Embed Size (px)
DESCRIPTION
“ 高能所网络安全管理 ” 课题 2002 年年终总结. 防火墙系统改进状况 防病毒系统的部署与效果 安全网站和数据库系统 网络安全课题软件开发进展 目前高能所网络安全总体评价 下一步完善高能所网络安全. 通过防火墙对高能所网络分类. 网络 ① 一般用户, 受限用户. 网络 ① 的计算机不能被所外网络访问,但可以主动向外访问 Internet 和网络 ②. Internet. 网络 ② 有对外合 作的用户. 网络 ② 的计算机可与 Internet 相互访问,但不可以主动连接网络 ①. 防火墙. 网络 ③ 公用网络 服务器. - PowerPoint PPT Presentation
Citation preview
““ 高能所网络安全管理”课题高能所网络安全管理”课题20022002 年年终总结年年终总结
防火墙系统改进状况防病毒系统的部署与效果安全网站和数据库系统网络安全课题软件开发进展目前高能所网络安全总体评价下一步完善高能所网络安全
Interne
t
网络①一般用户,受限用户
网络①一般用户,受限用户
网络②有对外合作的用户
网络②有对外合作的用户
网络①的计算机不能被所外网络访问,但可以主动向外访问 Internet 和网络②
网络②的计算机可与 Internet 相互访问,但不可以主动连接网络① 防火墙
网络 ③公用网络
服务器
网络 ③公用网络
服务器
网络③与网络②类似,但仅用来连接高能所的公用网络服务器组
通过防火墙对高能所网络分类通过防火墙对高能所网络分类
Interne
t
经过防火墙NAT 后访问Internet
直接穿透防火墙访问 Internet
防火墙
通过代理服务器访问 Internet
网络用户经防火墙上网的途径网络用户经防火墙上网的途径
代理服务器
实际的防火实际的防火墙系统网络墙系统网络
拓扑结构拓扑结构
中心交换机
Internet
路由器
防火墙
集线器
路由器
公用电话网
Switch 集线器 Switch 集线器
双防毒墙网络监视设备
允许被从所外访问的服务器
Ftp: 202.38.128.130/26Wins: 202.38.128.138/26Web: 202.122.32.39/26Nsg: 202.38.128.142/26Proxy1: 202.38.128.136/26Proxy2: 202.38.128.137/26Kill: 202.38.128.139/26Sec: 202.38.128.172/26
(202.122.32.128/27)
(202.122.32.160/27)
(202.38.128.128/26)
高能所内网
(202.38.128.0/26) (202.122.32.192/27)
MAIL: 202.38.128.1/26WWW: 202.38.128.8/26SUN: 202.38.128.10/26DNS: 202.38.128.58/26
•202.122.32.130/2
7
•202.122.32.131/2
7
•202.122.32.193/2
7
•202.122.32.132/2
7
•202.38.128.170/2
6 •202.38.128.2/26
•202.38.128.129/2
6
•202.38.128.171/2
6
•202.38.128.173/2
6
•202.38.128.12/26•202.38.128.11/26
andh: 202.122.32.133/27nsmg: 202.122.32.142/27
防火墙安全策略的制定原则防火墙安全策略的制定原则
对绝大多数计算机用户授权 NAT 方式访问 Internet ;
将有特殊(需要被从所外向内访问)的用户计算机安放在计算中心专门的保护区;
对不能移到计算中心,但又需要与特定所外单位相互通讯的计算机,按 IP 地址和协议设置相应的保护策略;
对仅在所内通讯的计算机设置不允许穿越防火墙的安全保护策略。
防火墙安全策略查询方法防火墙安全策略查询方法
为使用户知道自己使用的计算机正处于哪种被保护状态,以便于确定能执行何种权限的网络操作,在高能所网络安全网站( http://sec.ihep.ac.cn) 上公布了高能所内所有计算机的安全类别,用户可根据自己计算机的安全类别判断是否满足自己的工作需要,并可向计算中心申请修改保护方式。
防病毒系统的部署与效果防病毒系统的部署与效果网关型防病毒系统结构服务器 / 客户端方式的防病毒系统防病毒软件部署后的效果病毒截杀情况统计详表防病毒安全服务机制
Internet
InterScan防毒网关
邮件服务器
进、出邮件均受到防毒网关保护,实现方法:
进:将 Mail 服务器、 Sun 服务器的 MX 纪录均指向防病毒网关,这样外部进入的邮件先经过防病毒网关的过滤,再由防病毒网关自带的 SendMail 发送给内部邮件服务器。
出:将 Mail 服务器、 Sun 服务器外发邮件全部指向防病毒网关,由防病毒网关过滤后由自带的 SendMail 发送给外部的收件人
www 代理服务器
客户的 HTTP 请求受到防毒网关保护,并且客户端不需要更改设置,实现方法:
在代理服务器上打开 Cascade 功能,将所有客户端的 http 请求转发到防病毒网关。
防病毒网关本身也是一个代理服务器,将收到的请求发送给 Internet ,并将传回的网页经过扫描后传递回代理服务器,再由代理服务器交给客户端。
因此在下载大文件时,一开始会很慢,因为正个文件回先下载到防病毒网关,经过扫描后经由代理服务器载传递给客户
客户的 FTP 请求受到防毒网关保护,但需要按照如下方式操作:
例如下载站点为, download.com ,使用的用户名为 anonymous,密码为 [email protected] ,客户端必须在命令行模式下:ftp v-wall.ihep.ac.cn (ftp 到防病毒网关 )User (v-wall.ihep.ac.cn:(none)): anonymous@ download.comPassword: [email protected]然后使用 ftp命令正常下载
网关型防病毒系统结构网关型防病毒系统结构
Internet
Ki l lAdministrator
.
