资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,Professional Security Solution Provider,华北电网调度中心安全技术交流,专业,所以值得信赖!,NSFocus Information Technology Co.Ltd.,绿盟科技 咨询设计部,彭新春,2006,年,9,月,pengxinchun,提纲,电力行业安全现状及风险分析,如何构建信息安全体系,安全防护产品简介及选型建议,安全风险评估介绍,绿盟科技公司简介,计算机犯罪带来严重的经济损失,攻击目标和方式的多样化,每年发现的漏洞数量飞速上升,每年发现的漏洞数量飞速上升,2004,年,CVE,全年收集漏洞信息,1707,条,绿盟科技到到,2005,年底跟踪的漏洞也超过了,2072,条,年份,漏洞数量,1999,742,2000,404,2001,832,2002,1006,2003,1049,2004,1707,2005,2200,黑客的职业化之路,不再是小孩的游戏,而是与 金钱挂钩,职业入侵者受网络商人或商业间谍雇佣,不在网上公开身份,不为人知,但确实存在。,攻击者采用的技术不断深入和多样,我们面临新的安全威胁,攻击技术已经开始普及,漏洞挖掘流程专业化,工具自动化。,Zero-day,的攻击,无线安全,/,手机安全问题开始出现,高,低,1980,1985,1990,1995,2000,密码猜测,可自动复制的代码,密码破解,利用已知的漏洞,破坏审计系统,后门,回话劫持,擦除痕迹,臭探,包欺骗,GUI,远程控制,自动探测扫描,拒绝服务,www,攻击,攻击者,入侵者技术,攻击手法,半开放隐蔽扫描,控制台入侵,检测网络管理,DDOS,攻击,网络钓鱼,Google hacking,2005,攻击手法和入侵者技术趋势,SQL,注入,为什么会不安全?,不可避免的因素,技术发展的局限,系统在设计之初不能认识到所有问题,TCP/IP,协议在开发过程中并未主要考虑安全问题,人类的能力有限,失误和考虑不周在所难免,操作系统和应用程序在编码过程中难免引入,Bug,没有避免的因素,系统实施过程中采用了默认配置而未针对实际情况进行定制和安全优化,新的漏洞补丁跟踪、使用不及时,拥有者,的,组织结构,管理和技术体系不够完善,技术发展和环境变化使网络安全处于动态之中,电力企业在信息化过程中存在的现象,在我国电力企业中,信息部门未能受到应有的重视,信息部门在发电企业没有一个专门机构配置,没有规范的建制和岗位,信息化作为一项系统工程,需要专门机构来推进,需要企业各个部门相互配合,电力信息系统深入到电力生产和管理的全过程,涉及到电力生产各个层面,2002,年国家电网公司规范了信息网络安全管理,从安全政策到安全技术措施等方面实施了电力安全计划的研究和试点,计划经济模式下形成的电力企业条块分割、信息闭塞、效率低下的管理体制已不能适应当前的要求,电力企业需要启动一轮企业管理革新,从企业战略出发,实行业务调整、流程梳理与优化,引入信息技术的支持,电力企业在信息化过程中存在的问题,生产控制自动化的先进性与管理信息化的滞后性并存,信息化基础设施相对完善,电力营销管理系统得到广泛应用,信息化机构建设尚需进一步健全,信息安全管理是电力企业信息化重点,电力系统信息化缺乏系统性,电力企业在不同时期不同部门为了满足业务需要进行了一系列信息系统建设,各系统之间缺乏联系,信息不共享,业务不能协同开展,对企业管理决策的作用十分有限,缺乏统一的标准体系,尚未制定统一的信息化标准体系,电力企业内部信息系统的信息编码、技术标准、规范也不统一,影响了企业内部、上下级企业之间信息的共享与交互,造成企业内部,“,信息孤岛,”,无处不在、系统不能集成、资源不能共享的局面,严重制约企业信息化建设和应用,电力行业信息化特点,电力行业是国民经济的基础产业,是保障生活生产秩序正常运行的基础行业,!,与其他行业相比,发电企业具有分散控制、统一联合运行的特点,建立在,Internet,架构上的跨地区、全行业系统内部信息网开始逐步建立,网上应用着各种电力业务及办公系统,电力信息网络系统的网络安全问题愈来愈显得重要,目前主要采取了物理隔离、防火墙和防病毒软件,电网安全关系国家发展命脉,2001,年,8,月份,中国电力信息中心的服务器就曾受到了,SirCam,、,Code