安全管理技术.ppt

安全管理技术 计算机网络安全技术 主要内容 传统网络管理技术及其发展安全管理的必要性基于ESM理念的安全管理机制安全管理系统的基本功能信息安全管理标准简介 传统网络管理技术及其发展 网络管理的基本任务及时了解网络拓扑变化及时检测网络内各条线路的流量 能统计各线路丢包率 错包率 为线路性能的分析提供科学依据及时发现网络故障发生点 记录网络设备 线路 终端 病毒 非法入网 违规操作 相关告警设置等各种严重和一般告警信息进行设备的配置管理进行日志管理 分门别类记录网络的各种故障进行安全管理 传统网络管理技术及其发展 ISO的FCAPS模型故障管理 FaultManagement 配置管理 ConfigurationManagement 计费管理 AccountingManagement 性能管理 PerformanceManagement 安全管理 SecurityManagement 传统网络管理技术及其发展 故障管理网络故障对网络中故障进行检测 隔离 报告和修复 目标是保证计算机网络组件的稳定性 可用性和可服务性 即Reliability AvailabilityandServiceability 简称RAS 基本功能检测被管对象的差错现象 接收被管对象的差错事件报告 也称故障单 TroubleTicket 执行诊断测试 确定故障位置和性质 当存在备用设备或迂回路由时 提供新的网络资源用于服务 通过设备的维护或更换等措施进行修复 维护差错日志文件 记录差错信息 分析故障原因 传统网络管理技术及其发展 配置管理配置管理是提供了标识 收集 更改网络配置数据的功能 目的是为了实现网络的最优化服务功能 基本功能收集网络配置信息 修改网络配置信息 安装软件 存取配置信息 发现和显示网络的拓扑结构 生成配置报告 传统网络管理技术及其发展 计费管理计费管理用来度量网络资源的使用情况 目的是控制和监测各类网络服务的费用和成本 基本功能记录用户使用网络资源的情况和计算费用 统计网络利用率等效益数据 为网络运营部门提供制定资费政策的依据 传统网络管理技术及其发展 性能管理性能管理的主要功能是以网络性能为准收集 分析和调整被管对象的状态 其目的是保证网络提供可靠 连续的服务 基本功能从被管对象中收集 统计与性能有关的数据 并产生相应记录分析性能信息 检测性能故障 产生性能告警等报告预测性能的长期变化趋势控制被管对象 保证网络的性能指标 传统网络管理技术及其发展 安全管理网络安全管理包括进网安全防护 限制非法入侵者入网 应用软件访问的安全防护 检查用户访问软件的权限 网络传输信息的安全防护 对网络传输信息的加密 防窃听 防破坏和篡改等等 基本功能安全措施信息的管理 如用户口令 密钥 访问权限的管理 并根据安全措施信息判断非法操作 拒绝非法操作 安全审查 检查网络各种潜在安全漏洞 安全报告 对影响网络安全事件进行记录 形成报告网络操作事件的记录 记录用户登录 退出 记录涉及网络安全的网络操作 以便进行安全追查等事后分析 传统网络管理技术及其发展 网络管理体系结构网络管理实体网络管理协议管理代理管理信息库 传统网络管理技术及其发展 网络管理体系结构网络管理实体 Entity 即网络管理系统进程 它向运行在各网络设备上的网络管理代理 Agent 程序发出指令 对各种网络设备 网络资源进行监控和控制 网络管理协议是网络管理实体与网络管理代理程序间进行通信所遵守的规则和约定 传统网络管理技术及其发展 网络管理体系结构网络管理代理是驻留在网络设备 网络资源等网络实体上的 被网络管理实体控制的进程 接收网络管理实体发来的指令 从管理信息库中读取或修改被管理对象的各种配置信息 以通知的形式向网络管理实体报告被管理对象上发生的重要事件 管理信息库 ManagementInformationBase MIB 是被管理对象的信息集合 传统网络管理技术及其发展 SNMP协议全称 简单网络管理协议 SimpleNetworkManagementProtocol 使管理者通过轮询被管代理 和被管代理自动发给管理者的陷阱 trap 信息 来设置被管对象的属性和监控网络事件的发生 从而达到网络管理目的SNMP是基于TCP IP协议的应用层协议 采用无连接的传输层协议UDP传送网络管理报文 传统网络管理技术及其发展 SNMP协议SNMP的结构分为SNMP管理者 SNMPManager 和SNMP代理 SNMPAgent 每一个支持SNMP的网络设备中包含一个SNMPAgent 它随时记录网络设备的各种情况SNMP提供的管理操作管理进程从代理处获取被管对象的信息 管理进程通过代理设置或修改被管对象的属性 传统网络管理技术及其发展 基于Web的网络管理 Web BasedManagement WBM 使用Web浏览器作为客户端使用HTTP协议传输数据优点网管终端的可移动性地理上脱离了网管中心跨硬件平台和操作系统统一的管理界面平台独立性 