(赛门铁克)业务支撑网的安全和管理.ppt

业务支撑网的安全和管理 鲍凯CISSPCISA Symantec华东区售前工程师 PresentationIdentifierGoesHere 1 议程 安全现状和问题业务支撑网的安全与管理优化建议总结 PresentationIdentifierGoesHere 2 安徽移动的业务支撑网安全现状 已经划分安全域 不同区域之间均有防火墙进行访问控制 已经部署了赛门铁克的防病毒产品 对终端病毒的传播和扩散有所控制 4A系统已经初步上线 客户信息保护的规定已经形成 PresentationIdentifierGoesHere 3 合作伙伴接入域 现状及问题 安全威胁分析 DCN骨干网 终端接入域 Internet MMS SMS WAP 自有业务系统 Presence IM Conference Gaming 第三方ASP ISP 来自Internet的威胁黑客入侵DoS DDos攻击 资源耗竭非法接入业务系统 来自第三方网络的威胁身份欺骗业务欺诈 盗用 来自内部网络的威胁病毒 蠕虫 木马非法访问越权访问 权限滥用敏感 机密信息泄露 MGW HLR Auc IT核心域 网管接入域 互联网接入域 MSC 来自用户侧 接入 终端 威胁对用户窃听 窃取用户机密信息病毒 蠕虫 木马对系统违规业务操作非法设备接入网络攻击 拓扑泄露DoS攻击 资源耗竭 对于业务支撑系统优化现有安全管理工作的设想 终端安全解决非法接入和非法访问问题部署专业的DLP产品实施文档安全管理敏感 机密信息泄露窃听 窃取用户机密信息强化4A的管控通过日志稽核 加强操作合规性审计实施安全加固 减少系统安全风险优化PC服务器的管理违规业务操作业务欺诈 盗用越权访问 权限滥用 5 SNAC 从管理口号到技术上的策略遵从 网关强制方式检查点 7 赛门铁克终端安全管理带来的效果 强制所有终端必须安装客户端安全保护软件确保所有终端的防病毒软件正常工作 病毒定义码及时升级确保所有终端的安全加固措施符合管理规范要求确保所有终端及时安装重要的安全补丁确保所有终端不得安装 运行明令禁止的软件和工具防止通过私接外设导致数据外泄或U盘病毒传播规范用户上网行为 信息泄露的可能场景 PresentationIdentifierGoesHere 9 DBserver Fileserver Otherservers 内部其他服务器 终端外设 PC U盘 打印 内网 互联网 外部邮箱 批量客户资料 内部人员个人邮箱第三方服务商邮箱合作伙伴系统外部人员 客户资料 客户资料 客户资料 客户资料数据源 终端应用 客户资料 1 批量下载 导出 终端各类外泄 互联网外泄 外部服务器 IM等互联网应用 客户资料 4 MSN等IM应用 3 异常的存储分布 核心 全路径的监控 审计 响应 终端 应用 终端无线上网 其他不易监控途径 5 管理手段及多种其他技术 WLAN 3G 2 1 数据源下载操作监控 系统 终端 2 终端外泄监控 终端 U盘 外设 无线上网等 3 互联网外泄监控 终端 邮件 IM FTP等 4 服务器敏感信息扫描与隔离 服务器 存储 终端 客户资料泄漏监控 PresentationIdentifierGoesHere 10 泄密信息 身份证号码与手机号码 详单中高端VIP客户明细身份证号码与手机号码的文件等手机位置信息泄漏途径 向外网或服务商 外网邮件 或准外网及服务商邮件 服务商 com第三方网站终端移动存储设备 数据泄露场景1 向OA邮件系统发送的邮件 从BOSS邮件系统发送敏感数据至OA邮件系统时 依照敏感内容判断执行下述响应动作 敏感数据为移动vip用户信息通过邮件方式通知收件人的上级领导 及市场部相关负责人员 具体技术实现通过LDAP查询 获得收件人的信息 敏感数据为正则表达式匹配 按照单个事件中匹配到的电话号码次数来判断事件的级别匹配度 10 仅记录匹配度 100 通知支撑中心安全管理员匹配度 1000 通知支撑中心安全管理员 并通知发件人部门主管 PresentationIdentifierGoesHere 11 数据泄露场景2 向公网的邮件 从BOSS邮件系统发送敏感数据至公网时 依照敏感内容判断执行下述响应动作 敏感为移动vip用户信息通过邮件方式通知发件人的上级领导 通知支撑信息中心安全员 个人位置信息通过邮件方式通知发件人的上级领导 通知支撑信息中心安全员 敏感数据为正则表达式匹配 按照单个事件中匹配到的电话号码次数来判断事件的级别匹配度 10 仅记录匹配度 100 通知支撑中心安全管理员匹配度 1000 通知支撑中心安全管理员 并通知发件人部门主管 PresentationIdentifierGoesHere 12 数据泄露场景3 FTP下载客户数据 运维人员从FTP服务器上下载数据 敏感为移动vip用户信息基于IP地址判断部门信门 通过邮件方式通知发件人的上级领导 通知支撑信息中心安全员 个人位置信息通过邮件方式通知发件人的上级领导 通知支撑信息中心安全员 敏感数据为正则表达式匹配 按照单个事件中匹配到的电话号码次数来判断事件的级别匹配度 10 仅记录匹配度 100 通知支撑中心安全管理员匹配度 1000 通知支撑中心安全管理员 并通知发件人部门主管 PresentationIdentifierGoesHere 13 数据泄露场景4 针对加密附件发送的审计 当传送内容为加密文档时 发现附件中有包含上述类型的文件 就将源文件保留一份到DLP的系统中 做后期的审计 同时通知支撑信息中心安全员 14 借助赛门铁克DLP产品逐步降低信息泄露风险 15 15 评估违规频度 改变企业的行为 改变员工的行为 震撼式教育 看见 2020 3 17 16 可编辑 