第一篇:某公安局网络安全方案
某公安局网络安全方案
(建议稿)
一、某公安局网络现状
某公安局网络作为信息基础设施,是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口,与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道,实现机关局域网络全部节点及终端设备的网络互联和系统集成,实现以信息交换,信息发布为主的综合计算机网络应用环境,为公安局管理、领导决策提供先进的技术支持手段。
整个某公安局网络通过统一的出口,64K的DDN专线接入上级省厅及全国各地公安网站,网络主干网通过一个Motorla(S520)路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网,两个子网通过路由器连接。在逻辑上,某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个,规模较大。
某公安局现有网络的拓扑结构见图一所示。
某公安局网络已经有了比较成熟的应用,包括www.xiexiebang.com1500路由器后面设置了一个带双网卡的HotDog计费型防火墙,实现网络层的安全控制防火墙后面连接昊普公司的HotCat安全认证计费系统,实现应用层的安全访问控制和安全管理。
1.2 边界防火墙HotDog的配置
边界防火墙采用昊普创业HotTiger硬件防火墙。其他采用HotDog该产品运行在具有安全核心的操作系统的基础上,保证防火墙的平台安全。
在某公安局网络安全系统一期建设中,将使用带双网卡的HotDog,并启动其IP包过滤、IP计费、地址翻译NAT、IP和MAC地址对应功能以及应用代理服务SQUID。
边界防火墙HotDog上面有两块网卡,可以配置两个不同的IP地址,其中一块使用合法的IP地址,另一块使用内部保留地址,如192.168.0.x,实现地址翻译NAT功能,达到隐藏网络内部地址的作用。通过HotDog,可以隔离内外网络,解决网络的边界安全问题。HotDog具有基于规则的包过滤功能,可以根据IP地址和TCP端口进行入出控制。同时HotDog可以把IP地址和网卡的MAC地址对应起来,防止IP被盗用的危险。
HotDog同时是一个应用代理防火墙,可以通过应用代理隔离内外网络。HotDog支持简单的用户身份认证,可以根据用户身份进行入出控制。
HotDog具有比较全面的计费功能。HotDog的计费是可以根据IP和用户进行双向计费的,就是说可以针对内部网络的IP进行流出和流入的计费,也可以针对外部网络IP到我们的防火墙的流量对其进行计费,而且对于要求用户验证方式的Firewall/Proxy,HotDog还可以提供基于用户的流量计费。
1.3 应用层安全拨号认证计费服务器HotCat的配置
在边界防火墙HotDog之后,设置了一个应用层的安全服务器,采用昊普创业HotCat拨号认证计费系统。一期建设使用一个带100,000用户的HotCat拨号认证计费安全服务器软件。某公安局网络运行的应用很多,解决应用层的安全问题是这次网络安全解决方案的重点。在传统的观念中,配置防火墙就是解决安全的全部。事实上,网络建设中网络部分仅仅是一个基础,更重要的是建立公安局的网络应用,就如我们不是为修路而修路,而是为了跑车才修路。
前面我们分析了某公安局网络系统的应用层安全需求,通过HotCat拨号认证计费安全服务器软件,将解决这些问题
HotCat--网猫系统是专门为设计的拨号上网用户身份认证和计费系统。它采用目前国际通用的Radius(Remote Authentication Dial In User Service)认证和计费标准,具有良好的扩展性和兼容性。该系统运行于Unix和Linux系统环境下,与HOTCAT--网猫2.1计费系统结合可以完成对拨号上网用户的身份认证和计费全过程。
此系统包括三个模块:用户身份认证模块,实时记录模块和计费模块。
HotCat--网猫系统可运行在各种常见的UNIX平台上。目前经过实际测试的有以下操作系统: Sun公司的Solaris 2.5.1(以上)操作系统; Linux Redhat 5.0(以上)操作系统。
二、用户身份认证模块(Radius模块)用户身份认证模块提供对拨号用户的身份认证和属性设置,它能实现以下功能: 用户身份认证 用户权限设置
1、限制用户的同时上线数目
2、限制用户的上线时间
3、禁止用户上线
三、费用计录模块(Builddbm模块)
HOTCAT--网猫2.1计费系统将从该文件中读取信息并进行费用计算。
四、费用计算模块(HotCat--网猫2.1模块)
五、系统支撑环境及其运行 5.1 系统运行环境
HotCat--网猫拨号上网认证及计费系统运行在UNIX环境下,目前经过测试的系统平台有: Sun公司的 Solaris 2.5.1(以上)操作系统 Linux Redhat 5.0(以上)
由于我们同时支持Solaris和Linux操作系统,因此HOTCAT--网猫2.1计费系统可以运行在Sun服务器和低档PC服务器上。但对计费系统这样需要大计算量和高可靠性的系统而言,我们并不推荐使用低档PC服务器,另一方面,低档服务器所能容纳的用户数量也较少。5.2 系统性能评价
到目前为止,已经有两家中等规模(用户数在一到两万人之间)的ISP公司购买了HOTCAT--网猫2.1系统,并使用了近两年。使用的硬件设备是Sun Ultra 2服务器,运行环境为Sun Solaris 2.5.1操作系统。经统计分析,每台Sun Ultra 2服务器大约能支持8,000到10,000左右的用户,能支持大约600-800个同时上线用户;在容纳10,000用户的情况下,计费系统每天运算时间大概为3至6分钟不等,运算期间占用处理器95%以上的资源,计算时间选择在凌晨两点进行 5.3 系统的运行
利用Unix Crontab可以在每天定时运行HOTCAT--网猫2.1系统,对前一天的用户信息进行统计分析。由于运算要占用大量的系统资源,因此通常选在凌晨02:00:00到05:00:00之间进行,这时的网络和服务器都接近空载运行,因此对系统的影响最小。除了report32在月底结算时运行外,其余ss32、day32、month32程序都是由UNIX Crontab激活,每天凌晨定时运行。在特殊情况下,系统管理员也可以手工运行HOTCAT--网猫2.1系统进行计费运算,除非系统突然崩溃,造成当天的计费系统没有正常运行,否则不需要手工运行系统。
1.4 某公安局网络安全管理
某公安局网络安全管理包括网络层和应用层两方面,网络层主要是通过网管软件的配置来完成的。下面我们重点介绍应用层的安全管理。
应用层的安全管理以用户身份认证和授权管理为重点。使用网络安全技术中的安全管理控制台软件。
1.6 小结
通过一期建设,将使某公安局网络系统具有一个基本的安全保障系统,即在网络层和应用层都有相应的安全措施,网络层防火墙的基本功能基本实现,应用层的基本需求也满足了。但是还存在不足的地方,需要在二期建设中解决,包括:
1)网络层的安全管理并不是很完善,需要增加安全检测; 2)需要解决应用层对除Web服务之外所有服务的安全控制; 3)在应用层,需要解决可靠性和负载平衡问题。
2. 二期解决方案
二期建设主要是解决上面提到的三个问题。2.1 安全网络拓扑结构
二期建设完成之后,某公安局的安全网络拓扑结构如图所示。
