安全审计技术培训.ppt

安全审计技术与应用,网御神州SOC事业部,为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计产品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析,提纲,2,重要资产的安全状况无法监控,主机,防火墙,入侵监测系统IDS,身份认证,姓名地址簿服务,有漏洞吗？,我们处于 危险中么？,我下一步该 做什么？,发生什么了？,应用,网络设备,杀毒,用户面临的挑战,3,被动地进行安全防御，造成混乱,当前面临的挑战,4,监控和审计界面过多、手忙脚乱！,当前面临的挑战,5,信息系统安全等级化保护基本要求二级以上,ISO27001:2005 4.3.3小节,企业内部控制基本规范及其配套指引,互联网安全保护技术措施规定第八条,相关法律法规都有安全审计的要求！,为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计产品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析,提纲,6,安全审计，这里专指IT安全审计，是一套对IT系统及其应用进行量化检查与评估的技术和过程。 安全审计通过对IT系统中相关信息的收集、分析和报告，来判定现有IT安全控制的有效性，检查IT系统的误用和滥用行为，验证当前安全策略的合规性，获取犯罪和违规的证据，确认必要的记录被文档化，以及检测网络异常和入侵,安全审计的定义,7,对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应比较动作。 信息系统安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑，从而达到保障信息系统正常运行的目的。同时，信息系统安全审计产品对信息系统各组成要素进行事件采集，将采集数据进行自动综合和系统分析，能够提高信息系统安全管理的效率 GB/T 20945-2007信息安全技术信息系统安全审计产品技术要求和评价方法,安全审计的定义,8,信息采集功能，例如日志、网络数据包 数据包：DPI、DFI 日志：日志归一化技术 信息分析功能 简单分析：基于数据库的信息查询与比较 复杂分析：实时关联分析引擎技术 信息存储功能 海量审计信息的存储 信息完整性、私密性保证 信息展示功能：可视化、告警、联动 自身安全性与可审计性,安全审计产品的功能组成,9,为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计产品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析,提纲,10,设备审计：对网络设备、安全设备等各种设备的操作和行为进行审计； 主机审计：审计针对主机（服务器）的各种操作和行为； 终端审计：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计； 网络审计：对网络中各种访问、操作的审计，例如telnet操作、FTP操作、文件共享操作，等等； 数据库审计：对数据库行为和操作、甚至操作的内容进行审计； 业务系统审计：对业务IT支撑系统的操作、行为、内容的审计； 用户行为审计：对企业和组织的人进行审计，包括上网行为审计、运维操作审计,安全审计对象分类,11,基于日志分析的安全审计技术 基于本机代理的安全审计技术 基于远程代理的安全审计技术 基于网络协议分析的安全审计技术,安全审计技术类型划分,12,异构设备和系统的日志信息采集 事件归一化 事件关联分析 海量事件存储 全局安全态势监控 安全响应,日志审计的核心技术,13,日志审计的核心技术之间的关系,14,事件采集和获取,事件归一化,事件关联分析,安全态势监控,安全响应,主机、应用、FW，IDS，AV，其他网络和安全设备获取,将异构的事件变成统一的事件格式,对全网的日志进行综合审计,异构事件采集,15,SNMP Syslog 各种协议类型 直接采集、代理采集、抓包,网络设备 安全设备 主机、服务器 数据库 应用系统 等等,Nokia/Checkpoint,日志文件,数据库,Syslog/NetFlow,Snmp trap,开放API接口 Web Service,ODBC,事件转发器,用于跨网段事件采集和分布式事件采集,应用,文件读取,事件源,FTP,第三方系统： 网管、终端管理等,全面的日志采集手段,16,OPSEC LEA,数据库,主机,硬件采集器，旁路抓包,最关键的是事件等级、类型等的归一化,事件归一化,17,ISS IDS日志,Dec 07 2005 22:18:55 10.110.4.130 : %PIX-4-106023: Deny tcp src outside: 211.137.43 .182 /3158 dst inside: 21.7 .255.217 / 445,04/25/2005 03:00:10 HTTP IIS Unicode Encoding #ISS From 62.6 .180.195 SPORT 26712 To 194.117.103.125 DPORT 8 0 Protocol TCP Priority HIGH “Actions: DISPLAY=Default:0,EMAIL=Default:0“ Event Specific Information, ISS IP= 194.117.10. 