Cisco信息系统安全方案.ppt

《Cisco信息系统安全方案.ppt》由会员分享，可在线阅读，更多相关《Cisco信息系统安全方案.ppt（118页珍藏版）》请在三一办公上搜索。

1、信息系统安全方案,Cisco Systems,Inc.,目录,信息系统网络现状和发展趋势SOX符合性对信息系统控制的要求思科网络准入控制方案(NAC2)思科终端安全防护方案安全信息管理CS-MARS,OA网,G网网管,C网网管,信息系统网络,业务生产网,网络管理,计费采集,ATM网网管,G/C计费,VoIP网管,增值计费,VC计费,193计费,信息系统承载平台现状,193,G网,C网,VoIP,VC,165,信息系统承载平台现状,信息化系统的发展趋势,逐步由后台的业务支撑成为业务生产运营的核心信息化应用系统是联通生产运营的枢纽环节，强调经营数据的集中与整合分布式信息采集、集中式经营决策分析和风

2、险控制要求技术和管理体制的垂直化,CRM,计费及结算系统,营业及帐务系统,经营分析系统,信息系统,DCN业务支撑网络,BSS系统,MSSOSS系统,综合网管系统,决策支持系统,企业应用集成,内部门户,客户服务系统,其他（OA、财务、人力咨询）不断的外延,埃森哲建议的联通总部和省份信息系统总体架构,BSS,MSS/ERP,OSS,CRM,合作伙伴关系,经营分析,企业外部门户,综合结算,综合采集,企业内部门户,企业决策支持,ERP,集成订单管理,综合生产调度,企业协同办公,综合资源管理,专业综合网管,IT 网管,CRM(融合呼叫中心),合作伙伴关系,经营分析,企业外部门户,综合结算,综合采集,企业

3、内部门户,企业决策支持,ERP,集成订单管理,综合生产调度,企业协同办公,综合资源管理,专业综合网管,IT 网管,综合计费帐务,服务开通管理,综合故障管理,综合服务质量,总部,省份,网络规划和设计,网元设备/EMS,网元设备/EMS,用户信用控制，综合经营分析，统一客户服务体验等集中应用部署需要数据中心的整合。萨班斯、内控、经营数据本身的重要性要求整个系统提供综合性的技术安全机制（内部互访、对外互联、终端、服务器）降低建设、维护成本同时提高对集中应用部署支持能力和系统安全控制能力要求整合,信息系统承载平台整合驱动因素,联通信息系统统一承载平台体系结构功能分区，结构分层,业务生产网,企业数据中心

4、,单一的物理网络DCN,网管网,计费营帐采集网,OA网,合作伙伴等其它子系统,信息访问控制,客服,物理网络层,逻辑隔离层,信息控制层,应用层,BSS,MSS,OSS,目录,信息系统网络现状和发展趋势SOX符合性对信息系统控制的要求思科网络准入控制方案(NAC2)思科终端安全防护方案安全信息管理CS-MARS,萨班斯法案对企业持续管控的要求,2006年7月15日起，萨班斯法案正式生效。从这一天开始，包括中国内地44家企业在内的所有在美上市公司必须严格遵守萨班斯法案.“萨班斯-奥克斯利法案”(Sarbanes-Oxley)指2002年6月18日美国国会参议院银行委员会以17票赞成对4票反对通过由奥

5、克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案2002上市公司会计改革与投资者保护法案。这一议案由布什总统在2002年7月30日签署成为正式法律，称作2002年萨班斯-奥克斯利法案。“萨班斯法案”的Section 302 and Section 404对在美上市公司和即将在美上市的公司提出信息系统管控能力的要求。其中 404章要求证券交易委员会出台相关规定，所有除投资公司以外的企业在其年报中都必须包括：（1）管理层建立和维护适当内部控制结构和财务报告程序的责任报告；（2）管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价。法案要求管理层的内部控制年报必须包括：（