与一期建设的安全拓扑结构相比,二期结构使用一个带三网卡的HotDog防火墙,并启动安全检测功能。增加了一个HotContorl安全认证服务器作为CA。
使用带三网卡的HotDog防火墙,可以直接连接HotContorl安全认证服务器作为CA。组成一个非军事化区,以便更好地隔离内外网络。
2.2 网络安全检测系统
采用HotEagie—网鹰安全检测软件包,可以及时发现某公安局网络内部存在的安全漏洞。HotEagie—网鹰安全检测软件包可以检测网络服务、操作系统存在的安全漏洞,模仿多种黑客的攻击方法,不断测试安全漏洞,并将测出的安全漏洞按照危害程度列表。在安全漏洞检测软件的支持下,通过网管软件或人工配置的方法,可以完备系统配置,消除多数人为的系统管理安全漏洞(如:必须禁止超级用户的远程登录,不能使用早期的SENDMAIL版本)。安全检测是网络日常管理的重要内容,是网络安全可靠运行的重要保证。
安全检测是一支“矛”,测出了网络存在的安全漏洞,针对这些漏洞采用安全防护措施,架设必要的“盾”,是系统安全管理的关键内容。
3.总结
结合网络的层次结构和管理需求,某公安局网络的安全解决方案包括网络层安全方案、应用层安全方案和安全管理三个方面。整个安全方案以安全管理为导向,实现了覆盖网络层、应用层的立体安全解决方案。整个方案既保证了网络的边界安全,又保证了网络的内部安全,同时实现了系统安全和数据安全,是一个全面解决方案。
某公安局拓扑图
第二篇:网络安全管理方案
天津电子信息职业技术学院
《网络安全管理》报告
报告题目: 姓名: 学号: 班级: 专业: 系别: 指导教师:
安阳大学网络安全管理
郭晓峰 08 网络S15-4 计算机网络技术 网络技术系 林俊桂 摘要:校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒 体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网 络上运行。如果一所学校包括多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。其次,校园网应具有教务、行政和总务管理功能。
因此,网络安全管理成为建设校园网的重点,所以本文就是说明校园网络如何安全管理,主要运用防火墙和监测系统,来实现校园网络的安全。
关键词:校园网,网络安全,管理。
目录
一、单位简介.................................................................1
二、校园网管理...............................................................1 2.1校园网管理目的.......................................................1 2.2校园网管理相关内容...................................................2 2.3网络管理.............................................................3
三、网络安全策略.............................................................4 3.1校园内部网络安全与病毒防范...........................................4 3.2校园网服务器的安全...................................................5 3.3网络安全策略配置.....................................................6 3.4校园网基于vlan的安全部署............................................6
四、总结.....................................................................7
一、单位简介
安阳大学是我省省属重点大学。该校拥有已开通信息点1万多个,上网电脑一万多台,校园网师生用户群多达2万余人。校园网已经成为全校师生员工日常学习、工作中不可或缺的重要信息平台。
安阳大学的网络结构分为核心、汇聚和接入3个层次,网络类型分为教学子网、办公子网、学生宿舍子网。接入方式包括拨号上网、宽带接入、无线上联等各种形式。校园网双出口结址和8 个ChinaNet 的IP 地址。校园网资源建设成效显著,现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习的平台,图书馆丰富的电子图书资源,教务处的学分制教学信息服务网、科技处的科研管理平台等。众多的资源服务构成了校园网的资源子网,为广大师生提供了良好的资源服务。
二、校园网管理
2.1校园网管理目的
校园网管理的主要目的是保障网络运行的品质,如维持网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理,可分为下列几项:
(1)系统管理随时掌握网络内任何设备的增减与变动,管理所有网络设备的设置参数。当故障发生时,管理人员可以重设或改变网络设备的参数,维持网络的正常运作。
(2)故障管理为确保网络系统的高稳定性,在网络出现问题时,必须及时察觉问题的所在。它包含所有节点动作状态、故障记录的追踪与检查及平常对各种通讯协议的测试。
(3)效率管理在于评估网络系统的运作,统计网络资源的运用及各种通讯协议的传输量等,更可提供未来网络提升或更新规划的依据。
(4)安全管理为防范不被授权的用户擅自使用网络资源,以及用户蓄意破坏网络系统的安全,要随时做好安全措施,如合法的设备存取控制与加密等。
(5)计费管理了解网络使用时间,能针对各个局部网络做使用统计。一则可作为使用网络计费的依据,更可作为日后网络升级或更新规划的参考。
(6)信息管理网络上的信息分成两部分,一是由管理员放置的信息,它们的品质一般 较高;另一部分是由用户放置的,可能会有一些问题,要对这部分信息进行管理。
2.2校园网管理相关内容
拓扑图
(1)布线系统的日常维护。做好布线系统的日常维护工作,确保底层网络连接完好,是计算机网络正常、高效运行的基础。目前,城域网和广域网之间的互连除了微波、卫星通道等无线连接方式外,室外光缆铺设仍然是唯一的有线连接途径。对布线系统的测试和维护一般借助于双绞线测试仪和规程分析仪、信道测试仪等,智能化分析仪器的使用提高了布线的管理水平和管理效率,可以更好地保证计算机网络的正常运行。
(2)关键设备的管理。无论何种规模的计算机网络,关键设备的管理都是一项相当重要的工作。这是因为,网络中关键设备的任何故障都有可能造成网络瘫痪,给用户带来无法弥补的损失。校园网中的关键设备一般包括网络的主干交换机、中心路由器以及关键服务器。对这些关键网络设备的管理除了通过网管软件实时监测其工作状态外,更要做好它们的备份工作。对主干交换机的备份,目前似乎很少有厂商能提供比较系统的解决方案,因而只有靠网络管理员在日常管理中加强对主干交换机的性能和工作状态的监测,以维护网络主干交换机的正常工作。
(3)IP地址的管理。在TCP/IP协议已经成为事实上的工业标准的今天,TCP/IP网络主的任何一台工作站都需要有一个合法的IP地址才能够正常工作。在构建:规划计算机网络时,应做好机构内部各部门对上网业务的需求调查和统计,确定计算机网络规模。IP地址管理得当与否,是计算机网络能否保持高效运行的关键。如果IP地址的管理手段不完善,网络很容易出现IP地址冲突,就会导致合法的IP地址用户不能正常享用网络资源,影响网络正常运行,甚至会对某些关键数据造成损坏。
