关于内网安全应急响应管理的技术探讨.docxVIP

PAGE 1 PAGE 1 关于内网安全应急响应管理的技术探讨 应急事件处理的一般阶段包括：预备、检测、封锁、根除、恢复、跟踪六个阶段。 第一阶段“预备”(Preparation)，以预防为主；第二阶段“检测”(Detection)，确定事件性质和处理人；第三阶段“封锁”(Containment)，即时采取的行动；第四阶段“根除”(Eradication)，长期的补救措施；第五阶段“恢复”(Recovery)、，由备份恢复系统；第六阶段“跟踪”(Follow-up)，关注系统恢复以后的安全状况。 从上述定义的技术层面分析，除“封锁”阶段外，其他各阶段涉及的技术主要以检测、防护和恢复为主，目前市场上并不缺乏此类技术，所以问题的关键就在于“封锁”阶段，即如何快速实现问题源的定位和隔离，这是降低安全损失的关键所在，“封锁”阶段所花费的时间越长，损失可能越大，“时间就是金钱”用在这里很贴切。这个道理就像是我们在应付传染病的方式一样，只有快速的找到传染源和受感染者，并对其进行有效隔离，才是掌握传染病的关键所在，这个阶段持续的时间越短越好，至于以后的治疗、康复和随后的医学观看，时间可以持续的长一些。所以内网应急响应管理的关键就在于事件源的快速隔离掌握上。 2、内网安全应急响应能力亟需提高  传统的内网安全防护体系：对外以边界防护为主，对内以网络防病毒为主；其中网络边界防护又多以防火墙为主，IPS/IDS和防病毒网关为辅，内部防护主要由网络防病毒系统担当。目前多数用户已在网络和应用系统保护方面采取了安全措施，如每个网络，应用系统分别部署了防火墙、访问掌握设备等安全产品；同时实现了区域性的集中防病毒，实现了病毒库的升级和防病毒客户端的监控和管理。  经过上述安全防护体系的防护和过滤，基本上能够阻断70％以上的外部攻击，同时能够对内部的病毒供应相对准时的检测和预警，但是现有安全体系最大的不足就是对内防护不足，属于典型被动防护，缺乏快速应急响应能力，主要表现在：  现有的以边界防护为主的技术体系是以网络边界和内部重要设备的安全防护为主，对网络内部引发安全隐患的网络节点(如内部Pc主机)的安全防护与管理不足，最新统计结果显示，80％以上=的安全事故源于终端，仅仅依靠网络防病毒是不够的，更无法供应针对内部网络节点行之有效的快速响应掌握能力；  现有安全防护体系在网络中的体现仍是安全孤岛，彼此之间缺乏联动互通。国内外某些大的安全产品供应商针对此间题，相继推出了自己的联动协议，基于此协议可以基本实现自身安全产品之间的联动互通，但因为这些联动协议本身的局限性以及其他原因而很难得到其它网络安全产品供应商的广泛支持，无法形成整体网络安全系统的联动，供应切实可行的应急响应掌握能力，更无法应对日益高级的复合型威逼攻击。  3、现有内网安全应急响应解决方案的不足  国内外的安全厂商，在意识到传统安全防护体系的不足后，纷纷推出了自己的内网安全管理总体解决方案，包括部分应急响应管理，归纳起来可以分为两大类：以端点为核心的综合安全管理解决方案和以SOC为核心的运维管理解决方案。  以端点为核心的解决方案，其最显著的—个特征就是需要在每个要管理的终端桌面上安装客户端代理程序，由统一的策略服务器实现对客户端代理的集中管理，依据客户端代理的功能侧重不同，又可以细分为网络接人管理(NAC、NAP、UAC等)、防泄密管理(防水墙、移动介质管理等)以及端点的综合安全管理。  SOC(SecurityOperationCenter)安全运营中心，是描述“对安全事件(SecurityIncident)供应检测和响应服务的全部平台”通用术语，SOC基于获取的海量安全事件，通过集中过滤、事件关联分析，分析整个系统的安全状态和安全趋势，对危害严重的安全事件准时做出反应，实现对风险的有效掌握，目前主要安全厂商间续推出了SOC解决方案。SOC的核心是安全事件检测和应急响应，供应快速应急响应能力是SOC的根本目标，全部功能模块均服务于该目标。  上述两种方案在应急响应管理上，SOC更专业、更有针对性，但在实际的实施过程中，这两种方案却是各有利弊。  以端点为核心的解决方案，前提是每个终端上都需要安装代理程序，其优点在于掌握能力有保证，可以依据策略要求实现敏捷的响应掌握，掌握手段多样且有效；其弱点同样也很明显，一方面是实施和维护工作量大，对没有安装代理程序的终端，其响应掌握就力不从心了。针对未安装客户端代理的响应掌握，目前最常用的技术手段就是ARP哄骗阻断技术，作为802．1X接入掌握的补充技术手段，通过ARP哄骗的可以实现对网络内非法主机的“软”阻断，阻断时间与ARP攻击的持续时间有