面向未来的安全运维(管理大平台)

1、面向未来的安全运维(管理大平台)The best way to predict the future is to invent it.曹鹏 技术总监 网络安全产品营销中心东软集团股份回首信息技术发展100年1880年美国工程师赫尔曼.霍勒里斯发明穿孔制表机，这种机器采用金属针穿卡接通电路，使卡上的数据记录在一个测量仪表中，是一个二进制系统，很像今天最早的数字电脑的二进制运算。随后多年的人口普查完全采用此技术节省了大量工作成本，霍勒里斯随即创建了IBM公司。1960年美洲银行设计采用“电子记录机器结算”ERMA，该银行用2年时间安装了32台ERMA计算机，可以处理近500万个支票和储蓄帐户，而以

2、前这些帐户只能依靠手工更新。1965年美国航空公司投入使用的“军刀”SABER系统，每天则处理4万次预订和2万次售票工作。信息安全的热点要持续多久过去十年的时间信息安全发展经历过了众多阶段，但是依然是当今信息化发展中的最热门话题。为什么信息安全的发展研究魅力可以持续如此之久。我们可以从事件驱动，体系驱动、合规驱动三个方面来研究信息安全的发展趋势和建设重点。Part 1 综合管理运维今天面临的挑战挑战1：技术的进步还是技术的“迷失”我们真的需要反思在过去几年，信息安全建设工作中有过什么真正了不起的超越提升吗？FW、IDS、防病毒、IPS、CA、PKI、漏洞扫描、身份认证、4A审计技术对抗技术的路

3、很难走。我们的对手呢，他们在过去的几年时间里，你想知道他们有什么了不起的飞跃吗？我们的对手技术飞跃的速度超出我们的想象系统的开机口令，即使长度到14位，最变态的口令如下：N73k_a7IUBok PrFa$=PtRcb_ z xGr*EW&2nk#cjST$=W0U*-5CHzw= ijW$i*vEXWIN系统的口令本地LMHASH算法是是7位一段存放的，最多的口令可能性为（26+ 26 +10 +15）的7次方在每秒800万次的破解速度下，只需要23天就可以把全部可能性轮循一遍。更多的口令甚至连暴力破解都不再需要了口令的本地HASH保护算法在过去几年遭受到了前所未有的破解势力冲击，安全隐患不

4、断被发现和暴光。操作系统之外，硬件设备的驱动HACK也逐渐被更多人认识到其中的可怕。20年密码攻防战很可能是以安全一方失利来谢幕告终。连传统的SSL-VPN技术都不能幸免今天我们的网络银行还有很多单位都在选择SSL-VPN作为自己的主要应用防护的加密手段，当我们正在用SSL-VPN保护自己的同时，我们真的认为这是安全的环境吗?无线网络的嗅叹轻而易举我经常在机场、酒店大堂、时尚的咖啡厅看到很多人很自在的拿着笔记本电脑在享受网络冲浪访问。很多电信运营商也在积极的推广城市热点的接入覆盖访问。但是，你有考虑过这个环境是否安全吗？挑战2：网络越来越庞大和复杂越来越多的行业用户开始建设第2张网络、部署第3

5、个出口、未来还有4个新系统要上线，可是或许安全的维护人员连5个都不到。技术与人的比例开始发展失调。挑战3：最有用的日志一直被忽视认真看过入侵检测的日志吗，每天都认真的去看入侵检测的日志吗，入侵检测之外的其他安全产品、系统、主机应用、网络设备等等呢，我们每天都会认真的去看吗？挑战4：网络流量缺少深入分析手段根据摩尔定律的技术指引，当前的网络核心流量和出口流量都保持着高速增长。但我们今天管理网络流量的技术手段依然还是SNMP和SNIFFER，缺少长期有效和细粒度的监控手段。近年来针对网络带宽进行违规占用和破坏攻击的各种安全事件层出不穷，值得引起我们的重视。挑战5：管理维护人员的“内隐患”今天服务器

