4信息安全解决方案

3Sept.2008©NeusoftConfidential面向未来的安全运维Thebestwaytopredictthefutureistoinventit.Copyright2008ByNeusoftGroup.Allrightsreserved3Sept.2008ConfidentialPart1安全技术与管理面临的挑战3Sept.2008Confidential挑战1：技术的进步还是技术的“迷失”•我们真的需要反思在过去几年，信息安全建设工作中有过什么真正了不起的超越提升吗？•FW、IDS、防病毒、IPS、CA、PKI、漏洞扫描、身份认证、4A审计……技术对抗技术的路很难走。•我们的对手呢，他们在过去的几年时间里，你想知道他们有什么了不起的飞跃吗？3Sept.2008Confidential我们的对手技术飞跃的速度超出我们的想象•系统的开机口令，最长14位，最变态的口令如下：•N73k_a7IUBok•PrFa$=PtRcb^__•zxGr*EW&2nk#•cjST$=W0U*-5CH•zw=ijW$i*vEX•WIN系统的口令是7位一段存放的，最多的口令可能性为（26+26+10+15）的7次方在每秒800次的破解速度下，只需要23天就可以把全部可能性轮循一遍。3Sept.2008Confidential更多的口令甚至连暴力破解都不再需要了•口令的本地HASH保护算法在过去几年遭受到了前所未有的破解势力冲击，安全隐患不断被发现和暴光。•操作系统之外，硬件设备的驱动HACK也逐渐被更多人认识到其中的可怕。•20年密码攻防战很可能是以安全一方失利来谢幕告终。3Sept.2008Confidential连传统的SSL-VPN技术都不能幸免•今天我们的网络银行还有很多单位都在选择SSL-VPN作为自己的主要应用防护的加密手段，当我们正在用SSL-VPN保护自己的同时，我们真的认为这是安全的环境吗。3Sept.2008Confidential无线网络的嗅叹轻而易举•我经常在机场、酒店大堂、时尚的咖啡厅看到很多人很自在的拿着笔记本电脑在享受网络冲浪访问。很多电信运营商也在积极的推广城市热点的接入覆盖访问。但是，你有考虑过这个环境是否安全吗？3Sept.2008Confidential挑战2：网络越来越庞大和复杂•越来越多的行业用户开始建设第2张网络、部署第3个出口、今年还有4个新系统要上线，可是或许安全的维护人员连5个都不到。•技术与人的比例开始发展失调。3Sept.2008Confidential挑战3：最有用的日志一直被忽视•认真看过入侵检测的日志吗，每天都认真的去看入侵检测的日志吗，入侵检测之外的其他安全产品、系统、主机应用、网络设备等等呢，我们每天都会认真的去看吗？3Sept.2008Confidential挑战4：现在的安全管理模式防火墙IDS/IPSVPN漏洞扫描认证服务器路由器/交换机防病毒软件Windows/Solaris/UNIX收集网络拓朴信息阅读和分析海量数据操作步骤：1、报警2、调查3、防御网络运营安全运营安全知识行动总是过于迟缓3Sept.2008Confidential挑战5：没有中国特色的信息安全管理•策略制度没有生命力没有执行力，很多策略制度没有写明白该如何去做，怎么做。•管理的标准远不如技术的标准实施的容易，过于西化的标准看起来虽然严谨漂亮但未必真的适用我们。•中国式的企业管理被很多人成功的应用，今天“中国式的信息安全管理”也被越来越多的人所关注。•好的管理是一种成功的企业文化的延伸，管理不应该是简单的允许哪些与禁止哪些那么简单。3Sept.2008ConfidentialPart2面向未来的对抗3Sept.2008Confidential攻与防的技术对抗•攻击者的脚步进步越来越快，安全厂商需要不断完善自身的相关领域研究规模和内容深度，东软在08年连续第三年攻防实验室规模增长超过150%。•用一种技术对抗另外一种技术，搏奕的双方变化都很快，所以很难保持一种平衡。•不要小看技术对抗，正确的引导这种对抗，可以大大增加信息安全项目的实际功效。3Sept.2008Confidential信息安全项目中的搏奕理论•先来看看我们公司是如何解决上班期间员工随意访问互联网的问题的。•再来看看，国家某部门是如何引入两家安全公司来解决安全项目实施力度不到位的问题的。