网络安全维护的必备工具(1)

1SecviewSOC网络安全维护的必备工具一、网络安全现状1、大部分的网络如图组成：网络设备、安全设备、服务器、应用系统、数据库、环境监控虽然用户购买了FIREWALL、NIDS、防病毒系统等安全设备但是还是有大量的安全隐患存在和安全发生事件：1．安全事件不能及时准确发现海量事件（海量的安全事件充斥着大量不可靠的信息，从而变的毫无价值。网络设备、安全设备、系统都会不可避免的产生对网络不会造成影响的无效事件，有的设备事件报警一天可以上万甚至几十万，人工分析已经变得不可能）误报问题（典型的如NIDS、IPS）漏报问题（如未知病毒、未知网络攻击、未知系统攻击）漏报另一大原因：缺乏重要服务器、网络设备的安全日志实时分析（NIDS虽然能够防御网络攻击，但是黑客利用对服务器、网络设备系统漏洞却一筹莫展，这就要求对重要的服务器、网络设备除了做好安全加固外，还需要实时对系统安全日志做分析监控，当非法用户或超级权限用户探测系统2信息的时候，就会在安全日志里迅速地记下服务器、网络设备被探测时所用的用的IP、时间、探测所用的用户名和密码等等，一旦管理员发现此事件可以及时采取措施;;对于安全设备如firewall每天产生大量日志,里面有黑客预攻击或者扫描的记录,由此可见实时日志审计的重要性。但是每台服务器或网络设备每天产生的日志可能有上千条甚至几十万条，这样人工地对多个安全系统的大量日志进行实时审计、分析流于形式。）2．安全事件不能准确定位事件孤立相互之间无法形成很好的集成关联，给系统管理员提供的控制台各种各样，一个事件的出现不能关联到真实问题。（如NIDS事件报警，关联同一时间防火墙报警、被攻击的服务器安全日志报警等，从而了解是真实报警还是误报；如未知病毒的攻击，分为2类网络病毒、主机病毒，网络病毒大都表现为流量异常，主机病毒大都的表现CPU异常、MEM异常、DISK空间异常、文件的属性和大小改变等，要发现这个问题，需要关联流量监控（网络病毒）、关联服务器运行状态监控（主机病毒）、关联完整性检测（主机病毒）来发现，为了大规模在网络内爆发前，必须快速发现问题在中毒机器源头切断；如发现网络流量异常，超过正常阀值，那么在网络设备的端口出会报警，在这个情况并不能确定问题原因，需要通过事件关联，发现网络设备所在上级和下级网络设备是否报警，首先能够确定网络流量异常所在位置，然后根据所在的Sniffer、NDIS、日志分析系统是否发现安全报警，如果存在说明是未知网络攻击行为或者是未知网络病毒；如果没有那么可能是正常量增大造成的。如服务器的宕机，可能是安全事件遭病毒感染，DDOS攻击，可能是服务器健康CPU超负荷，端口某服务流量太大，访问量太大等，必须将多种因素结合起来才能更好分析，快速知道真实问题点及时恢复正常。……）3．没法做集中的事件自动统计无法自动了解某台服务器的安全情况报表，所有机房发生攻击事件的频率报表；网络中利用次数最多的攻击方式报表；发生攻击事件的网段报表；服务器性能利用率最低的服务器列表等等。需要管理员人为去对这些事情做统计记录，生成报告，耗费大量人力。34．没有有效的事件处理查询没有对事件处理的整个过程作跟踪记录，信息部门主管不了解哪些管理员对该事件作了处理，处理结果过程没有做记录，处理得知识经验不能得到共享，导致下次再发生同类事件时，处理效率的低下。5．缺乏专业的安全技能管理员发现问题后，因为安全知识的不足导致事件迟迟不能被处理，影响网络的安全性、延误网络的正常使用。二、SECVIEW能够解决的问题自网络和互联网技术和使用被广泛的运行以来，暴露出较多的安全隐患和因为内部员工的误操作或恶意破坏造成的严重损失。为了预防和降低安全和系统故障对用户造成的危害，由信息中心对所属的业务进行集中式的监控维护，并对安全产品实现集中监控，建立统一的网络安全监控和响应中心，对安全事故做到防患于未然、及时发现、及时处理解决和追踪危害来源。对需要保护的用户进行安全意外、系统故障和非正常宕机现象进行事前的预警、事中的紧急处理和事后的问题分析和总结。SECVIEW集中监控平台的主要核心不仅仅是产品本身，更重要的是建立一个一级监控、二级维护的体系。1、劳动力节省，提高维护效率用户只需要在一个平台上就可以了解网络中重要资产，网络设备、服务器和应用服务、数据库的运行状况中和发生的安全事件，每个设备产生的大量的安全事件，而造成的海量事件，通过SECVIEW筛选过滤器，可以将大量无效信息过滤，将真实报警展现给用户。简化了公司网络安全维护。2、弥补安全的不足，提高整体安全性弥补不足：通过SECVIEW日志分析系统，对系统、设备安全做实时监控，有效提高了重要服务器、设备的安全。4误报：通过SECVIEW关联分析有效降低NIDS的误报问题漏报问题：通过SECVIEW的网络监控和服务器性能监控、流量监控、日志分析等来有效弥补其他安全产品NIDS对未知攻击、防病毒系统未知病毒的无效，管理员可以及时发现和隔离的未知攻击源、抑制病毒大规模暴发的有效补充事件关联：通过SECVIEW事件关联来及时发现和判断事件的真伪性，及时发现到底是什么问题造成的这些报警，有效防止事态扩大造成的损失，用户可以轻松从事件源头解决问题。安全知识库：SECVIEW内置了7128条安全知识库来帮助用户解决遇到的安全问题和安全漏洞。安全经验库：SECVIEW提供用户处理事件的经验库，当再次出现相同的故障和报警，能够自动从经验库调出相关的处理方法指导用户按步骤解决问题。3、日志分析审计将受管网络中重要的网络设备、安全设备、操作系统安全事件源的安全日志、安全事件集中收集管理，实现日志的集中、审计、分析与报告。同时，通过集中的分析审计，发现潜在的攻击征兆和安全发展趋势，并达到实时故障检测的目的。实时故障检测包括按照安全策略进行的网络服务故障实时自动化检测，以及派生而来的网络故障检测。4、报表自动生成SECVIEW可以获得不同的报表，报表生成是非常灵活和自由，能够根据用户不同的要求生成不同的报表。