信息安全技术(HCIA-Security)-第十三次课-安全运营简介和数据监控与分析课件

1、安全运营简介在当今信息时代，安全运营逐渐成为一个热门话题。信息安全事故层出不穷，大大影响了企业的正常运行，迄今为止已对世界各地企业造成了不可估量的损失，而安全运营是全方面保证企业业务持续安全运行的必要条件。本章节将介绍安全运营的基本概念，并且对安全运营需要具备的条件进行简单介绍。学完本课程后，您将能够：描述安全运营的概念了解安全运营的内容安全运营概念安全运营概念安全运营基本要求安全运营内容简述安全运营概念在企业信息安全建设初期，企业安全工作主要内容是通过购买一系列的安全设备部署在各个协议层以保证业务日常的稳定运行。而随着安全问题频发，如信息泄露事件、自然灾害等，从业人员逐渐意识到仅仅部署安全设

2、备并不能实现有效的安全运营。安全运营必须是资源、流程和管理的有效结合，才能达到保护企业业务安全持续稳定运行的目的。安全运营概念安全运营概念安全运营基本要求安全运营内容简述安全运营基本条件安全运营涉及方方面面的要求，以下为安全运营的基本运营条件：安全运营业务连续性计划物理安全管理安全运营事件预防及响应灾难恢复计划调查取证保护资源的配置理解和应用基本的安全操作原则采用资源保护技术执行和支持补丁及脆弱性管理参与和理解变更管理流程参与解决人身安全管理日志和监控行为实施事件管理操作和维护预防措施实施恢复策略执行灾难恢复过程测试灾难恢复计划理解和支持调查理解调查取证类别的要求安全运营概念安全运营内容简述业

3、务连续性计划事件响应管理灾难恢复计划调查取证业务连续性计划业务连续性计划（Business Continuity Planning，BCP）的目标是在紧急情况下提供快速、沉着和有效的响应，从而增强企业立即从破坏性事件中恢复过来的能力。业务连续性计划基本步骤项目范围和计划编制连续性计划编制BCP文档化业务影响评估项目范围和计划任何流程或计划的制定都必须依据具体组织的实际业务的规模和性质，符合企业文化，并且遵守相关法律。如下是制定计划初期无额定项目范围的具体要求：业务组织分析BCP团队组建资源要求法律和法规要求 业务影响评估业务影响评估（Business Imapct Assessment）确定了

4、能够决定组织持续发展的资源，以及对这些资源的威胁，并且还评估每种威胁实际出现的可能性以及出现的威胁对业务的影响。业务影响评估包含以下部分：确定优先级风险识别可能性评估影响评估资源优先级划分连续性计划编制上两个阶段主要用于确定BCP的工作过程以及保护业务资产的有限顺序，在连续性计划编制阶段则注重于连续性策略的开发和实现，在这一阶段涉及以下任务：2345计划实现预备和处理培训和教育计划批准1策略开发BCP文档化将BCP文档化有助于在发生紧急事件时，此文档能够对BCP人员提供处理威胁事件的指导。同时，该文档记录了修改历史，为后续处理类似事件或者文档修改提供经验借鉴。文档的内容应当包含以下内容：连续性

5、计划的目标重要性声明组织职责的声明紧急程度和时限的声明风险评估可接受的风险/风险调解重大记录计划响应紧急事件的指导原则维护测试和演习安全运营概念安全运营内容简述业务连续性计划事件响应管理灾难恢复计划调查取证事件响应管理并非所有的威胁事件都能被预防，业务连续性计划提供了处理紧急事件的流程指导，尽快地对威胁事件进行响应，能够尽量减少事件对组织的影响。响应缓解报告恢复修复检测经验教训安全运营概念安全运营内容简述业务连续性计划事件响应管理灾难恢复计划调查取证灾难恢复计划在灾难事件导致业务中断时，灾难恢复计划开始生效，指导紧急事件响应人员的工作，将业务还原到正常运行的状态。灾难恢复计划包括以下内容：实施

