1、主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统什么是安全?什么是安全?Security is the reduction of risk安全就是降低风险,并使之达到安全就是降低风险,并使之达到“可接受可接受”的程度的程度整体安全整体安全技术因素全面技术因素全面服务保证服务保证信息安全体系的
2、构成信息安全体系的构成安全服务系统单元应传网链物用输络路理层层层层层认证访问控制数据完整性数据保密抗抵赖 可用性安全管理安全管理安全管理协议层次审计物 理 安 全计算机网络安全计算机系统安全应用系统安全 传统网络安全防御体系传统网络安全防御体系动态防御体系动态防御体系在在防护防护检测检测响应响应 (PDR) 模模型基础上的动态防御体系型基础上的动态防御体系, 因为因为其优异的自适应、其优异的自适应、 自控制、自控制、 自自反馈特性反馈特性, 已经在国际上得到了已经在国际上得到了广泛的接受和采纳广泛的接受和采纳. 安全的系统应当满足安全的系统应当满足P(t)P(t)防护时间防护时间D(t)D(t
3、)检测时间检测时间+ R(t)+ R(t)响应时间响应时间 防护的成本取决于风险导致的损失防护的成本取决于风险导致的损失 风险的大小和时间高度正相关风险的大小和时间高度正相关 防御体系的建立必须围绕实时性和应急机制来充防御体系的建立必须围绕实时性和应急机制来充分提高其性能价格比分提高其性能价格比 PDRPDR安全实用性模型安全实用性模型动态防御体系动态防御体系新型安全体系新型安全体系安安全全策策略略(业业务务和和组组织织规规范范) 安安全全惯惯例例(安安全全组组织织、物物理理安安全全、个个人人安安全全、操操作作安安全全等等) 体体系系和和机机制制 安安全全服服务务 过过程程和和方方法法 认认证
4、证 授授权权 连连续续性性 完完整整性性 抗抗抵抵赖赖 审审计计 安安 全全 基基 础础 设设 施施 网网 络络 安安 全全 安安 全全 技技 术术 安安 全全APIs 安安 全全 令令 牌牌 可可用用性性 风风 险险 评评 估估 安安全全 监监控控 事事件件 管管理理 业业务务 连连续续 性性 灾灾难难 恢恢复复 计计划划 安安全全 保保障障 安安全全 鉴鉴定定 法法律律法法规规遵遵从从性性和和环环境境调调整整(银银行行业业、取取证证、电电子子传传输输等等) 主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安
5、全评估与漏洞扫描网络审计网络审计CA系统系统安全解决方案模型安全解决方案模型访问控制内容安全审计响应冗余恢复鉴别认证数据完整性认证访问控制数据保密性抗 抵 赖审 计可 用 性相邻节点间的认证主机、路由器等源发认证包过滤防火墙电路层防火墙(如SOCKs)主机或路由器间IPSec等协议点到点加密机数字签名第三方公证应用层安全通信协议,如SSL身份认证应用层代理或网关用户授权与访问控制流量分析入侵监测网络结构设计,路由系统安全,基础服务安全,网络管理应用系统的容错容灾、服务管理主机和服务的审计记录分析点到点加密机传输层安全通信协议数据链路层与物理层网络层传输层应用层 体系与技术的对应关系体系与技术的
6、对应关系防护的主要技术防护的主要技术访问控制访问控制:ACL,VLAN,:ACL,VLAN,防火墙防火墙加密机加密机,VPN,VPN认证认证,CA,CA检测的主要技术检测的主要技术入侵检测系统入侵检测系统漏洞扫描系统漏洞扫描系统病毒防护病毒防护响应的主要技术响应的主要技术报警、记录、阻断、联动、反击报警、记录、阻断、联动、反击PDRPDR主要技术主要技术静态与动态安全技术静态与动态安全技术 静态防护:静态防护:被动的,滞后的防御被动的,滞后的防御 动态防护:动态防护:主动的、实时的防御主动的、实时的防御综合防御综合防御安全解决方案安全解决方案防病毒制订最高安全方针落实项目的安全审核工作明确安全
