信息系統(tǒng)安全方案課件

信息系統(tǒng)安全方案CiscoSystems,Inc.目錄信息系統(tǒng)網(wǎng)絡現(xiàn)狀和發(fā)展趨勢SOX符合性對信息系統(tǒng)控制的要求思科網(wǎng)絡準入控制方案(NAC2)思科終端安全防護方案安全信息管理CS-MARSOA網(wǎng)G網(wǎng)網(wǎng)管C網(wǎng)網(wǎng)管信息系統(tǒng)網(wǎng)絡業(yè)務生產(chǎn)網(wǎng)網(wǎng)絡管理計費采集MSCRNCHLRATM網(wǎng)網(wǎng)管G/C計費VoIP網(wǎng)管增值計費VC計費193計費信息系統(tǒng)承載平臺現(xiàn)狀MSCBSCHLR193G網(wǎng)C網(wǎng)VoIPVC165信息化系統(tǒng)的發(fā)展趨勢逐步由后臺的業(yè)務支撐成為業(yè)務生產(chǎn)運營的核心信息化應用系統(tǒng)是聯(lián)通生產(chǎn)運營的樞紐環(huán)節(jié)，強調(diào)經(jīng)營數(shù)據(jù)的集中與整合分布式信息采集、集中式經(jīng)營決策分析和風險控制要求技術和管理體制的垂直化CRM計費及結(jié)算系統(tǒng)營業(yè)及帳務系統(tǒng)經(jīng)營分析系統(tǒng)信息系統(tǒng)DCN業(yè)務支撐網(wǎng)絡BSS系統(tǒng)MSS\OSS系統(tǒng)綜合網(wǎng)管系統(tǒng)決策支持系統(tǒng)企業(yè)應用集成內(nèi)部門戶客戶服務系統(tǒng)其他（OA、財務、人力咨詢…）不斷的外延埃森哲建議的聯(lián)通總部和省份信息系統(tǒng)總體架構(gòu)BSSMSS/ERPOSSCRM合作伙伴關系經(jīng)營分析企業(yè)外部門戶綜合結(jié)算綜合采集企業(yè)內(nèi)部門戶企業(yè)決策支持ERP集成訂單管理綜合生產(chǎn)調(diào)度企業(yè)協(xié)同辦公綜合資源管理專業(yè)綜合網(wǎng)管IT網(wǎng)管CRM(融合呼叫中心)合作伙伴關系經(jīng)營分析企業(yè)外部門戶綜合結(jié)算綜合采集企業(yè)內(nèi)部門戶企業(yè)決策支持ERP集成訂單管理綜合生產(chǎn)調(diào)度企業(yè)協(xié)同辦公綜合資源管理專業(yè)綜合網(wǎng)管IT網(wǎng)管綜合計費帳務服務開通管理綜合故障管理綜合服務質(zhì)量總部省份網(wǎng)絡規(guī)劃和設計網(wǎng)元設備/EMS網(wǎng)元設備/EMS用戶信用控制，綜合經(jīng)營分析，統(tǒng)一客戶服務體驗等集中應用部署需要數(shù)據(jù)中心的整合。薩班斯、內(nèi)控、經(jīng)營數(shù)據(jù)本身的重要性要求整個系統(tǒng)提供綜合性的技術安全機制（內(nèi)部互訪、對外互聯(lián)、終端、服務器）降低建設、維護成本同時提高對集中應用部署支持能力和系統(tǒng)安全控制能力要求整合信息系統(tǒng)承載平臺整合驅(qū)動因素目錄信息系統(tǒng)網(wǎng)絡現(xiàn)狀和發(fā)展趨勢SOX符合性對信息系統(tǒng)控制的要求思科網(wǎng)絡準入控制方案(NAC2)思科終端安全防護方案安全信息管理CS-MARS薩班斯法案對企業(yè)持續(xù)管控的要求2006年7月15日起，薩班斯法案正式生效。從這一天開始，包括中國內(nèi)地44家企業(yè)在內(nèi)的所有在美上市公司必須嚴格遵守薩班斯法案.“薩班斯-奧克斯利法案”(Sarbanes-Oxley)指2002年6月18日美國國會參議院銀行委員會以17票贊成對4票反對通過由奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出的會計改革法案《2002上市公司會計改革與投資者保護法案》。這一議案由布什總統(tǒng)在2002年7月30日簽署成為正式法律，稱作《2002年薩班斯-奧克斯利法案》?！八_班斯法案”的Section302andSection404對在美上市公司和即將在美上市的公司提出信息系統(tǒng)管控能力的要求。其中404章要求證券交易委員會出臺相關規(guī)定，所有除投資公司以外的企業(yè)在其年報中都必須包括：（1）管理層建立和維護適當內(nèi)部控制結(jié)構(gòu)和財務報告程序的責任報告；（2）管理層就公司內(nèi)部控制結(jié)構(gòu)和財務報告程序的有效性在該財政年度終了出具的評價。法案要求管理層的內(nèi)部控制年報必須包括：（1）建立維護適當公司財務報告內(nèi)部控制制度的管理層責任公告/聲明；（2）管理層用以評價內(nèi)部控制制度的框架的解釋公告/聲明；（3）管理層就內(nèi)部控制制度有效性在該財政年度終了出具的評價；（4）說明公司審計師已就（3）中提到的管理層評價出具了證明報告。公司的CEO和CFO們不僅要簽字擔保所在公司財務報告的真實性，還要保證公司擁有完善的內(nèi)部控制系統(tǒng)，能夠及時發(fā)現(xiàn)并阻止公司欺詐及其他不當行為。若因不當行為而被要求重編會計報表，則公司CEO與CFO應償還公司12個月內(nèi)從公司收到的所有獎金、紅利或其他獎金性或有權益酬金以及通過買賣該公司證券而實現(xiàn)的收益。有更嚴重違規(guī)情節(jié)者，還將受嚴厲的刑事處罰。