6、恢复策略执行灾难恢复过程测试灾难恢复计划安全运营概念安全运营内容简述业务连续性计划事件响应管理灾难恢复计划调查取证调查在采取措施之前，需要确定攻击已经发生，攻击发生之后需要对该安全事件进行调查和收集证据，调查是为了找出发生了什么，以及该事件的损害程度。操作型调查犯罪调查民事调查监管调查电子发现证据为了成功地检举犯罪，必须提供足够的证据来证实犯罪行为。证据的类型分为：实物证据文档证据言辞证据调查取证流程事故确认请求执法证据收集及保存约谈个人提起诉讼业务连续性计划和灾难恢复计划有什么区别？安全运营概念安全运营内容简述数据监控与分析本章主要介绍如何通过技术手段获取有效信息，并针对获取的信息分析，定位

7、安全风险与威胁。数据的收集可以从互联的网络设备中采集，也可以检查提供服务的终端系统。在安全事件发生前，通过数据的监控和分析，主动分析网络的安全风险，加固网络；在安全事件发生后，通过数据的监控和分析，迅速定位安全威胁，为攻击防御与取证提供支持。学完本课程后，您将能够：描述数据监控与分析的技术手段描述数据采集的过程使用威胁定位的技术数据监控主动分析被动采集数据分析主动分析主动分析：在攻击发生前，对网络的状况进行安全评估，对暴露的问题进行及时的改正，加固网络，提升网络的安全性。安全评估方法如图所示：安全评估方法1.安全扫描2.人工审计3.渗透测试4.调查问卷5.访谈调研安全扫描工作目标：为了充分了解

8、目标系统当前的网络安全漏洞状况，需要利用扫描分析评估工具对目标系统进行扫描，以便发现相关漏洞。工作内容：系统开放的端口号系统中存在的安全漏洞是否存在弱口令SQL注入漏洞跨站脚本漏洞 工作输出 扫描工具生成结果安全扫描人工审计渗透测试问卷调查访谈调研扫描工具工具类型工具名称用途扫描类型端口扫描软件superscan 功能强大的端口扫描软件：通过Ping来检验IP是否在线；检验目标计算机提供的服务类别；检验一定范围目标计算机的是否在线和端口情况。Nmap是Linux下的网络扫描和嗅探工具包。基本功能：一是探测一组主机是否在线；其次是扫描 主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统

9、。漏洞扫描工具Sparta集成于Kali内的漏洞扫描工具，能够发现系统中开启的服务以及开放端口，还可以根据字典，暴力破解应用的用户名和密码。应用扫描Burp SuiteBurp Suite 是用于渗透web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。Superscan工具使用展示如图，使用Superscan对实验环境中的web服务器进行扫描，测试如图：查看Superscan扫描结果在“Scan”菜单栏，点解“View HTML Result”查看扫描结果，如下图：Nmap工具使用展示选择“Application”中的“Information

10、 Gathering”，点击“Nmap”，如图：查看Nmap扫描结果根据Nmap工具的参数规则，对目标系统进行信息收集，如下图是对主机开放的TCP端口进行扫描：Sparta工具使用展示选择“Application”中的“Vulnerability Analysis”，点击“Sparta”，如图：查看Sparta扫描结果在操作界面添加要扫描的地址网段或主机地址，进行扫描，如图展示了目标主机开放的端口及应用，而且可以查看操作系统的信息：Burp Suite使用展示Burp Suite会向应用发送请求并通过payload验证漏洞。它对下列的两类漏洞有很好的扫描效果：客户端的漏洞，像XSS、Http头

11、注入、操作重定向；服务端的漏洞，像SQL注入、命令行注入、文件遍历。Burp Suite扫描结果在Results界面，自动显示队列中已经扫描完成的漏洞明细。人工审计工作目标人工审计是对工具评估的一种补充，它不需要在被评估的目标系统上安装任何软件，对目标系统的运行和状态没有任何影响，在不允许安装软件进行检查的重要主机上显得非常有用。工作内容安全专家对包括主机系统、业务系统、数据库、网络设备、安全设备等在内的目标系统进行人工检查。检查的内容视检查目标不同将可能涵盖以下方面： 是否安装最新补丁 是否使用服务最小化原则，是否开启了不必要的服务和端口防火墙配置策略是否正确 安全扫描人工审计渗透测试问卷调

