信息安全技术(HCIA-Security)-第十三次课-安全运营简介和数据监控与分析课件.pptx

1、安全运营简介第1页前言l在当今信息时代，安全运营逐渐成为一个热门话题。信息安全事故层出不穷，大大影响了企业的正常运行，迄今为止已对世界各地企业造成了不可估量的损失，而安全运营是全方面保证企业业务持续安全运行的必要条件。本章节将介绍安全运营的基本概念，并且对安全运营需要具备的条件进行简单介绍。第2页目标学完本课程后，您将能够：p描述安全运营的概念p了解安全运营的内容第3页目录1.安全运营概念安全运营概念n安全运营概念p安全运营基本要求2.安全运营内容简述第4页安全运营概念l在企业信息安全建设初期，企业安全工作主要内容是通过购买一系列的安全设备部署在各个协议层以保证业务日常的稳定运行。l而随着安全

2、问题频发，如信息泄露事件、自然灾害等，从业人员逐渐意识到仅仅部署安全设备并不能实现有效的安全运营。安全运营必须是资源、流程和管理的有效结合，才能达到保护企业业务安全持续稳定运行的目的。第5页目录1.安全运营概念安全运营概念p安全运营概念n安全运营基本要求2.安全运营内容简述第6页安全运营基本条件l安全运营涉及方方面面的要求，以下为安全运营的基本运营条件：安全运营业务连续性计划物理安全管理安全运营事件预防及响应灾难恢复计划调查取证l保护资源的配置l理解和应用基本的安全操作原则l采用资源保护技术l执行和支持补丁及脆弱性管理l参与和理解变更管理流程l参与解决人身安全l管理日志和监控行为l实施事件管理

3、l操作和维护预防措施l实施恢复策略l执行灾难恢复过程l测试灾难恢复计划l理解和支持调查l理解调查取证类别的要求第7页第8页目录1.安全运营概念2.安全安全运营运营内容内容简述简述n业务连续性计划p事件响应管理p灾难恢复计划p调查取证第9页业务连续性计划l业务连续性计划（Business Continuity Planning，BCP）的目标是在紧急情况下提供快速、沉着和有效的响应，从而增强企业立即从破坏性事件中恢复过来的能力。业务连续性计划基本步骤项目范围和计划编制连续性计划编制BCP文档化业务影响评估第10页项目范围和计划l任何流程或计划的制定都必须依据具体组织的实际业务的规模和性质，符合企

4、业文化，并且遵守相关法律。如下是制定计划初期无额定项目范围的具体要求：业务组织分析BCP团队组建资源要求法律和法规要求 第11页业务影响评估l业务影响评估（Business Imapct Assessment）确定了能够决定组织持续发展的资源，以及对这些资源的威胁，并且还评估每种威胁实际出现的可能性以及出现的威胁对业务的影响。业务影响评估包含以下部分：确定优先级确定优先级风险识别风险识别可能性评估可能性评估影响评估影响评估资源优先级资源优先级划分划分第12页连续性计划编制l上两个阶段主要用于确定BCP的工作过程以及保护业务资产的有限顺序，在连续性计划编制阶段则注重于连续性策略的开发和实现，在这

5、一阶段涉及以下任务：2345计划实现预备和处理培训和教育计划批准1策略开发第13页BCP文档化l将BCP文档化有助于在发生紧急事件时，此文档能够对BCP人员提供处理威胁事件的指导。同时，该文档记录了修改历史，为后续处理类似事件或者文档修改提供经验借鉴。文档的内容应当包含以下内容：p连续性计划的目标p重要性声明p组织职责的声明p紧急程度和时限的声明p风险评估p可接受的风险/风险调解p重大记录计划p响应紧急事件的指导原则p维护p测试和演习第14页目录1.安全运营概念2.安全安全运营运营内容内容简述简述p业务连续性计划n事件响应管理p灾难恢复计划p调查取证第15页事件响应管理l并非所有的威胁事件都能

