信息安全威脅審計技術(shù)

信息安全威脅審計技術(shù)曹鵬網(wǎng)絡(luò)安全產(chǎn)品營銷中心解決方案部部長CISP北京caopeng@沈陽東軟軟件股份有限公司?怎么去理解審計的重要性和實際用途好象是城市交通安全中的違章攝像頭和自動拍照系統(tǒng)。審計策略有時應(yīng)公開，有時應(yīng)嚴格保密。審計結(jié)果數(shù)據(jù)需要有專人負責(zé)處理，沒有完全自動的審計產(chǎn)品，人的因素非常重要。?入侵檢測系統(tǒng)WEB日志分析系統(tǒng)終端用戶審計和控制系統(tǒng)遭受入侵后的檢測工作流程建議安全審計部分內(nèi)容整體介紹?哪些站點最容易遭受攻擊什么是入侵檢測入侵檢測的主要檢測方式入侵檢測系統(tǒng)主要能夠?qū)崿F(xiàn)的安全功能有什么入侵檢測所面臨的技術(shù)挑戰(zhàn)從入侵檢測系統(tǒng)說起~???政府站點?很多站點甚至都沒有發(fā)現(xiàn)自己已經(jīng)被攻擊?一例利用FORNTPAGE的攻擊事件?利用同樣的手段遠程進入調(diào)試頁面狀態(tài)?修改后的結(jié)果?入侵過程描述入侵主機情況描述：該主機位于國家xx局的x層計算機辦公室，在11月中曾經(jīng)連續(xù)發(fā)生數(shù)據(jù)庫被刪除記錄的事件，最后該網(wǎng)站管理員認定事件可疑，隨即向國家xx局網(wǎng)絡(luò)安全管理部門報告，我公司在接到國家xx局的報告后，立即趕到現(xiàn)場取證分析。操作系統(tǒng)和補丁情況：WIN2000個人版操作系統(tǒng)SP2的補丁包主要服務(wù)用途：做為國家xx局計算中心內(nèi)部網(wǎng)站使用，負責(zé)發(fā)布計算中心內(nèi)部信息。網(wǎng)站運行IIS5，后臺數(shù)據(jù)庫采用ACCESS。入侵后的行為表現(xiàn)：主頁頁面新聞欄目內(nèi)容被刪除，后臺數(shù)據(jù)庫內(nèi)容被人非法刪改。

?分析審計WEB服務(wù)器訪問日志00:40:598GET/mynews.mdb200該記錄表明8在早上8點40分的時候非法下載了mynews.mdb數(shù)據(jù)庫，服務(wù)器返回200正確請求值，表示請求成功該數(shù)據(jù)庫已經(jīng)被非法下載。00:42:148GET/login.asp200隨后該攻擊者直接訪問網(wǎng)站的在線管理系統(tǒng)。?入侵檢測的基本概念真正的入侵檢測系統(tǒng)是在20世紀80年代末才開始被研究我們先來明確計算機安全的特性有那三個方面CIA機密性完整性可用性?什么是入侵呢？破壞上面四性的行為都可以定義為入侵，不管成功與否。從受害者的角度可以說：發(fā)生了什么？誰是受害者？受害程度大不大？誰是入侵者？入侵者的來源在哪里？入侵發(fā)生的時間？入侵是怎么發(fā)生的？為什么發(fā)生入侵？但很多時候我們身邊沒有一個安全專家可以幫助我們解答這些問題?為什么需要入侵檢測系統(tǒng)檢測防護部分阻止不了的入侵檢測入侵的前兆入侵事件的歸檔網(wǎng)絡(luò)遭受威脅程度的評估入侵事件的恢復(fù)?入侵檢測的分類和檢測方式基于主機的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于文件效驗方式的入侵檢測基于誘捕的蜜罐檢測技術(shù)?全面的檢測方式異常檢測：異常檢測的假設(shè)是入侵者活動異常于正常主體的活動，建立正常活動的“活動簡檔”，當(dāng)前主體的活動違反其統(tǒng)計規(guī)律時，認為可能是“入侵”行為。特征檢測：特征檢測假設(shè)入侵者活動可以用一種模式來表示，系統(tǒng)的目標是檢測主體活動是否符合這些模式。支持用戶自定義攻擊特征代碼分析。事后檢測：完整的將網(wǎng)絡(luò)中所有活動數(shù)據(jù)報的特征記錄下來，當(dāng)發(fā)生不可確定的安全時間時，可以將信息包全部回放，進行事后檢測分析。協(xié)議內(nèi)容檢測：支持常見的明文應(yīng)用層協(xié)議記錄，可以及時恢復(fù)所有訪問原始交互內(nèi)容。支持用戶自定義明文協(xié)議特征。?