安全日常运维管理v3课件.ppt

1、n介绍安全日常运维的帐号口令权限、规则、管理等知识介绍安全日常运维的帐号口令权限、规则、管理等知识n介绍安全预警防范、安全事件防护等知识介绍安全预警防范、安全事件防护等知识n讲解服务与端口、安全补丁的管理流程和升级等知识讲解服务与端口、安全补丁的管理流程和升级等知识n讲解终端安全管理，数据备份、恢复的过程和步骤讲解终端安全管理，数据备份、恢复的过程和步骤n介绍移动存储介质的管理要求、技术手段管理介绍移动存储介质的管理要求、技术手段管理n介绍保障安全日常运维管理执行的有效措施介绍保障安全日常运维管理执行的有效措施第一章第一章 安全运维管理体系分析安全运维管理体系分析第二章第二章 帐户口令管理帐户

2、口令管理 第三章第三章 安全预警安全预警第四章第四章 服务与端口服务与端口第五章第五章 安全补丁安全补丁第六章第六章 终端管理终端管理第七章第七章 数据备份数据备份第八章第八章 介质管理介质管理第九章第九章 保障措施保障措施第一章第一章 安全运维管理体系分析安全运维管理体系分析nITIT系统是否能够正常运行直接关系到业务或生产是否能够正常运行。但系统是否能够正常运行直接关系到业务或生产是否能够正常运行。但ITIT管理管理人员经常面临的问题是：网络变慢了、设备发生故障、应用系统运行效率很低。人员经常面临的问题是：网络变慢了、设备发生故障、应用系统运行效率很低。ITIT系统的任何故障如果没有及时得

3、到妥善处理都将会导致很大的影响，甚至会系统的任何故障如果没有及时得到妥善处理都将会导致很大的影响，甚至会造成可怕的经济损失。但是什么原因导致造成可怕的经济损失。但是什么原因导致ITIT系统屡出问题？是产品、技术、还系统屡出问题？是产品、技术、还是缺乏有效的、系统化的安全运维管理？是缺乏有效的、系统化的安全运维管理？n随着电信随着电信ITIT系统的发展，业务应用的持续增加，其系统的发展，业务应用的持续增加，其ITIT基础设施的架构越来越复基础设施的架构越来越复杂，单纯凭某个工具或某个人不可能有效地保护自己的整体网络安全？信息安杂，单纯凭某个工具或某个人不可能有效地保护自己的整体网络安全？信息安全

4、作为一个整体，需要把安全过程中的有关各层次的安全产品、分支机构、运全作为一个整体，需要把安全过程中的有关各层次的安全产品、分支机构、运营网络、管理维护制度等纳入一个紧密的统一安全管理平台（系统营网络、管理维护制度等纳入一个紧密的统一安全管理平台（系统)中，才能中，才能有效地保障企业的网络和信息安全。有效地保障企业的网络和信息安全。nITIT环境的复杂性，使更多的安全威胁被揭示出来。很多企业尝试通过环境的复杂性，使更多的安全威胁被揭示出来。很多企业尝试通过部署部署“最佳最佳”安全产品来保护自己，比如防病毒网关、防火墙、入侵安全产品来保护自己，比如防病毒网关、防火墙、入侵防护系统、防护系统、VPN

5、VPN、访问控制、身份认证等。在这种极度复杂的情况下，、访问控制、身份认证等。在这种极度复杂的情况下，需要的是一个集成的解决方案，使得企业能够收集、关联和管理来自需要的是一个集成的解决方案，使得企业能够收集、关联和管理来自异类源的大量安全事件，实时监控和做出响应，需要的是能够轻松适异类源的大量安全事件，实时监控和做出响应，需要的是能够轻松适应环境增长和变化的管理体系，需要的就是企业完整的安全管理平台应环境增长和变化的管理体系，需要的就是企业完整的安全管理平台解决方案。解决方案。n安全管理、技术人员安全管理、技术人员如何管理复杂的网络环境、业务系统？技术人员天天忙于安全救火，我们已经尽力了，是管

6、理有问题吗？n领导：领导：怎么还不能保证IT系统的正常运行？IT部门怎么管理的？明天给我一份详细的设备列表和运维报告、制定一份合理的安全运维管理制度！u基于前述及多方面的原因，决定了我们面对基于前述及多方面的原因，决定了我们面对IT系统不仅需系统不仅需要安全产品和技术，也需加强安全运行、维护、管理，更要安全产品和技术，也需加强安全运行、维护、管理，更需深入了解、熟悉掌握安全运维管理的相关知识。需深入了解、熟悉掌握安全运维管理的相关知识。n所谓安全日常运维管理，是指单位所谓安全日常运维管理，是指单位 IT 部门采用相关的方部门采用相关的方法、手段、技术、制度、流程和文档法、手段、技术、制度、流程

