SlideShare a Scribd company logo

分会场一企业安全及审计

ITband
ITband

Symantec 2010 @ BJ

Technology
1 of 72
企业安全及审计 Vincent-Chang [张文献] 中国区splunk 发展事业部总监 1
如何架构企业网络安全 Symantec Vision 2010 2
信息风险管理 资产价值 Value 可能的威胁 X Threat 潜在的弱点 X Vulnerability 风险 = Risk Symantec Vision 2010 3
信息安全=风险管理与控制 避免/降低/接受/转移 高 安全投资 成 本 成本效益 风险程度 低 高 安全等级 Symantec Vision 2010 4
信息系统安全七大构面 实体安全 建物系统安全规划,门禁管制,数位监 控…等 网络安全 防火墙,入侵 侦测,访问控制(AAA), VPN, SSL加密,网络管理,无线…等 内容安全 资料加/解密系统,数字签名(CA), Web/Mail内容过滤,防病毒…等 目录服务 LDAP, Directory Service…等 应用程序安全 应用系统访问控制,统一登入(Single Sign On),程序功能测试…等 可用性及负载平衡 备份/异地备援/数据储存, Cluster, APM/ SLM/压力测试…等 风险管理 弱点扫描,安全稽核, ISMS顾问服务, 整体安全系统规划…等 Symantec Vision 2010 5
信息安全的规划方向与精神 管理 安全 效能 Symantec Vision 2010 6
信息安全规划原则----以防火墙为分水岭 做到外对内的防护 7 Symantec Vision 2010 7
信息安全规划原则----以防火墙为分水岭 做到内对外的防治 Symantec Vision 2010 8
网络安全基本架构说明 Symantec Vision 2010 9
一般架构示意图 Symantec Vision 2010 10
一般网络架构说明 • 大部分现行由防火墙担任对外防护机制,保护DMZ 段的对外 服务访问控制,并且管控内部USER 对外的存取服务 • 在DMZ 段,有DNS WWW FTP Mail等服务服务器,来担任公司对 外服务信息交换使用,未来也将有B2B或者是B2C的网站服务 上下游客户 • 中心端由Core Switch做为核心网络分组交换使用,分别连接到 各端点的边际交换器,及server farm的边际交换器 • 一般企业公司PC 的安全除防毒外,未做到任何管制(例如外围 控管等) • 远程PC 在管理上.造成IT 人员的负担 Symantec Vision 2010 11
一般网络现阶段可能面临的问题 Symantec Vision 2010 12
一般现行网络可能面临的问题 • 外对内防护的面临问题 – 对外线路未统一整合,导致公司可能有断线危机 – 对外服务的服务器未受到完整保护,可能遭受黑客入侵 – 对外服务区,由于大部分Web的AP大部分由ASP ,.NET,JAVA等程序撰写,有可能造成黑客由AP层进行SQL 注入 或者是跨网站脚本攻击,而遭受到入侵 – Remote User无法快速及有效率在安全环境之下存取公司的资源 – 防火墙稽核纪录未符合稽核单位需求 – 邮件系统因为对外,可能造成大量垃圾邮件的攻击及被动式入侵 • 内对外的防治 – 公司员工PC 遭受病毒入侵、蠕虫爆发、木马程序渗透,瘫痪计算机系统正常运作 – 员工利用上班时间浏灠非法网站,占用公司带宽,可能遭受到后门,恶意软件攻击. – 目前公司内部的人员PC或NB,USB及各项可以连接的网络装置都未受到管制及保护,而导致可能有病毒透过此 途径的侵入,或者是感染. – 公司员工可能使用邮件及上网方式,将公司重要数据透过网络进行泄密 – 公司目前无法有效控制个人端的PC 随意连接到公司网络,并且对于个人的公司内部的应用程序及资源.无法 做有效控管 – 公司的网络效能,常常出问题,但不知是Server或网络节点出了问题 – 数据库为公司最重要的资产,未受到任何保护,可能造成数据外泄或被窃取 – 无线网络的环境,因为大部分企业对于无线网络无法掌控,所以无线网络确实也是企业的痛 Symantec Vision 2010 13
信息安全规划之未来蓝图规划说明 Symantec Vision 2010 14
信息安全规划之未来蓝图 Symantec Vision 2010 15
信息安全规划之未来蓝图说明(外对内防护) • 规划线路备源机制(ISMS 永续经营—风险管理) – 解决对外线路统一整合问题,让公司能进而永续经营 • 规划IPS 及弱点扫描服务机制(网络安全暨风险管理) – 保护对外服务的服务器避免遭受黑客入侵,并且定期做健康检查,达到联防效果 • 规划应用程序防火墙及网页弱点扫描服务(应用程序安全暨风险管理) – 保护对外服务的服务器,避免因为内部的网页程序的撰写疏忽,而造成黑客利用网页 的漏洞被黑客作为跳板及撷取客户端的密码,此种手法一般称做跨网站脚本攻击,或 者是利用SQL程序撰写的漏洞造成SQL 的注入 – 为了保护企业的网站安全,必须搭配相关的网页的漏洞扫描,以了解哪写网页的内容 有漏洞,然后再加以利用应用层是防火墙,加强更深层的防御 – 原代码检测,从底层修正程序代码,解决网站的安全漏洞(应用程序安全) • 规划SSL VPN (内容安全) – 解决一般企业的原本IPSEC VPN的不便,而且改善及加强安全机制,让Remote User可 以快速及有效率在安全环境之下存取公司的资源,甚至可以做到认证授权及审计的 安全机制 • 规划垃圾邮件过滤机制(内容安全) – 防止企业对外信件服务器遭受到大量邮件攻击,也进而防止垃圾信的入侵,让个人端 的计算器,遭受到木马后门等程序危害 Symantec Vision 2010 16
信息安全规划之未来蓝图(外对内的防护) 原代码检测 Symantec Vision 2010 17
内对外的防治机制作法—针对个人端行为防治及管控 防毒 防泄密 防骇 Symantec Vision 2010 18
病毒,木马,后门,恶意软件的感染途径说明 • 一般感染原因,大部分来自USER不当使用计算机所造成,所以 我们必须从USER 行为来做分析,以保护公司的信息资产及提 升网络安全,USER使用计算机的行为分为两段 – Internet网络存取 • 不当网页的存取(例如色情,赌博,游戏网或者是被骇的网站) • 使用P2P(例如BT,Emule等) • 使用IM (例如MSN,Yahoo,尤其Skype) • 邮件的附加档案 • FTP – 个人计算机外设装置 • 使用USB媒体存储装置 • 利用无线网络 • 透过3G连接Internet • 透过蓝芽的传输 Symantec Vision 2010 19
信息安全规划之未来蓝图说明(内对外防治) • 规划上网管控机制及防毒墙(内容安全,目录服务) – 避免公司员工PC 遭受病毒入侵、蠕虫爆发、木马程序渗透,瘫痪计算机系统正常运作 – 管制员工利用上班时间浏灠非法网站,占用公司带宽,可能遭受到后门,恶意软件攻击. • 规划个人端PC 周边管控机制(内容安全) – 避免公司内部的人员PC或NB,利用USB及各项可以连接的网络装置都导致可能有病毒透过此途径的侵入,或者 是感染. • 规划防泄密管控机制(内容安全) – 防止公司员工可能使用邮件及上网方式,将公司重要数据透过网络进行泄密 • 规划NAC(部分实体安全及网络安全) – 可有效控制个人端的PC 随意连接到公司网络,并且对于个人的公司内部的应用程序及资源做有效控管 • 规划数据库稽核系统(内容安全) – 保护公司最重要的信息资产,避免数据外泄或被窃取 • 规划远程管理回复系统(灾难复原) – 将可降低IT 人员的负担,一方面可以利用远程的方式进行系统回复,近程回复及资产管理等效益已达到管理的 最大目标 • 规划无线网络安全系统(网络安全) – 一方面利用无线的特性,可以防止无线的溢波,二方面可以加强防护避免内部计算器非法存取外部的AP ,造成 安全上漏洞,三方面可以利用无线的方法加强认证授权审计功能,并且使用内建的防火墙功能加强访问控制 Symantec Vision 2010 20
