1、信息系统安全方案,Cisco Systems, Inc.,目录,信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS,OA网,G网网管,C网网管,信息系统网络,业务生产网,网络管理,计费采集,ATM网网管,G/C计费,VoIP网管,增值计费,VC计费,193计费,信息系统承载平台现状,193,G网,C网,VoIP,VC,165,信息系统承载平台现状,信息化系统的发展趋势,逐步由后台的业务支撑成为业务生产运营的核心 信息化应用系统是联通生产运营的枢纽环节,强调经营数据的集中与整合 分布式信息采集、集中式经
2、营决策分析和风险控制要求技术和管理体制的垂直化,CRM,计费及结算系统,营业及帐务系统,经营分析系统,信息系统,DCN 业务支撑网络,BSS系统,MSSOSS系统,综合网管系统,决策支持系统,企业应用集成,内部门户,客户服务系统,其他(OA、财务、人力咨询)不断的外延,埃森哲建议的联通总部和省份信息系统总体架构,BSS,MSS/ERP,OSS,CRM,合作伙伴关系,经营分析,企业外部门户,综合结算,综合采集,企业内部门户,企业决策支持,ERP,集成订单管理,综合生产调度,企业协同办公,综合资源管理,专业综合网管,IT 网管,CRM (融合呼叫中心),合作伙伴关系,经营分析,企业外部门户,综合结
3、算,综合采集,企业内部门户,企业决策支持,ERP,集成订单管理,综合生产调度,企业协同办公,综合资源管理,专业综合网管,IT 网管,综合计费帐务,服务开通管理,综合故障管理,综合服务质量,总部,省份,网络规划和设计,网元设备/EMS,网元设备/EMS,用户信用控制,综合经营分析,统一客户服务体验等集中应用部署需要数据中心的整合。萨班斯、内控、经营数据本身的重要性要求整个系统提供综合性的技术安全机制(内部互访、对外互联、终端、服务器)降低建设、维护成本同时提高对集中应用部署支持能力和系统安全控制能力要求整合,信息系统承载平台整合驱动因素,联通信息系统统一承载平台体系结构 功能分区,结构分层,业务
4、生产网,企业数据中心,单一的物理网络DCN,网管网,计费营帐采集网,OA网,合作伙伴等其它子系统,信息访问控制,客服,物理网络层,逻辑隔离层,信息控制层,应用层,BSS,MSS,OSS,目录,信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS,萨班斯法案对企业持续管控的要求,2006年7月15日起,萨班斯法案正式生效。从这一天开始,包括中国内地44家企业在内的所有在美上市公司必须严格遵守萨班斯法案. “萨班斯-奥克斯利法案”(Sarbanes-Oxley)指2002年6月18日美国国会参议院银行委员会
5、以17票赞成对4票反对通过由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案2002上市公司会计改革与投资者保护法案。这一议案由布什总统在2002年7月30日签署成为正式法律,称作2002年萨班斯-奥克斯利法案。 “萨班斯法案”的Section 302 and Section 404对在美上市公司和即将在美上市的公司提出信息系统管控能力的要求。 其中 404章要求证券交易委员会出台相关规定,所有除投资公司以外的企业在其年报中都必须包括:(1)管理层建立和维护适当内部控制结构和财务报告程序的责任报告;(2)管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价。法案要
6、求管理层的内部控制年报必须包括:(1)建立维护适当公司财务报告内部控制制度的管理层责任公告/声明;(2)管理层用以评价内部控制制度的框架的解释公告/声明;(3)管理层就内部控制制度有效性在该财政年度终了出具的评价;(4)说明公司审计师已就(3)中提到的管理层评价出具了证明报告。公司的CEO和CFO们不仅要签字担保所在公司财务报告的真实性,还要保证公司拥有完善的内部控制系统,能够及时发现并阻止公司欺诈及其他不当行为。若因不当行为而被要求重编会计报表,则公司CEO与CFO应偿还公司12个月内从公司收到的所有奖金、红利或其他奖金性或有权益酬金以及通过买卖该公司证券而实现的收益。有更严重违规情节者,还
7、将受严厉的刑事处罚。,萨班斯法案针对的对象,财务,BSS,OSS系统,ERP系统,人力资源/OA/其他,萨班斯是一部会计法案 主要针对财务系统 实际上今日财务报表的处理大多由信息系统IT提供处理与执行 财务系统与信息系统更紧密地结合,对涉及财务的交易进行初始化、授权、记录、处理和编制报表,内部控制的审核标准、框架和规范,SEC要求审计师在审计报告上注明“审计是根据PCAOB的标准执行的” 。 关于对内部控制的定义,SEC采纳了COSO的定义。 PCAOB建议公司采纳COSO的控制模型,并以此为依据建立内部控制架构。 定义了财务报表相关的内部控制(ICFR),要求审计师仅对该部分发表意见。 Co
8、biT 定义了内部控制的最佳实践,IT 控制的重要意义,对全球300多家企业的调查表明,管理者认为IT控制对SOX符合性具有极其重要的意义,信息系统在IT管控过程中存在的普遍问题,关键业务流程的程序、策略和纪录没有电子信息化,业务流程缺乏IT控制集成 内部信息逾权访问 业务员工可以访问后台数据库、操作系统 业务员工可以访问过多业务系统 应用开发和数据库管理员能够访问业务系统 网络、操作系统、数据库等基础架构自身没有安全加固 终端接入没有控制:对于接入公司内部网的设备没有全局的登录认证机制,导致非法设备接入并能访问业务系统。 没有强制执行全局安全策略:没有全局的自动手段检查策略执行的有效性,缺少
