【正文】 ISO 17799 ? HIPAA ? GLBA … Controls ? Passwords ? Permissions ? Services ? Files … 基于策略基準(zhǔn)對系統(tǒng)設(shè)定和配置進行詳盡的檢查 Windows UNIX Linux Netware VMS AS/400 Database Web 詳盡的一致性報告 (Technical Controls and Standards) Servers 應(yīng)用平臺 評估策略的實現(xiàn) 通過報表持續(xù)地自動審計企業(yè)的 IT風(fēng)險狀況 37 將主機安全審計融入日常運維 ? 新系統(tǒng)上線 – 制定上線安全評估流程和方法 – 通過策略遵從檢查 ,確保上線系統(tǒng)安全 – 輸出上線檢查報告 ,作為外審依據(jù) ? 日常監(jiān)控 – 設(shè)置調(diào)度任務(wù) ,定期完成策略檢查 。 – 對比檢查結(jié)果 ,發(fā)現(xiàn)違規(guī)變更 。 – 輸出定期檢查報告 ,作為外審依據(jù) ? 系統(tǒng)變更 – 跟蹤系統(tǒng)變更 ,對比變更前后差別 ,保證變更內(nèi)容合規(guī) – 提供變更建議 (加載補丁 ),作為變更依據(jù) – 輸出變更檢查報告 ,作為外審依據(jù) ? 故障處理 – 了解系統(tǒng)配置情況 ,為故障處理提供幫助 – 對比故障處理前后差別 – 輸出故障處理報告 ,作為外審依據(jù) Symantec Critical System Protection ? 主機保護產(chǎn)品 SCSP提供完整的主機入侵防護解決方案。它提供攻擊防護、行為控制和安全事件監(jiān)控等功能，確保企業(yè)內(nèi)部多種平臺的服務(wù)器的完整性和策略依從。 22 三大功能 安全 入侵檢測 入侵防護 防止內(nèi)部人員違規(guī) 主機防火墻 遵從和審計 系統(tǒng)事件監(jiān)控 文件監(jiān)控 權(quán)限控制 行為控制 配置管理 配置鎖定 系統(tǒng)鎖定 應(yīng)用配置監(jiān)控 23 SCSP防護能力 ? 緩存溢出保護 ? 操作系統(tǒng)加固 ? 注冊表保護 ? 文件系統(tǒng)保護 ? 定制攻擊防護策略 ? 主機防火墻功能 ? 移動設(shè)備控制 ? 交互式程序控制 ? 超級用戶 /管理員權(quán)限控制 ? 操作系統(tǒng)審計日志的監(jiān)控和響應(yīng) Virtualization Security Manager的意 義 ? 提高你 的虛 擬環(huán) 境的安全 – 從外部 和內(nèi)部威 脅 中 確保 管理程序的安全 – 在 實 例之 間 執(zhí) 行 邏輯 分離，使之 變 成獨立的 資產(chǎn) – 細(xì) 粒度的 訪問 控制 ? 降低宕機 風(fēng)險 – 管理 實 例和管理程序的配置 設(shè) 置 – 防止 計 劃外的更改 – 自 動 化配置 評 估 ? 合 規(guī) 需求 – 強 制分割 實 例 為 有限的合 規(guī)審計 范 圍 – 詳細(xì) 的操作日志 – 配置 報 告 24 CCS VSM 填充關(guān) 鍵 平臺 訪問 缺口 Virtualization 平臺缺口 CCS VSM 解決方案 通 過 共享一個 root賬戶 多個管理 員 可以匿名登錄 主機 使用 root 密 碼 跳 轉(zhuǎn) (簽 入 /簽 出 ) 來保障管理 員的獨立性 通 過 直接 連 接 主機 ，管理 員 可以 繞過 vCenter進行 訪問 控制和登 錄 控制和 記錄 通 過 任何 連 接方法的 訪問 , 建立 問責(zé)制 在多租 戶 的 環(huán) 境下， 管理 員 能 夠訪問 其他 組織 的虛 擬 工作區(qū) 確保管理 員 只能 訪問 自己的 組織 的數(shù)據(jù)和 應(yīng) 用程序 ，確保多租 戶 下的安全 平臺允 許 通 過 默 認(rèn) 密 碼 或被破解的 admin密 碼的 訪問 防止使用默 認(rèn) 的密 碼 ，支持多因素身份 驗證 防止未授 權(quán) 的 訪問 當(dāng)前或者曾 經(jīng) 的管理 員 可以使用后臺 賬戶 不被發(fā)現(xiàn) 的 訪問 平臺 控制和 記錄 每個管理 員賬戶 的 訪問 ，防止重大安全漏洞 25 CCS VSM填充關(guān) 鍵 平臺 訪問 缺口 Virtualization 平臺缺口 CCS