1 / 74

网络安全监控与防范

网络安全监控与防范. 1 、绿盟科技概况 2 、高校图书馆网络风险分析 3 、绿盟科技安全设计理念 4 、拒绝服务攻击 5 、入侵检测技术 6 、极光安全评估系统概述 7 、绿盟科技安全服务. 罗爱国 绿盟科技. 1 、绿盟科技概况. 诚信第一、客户至上 专业服务、面向国际. 绿盟科技( NSFOCUS ). 2000 年 4 月 成立于北京,正式提供 NSPS 专业安全服务 2000 年 11 月 研发第一款产品-冰之眼入侵检测系统 2001 年,第一批安全服务试点企业, 发布第二款安全产品 - 极光远程安全评估系统

kaycee
Download Presentation

网络安全监控与防范

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 网络安全监控与防范 • 1、绿盟科技概况 • 2、高校图书馆网络风险分析 • 3、绿盟科技安全设计理念 • 4、拒绝服务攻击 • 5、入侵检测技术 • 6、极光安全评估系统概述 • 7、绿盟科技安全服务 罗爱国 绿盟科技

  2. 1、绿盟科技概况 诚信第一、客户至上 专业服务、面向国际

  3. 绿盟科技(NSFOCUS) • 2000年4月 成立于北京,正式提供NSPS专业安全服务 • 2000年11月 研发第一款产品-冰之眼入侵检测系统 • 2001年,第一批安全服务试点企业, 发布第二款安全产品-极光远程安全评估系统 • 2002年,第一批安全服务一级企业,发布第三款安全产品-黑洞抗拒绝服务系统 • 2003年,发布第四款安全产品-ESP企业安全计划 • 2004年,三家安全二级企业之一,通过ISO9001认证 • 2004年为止,全国共有近180余名员工,大多数为研发和专业服务技术人员

  4. 不断发展的公司 吸引了越来越多的专业技术人员的加入 4年来,业务规模每年都以超过100%的速度不断增长

  5. 总部与分支机构 • 2000 北京:总部与研发中心 • 2000 上海、广州:分公司 • 2002 长沙办事处 • 2003 沈阳办事处 • 2004 建立济南、成都、武汉、南京、杭州、深州、西安等办事处

  6. 安全产品线的发展 不断成熟的产品版本 ESP 1.0 Collapsar 1.0-2.3 Collapsar 3.4 不断完善的产品线 HIDS 1.0 HIDS 1.5 RSAS 1.0 RSAS 2.0 RSAS 2.4 RSAS 3.0 NIDS 1.0 NIDS 1.5 NIDS 2.0 NIDS 2.5 NIDS 3.0 2000年 2001年 2002年 2003年

  7. 最大的中文安全信息库 绿盟科技首先建立并维护国内最大和最全面的中文网络安全漏洞库,目前已经达到7000多条。

  8. 独立的漏洞发现能力 • 绿盟科技已经独立发现了20余个涉及网络安全的重大漏洞 • 为Microsoft、CISCO 、SUN、Netscreen等国际著名厂商提供了多个安全漏洞修补建议

  9. 公司荣誉 • 中关村十佳中小高新技术企业 • 2002/2003电子政务100强 • 2003 电子政务优秀解决方案奖 • 2003 信息安全大会优秀安全解决方案(综合类) • …

  10. 2、高校图书馆网络风险分析

  11. 信息安全的CIA • not. CIA(Central Intelligence Agency) • 机密性 • Confidentiality • 完整性 • Integrity • 可用性 • Availability

  12. 风险分析 • 风险 • 威胁:外部因素对系统可能造成的危害 • 黑客攻击 • 蠕虫病毒 • 线路故障 • 漏洞:系统本身的缺陷或配置不当 • 系统漏洞(Win RPC、Solaris RPC…) • 应用程序(DNS、FTP、Telnet…)

