网络系统安全基础- 体系-技术-产品.ppt

网络系统安全基础,2003年10月,体系/技术/产品,主要内容,体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统,主要内容,体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统,什么是安全？,Securityisthereductionofrisk安全就是降低风险，并使之达到“可接受”的程度,整体安全技术因素全面服务保证,网络基础结构,网络安全,物理安全,操作系统平台的安全性,应用平台的安全性,应用数据安全,信息安全体系的构成,传统网络安全防御体系,动态防御体系,在防护检测响应(PDR)模型基础上的动态防御体系,因为其优异的自适应、自控制、自反馈特性,已经在国际上得到了广泛的接受和采纳.,安全的系统应当满足P(t)防护时间D(t)检测时间+R(t)响应时间防护的成本取决于风险导致的损失风险的大小和时间高度正相关防御体系的建立必须围绕实时性和应急机制来充分提高其性能价格比,PDR安全实用性模型,动态防御体系,新型安全体系,主要内容,体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统,安全解决方案模型,安全策略,安全组织管理,安全运作管理,安全技术框架,访问控制,内容安全,审计响应,冗余恢复,鉴别认证,网络安全协议/功能模型,体系与技术的对应关系,防护的主要技术访问控制:ACL,VLAN,防火墙加密机,VPN认证,CA检测的主要技术入侵检测系统漏洞扫描系统病毒防护响应的主要技术报警、记录、阻断、联动、反击,PDR主要技术,静态与动态安全技术,静态防护：被动的，滞后的防御动态防护：主动的、实时的防御,综合防御,防火墙及相关网络防护体系第一道防线，阻止入侵,入侵监测第二道防线，发现入侵,攻击反应第三道防线，打不跨,自动恢复第四道防线，起死回生,安全解决方案,防病毒,制订最高安全方针,落实项目的安全审核工作,明确安全领导小组工作职责,策略的有效发布和执行,策略体系开发和建立,安全培训与资质认证,落实安全责任文件,安全组织建设,资产鉴别和分类项目,制订全员网络安全教育计划,第三方安全管理,策略的定期审查和修订,BS7799认证项目,网络安全域隔离和划分,统一时钟服务,防火墙和网络隔离,紧急响应体系,动态口令系统,入侵监测系统,主机安全,业务连续性管理,聘请专业公司或者专家作为顾问,周期性风险评估服务项目,日志监控系统,冗余、备份和恢复,可信信道,数据源鉴别,网络设备安全,安全管理中心和网络安全平台,PKI体系可行性分析,基础项目,优先项目,非优先项目,长期项目,技术类项目,管理类项目,表示支持或支撑作用,体系到解决方案,风险评估服务,顾问服务,顾问服务,CA/RSA,基于系统AC功能,漏洞扫描,IDS,网络架构安全分析,网络架构安全分析,防火墙,系统冗余设计,防病毒,安全管理平台,加密/完整检查,主要内容,体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统,防火墙功能,防火墙就是一个位于计算机和它所连接的网络之间的硬件或软件。所有流入流出的网络通信均要经过此防火墙。,为什么要使用防火墙？,防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。可将防火墙配置成许多不同保护级别。