内网安全管理解决方案.ppt

一、内部网络安全、等级权限一、内部网络安全、等级权限二、计算机帐户、密码保密二、计算机帐户、密码保密三、文件服务器的功能及使用三、文件服务器的功能及使用四、酒店邮箱使用四、酒店邮箱使用随着计算机网络技术的快速发展和广泛使用，计算机网络已经成为现代社会和企业不可缺少的重要支撑平台，为社会和企业提高了效益和创造了财富。同时，随之产生的信息安全问题也越来越突出。系统漏洞、蠕虫感染、黑客攻击、非法接入和信息被盗等网络终端安全问题和网络资源被滥用无时无刻不在威胁着政府和企事业的信息安全，网络安全造成的损失也日益加大。对单位或企业而言，重要客户信息、核心技术、市场计划等机密信息，一旦泄露给竞争对手，会给单位或企业带来严重后果，造成不可估量的损失。计算机网络安全是随着计算机网络的发展而被提出的，按其发展历程，经历过了单机系统安全（防病毒）单机系统安全（防病毒）、局域网防外部攻击（防火墙、局域网防外部攻击（防火墙、IDSIDS），信息安全（加），信息安全（加密、访问控制）等过程密、访问控制）等过程。这些技术都是针对计算机网络运用的发展而提出的，并解决了当时面临的突出安全问题。内网安全概述内网安全概述内网安全概述内网安全概述但随着酒店和其它行业内部网络的建设发展并进入实质性的运用，大家发现内部网络的安全问题更加突出，运用越广泛安全问题越多。如网络资源被滥用造成的网络阻塞，重要信息的非法拷贝和传播等，给酒店和其它行业造成了重大的损失。据统计全世界由于信息安全问题造成的经济损失高达上千亿美元，这不能不引起政府和企业的重视。在互联网的迅速普及当中，人们在感受网络所带来的便利的同时，也面临着各种各样的进攻和威胁：机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵数据表明，我国有63.6%的企业用户处于“高度风险”级别，每年因网络泄密导致的经济损失高达上百亿。更令人吃惊的是，在诸多安全事件中，83%竟为内部人员和内外勾结所为，且呈上升的趋势。内网安全概述内网安全概述虽然大多数企业都非常重视内网安全管理问题，内网安防投入也不断增加，但是内网安全问题却仍然严峻。事实表明，有效保护酒店内部资源和网络的安全，需要建立全面的内网安全体系。下面是几个内网泄密事故：1.客户入住酒店，半夜接到电话骚扰，主叫方还知道被叫方的姓名,是谁泄露了客户资料?2.温州多个酒店泄露客户结婚信息 情报费一年数万,造成了很坏的负面影响，社会反响强烈。3.前台飞单，还是团伙作案。某酒店查一位客人的资料和了解账务问题时，发现此帐有问题，就随便查了个详细！一查吓一跳，前台有人竟然做假账，后面延着这个做假账的方式，查他以前的帐，发现已经快做了1年多的假账了，而且还查出来2 3个同伙，1个主管，1个领班，1个员工。4.销售外泄酒店客史档案及房价信息。5.多岗位联合走黑账 内网所面临的威胁1.混合型病毒木马混合型病毒木马通过垃圾邮件，恶意WEB网页，文件下载等传播途径该变了传统病毒的危害范围和速度。2.黑客程序黑客程序，木马，系统漏洞系统漏洞形成了混合式病毒的发展。3.恶意网页欺骗，垃圾邮件传播。恶意网页欺骗，垃圾邮件传播。4.内部员工肆意登陆非法网站及色情网站内部员工肆意登陆非法网站及色情网站，造成内部网络终端成为网络安全的弱点。内网所面临的威胁5.内部网络滥用内部网络滥用，员工非正常使用视频、BT等应用耗费了大量的网络资源，影响正常工作的开展。并且存在通过网络发布违反国家法律的言论以及泄密单位敏感信息的潜在威胁。6.内部非授权访问内部非授权访问，容易造成机密资料的泄密传播和各自隐私受到侵犯的问题。7.U盘、移动硬盘等等移动存储介质的使用管理盘、移动硬盘等等移动存储介质的使用管理困难，造成病毒的泛滥和涉密信息的泄露。8.笔记本、笔记本、WIFI手机等移动终端的私自接入手机等移动终端的私自接入对内网的信息安全造成很大的威胁。