多種靈活接入方式入侵檢測設(shè)備直接連接在交換機的偵聽口入侵檢測設(shè)備直接連接在交換設(shè)備之間，充當(dāng)透明網(wǎng)橋功能同時進行數(shù)據(jù)包抓取分析?入侵檢測設(shè)備支持多端口偵聽，對中小企業(yè)網(wǎng)絡(luò)更好適應(yīng)。內(nèi)部網(wǎng)絡(luò)DMZ區(qū)域多偵聽口設(shè)計多臺交換機數(shù)據(jù)同時采集處理?強大的網(wǎng)絡(luò)訪問內(nèi)容審計功能可以進行多種協(xié)議HTTP、FTP、POP3、SMTP、IMAP、NNTP、Telnet、rsh、rlogin、MSN、YahooMessager、DNS等協(xié)議的回放和會話記錄，便于回放資源訪問的詳細過程并追查攻擊的來源。支持用戶自定義擴充?明文應(yīng)用協(xié)議還原配置?對于HTTP協(xié)議做到訪問頁面級別的還原?SMTP協(xié)議還原支持?POP3協(xié)議還原支持?FTP協(xié)議還原支持（支持自動回放）?TELNET協(xié)議還原支持（支持自動回放）?IMAP協(xié)議還原支持?NNTP協(xié)議還原支持?DNS協(xié)議還原支持?MSN（網(wǎng)絡(luò)聊天）會話回放?強大的事件定義庫?根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點添加自定義檢測規(guī)則?根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點添加自定義檢測規(guī)則?根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點添加自定義檢測規(guī)則?根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點添加自定義檢測規(guī)則?靈活的策略編輯器?入侵檢測響應(yīng)選項主動響應(yīng)收集相關(guān)信息改變環(huán)境反擊攻擊者被動響應(yīng)報警和告示SNMP/SYSLOG協(xié)議通知?發(fā)現(xiàn)攻擊多種響應(yīng)方式可供選擇記錄日志：事件發(fā)生時，記錄到監(jiān)控主機的攻擊檢測數(shù)據(jù)庫，可通過攻擊檢測查詢。實時報警：事件發(fā)生時，實時報警中心顯示報警事件，實時報警圖標閃爍。郵件報警：事件發(fā)生時，將報警事件以郵件的形式發(fā)送出去。切斷連接：事件發(fā)生時，切斷事件產(chǎn)生的tcp連接。防火墻聯(lián)動：由防火墻完成阻斷工作。Syslog：事件發(fā)生時，記錄到配置的Syslog服務(wù)器。SNMPTrap：事件發(fā)生時，記錄到配置的SNMP服務(wù)器。播放聲音：事件發(fā)生時，按事件的優(yōu)先級發(fā)出不同的聲音。應(yīng)在“本地選項”中啟用服務(wù)、配置聲音文件。Windows日志：事件發(fā)生時，寫入安全管理器所在的主機的日志中。Windows消息：事件發(fā)生時，向指定的主機發(fā)送消息。運行程序：事件發(fā)生時，在安全管理器所在的主機上運行指定的程序。?實時報警?攻擊檢測?應(yīng)用審計?網(wǎng)絡(luò)審計?統(tǒng)計圖表當(dāng)查看實時報警、攻擊檢測、內(nèi)容恢復(fù)、應(yīng)用審計、網(wǎng)絡(luò)審計記錄時，可以通過圖表直觀的查看各種信息的統(tǒng)計結(jié)果。?實時監(jiān)控系統(tǒng)?自定義監(jiān)視狀態(tài)協(xié)議方便用戶擴充?實時數(shù)據(jù)流量在實時數(shù)據(jù)流量窗體中可通過折線圖查看當(dāng)前網(wǎng)絡(luò)中可監(jiān)聽到的網(wǎng)絡(luò)實時數(shù)據(jù)流量信息，包括TCP、UDP、ICMP三種協(xié)議的數(shù)據(jù)包數(shù)和字節(jié)數(shù)六種數(shù)據(jù)流量。?數(shù)據(jù)實時捕捉工具?支持事件統(tǒng)一管理分層次集中管理統(tǒng)一取證支持通用管理協(xié)議SNMPSYSLOG與企業(yè)現(xiàn)有安管中心可以無縫集成?