freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

廣電總局網絡安全技術建議書_外(存儲版)

2024-12-17 07:45上一頁面

下一頁面
  

【正文】 體 系結構: Client/Server 結構的掃描審計軟件具有集中管理的優(yōu)勢,利于電信環(huán)境部署及擴展; 攻擊模式庫數量:應對多種攻擊模式均支持; 軟件更新速度快; 北京瑪賽網絡系統有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 13 頁 共 31 頁 中文化和本地化支持; 建議掃描審計軟件對全網主機和設備的安全審計信息均存放在管理網段的數據庫中,其中包括主機的操作系統版本、漏洞情況、 patch 情況等安全信息。 對于日志分析系統的產品選型,考慮如下因素: 集中收集和監(jiān)控系統日志 。目前已知的計算機病毒超過 20, 000 種,并且每月發(fā)現的新病毒超過 300種,即每天都有 10 余種新病毒出現。 在防病毒產品的選型上,我 們 認為一個成熟優(yōu)秀的、高效可靠的防病毒產品應具有以下特點: ? 先進的體系結構設計 ? 先進的防殺病毒技術 ? 能夠在線實時查殺病毒 ? 準確無誤的報警功能 北京瑪賽網絡系統有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 15 頁 共 31 頁 ? 及時、方便地更新病毒定義代碼 ? 快速、有效地處理未知病毒 ? 多平臺的支持 ? 功能強大的控制臺,便于管理與維護 而針對網絡這個層次 而設計的防病毒產品, 我們 認為其重要功能還應該包括能夠對網絡進行實時病毒監(jiān)控、支持病毒有效地隔離。 ? 在通往 Web 服務器的網絡路徑上安裝基于網絡的實時入侵監(jiān)控系統。 ? 小心設置 Web 服務器的訪問控制表。 ? 為該郵件服務器實施主機安全增強服務,消除操作系 統自身的安全漏洞。通常可以通過模式識別來進行。限制方法與收件人數量限制類似。 3. 依靠入侵檢測系統及日志分析系統對該業(yè)務主機進行詳細的訪問記錄審核,并保留相關記錄。 而安全信息中心軟件系統包括了 安全管理中心內的安全審計 軟件和日志分析 軟件 兩大部分 。 通過一套或幾套部署在同一地點的安全管理軟件 ,集中的實現對多個節(jié)點的多套安全工具集中的管控,極大的節(jié)約了人力資 源,提高了管理效率,對降低企業(yè)安全系統的 TCO(總體擁有成本)有很大效果。 北京瑪賽網絡系統有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 23 頁 共 31 頁 結合 廣電總局 的目前 運維 情況,我們認為整個網絡中比較關鍵的資產如下表所示: 資產 說明 核心交換機 廣電總局 外 網所用的 核心交換機 防火墻 廣電總局 所用的防火墻 接入路由器 承擔 廣電總局 外網 Inter 接入的 接入路由器 WEB 業(yè)務 承擔 廣電總局 WEB 服務的主機 MAIL 業(yè)務 提供 廣電總局 內部工作人員使用的 MAIL 業(yè)務 DNS 業(yè)務 提供互聯網用戶及廣電總局內部工作人員的 DNS 業(yè)務 用戶資源 廣電總局 目前的用戶 群 管理人員 廣電總局 擔負網絡 運維 的人員 ?? ?? 這里只列出了 廣電總局 外網 中一部分最重要的資產,而在長期的安全管理中,需要全局統籌管理,隨著業(yè)務系統的不斷變化,及時更新關鍵資產的定義,以保證處理操作的一致性和便于資產評估。在 廣電總局 中, OA信息、路由配置和安全日志等這些數據是需要安全風險管理關注的關鍵數據,在運維中需要為這些數據提供安全管理策略,例如: 如何進行備份 備份文件存儲在何處 如何 對數據進行物理保護 誰有權訪問存儲數據的介質 數據完整性遭到破壞后的恢復措施 網絡資源不可用 風險管理將包含確定那些網絡資源會受威脅及其所造成的損失。再如:針對 DNS 服務器系統的威脅,我們只要提供防火墻設備對進出該網段的訪問進行 過濾 并提供基本的入侵檢測 即可,而不需要花費 太多 額外的資源去保護該業(yè)務系統。 運維 故障處理制度 為保證 廣電總局 網絡的安全運行,保障全網的服務質量, 我們 為 廣電總局 提供 運維 故障處理的建議。探測性管理,用于記錄和報告授權用戶的行為,以及記錄和報告非授權訪問或對系統、程序和數據的訪問企圖。同時,我們也提供一些冗余措施以提高網絡設備的可用性。 我們 建議與 廣電總局 建立一個集中的小組作為處理突發(fā)事故的基本中心,該小組職能如下: 跟蹤最新的故障和入侵跡象; 成為故障報告的主要聯系點; 將故障通知給其他人; 估計損失并且應付故障; 研究如何避免同一缺陷引起更多的破壞; 當安全故障發(fā)生時,小組應該依照以下方面檢查是否網絡安全受到破壞: 關鍵 數據是否有損失; 系統運行性能是否差; 異常通信模式; 異常系統使用時間; 登陸失敗的次數過多; 從這些方面做初步檢查后,再利用入侵檢測系統以統計方法和基于規(guī)則的方 北京瑪賽網絡系統有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 30 頁 共 31 頁 法相結合,從正常的網絡活動中辨別出異常,這樣才能發(fā)現故障來源。 