(4)其他管理工作。当然,对应于不同的网络环境,还有很多管理工作要做。随着内 部网和Internet的相互连通,网络管理员除了要维护各种数据的可靠性外,还要保证机密数据的安全。因此,计算机网络的安全管理(如防火墙的设置)又成为网络管理中一个非常重要的方面。
2.3网络管理
网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
(1)网络管理的内容
网络故障管理;网络配置管理;网络性能管理;网络计费管理;网络安全管理;容错管理;网络地址管理;软件管理;文档管理;网络资源管理。
(2)网络管理的手段
在校园网络管理方面,为了便于校园网络管理人员的管理及维护,我们选购Quidview网络管理软件。Quidview网络管理软件基于灵活的组件化结构,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。
Quidview网络管理软件采用组件化结构设计,通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。
·网络集中监视。Quidview网络管理软件提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。
·故障管理。故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。
·性能监控。Quidview网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的门限,当性能超过门限时,可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况,为优化或扩充网络提供依据。
·服务器监视管理。服务器是企业IP架构中的重要组成部分,通过Quidview,可实现服务器与设备的统一管理。
·设备配置文件管理。当网络规模较大时,网络管理员的配置文件管理工作将十分繁重,3 如果没有好的配置文件维护工具,网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。Quidview网络配置中心支持对设备配置文件的集中管理,包括配置文件的备份、恢复以及批量更新等操作,同时还实现了配置文件的基线化管理,可以对配置文件的变化进行比较跟踪。
·设备软件升级管理。Quidview提供完善的设备软件备份升级控制机制。使用Quidview,管理员可以方便地查询设备上运行的软件版本,并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时,可以利用Quidview集中备份设备运行软件,然后进行批量升级。升级之后,可以使用Quidview进行升级结果验证,确保升级操作万无一失。
·集群管理。针对大量二层交换机设备的应用环境,Quidview网络管理软件提供集群管理功能,通过一个指定公网IP的设备(称作命令交换机)对网络进行管理。
·堆叠管理。Quidview网络管理软件通过堆叠管理,可以集中管理较大量的低端设备,并且为用户提供统一的网管界面,方便用户对大量设备的统一管理维护。
·故障定位与地址反查。针对最为常见的端口故障,Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试;当用户报告网络端口使用异常时,网络管理员可以通过网管对指定用户端口做环回测试,直接定位端口故障。
·RMON管理。RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。
三、网络安全策略
3.1校园内部网络安全与病毒防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
(1)配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地 阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
(2)采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(3)ip盗用问题的解决。在路由器上捆绑ip和mac地址。当某个ip通过路由器访问internet时,路由器要检查发出这个ip广播包的工作站的mac是否与路由器上的mac地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个ip广播包的工作站返回一个警告信息。
(4)加强学生的法制教育和德育教育。学生机房管理时感慨地说:“学生的破坏能力是无穷无尽的”,我觉得这句话应该改成“学生的创新能力是无穷无尽的”,问题关键在于我们如何去正确引导他们。作为教师我们在教授网络知识的同时,应该加强学生的法制教育和德育教育,让学生了解我国在计算机应用方面的相应法规,做一个遵纪守法的好青年。
3.2校园网服务器的安全
校园网服务器的安全一般可分为硬件系统的安全与软件系统的安全。
(1)硬件系统的安全防护。放置服务器的机房应切实做好防雷、防火、防水、防电、防高温等工作。为保证服务器24小时处于工作状态还应配备不间断电源。同时管理员要管理好机房的和机柜的钥匙,不要让无关人员随意进入机房,防止人为的蓄意破坏和盗窃事件发生。
(2)软件系统的安全防护。同硬件系统相比,服务器软件系统的安全问题是最多的,也是最琐碎的。一般来说可以从以下几方面着手:
·建立服务器档案。对于服务器内部的硬件型号、软件版本、维修记录等进行记录,以便今后出现故障时能进行对照。
·安装补丁程序。目前大部分校园网服务器使用的是微软的windows2003操作系统,由于使用的人多,bug也不断被发现,微软的操作系统成了不少黑客攻击的对象。所以装好 5 Windows 2003系统后一定要升级至service pack 2,管理员还要经常关注微软公司的网站及时下载最新的系统补丁打到服务器中。
·安装防火墙与杀毒软件。在校园网中,重要的数据往往保存在整个中心结点的服务器上,这也是病毒攻击的首要目标。安装病毒防火墙和网络防火墙,定期对病毒库进行更新,按计划查毒杀毒。定期用对服务器开放的端口进行检测,将检测结果和以往备份的端口列表进行比较。用进程检测软件监测服务器所开的进程,并和以往的进程列表作比较。服务器尽可能不要设置文件共享,不要打开写文件的权限,即使开启共享,也应设置相应密码。
·加强操作系统权限管理和口令管理。打开“计算机管理”,检查用户和组里是否有非法用户,尤其小心管理员权限的非法用户。禁止系统提供的guest用户,因为黑客常用guest进行系统控制,对于administrator则应进行改名操作并设置足够复杂的密码。开启审核策略,修改终端管理端口,以及配置ms-sql,删除危险的存储过程。
·监测系统日志。管理员要定期查看系统日志记录,及时解决出现的问题,无法解决的问题及时向上级汇报;任何人不得动手删除运行记录数据库中的文档。定期对日志进行备份,并设置防止日志的大小,以免日志文件过大影响系统速度。
