安全审计技术培训.ppt
《安全审计技术培训.ppt》由会员分享,可在线阅读,更多相关《安全审计技术培训.ppt(68页珍藏版)》请在三一文库上搜索。
1、安全审计技术与应用,网御神州SOC事业部,为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计产品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析,提纲,2,重要资产的安全状况无法监控,主机,防火墙,入侵监测系统IDS,身份认证,姓名地址簿服务,有漏洞吗?,我们处于 危险中么?,我下一步该 做什么?,发生什么了?,应用,网络设备,杀毒,用户面临的挑战,3,被动地进行安全防御,造成混乱,当前面临的挑战,4,监控和审计界面过多、手忙脚乱!,当前面临的挑战,5,信息系统安全等级化保护基本要求二级以上,ISO27001:2005 4.3.3小节,企业内部控制基本规
2、范及其配套指引,互联网安全保护技术措施规定第八条,相关法律法规都有安全审计的要求!,为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计产品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析,提纲,6,安全审计,这里专指IT安全审计,是一套对IT系统及其应用进行量化检查与评估的技术和过程。 安全审计通过对IT系统中相关信息的收集、分析和报告,来判定现有IT安全控制的有效性,检查IT系统的误用和滥用行为,验证当前安全策略的合规性,获取犯罪和违规的证据,确认必要的记录被文档化,以及检测网络异常和入侵,安全审计的定义,7,对信息系统的各种事件及行为实行监测、信息采
3、集、分析并针对特定事件及行为采取相应比较动作。 信息系统安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑,从而达到保障信息系统正常运行的目的。同时,信息系统安全审计产品对信息系统各组成要素进行事件采集,将采集数据进行自动综合和系统分析,能够提高信息系统安全管理的效率 GB/T 20945-2007信息安全技术信息系统安全审计产品技术要求和评价方法,安全审计的定义,8,信息采集功能,例如日志、网络数据包 数据包:DPI、DFI 日志:日志归一化技术 信息分析功能 简单分析:基于数据库的信息查询与比较 复杂分析:实时关联分析引擎技术 信息存储功能 海量审计信息
4、的存储 信息完整性、私密性保证 信息展示功能:可视化、告警、联动 自身安全性与可审计性,安全审计产品的功能组成,9,为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计产品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析,提纲,10,设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计; 主机审计:审计针对主机(服务器)的各种操作和行为; 终端审计:对终端设备(PC、打印机)等的操作和行为进行审计,包括预配置审计; 网络审计:对网络中各种访问、操作的审计,例如telnet操作、FTP操作、文件共享操作,等等; 数据库审计:对数据库行为和操作、甚至操
5、作的内容进行审计; 业务系统审计:对业务IT支撑系统的操作、行为、内容的审计; 用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计,安全审计对象分类,11,基于日志分析的安全审计技术 基于本机代理的安全审计技术 基于远程代理的安全审计技术 基于网络协议分析的安全审计技术,安全审计技术类型划分,12,异构设备和系统的日志信息采集 事件归一化 事件关联分析 海量事件存储 全局安全态势监控 安全响应,日志审计的核心技术,13,日志审计的核心技术之间的关系,14,事件采集和获取,事件归一化,事件关联分析,安全态势监控,安全响应,主机、应用、FW,IDS,AV,其他网络和安全设备获取
6、,将异构的事件变成统一的事件格式,对全网的日志进行综合审计,异构事件采集,15,SNMP Syslog 各种协议类型 直接采集、代理采集、抓包,网络设备 安全设备 主机、服务器 数据库 应用系统 等等,Nokia/Checkpoint,日志文件,数据库,Syslog/NetFlow,Snmp trap,开放API接口 Web Service,ODBC,事件转发器,用于跨网段事件采集和分布式事件采集,应用,文件读取,事件源,FTP,第三方系统: 网管、终端管理等,全面的日志采集手段,16,OPSEC LEA,数据库,主机,硬件采集器,旁路抓包,最关键的是事件等级、类型等的归一化,事件归一化,17
7、,ISS IDS日志,Dec 07 2005 22:18:55 10.110.4.130 : %PIX-4-106023: Deny tcp src outside: 211.137.43 .182 /3158 dst inside: 21.7 .255.217 / 445,04/25/2005 03:00:10 HTTP IIS Unicode Encoding #ISS From 62.6 .180.195 SPORT 26712 To 194.117.103.125 DPORT 8 0 Protocol TCP Priority HIGH “Actions: DISPLAY=Defaul
8、t:0,EMAIL=Default:0“ Event Specific Information, ISS IP= 194.117.10. 8,PIX 防火墙日志,10.110.4.130,62.6 .180.195,194.117.103.125,8 0,445,21.7 .255.217,211.137.43 .182,Deny,HTTP IIS Unicode Encoding,194.117.10.8,归一化事件,26712,3158,安全事件关联分析外部入侵示例,18,安全事件关联分析内部违规示例,19,门禁日志,VPN日志,OA日志,用户A进入公司服务器机房,通过门禁的时候打卡了,打
9、卡信息记录到了管理中心; 用户B在家里通过计算机使用用户A的VPN帐号登录公司网络; 登录后,防火墙产生了一条VPN登录日志,送到了管理中心; 用户B登录OA服务器,服务器产生一条日志,送到管理中心 此时,SecFox-LAS的界面显示告警事件,表明有一个用户非法使用了A的帐号登录了OA服务器。,安全态势监控:信息可视化,20,应急响应,传统的日志审计 注重的是日志的存储、基于数据库技术的日志查询和统计 问题:缺少对不同设备产生的日志的关联分析,因而难以发现隐藏的威胁和违规行为 新型的日志审计 更加注重日志实时关联分析 在内存中进行 事件归并 事件追踪:一查到底、及时发现违规和入侵 更加强调审
10、计的闭环:发现问题后要能够处理问题 告警 联动,日志审计的技术发展趋势,22,传统的日志审计 VS新型日志审计,23,以syslog为主; 速度一般2000EPS,包括syslog、Netflow、ODBC、代理、探针; 高速采集,30000+EPS,简单分类,截取源/目的IP和端口、时间戳等,事件映射归一化,统一日志严重等级、日志类型、操作类别、意图和结果,日志存储到数据库中,明文,一方面存储到内存中进行关联分析,同时存储到数据库中,密文,基于SQL语句查询,简单分析,时序分析、累计分析,超出SQL语句,可视化,统计分析、趋势分析、行为分析,可视化,单一告警,丰富告警动作,设备联动、协同防御
11、,基于日志分析的安全审计技术 基于本机代理的安全审计技术 基于远程代理的安全审计技术 基于网络协议分析的安全审计技术,安全审计技术类型划分,24,终端节点接入控制 外设管理 资产管理 桌面风险管理 节点访问控制 终端远程协助 移动存储介质管理 补丁更新管理 .,本机代理技术:终端安全管理系统,25,管理所有入网设备,对违规接入设备进行阻断,阻止违规接入设备对系统资源的访问 阻止违规接入设备对系统资源的访问,同时进行非法接入安全审计,对违规接入进行告警。 阻断技术: ARP欺骗方式 主机防火墙方式 交换机联动方式,节点接入,26,红外设备:允许/禁止两种方式。 蓝牙设备:允许/禁止两种方式。 调
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 审计 技术培训
链接地址:https://www.31doc.com/p-3582755.html