信息安全规划之未来蓝图(内对外的防治) Symantec Vision 2010 21
规划远程管理--从资产管理到灾难复原 升级 定义资产 • 硬件更新 • 硬件资产 • 操作系统更新 • 软件资产 • 应用软件更新 • 固定资产 • PC个性化迁移 问题管理 • 远程控制 合约管理 • 桌面帮助 • 软件许可证 • 硬件租约 淘汰 采购 • 服务水平协议 IT生命周期管理 监视/跟踪 • 采购辅助 部署新系统 • 预定策略 • OS部署 • 检测非法软件 安装设置 • 网络配置 • 应用测量 运作生产 • 初始系统安装 • 软件许可证管理 分发软件 业务连续性 • 应用软件 • 软件自动修复 安全管理 • 升级 • 健康状态管理 • 埠/无线控制 • 病毒包 • 冲突分析 • 管理员密码 • 备份和恢复 • 系统安全漏洞分析 • 扫描、报告,补丁 Symantec Vision 2010 22
信息安全现阶段规划图标说明 (外对内防护) Symantec Vision 2010 23
信息安全现阶段规划说明 • 外对内的防护规规划 – 规划线路备源机制(ISMS 永续经营—风险管理) – 规划IPS 及弱点扫描服务机制(网络安全暨风险管理) – 规划应用程序防火墙及网页弱点扫描服务(应用程序安全) – 规划SSL VPN (内容安全) – 规划垃圾邮件过滤机制(内容安全) Symantec Vision 2010 24
信息安全规划之未来蓝图(外对内的防护) 原代码检测 Symantec Vision 2010 25
信息安全现阶段规划图标说明 (内对外的防治) Symantec Vision 2010 26
信息安全现阶段规划说明 • 内对外的防治 – 规划上网管控机制及防毒墙(内容安全,目录服务) – 规划个人端PC 周边管控机制(内容安全) – 规划防泄密管控机制(内容安全) – 规划NAC(部分实体安全及网络安全) – 规划数据库稽核系统(内容安全) – 规划远程管理回复系统(灾难复原) – 规划无线网络安全系统(网络安全) Symantec Vision 2010 27
信息安全规划之未来蓝图(内对外的防治) Symantec Vision 2010 28
如何统一管理信息安全事件及审计记 录呢? Symantec Vision 2010 29
企业安全统一管理平台splunk的核心技术 Symantec Vision 2010 30
运营智能平台的层次 即时营运透视 主动反应 高可视度可让 IT 持续改善问题 主动监控与修复 反应 除错与根问题查找 Symantec Vision 2010 31
搜索引擎可以全面处理IT资料 采集异质平台的数据.不需数据库也不需正规化的转换程序 Alert Works with any application, server or network device Windows Linux/Unix 虚拟化 应用程序 数据库 网络设备 • Registry • Configurations • Hypervisor • Weblogs • Configurations • Configurations • Event logs • syslog • Guest OS • Log4J, JMS, • Audit/query • syslog • File system • File system • Guest Apps JMX logs • SNMP • sysinternals • ps, iostat, top • .NET events • Tables • netflow • Code and • Schemas scripts Symantec Vision 2010 32
作法:采集与索引IT Data 日志 配置文件 原始码 短信 traps&报警 活动报告 动态I/O 数值 Symantec Vision 2010 33
Splunk 是 Operational Intelligence 的平台 Symantec Vision 2010 34
用Splunk侦测与追查某购物网站的信息安全事件 除错与根问题查找 Symantec Vision 2010 35
Symantec Vision 2010 36
sourcetype="3web-ssl_access" Symantec Vision 2010 37
Source ip TOP 10 TOP 1 IP is: 220.181.125.69 Symantec Vision 2010 38
whois 220.181.125.69 220.181.125.69 from Beijing Symantec Vision 2010 39
2月14日到2月20日有规律的对网站进 行访问,期间在AM06:00~07:00有较 大的访问! 疑似在进行网站扫描或是在复制该网站 Symantec Vision 2010 40
间隔10秒访问一 次网站,躲避入 侵防御侦测系统 的阻挡 Symantec Vision 2010 41
如果有人提出Robots.txt 的要求,常常代表是要镜 像整个网站(也就是俗称 的砍站) Symantec Vision 2010 42
以Splunk作为某金融交易所Data Center战情中心 主动监控与修复 高可视度可让 IT持续改善问题 Symantec Vision 2010 43
数据中心运营 专案背景: 现有各种新旧设备与管理工具混杂 由4个单负责管理不同的网络、服务器与应用系统 并非每个人都熟悉现有的管理工具 NOC欠缺整合式的平台与监控画面 Symantec Vision 2010 44
数据中心运营 Level 1 NOC Dashboard Symantec Vision 2010 45
数据中心运营 Level 2 Dashboard • 适合一线值班工程师使用 • 可随时检视或调阅最近一 小时内的log信息与分析趋 势 Symantec Vision 2010 46
Level 3 dashboard 数据中心运营 Level 3-5 Dashboards • 适合各组专责人员使用 • 可随时检视或调阅特定 类别设备或系统的 • log信息与分析趋势 Symantec Vision 2010 47
网络设备管理 Switch接口的使用状况 Switch所有接口的状况 Switch接口使用状态,若接口 Switch各接口网络使用量 异常时,可以发出实时警告 Router使用 Session分析 路由器登入状况。 网络分析Correlate events to 网络设备管理 follow network session Symantec Vision 2010 48
服务器效能管理 各服务器CPU使用 内存使用率 各主机CPU使用最大、最小值 内存使用状况,利于异常事件 及平均值 发生时问题厘清。 服务器更新windows 服务器接口使用 update 网络接口使用监控,可了解是 主机更新失败、成功列表、监 否有异常流量爆发 控更新失败的主机,可防止资 Windows服务器效能管 安(病毒、黑客攻击)事件的发生 理 Symantec Vision 2010 49
