网络安全维护的必备工具.docx
《网络安全维护的必备工具.docx》由会员分享,可在线阅读,更多相关《网络安全维护的必备工具.docx(10页珍藏版)》请在冰点文库上搜索。
网络安全维护的必备工具
SecviewSOC
网络安全维护的必备工具
一、网络安全现状
1、大部分的网络如图组成:
网络设备、安全设备、服务器、应用系统、数据库、环境监控
虽然用户购买了FIREWALL、NIDS、防病毒系统等安全设备但是还是有大量的安全隐患存在和安全发生事件:
1.安全事件不能及时准确发现
✧海量事件(海量的安全事件充斥着大量不可靠的信息,从而变的毫无价值。
网络设备、安全设备、系统都会不可避免的产生对网络不会造成影响的无效事件,有的设备事件报警一天可以上万甚至几十万,人工分析已经变得不可能)
✧误报问题(典型的如NIDS、IPS)
✧漏报问题(如未知病毒、未知网络攻击、未知系统攻击)
✧漏报另一大原因:
缺乏重要服务器、网络设备的安全日志实时分析(NIDS虽然能够防御网络攻击,但是黑客利用对服务器、网络设备系统漏洞却一筹莫展,这就要求对重要的服务器、网络设备除了做好安全加固外,还需要实时对系统安全日志做分析监控,当非法用户或超级权限用户探测系统信息的时候,就会在安全日志里迅速地记下服务器、网络设备被探测时所用的用的IP、时间、探测所用的用户名和密码等等,一旦管理员发现此事件可以及时采取措施;;对于安全设备如firewall每天产生大量日志,里面有黑客预攻击或者扫描的记录,由此可见实时日志审计的重要性。
但是每台服务器或网络设备每天产生的日志可能有上千条甚至几十万条,这样人工地对多个安全系统的大量日志进行实时审计、分析流于形式。
)
2.安全事件不能准确定位
事件孤立相互之间无法形成很好的集成关联,给系统管理员提供的控制台各种各样,一个事件的出现不能关联到真实问题。
(如NIDS事件报警,关联同一时间防火墙报警、被攻击的服务器安全日志报警等,从而了解是真实报警还是误报;如未知病毒的攻击,分为2类网络病毒、主机病毒,网络病毒大都表现为流量异常,主机病毒大都的表现CPU异常、MEM异常、DISK空间异常、文件的属性和大小改变等,要发现这个问题,需要关联流量监控(网络病毒)、关联服务器运行状态监控(主机病毒)、关联完整性检测(主机病毒)来发现,为了大规模在网络内爆发前,必须快速发现问题在中毒机器源头切断;如发现网络流量异常,超过正常阀值,那么在网络设备的端口出会报警,在这个情况并不能确定问题原因,需要通过事件关联,发现网络设备所在上级和下级网络设备是否报警,首先能够确定网络流量异常所在位置,然后根据所在的Sniffer、NDIS、日志分析系统是否发现安全报警,如果存在说明是未知网络攻击行为或者是未知网络病毒;如果没有那么可能是正常量增大造成的。
如服务器的宕机,可能是安全事件遭病毒感染,DDOS攻击,可能是服务器健康CPU超负荷,端口某服务流量太大,访问量太大等,必须将多种因素结合起来才能更好分析,快速知道真实问题点及时恢复正常。
……)
3.没法做集中的事件自动统计
无法自动了解某台服务器的安全情况报表,所有机房发生攻击事件的频率报表;网络中利用次数最多的攻击方式报表;发生攻击事件的网段报表;服务器性能利用率最低的服务器列表等等。
需要管理员人为去对这些事情做统计记录,生成报告,耗费大量人力。
4.没有有效的事件处理查询
没有对事件处理的整个过程作跟踪记录,信息部门主管不了解哪些管理员对该事件作了处理,处理结果过程没有做记录,处理得知识经验不能得到共享,导致下次再发生同类事件时,处理效率的低下。
5.缺乏专业的安全技能
管理员发现问题后,因为安全知识的不足导致事件迟迟不能被处理,影响网络的安全性、延误网络的正常使用。
二、SECVIEW能够解决的问题
自网络和互联网技术和使用被广泛的运行以来,暴露出较多的安全隐患和因为内部员工的误操作或恶意破坏造成的严重损失。
为了预防和降低安全和系统故障对用户造成的危害,由信息中心对所属的业务进行集中式的监控维护,并对安全产品实现集中监控,建立统一的网络安全监控和响应中心,对安全事故做到防患于未然、及时发现、及时处理解决和追踪危害来源。
对需要保护的用户进行安全意外、系统故障和非正常宕机现象进行事前的预警、事中的紧急处理和事后的问题分析和总结。
SECVIEW集中监控平台的主要核心不仅仅是产品本身,更重要的是建立一个一级监控、二级维护的体系。
1、劳动力节省,提高维护效率
用户只需要在一个平台上就可以了解网络中重要资产,网络设备、服务器和应用服务、数据库的运行状况中和发生的安全事件,每个设备产生的大量的安全事件,而造成的海量事件,通过SECVIEW筛选过滤器,可以将大量无效信息过滤,将真实报警展现给用户。
简化了公司网络安全维护。
2、弥补安全的不足,提高整体安全性
✧弥补不足:
通过SECVIEW日志分析系统,对系统、设备安全做实时监控,有效提高了重要服务器、设备的安全。
✧误报:
通过SECVIEW关联分析有效降低NIDS的误报问题
✧漏报问题:
