信息安全威脅審計(jì)技術(shù)

信息安全威脅審計(jì)技術(shù)曹鵬網(wǎng)絡(luò)安全產(chǎn)品營(yíng)銷中心解決方案部部長(zhǎng)CISP北京caopeng@沈陽(yáng)東軟軟件股份有限公司?怎么去理解審計(jì)的重要性和實(shí)際用途好象是城市交通安全中的違章攝像頭和自動(dòng)拍照系統(tǒng)。審計(jì)策略有時(shí)應(yīng)公開(kāi)，有時(shí)應(yīng)嚴(yán)格保密。審計(jì)結(jié)果數(shù)據(jù)需要有專人負(fù)責(zé)處理，沒(méi)有完全自動(dòng)的審計(jì)產(chǎn)品，人的因素非常重要。?入侵檢測(cè)系統(tǒng)WEB日志分析系統(tǒng)終端用戶審計(jì)和控制系統(tǒng)遭受入侵后的檢測(cè)工作流程建議安全審計(jì)部分內(nèi)容整體介紹?哪些站點(diǎn)最容易遭受攻擊什么是入侵檢測(cè)入侵檢測(cè)的主要檢測(cè)方式入侵檢測(cè)系統(tǒng)主要能夠?qū)崿F(xiàn)的安全功能有什么入侵檢測(cè)所面臨的技術(shù)挑戰(zhàn)從入侵檢測(cè)系統(tǒng)說(shuō)起~???政府站點(diǎn)?很多站點(diǎn)甚至都沒(méi)有發(fā)現(xiàn)自己已經(jīng)被攻擊?一例利用FORNTPAGE的攻擊事件?利用同樣的手段遠(yuǎn)程進(jìn)入調(diào)試頁(yè)面狀態(tài)?修改后的結(jié)果?入侵過(guò)程描述入侵主機(jī)情況描述：該主機(jī)位于國(guó)家xx局的x層計(jì)算機(jī)辦公室，在11月中曾經(jīng)連續(xù)發(fā)生數(shù)據(jù)庫(kù)被刪除記錄的事件，最后該網(wǎng)站管理員認(rèn)定事件可疑，隨即向國(guó)家xx局網(wǎng)絡(luò)安全管理部門(mén)報(bào)告，我公司在接到國(guó)家xx局的報(bào)告后，立即趕到現(xiàn)場(chǎng)取證分析。操作系統(tǒng)和補(bǔ)丁情況：WIN2000個(gè)人版操作系統(tǒng)SP2的補(bǔ)丁包主要服務(wù)用途：做為國(guó)家xx局計(jì)算中心內(nèi)部網(wǎng)站使用，負(fù)責(zé)發(fā)布計(jì)算中心內(nèi)部信息。網(wǎng)站運(yùn)行IIS5，后臺(tái)數(shù)據(jù)庫(kù)采用ACCESS。入侵后的行為表現(xiàn)：主頁(yè)頁(yè)面新聞欄目?jī)?nèi)容被刪除，后臺(tái)數(shù)據(jù)庫(kù)內(nèi)容被人非法刪改。

?分析審計(jì)WEB服務(wù)器訪問(wèn)日志00:40:598GET/mynews.mdb200該記錄表明8在早上8點(diǎn)40分的時(shí)候非法下載了mynews.mdb數(shù)據(jù)庫(kù)，服務(wù)器返回200正確請(qǐng)求值，表示請(qǐng)求成功該數(shù)據(jù)庫(kù)已經(jīng)被非法下載。00:42:148GET/login.asp200隨后該攻擊者直接訪問(wèn)網(wǎng)站的在線管理系統(tǒng)。?入侵檢測(cè)的基本概念真正的入侵檢測(cè)系統(tǒng)是在20世紀(jì)80年代末才開(kāi)始被研究我們先來(lái)明確計(jì)算機(jī)安全的特性有那三個(gè)方面CIA機(jī)密性完整性可用性?什么是入侵呢？破壞上面四性的行為都可以定義為入侵，不管成功與否。從受害者的角度可以說(shuō)：發(fā)生了什么？誰(shuí)是受害者？受害程度大不大？誰(shuí)是入侵者？入侵者的來(lái)源在哪里？入侵發(fā)生的時(shí)間？入侵是怎么發(fā)生的？為什么發(fā)生入侵？但很多時(shí)候我們身邊沒(méi)有一個(gè)安全專家可以幫助我們解答這些問(wèn)題?為什么需要入侵檢測(cè)系統(tǒng)檢測(cè)防護(hù)部分阻止不了的入侵檢測(cè)入侵的前兆入侵事件的歸檔網(wǎng)絡(luò)遭受威脅程度的評(píng)估入侵事件的恢復(fù)?入侵檢測(cè)的分類和檢測(cè)方式基于主機(jī)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于文件效驗(yàn)方式的入侵檢測(cè)基于誘捕的蜜罐檢測(cè)技術(shù)?