在信息系统安全等级保护基本要求中,安全等级保护三级GB/T 22239—2008的基本要求中,明确要求网络系统必须具备结构化的安全保护能力,具体要求包括:
结构安全(G3)
本项要求包括:
a) 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;
b) 应保证网络各个部分的带宽满足业务高峰期需要;
c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径;
d) 应绘制与当前运行情况相符的网络拓扑结构图;
e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;
f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采取可靠的技术隔离手段;
g) 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主机。
根据GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和国家烟草专卖局办公室2011年颁布的《国家烟草专卖局办公室关于开展烟草行业信息系统安全等级保护整改工作的通知》(国烟办综〔2011〕440号)等文件的内容,甘肃烟草公司信息网络安全域需根据业务系统等级进行重新划分。甘肃烟草公司信息系统按照业务系统定级,根据不同级别保护需求,按要求划分安全区域进行分级保护。因此,安全域划分是进行信息安全等级保护建设的首要步骤。
目前甘肃烟草公司各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行,不受其他业务系统的影响,现有拓扑结构如下图所示:
依据甘肃省烟草公司安全分区、分级、分域及分层防护的原则,管理信息按照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行安全防护建设之前,首先实现对信息系统的安全域划分。结合甘肃烟草公司网络现状,采用VLAN划分的方法,将甘肃烟草信息系统分为:内部业务域,数据存储域、外部业务域、运维管理域、内部用户接入域、地市用户域、合作单位接入域以及核心网络域。并且在内部业务域中,根据业务系统的重要性以及信息系统的分级情况,把三级系统和数据库系统单独划分独立区域,二级信息系统及非重要未定级的信息系统划分为一个区域。从而形成分区、分级、分域的立体式安全域划分。
针对此次安全域的划分,对二三级域与其他区域之间存在的边界进行分类描述。主要分为三种边界类型,一种是与Internet 边界相连的互联网边界,一种是与国家烟草局、合作单位及各地市烟草相连的纵向网络边界,一种是与桌面终端内部用户相连的横向域间的边界。在此次整改建设中要梳理出个域之间的访问控制关系,明晰区域边界的范围。
拓扑结构的改造目标如下图所示:
电信Internet
H3C 上网行为MSR 电信SDH
外联银行
烟草行业网
行业网站
下一代防火墙
IBM
Info-S7510E-1Info-S7506E-1S7506E-2Ids/ips
Ids/ips
Data-Data-数据库审计-1
Radware
绿盟WAF-1
外联MSR5040-1
Cisco-3825-1
CISCO3640
CISCO7606
CISCO7507
CISCO2611
国家局防火墙-1
国家局防火墙-2
SRG3250H3C-5040垃圾邮件网关
垃圾邮件网关
漏洞扫描动态短信口令
运维审计-1
网络安全审计
下一代防火墙绿盟IPS
DMZ 交换机地市节点
Radware 移动Internet
外联银行
MSR5040-2
Cisco-3825-2
绿盟WAF-2
Radware
Radware
电信MSTP
县区节点
上网行为Neteye 4120-1
Neteye 下一代防火墙Radware
Radware
准入控制-1准入控制-2运维审计-2数据库审计-2T200-1
T200-2
S7502E-2S7502E-1SR8805-1SR8805-2IP SAN
A1000IMC
信安CA
CISCO-S6509
CISCO-S6509
互联区
甘肃烟草公司网络规划拓扑图
1) 网络域的划分
a.互联网域
是甘肃烟草公司全省的统一互联网访问出口,为省级、地市级办公域的内部用户提供互联网的访问。是甘肃烟草办公网络与互联网之间的边界,在此区域部署有入侵防护、下一代防火墙及上网行为管理等安全设备。通过上网行为规范内
部用户访问互联网的各种行为,同时保证对带宽的合理分配及资源的有效控制。通过防火墙及入侵防护应对进出网络的信息内容进行过滤,实现了网络边界处的防范。
b.内联域
涵盖了烟草行业内部机构,包括地市公司、质检、物流、稽查队、县营销部、客户服务部、欣大公司及国家烟草局的接入,实现行业内部系统应用的互访及数据交互等功能。在每一类内部行业用户的接入点均部署有防火墙及入侵防护及网络准入等边界防护设备,可实现对内联用户细粒度的访问控制规则设定。
c.外联域
外联域主要提供烟草行业内部的业务系统与外联银行的数据接口服务,实现对银行扣款,在线支付等功能的安全接入。在边界处部署有防火墙进行访问控制及边界防护。
d.网络安全管理域
此区域是本次项目建设采购的安全设备单独划分的管理区域,只允许后台管理人员进行访问。部署有网络准入控制、终端管理、运维审计、网络安全审计、动态短信口令身份认证系统及漏洞扫描系统等安全管理设备,通过运维审计系统实现对运维人员的访问控制。
e.核心交换域
甘肃烟草骨干网络的核心数据交换区域,采用双核心的冗余链路设计,保障了稳定性的同时,将其他各个区域联通实现内部业务数据的高速交换。
f.公共服务域
是甘肃烟草公司依据国家烟草局的相关要求,建设的新商盟对外发布公共服
务的区域。此区域不提供内部办公人员的业务访问,只为后台管理人员开放运维接口。该区域按照国家局的要求,部署有IPS,WAF,FW等安全设备,通过本次项目的安全加固,可令该区域基本满足信息安全等级保护三级的基本要求。
g.办公域
办公域为东口及五泉两处的烟草办公人员提供烟草内部网络的访问接入,实现对烟草业务系统的办公访问需求及互联网访问需求。
h.服务器域
部署有支撑甘肃烟草公司八大核心业务系统的各种服务器及小型机。对该区域需实现详细的访问控制过程,主要通过数据库审计对数据库的各类业务操作实现详细记录,并通过与网络安全管理域的联动,实现对访问该区域的人员的身份鉴别及行为审计等安全控制措施。
2)访问控制规则的完善
a. 从甘肃烟草网络拓扑结构可以看到,在目前,甘肃互联边界使用了两台netsys4120设备作为安全控制设备及一台上网行为管理,存在单点故障,同时,由于两台netsys4120设备使用年限比较长,存在一定的性能问题,为此,经过沟通,在本次设备更换实施中,将使用两台性能更好的山石防火墙,替换现有的netsys4120防火墙,并以冗余热备的形式,实现业务系统接入的冗余功能。
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》,整改方案如下:
割接前部分拓扑如下:
Internet
H3Cs5500
MSR5060
S75106E-1S75106E-2
Ids/ips Ids/ips
上网行为管理
割接后部分拓扑如下:
Internet
MSR5060
上网行为管理
S7506E-1S7506E-2
Ids/ips
下一代防火墙
S7510E-1 Ids/ips S7510E-1
Internet
下一代防火墙
Ids/ips netsys4120防火墙策略统计如下:
上网行为管理策略统计如下:
1)设备上架:将两台防火墙及上网行为管理设备安装上架,并进行加电测试及线缆的布放(H3C-S5500至新增上网行为管理网线一根、新增上网行为管理至MSR5060路由器网线一根)。
2)由于现网中防火墙及上网行为管理都为透明模式,不需要新增互联地址。根据防火墙及上网行为管理现有策略配置好山石防火墙及深信服上网行为管理,配置如下:
3)测试互联网业务,测试表格如下:
4)由于现网中H3C-S5500至路由器之间为双链路,其中一条链路中串接行为管理,断开未串接行为管理的链路,将新增的深信服上网行为管理串接到网络中。5)关闭路由器(MSR5060)与备用netsys4120防火墙的互联接口(即GigabitEthernet5/1口),测试业务是否正常,若正常则将配置好的山石防火墙接入网络中,暂时先不关闭netsys4120备用防火墙设备。
6)开启路由器(MSR5060)的GigabitEthernet5/1口,并关闭路由器(MSR5060)的GigabitEthernet6/1口,测试业务是否正常,若正常则将配置好的山石防火墙接入网络中,开启路由器(MSR5060)的GigabitEthernet6/1口,测试业务是否正常
7)待业务正常运行一周后,下线netsys4120防火墙设备。
b、建于甘肃烟草公司信息网络中所有的电脑、服务器、网络设备在同一个网络内,这意味着这些设备之间可以任意的互连互通,任意一台电脑感染病毒或受黑客控制的时候,可以直接影响公司的所有IT设备也意味着电脑可以任意访
问服务器的所有端口,而不是根据应用服务的需要去限制只可访问需要的服务,这样服务器的任何一个漏洞都可以被计算机利用来攻击服务器。
针对以上问题,结合《信息安全技术信息安全等级保护基本要求》,整改方案如下:
本方案改变现有的网络结构,将现有的H3C防火墙板卡及山石下一代防火墙串接到网络中。
割接前部分拓扑如下:
IBM
S7510E-1
S7510E-2
Cisco6509
S75106E-1S75106E-2
Ids/ips
S7510E-1S7510E-2垃圾邮件网关
垃圾邮件网关
割接后部分拓扑如下:
IBM
S7510E-1
S7510E-2
Cisco6509
S75106E-1S75106E-2
Ids/ips
S7510E-1S7510E-2
垃圾邮件网关
垃圾邮件网关
下一代防火墙
下一代防火墙
服务器中心核心交换机网络IP统计如下:
数据中心核心交换机网络IP统计如下:
核心交换机网络IP统计如下:
本方案割接步骤如下:
1)由于此方案中防火墙板卡已经安装完毕,并且防火墙板卡与H3C交换机之间通过万兆背板带宽交换数据,无需准备任何线缆。
2)保存现有网络设备所有配置信息,测试业务是否正常,测试结果如下:
3)配置好H3C防火墙板卡,防火墙为路由模式,策略先调整为允许所有,保存配置,准备割接工作。防火墙板卡配置如下:
4)关闭服务器中心核心交换机-2(INFO_SW_7510E_2)的Gi3/0/35口,测试网络连通性是否正常,若正常则配置此交换机,配置如下:
interface teng0/0/1
description to INFO_FW_7510E
port link-type access
quit
interface vlan 802
description to INFO_FW_7510E
undo ip address
ip address 10.52.21.xx
undo shutdown
5)将服务器中心核心交换机-2(INFO_SW_7510E_2)的Gi3/0/35口线缆改接至防火墙板卡上Gi0/0/1口,打开所有接口后测试网络连通性(在服务器中心核心交换机上执行合令ping -a 10.52.21.xx 10.52.21.33)。
6)在服务器中心核心交换机-2上执行命令display ospf lsdb 查看OSPF链路状态数据库,查看是否在vlan802接口上学到链路状态信息,在防火墙板卡(INFO_FW_7510E_2)上执行命令ping -a 10.52.21.38 10.52.21.33及display ospf lsdb等命令,查看网络运行是否正常。
7)关闭服务器中心核心交换机-1(INFO_SW_7510E_1)上的Gi3/0/35口,测试网络连通性,若正常则将Gi3/0/35口线缆改接至防火墙板卡上Gi0/0/1口,配置服务器中心核心交换机-1(INFO_SW_7510E_1)配置如下:
interface teng0/0/1
description to INFO_FW_7510E
port link-type access
port default vlan 801
quit
description to INFO_FW_7510E
undo ip address
ip address 10.52.21.xx
undo shutdown
interface gi3/0/45
undo shutdown
8) 在服务器中心核心交换机-1上执行命令display ospf lsdb 查看OSPF链路状态数据库,查看是否在vlan801接口上学到链路状态信息,在防火墙板卡(INFO_FW_7510E_1)上执行命令ping -a 10.52.21.6 10.52.21.1及display ospf lsdb等命令,查看网络运行是否正常。
9)关闭数据中心核心交换机-2(DATA_SW_7510E_2)的Gi3/0/35口,测试网络连通性是否正常,若正常则配置此交换机,配置如下:
interface teng0/0/1
description to DATA _FW_7510E
port link-type access
port default vlan 804
quit
interface vlan 804
description to DATA _FW_7510E
undo ip address
ip address 10.52.21.xx
10)将数据中心核心交换机-2(DATA_SW_7510E_2)的Gi3/0/35口线缆改接至防火墙板卡上Gi0/0/1口,打开所有接口后测试网络连通性(在服务器中心核心交换机上执行合令ping -a 10.52.21.xx 10.52.21.41)。
11)在数据中心核心交换机-2(DATA_SW_7510E_2)上执行命令display ospf lsdb 查看OSPF链路状态数据库,查看是否在vlan804接口上学到链路状态信息,在防火墙板卡(DATA_FW_7510E_2)上执行命令ping -a 10.52.21.38 10.52.21.33及display ospf lsdb等命令,查看网络运行是否正常。
12)关闭数据中心核心交换机-1(DATA_SW_7510E_1)上的Gi3/0/35口,测试网络连通性,若正常则将Gi3/0/35口线缆改接至防火墙板卡上Gi0/0/1口,配置数据中心核心交换机-1(DATA_SW_7510E_1)配置如下:
interface teng0/0/1
description to DATA _FW_7510E
port link-type access
port default vlan 803
quit
interface vlan 803
description to DATA _FW_7510E
undo ip address
ip address 10.52.21.xx
undo shutdown
interface gi3/0/45