Red,两种病毒的攻击,对信息系统的正常运行造成了很大影响,2003,年,美加,8.14,停电事件,造成负荷损失,6180,万千瓦,停电范围,9300,多万平方公里,受影响居民,5000,万人以上,造成增加巨大的经济损失和社会影响,2004,年,中国出现大面积的,“,电荒,”,,拉闸限电等影响人民生活、工业生产的现象屡见不鲜,带给我们的启示,加快信息化建设,实行统一调度,协调配合,提高防御事故的能力,加快建立和完善重大电网事故的应急处理机制,电力企业信息系统安全分析,网络拓扑逻辑上为星型,+,树状结构,由主干网、区域网、省内网和地区网四级组成,各级网络有分支网络和主节点,各级信息中心为电力系统全行业提供信息服务,安全分析,物理层:硬件设备和通信链路的安全,网络层:相对的内,/,外网结构;面临拒绝服务、信息窃取、网络瘫痪等威胁,应用层:应用软件的缺陷、网络病毒的侵害,系统层:系统自身的重大漏洞,管理层:安全管理的不完善、安全组织的缺乏,电力二次系统安全防护总体示意图,电力企业具体风险分析,优先级,风险,说明,/,举例,0,旁路控制(,Bypassing Controls,),入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。,1,完整性破坏(,Integrity Violation,),非授权修改电力控制系统配置、程序、控制命令;非授权修改电力交易中的敏感数据。,2,违反授权(,Authorization Violation,),电力控制系统工作人员利用授权身份或设备,执行非授权的操作。,3,工作人员的随意行为(,Indiscretion,),电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。,4,拦截,/,篡改(,Intercept/Alter,),拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。,5,非法使用(,Illegitimate Use,),非授权使用计算机或网络资源。,6,信息泄漏(,Information Leakage,),口令、证书等敏感信息泄密。,7,欺骗(,Spoof,),Web,服务欺骗攻击;,IP,欺骗攻击。,8,伪装,(Masquerade),入侵者伪装合法身份,进入电力监控系统。,9,拒绝服务(,Availability,e.g.Denial of Service,),向电力调度数据网络或通信网关发送大量雪崩数据,造成网络或监控系统瘫痪。,10,窃听(,Eavesdropping,e.g.Data Confidentiality,),黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击做准备。,电力行业网络安全分析主要考虑点,1,2,3,4,网络结构设计是否层次分明、分级管理、统一规划的,网络接入是否考虑防止多个接入点存在,内部各,VLAN,或区域之间边界划分是否合理,在网络节点互连互通是否根据实际需求进行严格访问控制,是否对关键业务系统和非关键业务系统进行逻辑隔离;,是否采用,QoS,的多种技术来优化网络系统,是否具备网络异常流量分析及发现机制,IP,地址规划是否合理。,路由协议是否采用安全的配置,是否存在帐号、口令、文件属性等安全问题,是否具备有效的、统一漏洞发现、解决机制,是否具有服务器的冗余备份机制,应用系统是否具有访问验证机制,是否具有应用滥用等问题,终端系统是否存在系统漏洞,是否及时修补了。,是否具有终端统一管理策略和统一策略下发机制。,是否具有终端防病毒体系。,是否具有终端访问外网的限制措施,“,三分技术,七分管理,”,安全管理机制是否应及时完善。,是否具有统一安全管理部门或组织。,是否具有安全巡检、安全事件处罚等措施。,是否具备统一安全管理策略和制度下发机制。,是否具备有效的应急响应流程和方法。