6、众多，但是管理人才相对有着专一的趋势，逐渐分成网络、系统、安全、应用、开发等众多岗位角色。IT行业本身特点也使得技术人才普遍年轻，存在大量技术外包工作，使得内部管理维护的技术人员技术水平、安全意识和操作规范不统一，很容易造成系统安全隐患。传统的系统和网络设备对应的操作日志很难提供事后追查和溯源。挑战6：内部人员的安全意识淡薄随着越来越多的信息资料电子化存储，主动泄密与被动泄密事件频繁发生，移动存储与终端系统安全问题领人担忧。各种商业间谍软件，网页木马和摆渡木马事件在08年被广泛通报。由于互联网的无序传播，一份商业信息资料的泄密，有时候可能导致的后果比系统被黑或者当机一个星期还要严重的多。挑战7

7、：现在的安全管理模式防火墙IDS/IPSVPN漏洞扫描认证服务器路由器/交换机防病毒软件Windows/Solaris/UNIX收集网络拓朴信息阅读和分析海量数据操作步骤：1、报警2、调查3、防御网络运营安全运营安全知识行动总是过于迟缓挑战8： 没有中国特色的信息安全管理策略制度没有生命力没有执行力，很多策略制度没有写明白该如何去做，怎么做。管理的标准远不如技术的标准实施的容易，过于西化的标准看起来虽然严谨漂亮但未必真的适用我们。中国式的企业管理被很多人成功的应用，今天“中国式的信息安全管理”也被越来越多的人所关注。好的管理是一种成功的企业文化的延伸，管理不应该是简单的允许哪些与禁止哪些那么简

8、单。安全管理平台需要重点关注哪些问题在充分考虑各种来自外部的恶意代码的攻击威胁后，也要重视其他来自内部的安全隐患，加强权限管理，操作行为审计、骨干流量分析和统一威胁告警日志的集中分析管理功能。充分考虑到技术体系、管理体系与运维体系间的融合。符合国家关于信息安全的法律法规和各项技术要求。Part 2 管理大平台-操作行为审计管理操作行为审计的工作层面网络层：通过对于网络关键交换设备的流量进行采集，还原相关的网络层操作行为，以及进行必要的各种违规和入侵行为进行检测。系统主机层：通过在终端系统安装检测代理，实现对于终端系统的各种安全控制功能（各种操作行为控制和审计），同时对于特定操作行为进行及时告警

9、，在终端层面完成各种移动存储设备的安全管控。强大的网络访问内容审计功能可以进行多种协议HTTP、 FTP、POP3、SMTP、 IMAP、NNTP、Telnet、rsh、rlogin、MSN、Yahoo Messager、DNS等协议的回放和会话记录，便于回放资源访问的详细过程并追查攻击的来源。支持用户自定义扩充明文应用协议还原配置对于HTTP协议做到访问页面级别的还原SMTP协议还原支持POP3协议还原支持FTP协议还原支持（支持自动回放）TELNET协议还原支持（支持自动回放）IMAP协议还原支持NNTP协议还原支持DNS协议还原支持MSN（网络聊天）会话回放根据网络自身应用特点添加自定义

10、检测规则网络层与系统层审计部署优势网络层：重点部署在重要服务器区域以及关键网络出口位置，接入隐蔽不需要改变传统系统访问习惯，针对目前常用到的收发邮件，系统TELNET和FTP管理维护，轻松实现所有命令级别操作的完整还原记录。终端系统检测引擎：静默安装后台自动执行，完整控制和审计当前系统的所有操作行为并进行完整记录。可以针对特定的操作行为进行用户定制化的检测模式开发，设计人员会配合用户进行完整策略设定开发。Part 3 管理大平台-骨干流量分析技术各种异常流量问题我们其实并不陌生先说说我在震中的难忘经历4月中家乐福中国官方主页完全无法访问，其次anti-网站遭到黑客攻击无法访问，再随后美国有线电

