【正文】 olution Provider 不全面的防御導(dǎo)致被攻擊 SYN Flood DNS Flood 連接耗盡 HTTP Get SYN Flood DNS Flood 連接耗盡 HTTP Get 全面與否，決定成敗 65 Professional Security Solution Provider 我沒發(fā)過請求 DDoS攻擊介紹 —— SYN Flood ? SYN_RECV狀態(tài) ? 半開連接隊列 – 遍歷，消耗 CPU和內(nèi)存 – SYN|ACK 重試 – SYN Timeout： 30秒 ~2分鐘 ? 無暇理睬正常的連接請求 —拒絕服務(wù) SYN （我可以連接嗎？） 攻擊者 受害者 偽造地址進(jìn)行 SYN 請求 為何還沒回應(yīng) 就是讓你白等 不能建立正常的連接！ SYN Flood 攻擊原理 攻擊現(xiàn)象 66 Professional Security Solution Provider 方便的串聯(lián)部署 應(yīng)用場景 部署特色 ? 采用 CollapsarD型的設(shè)備 ? 零安裝，零配臵，即插即用 ? 網(wǎng)絡(luò)隱身，無 IP地址配臵 ? 少量服務(wù)器 ? 小型網(wǎng)絡(luò) ? 防火墻 Server Group WAN Router Switch 67 Professional Security Solution Provider 旁路部署拓?fù)鋱D Router WAN Router Server Group Server Group Server Group ? 可支持對更大流量的拒絕服務(wù)攻擊防御 ? 完全解決單點故障 ? 對原有網(wǎng)絡(luò)結(jié)構(gòu)影響小 68 Professional Security Solution Provider 抗 拒絕服務(wù) 產(chǎn)品的選型因素 ? 提供內(nèi)部業(yè)務(wù)系統(tǒng)或網(wǎng)站的Inter出口，免遭到 DDoS攻擊。 對安全漏洞 “ 未雨綢繆 ” 的管理勝于 “ 亡羊補(bǔ)牢 ” 的修補(bǔ) 70 Professional Security Solution Provider 漏洞掃描技術(shù) 檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù) 服 務(wù) 器 終 端 個 人 計 算 機(jī) 大 型 機(jī) 路 由 器 交 換 機(jī) 防 火 墻71 Professional Security Solution Provider 遠(yuǎn)程探測系統(tǒng)漏洞 遠(yuǎn)程掃描原理 我 想 訪 問 你 的 X X 服 務(wù)我 的 服 務(wù) 程 序 版 本 是 X X ， 具 體 信 息 是 . . .我 想 訪 問 你 的 X X 端 口此 端 口 未 開 放 ， R S T服 務(wù) 器掃 描 器72 Professional Security Solution Provider 漏洞管理中的問題 有新漏洞發(fā)布嗎？ 如何有效管理已經(jīng)發(fā)現(xiàn)的漏洞？ 檢查起來 太麻煩了，沒空 … 怎么去查??？ 73 Professional Security Solution Provider 漏洞是動態(tài)有生命的 漏洞生命周期 74 Professional Security Solution Provider 漏洞掃描器的效果 ? 提高系統(tǒng)健壯性 ? 杜絕蠕蟲、病毒傳播和破壞 ? 有效降低攻擊的破壞程度 ? 減少管理員工作量 75 Professional Security Solution Provider 典型應(yīng)用方式之一 平坦式部署 76 Professional Security Solution Provider 典型應(yīng)用方式之二 分布式部署 77 Professional Security Solution Provider 漏洞掃描產(chǎn)品的選型因素 ?漏洞掃描技術(shù) –漏洞管理的思想 –應(yīng)用級漏洞的深入探測 ?漏洞知識庫 –檢測最新漏洞數(shù)量 –定期更新速度 ?部署方式 –軟件、硬件 –分布、分級 ?掃描速度 ?報表輸出和解決方案描述 ?易用性 –自動化 –向?qū)? –本地化 ?