·定期对服务器进行备份与维护。为防止不能预料的系统故障或用户不小心的非法操作,系统管理员需要定期备份服务器上的重要系统文件。比如操作系统盘、用户账号等。文件资料可以用raid方式进行每周备份,重要的资料还应用保存在另外的服务器上或者备份在光盘中。监视服务器上资源的使用情况,删除过期和无用的文件,确保服务器高效运行。任何先进的系统都是为人服务的,因此人永远是决定性的因素,配合先进的技术手段,建立起一整套完善的现代化网络运行、使用、管理规范永远是保证其发挥出最大效益的重要保障。
3.3网络安全策略配置
(1)拒绝服务的防止。网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等;网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值,若多于这个临界值,则丢弃多余的TCP SYN数据包;防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。
(2)访问控制。允许从内网访问internet,端口全开放。
3.4校园网基于vlan的安全部署
采用以太交换的校园网络,可以用vlan技术来加强内部网络管理。vlan能够帮助控制 流量,提供更高的安全性,使网络设备的变更或移动更加方便。vlan技术的核心是网络分段,根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,以达到限制非法访问的目的。网络分段分为物理分段和逻辑分段两种方式。物理分段192.168.0.1192.168.2.1通常是将网络在物理层和数据段链路层分为若干网段,各网段相互之间无法直接通信。逻辑分段则是将整个系统在网络层上进行分段。例如:对于tcp/ip网络,可以把网络分成若干ip子网,各子网间必须通过路由器、路由交换机或网关等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。实际应用时,通常采取物理分段与逻辑分段相结合的方法。
四、总结
校园网的网络管理是一个系统性工程,不能仅仅依靠防火墙和其它网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。
所以建设校园网时要本着从实际出发,以应用为目的,综观全局、统筹安排。同时对建设好的校园网络我们应加强安全防御意识,建立相应的安全防御体系和管理维护制度。以确保校园网正常安全运行和朝着健康有序方向发展。
参考文献 [1]杨云江,“计算机网络管理技术” [M].清华大学出版社,2010.3 [2]杜威.“计算机网络管理与安全技术”,武汉大学出版社,2008.9
[3]黄志晖,“计算机网络管理与维护全攻略”,西安电子科技大学出版社,2007.7 [4]劳动和社会保障部主编,“计算机网络管理员——基础知识”,清华大学出版社,2004.6
第三篇:网络安全整改方案
篇一:网络安全建设整改方案
专注系统集成、综合布线、监控系统、网络安全领域 网络 安 全 建 设 整 改 方 案
设计实施单位:四川沃联科技有限公司.cn 四川沃联科技有限公司|领先的信息与技术服务公司? 第一章:公司介绍 ? 第二章:客户需求 ? 现有问题状况
? 第三章:推荐的安全方案 ? 应用背景 ? 联合防御机制
? 内外中毒pc预警通知 ? 反arp攻击 ? 入侵检测
? 阻挡外部病毒入侵
? 第四章:安全方案的实施 ? 安装实施杀毒软件
? 安装实施统一威胁安全网关 ? 第五章:产品介绍.cn 四川沃联科技有限公司|领先的信息与技术服务公司第一章 公司介绍 四川沃联科技有限公司,致力于信息技术及产品的研究、开发与
应用,为政府、教育、企业提供适合、优质、可靠的信息技术产品和 各种类型的解决方案,包括计算机网络系统集成工程、网络安全系统 设计和建设、专业化的网络信息管理系统集成、建筑工程弱电系统设 计和集成、独具特色的行业应用系统以及网络安全和文档安全解决方 案、企业应用软件开发与推广。
公司坚持“客户需求是我们永远的目标”的经营理念,并努力在 内部贯彻高效、和谐、自信、坦诚的企业文化。坚持不断探索、不断 创新的自我超越精神,努力提升团队的服务能力。
“品质与价值、承诺必实现”是沃联对用户不变的保证,我们期待 成为您的it合作伙伴优先选择。
第二章 客户需求
根据贵公司描述情况,我们发现贵公司有如下安全需求:
1、内网病毒的防护。保护内网计算机安全
2、控制上网电脑的一些上网行为,如限制下载、限制即时通信 软件、限制浏览网站、限制bbs等
3、控制电脑的上网权限,有认证的电脑才能上网
4、对垃圾邮件、病毒邮件的阻止。对邮件行为控制
5、保护内部电脑不受黑客攻击
四川沃联科技有限公司|领先的信息与技术服务公司.cn 第三章 推荐的安全方案
我们提供的安全方案:内外兼具的网络安全管理解决方案
1、应用背景
病毒通常是以被动的方式透过网络浏览、下载,e-mail 及可移动 储存装置等途径传播,通常以吸引人的标题或文件名称诱惑受害者点 scr 格式的档案;而黑客通常会针对特定的目标扫描,寻找出该系统 的漏洞,再以各种方式入侵系统并植入木马程序,也可利用一个个已 被攻陷的计算机组成殭尸网络(botnet)对特定目标发动大规模的分 布式阻断服务攻击(ddos)或 syn 攻击,藉以把目标的系统资源耗 尽并瘫痪其网络资源,若该目标是企业对外提供服务的服务器,必然 会造成企业若大的损失。
早期的网络用户注重对外部威胁的防范而疏于对内防护,而目前有较 多的安全隐患往往从内部网络产生;友旺科技提供内外兼具的立体安 全防护手段,不仅在网络出口的第一道屏障就防止病毒及攻击进入内 部网络,同时也对从内部发起攻击有针对性防范,为企业网络的安全 层层护航。
2、联合防御机制
我们认为企业内网的防护应该是全方位立体的联合防御机制,网 络防护应该从第二层到第七层综合防护,友旺科技产品独有的联合防 四川沃联科技有限公司|领先的信息与技术服务公司.cn 御技术将二层的周边交换机及三层的核心交换机有效的整合在一起,通过联合防御技术达到综合防御管理的目的。把内网有异常的用户所 造成的危害有效控制。达到从第二层就防御的目的。
3、内网中毒pc预警通知
内部用户中毒特别是中蠕虫病毒后如果不加以重视,采取适当措 施,网络蠕虫病毒会在短时间内对内部网络用户造成极大的危害,如 采用先进的内部中毒用户预警防御技术,将可能的网络网络风暴在一 开始就通过多种方式第一时间告知管理员,是哪个用户的哪台pc在 何时出现问题,不会让管理员束手无策,难以定位,从而达到预警可 控的目的。
当察觉内部有 pc 中毒时,不只可以阻挡异常ip发生封包,还会寄 出警讯通知信给系统管理员并发出 netbios 警讯通知中毒 pc,告知 系统管理员是哪个 ip 的计算机疑似中毒,而 pc用户也可及时接获 警讯的通知来得知自己的计算机中毒必须赶紧找 mis 来处理,这样 管理员便可以迅速地找出中毒的 pc,轻松解决内部pc 中毒的困扰。
4、反arp攻击
arp攻击通过伪装网关的ip地址,不仅可能窃取密码资料,同时 也使内部受攻击用户无法正常上网,使网络造成中断;管理员如不及 时采取措施,受到攻击用户数量可能扩散,因此,友旺科技在网络网 四川沃联科技有限公司|领先的信息与技术服务公司.cn 篇二:网络安全整改方案00 公司网络现状及整改方案
一、公司现网络结构
二、公司网络现存在问题
1、网络内部各车间线路布放不规范,没有保护措施,导致被过往员工踩踏和老鼠咬断,以至于网络使用情况经常不稳定。