6、被预防，业务连续性计划提供了处理紧急事件的流程指导，尽快地对威胁事件进行响应，能够尽量减少事件对组织的影响。响应缓解报告恢复修复检测经验教训第16页目录1.安全运营概念2.安全安全运营运营内容内容简述简述p业务连续性计划p事件响应管理n灾难恢复计划p调查取证第17页灾难恢复计划l在灾难事件导致业务中断时，灾难恢复计划开始生效，指导紧急事件响应人员的工作，将业务还原到正常运行的状态。l灾难恢复计划包括以下内容：实施恢复策略执行灾难恢复过程测试灾难恢复计划第18页目录1.安全运营概念2.安全安全运营运营内容内容简述简述p业务连续性计划p事件响应管理p灾难恢复计划n调查取证第19页调查l在采取措施之

7、前，需要确定攻击已经发生，攻击发生之后需要对该安全事件进行调查和收集证据，调查是为了找出发生了什么，以及该事件的损害程度。操作型调查犯罪调查民事调查监管调查电子发现第20页证据l为了成功地检举犯罪，必须提供足够的证据来证实犯罪行为。证据的类型分为：p实物证据p文档证据p言辞证据第21页调查取证流程事故确认请求执法证据收集及保存约谈个人提起诉讼第22页思考题1.业务连续性计划和灾难恢复计划有什么区别？第23页本章总结l安全运营概念l安全运营内容简述第24页谢谢数据监控与分析第26页前言l本章主要介绍如何通过技术手段获取有效信息，并针对获取的信息分析，定位安全风险与威胁。l数据的收集可以从互联的网

8、络设备中采集，也可以检查提供服务的终端系统。在安全事件发生前，通过数据的监控和分析，主动分析网络的安全风险，加固网络；在安全事件发生后，通过数据的监控和分析，迅速定位安全威胁，为攻击防御与取证提供支持。第27页目标l学完本课程后，您将能够：p描述数据监控与分析的技术手段p描述数据采集的过程p使用威胁定位的技术第28页目录1.数据数据监控监控n主动分析p被动采集2.数据分析第29页主动分析l主动分析：在攻击发生前，对网络的状况进行安全评估，对暴露的问题进行及时的改正，加固网络，提升网络的安全性。l安全评估方法如图所示：安全评估方法1.安全扫描2.人工审计3.渗透测试4.调查问卷5.访谈调研第31

9、页安全扫描l工作目标：为了充分了解目标系统当前的网络安全漏洞状况，需要利用扫描分析评估工具对目标系统进行扫描，以便发现相关漏洞。l工作内容：p系统开放的端口号p系统中存在的安全漏洞p是否存在弱口令pSQL注入漏洞p跨站脚本漏洞 l工作输出p 扫描工具生成结果安全扫描安全扫描人工审计渗透测试问卷调查访谈调研第32页扫描工具工具类型工具类型工具名称工具名称用途用途扫描类型端口扫描软件superscan 功能强大的端口扫描软件：通过Ping来检验IP是否在线；检验目标计算机提供的服务类别；检验一定范围目标计算机的是否在线和端口情况。Nmap是Linux下的网络扫描和嗅探工具包。基本功能：一是探测一组

10、主机是否在线；其次是扫描 主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统。漏洞扫描工具Sparta集成于Kali内的漏洞扫描工具，能够发现系统中开启的服务以及开放端口，还可以根据字典，暴力破解应用的用户名和密码。应用扫描Burp SuiteBurp Suite 是用于渗透web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。第33页Superscan工具使用展示l如图，使用Superscan对实验环境中的web服务器进行扫描，测试如图：第34页查看Superscan扫描结果l在“Scan”菜单栏，点解“View HTML Resu

11、lt”查看扫描结果，如下图：第35页Nmap工具使用展示l选择“Application”中的“Information Gathering”，点击“Nmap”，如图：第36页查看Nmap扫描结果l根据Nmap工具的参数规则，对目标系统进行信息收集，如下图是对主机开放的TCP端口进行扫描：第37页Sparta工具使用展示l选择“Application”中的“Vulnerability Analysis”，点击“Sparta”，如图：第38页查看Sparta扫描结果l在操作界面添加要扫描的地址网段或主机地址，进行扫描，如图展示了目标主机开放的端口及应用，而且可以查看操作系统的信息：第39页Burp

