铸机-brassica
Secview
SOC
网络安全维护的必备工具
一、网络安全现状
1
、
大部分的网络如图组成:
网络设备、安全设备、服务器、应用系统、数据库、环境监控
虽然用户购买了
< br>FIREWALL
、
NIDS
、
防病毒系统等安全设备但是还是有大量
的安全隐患存在和安全发
生事件:
1
.
安全事件不能及时准确发现
?
海量事件
(海量的安全事件充斥着大量不可靠的信息,
从而变的毫无价值。
网络设备、
安全设备、
系统都会不可避免的产生对网络不会造
成影响的无
效事件,
有的设备事件报警一天可以上万甚至几十万
,
人工分析已经变得
不可能)
?
误报问题(典型的如
NIDS
、
IPS
)
?
漏报问题(如未知病毒、未知网络攻击、未知系统攻击)
?
漏报另一大原因:
缺乏重要服务器、
网络设备的安全日志实时分析
(
p>
NIDS
虽然能够防御网络攻击,
但是黑客
利用对服务器、
网络设备系统漏洞却一
筹莫展,
这就要求对重要的服务器、
网络设备除了做好安全加固外,
还需
要实时对系统安全日志做分析监控,
当非法用户或超级
权限用户探测系统
信息的时候,
就会在安全日志里迅速地记下服
务器、
网络设备被探测时所
用的用的
I
P
、时间、探测所用的用户名和密码等等,一旦管理员发现此
事
件可以及时采取措施
;;
对于安全设备如
firewall
每天产生大量日志
,
里面
有黑客预攻击或者扫描的记录
,
由此可见实时日志审计的重要性。但是每
台服务器或网络设备每天产生的日志可能有上千
条甚至几十万条,
这样人
工地对多个安全系统的大量日志进行实
时审计、分析流于形式。
)
2
.
安全事件不能准确定位
事件孤立相互
之间无法形成很好的集成关联,给系统管理员提供的控制台各
种各样,一个事件的出现不
能关联到真实问题。
(如
NIDS
事件
报警,关联同一时
间防火墙报警、
被攻击的服务器安全日志报警
等,
从而了解是真实报警还是误报;
如未知病毒的攻击,分为
2
类网络病毒、主机病毒,网络病毒大
都表现为流量异
常,主机病毒大都的表现
CPU
异常、
MEM
异常、
DISK
空间异常、文件的属性和
大小改变等,要发现这个问题,需要关
联流量监控(网络病毒)
、关联服务器运行
状态监控(主机病毒
)
、关联完整性检测(主机病毒)来发现,为了大规模在网络
内
爆发前,必须快速发现问题在中毒机器源头切断;
如发现网络
流量异常,超过
正常阀值,那么在网络设备的端口出会报警,在这个情况并不能确定问题
原因,
需要通过事件关联,发现网络设备所在上级和下级网络设备是否报警,首先能够<
/p>
确定网络流量异常所在位置,然后根据所在的
Sniffer
p>
、
NDIS
、日志分析系统是否
发现安全报警,
如果存在说明是未知网络攻击行为或者是未知网络病毒;<
/p>
如果没
有那么可能是正常量增大造成的
。
如服务器的宕机,
可能是安全事件遭病毒感染,
DDOS
攻击,可能是服务器健康
CPU
超负荷,端口某服务流量太大,访问量太大
等,必须将多种因素结合起来才
能更好分析,快速知道真实问题点及时恢复正
常。……)
3
.
没法做集中的事件自动统计
无法自动
了解某台服务器的安全情况报表,所有机房发生攻击事件的频率报
表;网络中利用次数最
多的攻击方式报表;发生攻击事件的网段报表;服务器性
能利用率最低的服务器列表等等
。需要管理员人为去对这些事情做统计记录,生
成报告,耗费大量人力。
4
.
没有有效的事件处理查询
没有对事件
处理的整个过程作跟踪记录,信息部门主管不了解哪些管理员对
该事件作了处理,处理结
果过程没有做记录,处理得知识经验不能得到共享,导
致下次再发生同类事件时,处理效
率的低下。
5
.