2、服务器工作文件杂乱,现服务器只是采用很单纯的文件夹共享功能,让大家在服务器上上传和下载文件,没有权限管理,任何电脑都能上传文件和下载。导致把带有office病毒的文件上传至服务器,导致下载文件的电脑同时也感染病毒。造成经常有电脑网络浏览缓慢,无法访问服务器等情况,情况严重时会导致整个内网瘫痪。
3、经常会有电脑无法登陆网络,或者网络访问极慢等情况。经检查均为电脑自身中了网络病毒或网络内部某一台电脑的病毒影响整个网络,造成整个公司网络传输堵塞。
4、网络不稳定,时快时慢。初步排查为近年公司高速发展,办公电脑逐渐增多,网络互换访问量过大。公司初建成使用的路由器已经无法满足现公司众多电脑的数据访问交换,以至于路由器长期在高负荷的运行状态造成网络不稳定的情况。
三、处理建议。更换服务器
建议公司使用专业服务器,购置硬件防火墙。组建公司专业的网站,所有信息通过互联网采用oa软件,对所有公司内部文件通过oa软件以邮件方式互相发送,实现从车间对部门,员工对领导,发布消息统一化,自动化的方式。最终达到有互联网的地方就能实时办公,浏览重要文件。
服务器网络拓扑图
2、增加网络设备
首先更换现使用的飞鱼星路由器,采用飞鱼星商务专用路由器(同时能承受200台电脑同时上网访问),建议在公司1楼主机房增加一台48口核心交换机,对每个楼层更换商务专用交换机,对每个楼层每个车间划分网络vlan(独立网络),杜绝网络病毒瘫痪整个网络,让每个楼层都有独立的网络,但又能共同使用oa软件。
因把网站放一台服务器上,文件放一台服务器上,从而达到“1比1服务”不会出现网络混乱。
最终网络拓扑图 2014年1月1日
网络管理员:黎龙篇三:网络整改方案网络整改方案
网络安全 2006-11-05 06:23:10 阅读883 评论2字号:大中小 订阅 深圳市xxx技术有限公司 网络整改方案 项目概述
公司现有网络及结构
公司原有网络包括:10/100mb交换机、10mb集线器、专用文件服务器、工作用pc、总经理用移动pc、打印机以及internet连接等设备;internet连接方式 为adsl拔号。
公司目前的网络结构的方式如示图1: 示图 1 公司整个网络系统中,数据中心服务器1台,工作站19台,移动pc1台,普通针式打印机1台,普通激光打印机1台,联想d-link 24口 10/100mb交换
机1台,10mb集线器1个,adsl拔号器1个,5口路由器1个。共21个站点接口,联想d-link交换机已用连接17个,集线器已用连接2个,路由器已用连接2个。现有网络存在的问题
目前网络线路凌乱、病毒现象严重、权限管理混乱、internet连接不稳定等,主 要总结为以下几个问题: 1.网络组成无专用机柜,理线不清; 2.线路标示不明确,无线路走向标示图,节点标示不明确;
3.与internet连接无任何安全措施,网络中病毒传播现象严重;使用简易路 由器接口,internet网络经常断线;
4.网络中ip地址使用不规范,名字解析失效,无法用计算机名进行内部网 络互访;
5.internet访问权限不受控制,bt一类网络下载工具滥用,造成网速慢、不稳定;
6.数据中心服务器无任何管理权限,网络中成员可任意访问服务器上资源,服务器上的资源无任何安全性、保密性可言。
7.计算机使用人员无安全意识、无保密意识,没有明确的计算机使用管理规 范管理制度。网络整改的目标
综合上述的几点问题,公司网络的整改在现有设备的基础上,采用先进的系统集成技术和管理模式,实现一个高效的办公网络体系。公司内部形成高效、畅通、安全的网络体系,初步实现公文管理、资源共享、打印管理的电子化、网络化。对外连接到internet,使公司保持与外界先进事物以及合作伙伴,公司客户的密 切联系。
为了保证基本网络的安全性、稳定性,建设一个快速、高效、通畅、安全的公司办公网络,为公司办公自动化作准备,整改后的网络架构必须具备以下几点: 1.实用性,网络系统应实用、满足应用为主,不追求最高、最新;
2.安全可靠性,同时考虑应用系统的设计、网络系统的设计、硬件设备的选 型配置几个方面,以确保数据的安全;
3.兼容性与可扩展性,要采用成熟的技术,保证当前网络系统可以在广泛的 设备上使用,具备更新与升级的能力;
4.经济性,在满足功能与性能的基础上的性能与价格比最优;
5.易管理性,随着网络规模和复杂程度的增加,网络系统的管理故障排除将 成为较难的事情,针对各种设备都应选用易管理或具备管理功能的。网络整改的原则
本次网络整改必须按照统一规划、着眼未来、注重实效的原则,兼顾先进性和实用性,尽量采用先进的技术以提高系统的效率和可靠性,还要结合公司特点,避 免造成不必要的浪费。网络系统设计 公司组织结构和管理模式及业务概况
公司下设如下机构: 1.财务部 2.人事部 3.制造中心 4.商务部
公司管理概况:
1.公司各部门经理向总经理负责;
2.各部门员工向部门经理负责。系统需求
网络整改是为了满足公司各项管理需要而实施的,考虑到今后功能与信息增长的
要求,整改后的网络系统应具有充分的先进性和可扩展性。服务器是公司网络系统的重要组成部分,要求对客户端访问快速响应,采用严格的权限控制,保证系统的安全稳定运行,同时要生成完善实用的系统日志,以便根据实际应用情况优化系统。公司的日常文件管理要求实现电子化,根据公司的文件管理制度,对公司的文件提供完善的管理,以及访问权限的控制。通过网络系统实现公司统一的打印管理服务。系统管理提供以下管理: 1.用户安全、帐户管理 2.用户权限管理 3.网络访问控制 4.事件日志
系统管理涉及以下3类用户: 1.各部门普通员工 2.各部门经理 3.总经理
internet网络系统是公司与外界的一条重要信息交互通道,应具备快速高效、运行稳定的特点,同时,要对员工用户帐户进行相应的控制和管理,并提供完善的 日志功能。
数据中心服务器管理 域结构规划
根据网络规模及集中管理和结构简的原则,整个网络系统规划为单域结构,在域内按照部门分别建立组织单位,用于存储和管理各部门的用户、共享文件夹及打印机。整个系统结构与公司管理结构相匹配并可以实现资源的层次管理。最上层的管理单元为域,域名为ampron.net,下层的管理单元是组织单位,各部门的组织单位命名按部门名称的汉语拼音全拼设置。根据网络结构的变化和未来公司结构的扩展,此结构可以方便地增加和减少管理单元,充分满足了可扩展性
和可伸缩性。域规划图如图示2: 图示 2 用户权限结构图示图 3 用户权限结构解释
网络系统用户采用分级管理方式: 1.总经理为一级权限,对公司内所有文件具有审查权限,如有必要还可授予 最高管理员权限;
2.部门经理为二级权限,对本部门所属文件有审查权限,可对本部门所属文 件授权;
3.普通员工为三级权限,只对本人所属文件有审查权限,在获得部门经理授 权前无权访问非本人的文件。附表:
第四篇:富阳市公安局(方案)
富阳市公安局(方案)
富公政„2009‟23号
关于举办2009年富阳市公安局
系列体育活动方案
为隆重庆祝党的生日和喜迎国庆60周年,进一步推动全局体育活动的深入开展,展示我局队伍正规化建设和体育事业发展的成果。结合我局实际,决定于7月至9月举办系列体育活动,具体包括球类(乒乓球、篮球)、25米往返跑、拔河等项目。具体方案如下:
一、组织领导
本次系列体育活动,由市局工会、警察体育分会、团委和妇委会共同组织实施。成立竞赛组委会,由党委副书记、常务副局长包文明任组长,党委委员、副局长胡惠民、党委委员、政治处主任徐学平任副组长,汪拥军、陈力、盛其跃、李江南、张军、章旭华、张晨、张亚琴、李忠东、王庭华、何文妹、孔铁林、孙传云等为成员。下设工作组,并指定各
—1—
项目的具体牵头人。
二、竞赛项目
