安全监控管理.ppt

安全监控管理 课程内容 介绍安全监控基础知识介绍安全事件的分类介绍中国移动安全事件的处理流程介绍安全集中监控的要求和手段 教材主要阅读对象 安全管理人员培训重点 了解安全事件 安全告警的分类分级 了解安全事件处理流程 了解集中监控组织 流程和手段 建议培训时间 约2小时课程基础 无安全技术人员培训重点 了解安全事件 安全告警的分类 分级及内容 了解安全事件处理流程 具有对安全事件分析和解决问题的能力 了解集中监控组织 流程和职责 了解安全监控手段的分析使用 可以处理安全告警 建议培训时间 约4小时课程基础 熟悉中国移动网络安全管理流程及设备安全技术要求系统维护人员培训重点 了解安全事件 安全告警的分类 分级 内容以及目标系统的维护配置 了解安全事件处理流程 具有对安全事件分析和解决问题的能力 了解集中监控组织 流程和职责 可以处理安全告警 建议培训时间 约4小时课程基础 无 目录 第一章安全事件分类第二章安全事件处理流程第三章安全集中监控要求第四章安全集中监控手段 第一章安全事件分类 目录 1 1安全事件的定义 分类和分级 1 2安全事件来源 1 3安全告警分类与样例 掌握知识点 安全管理人员安全事件的分类 分级安全告警的分类 分级安全技术人员安全事件的分类 分级安全告警的分类 分级安全告警的内容分析系统维护人员安全事件的分类 分级安全告警的分类 分级安全告警的内容分析安全告警对应目标系统的维护和配置 安全事件的定义 威胁的主要来源内部操作不当 内部管理不严 造成信息系统安全管理失控 来自外部的威胁和犯罪 如 黑客 信息间谍 计算机犯罪等等 安全事件是一个或一系列与网络与系统安全 业务安全 信息安全相关的 并极有可能危害系统可用性 完整性或保密性的事件 中国移动安全事件管理办法 安全事件的分类 一 基于受攻击设备分类原则 安全事件分为 主机设备安全事件网络设备安全事件数据库系统安全事件 安全事件的分类 二 基于安全事件影响的分类原则 安全事件类型分为 影响系统可用性的安全事件 拒绝服务攻击 恶意代码 漏洞攻击 僵尸网络等 影响系统完整性的安全事件 信息篡改事件 网页挂马 以破坏系统数据为目的的后门木马 漏洞攻击等 影响系统机密性的安全事件 信息窃取 信息泄密 网络钓鱼 网络嗅探 信息假冒 以窃取信息为目的后门木马 恶意程序 间谍软件 盗号软件 漏洞攻击 僵尸网络 等 安全监控工作主要根据基于安全事件影响分类来进行 安全事件分级 一 紧急安全事件 一级 导致2级系统出现紧急故障的安全事件 导致3级或4级系统出现重大故障的安全事件 导致4级系统完整性或保密性被破坏的安全事件 安全事件分级 二 重大安全事件 二级 导致2级系统出现重大故障的安全事件 导致3级或4级系统出现严重故障的安全事件 导致3级系统完整性或保密性被破坏的安全事件 安全事件分级 三 较大安全事件 三级 导致2级系统出现严重故障的安全事件 导致3级或4级系统出现一般故障的安全事件 影响2级系统完整性或保密性被破坏的安全事件 安全事件分级 四 一般安全事件 四级 指三级以下的或未对系统运行产生影响的安全事件 特殊时期 如重大活动 重大赛事等 发生的安全事件的级别应在原有级别上提升一级 特别重大安全事件级别不再向上提升 影响系统可用性的安全事件 一 拒绝服务攻击告警描述 利用信息系统缺陷 或通过暴力攻击的手段 以大量消耗信息系统的CPU 内存 磁盘空间或网络带宽等资源 从而影响信息系统正常运行为目的的信息安全事件 影响系统可用性的安全事件 二 恶意代码告警描述 恶意代码分为蠕虫和病毒 蠕虫是指除计算机病毒以外 利用信息系统缺陷 通过网络自动复制并传播的有害程序 蠕虫是一种通过网络传播的恶性病毒 它具有病毒的一些共性 如传播性 隐蔽性 破坏性等等 同时具有自己的一些特征 如不利用文件寄生 有的只存在于内存中 对网络造成拒绝服务 以及和黑客技术相结合 等等 传播方式 电子邮件 文件下载 网络共享 