南京晓庄学院数学与信息技术学院
网络安全实验报告
网络设备安全策略 一. 网络设备安全概述 设备的安全始终是信息网络安全的一个重要方面,攻击者往往通过控制网络中设备来破坏系统和信息,或扩大已有的破坏。只有网络中所有结点都安全了,才能说整个网络状况是安全的。网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。对网络设备进行安全加固的目的是减少攻击者的攻击机会。如果设备本身存在安全上的脆弱性,往往会成为攻击目标。 二. 设备的安全脆弱性分析如下 (1)提供不必要的网络服务,提高了攻击者的攻击机会 (2)存在不安全的配置,带来不必要的安全隐患 (3)不适当的访问控制 (4)存在系统软件上的安全漏洞 (5)物理上没有安全存放,遭受临近攻击(close-in attack) 三. 针对网络设备存在的安全弱点,采取的方法和策略。(1)禁用不必要的网络服务 (2)修改不安全的配置 (3)利用最小权限原则严格对设备的访问控制 (4)及时对系统进行软件升级 (5)提供符合IPP要求的物理保护环境 四. 网络设备安全服务控制 利用IP 地址欺骗控制其他主机,共同要求Router提供的某种服务,导致Router 利用率升高。就可以实现DDOS攻击。防范措施是关闭某些默认状态下开启的服务,以节省内存并防止安全破坏行为/攻击。 (1)禁止CDP协议 (2)禁止其他的TCP、UDP Small服务 (3)禁止Finger服务
(4)建议禁止http server服务。 (5)禁止bootp server服务 (6)禁止代理ARP服务 (7)过滤进来的ICMP的重定向消息 (8)建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤 (9)如果没必要则禁止WINS和DNS服务 (10) 根据公司的业务需求对适合不同业务的网络协议端口进行相应的开放和封闭策略 五. 网络设备运行监控 对重要的网络设备,如核心交换机,防火墙,路由器等进行时时的监控和报警措施,及时做好预防措施,保证公司网络设备的安全运行.
附件 2: 《网络设备配置与管理》 课程标准 XXXX职业技术学院二〇一五 年 10 月
《网络设备配置与管理》课程标准 一、课程基本信息 课程名称:网络设备配置与管理 课程类别:专业核心课程 学时学分:108 学时, 6.5 学分 适用专业:适用三学制高职计算机网络技术专业 二、课程概述 《网络设备的配置与管理》是计算机网络技术专业的专业核心课程,让学生能够掌握网络基础知识和常用的网络通信协议,会配置常见的路由器和以太网交换机,并且掌 握如何利用这些技术去构建、维护中、小企业网络。 三、本课程与其他课程关系 来源于专业教学标准,具有针对性 序号前期课程名称为本课程支撑的主要能力 1计算机网络基础计算机网络体系结构的基本认识能力 2综合布线技术结构化布线系统的处理能力3计算机英语查阅英文资料的能力序号后期课程名称为本课程支撑的主要能力 1网络安全网络互联互通、网络协议应用等能力 四、工作任务和课程目标(一)工作任务及职业能力 表 1 工作任务与职业能力分析表工作领域工作任务职业能力学习项目 1、熟悉网络通信线缆 1、制作网线 组建局域网2、会制作水晶头 3、熟悉局域网拓扑结构2、通过交换机组建对等简单组网实训局域网 4、掌握交换机工作原理 1、交换机的基本配置配置与管理交 2、广播域与冲突域的概 念 换机3、 VLAN 的原理 4、 VLAN 的配制方法1、通过 VLAN隔离广播域 2、通过汇聚连接实现不 虚拟局域网实训同交换机间相同VLAN的 通信
配置与管理 路由器 配置与管理路 由 网络安全管理5、 Trunk 汇聚连接 6、 Vlan 间路由设置 1、路由器基本配置 2、掌握 PPP 协议原理 3、 PAP 验证配置 4、 CHAP 验证配置 1、了解 IP 地址分配 2、了解子网掩码 3、静态路由配置方法 4、熟悉路由表 5、掌握默认路由 1、熟悉 IP 地址分配 2、熟悉子网掩码 3、 RIP 路由配置方法 4、熟悉 RIP1 和 RIP2 协 议 5、掌握 RIP 路由协议原理 1、掌握地址分配 2、掌握 OSPF 协议原理 3、 OSPF 的分区域管理 4、熟悉 LSA 的类型 5、了解边缘区域的类型 1、熟悉子网划分 2、掌握包过滤的原理 3、会配置基本访问控制列 表 4、会配置基本访问控制列 表 5、用 ACL 实现对上层协议 的过滤 1、掌握私有地址 2、掌握 NAT 协议原理 3、掌握 EASY IP 配置 4、掌握 NAT SERVER 配 置 3、不同 VLAN件的通 信 1、路由器基本配置。 ConSole 口配置及 Telnet登录配置 2、 PPP协议验证配置 1、 IP 地址分配 2、掩码设置 3、静态路由设置实现网 络互通 1、 IP 地址分配 2、掩码设置 3、 RIP 路由设置 实现网络互通 1、 IP 地址分配 2、OSPF路由设置 实现网络互通 1、 IP 地址分配 2、基本访问控制列表配 置 3、高级访问控制列表配 置 1、 EASY IP 配置 2、 NAT SERVER配 置 广域网配置 静态路由 Rip 路由 OSPF路由 ACL包过滤 NAT防火墙 (二)课程目标 表2《网络设备配置与管理》教学目标知识目标能力目标素质目标