11、视新闻网（CNN）网站4月18日报道称，该网站于17日遭到黑客袭击，公司随后采取的应对措施导致亚洲部分用户无法访问或者访问速度较慢。 “我们不知道攻击者是谁，也无法确认他们来自哪里，”典型声明均这样表示。今天的攻击者很聪明。过去的经典武器SNIFFER过去的经典武器SNMP全新的数据采集协议NETFLOW优势网络流量分析与响应系统NTARS把运维重点从有形资产扩大到无形资产上：正常核心网络的业务流量情况分析DOS/DDOS攻击大规模爆发的蠕虫病毒流量基线和流量阀值基线描述了正常情况下目标链路的流量分布和变化规律：基线功能可以通过对一个指定时间周期内各项流量图式指标的定义(如总体网络流量水平、流

12、量波动、流量跳变等)，建立流量异常监测的基础模型，并可在运行中不断自我修正以完成与实际运行特征的吻合，从而提高对异常流量报警的准确性。流量阀值则直接定义了目标链路中流量异常的情况：当指定范围内的流量指标超过该阀值时，系统则判定网络中出现流量异常，并作出报警和安全响应。bps和pps在不同的DDOS类型中表现出不同的统计特征：当攻击以消耗带宽为特征，需要主要参考bps的变化曲线；主要以UDP和ICMP作为承载协议。当攻击以消耗服务器的处理资源，需要主要参考pps的变化曲线；主要以TCP和特殊的UDP(比如DNS 递归查询)作为承载协议。异常报警示例正常流量是多少/异常发生时是多少/异常持续了多久

13、优异的性能产品型号NTARS 6800产品形态软硬一体化设计构成单元Controller + Collector管理界面B/S、SSH端口配置1*10/100/1000Base_Tx Flow采集/管理端口1*10/100/1000Base_Tx 应用层深度检测端口系统扩展能力1*GE合同用户访问端口1*GE系统管理专用接口1*GE应用层深度检测接收端口安全存储增强模块(数据容灾、容量扩展)可选接口板卡千兆以太多模/单模接口板卡Flow分析100,000 Records/sFlow转发2,000,000 Records/s深度检测能力GE端口100%线速最大并发会话2,000,000NTARS

14、6800的处理能力为100,000 flow/s，平均包长以384字节计算，以1000:1抽样，最高可以处理流量为307.2G bps；以500:1抽样，最高处理流量为153.6G bps。自动化的响应机制ICA智能调度自动溯源定位黑洞路由注入可疑流量牵引：引导流量接受进一步处理QoS调整及流量整形：优先满足关键业务需求响应机制 之 流量牵引及净化NTars可通过BGP或CLI等方式向路由器注入策略路由，将可疑流量从正常路由路径中剥离出来并将之送入深度分析/过滤模块(如FW、IPS、NTPG)，净化后的流量将由过滤模块再次送入正常路由路径中AS 65500AS 65000AS 64500EBG

15、PEBGPASD 路由注入C专项过滤设备引导流量B 检测命中IBGP净化流量历史的借鉴都江堰近代新增的水闸在鱼嘴限流的基础上做到了对内江水流的阻断鱼嘴是古代限制水流的核心，将泛滥的洪水分为“内三外七”，彻底解决了洪水泛滥的问题如何打造网络世界的“都江堰”？垃圾桶未来网络世界的“都江堰”NTARSPart 4 管理大平台-IT运维管理平台有趣的海因里希安全法则 1941年美国的安全工程师海因里西对55万件机械事故进行统计，其中死亡、重伤事故1666件，轻伤48334件，其余则为无伤害事故。从而得出一个重要结论，即在机械事故中，死亡或重伤、轻伤和无伤害事故的比例为1：29：300，国际上把这一法则

16、叫事故法则。把这一法则推广到安全管理领域中就是：每发生330个事件告警中，有300件为疑似，29件就可能是真实的攻击，而就会有1次攻击给你的系统带来真正的威胁或者造成破坏。有趣的海因里希安全法则这个法则是对于不同的行业，比例关系不一定完全相同，但这个统计规律说明了海量安全事件中，偶然性与必然性的关系。而要防止重大事故的发生必须减少和消除无伤害事故，重视事故的苗头和未遂事故，否则终会酿成大祸。其中有一个实例：某机械师企图用手把皮带挂到正在旋的皮带轮上，因未使用拨皮带的杆，且站在摇晃的梯板上，又穿了一件宽大长袖的工作服，结果被皮带轮绞入碾死。事故调查结果表明，他这种上皮带的方法使用已有数年之久。查