恶意代码攻击是攻击者利用操作系统或应用程序设计或编码的软件缺陷 故意设计的一段畸形的数据来对系统进行攻击 漏洞攻击一般在内存中完成所以被成为移动恶意代码 mobilemaliciouscode 传播方式 漏洞利用 Web浏览等 影响系统可用性的安全事件 三 漏洞攻击告警描述 漏洞是指在硬件 软件 协议的具体实现或系统安全策略上存在的缺陷 从而可以使攻击者能够在未授权的情况下访问或破坏系统 影响系统可用性的安全事件 四 僵尸网络告警描述 僵尸网络事件是指利用僵尸工具软件 形成僵尸网络而导致的信息安全事件 僵尸网络是指网络上受到黑客集中控制的一群计算机 它可以被用于伺机发起网络攻击 进行信息窃取或传播木马 蠕虫等其他有害程序 传播方式 电子邮件 文件下载 即时通信 影响系统完整性的安全事件 一 计算机病毒 文件型 告警子类描述 计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码 它可以破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制 文件型病毒是主要感染可执行文件的病毒 如带有 EXE DLL SYS或 COM后缀的文件 在宿主程序执行时 文件感染病毒被激活 传播方式 当宿主程序运行时 病毒程序首先运行 然后驻留在内存中 再伺机感染其它的可执行程序 达到传播的目的 影响系统完整性的安全事件 二 网页挂马告警子类描述 网页病毒 也被称为恶意代码 是指在正常网页内加入可执行的代码程序 未经允许由浏览器执行 影响信息系统正常运行的有害程序 传播方式 电子邮件 文件下载 即时通信 影响系统完整性的安全事件 三 网络扫描探测告警子类描述 网络扫描探测是指通过一些自动检测远程或本地主机安全性弱点的程序 扫描器 对目标主机进行扫描 并记录目标机的回答 以此获得关于目标机的信息 通过理解和分析这些信息 发现破坏目标机安全性的关键因素 影响系统完整性的安全事件 四 口令攻击告警子类描述 口令攻击是指黑客以口令为攻击目标 破解合法用户的口令 或避开口令验证过程 然后冒充合法用户潜入目标网络系统 夺取目标系统控制权的过程 影响系统完整性的安全事件 五 非法访问 主要指被防火墙拦截的外部攻击事件 告警子类描述 非法访问是指未经过合法授权的用户访问了网络资源 或低级别用户访问了高于其授权级别的网络资源 该种访问常常利用网络软件安全漏洞或截取窃听不安全信道上传输的信息来实现的 影响系统完整性的安全事件 六 信息纂改混合攻击其他 影响系统机密性的安全事件 一 木马告警子类描述 木马程序是指伪装在信息系统中的一种有害程序 具有控制该信息系统或进行信息窃取等对该信息系统有害的功能 传播方式 电子邮件 文件下载 移动存储 影响系统机密性的安全事件 二 间谍软件告警子类描述 间谍软件通常是具有以下特性的一组计算机软件 1 使用欺骗手段安装的程序2 隐藏在个人计算机中的软件3 使用隐秘手段监视用户活动的软件4 监控使用者的计算机使用习惯及个人信息的应用程序5 收集网页浏览历史记录的软件6 击键记录程序7 在用户未知情或授权的情况下发送信息到第三方 影响系统机密性的安全事件 三 后门攻击告警子类描述 后门是指一个模块的秘密入口 可能被秘密利用 对应用或造成损坏 信息假冒 安全事件的来源 安全事件的来源 安全告警分类 恶意软件类告警网络攻击类告警信息破坏类告警信息内容安全类告警安全设备故障类告警配置违规类告警漏洞类告警综合类 安全告警分类 恶意软件类告警恶意软件类告警是指蓄意制造 传播恶意软件 或是因受到恶意软件的影响而导致的告警事件 恶意软件是指插入到信息系统中的一段程序 危害系统中数据 应用程序或操作系统的保密性 完整性或可用性 或影响信息系统的正常运行 安全告警分类 网络攻击类告警信息破坏类告警 安全告警分类 信息内容安全类告警安全设备故障类告警配置违规类告警 样例 Worm Mofei 类别 恶意软件 蠕虫告警例子 病毒名称 