7、领导小组工作职责策略的有效发布和执行策略体系开发和建立安全培训与资质认证落实安全责任文件安全组织建设资产鉴别和分类项目制订全员网络安全教育计划第三方安全管理策略的定期审查和修订BS7799认证项目网络安全域隔离和划分统一时钟服务防火墙和网络隔离紧急响应体系动态口令系统入侵监测系统主机安全业务连续性管理聘请专业公司或者专家作为顾问周期性风险评估服务项目日志监控系统冗余、备份和恢复可信信道数据源鉴别网络设备安全安全管理中心和网络安全平台PKI体系可行性分析基础项目基础项目优先项目优先项目非优先项目非优先项目长期项目长期项目技术类项目技术类项目管理类项目管理类项目表示支持或支撑作用IT安全框架资产威
8、胁防护措施策略框架组织框架运作框架技术框架鉴别和认证I&A访问和控制AC审计跟踪AT恢复和冗余R&R内容安全CS体系到解决方案体系到解决方案风险评估服务风险评估服务顾问服务顾问服务顾问服务顾问服务CA/RSA基于系统基于系统AC功能功能漏洞扫描漏洞扫描IDS网络架构网络架构安全分析安全分析网络架构网络架构安全分析安全分析防火墙防火墙系统系统冗余设计冗余设计防病毒防病毒安全管理安全管理平台平台加密加密/完整检查完整检查主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统防
9、火墙功能防火墙功能 防火墙就是一个位于计算机和它所连接的网络之间的硬件或软件。所有流入流出的网络通信均要经过此防火墙。为什么要使用防火墙为什么要使用防火墙 ? 防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。可将防火墙配置成许多不同保护级别。高级别的保护可以禁止一些服务,如视频流,Java,ActiveX,JavaScript脚本等 有时需要将内部网络划分为多个网段,为不同的部门设置不同的访问级别防火墙五大基本功能防火墙五大基本功能 过滤进、出网络的数据,是网络安全的屏障 管理进、出网络的访问行为,防止内部信息的外泄封堵某些禁止的业务,对网络存取和访问进行控制
10、 记录通过防火墙的信息内容和活动对网络攻击的检测和告警,强化网络安全策略 防火墙的分类防火墙的分类按逻辑功能包过滤式防火墙:天融信,联想应用代理式防火墙:TIS状态检测防火墙 按体系结构硬件防火墙:Netscreen,Nokia,Cisco Pix软件防火墙:Checkpoint, ISA Server软硬结合 按操作模式网桥模式路由模式NAT按性能百兆千兆按部署方式边界(企业)防火墙个人(主机)防火墙防火墙中的主要技术防火墙中的主要技术 封包过滤(Packet Fileter) 状态检测(Stateful inspection) 网络地址转换NAT(Network Address Trans
11、form) 代理技术(Proxy)封包过滤封包过滤封包过滤(Packet Fileter):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。状态检测状态检测状态检测(Stateful inspection):其工作原理是检测每一个有效连接的状态,并根据这些状态信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包,然后分析这些数据包,并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较,从而得到该数据包的控制信息,以达到提高效率、保护网