17、阅四年病志(急救上药记录)，发现他有33次手臂擦伤后治疗处理记录，他手下工人均佩服他手段高明，结果还是导致死亡。这一事例说明，重恶性事故有一定的偶然性，但不安全因素在事故发生之前已暴露过许多次，如果在事故发生之前，抓住时机，及时消除不安全因素，许多重大伤亡事故是完全可以避免的。 IT运维管理平台的任务使命首先避免了一个人成为安全事件处理的瓶颈，将所有的安全事件统一收集到一个大平台之中，利用程序化流程代替了传统管理的单一人员负责制。其次利用高效先进的计算能力，将单纯的人员经验分析用先进的数据库和计算公式取代，使得我们对于关键问题和主要变化趋势把握的更为清晰。最后将过去只能停留在纸面的运维思想真正

18、的运转起来，为实现先进的PDCA的信息系统管理完成最重要的基础。IT运维管理平台的体系结构资产管理资产管理参照国内相关标准（如：信息系统安全等级保护规范）中关于资产管理的要求，实现资产登记、资产的所有权、资产的分类、标识和处理，并结合组织的特殊情况进行调整；也可参照国际相关标准（如：ISO 17799）来划分和标识资产。资产信息的录入可通过自动发现、人工录入和第三方导入等方式实现。资产价值按照信息系统所属类型、业务信息所属类型、信息系统服务类型、业务系统依赖程度四个属性来定义。资产管理是信息安全风险管理的重要基础，它建立了统一的分析平台判断依据，从根本上解决了传统威胁事件管理的不足。资产管理排

19、版说明：安全信息监控对各类安全信息进行收集、分析、归并处理，根据安全信息的紧急程度并结合资产价值进行集中告警。安全信息监控的对象至少包括了路由器、交换机、防火墙、IDS、漏洞扫描设备、主机系统、服务器系统等。其功能是根据安全信息收集策略中定义的信息位置、类型和内容进行信息收集，并根据定义的信息传输目的地对收集的信息进行传输。NetEye IT运维管理平台通过SNMP Trap、SYSLOG、ODBC/JDBC、HTTP/XML、文件以及其他扩充协议等方式从网络设备、安全设备、主机系统等多种数据源收集安全信息，经过过滤、汇总和关联分析后，标识其紧急程度，一方面以规定的格式存储到数据库内，另一方面

20、以多种方式实时响应。提供了界面显示报警、 短信息、E-mail、SYSLOG、SOAP、与防火墙互动等多种响应方式。运维事件管理强大的网络监控管理功能脆弱性管理IT运维管理平台支持多种第三方扫描器。系统内置NetEye漏洞库、CVE漏洞库、bugtraq漏洞库。IT运维管理平台系统可以定制驱动扫描器来获取脆弱性信息，管理员也可以手动驱动扫描器。定期主动发现脆弱性问题，并与资产状态和威胁事件相互关联，使得安全风险的展示更为准确有效。风险管理风险管理主要是把当前IT运维管理平台所监控的网络中所存在的风险以宏观的方式呈现给用户，让用户对网络中所出现的问题有一个初步的了解。风险管理主要功能有：区域地理

21、图、安全趋势图、历史统计图、安全事件列表、安全信息雷达图、资产信息列表等功能。告诉管理员每天最应该处理做的事情有哪些，如果在繁忙的工作期内快速合理的安排自己的工作。风险管理工单流程，每个管理员只能操作与自己关联的工单安全策略管理控制整个平台的配置策略，指导平台如何运作，并根据运行状况不断调整策略。策略管理分为：资产信息管理策略、日志信息收集策略、日志信息分析策略、安全信息分析策略、脆弱性信息分析策略、安全事件处理策略，安全知识管理策略、安全状况评估策略。 该分析工具支持安全事件的横向关联分析，即可以根据同一时间里，发生的安全事件进行聚并。支持安全事件的纵向关联分析，即可以根据安全事件发生的因果