薩班斯法案針對的對象財務BSSOSS系統(tǒng)ERP系統(tǒng)人力資源/OA/其他薩班斯是一部會計法案主要針對財務系統(tǒng)實際上今日財務報表的處理大多由信息系統(tǒng)IT提供處理與執(zhí)行財務系統(tǒng)與信息系統(tǒng)更緊密地結(jié)合，對涉及財務的交易進行初始化、授權、記錄、處理和編制報表IT控制的重要意義對全球300多家企業(yè)的調(diào)查表明，管理者認為IT控制對SOX符合性具有極其重要的意義信息系統(tǒng)在IT管控過程中存在的普遍問題關鍵業(yè)務流程的程序、策略和紀錄沒有電子信息化，業(yè)務流程缺乏IT控制集成內(nèi)部信息逾權訪問業(yè)務員工可以訪問后臺數(shù)據(jù)庫、操作系統(tǒng)業(yè)務員工可以訪問過多業(yè)務系統(tǒng)應用開發(fā)和數(shù)據(jù)庫管理員能夠訪問業(yè)務系統(tǒng)網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫等基礎架構(gòu)自身沒有安全加固終端接入沒有控制：對于接入公司內(nèi)部網(wǎng)的設備沒有全局的登錄認證機制，導致非法設備接入并能訪問業(yè)務系統(tǒng)。沒有強制執(zhí)行全局安全策略：沒有全局的自動手段檢查策略執(zhí)行的有效性，缺少智能化的全網(wǎng)安全策略部署軟硬件，導致統(tǒng)一制定的安全策略成為空談，各自為政。例如防病毒，防火墻規(guī)則、軟件補丁、密碼管理。信息控制層面臨的具體技術問題業(yè)務間網(wǎng)絡層面的信息控制技術問題包涵兩個大方面如何明確終端和服務器的分類來劃分安全域。各個安全域內(nèi)部的信息控制策略，各個安全域邊界的信息控制策略。網(wǎng)絡域：信息系統(tǒng)承載網(wǎng)，是安全域的承載子域。信息控制重點是進行各專業(yè)系統(tǒng)的網(wǎng)絡隔離與邊界防護并保障網(wǎng)絡性能系統(tǒng)域：核心業(yè)務邏輯服務器、數(shù)據(jù)庫服務器，是信息系統(tǒng)的核心子域。信息控制重點是防非法訪問、防逾權訪問、防信息篡改和防數(shù)據(jù)丟失。服務域：各業(yè)務的界面服務器，為信息系統(tǒng)提供公共服務，是整個系統(tǒng)的信息交換域。系統(tǒng)域和終端域不能直接互訪，由服務域提供內(nèi)、外部門戶、安全認證、事件管理、策略管理、補丁管理等服務，是信息系統(tǒng)的公共子域。信息控制重點是防非法訪問、防信息篡改。終端域：各類客戶端和維護終端，是信息系統(tǒng)的公眾子域。信息控制重點是終端準入控制、終端接入的認證和審計、安全策略符合性檢查。安全域劃分及信息控制重點系統(tǒng)域、服務域、終端域、網(wǎng)絡域邏輯關系示意系統(tǒng)域（業(yè)務邏輯、數(shù)據(jù)庫）內(nèi)部網(wǎng)絡認證網(wǎng)關網(wǎng)絡域MPLSVPN綜合終端漫游終端專業(yè)終端維護終端銀行系統(tǒng)終端服務域（界面服務器）終端域系統(tǒng)域服務域外部網(wǎng)絡認證網(wǎng)關互聯(lián)網(wǎng)漫游終端合作營業(yè)廳終端防火墻服務域與系統(tǒng)域之間通過防火墻控制互訪業(yè)務專用終端直接通過MPLSVPN訪問服務域維護專用終端通過MPLSVPN訪問服務域和系統(tǒng)域綜合終端須經(jīng)過內(nèi)部網(wǎng)絡認證網(wǎng)關訪問服務域銀行系統(tǒng)網(wǎng)絡通過防火墻訪問服務域在外網(wǎng)的漫游終端和合作營業(yè)廳須通過全網(wǎng)集中設置的外部網(wǎng)絡認證網(wǎng)關訪問服務域在內(nèi)網(wǎng)的漫游終端須通過內(nèi)部網(wǎng)絡認證網(wǎng)關訪問服務域與銀行系統(tǒng)的網(wǎng)絡出口及互聯(lián)網(wǎng)出口應集中到省會防火墻互聯(lián)網(wǎng)FEFE數(shù)據(jù)中心營業(yè)辦公區(qū)外部網(wǎng)絡DCN信息控制策略-終端準入控制合作伙伴NAC終端準入控制互聯(lián)網(wǎng)FEFE數(shù)據(jù)中心營業(yè)辦公區(qū)外部網(wǎng)絡DCN防火墻安全控制，保護內(nèi)網(wǎng)網(wǎng)段IDS檢測異常數(shù)據(jù)流量，發(fā)現(xiàn)危險網(wǎng)段信息控制策略-域間準入控制IPSECVPNSSLVPN連接互聯(lián)網(wǎng)安全vpn網(wǎng)關、防火墻安全控制，保護內(nèi)網(wǎng)網(wǎng)段合作伙伴互聯(lián)網(wǎng)FEFE數(shù)據(jù)中心營業(yè)辦公區(qū)外部網(wǎng)絡DCN信息控制策略-局域網(wǎng)絡控制MAC地址綁定廣播風暴控制DHCP檢查ARP檢查BPDU防范MAC地址綁定廣播風暴控制BPDU防范合作伙伴互聯(lián)網(wǎng)FEFEACLuRPFICMP限速防DOS攻擊數(shù)據(jù)中心營業(yè)辦公區(qū)外部網(wǎng)絡DCNACLuRPFICMP限速信息控制策略-網(wǎng)絡異常控制合作伙伴目錄信息系統(tǒng)網(wǎng)絡現(xiàn)狀和發(fā)展趨勢SOX符合性對信息系統(tǒng)控制的要求思科網(wǎng)絡準入控制方案(NAC2)思科終端安全防護方案安全信息管理CS-MARS什么是思科網(wǎng)絡安全準入控制（NAC）？思科?網(wǎng)絡準入控制（NAC）是由思科領導的行業(yè)項目，主要用于限制各種新興安全威脅所造成的傷害在NAC中，可以只允許符合要求的可信端點設備（如PC、服務器和PDA等）訪問網(wǎng)絡，并限制不符合要求的設備訪問網(wǎng)絡NAC旨在大幅度提高網(wǎng)絡識別、抵御和適應威脅的能力NAC是思科自防御網(wǎng)絡計劃的第一個階段正確的方式:NetworkAdmissionControl附加檢查策略: Identity WindowsXP ServicePack2 CTA2.0 Anti-Virus PatchManagementChuck:Sales我是合法身份用戶Windows2000NoServicePackNoAnti-VirusNoPatchManagementRemediationServer被隔離QuarantinePostureServersDirectoryServerNAC設計的SOX符合性NAC的安全架構(gòu)設計NAC安全架構(gòu)首次實現(xiàn)了IT系統(tǒng)整體協(xié)作的安全NAC安全架構(gòu)有效集成聯(lián)合了多層面的防護系統(tǒng)，包括：網(wǎng)絡接入安全、用戶認證、終端安全NAC安全架構(gòu)構(gòu)建了縱深防御的安全防護體系SecurityArchitectureItGovernanceDataCenterConsolidationERPConsolidationNAC涵蓋多項安全防護需求NAC安全框架的主要功能一體化的網(wǎng)絡安全準入控制策略，能幫助企業(yè)克服下列問題：安全策略實施安全狀態(tài)的評估訪問控制系統(tǒng)安全管理NAC安全框架的關鍵特性實施設備的安全準入策略為用戶提供合適的資源訪問包括終端系統(tǒng)的安全監(jiān)視軟件系統(tǒng)的安裝防止敏感信息和數(shù)據(jù)的泄漏收集、分析和管理IT信息實施NAC對SOX符合性的好處CiscoNACaddressesCOBITcontrols:集中化的網(wǎng)絡安全準入管理安全整體的IT架構(gòu)設計基于角色的訪問管理擴展的、細粒度的訪問控制實時監(jiān)控CISCONAC是遵循SOX符合性設計的安全架構(gòu)滿足IT內(nèi)控中多方面的安全需求思科網(wǎng)絡準入控制方案