12、络安全的目的。 状态检测将数据包分成4种连接状态:New,Established,Related,Invalid 使用使用NATNAT的原因的原因 解决IP地址空间紧张的问题 共享 modem 拨号上网 多重服务器 (负载分担load-sharing)代理技术代理技术代理技术(Proxy): 也叫应用网关(Application Gateway),作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务(如http,ftp,smtp)编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。防火墙典型部署防火墙典型部署防火墙代理式防火墙部署示意图代理式
13、防火墙部署示意图代理客户实际服务器代理内部网络管理终端内部主机外部主机主要防火墙品牌主要防火墙品牌 中网 川大能士 方正数码 海信数码 华堂 华依科技 联想 龙马卫士通 三星防火墙 四川迈普 亿阳信通 中软华泰 中网通讯 天融信 东软 青鸟环宇 交大捷普 重庆银都天网 清华得实 中科安胜 华为 广州科达 广东海微 CheckPoint Netscreen Cisco Nokia 三星如何选择防火墙如何选择防火墙?主要指标 设计性能(M):10/100M,1000M 最大并发连接数(万) 接口类型、接口数 操作系统类型 MTBF (平均无故障时间/小时) 策略规则许可值 设计性能策略数 管理方式
14、 是否支持与IDS联动 是否支持VPN、是否支持SNMP 是否支持双机热备、负载均衡防火墙性能指标防火墙性能指标 吞吐率 0%10%20%30%40%1Single-Rule Bi 64帧 吞吐量率CISCO PIX525防火墙FORTIGATE(F400)防火墙NETSCREEN208防火墙诺基亚IP530防火墙NORTEL ASF185FE防火墙SERVGATE EdgeForce防火墙联想防火墙龙马卫士防火墙清华德实防火墙上海方正防火墙天融信防火墙亿阳信通防火墙千兆防火墙产品比较千兆防火墙产品比较产品名称 中软 HuaTech-2000 天融信 NGFW4000 1. 产品类型 硬件 硬
15、件 2. 接口类型 千兆光纤、千兆以太网 千兆光纤、千兆以太网 3. LAN 接口数 210 3 4. 并发连接数 50 万 100 万 5. 防火墙性能 650M 860M 6. OS 平台 专用安全操作系统 专用安全操作系统 7. 支持 SNMP、VPN 是 是 8. 内容过滤 内置、URL 级信息过滤 HTTP、POP3、FTP、TELNET、SNMP 9. 能防御 DOS攻击类型 端口扫描、拒绝服务、 IP 欺骗、非法 IP 报攻击等待 100 多种 内置 IDS 功能 10. 管理方式 WEB、RS232、TELNET、SSL WEB、RS232、SSH、SSL 11. HA 系统
16、双机备份、负载均衡 双机备份、负载均衡 12. 处理日志的方法 定 向 导 出 、 离 线 审 计 、 数 据 库 支持 自动导出、自动分析 13. 与 IDS 联动 是 是 百兆防火墙产品比较百兆防火墙产品比较产 品 名 称 中 网Lx300 天 融 信 NGFW 3000 1. 产 品 类 型 硬 件 硬 件 2. 接 口 类 型 百 兆 光 纤 、 百 兆 以 太 网 百 兆 光 纤 、 百 兆 以 太 网 3. LAN 接 口 数 2 6 3 4. 并 发 连 接 数 2.5 万 16 万 5. 防 火 墙 性 能 100M 100M 6. OS 平 台 专 用 安 全 操 作 系 统
17、 专 用 安 全 操 作 系 统 7. 支 持 SNM P 是 是 8. 内 容 过 滤 支 持 实 时 代 码 检 测 , 可 外 接 防 病毒 网 关 HTTP、 POP3、 FTP、 TELNET、SNM P 9. 能 防 御 DOS攻 击 类 型 DDOS, SYN FLOODING 内 置 IDS 功 能 10. 管 理 方 式 本 地 管 理 和 远 程 管 理 ,SSH,W EB界 面 W EB、 RS232、 SSH、 SSL 11. HA 系 统 双 机 备 份 、 负 载 均 衡 双 机 备 份 、 负 载 均 衡 12. 处 理 日 志 的 方法 支 持 周 期 备 份