7、和文档 等，对等，对IT 运行环境运行环境(如硬软件环境、网络环境等如硬软件环境、网络环境等)、IT 业务系统和业务系统和 IT 运维人运维人员进行的综合管理员进行的综合管理。安全日常运维管理是其子系统安全日常运维管理是其子系统流程流程管理管理技术技术管理管理安全运维管理框架安全运维管理框架设备管理设备管理安全管理机构设置安全管理机构设置安全管理制度安全管理制度人员安全管理人员安全管理应用服务管理应用服务管理人员配置岗位培训人员配置岗位培训数据存储容灾管理数据存储容灾管理安全事件处置和应急预案安全事件处置和应急预案安全评估和持续改进安全评估和持续改进监督检查监督检查业务管理业务管理l 省省公司

8、公司实现安全监控和基础维护；实现安全监控和基础维护；l 在总部建立集中的安全技术支撑队伍；在总部建立集中的安全技术支撑队伍；l 围绕围绕“积极预防、及时发现、积极响应积极预防、及时发现、积极响应、确保恢复、确保恢复”四个环节，形成分层、闭四个环节，形成分层、闭环的维护体系；环的维护体系；l 锻造一支专业的网络与信息安全队伍。锻造一支专业的网络与信息安全队伍。安全监控和基安全监控和基础维护础维护安全技术安全技术支撑支撑发发现现D D恢恢复复R R预预防防P P响响应应R R1.1.制定网络制定网络和系统层和系统层面的整体安全技术保护方案和技术规范；面的整体安全技术保护方案和技术规范；2.2.逐步

9、实现安全自评估，全面掌握安全风险；逐步实现安全自评估，全面掌握安全风险；3.3.提供重大安全预警信息发布和解决方案；提供重大安全预警信息发布和解决方案；4.4.协调响应网络层面的各类重大安全事件；协调响应网络层面的各类重大安全事件；5.5.对各类安全事件有关数据进行综合分析，形成安全运行分析对各类安全事件有关数据进行综合分析，形成安全运行分析报告；报告；6.6.对生产层面的安全策略进行集中控制；对生产层面的安全策略进行集中控制；7.7.跟踪研究各种安全问题和技术，收集各种基础信息资源。跟踪研究各种安全问题和技术，收集各种基础信息资源。安全监控和基安全监控和基础维护础维护安全技术安全技术支撑支撑

10、1.1.进行进行7 72424小时的日常安全安全事件监测，负责受理小时的日常安全安全事件监测，负责受理安全投诉。安全投诉。2.2.对安全事件进行收集汇总，进行事件预处理。对安全事件进行收集汇总，进行事件预处理。3.3.系统日常口令维护，加载安全补丁和梳理服务端口等系统日常口令维护，加载安全补丁和梳理服务端口等4.4.实施各类安全设备和配套管理设备的日常维护。实施各类安全设备和配套管理设备的日常维护。5.5.实施一般安全预警和安全应急事件的处理。实施一般安全预警和安全应急事件的处理。6.6.落实系统自身安全应急预案，并参加安全应急演练落实系统自身安全应急预案，并参加安全应急演练安全监控和基安全监

11、控和基础维护础维护安全技术安全技术支撑支撑安全目标遵循的安全目标遵循的PDCA执行过程执行过程PLAN：安全目标要求安全目标要求安全现状安全现状 安全计划（建设；维护安全计划（建设；维护）Do：安全项目建设安全项目建设安全维护作业安全维护作业1、更新资产补丁拓扑服务等状态2、安全事件通报.3、安全加固4、更新安全现状和安全目标要求差距5、其他.Check：日常安全检查日常安全检查周期性安全评估周期性安全评估1、检查安全目标要求的完成状态2、评估安全状况（资产状态；弱点状态），3、安全现状是否符合可控安全环境Action：调整安全目标要求调整安全目标要求规划安全项目规划安全项目绩效考核各部门、安

12、全管理员绩效考核各部门、安全管理员进进不不来来 拿拿不不走走 看看不不懂懂 改改不不了了 跑跑不不了了 使用访问控制机制，阻止非授权用户进入网络，即“进不来”，从而保证网络系统的可用性安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全管理措施，完成下述网络与信息安全的保障任务。安全技术与安全管理措施，完成下述网络与信息安全的保障任务。使用授权机制，实现对用户的权限控制，即不该拿走的使用授权机制，实现对用户的权限控制，即不该拿走的“拿不走拿不走”，同时，同时结合内容审计机制，实现对网络

