《网络安全管理应用ppt课件.ppt》由会员分享,可在线阅读,更多相关《网络安全管理应用ppt课件.ppt(101页珍藏版)》请在三一办公上搜索。
1、,网络安全管理应用,主要内容,信息安全的特点和现状如何建立信息安全保障体系可信网络架构-TNA安全管理平台发展简介技术优势与经典案例,2004年北美600家企业所面临安全威胁排名(IDC,2004),安全形势(1),2004年中国7000家用户所面临安全威胁排名,安全形势(2),据国家计算机应急处理协调中心(CNCERT/CC)统计:2003年,我国互联网内共有272万台主机受到攻击,造成的损失数以亿计;,攻击向纵深发展,以经济和商业利益为目的的网络攻击行为渐为主流,安全形势(3),1990,1991,1994,1996,1998,1999,2000,2001,2002,2003,主流病毒行态
2、 木马、蠕虫,安全形势(4),攻击和威胁转移到服务器和网关,对防毒体系提出新的挑战,IDC, 2004,邮件/互联网,Code RedNimda,funloveKlez,2001,2002,邮件,Melissa,1999,2000,LoveLetter,1969,物理介质,Brain,1986,1998,CIH,SQL Slammer,2003,2004,冲击波震荡波,安全形势(5),Internet,攻击模式,WORM_SASSER.A,染毒电脑,未修补漏洞的系统,已修补漏洞的系统,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,安全形势(6),病毒出现越来越快,时间间隔,2
3、6 天,185 天,336 天,18 天,安全形势(7),通过攻击操作系统或应用软件的已知安全漏洞来获得控制权在本地硬盘上并不留下文件由于其在网络上进行扫描的动作,可能会引起严重的网络负载如果攻击是属于常规的应用,例如SQL, IIS等就可能穿过防火墙,安全形势(8),木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今,针对以上各种现象的危害越来越多,木马病毒已成为威胁数字娱乐的大敌 根据木马病毒的特点与其危害范围来讲,木马病毒又分为以下五大类别:针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告
4、的木马病毒。,安全形势(9),据中国互联网中心统计,现在,我国用户平均每周受到的垃圾邮件数超过邮件总数的60%,部分企业每年为此投入上百万元的设备和人力,垃圾邮件泛滥造成严重后果。 它不但阻塞网络,降低系统效率和生产力,同时有些邮件还包括色情和反动的内容,安全形势(10),数据来源:Radicati,2004.6,安全形势(11),Intranet,遭受拒绝服务攻击,产生的后果:服务器计算资源被耗尽网络带宽资源被耗尽,安全形势(12),总结,各种安全威胁呈智能化、复杂化、自动化趋势防护技术滞后于攻击技术的发展黑客攻击的技术门槛越来越低安全防护的技术难度越来越大各种安全威胁、事件造成的各种损失巨
5、大面对各种安全事件,允许的响应时间越来越短,90%的系统安装有防病毒软件,但这些系统中依然有85%感染了计算机病毒,89%的系统安装有防火墙,但这些系统中依然有90%有安全漏洞,60%的系统安装有入侵检测系统,但这些系统中依然有40%遭受了外来的入侵,来自计算机安全研究院近期的一项调查,数据与事实 - 安全现状调查,拨号用户 B,拨号用户 C,拨号用户 A,拨号用户 D,Internet,调 研,规 划,设 计,选 型,实 施,验 收,人手不足?,经验不多?,专业性不强?,效率不高?,效果不好?,安全系统建设面临的问题,拨号用户 B,拨号用户 C,拨号用户 A,拨号用户 D,Internet,