12、Suite使用展示lBurp Suite会向应用发送请求并通过payload验证漏洞。它对下列的两类漏洞有很好的扫描效果：p客户端的漏洞，像XSS、Http头注入、操作重定向；p服务端的漏洞，像SQL注入、命令行注入、文件遍历。第40页Burp Suite扫描结果l在Results界面，自动显示队列中已经扫描完成的漏洞明细。第41页人工审计l工作目标p人工审计是对工具评估的一种补充，它不需要在被评估的目标系统上安装任何软件，对目标系统的运行和状态没有任何影响，在不允许安装软件进行检查的重要主机上显得非常有用。l工作内容p安全专家对包括主机系统、业务系统、数据库、网络设备、安全设备等在内的目标系

13、统进行人工检查。p检查的内容视检查目标不同将可能涵盖以下方面：n是否安装最新补丁 n是否使用服务最小化原则，是否开启了不必要的服务和端口n防火墙配置策略是否正确 安全扫描人工审计人工审计渗透测试问卷调查访谈调研第42页渗透测试l渗透测试是作为外部审查的一部分而进行的。这种测试需要探查系统，以发现操作系统和任何网络服务，并检查这些网络服务有无漏洞。l渗透测试的流程如下：1 信息收集、分析2 制定渗透方案、实施准备3 前段信息汇报、分析4 提升权限、渗透实施5 渗透结果总结6 输出渗透测试报告7 提出安全解决建议安全扫描渗透测试渗透测试问卷调查访谈调研渗透测试第43页调查问卷l调查对象p网络系统管

14、理员、安全管理员、技术负责人等l调查内容p业务、资产、威胁、脆弱性（管理方面）。l设计原p完整性、具体性、简洁性、一致性安全扫描渗透测试问卷调查问卷调查访谈调研渗透测试第44页访谈调研l访谈对象p安全管理员、技术负责人、网络系统管理员等l访谈内容p确认问卷调查结果p详细获取管理执行现状p听取用户想法和意见安全扫描渗透测试问卷调查访谈调研访谈调研渗透测试第45页目录1.数据监控数据监控p主动分析n被动采集2.数据分析第46页被动获取l被动获取：当攻击发生时，及时采集数据，分析攻击使用的方法，以及网络存在的问题，进行及时的补救，减少损失。l数据采集方式如下所示：数据采集抓包命令行抓包软件端口镜像日

15、志网络设备日志操作系统日志第47页抓包-命令行(1)l命令行：查看OSPF邻居建立过程。debugging ospf eventApr 12 2018 12:03:16.370.1-05:00 SW3 RM/6/RMDEBUG:FileID:0 x7017802d Line:1136 Level:0 x20 OSPF 1:Nbr 10.1.10.34 Rcv HelloReceived State Down-Init.Apr 12 2018 12:03:16.380.1-05:00 SW3 RM/6/RMDEBUG:FileID:0 x7017802d Line:1732 Level:0 x2

16、0 OSPF 1:Nbr 10.1.10.34 Rcv 2WayReceived State Init-2Way.Apr 12 2018 12:03:16.390.1-05:00 SW3 RM/6/RMDEBUG:FileID:0 x7017802d Line:1732 Level:0 x20 OSPF 1:Nbr 10.1.10.34 Rcv AdjOk?State 2Way-ExStart.Apr 12 2018 12:03:16.400.1-05:00 SW3 RM/6/RMDEBUG:FileID:0 x7017802d Line:1845 Level:0 x20 OSPF 1:Nbr

17、 10.1.10.34 Rcv NegotiationDone State ExStart-Exchange.Apr 12 2018 12:03:16.410.1-05:00 SW3 RM/6/RMDEBUG:FileID:0 x7017802d Line:1957 Level:0 x20 OSPF 1:Nbr 10.1.10.34 Rcv ExchangeDone State Exchange-Loading.Apr 12 2018 12:03:16.430.1-05:00 SW3 RM/6/RMDEBUG:FileID:0 x7017802d Line:2359 Level:0 x20 O

18、SPF 1:Nbr 10.1.10.34 Rcv LoadingDone State Loading-Full.第48页抓包-命令行(2)l命令行：查看OSPF报文信息具体内容。debugging ospf packetApr 12 2018 12:05:42.930.2-05:00 SW3 RM/6/RMDEBUG:Source Address:10.1.10.34Apr 12 2018 12:05:42.930.3-05:00 SW3 RM/6/RMDEBUG:Destination Address:224.0.0.5Apr 12 2018 12:05:42.940.1-05:00 SW3