作用 –自動化的定期脆弱性檢測，降低管理員負(fù)擔(dān) –方便安全管理者跟蹤、記錄和驗證脆弱性評估的成效，把問題的重要性和優(yōu)先級進(jìn)行分類 78 Professional Security Solution Provider 內(nèi)網(wǎng)安全管理系統(tǒng)作用 內(nèi)網(wǎng)安全管理系統(tǒng) 終端保護(hù) 行為管理 桌面管理 網(wǎng)絡(luò)接入控制 入侵保護(hù) /防火墻 病毒庫同步 資產(chǎn)管理 補(bǔ)丁管理 配置強(qiáng)制 應(yīng)用監(jiān)控 非法外聯(lián)監(jiān)控 BT、 P2P過濾 阻止各種內(nèi)網(wǎng)攻擊 防止商業(yè)機(jī)密泄漏 靈活內(nèi)網(wǎng)資產(chǎn)管理 提高網(wǎng)絡(luò)資源使用效率 79 Professional Security Solution Provider 內(nèi)網(wǎng)安全管理系統(tǒng)部署 ?主動防御 /自動修復(fù)技術(shù) – 基于主機(jī)入侵防御保護(hù)技術(shù)，發(fā)現(xiàn)并且阻斷攻擊行為； – 基于補(bǔ)丁與病毒庫自動升級技術(shù)，修復(fù)系統(tǒng)存在的安全漏洞； – 采用網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，強(qiáng)制隔離不符合安全策略的設(shè)備的接入。攻擊者可以用病毒作為網(wǎng)絡(luò)攻擊的有效載體，呈幾何級地擴(kuò)大破壞能力。 86 Professional Security Solution Provider 防病毒產(chǎn)品的選型因素 ?關(guān)注對病毒的監(jiān)控深度 ?關(guān)注產(chǎn)品研發(fā)隊伍水平 – 不片面追求產(chǎn)品查毒的絕對數(shù)量 ?關(guān)注防毒產(chǎn)品的穩(wěn)定、實用和高效性 – 不片面追求產(chǎn)品升級的絕對時間間隔 ?關(guān)注防毒產(chǎn)品的網(wǎng)絡(luò)管理功能 – 尤其針對大規(guī)模部署的客戶群 ?關(guān)注防毒產(chǎn)品的售后服務(wù) ?作用 –服務(wù)器、終端、郵件、網(wǎng)關(guān)防毒 –集中控制分級管理：統(tǒng)一升級、策略的制定及統(tǒng)一下發(fā) 87 Professional Security Solution Provider 電力行業(yè)的主機(jī)防護(hù) ? 安全配臵 通過合理地設(shè)臵系統(tǒng)配臵、服務(wù)、權(quán)限，減少安全弱點。 88 Professional Security Solution Provider 提綱 ? 電力行業(yè)安全現(xiàn)狀及風(fēng)險分析 ? 如何構(gòu)建信息安全體系 ? 安全防護(hù)產(chǎn)品簡介及選型建議 ? 安全風(fēng)險評估介紹 ? 綠盟科技公司簡介 89 Professional Security Solution Provider 信息安全正確理念 ? 信息安全不是目標(biāo)，而是過程 ? 信息安全的本質(zhì)是風(fēng)險管理 ? 安全評估是風(fēng)險管理的基礎(chǔ) ? 安全監(jiān)控是風(fēng)險管理的核心 ? 安全預(yù)警是風(fēng)險管理的升華 ? 應(yīng)急響應(yīng)是風(fēng)險管理的基石 90 Professional Security Solution Provider 安全風(fēng)險評估 ? 宏觀講，安全風(fēng)險評估是安全保障工作的前提 – 發(fā)現(xiàn)安全問題 – 提出解決方案 – 指導(dǎo)安全規(guī)劃 – 完善安全體系 – 保障安全運行 ? 具體講，安全風(fēng)險評估是安全體系搭建工作的基礎(chǔ) – 發(fā)現(xiàn)信息系統(tǒng)存在的脆弱性 – 識別可能會遭受的各種威脅 – 全面評估面臨的安全風(fēng)險 91 Professional Security Solution Provider 三種評估模式 檢查評估 委托評估 安全風(fēng)險評估 自評估 92 Professional Security Solution Provider 識別三種評估模式 檢查評估 定義 由信息安全主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)，檢查被評估單位是否滿足了這些法規(guī)或標(biāo)準(zhǔn)。 ? 系統(tǒng)默認(rèn)安裝，從不進(jìn)行補(bǔ)丁升級。 ? …… ? 兼職的安全管理員 ? 物理安全保護(hù) ? 基本的安全產(chǎn)品 ? 簡單的系統(tǒng)升級 ? 機(jī)房安全管理制度 ? 