,网络,主机,终端,管理,提纲,电力行业安全现状及风险分析,如何构建信息安全体系,安全防护产品简介及选型建议,安全风险评估介绍,绿盟科技公司简介,信息安全体系架构示例,安全目标,O,T,P,A,P,T,R,A,P,D,R,机构,建设,人员,管理,制度,管理,资产,管理,物理,管理,技术,管理,风险,管理,安全,评估,安全,防护,入侵,检测,应急,恢复,组织体系,管理体系,技术体系,信息系统安全体系架构,Information System Security Framework,核心,保障,支撑,明确的安全组织体系,统一的安全管理策略,积极防御、综合防范,如何合理有效的建立安全体系,从安全理论出发,安全标准,-,体系架构,-,安全策略,-,控制措施,适合集团或总公司进行这方面的工作,从安全实践出发,发现问题,-,控制措施,-,形成体系,-,持续改进,适合省、地市级电网公司针对特定网络,/,系统进行安全建设,从实践出发的安全建设过程,分析安全风险,外部风险评估(委托评估),内部风险评估(自评估),明确安全需求,根据风险评估提炼需求,根据日常实践提出需求,部署安全产品,从风险管理角度进行设计,多种技术综合使用、全面防护,建设安全管理中心,对各类安全产品和技术的综合分析,进行持续性风险管理和改进,全面风险评估与安全咨询,方案设计,风险评估,1,2,安全规划,资产评估,威胁评估,脆弱性评估,风险评估,安全域与边界整合,终端管理与控制,安全产品部署,安全加固,一期建设计划,安全域,划分,安全产品部署,安全加固实施,安全战略,Filter/Prioritize,安全培训,体系建设,安全规划,3,4,安全策略,安全制度,安全流程,安全考核办法,一期规划,二期规划,三期规划,安全规划,二期建设计划,安全预警服务,安全维护服务,安全监控服务,安全策略推行,安全规划,三期建设计划,安全策略落实,安全运营中心的搭建,安全培训,安全培训,建设信息安全管理体系(,ISMS,),制度建设,考核,结合电网公司的安全管理现状,针对电力行业业务网络的相关组织、管理策略部分进行必要的建设和加强!,绿盟科技安全设计方法论,安全体系模型,NISF,IATF,PDR,安全技术标准,ISO 15408,ISO15852,GB 50173,安全管理标准,ISO 17799,ISO 27001,ISO 13335,工程服务标准,SSE-CMM,ITIL,选择安全标准体系,进行风险分析,安全域划分,CIA,评价法,威胁类型分析,物理攻击,主动攻击,被动攻击,内部越权攻击,分发攻击,层次风险分析,物理,网络,系统,应用,管理,设计安全策略,选择控制措施,分级安全策略,等级保护原则,参照安全标准体系,分步实施策略,短中长期安全目标,实施过程规划,选型策略,技术选择,厂商选择,产品选择,多安全能力,评估,防护,检测(响应),恢复,安全组织建设,组织设置,人员职责,人员管理,安全管理体系(,ISMS,),制度建设,风险管理,提纲,电力行业安全现状及风险分析,如何构建信息安全体系,安全防护产品简介及选型建议,安全风险评估介绍,绿盟科技公司简介,安全原理,安全和复杂性成正比,,安全和可用性通常成反比,安全两难,相对安全,木桶原理,2/8,法则,蝴蝶效应,世界上只有相对安全,而没有完美无缺的绝对安全,安全性取决于整个体系防护最弱的地方,安全性的,80%,的成果,来自于,20%,的投入。,集中处理已知的和最可能的威胁比花费精力处理未知的和不大可能的威胁更有用(,2/8,法则),一个微小的疏忽,如果不加以及时注意,有可能会给整个安全防护体系带来非常大的危害,安全技术产品,安防体系的基本保证,网络安防更需要完善的整体防卫架构,防火墙,访问控制,防病毒,入侵检测,虚拟专用网,漏洞评估,安全防护是一个过程,安全防护是一个周而复始、循环上升的过程,100%,安全的网络是不存在的;,安防系统需要不断的变化和调整;,安防工作是循序渐进、不断完善的过程。,安全技术产品选型,以需求为导向,选择最适合需求的产品,对于产品的选型,可参考各类产品的指标来源,按照实际需求定制相应的测试方案,考虑案例应用,电力系统安全防护技术,1,备份与恢复,2,防病毒措施,3,防火墙,4,入侵检测,/,保护,5,主机防护,6,数字证书与认证,7,专用安全隔离装置,8 IP,认证加密装置,9 WEB,服务的使用与防护,10 Email,的使用,11,远程拨号访问,12,计算机系统本地访问控制,13,线路加密设备,14,安全,“,蜜罐,”,诱骗,15,应用程序安全,16,关键应用系统服务器安全增强,17,安全审计,防火墙的基本概念,防火墙是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关安全政策控制,(,允许、拒绝、监视、记录,),进出网络的访问行为。