6、1）建立维护适当公司财务报告内部控制制度的管理层责任公告/声明；（2）管理层用以评价内部控制制度的框架的解释公告/声明；（3）管理层就内部控制制度有效性在该财政年度终了出具的评价；（4）说明公司审计师已就（3）中提到的管理层评价出具了证明报告。公司的CEO和CFO们不仅要签字担保所在公司财务报告的真实性，还要保证公司拥有完善的内部控制系统，能够及时发现并阻止公司欺诈及其他不当行为。若因不当行为而被要求重编会计报表，则公司CEO与CFO应偿还公司12个月内从公司收到的所有奖金、红利或其他奖金性或有权益酬金以及通过买卖该公司证券而实现的收益。有更严重违规情节者，还将受严厉的刑事处罚。,萨班斯法案针

7、对的对象,财务,BSS,OSS系统,ERP系统,人力资源/OA/其他,萨班斯是一部会计法案主要针对财务系统实际上今日财务报表的处理大多由信息系统IT提供处理与执行财务系统与信息系统更紧密地结合，对涉及财务的交易进行初始化、授权、记录、处理和编制报表,内部控制的审核标准、框架和规范,SEC要求审计师在审计报告上注明“审计是根据PCAOB的标准执行的”。关于对内部控制的定义，SEC采纳了COSO的定义。PCAOB建议公司采纳COSO的控制模型，并以此为依据建立内部控制架构。定义了财务报表相关的内部控制（ICFR），要求审计师仅对该部分发表意见。CobiT 定义了内部控制的最佳实践,IT 控制的重要

8、意义,对全球300多家企业的调查表明，管理者认为IT控制对SOX符合性具有极其重要的意义,信息系统在IT管控过程中存在的普遍问题,关键业务流程的程序、策略和纪录没有电子信息化，业务流程缺乏IT控制集成内部信息逾权访问业务员工可以访问后台数据库、操作系统业务员工可以访问过多业务系统应用开发和数据库管理员能够访问业务系统网络、操作系统、数据库等基础架构自身没有安全加固终端接入没有控制：对于接入公司内部网的设备没有全局的登录认证机制，导致非法设备接入并能访问业务系统。没有强制执行全局安全策略：没有全局的自动手段检查策略执行的有效性，缺少智能化的全网安全策略部署软硬件，导致统一制定的安全策略成为空谈，

9、各自为政。例如防病毒，防火墙规则、软件补丁、密码管理。,信息控制层面临的具体技术问题,业务间网络层面的信息控制技术问题包涵两个大方面如何明确终端和服务器的分类来划分安全域。各个安全域内部的信息控制策略，各个安全域边界的信息控制策略。,安全区域,纵深防御依赖于安全域的清楚定义安全域边界清晰，可明确定义边界安全策略加强安全域策略控制力，控制攻击扩散，增加应对安全突发事件的缓冲处理时间依据安全策略，可以明确需要部署的安全设备使相应的安全设备充分运用，发挥应有的作用,网络域：信息系统承载网，是安全域的承载子域。信息控制重点是进行各专业系统的网络隔离与边界防护并保障网络性能系统域：核心业务逻辑服务器、数

10、据库服务器，是信息系统的核心子域。信息控制重点是防非法访问、防逾权访问、防信息篡改和防数据丢失。服务域：各业务的界面服务器，为信息系统提供公共服务，是整个系统的信息交换域。系统域和终端域不能直接互访，由服务域提供内、外部门户、安全认证、事件管理、策略管理、补丁管理等服务，是信息系统的公共子域。信息控制重点是防非法访问、防信息篡改。终端域：各类客户端和维护终端，是信息系统的公众子域。信息控制重点是终端准入控制、终端接入的认证和审计、安全策略符合性检查。,安全域划分及信息控制重点,系统域、服务域、终端域、网络域逻辑关系示意,系统域（业务逻辑、数据库）,内部网络认证网关,网络域MPLS VPN,综合

11、终端,漫游终端,专业终端,维护终端,银行系统终端,服务域（界面服务器）,终端域,系统域服务域,外部网络认证网关,互联网,漫游终端合作营业厅终端,防火墙,服务域与系统域之间通过防火墙控制互访业务专用终端直接通过MPLS VPN访问服务域维护专用终端通过MPLS VPN访问服务域和系统域综合终端须经过内部网络认证网关访问服务域银行系统网络通过防火墙访问服务域在外网的漫游终端和合作营业厅须通过全网集中设置的外部网络认证网关访问服务域在内网的漫游终端须通过内部网络认证网关访问服务域与银行系统的网络出口及互联网出口应集中到省会,防火墙,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,信息控制