通过SECVIEW的网络监控和服务器性能监控、流量监控、日志分析等来有效弥补其他安全产品NIDS对未知攻击、防病毒系统未知病毒的无效,管理员可以及时发现和隔离的未知攻击源、抑制病毒大规模暴发的有效补充
✧事件关联:
通过SECVIEW事件关联来及时发现和判断事件的真伪性,及时发现到底是什么问题造成的这些报警,有效防止事态扩大造成的损失,用户可以轻松从事件源头解决问题。
✧安全知识库:
SECVIEW内置了7128条安全知识库来帮助用户解决遇到的安全问题和安全漏洞。
✧安全经验库:
SECVIEW提供用户处理事件的经验库,当再次出现相同的故障和报警,能够自动从经验库调出相关的处理方法指导用户按步骤解决问题。
3、日志分析审计
将受管网络中重要的网络设备、安全设备、操作系统安全事件源的安全日志、安全事件集中收集管理,实现日志的集中、审计、分析与报告。
同时,通过集中的分析审计,发现潜在的攻击征兆和安全发展趋势,并达到实时故障检测的目的。
实时故障检测包括按照安全策略进行的网络服务故障实时自动化检测,以及派生而来的网络故障检测。
4、报表自动生成
SECVIEW可以获得不同的报表,报表生成是非常灵活和自由,能够根据用户不同的要求生成不同的报表。
如网络流量报表;服务器健康报表;某台服务器的安全情况报表;所有机房发生攻击事件的频率报表;利用次数最多的攻击方式报表;发生攻击事件的网段报表;服务器性能利用率最低的服务器列表等等。
可以根据用户需要生成各种组合式报表,所有的报表都可以跨设备、跨网段、跨机房进行统一的处理。
而且报表的生成方式也多样化有柱线图、饼图、曲线图等。
5、事件处理查询
信息主管能够及时了解到这个事件有没有被处理?
谁在什么时间发现了问题,通知了谁,对这个事件哪些人在什么时候作了什么处理?
处理完成还是未完成?
有效了解整个事件处理状况并将此处理方式作为经验知识库保存。
6、为网络结构的调整或扩展提供有效数据
通过SECVIEW对网络设备、服务器的监控可以有效了解到哪些网络设备、服务器超负荷工作了,可以用实际记录数据向上申请扩容或调整结构。
7、提高管理员的安全意识和安全技术
提高管理员的安全和网络技术,能够及时的发现和处理当前存在的网络和安全问题。
围绕SECVIEW设计紧急响应处理文档和安全技术的解决方案,主要是针对IT管理员(包括系统管理员、安全管理员、数据库管理员、应用服务管理员、网络管理员的)如何正确安装、配置、使用和监控信息或计算机设备,提供规范的技术流程和技术实施手册。
提高管理员的安全意识和安全技术水平。
《设计病毒紧急响应流程》
《系统故障紧急响应流程》
《恶意攻击紧急响应流程》
《系统管理员的响应手册》
《安全管理员的响应手册》
《网络管理员的响应手册》
提供的安全技术解决方案包括
Ø各个相关操作系统的正确安装手册
Ø各个相关操作系统的加固手册
Ø各个相关的数据库加固手册
Ø各个相关应用服务的安装和加固手册
Ø网络设备的加固手册
Ø防火墙及其他网络安全产品的配置策略
Ø防病毒配置策略和使用规范
Ø业务系统软件安全技术标准
Ø拨号网络的安全设置
Ø防止大型邮件风暴的处理技术
Ø备份管理登记表
Ø服务器日志检查表
Ø紧急响应事故登记表
Ø数据库访问登记表
Ø网络配置变更登记表
Ø信息资产登记表
Ø用户权限分配表
Ø用户账号登记表
Ø资产维护登记表
8、SECVIEW默认支持设备
CISCOSwitch
监测分析CISCOSwitchSYSLOG/SNMP
CISCORouter
监测分析CISCORouterSYSLOG/SNMP
LoggingonStealthInterface
监测分析用户登陆日志。
IPFW
监测分析IPFW日志。
ApacheWebServer
监测分析ApacheWebServer日志
NetFilter
监测分析NetFilter日志。
IPChains/IPTables
监测分析IPChains/IPTables日志。
CiscoVPNConcentrator
监测分析CiscoVPN日志。
CiscoPIX
监测分析CiscoPIX日志。
EnterasysDragonSensor
监测分析SNMP
EnterceptIDS
监测分析SNMP
Intrusion
监测分析SNMP
ISSRealSecure
监测分析SNMP
NFR
监测分析SNMP
Snort
监测分析SNMP
SunSolaris
监测分析SunSolaris日志
AxentEnterpriseSecurityManager
监测分析AxentEnterpriseSecurityManager日志
AxentITA
监测分析AxentITA日志
AxentITAQuery
监测分析AxentITAQuery日志
BSDSyslog
监测分析BSDSyslog日志
CiscoAccessPoint35
监测分析SNMP
CiscoAccessServerAccountingv3.0
监测分析CiscoAccessServerAccountingv3.0日志
CiscoAccessServerAuditv3.0