6、垃圾邮件,病毒破坏,黑客攻击,资源滥用,信息泄密,DOS攻击,不良信息,终端安全,信息丢失,未授权接入,非法外联监控,安全事件处理,安全系统运维面临的问题,安全保障,安全保障,IT部门的烦恼-业务应用角度,现有的安全技术侧重某一具体部分,怎样满足从业务应用流程的角度进行安全保障?如何面对企业自身应用的多变性和需求的多变性?企业的业务应用如何面对21世纪关于标准符合性的技术挑战,如:美国的SOX法案等?,业务应用,企业,目,的,IT部门的烦恼-安全投资角度,决策层,?,?,领导问:上次安全建设后有作用吗?,领导问:为什么又要投入安全建设啊?,随着企业业务的不断变化,企业决策层不断期望IT部门能承
7、担更多的责任,同时还需要不断努力提高整个信息系统的安全性,而且必须能够提供证据证明管理水平得到了改善,如:目前的安全建设的成本是合理的,将来的安全规划是必需的。,IT部门的烦恼-技术角度,1根线条代表一个事件; 不同颜色和长度的线条代表不同类型或行为的事件。,?,数量太多,如何分析!,类型太杂怎样关联!,时间太快难以响应!,最终导致重复耗费精力,脆弱的安全模型和失败的审计,从而增加了企业高额的安全运营成本!,企业面临着来自异构系统、平台和应用的安全数据的冲击,它们都以不同方式产生信息,且以不同的格式呈现、存储在不同的地方,并且报告不同的内容,而这每天数以百万条信息淹没了安全基础机构!,如何确保
8、信息系统中各种安全设备和平台是可信的、可控的。如何保证信息系统的可用性。如何保证数据产生、存储、传输、应用过程中的机密性、完整 性、源发性。如何确保组织的安全策略、安全制度是可信的、可控的。如何保证人员的行为是可信的、可控的。如何迅速定位安全事件并采取控制措施。如何迅速并准确的评估安全事件所造成的损失。如何针对物理层、网络层、系统层、应用层建立全面的保障体系,信息安全保障的思考,如何做到信息系统及其行为的可控、可信,主要内容,信息安全的特点和现状如何建立信息安全保障体系可信网络架构-TNA安全管理平台发展简介技术优势与经典案例,国家信息安全保障体系框架,广义信息安全保障体系,狭义的安全保障体系
9、,信 息 安 全 体 系,鉴别,加密,访问控制,安全管理,病毒防范,数字签名,链路加密机,IP协议加密机,邮件加密,文件加密,防火墙,远程用户鉴别系统,防病毒软件,防病毒制度,密钥管理,网络监视审计系统,信息检查系统,代理服务器,远程用户鉴别系统,服务方案设计,技术方案设计,管理方案设计,安全平台选型,综合风险分析,业务人员访谈,管理人员访谈,技术人员访谈,安全培训服务,应急响应服务,安全通告服务,安全值守服务,安全监控服务,后期服务,项目监理,现有措施评估,安全威胁评估,资产弱点评估,信息资产赋值,帮助分析需求,帮助总体规划,帮助设计方案,承包工程实施,监控、值守、响应,安全认证咨询,需求分
10、析,总体规划,详细设计,工程实施,运行维护,安全认证,信息安全保障体系建立流程,信息系统安全建设与运营维护,信息资产识别,风险分析与评估,设计总体方案,制定安全策略,制定安全方针,安全总体规划,安全产品选型,安全方案设计,工程验收,服务实施,产品实施,设计实施方案,制定实施计划,安全工程实施,安全审计服务,安全优化服务,安全加固服务,安全检测服务,安全运行维护,安全认证,体系建设,风险评估,标准导入,安全认证咨询,人、工具、标准,人、标准,人、产品,人、产品,人、工具、平台,人、标准,信息系统安全建设咨询服务,安全运行维护服务,系统现状分析,安全认证咨询服务,财务网段,人事商务网段,销售体系网
11、段1,销售体系网段N,研发网段,生产网段,网站,销售体系网段N,总裁网段,技服网段,安服网段,呼叫中心网段,公司服务器群,Internet,保户网络与基础设施的安全,1、网络设备2、通讯设备3、通讯线路4、可用性5、机密性6、完整性7、可管理性,保护边界与外部连接,边界进出数据流的有效控制与监视,保护计算环境,操作系统数据库系统终端,保护应用业务系统,办公自动化系统其他应用系统.,网络基础设施保护需求,Intranet,边界处的访问控制,边界处的病毒与恶意代码防护,边界内部的网络扫描与拨号监控,边界处的网络入侵检测,边界处的认证与授权,网络边界与外部连接的保护需求,边界处的垃圾邮件和内容过滤,