WORM MOFEI B 染毒文件 C WINNT system32 scardsvr32 DLL 处理结果第一次 fail 第二次 unknown告警分析 该蠕虫病毒主要攻击的系统是NT 2000 XP 蠕虫由以下文件组成 Scardsvr32 exe scardsvr32 dll mofei cfg mofei ver mofei dat 蠕虫作为服务执行 蠕虫病毒不检查内存中的重复进程 病毒在windows95 98系统会写注册表键值HKEY LOCAL MA CHINE Software Microsoft Windows CurrentVersion RunServices的SCardSvr Windows System32 SCardSvr Exe 使病毒进程以后台服务的形式存在 处理方法 建议升级病毒库至最新后杀毒 或下载专杀工具查杀 杀毒完成后重启系统再次查杀 确认系统中已彻底清除病毒 样例 BKDR DELF FQP 类别 恶意软件 木马告警例子 病毒名称 BKDR DELF FQP 染毒文件 C autorun PIF 处理结果第一次 fail 第二次 fail告警分析 木马类病毒可盗取帐号和用户隐私信息 会停止一些防火墙和杀毒软件使病毒不易被发现 处理方法 建议升级病毒库至最新再启动到安全模式后杀毒 杀毒完成后重启系统再次查杀 确认系统中已彻底清除病毒 样例 未删除与设备运行 维护等工作无关帐号 类别 配置违规 帐号告警例子 配置漏洞 漏洞名 未删除与设备运行 维护等工作无关帐号 详细信息 未删除的帐号 XXXX 配置基线要求 未删除与设备运行 维护等工作无关帐号 资产信息 资产名称 IP地址 产品型号 设备类型 业务系统 位置 监控人员 XX 维护人员 XXXX 告警分析 新增了XXXX帐号 处理方法 确认是否需要XXXX帐号 如果不需要 应从设备上删除此帐号 如果需要 请登录安全运行管理系统 在资产基线中增加XXXX帐号 样例 Sourcesessionthresholdexceeded 类别 网络攻击 非法访问告警例子 高风险告警 事件名 Sourcesessionthresholdexceeded 详细信息 资产信息 资产名称 IP地址 NetScreen 安全设备 业务系统 位置 端口信息 源IP地址 资产名称 目的IP地址 源端口 21 监控人员 XXX 维护人员 XXX 告警分析 目的IP同时访问源IP的21端口的连接太多 超出的连接被防火墙拒绝 处理方法 检查目的IP并发访问源IP的21端口的数目 如果确实需要较多的并发数 则要提高防火墙允许并发连接的数量 如果并不需要太多的并发数 则要检查目的IP访问源IP的21的进程 去掉非法进程的访问 样例 DstIPsessionlimit 类别 网络攻击 非法访问告警例子 高级别告警 事件名 DstIPsessionlimit 详细信息 DGomcOSSFns25a NetScreendevice id DGomcOSSFns25a Root system critical 00430 DstIPsessionlimit FromXXXXtoXXXX protoTCP zoneUntrust intredundant1 Occurred1times 2008 03 1017 31 50 资产信息 资产名称 IP地址 SUNSolaris9 服务器 业务系统 位置 端口信息 XXXX XXXX 63786 23 监控人员 XXX 维护人员 XXX 告警分析 XXXX访问XXXX的23端口连接超过限制 处理方法 调查XXXX服务器 检查23端口服务的门限值 如果这台服务器本身就需要提供高的并发访问 且源地址的访问是合法的情况下 则要提高DGomcOSSFns25a防火墙的门限值 允许更多的连接访问XXXX服务器23端口 如果XXXX服务器可疑 则要检查XXXX是否已受到攻击 样例 LargeICMPpacket 