Secview SOC网络安全维护的必备工具一、网络安全现实状况1、 大部分的网络如图构成:网络设备、安全设备、服务器、应用系统、数据库、环境监控虽然顾客购置了 FIREWALL、NIDS、防病毒系统等安全设备不过还是有大量的安全隐患存在和安全发生事件:1. 安全事件不能及时精确发现海量事件(海量的安全事件充斥着大量不可靠的信息,从而变的毫无价值。网络设备、安全设备、系统都会不可避免的产生对网络不会导致影响的无效事件,有的设备事件报警一天可以上万甚至几十万,人工分析已经变得不也许)误报问题(经典的如 NIDS、IPS)漏报问题(如未知病毒、未知网络袭击、未知系统袭击)漏报另一大原因:缺乏重要服务器、网络设备的安全日志实时分析(NIDS 虽然可以防御网络袭击,不过黑客运用对服务器、网络设备系统漏洞却一筹莫展,这就规定对重要的服务器、网络设备除了做好安全加固外,还需要实时对系统安全日志做分析监控,当非法顾客或超级权限顾客探测系统信息的时候,就会在安全日志里迅速地记下服务器、网络设备被探测时所用的用的 IP、时间、探测所用的顾客名和密码等等,一旦管理员发现此事件可以及时采用措施;;对于安全设备如 firewall 每天产生大量日志,里面有黑客预袭击或者扫描的记录,由此可见实时日志审计的重要性。不过每台服务器或网络设备每天产生的日志也许有上千条甚至几十万条,这样人工地对多种安全系统的大量日志进行实时审计、分析流于形式。)2. 安全事件不能精确定位事件孤立互相之间无法形成很好的集成关联,给系统管理员提供的控制台多种各样,一种事件的出现不能关联到真实问题。(如 NIDS 事件报警,关联同一时间防火墙报警、被袭击的服务器安全日志报警等,从而理解是真实报警还是误报; 如未知病毒的袭击,分为 2 类网络病毒、主机病毒,网络病毒大都体现为流量异常,主机病毒大都的体现 CPU 异常、MEM 异常、DISK 空间异常、文献的属性和大小变化等,要发现这个问题,需要关联流量监控(网络病毒)、关联服务器运行状态监控(主机病毒)、关联完整性检测(主机病毒)来发现,为了大规模在网络内爆发前,必须迅速发现问题在中毒机器源头切断; 如发现网络流量异常,超过正常阀值,那么在网络设备的端口出会报警,在这个状况并不能确定问题原因,需要通过事件关联,发现网络设备所在上级和下级网络设备与否报警,首先可以确定网络流量异常所在位置,然后根据所在的 Sniffer、NDIS、日志分...
