企業無線網路與 最高應用層之安全防護天马行空官方博客：http:/t.qq.com/tmxk_docin ；QQ:1318241189；QQ群：175569632Agenda企業無線上網之應用與考量建置行動工作者安全便利的資訊伺服環境應用層防火牆之最新整合發展資訊安全決策支援系統 (SIM)n資訊安全現況分析n強化安全管理系統架構nSYSCOM-SIM解決方案網路安全的挑戰自動發動攻擊的時間1992年2004年6月4 個月3 個月2 個月1 個月幾週內Witty WormSasserCode Red檔案病毒BlasterZero Day“ “修正程式競賽修正程式競賽” ”持續在伺服器與用戶端發生持續在伺服器與用戶端發生天马行空官方博客：http:/t.qq.com/tmxk_docin ；QQ:1318241189；QQ群：175569632網路攻擊活動日益增強 趨勢1 - 自動化，攻擊工具速度快 趨勢2 - 攻擊工具愈來愈成熟 趨勢3 - 發現漏洞的速度愈來愈快 趨勢4 - 防火牆滲透性增加 趨勢5 - 非對稱的威脅增加 趨勢6 - 對基礎設施攻擊的威脅增加 網路安全嗎 ?InternetInternetPublic Public ServersServersDMZExternalExternalIntranetIntranetCritical Critical ServersServersCritical Critical Server Server FarmFarmWork Work StationStationAttackAttack防火牆被攻破了，怎麼辦？ 無法抵擋利用合法通訊的隱藏攻擊 無法防禦內部設備的攻擊Work Work StationStationWork Work StationStationHTTPHTTP、FTPFTP、SQL SQL 、TelnetTelnet、ICQ ICQ 、 Msn . AttackMsn . AttackAttackAttackAttackAttackAttackAttackAttackAttackAttackAttack強化安全管理系統架構強化安全管理系統架構天马行空官方博客：http:/t.qq.com/tmxk_docin ；QQ:1318241189；QQ群：175569632完整的資安防護體系模組 (元件)系統資安管理制度n CNS 17799n CNS 17800系統安全n 作業系統n 網 路n 應用系統n 實體安全安全產品n 軟體 ISA、SMSn 硬體組織零時差攻擊前的自我檢查是否無法在網路病毒攻擊前取得警告訊息沒有精準的方法預防病毒爆發無法提前在網路層掃描封包內是否有病毒，非得等到病毒 兵臨城下才在應用層加以掃描漏洞讓網路邊界失守找不到哪一台機器是感染源，更別提遠端清除受感染的機 器了修正程式的安裝趕不上隨漏洞而來的病毒速度無法判定網路脆弱環節無法在網路攻擊第一時間內，將易受攻擊的裝置加以隔離在網路病毒爆發前，由於時間因素或是對修正程式無法 100信任，而沒有將修正程式安裝在所有機器部署資安產品產生大量的事件怎麼辦 ?Host Host IDSIDSCritical Critical ServerServer+ +Critical Critical Server Server FarmFarmInternetInternetIDS1IDS1Public Public ServerServerDMZExternalExternalIntranetIntranetIDS2IDS2Vulnerability Vulnerability ScannerScannerIDP1IDP1IDP2IDP2LogLog LogLogLogLogLogLogLogLogLogLogLogLogLogLogScan Scan ResultResult防火牆事件記錄更 可達1 萬筆/秒以上根據客戶根據客戶IDSIDS實機測試實機測試 可達可達100100筆筆/ /秒秒以上，以上， ISP ISP 客戶甚至可達客戶甚至可達 10001000筆筆/ /秒秒以上以上SYSCOM SIM SYSCOM SIM 來幫你解決資安管理問題來幫你解決資安管理問題什麼是安全資訊管理 (SIM)什麼是安全資訊管理 SIM (Security Information