,不可信的网络及服务器,可信任的网络,防火墙,路由器,Internet,Intranet,供外部访问的服务及资源,可信任的用户,不可信的用户,DMZ,防火墙的主要技术种类,应用层代理技术,(Application Proxy),包过滤技术,(Packet Filtering),状态包过滤技术,(Stateful Packet Filtering),应用层,表示层,会话层,传输层,网络层,数据链路层,物理层,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,数据,TCP,报头,IP,报头,分组过滤判断信息,企业内部网,屏蔽路由器,数据包,防火墙包过滤技术的基本原理,数据包,UDP,Block,Host C,Host B,TCP,Pass,Host C,Host A,Destination,Protocol,Permit,Source,控制策略,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,企业内部网,屏蔽路由器,数据包,防火墙状态检测包过滤技术的基本原理,数据包,数据,3,TCP,报头,IP,报头,分组过滤判断信息,数据,2,TCP,报头,IP,报头,数据,1,TCP,报头,IP,报头,数据,1,TCP,报头,IP,报头,数据,状态检测,控制策略,数据包,数据包,查找对应的控制策略,拆开数据包,根据策略决定如何处理该数据包,企业内部网,屏蔽路由器,数据包,防火墙应用层代理技术的基本原理,数据包,数据,TCP,报头,IP,报头,分组过滤判断信息,应用代理判断信息,控制策略,防火墙的用途,控制对网点的访问和封锁网点信息的泄露,能限制被保护子网的泄露,具有审计作用,能强制安全策略,防火墙不能防备病毒,防火墙对不通过它的连接无能为力,防火墙不能防备内部人员的攻击,限制有用的网络服务,防火墙不能防止防火墙的攻击,防火墙的弱点,电力行业防火墙的部署,防火墙产品可以部署在安全区,I,与安全区,II,之间(横向),实现两个区域的逻辑隔离、报文过滤、访问控制等功能。对于调度数据专网条件不完善的地方,还需要考虑在调度数据接入处部署(纵向),以保证本地调度系统的安全。,防火墙安全策略主要是基于业务流量的,IP,地址、协议、应用端口号、以及方向的报文过滤。,防火墙产品的选型因素,网络结构适应性,边界出口链路的带宽、数量的要求,安全级别的不同对于设立多网段的要求,应用系统适应性,对特定应用的支持功能和性能,对应用层信息过滤的要求,对应用系统是否具有负载均衡能力,关键的性能指标,吞吐量、丢包率、延迟、背靠背、最大并发连接数、每秒新建立连接数,可靠性、可用性和易用性,冗余能力,集中控管,作用,安全域之间的有效隔离,严格的访问控制,入侵检测系统的概念,防火墙不能彻底消除网络入侵的威胁;,入侵检测系统,(IDS,:,Intrusion detection system),用于监控网络和计算机系统被入侵或滥用的征兆;,IDS,系统以后台进程的形式运行,发现可疑情况,立即通知有关人员;,IDS,是监控和识别攻击的标准解决方案,是安防体系的重要组成部分;,假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。,监控室,=,控制中心,后门,保安,=,防火墙,摄像机,=,探测引擎,Card Key,形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是,X,光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。,入侵检测系统图示说明,入侵检测系统的主要类型,主机入侵检测系统,Host Intrusion Detection,网络入侵检测系统,Network Intrusion Detection,网络入侵检测系统的概念,NIDS,(,Network,Intrusion Detection System,)网络入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。,网络入侵检测技术是动态安全技术的最核心技术之一。,入侵检测系统的作用,实时检测,实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文,安全审计,对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态,找出所需要的证据,主动响应,主动切断连接或与防火墙联动,调用其他程序处理,网络入侵检测系统的工作原理,1,、捕获数据包,2,、分析数据包,3,、检测、匹配数据包,4,、响应,网络入侵检测系统与防火墙,1,、所在的位置不同,2,、防范的方向不同,3,、检测的细粒度不同,所在的位置不同,防火墙是安装在网关上,将可信任区域和非可信任区域分开,对进出网络的数据包进行检测,实现访问控制。