为什么需要内网安全管理为什么需要内网安全管理21%48%72%89%外国政府外国政府竞争对手竞争对手黑客黑客内部员工内部员工内部网络的现状内部网络的现状增加终端管理困难增加终端管理压力网络复杂化应用复杂化内网管理面对的主要安全问题内网管理面对的主要安全问题数据泄密越权操作非法外联存储设备管理系统应用管理IP地址和网络配置的管理资产和资源的管理内网网中的行为管理美国联邦调查局（美国联邦调查局（FBIFBI）和电脑安全协会（）和电脑安全协会（CSICSI）电脑犯罪与安全年度调查报告电脑犯罪与安全年度调查报告仅44%愿意透露或估算具体数字，总计竟达4.558亿美元其中85%遭受经济损失经济损失比重经济损失比重 数据失窃1.708亿美元 金融欺诈1.157亿美元员工滥用网络5000万美元病毒入侵4990万美元其他原因7440万美元信息安全存在的盲区 终端是创建和存放重要数据的源头 多数的攻击事件都是从终端发起的 数据泄密和蠕虫病毒感染都是因为终端脆弱性引起 内网面对的主要维护问题内网面对的主要维护问题批量的系统升级和维护大面积的软件开发远程用户服务网络故障的远程诊断、报警传统网络安全和网络管理产品的局限性传统网络安全和网络管理产品的局限性功能单一，缺乏综合型解决方案面向网络终端的安全和管理功能薄弱往往都是采用“事后救火”的方式传统内网管理工具使用困扰传统内网管理工具使用困扰不易安装操作需要培养专职维护人员宽带与相关资源消耗较大架设成本高，投资回报率低只有解决当前问题，没有后续管理观念内网安全管理解决方案追求的目标内网安全管理解决方案追求的目标面向局域网的解决方案必须是安全、管理和维护三位一体的解决方案信息中心欢迎的网管产品应同时面对数据安全、网络终端，内部行为等。将工作模式从“事后救火”转变为“事先预防”典型的局域网应用结构典型的局域网应用结构WinManager WinManager 管理平台主要功能模块管理平台主要功能模块内网审计内网控制内网报警软硬件统计补丁和软件分发远程协助1 1、内网审计模块、内网审计模块 -基本信息基本信息内网审计模块内网审计模块 -操作信息操作信息内网审计模块内网审计模块 -系统事件系统事件内网审计模块内网审计模块 -系统事件系统事件2 2、内网控制模块、内网控制模块 -程序程序/网站禁用网站禁用内网控制模块内网控制模块 -外设管理外设管理3 3、内网报警模块、内网报警模块 -报警管理报警管理4 4、软硬件统计模块、软硬件统计模块5 5、补丁和软件分发模块、补丁和软件分发模块6 6、远程协助模块、远程协助模块远程协助-强制接管远程协助-应答接管发送通知锁定/解锁计算机注销、关闭、重启计算机总总 结结文档安全管理 通过阻断存储设备、U盘、软盘、光驱、刻录机等纺织信息外泄，通过管理设备端口：SCSI口、1394口、红外线、蓝牙等防止信息外泄，通过管理打印机防止信息外泄，通过文档操作记录（新建、考呗、改名、删除）保留重要痕迹。网络行为管理 上网行为管理：禁止浏览与工作无关的网站、应用程序，禁止与上班无关的程序（MSN、QQ等），屏幕记录。桌面管理 Windows补丁分发，软件分发，远程控制、消息发送、重启/锁定、软硬件统计。内部网络到底有多脆弱内部网络到底有多脆弱不清楚安装和运行了什么软件单纯依靠升级缓慢的反病毒软件、个人防火墙无法对网络上所有计算机进行强制安全配置无法控制移动PC的接入内部网络到底有多脆弱内部网络到底有多脆弱补救能力无法满足发布安全弱点通知与危机爆发之间日益缩短的时间要求危机爆发无法准确定位问题个人计算机使用安全 个人计算机使用安全个人计算机使用安全第一个问题第一个问题 曾经发生过什么？曾经发生过什么？第二个问题第二个问题 我们正受到哪些威胁？我们正受到哪些威胁？第三个问题第三个问题 我们采取了什么措施？我们采取了什么措施？第四个问题第四个问题 我们还需要做些什么？我们还需要做些什么？第一个问题 曾经发生过什么？网络现状简介网络现状简介OA与与DCN全网全网3000台台PC一百余台路由器一百余台路由器数百台以太网交换机数百台以太网交换机三类数十个应用系统三类数十个应用系统第一个问题 曾经发生过什么？BLASTER（冲击波）病毒（冲击波）病毒利用利用IP扫描技术寻找网络上系统为扫描技术寻找网络上系统为Win2K或或XP的计算的计算机机找到后就利用找到后就利用DCOM RPC缓冲区漏洞攻击该系统缓冲区漏洞攻击该系统病毒体将会被传送到对方计算机中进行感染病毒体将会被传送到对方计算机中进行感染使系统操作异常、不停重启、甚至导致系统崩溃使系统操作异常、不停重启、甚至导致系统崩溃第一个问题 曾经发生过什么？