Ki l lfor Windows
Ki l lfor Windows
Ki l lAdministrator
Ki l lfor Windows
客户端
客户端
客户端
服务器
服务器
服务器
Fi rewal l 2
Ki l lAdministrator
中心控制台
Ki l l桌面防病毒系统解决方案
Fi rewal l
服务器服务器 // 客户端方式的防病毒系统客户端方式的防病毒系统
Kill防病毒软件安装情况: 截至 2002 年 12月 10日,累计安装 kill 客户端杀毒系统已达 731台。 Kill防病毒软件升级情况: 自 7月份安装以来,共升级了 41次,平均每周 2次。
网关防毒 InterScan VirusWall 统计结果: 自从 2002.7.11 -- 2002.12.10 ,总共截杀 Email 病
毒 12693 个,平均每天截杀 Email 病毒 83.5 个;总共截杀 HTTP 病毒 2020 个,平均每天截杀 13.3 个。在 7月 16 日新病毒 password 传播时,防病毒 1891 个, 7 月 22 日防病毒 428 个。
防病毒软件部署后的效果防病毒软件部署后的效果
病毒截杀情况统计详表病毒截杀情况统计详表 截杀病毒总数 (2002.7.11 -- 2002.12.10) 平均每天截杀病毒数
Email 12693 83.5
HTTP 2020 13.3
排名 Email 病毒名称 病毒数 占总病毒数的百分比
1 WORM_KLEZ.H 9685 76.3%
2 WORM_BUGBEAR.A 217 1.7%
3 PE_TECATA 134 1.1%
排名 Http 病毒名称 病毒数 占总病毒数的百分比
1 JS_EXCEPTION.GEN 1312 65.0%
2 VBS_REDLOF.A 156 7.7%
3 BKDR_DINDANG.A 82 4.1%
防病毒安全服务机制防病毒安全服务机制 由计算中心为高能所全体用户做技术支持:
– 紧急情况立即到现场解决问题– 非紧急情况可和计算中心预约派技术人员帮助解决问题
由防病毒软件厂商为计算中心做技术支持:严重性 问 题 描 述 响应时间 问题解决时间
A 最高级 病毒爆发、大量扩散。立即 1 个工作日
B 紧急 系统主要功能无法执行。系统作业效率突然严重降低。
4 小时 2 个工作日
C 重要 系统出现细微错误,不影响日常正常作业。一般性的产品使用问题。
1 个工作日 3 个工作日
D 普通 索取产品更新(非电子资料方式)。索取一般信息。
1 个工作日 3 – 5 个工作日
安全网站和数据库系统安全网站和数据库系统网络安全数据库系统网络安全网站系统网络安全信息收集中心
安全网站和数据库系统安全网站和数据库系统 系统基于 Linux平台,采用 Mysql 数据库软件实现:
– 记录每台连网的计算机的基本信息(使用者、位置、 IP地址、 MAC 地址、网络使用权限等)
– 提供了基于 Web 的用户界面,以实现数据库的基本管理– 为其他应用提供了程序调用接口– 目前数据库共收集了 2111条主机信息的记录
网络安全 Web 网站与数据库系统设立在同一台计算机上,是向用户提供安全咨询的途径之一:– 提供高能所网络安全知识、网络使用规范、安全警告信息等
– 可与数据库连接,提供网络注册和安全资料查询– 提供网络安全软件下载
网络安全课题软件开发进展网络安全课题软件开发进展国家课题研究成果及其在高能所的应用
– 取证系统– 陷阱机保护系统– 小区网络监视系统
针对高能所网络的研究和开发工作– 垃圾邮件防范技术措施– 网络通信异常检测与控制– 防火墙安全规则优化
网络陷阱系统介绍网络陷阱系统介绍
