认证和访问控制 AAASOC10

计算机安全文档

网络安全技术 – 安全技术篇技术、产品和架构 Copyrights 2007内容提要l l l l l l安全技术概述 认证与访问控制 防火墙 入侵检测 密码技术基础 IPSec与SSL VPN Copyrights 20071

计算机安全文档

安全要素和防御体系防病毒 防火墙 入侵检测 身份认证 访问控制 日志和审计 安全扫描器 … 物理安全 风险评估 主机安全 安全域/网络 拓扑结构 应急响应 信息加密 … 安全体系 Copyrights 20072006 SC AwardslBest anti-malware solutionl l l llBest Identity Management Solutionl l l lBest Anti-spyware Best Anti-trojan Best Anti-virus Best Anti-wormlBest Password Management Best Authentication Best Single Sign-on Best Two-Factor Solution Best Integrated Security Software Best Integrated Security Appliance Best Managed Security Service Best Email Managed Service Best Event Management Best Computer Forensics Best Policy Management Best Security Audit Best Security Management Tool Best Patch Management Best Vulnerability AssessmentlBest Content Security Solutionl l l l lBest Unified Threat Solutionl l l lBest Anti-spam Best Email Content Filtering Best Email Security Best IM security Best Intellectual Property Protection Best Wireless Security Best Enterprise Firewall Best Intrusion Detection Best Intrusion Prevention Best Desktop Firewall Best VPN - SSL Best VPN - Ipsec Best Endpoint Security Solution Best Web Filtering Best EncryptionlBest Network Security Managementl l l l llBest Network Security Solutionl l l l lllBest Remote Accessl l l l lBest Vulnerability Assessment and Remediationl lSource from: http:///uk/awards/previous/26104/year/2006/ Copyrights 20072

计算机安全文档

安全技术概述AAA/IAM 身份帐号管理 Copyrights 2007IAM & AAAlIAM: Identity & Access Management AAA: Authentication, Authorization, Accounting (IETF / Cisco) AAA: Authentication, Authorization, Administration (IDC) AAAA: Account, Authentication, Authorization, Audithttp:///html.charters/aaa-charter.html Copyrights 2007lll3

计算机安全文档

身份与访问控制管理（AAA）l全局范围的统一用户库和用户生命周期管理l l l l主机 网络设备 数据库 主要应用 基于时间 基于用户 基于业务应用 基于任务分派 权限分割。。l细化的安全策略l l l l lIDC将传统的3A分为IAM和SVMSource: Nov 2004, IDC Copyrights 2007AAA (IAM) 是安全管理的基石人员和角色 HR系统集成 支持流程 支持灵活的 目录结构系统和应用帐号 平台覆盖广泛 自身安全性 系统健壮性 可扩展性策略与审计 灵活开放的架构 基于模型和规则的相关引擎 支持高可用性 丰富的报表模板 Copyrights 20074

计算机安全文档

Identity – Accounts - 帐户相关性定制用户名称关联89736Sljkd873jhe Slsnnekrj79 M3ik348sje2jljnj3889 aliksdfh32Jhaskins 555129876Kd8u3jm98aj Ambkljsdf983 Lk8idm3uid3jsdoidk As009834lk02j8 L23k2k287378dkj 838723089318身份编号关联JamesAHaskinsKdlw9o8kle73m Mdol3kd784jkjhHASJA03DK9374IOIRIOW 2LK2039484 KmndhsoiuSystem BJHASKINSFirst name Middle initial Last name Full name Address Life number Ssn Accounts James A Haskins JamesAHaskins 1735 grove ave. Tampa, FL 579263 555129876 HASJA03 89736 jhaskinsSystem C579263Kdn slkjme 830-2839487 129afe E6a9856c98f0 109889639社会保险号关联System A Copyrights 2007AAA/IAM产品组件和部署方式权威性目录 用户管理, 委托用 户管理, 自助服务 身份管理用户, 组别, 服务，策略 . . .传递用户身份/ 授权信息资源OS平台开通/终止 服务应用数据库登录 访问 管理系统 认证 展现 门户 授权 允许/拒绝访问电子／通讯设备其他资源 Copyrights 20075

