【正文】 特征簽名，防范網(wǎng)絡(luò)攻擊行為 ?支持 對(duì) 代理封裝的網(wǎng) 絡(luò)協(xié)議 直接 進(jìn) 行病毒 掃 描和 應(yīng) 用控制（某些 競(jìng) 爭(zhēng)對(duì) 手需通 過 ICAP協(xié)議進(jìn) 行流量 轉(zhuǎn)發(fā) ，部署復(fù) 雜 且影響性能） 39 案例：某省食品藥品監(jiān)督管理局 SWG部署示意圖 滿 足 審計(jì) 需求，利用 SWG獨(dú)有的完整網(wǎng)址 審查記錄功能， 結(jié) 合當(dāng)前活 動(dòng) 目 錄 中的用 戶 信息， 記錄 著每一位 職員 的互 聯(lián) 網(wǎng) 訪問 情況。 22 三大功能 安全 入侵檢測(cè) 入侵防護(hù) 防止內(nèi)部人員違規(guī) 主機(jī)防火墻 遵從和審計(jì) 系統(tǒng)事件監(jiān)控 文件監(jiān)控 權(quán)限控制 行為控制 配置管理 配置鎖定 系統(tǒng)鎖定 應(yīng)用配置監(jiān)控 23 SCSP防護(hù)能力 ? 緩存溢出保護(hù) ? 操作系統(tǒng)加固 ? 注冊(cè)表保護(hù) ? 文件系統(tǒng)保護(hù) ? 定制攻擊防護(hù)策略 ? 主機(jī)防火墻功能 ? 移動(dòng)設(shè)備控制 ? 交互式程序控制 ? 超級(jí)用戶 /管理員權(quán)限控制 ? 操作系統(tǒng)審計(jì)日志的監(jiān)控和響應(yīng) Virtualization Security Manager的意 義 ? 提高你 的虛 擬環(huán) 境的安全 – 從外部 和內(nèi)部威 脅 中 確保 管理程序的安全 – 在 實(shí) 例之 間 執(zhí) 行 邏輯 分離，使之 變 成獨(dú)立的 資產(chǎn) – 細(xì) 粒度的 訪問 控制 ? 降低宕機(jī) 風(fēng)險(xiǎn) – 管理 實(shí) 例和管理程序的配置 設(shè) 置 – 防止 計(jì) 劃外的更改 – 自 動(dòng) 化配置 評(píng) 估 ? 合 規(guī) 需求 – 強(qiáng) 制分割 實(shí) 例 為 有限的合 規(guī)審計(jì) 范 圍 – 詳細(xì) 的操作日志 – 配置 報(bào) 告 24 CCS VSM 填充關(guān) 鍵 平臺(tái) 訪問 缺口 Virtualization 平臺(tái)缺口 CCS VSM 解決方案 通 過 共享一個(gè) root賬戶 多個(gè)管理 員 可以匿名登錄 主機(jī) 使用 root 密 碼 跳 轉(zhuǎn) (簽 入 /簽 出 ) 來保障管理 員的獨(dú)立性 通 過 直接 連 接 主機(jī) ，管理 員 可以 繞過 vCenter進(jìn)行 訪問 控制和登 錄 控制和 記錄 通 過 任何 連 接方法的 訪問 , 建立 問責(zé)制 在多租 戶 的 環(huán) 境下， 管理 員 能 夠訪問 其他 組織 的虛 擬 工作區(qū) 確保管理 員 只能 訪問 自己的 組織 的數(shù)據(jù)和 應(yīng) 用程序 ，確保多租 戶 下的安全 平臺(tái)允 許 通 過 默 認(rèn) 密 碼 或被破解的 admin密 碼的 訪問 防止使用默 認(rèn) 的密 碼 ，支持多因素身份 驗(yàn)證 防止未授 權(quán) 的 訪問 當(dāng)前或者曾 經(jīng) 的管理 員 可以使用后臺(tái) 賬戶 不被發(fā)現(xiàn) 的 訪問 平臺(tái) 控制和 記錄 每個(gè)管理 員賬戶 的 訪問 ，防止重大安全漏洞 25 CCS VSM填充關(guān) 鍵 平臺(tái) 訪問 缺口 Virtualization 平臺(tái)缺口 CCS VSM 解決方案 一個(gè)系 統(tǒng) 管理 員 可以 關(guān) 閉 任何虛 擬應(yīng) 用 通 過 控制 資 源管理范 圍 保 護(hù)業(yè)務(wù)連續(xù) 性 管理 員 可以 創(chuàng) 建未 經(jīng) 批準(zhǔn)的 虛 擬 機(jī)， 這 些可能是誤 操作但 對(duì) 合 規(guī) 會(huì) 產(chǎn) 生影響 通 過 控制虛 擬 機(jī) 創(chuàng) 建 權(quán) 防止破壞性的 結(jié) 果 管理 員 可以禁用安全 措施 如虛 擬 防火 墻 和 防病毒 通 過 禁止未 經(jīng) 批準(zhǔn)關(guān) 閉 虛 擬 安全措施 保 護(hù) 安全性 管理 員 復(fù)制敏感數(shù)據(jù)從一個(gè) 虛 擬 機(jī)到 外部存 儲(chǔ) 通 過對(duì) 虛 擬資 源的控制 保 護(hù) 敏感數(shù)據(jù) 管理 員 可以使用一個(gè)泄露的副本 替代一個(gè) 關(guān) 鍵的虛 擬 機(jī) 而沒有留下 軌 跡 通 過創(chuàng) 建一個(gè)永久的、不可被 篡 改的操作 記錄 曝光 篡 改行 為 管理 員 可以將低信任的虛 擬 工作 負(fù)載 轉(zhuǎn) 成 高信任服 務(wù) 器或虛 擬 子網(wǎng) ,反之亦然 通 過 防止信任等 級(jí) 的混合 緩 解安全和合 規(guī)風(fēng)險(xiǎn) 26 Symantec Security Information Manager Symantec? Security Information Manager (SSIM) 是安全信息和事件管理的的統(tǒng)一平臺(tái) ,他能幫助用戶 : – 統(tǒng)一收集并分類整個(gè)企業(yè)的安全日志 – 識(shí)別并解決重大安全事件 – 做為整個(gè)企業(yè)的安全事件總控中心 – 滿足在安全監(jiān)控和日志存貯方面的審計(jì)和合規(guī)需求 28 安全管理運(yùn)維的關(guān)鍵： 事件 (Events)?