网络安全管理方案 Document number:NOCG-YUNOO-BUYTT-UU986-1986UT
网络安全管理 一、集团网络安全 网络安全分析: 1.物理安全 网络的物理安全是整个集团网络系统安全的前提。物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。 2.网络结构的安全 网络拓扑结构设计也直接影响到网络系统的安全性。在设计网络时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。 3.系统的安全 系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前没有完全安全的操作系统,所以必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。 4.应用系统的安全
应用系统的安全跟具体的应用有关,它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性,它包括很多方面,例如:E-mail等。 5.管理的安全 管理是网络中安全最最重要的部分。责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。 二、集团安全技术手段 1.物理措施:对集团网络所有关键网络设备及服务器,制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施,确保设备能安全高效的运行。 2.访问控制:对集团网络中所有用户访问网络资源的权限进行严格的认证和控制。进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等。 3.数据加密:对集团所有重要数据进行加密,保障信息被人截获后不能读懂其含义。并对客户端安装网络防病毒系统。 4.网络隔离:对集团研发中心进行网络隔离,严格控管与集团内网及intel网的访问,确保数据不会流失到外网。 5.防火墙技术:防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。 6.上网行为管理:控制和管理集团所有终端对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等。
网络安全设备配置规范 网络安全设备配置规范
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
服务器、网络设备以及安全设备日常维护管理制度 第一条 服务器、网络设备及安全设备的安全、性能检查。每台服务器、网络设备及安全设备至少保证每周检查两次,每次检查的结果要求进行登记记录。 第二条 数据备份工作。定期对服务器、网络设备、安全设备的配置文件进行备份,每次更改配置、策略后,都要及时更新备份文件,保证当前为备份最新数据。 第三条 服务器、网络设备及安全设备的监控工作。每天正常工作期间必须保证监视所有服务器、网络设备及安全设备状态,一旦发现服务器、网络设备或安全设备异常,要及时采取相应措施。 第四条 服务器、网络设备及安全设备的相关日志操作。每台服务器、网络设备及安全设备保证每周或依据数据情况对相关日志进行整理,整理前对应的各项日志如应用程序日志、安全日志、系统日志等应进行保存。 第五条 要及时做好服务器的补丁升级和漏洞修复工作。对于新发布的漏洞补丁和应用程序方面的安全更新,要及时分发给每台服务器。 第六条 服务器、网络设备及安全设备的安全检查主要包括CPU利用率、运行状态、性能、网络流量等方面。安全管理员必须保证对服务器、网络设备及安全设备每月进行一次安全检查。每次的检查结果必须做好记录,并生成检查报告。 第七条 不定时的相关工作。每台服务器如有应用软件更改、需要安装新的应用程序或卸载应用程序等操作,应提前告知所有管理员。 第八条 密码定期更改工作。每台服务器、网络设备及安全设备保证至少每一个月更改一次密码,密码长度不少于8位,且要满足复杂度要求。