9、智能化的全网安全策略部署软硬件,导致统一制定的安全策略成为空谈,各自为政。例如防病毒,防火墙规则、软件补丁、密码管理。,信息控制层面临的具体技术问题,业务间网络层面的信息控制技术问题包涵两个大方面 如何明确终端和服务器的分类来划分安全域。 各个安全域内部的信息控制策略,各个安全域边界的信息控制策略。,安全区域,纵深防御依赖于安全域的清楚定义 安全域边界清晰,可明确定义边界安全策略 加强安全域策略控制力,控制攻击扩散,增加应对安全突发事件的缓冲处理时间 依据安全策略,可以明确需要部署的安全设备 使相应的安全设备充分运用,发挥应有的作用,网络域: 信息系统承载网,是安全域的承载子域。 信息控制重点
10、是进行各专业系统的网络隔离与边界防护并保障网络性能 系统域: 核心业务逻辑服务器、数据库服务器,是信息系统的核心子域。 信息控制重点是防非法访问、防逾权访问、防信息篡改和防数据丢失。 服务域: 各业务的界面服务器,为信息系统提供公共服务,是整个系统的信息交换域。系统域和终端域不能直接互访,由服务域提供内、外部门户、安全认证、事件管理、策略管理、补丁管理等服务,是信息系统的公共子域。 信息控制重点是防非法访问、防信息篡改。 终端域: 各类客户端和维护终端,是信息系统的公众子域。 信息控制重点是终端准入控制、终端接入的认证和审计、安全策略符合性检查。,安全域划分及信息控制重点,系统域、服务域、终端
11、域、网络域逻辑关系示意,系统域 (业务逻辑、数据库),内部网络 认证网关,网络域MPLS VPN,综合终端,漫游终端,专业终端,维护终端,银行系统终端,服务域 (界面服务器),终端域,系统域 服务域,外部网络认证网关,互联网,漫游终端 合作营业厅终端,防火墙,服务域与系统域之间通过防火墙控制互访 业务专用终端直接通过MPLS VPN访问服务域 维护专用终端通过MPLS VPN访问服务域和系统域 综合终端须经过内部网络认证网关访问服务域 银行系统网络通过防火墙访问服务域 在外网的漫游终端和合作营业厅须通过全网集中设置的外部网络认证网关访问服务域 在内网的漫游终端须通过内部网络认证网关访问服务域
12、与银行系统的网络出口及互联网出口应集中到省会,防火墙,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,信息控制策略-终端准入控制,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,信息控制策略-主机终端保护,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,防火墙安全控制,保护内网网段 IDS检测异常数据流量,发现危险网段,信息控制策略-域间准入控制,IPSEC VPN SSL VPN,连接互联网安全,vpn网关、防火墙安全控制,保护内网网段,互联网,FE,FE,数据中心,营业办公区,外部网络,DCN,信息控制策略-局域网络控制,MAC地址绑定 广播风暴控制 D
13、HCP检查 ARP检查 BPDU防范,MAC地址绑定 广播风暴控制 BPDU防范,互联网,FE,FE,ACL uRPF ICMP限速 防DOS攻击,数据中心,营业办公区,外部网络,DCN,ACL,uRPF,ICMP限速,信息控制策略-网络异常控制,互联网,FE,FE,ACL uRPF ICMP限速 防DOS攻击,终端MAC地址绑定,PVLAN,ACL限定用户的地址,CSA保护用户主机,在发现攻击后通知监控系统,数据中心,营业办公区,外部网络,DCN,终端MAC地址绑定,用户认证/动态Vlan分配,DHCP端口跟踪分配,ACL限定用户的地址 NAC准入控制,ACL,uRPF,ICMP限速,防火墙
14、安全控制,保护内网网段,IDS检测异常数据流量,发现危险网段,信息控制策略-具备全面网络安全管理能力的控制策略,远程节点的安全防护,VPN远程安全接入,无线安全防护,连接互联网安全,目录,信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS,什么是思科网络安全准入控制(NAC)?,思科 网络准入控制(NAC)是由思科领导的行业项目,主要用于限制各种新兴安全威胁所造成的伤害 在NAC中,可以只允许符合要求的可信端点设备(如PC、服务器和PDA等)访问网络,并限制不符合要求的设备访问网络 NAC旨在大幅度提
15、高网络识别、抵御和适应威胁的能力 NAC是 思科自防御网络计划的第一个阶段,目前企业/SP DCN内部桌面管理系统面临的问题,终端用户的身份控制以及访问权限控制 Windows 操作系统的安全漏洞,易被黑客或者病毒利用,比如造成蠕虫病毒泛滥 员工访问危险的网站 员工安装非授权的危险软件,或者没有安装指定的安全软件(如杀毒软件) 员工违反安全规定,擅自使用可移动存储设备(如CD、U盘、移动硬盘等),易于泄漏内部资料 员工私自安装双网卡、电话拨号、ADSL等上网 PC机数量太多,管理人员维护、监控困难 导致:60-70% 的系统及网络安全隐患 来源于公司内部,之前的网络准入方法 依靠单纯的用户名密
16、码认证机制,“Hello.”,Alice: “Hello.”,Bob: “Hello. I am an administrator”,Granted,Granted,Granted,Granted,Chuck: “I am running an unpatched Windows 2000 system. I am Gigabit Ethernet connected with worm de jour and this one is really nasty. Have a nice day!”,Chuck: “Hello. I am in dales”,正确的方式: Network Adm