18、自 动 导 出 、 自 动 分 析 13. 支 持 VPN、与IDS 联 动 是 是 东软东软NetEyeNetEye与与PIXPIX比较比较产品名称 东软 NetEye FW3.2 思科 PIX515E 1. 产品类型 硬件 硬件 2. 接口类型 千兆光纤、千兆以太网 百兆 RJ-45 3. LAN 接口数 3 2-6 个 4. 并发连接数 100 万 13 万 5. 防火墙性能 700M 188M 6. OS 平台 Linux PIX 操作系统 7. 支持 SNMP、 VPN 支持 SNMP,内置 VPN 支持 SNMP,内置无 VPN 8. 内容过滤 无 ActiveX,Java app
19、let 9. 能防御 DOS 攻击类型 Ping of Death,TCP SYN floods,防源路由攻击、IP 碎片包攻击、SYN 等多种攻击 Ping of Death,TCP SYN floods 10. 管理方式 C/S 结构的 GUI 管理、串口管理 串口、GUI、telnet,支持 SSH、SNMP管理协议 11. HA 系统 支持故障恢复(双机热备) 支持故障恢复(双机热备) 12. 处理日志的方法 审计日志存储方式:本地 无本地日志存储,必须设置远程日志服务器 13. 与 IDS 联动 支持 无 使用防火墙是否足够?使用防火墙是否足够? 防火墙属于静态防护 防火墙难于防内
20、防火墙难于管理和配置,易造成安全漏洞 防火墙的安全控制主要是基于IP地址的,难于为用户在防火墙内提供一致的安全策略 防火墙只实现了粗粒度的访问控制,且不能与企业内部使用的其它安全机制(如访问控制)集成使用 任何一个系统(尤其是底层系统和应用系统)中可能存在着安全漏洞,造成绕过防火墙的攻击 穿透防火墙的攻击穿透防火墙的攻击Unicode%255c策略80 端口 允许Del c:inetpubwwwrootdefault.aspUnicode: %255c绕过防火墙的攻击绕过防火墙的攻击拨号上网遭受攻击来自防火墙内部的攻击来自防火墙内部的攻击针对防火墙的攻击针对防火墙的攻击DOS攻击Fire Wa
21、lk主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统理解入侵检测系统理解入侵检测系统(IDS)(IDS)监控室监控室= =控制中心控制中心后门后门保安保安= =防火墙防火墙摄像机摄像机= =探测引擎探测引擎IDSIDS的主要功能的主要功能 监视分析用户和系统的行为 审计系统配置和漏洞 评估敏感系统和数据的完整性 识别攻击行为并告警 对异常行为进行统计 审计、跟踪、识别违反安全法规的行为 IDSIDS的分类的分类 基于网络的入侵检测系统:侦测速度快,隐蔽性好,视野更宽
22、,较少的监测点,攻击者不易转移证据 ,操作系统无关性,占用资源少 基于主机的入侵检测系统:性能价格比高,更加细腻,视野集中,易于用户剪裁,节省资源,对网络流量不敏感,适用于被加密的以及交换的环境,含有已发生事件信息,易于确定攻击是否成功IDSIDS工作过程工作过程网络数据包的获取网络数据包的获取DMA技术技术网络数据包的解码网络数据包的解码协议分析协议分析网络数据包的检查网络数据包的检查模式匹配模式匹配网络数据包的统计网络数据包的统计异常检测异常检测网络数据包的审查网络数据包的审查事件生成事件生成IDSIDS新的特性新的特性人机界面:人机界面:“GIS”显示与显示与IP定位定位IDSIDS新的