1.个人单项: 25米往返跑、乒乓球。
2.团体项目:篮球赛、拔河。
具体体育活动计划见附件。
三、运动员资格、组织报名
1.凡正式在编民警、职工、协警均可报名参加(协警必须是在2009年6月1日之前招聘的在编人员)。
2.个人单项:单位在编人员在25人以下(含25人)的每个单项限报3人,25人以上的限报5人。每个单项报名人数不足10人的,取消该项比赛。
3.团体项目:篮球和拔河赛各参赛队协警限报3人,只允许2名协警同时上场比赛(保安公司也可组队参加,保安员按协警规定执行)。参赛队不足5队的,取消该项比赛。
4.各单位按规定人数和报名截止日期(见附件),及时上报各项目参赛人员。
四、比赛和奖励方法
1.比赛执行国家体育总局审定的竞赛规则。
2.奖励方法:单项取个人前三名、团体项目取前三名,颁发荣誉证书、奖杯及奖金。
3.经费保障 按照“勤俭节约、压缩开支”的原则,市局参赛经费主
—2—
要用于奖金、裁判、器材等比赛保障开支,其他费用由各参赛队自理。
五、工作要求
(一)统一思想,提高认识。
举办本次系列体育活动是为隆重庆祝党的生日和喜迎国庆60周年的重要活动之一,是展示我市公安队伍健康向上、生气勃勃精神风貌的一个窗口。各单位要高度重视,充分认识本次活动的重大意义,认真对待,广泛参与,为单位争光,为公安争辉。
(二)团结协作,广泛支持。
要树立全局意识和集体荣誉感,积极动员广大民警、职工、协警参与到本次活动中来。要统筹兼顾、合理安排好工作。每位运动员要发扬不怕苦、不怕累的精神,刻苦训练,努力拼搏,赛出风格、赛出水平。
附:2009年富阳市公安局系列体育活动计划。
二○○九年七月六日
主题词:2009年体育活动方案
抄报:市总工会、市体育总局,杭州市局政治部。富阳市公安局办公室2009年7月7日印发
—3—
第五篇:网络安全应急演练方案
1网络安全应急演练方案
2指导思想
根据《中华人民共和国网络安全法》规定,定期开展安全应急演练工作,网络实战网络安全应急演练便是在新的网络安全形势下,通过攻防双方之间的对抗演习,实现“防患于未然”。
3演练目的通过网络实战网络安全应急演练,检验并完善移动关键基础设施网络安全应急响应机制与提高技术防护能力,检验各公司遭遇网络攻击时发现和协同处置安全风险的能力,培养和提升网络安全人才实战能力,全力保障建党100周年大庆等国家重大活动网络安全。
4演练时间
演练时间:2021年x月x日
5演练内容
网络与信息安全事件应急演练
6演练流程
网络安全应急演练保障活动共分为启动阶段、准备阶段、演练阶段、保障阶段、总结阶段五个阶段,具体工作安排计划如下:
启动阶段:确定演练目标、人员团队职责划分、演练总体流程,后续工作提供指导。
准备阶段:需对演练目标进行安全分析和梳理,开展全面安全评估、关注现有安全能力、完成安全策略的全面优化、人员的全面赋能等。
演练阶段:重点检测演练系统的监测手段和防御手段的有效性及安全人员操作规程熟悉度。
保障阶段:为保障业务系统的平稳运行,避免因安全问题而导致出现重大事故。
总结阶段:对行动中发现的相关问题进行快速整改并进行总结,将经验固化至相关的规章制度中,形成常态化、制度化。
7演练方案
7.1启动阶段
7.1.1演练组织及职责分工
在网络安全应急演练保障期间,组织建立保障小组,通过签署责任书,明确保障人员职责,确保各司其职,有序开展保障工作。
总指挥
负责网络安全应急演练保障期间重大决策;
把控项目的整体进度及质量;
指挥决策组
协调各小组资源分配,起到上传下达的等作用;
演习保障结束后,负责对演习保障进行总结,形成报告,并输出安全能力建设的规划;
协同其他各小组完成安全事件的闭环;
安全监控小组
通过实时监控平台、或设备日志,发现网络中的异常流量、恶意样本、网络攻击行为;
发现异常行为后,按事件模版及时将攻击事件通报;
分析研判小组
通过对主机日志、网络设备日志、安全设备日志以及全流量分析等信息对攻击行为进行分析,找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息;
应急处置小组
恢复系统备份、数据恢复等方式将系统业务恢复到正常状态;
将完整的应急处置、溯源流程记录到报告,并上报给保障决策组;
支撑小组
支撑小组为二线专家小组,协助现场一线工作小组解决并提供专业安全业务建议。
7.1.2演练保密要求
在网络安全应急演习保障期间,开展参演人员安全意识宣贯、签订网络安全承诺书和安全保密协议。
宣贯内容包含但不限于:代码管理规范、接入账号安全、接入网络安全、办公设备安全等。
网络安全承诺书内容至少包含但不限于:遵守甲方整体网络安全工作要求、遵守相关法律及行业相关规定、强化项目参与人员的信息安全意识、违约责任等。
保密协议内容至少包含但不限于:演习保障期间的保密范围、保密期限、保密要求、违约责任等。
7.2准备阶段
7.2.1信息资产收集
在网络安全应急演练准备阶段,对演练系统进行信息收集,包括单不限于IP地址、端口、服务名称及版本、操作系统类型及版本、应用框架类型及版本等,为开展演练行为做基础。
在网络安全应急演练保障实施期间,信息资产收集可助于快速发现内部问题、定位问题、解决问题,提高企业内部的防御能力。
7.2.2全面安全评估
对演练系统涉及的主机、数据库、应用组件、网络设备、网络架构进行全面、综合的安全评估,充分的发现其潜在的风险。
7.2.3安全策略优化
根据网络安全架构评估以及网络现状,对网络设备策略、安全设备策略、主机策略等进行进一步调整和优化实施范围。
7.2.4安全缺陷整改
根据之前业务系统评估,对应用系统及其依赖的网络、数据信息等可能存在的软硬件缺陷,和信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险,提出临时解决方案和长期解决方案。
7.2.5安全意识培训
在网络安全应急演练备战阶段,为了提升内外部人员的安全意识,组织开展安全意识宣贯和安全技术赋能,避免因人为因素而导致信息安全事件发生,整体提高安全管理能力。
7.3演练阶段
7.3.1攻防场景演练
采用攻防对抗的方式有效的检验相关业务系统的抗攻击能力,真正发现潜在的风险,从而为后续整改工作提供真实有效的依据。
7.3.1.1攻击方工作
7.3.1.1.1攻击路径设计
攻击者可以通过各种方式各种攻击路径尝试攻破应用系统去危害客户的业务或者企业组织。每种路径方法都代表了一种风险。结合攻击路径相关的技术和对客户的业务影响,评估威胁来源、攻击向量和安全漏洞的可能性。
7.3.1.1.2渗透测试设计内容
针对信息系统业务系统和平台进行全局、深入安全渗透测试,关注其面临的主要安全风险和安全需求,提供安全渗透测试数据报告和针对性解决方案,建立一体化信息系统安全风险识别机制。
7.3.1.1.3应用功能测试
发现目标系统中存在的安全隐患(包括安全功能设计、安全弱点、以及安全部署中的弱点等),并针对问题提供解决方案建议。
7.3.1.1.4安全功能弱点测试
应用系统评估主要从输入验证、身份验证、授权、配置管理、敏感数据保护、会话管理、加密、异常管理等角度分析应用系统的安全功能设计以及存在的安全隐患。
7.3.1.1.5应用安全性测试
针对提供的业务系统进行非破坏性的模拟黑客攻击,充分挖掘应用系统各类组件存在的漏洞,并进行人工利用验证。
7.3.1.2防守方工作
在攻防对抗中,通过部署监测预警功能的平台,针对攻击行为进行监控及时阻断并上报,从而形成闭环的处置工作。
在防守监测工作中,需结合现有态势平台、处置平台以及相关设备进行合理利用。
7.3.1.2.1设备运行监控