17、ission Control,附加检查策略:IdentityWindows XPService Pack 2CTA 2.0Anti-VirusPatch Management,Chuck: Sales 我是合法身份用户 Windows 2000 No Service Pack No Anti-Virus No Patch Management,Remediation Server,被隔离Quarantine,Posture Servers,Directory Server,NAC 设计的SOX符合性,NAC的安全架构设计,NAC安全架构首次实现了IT系统整体协作的安全 NAC安全架构有效集成联
18、合了多层面的防护系统,包括:网络接入安全、用户认证、终端安全 NAC安全架构构建了纵深防御的安全防护体系,Security Architecture It Governance Data Center Consolidation ERP Consolidation,NAC涵盖多项安全防护需求,NAC安全框架的主要功能,一体化的网络安全准入控制策略,能帮助企业克服下列问题: 安全策略实施 安全状态的评估 访问控制 系统安全 管理,NAC安全框架的关键特性,实施设备的安全准入策略 为用户提供合适的资源访问 包括终端系统的安全 监视软件系统的安装 防止敏感信息和数据的泄漏 收集、分析和管理IT信息,
19、实施NAC对SOX符合性的好处,Cisco NAC addresses COBIT controls: 集中化的网络安全准入管理 安全整体的IT架构设计 基于角色的访问管理 扩展的、细粒度的访问控制 实时监控,CISCO NAC是遵循SOX符合性设计的安全架构 满足IT内控中多方面的安全需求,思科网络准入控制方案 两套网络准入控制解决方案定位分析,NETWORK ACCESS DEVICE,AUTHENTICATION POLICY,ENFORCEMENT,DISCOVERY,REMEDIATION,NAC Applc. Agent,ACS,AUTHENTICATION,ENFORCEMENT
20、,DISCOVERY,POLICY,REMEDIATION,Cisco Trust Agent,NAC FRAMEWORK,NAC APPLIANCE,NAC Framework: 全网部署思科网络设备、兼容Dot1X认证、由第三方产品提供端点分析以及升级服务、建议与主机安全防护解决方案捆绑销售推广(CSA)。实施设备要求简单:最低配置仅需要ACS 4.0。 NAC Appliance: 适用于多厂商环境、综合用户身份认证、端点分析以及补丁升级服务于一体的安全解决方案,组网必须要求CAM/CAS服务器。无需网络设备支持DOT1X特性。配置简单 实施难度低 适用范围广!,ENFORCEMENTC
21、AS/CAM,Cisco Clean Access Components 瘦Client管理模式 由CAM管理CAS,Cisco Clean Access Server (CAS) - NAC Appliance Server (NAS) Serves as an in-band or out-of-band device for network access control Cisco Clean Access Manager (CAM) - NAC Appliance Manager (NAM) 集中管理控制 Centralizes management for administrator
22、s, support personnel, and operators Cisco Clean Access Agent(客户端软件) Optional lightweight client for device-based registry scans in unmanaged environments Rule Set Updates Scheduled automatic updates for anti-virus, critical hotfixes and other applications,Network Access Device,Cisco Clean Access Age
23、nt (optional),LDAP, RADIUS,NTLM,KERB,NAC Appliance 相关重要组件及功能描述,98, ME, 2000, XP,Clean Access Manager,Host,Clean Access Server (scanning, remediation),SSL,Integration w/ AD, RADIUS, LDAP, Kerberos, etc.,Auth Server,Policy and remediation,CAS OOB Switches (2940, 2950, 2960, 3550, 3560, 3750, 4500, 650
24、0) CAS IB 模式 支持多厂家环境 VPN Concentrators (3K, ASA, ISR/IOS, WebVPN),SSL,SNMP,Cisco Security Agent (opt.),OS,Security Apps,THE GOAL,Intranet/ Network,Cisco Clean Access 认证流程概述,2.,User is redirected to a login page Clean Access validates username and password, also performs device and network scans to a