13) 在数据中心核心交换机-1(DATA_SW_7510E_1)上执行命令display ospf lsdb 查看OSPF链路状态数据库,查看是否在vlan801接口上学到链路状态信息,在防火墙板卡(DATA_FW_7510E_1)上执行命令ping -a 10.52.21.14 10.52.21.9及display ospf lsdb等命令,查看网络运行是否正常。
14)在所有网络设备上测试,查看是否与割接之前保存的信息一致,表格如下:
15)割接后业务测试
在本次割接过程中所有配置都是提前配置的,所有的数据、测试都是提前准备好的,成功几率很高。割接万一不成功,如果在时间的允许状态下及时处理,如果时间来不及,需要倒回原来的设备也需把线缆换回原来的位置和对应口。观察倒回的设备,查看网络的应用是否正常,如果不正常及时处理。确认业务回复正常后,分析割接失败的原因。
割接应急预案:
在本次割接过程中可能出现在故障及解决方法如下:
一、网络设备端口翻动
采用以下步骤逐步排查故障:
1.用命令display diagnostic-information 核查端口硬件信息是否正常;
2.用命令display interface <端口号> 核查端口状态;
3.查看端口下连设备物理状态;
恢复措施:
1.如果已经改造具备冗余保护,可考虑先断掉flap端口,保证业务,随后排查
2.如果不具备冗余保护,至少应有冷备链路,手工更换链路,端口
二、网络设备硬件故障
设备故障,采用以下步骤逐步排查故障:
1.查看设备状态;display gsr; display module ,display logg来确认设备问题所在。
2.如果不能确认故障,则抓取display diagnostic-information信息提交TAC中心;
三、网络路由故障
例如某目的地址不可达,采用以下步骤逐步排查故障:
1.首先确认是否有人员对网内设备配置进行过配置
2.在该目的地址直连的设备上通过display int ,display arp,display mac,
3.Ping 等命令确认该目的地址设备是正常的。
4.如果该目的地址设备运行正常,则从源端设备开始tracert,确认是否能tracert。有防火墙的情况需要特别注意。
5.在各中间环节路由器上通过display ip route,确认是否有该目的地址路由。
四、网络丢包或响应缓慢
1.从目标地址最近的网络设备开始查找,查看端口是否流量过大,查看设备cpu 及mem利用率
2.查看是否网络攻击
3.查看是否病毒
4.确认从源地址到目的地址全程网络响应情况
5.定位拥塞点并进行处理。
3)运维服务管理的完善
在信息系统安全等级保护基本要求中,安全等级保护三级GB/T
网络安全主机安全加固 一、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ●? 正确的安装; ●? 安装最新和全部OS和应用软件的安全补丁; ●? 操作系统和应用软件的安全配置; ●? 系统安全风险防范; ●? 提供系统使用和维护建议; ●? 系统功能测试; ●? 系统安全风险测试; ●? 系统完整性备份; ●? 必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2)明确系统运行状况的内容包括: ●? 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
●? 系统上运行的应用系统及其正常所必需的服务。 ●? 我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4)系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二.加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ●? 系统安全需求分析 ●? 系统安全策略制订 ●? 系统安全风险评估(网络扫描和人工评估) 对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。 2. 制订加固方案 制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表。
网络信息安全技术优化和防范 /h1 当今社会在计算机网络技术广泛应用于人们的日常与工作中的同时,信息安全问题也越发突显化,人们对于信息保护的重视度正在逐渐增强,如果始终无法采取科学有效的防范措施对网络信息实行全面保障,那么则会带来极为严重的后果。由此可见,加强对网络信息的安全技术优化及科学防范措施相关问题的分析探究,具有极为重要的意义。 1网络信息安全技术优化措施 1.1防病毒入侵技术首先需做的是,加强对网络信息存取的控制度,以此帮助避免违法用户在进入网络系统之后,采用篡改口令的方式来实现身份认证。与此同时,还需注意针对用户类型的不同,对其设置相应的信息存取权限,以免出现越权问题。其次,需注意采用一套安全可靠的杀毒和防木马软件,以此实现对网络病毒和木马的全面清除,且还可对网络用户的具体操作进行监控,从而全面确保网络进行安全。最后需做的是,针对局域网入口,需进一步加强监控,因为网络病毒进入计算机系统的主要渠道为局域网。所以需尽可能地采用云终端,尽量减少超级用户设置,对系统中的重要程序采用只读设置,以此帮助全面避免病毒入侵。 1.2信息加密技术此项技术主要是指对网络中的传输信息做加密处理,在达到防范目的之后,再对其做解密处理,将其还原为原始信息的一种信息安全技术。在此项技术应用中,可全面确保传输文件、信息、口令及数据的安全可靠。此项技术主要的加密方式有:节点加密、
链路加密及端点加密。其中节点加密主要的保障安全对象为:源节点至目的节点信息。而端点加密主要的保障安全对象为:源端用户至目的端的信息。链路加密主要的保障安全对象为:网络各节点间的链路信息。整个信息加密技术的设计核心主要为加密算法,可被分为对称及非对称的密钥加密法。 1.3防火墙技术在用户正式连接至Internet网络中后,防火墙技术内部会出现一个安全保护屏障,对网络用户的所处环境安全性进行检测及提升,对来源不详的信息做过滤筛选处理,以此帮助更好地减小网络运行风险。只有一些符合防火墙策略的网络信息方可通过防火墙检验,以此确保用户连接网络时,整个网络环境的安全性。将防火墙作为重点安全配置,还可对整个网络系统之内的安全软件做身份验证、审查核对处理。整体而言,防火墙技术的应用可以说是计算机系统自带的有效防护屏障。 1.4访问控制技术此项技术的应用可对信息系统资源实行全面保护,其主要组成部分为:主体、客体及授权访问。其中主体是指主动实体,可对客体实行访问,可为用户、终端、主机等。而客体即为一个被动实体,客体会受到一定程度上的限制,客体可为字段、记录、程序、文件等。授权访问则是指:主体访问客体的允许。无论是对主体还是客体而言,授权访问均为给定。访问控制技术主要分为三种,自主访问、强制访问、基于角色访问。 1.5报文鉴别在面对被动信息安全攻击时,可采用前文所述的加密技术。而对于主动信息安全攻击,则需要运用报文鉴别技术。此技术的应用主要是为了对信息数据传输中的截获篡改问题予以妥善解决,科学判定报文完整性。报文鉴别技术的应用全程是:报文发送方在发送报文信息之间,对其做哈希函数计算处理,进而得到一个定长报文摘要,对此摘要做加密处
甘肃海丰信息科技有限公司Windows系统安全加固技术指导书 ◆版本◆密级【绝密】 ◆发布甘肃海丰科技◆编号GSHF-0005-OPM- ?2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.