服务器效能管理 各服务器CPU效能 内存使用率 各主机CPU使用效能百分比 内存使用状况,利于异常事件 发生时问题厘清。 服务器内存使用 服务器网络接口使用 最近3小时内存常驻处理程序 网络接口使用监控,各主机网 *nix服务器效能管理 络接口的流量 Symantec Vision 2010 50
虚拟服务器管理 虚拟服务器内存使用 实体与虚拟之间的使用状况 比较每台虚拟主机内存平均使 系统内存使用量到达警戒值时, 用率%. 可以发出警告,实时报告。 虚拟服务器CPU使用 虚拟服务器CPU使用 比较每台虚拟主机平均CPU使 每台虚拟主机CPU使用情形可 虚拟服务器管理监控 用率。 看出是哪些应用程序消耗资源 Symantec Vision 2010 51
某高科技企业用Splunk作信息安全监控与审计平台 主动监控与修复 高可视度可让 IT持续改善问题 Symantec Vision 2010 52
信息安全监控与审计管理 路由器登入成功、失败- 防火墙管理者行为审计 Cisco ACS: Login Success/Failure 确认是否有异常登入的状况 服务器登入失败 Windows主机账号异动 确认是否为有心人士、黑客攻 每台主机账号新增、移除异动 资安报告 击测试登入的状况 稽核是否符合管理程序 Symantec Vision 2010 53
Security Monitoring: FW & IPS 整合IPS and Firewall Log -了解攻击事件 IPS 的CPU 效能 IPS 内存的效能 Partition空间不足 显示 Partition空间状态显示 网络安全设备不仅要看攻击事件外, 另外必须了解是否因为联机数过高, 或阻挡次数过高而影响正常的系统 (CPU、Memory、Disk)维运。 Splunk不仅可以运用主机效能监控 ,亦可做到网络设备效能监控,只要 IT日志中有的数据,Splunk皆可整理 成有价的信息。 Symantec Vision 2010 54 54
Security Monitoring: FW & IPS 整合IPS and Firewall Log - 了解攻击事件 利用下拉式选单方式选择 不同的防火墙查找问题 防火墙上不符合 联机规定,遭拒 绝联机的次数图 遭拒绝联机的前10来 源IP---确认是否有黑 遭拒绝联机的前10目 客攻击前测试联机的 的IP---确认内部是否 状况 有主机被植入后门而 对外联机 Symantec Vision 2010 55
Security Monitoring: FW & IPS 整合IPS and Firewall Log -了解攻击事件 防火墙上联机数 防火墙上联机被 联机被拒绝的次 判断,是否有大量 拒绝的次数 数占总联机次数 的联机 的百分比 了解防火墙规则符合 次数,提供管理者调 联机服务统计,由 整防火墙规则先后顺 图中可知内部服务 序,提高防火墙效能 TCP445占大量 从IPS 攻击的的手法,并且 利用Drilldown 来了解攻击 的来源IP Symantec Vision 2010 56
Security Monitoring: FW & IPS 整合IPS and Firewall Log -了解攻击事件 由攻击来源IP与被攻击目的IP、 Port可分析了解目前内部网络潜 在的风险,提供管理人员有效判 读,确认是否为误判?或是异常 攻击事件、防毒系统尚未发现的 病毒扩散行为?进入相关的矫正 预防程序! Symantec Vision 2010 57
Security Monitoring: Anti-Virus  内部防毒信息监控与调查 了解病毒文件出现 了解病毒文件的种 的次数 类 了解感染病毒的用 了解感染病毒主机 户 防毒信息调查分析,了解感染病毒 的分布,可在Splunk同一平台查 找IPS上是否有感染病毒主机的异 常行为?若有,可能是防毒系统尚 未发现的病毒行为!Symantec Vision 2010 58
Security Monitoring: IP Locations 整合IPS and Firewall Log -了解攻击来源 简单的右键管理方法,快速找到来源IP及所在地 透过下拉式选单根据字段的资料做近一步的资料查找.例如: source ip的字段下拉后选取Locate This IP,会透过外部网站 服务找出此来源 IP的相关信息(所在地, ISP等) Symantec Vision 2010 59
审计管理-ISMS政策遵循 Symantec Vision 2010 60
审计管理平台 Vincent-Chang 中国区splunk 发展事业部总监 61
审计轨迹记录管理平台 审计管理 以个人或者管理 者角度进行稽核 记录审查 Symantec Vision 2010 62 62
审计轨迹记录管理平台—管理者角度 审计管理----AD与DHCP 关连性 以及server 稽核轨迹记录 了解7天内账户 了解7天内新增 被锁状态 用户的名单 Logon fail 的名 单,利用drill down 了解何时 登入失败 了解每日的帐 了解每日的计 户密码变更状 算机密码变更 态 状态 Symantec Vision 2010 63 63
审计轨迹记录管理平台—管理者角度 审计管理----AD与DHCP 关连性 以及server 稽核轨迹记录 利用窗体对应法, 将原本不了解的 代码,转换程文字 表示 Symantec Vision 2010 64
审计轨迹记录管理平台—使用者角度 审计管理---- AD与DHCP 关连性 以及server 稽核轨迹记录 Symantec Vision 2010 65 65
效能管理暨事件管理平台—技术角度 网络管理 实时IPS 监控 攻击的手法 来源 ,攻击 利用窗体式搜 利用窗体是搜寻查出 寻查出联机拒 目的IP,攻击 联机数,Top来源 绝数,Top来源 IP,Top目的IP 的目的埠 拒绝IP,Top目的 拒绝IP Symantec Vision 2010 66 66
审计轨迹记录管理平台—技术角度 审计管理 登入失败账号 列出昨日账号 登入失败账号查找 及次数 用户密码变更 主机账号密码 变更 Symantec Vision 2010 67 67
审计轨迹记录管理平台—技术角度 审计管理 七天内账号被锁 利用窗体搜寻将用户 账号打入即可产生你 要的信息 面对外部稽核时 稽核人员若以”抽样查 核”的方式, 要求受验单位,立即调 阅某用户的相关存取 记录! ”窗体搜寻”,即可有效 运用,符合稽核人员的 要求! Symantec Vision 2010 68 68
IT管理平台—技术角度 个别设备的问题 查找 Symantec Vision 2010 69 69
Splunk的价值 Symantec Vision 2010 70
增值又保值的IT数据管理平台 Business Intelligence Network Managemen t • 纵向管理, 信息封 New 闭 • 必须学会所有种 Application 类工具的使用方法 Managemen t SIEM Log New • 同一平台 Managemen • 同一使用方式 t • 价值长存 Upgrad New e Upgrad • 不同数据类型 New •各种领域应用 e Upgrad • 价值提升 Upgrad e e Symantec Vision 2010 71
Thank you! Vincent-Chang [张文献] Vincent_c@systex.com.tw 15801913138 Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 72

