信息安全技術(HCIA-Security)-第十三次課-安全運營簡介和數據監(jiān)控與分析課件

1、安全運營簡介在當今信息時代，安全運營逐漸成為一個熱門話題。信息安全事故層出不窮，大大影響了企業(yè)的正常運行，迄今為止已對世界各地企業(yè)造成了不可估量的損失，而安全運營是全方面保證企業(yè)業(yè)務持續(xù)安全運行的必要條件。本章節(jié)將介紹安全運營的基本概念，并且對安全運營需要具備的條件進行簡單介紹。學完本課程后，您將能夠：描述安全運營的概念了解安全運營的內容安全運營概念安全運營概念安全運營基本要求安全運營內容簡述安全運營概念在企業(yè)信息安全建設初期，企業(yè)安全工作主要內容是通過購買一系列的安全設備部署在各個協議層以保證業(yè)務日常的穩(wěn)定運行。而隨著安全問題頻發(fā)，如信息泄露事件、自然災害等，從業(yè)人員逐漸意識到僅僅部署安全設

2、備并不能實現有效的安全運營。安全運營必須是資源、流程和管理的有效結合，才能達到保護企業(yè)業(yè)務安全持續(xù)穩(wěn)定運行的目的。安全運營概念安全運營概念安全運營基本要求安全運營內容簡述安全運營基本條件安全運營涉及方方面面的要求，以下為安全運營的基本運營條件：安全運營業(yè)務連續(xù)性計劃物理安全管理安全運營事件預防及響應災難恢復計劃調查取證保護資源的配置理解和應用基本的安全操作原則采用資源保護技術執(zhí)行和支持補丁及脆弱性管理參與和理解變更管理流程參與解決人身安全管理日志和監(jiān)控行為實施事件管理操作和維護預防措施實施恢復策略執(zhí)行災難恢復過程測試災難恢復計劃理解和支持調查理解調查取證類別的要求安全運營概念安全運營內容簡述業(yè)

3、務連續(xù)性計劃事件響應管理災難恢復計劃調查取證業(yè)務連續(xù)性計劃業(yè)務連續(xù)性計劃（Business Continuity Planning，BCP）的目標是在緊急情況下提供快速、沉著和有效的響應，從而增強企業(yè)立即從破壞性事件中恢復過來的能力。業(yè)務連續(xù)性計劃基本步驟項目范圍和計劃編制連續(xù)性計劃編制BCP文檔化業(yè)務影響評估項目范圍和計劃任何流程或計劃的制定都必須依據具體組織的實際業(yè)務的規(guī)模和性質，符合企業(yè)文化，并且遵守相關法律。如下是制定計劃初期無額定項目范圍的具體要求：業(yè)務組織分析BCP團隊組建資源要求法律和法規(guī)要求 業(yè)務影響評估業(yè)務影響評估（Business Imapct Assessment）確定了

4、能夠決定組織持續(xù)發(fā)展的資源，以及對這些資源的威脅，并且還評估每種威脅實際出現的可能性以及出現的威脅對業(yè)務的影響。業(yè)務影響評估包含以下部分：確定優(yōu)先級風險識別可能性評估影響評估資源優(yōu)先級劃分連續(xù)性計劃編制上兩個階段主要用于確定BCP的工作過程以及保護業(yè)務資產的有限順序，在連續(xù)性計劃編制階段則注重于連續(xù)性策略的開發(fā)和實現，在這一階段涉及以下任務：2345計劃實現預備和處理培訓和教育計劃批準1策略開發(fā)BCP文檔化將BCP文檔化有助于在發(fā)生緊急事件時，此文檔能夠對BCP人員提供處理威脅事件的指導。同時，該文檔記錄了修改歷史，為后續(xù)處理類似事件或者文檔修改提供經驗借鑒。文檔的內容應當包含以下內容：連續(xù)性

5、計劃的目標重要性聲明組織職責的聲明緊急程度和時限的聲明風險評估可接受的風險/風險調解重大記錄計劃響應緊急事件的指導原則維護測試和演習安全運營概念安全運營內容簡述業(yè)務連續(xù)性計劃事件響應管理災難恢復計劃調查取證事件響應管理并非所有的威脅事件都能被預防，業(yè)務連續(xù)性計劃提供了處理緊急事件的流程指導，盡快地對威脅事件進行響應，能夠盡量減少事件對組織的影響。響應緩解報告恢復修復檢測經驗教訓安全運營概念安全運營內容簡述業(yè)務連續(xù)性計劃事件響應管理災難恢復計劃調查取證災難恢復計劃在災難事件導致業(yè)務中斷時，災難恢復計劃開始生效，指導緊急事件響應人員的工作，將業(yè)務還原到正常運行的狀態(tài)。災難恢復計劃包括以下內容：實施