集中管理器集中管理多個子監(jiān)控主機及子管理節(jié)點。對子監(jiān)控主機進行升級、安全策略下發(fā)；對子管理節(jié)點進行安全策略下發(fā)。所有激活的子監(jiān)控主機向集中管理器提交報警事件，由集中管理器集中審計?？衫媒y(tǒng)計圖表、生成報表功能對收集到的記錄進行分析保存?？蓪⑹占降挠涗泴?dǎo)出為CSV文件；可以文本形式保存消息日志。可根據(jù)不同的用戶權(quán)限打開相應(yīng)的其它管理器，實現(xiàn)對每一臺子監(jiān)控主機的單獨管理。??報表查看器可對通過安全管理器、集中管理器、脫機瀏覽器查詢出的各種數(shù)據(jù)記錄按不同的模板生成報表?？蓪蟊磉M行打印、保存或以郵件的形式發(fā)送出去?？纱蜷_保存在本地主機上的rpt格式的報表?？赏瑫r打開多個報表，便于集中分析。???添加自定義報表??入侵檢測產(chǎn)品報表的重要性只有定期的查看報告才能及時發(fā)現(xiàn)攻擊企圖，對各種入侵行為及時處理。建議每天上班和下班的時候都查看一遍入侵檢測產(chǎn)品的報告。報告顯示結(jié)果是否清楚明了至關(guān)重要。介紹我的一個真實的成功案件?蜜罐技術(shù)蜜罐技術(shù)就是建立一個虛假的網(wǎng)絡(luò)，誘惑黑客攻擊這個虛擬的網(wǎng)絡(luò)，從而達到保護真正網(wǎng)絡(luò)的目的。主要作用：誘惑黑客攻擊虛假的網(wǎng)絡(luò)而忽略真正的網(wǎng)絡(luò)。收集黑客的信息和企圖，幫助系統(tǒng)進行安全防護和檢測，響應(yīng)。消耗黑客的精力，讓系統(tǒng)管理員有足夠的時間去響應(yīng)?，F(xiàn)有技術(shù)允許將4000個IP地址綁定在一臺PC機上，顯然會增加攻擊者的工作量，光用掃描這些IP地址就要花去大量的時間。技術(shù)的費用很低，但是能達到很好的效果。?入侵檢測面臨的挑戰(zhàn)攻擊者不斷增加的知識，日趨成熟多樣自動化工具，以及越來越復(fù)雜細致的攻擊手法。惡意信息采用加密的方法傳輸。必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同的安全策略。不斷增大的網(wǎng)絡(luò)流量。廣泛接受的術(shù)語和概念框架的缺乏。不斷變化的入侵檢測市場給購買、維護IDS造成的困難。?入侵檢測面臨的挑戰(zhàn)采用不恰當(dāng)?shù)淖詣臃磻?yīng)所造成的風(fēng)險。對IDS自身的攻擊。大量的誤報和漏報使得發(fā)現(xiàn)問題的真正所在非常困難?？陀^的評估與測試信息的缺乏。交換式局域網(wǎng)造成網(wǎng)絡(luò)數(shù)據(jù)流的可見性下降，同時更快的網(wǎng)絡(luò)使數(shù)據(jù)的實時分析越發(fā)困難。?WEB服務(wù)器日志審計WEB日志的分析方法WEB分析工具軟件的介紹介紹幾個日志分析的實際例子?通過服務(wù)器的返回代碼來判斷攻擊者使用CGI漏洞掃描器對潛在的CGI漏洞腳本進行掃描時，HTTP404NotFounderrors的記錄會大量增長，一次完整的掃描一般可以產(chǎn)生500個以上的連續(xù)404錯誤。攻擊者嘗試暴力破解服務(wù)器上的帳戶，HTTP401AuthorizationRequirederrors的記錄會增長。入侵者嘗試SQL注入腳本攻擊，HTTP500ServerErrors記錄會增長。?終端用戶的安全審計終端用戶的安全防護一直是信息安全的“死角”，但也是最容易出現(xiàn)問題的地方。隨著NT內(nèi)核的操作系統(tǒng)被大量的采用，所有的工作站其實都是在運行著一臺服務(wù)器。?當(dāng)前的解決問題的途徑采用簡單快速有效的系統(tǒng)安全加固配置方法，以文檔的方式總結(jié)出來下發(fā)給所有員工。利用SUS服務(wù)進行內(nèi)部網(wǎng)絡(luò)的補丁統(tǒng)一分發(fā)和管理，大大加快內(nèi)部網(wǎng)絡(luò)的補丁更新速度和頻率。利用一些第三方的軟件進行安全審計與控制。?事件響應(yīng)不要驚慌，冷靜分析和處理問題確定問題的性質(zhì)，事件嚴重程度。?