计算机安全文档

安全技术概述安全审计与安全管理中心 Copyrights 2007什么是审计 – Audit ？审计最早用于财务审计，根据美国传统字典的解释：lAn examination of records or financial accounts to check their accuracy. 查帐：对财政帐务的审查记录来核实其准确性 随着IT技术的普及，IT安全审计已经成为非常重要的分支。 IT安全审计主要包括管理和符合性审计，日志以及操作审计等。 有时候，入侵检测系统、事件取证分析等也被划入审计范畴。 Copyrights 20076

计算机安全文档

传统的安全日志审计l l l l l统一集中的安全事件、故障、日志 跨平台、跨应用、跨时间的相关处理和挖掘 业务融合 事件优先级划分 知识共享HBA 基于主机和应用的审计 深入系统、应用和业务 不受网络通信协议的影响NBA 基于网络的审计 全面、忠实的操作回放 快速低成本部署 不容易被窜改和绕过 不影响关键应用的性能 不会带来兼容风险 协议覆盖的全面性，应该可以审 计SSH/RDP等加密协议和数据 库等 部署的灵活性，应该支持分布式 部署和集中管理 性能和高可用性，应该支持千兆 提供灵活的报表和开放数据接口 Copyrights 2007安全日志审计系统典型结构设备 代理和收集对象 标准化 处理中心 管理员界面 图形界面Check Point代理关联处理 细节跟踪Microsoft Windows收集器报表OS/390 OS/390数据库第一层第二层 Copyrights 2007第三层第四层7

计算机安全文档

集中的日志审计系统审计策略Windows查看、视图 和报表审计数据获取 审计系统基于网路的审计 基于主机的审计信 息UNIX/Linux 数据库系告警和响应、行动Web 服务器统安全 监控 电子邮件各种应用安全经理接 到通知并采 取行动 中间件安全设备屏幕提示用户定 义的其 它动作收集器SMS集中的审计管理 接近实时的安全监控 Copyrights 2007基于网络的审计系统部署示意图维护人员Telnet Telnet SSH SSH RDP RDP Rlogin Rlogin VNC VNC FTP FTP Oracle Oracle Sybase Sybase …… ……Web应用 & Web ServicesEnterprise Apps (ERP/CRM)企业应用 (SAP, Oracle等)业务流 审计流传感器IT系统管理员/ 兼职安全管理 Unix/Linux服务器控制台Windows网络设备 安全设备审计员数据关键信息系统 Copyrights 20078

计算机安全文档

安全管理中心（SOC） 【2002年11月】l l l l l l策略中心 风险管理 配置管理 事件管理 响应管理 知识和情报中心配置事件响应策略/风险管理 知识/情报/培训从安全信息管理（SIM）到安全管理中心（SOC）或安全总控中心（SCC） 反映了业界从事后分析到实时监控、主动响应的技术发展。 Copyrights 2007安全管理中心架构示意图 Copyrights 20079

计算机安全文档

安全管理中心相关技术 Copyrights 2007安全管理中心与其他安全产品llll安全管理中心不能代替其它的安全产品，就如同网管 系统不能代替路由器和交换机一样。 如果没有IDS、防火墙、Anti-Virus等保护体系，安全 管理将会成为空中楼阁、无源之水。 相反的，没有了集中统一的安全管理，孤军作战的安 全产品效能大幅降低 SOC与MSS都是当前安全服务领域的重要内容 Copyrights 200710

计算机安全文档

安全技术概述安全扫描和漏洞管理 Copyrights 2007安全扫描与漏洞管理对网络和主机设备进行自动的安全漏洞检测和分析，及 时识别可能被入侵者利用的安全弱点 扫描器分类网络扫描器l网络远程扫描 lUnix,最早的三种网络扫描器 Scanner NetRecon Cybercops ISS -> IBM Axent ->Symantec NAI -> McAfeeNT, 网络设备等系统扫描器l将主机的实际配置和安全策略比较 l基于主机的安全评估系统 l漏洞及其补丁等当前使用较广的扫描器还有： Nessus X-Scan 开源扫描器 作者冰河…安全扫描逐渐向全生命周期的漏洞管理和预警两个方向发展。 Copyrights 200711