一个网段只需要部署一个防火墙。,而,NIDS,是可以装在局域网内的任何机器上,一个网段内可以装上数台,NIDS,引擎,由一个总控中心来控制。,防范的方向不同,防火墙主要是实现对外部网络和内部网络通讯的访问控制,防止外部网络对内部网络的可能存在的攻击。,网络入侵检测系统被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护,防止内外部的恶意攻击和网络资源滥用。,检测的细粒度不同,防火墙为了实现快速的网络包转换,故只能对网络包的,IP,和端口进行一些防黑检测,比如端口扫描。,可是对通过,IIS,漏洞及,Nimda,病毒之类的网络入侵,防火墙是毫无办法。,而网络入侵检测系统则可以拥有更多特征的入侵数据特征库,可以对整个网络包进行检查过滤。,入侵检测系统与防火墙图示说明,Firewall,Internet,Servers,DMZ,IDS Agent,Intranet,监控中心,router,攻击者,发现攻击,发现攻击,发现攻击,报警,报警,IDS Agent,防火墙与,NIDS,联动,时间,Dt-,检测时间,Pt-,防护时间,Rt-,响应时间,Pt-,防护时间,+,多样的入侵响应方式,报警信息,自定义命令,喇叭,打印机,邮件,防火墙阻断,XML,文件,TCP,截断,典型部署企业内部安装,Intranet,IDS Agent,IDS Agent,Firewall,Internet,Servers,DMZ,IDS Agent,监控中心,router,典型部署广域网应用,Internet,监控中心(辅),IDS Agent,IDS Agent,IDS Agent,IDS Agent,IDS Agent,IDS Agent,监控中心(主),电力行业入侵检测,IDS,的部署,IDS,系统的主要功能包括:实时检测入侵行为,事后安全审计,对于安全区,I,与,II,,建议统一部署一套,IDS,管理系统。考虑到调度业务的可靠性,采用基于网络的入侵检测系统(,NIDS,),其,IDS,探头主要部署在:,安全区,I,与,II,的边界点、,SPDnet,的接入点、以及安全区,I,与,II,内的关键应用网段。其主要的功能用于捕获网络异常行为,分析潜在风险,以及安全审计。,对于安全区,III,,禁止使用安全区,I,与,II,的,IDS,,建议与安全区,IV,的,IDS,系统统一规划部署。,如何更有效防御攻击?,入侵保护系统,IPS,入侵检测系统,IDS,IDS,IPS,传统的安全技术,网络访问控制,不能有效检测并阻断夹杂在正常流量中的恶意攻击代码,无法发现内部网络中的攻击行为,防火墙的局限,入侵检测系统的不足,检测恶意流量,发现攻击行为,旁路部署,无法有效阻断攻击,亡羊补牢,侧重安全状态监控,网络入侵保护系统,IPS,解决什么问题?,攻击防护,防御黑客攻击,防御蠕虫、网络病毒,防御拒绝服务攻击,防御间谍软件,管理控制,控制,IM,即时通讯,控制,P2P,下载,控制网络在线游戏,控制在线视频,IPS,与,IDS,的不同:实时的保护,!,!,!,!,!,!,IDS/IPS,混合防护方案,目标客户,分层防护,监控与防护相结合,更完善,在线,NIPS,模式、旁路,NIDS,模式相配合,IDS,旁路部署,无法阻断攻击,亡羊补牢,侧重安全状态监控,注重安全审计,IPS,在线部署,精确检测出恶意攻击流量;主动防御、实时有效的阻断攻击;侧重访问控制,注重主动防御,设计要点,入侵检测,/,保护产品的选型因素,攻击分析技术的要求,新一代检测,/,防护技术的应用(协议识别、协议异常检测、攻击结果判定、拒绝服务检测等),攻击检测,/,防护覆盖面要求,支持协议、攻击种类、新增规则、新增攻击检测类型,检测类型和数目,分析检测及时性要求,规则至少应该保持每周一次的常规升级和随时的针对严重攻击的紧急升级,大数据量网络的要求,基于硬件优化的线速入侵检测和防护,可靠性、可用性及易用性,作用,识别、检测,/,阻断攻击,祢补防火墙的不足,对于上层应用协议的深层检测及解码分析,针对难以防范的拒绝服务攻击,1999,年,Yahoo,、,ebay,被拒绝服务攻击,,DDoS,出现,2001,年,CERT,被拒绝服务攻击,2002,年,CNNIC,被拒绝服务攻击,2002,年 