如网络流量报表；服务器健康报表；某台服务器的安全情况报表；所有机房发生攻击事件的频率报表；利用次数最多的攻击方式报表；发生攻击事件的网段报表；服务器性能利用率最低的服务器列表等等。可以根据用户需要生成各种组合式报表，所有的报表都可以跨设备、跨网段、跨机房进行统一的处理。而且报表的生成方式也多样化有柱线图、饼图、曲线图等。55、事件处理查询信息主管能够及时了解到这个事件有没有被处理？谁在什么时间发现了问题，通知了谁，对这个事件哪些人在什么时候作了什么处理？处理完成还是未完成？有效了解整个事件处理状况并将此处理方式作为经验知识库保存。6、为网络结构的调整或扩展提供有效数据通过SECVIEW对网络设备、服务器的监控可以有效了解到哪些网络设备、服务器超负荷工作了，可以用实际记录数据向上申请扩容或调整结构。7、提高管理员的安全意识和安全技术提高管理员的安全和网络技术，能够及时的发现和处理当前存在的网络和安全问题。围绕SECVIEW设计紧急响应处理文档和安全技术的解决方案，主要是针对IT管理员（包括系统管理员、安全管理员、数据库管理员、应用服务管理员、网络管理员的）如何正确安装、配置、使用和监控信息或计算机设备，提供规范的技术流程和技术实施手册。提高管理员的安全意识和安全技术水平。《设计病毒紧急响应流程》《系统故障紧急响应流程》《恶意攻击紧急响应流程》《系统管理员的响应手册》《安全管理员的响应手册》《网络管理员的响应手册》提供的安全技术解决方案包括各个相关操作系统的正确安装手册各个相关操作系统的加固手册各个相关的数据库加固手册各个相关应用服务的安装和加固手册网络设备的加固手册防火墙及其他网络安全产品的配置策略防病毒配置策略和使用规范6业务系统软件安全技术标准拨号网络的安全设置防止大型邮件风暴的处理技术备份管理登记表服务器日志检查表紧急响应事故登记表数据库访问登记表网络配置变更登记表信息资产登记表用户权限分配表用户账号登记表资产维护登记表8、SECVIEW默认支持设备CISCOSwitch监测分析CISCOSwitchSYSLOG/SNMPCISCORouter监测分析CISCORouterSYSLOG/SNMPLoggingonStealthInterface监测分析用户登陆日志。IPFW监测分析IPFW日志。ApacheWebServer监测分析ApacheWebServer日志NetFilter监测分析NetFilter日志。IPChains/IPTables监测分析IPChains/IPTables日志。CiscoVPNConcentrator监测分析CiscoVPN日志。CiscoPIX监测分析CiscoPIX日志。EnterasysDragonSensor监测分析SNMPEnterceptIDS监测分析SNMPIntrusion监测分析SNMP7ISSRealSecure监测分析SNMPNFR监测分析SNMPSnort监测分析SNMPSunSolaris监测分析SunSolaris日志AxentEnterpriseSecurityManager监测分析AxentEnterpriseSecurityManager日志AxentITA监测分析AxentITA日志AxentITAQuery监测分析AxentITAQuery日志BSDSyslog监测分析BSDSyslog日志CiscoAccessPoint35监测分析SNMPCiscoAccessServerAccountingv3.0监测分析CiscoAccessServerAccountingv3.0日志CiscoAccessServerAuditv3.0监测分析CiscoAccessServerAuditv3.0日志CiscoAccessServerFailedv3.0监测分析CiscoAccessServerFailedv3.0日志CiscoAccessServerPassedv3.0监测分析CiscoAccessServerPassedv3.0日志CiscoAccessServerAcceptsv3.0监测分析CiscoAccessServerAcceptsv3.0日志TripWire监测分析TripWire日志WindowsNT监测分析WindowsNT日志Windows2000监测分析Windows2000日志Unix监测分析Unix日志8Linux监测分析Linux日志CyberGuardFirewall监测分析CyberGuardFirewall日志Dragon监测分析Dragon日志EntrustPKI/NTLogs监测分析EntrustPKI/NTLogs日志GauntletFirewall监测分析GauntletFirewall日志HPSyslog监测分析HP日志LDAPServer监测分析LDAPServer日志LucentManagedFirewall监测分析SNMPMicrosoftIIS4.0监测分析MicrosoftIIS4.0日志MicrosoftPerformance监测分析MicrosoftPerformance日志MicrosoftProxy监测分析MicrosoftProxy日志NetegritySiteminder监测分析NetegritySiteminder日志NetscapeProxyAccess监测分析NetscapeProxyAccess日志Netscreen监测分析Netscreen日志/SNMPNetworkAsSecViewiatesGauntlet监测分析NetworkAsSecViewiatesGauntlet日志NetworkIceBlackIce监测分析NetworkIceBlackIce日志NFRFlightRecorder监测分析NFRFlightRecorder日志NortelVPN监测分析NortelVPN日志OkenaStormwatch监测分