ISS公司安全解决方案.ppt_三一文库31doc.com

资源描述

《ISS公司安全解决方案.ppt》由会员分享，可在线阅读，更多相关《ISS公司安全解决方案.ppt（74页珍藏版）》请在三一文库上搜索。

1、ISS公司安全解决方案介绍,李明高级技术顾问,ISS技术交流提纲,1、ISS公司背景介绍 2、ISS企业安全平台（ESP）介绍 2.1 ISS网络入侵防护系统（NIPS）介绍 2.2 ISS网络异常检测系统（ADS）介绍 2.3 ISS安全网关介绍 2.4主机入侵防护系统（HIPS）介绍 2.5 ISS桌面安全防护系统（Desktop）介绍 2.6 ISS网络扫描器（Scannner）介绍 2.7 ISS 安全管理平台介绍 3、总结 4、问答,全球顶级的独立IT安全供应商成立于 1994 总部位于 Atlanta, USA 1998 IPO NASDAQ: ISSX 在 27 个国家

2、有 1,200 名雇员全球 11,000 企业用户全球顶级的安全智库全球顶级的预防安全供应商全球顶级的托管防护服务（MSS）供应商 2005 年收入近3.3亿美元持续赢利、无负债、持有现金和有价证卷为 $238 million,ISS 公司背景,拥有全球最多顶级安全需求客户，无与伦比的记录。,20/20 全球最大十个政府根据 GNP,10/10 全球最大十家保险公司,10/10 全球最大十家 IT 公司,10/10 全球最大十家银行,ISS 顶级的独立 IT安全解决方案供应商,我们如何实现前瞻性防护,Proventia 企业安全平台四步骤不间断实现:,Proventia ESP 产

3、品和服务概述,ISS 安全防护防护解决方案,网络安全 Proventia 网络入侵防护系统 Proventia 网络异常检测系统 Proventia 安全网关服务器/桌面安全服务器安全 Proventia Server 桌面机安全 Proventia Desktop 漏洞评估网络扫描Internet Scanner 综合安全管理系统 Site Protector,Proventia 网络入侵防护系统,ISS Proventia IPS,Proventia IPS 系列设备可自动地分析网络通信，访问控制、阻断黑客入侵、蠕虫、拒绝服务攻击、木马、缓冲溢出攻击、间谍软件,保证网络带宽、可用性和

4、安全性,Proventia Network IPS 有效阻挡攻击,功能有效地阻断恶意或不想要的通信同时确保合法的通信顺利通过不受影响。,品质识别和分析 150+ 协议和数据格式。阻断超过2,500+ 攻击手法,益处保证带宽&保护重要的数字资产,为何选择 ISS 在安全业界十年如一日地持续为用户提供全球顶级的安全防护产品。,Proventia IPS 灵活部署选项,串联模拟模式 - 检测而没有阻断非常容易的从模拟到防护,Internet出口部署进行安全防护,主机和服务器集群的“Front-door”防护,什么使我们的分析如此独特?,ISS 公司 IPS 的技术核心是 “Hybrid P

5、rotocol Analysis Module”. ISS了解逻辑流和流量的状态 ISS能够提供了最精确的防护,ISS IPS的核心技术,协议分析超过150种协议包括 VoIP 协议,通信分析基于漏洞的防护可检测超过2,500种攻击手法,ISS 基于漏洞的防护的示例,分析并理解会话找出非法参数检测缓冲溢出尝试一次捕获所有变种,网络性能,串联设备需要以网络为中心的特点,intrusion prevention appliance,入侵防护系统带来的收益,实时入侵防护基于精确检测技术提供了IDS难以实现的前瞻性阻断功能未知攻击的防护在爆发之前检测潜在的漏洞阻断非法的流