全面的檢測(cè)方式異常檢測(cè)：異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)，建立正?；顒?dòng)的“活動(dòng)簡(jiǎn)檔”，當(dāng)前主體的活動(dòng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為可能是“入侵”行為。特征檢測(cè)：特征檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這些模式。支持用戶自定義攻擊特征代碼分析。事后檢測(cè)：完整的將網(wǎng)絡(luò)中所有活動(dòng)數(shù)據(jù)報(bào)的特征記錄下來(lái)，當(dāng)發(fā)生不可確定的安全時(shí)間時(shí)，可以將信息包全部回放，進(jìn)行事后檢測(cè)分析。協(xié)議內(nèi)容檢測(cè)：支持常見(jiàn)的明文應(yīng)用層協(xié)議記錄，可以及時(shí)恢復(fù)所有訪問(wèn)原始交互內(nèi)容。支持用戶自定義明文協(xié)議特征。?多種靈活接入方式入侵檢測(cè)設(shè)備直接連接在交換機(jī)的偵聽(tīng)口入侵檢測(cè)設(shè)備直接連接在交換設(shè)備之間，充當(dāng)透明網(wǎng)橋功能同時(shí)進(jìn)行數(shù)據(jù)包抓取分析?入侵檢測(cè)設(shè)備支持多端口偵聽(tīng)，對(duì)中小企業(yè)網(wǎng)絡(luò)更好適應(yīng)。內(nèi)部網(wǎng)絡(luò)DMZ區(qū)域多偵聽(tīng)口設(shè)計(jì)多臺(tái)交換機(jī)數(shù)據(jù)同時(shí)采集處理?強(qiáng)大的網(wǎng)絡(luò)訪問(wèn)內(nèi)容審計(jì)功能可以進(jìn)行多種協(xié)議HTTP、FTP、POP3、SMTP、IMAP、NNTP、Telnet、rsh、rlogin、MSN、YahooMessager、DNS等協(xié)議的回放和會(huì)話記錄，便于回放資源訪問(wèn)的詳細(xì)過(guò)程并追查攻擊的來(lái)源。支持用戶自定義擴(kuò)充?明文應(yīng)用協(xié)議還原配置?對(duì)于HTTP協(xié)議做到訪問(wèn)頁(yè)面級(jí)別的還原?SMTP協(xié)議還原支持?POP3協(xié)議還原支持?FTP協(xié)議還原支持（支持自動(dòng)回放）?TELNET協(xié)議還原支持（支持自動(dòng)回放）?IMAP協(xié)議還原支持?NNTP協(xié)議還原支持?DNS協(xié)議還原支持?MSN（網(wǎng)絡(luò)聊天）會(huì)話回放?強(qiáng)大的事件定義庫(kù)?根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點(diǎn)添加自定義檢測(cè)規(guī)則?根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點(diǎn)添加自定義檢測(cè)規(guī)則?根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點(diǎn)添加自定義檢測(cè)規(guī)則?根據(jù)網(wǎng)絡(luò)自身應(yīng)用特點(diǎn)添加自定義檢測(cè)規(guī)則?靈活的策略編輯器?入侵檢測(cè)響應(yīng)選項(xiàng)主動(dòng)響應(yīng)收集相關(guān)信息改變環(huán)境反擊攻擊者被動(dòng)響應(yīng)報(bào)警和告示SNMP/SYSLOG協(xié)議通知?發(fā)現(xiàn)攻擊多種響應(yīng)方式可供選擇記錄日志：事件發(fā)生時(shí)，記錄到監(jiān)控主機(jī)的攻擊檢測(cè)數(shù)據(jù)庫(kù)，可通過(guò)攻擊檢測(cè)查詢。實(shí)時(shí)報(bào)警：事件發(fā)生時(shí)，實(shí)時(shí)報(bào)警中心顯示報(bào)警事件，實(shí)時(shí)報(bào)警圖標(biāo)閃爍。