第九条 系统管理人员要定时对系统服务器进行病毒检查,发现病毒要及时处理。 第十条 未经许可,任何人不得在服务器上安装新软件,若确实需要安装,安装前应得到授权并进行病毒例行检查。 第十一条 经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 第十二条 定时对硬件进行检查、调试和修理,确保其运行完好。 第十三条 关键设备应指定专人保管,未经授权的人员不得进行单独操作。 第十四条 所有设备未经许可一律不得借用,特殊情况须经批准后办理借用手续,借用期间如有损坏应由借用部门或借用人负责赔偿。 第十五条 硬件设备发生损坏、丢失等事故,应及时上报,填写报告单并按有关规定处理。 第十六条 业务系统设备及其附属设备的管理(登记)与维修由系统、网络管理员负责。设备管理人员每半年要核对一次设备登记情况。 第十七条 系统服务器、网络设备及安全设备应由相关管理人员每周进行一次例行检查和维护,并详细记录检查过程及检查结果。 第十八条
计算机网络及设备管理制度1 计算机网络及设备管理制度 一、使用计算机网络及设备时必须遵守国家有关法律、法规的规定。 二、综合处负责计算机网络及相关设备的维护和管理。 三、网络管理人员应定期对计算机网络、服务器、电子屏等重要设施进行维护,发现问题及时处理。 四、中心机房等区域无关人员未经同意不得随意进入,专家管理、财务、监控等专用电脑和设备其他人员未经授权不得擅自使用。 五、使用计算机及相关设备时应严格按照规程,合理操作,确保设备正常工作。 六、工作人员应妥善保管好自己使用的设备,不使用时及时关闭和切断电源,并且严禁在设备旁放置易燃、易爆、腐蚀性和强磁性等危险物品。 七、工作人员应注重网络及系统安全,专用电脑应与因特网物理隔离,密码等重要信息不得向无关人员泄露。 八、严禁私自乱设或修改统一分配的计算机网络IP地址。 九、任何人员不得随意在中心网站、电子屏发布信息。 十、任何人员不得使用中心网络和设备制作、复制、发布、
传播违法和不文明信息。十一、不得使用来历不明的软盘、光盘等移动存储设备,不得随意安装可能影响计算机网络和设备正常使用的软件。 十二、在工作时间不得玩电脑游戏,不得利用计算机网络做与工作、学习无关的事情。十三、工作人员和各处室应做好计算机日常业务数据和文档资料的整理,并及时做好备份工作。 十四、计算机应统一安装正版杀毒软件,并由使用人员定期升级和杀毒,以免计算机病毒入侵造成网络瘫痪和系统崩溃。 十五、违反本制度而造成后果的将视情节轻重追究相关人员的责任。 十六、各单位派驻的工作人员参照此制度有关条款执行。 十七、本制度自发布之日起施行。 计算机网络及设备管理制度 随着统计信息化的不断提高,我院已建立起了包括一台服务器和二十余台计算机机在内的院域网。随着计算机设备的增加和应用的进一步普及,计算机管理工作亟待加强。为了更好的管理维护和使用好我院的计算机网络和设备,进一步增强全院广大干部职工自觉爱护公共财产的意识和行动,规范操作程序,明确责任,严格奖惩,提高计算机设备的使用效率和工作效率,进一步推进我院的医疗卫生信息化,特制定本制度。 一、网管员负责全院所有计算机设备(包括微机、打印机、网络设备,下同)的统一管理和维护。
网络安全设备配置规范 XXX 2011年1月
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
第九节网络信息安全管理制度 第一条目的 为维护公司网络安全,保障信息安全,保证公司网络系统的畅通,有效防止病毒入侵,特制定本制度。 第二条适用范围 本制度适用于公司网络系统管理。 第三条职责 1、技术开发部负责公司网络系统的安全管理和日常系统维护,制定相关制度并参加检查。 2、办公室、安质部会同相关部门不定期抽查网络内设备安全状态,发现隐患及时予以纠正。 3、各部门负责落实网络安全的各项规定。 第四条网络安全管理范围 网络安全管理须从以下几个方面进行规范:物理层、网络层、平台安全,物理层包括环境安全和设备安全、网络层安全包含网络边界安全、平台安全包括系统层安全和应用层安全。 第五条机房安全 1、公司网络机房是网络系统的核心。除技术部管理人员外,其他人员未经允许不得入内。 2、技术部的管理人员不准在主机房内会客或带无关人员进入。 3、未经许可,不得动用机房内设施。 第六条机房工作人员进入机房必须遵守相关工作制度和条例,不得从事与本职工作无关的事宜,每天上、下班前须检查设备电源情况,在确保安全的情况下,方可离开。 第七条为防止磁化记录的破坏,机房内不准使用磁化杯、收音机等产生磁场的物体。 第八条机房工作人员要严格按照设备操作规程进行操作,保证设备处于良好的运行状态。
