More Related Content Similar to 分会场一企业安全及审计 (11) 分会场一企业安全及审计3. 信息风险管理
资产价值
Value
可能的威胁
X Threat
潜在的弱点
X Vulnerability
风险
=
Risk
Symantec Vision 2010 3
4. 信息安全=风险管理与控制
避免/降低/接受/转移
高 安全投资
成
本
成本效益
风险程度
低 高
安全等级
Symantec Vision 2010 4
5. 信息系统安全七大构面
实体安全 建物系统安全规划,门禁管制,数位监
控…等
网络安全 防火墙,入侵 侦测,访问控制(AAA),
VPN, SSL加密,网络管理,无线…等
内容安全 资料加/解密系统,数字签名(CA),
Web/Mail内容过滤,防病毒…等
目录服务 LDAP, Directory Service…等
应用程序安全 应用系统访问控制,统一登入(Single
Sign On),程序功能测试…等
可用性及负载平衡 备份/异地备援/数据储存, Cluster,
APM/ SLM/压力测试…等
风险管理 弱点扫描,安全稽核, ISMS顾问服务,
整体安全系统规划…等
Symantec Vision 2010 5
10. 一般架构示意图
Symantec Vision 2010 10
11. 一般网络架构说明
• 大部分现行由防火墙担任对外防护机制,保护DMZ 段的对外
服务访问控制,并且管控内部USER 对外的存取服务
• 在DMZ 段,有DNS WWW FTP Mail等服务服务器,来担任公司对
外服务信息交换使用,未来也将有B2B或者是B2C的网站服务
上下游客户
• 中心端由Core Switch做为核心网络分组交换使用,分别连接到
各端点的边际交换器,及server farm的边际交换器
• 一般企业公司PC 的安全除防毒外,未做到任何管制(例如外围
控管等)
• 远程PC 在管理上.造成IT 人员的负担
Symantec Vision 2010 11
13. 一般现行网络可能面临的问题
• 外对内防护的面临问题
– 对外线路未统一整合,导致公司可能有断线危机
– 对外服务的服务器未受到完整保护,可能遭受黑客入侵
– 对外服务区,由于大部分Web的AP大部分由ASP ,.NET,JAVA等程序撰写,有可能造成黑客由AP层进行SQL 注入
或者是跨网站脚本攻击,而遭受到入侵
– Remote User无法快速及有效率在安全环境之下存取公司的资源
– 防火墙稽核纪录未符合稽核单位需求
– 邮件系统因为对外,可能造成大量垃圾邮件的攻击及被动式入侵
• 内对外的防治
– 公司员工PC 遭受病毒入侵、蠕虫爆发、木马程序渗透,瘫痪计算机系统正常运作
– 员工利用上班时间浏灠非法网站,占用公司带宽,可能遭受到后门,恶意软件攻击.
– 目前公司内部的人员PC或NB,USB及各项可以连接的网络装置都未受到管制及保护,而导致可能有病毒透过此
途径的侵入,或者是感染.
– 公司员工可能使用邮件及上网方式,将公司重要数据透过网络进行泄密
– 公司目前无法有效控制个人端的PC 随意连接到公司网络,并且对于个人的公司内部的应用程序及资源.无法
做有效控管
– 公司的网络效能,常常出问题,但不知是Server或网络节点出了问题
– 数据库为公司最重要的资产,未受到任何保护,可能造成数据外泄或被窃取
– 无线网络的环境,因为大部分企业对于无线网络无法掌控,所以无线网络确实也是企业的痛
Symantec Vision 2010 13
16. 信息安全规划之未来蓝图说明(外对内防护)
• 规划线路备源机制(ISMS 永续经营—风险管理)
– 解决对外线路统一整合问题,让公司能进而永续经营
• 规划IPS 及弱点扫描服务机制(网络安全暨风险管理)
– 保护对外服务的服务器避免遭受黑客入侵,并且定期做健康检查,达到联防效果
• 规划应用程序防火墙及网页弱点扫描服务(应用程序安全暨风险管理)
– 保护对外服务的服务器,避免因为内部的网页程序的撰写疏忽,而造成黑客利用网页
的漏洞被黑客作为跳板及撷取客户端的密码,此种手法一般称做跨网站脚本攻击,或
者是利用SQL程序撰写的漏洞造成SQL 的注入
– 为了保护企业的网站安全,必须搭配相关的网页的漏洞扫描,以了解哪写网页的内容
有漏洞,然后再加以利用应用层是防火墙,加强更深层的防御
– 原代码检测,从底层修正程序代码,解决网站的安全漏洞(应用程序安全)
• 规划SSL VPN (内容安全)
– 解决一般企业的原本IPSEC VPN的不便,而且改善及加强安全机制,让Remote User可
以快速及有效率在安全环境之下存取公司的资源,甚至可以做到认证授权及审计的
安全机制
• 规划垃圾邮件过滤机制(内容安全)
– 防止企业对外信件服务器遭受到大量邮件攻击,也进而防止垃圾信的入侵,让个人端