Recommended

分会场一新的安全威胁趋势下的企业安全建设
分会场一新的安全威胁趋势下的企业安全建设分会场一新的安全威胁趋势下的企业安全建设
分会场一新的安全威胁趋势下的企业安全建设ITband
 
Embedded System Introduction
Embedded System IntroductionEmbedded System Introduction
Embedded System Introductionhaohaowang
 
Building A System That Never Stops [FutureStack16 NYC]
Building A System That Never Stops [FutureStack16 NYC]Building A System That Never Stops [FutureStack16 NYC]
Building A System That Never Stops [FutureStack16 NYC]New Relic
 
HP Client Virtualization overview 1020-cn
HP Client Virtualization overview 1020-cnHP Client Virtualization overview 1020-cn
HP Client Virtualization overview 1020-cnITband
 
Motivation Letter
Motivation LetterMotivation Letter
Motivation LetterAlkiviadis TEKTAMELIDIS
 
Resume 2016
Resume 2016Resume 2016
Resume 2016Troy Williams
 
mDevCamp 2016 - Zingly, or how to design multi-banking app
mDevCamp 2016 - Zingly, or how to design multi-banking appmDevCamp 2016 - Zingly, or how to design multi-banking app
mDevCamp 2016 - Zingly, or how to design multi-banking appPetr Dvorak
 
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšíte
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePSD2 a bankovní API: Top 5 mýtů, které dnes slyšíte
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePetr Dvorak
 

Recommended

分会场一新的安全威胁趋势下的企业安全建设
分会场一新的安全威胁趋势下的企业安全建设分会场一新的安全威胁趋势下的企业安全建设
分会场一新的安全威胁趋势下的企业安全建设ITband
 
Embedded System Introduction
Embedded System IntroductionEmbedded System Introduction
Embedded System Introductionhaohaowang
 
Building A System That Never Stops [FutureStack16 NYC]
Building A System That Never Stops [FutureStack16 NYC]Building A System That Never Stops [FutureStack16 NYC]
Building A System That Never Stops [FutureStack16 NYC]New Relic
 
HP Client Virtualization overview 1020-cn
HP Client Virtualization overview 1020-cnHP Client Virtualization overview 1020-cn
HP Client Virtualization overview 1020-cnITband
 
Motivation Letter
Motivation LetterMotivation Letter
Motivation LetterAlkiviadis TEKTAMELIDIS
 
Resume 2016
Resume 2016Resume 2016
Resume 2016Troy Williams
 
mDevCamp 2016 - Zingly, or how to design multi-banking app
mDevCamp 2016 - Zingly, or how to design multi-banking appmDevCamp 2016 - Zingly, or how to design multi-banking app
mDevCamp 2016 - Zingly, or how to design multi-banking appPetr Dvorak
 
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšíte
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePSD2 a bankovní API: Top 5 mýtů, které dnes slyšíte
PSD2 a bankovní API: Top 5 mýtů, které dnes slyšítePetr Dvorak
 
Thomas green case study
Thomas green case studyThomas green case study
Thomas green case studyArun Maheshwari,PRM
 
Hr Case Study
Hr Case StudyHr Case Study
Hr Case StudyKondalarao Bysani
 
Power, office politics, and a career in crisis
Power, office politics, and a career in crisisPower, office politics, and a career in crisis
Power, office politics, and a career in crisisEbtesam Elias
 
Adverse Balance of Payment
Adverse Balance of PaymentAdverse Balance of Payment
Adverse Balance of PaymentMaster Verma
 
Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...
Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...
Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...New Relic
 
Medisys Corp - Case Presentation
Medisys Corp - Case Presentation Medisys Corp - Case Presentation
Medisys Corp - Case Presentation Abhirup Rudra
 
腾讯大讲堂44 qq game后台开发介绍
腾讯大讲堂44 qq game后台开发介绍腾讯大讲堂44 qq game后台开发介绍
腾讯大讲堂44 qq game后台开发介绍areyouok
 
软件架构设计
软件架构设计软件架构设计
软件架构设计xzj127
 
云计算安全和标准及发展问题与建议
云计算安全和标准及发展问题与建议云计算安全和标准及发展问题与建议
云计算安全和标准及发展问题与建议Liming Liu
 
电子商务网站
电子商务网站电子商务网站
电子商务网站oldtaotao
 
中国电信上海公司Ip网络
中国电信上海公司Ip网络中国电信上海公司Ip网络
中国电信上海公司Ip网络toyslife
 
未来网络演进方向和策略的研究(总体)
未来网络演进方向和策略的研究(总体)未来网络演进方向和策略的研究(总体)
未来网络演进方向和策略的研究(总体)lierlly
 
51 cto linuxops_issue0
51 cto linuxops_issue051 cto linuxops_issue0
51 cto linuxops_issue0Yiwei Ma
 
软件工程&架构
软件工程&架构软件工程&架构
软件工程&架构Xu Shiwei
 
2010中国云计算调查报告
2010中国云计算调查报告2010中国云计算调查报告
2010中国云计算调查报告武挥 魏
 
腾讯大讲堂40 web类服务用户体验优化综述
腾讯大讲堂40 web类服务用户体验优化综述腾讯大讲堂40 web类服务用户体验优化综述
腾讯大讲堂40 web类服务用户体验优化综述areyouok
 
穿越Gfw技术及其控制方法
穿越Gfw技术及其控制方法穿越Gfw技术及其控制方法
穿越Gfw技术及其控制方法imakee
 
It运维管理10大痛点
It运维管理10大痛点It运维管理10大痛点
It运维管理10大痛点ITband
 
Citrix虚拟化方案
Citrix虚拟化方案Citrix虚拟化方案
Citrix虚拟化方案ITband
 
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多ITband
 
Oracle 存储释放数据库价值
Oracle 存储释放数据库价值Oracle 存储释放数据库价值
Oracle 存储释放数据库价值ITband
 
适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示ITband
 

More Related Content

Viewers also liked

Power, office politics, and a career in crisis
Power, office politics, and a career in crisisPower, office politics, and a career in crisis
Power, office politics, and a career in crisisEbtesam Elias
 
Adverse Balance of Payment
Adverse Balance of PaymentAdverse Balance of Payment
Adverse Balance of PaymentMaster Verma
 
Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...
Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...
Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...New Relic
 
Medisys Corp - Case Presentation
Medisys Corp - Case Presentation Medisys Corp - Case Presentation
Medisys Corp - Case Presentation Abhirup Rudra
 

Viewers also liked (6)

Thomas green case study
Thomas green case studyThomas green case study
Thomas green case study
 
Hr Case Study
Hr Case StudyHr Case Study
Hr Case Study
 
Power, office politics, and a career in crisis
Power, office politics, and a career in crisisPower, office politics, and a career in crisis
Power, office politics, and a career in crisis
 
Adverse Balance of Payment
Adverse Balance of PaymentAdverse Balance of Payment
Adverse Balance of Payment
 
Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...
Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...
Inversion of Control: How New Relic’s Engineers Picked Their Own Jobs and Bui...
 