BLASTER（冲击波）病毒（冲击波）病毒 2003年年8月月11日，一种名为日，一种名为“冲击波冲击波”（Worm.Blaster）的电脑蠕）的电脑蠕虫病毒席卷全球，造成大量电脑中毒，部分网络瘫痪。虫病毒席卷全球，造成大量电脑中毒，部分网络瘫痪。第一个问题 曾经发生过什么？“震荡波震荡波”病毒病毒 莫名其妙地死机或重新启动计算机；莫名其妙地死机或重新启动计算机；任务管理器里有一个叫任务管理器里有一个叫avserve.exe、avserve2.exe或者或者skynetave.exe的进程在运行；的进程在运行；在系统目录下，产生一个名为在系统目录下，产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件；的病毒文件；最系统速度极慢，最系统速度极慢，cpu占用占用100%。第一个问题 曾经发生过什么？其它其它 机器被远程控制机器被远程控制 OA帐号盗用帐号盗用多变形病毒多变形病毒(Tequila)混合型的威胁混合型的威胁(Code Red,Nimda,Klez，Blaster)拒绝服务攻击拒绝服务攻击(Yahoo!,eBay)发送大量邮件的病毒发送大量邮件的病毒(Love Letter/Melissa)特洛伊木马特洛伊木马病毒病毒网络入侵网络入侵70,00060,00050,00040,00030,00020,00010,000Number of Known Threats计算机病毒计算机病毒第二个问题 我们正受到哪些威胁？第二个问题 我们正受到哪些威胁？黑客攻击黑客攻击1 1、获取口令、获取口令 2 2、电子邮件攻击、电子邮件攻击 3 3、特洛伊木马攻击、特洛伊木马攻击 4 4、诱入法、诱入法 5 5、寻找系统漏洞、寻找系统漏洞 第二个问题 我们正受到哪些威胁？计算机用户自己！计算机用户自己！安全意识安全意识 计算机安全使用常识计算机安全使用常识网络安全 保障各种网络资源 稳定、可靠地运行 受控、合法地使用信息安全 机密性（confidentiality)完整性(integrity)抗否认性(non-repudiation)可用性(availability)第三个问题第三个问题 我们采取了什么措施？我们采取了什么措施？第三个问题 我们采取了什么措施？第三个问题 我们采取了什么措施？安全制度的建立计算机安全管理规定个人计算机安全使用协议的签订IP、域帐号、拨号帐号等计算机资源使用的规范化个人计算机资料规范化第三个问题 我们采取了什么措施？省公司办公网安全系统的建立AD域管理趋势防病毒系统外网访问代理第三个问题 我们采取了什么措施？市公司安全系统的建立市公司安全系统的建立集成了集成了 防火墙、病毒防护、入侵检测防火墙、病毒防护、入侵检测 和隐私防护技术和隐私防护技术,同时集成同时集成了管理和响应功能了管理和响应功能以全面的安全产品和快速的响应能力去应对混合式威胁以全面的安全产品和快速的响应能力去应对混合式威胁第三个问题 我们采取了什么措施？网络调整与优化网络调整与优化vlan划分IP地址调整MAC与IP绑定OA系统 ID与IP绑定拨号接入服务器与主叫绑定及日志记录IDS系统的建立第三个问题 我们采取了什么措施？其它辅助手段其它辅助手段间谍检测程序间谍检测程序 spybot及早意识到将要出现及早意识到将要出现的漏洞和威胁的漏洞和威胁留意最新公告留意最新公告安全警报安全警报阻止有害的攻击阻止有害的攻击检测物理性破坏检测物理性破坏对信息资产采取保密对信息资产采取保密措施措施安全防护安全防护环境环境策略和漏洞设备配置用户访问身份管理信息信息事件和事故安全管理安全管理内部内部工作流程自动配置灾难恢复外部外部内容更新技术支持安全响应安全响应主动主动控制控制第四个问题第四个问题 我们还需要做些什么？我们还需要做些什么？第四个问题 我们还需要做些什么？第四个问题 我们还需要做些什么？全面的网络安全评估管理制度拓扑结构系统漏洞IDS威胁第四个问题 我们还需要做些什么？制度的落实个人计算机使用水平的提升个人安全意识的提升第四个问题 我们还需要做些什么？