高级别的保护可以禁止一些服务，如视频流，Java，ActiveX，JavaScript脚本等有时需要将内部网络划分为多个网段，为不同的部门设置不同的访问级别,防火墙五大基本功能,过滤进、出网络的数据，是网络安全的屏障管理进、出网络的访问行为，防止内部信息的外泄封堵某些禁止的业务，对网络存取和访问进行控制记录通过防火墙的信息内容和活动对网络攻击的检测和告警，强化网络安全策略,防火墙的分类,按逻辑功能包过滤式防火墙：天融信，联想应用代理式防火墙：TIS状态检测防火墙按体系结构硬件防火墙：Netscreen,Nokia,CiscoPix软件防火墙：Checkpoint,ISAServer软硬结合按操作模式网桥模式路由模式NAT按性能百兆千兆按部署方式边界(企业)防火墙个人（主机）防火墙,防火墙中的主要技术,封包过滤（PacketFileter）状态检测（Statefulinspection）网络地址转换NAT（NetworkAddressTransform）代理技术（Proxy）,封包过滤,封包过滤（PacketFileter）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。,状态检测,状态检测（Statefulinspection）：其工作原理是检测每一个有效连接的状态，并根据这些状态信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包，然后分析这些数据包，并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较，从而得到该数据包的控制信息，以达到提高效率、保护网络安全的目的。状态检测将数据包分成4种连接状态：New,Established，Related，Invalid,使用NAT的原因,解决IP地址空间紧张的问题共享modem拨号上网多重服务器（负载分担load-sharing）,代理技术,代理技术（Proxy）：也叫应用网关（ApplicationGateway）,作用在应用层，其特点是完全“阻隔”网络通信流，通过对每种应用服务(如http,ftp,smtp)编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。,防火墙典型部署,防火墙,代理式防火墙部署示意图,主要防火墙品牌,中网川大能士方正数码海信数码华堂华依科技联想龙马卫士通三星防火墙四川迈普亿阳信通中软华泰中网通讯天融信东软,青鸟环宇交大捷普重庆银都天网清华得实中科安胜华为广州科达广东海微CheckPointNetscreenCiscoNokia三星,如何选择防火墙？,主要指标设计性能（M）：10/100M，1000M最大并发连接数（万）接口类型、接口数操作系统类型MTBF(平均无故障时间/小时)策略规则许可值设计性能策略数管理方式是否支持与IDS联动是否支持VPN、是否支持SNMP是否支持双机热备、负载均衡,防火墙性能指标,吞吐率,千兆防火墙产品比较,百兆防火墙产品比较,东软NetEye与PIX比较,使用防火墙是否足够？,防火墙属于静态防护防火墙难于防内防火墙难于管理和配置，易造成安全漏洞防火墙的安全控制主要是基于IP地址的，难于为用户在防火墙内提供一致的安全策略防火墙只实现了粗粒度的访问控制，且不能与企业内部使用的其它安全机制（如访问控制）集成使用任何一个系统（尤其是底层系统和应用系统）中可能存在着安全漏洞，造成绕过防火墙的攻击,穿透防火墙的攻击,Unicode%255c,策略80端口允许,Delc:inetpubwwwrootdefault.asp,Unicode:%255c,绕过防火墙的攻击,拨号上网,遭受攻击,来自防火墙内部的攻击,针对防火墙的攻击,DOS攻击,FireWalk,主要内容,体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统,理解入侵检测系统(IDS),监控室=控制中心,后门,保安=防火墙,摄像机=探测引擎,IDS的主要功能,监视分析用户和系统的行为审计系统配置和漏洞评估敏感系统和数据的完整性识别攻击行为并告警对异常行为进行统计审计、跟踪、识别违反安全法规的行为,IDS的分类,基于网络的入侵检测系统：侦测速度快，隐蔽性好，视野更宽，较少的监测点，攻击者不易转移证据，操作系统无关性，占用资源少基于主机的入侵检测系统：性能价格比高，更加细腻，视野集中，易于用户剪裁，节省资源，对网络流量不敏感，适用于被加密的以及交换的环境，含有已发