第九条机房温度要保持温度在20±5摄氏度,相对湿度在70%±5%。 第十条做好机房和设备的卫生清扫工作,定期对设备进行除尘,保证机房和设备卫生、整洁。 第十一条机房设备必须符合防雷、防静电规定的措施,每年进行一次全面检查处理,计算机及辅助设备的电源须是接地的电源。 第十二条工作人员必须遵守劳动纪律,坚守岗位,认真履行机房值班制度,做好防火、防水、防盗等工作。 第十三条机房电源不可以随意断开,对重要设备必须提供双套电源。并配备UPS 电源供电。公司办公楼如长时间停电须通知技术部,制定相应的技术措施,并指明电源恢复时间。 设备安全管理 第十四条网络系统的主设备是连续运行的,技术部每天必须安排专职值班人员。第十五条负责监视、检查网络系统运行设备及其附属设备(如电源、空调等)的工作状况,发现问题及时向技术部领导报告,遇有紧急情况,须立即采取措施进行妥善处理。 第十六条负责填写系统运行(操作)日志,并将当日发生的重大事件填写在相关的记录本上。负责对必要的数据进行备份操作。 第十七条负责保持机房的卫生及对温度、湿度的调整,负责监视并制止违章操作及无关人员的操作。 第十八条不准带电拔插计算机及各种设备的信号连线。不准带电拔插计算机及各种设备。不准随意移动各种网络设备,确需移动的要经技术部领导同意。 第十九条在维护与检修计算机及设备时,打开机箱外壳前须先关闭电源并释放掉自身所带静电。 网络层安全 第二十条公司网络与信息系统中,在网络边界和对外出口处必须配置网络防火墙。 第二十一条未实施网络安全管理措施的计算机设备禁止与外网相连。 第二十二条任何接入网络区域中的网络安全设备,必须使用经过国家有关安全部门认证的网络安全产品。
《网络设备配置与管理》复习题二 第二部分——问答操作练习题 一、问答题 ,请将答案写答题纸上(共计65分,每题5分) 1.什么是以太网?并简述以太网的工作原理(CSMA/CD)。 以太网是应用最为广泛的局域网,包括标准的以太网(10Mbit/s)、快速以太网(100Mbit/s)和10G(10Gbit/s)以太网,采用的是CSMA/CD访问控制法,它们都符合IEEE802.3。 2.简述RAID原理,并简述RAID0,RAID1,RAID5等常见RAID设置的工作原理以及这些不同级别RAID 下硬盘有效容量的计算方法。 3.简述NAT原理及NAT的分类? NAT(Network Address Translation,网络地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。 NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。 4.简述一台PC机获得ip地址的过程? 5.在双绞线的压接标准中,采用T568A、T568B标准的线序的颜色是什么? 标准568B:白橙--1,橙--2,白绿--3,蓝--4,白蓝--5,绿--6,白棕--7,棕--8 标准568A:白绿--1,绿--2,白橙--3,蓝--4,白蓝--5,橙--6,白棕--7,棕—8 6.综合布线系统中,常用的网络有线传输介质有哪些?另外需要使用哪些常用的布线器材?这些传输介质及器材分别使用在哪个子系统中? 双绞线、同轴电缆和光纤 7.简述TCP/IP的五层参考模型中,每一层头部中封装的最重要的数据信息是什么?这些信息对整个数据在网络中传输具有哪些作用? 8.如何区分单模光缆和多模光缆?如何区分单模尾纤和多模尾纤?简述尾纤的常用接口类型有哪些? 多模光纤:中心玻璃芯较粗(50或62.5μm),可传多种模式的光。但其模间色散较大,这就限制了传输数字信号的频率,而且随距离的增加会更加严重。例如:600MB/KM的光纤在2KM时则只有300MB的带宽了。因此,多模光纤传输的距离就比较近,一般只有几公里。单模光纤:中心玻璃芯较细(芯径一般为9或10μm),只能传一种模式的光。因此,其模间色散很小,适用于远程通讯,但其色度色散起主要作用,这样单模光纤对光源的谱宽和稳定性有较高的要求,即谱宽要窄,稳定性要好。 多模尾纤为橙色,波长为850nm,传输距离为500m,用于短距离互联。单模尾纤为黄色,波长有两种,1310nm和1550nm,传输距离分别为10km和40km。 目前传输系统常用用的尾纤有SC/PC、FC/PC、LC/PC、E2000/APC四种接口
一、网络安全管理人员岗位日常管理职责: 1、网络安全管理人员应当保障计算机网络设备和配套的设施的安全,保障信息的安全,运行环境的安全。保障网络系统的正常运行,保障信息系统的安全运行; 2、网络安全管理人员必须遵守《中华人民共和国计算机信息网络国际联网管理暂行规定》; 3、网络安全管理人员必须接受并配合国家有关部门对本网依法进行的监督检查;必须接受上级网络中心对其进行的网络系统及信息系统的安全检查; 4、网络安全管理人员必须对网络接入的用户,用防火墙技术屏蔽非法站点并保留日志文件,并进行定期检查; 5、网络安全管理人员负责网络安全和网上信息安全。如对网络安全和网上信息安全提出技术措施,须经上级领导批准后再实施; 6、机房管理员每周末对机房的安全情况进行例行检查并记录检查情况; 7、所有工作人员要树立安全第一的观念,遵纪守法认真贯彻执行《中华人民共和国计算机信息网络国际联网管理暂行规定》和《计算机信息网络国际联网安全保护管理办法》,保护国家机密,净化网络环境; 8、未经学校网络管理中心批准,任何人不得随意更改网络或机房的相关配置。 二、网络安全管理人员岗位日常维护职责: 1、每日检查各种设备,确保网络畅通和系统正常运行; 2、定期备份系统数据,仔细阅读记录文件,关注任何异常现象; 3、规划、管理好各用户组,设定适当用户权限; 4、管理员密码和安全策略属网络中心核心机密,不得泄露; 5、按照正常开、关机顺序启动或关闭设备,非紧急情况不得直接关闭电源,以保证系统的完整性;