类别 网络攻击 协议异常告警例子 资产名称 NetScreendevice id XXXX Root system critical 00436 LargeICMPpacket FromXXXXtoXXXX proto1 zoneXX intethernet3 Occurred1times 2008 9 2317 02 59 告警分析 ICMP包长度超过1024字节 处理方法 如果源地址持续长时间ping大包的话 要调查源地址应用 如果源地址可疑 需要进一步追查 本章主要知识要点小结 简答安全事件来源 按照受攻击设备分类原则 安全事件可分为哪几类 安全事件可以分为哪四类 列举三种以上的安全事件 请思考 安全事件通过什么途径被安全技术人员监控到 安全事件对系统影响如何 第二章安全事件处理流程 目录 2 1安全事件处理流程 2 2安全事件详细处理步骤 掌握知识点 安全管理人员安全事件发现 上报和处理流程安全技术人员安全事件发现 上报和处理流程安全事件的分析和预处理安全分析常用相关工具的使用安全问题的解决能力系统维护人员安全事件发现 上报和处理流程安全事件的分析和预处理安全分析常用相关工具的使用安全问题的解决能力 安全事件处理流程图 安全事件监控 安全事件监控应以省为单位 由监控专业实施对各专业网络的集中化安全监控 安全事件监控信息主要来自以下三个方面 网络安全设备或网络安全监控系统监测到的安全告警信息 政府相关部门或上级主管单位 有限公司通报的安全事件信息 安全事件投诉 安全监控可以根据各省公司的具体情况 采用相应的技术手段开展 安全事件上报流程 特别重大安全事件发生时 应立即上报有限公司和当地安全分中心 特别重大安全事件确认至上报有限公司不得超过10分钟 重大安全事件发生时 应及时上报有限公司 重大安全事件确认至上报到有限公司不得超过30分钟 较大安全事件或一般安全事件汇总后于次月5个工作日内报送当地通信管理局和CNCERT CC当地分中心 并在每月安全报表中向有限公司上报 安全事件处理 安全事件应急处理可以按照PDCERF的过程定义进行 不局限于改过程 旨在快速 准确地发现问题和解决问题 PDCERF过程控制流程如右图所示 准备阶段 一 准备阶段的工作内容主要有两个 对信息系统进行初始化的快照准备应急响应工具包 准备阶段 二 系统快照是系统状态的精简化描述 在确保系统未被入侵的前提下 应在以下时机由系统维护人员完成系统快照的生成和保存工作 系统初始化安装完成后系统重要配置文件发生更改后系统进行软件升级后系统发生过安全入侵事件并恢复后 准备阶段 三 准备阶段 四 应急工具包是指网络与信息安全应急事件处理过程中将使用工具集合 该工具包应由安全技术人员及时建立 并定时更新 使用应急响应工具包中的工具所产生的结果将是网络与信息安全应急事件处理过程中的可信基础 工具包应尽量放置在不可更改的介质上 如只读光盘 准备阶段 五 准备阶段 六 第一步 系统维护人员按照系统的初始化策略对系统进行安装和配置加固第二步 系统维护人员对安装和配置加固后的系统进行自我检查 确认是否加固完成第三步 系统维护人员建立系统状态快照第四步 系统维护人员对快照信息进行完整性签名 以防止快照被非法篡改第五步 系统维护人员将快照保存在与系统分离的存储介质上 检测阶段 一 第一步 系统维护人员或安全技术人员在执行日常任务和检测中发现系统异常 第二步 发现异常情况后 形成安全事件报告 第三步 安全技术人员 系统维护人员和第三方安全事件应急服务人员查找安全事件的原因 第四步 安全技术人员 系统维护人员和第三方安全事件应急服务人员确定安全事件的原因 性质和影响范围 第五步 安全技术人员 系统维护人员和第三方安全事件应急服务人员确定安全事件的应急处理方案 检测阶段 二 系统安全事件初步检查内容 检测阶段 三 系统安全事件高级检查内容 检测阶段 四 网络安全事件检测 检测阶段 五 数据库安全事件检测 检测阶段 六 事件驱动方式检测方法 