6、量检测和阻断协议 GoToMyPC, VNC, PCAnywhere, MSN, Yahoo, AOL, ICQ, Kazaa, eDonkey, Gnutella, IRC, etc. 消除安全漏洞虚拟补丁Virtual Patch,权威第三方性能测试报告 Throughput,超过标称的最大Throughput 时延非常低 Fail-over 时间极好（非常短）超过标称的并发连接数 Nimda/Blaster 攻击阻断率 100% SYN flood攻击阻断率100%,The Tolly Group March 2005 ISS 千兆IPS 测试,Rated Throughput,权

7、威第三方性能测试报告时延 (Latency),超过电话质量的基线要求在SIP协议测试中性能优秀 ISS千兆IPS的性能可支持多于 10,000个并发的电话呼叫 (100K用户) ICSA VoIP Security Evaluation通过的第一个安全产品,ICSA Lab ISS 千兆IPS测试,Min. Acceptable,防护能力,防护引擎的核心是多种方法,入侵防护(IPS)设备,Network Computing Jan 2005 ISS 是唯一的在防护的有效性类别中打5分的厂商超过150种协议，超过2500种事件有效性是任何人考虑IPS产品的最重要的因素效率 = 防护,

8、入侵防护 IPS的效率,防护能力,研发和安全智能,研发可以确保前瞻性防护,强大的研发力量能针对未知的威胁提供有效的防护,ISS,Source: Frost & Sullivan (April 2005),Figure 2: High Risk Vulnerabilities (98 05),#1 (51.1%),Proventia Network IPS 行业领导者,Figure 1: Magic Quadrant for NW IPS Appliances (2H05),Source: Gartner (November 2005),Proventia成为入侵检测/防护的标准,Sourc

9、e: IDC, Worldwide Intrusion Detection and Prevention 2004.2008 Forecast and 2003 Vendor Shares: Introducing the FireDoor, October 2004, document # 32004,ISS 连续五年在入侵检测/防护全球市场份额居第一,Proventia 网络异常检测系统,今天安全的挑战,CONSTANT TURMOIL,CRUMBLING PERIMETER,REGULATION,今天,昨天,网络,策略,应用程序,INSIDE and OUTSIDE groups DEF

10、AULT DENY,HUNDREDS of groups DEFAULT ALLOW,TENS of applications WEB, MAIL, DNS,HUNDREDS of applications CUSTOM protocols, PAYROLL, TRADING,TENS of targets MEGABITS of traffic,THOUSANDS of targets GIGABITS of traffic,智能的网络安全入侵防护异常检测终端安全访问控制漏洞评估内容过滤更多 ISS的多层防护技术独特的防护今天的企业安全.,今天的安全解决方案,传统的解决方案不

11、能在众多策略中找到解决之道,您能通过勤奋地进行职责分配、策略编写、检查和评估从而解决安全问题吗？,Proventia ADS,异常检测如何工作,基于硬件, 分布式的内部 IPS 从现有的路由器和交换机收集网络 flow 信息创建深层, 动态的网络相关模型使用N维检测技术防护零天威胁，滥用和误用,多维的检测,Proventia ADS 不断的开发新的算法精确检测内部的威胁:,蠕虫检测检测异常行为的复制: SQL Slammer 蠕虫.,基于比率的异常检测检测从基准线上级别的流量: DoS 攻击.,Recon 检测检测 slow scans, fast scans, “stealth”

12、 scans, 和host sweeps.,内部滥用检测特定安全策略的违背的行为: helpdesk 的工作者访问 payroll database,有效性损耗检测在关键服务器和Link的丢弃的流量.,指纹检测 (ATF) 检测违背行为指纹的流量: 恶意代码, 钓鱼软件, 僵尸流量等等.,Proventia M 安全网关,Security Content Blades,防火墙VPN,入侵检测/ 入侵防护,防病毒,漏洞检测,内容过滤,反垃圾邮件,. . .,网关,网络,服务器,桌面,统一管理功能命令和控制发现可视化相关性部署报表工作流,Proventia 统一防护架构,Prov