22、关系，进行逻辑上关联分析。具备自定义网络攻击行为功能，可以通过可视化的流程图定义某种网络攻击行为。报表报表提供五大类十三种报表，同时用户可以自定义报表。用户可以分别生成安全域类报表、资产类报表、脆弱性类报表、安全事件类报表、工单报表。安全运维平台的硬件构成：应用服务器；数据库服务器； 收集代理； “运维管理平台”不同于传统产品的特殊要求除了IT运维管理平台产品本身提供的全面功能外，充分考虑用户的业务应用，并为之提供相应的安全服务和解决方案。IT运维管理平台产品不是传统安全产品的延伸，更多是管理体系的技术升华，IT运维管理平台是伴随用户网络一起成长与发展的核心应用业务系统。所以对于厂商的门槛是非

23、常高的。产品后续的研发升级，知识库维护，配套安全服务，对厂商的生存能力提出了苛刻的需求，而东软持续发展的理念正是我们最强有劲的保障。自主研发的安全产品，每一行代码都是自己开发的，相对一些采用OEM方式走快速化发展的厂商来说，东软的厚积薄发值得用户信赖。Part 5 安全之道 东软以人为本安全是个管理问题装修后房间需要换锁吗我们来看几个中国式管理谁来管下面谁来管上面谁来管同事怎么管我们的需求是什么，用什么面向未来技术的升级再快，也无法超越自身搏弈的尴尬。“傻瓜化”是当前信息安全的一个盲区，我们都希望可以设计出一种“傻瓜化”“一老永逸”的安全产品，不用自己承担责任后果的安全体系。不要小看技术对抗，

24、正确的引导这种对抗，可以大大增加信息安全项目的实际功效。用新更要用心做好“安全”，才是面向未来的真正安全运维。东软公司一边不断创新最为国内最早进入防火墙领域的厂商，东软连续12年持续为防火墙系统注入新的技术诠释与生命活力。我们根据入侵行为的真正特点，为入侵检测系统真正实现了真正意义上的完整审计。对于令人最为头疼的骨干网络拒绝服务攻击行为，我们在网通骨干系统实地扎根一年，研发设计出了国内首套异常流量分析与响应系统，目前已经更新到V4版本。面对国内用户的海量的告警信息处理难与管理到位难，我们结合东软公司多年的企业实战经验设计出了安全运维管理平台。我们一边更加用心为了更好的支持国家重点行业奥运安全保

25、障工作，我们为各行业用户技术人员免费培训上千人。安全项目的验收不以安全产品的部署到位网络调通为结束、而是以解决真正的安全问题为项目的验收点。我们为所有的用户编写提供的不仅是产品使用说明书，我们提供更为详细的产品安全功能操作与安全事件判定手册。东软NetEye全系列安全产品和安全服务NetEye SOC 安全运维平台NetEye Firewall 防火墙NetEye VPN 虚拟专用网NetEye IDS 入侵检测系统NetEye 审计系统NetEye NTars 流量分析与响应系统NetEye IPS 入侵防御系统NetEye NTPG 流量净化网关NetEye 专业安全服务NetEye东软安全服务团队介绍沈阳东软集团软件园东软全国性的安全服务团队组成分布东软公司安全服务团队有如下部门组成：安全服务技术部：共有在职员工70人主要负责支持全国用户的各种安全服务需求，属于一线工程师队伍，完全实现本地化部署。北京安全研究实验室：共有30人，主要负责各种恶意代码分析，长期追踪研究国内外攻防最新技术。安全解决方案技术支持队伍：共有10人，为重点用户提供各种应急响应技术解决方案，长期作为重点行业用户的服务直接接口人。IT服务部门：拥有众多IT认