12、查访谈调研渗透测试渗透测试是作为外部审查的一部分而进行的。这种测试需要探查系统，以发现操作系统和任何网络服务，并检查这些网络服务有无漏洞。渗透测试的流程如下：1信息收集、分析2制定渗透方案、实施准备3前段信息汇报、分析4提升权限、渗透实施5渗透结果总结6输出渗透测试报告7提出安全解决建议安全扫描渗透测试问卷调查访谈调研渗透测试调查问卷调查对象网络系统管理员、安全管理员、技术负责人等调查内容业务、资产、威胁、脆弱性（管理方面）。设计原完整性、具体性、简洁性、一致性安全扫描渗透测试问卷调查访谈调研渗透测试访谈调研访谈对象安全管理员、技术负责人、网络系统管理员等访谈内容确认问卷调查结果详细获取管理执

13、行现状听取用户想法和意见安全扫描渗透测试问卷调查访谈调研渗透测试数据监控主动分析被动采集数据分析被动获取被动获取：当攻击发生时，及时采集数据，分析攻击使用的方法，以及网络存在的问题，进行及时的补救，减少损失。数据采集方式如下所示：数据采集抓包命令行抓包软件端口镜像日志网络设备日志操作系统日志抓包 - 命令行 (1)命令行：查看OSPF邻居建立过程。 debugging ospf eventApr 12 2018 12:03:16.370.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 1136 Level: 0 x20 OSPF 1: N

14、br 4 Rcv HelloReceived State Down - Init.Apr 12 2018 12:03:16.380.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 1732 Level: 0 x20 OSPF 1: Nbr 4 Rcv 2WayReceived State Init - 2Way.Apr 12 2018 12:03:16.390.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 1732 Level: 0 x20 OSPF 1: Nbr 4 Rcv Ad

15、jOk? State 2Way - ExStart.Apr 12 2018 12:03:16.400.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 1845 Level: 0 x20 OSPF 1: Nbr 4 Rcv NegotiationDone State ExStart - Exchange.Apr 12 2018 12:03:16.410.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 1957 Level: 0 x20 OSPF 1: Nbr 4 Rcv Exchang

16、eDone State Exchange - Loading.Apr 12 2018 12:03:16.430.1-05:00 SW3 RM/6/RMDEBUG: FileID: 0 x7017802d Line: 2359 Level: 0 x20 OSPF 1: Nbr 4 Rcv LoadingDone State Loading - Full.抓包 - 命令行 (2)命令行：查看OSPF报文信息具体内容。 debugging ospf packetApr 12 2018 12:05:42.930.2-05:00 SW3 RM/6/RMDEBUG: Source Address: 4Ap

17、r 12 2018 12:05:42.930.3-05:00 SW3 RM/6/RMDEBUG: Destination Address: Apr 12 2018 12:05:42.940.1-05:00 SW3 RM/6/RMDEBUG: Ver# 2, Type: 1 (Hello)Apr 12 2018 12:05:42.940.2-05:00 SW3 RM/6/RMDEBUG: Length: 48, Router: 4Apr 12 2018 12:05:42.940.3-05:00 SW3 RM/6/RMDEBUG: Area: , Chksum: 4dcfApr 12 2018 1

18、2:05:42.940.4-05:00 SW3 RM/6/RMDEBUG: AuType: 00Apr 12 2018 12:05:42.940.5-05:00 SW3 RM/6/RMDEBUG: Key(ascii): * * * * * * * *dApr 12 2018 12:05:42.940.6-05:00 SW3 RM/6/RMDEBUG: Net Mask: eApr 12 2018 12:05:42.940.7-05:00 SW3 RM/6/RMDEBUG: Hello Int: 10, Option: _E_Apr 12 2018 12:05:42.940.8-05:00 S

19、W3 RM/6/RMDEBUG: Rtr Priority: 1, Dead Int: 40Apr 12 2018 12:05:42.940.9-05:00 SW3 RM/6/RMDEBUG: DR: 4Apr 12 2018 12:05:42.940.1-05:00 SW3 RM/6/RMDEBUG: BDR: 3Apr 12 2018 12:05:42.940.2-05:00 SW3 RM/6/RMDEBUG: # Attached Neighbors: 1Apr 12 2018 12:05:42.940.3-05:00 SW3 RM/6/RMDEBUG: Neighbor: 3抓包 -