  13. 3、绿盟科技安全设计理念 绿盟科技

  14. 绿盟科技安全体系框架 ISO 17799 (BS7799) IATF 2.0 ISO 13335 ISO 7498

  15. 组织体系 • 机构建设 • 人员管理

  16. 管理体系 • 制度管理 • 资产管理 • 风险管理 • 技术管理 • ISO/IEC 17799-信息安全管理标准 • ISO/IEC 13335-信息安全管理方面的规范

  17. 技术体系 • 安全矩阵 • 安全评估 • 安全防护 • 入侵检测 • 应急恢复 • 如访问控制、网络安全评估系统、入侵检测、防病毒系统等

  18. 4、拒绝服务攻击概述

  19. 一些拒绝服务攻击案例 • 有意识的攻击 • 1999年 yahoo ,ebay ,DDOS出现 • 2001 Cert被拒绝服务攻击 • 2001 蜗牛炸弹的影响 • 2002年cnnic被攻击 • 2003 全球13台根DNS中有8台被大规模拒绝服务 • 小规模的攻击行为 • 无目的的拒绝服务 • 蠕虫的传播 SQL Slammer

  20. DDoS的特点 • 极易实施 PC机、广为传播的免费工具软件、好奇心或别的想法 • 危害性极大 一两台位于宽带网上的PC机就可以使整个IDC瘫痪 • 极难追查 需要多个ISP的紧密配合才有可能进行追查

  21. 一些数据 • 国内外百兆、千兆硬件防火墙没有有效防止DDoS的方法 • 一台普通PC(P3 800)通过应用层能打出30~40Mbps的DoS 流量,在linux kernel里能打出近50Mbps的DoS流量 硬件防火墙挡不住一台PC机的攻击! 国内IDC中的硬件防火墙被30M DDoS打得全部瘫痪,致使整个网段无法防问

  22. 拒绝服务攻击技术的发展 • DDoS攻击将越来越多地采用IP欺骗的技术; • DDoS攻击呈现由单一攻击源发起进攻,转变为由多个攻击源对单一目标进攻的趋势; • DDoS攻击将会变得越来越智能化,试图躲过网络入侵检测系统的检测跟踪,并试图绕过防火墙防御体系; • 针对路由器的弱点的DDoS攻击将会增多;

  23. 近年一些新的拒绝服务攻击技术 • DRDOS • 形成难于追查的ACK Flood • 代理连接耗尽 • Fatboy 等工具 • BotNet网络 • 通过IRC控制数万台个人主机(Zombi PC)发起

  24. 专用抗拒绝服务设备Collapsar介绍

  25. 专用ADS设备分类 • 防火墙和路由器对拒绝服务攻击的抵抗能力是有限的 • 专用抗拒绝服务设备已经在电信、金融和网上交易站点得到了应用 • 目前常见的三类产品 • Syn gate形式+QoS • 特征码过滤+Syn gate • Syn Gate+指纹识别

  26. 绿盟科技黑洞产品的基本思想 • 功能专一,针对性强 • 以高效率为优先,追求效率和精确性全局最优 • 将DDoS攻击带来的损失降到最低点 • 统计分析正常应用情况建立防护模型,辅以其他手段 • 无需特征库指定匹配特征,防护机制智能化 • 无需进行类似防火墙的规则匹配 • 能够针对复杂的网络环境进行灵活的设置

  27. 黑洞的功能 • 防护如下常见的DDoS攻击 • SYN Flood • ACK Flood • ICMP Flood • UDP / UDP DNS Query Flood • Connection Flood(连接耗尽攻击)

  28. 其它功能 • 防护连接耗尽 • 抑制蠕虫扩散 • 同时防护内外网 • 。。。

  29. 产品特色 • 灵活管理-B/S结构 • 给管理员更多选择 • 详细记录攻击行为 • 自身安全性高 • 即插即用 • 灵活的防护方式

  30. 使用案例 • 万网 • 新网 • 湖北教育厅 • 武汉教育局 • 华泰证券 • 重庆网通 • 上海热线 • TOM.COM • 中国联通总部 • 南京房产网 • Sohu.com • 荆门广播电视局 • 中智软件 • 武汉电信 • CNNIC