25、ssess vulnerabilities on the device,Device is noncompliant or login is incorrect User is denied access and assigned to a quarantine role with access to online remediation resources,3a.,Quarantine Role,Cisco Clean Access Server,Cisco Clean Access Manager,Authentication Server,Cisco Clean Access 解决方案实
26、现方法要点总结,CCA可以使用两种机制来对于客户机的健康状态进行检测: Network Scanning 1、集成第三方脆弱性扫描工具实现对于客户端的健康状态检查,基于检查结果对于客户机采取相应的准入控制策略。 此方法部署简单,无需客户端安装其他检测程序。 客户端安装Optional Agent (CCA Agent) 1、由CCA Agent收集客户机相关信息(Hotfix/AV/Anti-spware),来确定主机的健康状态。基于检查结果对于客户机采取相应的准入控制策略。 2、此方式可以与Network Scanning集成使用,两者同时启用的情况下,认证为逻辑AND的关系,基于两者检查结
27、果对于客户机采取相应的准入控制策略。 CCA 功能组件的具体分工( CAM/CAS/CCA Agent ): CAM:CAM 部署策略,集中管理CAS,接受来自CAS的用户检查报告并且进行分析,告知CAS用户的健康状况。 CAS: 接受CAM的管理,拦截用户HTTP请求重新定向、进行Network Scanning、收集CAA Agent信息等功能,并且发送给CAM分析。根据CAM检查结果,对于接入用户分配ACL限制,或者利用SNMP方式通知交换机对于用户进行相应的VLAN分配操作。 CCA Agent: CCA Agent收集客户机相关信息(Hotfix/AV/Anti-spware), P
28、rovides built-in support for 24 AV vendors and 17 AS vendors,CAS Foundation: Virtual Gateway & Real IP Gateway,Clean Access Servers at the most basic level can pass traffic in one of two ways: Bridged Mode = Virtual Gateway Routed Mode = Real IP Gateway / NAT Gateway Any CAS can be configured for ei
29、ther method, but a CAS can only be one at a time Gateway mode selection affects the logical traffic path Does not affect whether a CAS is in Layer 2 mode, Layer 3 mode, In Band or Out of Band,CAS Foundation: In Band & Out of Band,Clean Access Servers have two traffic flow deployment models In Band O
30、ut of Band Any CAS can be configured for either method, but a CAS can only be one at a time Selection is based on whether the customer wants to remove the CAS from the data path CAS is ALWAYS inline during Posture Assessment,In-Band and Out-of-Band 区别及应用定位,A single deployment can contain both in-ban
31、d (e.g. for wireless) and out-of-band (e.g. for wired) Clean Access Servers,End User Experience: With CCA Agent,4.,Login Screen,Scan is performed (types of checks depend on user role),Scan fails,Remediate,ACSv4.0,Remediation Server,Directory Server,Anti-Virus Server,后台服务器,Posture Validation Servers,
32、Audit Server,CS-MARS,NAC Framework Deployment Architecture,思科网络接入设备,接入方式,LAN,Remote,WAN,Any,网络准入控制(NAC),NAC Framework方案: 增强基于端点安全的准入控制,思科 ACS服务器,反病毒供应商服务器,试图通过网络访问主机,思科信任代理,RADIUS,HTTPS,EAP,Switch Platforms 重点部署模式平台兼容性:L2 IP 及 L2 802.1X,Strong NAC Partner Program http:/ VIRUS,REMEDIATION,CLIENT SECU