13、资结合内容审计机制，实现对网络资 源及信息的可控性。源及信息的可控性。使用加密机制，确保信息不泄漏给未授权的实体或进程，即“看不懂”，从而实现信息的保密性使用数据完整性鉴别机制，保证只有得到允许的人才能修改数据，而其它人“改不了”，从而确保信息的完整性使用审计、监控、防抵赖等安全机制，使得攻击者、破坏者、抵赖者“走不脱”，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。n就是保障就是保障IT系统的正常运行，能做到：系统的正常运行，能做到：实时告知有效处理预知故障预警响应联动恢复安全运维有序管理即在故障发生之前发现异常情况，合理化即在故障发生之前发现异常情况，合理化判断是

14、否有故障迹像判断是否有故障迹像即在第一时间将故障情况通知相关的即在第一时间将故障情况通知相关的管理人员管理人员即在规定的时间内处理故障即在规定的时间内处理故障遵循标准规范，操作流程等，逐步实遵循标准规范，操作流程等，逐步实现运维电子化、全面流程化现运维电子化、全面流程化贯穿于下述贯穿于下述4个过程中个过程中高效管理能力高效管理能力全面运维能力全面运维能力安全保护能力安全保护能力隐患发现能力隐患发现能力应急响应能力应急响应能力快速恢复能力快速恢复能力第二章第二章 帐号口令管理帐号口令管理SECURITY technologySECURITY technologyn为什么有这么多人钟情于窃取帐号口

15、令？为什么有这么多人钟情于窃取帐号口令？n攻击者窃取帐号有着非法的目的、意图，恶意毁坏操作等行为，他们或以出名，或以炫耀技术为目的。而目前，窃取帐号的行为都与窃取商业机密和机密信息、数据、经济利益相关，大都有着利益化的倾向犯罪行为。看我怎么窃取你的口令？休想！有本事来试试！帐户被盗帐户被盗原因原因密码过于密码过于简单简单保管不当保管不当木马木马暴力破解暴力破解钓鱼网站钓鱼网站负责审批、登记负责审批、登记备案用户权限，备案用户权限，并进行定期审计并进行定期审计。负责发起和审核负责发起和审核员工帐号的创建、员工帐号的创建、变更和撤消。变更和撤消。业务系统或者网业务系统或者网络设备的负责部络设备的负

16、责部门负责业务系统门负责业务系统和网络设备的维和网络设备的维护工作，帐号的护工作，帐号的具体生成、变更具体生成、变更和删除的操作。和删除的操作。帐号维护者帐号维护者安全管理安全管理部门部门系统设备系统设备责任部门责任部门只有基本的甚至没有保障措施，用于电子系统的帐号。只有基本的甚至没有保障措施，用于电子系统的帐号。等级等级1 1 最低保障最低保障通过常用的措施即可保护系统的可信认证，必须充分考虑代价和通过常用的措施即可保护系统的可信认证，必须充分考虑代价和认证安全性的平衡。认证安全性的平衡。等级等级2 2 低保障级别低保障级别如果该级别的帐号被破坏，攻击者往往可以通过这种系统作为中如果该级别的

17、帐号被破坏，攻击者往往可以通过这种系统作为中转，进而对部分关键的系统主机进行破坏。转，进而对部分关键的系统主机进行破坏。等级等级3 3 中等保障级别中等保障级别通常等级四意味着正式的业务流程使用的帐号，通常需要较高信通常等级四意味着正式的业务流程使用的帐号，通常需要较高信心来保证身份的认证和正确的授权。心来保证身份的认证和正确的授权。等级等级4 4 坚固保障级别坚固保障级别等级五的保障通常对应需要非常大的信心保障的系统。等级五的保障通常对应需要非常大的信心保障的系统。等级等级5 5 最高保障等级最高保障等级从从IT管理角度管理角度系统管理员系统管理员/超级用户超级用户普通帐号普通帐号第三方用户

18、帐号第三方用户帐号安全审计员帐号安全审计员帐号*防火墙的3个账号保障等级一需要遵守的规范保障等级一需要遵守的规范保障等级二需要遵守的规范保障等级二需要遵守的规范保障等级三需要遵守的规范保障等级三需要遵守的规范保障等级四需要遵守的规范保障等级四需要遵守的规范保障等级五需要遵守的规范保障等级五需要遵守的规范中国移动帐号口令管理办法中国移动帐号口令管理办法管理流程管理流程创建用户帐号创建用户帐号变更用户变更用户撤销用户撤销用户定期复审定期复审授权帐号创建权限变更冻结撤消帐号管理贯穿的五个过程：口令设置原则口令设置原则1.口令设置最低标准口令设置最低标准2.口令指南口令指南3.n口令必须具有足够的长度