23、特性新的特性人机界面:人机界面:拓扑发现拓扑发现攻 击 类 型双击目标查看详细信息外 部 IP 地 址目标节点用可视化的方式显示当前安全状态用不同的颜色和形状表示关键点。(如外部IP)IDSIDS新的特性新的特性人机界面:人机界面:攻击活动显示攻击活动显示 IDSIDS新的特性新的特性扫描器扫描器防火墙防火墙网管系统网管系统验证系统验证系统IP定位系统IP定位系统入侵管理平台(联动系统)入侵管理平台(联动系统)CERT系统CERT系统IDS系统IDS系统全局的技术管理化全局的技术管理化建立全局预警体系,做到一点发现,全网皆知并及时响应建立全局预警体系,做到一点发现,全网皆知并及时响应攻击攻击I
24、DSIDS的作用的作用IDS的功能实质的功能实质 全面实时了解网络动态现状(而不是仅仅发现黑客的全面实时了解网络动态现状(而不是仅仅发现黑客的攻击)攻击) 大规模部署和多级管理的统一监控和全局预警能力大规模部署和多级管理的统一监控和全局预警能力 对网络行为进行分析综合和预测对网络行为进行分析综合和预测 在第一时间对网络中的危害做出反应在第一时间对网络中的危害做出反应 终止危害终止危害,防止损失扩大防止损失扩大 使系统恢复到正常的工作状态使系统恢复到正常的工作状态 保存攻击证据保存攻击证据 分析入侵行为分析入侵行为 追究攻击来源追究攻击来源IDSIDS的作用的作用对建设单位对建设单位 提升安全理
25、念提升安全理念 系统的安全认识系统的安全认识 全面的安全布局全面的安全布局 深入挖掘自身安全需求,增强投资意识深入挖掘自身安全需求,增强投资意识 量化安全投入,有效投入量化安全投入,有效投入 增强自身的免疫力增强自身的免疫力 便于及时在日常中发现薄弱环节,可以采用便于及时在日常中发现薄弱环节,可以采用多方面的措施加强安全;多方面的措施加强安全; 降低风险降低风险 及时发现风险,快速定位问题及时发现风险,快速定位问题IDSIDS的作用的作用对建设单位对建设单位 减少损失减少损失 出现突发事件时,可以做到全局预警,迅速定出现突发事件时,可以做到全局预警,迅速定位,采取措施,使网络整体的损失降到最低
26、位,采取措施,使网络整体的损失降到最低 对于已知事件,能够快速响应,对于未知事件,对于已知事件,能够快速响应,对于未知事件,进行高质量的防护进行高质量的防护 带来技术与管理的高度统一带来技术与管理的高度统一 安全是人操作技术,安全不仅仅是产品的投入,安全是人操作技术,安全不仅仅是产品的投入,应该还有流程、制度应该还有流程、制度IDSIDS的作用的作用对主管领导对主管领导 第一时间了解网络的安全形势第一时间了解网络的安全形势 把握安全趋势把握安全趋势 明确安全责任明确安全责任IDSIDS的作用的作用对一线技术人员对一线技术人员 及时发现安全事件及时发现安全事件 快速定位安全问题快速定位安全问题
27、更好地利用网络安全设备更好地利用网络安全设备IDSIDS的放置方式的放置方式 IDS检测器放在防火墙之外 IDS检测器放在防火墙之内 防火墙内外都有IDS检测器 IDSIDS部署示例部署示例MAIL虚拟映射DMZ区防火墙内网防火墙外网InternetMAIL服务器WWW服务器DNS服务器PROXY服务器路由器IDS控制中心网络安全控制平台IDS探测引擎分布式入侵检测系统分布式入侵检测系统InternetInternet内网MAIL服务器WWW服务器IDS控制中心主机入侵检测WIN平台Solaris平台SQL Server网络入侵检测主要主要IDSIDS品牌品牌 启明星辰(天阗) 中联绿盟(冰之
28、眼) 金诺 中科网威(天眼 ) 北方计算中心NISDetector 安氏 ISS(RealSecure ) NFR主流主流IDSIDS产品及指标产品及指标类别 启明星辰 ISS 中科网威 中联绿盟 产品名称 天阗 Real Secure 天眼 冰之眼 产品组件 控制中心(NT/2K) 硬件探测引擎 控制中心(NT/2K) 事件收集器 硬件探测引擎 浏览器控制端 百兆探测器 千兆探测器 控制中心(NT/2K) 网络探测器 内网探测器 结构 树形分布式, 可以分主控和多级子控控制 分布式 单级控制 分布式, 主控和子控二级控制 分布式、主控和远程控制 上 下 级 控 制中心关系 下级向上级报警信息