兩套網(wǎng)絡準入控制解決方案定位分析NETWORKACCESSDEVICEAUTHENTICATIONPOLICYENFORCEMENTDISCOVERYREMEDIATIONNACApplc.AgentACSAUTHENTICATIONENFORCEMENTDISCOVERYPOLICYREMEDIATIONNETWORKACCESSDEVICECiscoTrustAgentNACFRAMEWORKNACAPPLIANCENACFramework:

全網(wǎng)部署思科網(wǎng)絡設備、兼容Dot1X認證、由第三方產(chǎn)品提供端點分析以及升級服務、建議與主機安全防護解決方案捆綁銷售推廣（CSA）。實施設備要求簡單：最低配置僅需要ACS4.0。NACAppliance:

適用于多廠商環(huán)境、綜合用戶身份認證、端點分析以及補丁升級服務于一體的安全解決方案，組網(wǎng)必須要求CAM/CAS服務器。無需網(wǎng)絡設備支持DOT1X特性。配置簡單實施難度低適用范圍廣！ENFORCEMENTCAS/CAMCiscoCleanAccessComponents

瘦Client管理模式由CAM管理CASCiscoCleanAccessServer(CAS)->NACApplianceServer(NAS)Servesasanin-bandorout-of-banddevice

fornetworkaccesscontrolCiscoCleanAccessManager(CAM)->NACApplianceManager(NAM)集中管理控制Centralizesmanagementforadministrators,supportpersonnel,andoperatorsCiscoCleanAccessAgent（客戶端軟件）Optionallightweightclientfordevice-basedregistryscansinunmanagedenvironmentsRuleSetUpdatesScheduledautomaticupdatesforanti-virus,criticalhotfixesandotherapplicationsNetworkAccessDeviceCiscoCleanAccessAgent(optional)LDAP,RADIUS,NTLM,KERBNACAppliance相關重要組件及功能描述98,ME,2000,XPCleanAccessManagerHostCleanAccessServer(scanning,remediation)SSLIntegrationw/AD,RADIUS,LDAP,Kerberos,etc.AuthServerPolicyandremediationCASOOBSwitches(2940,2950,2960,3550,3560,3750,4500,6500)CASIB模式支持多廠家環(huán)境VPNConcentrators(3K,ASA,ISR/IOS,WebVPN)SSLSNMPCiscoSecurityAgent(opt.)OS

SecurityApps

THEGOALIntranet/

NetworkCiscoCleanAccess認證流程概述2.Useris

redirectedtoaloginpageCleanAccessvalidatesusernameandpassword,alsoperformsdeviceandnetworkscanstoassessvulnerabilitiesonthedeviceDeviceisnoncompliant

orloginisincorrectUserisdeniedaccessandassigned

toaquarantinerolewithaccesstoonlineremediationresources3a.QuarantineRole3b.Deviceis“clean”Machinegetson“certifieddeviceslist”andisgrantedaccesstonetworkCiscoClean