19、和复杂度，使口令难于被猜测n口令在一定时间或次数内不能循环使用n不同帐号的口令应当不同，并且没有直接联系，以保证不可由一个帐号的口令推知其它帐号的口令n同一帐号前后两个口令之间的相同部分应当尽量减少，减低由前一个口令分析出后一个口令的机会n口令不应当取过于简单的字符串，如电话号码、使用者的姓名、宠物、生日或其倒序，6位字符都相同、6位连续字符等易于猜测的信息n开户时设定的初始口令必须是随机产生的口令，而不能是相同或者有规律的口令n所有系统管理员级别的口令（例如root、enable、NT administrator、DBA等）在没有使用增强口令的情况下，必需按照较短周期进行更改，例如每三个月更

20、换一次。应该注意关键性帐号信息的定期行备份。n用户所使用的任何具备系统超级用户权限（包括并不限于系统管理员帐号和有sodu权限帐号）帐号口令必需和这个用户其他帐号的口令均不相同。n如果有双要素认证机制，则以上的要求和下面关于强口令选择的要求可以不考虑。n口令不能在电子邮件或者其他电子方式下以明文方式传输。n当使用SNMP时，communication string不允许使用缺省的Public、Private和system等，并且该communication string不应该和系统的其他口令相同，应该尽量使用SNMPv2以上的版本。n如果技术上支持，口令至少要有6位长n口令必须是字母和非字母的

21、组合n口令第1位和最后1位至少应包含1个非数字字符n与前次口令比较，在任何位置不能有超过3个字符连续相同 n口令不能包含超过2个连续相同的字符n用户名不能作为口令一部分n与前4次相同的口令不能重复使用n口令不能被共享除非每个口令的行为都能被区分n对于级别要求很高的系统，普通用户口令要求8位以上n管理员/超级用户帐号最近20个口令不可重复，口令的长度不可小于7位，口令中必须包含大写字母、小写字母和数字中的两类，口令中同一个符号不得多于2次，且不得有1个以上的字符出现两次，前后2个口令中相同位置的字符相同的不得多于2个；口令不得有明显的意义修改n帐号的使用人应当定期修改帐号口令，修改口令的间隔应小

22、于本标准的相关规定，对于本标准没有规定的用户，其间隔应当小于6个月n不同用户的修改口令的最大间隔为：1)普通帐号应当小于6个月 2)管理员帐号和超级管理员帐号应当小于3个月n匿名用户帐号可以不修改口令概述概述1.根据工作需要确定最小权限根据工作需要确定最小权限2.建立基于角色的权限体系建立基于角色的权限体系3.n帐号和口令管理包括基于帐号的操作或访问控制权限的管理。帐号是作为访问的主体。而基于帐号进行操作的目标就是访问的客体。通常这个客体被当成为资源。n对资源的访问控制权限的设定依不同的系统而不同。从移动帐号管理的角度，可以进行基于角色的访问控制权限的设定。即对资源的访问控制权限是以角色或组为

23、单位进行授予。n对帐号的授权，应以其能进行系统管理、操作的最小权限进行授权。比如这个帐号作为系统帐号只能进行数据备份的操作，那就只授权其可以进行数据备份操作的命令。别的诸如进行系统网络状态监控的命令则不授权其可以进行。n对于授权，应该支持一定的授权粒度控制，从而控制用户的访问对象和访问行为，保证用户的最小授权。用户用户A用户用户B高级角色高级角色1细分角色细分角色1细分角色细分角色2细分角色细分角色3细分角色细分角色4应用应用1应用应用2高级角色高级角色2概述概述1.帐号审查通用要求帐号审查通用要求2.帐号口令审计流程设计建议帐号口令审计流程设计建议 3.n帐号口令管理的执行情况，在很大程度上

24、取决于帐号口令审查的监督帐号口令管理的执行情况，在很大程度上取决于帐号口令审查的监督力度。在公司内部推行帐号口令管理制度的很大一部分工作需要通过力度。在公司内部推行帐号口令管理制度的很大一部分工作需要通过不断的监督、审查再配合相关的奖惩规定来保证。因此完善的帐号口不断的监督、审查再配合相关的奖惩规定来保证。因此完善的帐号口令审查制度对于整个帐号口令管理至关重要。令审查制度对于整个帐号口令管理至关重要。n本章内容主要从帐号口令审查宏观方面提出一些要求和建议，各网络本章内容主要从帐号口令审查宏观方面提出一些要求和建议，各网络和业务系统可以根据各自的业务和风险情况制定详细的操作细则。和业务系统可以根

25、据各自的业务和风险情况制定详细的操作细则。n对于保障等级一、二类帐号的普通用户，可以根据实际情况决定是否进行定期审查n对于保障等级一、二类帐号的超级用户，定期审查的时间间隔不超过六个月n对于保障等级三、四类帐号的普通用户，定期审查的时间间隔不超过三个月n对于保障等级三、四类帐号的超级用户，定期审查的时间间隔不超过一个月n对于保障等级五类帐号的所有用户，定期查的时间间隔不超过一个月n任何变化发生后应进行审查，如：发生非法入侵、人员变动等；n对于审查过程中出现的多余、闲置或非法的帐户，应及时予以冻结或删除n对核查中发现的问题，应督促相关人员采取必要措施予以纠正通用原则n对于已经实施集中认证系统，审