适应不同的操作系统 体系结构 网络协议 互操作性 通过浏览器在不同管理系统之间切换 传统网络管理技术及其发展 基于Web的网络管理的实现方案基于代理管理器的方案在网络管理平台上叠加一个Web服务器 使其成为浏览器用户的网络管理代理管理器 传统网络管理技术及其发展 基于Web的网络管理的实现方案嵌入式方案将Web能力嵌入到被管设备中每个设备都有自己的Web地址 使管理人员可以通过浏览器和HTTP协议直接进行访问和管理 传统网络管理技术及其发展 基于CORBA的网络管理CORBA CommonObjectRequestBrokerArchitecture 公共对象请求代理体系结构 OMG ObjectManagementGroup 为解决分布式处理环境下硬件和软件系统的互联互通而提出的一种解决方案利用对象请求代理 ORB 作为组件通信的软总线 用户可以透明地访问信息 而不必知道目标所在的软硬件平台或所在网络的具体位置 传统网络管理技术及其发展 基于CORBA的网络管理CORBA的特性独立于网络协议独立于编程语言独立于软硬件平台为可移植的 面向对象的分布式计算应用程序提供了不依赖于平台的编程接口和模型基于CORBA的网络管理利用CORBA实现管理系统利用CORBA定义被管对象利用CORBA实现完整的网络管理系统 传统网络管理技术及其发展 基于CORBA的网络管理SNMP CORBA网关模型发挥现有网管模型在管理信息定义和通信协议方面的优势利用CORBA分布式和编程简单的特点 实现管理系统被管系统仍然采用传统模式 安全管理的必要性 通常的信息安全建设方法采购各种安全产品 由产品厂商提供方案 防病毒 防火墙 IDS Scanner VPN等通常由IT部门的技术人员兼职负责日常维护 甚至根本没有日常维护是一种以产品为核心的信息安全解决方案存在众多不足 难以确定真正的需求 保护什么 保护对象的边界 保护到什么程度 管理和服务跟不上 对采购产品运行的效率和效果缺乏评价通常用漏洞扫描代替风险评估 对风险的认识很不全面这种方法是 头痛医头 脚痛医脚 很难实现整体安全不同厂商 不同产品之间的协调也是难题 安全管理的必要性 真正有效地信息安全建设技术和产品是基础 管理才是关键产品和技术 要通过管理的组织职能才能发挥最佳作用技术不高但管理良好的系统远比技术高超但管理混乱的系统安全先进 易于理解 方便操作的安全策略对信息安全至关重要建立一个管理框架 让好的安全策略在这个框架内可重复实施 并不断得到修正 就会拥有持续安全根本上说 信息安全是个管理过程 而不是技术过程 三分技术 七分管理 安全管理的必要性 传统网络管理中的安全管理功能不足传统网络管理架构不能完全满足需要某些安全设备不支持SNMP协议某些安全设备不具备完整的MIB库SNMP协议本身不适合传输安全事件和安全日志信息SNMP不支持联动和协同难以实现安全事件的定位和追溯难以实现全网安全策略的部署 安全管理的必要性 加入全面安全管理职能单元的必要性实现各类计算机安全技术 产品之间的协调与联动 实现有机化充分发挥各类安全技术和产品的功能整体安全能力大幅度提高实现计算机安全手段与现有计算机网络应用系统的一体化使全网安全事件准确定位以及全网安全策略制定成为可能 基于ESM理念的安全管理机制 ESM EnterpriseSecurityManagement 一种整体安全框架 其主要思想是采用多种智能Agent和安全控制中心 在同一安全策略 SecurityPolicy 的指导下 将系统中的各个安全部件协同起来 实现总体的安全策略 并且能够在多个安全部件协同的基础上实现监控 报表处理 统计分析等 主要是为了解决各类安全产品各自为战 难以组成一个整体安全防御体系的问题 ESM具有适应性强 可扩充性强 集中化安全管理等优点 安全管理系统的基本功能 统一监控和管理收集各类信息性能资源日志监控信息系统运行状况信息服务系统信息安全系统发现异常情况向各种安全机制发布相应的总体安全策略实现对安全机制的实时操控收集各种安全机制执行安全策略的结果 安全管理系统的基本功能 安全协同利用原有设备之间的互动功能 部署安全联动策略 并监视联动执行情况收集安全系统产生的数据 采用自动或手动响应引擎 根据事先定义的安全策略及规则 对相关安全系统进行设置和操控 实现安全系统之间的间接联动 安全管理系统的基本功能 基于权限控制的统一管理和区域自治提供统一管理功能为不同级别和性质的管理员提供其对应权限的管理视图提供区域自治能力对特定管辖区域的安全设备和安全系统实现自治管理对分布在整网中的某个单一安全子系统实现整体安全策略的发布和状态监控 安全管理系统的基本功能 安全事件的处理对重复安全事件的合并处理对相互管理的安全事件进行合并处理根据相近零碎的历史事件集合对安全事件进行确认智能判断事件的真正起因 并提供人工修正判断的机制根据管理人员的职责 将合并与确认后的事件通知相应责任人 