Medisys Corp - Case Presentation
Medisys Corp - Case Presentation Medisys Corp - Case Presentation
Medisys Corp - Case Presentation
 

Similar to 分会场一企业安全及审计

腾讯大讲堂44 qq game后台开发介绍
腾讯大讲堂44 qq game后台开发介绍腾讯大讲堂44 qq game后台开发介绍
腾讯大讲堂44 qq game后台开发介绍areyouok
 
软件架构设计
软件架构设计软件架构设计
软件架构设计xzj127
 
云计算安全和标准及发展问题与建议
云计算安全和标准及发展问题与建议云计算安全和标准及发展问题与建议
云计算安全和标准及发展问题与建议Liming Liu
 
电子商务网站
电子商务网站电子商务网站
电子商务网站oldtaotao
 
中国电信上海公司Ip网络
中国电信上海公司Ip网络中国电信上海公司Ip网络
中国电信上海公司Ip网络toyslife
 
未来网络演进方向和策略的研究(总体)
未来网络演进方向和策略的研究(总体)未来网络演进方向和策略的研究(总体)
未来网络演进方向和策略的研究(总体)lierlly
 
51 cto linuxops_issue0
51 cto linuxops_issue051 cto linuxops_issue0
51 cto linuxops_issue0Yiwei Ma
 
软件工程&架构
软件工程&架构软件工程&架构
软件工程&架构Xu Shiwei
 
2010中国云计算调查报告
2010中国云计算调查报告2010中国云计算调查报告
2010中国云计算调查报告武挥 魏
 
腾讯大讲堂40 web类服务用户体验优化综述
腾讯大讲堂40 web类服务用户体验优化综述腾讯大讲堂40 web类服务用户体验优化综述
腾讯大讲堂40 web类服务用户体验优化综述areyouok
 
穿越Gfw技术及其控制方法
穿越Gfw技术及其控制方法穿越Gfw技术及其控制方法
穿越Gfw技术及其控制方法imakee
 

Similar to 分会场一企业安全及审计 (11)

腾讯大讲堂44 qq game后台开发介绍
腾讯大讲堂44 qq game后台开发介绍腾讯大讲堂44 qq game后台开发介绍
腾讯大讲堂44 qq game后台开发介绍
 
软件架构设计
软件架构设计软件架构设计
软件架构设计
 
云计算安全和标准及发展问题与建议
云计算安全和标准及发展问题与建议云计算安全和标准及发展问题与建议
云计算安全和标准及发展问题与建议
 
电子商务网站
电子商务网站电子商务网站
电子商务网站
 
中国电信上海公司Ip网络
中国电信上海公司Ip网络中国电信上海公司Ip网络
中国电信上海公司Ip网络
 
未来网络演进方向和策略的研究(总体)
未来网络演进方向和策略的研究(总体)未来网络演进方向和策略的研究(总体)
未来网络演进方向和策略的研究(总体)
 
51 cto linuxops_issue0
51 cto linuxops_issue051 cto linuxops_issue0
51 cto linuxops_issue0
 
软件工程&架构
软件工程&架构软件工程&架构
软件工程&架构
 
2010中国云计算调查报告
2010中国云计算调查报告2010中国云计算调查报告
2010中国云计算调查报告
 
腾讯大讲堂40 web类服务用户体验优化综述
腾讯大讲堂40 web类服务用户体验优化综述腾讯大讲堂40 web类服务用户体验优化综述
腾讯大讲堂40 web类服务用户体验优化综述
 
穿越Gfw技术及其控制方法
穿越Gfw技术及其控制方法穿越Gfw技术及其控制方法
穿越Gfw技术及其控制方法
 

More from ITband

It运维管理10大痛点
It运维管理10大痛点It运维管理10大痛点
It运维管理10大痛点ITband
 
Citrix虚拟化方案
Citrix虚拟化方案Citrix虚拟化方案
Citrix虚拟化方案ITband
 
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多ITband
 
Oracle 存储释放数据库价值
Oracle 存储释放数据库价值Oracle 存储释放数据库价值
Oracle 存储释放数据库价值ITband
 
适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示ITband
 
1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhsITband
 
滕达斐
滕达斐滕达斐
滕达斐ITband
 
滕达斐
滕达斐滕达斐
滕达斐ITband
 
5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cvITband
 
4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact centerITband
 
3 junhua-experience show unified communication
3 junhua-experience show unified communication3 junhua-experience show unified communication
3 junhua-experience show unified communicationITband
 
2 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v12 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v1ITband
 
1 john wang-experience show exec intro
1 john wang-experience show exec intro1 john wang-experience show exec intro
1 john wang-experience show exec introITband
 
6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip officeITband
 
分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景ITband
 
分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践ITband
 
分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代ITband
 
分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化ITband
 
分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护ITband
 
分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移ITband
 

More from ITband (20)

It运维管理10大痛点
It运维管理10大痛点It运维管理10大痛点
It运维管理10大痛点
 
Citrix虚拟化方案
Citrix虚拟化方案Citrix虚拟化方案
Citrix虚拟化方案
 
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多
 
Oracle 存储释放数据库价值
Oracle 存储释放数据库价值Oracle 存储释放数据库价值
Oracle 存储释放数据库价值
 
适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示适应业务需求的甲骨文存储解决方案及产品演示
适应业务需求的甲骨文存储解决方案及产品演示
 
1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs1 opening-jeff-storagesummit-347340-zhs
1 opening-jeff-storagesummit-347340-zhs
 
滕达斐
滕达斐滕达斐
滕达斐
 
滕达斐
滕达斐滕达斐
滕达斐
 
5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv5 hanhui-e xperience show data final cv
5 hanhui-e xperience show data final cv
 
4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center4 zhang jinghui-experience show contact center
4 zhang jinghui-experience show contact center
 
3 junhua-experience show unified communication
3 junhua-experience show unified communication3 junhua-experience show unified communication
3 junhua-experience show unified communication
 
2 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v12 li nong-experience show keynote-li nong-v1
2 li nong-experience show keynote-li nong-v1
 
1 john wang-experience show exec intro
1 john wang-experience show exec intro1 john wang-experience show exec intro
1 john wang-experience show exec intro
 
6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office6 wang xiusheng - experience show ip office
6 wang xiusheng - experience show ip office
 
分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景分会场九Altiris终端管理套件和服务器管理套件现在及远景
分会场九Altiris终端管理套件和服务器管理套件现在及远景
 
分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践分会场九Windows 7迁移最佳实践
分会场九Windows 7迁移最佳实践
 