12、计算环境的保护需求,基于主机的入侵检测,基于主机的恶意代码和病毒检测,主机脆弱性扫描,主机系统加固,主机文件完整性检查,主机用户认证与授权,主机数据存储安全,主机访问控制,管理分析 & 实施策略,Modem,主要内容,信息安全的特点和现状如何建立信息安全保障体系可信网络架构-TNA安全管理平台发展简介技术优势与经典案例,安全事件一2004年7月,国内某大型企业,SQL 蠕虫病毒大规模爆发,网络瘫痪26小时,Internet,Internet,没有MS02-039 Q323875SQL蠕虫补丁,SQL,SQL,SQL,SQL,SQL,SQL,SQL,SQL,SQL,1. 移动(笔记本)用户从外部
13、把病毒带到 办公室里来2.主机系统的漏洞没有及时修补3.病毒扩散,传播的速度比病毒码更新和 部署的速度快4.存在没有安装防病毒系统的主机5 .病毒特征码更新不及时6.远程办公用户通过与公司建立的连接 (安全或不安全)将病毒带到公司内部7.突发性病毒爆发应急不及时,安全事件二2004年6月,国内某重要机构,敏感信息被互联网公布达8小时,Internet,00101010011101010010101010101010,00101010011101010010101010101010,1.内部人员使用其它通道连接外网2.个人安全意识不强3.主机系统的漏洞没有及时修补4.主机使用者违章关闭了个人安全
14、套件,安全事件二2004年6月,国内某重要机构,敏感信息被互联网公布达8小时,Internet,00101010011101010010101010101010,00101010011101010010101010101010,1.内部人员使用其它通道连接外网2.个人安全意识不强3.主机系统的漏洞没有及时修补4.主机使用者违章关闭了个人安全套件,全面提高整体网络的防护能力,全局风险分析、评估和管理 制定并配置全局安全策略 安全设施重新部署或响应,接入安全控制机制,构筑“可信网络”安全边界 实现“可信网络”的有效扩展,信息保护机制,管理和整合现有安全资源,网络内部信息保护 谨防机密信息泄露,“可
15、信网络架构”的作用,安全网关,网络设备,端点系统,“可信网络架构”的模型,IDPasswd,VPN,OS、APPScan、IPS,IDS、AVFW,端点可信代理 PTA,网关可信代理 - GTA,可信安全管理中心-TSM,网络可信代理 - NTA,VPNScan、IPS,IDS、AVFW,RouterAccess,Switch,信任管理,身份管理,脆弱性管理,威胁管理,安全应用,操作系统,硬件平台,p,Point Trusted Agent PTA,通信代理监管代理定位代理,“可信网络架构”的构成,TSM,监管代理安全信息收集策略下发,通信代理与TSM安全通信与安全应用信息交互,定位代理设备定
16、位信息,p,安全应用信息,主机信息,安全系统策略、各种补丁,操作系统补丁及应用补丁,脆弱性监控,策略执行监控,端点可信代理 PTA,监管代理,定位代理,通信代理,TSM 代 理,安全网关,Gateway Trusted Agent GTA,“可信网络架构”的构成,TSM,监管代理端点的监控策略下发,通信代理与TSM安全通信与安全应用信息交互,定位代理设备定位信息,端点接入,安全网关策略,策略执行监控,网关可信代理 GTA,监管代理,定位代理,通信代理,Network Trusted Agent NTA,网络设备,“可信网络架构”的构成,TSM,监管代理端点的监控策略下发,通信代理与TSM安全通
