网络安全维护的必备工具

Secview SOC

网络安全维护的必备工具

一、网络安全现状

1、

大部分的网络如图组成：

网络设备、安全设备、服务器、应用系统、数据库、环境监控

虽然用户购买了FIREWALL、NIDS、防病毒系统等安全设备但是还是有大量的安全隐患存在和安全发生事件：

1． 安全事件不能及时准确发现

 海量事件（海量的安全事件充斥着大量不可靠的信息，从而变的毫无价值。网络设备、安全设备、系统都会不可避免的产生对网络不会造成影响的无效事件，有的设备事件报警一天可以上万甚至几十万，人工解析已经变得不可能）

 误报问题（典型的如NIDS、IPS）

 漏报问题（如未知病毒、未知网络攻击、未知系统攻击）

 漏报另一大原因：缺乏重要服务器、网络设备的安全日志实时解析（NIDS虽然能够防御网络攻击，但是黑客利用对服务器、网络设备系统漏洞却一筹莫展，这就要求对重要的服务器、网络设备除了做好安全加固外，还需要实时对系统安全日志做解析监控，当非法用户或超级权限用户探测系统

信息的时候，就会在安全日志里迅速地记下服务器、网络设备被探测时所用的用的IP、时间、探测所用的用户名和密码等等，一旦管理员发现此事件可以及时采取措施;;对于安全设备如firewall每天产生大量日志,里面有黑客预攻击或者扫描的记录,由此可见实时日志审计的重要性。但是每台服务器或网络设备每天产生的日志可能有上千条甚至几十万条，这样人工地对多个安全系统的大量日志进行实时审计、解析流于形式。）

2． 安全事件不能准确定位

事件孤立相互之间无法形成很好的集成关联，给系统管理员提供的控制台各种各样，一个事件的出现不能关联到真实问题。（如NIDS事件报警，关联同一时间防火墙报警、被攻击的服务器安全日志报警等，从而了解是真实报警还是误报；

如未知病毒的攻击，分为2类网络病毒、主机病毒，网络病毒大都表现为流量异常，主机病毒大都的表现CPU异常、MEM异常、DISK空间异常、文件的属性和大小改变等，要发现这个问题，需要关联流量监控（网络病毒）、关联服务器运行状态监控（主机病毒）、关联完整性检测（主机病毒）来发现，为了大规模在网络内爆发前，必须快速发现问题在中毒机器源头切断； 如发现网络流量异常，超过正常阀值，那么在网络设备的端口出会报警，在这个情况并不能确定问题原因，需要通过事件关联，发现网络设备所在上级和下级网络设备是否报警，首先能够确定网络流量异常所在位置，然后根据所在的Sniffer、NDIS、日志解析系统是否发现安全报警，如果存在说明是未知网络攻击行为或者是未知网络病毒； 如果没有那么可能是正常量增大造成的。如服务器的宕机，可能是安全事件遭病毒感染，DDOS攻击，可能是服务器健康CPU超负荷，端口某服务流量太大，访问量太大等，必须将多种因素结合起来才能更好解析，快速知道真实问题点及时恢复正常。……）

3． 没法做集中的事件自动统计

无法自动了解某台服务器的安全情况报表，所有机房发生攻击事件的频率报表；网络中利用次数最多的攻击方式报表；发生攻击事件的网段报表；服务器性能利用率最低的服务器列表等等。需要管理员人为去对这些事情做统计记录，生成报告，耗费大量人力。

4． 没有有效的事件处理查询

没有对事件处理的整个过程作跟踪记录，信息部门主管不了解哪些管理员对该事件作了处理，处理结果过程没有做记录，处理得知识经验不能得到共享，导致下次再发生同类事件时，处理效率的低下。

5． 缺乏专业的安全技能

管理员发现问题后，因为安全知识的不足导致事件迟迟不能被处理，影响网络的安全性、延误网络的正常使用。

二、SECVIEW能够解决的问题

自网络和互联网技术和使用被广泛的运行以来，暴露出较多的安全隐患和因为内部员工的误操作或恶意破坏造成的严重损失。为了预防和降低安全和系统故障对用户造成的危害，由信息中心对所属的业务进行集中式的监控维护，并对安全产品实现集中监控，建立统一的网络安全监控和响应中心，对安全事故做到防患于未然、及时发现、及时处理解决和追踪危害来源。

对需要保护的用户进行安全意外、系统故障和非正常宕机现象进行事前的预警、事中的紧急处理和事后的问题解析和总结。

SECVIEW集中监控平台的主要核心不仅仅是产品本身，更重要的是建立一个一级监控、二级维护的体系。

1、 劳动力节省，提高维护效率

用户只需要在一个平台上就可以了解网络中重要资产，网络设备、服务器和应用服务、数据库的运行状况中和发生的安全事件，每个设备产生的大量的安全事件，而造成的海量事件，通过SECVIEW筛选过滤器，可以将大量无效信息过滤，将真实报警展现给用户。简化了 网络安全维护。