12、策略-终端准入控制,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,信息控制策略-主机终端保护,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,防火墙安全控制，保护内网网段IDS检测异常数据流量，发现危险网段,信息控制策略-域间准入控制,IPSEC VPNSSL VPN,连接互联网安全,vpn网关、防火墙安全控制，保护内网网段,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,信息控制策略-局域网络控制,MAC地址绑定广播风暴控制DHCP检查ARP检查BPDU防范,MAC地址绑定广播风暴控制BPDU防范,互联网,FE,FE,ACLuRPFICMP限速防DOS攻

13、击,数据中心,营业办公区,外部网络,DCN,ACL,uRPF,ICMP限速,信息控制策略-网络异常控制,互联网,FE,FE,ACLuRPFICMP限速防DOS攻击,终端MAC地址绑定,PVLAN,ACL限定用户的地址,CSA保护用户主机,在发现攻击后通知监控系统,数据中心,营业办公区,外部网络,DCN,终端MAC地址绑定,用户认证/动态Vlan分配,DHCP端口跟踪分配,ACL限定用户的地址NAC准入控制,ACL,uRPF,ICMP限速,防火墙安全控制，保护内网网段,IDS检测异常数据流量，发现危险网段,信息控制策略-具备全面网络安全管理能力的控制策略,远程节点的安全防护,VPN远程安全接入,

14、无线安全防护,连接互联网安全,目录,信息系统网络现状和发展趋势SOX符合性对信息系统控制的要求思科网络准入控制方案(NAC2)思科终端安全防护方案安全信息管理CS-MARS,什么是思科网络安全准入控制（NAC）？,思科 网络准入控制（NAC）是由思科领导的行业项目，主要用于限制各种新兴安全威胁所造成的伤害在NAC中，可以只允许符合要求的可信端点设备（如PC、服务器和PDA等）访问网络，并限制不符合要求的设备访问网络NAC旨在大幅度提高网络识别、抵御和适应威胁的能力NAC是 思科自防御网络计划的第一个阶段,目前企业/SP DCN内部桌面管理系统面临的问题,终端用户的身份控制以及访问权限控制Win

15、dows 操作系统的安全漏洞，易被黑客或者病毒利用，比如造成蠕虫病毒泛滥员工访问危险的网站员工安装非授权的危险软件，或者没有安装指定的安全软件（如杀毒软件）员工违反安全规定，擅自使用可移动存储设备（如CD、U盘、移动硬盘等），易于泄漏内部资料员工私自安装双网卡、电话拨号、ADSL等上网PC机数量太多，管理人员维护、监控困难导致：60-70%的系统及网络安全隐患 来源于公司内部,之前的网络准入方法 依靠单纯的用户名密码认证机制,“Hello.”,Alice:“Hello.”,Bob:“Hello.I am an administrator”,Granted,Granted,Granted,Gra

16、nted,Chuck:“I am running an unpatched Windows 2000 system.I am Gigabit Ethernet connected with worm de jour and this one is really nasty.Have a nice day!”,Chuck:“Hello.I am in dales”,正确的方式:Network Admission Control,附加检查策略:IdentityWindows XPService Pack 2CTA 2.0Anti-VirusPatch Management,Chuck:Sales

17、我是合法身份用户Windows 2000No Service PackNo Anti-VirusNo Patch Management,RemediationServer,被隔离Quarantine,PostureServers,DirectoryServer,NAC 设计的SOX符合性,NAC的安全架构设计,NAC安全架构首次实现了IT系统整体协作的安全NAC安全架构有效集成联合了多层面的防护系统，包括：网络接入安全、用户认证、终端安全NAC安全架构构建了纵深防御的安全防护体系,Security ArchitectureIt GovernanceData Center Consolidati