计算机安全文档

漏洞管理中的动力学和数字补丁失败 风 险 损 失 较佳时机 漏洞被利用 对于一般的企业组织，平均每30天修补关键 漏洞数量的50％ 漏洞关键级别降低，则半衰期加倍 最流行和最关键的漏洞每年只有50％改变， 即有50％的关键漏洞会存在一年以上 80％的漏洞利用出现在漏洞发表后的60天内Data Source: Qualys, 2004时间延迟 有18％的新补丁出现“补丁的补 丁”现象，而发布两周后的补丁 则只有不到10% 漏洞被利用的时间曲线则与站点 的知名度、漏洞类型等有关Data Source: LISA 2002 Copyrights 2007全生命周期的漏洞管理Report Reportl l lMonitorlVerify Remediation was Effective Measure Progress Determine Compliance LevelslIdentify New Assets, Technologies, Patches, & Configurations Discover New Vulnerabilities & ThreatsRemediate Remediatel lReportMonitorAnalyze AnalyzelAutomatically Deploy Patch or Configuration Deploy Workaround SolutionRemediateAnalyzelTest Testl lComplete Vulnerability ManagementTest NotifyValidate Newly Discovered Vulnerabilities Correlate Vulnerabilities to Asset ProfilesNotify Notifyl lTest Remediation Methods against baseline systems Test DeploymentPlanNotification of New Threats and Vulnerabilities Delivered via Email, Pager, SMS Messages, Phone MessagesPrioritizePlan PlanlPrioritize Prioritizel llDetermine preferred remediation methods based on research recommendations Define Distribution PlanEvaluate Vulnerability Risk Evaluate Asset Risk based on its Classification and Grouping Copyrights 200712

计算机安全文档

什么是安全预警？p从漏洞信息公布 到利用此漏洞的安全攻击实际发生之间的时间差——漏洞信息的预警p从某个病毒，某种攻击方式出现 到真正传播到某个运营商的网络之间存在时间差——安全威胁的预警安全威胁之窗 攻击扩散之窗时间发现安全 漏洞 漏洞预警 攻击方 法出现 威胁预警 攻击大 范围扩散抓住这两个时间差，就会为主动防御，赢得黄金时间！ Copyrights 2007安全预警的困难和挑战p “如果不把系统的补丁弄得尽善尽美，就要冒长时间停工的风险” ——摩托罗拉CISO 威廉.博尼 但存在以下困难： 如何验证安全补丁与应用系统兼容； 如何确保加载成功。 p 关闭无用的服务和端口也可以从根本上消除漏洞，并大大减少补丁加载 的工作量。 但存在以下困难： 系统默认安装，开放了大量无用的服务和端口； 系统十分复杂，系统集成商单个技术人员不知道那些服务端口有 用。0-Day 和 -1-Day 类的威胁使预警难度进一步提升 ！ Copyrights 200713

计算机安全文档

安全技术概述安全域 Copyrights 2007无限互联 ＝ 漏洞蔓延节选自美国总统IT顾问委员会PITAC ( President's Information Technology Advisory Committee) 报告 2005安全域划分和边界保护的意义就在于阻止这种无限互 联，即使实在内网，这种“无限互联”使得漏洞、蠕虫、 病毒、内部滥用和误用等威胁防不胜防。由于当前边界 的模糊，大规模的内部网近似于变成了一个小规模的互 联网。 隔离使得风险可控。Source: http:// Copyrights 200714

计算机安全文档

安全域划分的原则收益l l l lll同一域内的安全属性相似， 便于部署安全策略 数量不宜太多 划分原则和方法直观易部署 照顾现有网络架构和应用布 局 对端的可信度是重要的参考 依据 …p隔离安全风险 p保持安全策略一致 p便于部署安全设备 p共享，降低安全成本 Copyrights 2007安全域示例 - 3+1l l网络和系统可以分解成4个域 Networks and systems have 4 kinds of Zones接入域 Access Zone服务域 Service Zone互联域 Inter-networking Zone Inter-支撑域 Supporting Zone Copyrights 200715

计算机安全文档

安全域示例 - 数据中心安全域Internet DMZ High Security ZoneWeb Dispatcher ICM CRM ABAPDB CRM ServerIntranetWeb DispatcherInternetPortalCRM JavaMPLS BackboneDWH ERP按照关键度和风险分为不同的安全域 互联网 – 以及合作伙伴 DMZ - 互联网服务 内网 - 用户、普通服务器 高安全区 - 核心区、企业关键服务器 Copyrights 2007认证与访问控制 Copyrights 200716