2、 弥补安全的不足，提高整体安全性

 弥补不足：通过SECVIEW日志解析系统，对系统、设备安全做实时监控，有效提高了重要服务器、设备的安全。

 误报：通过SECVIEW关联解析有效降低NIDS的误报问题

 漏报问题：通过SECVIEW的网络监控和服务器性能监控、流量监控、日志解析等来有效弥补其他安全产品NIDS对未知攻击、防病毒系统未知病毒的无效，管理员可以及时发现和隔离的未知攻击源、抑制病毒大规模暴发的有效补充

 事件关联：通过SECVIEW事件关联来及时发现和判断事件的真伪性，及时发现到底是什么问题造成的这些报警，有效防止事态扩大造成的损失，用户可以轻松从事件源头解决问题。

 安全知识库：SECVIEW内置了7128条安全知识库来帮助用户解决遇到的安全问题和安全漏洞。

 安全经验库：SECVIEW提供用户处理事件的经验库，当再次出现相同的故障和报警，能够自动从经验库调出相关的处理方法指导用户按步骤解决问题。

3、 日志解析审计

将受管网络中重要的网络设备、安全设备、操作系统安全事件源的安全日志、安全事件集中收集管理，实现日志的集中、审计、解析与报告。同时，通过集中的解析审计，发现潜在的攻击征兆和安全发展趋势，并达到实时故障检测的目的。实时故障检测包括按照安全策略进行的网络服务故障实时自动化检测，以及派生而来的网络故障检测。

4、 报表自动生成

SECVIEW可以获得不同的报表，报表生成是非常灵活和自由，能够根据用户不同的要求生成不同的报表。如网络流量报表；服务器健康报表；某台服务器的安全情况报表；所有机房发生攻击事件的频率报表；利用次数最多的攻击方式报表；发生攻击事件的网段报表；服务器性能利用率最低的服务器列表等等。可以根据用户需要生成各种组合式报表，所有的报表都可以跨设备、跨网段、跨机房进行统一的处理。而且报表的生成方式也多样化有柱线图、饼图、曲线图等。

5、 事件处理查询

信息主管能够及时了解到这个事件有没有被处理？谁在什么时间发现了问题，通知了谁，对这个事件哪些人在什么时候作了什么处理？处理完成还是未完成？有效了解整个事件处理状况并将此处理方式作为经验知识库保存。

6、 为网络结构的调整或扩展提供有效数据

通过SECVIEW对网络设备、服务器的监控可以有效了解到哪些网络设备、服务器超负荷工作了，可以用实际记录数据向上申请扩容或调整结构。

7、 提高管理员的安全意识和安全技术

提高管理员的安全和网络技术，能够及时的发现和处理当前存在的网络和安全问题。围绕SECVIEW设计紧急响应处理文档和安全技术的解决方案，主要是针对IT管理员（包括系统管理员、安全管理员、数据库管理员、应用服务管理员、网络管理员的）如何正确安装、配置、使用和监控信息或计算机设备，提供规范的技术流程和技术实施手册。提高管理员的安全意识和安全技术水平。