6、恢復策略執(zhí)行災難恢復過程測試災難恢復計劃安全運營概念安全運營內容簡述業(yè)務連續(xù)性計劃事件響應管理災難恢復計劃調查取證調查在采取措施之前，需要確定攻擊已經發(fā)生，攻擊發(fā)生之后需要對該安全事件進行調查和收集證據，調查是為了找出發(fā)生了什么，以及該事件的損害程度。操作型調查犯罪調查民事調查監(jiān)管調查電子發(fā)現證據為了成功地檢舉犯罪，必須提供足夠的證據來證實犯罪行為。證據的類型分為：實物證據文檔證據言辭證據調查取證流程事故確認請求執(zhí)法證據收集及保存約談個人提起訴訟業(yè)務連續(xù)性計劃和災難恢復計劃有什么區(qū)別？安全運營概念安全運營內容簡述數據監(jiān)控與分析本章主要介紹如何通過技術手段獲取有效信息，并針對獲取的信息分析，定位

7、安全風險與威脅。數據的收集可以從互聯的網絡設備中采集，也可以檢查提供服務的終端系統。在安全事件發(fā)生前，通過數據的監(jiān)控和分析，主動分析網絡的安全風險，加固網絡；在安全事件發(fā)生后，通過數據的監(jiān)控和分析，迅速定位安全威脅，為攻擊防御與取證提供支持。學完本課程后，您將能夠：描述數據監(jiān)控與分析的技術手段描述數據采集的過程使用威脅定位的技術數據監(jiān)控主動分析被動采集數據分析主動分析主動分析：在攻擊發(fā)生前，對網絡的狀況進行安全評估，對暴露的問題進行及時的改正，加固網絡，提升網絡的安全性。安全評估方法如圖所示：安全評估方法1.安全掃描2.人工審計3.滲透測試4.調查問卷5.訪談調研安全掃描工作目標：為了充分了解

8、目標系統當前的網絡安全漏洞狀況，需要利用掃描分析評估工具對目標系統進行掃描，以便發(fā)現相關漏洞。工作內容：系統開放的端口號系統中存在的安全漏洞是否存在弱口令SQL注入漏洞跨站腳本漏洞 工作輸出 掃描工具生成結果安全掃描人工審計滲透測試問卷調查訪談調研掃描工具工具類型工具名稱用途掃描類型端口掃描軟件superscan 功能強大的端口掃描軟件：通過Ping來檢驗IP是否在線；檢驗目標計算機提供的服務類別；檢驗一定范圍目標計算機的是否在線和端口情況。Nmap是Linux下的網絡掃描和嗅探工具包?；竟δ埽阂皇翘綔y一組主機是否在線；其次是掃描 主機端口，嗅探所提供的網絡服務；還可以推斷主機所用的操作系統

9、。漏洞掃描工具Sparta集成于Kali內的漏洞掃描工具，能夠發(fā)現系統中開啟的服務以及開放端口，還可以根據字典，暴力破解應用的用戶名和密碼。應用掃描Burp SuiteBurp Suite 是用于滲透web 應用程序的集成平臺。它包含了許多工具，并為這些工具設計了許多接口，以促進加快攻擊應用程序的過程。Superscan工具使用展示如圖，使用Superscan對實驗環(huán)境中的web服務器進行掃描，測試如圖：查看Superscan掃描結果在“Scan”菜單欄，點解“View HTML Result”查看掃描結果，如下圖：Nmap工具使用展示選擇“Application”中的“Information

10、 Gathering”，點擊“Nmap”，如圖：查看Nmap掃描結果根據Nmap工具的參數規(guī)則，對目標系統進行信息收集，如下圖是對主機開放的TCP端口進行掃描：Sparta工具使用展示選擇“Application”中的“Vulnerability Analysis”，點擊“Sparta”，如圖：查看Sparta掃描結果在操作界面添加要掃描的地址網段或主機地址，進行掃描，如圖展示了目標主機開放的端口及應用，而且可以查看操作系統的信息：Burp Suite使用展示Burp Suite會向應用發(fā)送請求并通過payload驗證漏洞。它對下列的兩類漏洞有很好的掃描效果：客戶端的漏洞，像XSS、Http頭

11、注入、操作重定向；服務端的漏洞，像SQL注入、命令行注入、文件遍歷。Burp Suite掃描結果在Results界面，自動顯示隊列中已經掃描完成的漏洞明細。人工審計工作目標人工審計是對工具評估的一種補充，它不需要在被評估的目標系統上安裝任何軟件，對目標系統的運行和狀態(tài)沒有任何影響，在不允許安裝軟件進行檢查的重要主機上顯得非常有用。工作內容安全專家對包括主機系統、業(yè)務系統、數據庫、網絡設備、安全設備等在內的目標系統進行人工檢查。檢查的內容視檢查目標不同將可能涵蓋以下方面： 是否安裝最新補丁 是否使用服務最小化原則，是否開啟了不必要的服務和端口防火墻配置策略是否正確 安全掃描人工審計滲透測試問卷調

