安全信息培训课.pptVIP

一、数据库审计结构说明 原始信息收集 标准化审计信息 审计信息筛选 预警和报表 通过采集数据库流量进行解析还原，再通过规则和报表等分析手段，发现数据库的违规行为。 1、信息收集方式 大型数据中心解决方案： 采用分布式部署，根据业务系统、机房位置、流量等合理部署采集器； 通过管理中心进行集中管理，规则和配置统一分发，统一生产报表等； 旁路部署模式 无需更改现有网络 无需修改应用配置 无需在数据库服务器上安装软件，不影响数据库服务器性能 1、信息收集方式 ORACLE 8 SQLserver 2 1、信息收集方式 定期自动发现数据库，防止漏审 2、审计记录详情 3、审计信息筛选 5W1H审计分析模型 5W1H对象 包含信息 Who 行为执行者用户名、操作系统名等 When 行为发生的时间或时间段 Where 行为发生地点，包括IP 地址、网段、地域 What 行为操作对象、内容、返回结果 Why 行为操作凭据 How 所执行的行为操作，包括登录、认证与访问、帐号与授权、系统与业务操作（增加、删除、修改、查询）等 3、审计信息筛选 支持丰富自定义审计规则 审计规则部署不再困难，部署时间从几个月缩短到几天！ 对象 Who When Where How+What 级别 帐号管理 角色管理 授权管理 非帐号管理员 —— —— 1.增、删用户 2.增、删用户组 3.角色权限调整 4.用户组权限调整 5.异地用户授权 高级 登录行为 生产帐号 —— 非生产网段 登录成功 高级 批量业务操作 授权用户 非授权用户 —— —— 批量数据变更 高级 重要资料访问 开发测试帐号 非上线时段 —— 研究数据、系统部署数据、分析报告等批量查询下载 中级 3、审计信息筛选 4、预警与报表 丰富的告警方式 - 邮件告警 - 短信告警 - Syslog SNMP FTP 1、以审计知现状 通过报表了解以下难题: 数据库到底有多少个帐号？ 帐号都是那些人使用? 每个帐号具体有什么权限? 数据库对外接口有多少个？ 有哪些人访问了我的系统？ 哪些违规行为发生？ 2、以审计促信息化管理 通过报表分析以下异常: 数据库帐号异常增删； 数据库权限异常调整； 管理员密码不定期修改； 管理员帐号复用； 应用系统帐号滥用； WEB应用安全和数据库安全的领航者 安全信息公共知识培训 WEB应用安全和数据库安全的领航者 安全信息公共知识培训 WEB应用安全和数据库安全的领航者 安全信息公共知识培训 WEB应用安全和数据库安全的领航者 安全信息公共知识培训 培训题纲 * 今天网络安全了吗？ 严峻 形势越来越严重 国家互联网应急响应中心 一度引起中央电视台等媒体重点关注 引起国家司法机构大力整冶 目的越来越利益 从网站涂鸭到政府黑站 从盗游戏币到发职业资格证 网银大盗与网马频发 队伍越来越壮大 地下黑客利益链 门槛越来越底 黑站工具随手可得 网站漏洞随处可见 黑客培训基地层出不穷 * WEB入侵如入无人之境 2010年5月 当当网 网易邮箱 * 2010年7月的灾难 * 入侵手法日趋自动化 入侵、黑客不再是高深莫测 网站入侵2分钟学习 市属79个网站被一次批量SQL注入，全被挂马、内容面目全非 * WEB应用的管理日益复杂 访问量管理 重点业务关注度、业务峰值趋势走向、故事处理追塑 业务访问审计 访问对象管理 您是否是盗链的受害者？ 服务器访问全天候居高不下？ 某证券公司adobe事件 * 入侵流程简介 预攻击 收集信息 扫描与搜索技术 获取IP域名 服务器类型 WEB平台 网页脚本 端口服务 拓扑与漏洞 攻击 进行攻击 获得一定权限 获得远程权限 进入远程系统 提升本地权限 实值性操作 后攻击 清除痕迹 长期维持一定权限 删除日志 修补明显漏洞 植入木马 进入潜伏状态 * 原因之传统防护无能为力 70% 30% 70% 30% 投入的重点 安全重灾区 * 原因之安全意识与配置 方便管理的后门 未经修改的默认配置 不安全的网络环境 FTP 远程桌面 隐藏的管理页面 ARP欺骗 内网病毒 服务器跳板 不可控的虚拟主机 IIS示例文夹 Internet账户权限 数据账户权限 * 原因之安全运维与管理 简单的身份认证 不安全的程序移植 缺少相应的审核规范 90%的网站管理后台与网站一起对外发布 如/admin/ /system/ /systemadmin/ 50%仅用户名+口令身份认证 40%的验证码过于简单可轻易破解 内容发布审核规范（王石门） 官方留言板、论坛审核流程 来自运维人员开发人员的内鬼 免费的日志分析软件、内容管理软件 如WebEditor 配置不当威胁重重 未经