13、entia M 安全网关,防火墙 / VPN 通过地址/端口设置允许/禁止对象的名单 DHCP 服务器 NAT, PAT DHCP 客户端 PPPoE (DSL/cable连接) 入侵防护和Proventia IPS相同的虚拟补丁Virtual Patch 技术,防病毒快速的文件分析 HTTP / FTP / SMTP / POP3 100% Wildlist 全覆盖单点管理反垃圾邮件阻断垃圾邮件多种检测算法内容过滤阻断不适当的Web内容先进的检测技术最大的站点索引,Proventia M 路由模式部署,防火墙/VPN 和入侵防护, 防病毒, Web 过滤和反垃圾邮件

14、在单一设备中 IP地址和子网掩码配置接口,Proventia M 透明模式部署,担当“桥( bridge)” 网络中不可见用法: 网络中已经有路由器对服务器提供防护最少的路由配置或网络变化,Proventia M 管理选项,管理: SiteProtector 集中管理或本地管理界面,混杂的威胁,单一安全设备解决各种问题,TCP/IP (Network),OS,Server Application User Application,Contents processed by application,Sniff / Session hijack,Unauthorized conne

15、ction,SPAM / Porn site / Unnecessary site,Virus,Attack against security hole,Worm,网络层,系统层,仅仅1个设备!,VPN,防火墙,防病毒,入侵防护,内容过滤/反垃圾邮件,ISS Proventia 安全网关特性总结,最新的安全技术 900 种漏洞阻断项可查杀超过12万种病毒可过滤超过 6千万个 URL 2.4 Billion 网站! 1.5 Billion 图片! 95% 的垃圾邮件过滤 1/10,000 的误报病毒防护系统（VPS）间谍软件防护最佳性价比,权威杂志 Network Computing

16、2005年4月份测评,主机安全解决方案,关键服务器的防护 Proventia 网络安全防护系统（通过在服务器池前置NIPS设备进行防护） Proventia Server （通过服务器上安装HIPS软件进行防护）桌面机的防护 Proventia Desktop（的多重防护的桌面防护产品）,Proventia Server Sensor,Proventia Server Sensor功能,监控主机上所有接口的网络流量 (使用 PAM) 检查操作系统/syslogs上内置或用户自定义的事件在web服务器上监控加密或未加密的http流量,Proventia Server Sensor配置防火墙

17、,配置防火墙基于IP，端口或协议阻断丢弃/接受流量使用隔离规则动态阻断,Proventia Server Sensor进行Web监控,Web 监控 HTTP 通过分析未加密的流量支持HTTPS 在到达web服务器之前要求通过高等级优先的ISS的过滤器和通过web服务器的过滤器,Proventia Server Sensor审计功能,审计当审计事件允许时， Server Sensor可以允许内核审计而不仅仅依赖于现存的userland输出可疑您可以配置Server Sensor额外的端口(未使用)来监听可疑流量用户自定义事件用户事件可以在任何的Logfile中创建监控 (可选使用

18、 RegEx) 或者在网络流量中监控自定义流量 (例如 URL中的dagmar),Heap & Stack memory,1011 010,BOEP,10 0110,Proventia Server Sensor BOEP,缓冲溢出防护 (BOEP),Proventia Server Sensor BOEP,缓冲溢出防护 (BOEP) 2 部分: 内核驱动和应用程序监控: 内核驱动系统调用 stack back-trace 确保在只读内存而非可写内存调用 (heap/stack) 应用程序监控驱动当系统出现缓冲溢出的时候报警并控制驱动结果 =溢出发生, 系统调用中断,Proventia Se

19、rver Sensor支持服务器版本,Windows Server Sensor 7.0 Windows Server 2003 (包括 SP1) Windows 2000 SP4 (Server 和Professional版本) Windows NT 4.0 SP6a 支持VMware Windows Server 2003 Standard Edition SP1 Windows Server 2003 Enterprise Edition SP1 Windows 2000 Server SP4 Windows 2000 Advanced Server SP4,Server Sensor