郵件報(bào)警：事件發(fā)生時(shí)，將報(bào)警事件以郵件的形式發(fā)送出去。切斷連接：事件發(fā)生時(shí)，切斷事件產(chǎn)生的tcp連接。防火墻聯(lián)動(dòng)：由防火墻完成阻斷工作。Syslog：事件發(fā)生時(shí)，記錄到配置的Syslog服務(wù)器。SNMPTrap：事件發(fā)生時(shí)，記錄到配置的SNMP服務(wù)器。播放聲音：事件發(fā)生時(shí)，按事件的優(yōu)先級(jí)發(fā)出不同的聲音。應(yīng)在“本地選項(xiàng)”中啟用服務(wù)、配置聲音文件。Windows日志：事件發(fā)生時(shí)，寫(xiě)入安全管理器所在的主機(jī)的日志中。Windows消息：事件發(fā)生時(shí)，向指定的主機(jī)發(fā)送消息。運(yùn)行程序：事件發(fā)生時(shí)，在安全管理器所在的主機(jī)上運(yùn)行指定的程序。?實(shí)時(shí)報(bào)警?攻擊檢測(cè)?應(yīng)用審計(jì)?網(wǎng)絡(luò)審計(jì)?統(tǒng)計(jì)圖表當(dāng)查看實(shí)時(shí)報(bào)警、攻擊檢測(cè)、內(nèi)容恢復(fù)、應(yīng)用審計(jì)、網(wǎng)絡(luò)審計(jì)記錄時(shí)，可以通過(guò)圖表直觀的查看各種信息的統(tǒng)計(jì)結(jié)果。?實(shí)時(shí)監(jiān)控系統(tǒng)?自定義監(jiān)視狀態(tài)協(xié)議方便用戶擴(kuò)充?實(shí)時(shí)數(shù)據(jù)流量在實(shí)時(shí)數(shù)據(jù)流量窗體中可通過(guò)折線圖查看當(dāng)前網(wǎng)絡(luò)中可監(jiān)聽(tīng)到的網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)流量信息，包括TCP、UDP、ICMP三種協(xié)議的數(shù)據(jù)包數(shù)和字節(jié)數(shù)六種數(shù)據(jù)流量。?數(shù)據(jù)實(shí)時(shí)捕捉工具?支持事件統(tǒng)一管理分層次集中管理統(tǒng)一取證支持通用管理協(xié)議SNMPSYSLOG與企業(yè)現(xiàn)有安管中心可以無(wú)縫集成?集中管理器集中管理多個(gè)子監(jiān)控主機(jī)及子管理節(jié)點(diǎn)。對(duì)子監(jiān)控主機(jī)進(jìn)行升級(jí)、安全策略下發(fā)；對(duì)子管理節(jié)點(diǎn)進(jìn)行安全策略下發(fā)。所有激活的子監(jiān)控主機(jī)向集中管理器提交報(bào)警事件，由集中管理器集中審計(jì)?？衫媒y(tǒng)計(jì)圖表、生成報(bào)表功能對(duì)收集到的記錄進(jìn)行分析保存。可將收集到的記錄導(dǎo)出為CSV文件；可以文本形式保存消息日志?？筛鶕?jù)不同的用戶權(quán)限打開(kāi)相應(yīng)的其它管理器，實(shí)現(xiàn)對(duì)每一臺(tái)子監(jiān)控主機(jī)的單獨(dú)管理。??報(bào)表查看器可對(duì)通過(guò)安全管理器、集中管理器、脫機(jī)瀏覽器查詢出的各種數(shù)據(jù)記錄按不同的模板生成報(bào)表。可對(duì)報(bào)表進(jìn)行打印、保存或以郵件的形式發(fā)送出去?？纱蜷_(kāi)保存在本地主機(jī)上的rpt格式的報(bào)表。可同時(shí)打開(kāi)多個(gè)報(bào)表，便于集中分析。???添加自定義報(bào)表??入侵檢測(cè)產(chǎn)品報(bào)表的重要性只有定期的查看報(bào)告才能及時(shí)發(fā)現(xiàn)攻擊企圖，對(duì)各種入侵行為及時(shí)處理。建議每天上班和下班的時(shí)候都查看一遍入侵檢測(cè)產(chǎn)品的報(bào)告。報(bào)告顯示結(jié)果是否清楚明了至關(guān)重要。介紹我的一個(gè)真實(shí)的成功案件?蜜罐技術(shù)蜜罐技術(shù)就是建立一個(gè)虛假的網(wǎng)絡(luò)，誘惑黑客攻擊這個(gè)虛擬的網(wǎng)絡(luò)，從而達(dá)到保護(hù)真正網(wǎng)絡(luò)的目的。