26、计的主要工作是对于认证和授权的日志进行检查，审核是否有非法登陆事件，是否有越权使用的行为等n对于操作系统级的帐号口令审计分为两种：第一种可以设置帐号登陆和权限使用事件的追踪，这种帐号口令的审计也是对系统日志和防火墙等访问控制设备日志的审计；对于不能实现帐号登录和权限追踪的系统，需要人工进行审计，应该根据业务系统的属性制定详细的审计checklist，由专门的安全组织进行定期或者不定期的帐号随机抽查审计n对于应用系统的帐号审计工作也是参照操作系统的分类进行处理n对于网络设备的帐号审计工作，由于大部分的设备帐号都是没有日志记录的，所以主要审计方式是人工审计，由专门的信息安全组织根据设备的风险等级规

27、定审计的频度和审计的checklistn审计checklist的内容主要依据审计对象的帐号口令管理规定制作，审计的关键点是帐号口令的复杂度，权限，更改的要求等等n在制作审计checklist设计的时候，需要区别不同业务系统不同级别帐号的差异，对于关键业务系统和关键帐号的审计频度和审计的内容要求更加严格n审计的结果应该和奖惩规定挂钩，对于多次审计不合格或者优秀的员工和分公司要按照奖惩规定进行相应的奖惩n专门的信息安全部门或者组织应该对审计的结果定期进行公布，力争将审计的威慑力逐步提高，让帐号使用者提高安全使用帐号口令的意识帐号口令的审计流程帐号口令的审计流程以业务系统的风险等以业务系统的风险等级

28、做为差异定制，针级做为差异定制，针对不同的风险等级制对不同的风险等级制定不同的审计定不同的审计checklistchecklist帐号口令的审计可以结合现有帐号口令的审计可以结合现有的的ITIT技术，尽可能通过日志文技术，尽可能通过日志文件等方式进行审计，但是有部件等方式进行审计，但是有部分系统没法提供电子审计对象，分系统没法提供电子审计对象，对于高风险等级的系统，必须对于高风险等级的系统，必须制定替代的审计方法，包括手制定替代的审计方法，包括手工的方法工的方法第三章、安全预警第三章、安全预警4.4.n所有的安全威胁都有可能以攻击、入侵、渗透、影响、控制和破坏网所有的安全威胁都有可能以攻击、入

29、侵、渗透、影响、控制和破坏网络信息系统作为主要手段。因此，对来自网上的破坏活动的监控、预络信息系统作为主要手段。因此，对来自网上的破坏活动的监控、预警与审计，是防范的先决条件，是构筑信息安全环境重要而必不可少警与审计，是防范的先决条件，是构筑信息安全环境重要而必不可少的环节的环节 n网络与信息基础设施的重要性，决定了入侵检测、监控、安全预警的网络与信息基础设施的重要性，决定了入侵检测、监控、安全预警的必要性。当我们需像雷达来保卫领空一样地需要预警来保卫网络与信必要性。当我们需像雷达来保卫领空一样地需要预警来保卫网络与信息系统时，那么我们就会认为雷达和安全预警同样重要。息系统时，那么我们就会认为

30、雷达和安全预警同样重要。n就是主动的发现网络与信息安全的潜在风险，事件、告警信息等，改就是主动的发现网络与信息安全的潜在风险，事件、告警信息等，改被动响应处理故障为提前发现、预警、预知。被动响应处理故障为提前发现、预警、预知。n能避免一些安全问题的发生，或通过预警及时解决可能出现的问题能避免一些安全问题的发生，或通过预警及时解决可能出现的问题n安全预警需与安全监控、入侵检测、应急响应各个阶段相结合，实现安全预警需与安全监控、入侵检测、应急响应各个阶段相结合，实现网络与信息融合的安全保障。网络与信息融合的安全保障。n安全预警只是主动性安全风险管理的一部分安全预警只是主动性安全风险管理的一部分n选

31、择和建立一套安全预警系统的重要因素：选择和建立一套安全预警系统的重要因素：n一个是及时性，警报不管是对安全漏洞、安全威胁、还是是恶意代码，信息发布要及时。n第二是准确性，现在安全报警的来源很多，但有些信息的来源未必可靠，所以准确性不是很高。准确性不高的安全预警信息可能会起到与期望的效果相反的结果。n第三是针对性，现在全球每天所发送的安全威胁信息是大量的，这些信息如果不经过分析，就不能被用来防御所面临的威胁，因此其可利用价值是很低的。n网络安全事件分级网络安全事件分级n信息监测与报告信息监测与报告 n预警预防行动预警预防行动 n预警支持系统预警支持系统n在综合风险评估的基础上，根据资产在综合风险