AccessServerCiscoCleanAccessManager1.EnduserattemptstoaccessaWebpageorusesanoptionalclientNetworkaccessisblockeduntilwiredorwirelessenduserprovideslogininformationAuthenticationServerCiscoCleanAccess解決方案實現(xiàn)方法要點總結(jié)CCA可以使用兩種機制來對于客戶機的健康狀態(tài)進行檢測：NetworkScanning1、集成第三方脆弱性掃描工具實現(xiàn)對于客戶端的健康狀態(tài)檢查，基于檢查結(jié)果對于客戶機采取相應的準入控制策略。此方法部署簡單，無需客戶端安裝其他檢測程序?？蛻舳税惭bOptionalAgent（CCAAgent)1、由CCAAgent收集客戶機相關信息（Hotfix/AV/Anti-spware…),來確定主機的健康狀態(tài)?；跈z查結(jié)果對于客戶機采取相應的準入控制策略。2、此方式可以與NetworkScanning集成使用，兩者同時啟用的情況下，認證為邏輯AND的關系，基于兩者檢查結(jié)果對于客戶機采取相應的準入控制策略。CCA功能組件的具體分工(CAM/CAS/CCAAgent)：CAM：CAM部署策略，集中管理CAS，接受來自CAS的用戶檢查報告并且進行分析，告知CAS用戶的健康狀況。CAS:接受CAM的管理，攔截用戶HTTP請求重新定向、進行NetworkScanning、收集CAAAgent信息等功能，并且發(fā)送給CAM分析。根據(jù)CAM檢查結(jié)果，對于接入用戶分配ACL限制，或者利用SNMP方式通知交換機對于用戶進行相應的VLAN分配操作。CCAAgent:CCAAgent收集客戶機相關信息（Hotfix/AV/Anti-spware…),Providesbuilt-insupportfor24AVvendorsand17ASvendorsCASFoundation:VirtualGateway&RealIPGatewayCleanAccessServersatthemostbasiclevelcanpasstrafficinoneoftwoways:BridgedMode=VirtualGatewayRoutedMode=RealIPGateway/NATGatewayAnyCAScanbeconfiguredforeithermethod,butaCAScanonlybeoneatatimeGatewaymodeselectionaffectsthelogicaltrafficpathDoesnotaffectwhetheraCASisinLayer2mode,Layer3mode,InBandorOutofBandCASFoundation:InBand&OutofBandCleanAccessServershavetwotrafficflowdeploymentmodelsInBandOutofBandAnyCAScanbeconfiguredforeithermethod,butaCAScanonlybeoneatatimeSelectionisbasedonwhetherthecustomerwantstoremovetheCASfromthedatapathCASisALWAYSinlineduringPostureAssessmentIn-BandandOut-of-Band區(qū)別及應用定位

In-BandOut-of-BandEnvironmentsWireless,sharedmedia,VoIPphones,etc.Fastcoreswitchinginfrastructures;highthroughputrequirementsNACEnforcementPointCiscoCleanAccessServerin-bandCiscoCleanAccessServerwithauthentication/quarantineVLANQuarantineBasedonaccesscontrollist(ACL)BasedonVLANSwitchesSupportedSwitchesfromanyvendorCiscoCatalyst?2900,2940,2950,3500,3550,3560,3750,4500,and6500switchesAsingledeploymentcancontainbothin-band(e.g.forwireless)andout-of-band(e.g.forwired)CleanAccessServersEndUserExperience:WithCCAAgent4.LoginScreenScanisperformed(typesofchecksdependonuserrole)ScanfailsRemediateACSv4.0RemediationServerDirectoryServerAnti-VirusServer后臺服務器PostureValidationServersAuditServerCS-MARSNACFrameworkDeploymentArchitecture思科網(wǎng)絡接入設備接入方式LANRemoteWANAny策略服務器決策點網(wǎng)絡接入設備網(wǎng)絡準入控制（NAC）NACFramework方案:增強基于端點安全的準入控制思科ACS

服務器反病毒供應商服務器試圖通過網(wǎng)絡訪問主機思科信任代理RADIUS2訪問設備用RADIUS轉(zhuǎn)送證書到策略服務器(ACS)2HTTPS3策略服務器驗證用戶名和密碼傳遞反病毒信息以反病毒供應商的服務器34反病毒供應商服務器反饋是否符合安全要求的信息45策略服務器將訪問權限和VLAN分配反饋給訪問設備56訪問設備接受權限，增強策略，并通知客戶端:(允許、拒絕、限制或隔離)767EAP1主機采EAP（UDP或802.1x)數(shù)據(jù)包向訪問設備送出證書1SwitchPlatforms

重點部署模式平臺兼容性：L2IP及L2802.1XPlatform,SupervisorOSNACL2802.1xNACL2IPNACL3IPNACAgentlessHost6500–Sup32,720NativeIOSFuture2.0Future2.0(NACL2IP)6500–Sup2NativeIOSFutureNoNoFuture6500–Sup32,720Hybrid2.02.0Future2.0(NACL2IP)6500–Sup2Hybrid2.02.0No2.0(NACL2IP)6500–Sup2,32,720CATOS2.02.0No2.0(NACL2IP)4000Series–Sup2+,3-5IOS2.02.0Future2.0(NACL2IP)3550,3560,3750EMI,SMI2.02.0No2.0(NACL2IP)2950,2960EI,SI2.0NoNoNo2940,2955,2970All2.0NoNoNo6500–Sup1AAllNoNoNoNo5000AllNoNoNoNo4000/4500CATOSNoNoNoNo3500XLAllNoNoNoNo2900XMAllNoNoNoNoStrongNACPartnerProgram

ANTIVIRUSREMEDIATIONCLIENTSECURITYAUDIT目錄信息系統(tǒng)網(wǎng)絡現(xiàn)狀和發(fā)展趨勢SOX符合性對信息系統(tǒng)控制的要求思科網(wǎng)絡準入控制方案(NAC2)思科終端安全防護方案安全信息管理CS-MARSCSA端點安全可以幫助你做什么？統(tǒng)計PC上安裝了哪些應用程序：例：CSA能統(tǒng)計機器上都安裝了哪些應用程序，以及安裝的版本。如是否安裝了BT等軟件。調(diào)查應用程序的運行情況：例：CSA能統(tǒng)計哪些應用程序在運行，并生成相應的報表。禁止安裝某些應用程序、禁止運行某些應用程序：例：CSA能夠禁止PC運行不符合公司策略的應用程序，如BT，IM。保護敏感數(shù)據(jù)，不允許復制、拷貝：例：被保護的文件可以打開閱讀，但是不能復制，無論是復制文件或文件夾，都不允許，也不能從文件中拷貝、粘貼內(nèi)容出來，所以是非常好的防止機密信息泄漏的方法。禁用USB等移動設備：

Ex：USB、光驅(qū)等各種可移動設備，常常是引入病毒、風險的入口。CSA可以設定不允許使用PC上的這些設備，或者只能看設備上有什么內(nèi)容，但是不允許讀。只有當管理員授權時，才能使用和訪問。統(tǒng)計并能夠限制應用程序?qū)W(wǎng)絡使用、中央集中控管、報警、報表CSA結(jié)合NAC能提供非常強大的終端控管功能，CSA還能配合IPS減少誤報率，作為HOSTIDS還能夠?qū)⑿畔蠼oMARSCSAApproach:

BehavioralProtectionforEndpointsTarget12345探測進入持續(xù)傳播發(fā)作Ping地址掃描端口猜測用戶帳號猜測郵件用戶郵件附件緩沖區(qū)溢出ActiveX控制網(wǎng)絡安裝壓縮消息猜測后門創(chuàng)建新的文件修改現(xiàn)有文件弱化注冊表安全設置安裝新的服務設置陷阱后門攻擊的郵件副本W(wǎng)eb連接IRCFTP感染文件共享刪除文件修改文件設置安全漏洞導致計算機崩潰拒絕服務竊取機密快速變異持續(xù)特征更新不準確的注重于漏洞

危害大

注重于exploit

變化非常緩慢

思科安全代理解決方案的靈感

Manypointswhenand

attackcouldbestoppedThemoredefensepoints,

thebetterTheearliertheattackis

stopped,thebetter–beforeit

reachestheendpointisbestCorrelationHTTP(80)CONNECT()SystemCallBrowserOPEN(WRITE)SystemCallDownloadedContentPort6667CONNECT()SystemCallMaliciousbehaviorismostaccuratelyidentifiedincontext.CiscoSecurityAgentcorrelationdoesthisautomatically–noconfigurationrequired.ModifyRegistryRunKeysOpenCommandShellOverwriteSystemFilesCiscoSecurityAgentConsolidatesMultipleEndpointProductsOnlyoneagenttopurchaseOnlyoneagenttodeployOnlyoneagenttomanageNosignaturestotestanddeployExtensibleCapability=InvestmentProtection

SingleAgentProtection=IncreasedROIDesktopProtection:DistributedFirewallDayZeroVirus/WormProtectionCheckingApplicationsecurityPolicyEnforcementServerProtection:Host-basedIntrusionPreventionDayZeroVirus/WormProtectionOperatingSystemHardeningWebServerProtectionSecurityforotherapplicationsCSAArchitectureCSAMCServerAgentServerAgentSNMPTrapsCustomProgramsLocalFilePolicyUpdatesAlertsPolicyiscentrallydefinedatCSAMCAgentsenforcepolicylocally,connectedornotAllcommunicationsviaHTTPandSSLBrowser-basedManagementGUIConfigurationReports,EventsVMSSecMon/OtherMonitoringAppsDesktopAgentDesktopAgentDesktopAgentDynamicStatesusingNACCSAVersion:5.0CSAMC:CSA.CISCO.COMCSAState:HEALTHYNACPosture:HEALTHYCSAVersion:5.0CSAMC:CSA.CISCO.COMCSAState:TESTMODEONCSAState:REMEDIATENACPosture:REMEDIATEDynamicPolicyChangeNormalPolicyACSTrustedBootBIOSUpdateNoCSArunningNACPosture:QUARANTINECSAState:INSECUREBOOTNACPosture:REMEDIATEBoottoprimarydiskDynamicPolicyChangeNACBoottonon-primarydiskCiscoSecurityAgent&NAC–UnderstandingtheDifferencesNetworkAdmissionControl(CTA)CiscoSecurityAgentNetworkAccessControlAccordingtoPostureEnforcePatchandAVPolicyforallHostsNetworkAccessDecisionsforallHostsXXXSecurityPostureChecksonIncomingSystemsXProtectionofEndpointRegardlessofPostureDetect/PreventMaliciousBehaviorPolicy-basedControlofApplicationUse

ProtectionofEndpointsOutsideofCorpNetXXXXGuardingtheIntegrityoftheCTAXPerformanceWindowsCPUUsage:1-5%SolarisCPUUsage:3-10%MemoryUsage:7-10MB,upto20NetworkImpact:Policydownload:35-70kEvent:~3kPoll:~2.5kPollingIntervalchange:~3kSoftwareUpdate:variesTransactionspersecondisaverygoodwaytomeasurelatency目錄信息系統(tǒng)網(wǎng)絡現(xiàn)狀和發(fā)展趨勢SOX符合性對信息系統(tǒng)控制的要求思科網(wǎng)絡準入控制方案(NAC2)思科終端安全防護方案安全信息管理CS-MARS目前網(wǎng)絡安全方面面臨最大的問題是什么?

Visibility管理!!!

針對安全事件的響應防御響應的步驟:逐漸升級的警報調(diào)查研究協(xié)調(diào)防御網(wǎng)絡部門安全部門防火墻入侵保護VPN弱點掃描認證服務器路由、交換設備防病毒用戶終端反復搜集網(wǎng)絡信息讀取并分析大量的數(shù)據(jù)…總是太遲了……企業(yè)網(wǎng)絡安全首要目標：以最佳的方式保持網(wǎng)絡的正常運行安全管理問題主要歸結(jié)對實時安全信息不了解，無法及時發(fā)出預警信息。安全設備的管理往往是孤立的安全設備，缺乏整個“網(wǎng)絡”的意識事件發(fā)生后，無法及時確診網(wǎng)絡故障的原因或感染源/攻擊源，網(wǎng)

絡業(yè)務恢復時間長。對某些特定安全事件沒有適合的方法，如DDoS攻擊，蠕蟲病毒等。缺乏“經(jīng)驗豐富”的網(wǎng)絡安全專家去監(jiān)控，分析，解決問題；成本比較高。IT管理者的期望：安全的網(wǎng)絡－－一個能集中管理所有產(chǎn)品信息、智能化的安全管理中心信息安全管理體系結(jié)構(gòu)的改變系統(tǒng)安全管理安全設備管理加強安全管理的需求安全的網(wǎng)絡－》安全網(wǎng)絡管理模型－》安全信息管理－》管理中心（SMC）業(yè)界領先的STM安全威脅管理設備

-思科監(jiān)控分析和響應系統(tǒng)(MARS)利用您的現(xiàn)有投資來創(chuàng)建“普遍計算”關聯(lián)來自企業(yè)各處的數(shù)據(jù)NIDS，防火墻，路由器，交換機，CSA系統(tǒng)記錄，SNMP，RDEP，SDEE，NetFlow，終端事件記錄迅速定位和抵御攻擊主要特性根據(jù)設備信息、事件和“會話”，來確定安全事件了解事件的拓撲，以便查看和重放在L2端口和L3檢測點進行防御高效擴展，可實時使用思科CS-MARS工作流程來自不同安全設備的海量安全信息進入CS-MARSCS-MARS對安全事件信息進行規(guī)則化統(tǒng)計CS-MARS對安全事件信息進行規(guī)格化對地址翻譯信息和連接狀態(tài)信息進行關聯(lián)處理對安全信息進行規(guī)則關聯(lián)-丟棄規(guī)則-系統(tǒng)預定義規(guī)則-用戶自定義規(guī)則虛假錯誤信息分析處理對可疑主機進行弱點評估，以過濾虛假信息統(tǒng)計流量模型來發(fā)現(xiàn)異常CS-MARS流程典型例子企業(yè)用戶的安全管理需求如何管理多廠商安全設備？