目录 文档信息 (2) 前言 (3) 一、编制说明 (3) 二、参照标准文件 (3) 三、加固原则 (3) 1.业务主导原则 (3) 2.业务影响最小化原则 (4) 3.实施风险控制 (4) (一)主机系统 (4) (二)数据库或其他应用 (4) 4.保护重点 (5) 5.灵活实施 (5) 6.周期性的安全评估 (5) 四、安全加固流程 (5) 1.主机分析安全加固 (6) 2.业务系统安全加固 (7) 五、W INDOWS 2003操作系统加固指南 (8) 1.系统信息 (8) 2.补丁管理 (8) (一)补丁安装 (8) 3.账号口令 (8) (一)优化账号 (8) (二)口令策略 (8) 4.网络服务 (9) (三)优化服务 (9) (四)关闭共享 (9) (五)网络限制 (10) 5.文件系统 (10) (一)使用NTFS (10) (二)检查Everyone权限 (10) (三)限制命令权限 (10) 6.日志审核 (11) (一)增强日志 (11) (二)增强审核 (11)
文档信息 ■版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属甘肃海丰所有,受到有关产权及版权法保护。任何个人、机构未经甘肃海丰的书面授权许可,不得以任何方式复制或引用本文的任何片断。 ■变更记录 时间版本说明修改人 2008-07-09新建本文档郑方 2009-05-27修正了4处错误、删除了IIS5加固部分郑方 2010-10-11新增加固IIS6、SQL2000加固操作指南郑方
网络安全策略操作手册
《网络安全策略操作手册》文档记录: 摘要记录: 关键字网络安全密码ACL 编号 版本控制: 变更者版本变更日期批准人审批日期变更内容 钟登1.0 2015.5.26
1、密码安全 1.1密码复杂度 1)使用大写字母和小写字母、标点和数字的集合。 2)有规律地更换密码,长度大于或等于8位左右较为合适。 3)不要使用和你有关的姓名和数字,如出生日期或是绰号。 1.2登录方式和明密文加密 常用的网络设备远程登录方式有Telnet和SSH,telent属于明文传输密码,密码容易遭到网络抓包或监听工具窃取,而SSH采用密文方式传输密码,相对安全。同样,网络交换机特权模式密码有明文和密文两种存在方式,建议采用密文方式加密,这样即使配置文件泄露也不会泄露交换机特权登录密码。 Telnet方式: Switch(config)#line vty 04 Switch(config-line)#password xxxx 设置telnet时的登陆密码 Switch(config-line)#login SSH方式: Switch(config)#ip domain-name cisco Switch(config)#crypto key generate rsa general-keys Switch(config)#line vty 0 4 Switch(config-line)#transport input ssh 设置SSH登录方式(建议) Switch(config-line)#username cisco password xxx Switch(config-line)#login 全局模式口令 R1#configure terminal R1(config)#enable password XXXX 明文加密
XXXX业务网网络信息安全加固项目案例介绍 一、概述 随着信息化技术的深入和互联网的迅速发展,整个世界正在迅速地融为一体,IT系统已经成为XXX整合、共享内部资源的核心平台,同时,随着XXX经营理念的不断深化,利用各种各样的业务平台来为XXX提供更多的增值业务服务的情况越来越多,因此IT系统及各种各样的业务平台在XXX系统内的地位越来越重要,更为XXX提供的新业务利润增长做出了不可磨灭的贡献。 伴随着网络的发展,也产生了各种各样的安全风险和威胁,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDOS攻击越来越常见、WEB应用安全事件层出不穷、,黑客攻击行为几乎每时每刻都在发生,而伴随着上级主管部门对于信息安全的重视及审查工作愈加深化,所有这些风险防范及安全审查工作极大的困扰着XXX运维人员,能否及时发现网络黑客的入侵,有效地检测出网络中的异常流量,并同时在“事前”、“事中”及“事后”都能主动协助XXX完成自身信息安全体系的建设以及满足上级部门审查规范,已成为XXX运维人员所面临的一个重要问题。 本方案针对XXXX公司业务平台的安全现状进行分析,并依据我公司安全体系建设的总体思路来指导业务平台信息安全体系建设解决方案的制作,从安全技术体系建设的角度给出详细的产品及服务解决方案。
二、网络现状及风险分析 2.1 网络现状 业务平台拓扑图 XXXX公司业务平台网络共有包括XXX、XXX、XXX平台等四十余个业务系统,(因涉及客户信息,整体网络架构详述略)业务平台内部根据业务种类的不同,分别部署有数据库、报表、日志等相应业务系统服务器。 2.2 风险及威胁分析 根据上述网络架构进行分析,我们认为该业务平台存在如下安全隐患: 1.随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯XX的已经 无法满足信息安全防护的需要,部署了×XX的安全保障体系仍需要进一步完善, 防火墙系统的不足主要有以下几个方面(略) 2.当前网络不具备针对X攻击专项的检测及防护能力。(略) 3.对正常网络访问行为导致的信息泄密事件、网络资源滥用行为等方面难以实现针 对内容、行为的监控管理及安全事件的追查取证。 4.当前XX业务平台仍缺乏针对网络内容及已经授权的正常内部网络访问行为的有 效监控技术手段,因此对正常网络访问行为导致的信息泄密事件、网络资源滥用
网络系统安全加固方案北京*****有限公司 2018年3月
目录 1.1项目背景 ..................................... 1.2项目目标 ..................................... 1.3参考标准 ..................................... 1.4方案设计原则 ................................. 1.5网络系统现状 ................................. 2网络系统升级改造方案............................... 2.1网络系统建设要求 ............................. 2.2网络系统升级改造方案 ......................... 2.3网络设备部署及用途 ........................... 2.4核心交换及安全设备UPS电源保证 ............... 2.5网络系统升级改造方案总结 ..................... 3网络系统安全加固技术方案........................... 3.1网络系统安全加固建设要求 ..................... 3.2网络系统安全加固技术方案 ..................... 3.3安全设备部署及用途 ........................... 3.4安全加固方案总结 ............................. 4产品清单...........................................