17、信网络设备策略配置,定位代理设备定位信息,端点接入,策略执行监控,网络设备策略,网络可信代理 NTA,可信安全管理系统TSM的组成,互联网/专网,服务器,NTA,NTA,传统企业网络边界,NTA,端点2,NTA,端点1,端点3,可信网络网络中行为总是可以预知和可控的网内系统符合指定的安全策略,相对于安全策略是可信的、安全的动态网络可信网络边界在待接入端点和接入点之间随着端点系统的接入而动态变化,GTA,GTA,PTA,PTA,PTA,PTA,PTA,“可信网络架构”的边界,GTA安全网关,NTA,供应商服务器,资源更新,安全策略管理服务器,脆弱性管理服务器,认证授权管理服务器,PTA,端点可信
18、代理,桌面安全套件,安全管理,更新信息,安全策略分发,认证信息,安全接入控制的基本流程,Internet,如何控制端点接入?,PTA端点,非PTA端点,A,1,2,3,4,5,6,Internet,PTA端点,非PTA端点,B,1,2,3,4,5,6,Internet,PTA端点,非PTA端点,如何控制端点用户的异常行为?,关闭UDP 1434,关闭UDP 1434,关闭UDP 1434,B,1,6,Internet,私自拨号上网,如何防止可信端点非法外联?,C,主要内容,信息安全的特点和现状如何建立信息安全保障体系可信网络架构-TNA安全管理平台发展简介技术优势与经典案例,TopSEC产品发
19、展方向,未来产品发展方向,天融信可信安全管理平台是国内首创融合了终端安全管理(TopDesk)+安全信息管理(TopAnalyzer)+内容安全管理(CSM)+网络管理(NMC)多种元素的综合性安全管理平台产品,是天融信可信网络架构(TNA)的核心组成部分, 是天融信公司未来主要的发展方向。,安全管理平台发展简介,产品系简介,TA1.0(2003)TA系列产品是天融信公司针对安全管理平台初期的产品,包括事件收集、综合分析、基于事件的入侵检测、安全响应等等功能。TA2.0(2004)TA系列产品是天融信公司针对安全管理平台初期的产品,包括事件收集、综合分析、基于事件的入侵检测、安全响应、IP管理
20、、级联管理等等功能。,产品系简介,TSM2.0TSM系列产品引入了资产概念,将信息安全与企业的日常管理紧密联系起来。该产品提供了更加深入的事件关联分析、威胁分析、设备管理、漏洞和补丁管理等等功能。TSM3.0TSM3.0包括资产管理、安全信息管理、威胁管理、终端设备管理、内容安全管理,全面提升安全管理。,产品系Roadmap,TA,TSM,已发布,开发中,预研,开发人员,产品成功案例,中国联通建设银行新华社广州信息中心全国人大外交部通信总台石家庄商业银行南京市信息中心黑龙江省国家税务局公安部机要局中共中央纪律检查委员会吉林省委办公厅中国农业机械化科学研究院.,天融信可信安全管理 TSM,安全事
21、故发生原因,BISS 2000安全事故资料, 60% 的安全事故中:,安全现状,来自专业研究机构(IDC)近期的一项调查,90%的系统安装有防病毒软件,但这些系统中依然有85%感染了计算机病毒,89%的系统安装有防火墙,但这些系统中依然有90%有安全漏洞,60%的系统安装有入侵检测系统,但这些系统中依然有40%遭受了外来的入侵,应用安全,安全问题,在安全建设中往往需要引入众多的安全技术和产品,因此面临着: 1.它们之间却缺少信息层互通能力; 2.缺乏全网的集中监控能力。 从而降低了安全系统整体的运作效率,增加了安全事件的发现时间和响应时间,甚至最终导致安全事故的发生!,Firewall,IDS
22、/IPS,安全审计,数据加密,反病毒,身份认证,漏洞扫描,OPSEC,IDMEF,SYSLOG,SNMP,Database,WMI,NTLOG,点安全,如何解决,心,预警,防护,检测,响应,恢复,反制,. 事先了解安全问题和安全趋势;,. 通过策略抵御和控制安全事件和事故;,. 能实时发现和分析安全事件和态势;,. 提供能及时应对安全事件和事故;,. 保证能及时回到安全事故前的状态;,. 通过取证、追踪等方式达到安全威慑;,安全,蠕虫攻击,事件处理流程,Raw Data,Information,Key Information,Action,Expert,Manager 1,Manager 2,