抑制和根除阶段 一 第一步 应急处理方案获得授权第二步 系统维护人员 安全技术人员和第三方安全事件应急服务人员共同测试应急处理方案验证效果第三步 系统维护人员 安全技术人员和第三方安全事件应急服务人员共同测试应急处理方案是否影响系统运行 对系统的影响程度不可接受时返回检测阶段第四步 实施应急处理方案第五步 当实施应急处理方案失败的情况下 采取应变和回退措施 并返回到检测阶段 抑制和根除阶段 二 具体抑制和根除的方法参考 中国移动网络与信息安全事件处理指南 恢复阶段 第一步 根据应急处理方案中列明所有系统变化 并恢复所有变化 实施安全加固 第二步 若发现存在应急处理方案中未列明的系统变化 则备份重要数据 低级格式化磁盘 启动重装系统 并在重装系统后严格按照系统的初始化安全策略安装和加固 跟进阶段 一 调查评估 对安全事件的起因 性质 影响 责任 经验教训等问题进行调查和评估 二 责任确定 分析产生此次事件的原因 对事件进行调查 确定责任人 如果涉及违法犯罪行为 报司法机关追究当事人的刑事责任 三 事件备案 较大及较大以上安全事件应编写详细的事件分析表格并报备有限公司 四 应急方案维护 根据应急响应过程中暴露出的问题和调查评估结果 对应急方案进行相应的修改和维护 本章主要知识要点小结 简答安全事件从发生到处理完毕的流程是怎么样的 安全事件处理前应该怎样准备 安全事件处理恢复后有哪些跟进处理步骤 请思考 为什么安全事件发现后需要进行安全级别判别 安全事件处理有哪几个阶段 第三章安全集中监控要求 目录 3 1安全集中监控的流程 3 2安全集中监控的流程说明 掌握知识点 安全管理人员集中监控流程集中监控组织安全技术人员安全时间分析和预处理手册安全监控职责系统维护人员安全时间分析和预处理手册安全监控职责 安全集中监控流程图 安全集中监控流程说明 一 人员组织安排安全监控人员系统维护人员安全技术支持人员总部或省公司等相关需上报的人员 安全集中监控流程说明 二 安全监控人员职责 日常安全监控对安全告警进行预处理 参考 安全告警预处理手册 无法完成预处理的告警 通知相关维护人员和安全技术支持人员进行协助处理可以进行预处理参考的 派发EOMS工单到相关维护人员进行告警处理对完成处理的告警确认和归档 安全集中监控流程说明 三 维护人员和安全技术支持人员职责维护人员对收到的安全工单进行处理维护人员无法处理的转发到安全技术支持人员进行协调处理维护人员和安全技术支持人员定期汇总整理安全告警预处理手册 安全监控操作手册 并对安全监控人员进行培训 本章主要知识要点小结 简答简述安全集中监控流程 请思考 安全集中监控涉及哪几类人员 第四章安全集中监控手段 目录 4 1安全集中监控要求 4 2安全集中监控手段 4 3安全告警处理 掌握知识点 安全管理人员安全监控手段的选择和人员指派安全技术人员安全监控手段的分析和使用安全告警的处理能力系统维护人员安全告警的处理能力 安全集中监控要求 使用流量分析工具进行正常情况下的网络流量进行分析和建模 出现异常流量时立即触发告警并启动相关工单和响应流程 使用各类安全手段的集中管控系统 OMC 如防火墙的控制端 防病毒系统的集中控制端 IDS的集中日志分析系统等 进行较为集中的安全监控 利用部分网管系统 如IP数据网管 对各业务系统工作状态进行实时监控 出现安全相关异常时立即触发安全告警并启动相关工单和响应流程 建设安全运营中心 SOC 实现安全事件进行全局监控预警和响应 安全集中监控手段分析 一 目前各个省公司安全建设程度有所不同 对于安全告警监控的技术手段和具体工作的开展上 主要存在两种情况 第一 对于部署了多种专业安全技术手段 但并没有部署统一安全管理监控平台的情况 尽量按照专业安全系统的分类 开展相对集中的安全监控工作 第二 对于已经部署了统一安全管理监控平台的情况 安全监控工作可以围绕安全管理平台进行 将各个专业安全系统的监控手段作为辅助手段 安全集中监控手段分析 二 IDS系统 防火墙 