并提供处理建议根据责任人处理事件的情况以及结果 确定是否对事件性质进行升级 安全管理系统的基本功能 告警管理控制台告警声音管理界面消息通知Email手机短信即时通信 安全管理系统的基本功能 统计分析与决策支持对安全事件的类型 来源 目的 产生的效果 起因 发生的时间段进行综合分析 得到宏观的规律对重要事件的来源进行综合查证 精确定位对相近时间段发生的各种事件进行相关性分析 得出各类不同事件相互联系的规律 并指导自动联动规则和安全策略的制定根据宏观统计的结果 提供决策支持 并进行知识积累 为各类安全事件提供处理建议 安全管理系统的基本功能 支持应急响应系统自身考虑备份和应急措施支持应急响应预案 可以定义应急情况和应急响应措施能通过综合分析 及时发现系统的严重异常情况 并及时以实现定义的措施通知责任人员在确认处于紧急情况的前提下 系统自动执行应急预案中设定的批量操作 并进行全程跟踪和记录 信息安全管理标准简介 ISO IEC13335旧版被称作 IT安全管理指南 GuidelinesfortheManagementofITSecurity GMITS 新版称作 信息和通信技术安全管理 ManagementofInformationandCommunicationsTechnologySecurity MICTS 是ISO IECJTC1制定的技术报告 是一个信息安全管理方面的指导性标准 其目的是为有效实施IT安全管理提供建议和支持 由5部分标准组成ISO IEC13335 1 1996 IT安全的概念与模型 ISO IEC13335 2 1997 IT安全管理和策划 ISO IEC13335 3 1998 IT安全管理技术 ISO IEC13335 4 2000 安全措施的选择 ISO IEC13335 5 2001 网络安全管理指南 信息安全管理标准简介 ISO IEC13335目前 ISO IEC13335 1 1996已经被新的ISO IEC13335 1 2004 MICTS第1部分 信息和通信技术安全管理的概念和模型 所取代 ISO IEC13335 2 1997也将被正在开发的ISO IEC13335 2 MICTS第2部分 信息安全风险管理 取代 ISO IECTR13335只是一个技术报告和指导性文件 并不是可依据的认证标准 信息安全体系建设参考BS7799 具体实践可以参考ISO IEC13335 信息安全管理标准简介 BS7799被信息界喻为 滴水不漏的信息安全管理标准 BS7799是英国标准协会 BritishStandardsInstitute BSI 于1995年2月制定的信息安全管理标准BS7799分两个部分BS7799 1 ISO IEC17799 信息安全管理实施细则BS7799 2 ISO IEC27001 信息安全管理系统规范 信息安全管理标准简介 BS7799BS7799 1 信息安全管理实施细则 2000年被ISO组织采纳 正式成为ISO IEC17799标准 该标准2005年经过最新改版 发展成为ISO IEC17799 2005标准 主要是给负责开发的人员作为参考文档使用 从而在他们的机构内部实施和维护信息安全BS7799 2 信息安全管理系统规范 于2005年成为正式的ISO标准 即ISO IEC27001 2005详细说明了建立 实施和维护信息安全管理系统 ISMS 的要求 指出实施组织需遵循某一风险评估来鉴定最适宜的控制对象 并对自己的需求采取适当的控制 信息安全管理标准简介 信息安全管理标准简介 ISO IEC17799 2005安全策略组织信息安全资产管理人力资源安全物理和环境安全通信和操作管理访问控制信息系统获取 开发和维护信息安全事件管理业务连续性管理符合性 信息安全管理标准简介 ISO IEC17799 2005 信息安全管理标准简介 ISO IEC17799 2005 信息安全管理标准简介 ISO IEC27001 2005 信息安全管理标准简介 ISO IEC27001 2005ISO27001标准对信息安全管理体系 ISMS 并没有一个十分明确的定义 可以将其理解为组织管理体系的一部分 ISMS涉及到的内容 用于组织信息资产风险管理 确保组织信息安全的 包括为制定 实施 评审和维护信息安全策略所需的组织机构 目标 职责 程序 过程和资源 标准要求的ISMS建立过程 制定信息安全策略 确定体系范围 明确管理职责 通过风险评估确定控制目标和控制方式 遵循PDCA 体系一旦建立 组织应该按规定要求进行运作 保持体系的有效性 信息安全管理标准简介 ISMS 信息安全管理体系 InformationSecurityManagementSystem 在信息安全方面指导和控制组织 用以实现信息安全目标的相互关联和相关作用的一组要素 通常包括 信息安全组织结构各种活动和过程信息安全管理体系文件信息安全控制措施人力物力等资源 信息安