33、RITY,AUDIT,目录,信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS,CSA端点安全可以帮助你做什么?,统计PC上安装了哪些应用程序:例:CSA能统计机器上都安装了哪些应用程序,以及安装的版本。如是否安装了BT等软件。 调查应用程序的运行情况:例:CSA能统计哪些应用程序在运行,并生成相应的报表。 禁止安装某些应用程序、禁止运行某些应用程序:例:CSA能够禁止PC运行不符合公司策略的应用程序,如BT,IM。 保护敏感数据,不允许复制、拷贝:例:被保护的文件可以打开阅读,但是不能复制,无论是复
34、制文件或文件夹,都不允许,也不能从文件中拷贝、粘贴内容出来,所以是非常好的防止机密信息泄漏的方法。 禁用USB等移动设备:Ex:USB、光驱等各种可移动设备,常常是引入病毒、风险的入口。CSA可以设定不允许使用PC上的这些设备,或者只能看设备上有什么内容,但是不允许读。只有当管理员授权时,才能使用和访问。 统计并能够限制应用程序对网络使用、中央集中控管、报警、报表 CSA结合NAC能提供非常强大的终端控管功能,CSA还能配合IPS减少误报率,作为HOST IDS还能够将信息报给MARS,CSA Approach: Behavioral Protection for Endpoints,Targ
35、et,1,2,3,4,5,探测,进入,持续,传播,发作,Ping地址 扫描端口 猜测用户帐号 猜测邮件用户,邮件附件 缓冲区溢出 ActiveX控制 网络安装 压缩消息 猜测后门,创建新的文件 修改现有文件 弱化注册表安全设置 安装新的服务 设置陷阱后门,攻击的邮件副本 Web连接 IRC FTP 感染文件共享,删除文件 修改文件 设置安全漏洞 导致计算机崩溃 拒绝服务 窃取机密,Many points when and attack could be stoppedThe more defense points, the betterThe earlier the attack is sto
36、pped, the better before it reaches the endpoint is best,Correlation,HTTP (80),CONNECT() System Call,Browser,OPEN(WRITE) System Call,Downloaded Content,Port 6667,CONNECT() System Call,Malicious behavior is most accurately identified in context. Cisco Security Agent correlation does this automatically
37、 no configuration required.,Modify Registry Run Keys,Open Command Shell,Overwrite System Files,Cisco Security Agent Consolidates Multiple Endpoint Products,Only one agent to purchase Only one agent to deploy Only one agent to manage No signatures to test and deploy,Extensible Capability = Investment
38、 Protection Single Agent Protection = Increased ROI,Desktop Protection: Distributed Firewall Day Zero Virus/Worm Protection File Integrity Checking Application security Policy Enforcement,Server Protection: Host-based Intrusion Prevention Day Zero Virus/Worm Protection Operating System Hardening Web
39、 Server Protection Security for other applications,CSA Architecture,CSAMC,Server Agent,Server Agent,Policy Updates,Alerts,Policy is centrally defined at CSAMC Agents enforce policy locally, connected or not All communications via HTTP and SSL,Browser-based Management GUI,Configuration,Reports, Event
40、s,VMS SecMon/Other Monitoring Apps,Desktop Agent,Desktop Agent,Desktop Agent,Dynamic States using NAC,CSA Version: 5.0 CSA MC:CSA.CISCO.COM,CSA State: HEALTHY,NAC Posture: HEALTHY,CSA Version: 5.0 CSA MC:CSA.CISCO.COM CSA State: TESTMODE ON,CSA State: REMEDIATE,NAC Posture: REMEDIATE,Dynamic Policy