全球,13,台根,DNS,中有,8,台被大规模拒绝服务,2002,年,两省高考网上查分系统遭受拒绝服务攻击,无法完成网上招生工作,DDoS,攻击的特点,危害巨大,两台位于宽带网上的普通服务器就可以使目标瘫痪,极易实施,简单的设备,广为传播的免费工具软件,难于防范,甚至防火墙都经常成为被攻击目标,难于追查,需要电信级部门的紧密配合才有可能进行追查,智能化,IP,欺骗技术,抗拒绝服务系统实现的效果,SYN Flood,UDP Flood,ACK Flood,DNS Flood,HTTP Get,连接耗尽,其他,DDoS,抗拒绝服务系统,使拒绝服务攻击流不再对服务器造成威胁,保证访问速度,保证访问成功率,不全面的防御导致被攻击,SYN Flood,DNS Flood,连接耗尽,HTTP Get,SYN Flood,DNS Flood,连接耗尽,HTTP Get,全面与否,决定成败,我没发过请求,DDoS,攻击介绍,SYN Flood,SYN_RECV,状态,半开连接队列,遍历,消耗,CPU,和内存,SYN|ACK,重试,SYN Timeout,:,30,秒,2,分钟,无暇理睬正常的连接请求,拒绝服务,SYN,(我可以连接吗?),ACK,(可以),/SYN,(请确认!),攻击者,受害者,伪造地址进行,SYN,请求,为何还没回应,就是让你白等,不能建立正常的连接!,SYN Flood,攻击原理,攻击现象,方便的串联部署,应用场景,部署特色,采用,Collapsar-D,型的设备,零安装,零配置,即插即用,网络隐身,无,IP,地址配置,少量服务器,小型网络,防火墙,Server Group,WAN,WAN,Router,COLLAPSAR-D,Switch,旁路部署拓扑图,Router,WAN,Collapsar,-,D,Collapsar,-,D,Router,Server Group,Server Group,Server Group,Collapsar,-,P,Collapsar,-,P,可支持对更大流量的拒绝服务攻击防御,完全解决单点故障,对原有网络结构影响小,抗拒绝服务产品的选型因素,提供内部业务系统或网站的,Internet,出口,免遭到,DDoS,攻击。,该防护措施使得网站不用购买额外的带宽或是设备,节省了大量重复投资,为客户带来了更好的投资回报率。,DDoS,防护不仅仅可以避免业务损失,还能够作为一种增值服务提供给最终用户,带来了新的利润增长点,也增强了其行业竞争能力。,作用,抵御拒绝服务攻击种类,SYN Flood,、,UDP Flood/UDP DNS Query Flood,、,(M)Stream Flood,、,ICMP Flood,、,HTTP Get Flood,、连接耗尽,攻击防护的及时性要求,本地技术支持的能力,随时的针对严重攻击的紧急升级,大数据量网络的性能要求,基于专用芯片的硬件架构,背景流和攻击流的集群分流,成熟度和稳定程度,灵活的部署模式,选型建议,“,未雨绸缪,”,的漏洞管理,操作系统和应用漏洞能够直接威胁数据的完整性和机密性,流行蠕虫的传播通常也依赖与严重的安全漏洞,黑客的主动攻击往往离不开对漏洞的利用,99%of security breaches target known vulnerabilities for which there are existing countermeasures.,CERT Coordination Center,事实证明,,99%,以上攻击都是利用已公布并有修补措施、但用户未修补的漏洞。,对安全漏洞,“,未雨绸缪,”,的管理胜于,“,亡羊补牢,”,的修补,漏洞扫描技术,检测远程或本地系统安全脆弱性的一种安全技术,远程探测系统漏洞,远程扫描原理,漏洞管理中的问题,有新漏洞发布吗?,如何有效管理已经发现的漏洞?,检查起来,太麻烦了,没空,怎么去查啊?,漏洞是动态有生命的,漏洞生命周期,漏洞扫描器的效果,提高系统健壮性,杜绝蠕虫、病毒传播和破坏,有效降低攻击的破坏程度,减少管理员工作量,典型应用方式之一,平坦式部署,典型应用方式之二,分布式部署,漏洞扫描产品的选型因素,漏洞扫描技术,漏洞管理的思想,应用级漏洞的深入探测,漏洞知识库,检测最新漏洞数量,定期更新速度,部署方式,软件、硬件,分布、分级,扫描速度,报表输出和解决方案描述,易用性,自动化,向导性,本地化,作用,自动化的定期脆弱性检测,降低管理员负担,方便安全管理者跟踪、记录和验证脆弱性评估的成效,把问题的重要性和优先级进行分类,内网安全管理系统作用,内网安全管理系统,终端保护,行为管理,桌面管理,网络接入控制,入侵保护,/,防火墙,病毒库同步,资产管理,补丁管理,配置强制,应用监控,非法外联监控,BT,、,P2P,过滤,阻止各种内网攻击 防止商业机密泄漏,灵活内网资产管理 提高网络资源使用效率,内网安全管理系统部署,主动防御,/,自动修复技术,基于主机入侵防御保护技术,发现并且阻断攻击行为;,基于补丁与病毒库自动升级技术,修复系统存在的安全漏洞;,采用网络准入控制技术,强制隔离不符合安全策略的设备的接入。