网络的进一步调整与优化交换机端口与MAC地址的绑定加强重要系统的访问控制DDOS攻击DNSEmailZombieInnocent pc&server Turn into Zombie ZombieDDOS攻击Server-level DDoS attacksBandwidth-level DDoS attacksDNSEmailInfrastructure-level DDoS attacksAttack Zombies:Massively distributedSpoof Source IPUse valid protocolsDDOS攻击SYN FLOOD我没发过请求SYN_RECV状态半开连接队列遍历，消耗CPU和内存SYN|ACK 重试SYN Timeout：30秒2分钟无暇理睬正常的连接请求拒绝服务SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN 请求为何还没回应就是让你白等不能建立正常的连接！SYN Flood 攻击原理攻击表象DDOS攻击ACK FLOOD大量ACK冲击服务器受害者资源消耗查表回应ACK/RSTACK Flood流量要较大才会对服务器造成影响ACK（你得查查我连过你没）攻击者受害者查查看表内有没有你就慢慢查吧ACK Flood 攻击原理攻击表象ACK/RST（我没有连过你呀）DDOS攻击CONNECTION FLOOD攻击者受害者大量tcp connect这么多？不能建立正常的连接正常tcp connect正常用户正常tcp connect攻击表象正常tcp connect正常tcp connect正常tcp connect正常tcp connect 利用真实 IP 地址（代理服务器、广告页面）在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应 蠕虫传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源，如防火墙的连接数Connection Flood 攻击原理DDOS攻击HTTP GET FLOOD攻击者受害者(Web Server)正常HTTP Get请求不能建立正常的连接正常HTTP Get Flood正常用户正常HTTP Get Flood攻击表象利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面，涉及到数据库访问操作数据库负载以及数据库连接池负载极高，无法响应正常请求正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood正常HTTP Get Flood受害者(DB Server)DB连接池用完啦！DB连接池占用占用占用HTTP Get Flood 攻击原理DDOS攻击发展趋势目标网站-网络基础设施（路由器/交换机/DNS等）流量从几兆-几十兆-1G甚至更高10K pps-100K pps-1M pps技术真实IP地址-IP欺骗技术单一攻击源-多个攻击源简单协议承载-复杂协议承载智能化，试图绕过IDS或FW形式DRDoS/ACK FloodZombie Net/BOTNETProxy Connection FloodDNS FloodDDOS攻击对内网的影响很多针对特殊服务器或是网游私服的很多针对特殊服务器或是网游私服的DDOSDDOS攻击大举利用网吧或企业网络中的客户机攻击大举利用网吧或企业网络中的客户机作为作为“僵尸僵尸”电脑，对指定的服务器电脑，对指定的服务器IPIP发发送大量的数据包，送大量的数据包，“僵尸僵尸”电脑越多，服电脑越多，服务器被消耗的带宽也越多，利用这个原理务器被消耗的带宽也越多，利用这个原理耗尽服务器的带宽，达到让服务器掉线的耗尽服务器的带宽，达到让服务器掉线的目的。目的。这种攻击方式虽然是针对外网服务器，但这种攻击方式虽然是针对外网服务器，但是它在攻击过程中需要向路由器发送大量是它在攻击过程中需要向路由器发送大量的数据包，会直接导致路由器仅有的的数据包，会直接导致路由器仅有的100M 100M LANLAN口被口被“堵满堵满”，因此其他局域网的计算，因此其他局域网的计算机的请求无法提交到路由器进行处理，结机的请求无法提交到路由器进行处理，结果就产生局域网计算机全部果就产生局域网计算机全部“掉线掉线”的现的现象。