23、Advisor,Knowledge,Console,呼叫中心,安全管理员,Filter Aggregate Normalize,100万 Events,1 万 Events,1百 Events,TSM事件处理核心,统一化(Normalization)整合化(Aggregation)关联化(Correlation)响应(Alert),9/10/01 5:05:29 PM,10.10.10.1 %PIX-6-106015:Deny TCP(no connection)from 20.97.173.18/2182 to10.10.10.10/63228 flags SYN RST PSH ACK o
24、n interface outside,2001-08-20 16:12:56|doldrgn1|dragonserver|10.10.10.240|11711|10.10.10.241|1031|-AP-|6|Tcp,sp=11711,dp=1031,flags=-AP-|,PIX Firewall standard syslog format,IDS Data Items separated by pipes,EVENTS Table,Normalization,Business Relevance,9/10/01 5:05:29 PM,2001-08-20 16:12:56,20.97.
25、173.18,2182,10.10.10.10,63228,10.10.10.240,11711,10.10.10.241,1031,事件统一,事件整合,Raw Events,Denial of Service,Worm,antivirus,Normal/Benign,Normalization and filtering,Correlate and analyze,Threat,Events sources,Event category,表示一个事件,过滤冗余处理归纳分类绑定环境,杂乱的事件,长短一致,颜色分类,攻击场景匹配,事件关联分析,Internet,Oracle, DB2JDBC,E
26、nterpriseDatabase,Manager,Unix, NT/2000, Linux,A,WorkstationConsole,BrowserConsole,A,通过海量事件处理发现真正的安全威胁,SOC,将事件与资产、业务、时间、规则等进行关联,得到期望的结果,事件响应,事故应急响应平台,SMS gateway,TOPSEC 防火墙,TSM,TSM,资 产,TSM模块结构,TopAnalyzer,TopDesk,报 表,角 色,TSM功能结构图,T S M,TopDesk系统维护桌面安全系统监管资源管理策略管理,角 色基于角色的用户管理,资 产资产分组管理区域管理客户管理类型管理,T
27、opAnalyzer事件管理风险管理知识库工单,实时查看统计分析关联分析辅助决策,风险模型BS7799威胁监控,培训知识辅助决策事故案例关联分析漏洞库补丁库,TopAnalyzer系统结构,Topsec TopAnalyzer系统通过采用不同技术和手段收集和整合各类安全事件,采用实时关联分析技术和智能推理技术,实现对安全事件的深度分析,能快速做出智能响应,最终实现对安全风险的集中监管。,Manager Server,TopAnalyzer系统功能,TopAnalyzer管理界面,主要内容,信息安全的特点和现状如何建立信息安全保障体系可信网络架构-TNA安全管理平台发展简介技术优势与经典案例,关