3Sept.2008ConfidentialPart3面向未来的风险管理与安全运维3Sept.2008ConfidentialNetEye安全运维解决方案零散安全产品NetEye安全运维解决方案信息保障体系人技术操作FirewallScannerIDS……3Sept.2008Confidential资产管理•资产管理参照国内相关标准（如：信息系统安全等级保护规范）中关于资产管理的要求，实现资产登记、资产的所有权、资产的分类、标识和处理，并结合组织的特殊情况进行调整；也可参照国际相关标准（如：ISO17799）来划分和标识资产。•资产信息的录入可通过自动发现、人工录入和第三方导入等方式实现。•资产价值按照信息系统所属类型、业务信息所属类型、信息系统服务类型、业务系统依赖程度四个属性来定义。•资产管理是信息安全风险管理的重要基础，它建立了统一的分析平台判断依据，从根本上解决了传统威胁事件管理的不足。3Sept.2008Confidential资产管理•排版说明：3Sept.2008Confidential安全信息监控•对各类安全信息进行收集、分析、归并处理，根据安全信息的紧急程度并结合资产价值进行集中告警。•安全信息监控的对象至少包括了路由器、交换机、防火墙、IDS、漏洞扫描设备、主机系统、服务器系统等。其功能是根据安全信息收集策略中定义的信息位置、类型和内容进行信息收集，并根据定义的信息传输目的地对收集的信息进行传输。•NetEyeSOC通过SNMPTrap、SYSLOG、ODBC/JDBC、HTTP/XML、文件以及其他扩充协议等方式从网络设备、安全设备、主机系统等多种数据源收集安全信息，经过过滤、汇总和关联分析后，标识其紧急程度，一方面以规定的格式存储到数据库内，另一方面以多种方式实时响应。•提供了界面显示报警、手机短信息、E-mail、SYSLOG、SOAP、与防火墙互动等多种响应方式。3Sept.2008Confidential安全事件展示（安全事件会自动聚类、合并）3Sept.2008Confidential脆弱性管理•NetEyeSOC系统内置NetEye漏洞库、CVE漏洞库、bugtraq漏洞库。•SOC系统可以定制驱动扫描器来获取脆弱性信息，管理员也可以手动驱动扫描器。•定期主动发现脆弱性问题，并与资产状态和威胁事件相互关联，使得安全风险的展示更为准确有效。3Sept.2008Confidential风险管理•风险管理主要是把当前SOC所监控的网络中所存在的风险以宏观的方式呈现给用户，让用户对网络中所出现的问题有一个初步的了解。•风险管理主要功能有：区域地理图、安全趋势图、历史统计图、安全事件列表、安全信息雷达图、资产信息列表等功能。•告诉管理员每天最应该处理做的事情有哪些，如果在繁忙的工作期内快速合理的安排自己的工作。3Sept.2008Confidential风险管理3Sept.2008Confidential安全事件处理•安全事件处理也称为工单管理。•实时跟踪每个工单任务的状态、处理过程和最终结果。•安全事件工单有分发、跟踪、完成、回收站和处理等系列处理状态。3Sept.2008Confidential工单流程，每个管理员只能操作与自己关联的工单3Sept.2008Confidential报表•报表提供五大类十三种报表，同时用户可以自定义报表。•用户可以分别生成安全域类报表、资产类报表、脆弱性类报表、安全事件类报表、工单报表。3Sept.2008Confidential安全是一种责任，合作是一段深厚的友谊•今天的安全产品不再是传统安全产品的延伸，更多是管理体系的技术升华，SOC是伴随用户网络一起成长与发展的核心应用业务系统。所以对于厂商的门槛是非常高的。•产品后续的研发升级，知识库维护，配套安全服务，对厂商的生存能力提出了苛刻的需求，而东软持续发展的理念正是我们最强有劲的保障。•东软公司推出的安全产品，每一行代码都是自己开发的，相对一些采用OEM方式走快速化发展的厂商来说，东软的厚积薄发值得用户信赖。3Sept.2008Confidential东软NetEye全系列安全产品和安全服务•NetEyeSOC安全运维平台•NetEyeFirewall防火墙•NetEyeVPN虚拟专用网•NetEyeIDS入侵检测系统•NetEye审计系统•NetEyeNTars流量分析与响应系统•NetEyeIPS入侵防御系统•NetEyeNTPG流量净化网关•NetEye专业安全服务•……3Sept.2008Confidential