32、评估的基础上，根据资产/域风险的状况，对资产评级，并将域风险的状况，对资产评级，并将最后的量化风险归结到最后的量化风险归结到5个风险级别：个风险级别：红色：表示安全域处于高风险状态，需要立即进行处理；橙色：表示安全域处于较高风险状态，需要及时进行处理；黄色：表示安全域面临一定的风险，需要关注；蓝色：表示安全域处于较为安全的状态；绿色：表示资产几乎未受到任何威胁，处于安全状况。（可不考虑）n网络安全事件分级网络安全事件分级 网络安全事件可根据危害和紧急程度分为网络安全事件可根据危害和紧急程度分为“四级四级/一般一般”、“三级三级/预警预警”、“二级二级/报警报警”、“一级一级/紧急紧急”四种，分

33、别对应四种，分别对应“蓝蓝”、“黄黄”、“橙橙”、“红红”四种颜色标记。四种颜色标记。n信息监测与报告信息监测与报告 各公司应每天做好省网骨干路由器和核心交换机等设备的异常监控，各公司应每天做好省网骨干路由器和核心交换机等设备的异常监控，包括访问日志和流量信息，并注意保存三个月。包括访问日志和流量信息，并注意保存三个月。n建立专用的日志服务器建立专用的日志服务器n将日常运维设施的日志进行综合关联性分析将日常运维设施的日志进行综合关联性分析n结合安全事件特征，从日志里判断出各种潜在要发生的安全事件，及结合安全事件特征，从日志里判断出各种潜在要发生的安全事件，及时进行预防时进行预防n信息上报信息上

34、报 各省公司每月各省公司每月9 9日以前向集团公司上报省网月度安全事件处理报告；日以前向集团公司上报省网月度安全事件处理报告；各省公司每年各省公司每年1212月底前向集团公司上报省网年度网络安全分析报告。月底前向集团公司上报省网年度网络安全分析报告。n预警预防行动预警预防行动 发生或可能发生三级以上互联网网络安全事件情况时，各省公司接收发生或可能发生三级以上互联网网络安全事件情况时，各省公司接收到集团公司发来的有关安全事件预警信息和处理方法及时通知有关用户到集团公司发来的有关安全事件预警信息和处理方法及时通知有关用户 应急处理流程应急处理流程 三级三级/预警安全事件的应急响应预警安全事件的应急

35、响应 二级二级/报警安全事件的应急响应报警安全事件的应急响应 一级一级/紧急安全事件的应急响应紧急安全事件的应急响应 信息共享信息共享 信息上报时间要求信息上报时间要求 信息共享的方式信息共享的方式 信息共享的保障制度信息共享的保障制度 *“应急响应”更深层次的内容，请参见广西移动兄弟公司编写的安全应急响应课程n信息上报时间要求信息上报时间要求 在发生或可能发生三级/预警安全事件的情况下，应在24小时内向集团公司上报相关信息，二级/报警安全事件情况应在8小时内上报，一级/紧急安全事件情况应在1小时内上报。n信息共享的方式 （1）三级/预警安全事件使用EOMS或电子邮件通报/上报，并使用电话确认

36、对方收到；（2）二级以上安全事件必须先通过电话通报/上报，同时通过EOMS或电子邮件通报/上报，并使用电话确认对方收到；（3）根据情况及时整理补充正式的公文通报/上报 各省公司对其相关用户的通报方式自定。安全事件应急处理结束后，各省公司及时对本次安全事件发生的原因、事件规模进行调查，估算事件损失后果，对应急处理手段效果和后续风险进行评估，总结应急处理的经验教训并提出改进建议，于应急处置结束后一个月内向集团公司上报相关的总结评估报告。第四章第四章 服务和端口服务和端口 n端口是计算机与外部通信的途径，没有它，计算机便又聋又哑。端口是计算机与外部通信的途径，没有它，计算机便又聋又哑。n在网络技术中

37、，端口（在网络技术中，端口（PortPort）有多种意思）有多种意思:指集线器、交换机、路由指集线器、交换机、路由 器的端器的端口指的是连接其他网络设备的接口，如口指的是连接其他网络设备的接口，如RJ-45RJ-45端口、端口、SerialSerial端口等。端口等。n我们一我们一般般所指的端口不是指物理意义上的端口，而是特指所指的端口不是指物理意义上的端口，而是特指TCP/IPTCP/IP协议中的端协议中的端口，是逻辑意义上的端口。口，是逻辑意义上的端口。n那么那么TCP/IPTCP/IP协议中的端口指的是什么？如果把协议中的端口指的是什么？如果把IPIP地址比作一间房子地址比作一间房子 ，

