思科信息安全管理中心介绍ciscomarspresale.ppt

思科信息安全管理中心 信息安全管理体系结构 各管理阶段的目标和任务 传统安全信息管理的模式 传统安全信息管理的问题 问题 对实时安全信息不了解，无法及时发出预警信息 事件发生后，无法确诊网络故障的原因或感染源/攻击源，网络业务恢复时间长 对某些特定安全事件没有适合的方法，如DDoS攻击 统一的实时安全信息管理 安全信息管理技术的发展进程 安全管理中心功能构成 事件发生器 收集模块 存储模块 分析模块 响应模块 思科CS-MARS 安全信息主动响应系统 网络智能感知 网络拓扑，流量 设备配置/加强 事件关联 关联，减少，归类 安全事件验证 安全控制 缓解，控制，消除 数据处理 嵌入式Oracle? 全部存储 丰富的报告文档 40:1 数据压缩 端到端的网络拓扑感知能力 Gain Network Intelligence Topology, traffic flow, device configuration, and enforcement devices 基于拓扑识别，增强安全控管 利用网络拓扑发现同一个进程的不同事件和流程 MARS采用专利算法，利用拓扑知识和设备配置信息，将不同设备产生事件关联到同一个进程，创造出整个攻击环境 利用网络拓扑减少误报 识别同一个进程的事件，分析攻击从源到目的地的拓扑路径，发现某个攻击是否的确到达了预定的目的地 利用网络拓扑发现最理想的防御点 通过分析从攻击者到预定目的地的路径，将距离攻击者最近的设备定为最理想的防御点 利用网络拓扑发现攻击路径和网络热点 利用网络拓扑提高证据分析能力 通过识别NAT地址解析和攻击者MAC地址提供大大增强的证据分析能力。 Events, Sessions, Incidents 集成自动漏洞扫描工具实现攻击的验证 CISCO 安全监控响应系统测试拓扑图 总体报告和最新严重安全网络事件 攻击指示图和网络事件趋势报告 ICON Netflow 通信端口流量报告和误报报告 直观的图形化攻击报告 攻击类型，次数和每次攻击的信息 攻击发起方的信息 严重安全事件的报告 安全事件的详细报告 图形化的攻击路径报告 只显示和攻击相关的攻击路径( 二层) 推荐的防御方式一关闭连接攻击者的交换机端口 推荐的防御方式二部署访问控制列表阻断攻击，维持正常业务 成功地完成防御 在第三方设备上的支持能力 思科 CS-MARS 提供广泛的设备支持 网络 Cisco IOS 11.x 和 12.x, Catalyst OS 6.x NetFlow v5/v7 NAC ACS 3.x Extreme Extremeware 6.x 防火墙/VPN Cisco PIX 7.x, IOS Firewall, FWSM 1.x 2.2, VPN Concentrator 4.x, Cisco ASA CheckPoint Firewall-1 NG FPx, VPN-1 NetScreen Firewall 4.x, 5.x Nokia Firewall IDS Cisco NIDS 3.x 4.x, 5.x, IDSM 3.x, 4.x, 5.x Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0 Snort NIDS 2.x McAfee Intrushield NIDS 1.x NetScreen IDP 2.x Symantec ManHunt 3.x 漏洞评估 eEye REM 1.x Foundstone FoundScan 3.x 主机安全 Cisco Security Agent (CSA) 4.x McAfee Entercept 2.5, 4.x ISS RealSecure Host Sensor 6.5, 7.0 Symantec AnitVirus 9.x 主机记录 Windows NT, 2000, 2003 (有代理和无代理) Solaris Linux 系统记录 通用设备支持 应用 Web 服务器 (IIS, iPlanet, Apache) Oracle 9i, 10i 数据库审查记录 Network Appliance NetCache MARS 的分布式部署模式 多个MARS 本地控制器（ LC）可以向一个MARS 全局控制器（ GC）发送事件和告警，以及控制信号。分散处理，集中控制。 CS-MARS完整的产品线 安装简单（10分种） 不需要Java！ 服务器侧的脚本文件完成！ Raid 1+0 – 无DBA 已经包括软硬件平台和Oracle 数据库 分布式威胁防御系统 CS-MARS 的高明之处 谢谢 4 RU 4 RU