-思科CS-MARS支持多廠商設備網(wǎng)絡CiscoIOS11.x和12.x,CatalystOS6.xNetFlowv5/v7NACACS3.xExtremeExtremeware6.x防火墻/VPNCiscoPIX7.x,IOSFirewall,FWSM1.x&2.2,VPNConcentrator4.x,CiscoASACheckPointFirewall-1NGFPx,VPN-1NetScreenFirewall4.x,5.xNokiaFirewallIDSCiscoNIDS3.x&4.x,5.x,IDSM3.x,4.x,5.xEnterasysDragonNIDS6.xISSRealSecureNetworkSensor6.5,7.0SnortNIDS2.xMcAfeeIntrushieldNIDS1.xNetScreenIDP2.xSymantecManHunt3.x漏洞評估eEyeREM1.xFoundstoneFoundScan3.x主機安全CiscoSecurityAgent(CSA)4.xMcAfeeEntercept2.5,4.xISSRealSecureHostSensor6.5,7.0SymantecAnitVirus9.x主機記錄WindowsNT,2000,2003(有代理和無代理)SolarisLinux系統(tǒng)記錄通用設備支持應用Web服務器(IIS,iPlanet,Apache)Oracle9i,10i數(shù)據(jù)庫審查記錄NetworkApplianceNetCacheNote:Visitforcompletedevicesupportlisting

利用網(wǎng)絡拓撲發(fā)現(xiàn)同一個進程的不同事件和流程MARS采用專利算法，利用拓撲知識和設備配置信息，將不同設備產(chǎn)生事件關聯(lián)到同一個進程，創(chuàng)造出整個攻擊環(huán)境

利用網(wǎng)絡拓撲減少誤報識別同一個進程的事件，分析攻擊從源到目的地的拓撲路徑，發(fā)現(xiàn)某個攻擊是否的確到達了預定的目的地利用網(wǎng)絡拓撲發(fā)現(xiàn)最理想的防御點通過分析從攻擊者到預定目的地的路徑，將距離攻擊者最近的設備定為最理想的防御點

利用網(wǎng)絡拓撲發(fā)現(xiàn)攻擊路徑和網(wǎng)絡熱點利用網(wǎng)絡拓撲提高證據(jù)分析能力通過識別NAT地址解析和攻擊者MAC地址提供大大增強的證據(jù)分析能力哪兒發(fā)生了安全事件？

-MARS擁有端到端的網(wǎng)絡拓撲感知能力

高效能進程化和基于進程的主動關聯(lián)哪兒發(fā)生了安全事件？

-MARS自動識別攻擊路徑/攻擊源/攻擊目標SureVector?分析方法顯示準確的攻擊路徑通過下拉菜單，可以查詢?nèi)康氖录驮际录?shù)據(jù)對異常現(xiàn)象和攻擊行為找出真實的源泉更加全面和準確1.HostAPortScansTargetX2.HostABufferOverflowAttacksXWhereXisbehindNATdeviceandWhereXisVulnerabletoattack3.TargetXexecutesPasswordAttacksTargetYlocateddownstreamfromNATDevice防火墻攻擊路徑顯示事件攻擊拓樸顯示如何處理安全事件？

-MARS可以給出對安全事件的建議方法路由器上的緩解建議交換機上的緩解建議在加入網(wǎng)絡之后，

MARS會用幾天時間適應網(wǎng)絡使用模式。隨后切換到檢測模式，查找重要的異常行為，例如當前值比標準偏差高出兩到三倍的情況。PNMARS可以精確地監(jiān)控網(wǎng)絡使用情況，跟蹤在每天的每個小時中發(fā)現(xiàn)的數(shù)據(jù)流和交換分組的TOP（主機、端口）組合信息（數(shù)量可設置）。智能采集系統(tǒng)動態(tài)地存儲異常行為的整個NetFlow記錄（主機，端口），輕松地獲知安全事件的整個環(huán)境，例如受感染的源、目的地端口等。所提供的內(nèi)置規(guī)則可以自動地將異常行為與網(wǎng)絡IDS系統(tǒng)所報告的攻擊關聯(lián)到一起。即使沒有安裝一個網(wǎng)絡IDS系統(tǒng)，一個遭受某種未知攻擊的主機也可能會表現(xiàn)出上述異常行為，從而被MARS輕松發(fā)現(xiàn)。如何發(fā)現(xiàn)異?，F(xiàn)象？

-MARS接受Netflow并給出異?，F(xiàn)象報警在CS-MARS上啟動NetflowMARS基于硬件一體化結(jié)構(gòu)基于圖形界面的配置/部署，可以在很短時間內(nèi)完成實施簡單的二層部署結(jié)構(gòu)無需agent代理對不同的網(wǎng)絡規(guī)模，有相應的設備類型性價比好，很適合企業(yè)用戶是否簡單易用？

-MARS易于使用MARS滿足企業(yè)用戶的安全管理需求CS-MARS主要組件智能網(wǎng)絡拓撲發(fā)現(xiàn)事件進程化管理風險關聯(lián)分析流量異常分析誤報分析響應與緩解脆弱性評估報表CS-MARS的技術特點及優(yōu)勢

更高的功能，更低的價格TCO，支持多種主流網(wǎng)絡安全設備，最大化投資保護大幅度精簡數(shù)據(jù)及時制止攻擊端到端的網(wǎng)絡感知功能（AutoMitigateTM）集成化的脆弱性評估（SureVectorTM）事件關聯(lián)引擎（（ContextCorrelationTM已經(jīng)申報專利）性能優(yōu)化和擴展