28、 键 技 术,基于BS7799风险分析技术,SQL 92标准事件过滤技术,基于状态机的实时关联检测技术,辅助专家决策技术,基于状态机的实时关联检测技术,TSM系统使用攻击状态机模型来抽象和描述攻击行为,建立多种攻击关联场景,能有效地从大量安全事件中准确识别出真实的入侵行为。从而实现报警信息的精炼化、提高报警信息的可用信息量,减少报警信息中的无用信息,降低安全设备的虚警和误警。,关联分析演示,风险分析技术,基于BS7799建立网络安全的风险计算模型,根据该模型计算网络内资产的风险指数,并能对当前网络的安全风险状况进行集中监视和控制。内容主要包括:风险分析和计算、安全风险监视和控制。,风险信息展示
29、,辅助专家决策技术,安全领域知识的总结和归纳.辅助决策引擎基于安全知识库的内容实现智能推理和决策,安全知识库,推理机是专家系统的“思维”机构,负责模拟领域专家的思维过程,控制并执行对问题的求解,推理机,对专家系统的结论作出解释,并回答用户的安全问题,解析器,对安全知识库的内容进行更新的部件.支持手工和自动两种方式,学习引擎,与安全专家设计者一般用户(管理员)的交互接口,完成基本的输入和输出工作.例如:安全知识的人工输入安全知识的查询等,专家系统接口,事实库用于存储用于安全推理的初使证据和推理过程中得到的中间信息,事实库,事件过滤技术,使用SQL 92标准组合任意过滤条件,可以使用户灵活的控制事
30、件过滤条件。,TopDesk功能体系,桌面安全管理,桌面安全,策略管理,事件浏览,系统监管,系统维护,资源管理,桌面安全监管,主机防火墙应用程序过滤IP地址过滤端口过滤主机入侵防护主机入侵检测自动入侵防护杀毒软件检测,行为监管,拨号行为监管监控、管理桌面用户的拨号行为,可控制是否允许桌面用户拨号,并可以指定拨打的ISP号码,能详细记录桌面用户的拨号行为。打印行为监管监控、管理桌面用户的打印行为,可控制是否允许桌面用户进行打印操作,详细记录用户的打印行为。文件操作行为监视对指定文件(夹)的操作进行监视,详细记录对指定文件(夹)的操作行为。外存使用行为监管对移动存储器(光盘、软盘、U盘、USB硬盘
31、)的使用进行监控,可控制是否允许桌面用户使用移动存储器,详细记录用户的外存使用行为。,资源管理,进程监控管理员可远程监控桌面系统活动进程,可指定关注的进程,可远程结束非法进程端口监视管理员可远程监视桌面系统打开的端口以及对应的应用程序软件信息管理员可远程查看桌面系统安装的应用软件信息(名称、路径、厂商、版本等)硬件信息管理员可远程查看桌面系统的硬件配置信息(主板、CPU、硬盘、内存、显示器、键盘、显卡、声卡),资源管理,IP管理 对局域网内IP地址、MAC地址进行管理控制,有效检测IP冲突,补丁管理 管理中心提供补丁策略制定补丁文件直接分发 桌面系统执行补丁检测补丁安装,策略集中管理,统一管理
32、对桌面系统的策略进行统一配置、管理、下发强制执行强制桌面系统执行配置的策略,桌面系统自动更新策略灵活配置灵活方便的向导方式进行策略配置,项目合作优势,系统架构,基于MOM的Mini SOA架构,系统的不同模块,通过服务的形式相应功能,模块间的数据交换通过MOM(面向消息的中间件)完成,并可以通过以消息形式封装的服务契约,调用服务提供者提供的服务。这种思想是类似与SOA(面向服务的架构)架构,是特有的MINI SOA架构。WEB服务并不是实现SOA的唯一方式,CORBA和消息中间件也是其实现方式IBM),提供系统的可靠性支持灵活的分布式部署易于不同系统间的整合系统间通讯的透明化降低系统间模块的耦合性,架构特点,与其他系统整合,消息中间的应用使得Publisher无须关心Subscriber的存在,也无须关心有几个Subscriber,同时Subscriber也无须去关心Publisher。这样的模式,使得系统的各个部分具有松散的耦合性,可以使TSM与任意系统进行整合。,整合方案,二次开发采用Adapter Pattern(GOF),利用MOM的松耦合特性实现。与网管系统的整合只需要开发Message Adapter,无需影响TSM和网管系统现有任何接口,就可以将TSM与现有网管系统整合起来。,谢 谢,