1. 判断题 在处理或者修改客户网络中的数据时,需先向客户申请书面授权;但是如果所实施的操作不会对客户网络运行造成任何影响,就没有必要向客户申请了。 对错 考生答案:错回答正确 试题分数:(2.0) 当前得分:2.0 2. 判断题 员工需定期进行电脑/终端进行病毒查杀,当发现或怀疑电脑/存储介质感染病毒时,禁止接入客户网络。 ?ST 鮎 EL对错 考生答案:对回答正确 试题分数:(2.0) 当前得分:2.0 3. 判断题 在客户网络上安装任何工具或软件都必须获得客户的书面授权。在紧急情况如客户无法联系的情况下,在客户设备上安装的临时软件必须在完成工作任务后第一 时间立即删除。 广I |1 对错 考生答案:错回答正确
试题分数:(2.0) 当前得分:2.0 4. 判断题 团队成员一起在客户场所工作,为了不打扰客户,在保证不泄漏账号和密码的 前提下,大家可以共享账户。 匸1对2C错 考生答案:错回答正确 试题分数:(2.0) 当前得分:2.0 5. 判断题 网络安全违规问责的定级标准主要是依据违规所导致的结果。 对错 考生答案:错回答正确 试题分数:(2.0) 当前得分:2.0
“关于网络安全基线的管理要求”中提到:()是所辖业务网络安全保障的第 一责任人。()都要对自己所做的事情和产生的结果负责,不仅要对技术和服务负责,也要承担法律责任。 a.各级业务主管,员工 b.项目经理,主管 c.各级业务主管,主管 d.项目经理,员工 考生答案:a 回答正确 试题分数:(2.0)当前得分:2.0 12. 单选题 员工利用同事电脑中客户网络的登录账户密码,远程接入客户网络解决问题。 据调查发现,该登录账户是客户半年前授予该维护人员的,有效期才10天。下 列说法错误的是: a.加强客户授权管理(含授权书、账户、密码等) b.定期清除到期客户权限,并提醒客户取消到期授权 c.属于客户网络的 访问控制存在管理漏洞是客户的责任,华为不承担责任
《网络安全防护技术》课程标准一、课程基本信息 课程名称网络安全防护技术先修课计算机组网技术、网络操作系统、网络管理 学分 4 学时建议68学时 授课对象网络专业三年级学生后续课攻防对抗、网络安全检 测与评估 课程性质专业核心课 二、课程定位 计算机网络技术专业从“组网、管网、用网”三个方向分别设置课程,《网络安全防护技术》则是其中承上启下,为这三个专业方向提供支撑,是计算机网络技术专业的核心课程。 《网络安全防护技术》课程通过三大应用情境的12个典型工作任务的学习,帮助学生学会正确使用各娄安全技术:加密、身份认证、资源权限管理、操作系统加固、病毒防范、链路加密、漏洞修补、安全检测等,能实施包括防水墙、入侵检测等安全产品配置,更能根据不同应用网络环境规划安全方案及应急响应策略。从内容上看,它涵盖了个人主机、办公网络和企业网络在安全防范中最常用的技术,也是网络安全工程师NCSE一、二级职业资格考试的重要内容,在整个课程体系中具有重要的作用。 学生学习了这门课程,既有助于学生深化前导的《网络操作系统》、《网络管理》、《计算机组网技术》等专业课程,又能辅助学生学习后续的《攻防对抗》、《网络安全检测与评估》的理解,提高学生的网络安全管理能力,培养更适应计算机网络相关岗位的合格从业人员。 三、课程设计(参照信息产业部NCSE一、二级证书的考试大纲) 1、课程目标设计 (1)能力目标 能够解决不同的网络应用环境中遇到的信息安全问题,成为具备基本安全知识和技能的安全应用型人才。能正确配置网络安全产品、实施应用安全技术、熟练掌握各类安全工具的使用方法,并能规划不同应用网络环境中的安全方案及应急响应策略。 (2)知识目标 掌握网络安全技术的概念与相关知识,了解网络安全相关标准,对于各类网络环境所使用的各类防护技术原理有正确的认识。 (3)态度目标 遵守国家关于信息安全的相关法律法规,不利用所掌握的技术进行入侵攻击方面的活动;正确认识攻击事件,有应急处理维护和恢复信息系统的意识。 (4)终极目标 培养掌握较全面的网络安全防护技能,同时具备较高的安全素养,能够从事企事业单位的网络安全与管理的合格从业人员。
【最新整理,下载后即可编辑】 网络系统安全加固方案 北京*****有限公司 2018年3月 【最新整理,下载后即可编辑】
目录 1 项目介绍 (3) 1.1 项目背景 (3) 1.2 项目目标 (3) 1.3 参考标准 (4) 1.4 方案设计原则 (4) 1.5 网络系统现状 (7) 2 网络系统升级改造方案 (8) 2.1 网络系统建设要求 (8) 2.2 网络系统升级改造方案 (8) 2.3 网络设备部署及用途 (12) 2.4 核心交换及安全设备UPS电源保证 (12) 2.5 网络系统升级改造方案总结 (13) 3 网络系统安全加固技术方案 (13) 3.1 网络系统安全加固建设要求 (13) 3.2 网络系统安全加固技术方案 (14) 3.3 安全设备部署及用途 (30) 3.4 安全加固方案总结 (31) 4 产品清单................................................................ 错误!未定义书签。【最新整理,下载后即可编辑】
1 项目介绍 1.1 项目背景 随着对外网信息化的发展,业务系统对外网络系统、信息系统的依赖程度也越来越高,信息安全的问题也越来越突出。为了有效防范和化解风险,保证对外网信息系统平稳运行和业务持续开展,须对对外网现有的网络升级,并建立信息安全保障体系,以增强对外网的信息安全风险防范能力。 同时随着全球化和网络化,全球信息化建设的加快对我国的影响越来越大。由于利益的驱使,针对信息系统的安全威胁越来越多,必需加强自身的信息安全保护工作,建立完善的安全机制来抵御外来和内在的信息安全威胁。为提升对外网整体信息安全管理水平和抗风险能力,我们需要根据国内外先进信息安全管理机制结合对外网自身特点和需求来开展一项科学和系统的信息安全体系建设和规划设计工作。 通过系统的信息安全体系规划和建设,将为对外网加强内部控制和内部管理,降低运营风险,建立高效、统一、运转协调的管理体制的重要因素。 1.2 项目目标 满足对外网对网络系统等基础设施的需求,降低基础设施对
网络安全主机安全加固 网络安全主机安全加固 、安全加固概述 网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。 网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作: ?正确的安装; ?安装最新和全部OS和应用软件的安全补丁; ?操作系统和应用软件的安全配置; ?系统安全风险防范; ?提供系统使用和维护建议; ?系统功能测试; ?系统安全风险测试; ?系统完整性备份;