6、定期对服务器进行查毒、杀毒,禁用未经消毒的存储介质;收集重大病毒“疫情”,提前采取措施; 7、定期维护、保养网络中心网络设备。 1、负责公司网站品牌和产品的网络推广; 2、根据公司总体市场战略及网站特点,确定网站推广目标和推广方案; 3、与各部门沟通,细化确认需求,按时保质完成网站推广任务; 4、评估、分析网站的关键词等,提高网站排名,利用多种技术形式提升网站人气; 5、与其他网站进行网站间的资源互换等合作,负责日常合作网站的管理及维护; 6、开发拓展合作的网络媒体,提出网站运营的改进意见和需求等; 7、熟悉所有的网络推广手段,精通BBS、社区、blog等新兴网络功能,能够在各类网站宣传推广公司产品。 8、协助编辑完成网站页面的美工设计,网站banner设计、网站图片处理、动画设计等;
网络安全设备配置规范 2011年1月
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭、、、等,以及使用而不是远程 管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许到公网服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击? 5.防火墙是否阻断下述欺骗、私有(1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(1918)地址(10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255)
实验1 实验环境的安装与熟悉 一、实验目的: 1、掌握Packet Tracer5.3的安装及配置 2、掌握Packet Tracer5.3的简单应用 二、实验要求: 按照实验指导书完成实验 三、实验环境: PC+Packet Tracer5.0 四、实验项目性质 验证性实验 五、实验要点 1、Packet Tracer5.3的安装与配置 2、Packet Tracer5.3的简单应用 六、实验内容 实验一、Packet Tracer5.3的安装及配置 本实验的目的是练习Packet Tracer5.3的安装与配置,常见设置如语言包的设置、字体的设置等。 实验步骤:参考课堂演示 实验二、Packet Tracer5.3的简单应用 实验拓扑图如下: 实验步骤: 1、添加实验设备 2、连接个设备之间的线路,注意用线的规则,并添加注释。
3、设置各台PC机的IP地址 4、测试:各台PC机之间相互Ping对方看是否能通,如果不通原因是什么。 七、实验说明 1、思考题: 交换机与交换机之间用什么线?交换机与PC之间呢?PC与PC之间呢?PC与路由器之间呢?请通过实验验证。 2、实验报告要求:实验完毕后请按照要求填写实验报告 实验2 路由器的配置模式与基本命令 一、实验目的: 1、掌握路由器的几种工作模式 2、掌握路由器的基本管理 二、实验要求: 按照实验指导书完成实验 三、实验环境: PC+Packet Tracer5.3 四、实验项目性质 验证性实验 五、实验要点 1、路由器工作模式 2、路由器基本管理 六、实验内容 实验一、熟悉路由器的几种工作模式【以Cisco 2621XM为例】 准备:拖动一台Cisco 2621XM路由器、一台PC到工作区中;建立两条连接:console口连接pc机与Cisco 2621XM路由器;通过网线连接PC机与Cisco 2621XM路由器。 1、熟悉路由器的7种模式【Setup模式、用户模式、特权模式、全局配置模式、接口配置模式、Line配置模式、Router配置模式】 要点:路由器开机时会自动进入Setup模式,在特权模式下通过Setup命名也可进入该模式。7种模式间如何相互切换?每种模式下包含哪些命令?如何掌握某命令的用法?Tab键的功能? 提示:?、help、某命令?、某命令?、enble、configure terminal、interface 类型端口、line console 0、line vty 0 4、router、exit、end、Ctrl+Z 2、为Cisco 2621XM路由器设置主机名为自己的学号【全局配置模式下:hostname】
