信息系统安全方案ppt课件-资料下载页

　　

【正文】 故障的原因或感染源 /攻击源，网 络业务恢复时间长。 • 对某些特定安全事件没有适合的方法，如 DDoS攻击，蠕虫病毒等。 • 缺乏“经验丰富”的网络安全专家去监控，分析，解决问题；成本比较高。 IT管理者的期望： 安全的网络－－ 一个能集中管理所有产品 信息、 智能化的安全管理中心 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 63 信息安全管理体系结构的改变 系统安全管理 安全设备管理 加强安全管理的需求 • 安全的网络－ 》 安全网络管理模型－ 》 安全信息管理－ 》 管理中心（ SMC） 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 64 业界领先的 STM安全威胁管理设备 思科监控分析和响应系统 (MARS)  利用您的现有投资来创建 “普遍计算”  关联来自企业各处的数据 NIDS，防火墙，路由器，交换机， CSA 系统记录， SNMP， RDEP， SDEE， NetFlow， 终端事件记录  迅速定位和抵御攻击  主要特性 –根据设备 信息、事件和“会话” ，来确定安全 事件 –了解 事件 的拓扑，以便查看和重放 –在 L2 端口和 L3检测点进行防御 –高效扩展，可实时使用 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 65 思科 CSMARS工作流程 1. 来自不同安全设备的海量安全信息进入 CSMARS 2. CSMARS对安全事件信息进行规则化统计 3. CSMARS对安全事件信息进行规格化 4. 对地址翻译信息和连接状态信息进行关联处理 5. 对安全信息进行规则关联 丢弃规则 系统预定义规则 用户自定义规则 6. 虚假错误信息分析处理 7. 对可疑主机进行弱点评估，以过滤虚假信息 8. 统计流量模型来发现异常 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 66 CSMARS 流程典型例子 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 67 企业用户的安全管理需求 用户需求 面临的挑战如何管理多厂商的安全设备 很难管理来自不同厂商的安全信息发生了什么样的安全事件 ？ 用户需要花费他们大量的时间 ， 从海量的安全信息中 ， 包括错误信息中 ， 才能找出真正的安全挑战哪儿发生了安全事件 ? 当安全事件确认后 ， 需要快速找到安全攻击的来源 ， 攻击路径， 以便于实施防护 ， 保证网络的高稳定性如何处理安全事件 ? 安全事件确认后 ， 用户希望知道如何防护 ， 是在接近攻击端 ，还是在接近被攻击端 ？ 在路由器上 ， 防火墙上 ， 还是 VPN 设备上 ？ 是否有建议的处理办法 ？如何实现异常检测 ? 有些攻击时新型的 ， 或变种 ， 传统安全设备 （ 防病毒软件 ， 防火墙 ， IDS 等 ） 无法识别 ， 造成网络出现故障后才发觉出现了安全事件 ， 无法提供零天保护简单实施流程对一般用户而言 ， 太复杂的配置是难于实施的 ， 希望有简化的实施流程169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 68 如何管理多厂商安全设备？ 思科 CSMARS 支持多厂商设备  网络 Cisco IOS 和 , Catalyst OS NetFlow v5/v7 NAC ACS Extreme Extremeware  防火墙 /VPN Cisco PIX , IOS Firewall, FWSM amp。 , VPN Concentrator , Cisco ASA CheckPoint Firewall1 NG FPx, VPN1 NetScreen Firewall , Nokia Firewall  IDS Cisco NIDS amp。 , , IDSM , , Enterasys Dragon NIDS ISS RealSecure Network Sensor , Snort NIDS McAfee Intrushield NIDS NetScreen IDP Symantec ManHunt  漏洞评估 eEye REM Foundstone FoundScan  主机安全 Cisco Security Agent (CSA) McAfee Entercept , ISS RealSecure Host Sensor , Symantec AnitVirus  主机记录 Windows NT, 2022, 2022 (有代理和无代理 ) Solaris Linux  系统记录 通用设备支持  应用 Web 服务器 (IIS, iPla, Apache) Oracle 9i, 10i 数据库审查记录 Network Appliance NetCache Note: Visit 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 69  利用网络拓扑发现同一个进程的不同事件和流程 MARS采用专利算法，利用拓扑知识和设备配置信息，将不同设备产生事件关联到同一个进程，创造出整个攻击环境  利用网络拓扑减少误报 识别同一个进程的事件，分析攻击从源到目的地的拓扑路径，发现某个攻击是否的确到达了预定的目的地  利用网络拓扑发现最理想的防御点 通过分析从攻击者到预定目的地的路径，将距离攻击者最近的设备定为最理想的防御点  利用网络拓扑发现攻击路径和网络热点  利用网络拓扑提高证据分析能力 通过识别 NAT地址解析和攻击者 MAC地址提供大大增强的证据分析能力 哪儿发生了安全事件？ MARS拥有端到端的网络拓扑感知能力 高效能进程化和基于进程的主动关联 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 70 哪儿发生了安全事件？ MARS自动识别攻击路径 /攻击源 /攻击目标  SureVector™ 分析方法 –显示准确的攻击路径 –通过下拉菜单，可以查询全部的事件和原始事件数据 –对异常现象和攻击行为找出真实的源泉 –更加全面和准确 1. Host A Port Scans Target X 2. Host A Buffer Overflow Attacks X Where X is behind NAT device and Where X is Vulnerable to attack 3. Target X executes Password Attacks Target Y located downstream from NAT Device 防火墙 攻击路径显示 事件攻击拓朴显示 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 71 如何处理安全事件？ MARS可以给出对安全事件的建议方法 路由器上的缓解建议 交换机上的缓解建议 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 72  在加入网络之后， MARS会用几天时间适应网络使用模式。 随后切换到检测模式，查找重要的异常行为，例如当前值比标准偏差高出两到三倍的情况。  PN MARS可以精确地监控网络使用情况， 跟踪在每天的每个小时中发现的数据流和交换分组的TOP（主机、端口）组合信息（数量可设置）。  智能采集系统动态地存储异常行为的整个NetFlow记录（主机，端口）， 轻松地获知安全事件的整个环境 ，例如受感染的源、目的地端口等。  所提供的内置规则可以 自动地将异常行为与网络IDS系统所报告的攻击关联 到一起。  即使没有安装一个网络 IDS系统，一个遭受某种未知攻击的主机也可能会表现出上述异常行为，从而被 MARS轻松发现。 如何发现异常现象？ MARS接受 Netflow并给出异常现象报警 在 CSMARS上启动Netflow 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 73  MARS基于硬件一体化结构  基于图形界面的配置 /部署，可以在很短时间内完成实施  简单的二层部署结构  无需 agent代理  对不同的网络规模，有相应的设备类型  性价比好，很适合企业用户 是否简单易用？ MARS易于使用 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 74 MARS满足企业用户的安全管理需求 用户需求 / 面临的挑战 M A R S 如何支持如何管理多厂商的安全设备？ 很难管理来自不同厂商的安全信息M A R S 可以处理来自不同厂商的安全信息，最常见的网络和安全产品，终端操作系统，均在 M A R S 的支持列表中发生了什么样的安全事件？ 用户需要花费他们大量的时间，从海量的安全信息中，包括错误信息中，才能找出真正的安全挑战M A R S 通过分析安全威胁，判断哪些是最重要的，哪些不是。可以自动过滤来自防火墙 l o g ，路由器 l o g ， I D S 信息中的虚假信息，每秒可以处理上兆的数据，提供数据的图形化分析哪儿发生了安全事件 ? 当安全事件确认后，需要快速找到安全攻击的来源，攻击路径，以便于实施防护，保证网络的高稳定性M A R S 采用基于拓扑的技术和网络智能的关联和安全信息的处理，可以显示出安全事件发生的路径，攻击源和攻击目标如何处理安全事件 ? 安全事件确认后，用户希望知道如何防护，是在接近攻击端，还是在接近被攻击端？在路由器上，防火墙上，还是 VPN 设备上？是否有建议的处理办法？M A R S 在发现安全事件后，可以为用户提供防护手段的建议，如路由器上如何加 A C L ，在交换机上如何控制端口安全，利用网络的智能强化安全策略如何实现异常检测 ? 有些攻击时新型的，或变种，传统安全设备（防病毒软件，防火墙， I D S 等）无法识别，造成网络出现故障后才发觉出现了安全事件，无法提供零天保护M A R S 可以接收 N e t Fl o w 流量数据进行异常现象分析，给出实时报警，提供对未知安全事件的零天保护，缩短安全响应时间简单实施流程？ 对一般用户而言，太复杂的配置是难于实施的，希望有简化的实施流程M A R S 是硬软件一体化，很容易安装和调试，无需 agent 引擎，性价比好169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 75 CSMARS 主要组件  智能网络拓扑发现  事件进程化管理  风险关联分析  流量异常分析  误报分析  响应与缓解  脆弱性评估  报表 169。 2022 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID 76 CSMARS的技术特点及优势 更高的功能，更低的价格 TCO，支持多种主流网络安全设备，最大化投资保护  大幅度精简数据  及时制止攻击  端到端的网络感知功能（ AutoMitigateTM ）  集成化的脆弱性评估（ SureVectorTM ）  事件关联引擎（ （ ContextCorrelationTM 已经申报专利）  性能优化和扩展 快速的在线处理 超过 10,000 EPS 的全功能处理 高容量的