?必要时重建系统等。 上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,贝U可以归纳为: (1)加固目标也就是确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同。 (2 )明确系统运行状况的内容包括: ?系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。 ?系统上运行的应用系统及其正常所必需的服务。 ?我们是从网络扫描及人工评估里来收集系统的运行状况的。 (3)明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。 (4 )系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限等内容;最好做系统全备份以便快速恢复。 二?加固和优化流程概述 网络与应用系统加固和优化的流程主要由以下四个环节构成: 1. 状态调查 对系统的状态调查的过程主要是导入以下服务的结果: ?系统安全需求分析 ?系统安全策略制订
网络性能优化总结 网络性能优化的目的是减少网络系统的瓶颈、设法提高网络系统的运行效率。对于不同的网络硬件环境和软件环境,可以存在不同的优化方法和内容。例如,在一个配置比较落后而又需要提供各种新服务的网络中,管理员往往需要对内存、CPU、磁盘、网络接口和服务器等分别进行优化处理,以便适应新的网络运行要求。但是,在一个网络服务比较少而硬件配置比较高的网络中,管理员不需要考虑整个网络的性能问题,只要利用一些性能和网络监视工具对系统进行监视,然后对发现的问题进行专项处理即可。下面对网络性能优化过程中的重要内容分别进行介绍。 7.2.1 内存优化 内存是操作系统中的重要资源,不仅操作系统的运行需要它,而且各种应用程序和服务都需要调用它才能使用。从应用的角度来看,系统内存是引起各种系统问题的重要原因,是需要用户和管理员着重考虑的优化对象。 1. 合理使用内存 在内存一定的情况下,合理地使用内存可以提高网络的性能。这要求管理员必须对系统中的内存使用情况非常了解,对于那些不再需要的功能、应用程序或服务应及时关闭,以便释放内存给其他应用程序和服务。另外,管理员还可以通过系统设置来决定内存的主要优化对象。一般,服务器的主要优化对象应该是后台服务,而工作站和单个计算机的主要优化对象应该是前台应用程序。 要选择内存优化的主要对象,可执行下面的操作步骤: (1) 打开“控制面板”窗口,右击“系统”图标,从弹出的快捷菜单中选择“打开”命令,打开“系统特性”对话框。 (2) 单击“高级”标签,切换到“高级”选项卡,然后单击“性能”选项组中的“性能选项”按钮,打开“性能选项”对话框,如图7-1所示。 图7-1 “性能选项”对话框
网络安全加固最新 解决方案
网络系统安全加固方案 北京*****有限公司 3月
目录 1 项目介绍 .............................................................. 错误!未定义书签。 1.1 项目背景................................................... 错误!未定义书签。 1.2 项目目标................................................... 错误!未定义书签。 1.3 参考标准................................................... 错误!未定义书签。 1.4 方案设计原则 ........................................... 错误!未定义书签。 1.5 网络系统现状 ........................................... 错误!未定义书签。 2 网络系统升级改造方案....................................... 错误!未定义书签。 2.1 网络系统建设要求 ................................... 错误!未定义书签。 2.2 网络系统升级改造方案 ........................... 错误!未定义书签。 2.3 网络设备部署及用途 ............................... 错误!未定义书签。 2.4 核心交换及安全设备UPS电源保证 ....... 错误!未定义书签。 2.5 网络系统升级改造方案总结.................... 错误!未定义书签。 3 网络系统安全加固技术方案............................... 错误!未定义书签。 3.1 网络系统安全加固建设要求.................... 错误!未定义书签。 3.2 网络系统安全加固技术方案.................... 错误!未定义书签。 3.3 安全设备部署及用途 ............................... 错误!未定义书签。 3.4 安全加固方案总结 ................................... 错误!未定义书签。 4 产品清单 .............................................................. 错误!未定义书签。
主机问题解决方案 部分主机未禁用GUEST 账户,需禁用所有主机Guest 账号 (只适用于windows)。旗标曝露操作系统的版本: AIX : 修改/etc/motd 中的内容为“ hello ” “ welcome” 或其 他,以覆盖系统版本信息。 HP-UNIX 修改/etc/issue 中的内容。 超时退出功能,已加固部分服务器,剩余服务器,Windows 设置屏保,时间为10 分钟以内,启用屏保密码功能。HP-UNIX:修改/etc/profile 文件,增加TMOUT值,建议设定600以 内。AIX:编辑/etc/profile 文件,添加TMOUT参数设置,例如TMOUT=600 以内,系统600 秒无操作后将自动执行帐户注销操作。 明文管理方式,部分设备目前还需要使用TELNET 服务,逐步关闭,建议采用SSH ,在网络和主机层面逐步关闭TELNET协议,禁用TELNET启用SSH协议(适用于AIX与HP-UNIX): 1.禁用telnet vi /etc/inetd.conf 把telnet 行注释掉,然后refresh -s inetd 2.加速ssh 的登录 第一: 如有/etc/resolv.conf ,rm 掉 第二:vi /etc/ssh/sshd_config 去掉注释userDns , 把yes 改