,智能化内网管理,/,行为监控,资产自动收集技术发现各类资产变更,避免资产流失;,配置强制技术,防止内网资源误用与滥用的发生。,部署模式,Highlights,终端管理产品的选型因素,作用,统一策略制定与下发,补丁、软件、防病毒库的统一下发能力,终端的安全防护,(生产)终端的行为监控,需求侧重在哪个方面,资产管理、软件分发,配置强制,终端安全基线检测,基于区域的策略准入,基于终端的防火墙和入侵检测,应用监控,非法外联监控、非法应用流过滤,关注不同产品的核心技术优势是否与自身需求匹配,桌面管理,终端保护,行为管理,产品稳定性及售后服务能力,计算机病毒的概念,计算机病毒是指一段具有自我复制和传播功能的计算机代码,这段代码通常能影响计算机的正常运行,甚至破坏计算机功能和毁坏数据。,网络病毒的危害,破坏性强,传播性强,针对性强,扩散面广,传染方式多,病毒,网络攻击的有效载体,网络病毒同黑客攻击技术的融合为网络带来了新的威胁。攻击者可以用病毒作为网络攻击的有效载体,呈几何级地扩大破坏能力。,网络攻击的程序可以通过病毒经由多种渠道广泛传播,攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查,病毒的潜伏性和可触发性使网络攻击防不胜防,许多病毒程序可以直接发起网络攻击,植入攻击对象内部的病毒与外部攻击里应外合,破坏目标系统,病毒,网络攻击的有效载体,网络的新威胁,病毒,+,网络攻击,电力行业防病毒的部署,病毒防护是调度系统与网络必须的安全措施。建议病毒的防护应该覆盖所有安全区,I,、,II,、,III,的主机与工作站。病毒特征码要求必须以离线的方式及时更新。,防病毒产品的选型因素,关注对病毒的监控深度,关注产品研发队伍水平,不片面追求产品查毒的绝对数量,关注防毒产品的稳定、实用和高效性,不片面追求产品升级的绝对时间间隔,关注防毒产品的网络管理功能,尤其针对大规模部署的客户群,关注防毒产品的售后服务,作用,服务器、终端、邮件、网关防毒,集中控制分级管理:统一升级、策略的制定及统一下发,电力行业的主机防护,安全配置,通过合理地设置系统配置、服务、权限,减少安全弱点。禁止不必要的应用,作为调度业务系统的专用主机或者工作站,严格管理系统及应用软件的安装与使用。,安全补丁,通过及时更新系统安全补丁,消除系统内核漏洞与后门。,主机加固,安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用。,提纲,电力行业安全现状及风险分析,如何构建信息安全体系,安全防护产品简介及选型建议,安全风险评估介绍,绿盟科技公司简介,信息安全正确理念,信息安全不是目标,而是过程,信息安全的本质是风险管理,安全评估是风险管理的基础,安全监控是风险管理的核心,安全预警是风险管理的升华,应急响应是风险管理的基石,安全风险评估,宏观讲,安全风险评估是安全保障工作的前提,发现安全问题,提出解决方案,指导安全规划,完善安全体系,保障安全运行,具体讲,安全风险评估是安全体系搭建工作的基础,发现信息系统存在的脆弱性,识别可能会遭受的各种威胁,全面评估面临的安全风险,三种评估模式,检查评估,委托评估,安全风险评估,自评估,识别三种评估模式,检查评估,定义,由信息安全主管机关或业务主管机关发起,旨在依据已经颁布的法规或标准,检查被评估单位是否满足了这些法规或标准。