针对安全产品、网络产品、主机服务器等提供监控与运维服务,及时发现设备(系统)运行过程中出现的问题并协助客户进行解决,保障设备(系统)正常运转。
监控指标可涵盖设备功能、设备性能、应用服务情况、连通性、操作审计等。
7.3.1.2.2告警事件监控
针对各类安全设备的告警数据进行监控,通过人工告警研判的方式对安全设备告警进行二次分析,排除告警中的误报,定位真实风险。
监控告警类型可涵盖:DDoS攻击、Web攻击、信息破坏、口令猜测、僵尸主机、木马病毒、非授权访问、漏洞利用、网页篡改、SQL注入、非法连接、恶意扫描探测、网页篡改、网站敏感内容、网页挂马等。
7.3.1.2.3安全事件溯源
防守方对多种网络安全设备产生的丰富的日志和告警信息集中分析,发掘安全知识的效果,发现传统安全工具难以发现的安全事件。通过人工的方式判断安全事件是否为误报后,追溯该告警背后的威胁源,判断威胁源使用的攻击手段及漏洞利用情况。
攻击溯源方案可分为三个层次的追踪:追踪溯源攻击主机、追踪溯源攻击控制主机、追踪溯源攻击者和追踪溯源攻击组织机构。
7.3.1.2.4安全事件处置
对于安全监控中发现的安全对象脆弱性问题(如高危漏洞、安全基线配置不合格等)、安全故障问题、安全事件等,监控值守人员通过攻防平台提供的工单流程进行处置任务指派,运维人员、二线支持人员及管理人员依照工单流程完成安全处置工作。
7.3.2应急场景演练
通过模拟攻击者发起0 day攻击,对安全监控、安全防护、网络策略、安全策略等机制进行有效性校验,按照流程快速响应,推动0day的缓解处理和后续补丁修复,最大化减少0day的影响。对发现问题及时推动整改,闭环安全风险,确保自身的网络策略、安全策略符合安全预期。
安全监控小组负责漏洞信息监测收集和危害判断,发现问题后通知分析研判小组、应急处置小组,通过资产管理平台或相关检测工具,确定受该漏洞影响的资产范围,再按照资产价值(重要程度)和网络暴露情况确定漏洞修复的优先级,确立响应的等级、需要哪些部门(厂商)参与。
做好内部的漏洞修复通知和外部的业务升级暂停公告,应急处置小组协助做好系统备份工作,并且在非业务时间段实施升级。漏洞修复后,业务归属部门自行检查业务功能是否受影响,校验数据是否丢失。
0 day漏洞处理流程示意图如下图所示:
完成0day处置的同时,应将其加入安全开发知识库,避免后续发生类似的安全问题。
7.3.3应急响应支撑
应急响应能够快速成功处置,关键是根据前期应急预设流程为指导,应急处置小组有条不紊对已发生安全事件进行解决,以最大限度地减少安全事件造成的损害,降低应急处置中的风险。
7.3.3.1检测阶段
检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。
安全监控小组在检测到网络安全事件或发现信息系统异常,上报分析研判小组。
分析研判小组立即对上报事件的性质、影响范围、安全设备日志告警进行分析与评估。
7.3.3.2分析阶段
该阶段确定它的影响范围和问题原因及事件的性质。
分析研判小组通过安全事件告警日志进行分析研判,评估事件的性质、影响范围判断,是否上报应急处置小组,开展应急响应:
若判断无需开展应急响应,发布相关预警通告,应急流程结束;
若判断需开展应急响应,则结合实际情况对网络安全事件进行定位,启用相应的专项应急预案,上报演习保障决策组,并通知应急处置小组开展应急响应。
应急处置小组根据应急预案处置流程开展应急处置操作。
7.3.3.3抑制阶段
恢复阶段是它的目的是限制攻击/破坏所波及的范围。同时也是限制潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。
应急处置小组按照应急预案开展应急处置,执行抑制方案,并记录抑制过程,检查恢复效果,如果抑制不成功则收集信息重新制定抑制方案。
在此阶段,保障决策组协调资源进行技术或业务支撑,必要时协调支撑小组进行支撑,协助开展事件处置、业务恢复、系统监控等工作内容
7.3.3.4根除阶段
根除阶段即在准确的抑制事件后,找出事件的根源并彻底根除它,以避免攻击者再次使用相同手段攻击系统,引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果。
应急小组按照应急预案对关键业务信息执行备份和状态检查,对事件进行原因分析,对业务系统进一步进行检查,根据发现的问题与漏洞制定事件根除方案。
在此阶段,支撑小组协调资源协助应急小组开展业务系统排查、漏洞整改等工作内容。
7.3.3.5恢复阶段
应急小组按照应急预案开展应急处置和业务恢复工作,由应急执行小组组织相关部门安全管理员和运维操作人员等技术人员对网络安全事件进行现场处置,执行恢复方案,并记录恢复过程,检查恢复效果,如果恢复不成功则收集信息重新制定业务恢复方案,尽快恢复系统正常运行。
系统恢复后及时将事件处置结果逐级上报至集团应急领导小组。
7.3.3.6总结阶段
该阶段的目标是回顾并整合发生事件的相关信息,主要有助于从安全事件中吸取经验教训,提高技能;有助于评判应急响应组织的事件响应能力。
应急处置小组对业务影响、范围、损失进行总结,对应急措施的有效性进行评估,对事件原因进行分析,编写安全事件处置总结报告。
应急处置小组向指挥决策组提交报告,并组织各业务系统管理人员对类似安全隐患的业务系统进行自查自检,必要时可采取紧急抑制手段避免同类安全事件的发生。
7.4保障阶段
在演习实战阶段,为保障业务系统的平稳运行,避免因安全问题而导致出现重大事故,将开展安全值守监控、配合中台支撑的优势,研判预警通告、威胁分析、应急响应支撑及演习事件上报等工作。
7.4.1安全值守监控
7.4.1.1网站及业务监控
1.主机资产监控
在演习保障期间,为及时发现资产对外暴露安全风险,安全监控小组将定时对外网资产进行监测,统计当天外网活跃主机数目,开放端口个数及端口服务类型,并通过人工分析确认是否存在异常端口对外开放。
2.网站安全监控
在演习保障期间,对网站提供完整性检测、可用性检测。完整性监测能够甄别出防护站点页面是否发生了恶意篡改,是否被恶意挂马,是否被嵌入敏感内容等信息;可用性检测能够帮助防守方了解站点此时的通断状况,延迟状况。
a)远程网页挂马及黑链监测:远程实时监测目标站点是否存在被植入恶意代码、黄赌毒私服等词汇的恶意链接的告警,在第一时间得知在防护网站的安全状态,及时清除网页木马及黑链。
b)远程网页篡改监测:远程实时监测目标站点是否是存在页面被篡改情况,避免网站被篡改不能及时发现,造成恶劣影响,此服务是网站防护的最后一道屏障。
c)远程网站域名监测:实时监测各地主流ISP的DNS缓存服务器和客户DNS授权服务器的可用性,以及它们对被监测域名的解析结果情况。一旦发现客户域名无法解析或解析不正确,第一时间上报评估小组进行处置。
d)远程网站平稳度监测服务:远程实时监测目标站点在多种网络协议下的响应速度、首页加载时间等反映网站性能状况的内容,一旦发现客户域名无法解析或解析不正确,第一时间上报评估小组进行处置。
7.4.1.2安全设备监控
在网络安全应急演练保障期间,安全监控小组对安全设备进行监控,开展设备性能监控、安全攻击监控等工作。
a)安全攻击监控:安全设备告警事件实时监控,包含:拒绝服务攻击,网络病毒爆发,漏洞远程利用、恶意代码传递等高危事件告警信息,对攻击告警日志进行分析处置,策略调整优化,对高危风险行为IP执行封禁封堵,可密切关注来源请求异常,接口请求异常,恶意IP攻击等事件。
7.4.1.3安全行为监控