监测分析CiscoAccessServerAuditv3.0日志
CiscoAccessServerFailedv3.0
监测分析CiscoAccessServerFailedv3.0日志
CiscoAccessServerPassedv3.0
监测分析CiscoAccessServerPassedv3.0日志
CiscoAccessServerAcceptsv3.0
监测分析CiscoAccessServerAcceptsv3.0日志
TripWire
监测分析TripWire日志
WindowsNT
监测分析WindowsNT日志
Windows2000
监测分析Windows2000日志
Unix
监测分析Unix日志
Linux
监测分析Linux日志
CyberGuardFirewall
监测分析CyberGuardFirewall日志
Dragon
监测分析Dragon日志
EntrustPKI/NTLogs
监测分析EntrustPKI/NTLogs日志
GauntletFirewall
监测分析GauntletFirewall日志
HPSyslog
监测分析HP日志
LDAPServer
监测分析LDAPServer日志
LucentManagedFirewall
监测分析SNMP
MicrosoftIIS4.0
监测分析MicrosoftIIS4.0日志
MicrosoftPerformance
监测分析MicrosoftPerformance日志
MicrosoftProxy
监测分析MicrosoftProxy日志
NetegritySiteminder
监测分析NetegritySiteminder日志
NetscapeProxyAccess
监测分析NetscapeProxyAccess日志
Netscreen
监测分析Netscreen日志/SNMP
NetworkAsSecViewiatesGauntlet
监测分析NetworkAsSecViewiatesGauntlet日志
NetworkIceBlackIce
监测分析NetworkIceBlackIce日志
NFRFlightRecorder
监测分析NFRFlightRecorder日志
NortelVPN
监测分析NortelVPN日志
OkenaStormwatch
监测分析OkenaStormwatch日志
OracleAuditing
检测分析OracleAuditing日志
PsionicPortSentry
监测分析PsionicPortSentry日志
RadiusServer
监测分析RadiusServer日志
Radware
监测分析Radware日志
ResourceManhunt
监测分析ResourceManhunt日志
RedhatSyslog
监测分析RedhatSyslog日志
RSAACE/Server
监测分析RSAACE/Server日志
SunSolaris
监测分析SunSolaris日志
Sonicwall
监测分析Sonicwall日志
StonewallFirewall
监测分析StonewallFirewall日志/SNMP
Sunscreen
监测分析Sunscreen日志
SuSESyslog
监测分析SuSESyslog日志
SygateBlockedSystemLog
监测分析SygateBlockedSystemLog日志
SygateVPNLog
监测分析SygateVPNLog日志
SymantecRaptor
监测分析SymantecRaptor日志/SNMP
RecourseManTrap
监测分析SNMP
SanctumAppShield
监测分析SanctumAppShield日志
RecourseManHunt
监测分析RecourseManHunt日志
ZyxelRouter
监测分析ZyxelRouter日志。
WuFtpd
监测分析WuFtpd日志。
ProFtpd
监测分析ProFtpd日志。
ParseSSHD
监测分析ParseSSHD日志。
ParseQpopper
监测分析ParseQpopper日志。
GRSecurity
监测分析GRSecurity日志。
UnixSecurity
监测分析UnixSecurity日志。
CheckPointFW-1
监测分析CheckPointFW-1日志\SNMP。
FortiGate
监测分析日志/SNMP
NortonAntivirus
CorporateEdition
监测分析NortonAntivirusCorporateEdition日志。
TrendMicroAntiVirus
监测分析TrendMicroAntiVirus日志
BroIDS
监测分析SNMP
SysTrace
监测分析SysTrace日志
Argus
监测分析Argus日志
中科网威防火墙
监测分析SNMP
中科网威NIDS
监测分析SNMP
三零鹰眼NIDS
监控分析鹰眼NIDS日志/SNMP
升级会员 