8,PIX 防火墙日志,10.110.4.130,62.6 .180.195,194.117.103.125,8 0,445,21.7 .255.217,211.137.43 .182,Deny,HTTP IIS Unicode Encoding,194.117.10.8,归一化事件,26712,3158,安全事件关联分析外部入侵示例,18,安全事件关联分析内部违规示例,19,门禁日志,VPN日志,OA日志,用户A进入公司服务器机房，通过门禁的时候打卡了，打卡信息记录到了管理中心； 用户B在家里通过计算机使用用户A的VPN帐号登录公司网络； 登录后，防火墙产生了一条VPN登录日志，送到了管理中心； 用户B登录OA服务器，服务器产生一条日志，送到管理中心 此时，SecFox-LAS的界面显示告警事件，表明有一个用户非法使用了A的帐号登录了OA服务器。,安全态势监控：信息可视化,20,应急响应,传统的日志审计 注重的是日志的存储、基于数据库技术的日志查询和统计 问题：缺少对不同设备产生的日志的关联分析，因而难以发现隐藏的威胁和违规行为 新型的日志审计 更加注重日志实时关联分析 在内存中进行 事件归并 事件追踪：一查到底、及时发现违规和入侵 更加强调审计的闭环：发现问题后要能够处理问题 告警 联动,日志审计的技术发展趋势,22,传统的日志审计 VS新型日志审计,23,以syslog为主； 速度一般2000EPS,包括syslog、Netflow、ODBC、代理、探针； 高速采集，30000+EPS,简单分类，截取源/目的IP和端口、时间戳等,事件映射归一化，统一日志严重等级、日志类型、操作类别、意图和结果,日志存储到数据库中，明文,一方面存储到内存中进行关联分析,同时存储到数据库中，密文,基于SQL语句查询，简单分析,时序分析、累计分析，超出SQL语句，可视化,统计分析、趋势分析、行为分析，可视化,单一告警,丰富告警动作，设备联动、协同防御,基于日志分析的安全审计技术 基于本机代理的安全审计技术 基于远程代理的安全审计技术 基于网络协议分析的安全审计技术,安全审计技术类型划分,24,终端节点接入控制 外设管理 资产管理 桌面风险管理 节点访问控制 终端远程协助 移动存储介质管理 补丁更新管理 .,本机代理技术：终端安全管理系统,25,管理所有入网设备，对违规接入设备进行阻断，阻止违规接入设备对系统资源的访问 阻止违规接入设备对系统资源的访问，同时进行非法接入安全审计，对违规接入进行告警。 阻断技术： ARP欺骗方式 主机防火墙方式 交换机联动方式,节点接入,26,红外设备：允许/禁止两种方式。 蓝牙设备：允许/禁止两种方式。 调制解调器：允许/禁止两种方式。 USB存储设备：允许/禁止两种方式。 软驱：允许/禁止两种方式。 光驱：允许/禁止两种方式。 串口：允许/禁止两种方式。 并口：允许/禁止两种方式。 PCMCIA设备：允许/禁止两种方式。,外设管理,27,设置硬件资产信息收集频率，网络中有多少计算机，哪些人在使用计算机，计算机是哪个部门的，一目了然； 设置软件资产信息收集频率，计算机安装的什么操作系统，操作系统的版本，安装了哪些软件，是否安装了合法的防火墙，是否打全了补丁，同样一目了然； 硬件资产变化时，可以设置告警； 软件资产变化时，可以设置告警； ,资产管理,28,通过远程协助，管理人员可以响应远程终端计算机的协助请求，临时接管远程终端计算机，进行本地化操作。例如：开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。管理人员完成维护操作后，释放对终端计算机的接管。,终端远程协助,29,通过移动介质交换的数据是密文，数据离开应用环境后不可用； 数据交换前必须通过正确的身份认证，包括密码认证或USB KEY等授权硬件的身份认证； 记录数据交换过程的工作日志，便于以后进行跟踪审计； 未经授权的移动介质，在工作环境中不可用，只有经过企业授权的移动介质才能进入到企业的办公环境； 工作配发的移动介质带出办公环境后变为不可用。,移动存储介质管理,30,基于日志分析的安全审计技术 基于本机代理的安全审计技术 基于远程代理的安全审计技术 基于网络协议分析的安全审计技术,安全审计技术类型划分,31,漏洞扫描 基线配置扫描 WEB安全审计 多用于事前审计,基于远程代理技术的审计,32,基于日志分析的安全审计技术 基于本机代理的安全审计技术 基于远程代理的安全审计技术 基于网络协议分析的安全审计技术,安全审计技术类型划分,33,基于网络协议分析的安全审计,34,端口镜像,TAP分接,旁路部署、即插即用，对网络没有任何影响,根据具体部署位置的不同，分为两个子类型 上网审计：部署在互联网出口处，审计用户使用互联网的行为 业务审计：部署在核心业务系统处，审计对核心业务系统的操作行为,基于网络协议分析的安全审计,35,网络协议分析上网审计,36,网络行为审计业务审计,37,几个故事：高科技犯罪 某移动公司的神州行充值卡盗用事件 美国TJX公司信用卡信息泄漏事件 交通违章信息非法抹除事件 非法窃取公司财务数据库重要数据，CRM系统的重要客户资料 医院HIS系统医疗信息、病患信息泄漏事件 潜艇信息泄漏事件 更多参见：http:/yepeng.blog.ccidnet.com/blog-htm-itemid-9037809-do-showone-uid-324773.html,当前面临的挑战,38,案例：某移动公司的神州行充值卡盗用事件,39,案例：美国TJX公司信用卡信息泄漏事件,40,案例：交通违章信息内部违规篡改,41,对于非法连入内网的计算机的直接入侵和内部人员利用合法权限进行的违规操作，没有任何防范措施。