防病毒 安氏 绿盟 启明 思科 华为 Netscreen 赛门铁克 趋势 安全管理系统 已部署安全管理平台 未部署安全管理平台 Cisco防火墙安全监控 Cisco防火墙可以采用两种方式进行监控Syslog方式采用Kiwi作为syslog服务器将防火墙的日志配置指向syslog服务器ASDM方式安装ASDM客户端软件通过客户端软件登录到防火墙设备可以查看日志 流量 接口信息等 Netscreen防火墙监控 Netscreen防火墙可以通过三种方式进行安全监控 WEB管理界面监控通过web登录管理界面 查看安全日志告警 通过Syslog服务器集中收集和保存部署KiwiSyslog服务器将防火墙Syslog指向服务器通过防火墙控制端NSM软件进行监控安装NSM控制软件统一管理防火墙监控日志 防火墙状态等 华为防火墙监控 华为防火墙通过两种方式进行安全监控通过华为I2000控制软件进行管理和监控安装I2000控制软件 登录管理界面可以对日志 防火墙运行状态进行监控通过syslog服务器进行日志收集和保存安装KiwiSyslog服务器配置防火墙 将syslog日志发送到服务器 安氏IDS安全监控 安氏IDS通过控制台进行设备状态监控 安全策略设置 安全事件实时监控 安全事件可以按照事件名称 传感器 源IP 目标IP进行分类 通过事件查询工具可以对历史事件进行查询分析 通过报表工具可以生成多种安全报表 绿盟IDS安全监控 登录IDS控制台进行安全告警监控 设备状态监控 可以按照事件源 目的 设备 时间等进行分类 可以通过协议分布图监控网络协议分布情况 启明IDS安全监控 登录IDS管理控制台 可以进行告警监控 将告警按照严重级别分为连接 低级 中级 高级 登录日志分析程序 可以进行历史事件查询和分析 查询得到的告警可以导出 Symantec防病毒监控 Windows任务栏上 单击 开始 程序 Symantec系统中心控制台 Symantec系统中心控制台 通过Symantec系统中心控制台跟踪 发现威胁 警报 右键可以查看终端的风险情况 风如果险记录列表中有 隔离失败 不操作 需要通过工单形式派发相关人员处理 趋势Officescan防病毒监控 通过IE浏览器登陆Officescan管理界面 显示防毒墙网络版的整体情况 可查看最近病毒事件 病毒码版本 病毒爆发警报等信息 选择左侧树状视图中 客户机 右侧显示 客户机树视图 右侧客户机列表框将以客户机所在域的形式分别列出 选定后 在右侧出现的列表框上部选择 查看病毒日志 弹出病毒日志对话框 可查看目前病毒感染情况 安全管理平台集中监控要求 对于已经部署了安全管理平台的省公司 可以围绕安全管理平台开展安全监控 安全管理平台的覆盖范围可以包含 网络设备 安全设备 主机等 对这些系统产生的安全告警进行集中收集 分析和风险计算 并围绕风险分析进行安全告警监控 安全管理平台的告警分类 恶意软件类告警 平台对防病毒系统的日志进行采集 对于防病毒系统未能清除病毒的日志 系统结合相关的设备 产生一般告警 配置违规类告警 平台收集相关的网络设备 服务器的配置文件 和系统中根据集团要求及各业务室实际情况制定的标准安全配置要求进行匹配 出现配置违规的情况 根据配置的危险程度 产生一般或者中等告警 网络攻击类告警 平台收集相关的网络设备 安全设备及服务器的日志文件 进行标准化 过滤 归并及关联分析后 匹配相关的资产 根据攻击的危害程度 产生相应级别的告警 漏洞类告警 平台定期的使用漏洞扫描系统 对相关的资产进行漏洞扫描 对扫描结果进行分析处理后 根据漏洞的危害程度 产生相应级别的告警 安全设备故障类告警 平台监控相关安全设备的状态 当发现相关的安全设备的健康状况出现问题时 根据相应的严重程度 产生相应级别的告警 综合类告警 平台根据系统的统计报告及预定义的相关要求 产生基于KPI的综合类告警 安全管理平台监控流程 安全监控人员通过安全管理平台监控客户端进行告警监控 结合 安全