234567891011121314151617181920212223242526272829303132333435363738394041《管理指引》－适用范围《管理指引》－管理职责《管理指引》－风险管理《管理指引》－信息安全《管理指引》－信息安全（续）《管理指引》－开发管理《管理指引》－信息科技运行《管理指引》－业务连续性管理《管理指引》－外包管理《管理指引》－内部审计《管理指引》－外部审计53ISO27000系列标准介绍ISO27000系列标准介绍56与IT标准的关联关系585960616263646566676869707172737475767778798081828384858687888990919293949596979899网络拓扑位置的重要性 造成事故影响的危害性 误操作的可能性 越权操作与滥用的普遍性七层协议开发维护配置的控制 安全mailing-list 补丁、升级 漏洞扫描 配置 状态报告 关闭不必要的服务SNMP管理 用户与密码管理 tacacs-serverhost<IPAddress> username<name>password7<encryptedpassword> enablesecret5xxxxxxxxxxxxxxx SSH取代TELNET 配置的备份 记录日志 logginghost<ipaddress> snmp-serverhost[loghost][version][communitystring][trap-type] snmp-serverenabletraps[trap-type] NTP ACL linecon0 login(touseapasswordonly) loginlocal(tousealocallydefinedusernameandpassword) logintacacs(tousetheTACACS+servers)路由协议认证 禁用未使用物理端口、VLAN端口 MAC地址绑定 Netflow使用RAThttp://www.cisecurity.org Wiresharkhttp://www.wireshark.org NAMPhttp://www.insecure.org MRTGhttp://oss.oetiker.ch/mrtg/明文协议 Telnet协议 HTTP协议 加密协议 SSH协议 HTTPS协议108109110安全工具 procexp Tcpview Autoruns Filemon Regmon Nc wireshark112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145信息安全审计技术什么是审计 财务审计 IT系统审计 业务审计(数据库、应用系统) 操作审计(操作系统的维护管理) 员工上网(上网、QQ、MSN等) 注：服务器才是企业最核心的资源,对服务器的各种操作才是我们最关心的(前两项)为什么需要审计 “内控”的需求 SOX，HIPAA（美国） PaymentCardIndustry(PCI)DataSecurityStandard（国际） BS7799/ISO17799，ISO27001（国际） 国标/等级保护（国内）企业IP网络面临的安全威胁安全审计是国际安全标准和最佳实践的基础性要求安全等级保护规定了详细的审计要求审计的分类 按部署方式 主机审计 网络SNIFFER审计 “堡垒”主机 透明桥审计 按审计内容 按审计形式审计的分类 按部署方式 按审计内容 日志/告警摘要型审计 流量全记录型审计 注：审计不仅仅是记录或分析一些日志或告警，不仅需要审计非法的，更要审计合法的。合法的不一定是合规的。审计记录的内容可能99%甚至100%是合法的。 按审计形式审计的分类 按部署方式 按审计内容 按审计形式 传统审计 基于字符串模式匹配的查询搜索统计，海量的重复”无用“信息使审计的实用性不强。 行为审计 基于行为的查询搜索统计，行为不是一个字符串命令，而是一些相关联的操作的集合。例如WINDOWS下删除一个文件的行为是鼠标移动和点击删除按纽的操作。行为回放是最基本的行为审计，但不可能对所有的行为进行回放，只有这些行为能被查询与搜索才是实用的行为审计。审计的需求 审计的全面性(木桶效应) 支持所有系统(WIN,UNIX,NET) 支持所有协议(Encrypt,Plan-text) 记录完全数据(非日志信息,数据全记录) 审计不可旁路(合法与非法,丢包,绕过,) 审计的完整性 审计的实用性审计的需求 审计的全面性 审计的完整性 记录过程 传输过程 存储过程 审计的实用性审计