,启示： 内部员工犯罪，非法获取、修改数据库中的重要数据 外包人员犯罪，利用职务之便留下后门修改和伪造数据 黑客攻击，窃取核心机密,当前面临的挑战,42,当前面临的挑战：刑法第七修正案,全国人大常委会在今年2月28日通过了刑法修正案(七)的表决，并且从颁布之日起实施。刑法修正案(七)第二百五十三条规定： 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。 窃取、收买或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。 单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各相应条款的规定处罚。,43,数据库审计 基于网络协议的主机审计 应用审计 流量审计 业务操作实时监控、过程回放,关键技术,44,数据库审计：审计各种数据库系统,45,运行平台,2000/2005/2008,Oracle 8/9/10,DB2 7/8/9,MySQL 4.x/5.x,12.5/ASE15,能够对多种操作系统平台（Windows、Linux、HP-UX、Solaris、AIX）下各个版本的SQL Server、Oracle、DB2、Sybase、MySQL 等数据库进行审计,数据库服务器,数据库审计：审计各种访问方式,46,SQL*Plus,PL/SQL,ODBC/JDBC,WEB应用,客户端程序,OLEDB/ADO,本地操作,企业管理控制台,TOAD,Oracle,操作日志,TNS,TNS,FTP/TELNET,FTP/TELNET,数据库审计：审计各种操作类型,47,数据库审计的内容可以细化到库、表、记录、用户、存储过程、函数，任何细小改动都“难逃法网”。,审计VNC、Telnet、网上邻居和定制的主机协议的登录、注销和一般操作等行为 审计FTP操作行为，包括登录、注销，以及访问和上传/下载的目录及其文件名,主机审计,48,主机,FTP,TELNET,VNC,网上邻居,进行数据操作实监控：对所有外部或是内部用户访问数据库和主机的各种操作行为、内容，进行实时监控; 对高危操作实时地阻断，干扰攻击或违规行为的执行; 进行安全预警：对入侵和违规行为进行预警和告警，并能够指导管理员进行应急响应处理; 进行事后调查取证：对于所有行为能够进行事后查询、取证、调查分析，出具各种审计报表报告。 协助责任认定、事态评估：系统不光能够记录和定位谁、在什么时候、通过什么方式对数据库进行了什么操作，还能记录操作的结果以及评估可能的危害程 度。,业务审计的作用,49,为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计技术和产品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析,提纲,50,确定目标 需求分解 审计的技术手段选择 产品选型,技术及其产品选型过程,51,判定现有IT安全控制的有效性； 检查IT系统的误用和滥用行为； 验证当前安全策略的合规性； 获取犯罪和违规的证据； 确认必要的记录被文档化； 检测网络异常和入侵,确定目标,52,通过具体的需求分解，确定要审计哪些对象，每种对象要审计哪些内容 设备审计 主机审计 终端审计 网络审计 数据库审计 业务系统审计 用户行为审计,需求分解,53,设备审计,主机审计,终端审计,网络审计,日志,协议分析,本机代理,应用审计,数据库审计,用户行为审计,远程代理,适应性最广，功能覆盖全，是安全审计的基本要求,多用于网络审计、数据库审计、 应用审计和用户上网行为审计,主要用于终端审计 和主机审计,使用范围较广， 但主要只针对安全漏洞和配置基线进行审计,1,2,3,4,审计的技术手段选择,54,为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计技术和产品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析,提纲,55,安全审计的发展趋势,56,安全审计发展趋势：统一安全审计,57,上网审计,终端审计,信息可视化、关联分析,业务审计,日志审计,统一审计,统一安全审计的实例,58,SecFox-LAS 日志审计系统,SecFox-NBA 业务审计型,SecFox-NBA 上网审计型,SecFox-EPS 终端安全管理,统一安全审计：第一步基础平台和日志审计,59,统一安全审计：第二步网络行为审计,60,统一安全审计：第三步终端审计,61,统一安全审计：一体化审计,62,为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计技术和产品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析,63,用户需求催生全面安全管理体系,64,内在需求,外在需求,全网整体安全态势监控 系统整体运行状态监控 便捷、高效的管控平台和界面 集中化的监控、审计、预警、响应、报告,全面有效地的契合分级保护的要求 符合国家法律、行业法规、企业规定 切实可行的内控、信息系统风险防范 合规审计,本质原因,分散的IT安全防御设施,复杂的业务信息系统,分离的安全防御体系,孤立的管理手段,三个层面,三个维度,安全医生,安全管家,安全顾问,全面可管理的信息与网络安全体系,65,可控安全管理体系的技术支撑统一管理平台,统一安全审计的技术架构,67,为什么需要安全审计 安全审计的定义与组成 安全审计技术分析 安全审计技术和产品选型过程 综合安全审计解决方案 从安全审计平台到安全管理平台 案例分析,68,