38、端口，端口就是出入这间房子的门。真正的房子只有几个门，但是一个就是出入这间房子的门。真正的房子只有几个门，但是一个IPIP地址的端口地址的端口 可可以有以有6553665536个之多！端口是通过端口号来标记的，端口号只有整数，范围是从个之多！端口是通过端口号来标记的，端口号只有整数，范围是从0 0 到到6553565535。n从端口的分配来看，端口被分为固定端口和动态端口两大类（一些教程还将极少被用到的高端口划分为第三类：私有端口）：固定端口（固定端口（0 010231023）：）：使用集中式管理机制，即服从一个管理机构对端口的指派，这个机构负责发布这些指派。由于这些端口紧绑于一些服务，所以我

39、们会经常扫描这些端口来判断对方是否开启了这些服务，如TCP的21（ftp），80（http），139（netbios），UDP的7（echo），69（tftp）等等一些大家熟知的端口；动态端口（动态端口（102410244915149151）：）：这些端口并不被固定的捆绑于某一服务，操作系统将这些端口动态的分配给各个进程，同一进程两次分配有可能分配到不同的端口。不过一些应用程序并不愿意使用操作系统分配的动态端口，他们有其自己的商标性端口，如oicq客户端的4000端口，木马冰河的7626端口等都是固定而出名的。n端口的分类:1、按照协议类型分类，端口被分为TCP端口和UDP端口两类，虽然他们都

40、用正整数标识，但这并不会引起歧义，比如TCP的80端口和UDP的80端口，因为数据报在标明端口的同时，还将标明端口的类型。n端口都有确切的定义，对应着相应的服务，每一个打开的端口，都代端口都有确切的定义，对应着相应的服务，每一个打开的端口，都代表一个系统服务。表一个系统服务。n例如，例如，8080端口就代表端口就代表WebWeb服务。服务。2121对应着对应着FTPFTP，2525对应着对应着SMTPSMTP、110110对对应着应着POP3POP3等。等。n动态端口动态端口(从从10241024到到65535)65535)当你需要与别人通信时，当你需要与别人通信时，WindowsWindow

41、s会从会从10241024起，在本机上分配一个动态端口，如果起，在本机上分配一个动态端口，如果10241024端口未关闭，再需要端口未关闭，再需要端口时就会分配端口时就会分配10251025端口供你使用，端口供你使用，n依此类推。依此类推。但是有个别的系统服务会绑定在但是有个别的系统服务会绑定在10241024到到4915149151的端口上，的端口上，例如例如33893389端口端口(远程终端服务远程终端服务)。从。从4915249152到到6553565535这一段端口，通常没这一段端口，通常没有捆绑系统服务，允许有捆绑系统服务，允许WindowsWindows动态分配给你使用。动态分配给

42、你使用。n系统服务：操作系统包括许多组件，系统服务就是这些组件之一。特系统服务：操作系统包括许多组件，系统服务就是这些组件之一。特定计算机所需的系统服务或者由操作系统在启动期间自动启动，或者定计算机所需的系统服务或者由操作系统在启动期间自动启动，或者根据需要在典型操作期间启动。根据需要在典型操作期间启动。n例如，在运行例如，在运行 Windows Server 2003 Enterprise Edition Windows Server 2003 Enterprise Edition 的计算机的计算机上，一些可用的系统服务包括服务器服务、后台打印程序服务以及万上，一些可用的系统服务包括服务器服

43、务、后台打印程序服务以及万维网发布服务。每个系统服务都有一个友好的服务名称和一个服务名维网发布服务。每个系统服务都有一个友好的服务名称和一个服务名称。称。n服务也指：操作系统提供的某项功能服务也指：操作系统提供的某项功能,或打开、关闭的进程服务。或打开、关闭的进程服务。nTCP/IPTCP/IP协议规定，电脑有协议规定，电脑有256256256(65536)256(65536)个端口，这些端口可分为个端口，这些端口可分为TCPTCP端口和端口和UDPUDP端口两种。端口两种。n端口提供的服务列表，参见下述网址：端口提供的服务列表，参见下述网址：n列表1：nhttp:/ 开始开始|设置设置|控制

44、面板控制面板|添加添加/删除程序删除程序|Windows|Windows组件，卸载不需要的组件，卸载不需要的服务服务 n避免未知漏洞给主机带来的风险避免未知漏洞给主机带来的风险 编号：6040名称：停用TFTP重要等级：高基本信息：提供可选的FTP服务。检测内容：TFTP 是允许使用者以nobody的身份，未经过授权地的存取系统。它应该停用，除非被利用来加载X-WINDOW系统，在这种情形下，它应该在/etc/tftpaccess.ctl 中作设定，其限定只能存取在bootstrap过程中所需的目录。在起动TFTP时，利用“-i”and“-v”选项，使其能针对原有的IP 地址和所传输的文件名称