18、onERP Consolidation,NAC涵盖多项安全防护需求,NAC安全框架的主要功能,一体化的网络安全准入控制策略，能帮助企业克服下列问题：安全策略实施安全状态的评估访问控制系统安全管理,NAC安全框架的关键特性,实施设备的安全准入策略为用户提供合适的资源访问包括终端系统的安全监视软件系统的安装防止敏感信息和数据的泄漏收集、分析和管理IT信息,实施NAC对SOX符合性的好处,Cisco NAC addresses COBIT controls:集中化的网络安全准入管理安全整体的IT架构设计基于角色的访问管理扩展的、细粒度的访问控制实时监控,CISCO NAC是遵循SOX符合性设计的安全

19、架构满足IT内控中多方面的安全需求,思科网络准入控制方案 两套网络准入控制解决方案定位分析,NETWORK ACCESS DEVICE,AUTHENTICATIONPOLICY,ENFORCEMENT,DISCOVERY,REMEDIATION,NACApplc.Agent,ACS,AUTHENTICATION,ENFORCEMENT,DISCOVERY,POLICY,REMEDIATION,CiscoTrustAgent,NAC FRAMEWORK,NAC APPLIANCE,NAC Framework:全网部署思科网络设备、兼容Dot1X认证、由第三方产品提供端点分析以及升级服务、建议与主

20、机安全防护解决方案捆绑销售推广（CSA）。实施设备要求简单：最低配置仅需要ACS 4.0。NAC Appliance:适用于多厂商环境、综合用户身份认证、端点分析以及补丁升级服务于一体的安全解决方案，组网必须要求CAM/CAS服务器。无需网络设备支持DOT1X特性。配置简单 实施难度低 适用范围广！,ENFORCEMENT CAS/CAM,Cisco Clean Access Components瘦Client管理模式 由CAM管理CAS,Cisco Clean Access Server(CAS)-NAC Appliance Server(NAS)Serves as an in-band o

21、r out-of-band devicefor network access controlCisco Clean Access Manager(CAM)-NAC Appliance Manager(NAM)集中管理控制Centralizes management for administrators,support personnel,and operatorsCisco Clean Access Agent（客户端软件）Optional lightweight client for device-based registry scans in unmanaged environmentsR

22、ule Set UpdatesScheduled automatic updates for anti-virus,critical hotfixes and other applications,Network AccessDevice,Cisco Clean AccessAgent(optional),LDAP,RADIUS,NTLM,KERB,NAC Appliance 相关重要组件及功能描述,98,ME,2000,XP,Clean Access Manager,Host,Clean Access Server(scanning,remediation),SSL,Integration

23、w/AD,RADIUS,LDAP,Kerberos,etc.,AuthServer,Policy andremediation,CAS OOB Switches(2940,2950,2960,3550,3560,3750,4500,6500)CAS IB 模式 支持多厂家环境VPN Concentrators(3K,ASA,ISR/IOS,WebVPN),SSL,SNMP,Cisco Security Agent(opt.),OS,Security Apps,THE GOAL,Intranet/Network,Cisco Clean Access 认证流程概述,2.,User is redir

24、ected to a login pageClean Access validates username and password,also performs device and network scans to assess vulnerabilities on the device,Device is noncompliant or login is incorrectUser is denied access and assigned to a quarantine role with access to online remediation resources,3a.,Quarant

25、ineRole,Cisco CleanAccess Server,Cisco Clean Access Manager,AuthenticationServer,Cisco Clean Access 解决方案实现方法要点总结,CCA可以使用两种机制来对于客户机的健康状态进行检测：Network Scanning 1、集成第三方脆弱性扫描工具实现对于客户端的健康状态检查，基于检查结果对于客户机采取相应的准入控制策略。此方法部署简单，无需客户端安装其他检测程序。客户端安装Optional Agent（CCA Agent)1、由CCA Agent收集客户机相关信息（Hotfix/AV/Anti-sp

26、ware),来确定主机的健康状态。基于检查结果对于客户机采取相应的准入控制策略。2、此方式可以与Network Scanning集成使用，两者同时启用的情况下，认证为逻辑AND的关系，基于两者检查结果对于客户机采取相应的准入控制策略。CCA 功能组件的具体分工(CAM/CAS/CCA Agent)：CAM：CAM 部署策略，集中管理CAS，接受来自CAS的用户检查报告并且进行分析，告知CAS用户的健康状况。CAS:接受CAM的管理，拦截用户HTTP请求重新定向、进行Network Scanning、收集CAA Agent信息等功能，并且发送给CAM分析。根据CAM检查结果，对于接入用户分配AC