29、传送,上级可统一下发策略、 事件特征库给下级 无 仅上报警报 无 引 擎 管 理 能力 不受限 中等 一般 4个 产品语言 中文界面 部 分 汉 化 的 ISS 的Realsecure 中文界面 中文界面 检测方式 模式匹配、完全协议分析 模式匹配、 协议分析 模式匹配 (少量协议分析) 模式匹配(少量协议分析) 界面方式 灵活界面,、窗口可自定义 固定GUI方式,可以有限调整 浏览器界面 无法调整 固 定 GUI方 式 , 可 以 有限调整 特征库种类 1500种 500种 495 600种 协议自定义 有 无 无 无 支持拓扑 10、100、1000 M网卡 交换网络 10、100M网卡
30、FDDI 交换网络 10、100M网卡 交换网络 10、100M网卡 交换网络 应急响应目标应急响应目标 终止危害 防止损失扩大 使系统恢复到正常的工作状态 保存攻击证据 分析入侵行为 追究攻击来源应急响应应急响应日常安全服务日常安全服务 安全监控服务 安全通告服务 日志分析服务 系统评估服务 边界设备优化服务 系统加固服务应急响应流程(应急响应流程(1 1) 重大的安全事件 影响骨干网的正常运转的安全事件 对众多的桌面系统有危害的安全事件 需要在入侵检测系统上进行监控的事件 有可能大规模爆发的网络病毒,如sql server蠕虫、弱口令蠕虫、codered F等 协调组成员 总协调人:副总
31、协调组成员:相关安全/技术负责人 接收初步资料 作为应急响应的统一入口,总协调人接收安全事件的初步资料,包括来源、性质、大概情况等。并根据情况,通知协调组成员,做好应急准备。应急响应流程(应急响应流程(2 2)查明原因及找出事件特征,在入侵检测系统找采样点进行采样 根据接到的资料,在网络或现场查明原因,进行详细分析,总结出事件特征,派人到入侵检测系统的维护现场,在采样点进行数据采样,并将采样情况及时汇报给总协调人。 启动紧急信息快递,及时将情况通报给相关客户,做好准备工作。确定是否为大规模安全事件 总协调人根据采样数据和其它渠道的信息,与安全管理中心的人员一起确定是否为大规模安全事件。入侵检测
32、系统全面监控 利用入侵检测系统,对该事件进行全面监控,并按时提供多种分析报告。应急响应流程(应急响应流程(3 3) 数据验证 如果从入侵检测系统上得到的数据需要验证, 进行验证后,提供给入侵检测系统维护人员, 整理后再提供给安全管理中心应急响应流程(应急响应流程(4 4) 提供该事件的公告原稿 提供该事件的公告原稿给总协调人。应急响应流程(应急响应流程(5 5) 审核公告原稿 审核通过后,总协调人通知应急响应小组将修改后的稿件,发布到应急响应网站。应急响应流程(应急响应流程(6 6) 事件库升级或程序升级,发布到公司网站 根据事件情况修改入侵检测事件库,发布到网站 紧急信息快递通知 本流程中,
33、共有2次紧急信息快递:第一次是在安全事件查明原因时,及时通知相关客户知道有安全事件,并做好准备;第二次是事件库或程序发布到网站后,通知客户具体的解决措施. 及时跟踪并解决客户在整个过程所遇到的问题。应急响应流程(应急响应流程(7 7)应急响应示例应急响应示例主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统病毒的新特点病毒的新特点 隐藏型病毒 自加密、多形态及变异病毒 反向病毒 邮件型病毒 JAVA和ActiveX病毒智能化 病毒形式多样化 传播方式多样化 专用病毒生