象。DDOS攻击防御防火墙只能抵御来自于外网的防火墙只能抵御来自于外网的DDOSDDOS攻击，攻击，对内网发起的对内网发起的DDOSDDOS攻击却是无能为力。攻击却是无能为力。防火墙或路由器上可开启限制防火墙或路由器上可开启限制SYNSYN、ICMPICMP流流量，可一定程度上减少量，可一定程度上减少DDOSDDOS攻击对内网的攻击对内网的影响。影响。网内主机安装防木马软件，并经常升级木网内主机安装防木马软件，并经常升级木马特征库，以防止误中木马。马特征库，以防止误中木马。在网内部署流量监控平台，监控所有网络在网内部署流量监控平台，监控所有网络设备的流量，及时发现异常流量，可帮助设备的流量，及时发现异常流量，可帮助查出发起查出发起DDOSDDOS攻击的主机。攻击的主机。通过抓包分析来确定发起通过抓包分析来确定发起DDOSDDOS攻击的主机。攻击的主机。将内网划分成更小的广播域，有利于快速将内网划分成更小的广播域，有利于快速锁定发起锁定发起DDOSDDOS攻击的主机。攻击的主机。网络窃听在网络中，当信息进行传播的时候，可以在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕便可将网络中正在传播的信息截获或者捕获到。这种嗅探（获到。这种嗅探（SnifferSniffer）技术是一种很）技术是一种很重要的网络安全攻防技术。重要的网络安全攻防技术。对黑客来说，通过网络窃听能以非常隐蔽对黑客来说，通过网络窃听能以非常隐蔽的方式攫取网络中的大量敏感信息（如口的方式攫取网络中的大量敏感信息（如口令令、专用的或者机密的信息、更高级别的专用的或者机密的信息、更高级别的访问权限访问权限、底层的协议信息等），嗅探行底层的协议信息等），嗅探行为更难被察觉，也更容易操作。为更难被察觉，也更容易操作。对安全管理人员来说，借助嗅探技术，可对安全管理人员来说，借助嗅探技术，可以对网络活动进行实时监控，并及时发现以对网络活动进行实时监控，并及时发现各种网络攻击行为。各种网络攻击行为。共享式网络窃听共享式网络，通过广播方式实现一对一通信。共享式网络，通过广播方式实现一对一通信。将网卡设置为混杂模式，即可进行网络窃听。将网卡设置为混杂模式，即可进行网络窃听。交换式网络窃听交换式网络，管理员可采用端口镜像方式进行网络窃听。交换式网络，管理员可采用端口镜像方式进行网络窃听。非管理员可采用非管理员可采用ARPARP欺骗、交换机欺骗、交换机MACMAC地址表溢出、地址表溢出、MACMAC地址伪造或地址伪造或ICMPICMP重定向等手段捕获数据包进行网络窃听。重定向等手段捕获数据包进行网络窃听。网络窃听防御网内所有主机都安装防病毒、防木马软件，网内所有主机都安装防病毒、防木马软件，并经常更新病毒库与木马特征库，防止被黑并经常更新病毒库与木马特征库，防止被黑客远程控制进行网络窃听。客远程控制进行网络窃听。TelnetTelnet服务以明文的方式传输用户名及口令，服务以明文的方式传输用户名及口令，用用SSHSSH服务代替服务代替TelnetTelnet服务，有效防止对服务，有效防止对TelnetTelnet口令的窃听。口令的窃听。使用静态使用静态ARPARP，与网关设备双向绑定，防止，与网关设备双向绑定，防止ARPARP欺骗攻击。欺骗攻击。对于怀疑运行监听程序的计算机，用正确的对于怀疑运行监听程序的计算机，用正确的IPIP地址和错误的物理地址地址和错误的物理地址pingping，运行监听程，运行监听程序的计算机会有响应。序的计算机会有响应。使用反监听工具如使用反监听工具如antisnifferantisniffer等进行检测。等进行检测。少用少用HubHub，SnifferSniffer无法穿过交换机与路由器。无法穿过交换机与路由器。网络分段越细，则安全程度越大。网络分段越细，则安全程度越大。将内网划分成更小的广播域，有利于防止网将内网划分成更小的广播域，有利于防止网络窃听。络窃听。在网内部署流量监控平台，监控所有网络设在网内部署流量监控平台，监控所有网络设备的流量，及时发现异常流量，帮助锁定网备的流量，及时发现异常流量，帮助锁定网络窃听主机。络窃听主机。个人计算机使用安全 谢谢！谢谢 谢谢！