快速的在線處理

超過10,000EPS的全功能處理

高容量的RAID存儲,持續(xù)的NFS歸檔

全局控制器支持分布式的CS-MARS管理MARS全線產(chǎn)品信息CS-MARSModel2050100e100200GlobalControllerEvents/Sec5001,0003,0005,00010,000N/ANetFlowFlows/Sec15,00025,00075,000150,000300,000N/ARAIDStorage120GB120GB750GB750GB1TB1TBRackSize1RU1RU3RU3RU4RU4RUChinaListPrice$30,000$54,000$110,000$190,000$300,000$250,000CS-MARS20R投入4-5萬元人民幣就搭建一套圖形化安全管理和攻擊監(jiān)控系統(tǒng)MARS如何選擇型號？MARS有LocalController20，50，100E，100，200和GlobalController,如何選擇？GlobalController是在有多個LocalController，需要統(tǒng)一管理時才需要對于LocalController的型號選擇主要是計算EPS（event/persecond),利用CISCO公司內(nèi)部的計算EPS的工具。計算MARS數(shù)據(jù)保存力，在知道EPS值和MARS型號的前提下，計算需要保存多長時間的數(shù)據(jù)，則需要多少的存儲空間,利用CISCO公司內(nèi)部的計算EPS的工具。QandA思科網(wǎng)絡準入控制解決方案

NACAppliance:

CCA(CiscoCleanAccess)

13Fortune1000companiesLargestdeployment:63,000usersOver450customersdeployedacross5verticals:HigherEducation RetailUtilities HealthcareEnterpriseCoversallusecasesforLANs,branchoffices,remoteaccess,wirelessusers,andguestusers網(wǎng)絡準入控制市場的領先者:NACApplianceMostcomprehensivededicatedNACsolutiononthemarket,withover3.2millionuserson450+networksCUSTOMERSAMPLINGCiscoCleanAccess:NACApplianceAUTHENTICATE&AUTHORIZEEnforcesauthorizationpoliciesandprivilegesSupportsmultipleuserrolesSCAN&EVALUATEAgentscanforrequiredversionsofhotfixes,AV,andothersoftwareNetworkscanforvirusandworminfectionsandportvulnerabilitiesQUARANTINEIsolatenon-compliantdevicesfromrestofnetworkMACandIP-basedquarantineeffectiveataper-userlevelUPDATE&REMEDIATENetwork-basedtoolsforvulnerabilityandthreatremediationHelp-deskintegrationAll-in-OnePolicyComplianceandRemediationSolution特點比較：實現(xiàn)終端客戶機隔離后修正及升級補丁工作、全面兼容多廠商環(huán)境、無需網(wǎng)絡設備對于DOT1X支持NACApplianceHighlightsFitsintowidestarrayofinfrastructurerequirementsIn-banddeploymentisagnostictoswitchingandroutinginfrastructureIn-BandorOut-of-BandVirtualGateway,Real-IPGateway/NATorFailoverModeFasttodeploy,inexpensivetomanageAutomatedupdatesforMicrosofthotfixes,anti-spywareandAVpackagesManagemultiplesubnetswithsinglebox Supportfor802.1QbasedVLANtrunking Supportfor/30subnetperVLANScalestoyoursizeandaccommodatesgrowthSKUsfor100-usergroupstoenterpriseboxesGrowbyaddingboxesBuilding1EndpointCompliance―NetworkaccessonlyforcompliantdevicesInternetCompliance―HelpEnsurehostsarehardenedpriortobrowsingHomeUser2GuestCompliance―RestrictedinternetaccessonlyforguestusersConferenceRoom4CASWirelessBuilding3WirelessCompliance―

SecurednetworkaccessonlyforcompliantwirelessdevicesVPNUserCompliance―RemoteaccessusersaccessingIntranetmustcomplyIn-bandOut-of-bandLegend:IPSec/SSL802.1QCCA解決方案應用案例分析CASandCAMNADCAMCiscoCleanAccessComponents

瘦Client管理模式由CAM管理CASCiscoCleanAccessServer(CAS)->NACApplianceServer(NAS)Servesasanin-bandorout-of-banddevice

fornetworkaccesscontrolCiscoCleanAccessManager(CAM)->NACApplianceManager(NAM)集中管理控制Centralizesmanagementforadministrators,supportpersonnel,andoperatorsCiscoCleanAccessAgent（客戶端軟件）Optionallightweightclientfordevice-basedregistryscansinunmanagedenvironmentsRuleSetUpdatesScheduledautomaticupdatesforanti-virus,criticalhotfixesandotherapplicationsTHEGOALIntranet/

NetworkCiscoCleanAccess認證流程概述2.Useris

redirectedtoaloginpageCleanAccessvalidatesusernameandpassword,alsoperformsdeviceandnetworkscanstoassessvulnerabilitiesonthedeviceDeviceisnoncompliant

orloginisincorrectUserisdeniedaccessandassigned

toaquarantinerolewithaccesstoonlineremediationresources3a.QuarantineRole3b.Deviceis“clean”Machinegetson“certifieddeviceslist”andisgrantedaccesstonetworkCiscoClean

AccessServerCiscoCleanAccessManager1.EnduserattemptstoaccessaWebpageorusesanoptionalclientNetworkaccessisblockeduntilwiredorwirelessenduserprovideslogininformationAuthenticationServerNetworkAccessDeviceCiscoCleanAccessAgent(optional)LDAP,RADIUS,NTLM,KERBNACAppliance相關重要組件及功能描述98,ME,2000,XPCleanAccessManagerHostCleanAccessServer(scanning,remediation)SSLIntegrationw/AD,RADIUS,LDAP,Kerberos,etc.AuthServerPolicyandremediationCASOOBSwitches(2940,2950,2960,3550,3560,3750,4500,6500)CASIB模式支持多廠家環(huán)境VPNConcentrators(3K,ASA,ISR/IOS,WebVPN)SSLSNMPCiscoSecurityAgent(opt.)OS