45、作记录。另外，确定TFTP 服务只能作“写入存取”(write access)，所以不要使用“-n”选项。建议操作：确定TFTP系统的访问策略设定。操作结果：禁止无关用户的访问。第五章第五章 安全补丁安全补丁n信息系统的基础构成是信息系统的基础构成是PCPC、网络、业务系统等，随着病毒和漏洞的结、网络、业务系统等，随着病毒和漏洞的结合，合，CodeRedCodeRed、NimdaNimda、SQLSlammerSQLSlammer、BlasterBlaster蠕虫、僵尸、漏洞等对蠕虫、僵尸、漏洞等对网络甚至经济都造成了严重的影响。这些漏洞造成的危害网络甚至经济都造成了严重的影响。这些漏洞造成的

46、危害 ，是利用，是利用了操作系统或者应用程序、设备的漏洞，而消除漏洞的常规办法就是了操作系统或者应用程序、设备的漏洞，而消除漏洞的常规办法就是安装补丁。安装补丁。n解决好补丁问题相当于给企业网络安全上了一道防火墙，但在一个大解决好补丁问题相当于给企业网络安全上了一道防火墙，但在一个大中型企业中，中型企业中，PCPC机数目众多，应用软件复杂，补丁的安装不是一件容机数目众多，应用软件复杂，补丁的安装不是一件容易的事情。如何有效安装补丁，管理好补丁也是企业易的事情。如何有效安装补丁，管理好补丁也是企业ITIT运维管理的重运维管理的重要内容之一。要内容之一。n现状分析，要在一个企业中做好补丁管理工作，

47、首先需要分析信息资现状分析，要在一个企业中做好补丁管理工作，首先需要分析信息资产、产、ITIT系统环境、系统环境、ITIT网络环境和信息资产重要网络环境和信息资产重要等级等级，以便下一步有针，以便下一步有针对性地跟踪企业所需要的补丁和要采取的措施。对性地跟踪企业所需要的补丁和要采取的措施。企业补丁管理的流程与架构企业补丁管理的流程与架构客户端的软件更新服务器的软件更新网络设备ios更新安全补丁分发管理安全补丁分发管理补丁导入补丁导入/导出管理导出管理补丁库分类管理补丁库分类管理补丁分发策略管理补丁分发策略管理补丁检测控制管理补丁检测控制管理补丁分发流量均衡补丁分发流量均衡补丁自动闭环测试补丁自

48、动闭环测试终端补丁查询管理终端补丁查询管理文件分发控制管理文件分发控制管理补丁安装和操作补丁安装和操作使用使用Windows UpdateWindows Update在线更新工具：点击在线更新工具：点击“开始开始Windows Update”Windows Update”直接连接到微软的直接连接到微软的Windows UpdateWindows Update网站；网站；对于没有与对于没有与InternetInternet相连的终端，可相连的终端，可以以安安装装最最新新版本版本含含有有漏漏洞洞检检测测工工具具的的软软件件，如安全卫士如安全卫士360360等。等。在命令行方式转到安装目录下，输入在

49、命令行方式转到安装目录下，输入hfnetchk.exehfnetchk.exe，回车即可。，回车即可。根据使用根据使用“检测内容检测内容”中提到的补丁测试方法，对系统进行全面的测中提到的补丁测试方法，对系统进行全面的测试，然后根据实际结果确定更新系统的哪些补丁程序。试，然后根据实际结果确定更新系统的哪些补丁程序。下载完毕后，双击补丁程序，按照安装过程给出的提示，一步一步进下载完毕后，双击补丁程序，按照安装过程给出的提示，一步一步进行。行。安装结束后，重新启动系统即可。安装结束后，重新启动系统即可。WindowsWindows、网络设备的补丁是系统安全中重要组成部分，通常情况下安、网络设备的补丁

50、是系统安全中重要组成部分，通常情况下安装补丁不会对系统造成任何不良的影响。装补丁不会对系统造成任何不良的影响。但存在补丁与应用系统冲突的可能，造成业务中断，必须做好系统备份但存在补丁与应用系统冲突的可能，造成业务中断，必须做好系统备份和打补丁前的测试工作。和打补丁前的测试工作。另外服务器安装补丁最好选择在业务不繁忙时间段进行。另外服务器安装补丁最好选择在业务不繁忙时间段进行。在安装系统补丁的过程中不能够使系统断电或非正常安装完毕在安装系统补丁的过程中不能够使系统断电或非正常安装完毕而重新启动系统，这样可能会造成系统不能正常启动的严重后果。而重新启动系统，这样可能会造成系统不能正常启动的严重后果