VSM 解決方案 一個系 統(tǒng) 管理 員 可以 關(guān) 閉 任何虛 擬應(yīng) 用 通 過 控制 資 源管理范 圍 保 護業(yè)務(wù)連續(xù) 性 管理 員 可以 創(chuàng) 建未 經(jīng) 批準(zhǔn)的 虛 擬 機， 這 些可能是誤 操作但 對 合 規(guī) 會 產(chǎn) 生影響 通 過 控制虛 擬 機 創(chuàng) 建 權(quán) 防止破壞性的 結(jié) 果 管理 員 可以禁用安全 措施 如虛 擬 防火 墻 和 防病毒 通 過 禁止未 經(jīng) 批準(zhǔn)關(guān) 閉 虛 擬 安全措施 保 護 安全性 管理 員 復(fù)制敏感數(shù)據(jù)從一個 虛 擬 機到 外部存 儲 通 過對 虛 擬資 源的控制 保 護 敏感數(shù)據(jù) 管理 員 可以使用一個泄露的副本 替代一個 關(guān) 鍵的虛 擬 機 而沒有留下 軌 跡 通 過創(chuàng) 建一個永久的、不可被 篡 改的操作 記錄 曝光 篡 改行 為 管理 員 可以將低信任的虛 擬 工作 負(fù)載 轉(zhuǎn) 成 高信任服 務(wù) 器或虛 擬 子網(wǎng) ,反之亦然 通 過 防止信任等 級 的混合 緩 解安全和合 規(guī)風(fēng)險 26 Symantec Security Information Manager Symantec? Security Information Manager (SSIM) 是安全信息和事件管理的的統(tǒng)一平臺 ,他能幫助用戶 : – 統(tǒng)一收集并分類整個企業(yè)的安全日志 – 識別并解決重大安全事件 – 做為整個企業(yè)的安全事件總控中心 – 滿足在安全監(jiān)控和日志存貯方面的審計和合規(guī)需求 28 安全管理運維的關(guān)鍵： 事件 (Events)?事故 (Incident)的鑒別流程 采集 支持 200多種產(chǎn)品，包括 SNMP、Syslog、 ODBC以及通用接口等方式 全球威脅聯(lián)動 全球探測網(wǎng)絡(luò) , 提供聯(lián)動實時威脅聯(lián)動 優(yōu)先級劃分 提供資產(chǎn)信息 \威脅信息 \漏洞信息的關(guān)聯(lián)分析 , 進行優(yōu)先級劃分 關(guān)聯(lián)分析 利用運維經(jīng)驗 ,提供關(guān)聯(lián)方法 , 和關(guān)聯(lián)規(guī)則庫以及技術(shù)參數(shù) 歸并、過濾、存儲 大量運維經(jīng)驗對事件進行 EMR分類歸并 標(biāo)準(zhǔn)化 與 100多家安全廠商的長期合作 呈現(xiàn)和處理 提供更新的知識庫提供處理意見 事件 /日志 事故 29 ?外部攻擊 ?外部掃描探測攻擊 ?業(yè)務(wù)端口之外的試圖請求連接行為 ?DDOS拒絕服務(wù)攻擊 ?SQL注入類攻擊 ?Smurf Attack攻擊 ?Trojan端口連接行為 ?針對 DNS服務(wù)器的攻擊 ?內(nèi)部服務(wù)器對外異常連接請求 ?業(yè)務(wù)審計 ?同一帳號多次嘗試登入失敗 ?同一賬號同時多點嘗試登入 ?賬號已登入，同一賬號通過其他源 地址仍然嘗試登入 ?同一源地址多次嘗試登入失敗 案例：國內(nèi)某銀行安全日志統(tǒng)一管理系統(tǒng) 業(yè)務(wù)安全 服務(wù)器日常維護管理的主要因素 查詢和 清單 設(shè)置 軟件分發(fā)和補丁程序管理 監(jiān)控 和警報 監(jiān)控和警報 ? 通過集中式事件控制臺，更深入地了解服務(wù)器的狀態(tài) ? 為啟用新策略和標(biāo)準(zhǔn)提供簡化的策略創(chuàng)建過 程 ? 支持多種平臺操作系統(tǒng)(Windows,linux,Aix,Esx,Solaris)等 ? 無代理監(jiān)控，支持網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的發(fā)現(xiàn) ? 實時性能數(shù)據(jù)和歷叱數(shù)據(jù)的查詢和分析 ?Meijer—“我們可以通過圖表了解 SQL 服務(wù)器發(fā)生的更改對其他計算機產(chǎn)生的影響。” ?上海集裝箱 —可以自動管理服務(wù)器，從而節(jié)省時間，同時提高了性能并增強了控制 結(jié)果 30 31 報表呈現(xiàn) 實時性能察看 被觸發(fā)的警報 警報管理器 集中