技術(shù)處理流程建議暫時中斷服務(wù)器的網(wǎng)絡(luò)通訊，但不要急于重新格式化安裝新系統(tǒng)。利用SNIFFER監(jiān)視網(wǎng)絡(luò)通訊狀況利用系統(tǒng)當(dāng)前分析軟件將進程，端口關(guān)聯(lián)表，服務(wù)狀態(tài)，自啟動程序列表分析并保存結(jié)果?？梢詫⒎治龅脑紨?shù)據(jù)發(fā)送給安全專家請求協(xié)助。利用自評估根據(jù)檢測服務(wù)器的安裝狀態(tài)補丁安裝情況等。?ThankyouNeusoftGroupLtd.謝謝?演講完畢，謝謝觀看！附錄資料：不需要的可以自行刪除企業(yè)信息化管理專業(yè)分析目標企業(yè)信息化概述企業(yè)信息化專業(yè)介紹企業(yè)信息化學(xué)習(xí)方法介紹個人期望企業(yè)信息化概述企業(yè)信息化專業(yè)介紹企業(yè)信息化學(xué)習(xí)方法介紹個人期望

什么是企業(yè)企業(yè)是從事生產(chǎn)、流通、服務(wù)等經(jīng)濟活動，以生產(chǎn)或服務(wù)滿足社會需要，實行自主經(jīng)營、獨立核算、依法設(shè)立的一種盈利性的經(jīng)濟組織。你聽過哪些企業(yè)？東風(fēng)汽車中國銀行百度新浪……等等什么是信息化定義一：信息化是指培養(yǎng)、發(fā)展以計算機為主的智能化工具為代表的新生產(chǎn)力，并使之造福于社會的歷史過程。定義二：是指建立在IT產(chǎn)業(yè)發(fā)展與IT在社會經(jīng)濟各部門擴散的基礎(chǔ)之上，運用IT改造傳統(tǒng)的經(jīng)濟、社會結(jié)構(gòu)的過程。什么是企業(yè)信息化企業(yè)信息化(Enterprisesinformatization)，企業(yè)信息化實質(zhì)上是將企業(yè)的生產(chǎn)過程、物料移動、事務(wù)處理、現(xiàn)金流動、客戶交互等業(yè)務(wù)過程數(shù)字化，通過各種信息系統(tǒng)網(wǎng)絡(luò)加工生成新的信息資源，提供給各層次的人們洞悉、觀察各類動態(tài)業(yè)務(wù)中的一切信息，以作出有利于生產(chǎn)要素組合優(yōu)化的決策，使企業(yè)資源合理配置，以使企業(yè)能適應(yīng)瞬息萬變的市場經(jīng)濟競爭環(huán)境，求得最大的經(jīng)濟效益。企業(yè)為什么需要信息化生產(chǎn)與銷售員工與管理庫存與原材料管理市場競爭企業(yè)信息化主流平臺SAP用友金蝶神舟數(shù)碼Oracle企業(yè)信息化概述企業(yè)信息化專業(yè)介紹企業(yè)信息化學(xué)習(xí)方法介紹個人期望企業(yè)信息化管理專業(yè)介紹本專業(yè)培養(yǎng)能幫助企業(yè)進行信息化改造，幫助軟件公司進行信息化軟件售前和售后技術(shù)支持以及企業(yè)軟件實施，或者作為資訊公司對企業(yè)業(yè)務(wù)流程進行設(shè)計與改造的高級管理人才。能勝任軟件實施工程師、軟件售前服務(wù)工程師，軟件售后服務(wù)工程師，企業(yè)信息化咨詢師，企業(yè)業(yè)務(wù)流程規(guī)劃師。企業(yè)信息化職位CompanyLogo實施經(jīng)理售前售后工程師產(chǎn)品咨詢師企業(yè)信息分析師企業(yè)需求分析師企業(yè)信息化解決方案數(shù)據(jù)庫維護售前工程師售后工程師系統(tǒng)策劃師產(chǎn)品實施公司職位表企業(yè)信息化管理與其他專業(yè)對比研發(fā)管理營銷企業(yè)信息化管理課程安排企業(yè)信息化概述企業(yè)信息化專業(yè)介紹企業(yè)信息化學(xué)習(xí)方法介紹個人期望學(xué)好企業(yè)信息化核心要素良好的心態(tài)開闊的思維組織協(xié)調(diào)能力團隊精神專業(yè)知識個人形象口才良好的心態(tài)良好心態(tài)表現(xiàn)：激勵性自信努力、上進如何提高心態(tài)：閱讀一定管理書籍和管理視頻閱讀企業(yè)信息化管理學(xué)開闊的思維開闊視野閱讀經(jīng)典成功案例組織協(xié)調(diào)能力組織班級活動積極參