Management) SIM 可將企業資安產品構成區域聯防， 將不同型態的事件紀錄蒐集關聯分析統計快速反應視覺化(Visualization)呈現SYSCOM-SIM系統架構作業系統網路系統防火牆入侵偵測弱點掃描事件紀錄 資料庫資產資料庫知識庫系統資料庫產品層資料層系統層紀錄查詢狀態顯示報表系統Microsoft .Net FrameworkMicrosoft SQL Reporting Service蒐集關聯、分析統計蒐集關聯、分析統計視覺化視覺化凌群資訊安全決策支援系統脆弱點掃描服務 Dragon soft , NessusIDS 入侵偵測系統 Symantec , Snort Log Audit service In site out KB & Alert Service Syscom & 龍網, CVE.NET 整合多點資料庫MS SQL DB交叉脆弱點掃描跨網段多點偵測Firewall等多系統LOG 整合事件通報應變管理系統脆弱點資料庫入侵偵測資料庫FW LOG 資料庫智庫END USERInternet一.使用者決策智庫建立 二.績效衡量與分析 三.風險交叉分析 四.多系統單一平台 五.多維度彈性報表產生FWFW設備資產資料庫SYSCOM-SIM 部署示意圖InternetInternetIDS1IDS1Public Public ServerServerDMZExternalExternalIntranetIntranetIDS2IDS2DatabaseDatabaseHost IDSHost IDSCritalCrital ServerServer+ +CritalCrital Server Server FarmFarmSYSCOM-SIMSYSCOM-SIMVulnerability Vulnerability ScannerScannerLogLogLogLogLogLog Scan Scan ResultResultListenListenListenListenListenListenListenListenListenListen攻擊事件統計與分析 弱點統計與分析 防火牆事件流量統計分析 整合交叉比對 事件紀錄報表SYSCOM-SIM的解決方法新的架構的新問題SYSCOM-SIM 的解決方案 每一個資安產品都有自己的檢視介 面 。可整合多台且異質的資安產品，提供統一的 事件記錄查詢 WEB 介面。大量的事件記錄如何處理 ？蒐整各產品的事件記錄，提供常用之分類查 詢功能，提供使用者快速查詢事件記錄功能 。 所有事件記錄都有意義嗎 ？將蒐整之事件記錄與掃描結果，依據國際 威脅 * 脆弱點 * 資產公式分析與統計， 產生更有用的管理資訊。 IDS Sensor 佈的點夠密嗎？可整合 Freeware SNORT IDS，降低建置成本 ，較能符合中小企業預算需求。 脆弱點掃描系統支援的 Client 數 夠嗎？可整合 Freeware NESSUS Vulnerability Scanner ，降低建置成本，較能符合中小企 業預算需求。 軟體偵測結果都正確 ?整合其他廠商產品，提供交叉比對功能，驗 證偵測與掃描結果，並可增加其他廠商產品 銷售。SYSCOM SIM樹狀選單區主功能區整合入侵偵測系統整合多種及多台IDS系統結合資產分類網路入侵狀態顯示與警告入侵事件查詢與說明入侵事件統計與分析風險評估與統計報表整合弱點掃描系統整合多種弱點掃描系統快速找出脆弱點最多的部門網段快速找出脆弱點的解決方案弱點處理績效統計弱點評估與統計報表整合防火牆系統提供防火牆紀錄快速查詢介面提供防火牆紀錄分析提供防火牆輸出入流量分析與報表功能交叉比對系統採用美國 CVE Mitre 組織之 CVE編號做產 品交叉比對同類型產品交 叉比對功能非同類型產品 交叉比對功能風險評估功能結合設備資產資料，依設備之重要性等級分類， 計算設備風險提供風險評估報表功能實施SYSCOM SIM的效益大幅提升網路攻擊偵測的準確度。提供更精準的風險評估報告。減少管理者對於處理資安產品之事件紀錄的 負擔。為企業提供更完善安全的網路安全架構。 Demo Site : http:/192.72.102.35/isechttp:/192.72.102.35/isec微軟 2004 Windows Server System 企業應用日