主要作用：誘惑黑客攻擊虛假的網(wǎng)絡(luò)而忽略真正的網(wǎng)絡(luò)。收集黑客的信息和企圖，幫助系統(tǒng)進(jìn)行安全防護(hù)和檢測(cè)，響應(yīng)。消耗黑客的精力，讓系統(tǒng)管理員有足夠的時(shí)間去響應(yīng)。現(xiàn)有技術(shù)允許將4000個(gè)IP地址綁定在一臺(tái)PC機(jī)上，顯然會(huì)增加攻擊者的工作量，光用掃描這些IP地址就要花去大量的時(shí)間。技術(shù)的費(fèi)用很低，但是能達(dá)到很好的效果。?入侵檢測(cè)面臨的挑戰(zhàn)攻擊者不斷增加的知識(shí)，日趨成熟多樣自動(dòng)化工具，以及越來(lái)越復(fù)雜細(xì)致的攻擊手法。惡意信息采用加密的方法傳輸。必須協(xié)調(diào)、適應(yīng)多樣性的環(huán)境中的不同的安全策略。不斷增大的網(wǎng)絡(luò)流量。廣泛接受的術(shù)語(yǔ)和概念框架的缺乏。不斷變化的入侵檢測(cè)市場(chǎng)給購(gòu)買、維護(hù)IDS造成的困難。?入侵檢測(cè)面臨的挑戰(zhàn)采用不恰當(dāng)?shù)淖詣?dòng)反應(yīng)所造成的風(fēng)險(xiǎn)。對(duì)IDS自身的攻擊。大量的誤報(bào)和漏報(bào)使得發(fā)現(xiàn)問(wèn)題的真正所在非常困難?？陀^的評(píng)估與測(cè)試信息的缺乏。交換式局域網(wǎng)造成網(wǎng)絡(luò)數(shù)據(jù)流的可見(jiàn)性下降，同時(shí)更快的網(wǎng)絡(luò)使數(shù)據(jù)的實(shí)時(shí)分析越發(fā)困難。?WEB服務(wù)器日志審計(jì)WEB日志的分析方法WEB分析工具軟件的介紹介紹幾個(gè)日志分析的實(shí)際例子?通過(guò)服務(wù)器的返回代碼來(lái)判斷攻擊者使用CGI漏洞掃描器對(duì)潛在的CGI漏洞腳本進(jìn)行掃描時(shí)，HTTP404NotFounderrors的記錄會(huì)大量增長(zhǎng)，一次完整的掃描一般可以產(chǎn)生500個(gè)以上的連續(xù)404錯(cuò)誤。攻擊者嘗試暴力破解服務(wù)器上的帳戶，HTTP401AuthorizationRequirederrors的記錄會(huì)增長(zhǎng)。入侵者嘗試SQL注入腳本攻擊，HTTP500ServerErrors記錄會(huì)增長(zhǎng)。?終端用戶的安全審計(jì)終端用戶的安全防護(hù)一直是信息安全的“死角”，但也是最容易出現(xiàn)問(wèn)題的地方。隨著NT內(nèi)核的操作系統(tǒng)被大量的采用，所有的工作站其實(shí)都是在運(yùn)行著一臺(tái)服務(wù)器。?當(dāng)前的解決問(wèn)題的途徑采用簡(jiǎn)單快速有效的系統(tǒng)安全加固配置方法，以文檔的方式總結(jié)出來(lái)下發(fā)給所有員工。利用SUS服務(wù)進(jìn)行內(nèi)部網(wǎng)絡(luò)的補(bǔ)丁統(tǒng)一分發(fā)和管理，大大加快內(nèi)部網(wǎng)絡(luò)的補(bǔ)丁更新速度和頻率。利用一些第三方的軟件進(jìn)行安全審計(jì)與控制。?事件響應(yīng)不要驚慌，冷靜分析和處理問(wèn)題確定問(wèn)題的性質(zhì)，事件嚴(yán)重程度。?技術(shù)處理流程建議暫時(shí)中斷服務(wù)器的網(wǎng)絡(luò)通訊，但不要急于重新格式化安裝新系統(tǒng)。利用SNIFFER監(jiān)視網(wǎng)絡(luò)通訊狀況利用系統(tǒng)當(dāng)前分析軟件將進(jìn)程，端口關(guān)聯(lián)表，服務(wù)狀態(tài)，自啟動(dòng)程序列表分析并保存結(jié)果。可以將分析的原始數(shù)據(jù)發(fā)送給安全專家請(qǐng)求協(xié)助。利用自評(píng)估根據(jù)檢測(cè)服務(wù)器的安裝狀態(tài)補(bǔ)丁安裝情況等。?ThankyouNeusoftGroupLtd.謝謝?演講完畢，謝謝觀看！附錄資料：不需要的可以自行刪除企業(yè)信息化管理專業(yè)分析目標(biāo)企業(yè)信息化概述企業(yè)信息化專業(yè)介紹企業(yè)信息化學(xué)習(xí)方法介紹個(gè)人期望企業(yè)信息化概述企業(yè)信息化專業(yè)介紹企業(yè)信息化學(xué)習(xí)方法介紹個(gè)人期望