的计算器,遭受到木马后门等程序危害
Symantec Vision 2010 16
19. 病毒,木马,后门,恶意软件的感染途径说明
• 一般感染原因,大部分来自USER不当使用计算机所造成,所以
我们必须从USER 行为来做分析,以保护公司的信息资产及提
升网络安全,USER使用计算机的行为分为两段
– Internet网络存取
• 不当网页的存取(例如色情,赌博,游戏网或者是被骇的网站)
• 使用P2P(例如BT,Emule等)
• 使用IM (例如MSN,Yahoo,尤其Skype)
• 邮件的附加档案
• FTP
– 个人计算机外设装置
• 使用USB媒体存储装置
• 利用无线网络
• 透过3G连接Internet
• 透过蓝芽的传输
Symantec Vision 2010 19
20. 信息安全规划之未来蓝图说明(内对外防治)
• 规划上网管控机制及防毒墙(内容安全,目录服务)
– 避免公司员工PC 遭受病毒入侵、蠕虫爆发、木马程序渗透,瘫痪计算机系统正常运作
– 管制员工利用上班时间浏灠非法网站,占用公司带宽,可能遭受到后门,恶意软件攻击.
• 规划个人端PC 周边管控机制(内容安全)
– 避免公司内部的人员PC或NB,利用USB及各项可以连接的网络装置都导致可能有病毒透过此途径的侵入,或者
是感染.
• 规划防泄密管控机制(内容安全)
– 防止公司员工可能使用邮件及上网方式,将公司重要数据透过网络进行泄密
• 规划NAC(部分实体安全及网络安全)
– 可有效控制个人端的PC 随意连接到公司网络,并且对于个人的公司内部的应用程序及资源做有效控管
• 规划数据库稽核系统(内容安全)
– 保护公司最重要的信息资产,避免数据外泄或被窃取
• 规划远程管理回复系统(灾难复原)
– 将可降低IT 人员的负担,一方面可以利用远程的方式进行系统回复,近程回复及资产管理等效益已达到管理的
最大目标
• 规划无线网络安全系统(网络安全)
– 一方面利用无线的特性,可以防止无线的溢波,二方面可以加强防护避免内部计算器非法存取外部的AP ,造成
安全上漏洞,三方面可以利用无线的方法加强认证授权审计功能,并且使用内建的防火墙功能加强访问控制
Symantec Vision 2010 20
22. 规划远程管理--从资产管理到灾难复原
升级 定义资产
• 硬件更新 • 硬件资产
• 操作系统更新 • 软件资产
• 应用软件更新 • 固定资产
• PC个性化迁移
问题管理
• 远程控制 合约管理
• 桌面帮助 • 软件许可证
• 硬件租约
淘汰 采购 • 服务水平协议
IT生命周期管理
监视/跟踪
• 采购辅助 部署新系统
• 预定策略 • OS部署
• 检测非法软件 安装设置 • 网络配置
• 应用测量 运作生产 • 初始系统安装
• 软件许可证管理
分发软件
业务连续性 • 应用软件
• 软件自动修复 安全管理 • 升级
• 健康状态管理 • 埠/无线控制 • 病毒包
• 冲突分析 • 管理员密码
• 备份和恢复 • 系统安全漏洞分析
• 扫描、报告,补丁
Symantec Vision 2010 22
24. 信息安全现阶段规划说明
• 外对内的防护规规划
– 规划线路备源机制(ISMS 永续经营—风险管理)
– 规划IPS 及弱点扫描服务机制(网络安全暨风险管理)
– 规划应用程序防火墙及网页弱点扫描服务(应用程序安全)
– 规划SSL VPN (内容安全)
– 规划垃圾邮件过滤机制(内容安全)
Symantec Vision 2010 24
27. 信息安全现阶段规划说明
• 内对外的防治
– 规划上网管控机制及防毒墙(内容安全,目录服务)
– 规划个人端PC 周边管控机制(内容安全)
– 规划防泄密管控机制(内容安全)
– 规划NAC(部分实体安全及网络安全)
– 规划数据库稽核系统(内容安全)
– 规划远程管理回复系统(灾难复原)
– 规划无线网络安全系统(网络安全)
Symantec Vision 2010 27
31. 运营智能平台的层次
即时营运透视
主动反应
高可视度可让 IT
持续改善问题
主动监控与修复
反应
除错与根问题查找
Symantec Vision 2010 31
32. 搜索引擎可以全面处理IT资料
采集异质平台的数据.不需数据库也不需正规化的转换程序
Alert
Works with any application, server or network device
Windows Linux/Unix 虚拟化 应用程序 数据库 网络设备
• Registry • Configurations • Hypervisor • Weblogs • Configurations • Configurations
• Event logs • syslog • Guest OS • Log4J, JMS, • Audit/query • syslog