19、 RM/6/RMDEBUG:Ver#2,Type:1(Hello)Apr 12 2018 12:05:42.940.2-05:00 SW3 RM/6/RMDEBUG:Length:48,Router:34.34.34.34Apr 12 2018 12:05:42.940.3-05:00 SW3 RM/6/RMDEBUG:Area:0.0.0.0,Chksum:4dcfApr 12 2018 12:05:42.940.4-05:00 SW3 RM/6/RMDEBUG:AuType:00Apr 12 2018 12:05:42.940.5-05:00 SW3 RM/6/RMDEBUG:Key(as

20、cii):*dApr 12 2018 12:05:42.940.6-05:00 SW3 RM/6/RMDEBUG:Net Mask:255.255.255.0eApr 12 2018 12:05:42.940.7-05:00 SW3 RM/6/RMDEBUG:Hello Int:10,Option:_E_Apr 12 2018 12:05:42.940.8-05:00 SW3 RM/6/RMDEBUG:Rtr Priority:1,Dead Int:40Apr 12 2018 12:05:42.940.9-05:00 SW3 RM/6/RMDEBUG:DR:10.1.10.34Apr 12 2

21、018 12:05:42.940.1-05:00 SW3 RM/6/RMDEBUG:BDR:10.1.10.33Apr 12 2018 12:05:42.940.2-05:00 SW3 RM/6/RMDEBUG:#Attached Neighbors:1Apr 12 2018 12:05:42.940.3-05:00 SW3 RM/6/RMDEBUG:Neighbor:33.33.33.33第49页抓包-工具(1)l使用wireshark抓包工具，查看OSPF邻居建立过程。第50页抓包-工具(2)l使用wireshark抓包工具，查看OSPF报文信息具体内容。第51页端口镜像l端口镜像是指设备

22、复制从镜像端口流经的报文，并将此报文传送到指定的观察端口进行分析和监控。监控设备镜像端口观察端口Client 1Client 2Client 3第52页网络设备日志l以USG6330为例，支持日志与报表，当硬盘不在位时，仅能查看并导出系统日志及业务日志。l硬盘不在位：l硬盘在位：第54页防火墙日志格式l防火墙支持的日志格式：格式使用场景二进制格式会话日志以二进制格式输出时，占用的网络资源较少，但不能在FW上直接查看，需要输出到日志服务器查看。Syslog格式话日志、丢包日志以及系统日志以Syslog格式输出时，日志的信息以文本格式呈现。Netflow格式对于会话日志，FW还支持以Netflow

23、格式输出到日志服务器进行查看，便于管理员分析网络中的IP报文流信息。Dataflow格式业务日志以Dataflow格式输出，在日志服务器上查看。第55页系统日志l以防火墙USG6000为例，查看系统日志：p选择“监控 日志 系统日志”，查看防火墙的系统日志信息。第56页业务日志l以防火墙USG6000为例，查看业务日志：p选择“监控 日志 业务日志”，查看防火墙的业务日志信息。第57页告警信息l以防火墙USG6000为例，查看业务日志：p选择“监控 日志 告警信息”，查看防火墙的告警信息。第58页操作系统日志l以windows为例，点击“开始”，右键“计算机”，选择“管理”，选择“系统工具 事

24、件查看器 Windows日志”，如下图：l以windows操作系统为例，操作系统日志分为：p系统日志p应用程序日志p安全日志第59页Windows日志分类lWindows系统日志类型：日志类型日志类型作用作用Vista/Win7/Win8/Win10/Server 2008/Server 2012存储位置存储位置系统日志记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据。%SystemRoot%System32WinevtLogsSystem.evtx应用程序日志包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件。%SystemRoot%System32

25、WinevtLogsApplication.evtx安全日志记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、帐号管理、策略变更、系统事件。%SystemRoot%System32WinevtLogsSecurity.evtx第60页Windows日志存储位置l以安全日志为例，选择“属性”，查看日志的具体信息，如下图：第61页Windows日志事件类型l日志事件类型：事件类型事件类型作用作用信息（Information）应用程序、驱动程序或服务的成功操作的事件。警告（Warning）不是直接的、主要的，但是会导致将来问题的发生。例如，当磁盘空间不足或未找到打