《设计病毒紧急响应流程》

《系统故障紧急响应流程》

《恶意攻击紧急响应流程》

《系统管理员的响应手册》

《安全管理员的响应手册》

《网络管理员的响应手册》

提供的安全技术解决方案包括

➢ 各个相关操作系统的正确安装手册

➢ 各个相关操作系统的加固手册

➢ 各个相关的数据库加固手册

➢ 各个相关应用服务的安装和加固手册

➢ 网络设备的加固手册

➢ 防火墙及其他网络安全产品的配置策略

➢ 防病毒配置策略和使用规范

➢ 业务系统软件安全技术标准

➢ 拨号网络的安全设置

➢ 防止大型邮件风暴的处理技术

➢ 备份管理登记表

➢ 服务器日志检查表

➢ 紧急响应事故登记表

➢ 数据库访问登记表

➢ 网络配置变更登记表

➢ 信息资产登记表

➢ 用户权限分配表

➢ 用户账号登记表

➢ 资产维护登记表

8、 SECVIEW默认支持设备

CISCO Switch

CISCO Router

监测解析CISCO Switch SYSLOG /SNMP

监测解析CISCO Router SYSLOG/ SNMP

Logging on Stealth Interface 监测解析用户登陆日志。

IPFW

Apache Web Server

NetFilter

IPChains / IPTables

CiscoVPN Concentrator

Cisco PIX

Enterasys Dragon Sensor

Entercept IDS

Intrusion

监测解析IPFW日志。

监测解析Apache Web Server日志

监测解析NetFilter日志。

监测解析IPChains / IPTables日志。

监测解析CiscoVPN日志。

监测解析Cisco PIX日志。

监测解析SNMP

监测解析SNMP

监测解析SNMP

ISS RealSecure

NFR

Snort

Sun Solaris

Axent

Manager

Axent ITA

Axent ITA Query

BSD Syslog

Cisco Access Point 35

Enterprise

监测解析SNMP

监测解析SNMP

监测解析SNMP

监测解析Sun Solaris日志

Security 监测解析Axent Enterprise Security Manager日志

监测解析Axent ITA日志

监测解析Axent ITA Query日志

监测解析BSD Syslog日志

监测解析SNMP

Cisco Access Server Accounting 监测解析Cisco Access Server Accounting

v3.0 v3.0日志

监测解析Cisco Access Server Audit v3.0日Cisco Access Server Audit v3.0

志

监测解析Cisco Access Server Failed v3.0Cisco Access Server Failed v3.0

日志

监测解析Cisco Access Server Passed v3.0Cisco Access Server Passed v3.0

日志

Cisco Access Server Accepts 监测解析Cisco Access Server Accepts v3.0v3.0

TripWire

Windows NT

Windows 2000

Unix

日志

监测解析TripWire日志

监测解析Windows NT日志

监测解析Windows 2000日志

监测解析Unix 日志

Linux

CyberGuard Firewall

Dragon

Entrust PKI/NTLogs

Gauntlet Firewall

HP Syslog

LDAP Server

Lucent Managed Firewall

Micro IIS 4.0

Micro Performance

Micro Proxy

Netegrity Siteminder

Netscape Proxy Access

Netscreen

Network

Gauntlet

Network Ice Black Ice

NFR Flight Recorder

Nortel VPN

Okena Stormwatch

Oracle Auditing

Psionic PortSentry

Radius Server

监测解析Linux日志

监测解析CyberGuard Firewall日志

监测解析Dragon日志

监测解析Entrust PKI/NTLogs日志

监测解析Gauntlet Firewall日志

监测解析HP日志

监测解析LDAP Server日志

监测解析SNMP

监测解析Micro IIS 4.0日志

监测解析Micro Performance日志

监测解析Micro Proxy日志

监测解析Netegrity Siteminder日志

监测解析Netscape Proxy Access日志

监测解析Netscreen日志/SNMP

AsSecViewiates 监测解析Network AsSecViewiates Gauntlet日志

监测解析Network Ice Black Ice日志

监测解析NFR Flight Recorder日志

监测解析Nortel VPN日志

监测解析Okena Stormwatch日志

检测解析Oracle Auditing日志

监测解析Psionic PortSentry日志

监测解析Radius Server日志

Radware

Resource Manhunt

Redhat Syslog

RSA ACE/Server

Sun Solaris

Sonicwall

Stonewall Firewall

Sunscreen

SuSE Syslog

Sygate Blocked System Log

Sygate VPN Log

Symantec Raptor

Recourse ManTrap

Sanctum AppShield

Recourse ManHunt

Zyxel Router

WuFtpd

ProFtpd

Parse SSHD

Parse Qpopper

GRSecurity

Unix Security

CheckPoint FW-1

监测解析Radware日志

监测解析Resource Manhunt日志

监测解析Redhat Syslog日志

监测解析RSA ACE/Server日志

监测解析Sun Solaris日志

监测解析Sonicwall日志

监测解析Stonewall Firewall日志/SNMP

监测解析Sunscreen日志

监测解析SuSE Syslog日志

监测解析Sygate Blocked System Log日志

监测解析Sygate VPN Log日志

监测解析Symantec Raptor日志/SNMP

监测解析SNMP

监测解析Sanctum AppShield日志

监测解析Recourse ManHunt日志

监测解析Zyxel Router日志。

监测解析WuFtpd日志。

监测解析ProFtpd日志。

监测解析Parse SSHD日志。

监测解析Parse Qpopper日志。

监测解析GRSecurity日志。

监测解析Unix Security日志。

监测解析CheckPoint FW-1日志SNMP。

FortiGate

Norton Antivirus

Corporate Edition

TrendMicro AntiVirus

Bro IDS

SysTrace

Argus

中科网威防火墙

中科网威NIDS

三零鹰眼NIDS

监测解析日志/SNMP

监测解析Norton Antivirus Corporate

Edition日志。

监测解析TrendMicro AntiVirus日志

监测解析SNMP

监测解析SysTrace日志

监测解析Argus日志

监测解析SNMP

监测解析SNMP

监控解析鹰眼NIDS日志/SNMP