这是通过行政手段加强信息安全的重要措施,优点,最具权威,缺点,通常间隔时间较长;一般是抽样进行;不能贯穿于一个部门的信息系统的生命周期的全过程,委托评估,定义,使用单位委托具有风险评估能力的专业评估机构(国家认可的安全评估企业)实施的评估活动,优点,拥有风险评估的专业人才;风险评估的经验比较丰富;对,IT,技术风险的特点了解得比较深入;评估过程较为规范,评估结果的客观性比较好,可信度比较高,缺点,评估费用可能会较高;可能会难以深入了解行业应用服务中的安全风险;容易发生因评估工作形成的信息保密性风险,自评估,定义,是信息系统拥有单位,依靠自身技术力量,对自有信息系统开展的风险评估活动,优点,有利于保密;有利于发挥行业和部门内人员的业务特长;有利于降低风险评估的费用;有利于提高本单位的风险评估能力与信息安全知识,缺点,没有统一的规范和要求;缺乏信息系统安全风险评估专业人才;存在单位内某些不利因素(人员、政策等)的干预;评估结果不客观,管理层不好接受,目前存在的问题,空口令、简单口令、默认口令设置、长期不更换。,点击进入危险的网站或链接。,接收查看危险的电子邮件附件。,系统默认安装,从不进行补丁升级。,拨号上网,给个人以及整个公司建立了后门。,启动了众多的不用的服务。,个人重要数据没有备份。,兼职的安全管理员,物理安全保护,基本的安全产品,简单的系统升级,机房安全管理制度,资产管理制度,超过,70%,的信息安全事件,如果事先加强管理,都可以得到避免,老生常谈,信息安全如何做,信息安全,资源投入,需要采用何种安全技术及投入多少资源取决于三个基本因素,:,市场运作要求及政策法律法规要求,实现安全保障所需要的资源投入,安全性提高后,所节省或保护的信息价值,一个好的信息安全保障体系不是要弥补所有安全缺陷或采用最先进的安全技术,风险避免,风险降低,风险转移,风险接受,安全性,风险性,安全需求,高,高,低,安全风险,支出平衡点,风险管理,=,信息安全服务,+,信息安全管理,什么是信息安全,RISK,RISK,RISK,RISK,RISK,RISK,风险的构成,风险的降低,资产,威胁,脆弱性,资产,威胁,脆弱性,信息系统的风险管理,安全评估方法,3,、在线分析,评估主要方法,2,、勘察调研,6,、渗透测试,4,、安全扫描,5,、人工审计,7,、策略评估,1,、问卷访谈,各评估方法的具体内容,网络系统信息收集,网络拓扑,设备与链路冗余,ACL,、路由表、,VLAN,划分,网络流量与拥塞控制,网络接口,网络可用性,安全技术措施(部署情况),网络系统事故案例,1,数据收集,系统应用信息收集,漏洞情况,账号口令情况,安全策略配置,安全技术措施情况(,AV,、,SCANNER,、,SAS,、终端管理等),事故案例,业务应用信息收集,业务类型及用户,数据处理流程,数据安全管理,业务系统安全功能,业务事故案例,业务拓展状况,源代码,组织管理信息收集,安全组织,安全人员,安全策略,安全制度,资产管理,2,3,4,各评估方法的具体内容,数据采集,评估工具采集,-,定量,入侵检测,漏洞扫描,人工审计采集,-,定量,脚本提取,ACL,、路由表提取,问卷访谈采集,-,定性,领导主管层,技术管理层,最终用户层,1,2,3,4,勘察调研采集,-,定性,物理安全,环境安全,行为安全,安全评估服务,评估方法(技术),工具扫描,渗透测试,人工检查,采样分析,评估方法(管理),问卷调查,顾问访谈,文档审核,策略分析,安全加固服务,系统增强配置,补丁安装,口令帐户策略,服务与端口安全,增强日志审计能力,增强远程管理安全,改变维护方式,修改登陆策略,重要系统将进入安全管理服务定期,保护,安全加固主要面向主流操作系统、应用系统、网络设备进行。,紧急响应服务,协助处理突发的紧急安全事件,最大限度的降低造成的损失和影响,成熟的紧急响应流程和预案,7X24,小时待命的应急响应团队,远程紧急响应:,1,小时内响应,电话网络、支持,每,8,小时反馈一次响应简报,本地紧急响应:,4,小时,+,路程时间,现场支持,协助中心运维人员进行处理,提供完整报告和事后一周的效果追踪服务,病毒事件响应,系统入侵事件响应,网络故障事件响应,拒绝服务攻击事件响应,紧急响应流程,提纲,电力行业安全现状及风险分析,如何构建信息安全体系,安全防护产品简介及选型建议,安全风险评估介绍,绿盟科技公司简介,公司概况,总部与研发中心:北京,分公司:广州上海 沈阳 成都,办事处,华南区:深圳 长沙 福州 南宁 海口,华东区:南京 杭州 南昌,东北区:长春 哈尔滨,西南区:重庆 昆明 贵阳,西北区:西安 兰州 乌鲁木齐,华中区:济南 武汉,成立于,2000,年,4,月,是中国首家专业安全服务公司。,2006,年,员工,300,余人,建立了,22,个分支机构。,客户涵盖电信、移动、金融、政府、能源、企业等多个行业和全国除港澳台外的全部省市。,参与了多项国内安全标准的制定,承担了多项国家安全研究课题的工作
展开阅读全文