网络安全设备的三种管理模式 目前,随着互联网的高速发展,网络已深入到人们生活的各个方面。网络带给人们诸多好处的同时,也带来了很多隐患。其中,安全问题就是最突出的一个。但是许多信息管理者和信息用户对网络安全认识不足,他们把大量的时间和精力用于提升网络的性能和效率,结果导致黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。 为了防范各种各样的安全问题,许多网络安全产品也相继在网络中得到推广和应用。针对系统和软件的漏洞,有漏洞扫描产品;为了让因特网上的用户能安全、便捷的访问公司的内部网络,有SSL VPN和IPSec VPN;为了防止黑客的攻击入侵,有入侵防御系统和入侵检测系统;而使用范围最为广泛的防火墙,常常是作为网络安全屏障的第一道防线。网络中安全设备使用的增多,相应的使设备的管理变得更加复杂。下面就通过一则实例,并结合网络的规模和复杂程度,详细阐述网络中安全设备管理的三种模式。 转播到腾讯微博 图1 网络结构图 一、公司网络架构 1、总架构 单位网络结构图如图1所示。为了确保重要设备的稳定性和冗余性,核心层交换机使用两台Cisco 4510R,通过Trunk线连接。在接入层使用了多台Cisco 3560-E交换机,图示为了简洁,只画出了两台。在核心交换机上连接有单位重要的服务器,如DHCP、E-MAIL服务器、WEB服务器和视频服务器等。单位IP地址的部署,使用的是C类私有192网段的地址。其中,DHCP服务器的地址为192.168.11.1/24。在网络的核心区域部署有单位的安全设备,安全设备也都是通过Cisco 3560-E交换机接入到核心交换机4510R上,图1中为了简洁,没有画出3560-E交换机。 2、主要网络设备配置 单位网络主要分为业务网和办公网,业务网所使用VLAN的范围是VLAN 21至VLAN 100,办公网所使用的VLAN范围是VLAN 101至VLAN 200。两个网都是通过两台核心交换机4510交换数据的,但在逻辑上是相互隔离的。单位的服务器都是直接连接到4510上,所使用的VLAN范围是VLAN 11至VLAN 20。安全设备所使用的VLAN范围是VLAN 2至VLAN 10。 二、网络安全设备管理的三种模式 1、第一种模式:安全管理PC直接与安全设备进行连接 转播到腾讯微博
3《中国石化网络安全设备管理规范》(信系[2007]17号).txt30生命的美丽,永远展现在她的进取之中;就像大树的美丽,是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽,是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽,是展现在它波涛汹涌一泻千里的奔流中。本文由CAPFyn贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 中国石化网络安全设备管理规范网络安全设备管理规范管理 V 1.1 2007 年 5 月 16 日 - 1 - 目 1 2 3 4 录 目的…… - 4 目的范围…… - 4 范围术语…… - 4 术语管理员职责…… - 4 4.1 4.2 系统管理员职责……- 4 信息安全管理员职责……- 5 - 5 管理员账号和权限管理…… - 5 5.1 5.2 5.3 5.4 管理员账号……- 5 系统管理员权限……- 5 信息安全管理员权限……- 6 管理员身份鉴别……- 6 - 6 策略和部署管理…… - 6 6.1 6.2 制定安全策略……- 6 安全设备统一部署……- 6 - 6.2.1 6.2.2 6.2.3 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9 9.1 9.2 9.3 安全网关类设备部署…… - 6 入侵检测类设备部署…… - 7 漏洞扫描设备部署……- 7 - 配置和变更管理…… - 7 配置和变更授权……- 7 防火墙设备配置……- 7 VPN 设备配置……- 8 代理服务器设备配置……- 8 IP 加密机设备配置……- 9 入侵检测设备配置……- 9 漏洞扫描设备配置……- 9 运行维护管理…… - 10 安全设备的检测和维护…… - 10 安全设备的监视和记录…… - 10 安全设备配置备份和恢复…… - 10 安全设备的审计…… - 10 安全事件处理和报告…… - 11 漏洞扫描设备的专项要求…… - 11 安全设备的维修…… - 11 安全数据管理…… - 12 安全设备的数据…… - 12 检测获得数据的管理…… - 12 审计获得数据的管理…… - 12 - - 2 - 9.4 9.5 10 11 配置数据管理…… - 12 存储空间管理…… - 12 设备选型管理…… - 13 附则…… - 13 - - 3 - 1 目的 中国石化信息系统已覆盖全国范围的下属企业,成为中国石化系统生产、经营和管理提供信息化手段的根本,网络安全设备是保障中国石化信息系统安全运行的基础。为保障中国石化信息系统的安全、稳定运行,特制定本规范。 2 范围 本规范适用于中国石化股份公司统一建设的计算机网络内所有网络安全设备的管理和运行。集团公司及集团公司所属部门和单位参照本规范执行。本规范中所指网络安全设备包括各种安全网关类设备(防火墙、VPN、代理服务器、IP 加密机等)、入侵检测类设备、漏洞扫描类设备等。