• File system • File system • Guest Apps JMX logs • SNMP
• sysinternals • ps, iostat, top • .NET events • Tables • netflow
• Code and • Schemas
scripts
Symantec Vision 2010 32
33. 作法:采集与索引IT Data
日志 配置文件 原始码 短信
traps&报警 活动报告 动态I/O 数值
Symantec Vision 2010 33
38. Source ip TOP
10
TOP 1 IP is:
220.181.125.69
Symantec Vision 2010 38
46. 数据中心运营
Level 2 Dashboard
• 适合一线值班工程师使用
• 可随时检视或调阅最近一
小时内的log信息与分析趋
势
Symantec Vision 2010 46
47. Level 3 dashboard 数据中心运营
Level 3-5 Dashboards
• 适合各组专责人员使用
• 可随时检视或调阅特定
类别设备或系统的
• log信息与分析趋势
Symantec Vision 2010 47
48. 网络设备管理
Switch接口的使用状况 Switch所有接口的状况
Switch接口使用状态,若接口 Switch各接口网络使用量
异常时,可以发出实时警告
Router使用 Session分析
路由器登入状况。 网络分析Correlate events to
网络设备管理 follow network session
Symantec Vision 2010 48
49. 服务器效能管理
各服务器CPU使用 内存使用率
各主机CPU使用最大、最小值 内存使用状况,利于异常事件
及平均值 发生时问题厘清。
服务器更新windows 服务器接口使用
update 网络接口使用监控,可了解是
主机更新失败、成功列表、监 否有异常流量爆发
控更新失败的主机,可防止资
Windows服务器效能管 安(病毒、黑客攻击)事件的发生
理 Symantec Vision 2010 49
50. 服务器效能管理
各服务器CPU效能 内存使用率
各主机CPU使用效能百分比 内存使用状况,利于异常事件
发生时问题厘清。
服务器内存使用 服务器网络接口使用
最近3小时内存常驻处理程序 网络接口使用监控,各主机网
*nix服务器效能管理 络接口的流量
Symantec Vision 2010 50
51. 虚拟服务器管理
虚拟服务器内存使用 实体与虚拟之间的使用状况
比较每台虚拟主机内存平均使 系统内存使用量到达警戒值时,
用率%. 可以发出警告,实时报告。
虚拟服务器CPU使用 虚拟服务器CPU使用
比较每台虚拟主机平均CPU使 每台虚拟主机CPU使用情形可
虚拟服务器管理监控 用率。 看出是哪些应用程序消耗资源
Symantec Vision 2010 51
53. 信息安全监控与审计管理
路由器登入成功、失败- 防火墙管理者行为审计
Cisco ACS: Login Success/Failure 确认是否有异常登入的状况
服务器登入失败 Windows主机账号异动
确认是否为有心人士、黑客攻 每台主机账号新增、移除异动
资安报告 击测试登入的状况 稽核是否符合管理程序
Symantec Vision 2010 53
54. Security Monitoring: FW & IPS
整合IPS and Firewall Log -了解攻击事件
IPS 的CPU 效能 IPS 内存的效能 Partition空间不足
显示
Partition空间状态显示 网络安全设备不仅要看攻击事件外,
另外必须了解是否因为联机数过高,
或阻挡次数过高而影响正常的系统
(CPU、Memory、Disk)维运。
Splunk不仅可以运用主机效能监控
,亦可做到网络设备效能监控,只要
IT日志中有的数据,Splunk皆可整理
成有价的信息。
Symantec Vision 2010 54
54
55. Security Monitoring: FW & IPS
整合IPS and Firewall Log - 了解攻击事件
利用下拉式选单方式选择
不同的防火墙查找问题
防火墙上不符合
联机规定,遭拒
绝联机的次数图
遭拒绝联机的前10来
源IP---确认是否有黑 遭拒绝联机的前10目
客攻击前测试联机的 的IP---确认内部是否
状况 有主机被植入后门而
对外联机
Symantec Vision 2010 55
56. Security Monitoring: FW & IPS
整合IPS and Firewall Log -了解攻击事件