缺乏专业的安全技能
管理员发现问题
后,因为安全知识的不足导致事件迟迟不能被处理,影响网
络的安全性、延误网络的正常
使用。
二、
SECVIEW
能够解决的问题
自网络和互联网技术和使用被
广泛的运行以来,暴露出较多的安全隐患和因
为内部员工的误操作或恶意破坏造成的严重
损失。为了预防和降低安全和系统故
障对用户造成的危害,由信息中心对所属的业务进行
集中式的监控维护,并对安
全产品实现集中监控,建立统一的网络安全监控和响应中心,
对安全事故做到防
患于未然、及时发现、及时处理解决和追踪危害来源。
对需要保护的用户进行安全意外、系统故障和非正常宕机现象进行事前的预<
/p>
警、事中的紧急处理和事后的问题分析和总结。
SECVIEW
集中监控平台的主要
核心不仅仅是产品本身,
更重要的是建立一个
一级监控、二级维
护的体系。
1
、
劳动力节省,提高维护效率
用户只需
要在一个平台上就可以了解网络中重要资产,网络设备、服务器和
应用服务、数据库的运
行状况中和发生的安全事件,每个设备产生的大量的安全
事件,而造成的海量事件,通过
SECVIEW
筛选过滤器,可以将大量无效信息过
滤,将真实报警展现给用户。简化了公司网络安全维护。
2
、
弥补安全的不足,提高整体安全性
?
弥补不足:
通过
SECVIEW
日志分析系统,
对系统、
设备安全做实时监控,
有效提高了重要服务器、设备的
安全。
?
误报:通过
SECVIEW
关联分析有效降低
< br>NIDS
的误报问题
?
漏报问题:通过
< br>SECVIEW
的网络监控和服务器性能监控、流量监控、日
志分析等来有效弥补其他安全产品
NIDS
对未知攻击、防
病毒系统未知病
毒的无效,
管理员可以及时发现和隔离的未知攻
击源、
抑制病毒大规模暴
发的有效补充
?
事件关联:通过
< br>SECVIEW
事件关联来及时发现和判断事件的真伪性,及
时发现到底是什么问题造成的这些报警,有效防止事态扩大造成的损失,
用户可以轻
松从事件源头解决问题。
?
安全知识库:
SECVIEW
内置了
7128
条安全知识库来帮助用户解决遇到的
安
全问题和安全漏洞。
?
安全经验库:
SECVIEW
提供用户处理事件的
经验库,当再次出现相同的
故障和报警,
能够自动从经验库调出
相关的处理方法指导用户按步骤解决
问题。
3
、
日志分析审计
将受管网络中重要的网
络设备、
安全设备、
操作系统安全事件源的安全日志、
安全事件集中收集管理,实现日志的集中、审计、分析与报告。同时,通过集中
< br>的分析审计,
发现潜在的攻击征兆和安全发展趋势,
并达
到实时故障检测的目的。
实时故障检测包括按照安全策略进行的网络服务故障实时自动化
检测,以及派生
而来的网络故障检测。
4
、
报表自动生成
SECVIEW
可以获得不同的报表,报表生成是非常灵活和自由,能够根据用户
不同
的要求生成不同的报表。如网络流量报表;服务器健康报表;某台服务器的
安全情况报表
;所有机房发生攻击事件的频率报表;利用次数最多的攻击方式报
表;发生攻击事件的网
段报表;服务器性能利用率最低的服务器列表等等。可以
根据用户需要生成各种组合式报
表,所有的报表都可以跨设备、跨网段、跨机房
进行统一的处理。而且报表的生成方式也
多样化有柱线图、饼图、曲线图等。
5
、
事件处理查询
信息主管能够及时了解
到这个事件有没有被处理?谁在什么时间发现了问
题,通知了谁,对这个事件哪些人在什
么时候作了什么处理?处理完成还是未完
成?有效了解整个事件处理状况并将此处理方式
作为经验知识库保存。
6
、
为网络结构的调整或扩展提供有效数据
通过
SECVIEW
对网络设备、服务器的监控可以有效了解
到哪些网络设备、
服务器超负荷工作了,可以用实际记录数据向上申请扩容或调整结构。
7
、
提高管理员的安全意识和安全技术
提
高管理员的安全和网络技术,能够及时的发现和处理当前存在的网络和安
全问题。围绕<
/p>
SECVIEW
设计紧急响应处理文档和安全技术的解决方案,主
要是
针对
IT
管理员
< br>(包括系统管理员、
安全管理员、
数据库管理员、
应用服务管理员、
网络管理员的)如何正确安装、配置、使用和监控信
息或计算机设备,提供规范
的技术流程和技术实施手册。提高管理员的安全意识和安全技
术水平。
《设计病毒紧急响应流程》
《系统故障紧急响应流程》
《恶意攻击紧急响应流程》
《系统管理员的响应手册》
《安全管理员的响应手册》
《网络管理员的响应手册》
提供的安全技术解决方案包括
?
各个相关操作系统的正确安装手册
?
各个相关操作系统的加固手册
?
各个相关的数据库加固手册
?
各个相关应用服务的安装和加固手册
?
网络设备的加固手册
?
防火墙及其他网络安全产品的配置策略
?
防病毒配置策略和使用规范