20、7.0 Solaris Server Sensor Solaris 8 & 9 HP-UX Server Sensor HP-UX 11.0 & 11i (11.11 only) AIX Server Sensor AIX 4.3.3, 5.1, 5.2 & 5.3 RedHat Linux Professional 8 & 9 RedHat Enterprise Linux 2.1 & 3.0,Proventia Server Sensor支持服务器版本,Proventia Desktop,TO COME,Proventia Desktop,Proventia Desktop,企业级桌面防火

21、墙高速攻击检测和防护应用程序保护病毒防护缓冲溢出防护 Site Protector集中管理,ISS在全球企业桌面防火墙市场排名第一,来源: IDC: 全球防火墙市场2004-2008预测和 2003 厂商的份额: Desktop Firewalls on the Move, September 2004, doc # 31839,漏洞评估产品Internet Scanner,默认帐户,Mis-use,Send-mail,web, mail, ftp .,DMZ,Internet Scanner,Internet Scanner 分布式扫描,从多个远程扫描器运行扫描并查看数据,资产鉴别

22、Ping Sweep 导入范围枚举,资产指纹库设备识别操作系统识别,策略管理 19 种默认策略支持自定义策略 FlexCheck 功能,报告管理层报告执行层报告技术层报告,漏洞检测 1800+ 安全检查项快速反应 X-Force 研发组织,控制启动、终止、暂停继续、远程、命令行,Internet Scanner,Internet Scanner主要功能,Internet Scanner 功能,真实扫描时间增强动态检查分配Dynamic Check Assignment Builtins/Plugins 并发运行可以设置不扫描打印机或未知设备用户定义 nmap 数据库扩

23、展紧密的IS/SP 整合 (Rescan / Pause / Resume) 发现功能（Discovery）无IP地址限制报告报告全部漏洞报告,Source: IDC: Worldwide Vulnerability Assessment and Management 2004-2008 Forecast and 2003 Vendor Shares: Assessing Risk and Compliance, October 2004, doc #32026,ISS 连续五年在漏洞评估全球市场份额居第一,SiteProtector 统一管理系统,SiteProtector 提供了

24、针对漏洞评估，桌面,服务器，网络和网关防护等的统一命令控制，分析和报表.,单独产品和管理,ALERT!,ALERT!,ALERT!,ALERT!,ALERT!,现实中意味着 .,高的总体拥有成本（TCO）分散的策略分散的部署分散的事件管理分散的报告分散的内容更新分散的软件升级没有事件相关性没有操作的可度量性没有人员的可度量性,ISS 集中管理平台,ALERT 1,ALERT 2,ALERT 3,ALERT 4,Site Protector 集中统一管理,SiteProtector 统一管理系统,统一视图在很小的格式下展示了很多信息!,右键菜单提供了数据分析向导,对ISS产品

25、的命令和控制. 资产组易于管理,高级过滤器和分析视图选项,显示在组中的资产 /漏洞数据,SiteProtector 统一管理系统,收益: 在单一的管理系统中部署和运维节省了时间和金钱快速分析 Fusion 模块简化事件调查,SiteProtector 含有Security Fusion模块简化和快速的事件调查,Security Fusion 模块整合攻击信息和漏洞信息,高风险漏洞来源: Frost & Sullivan 2006, Internet,ISS 最了解互联网的风险,业界奖项,Internet Security Systems 企业安全平台（ESP）意味着：,提供更多自动控制功能以降低 IT 安全总拥有成本集中化管理降低 IT 安全总拥有成本预防性方法意味着更容易调整的兼容性减少紧急应用补丁操作使您可以防患于未然更有效的安全意味着更多的正常运行时间和更少的泄密事件全面集成的安全体系架构意味着更简单更轻松地使用 Internet 安全所有这一切让您能够更加放心，不必总是剑拔弩张,总而言之 ISS 使您能够轻松面对所有这些威胁！,选择 ISS，选择安全,谢谢！,

展开阅读全文