  31. 5、入侵检测(IDS)技术

  32. 什么是入侵检测系统 IDS(Intrusion Detection System)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。

  33. 摄像机=探测引擎 Card Key 后门 监控室=控制中心 保安=防火墙 形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。

  34. 防火墙的局限性 • 防火墙不能防止通向站点的后门。 • 防火墙一般不提供对内部的保护。 • 防火墙无法防范数据驱动型的攻击。 • 防火墙本身的防攻击能力不够,容易成为被攻击的首要目标 • 防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略

  35. 入侵检测的作用 • 实时检测网络系统的非法行为 • 网络IDS系统不占用系统的任何资源 • 网络IDS系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高 • 它既是实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证 • 主机IDS系统运行于保护系统之上,可以直接保护、恢复系统 • 通过与防火墙的联动,可以更有效地阻止非法入侵和破坏

  36. 冰之眼的优势与特点

  37. “冰之眼”网络入侵检测系统V3 • “冰之眼”(NIDS)是专门针对网络遭受黑客攻击行为而研制的基于网络的入侵检测产品。 • 采用最新入侵检测引擎和技术,具备强大的实时入侵检测能力。 • 充分考虑用户需求,设计方便易用的人机界面 • 支持超大规模的分布式部署

  38. 选择IDS产品通常考虑的主要因素 • 检测技术 • 深度协议分析 • 模式匹配 • 异常发现 • 性能 • 捕获数据包的能力 • 分析数据包的能力 • 规则库的全面性 • 规则数量 • 规则更新频率 • 规则解释的详细程度 • 解决方案的详细程度 • 可管理性 • 多级分布式部署方式 • 直观中文使用界面 • 告警事件的合并与过滤 • 多角度的分析和报告能力

  39. 基于统计的主告警界面 • 实际环境中,管理员(用户)需要的是一个对全局安全性的统计概要数据,而不是详细的不停滚动的攻击告警。 • 详细精确的统计能够提供给用户快速定位最大风险点的能力。

  40. 实时TOP10 监控

  41. 强大的事件监控与过滤设置

  42. 支持常见协议直观回放 • HTTP • FTP • Telnet • SMTP • POP3 • gb2312,utf8编码 • 支持解出附件

  43. 日志分析与报表输出

  44. 全模块化的自动升级系统 • 支持所有部件包括引擎、控制台、规则库在内的实时在线升级(Live) • 所有部件均支持离线升级 • 所有部件均支持定时自动在线升级 • 引擎支持串口,控制台两种升级路径。

  45. “冰之眼”入侵检测系统应用情况 海关总署 航天部 首都之窗; 北京石景山区信息中心 中国银河证券; 湘财证券; 江苏省公安厅; 北京地税; 青海电力; 浙江电力; 甘肃电力; 铁岭电力 … 中南财经政法(图书馆) 中国人民银行 国家民政部 威海市商业银行; 河北移动 金山电信; 武汉电信IDC; 大庆油田; 北京首都在线; 盛大网络; 人民网; 中青网;

  46. 6、极光远程安全评估系统概述

  47. 严重漏洞的对安全的威胁 • 是亡羊补牢还是未雨绸缪? • 每天都有安全漏洞被批露 • 每年出现数十个严重的安全漏洞 • 利用安全漏洞传播的蠕虫越来越多 • 往往在发生损失只后才进行被动的防御 • 对安全事件进行预防,需要安全评估系统

  48. 极光优势与特点

  49. 产品定位 • 功能强劲的漏洞检测工具 • 基于安全操作系统的硬件扫描设备 • 强大、快速准确的扫描引擎 • 细致的扫描参数设置 • 身边的安全专家 • 提供详细的漏洞分析、专家建议 • 基于模板驱动多种报告模板 • 易于广泛使用 • 精心设计的界面和使用向导 • B/S结构,便于使用和管理 • 支持分布式部署和统一分析 RSAS-200

  50. 专业细致的扫描参数调整

More Related