防火墙上联机数 防火墙上联机被 联机被拒绝的次
判断,是否有大量 拒绝的次数 数占总联机次数
的联机 的百分比
了解防火墙规则符合
次数,提供管理者调 联机服务统计,由
整防火墙规则先后顺 图中可知内部服务
序,提高防火墙效能 TCP445占大量
从IPS 攻击的的手法,并且
利用Drilldown 来了解攻击
的来源IP
Symantec Vision 2010 56
57. Security Monitoring: FW & IPS
整合IPS and Firewall Log -了解攻击事件
由攻击来源IP与被攻击目的IP、
Port可分析了解目前内部网络潜
在的风险,提供管理人员有效判
读,确认是否为误判?或是异常
攻击事件、防毒系统尚未发现的
病毒扩散行为?进入相关的矫正
预防程序!
Symantec Vision 2010 57
58. Security Monitoring: Anti-Virus
内部防毒信息监控与调查
了解病毒文件出现 了解病毒文件的种
的次数 类
了解感染病毒的用 了解感染病毒主机
户
防毒信息调查分析,了解感染病毒
的分布,可在Splunk同一平台查
找IPS上是否有感染病毒主机的异
常行为?若有,可能是防毒系统尚
未发现的病毒行为!Symantec Vision 2010 58
59. Security Monitoring: IP Locations
整合IPS and Firewall Log -了解攻击来源
简单的右键管理方法,快速找到来源IP及所在地
透过下拉式选单根据字段的资料做近一步的资料查找.例如:
source ip的字段下拉后选取Locate This IP,会透过外部网站
服务找出此来源 IP的相关信息(所在地, ISP等)
Symantec Vision 2010 59
62. 审计轨迹记录管理平台
审计管理
以个人或者管理
者角度进行稽核
记录审查
Symantec Vision 2010 62
62
63. 审计轨迹记录管理平台—管理者角度
审计管理----AD与DHCP 关连性 以及server 稽核轨迹记录
了解7天内账户
了解7天内新增 被锁状态
用户的名单
Logon fail 的名
单,利用drill
down 了解何时
登入失败
了解每日的帐 了解每日的计
户密码变更状 算机密码变更
态 状态
Symantec Vision 2010 63
63
66. 效能管理暨事件管理平台—技术角度
网络管理
实时IPS 监控
攻击的手法
来源 ,攻击
利用窗体式搜
利用窗体是搜寻查出
寻查出联机拒
目的IP,攻击
联机数,Top来源
绝数,Top来源
IP,Top目的IP
的目的埠
拒绝IP,Top目的
拒绝IP
Symantec Vision 2010 66
66
67. 审计轨迹记录管理平台—技术角度
审计管理
登入失败账号
列出昨日账号
登入失败账号查找
及次数
用户密码变更
主机账号密码
变更
Symantec Vision 2010 67
67
68. 审计轨迹记录管理平台—技术角度
审计管理
七天内账号被锁
利用窗体搜寻将用户
账号打入即可产生你
要的信息
面对外部稽核时
稽核人员若以”抽样查
核”的方式,
要求受验单位,立即调
阅某用户的相关存取
记录!
”窗体搜寻”,即可有效
运用,符合稽核人员的
要求!
Symantec Vision 2010 68
68
71. 增值又保值的IT数据管理平台
Business
Intelligence
Network
Managemen
t
• 纵向管理, 信息封
New 闭
• 必须学会所有种
Application 类工具的使用方法
Managemen
t
SIEM
Log New
• 同一平台
Managemen • 同一使用方式
t • 价值长存
Upgrad
New e
Upgrad • 不同数据类型
New •各种领域应用
e
Upgrad • 价值提升
Upgrad e
e
Symantec Vision 2010 71
72. Thank you!
Vincent-Chang [张文献]
Vincent_c@systex.com.tw
15801913138
Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in
the U.S. and other countries. Other names may be trademarks of their respective owners.
This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied,
are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
72