26、印机时，都会记录一个“警告”事件。错误（Error）错误事件通常指功能和数据的丢失。例如,如果一个服务不能作为系统引导被加载，那么它会产生一个错误事件。成功审核（Success audit）成功的审核安全访问尝试，主要是指安全性日志，这里记录着用户登录/注销、对象访问、特权使用、账户管理、策略更改、详细跟踪、目录服务访问、账户登录等事件，例如所有的成功登录系统都会被记录为“成功审核”事件。失败审核（Failure audit）失败的审核安全登录尝试，例如用户试图访问网络驱动器失败，则该尝试会被作为失败审核事件记录下来。第62页Windows日志格式lWindows日志由两部分组成：头部字段和描

27、述字段。第63页目录1.数据监控2.数据分析数据分析n日志分析p分析工具介绍第64页数据分析l打击计算机网络犯罪的关键，是如何在计算机系统中提取和分析计算机犯罪分子留在计算机中的“痕迹”，使之成为能够追踪并抓获犯罪嫌疑人的重要手段和方法。网络中发生的重要事件都会被记录在日志中，因此，对日志的分析尤为重要。网络设备日志操作系统日志事件WhoWhenWhereHowWhat日志分析事件第65页日志分析要点Who用户访客When时间where位置设备接口服务How有线无线VPNWhat行为设备类型资源第66页网络设备日志分析l以防火墙为例，可以通过日志，分析攻击行为。如下图，通过“威胁日志”发现存在

28、IP Spoof Attack，并可以获得攻击的时间，使用的协议，接收接口等信息。第67页操作系统日志分析l由于日志中记录了操作系统的所有事件，在大量的信息中快速筛选出关键信息尤为重要。Windows操作系统中可以根据需要筛选关键事件，如下图：第68页用户登录与注销事件分析l使用场景：p判断哪些用户登录过操作系统。p分析用户对操作系统的使用情况。l事件ID：p4624 登陆成功（安全日志）p4625 登录失败（安全日志）p4634 注销成功（安全日志）p4672 使用超级用户（管理员）进行登录（安全日志）第69页用户登录成功与失败事件l如图，分别展示了安全日志中记录的用户登陆成功，登录失败的具

29、体日志信息。第70页用户注销与特权登录事件l如图，分别展示了安全日志中记录的用户注销与使用特权登录的具体日志信息。第71页修改系统时间事件分析l使用场景：p查找用户修改系统时间的证据。l事件ID：p1 Kernel-General（系统日志）p4616 更改系统时间（安全日志）第72页修改系统时间事件日志l如图，分别展示了系统日志与安全日志中记录的修改系统时间的事件。第73页外部设置使用事件分析l使用场景：p分析哪些硬件设备何时安装到系统中。l事件ID：p20001/20003 即插即用驱动安装（系统日志）第74页外部设置使用事件日志l如图，展示了系统日志中记录的外部设备驱动安装的事件。第75

30、页目录1.数据监控2.数据分析数据分析p日志分析n分析工具介绍第76页日志分析工具lLog Parser是微软公司出品的日志分析工具，它功能强大，使用简单，可以分析基于文本的日志文件、XML 文件、CSV（逗号分隔符）文件，以及操作系统的事件日志、注册表、文件系统、Active Directory。但需要能够熟练的使用SQL语言。lLog Parser Lizard使用图形界面，比较易于使用，甚至不需要记忆繁琐的命令，只需要做好设置，写好基本的SQL语句，就可以直观的得到结果。第77页Log Parser Lizard使用展示(1)l如图，展示了使用Log Parser Lizard筛选“TOP 1000 Windows Event”的结果。第78页Log Parser Lizard使用展示(2)l如图，展示了使用Log Parser Lizard筛选“Count event types from System”的结果。第79页思考题1.安全评估方法不包括以下哪个选项？（）A.安全扫描B.人工审计C.渗透测试D.调查取证2.Windows日志分类不包括以下哪个选项？（）A.系统日志B.安全日志C.应用程序日志D.业务日志第80页本章总结l数据监控p主动分析p被动采集l数据分析p日志分析p分析工具介绍第81页谢谢