27、L限制，或者利用SNMP方式通知交换机对于用户进行相应的VLAN分配操作。CCA Agent:CCA Agent收集客户机相关信息（Hotfix/AV/Anti-spware),Provides built-in support for 24 AV vendors and 17 AS vendors,CAS Foundation:Virtual Gateway&Real IP Gateway,Clean Access Servers at the most basic level can pass traffic in one of two ways:Bridged Mode=Virtual

28、GatewayRouted Mode=Real IP Gateway/NAT GatewayAny CAS can be configured for either method,but a CAS can only be one at a timeGateway mode selection affects the logical traffic pathDoes not affect whether a CAS is in Layer 2 mode,Layer 3 mode,In Band or Out of Band,CAS Foundation:In Band&Out of Band,

29、Clean Access Servers have two traffic flow deployment modelsIn BandOut of BandAny CAS can be configured for either method,but a CAS can only be one at a timeSelection is based on whether the customer wants to remove the CAS from the data pathCAS is ALWAYS inline during Posture Assessment,In-Band and

30、 Out-of-Band 区别及应用定位,A single deployment can contain both in-band(e.g.for wireless)and out-of-band(e.g.for wired)Clean Access Servers,End User Experience:With CCA Agent,4.,LoginScreen,Scan is performed(types of checks depend on user role),Scan fails,Remediate,ACSv4.0,RemediationServer,DirectoryServe

31、r,Anti-VirusServer,后台服务器,Posture ValidationServers,Audit Server,CS-MARS,NAC Framework Deployment Architecture,思科网络接入设备,接入方式,LAN,Remote,WAN,Any,网络准入控制（NAC）,NAC Framework方案:增强基于端点安全的准入控制,思科 ACS 服务器,反病毒供应商服务器,试图通过网络访问主机,思科信任代理,RADIUS,HTTPS,EAP,Switch Platforms 重点部署模式平台兼容性：L2 IP 及 L2 802.1X,Strong NAC P

32、artner Programhttp:/,ANTI VIRUS,REMEDIATION,CLIENT SECURITY,AUDIT,目录,信息系统网络现状和发展趋势SOX符合性对信息系统控制的要求思科网络准入控制方案(NAC2)思科终端安全防护方案安全信息管理CS-MARS,CSA端点安全可以帮助你做什么？,统计PC上安装了哪些应用程序：例：CSA能统计机器上都安装了哪些应用程序，以及安装的版本。如是否安装了BT等软件。调查应用程序的运行情况：例：CSA能统计哪些应用程序在运行，并生成相应的报表。禁止安装某些应用程序、禁止运行某些应用程序：例：CSA能够禁止PC运行不符合公司策略的应用程序，如

33、BT，IM。保护敏感数据，不允许复制、拷贝：例：被保护的文件可以打开阅读，但是不能复制，无论是复制文件或文件夹，都不允许，也不能从文件中拷贝、粘贴内容出来，所以是非常好的防止机密信息泄漏的方法。禁用USB等移动设备：Ex：USB、光驱等各种可移动设备，常常是引入病毒、风险的入口。CSA可以设定不允许使用PC上的这些设备，或者只能看设备上有什么内容，但是不允许读。只有当管理员授权时，才能使用和访问。统计并能够限制应用程序对网络使用、中央集中控管、报警、报表CSA结合NAC能提供非常强大的终端控管功能，CSA还能配合IPS减少误报率，作为HOST IDS还能够将信息报给MARS,CSA Appro

34、ach:Behavioral Protection for Endpoints,Target,1,2,3,4,5,探测,进入,持续,传播,发作,Ping地址扫描端口猜测用户帐号猜测邮件用户,邮件附件缓冲区溢出ActiveX控制网络安装压缩消息猜测后门,创建新的文件修改现有文件弱化注册表安全设置安装新的服务设置陷阱后门,攻击的邮件副本Web连接IRCFTP感染文件共享,删除文件修改文件设置安全漏洞导致计算机崩溃拒绝服务窃取机密,Many points when and attack could be stopped The more defense points,the better The e