34、成工具病毒的分类方法病毒的分类方法 无害型:传染时减少磁盘的可用空间外,对系统没有其他影响 无危险型:减少内存、显示图像、发出声音及同类音响 危险型:在计算机系统操作中造成严重的错误 非常危险型:删除程序、破坏数据、清除系统内存区和操作系统中重要的信息 按传染方式则可分为:引导型病毒、文件型病毒和混合型病毒 病毒制造方法病毒制造方法 自动化 VCS(改文字), VCL(Buggy) 组织化 ARCV小组(VCL、PS-MPCs) 公开化 产生成千上万的病毒病毒技术特性病毒技术特性 智能性躲避/攻击防病毒系统Tequila to ViruScanPeach to Central Point 多态
35、性 加密、变换、插入 V2Px,MtE-,TPE-类型 多级反病毒防御 病毒病毒表现形式表现形式 无固定端口,无更多连接 远程控制 扫描+攻击 反向连接 可放置在所有网络层 ICMP, IP, TCP, UDP, HTTP, SMTP, DNS . 难于检测 Secure Communication(Crypto), Covert Channels Kernel Backdoor防病毒产品类型防病毒产品类型 网关防病毒 群件(邮件)防病毒 服务器防病毒 客户机防病毒防病毒产品部署防病毒产品部署邮件防病毒MailDNSIntranetMailMailDNSDNSIntranetIntranet防
36、病毒产品主要厂商防病毒产品主要厂商 NAI(McAfee) 赛门铁克Norton 趋势Trend 熊猫Panda F-secure Nokia 瑞星 金山毒霸 冠群金辰(Kill) 启明星辰(天恒安防) 江民(KV)主流防毒产品及指标主流防毒产品及指标TrendMicroNorton McAfee AVP 升级频率每周三 每周五 一周一次 每天两次 自动更新病毒码、扫描引擎 yesyesyesyes客户端-服务器端数据流量 通讯时几K,增量更新时200K以上 3M通讯时9K左右,增量更新时20K-50K,分发策略时100K通讯时1k,增量更新时3-20K 目前可知清毒数目50000余种 71,
37、000 72,618以上 清毒方式忽略,删除,重命名,隔离,清除 删除,清除,忽略,隔离询问、删除、通过、隔离、清除 询问、删除,重命名,清除,记录到日志,忽略,隔离 CPU利用率yes(10%-100%) yes(高、中、低) 主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统为什么要进行安全评估?为什么要进行安全评估?风险= X 风险X资产价值 损失=安全评估的内容安全评估的内容 网络风险 主机风险 应用风险 安全控制 系统可用性 管理风险安全评估的内容安全评估的
38、内容 目前的系统和安全轮廓(Control) 描述系统的理想状况(target) 希望改进的方面(hope)安全评估的内容安全评估的内容 定义系统安全等级和重要性 对各等级系统的安全现状进行描述 制定整体架构和理想目标 制定可行性策略和改进计划 描述系统的漏洞 描述系统的事件 发现事件的方式是否充分业务流程资产分类弱点分析威胁分析网络架构分析业务流程分析现有安全措施风险分析安全措施建议安全评估方法安全评估方法工作形式文档评估顾问访谈系统工具评估系统人工评估白客测试工作对象策略管理体系组织系统网络主机通用应用业务应用漏洞扫描系统漏洞扫描系统Internetworkstation评估工具:漏洞扫描
39、系统评估工具:漏洞扫描系统漏洞扫描系统检查的内容漏洞扫描系统检查的内容1.1.WebWeb服务服务2.2.FTPFTP服务服务3.3.RPCRPC攻击攻击4.4.NetBiosNetBios类类5.5.GGI-BINGGI-BIN6.6.特定的强力攻击特定的强力攻击7.7.NFS/X windowsNFS/X windows攻击类攻击类8.8.共享共享/DCOM/DCOM类类9.9.电子邮件类电子邮件类10.10. 安全区检测安全区检测11.11. SMTPSMTP类类12.12. SNMPSNMP类类13.13. 后门检查类后门检查类14.14. 拒绝服务攻击检测拒绝服务攻击检测15.15.