分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代分会场八和Net backup一起进入云备份时代
分会场八和Net backup一起进入云备份时代
 
分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化分会场八Application ha和virtualstore推动关键业务虚拟化
分会场八Application ha和virtualstore推动关键业务虚拟化
 
分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护分会场八云及虚拟环境安全防护
分会场八云及虚拟环境安全防护
 
分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移分会场六用Storage foundation简化操作系统和存储系统的迁移
分会场六用Storage foundation简化操作系统和存储系统的迁移
 

分会场一企业安全及审计

  • 2. 如何架构企业网络安全 Symantec Vision 2010 2
  • 3. 信息风险管理 资产价值 Value 可能的威胁 X Threat 潜在的弱点 X Vulnerability 风险 = Risk Symantec Vision 2010 3
  • 4. 信息安全=风险管理与控制 避免/降低/接受/转移 高 安全投资 成 本 成本效益 风险程度 低 高 安全等级 Symantec Vision 2010 4
  • 5. 信息系统安全七大构面 实体安全 建物系统安全规划,门禁管制,数位监 控…等 网络安全 防火墙,入侵 侦测,访问控制(AAA), VPN, SSL加密,网络管理,无线…等 内容安全 资料加/解密系统,数字签名(CA), Web/Mail内容过滤,防病毒…等 目录服务 LDAP, Directory Service…等 应用程序安全 应用系统访问控制,统一登入(Single Sign On),程序功能测试…等 可用性及负载平衡 备份/异地备援/数据储存, Cluster, APM/ SLM/压力测试…等 风险管理 弱点扫描,安全稽核, ISMS顾问服务, 整体安全系统规划…等 Symantec Vision 2010 5
  • 6. 信息安全的规划方向与精神 管理 安全 效能 Symantec Vision 2010 6
  • 7. 信息安全规划原则----以防火墙为分水岭 做到外对内的防护 7 Symantec Vision 2010 7
  • 8. 信息安全规划原则----以防火墙为分水岭 做到内对外的防治 Symantec Vision 2010 8
  • 9. 网络安全基本架构说明 Symantec Vision 2010 9
  • 10. 一般架构示意图 Symantec Vision 2010 10
  • 11. 一般网络架构说明 • 大部分现行由防火墙担任对外防护机制,保护DMZ 段的对外 服务访问控制,并且管控内部USER 对外的存取服务 • 在DMZ 段,有DNS WWW FTP Mail等服务服务器,来担任公司对 外服务信息交换使用,未来也将有B2B或者是B2C的网站服务 上下游客户 • 中心端由Core Switch做为核心网络分组交换使用,分别连接到 各端点的边际交换器,及server farm的边际交换器 • 一般企业公司PC 的安全除防毒外,未做到任何管制(例如外围 控管等) • 远程PC 在管理上.造成IT 人员的负担 Symantec Vision 2010 11
  • 13. 一般现行网络可能面临的问题 • 外对内防护的面临问题 – 对外线路未统一整合,导致公司可能有断线危机 – 对外服务的服务器未受到完整保护,可能遭受黑客入侵 – 对外服务区,由于大部分Web的AP大部分由ASP ,.NET,JAVA等程序撰写,有可能造成黑客由AP层进行SQL 注入 或者是跨网站脚本攻击,而遭受到入侵 – Remote User无法快速及有效率在安全环境之下存取公司的资源 – 防火墙稽核纪录未符合稽核单位需求 – 邮件系统因为对外,可能造成大量垃圾邮件的攻击及被动式入侵 • 内对外的防治 – 公司员工PC 遭受病毒入侵、蠕虫爆发、木马程序渗透,瘫痪计算机系统正常运作 – 员工利用上班时间浏灠非法网站,占用公司带宽,可能遭受到后门,恶意软件攻击. – 目前公司内部的人员PC或NB,USB及各项可以连接的网络装置都未受到管制及保护,而导致可能有病毒透过此 途径的侵入,或者是感染. – 公司员工可能使用邮件及上网方式,将公司重要数据透过网络进行泄密 – 公司目前无法有效控制个人端的PC 随意连接到公司网络,并且对于个人的公司内部的应用程序及资源.无法 做有效控管 – 公司的网络效能,常常出问题,但不知是Server或网络节点出了问题 – 数据库为公司最重要的资产,未受到任何保护,可能造成数据外泄或被窃取 – 无线网络的环境,因为大部分企业对于无线网络无法掌控,所以无线网络确实也是企业的痛 Symantec Vision 2010 13
  • 15. 信息安全规划之未来蓝图 Symantec Vision 2010 15
  • 16. 信息安全规划之未来蓝图说明(外对内防护) • 规划线路备源机制(ISMS 永续经营—风险管理) – 解决对外线路统一整合问题,让公司能进而永续经营 • 规划IPS 及弱点扫描服务机制(网络安全暨风险管理) – 保护对外服务的服务器避免遭受黑客入侵,并且定期做健康检查,达到联防效果 • 规划应用程序防火墙及网页弱点扫描服务(应用程序安全暨风险管理) – 保护对外服务的服务器,避免因为内部的网页程序的撰写疏忽,而造成黑客利用网页 的漏洞被黑客作为跳板及撷取客户端的密码,此种手法一般称做跨网站脚本攻击,或 者是利用SQL程序撰写的漏洞造成SQL 的注入 – 为了保护企业的网站安全,必须搭配相关的网页的漏洞扫描,以了解哪写网页的内容 有漏洞,然后再加以利用应用层是防火墙,加强更深层的防御 – 原代码检测,从底层修正程序代码,解决网站的安全漏洞(应用程序安全) • 规划SSL VPN (内容安全) – 解决一般企业的原本IPSEC VPN的不便,而且改善及加强安全机制,让Remote User可 以快速及有效率在安全环境之下存取公司的资源,甚至可以做到认证授权及审计的 安全机制 • 规划垃圾邮件过滤机制(内容安全) – 防止企业对外信件服务器遭受到大量邮件攻击,也进而防止垃圾信的入侵,让个人端 的计算器,遭受到木马后门等程序危害 Symantec Vision 2010 16
  • 17. 信息安全规划之未来蓝图(外对内的防护) 原代码检测 Symantec Vision 2010 17
  • 18. 内对外的防治机制作法—针对个人端行为防治及管控 防毒 防泄密 防骇 Symantec Vision 2010 18
  • 19. 病毒,木马,后门,恶意软件的感染途径说明 • 一般感染原因,大部分来自USER不当使用计算机所造成,所以 我们必须从USER 行为来做分析,以保护公司的信息资产及提 升网络安全,USER使用计算机的行为分为两段 – Internet网络存取 • 不当网页的存取(例如色情,赌博,游戏网或者是被骇的网站) • 使用P2P(例如BT,Emule等) • 使用IM (例如MSN,Yahoo,尤其Skype) • 邮件的附加档案 • FTP – 个人计算机外设装置 • 使用USB媒体存储装置 • 利用无线网络 • 透过3G连接Internet • 透过蓝芽的传输 Symantec Vision 2010 19