什么是企業(yè)企業(yè)是從事生產(chǎn)、流通、服務(wù)等經(jīng)濟(jì)活動(dòng)，以生產(chǎn)或服務(wù)滿足社會(huì)需要，實(shí)行自主經(jīng)營(yíng)、獨(dú)立核算、依法設(shè)立的一種盈利性的經(jīng)濟(jì)組織。你聽(tīng)過(guò)哪些企業(yè)？東風(fēng)汽車中國(guó)銀行百度新浪……等等什么是信息化定義一：信息化是指培養(yǎng)、發(fā)展以計(jì)算機(jī)為主的智能化工具為代表的新生產(chǎn)力，并使之造福于社會(huì)的歷史過(guò)程。定義二：是指建立在IT產(chǎn)業(yè)發(fā)展與IT在社會(huì)經(jīng)濟(jì)各部門(mén)擴(kuò)散的基礎(chǔ)之上，運(yùn)用IT改造傳統(tǒng)的經(jīng)濟(jì)、社會(huì)結(jié)構(gòu)的過(guò)程。什么是企業(yè)信息化企業(yè)信息化(Enterprisesinformatization)，企業(yè)信息化實(shí)質(zhì)上是將企業(yè)的生產(chǎn)過(guò)程、物料移動(dòng)、事務(wù)處理、現(xiàn)金流動(dòng)、客戶交互等業(yè)務(wù)過(guò)程數(shù)字化，通過(guò)各種信息系統(tǒng)網(wǎng)絡(luò)加工生成新的信息資源，提供給各層次的人們洞悉、觀察各類動(dòng)態(tài)業(yè)務(wù)中的一切信息，以作出有利于生產(chǎn)要素組合優(yōu)化的決策，使企業(yè)資源合理配置，以使企業(yè)能適應(yīng)瞬息萬(wàn)變的市場(chǎng)經(jīng)濟(jì)競(jìng)爭(zhēng)環(huán)境，求得最大的經(jīng)濟(jì)效益。企業(yè)為什么需要信息化生產(chǎn)與銷售員工與管理庫(kù)存與原材料管理市場(chǎng)競(jìng)爭(zhēng)企業(yè)信息化主流平臺(tái)SAP用友金蝶神舟數(shù)碼Oracle企業(yè)信息化概述企業(yè)信息化專業(yè)介紹企業(yè)信息化學(xué)習(xí)方法介紹個(gè)人期望企業(yè)信息化管理專業(yè)介紹本專業(yè)培養(yǎng)能幫助企業(yè)進(jìn)行信息化改造，幫助軟件公司進(jìn)行信息化軟件售前和售后技術(shù)支持以及企業(yè)軟件實(shí)施，或者作為資訊公司對(duì)企業(yè)業(yè)務(wù)流程進(jìn)行設(shè)計(jì)與改造的高級(jí)管理人才。能勝任軟件實(shí)施工程師、軟件售前服務(wù)工程師，軟件售后服務(wù)工程師，企業(yè)信息化咨詢師，企業(yè)業(yè)務(wù)流程規(guī)劃師。企業(yè)信息化職位CompanyLogo實(shí)施經(jīng)理售前售后工程師產(chǎn)品咨詢師企業(yè)信息分析師企業(yè)需求分析師企業(yè)信息化解決方案數(shù)據(jù)庫(kù)維護(hù)售前工程師售后工程師系統(tǒng)策劃師產(chǎn)品實(shí)施公司職位表企業(yè)信息化管理與其他專業(yè)對(duì)比研發(fā)管理營(yíng)銷企業(yè)信息化管理課程安排企業(yè)信息化概述企業(yè)信息化專業(yè)介紹企業(yè)信息化學(xué)習(xí)方法介紹個(gè)人期望學(xué)好企業(yè)信息化核心要素良好的心態(tài)開(kāi)闊的思維組織協(xié)調(diào)能力團(tuán)隊(duì)精神專業(yè)知識(shí)個(gè)人形象口才良好的心態(tài)良好心態(tài)表現(xiàn)：激勵(lì)性自信努力、上進(jìn)如何提高心態(tài)：閱讀一定管理書(shū)籍和管理視頻閱讀企業(yè)信息化管理學(xué)開(kāi)闊的思維開(kāi)闊視野閱讀經(jīng)典成功案例組織協(xié)調(diào)能力組織班級(jí)活動(dòng)積極參