SecurityApps

客戶機CASServerCertifiedandLoggedOnNACApplianceOverview:詳細數(shù)據(jù)包流程CAMURLRedirecttoWebloginDHCPRequestConnectviaTCPUDPDiscoverAgentPerformsPostureAssessmentDownloadCleanAccessAgentAgentdownloadDownloadPolicytoAgentAgentchecksandrules,XMLPluginsenabledPre-connectUserLoginReportSessionandheartbeattimerLoggedoutConnectrequestConnectResponseServerPerformsAccessEnforcementCiscoCleanAccess解決方案實現(xiàn)方法要點總結(jié)CCA可以使用兩種機制來對于客戶機的健康狀態(tài)進行檢測：NetworkScanning1、集成第三方脆弱性掃描工具實現(xiàn)對于客戶端的健康狀態(tài)檢查，基于檢查結(jié)果對于客戶機采取相應的準入控制策略。此方法部署簡單，無需客戶端安裝其他檢測程序?？蛻舳税惭bOptionalAgent（CCAAgent)1、由CCAAgent收集客戶機相關信息（Hotfix/AV/Anti-spware…),來確定主機的健康狀態(tài)?；跈z查結(jié)果對于客戶機采取相應的準入控制策略。2、此方式可以與NetworkScanning集成使用，兩者同時啟用的情況下，認證為邏輯AND的關系，基于兩者檢查結(jié)果對于客戶機采取相應的準入控制策略。CCA功能組件的具體分工(CAM/CAS/CCAAgent)：CAM：CAM部署策略，集中管理CAS，接受來自CAS的用戶檢查報告并且進行分析，告知CAS用戶的健康狀況。CAS:接受CAM的管理，攔截用戶HTTP請求重新定向、進行NetworkScanning、收集CAAAgent信息等功能，并且發(fā)送給CAM分析。根據(jù)CAM檢查結(jié)果，對于接入用戶分配ACL限制，或者利用SNMP方式通知交換機對于用戶進行相應的VLAN分配操作。CCAAgent:CCAAgent收集客戶機相關信息（Hotfix/AV/Anti-spware…),Providesbuilt-insupportfor24AVvendorsand17ASvendorsNetworkScanning認證流程概述EndUserExperience:Web-basedLoginScreenScanisperformed(typesofchecksdependonuserrole/OS)Click-throughremediationOptionalAgent認證流程概述EndUserExperience:WithCCAAgent4.LoginScreenScanisperformed(typesofchecksdependonuserrole)ScanfailsRemediateMinimizingNetworkOutagesQuarantineRolepermitsuserstorepairtheirmachinesbeforetheycaninfectothercomputers.EnforceSecurityPoliciesSomePre-ConfiguredChecksCriticalWindowsUpdates

WindowsXP,Windows2000,Windows98,WindowsMEAnti-VirusUpdatesAnti-SpywareUpdatesOther3rdPartyChecksCiscoSecurityAgentCustomerscaneasilyaddcustomizedchecksCASFoundation:VirtualGatewayDirectBridging:FrameComesIn,FrameGoesOutVLANIDsareeitherpassedthroughuntouchedormappedfromAtoBDHCPandClientRoutespointdirectlytonetworkdevicesontheTrustedsideCASisanIPpassivebumpinthewire,likeatransparentfirewallCASFoundation:RealIP/NATGatewayCASisRouting,PacketComesIn,PacketGoesOutVLANIDsterminateattheCAS,nopass-throughormappingDHCPandClientRoutesusuallypointtotheCASfor/30CASisanactiveIProuter,canalsoNAToutboundpackets**CASFoundation:InBandEasiestdeploymentoptionCASisInline(inthedatapath)beforeandafterpostureassesmentSupportsanyswitch,anyhub,anyAPRoleBasedAccessControlGuest,Contractor,EmployeeACLFilteringandBandwidthThrottlingCCA:In-line模式部署典型案例FEATURES:VLANtrunkingsupport~1GB/secthroughputsupportFailoversupportSwitchCoreAuthenticationServer(acs/ldap/windowsNT)CASCASCleanAccessManagerDNSserverIntranetBorderRouterFirewallCASFoundation:OutofBandMulti-GigThroughputdeploymentoptionCASisInlineforPostureAssesmentOnlySupportsmostcommonCiscoSwitches**需要通過SNMP方式控制交換機PortVLANBasedandRoleBasedAccessControlCCA:Out-of-BandDeploymentVLAN-basedQuarantine

Managerperformsswitchmanagementandportassignment ServerperformsremediationandisdeployedonthequarantineVLANSupportformultipleswitchinfrastructures(2950,3550,3750,4500,6500) SNMPv1/v2cfor“reads” SNMPv1/v2c/v3for“writes”Supportsmulti-gigabitnetworkdeployment Serverisonlyinthedatapathfornon-certifieddevicesHostretainsIPaddressafter“certification”

BasedonsmartinternalVLANandDHCPmapping

Doesnotrequire802.1XinfrastructureCCAServerCCAManagerCCAProcessFlow

Out-of-BandEnduserattachesalaptoptonetworkSwitchsendsMACaddressviaSNMP-basednotificationtoCAMLaptopwithCCAAgentSwitchCAMCASNetworkVLAN10VLAN10VLAN110CCAProcessFlow

Out-of-BandCAMverifiesiflaptopisonthe“OOBonline”or“Certifieddevices”lists.Ifthelaptopisnotinthe“OOBonline”or“Certifieddevices”list,theCAMinstructsswitchtoassignporttoauthenticationVLAN.DHCPaddressedisassignedasDHCP/DNStraffictraversestheCASusingVLANmapping.HostwithCCAAgentSwitchCCAManagerCCAServerNetworkVLAN10VLAN10VLAN110VLAN110CCAProcessFlow

Out-of-BandCASisonsameauthenticationVLANaslaptop.CASenforcesnetworkaccessrestriction.Laptopischallengedforcredentialstodetermine“role”CCAAgentreceivescompliance“checks”fromCASbasedon“role.”CCAAgentguideshostthroughastepbystepremediationprocess.UserallowedaccesstoremediationsitesenforcedbyCAS.HostwithCCAAgentSwitchCCAManagerCCAServerNetworkVLAN10VLAN10VLAN110VLAN110CCAProcessFlow

Out-of-BandCASinformsCAMthathostisnow“certified.”CAMinstructsswitchtoputportonto“access”VLANbasedonportmappingortheroleassignment.Laptopisnow