  • 20. 信息安全规划之未来蓝图说明(内对外防治) • 规划上网管控机制及防毒墙(内容安全,目录服务) – 避免公司员工PC 遭受病毒入侵、蠕虫爆发、木马程序渗透,瘫痪计算机系统正常运作 – 管制员工利用上班时间浏灠非法网站,占用公司带宽,可能遭受到后门,恶意软件攻击. • 规划个人端PC 周边管控机制(内容安全) – 避免公司内部的人员PC或NB,利用USB及各项可以连接的网络装置都导致可能有病毒透过此途径的侵入,或者 是感染. • 规划防泄密管控机制(内容安全) – 防止公司员工可能使用邮件及上网方式,将公司重要数据透过网络进行泄密 • 规划NAC(部分实体安全及网络安全) – 可有效控制个人端的PC 随意连接到公司网络,并且对于个人的公司内部的应用程序及资源做有效控管 • 规划数据库稽核系统(内容安全) – 保护公司最重要的信息资产,避免数据外泄或被窃取 • 规划远程管理回复系统(灾难复原) – 将可降低IT 人员的负担,一方面可以利用远程的方式进行系统回复,近程回复及资产管理等效益已达到管理的 最大目标 • 规划无线网络安全系统(网络安全) – 一方面利用无线的特性,可以防止无线的溢波,二方面可以加强防护避免内部计算器非法存取外部的AP ,造成 安全上漏洞,三方面可以利用无线的方法加强认证授权审计功能,并且使用内建的防火墙功能加强访问控制 Symantec Vision 2010 20
  • 22. 规划远程管理--从资产管理到灾难复原 升级 定义资产 • 硬件更新 • 硬件资产 • 操作系统更新 • 软件资产 • 应用软件更新 • 固定资产 • PC个性化迁移 问题管理 • 远程控制 合约管理 • 桌面帮助 • 软件许可证 • 硬件租约 淘汰 采购 • 服务水平协议 IT生命周期管理 监视/跟踪 • 采购辅助 部署新系统 • 预定策略 • OS部署 • 检测非法软件 安装设置 • 网络配置 • 应用测量 运作生产 • 初始系统安装 • 软件许可证管理 分发软件 业务连续性 • 应用软件 • 软件自动修复 安全管理 • 升级 • 健康状态管理 • 埠/无线控制 • 病毒包 • 冲突分析 • 管理员密码 • 备份和恢复 • 系统安全漏洞分析 • 扫描、报告,补丁 Symantec Vision 2010 22
  • 23. 信息安全现阶段规划图标说明 (外对内防护) Symantec Vision 2010 23
  • 24. 信息安全现阶段规划说明 • 外对内的防护规规划 – 规划线路备源机制(ISMS 永续经营—风险管理) – 规划IPS 及弱点扫描服务机制(网络安全暨风险管理) – 规划应用程序防火墙及网页弱点扫描服务(应用程序安全) – 规划SSL VPN (内容安全) – 规划垃圾邮件过滤机制(内容安全) Symantec Vision 2010 24
  • 25. 信息安全规划之未来蓝图(外对内的防护) 原代码检测 Symantec Vision 2010 25
  • 26. 信息安全现阶段规划图标说明 (内对外的防治) Symantec Vision 2010 26
  • 27. 信息安全现阶段规划说明 • 内对外的防治 – 规划上网管控机制及防毒墙(内容安全,目录服务) – 规划个人端PC 周边管控机制(内容安全) – 规划防泄密管控机制(内容安全) – 规划NAC(部分实体安全及网络安全) – 规划数据库稽核系统(内容安全) – 规划远程管理回复系统(灾难复原) – 规划无线网络安全系统(网络安全) Symantec Vision 2010 27
  • 29. 如何统一管理信息安全事件及审计记 录呢? Symantec Vision 2010 29
  • 31. 运营智能平台的层次 即时营运透视 主动反应 高可视度可让 IT 持续改善问题 主动监控与修复 反应 除错与根问题查找 Symantec Vision 2010 31
  • 32. 搜索引擎可以全面处理IT资料 采集异质平台的数据.不需数据库也不需正规化的转换程序 Alert Works with any application, server or network device Windows Linux/Unix 虚拟化 应用程序 数据库 网络设备 • Registry • Configurations • Hypervisor • Weblogs • Configurations • Configurations • Event logs • syslog • Guest OS • Log4J, JMS, • Audit/query • syslog • File system • File system • Guest Apps JMX logs • SNMP • sysinternals • ps, iostat, top • .NET events • Tables • netflow • Code and • Schemas scripts Symantec Vision 2010 32
  • 33. 作法:采集与索引IT Data 日志 配置文件 原始码 短信 traps&报警 活动报告 动态I/O 数值 Symantec Vision 2010 33
  • 34. Splunk 是 Operational Intelligence 的平台 Symantec Vision 2010 34
  • 35. 用Splunk侦测与追查某购物网站的信息安全事件 除错与根问题查找 Symantec Vision 2010 35
  • 37. sourcetype="3web-ssl_access" Symantec Vision 2010 37
  • 38. Source ip TOP 10 TOP 1 IP is: 220.181.125.69 Symantec Vision 2010 38
  • 39. whois 220.181.125.69 220.181.125.69 from Beijing Symantec Vision 2010 39
  • 40. 2月14日到2月20日有规律的对网站进 行访问,期间在AM06:00~07:00有较 大的访问! 疑似在进行网站扫描或是在复制该网站 Symantec Vision 2010 40
  • 45. 数据中心运营 Level 1 NOC Dashboard Symantec Vision 2010 45
  • 46. 数据中心运营 Level 2 Dashboard • 适合一线值班工程师使用 • 可随时检视或调阅最近一 小时内的log信息与分析趋 势 Symantec Vision 2010 46
  • 47. Level 3 dashboard 数据中心运营 Level 3-5 Dashboards • 适合各组专责人员使用 • 可随时检视或调阅特定 类别设备或系统的 • log信息与分析趋势 Symantec Vision 2010 47
  • 48. 网络设备管理 Switch接口的使用状况 Switch所有接口的状况 Switch接口使用状态,若接口 Switch各接口网络使用量 异常时,可以发出实时警告 Router使用 Session分析 路由器登入状况。 网络分析Correlate events to 网络设备管理 follow network session Symantec Vision 2010 48
  • 49. 服务器效能管理 各服务器CPU使用 内存使用率 各主机CPU使用最大、最小值 内存使用状况,利于异常事件 及平均值 发生时问题厘清。 服务器更新windows 服务器接口使用 update 网络接口使用监控,可了解是 主机更新失败、成功列表、监 否有异常流量爆发 控更新失败的主机,可防止资 Windows服务器效能管 安(病毒、黑客攻击)事件的发生 理 Symantec Vision 2010 49