40、 浏览器类浏览器类16.16. 守护进程类守护进程类17.17. NTNT组组/NT/NT网络类网络类18.18. NTNT服务类服务类19.19. 关键的关键的NTNT问题问题20.20. NT NT 用户策略用户策略21.21. NTNT注册表注册表22.22. NTNT口令类口令类23.23. DNSDNS24.24. NISNIS25.25. 缓冲区溢出缓冲区溢出26.主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统为什么要进行网络审计?为什么要进行网络审计
41、? 我们的网络中到底发生了什么我们的网络中到底发生了什么 如何进行事后的追踪如何进行事后的追踪 如何对网络进行有效的监控如何对网络进行有效的监控 如何改进网络的安全策略如何改进网络的安全策略网络审计的主要内容网络审计的主要内容 网络连接审计 协议审计 端口审计 拨号连接审计 个人帐户审计 文件访问审计 数据审计 流量统计审计 数据库审计 WEB服务器审计 安全事件再现审计 键盘审计 屏幕审计 系统统计分析 审计产品部署示例审计产品部署示例审计引擎主要网络审计产品厂商主要网络审计产品厂商启明星辰复旦光华成都大东网安汉邦软科 审计产品比较审计产品比较公 司 名 称 启 明 星 辰 复 旦 光 华
42、成 都 大 东 网 安 产 品 名 称 天 玥 网 络 安 全 审 计系 统 S_Audit 入 侵 检 测 与审 计 系 统 DD2000网 络 信 息监 管 系 统 产 品 结 构 审 计 中 心 、 数 据 管理 中 心 、 网 络 探 测引 擎 审 计 控 制 台 、 审 计 中心 、 网 探 查 询 管 理 终 端 、 数据 中 心 、 公 用 信 息审 计 服 务 器 分 布 式 部 署 、 集中 管 理 支 持 支 持 支 持 典 型 应 用 审 计 http,ftp,telnet,smtp, pop3 http,ftp,telnet,smtp, pop3 http,ftp,te
43、lnet,smtp, pop3 自 定 义 协 议 审 计 支 持 支 持 不 支 持 流 量 审 计 支 持 支 持 不 支 持 文 件 共 享 审 计 支 持 支 持 不 支 持 事 件 回 放 支 持 支 持 支 持 审 计 报 表 生 成 控 制 台 界 面 查 看 报表 , 支持 HTML 和Excel 导 出 报 表 控 制 台 界 面 查 看 报 表 联 动 性 启 明 星辰 VIP 接口 ,具 备 与 防 火 墙 、IDS、漏洞 扫描 产品的 联 动 不 支 持 不 支 持 用 户 管 理 多 用 户 管 理 多 用 户 管 理 不 支 持 主要内容主要内容q体系体系q技术技术
44、q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统网络中如何识别身份?网络中如何识别身份? 什么是什么是 PKIPKI? PKI,Public Key Infrastructure. PKI正在快速地演进中,从不同的角度出发,有不同的定义. PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施. PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和.PKIPKI的组成的组成 PKIPKI基础基础 公钥密钥学(Public Key C
45、ryptography)公钥密码学解决的核心问题是密钥分发. 目录服务(Directory Services)目录服务的目的是建立全局/局部统一的命令方案. 数字证书(Digital Certificate)密码学与信息安全密码学与信息安全信息的私密性(Privacy)对称加密信息的完整性(Integrity)数字签名信息的源发鉴别(Authentication)数字签名信息的防抵赖性(Non-Reputation)数字签名时间戳单密钥加密体制单密钥加密体制双密钥加密体制双密钥加密体制证书存放于什么介质?证书存放于什么介质? 硬盘:不安全 软盘:易损坏 IC卡:需要读卡器 USBKey:成本低 CUP卡:成本高X.509X.509证书应用领域证书应用领域1. SSL:建立SSL/TLS连接时的双向身份认证 2. S/MIME:实现S/MIME协议下的邮件签名和加密 3. IPSec:建立VPN连接时完成基于证书的身份认证 4. SET:电子商务协议5. 建立Kerberos连接时,完成基于证书的身份认证 CACA结构示意图结构示意图国内主要的国内主要的CACA厂商厂商 吉大正元JIT-CA 格尔CA 中国电信CTCA 中国金融认证中心CFCA 上海CA 德达创新CA 天威诚信CA Verisign Baltimore