資產(chǎn)管理制度 ? …… 超過 70%的信息安全事件，如果事先加強(qiáng)管理，都可以得到避免 94 Professional Security Solution Provider 老生常談 — 信息安全如何做 信息安全 資源投入 需要采用何種安全技術(shù)及投入多少資源取決于三個基本因素 : ? 市場運作要求及政策法律法規(guī)要求 ? 實現(xiàn)安全保障所需要的資源投入 ? 安全性提高后，所節(jié)省或保護(hù)的信息價值 一個好的信息安全保障體系不是要彌補(bǔ)所有安全缺陷或采用最先進(jìn)的安全技術(shù) 95 Professional Security Solution Provider 風(fēng)險避免，風(fēng)險降低，風(fēng)險轉(zhuǎn)移，風(fēng)險接受 安全性 風(fēng)險性 安全需求 高 高 低 安全風(fēng)險 支出平衡點 風(fēng)險管理 = 信息安全服務(wù) +信息安全管理 什么是信息安全 96 Professional Security Solution Provider RISK RISK RISK RISK RISK 風(fēng)險的構(gòu)成 風(fēng)險的降低 資產(chǎn) 威脅 脆弱性 資產(chǎn) 威脅 脆弱性 信息系統(tǒng)的風(fēng)險管理 97 Professional Security Solution Provider 安全評估方法 在線分析 評估主要方法 勘察調(diào)研 滲透測試 安全掃描 人工審計 策略評估 問卷訪談 98 Professional Security Solution Provider 各評估方法的具體內(nèi)容 網(wǎng)絡(luò)系統(tǒng)信息收集 ?網(wǎng)絡(luò)拓?fù)? ?設(shè)備與鏈路冗余 ?ACL、路由表、 VLAN劃分 ?網(wǎng)絡(luò)流量與擁塞控制 ?網(wǎng)絡(luò)接口 ?網(wǎng)絡(luò)可用性 ?安全技術(shù)措施（部署情況） ?網(wǎng)絡(luò)系統(tǒng)事故案例 1 數(shù)據(jù)收集 系統(tǒng)應(yīng)用信息收集 ? 漏洞情況 ? 賬號口令情況 ? 安全策略配臵 ? 安全技術(shù)措施情況（ AV、SCANNER、 SAS、終端管理等） ? 事故案例 業(yè)務(wù)應(yīng)用信息收集 ?業(yè)務(wù)類型及用戶 ?數(shù)據(jù)處理流程 ?數(shù)據(jù)安全管理 ?業(yè)務(wù)系統(tǒng)安全功能 ?業(yè)務(wù)事故案例 ?業(yè)務(wù)拓展?fàn)顩r ?源代碼 組織管理信息收集 ? 安全組織 ? 安全人員 ? 安全策略 ? 安全制度 ? 資產(chǎn)管理 2 3 4 99 Professional Security Solution Provider 各評估方法的具體內(nèi)容 數(shù)據(jù)采集 評估工具采集 定量 ? 入侵檢測 ? 漏洞掃描 人工審計采集 定量 ? 腳本提取 ? ACL、路由表提取 問卷訪談 采集 定性 ? 領(lǐng)導(dǎo)主管層 ? 技術(shù)管理層 ? 最終用戶層 1 2 3 4 勘察調(diào)研 采集 定性 ? 物理安全 ? 環(huán)境安全 ? 行為安全 100 Professional Security Solution Provider 安全評估服務(wù) ? 評估方法（技術(shù)） – 工具掃描 – 滲透測試 – 人工檢查 – 采樣分析 資產(chǎn)評估 （影響分析） 資產(chǎn)信息 安全風(fēng)險評估 威脅評估 威脅信息 脆弱性評估 脆弱性信息 風(fēng)險信息 ? 評估方法（管理） – 問卷調(diào)查 – 顧問訪談 – 文檔審核 – 策略分析 101 Professional Security Solution Provider 安全加固服務(wù) ? 系統(tǒng)增強(qiáng)配臵 – 補(bǔ)丁安裝 – 口令帳戶策略 – 服務(wù)與端口安全 – 增強(qiáng)日志審計能力 ? 增強(qiáng)遠(yuǎn)程管理安全 – 改變維護(hù)方式 – 修改登陸策略 ? 重要系統(tǒng)將進(jìn)入安全管理服務(wù)定期 保護(hù) 安全加固主要面向主流操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備進(jìn)行。 ? 參與了多項國內(nèi)安全標(biāo)準(zhǔn)的制定，承擔(dān)了多項國家安全研究課題的工作。 ?六年來一直維護(hù)國內(nèi)最權(quán)威的安全漏洞庫，數(shù)目已經(jīng)超過 9000條。 對各種拒絕服務(wù)（包括 DDoS)攻擊進(jìn)行檢測、防御的專用硬件設(shè)備