安全审计技术培训.ppt

;;重要资产的安全状况无法监控;当前面临的挑战;当前面临的挑战;;;;;;设备审计：对网络设备、安全设备等各种设备的操作和行为进行审计；

主机审计：审计针对主机（服务器）的各种操作和行为；

终端审计：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计；

网络审计：对网络中各种访问、操作的审计，例如telnet操作、FTP操作、文件共享操作，等等；

数据库审计：对数据库行为和操作、甚至操作的内容进行审计；

业务系统审计：对业务IT支撑系统的操作、行为、内容的审计；

用户行为审计：对企业和组织的人进行审计，包括上网行为审计、运维操作审计;;异构设备和系统的日志信息采集

事件归一化

事件关联分析

海量事件存储

全局安全态势监控

安全响应;;异构事件采集;;;安全事件关联分析——外部入侵示例;安全事件关联分析——内部违规示例;安全态势监控：信息可视化;应急响应;;;;终端节点接入控制

外设管理

资产管理

桌面风险管理

节点访问控制

终端远程协助

移动存储介质管理

补丁更新管理

.........;;红外设备：允许/禁止两种方式。

蓝牙设备：允许/禁止两种方式。

调制解调器：允许/禁止两种方式。

USB存储设备：允许/禁止两种方式。

软驱：允许/禁止两种方式。

光驱：允许/禁止两种方式。

串口：允许/禁止两种方式。

并口：允许/禁止两种方式。

PCMCIA设备：允许/禁止两种方式。;;通过远程协助，管理人员可以响应远程终端计算机的协助请求，临时接管远程终端计算机，进行本地化操作。例如：开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。管理人员完成维护操作后，释放对终端计算机的接管。;通过移动介质交换的数据是密文，数据离开应用环境后不可用；

数据交换前必须通过正确的身份认证，包括密码认证或USBKEY等授权硬件的身份认证；

记录数据交换过程的工作日志，便于以后进行跟踪审计；

未经授权的移动介质，在工作环境中不可用，只有经过企业授权的移动介质才能进入到企业的办公环境；

工作配发的移动介质带出办公环境后变为不可用。;;漏洞扫描

基线配置扫描

WEB安全审???

多用于事前审计;;基于网络协议分析的安全审计;根据具体部署位置的不同，分为两个子类型

上网审计：部署在互联网出口处，审计用户使用互联网的行为

业务审计：部署在核心业务系统处，审计对核心业务系统的操作行为;网络协议分析——上网审计;;;案例：某移动公司的神州行充值卡盗用事件;案例：美国TJX公司信用卡信息泄漏事件;案例：交通违章信息内部违规篡改;;当前面临的挑战：刑法第七修正案;数据库审计

基于网络协议的主机审计

应用审计

流量审计

业务操作实时监控、过程回放;;数据库服务器

;操作行为;;进行数据操作实监控：对所有外部或是内部用户访问数据库和主机的各种操作行为、内容，进行实时监控;

对高危操作实时地阻断，干扰攻击或违规行为的执行;

进行安全预警：对入侵和违规行为进行预警和告警，并能够指导管理员进行应急响应处理;

进行事后调查取证：对于所有行为能够进行事后查询、取证、调查分析，出具各种审计报表报告。

协助责任认定、事态评估：系统不光能够记录和定位谁、在什么时候、通过什么方式对数据库进行了什么操作，还能记录操作的结果以及评估可能的危害程度。

;;;;通过具体的需求分解，确定要审计哪些对象，每种对象要审计哪些内容

设备审计

主机审计

终端审计

网络审计

数据库审计

业务系统审计

用户行为审计

;设备审计;;安全审计的发展趋势;安全审计发展趋势：统一安全审计;Internet;统一安全审计：第一步——基础平台和日志审计;统一安全审计：第二步——网络行为审计;统一安全审计：第三步——终端审计;统一安全审计：一体化审计;;用户需求催生全面安全管理体系;基础设施层;;;