12、查訪談調研滲透測試滲透測試是作為外部審查的一部分而進行的。這種測試需要探查系統，以發(fā)現操作系統和任何網絡服務，并檢查這些網絡服務有無漏洞。滲透測試的流程如下：1信息收集、分析2制定滲透方案、實施準備3前段信息匯報、分析4提升權限、滲透實施5滲透結果總結6輸出滲透測試報告7提出安全解決建議安全掃描滲透測試問卷調查訪談調研滲透測試調查問卷調查對象網絡系統管理員、安全管理員、技術負責人等調查內容業(yè)務、資產、威脅、脆弱性（管理方面）。設計原完整性、具體性、簡潔性、一致性安全掃描滲透測試問卷調查訪談調研滲透測試訪談調研訪談對象安全管理員、技術負責人、網絡系統管理員等訪談內容確認問卷調查結果詳細獲取管理執(zhí)

13、行現狀聽取用戶想法和意見安全掃描滲透測試問卷調查訪談調研滲透測試數據監(jiān)控主動分析被動采集數據分析被動獲取被動獲?。寒敼舭l(fā)生時，及時采集數據，分析攻擊使用的方法，以及網絡存在的問題，進行及時的補救，減少損失。數據采集方式如下所示：數據采集抓包命令行抓包軟件端口鏡像日志網絡設備日志操作系統日志抓包 - 命令行 (1)命令行：查看OSPF鄰居建立過程。 debugging ospf eventApr 12 2018 12:03:16.370.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 1136 Level: 0 x20 OSPF 1: N

14、br 4 Rcv HelloReceived State Down - Init.Apr 12 2018 12:03:16.380.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 1732 Level: 0 x20 OSPF 1: Nbr 4 Rcv 2WayReceived State Init - 2Way.Apr 12 2018 12:03:16.390.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 1732 Level: 0 x20 OSPF 1: Nbr 4 Rcv Ad

15、jOk? State 2Way - ExStart.Apr 12 2018 12:03:16.400.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 1845 Level: 0 x20 OSPF 1: Nbr 4 Rcv NegotiationDone State ExStart - Exchange.Apr 12 2018 12:03:16.410.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 1957 Level: 0 x20 OSPF 1: Nbr 4 Rcv Exchang

16、eDone State Exchange - Loading.Apr 12 2018 12:03:16.430.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 2359 Level: 0 x20 OSPF 1: Nbr 4 Rcv LoadingDone State Loading - Full.抓包 - 命令行 (2)命令行：查看OSPF報文信息具體內容。 debugging ospf packetApr 12 2018 12:05:42.930.2-05:00 SW3 RM/6/RMDEBUG: Source Address: 4Ap

17、r 12 2018 12:05:42.930.3-05:00 SW3 RM/6/RMDEBUG: Destination Address: Apr 12 2018 12:05:42.940.1-05:00 SW3 RM/6/RMDEBUG: Ver# 2, Type: 1 (Hello)Apr 12 2018 12:05:42.940.2-05:00 SW3 RM/6/RMDEBUG: Length: 48, Router: 4Apr 12 2018 12:05:42.940.3-05:00 SW3 RM/6/RMDEBUG: Area: , Chksum: 4dcfApr 12 2018 1

18、2:05:42.940.4-05:00 SW3 RM/6/RMDEBUG: AuType: 00Apr 12 2018 12:05:42.940.5-05:00 SW3 RM/6/RMDEBUG: Key(ascii): * * * * * * * *dApr 12 2018 12:05:42.940.6-05:00 SW3 RM/6/RMDEBUG: Net Mask: eApr 12 2018 12:05:42.940.7-05:00 SW3 RM/6/RMDEBUG: Hello Int: 10, Option: _E_Apr 12 2018 12:05:42.940.8-05:00 S

19、W3 RM/6/RMDEBUG: Rtr Priority: 1, Dead Int: 40Apr 12 2018 12:05:42.940.9-05:00 SW3 RM/6/RMDEBUG: DR: 4Apr 12 2018 12:05:42.940.1-05:00 SW3 RM/6/RMDEBUG: BDR: 3Apr 12 2018 12:05:42.940.2-05:00 SW3 RM/6/RMDEBUG: # Attached Neighbors: 1Apr 12 2018 12:05:42.940.3-05:00 SW3 RM/6/RMDEBUG: Neighbor: 3抓包 -