数据中心面临的四类影响业务安全的重大安全事故 关注外部攻击事故 采集外网边界防火墙 边界IPS 内网防火墙 内网应用等设备日志 通过关联分析 实时监控外部安全攻击行为 关注内部爆发事故 采集内网防病毒 内网边界防火墙等日志 发现内部病毒爆发 木马感染等事故 关注内部合规类事故 采集内网防火墙 操作系统 CiscoACS 堡垒机系统等设备日志 通过关联分析 发现内部用户的违规操作和访问行为 关注业务异常访问类事故 采集网营应用日志 边界防火墙 IPS日志 关联分析发现业务用于异常行为 外部攻击类 内部爆发类 业务异常类 内部合规类 赛门铁克集中安全监控审计平台SSIM功能概述 18 18 SnortDragonNetscreenCiscoIDSTripwire etc SymantecSOC Tivoli OpenView IDS事件收集器 安全策略管理SymantecESM SymantecTrendMcAfee Symc HIDSSymc NIDSISSDragonSnort SymantecCheckPointCiscoPIX CiscoRouterCiscoSwitch 漏洞及风险管理 Symantec3rdParty 图例 事件中继 自动内容升级 Symantec Bridges and3rdParty Collectors SNSSmartAgent s OS 数据库事件收集器 Solaris HostNetworkSNMPSyslog Linux 事件搜集 关联 分析SSIM9650 资产CIA风险数据库 Windows MSSQLServer CiscoIDS JuniperNetscreen SSIM针对网上营业厅的安全监控 针对网络设备配置变更操作的审计功能VPN访问行为审计用户登录VPN后修改网络配置来自以公司之外针对内部网络渗透扫描 进行实时监控和报警SSIM针对网营系统的优化建议外部扫描探测攻击SQL注入攻击的报警将网上营业厅系统中的防火墙 IDS和防DDoS设备黑洞的日志进行关联分析 对外部攻击扫描行为进行实时报警 分析防火墙日志 发现某些内部地址通讯被大量阻断 可能存在应用通讯异常的问题 收集赛门铁克防病毒产品日志 并与防火墙日志关联 通过内部病毒爆发事件进行实时报警 19 针对BOSS的安全加固 优化日常监控手段 内部访问审计 通过SSIM的关联规则实现 绕过4A堡垒机直接访问服务器针对主机的配置修改与变更工单相比对内部主机配置合规检查 通过主机基线评估产品ESM实现 弱口令检查帐号检查文件权限检查后台服务启停检查与4A系统的结合 通过SSIM的关联规则实现 登录4A堡垒机后跳转访问其它服务器执行高危操作或敏感指令 20 主机安全加固 符合性策略管理提供了一个集中的符合性策略管理机制 以此达到统一的主机安全标准符合性管理 安全策略定义了主机所需要遵循的配置 例如系统配置 网络配置 安全补丁的层次等是否符合标准操作环境 它提供了策略的创造 修改和删除等功能 策略文件能够被复制到各个被保护的设备上 在中心数据库上策略的变更也将引起个复制策略的更新 主机安全策略遵从检查根据接收到的检查报告 对照安全策略作出比较 对不合格的设备提出警告 警报 限期改进和强制改进 应具有周期性或强制性检查的能力 产生稽查文件并在设定的时间内发送到安全主机 安全事件分析报告为企业提供了主机的安全管理提供综合报表化功能 能够做出按部门 按类型的统计功能 并具有多种搜索功能 PresentationIdentifierGoesHere 21 由于ESM采用了极为灵活的三层的架构 因此 ESM的部署方式可以有多种方式 对于数据中心来说 可以选择在所有需要实施评估的重要主机上安装ESMAgent 然后部署一台专有服务器作为ESM管理器和控制台 实现统一的管理 PresentationIdentifierGoesHere 22 主机安全基线检测管理系统部署实施具体产品为ESM EnterpriseSecurityManager ESM内建的ISO27001策略模版与外部审计检测策略对比 外部审计帐户口令策略日志策略文件访问权限变更 服务变更 补丁备份策略物理安全网络边界安全 PresentationIdentifierGoesHere 23 ESM检查策略AccountIntegrity 帐户完整性 FileAccess 文件权限 LoginParameters 登陆参数 OSPatches 操作系统补丁 NetworkIntegrity 网络完整性 PasswordStrength 密码强度 StartupFiles 启动文件 SystemAuditing 系统审计 SystemMail 系统邮件 以ESM为核心 将日常应对外部审计工作流程化 根据外审要求 结合法规要求定义审核策略进行策略检查 发现策略不符合项加固系统 修复 PresentationIdentifierGoesHere 24 利用ESM 加快新系统上线 制定上线安全评估流程和方法通过策略遵从检查 确保上线系统安全输出上线检查报告 作为外审依据 PresentationIdentifierGoesHere 25 PC服务器管理优化建议 PC服务器数量正在逐步增加Windows占60 左右Linux占40 左右优化PC服务器集中备份优化PC服务器上线集成方案软件管理安全加固补丁管理监控报警资产管理服务视图应用关联运维信息 监控报警 脚本执行 运维信息 资产清单 应用关联 软件管理 服务视图 补丁管理 赛门铁克服务器管理方案 PC服务器集中管理的延伸 信息安全规划 持续性是信息安全工作的特性 信息安全管理是一个持续性的工作 而不是单一的项目 Itisalongjourney andthejourneyhasbegun 信息安全管