“ 网络陷阱与诱骗技术研究”课题成果“网络陷阱系统”的典型应用环境如上图所示。网络陷阱系统以主动防御为目的,可引诱黑客攻击行为到一个可控的范围,消耗其资源,记录下他的所有动作,研究其行为,了解其使用的攻击方法和技术,并提醒他的下一个攻击目标,以便及时做出防范,从而保护真正的服务器的安全,提高网络的安全防护性能
陷阱主机
Internet
IDS探测器 2
交换机
一个陷阱主机可虚拟四个陷阱机,每个陷阱机都有独立的 IP 地址和独立的
服务功能
陷阱机控制台
陷阱机 1 陷阱机 2 陷阱机 3 陷阱机 4陷阱机日志服务器
服务器 1 服务器 2 服务器 3服务器 4
防火墙
IDS
内部网
被保护服务器
群
陷阱主机
DMZ区
入侵取证系统介绍入侵取证系统介绍
被取证机被保护服务器
取证机RedHat7.2双网卡
分析机Windows2000
HUB
监管系统
Internet
Web服务器
交换机
Mail服务器
路由器
防火墙
内部网
DNS
财务网
内网段 1
对可疑的 IP 的活动进行分析和监管,及时发现异常行为并处理
内网段 2
DMZ 区
网络安全监管系统介绍网络安全监管系统介绍
垃圾邮件防护的技术措施垃圾邮件防护的技术措施 防止所外向所内传递垃圾或病毒邮件的措施
– 在邮件服务器上设置 procmail 邮件过滤程序,可删除满足特征的电子邮件
– 在防火墙上设置安全规则,禁止所内的邮件服务器直接收来自所外的邮件,必须经防毒墙过滤才可到达
防止由所内向所外传递垃圾或病毒邮件的措施– 在防毒墙上设置了可信任主机的列表,只接收所内批准
的合法 email 服务器的邮件– 在防火墙上设置安全规则,禁止所内的邮件服务器直接
向外发送邮件,必须经放毒墙过滤后再转发出去– 在邮件服务器上设置了发信认证机制– 编制了程序自动检测高能所是否被列入“国际反垃圾邮
件组织”的黑名单,如发现,及时查明原因并申请从中撤消
网络通信异常检测与控制网络通信异常检测与控制
按 IP 地址进行网络流量统计并可提供实时地查询功能
能实时地检测出网络通讯流量异常的 IP地址
能判别出正在进行网络扫描或具有这类特征的病毒发作的 IP 地址
可与防火墙系统配合自动禁止这类计算机的通讯
防火墙安全规则优化防火墙安全规则优化
防火墙安全规则优化的目的是把来自全所计算机用户的安全要求经过合并、筛选,并通过计算机程序自动生成合理的、效率高的防火墙安全规则;
通过安全优化,可减少防火墙上的规则数目,提高防火墙的性能,完成在这之前硬件性能无法满足的功能。
目前高能所网络安全总体评价目前高能所网络安全总体评价今年高能所在网络安全上的投资情况目前高能所网络安全设施高能所网络抗“黑客”攻击的能力高能所网络抗“病毒”攻击的能力对高能所网络用户管理的能力网络安全服务和应急响应速度
当前当前 IHEPIHEP 网络安全管理实施效果网络安全管理实施效果 病毒问题大大减少
– 未发生大规模病毒发作事件– 网关防病毒系统过滤掉许多病毒
自 7月 11 日安装后,到目前,共过滤掉 E-mail病毒一万三千多个、 HTTP 病毒二千多个。
垃圾邮件影响减轻– 外发垃圾邮件的情况减少– 收到的垃圾邮件经过滤,数目减少
黑客攻击行为减少– 外部尝试利用我所网络进行跳转攻击等扫描行为被有效阻断– 攻击行为被及时发现并有效隔离
下一步完善高能所网络安全的重点下一步完善高能所网络安全的重点 完善现有的网络安全设施和手段,尽快解决当
前用户急需的网络需求; 进一步完善高能所网络安全体系的软硬件设施
和功能,增强网络网络安全管理的技术措施,实现网络安全计算机化管理;
引导博士生、研究生的网络安全研究成果及国家网络安全课题研究成果与高能所网络应用结合,在高能所网络发挥作用;
改进服务管理技术,提高为所内用户进行网络安全服务的响应能力和质量。