为no stopsrs -s sshd startsrc -s sshd 未关闭远程桌面,易受本地局域网恶意用户攻击,需转运行后,在网络层面增加访问控制策略。 允许root 账户远程登录,各网省建立专用账号实现远程管理,关闭root 账号运程管理功能在。 主机操作系统提供FTP 服务,匿名用户可访问,易导致病毒的传播,禁用AIX 自身的FTP 服务(适用于AIX 与HP-UNIX) 1、编辑/etc/inetd.conf 将ftpd 一项注释; 2、refresh -s inetd 。 其它FTP服务软件使用注意:先关闭所有FTP服务,用时开启,用完后关闭。
网络安全优化方案 一、目的: 1、保证信息安全 2、防止员工在上班期间做非工作的事 二、如要解决员工上班期间做非工作事情与保证信息安全就要解决以下的五大问题: 1、共享 2、邮箱 3、USB 4、浏览网页与下载 5、IM聊天软件 1、共享问题:有些特殊部门之间需要相互沟通,因此这些部门之间可以相互访问部门共享文件,导致不必要的非工作软件在共享中泛洪。建议解决方案:仅对各部门开放自己的共享文件夹,可在原有的部门文件夹与常与资源文件夹的基础上再添加一个公共文件夹并设置可读可写权限,从而来起到各部门之间传送与交换文件的作用,对于公共文件夹每月清空一次。隐私文件由各部门总监以邮件方式发送。解决方案引发问题:客服部与续保部经常需要共用一个文件采用公共文件夹有可能会引起别人随意修改的可能性。 2、邮箱问题:通过邮箱传送不必要的文件建议解决方案:屏蔽私人邮箱,将邮箱加入审计(在不影响网速的情况下) 3、USB接口问题:通过USB传送不必要的文件建议解决方案:把所有USB 接口封住,仅对领导开通USB接口,当需要传输文件时统一通过部门领导传输,
使领导可以监督与审核的解决方案引发问题:是下放到总监级别还是到经理级别,如果下放到经理级别经理是否能很好的监督与审核。 4、浏览网页与下载问题:1)浏览娱乐、购物等网站影响员工工作质量解决方案:1)屏蔽没必要的网站,只对工作有用的网站予以开通解决方案引发问题:现在是网络通信时代如果封掉全部网站会给员工的信息搜索带来阻碍。对于封锁网站封锁到总监级别还是封锁到经理级别如果封锁到总监级别经理就起不到协助总监工作的作用如果封锁到经理级别,如果经理玩游戏带动员工也参与形成恶性循环,因此要落实到以人为本加强管理从经理做到自律。 5、 IM聊天软件问题:上班时间用IM信息通讯软件聊天解决方案:屏蔽所有聊天软件解决方案引发问题:有些岗位的员工需要及时与外界联系、咨询等屏蔽后会起到阻碍。关于信息安全的问题:员工采用打印,手抄,照相的方式带走客户信息。解决方案:是否可以取消客服部打印的权限。
高校数字化校园网络安全优化解决方案 行业背景 高校及科研机构是互联网最早建设及推广使用的行业之一。各地高校信息化发展迅速,目前高校信息化应用系统已经涵盖到教学(占98%)、科研(占84.4%)、管理(占95.3%)等学校主要业务上,网络从管理向服务转型,中国教育正大力推进自己的信息化水平,教育骨干网、城域网、校园网、教育资源中心等项目正在全国各地如火如荼地规划及建设中。 高校校园网由于各类应用普及,用户群庞大且非常活跃,网络环境及流量组成都较为复杂,给整体网络的安全、体验及管理带来了较大的难题。 需求分析 网络的风险层出不穷,多样化的网络攻击以及应用层的攻击时间频频发生,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受网络黑客、病毒的侵害,并对学生的上网行为进行有效的管理,已经成为了各个学校不可回避的紧迫问题。另外,网络互联的健壮性要求也逐步在提升,单一链路所引起的单点故障问题给校园带来的损失已越来越不容忽视,不少学校会部署多链路来解决单点故障问题,但是这种传统的解决方案同样存在着缺陷。比如:对于出站访问,传统多链路部署方案无法判断哪条链路会比较快速的可以到达访问目标;而对于入站访问,也无法确定哪条链路在当前环境下是能够更快更好的对外提供服务的。同时链路利用是否合理、链路的稳定性也无从得知。此外,目前学校、政府花费了巨大的精力进行校园网建设,国际教育网络资源对高校也有很大的优惠措施。学校的图书馆电子资源、校内OA系统、校务管理系统给师生工作学习都带来了便利,但走出校园网这些资源便无法利用了。同时,随着智能终端的发展和普及,越来越多的用户已经将办公由原来的台式机、笔记本转向移动智能终端,移动互联网在给我们带来快速性和便捷性的同时,我们也面临着新的问题。如何在校园网外实现远程移动办公已经成为校园网深度建设必须面对的问题。 具体需求如下: 1.校园网出口链路负载均衡
H3C防火墙安全加固之设备篇(一) 防火墙作为保障网络安全的基础设备,往往部署在网络的边界位置,起到隔离不同安全区域的作用,这使得防火墙成为保护内部网络的一道屏障,此时防火墙作为重要的网络节点,自身一旦被攻破,用户的内部网络便暴露在攻击者面前,所以防火墙自身的安全需要引起我们的重视。今天我们就来了解一下H3C 防火墙的常用安全加固手段。 对于网络维护人员而言,最常接触并最应该重视的就是防火墙的口令。H3C防火墙的缺省用户名密码通常为h3c/h3c或者admin/admin, 由于缺省密码的安全级别非常低,在完成初始化部署后,必须修改缺省账户的密码或者禁用缺省账号。这里通常建议密码的长度至少为8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类,每类多于4个,账户口令的生存期要低于90天,并实效前提前7天发出告警。例如在设备上可以通过以下方式设定口令规范:
选择题 部分: 第一章: (1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。A.保密性 (2)网络安全的实质和关键是保护网络的安全。C.信息 (3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。D.网络的系统安全 (4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。C.可用性 (5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。B.非授权访问 (6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。A.信息安全学科 (7)实体安全包括。B.环境安全、设备安全和媒体安全 (8)在网络安全中,常用的关键技术可以归纳为三大类。D.