一、实验目的 通过本次实训模拟建立一个高速、功能齐全的校园网,能够实现多媒体的应用、Web 技术的运用和视频点播等技术。使日常的教学和科研工作能方便的进行操作。 此次试训,了解网络设备的各种作用,并在以后的学习与应用中知道网络设备管理应该注意哪些问题,应该怎样选择好每一部件来建立最恰当的网络设备,能使网络得到最好的利用。 二、实验要求通过两周的实训做到分析网络建设需求,能提出设计校园网络建设 总体方案,画出校园网设计拓扑图,并对网络进行选型。包括: 1.对网络布线分析和总体网络设计的详细描述; 2.对网络服务器的选择、部署和配置进行描述。方案做到详细设计。包括:网络中心,各教学、办公楼,机房,图书馆机房位置、布局设计;多媒体教室设计;综合布线系统设计;进行设备选型,并写出详细的网络设备配置清单;写出工程施工与验收方案。 三、实验内容及步骤 (一)需求分析 1、建立一个连接多媒体教室、教育网和图书馆等地的校园网,骨干 速率为1000Mbps。多媒体教室配置160 台机器。 2、联入校园网的电脑都可以实现视频点播。 3、支持教师的移动办公。授权情况下教师通过MODEM 拨号访问校内信息和视频点播信息。 4、建立WWW 服务器,提供学校的主页。 5、提供学校图书馆书目的联机查询。 6、建立电子邮件服务器,提供电子邮件服务。 7、提供文件传输服务。 8、多媒体教室实现网络视频点播教学,录制多媒体教学课件功能。 9、软件实验室和网络实验室要连网,已知软件实验室有35 台计算机,网络实验室有40 台计算机,软件实验室和网络实验室的面积为10 m ×10 m,软件实验室和网络实验室相距300 m 10、学校未建设完备的校园网络,已有的办公室通过拨号或者自行申请的
网络安全管理制度中国科学院沈阳应用生态研究所
前言 网络安全是保障中国科学院沈阳应用生态研究所(以下简称沈阳生态所)信息系统安全运行的基础。为保障沈阳生态所信息系统的安全、稳定运行,特制定本规范。 本制度由信息中心提出。 本制度由信息中心归口。 本制度起草部门:信息中心。 本制度主要起草人:岳倩 本制度起草日期:2015/12/05
网络安全管理制度 1范围 本制度适用于沈阳生态所信息系统网络安全管理工作。 2组织及职责 ●系统管理员职责 ?恪守职业道德,严守企业秘密,熟悉国家安全生产法以及有关信息安全管理的相关规程; ?负责网络安全设备的安全策略部署、配置及变更管理、内网运行情况、更新和维护等日常工作; ?对数据网络实行分级授权管理,按照岗位职责授予不同的管理级别和权限; ?密切注意最新网络攻击行为的发生、发展情况,关注和追踪业界公布的攻击事件; ?密切关注信息系统安全隐患,及时变更信息安全策略或升级安全设备。 ●信息安全管理员职责 ?恪守职业道德,严守企业秘密,熟悉国家安全生产法以及有关信息安全管理的相关规程; ?每周对系统管理员的登录和操作记录进行审计; ?对系统管理员部署的安全策略、配置和变更内容进行审计; ?密切注意最新漏洞的发生、发展情况,关注和追踪业界公布的漏洞疫情。 3管理员账号和权限管理 3.1管理员账号
系统管理员和信息安全管理员的用户账号应分开设置,其他人员不得设置账户。在安全设备上建立用户账号,需要经过本级信息部门安全主管的审批并保留审批记录。 3.2系统管理员权限 系统管理员具有设置、修改安全设备策略配置,以及读取和分析检测数据的权限。 3.3信息安全管理员权限 信息安全管理员具有读取安全设备日志信息,以及检查安全设备策略配置内容的权限。 3.4管理员身份鉴别 管理员身份鉴别可以采用口令方式。应为用户级和特权级模式设置口令,不能使用缺省口令,确保用户级和特权级模式口令不同。安全设备口令长度应采用8位以上,由非纯数字或字母组成,并保证每季度至少更换一次。 安全设备的身份鉴别,必要时可以采用数字证书方式。 4策略和部署管理 4.1制定安全策略 系统管理员应依据沈阳生态所管理系统信息安全规划,结合实际需求,制定、配置具体网络安全设备的安全策略,并且进行规范化和文档化;安全设备的策略文档应妥善保存。 对关键的安全设备要采用双机热备或冷备的方式进行部署以减小系统运行的风险。 4.2安全设备统一部署 安全设备部署应依据沈阳生态所管理系统的信息安全规划统一部署,保证安全设备的可用性。安全设备部署的具体实施须经信息管理部门的审批并保留审批记录。 4.3安全网关类设备部署