  • 50. 服务器效能管理 各服务器CPU效能 内存使用率 各主机CPU使用效能百分比 内存使用状况,利于异常事件 发生时问题厘清。 服务器内存使用 服务器网络接口使用 最近3小时内存常驻处理程序 网络接口使用监控,各主机网 *nix服务器效能管理 络接口的流量 Symantec Vision 2010 50
  • 51. 虚拟服务器管理 虚拟服务器内存使用 实体与虚拟之间的使用状况 比较每台虚拟主机内存平均使 系统内存使用量到达警戒值时, 用率%. 可以发出警告,实时报告。 虚拟服务器CPU使用 虚拟服务器CPU使用 比较每台虚拟主机平均CPU使 每台虚拟主机CPU使用情形可 虚拟服务器管理监控 用率。 看出是哪些应用程序消耗资源 Symantec Vision 2010 51
  • 53. 信息安全监控与审计管理 路由器登入成功、失败- 防火墙管理者行为审计 Cisco ACS: Login Success/Failure 确认是否有异常登入的状况 服务器登入失败 Windows主机账号异动 确认是否为有心人士、黑客攻 每台主机账号新增、移除异动 资安报告 击测试登入的状况 稽核是否符合管理程序 Symantec Vision 2010 53
  • 54. Security Monitoring: FW & IPS 整合IPS and Firewall Log -了解攻击事件 IPS 的CPU 效能 IPS 内存的效能 Partition空间不足 显示 Partition空间状态显示 网络安全设备不仅要看攻击事件外, 另外必须了解是否因为联机数过高, 或阻挡次数过高而影响正常的系统 (CPU、Memory、Disk)维运。 Splunk不仅可以运用主机效能监控 ,亦可做到网络设备效能监控,只要 IT日志中有的数据,Splunk皆可整理 成有价的信息。 Symantec Vision 2010 54 54
  • 55. Security Monitoring: FW & IPS 整合IPS and Firewall Log - 了解攻击事件 利用下拉式选单方式选择 不同的防火墙查找问题 防火墙上不符合 联机规定,遭拒 绝联机的次数图 遭拒绝联机的前10来 源IP---确认是否有黑 遭拒绝联机的前10目 客攻击前测试联机的 的IP---确认内部是否 状况 有主机被植入后门而 对外联机 Symantec Vision 2010 55
  • 56. Security Monitoring: FW & IPS 整合IPS and Firewall Log -了解攻击事件 防火墙上联机数 防火墙上联机被 联机被拒绝的次 判断,是否有大量 拒绝的次数 数占总联机次数 的联机 的百分比 了解防火墙规则符合 次数,提供管理者调 联机服务统计,由 整防火墙规则先后顺 图中可知内部服务 序,提高防火墙效能 TCP445占大量 从IPS 攻击的的手法,并且 利用Drilldown 来了解攻击 的来源IP Symantec Vision 2010 56
  • 57. Security Monitoring: FW & IPS 整合IPS and Firewall Log -了解攻击事件 由攻击来源IP与被攻击目的IP、 Port可分析了解目前内部网络潜 在的风险,提供管理人员有效判 读,确认是否为误判?或是异常 攻击事件、防毒系统尚未发现的 病毒扩散行为?进入相关的矫正 预防程序! Symantec Vision 2010 57
  • 58. Security Monitoring: Anti-Virus  内部防毒信息监控与调查 了解病毒文件出现 了解病毒文件的种 的次数 类 了解感染病毒的用 了解感染病毒主机 户 防毒信息调查分析,了解感染病毒 的分布,可在Splunk同一平台查 找IPS上是否有感染病毒主机的异 常行为?若有,可能是防毒系统尚 未发现的病毒行为!Symantec Vision 2010 58
  • 59. Security Monitoring: IP Locations 整合IPS and Firewall Log -了解攻击来源 简单的右键管理方法,快速找到来源IP及所在地 透过下拉式选单根据字段的资料做近一步的资料查找.例如: source ip的字段下拉后选取Locate This IP,会透过外部网站 服务找出此来源 IP的相关信息(所在地, ISP等) Symantec Vision 2010 59
  • 60. 审计管理-ISMS政策遵循 Symantec Vision 2010 60
  • 62. 审计轨迹记录管理平台 审计管理 以个人或者管理 者角度进行稽核 记录审查 Symantec Vision 2010 62 62
  • 63. 审计轨迹记录管理平台—管理者角度 审计管理----AD与DHCP 关连性 以及server 稽核轨迹记录 了解7天内账户 了解7天内新增 被锁状态 用户的名单 Logon fail 的名 单,利用drill down 了解何时 登入失败 了解每日的帐 了解每日的计 户密码变更状 算机密码变更 态 状态 Symantec Vision 2010 63 63
  • 64. 审计轨迹记录管理平台—管理者角度 审计管理----AD与DHCP 关连性 以及server 稽核轨迹记录 利用窗体对应法, 将原本不了解的 代码,转换程文字 表示 Symantec Vision 2010 64
  • 65. 审计轨迹记录管理平台—使用者角度 审计管理---- AD与DHCP 关连性 以及server 稽核轨迹记录 Symantec Vision 2010 65 65
  • 66. 效能管理暨事件管理平台—技术角度 网络管理 实时IPS 监控 攻击的手法 来源 ,攻击 利用窗体式搜 利用窗体是搜寻查出 寻查出联机拒 目的IP,攻击 联机数,Top来源 绝数,Top来源 IP,Top目的IP 的目的埠 拒绝IP,Top目的 拒绝IP Symantec Vision 2010 66 66
  • 67. 审计轨迹记录管理平台—技术角度 审计管理 登入失败账号 列出昨日账号 登入失败账号查找 及次数 用户密码变更 主机账号密码 变更 Symantec Vision 2010 67 67
  • 68. 审计轨迹记录管理平台—技术角度 审计管理 七天内账号被锁 利用窗体搜寻将用户 账号打入即可产生你 要的信息 面对外部稽核时 稽核人员若以”抽样查 核”的方式, 要求受验单位,立即调 阅某用户的相关存取 记录! ”窗体搜寻”,即可有效 运用,符合稽核人员的 要求! Symantec Vision 2010 68 68
  • 69. IT管理平台—技术角度 个别设备的问题 查找 Symantec Vision 2010 69 69
  • 70. Splunk的价值 Symantec Vision 2010 70
  • 71. 增值又保值的IT数据管理平台 Business Intelligence Network Managemen t • 纵向管理, 信息封 New 闭 • 必须学会所有种 Application 类工具的使用方法 Managemen t SIEM Log New • 同一平台 Managemen • 同一使用方式 t • 价值长存 Upgrad New e Upgrad • 不同数据类型 New •各种领域应用 e Upgrad • 价值提升 Upgrad e e Symantec Vision 2010 71
  • 72. Thank you! Vincent-Chang [张文献] Vincent_c@systex.com.tw 15801913138 Copyright © 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. 72