在网络安全应急演练实战期间,VPN、堡垒机、关键设备主机等设备是黑客突破的重要目标,当获取到权限账户后,黑客可能会选择在夜间薄弱时间点发起攻击行为,或执行高危操作,故安全监控小组将对设备账户安全行为进行监控,并对日志进行安全审计。
安全监控小组通过人工分析日志,审计目前监控设备是否存在僵尸账户、异地登录、频繁登录、异常时间登陆、账户威胁操作等行为情况,并针对不同事件采取相应措施,防止风险扩散。
a)僵尸账户分析:安全监控小组通过人工分析日志,查找近期未活跃的账户,对疑是僵尸账户进行逐一确认,非必要账户或权限不合理账户,需进行回收处理。
b)异地登录分析:安全监控小组通过人工分析日志,查看设备账户近期是否频繁更换登陆地点,地点变更间隔是否符合常理,对出现异常账户进行逐一确认,确保账户登录环境安全。
c)频繁登录分析:安全监控小组通过人工分析日志,查看设备账户近期是否存在频繁登录行为,重点关注频繁登录失败事件,分析当前账户是否遭受暴力破解。
d)异常时间登录分析:安全监控小组通过人工分析日志,查看设备账户近期是否在异常时间段(凌晨1点至6点)期间登录,对出现异常账户进行逐一确认,确保账户均为账户申请人本人操作。
e)账户威胁操作分析:安全监控小组通过人工分析日志,查看设备账户近期执行是否正常,如删除数据库、修改关键信息等操作,对出现异常账户进行逐个确认,确保高风险操作是正常操作。
7.4.1.4重要系统巡检
系统巡检工作能保证服务器正常、有序、安全地运转,保障更好地应用网络及相关服务。在网络安全应急演练实战期间,靶标、关键系统、服务器等设备是突破的重要目标,通过对重要系统的巡检,可发现目标存在的一些异常,以便在系统故障或应急事件发生时及时作出处理,减少不良影响。
1.系统可用性检查
检查设备或服务器系统时间、是否升级包、证书信息等信息。
2.系统日志分析
通过对日志进行统计、分析、汇总,能有效掌握服务器的运行状况,及时发现问题,排除安全隐患。其中关注以下几个方面的行为日志:
a)可疑账户的登录:查找登录的账户,对可疑账户进行逐一确认、非必要账户、权限不合理账户,进行回收处理。
b)异地登录的账户:查看设备账户近期是否频繁更换登陆地点,地点变更间隔是否符合常理,对出现异地账 户进行逐一确认,确保账户登录环境安全。
c)频繁登录分析:查看设备账户是否存在频繁登录行为,重点关注频繁登录失败事件,分析当前账户是否遭受暴力破解。
d)异常时间登录分析:查看设备账户近期是否在异常时间段(非工作时间段)期间登录,对出现异常账户进行逐一确认,确保账户均为账户申请人本人操作。
7.4.1.5重要设备监控
在网络安全应急演练实战期间,安全监控小组对安全设备进行监控,开展设备性能监控、安全攻击监控等工作。
1.设备性能监控
安全设备健康情况实时监控,包含:CPU使用率、内存占用率、接口流量、接口工作状态、硬盘使用情况等设备健康相关的基本参数监控,监控过程需密切关注设备性能占比,通过分析当前业务负载,及设备各项性能指标,确保过程中设备可用性。
2.系统性能检查
检查服务器资源使用情况,合理分配资源,能够提高服务器的工作效率。内存不足或CPU使用率居高不下,不仅对服务器性能造成较大影响,而且可能存在攻击或病毒感染等问题。通过对磁盘剩余空间、CPU、进程、内存等参数进行检查,掌握系统目前的运行状况。
3.数据备份检查
查数据备份是否存在或异常的情况,能为之后可能出现的系统故障处理提供保障。方便故障后恢复系统配置提供极大的便利。
7.4.2研判预警处置
在网络安全应急演练保障期间,研判分析小组将对安全监控小组上报事件进行研判处置,对符合预警条件的事件进行通知处理。
安全预警通告主要类型包括安全风险预警通告、安全事件应急通告、可疑安全行为通告,当研判分析小组收到上述通告时,及时研判被通告事件与保障目标资产吻合度,对风险内容进行定位分析,确认实际影响范围,威胁程度,紧急程度等,并协调应急处置小组进行处理,以达到快速闭环安全风险目的。
1.安全通告接收
安全监控小组接收到安全风险预警,安全事件应急及可疑安全行为等各类安全事件。
2.安全通告研判
研判分析小组研判被通告事件与保障目标资产吻合度,对风险内容进行定位分析,确认实际影响范围,威胁程度,紧急程度等。
3.安全通告处置
协调应急处置小组对安全风险进行闭环,并记录进统计表中。
7.4.3安全事件上报
在网络安全应急演练保障期间,防守方对检测到的告警信息进行研判分析,对确属攻击行为的安全事件,及时根据规定格式编写防守方成果报告,提交至保障决策组,由安全接口人统一上报。
7.4.4安全事件跟踪
将针对网络安全应急演练前期的待处理事件和中期发生的安全事件进行梳理,根据安全问题风险程度由高到低设置处理优先级,绘制输出安全事件跟踪表。
7.5总结阶段
在网络安全应急演练保障结束后,将对保障期间所涉及到的攻击事件进行汇总梳理,通过分析还原攻击手段,对存在安全缺陷进行整改跟进,总结经验教训,提升业务安全防护能力,强化业务安全。
7.5.1安全事件梳理
在保障结束后,将组织保障参与人员对应急演练期间出现的攻击事件进行汇总统计,包括但不限于:
针对攻击事件进行攻击时段、频率、次数的统计,分析常见攻击事件行为识别已受攻击的业务风险;
分析攻击源地址的地域、攻击时间、攻击次数等维度识别攻击者攻击意图;分析攻击目的地址识别易受攻击的业务模块;
从风险等级由高到低排序,重点关注高危行为,根据高危行为指向的目的地址,识别易受攻击的业务模块。
7.5.2事件总结归档
在保障结束后,将组织演习保障参与人员进行总结分析,并于收尾会议后的3个工作日内,输出网络安全应急演练活动总结报告,并递交至演习保障组、总指挥进行初步审阅及最终审阅,最后发送给保障联络组各小组部门负责人,归档至信息安全部门。
8演练平台说明
在网络安全应急演练保障期间,演习保障人员均通过“安全设备—态势感知—攻防平台—封堵平台”形成安全事件从发现、分析、研判、封堵的全生命周期闭环管理。
在演练期间,态势平台会获取所有安全设备事件日志统一处理,攻防平台获取态势平台的安全事件,并前往封堵平台查看告警IP是否被封禁。这一系列动作可通过自动化的脚本执行,演练人员需要重点查看安全事件是否正常。
1、登录签到
访问攻防平台输入账户、密码进行登陆。若提示证书错误,请添加例外或继续访问。登录攻防平台后请先进行签到,点击右上角的日历图标,在我的签到页面下,点击签到,如下图所示:
2、安全设备/事件监控
安全值守监控人员实时监控各安全设备、态势平台、攻防平台、封堵平台的安全事件条数、处置状态,确保各类攻击事件均已处置完毕,对于未处置完毕的安全事件,手工派发安全事件工单,通知对应人员在规定时间内手工处置完毕。
安全值守监控人员实时监控各安全设备(各安全域的DDOS、防病毒、防篡改、WAF、防火墙、天眼、IDS、IPS)、态势平台、攻防平台、封堵平台的运行情况,安全值守人员对统计数据进行复核确认。
3、安全事件处置
在攻防平台的左侧进入安全事件中心,查看平台从态势平台所取得的安全事件,如下图所示:
点击事件列表右侧的处理,进入事件处理的详情后点击结束事件,如下图所示:
此时将事件状态切换为已解决,可以看到刚才的事件状态已经转换成已解决,如下图所示:
在封堵平台的左侧进入攻防封堵页面,查看安全事件处置结果,显示时间处置类型及处置状态:
4、签出
在完成任务后,要点击页面右上角的日历标志,在我的签到页面中,点击签出,如下图所示:
![”“](”/d/file/p/2021/06-15/bc5ef9759e7c2dc503c98d1fa24e08ca.jpeg"/)
点击咨询 