网络设备安全规范和指南 1. 目的 本规范旨在确定网络设备最低的安全配置标准;本指南旨在为网络管理员选购和配置网络设备提供帮助。 2. 范围 本规定适用于运营平台所有网络设备的选型和配置。 3. 规范 3.1. 选用其硬件平台,操作系统,服务和应用具备适当安全的网络设备; 3.2. 将每个网络设备在本公司的信息管理系统中进行登记。至少记录如下信息: * 设备所在位置和联系人 * 硬件和操作系统版本 * 主要功能和应用 * 特权口令 3.3. 为每个网络设备配置合适的DNS记录; 3.4. 保证网络设备口令符合<<口令安全规范和指南>>的规定, 以安全的加密形式存放口令, 使用强健的SNMP 通信字符串; 3.5. 禁止在网络设备上创建本地用户帐号,应使用TACACS+, RADIUS 验证用户身份; 3.6. 禁用不必要的服务和应用; 3.7 设备间的信任关系只有在业务必需的情况下建立,必须作相应记录; 3.8. 限定只有网管工作站才能登录网络设备或使用SNMP协议获取设备信息; 3.9. 在支持SSH协议的网络设备配置SSH; 3.10. 使用安全的连接协议(SSH, IPSEC)执行远程设备管理; 3.11. 及时安装网络设备厂家和信息安全人员推荐的补丁和修复; 3.12. 为连接服务器的交换机配置端口安全; 3.13. 将安全相关的事件记录到特定的日志里。安全相关的事件包括(但不限于)如下事件: * 用户登录失败; * 获取特权访问失败;
* 违反访问策略; 3.1 4. 每天查看重要网络设备的日志,所有网络设备的日志至少每两周查看一次。 3.15. 改变现有设备的配置和配置新设备必须遵守变更管理制度; 3.16. 新设备必须在经过严格的安全审计后才允许投入产品环境; 3.17. 在网络设备上粘贴警告:“禁止非法访问本设备。你必须在得到明确的许可后才允许 访问或配置该设备。在该设备上执行的一切活动都会被记录,违反本规定会受到本公司的惩罚,甚至承担相应的法律责任。” 3.18. 定期审计网络设备; 3.19. 尽可能为重要网络设备配备备用设备; 4.指南 4.1. 禁用下列事项或确认设备的默认配置已经禁用了下列事项: * IP 定向广播; * 源地址无效的数据包; * 源路由; * Small 服务,路由器上的WEB 服务; * ARP proxy; * 与ISP网络连接的CISCO路由器/交换机上的CDP协议; * IP 重定向; 4.2. 配置默认ACL规则为DROP ALL ; 4.3. 严格限制DNS-TCP, DNS-UDP, ICMP协议数据包; 4.4. 集中存放网络设备产生的日志; 4.5. 订阅网络设备厂家及著名安全网站的安全邮件列表
网络安全管理制度 为确保单位网络安全、高效运行和网络设备运行处于良好状态,正确使用和维护网络设备安全,特制定本制度。 1、未经相关部门批准,任何人不得改变网络(内部信息平台)拓扑结构、网络(内部信息平台)设备布置、服务器、路由器配置和网络(内部信息平台)参数。任何人不得进入未经许可的计算机系统更改系统信息和用户数据。 3、机关局域网上任何人不得利用计算机技术侵占用户合法利益,不得制作、复制和传播妨害单位稳定的有关信息。 4、网络(内部信息平台)帐号采用分组管理。并详细登记:用户姓名、部门名称、口令,存取权限,开通时间,网络(内部信息平台)资源分配情况等。 5、网络(内部信息平台)管理员必须严守职业道德和职业纪律,不得将任何用户的密码、帐号等保密信息等资料泄露出去。网络管理员协助制定网络(内部信息平台)建设方案,确定网络(内部信息平台)安全及资源共享策略。 6、严格遵守国家、自治区、自治州制定的相关法律、行政法规,严格执行《网络安全工作制度》,以人为本,依法管理,确保网络(内部信息平台)安全有序。 7、所有用户有责任对所发现或发生的违反有关法律,法规和规章制度的人或事予以制止或向我部信息安全协调
科反映、举报,协助有关部门或管理人员对上述人或事进行调查、取证、处理,应该向调查人员如实提供所需证据。 8、在发生网络(内部信息平台)重大突发事件时,应立即报告,采取应急措施,尽快恢复网络(内部信息平台)正常运行。 9、充分利用现有的安全设备设施、软件,最大限度地防止计算机病毒入侵和黑客攻击。14、经常检查网络(内部信息平台)工作环境的防火、防盗工作。 10、单位应定期查毒,(周期为一周或者10天)管理员应及时升级病毒库,并提示各部门对杀毒软件进行在线升级。密码安全保密制度 11、涉密移动存储介质未经批准不得擅自带离本单位,确因工作需要携带外出的,须履行登记备案手续,并经领导批准。严禁将涉密移动存储介质借给外单位或他人使用。 12、涉密移动存储介质需维修的,由单位技术人员送至有保密资质的单位现场监修,严禁维修人员擅自读取和拷贝其存储的国家秘密信息。如涉密移动存储介质无法修复,必须按涉密载体予以销毁。 13、要定期对网站进行网络(内部信息平台)数据包的监控,及时发现和网络(内部信息平台)运行情况,全面监视对公开服务器的访问,及时发现和拒绝不安全的操作和黑客攻击行为,阻止网络(内部信息平台)内外的入侵。