35、arlier the attack is stopped,the better before it reaches the endpoint is best,Correlation,HTTP(80),CONNECT()System Call,Browser,OPEN(WRITE)System Call,DownloadedContent,Port 6667,CONNECT()System Call,Malicious behavior is most accurately identified in context.Cisco Security Agent correlation does t

36、his automatically no configuration required.,Modify Registry Run Keys,Open Command Shell,Overwrite System Files,Cisco Security Agent Consolidates Multiple Endpoint Products,Only one agent to purchaseOnly one agent to deployOnly one agent to manageNo signatures to test and deploy,Extensible Capabilit

37、y=Investment ProtectionSingle Agent Protection=Increased ROI,Desktop Protection:Distributed FirewallDay Zero Virus/Worm ProtectionFile Integrity CheckingApplication securityPolicy Enforcement,Server Protection:Host-based Intrusion PreventionDay Zero Virus/Worm ProtectionOperating System HardeningWeb

38、 Server ProtectionSecurity for other applications,CSA Architecture,CSAMC,Server Agent,Server Agent,Policy Updates,Alerts,Policy is centrally defined at CSAMCAgents enforce policy locally,connected or notAll communications via HTTP and SSL,Browser-basedManagement GUI,Configuration,Reports,Events,VMS

39、SecMon/OtherMonitoring Apps,Desktop Agent,Desktop Agent,Desktop Agent,Dynamic States using NAC,CSA Version:5.0CSA MC:CSA.CISCO.COM,CSA State:HEALTHY,NAC Posture:HEALTHY,CSA Version:5.0CSA MC:CSA.CISCO.COMCSA State:TESTMODE ON,CSA State:REMEDIATE,NAC Posture:REMEDIATE,DynamicPolicyChange,NormalPolicy

40、,ACS,Trusted Boot,BIOS Update,No CSA running,NAC Posture:QUARANTINE,CSA State:INSECURE BOOT,NAC Posture:REMEDIATE,Boot to primarydisk,DynamicPolicyChange,NAC,Boot to non-primarydisk,Cisco Security Agent&NAC Understanding the Differences,Network Admission Control(CTA),Cisco Security Agent,Network Acc

41、ess Control According to Posture,Enforce Patch and AV Policy for all Hosts,Network Access Decisions for all Hosts,X,X,X,Security Posture Checks on Incoming Systems,X,Performance,Windows CPU Usage:1-5%Solaris CPU Usage:3-10%Memory Usage:7-10MB,up to 20Network Impact:Policy download:35-70kEvent:3kPoll

42、:2.5kPolling Interval change:3kSoftware Update:variesTransactions per second is a very good way to measure latency,目录,信息系统网络现状和发展趋势SOX符合性对信息系统控制的要求思科网络准入控制方案(NAC2)思科终端安全防护方案安全信息管理CS-MARS,目前网络安全方面面临最大的问题是什么?,Visibility,管理!,针对安全事件的响应,企业网络安全首要目标：,以最佳的方式保持网络的正常运行,安全管理问题主要归结,对实时安全信息不了解，无法及时发出预警信息。,安全设备的管

43、理往往是孤立的安全设备，缺乏整个“网络”的意识,事件发生后，无法及时确诊网络故障的原因或感染源/攻击源，网 络业务恢复时间长。,对某些特定安全事件没有适合的方法，如DDoS攻击，蠕虫病毒等。,缺乏“经验丰富”的网络安全专家去监控，分析，解决问题；成本比较高。,IT管理者的期望：,安全的网络 一个能集中管理所有产品 信息、智能化的安全管理中心,信息安全管理体系结构的改变,系统安全管理,安全设备管理,加强安全管理的需求,安全的网络安全网络管理模型安全信息管理管理中心（SMC）,业界领先的STM安全威胁管理设备-思科监控分析和响应系统(MARS),利用您的现有投资来创建“普遍计算”关联来自企业各处的