生事件信息，易于确定攻击是否成功,IDS工作过程,网络数据包的获取DMA技术网络数据包的解码协议分析网络数据包的检查模式匹配网络数据包的统计异常检测网络数据包的审查事件生成,IDS新的特性,人机界面：“GIS”显示与IP定位,IDS新的特性,人机界面：拓扑发现,IDS新的特性,人机界面：攻击活动显示,IDS新的特性,全局的技术管理化,建立全局预警体系，做到一点发现，全网皆知并及时响应,IDS（主控）,IDS（子控）,IDS（子控）,重庆,大连,西安,上海,北京,攻击,报警,IDS的作用,IDS的功能实质全面实时了解网络动态现状（而不是仅仅发现黑客的攻击）大规模部署和多级管理的统一监控和全局预警能力对网络行为进行分析综合和预测在第一时间对网络中的危害做出反应终止危害,防止损失扩大使系统恢复到正常的工作状态保存攻击证据分析入侵行为追究攻击来源,IDS的作用,对建设单位提升安全理念系统的安全认识全面的安全布局深入挖掘自身安全需求，增强投资意识量化安全投入，有效投入增强自身的免疫力便于及时在日常中发现薄弱环节，可以采用多方面的措施加强安全；降低风险及时发现风险，快速定位问题,IDS的作用,对建设单位减少损失出现突发事件时，可以做到全局预警，迅速定位，采取措施，使网络整体的损失降到最低对于已知事件，能够快速响应，对于未知事件，进行高质量的防护带来技术与管理的高度统一安全是人操作技术，安全不仅仅是产品的投入，应该还有流程、制度,IDS的作用,对主管领导第一时间了解网络的安全形势把握安全趋势明确安全责任,IDS的作用,对一线技术人员及时发现安全事件快速定位安全问题更好地利用网络安全设备,IDS的放置方式,IDS检测器放在防火墙之外IDS检测器放在防火墙之内防火墙内外都有IDS检测器,IDS部署示例,MAIL虚拟映射,DMZ区,防火墙外网,MAIL服务器,WWW服务器,DNS服务器,PROXY服务器,路由器,IDS控制中心,网络安全控制平台,IDS探测引擎,分布式入侵检测系统,内网,DMZ区域,MAIL服务器,WWW服务器,IDS控制中心,主机入侵检测,WIN平台,Solaris平台,SQLServer,网络入侵检测,主要IDS品牌,启明星辰(天阗)中联绿盟(冰之眼)金诺中科网威(天眼)北方计算中心NISDetector安氏ISS(RealSecure)NFR,主流IDS产品及指标,应急响应目标,终止危害防止损失扩大使系统恢复到正常的工作状态保存攻击证据分析入侵行为追究攻击来源,应急响应日常安全服务,安全监控服务安全通告服务日志分析服务系统评估服务边界设备优化服务系统加固服务,应急响应流程（1）,重大的安全事件影响骨干网的正常运转的安全事件对众多的桌面系统有危害的安全事件需要在入侵检测系统上进行监控的事件有可能大规模爆发的网络病毒，如sqlserver蠕虫、弱口令蠕虫、coderedF等协调组成员总协调人：副总协调组成员：相关安全/技术负责人,接收初步资料作为应急响应的统一入口，总协调人接收安全事件的初步资料，包括来源、性质、大概情况等。并根据情况，通知协调组成员，做好应急准备。,应急响应流程（2）,查明原因及找出事件特征,在入侵检测系统找采样点进行采样根据接到的资料，在网络或现场查明原因，进行详细分析，总结出事件特征，派人到入侵检测系统的维护现场，在采样点进行数据采样，并将采样情况及时汇报给总协调人。启动紧急信息快递，及时将情况通报给相关客户，做好准备工作。确定是否为大规模安全事件总协调人根据采样数据和其它渠道的信息，与安全管理中心的人员一起确定是否为大规模安全事件。入侵检测系统全面监控利用入侵检测系统，对该事件进行全面监控，并按时提供多种分析报告。,应急响应流程（3）,数据验证如果从入侵检测系统上得到的数据需要验证，进行验证后，提供给入侵检测系统维护人员，整理后再提供给安全管理中心,应急响应流程（4）,提供该事件的公告原稿提供该事件的公告原稿给总协调人。,应急响应流程（5）,审核公告原稿审核通过后，总协调人通知应急响应小组将修改后的稿件，发布到应急响应网站。