实施施经理理售前售后工程售前售后工程师产品咨品咨询师企企业信息分析信息分析师企企业需求分析需求分析师企企业信息化解信息化解决方案决方案数据数据库维护售前工程售前工程师售后工程售后工程师系系统策划策划师产品品实施施Neusoft Co.,Ltd.企业信息化管理与

22、其他专业对比研发管理营销Neusoft Co.,Ltd.企业信息化管理课程安排Neusoft Co.,Ltd.企业信息化概述企业信息化专业介绍企业信息化学习方法介绍个人期望Neusoft Co.,Ltd.学好企业信息化核心要素良好的心态开阔的思维组织协调能力团队精神专业知识个人形象口才Neusoft Co.,Ltd.良好的心态良好心态表现：激励性自信努力、上进如何提高心态：阅读一定管理书籍和管理视频阅读企业信息化管理学Neusoft Co.,Ltd.开阔的思维开阔视野阅读经典成功案例Neusoft Co.,Ltd.组织协调能力组织班级活动积极参与班级活动发挥班级力量，容纳好点子Neusoft

23、Co.,Ltd.团队精神组建团队融入团队激励团队Neusoft Co.,Ltd.专业知识学会专业技能扩展专业知识扩展行业背景学会沟通Neusoft Co.,Ltd.个人形象个人礼仪个人形象气质Neusoft Co.,Ltd.口才组织班级辩论赛组织班级演讲比赛利用好课前三分钟产品策划Neusoft Co.,Ltd.企业信息化管理成功的秘诀实战项目经验个人专业技能个人特殊能力Neusoft Co.,Ltd.企业信息化概述企业信息化专业介绍企业信息化学习方法介绍个人期望Neusoft Co.,Ltd.个人期望学会认识自我学会制定目标学会执行学会总结Neusoft Co.,Ltd.一个故事第一个石匠说“我终于找到了一个好饭碗”；第二个石匠说“我做的是一流的石匠活”；第三个石匠说“我在建一座大教堂”。Neusoft Co.,Ltd.谢谢