事故 (Incident)的鑒別流程 采集 支持 200多種產(chǎn)品，包括 SNMP、Syslog、 ODBC以及通用接口等方式 全球威脅聯(lián)動(dòng) 全球探測(cè)網(wǎng)絡(luò) , 提供聯(lián)動(dòng)實(shí)時(shí)威脅聯(lián)動(dòng) 優(yōu)先級(jí)劃分 提供資產(chǎn)信息 \威脅信息 \漏洞信息的關(guān)聯(lián)分析 , 進(jìn)行優(yōu)先級(jí)劃分 關(guān)聯(lián)分析 利用運(yùn)維經(jīng)驗(yàn) ,提供關(guān)聯(lián)方法 , 和關(guān)聯(lián)規(guī)則庫以及技術(shù)參數(shù) 歸并、過濾、存儲(chǔ) 大量運(yùn)維經(jīng)驗(yàn)對(duì)事件進(jìn)行 EMR分類歸并 標(biāo)準(zhǔn)化 與 100多家安全廠商的長(zhǎng)期合作 呈現(xiàn)和處理 提供更新的知識(shí)庫提供處理意見 事件 /日志 事故 29 ?外部攻擊 ?外部掃描探測(cè)攻擊 ?業(yè)務(wù)端口之外的試圖請(qǐng)求連接行為 ?DDOS拒絕服務(wù)攻擊 ?SQL注入類攻擊 ?Smurf Attack攻擊 ?Trojan端口連接行為 ?針對(duì) DNS服務(wù)器的攻擊 ?內(nèi)部服務(wù)器對(duì)外異常連接請(qǐng)求 ?業(yè)務(wù)審計(jì) ?同一帳號(hào)多次嘗試登入失敗 ?同一賬號(hào)同時(shí)多點(diǎn)嘗試登入 ?賬號(hào)已登入，同一賬號(hào)通過其他源 地址仍然嘗試登入 ?同一源地址多次嘗試登入失敗 案例：國(guó)內(nèi)某銀行安全日志統(tǒng)一管理系統(tǒng) 業(yè)務(wù)安全 服務(wù)器日常維護(hù)管理的主要因素 查詢和 清單 設(shè)置 軟件分發(fā)和補(bǔ)丁程序管理 監(jiān)控 和警報(bào) 監(jiān)控和警報(bào) ? 通過集中式事件控制臺(tái)，更深入地了解服務(wù)器的狀態(tài) ? 為啟用新策略和標(biāo)準(zhǔn)提供簡(jiǎn)化的策略創(chuàng)建過 程 ? 支持多種平臺(tái)操作系統(tǒng)(Windows,linux,Aix,Esx,Solaris)等 ? 無代理監(jiān)控，支持網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的發(fā)現(xiàn) ? 實(shí)時(shí)性能數(shù)據(jù)和歷叱數(shù)據(jù)的查詢和分析 ?Meijer—“我們可以通過圖表了解 SQL 服務(wù)器發(fā)生的更改對(duì)其他計(jì)算機(jī)產(chǎn)生的影響。 – 輸出定期檢查報(bào)告 ,作為外審依據(jù) ? 系統(tǒng)變更 – 跟蹤系統(tǒng)變更 ,對(duì)比變更前后差別 ,保證變更內(nèi)容合規(guī) – 提供變更建議 (加載補(bǔ)丁 ),作為變更依據(jù) – 輸出變更檢查報(bào)告 ,作為外審依據(jù) ? 故障處理 – 了解系統(tǒng)配置情況 ,為故障處理提供幫助 – 對(duì)比故障處理前后差別 – 輸出故障處理報(bào)告 ,作為外審依據(jù) Symantec Critical System Protection ? 主機(jī)保護(hù)產(chǎn)品 SCSP提供完整的主機(jī)入侵防護(hù)解決方案。 安全策略 Standards ? ISO 17799 ? HIPAA ? GLBA … Controls ? Passwords ? Permissions ? Services ? Files … 基于策略基準(zhǔn)對(duì)系統(tǒng)設(shè)定和配置進(jìn)行詳盡的檢查 Windows UNIX Linux Netware VMS AS/400 Database Web 詳盡的一致性報(bào)告 (Technical Controls and Standards) Servers 應(yīng)用平臺(tái) 評(píng)估策略的實(shí)現(xiàn) 通過報(bào)表持續(xù)地自動(dòng)審計(jì)企業(yè)的 IT風(fēng)險(xiǎn)狀況 37 將主機(jī)安全審計(jì)融入日常運(yùn)維 ? 新系統(tǒng)上線 – 制定上線安全評(píng)估流程和方法