20、工具 (1)使用wireshark抓包工具，查看OSPF邻居建立过程。抓包 - 工具 (2)使用wireshark抓包工具，查看OSPF报文信息具体内容。端口镜像端口镜像是指设备复制从镜像端口流经的报文，并将此报文传送到指定的观察端口进行分析和监控。监控设备镜像端口观察端口Client 1Client 2Client 3网络设备日志以USG6330为例，支持日志与报表，当硬盘不在位时，仅能查看并导出系统日志及业务日志。硬盘不在位：硬盘在位：防火墙日志格式防火墙支持的日志格式：格式使用场景二进制格式会话日志以二进制格式输出时，占用的网络资源较少，但不能在FW上直接查看，需要输出到日志服务器查看。

21、Syslog格式话日志、丢包日志以及系统日志以Syslog格式输出时，日志的信息以文本格式呈现。Netflow格式对于会话日志，FW还支持以Netflow格式输出到日志服务器进行查看，便于管理员分析网络中的IP报文流信息。Dataflow格式业务日志以Dataflow格式输出，在日志服务器上查看。系统日志以防火墙USG6000为例，查看系统日志：选择“监控 日志 系统日志”，查看防火墙的系统日志信息。业务日志以防火墙USG6000为例，查看业务日志：选择“监控 日志 业务日志”，查看防火墙的业务日志信息。告警信息以防火墙USG6000为例，查看业务日志：选择“监控 日志 告警信息”，查看防火墙

22、的告警信息。操作系统日志以windows为例，点击“开始”，右键“计算机”，选择“管理”，选择“系统工具 事件查看器 Windows日志”，如下图：以windows操作系统为例，操作系统日志分为：系统日志应用程序日志安全日志Windows日志分类Windows系统日志类型：日志类型作用Vista/Win7/Win8/Win10/Server 2008/Server 2012存储位置系统日志记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据。%SystemRoot%System32WinevtLogsSystem.evtx应用程序日志包含由应用程序或系统程序记录的事件

23、，主要记录程序运行方面的事件。%SystemRoot%System32WinevtLogsApplication.evtx安全日志记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。%SystemRoot%System32WinevtLogsSecurity.evtxWindows日志存储位置以安全日志为例，选择“属性”，查看日志的具体信息，如下图：Windows日志事件类型日志事件类型：事件类型作用信息（Information）应用程序、驱动程序或服务的成功操作的事件。警告（Warning）不是直接的、主要的，但是会导致将来问题

24、的发生。例如，当磁盘空间不足或未找到打印机时，都会记录一个“警告”事件。错误（Error）错误事件通常指功能和数据的丢失。例如, 如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件。成功审核（Success audit）成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“成功审核”事件。失败审核（Failure audit）失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。Windows日志格式Windows

25、日志由两部分组成：头部字段和描述字段。数据监控数据分析日志分析分析工具介绍数据分析打击计算机网络犯罪的关键，是如何在计算机系统中提取和分析计算机犯罪分子留在计算机中的“痕迹”，使之成为能够追踪并抓获犯罪嫌疑人的重要手段和方法。网络中发生的重要事件都会被记录在日志中，因此，对日志的分析尤为重要。网络设备日志操作系统日志事件WhoWhenWhereHowWhat日志分析事件日志分析要点Who用户访客When时间where位置设备接口服务How有线无线VPNWhat行为设备类型资源网络设备日志分析以防火墙为例，可以通过日志，分析攻击行为。如下图，通过“威胁日志” 发现存在IP Spoof Attack，并可以获得攻击的时间，使用的协议，接收接口等信息。操作系统日志分析由于日志中记录了操作系统的所有事件，在大量的信息中快速筛选出关键信息尤为重要。Windows操作系统中可以根据需要筛选关键事件，如下图：用户登录与注销事件分析使用场景：判断哪些用户登录过操作系统。分析用户对操作系统的使用情况。事件ID：4624 登陆成功（安全日志）46