,应急响应流程（6）,事件库升级或程序升级,发布到公司网站根据事件情况修改入侵检测事件库，发布到网站紧急信息快递通知本流程中,共有2次紧急信息快递:第一次是在安全事件查明原因时,及时通知相关客户知道有安全事件,并做好准备;第二次是事件库或程序发布到网站后,通知客户具体的解决措施.及时跟踪并解决客户在整个过程所遇到的问题。,应急响应流程（7）,应急响应示例,主要内容,体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统,病毒的新特点,隐藏型病毒自加密、多形态及变异病毒反向病毒邮件型病毒JAVA和ActiveX病毒智能化病毒形式多样化传播方式多样化专用病毒生成工具,病毒的分类方法,无害型:传染时减少磁盘的可用空间外，对系统没有其他影响无危险型:减少内存、显示图像、发出声音及同类音响危险型:在计算机系统操作中造成严重的错误非常危险型:删除程序、破坏数据、清除系统内存区和操作系统中重要的信息按传染方式则可分为：引导型病毒、文件型病毒和混合型病毒,病毒制造方法,自动化VCS（改文字）,VCL（Buggy）组织化ARCV小组(VCL、PS-MPCs）公开化产生成千上万的病毒,病毒技术特性,智能性躲避/攻击防病毒系统TequilatoViruScanPeachtoCentralPoint多态性加密、变换、插入V2Px,MtE-,TPE-类型多级反病毒防御,病毒表现形式,无固定端口，无更多连接远程控制扫描+攻击反向连接可放置在所有网络层ICMP,IP,TCP,UDP,HTTP,SMTP,DNS.难于检测SecureCommunication(Crypto),CovertChannelsKernelBackdoor,防病毒产品类型,网关防病毒群件(邮件)防病毒服务器防病毒客户机防病毒,防病毒产品部署,防病毒产品主要厂商,NAI(McAfee)赛门铁克Norton趋势Trend熊猫PandaF-secureNokia瑞星金山毒霸冠群金辰(Kill)启明星辰(天恒安防)江民（KV）,主流防毒产品及指标,主要内容,体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统,为什么要进行安全评估？,风险=X,风险X资产价值,脆弱性,威胁,损失=,应急响应能力,安全评估的内容,网络风险主机风险应用风险安全控制系统可用性管理风险,安全评估的内容,目前的系统和安全轮廓（Control）描述系统的理想状况（target）希望改进的方面（hope）,安全评估的内容,定义系统安全等级和重要性对各等级系统的安全现状进行描述制定整体架构和理想目标制定可行性策略和改进计划描述系统的漏洞描述系统的事件发现事件的方式是否充分,业务流程资产分类弱点分析威胁分析网络架构分析业务流程分析现有安全措施风险分析安全措施建议,安全评估方法,工作形式文档评估顾问访谈系统工具评估系统人工评估白客测试,工作对象策略管理体系组织系统网络主机通用应用业务应用,漏洞扫描系统,Internet,workstation,评估工具：漏洞扫描系统,漏洞扫描系统检查的内容,Web服务FTP服务RPC攻击NetBios类GGI-BIN特定的强力攻击NFS/Xwindows攻击类共享/DCOM类电子邮件类安全区检测SMTP类SNMP类后门检查类,拒绝服务攻击检测浏览器类守护进程类NT组/NT网络类NT服务类关键的NT问题NT用户策略NT注册表NT口令类DNSNIS缓冲区溢出,主要内容,体系技术产品防火墙入侵检测与应急响应网络防病毒安全评估与漏洞扫描网络审计CA系统,为什么要进行网络审计？,我们的网络中到底发生了什么如何进行事后的追踪如何对网络进行有效的监控如何改进网络的安全策略,网络审计的主要内容,网络连接审计协议审计端口审计拨号连接审计个人帐户审计文件访问审计数据审计流量统计审计数据库审计WEB服务器审计安全事件再现审计键盘审计屏幕审计系统统计分析,审计产品部署示例,审计引擎,主要网络审计产品厂商,启明星辰复旦光华成都大