41、Change,Normal Policy,ACS,Trusted Boot,BIOS Update,No CSA running,NAC Posture: QUARANTINE,CSA State: INSECURE BOOT,NAC Posture: REMEDIATE,Boot to primary disk,Dynamic Policy Change,NAC,Boot to non-primary disk,Cisco Security Agent & NAC Understanding the Differences,Network Admission Control (CTA),Ci
42、sco Security Agent,Network Access Control According to Posture,Enforce Patch and AV Policy for all Hosts,Network Access Decisions for all Hosts,X,X,X,Security Posture Checks on Incoming Systems,X,Performance,Windows CPU Usage: 1-5% Solaris CPU Usage: 3-10% Memory Usage: 7-10MB, up to 20 Network Impa
43、ct: Policy download: 35-70k Event: 3k Poll: 2.5k Polling Interval change: 3k Software Update: varies Transactions per second is a very good way to measure latency,目录,信息系统网络现状和发展趋势 SOX符合性对信息系统控制的要求 思科网络准入控制方案(NAC2) 思科终端安全防护方案 安全信息管理CS-MARS,目前网络安全方面面临最大的问题是什么?,Visibility,管理!,针对安全事件的响应,企业网络安全首要目标 :,以最佳
44、的方式保持网络的正常运行,安全管理问题主要归结,对实时安全信息不了解,无法及时发出预警信息。,安全设备的管理往往是孤立的安全设备,缺乏整个“网络”的意识,事件发生后,无法及时确诊网络故障的原因或感染源/攻击源,网络业务恢复时间长。,对某些特定安全事件没有适合的方法,如DDoS攻击,蠕虫病毒等。,缺乏“经验丰富”的网络安全专家去监控,分析,解决问题;成本比较高。,IT管理者的期望:,安全的网络 一个能集中管理所有产品 信息、 智能化的安全管理中心,信息安全管理体系结构的改变,系统安全管理,安全设备管理,加强安全管理的需求,安全的网络安全网络管理模型安全信息管理管理中心( SMC),业界领先的ST
45、M安全威胁管理设备 -思科监控分析和响应系统 (MARS),利用您的现有投资来创建 “普遍计算” 关联来自企业各处的数据 NIDS,防火墙,路由器,交换机,CSA 系统记录, SNMP,RDEP,SDEE, NetFlow, 终端事件记录 迅速定位和抵御攻击,主要特性 根据设备信息、事件和“会话”,来确定安全事件 了解事件的拓扑,以便查看和重放 在 L2 端口和L3检测点进行防御 高效扩展,可实时使用,思科 CS-MARS工作流程,来自不同安全设备的海量安全信息进入CS-MARS CS-MARS对安全事件信息进行规则化统计 CS-MARS对安全事件信息进行规格化 对地址翻译信息和连接状态信息进
46、行关联处理 对安全信息进行规则关联 - 丢弃规则 - 系统预定义规则 - 用户自定义规则 虚假错误信息分析处理 对可疑主机进行弱点评估,以过滤虚假信息 统计流量模型来发现异常,CS-MARS 流程典型例子,企业用户的安全管理需求,如何管理多厂商安全设备? -思科 CS-MARS 支持多厂商设备,网络 Cisco IOS 11.x 和 12.x, Catalyst OS 6.x NetFlow v5/v7 NAC ACS 3.x Extreme Extremeware 6.x 防火墙/VPN Cisco PIX 7.x, IOS Firewall, FWSM 1.x & 2.2, VPN Con
47、centrator 4.x, Cisco ASA CheckPoint Firewall-1 NG FPx, VPN-1 NetScreen Firewall 4.x, 5.x Nokia Firewall IDS Cisco NIDS 3.x & 4.x, 5.x, IDSM 3.x, 4.x, 5.x Enterasys Dragon NIDS 6.x ISS RealSecure Network Sensor 6.5, 7.0 Snort NIDS 2.x McAfee Intrushield NIDS 1.x NetScreen IDP 2.x Symantec ManHunt 3.x
48、,漏洞评估 eEye REM 1.x Foundstone FoundScan 3.x 主机安全 Cisco Security Agent (CSA) 4.x McAfee Entercept 2.5, 4.x ISS RealSecure Host Sensor 6.5, 7.0 Symantec AnitVirus 9.x 主机记录 Windows NT, 2000, 2003 (有代理和无代理) Solaris Linux 系统记录 通用设备支持 应用 Web 服务器 (IIS, iPlanet, Apache) Oracle 9i, 10i 数据库审查记录 Network Appliance NetCache,Note: Visit for complete device support listing http:/