20、工具 (1)使用wireshark抓包工具，查看OSPF鄰居建立過程。抓包 - 工具 (2)使用wireshark抓包工具，查看OSPF報文信息具體內容。端口鏡像端口鏡像是指設備復制從鏡像端口流經的報文，并將此報文傳送到指定的觀察端口進行分析和監(jiān)控。監(jiān)控設備鏡像端口觀察端口Client 1Client 2Client 3網絡設備日志以USG6330為例，支持日志與報表，當硬盤不在位時，僅能查看并導出系統日志及業(yè)務日志。硬盤不在位：硬盤在位：防火墻日志格式防火墻支持的日志格式：格式使用場景二進制格式會話日志以二進制格式輸出時，占用的網絡資源較少，但不能在FW上直接查看，需要輸出到日志服務器查看。

21、Syslog格式話日志、丟包日志以及系統日志以Syslog格式輸出時，日志的信息以文本格式呈現。Netflow格式對于會話日志，FW還支持以Netflow格式輸出到日志服務器進行查看，便于管理員分析網絡中的IP報文流信息。Dataflow格式業(yè)務日志以Dataflow格式輸出，在日志服務器上查看。系統日志以防火墻USG6000為例，查看系統日志：選擇“監(jiān)控 日志 系統日志”，查看防火墻的系統日志信息。業(yè)務日志以防火墻USG6000為例，查看業(yè)務日志：選擇“監(jiān)控 日志 業(yè)務日志”，查看防火墻的業(yè)務日志信息。告警信息以防火墻USG6000為例，查看業(yè)務日志：選擇“監(jiān)控 日志 告警信息”，查看防火墻

22、的告警信息。操作系統日志以windows為例，點擊“開始”，右鍵“計算機”，選擇“管理”，選擇“系統工具 事件查看器 Windows日志”，如下圖：以windows操作系統為例，操作系統日志分為：系統日志應用程序日志安全日志Windows日志分類Windows系統日志類型：日志類型作用Vista/Win7/Win8/Win10/Server 2008/Server 2012存儲位置系統日志記錄操作系統組件產生的事件，主要包括驅動程序、系統組件和應用軟件的崩潰以及數據。%SystemRoot%System32WinevtLogsSystem.evtx應用程序日志包含由應用程序或系統程序記錄的事件

23、，主要記錄程序運行方面的事件。%SystemRoot%System32WinevtLogsApplication.evtx安全日志記錄系統的安全審計事件，包含各種類型的登錄日志、對象訪問日志、進程追蹤日志、特權使用、帳號管理、策略變更、系統事件。%SystemRoot%System32WinevtLogsSecurity.evtxWindows日志存儲位置以安全日志為例，選擇“屬性”，查看日志的具體信息，如下圖：Windows日志事件類型日志事件類型：事件類型作用信息（Information）應用程序、驅動程序或服務的成功操作的事件。警告（Warning）不是直接的、主要的，但是會導致將來問題

24、的發(fā)生。例如，當磁盤空間不足或未找到打印機時，都會記錄一個“警告”事件。錯誤（Error）錯誤事件通常指功能和數據的丟失。例如, 如果一個服務不能作為系統引導被加載，那么它會產生一個錯誤事件。成功審核（Success audit）成功的審核安全訪問嘗試，主要是指安全性日志，這里記錄著用戶登錄/注銷、對象訪問、特權使用、賬戶管理、策略更改、詳細跟蹤、目錄服務訪問、賬戶登錄等事件，例如所有的成功登錄系統都會被記錄為“成功審核”事件。失敗審核（Failure audit）失敗的審核安全登錄嘗試，例如用戶試圖訪問網絡驅動器失敗，則該嘗試會被作為失敗審核事件記錄下來。Windows日志格式Windows

25、日志由兩部分組成：頭部字段和描述字段。數據監(jiān)控數據分析日志分析分析工具介紹數據分析打擊計算機網絡犯罪的關鍵，是如何在計算機系統中提取和分析計算機犯罪分子留在計算機中的“痕跡”，使之成為能夠追蹤并抓獲犯罪嫌疑人的重要手段和方法。網絡中發(fā)生的重要事件都會被記錄在日志中，因此，對日志的分析尤為重要。網絡設備日志操作系統日志事件WhoWhenWhereHowWhat日志分析事件日志分析要點Who用戶訪客When時間where位置設備接口服務How有線無線VPNWhat行為設備類型資源網絡設備日志分析以防火墻為例，可以通過日志，分析攻擊行為。如下圖，通過“威脅日志” 發(fā)現存在IP Spoof Attack，并可以獲得攻擊的時間，使用的協議，接收接口等信息。操作系統日志分析由于日志中記錄了操作系統的所有事件，在大量的信息中快速篩選出關鍵信息尤為重要。Windows操作系統中可以根據需要篩選關鍵事件，如下圖：用戶登錄與注銷事件分析使用場景：判斷哪些用戶登錄過操作系統。分析用戶對操作系統的使用情況。事件ID：4624 登陸成功（安全日志）46