信息系统安全方案.ppt

Performance0102030405信息系统网络现状和发展趋势SOX符合性对信息系统控制的要求思科网络准入控制方案(NAC2)思科终端安全防护方案安全信息管理CS-MARS目录管理!!! Visibility目前网络安全方面面临最大的问题是什么? 针对安全事件的响应防御响应的步骤:逐渐升级的警报调查研究协调防御网络部门安全部门防火墙入侵保护VPN弱点扫描认证服务器路由、交换设备防病毒用户终端反复搜集网络信息读取并分析大量的数据…总是太迟了……企业网络安全首要目标：以最佳的方式保持网络的正常运行安全管理问题主要归结对实时安全信息不了解，无法及时发出预警信息。安全设备的管理往往是孤立的安全设备，缺乏整个“网络”的意识事件发生后，无法及时确诊网络故障的原因或感染源/攻击源，网络业务恢复时间长。对某些特定安全事件没有适合的方法，如DDoS攻击，蠕虫病毒等。缺乏“经验丰富”的网络安全专家去监控，分析，解决问题；成本比较高。IT管理者的期望：安全的网络－－一个能集中管理所有产品信息、智能化的安全管理中心信息安全管理体系结构的改变系统安全管理安全设备管理加强安全管理的需求安全的网络－》安全网络管理模型－》安全信息管理－》管理中心（SMC）业界领先的STM安全威胁管理设备

-思科监控分析和响应系统(MARS)利用您的现有投资来创建“普遍计算”关联来自企业各处的数据NIDS，防火墙，路由器，交换机，CSA系统记录，SNMP，RDEP，SDEE，NetFlow，终端事件记录迅速定位和抵御攻击主要特性根据设备信息、事件和“会话”，来确定安全事件了解事件的拓扑，以便查看和重放在L2端口和L3检测点进行防御高效扩展，可实时使用思科CS-MARS工作流程来自不同安全设备的海量安全信息进入CS-MARSCS-MARS对安全事件信息进行规则化统计CS-MARS对安全事件信息进行规格化对地址翻译信息和连接状态信息进行关联处理对安全信息进行规则关联-丢弃规则-系统预定义规则-用户自定义规则虚假错误信息分析处理对可疑主机进行弱点评估，以过滤虚假信息统计流量模型来发现异常CS-MARS流程典型例子企业用户的安全管理需求如何管理多厂商安全设备？

-思科CS-MARS支持多厂商设备网络CiscoIOS11.x和12.x,CatalystOS6.xNetFlowv5/v7NACACS3.xExtremeExtremeware6.x防火墙/VPNCiscoPIX7.x,IOSFirewall,FWSM1.x2.2,VPNConcentrator4.x,CiscoASACheckPointFirewall-1NGFPx,VPN-1NetScreenFirewall4.x,5.xNokiaFirewallIDSCiscoNIDS3.x4.x,5.x,IDSM3.x,4.x,5.xEnterasysDragonNIDS6.xISSRealSecureNetworkSensor6.5,7.0SnortNIDS2.xMcAfeeIntrushieldNIDS1.xNetScreenIDP2.xSymantecManHunt3.x漏洞评估eEyeREM1.xFoundstoneFoundScan3.x主机安全CiscoSecurityAgent(CSA)4.xMcAfeeEntercept2.5,4.xISSRealSecureHostSensor6.5,7.0SymantecAnitVirus9.x主机记录WindowsNT,2000,2003(有代理和无代理)SolarisLinux系统记录通用设备支持应用Web服务器(IIS,iPlanet,Apache)Oracle9i,10i数据库审查记录NetworkApplianceNetCache利用网络拓扑发现同一个进程的不同事件和流程MARS采用专利算法，利用拓扑知识和设备配置信息，将不同设备产生事件关联到同一个进程，创造出整个攻击环境 利用网络拓扑减少误报识别同一个进程的事件，分析攻击从源到目的地的拓扑路径，发现某个攻击是否的确到达了预定的目的地利用网络拓扑发现最理想的防御点通过分析从攻击者到预定目的地的路径，将距离攻击者最近的设备定为最理想的防御