预防保护、检测跟踪、响应 恢复 第二章: (1)加密安全机制提供了数据的______.D.保密性和完整性 (2)SSI.协议是______之间实现加密传输协议。A.传输层和应用层 (3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。B.非对称对称 (4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。 B.数据保密性服务 (5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。D.数据保密性及以上各项 (6)VPN的实现技术包括。D.身份认证及以上技术 第三章: (1)网络安全保障包括信息安全策略和。D.上述三点 (2)网络安全保障体系框架的外围是。D.上述三点 (3)名字服务、事务服务、时间服务和安全性服务是提供的服务。C.CORBA网络安全 管理技术 (4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。A.持续改进模式的信息安全运作模式 (5)我国网络安全立法体系框架分为。B.法律、行政法规和地方性法规、规章、规范性 文档 (6)网络安全管理规范是为保障实现信息安全政策的各项目标制定的一系列管理规定和规程,具有。C.强制效力 第四章: (1)在黑客攻击技术中,是黑客发现获得主机信息的一种最佳途径。A.端口扫描 (2)一般情况下,大多数监听工具不能够分析的协议是。D.IPX和DECNet
ZXA10网络安全性能优化 技术指导书 中兴通讯股份有限公司
目录 第1章ZXA10网络安全性能优化简介 (3) 1.1 网络优化的考虑 (3) 1.2 网络优化的内容 (3) 1.3 网络安全性能优化的内容 (3) 1.3.1 系统冗余备份 (4) 1.3.2 接地改造 (4) 1.4 网络优化流程说明 (4) 1.4.1 网络性能及运营数据采集 (4) 1.4.2 数据分析 (5) 1.4.3 系统测试 (5) 1.4.4 制定网络优化方案 (5) 1.4.5 网络优化方案实施 (6) 1.4.6 对比性测试 (6) 1.4.7 验收申请 (6) 1.4.8 客户验收 (6) 1.4.9 资料更新 (6) 1.4.10 网络优化总结 (7) 第2章系统检测方案 (8) 2.1 一般检查 (8) 2.2 系统检查 (9) 第3章ZXA10网络性能优化实施方案 (12) 3.1 系统冗余备份 (12) 3.1.1 备用链路配置 (12) 3.1.2 数据备份 (13) 3.2 接地改造 (14) 3.2.1 名词解释 (14) 3.2.2 接地原则 (15) 3.2.3 接地要求 (15) 3.2.4 接地方法 (16) 3.2.5 接地效果验收 (16)
第1章ZXA10网络安全性能优化简介 网络优化是在现有交换接入网络的基础上,通过对网络运行状况的分析, 以网络结构调整、网络资源的再分配以及网络设备软硬件性能的改进等 方法,使得网络运行性能和安全性能得到充分的发挥,在有限的投入和 用户允许的缺陷下,获得最大的设备有效利用率。 1.1 网络优化的考虑 网络优化需要考虑的三个基本点是: ●网络运行安全 ●网络运行优化 ●网络系统优化 1.2 网络优化的内容 网络优化的内容相当多,根据目前的情况,我们暂时确定网络优化服务 包括五大部分内容,分别是网络性能优化、网络安全性能优化、网络监 控性能优化、网络运行保障优化、网络系统总体调优。 本文主要讲述其中的第二部分——网络安全性能优化。 1.3 网络安全性能优化的内容 通过对当地ZXA10语音网络运行安全性能数据的收集、了解、分析和评 估,提出ZXA10语音网络安全性能优化方案。通过对网络安全性能优化 方案的具体实施,提高网络运行安全性能各项指标,确保网络设备安全 稳定的运行,提高网络设备的抗干扰能力。 ZXA10语音网络安全性能优化有以下主要内容:
一实验名称 系统主机加固 二实验目的 熟悉windows操作系统的漏洞扫描工具 了解Linux操作系统的安全操作三实验步骤 Windows主机加固 一.漏洞扫描及测试 2.漏洞测试 (1)主机A建立ipc$空连接 net use \\100.10.1.2\ipc$“” /user:”” (2)主机A通过NetBIOS获得主机B信息 主机A在命令行下执行如下命令:nbtstat –A 100.10.1.2 获得主机B的信息包括:主机名:HOST7D MAC地址:00-0C-29-31-8D-8F (3)主机A通过telnet远程登录主机B 主机A在命令行下执行如下命令:telnet 100.10.1.2 输入“n”|“Enter”,利用扫描到的弱口令用户,登录主机B。 在主机B的D盘下新建名称为“jlcss”的文件夹,命令为d: 和mkdir jlcss 主机B查看D盘出现了名为“jlcss”的文件夹,文件夹创建时间为2016-5-16 9:30 (4)主机A通过ftp访问主机B 主机A打开IE浏览器,在地址栏中输入“ftp://主机B的IP地址”,可以访问二.安全加固实施 1.分析检测报告 2.关闭ipc$空连接 主机A建立ipc$空连接,命令如下:net use \\100.10.1.2\ipc$“” /user:”” 出现提示:命令成功完成 3.禁用NetBIOS
主机A通过NetBIOS获取主机B信息,在命令行下执行如下命令: nbtstat –A 100.10.1.2 出现提示:Host not found 4.关闭445端口 (1)验证445端口是否开启 主机B在命令行中输入如下命令:netstat -an 查看到445端口处于Listening: (2)若主机不需要文件共享服务,可以通过修改注册表来屏蔽445端口 主机B执行如下命令:netstat -an 此时445端口未开启 5.禁止Telnet服务。 主机A重新telnet 主机B,出现提示 6.禁止ftp服务 主机B查看21端口是否关闭,在命令行下执行如下命令: netstat –an 主机B的21端口已关闭 主机A通过ftp访问主机B 提示无法与服务器建立连接 7.修改存在弱口令账号:net user test jlcssadmin 三.加固测试 (1)主机A使用X-Scan再次对主机B进行扫描,根据本次检测报告,对比第一次生成的检测报告,完成下表: Linux主机加固 一.使用xinetd实施主机访问控制 1.telnet服务的参数配置 (1)telnet远程登录同组主机(用户名guest,口令guestpass),确定登录成功。 (2)查看本机网络监听状态,输入命令netstat -natp。回答下列问题: telnet监听端口:23 telnet服务守护进程名:xinetd