44、数据NIDS，防火墙，路由器，交换机，CSA系统记录，SNMP，RDEP，SDEE，NetFlow，终端事件记录迅速定位和抵御攻击,主要特性根据设备信息、事件和“会话”，来确定安全事件了解事件的拓扑，以便查看和重放在 L2 端口和L3检测点进行防御高效扩展，可实时使用,思科 CS-MARS工作流程,来自不同安全设备的海量安全信息进入CS-MARSCS-MARS对安全事件信息进行规则化统计CS-MARS对安全事件信息进行规格化对地址翻译信息和连接状态信息进行关联处理对安全信息进行规则关联-丢弃规则-系统预定义规则-用户自定义规则虚假错误信息分析处理对可疑主机进行弱点评估，以过滤虚假信息统计流量模

45、型来发现异常,CS-MARS 流程典型例子,企业用户的安全管理需求,如何管理多厂商安全设备？-思科 CS-MARS 支持多厂商设备,网络Cisco IOS 11.x 和 12.x,Catalyst OS 6.xNetFlow v5/v7NAC ACS 3.xExtreme Extremeware 6.x防火墙/VPNCisco PIX 7.x,IOS Firewall,FWSM 1.x&2.2,VPN Concentrator 4.x,Cisco ASACheckPoint Firewall-1 NG FPx,VPN-1NetScreen Firewall 4.x,5.xNokia Firew

46、allIDSCisco NIDS 3.x&4.x,5.x,IDSM 3.x,4.x,5.xEnterasys Dragon NIDS 6.xISS RealSecure Network Sensor 6.5,7.0Snort NIDS 2.xMcAfee Intrushield NIDS 1.xNetScreen IDP 2.xSymantec ManHunt 3.x,漏洞评估eEye REM 1.xFoundstone FoundScan 3.x主机安全Cisco Security Agent(CSA)4.xMcAfee Entercept 2.5,4.xISS RealSecure Hos

47、t Sensor 6.5,7.0Symantec AnitVirus 9.x主机记录Windows NT,2000,2003(有代理和无代理)SolarisLinux系统记录通用设备支持应用Web 服务器(IIS,iPlanet,Apache)Oracle 9i,10i 数据库审查记录Network Appliance NetCache,Note:Visit for complete device support listinghttp:/,利用网络拓扑发现同一个进程的不同事件和流程MARS采用专利算法，利用拓扑知识和设备配置信息，将不同设备产生事件关联到同一个进程，创造出整个攻击环境 利用网

48、络拓扑减少误报识别同一个进程的事件，分析攻击从源到目的地的拓扑路径，发现某个攻击是否的确到达了预定的目的地 利用网络拓扑发现最理想的防御点通过分析从攻击者到预定目的地的路径，将距离攻击者最近的设备定为最理想的防御点 利用网络拓扑发现攻击路径和网络热点利用网络拓扑提高证据分析能力通过识别NAT地址解析和攻击者MAC地址提供大大增强的证据分析能力,哪儿发生了安全事件？-MARS拥有端到端的网络拓扑感知能力,高效能进程化和基于进程的主动关联,哪儿发生了安全事件？-MARS自动识别攻击路径/攻击源/攻击目标,SureVector 分析方法显示准确的攻击路径通过下拉菜单，可以查询全部的事件和原始事件数据

49、对异常现象和攻击行为找出真实的源泉更加全面和准确,1.Host A Port Scans Target X2.Host A Buffer Overflow Attacks XWhere X is behind NAT device andWhere X is Vulnerable to attack3.Target X executes PasswordAttacks Target Y locateddownstream from NAT Device,防火墙,攻击路径显示,事件攻击拓朴显示,如何处理安全事件？-MARS可以给出对安全事件的建议方法,路由器上的缓解建议,交换机上的缓解建议,在加

50、入网络之后，MARS会用几天时间适应网络使用模式。随后切换到检测模式，查找重要的异常行为，例如当前值比标准偏差高出两到三倍的情况。PN MARS可以精确地监控网络使用情况，跟踪在每天的每个小时中发现的数据流和交换分组的TOP（主机、端口）组合信息（数量可设置）。智能采集系统动态地存储异常行为的整个NetFlow记录（主机，端口），轻松地获知安全事件的整个环境，例如受感染的源、目的地端口等。所提供的内置规则可以自动地将异常行为与网络IDS系统所报告的攻击关联到一起。即使没有安装一个网络IDS系统，一个遭受某种未知攻击的主机也可能会表现出上述异常行为，从而被MARS轻松发现。,如何发现异常现象？-