我們建議 通過本次安全工程對 用戶進行安全知識培訓,初級安全培訓和中級安全培訓建議安排在安全集成前對用戶進行,高級安全培訓建議在安全服務前進行。 瑪賽作為全國首批互聯網安全服務試點單位, 希望利用長期專業(yè)安全設計和服務方面的優(yōu)勢為 廣電總局 網絡系統 的安全保駕護航。 我們建議對廣電總局員工進行 安全知識培訓和安全技術培訓。以下將針對日常安全管理中的故障處理提供管理上的建議,服務上的建議詳見第五章。 廣電總局 網絡設備的 OS 的更新將遵從網絡設備的安全管理制度,確保 OS 鏡像的完整性。 就用戶管理而言,我們建議對 廣電總局 設備或是網段的訪問必須明確限制到需要訪問的個人,我們采取兩種管理措施:預防性管理和探測性管理。 機房施工管理制度 我們 結合以前項目中安全管理的經驗,為 廣電總局 制定了如下的機房施工管理制度, 廣電總局 運維部門也可以結合各機房情況改進該管理制度,以求充分切合實際。通過把暴露安全漏洞所帶來的風險和實施及強制執(zhí)行安全策略所需要的費用進行比較,就可以確定 廣電總局 可接受的風險水平。網絡的脆弱性表現在網絡中存 在的可能被威脅利用的缺陷,如:可能發(fā)生外部人員的猜出口令而對網絡進行未經授權訪問的事件等。 在 廣電總局 安全運維中,需要通過安全風險管理提供網絡中的安全關鍵點。 IDS 管理中心用于網絡型 IDS 的策略控制和監(jiān)控, 報警信息將會在控制 北京瑪賽網絡系統有限公司 北京西城區(qū)金融街 33 號通泰大廈 B 座 419 室 100032 電話 : (8610) 88087212 傳真 : (8610) 88087300 Email: URL: 第 22 頁 共 31 頁 臺上顯示或報警; 防病毒管理中心用于防病毒系統的管理和控制; 日志管理中心控制臺和審計中心控制臺分別是日志分析中心和安全審計中心的 Console 端軟件,可以實現對這兩套軟件系統的遠程控制和管理。 安全管理中心的實施拓撲如下圖所示: E250日志分析網管安全審計系統入侵檢測系統管理端病毒控制管理中心 安全管理中心實施拓撲 安全決策支持中心 安全決策支持中心實際上是一個由 專業(yè)安全專家、客戶安全人員、安全知識庫、安全信息中心軟件系統以及 專業(yè)安全服務共同構成的一個常備安全機構。 DNS 系統的安全威脅主要來自以下幾個方面: ? 監(jiān)聽向 DNS SERVER 發(fā)的查詢 id,實現欺騙攻擊; ? 針對 DNS 服務器鏈缺陷的報文放大技術,使一個主機的帶寬消耗殆盡的DNS smurf 攻擊; ? 域名劫持 (這一攻擊用于在有 make changes 功能注冊域名的公司 ); ? BIND 存在的遠程緩沖區(qū)溢出的漏洞; ? 非法區(qū)域傳輸問題; 因此, 對于廣電總局外 網的 DNS 系統的安全, 我們 有如下建議: 1. 將貯備 DNS 服務器置于不同 IP 地 址段內,防止由于拒絕服務的攻擊造成 DNS 停止服務。這種方法會導致垃圾郵件發(fā)送程序立刻連接,而 導致系統忙于應付不停的連接、中止操作中;而限制如果過低,會影響正常的工作,限制過高,可以調整垃圾郵件發(fā)送程序 另外,也可以實現限速中止,就是說服務器在接收到超過限制數量的收件人地址后,等待較長時間然后中止。 ? 垃圾郵件識別 垃圾郵件識別是一個比較復雜的問題。 MAIL 系統的安全 廣電總局的電子郵件系統主要用于內部員工與外界進行信息聯絡,是網絡與外部必須開放的服務系統,雖然流量不大,但是對可用性要求是很高,而且很有可能成為攻擊者的跳板和入口。如果是自己開發(fā)的應用,更需要嚴格進行源代碼審計,確保沒有嚴重安全問題。 通過設置防火墻,可以有效的控制允許外界訪問的服務端口, 減少安全風險。網絡的脆弱性成倍增加,保護計算機網絡已不再是簡單的在客戶機上安裝桌面病毒掃描程序就可以解決的問題了。 防病毒體系 對于 廣電總局 來說數據 的安全 是最重要的,而病毒是對數據造成嚴重威脅的主要因素之一。 , 日志分析系統 由于全網存在眾多 網絡和主機設備,但缺乏統一的日志管理系統,我們建議在安全管理網段部署一套 日志分析系統 用于網絡設備和主機系統的日志管理。 我們建議 在廣電總局外 網部署網絡掃描軟件。 這套入侵檢測系統 部署在 核心交換機上,(由于性能問題,原則上不對視頻點播系統進行檢測) 。我們必須及時高效地發(fā)現這些入侵并加以處理,否則可能遭受很大的損失。 防火墻上實施如下策略 原則如下 : 1. 默認關閉防火墻上的所有訪問規(guī)則 2. 允許內網訪問 DMZ 口的必要服務 3. 禁止 DMZ 口到內網、外網到內網 、外網到 DMZ 的訪問 4. 允許內網、 DMZ 對外網的訪問,也可根據需要添加必要的限制策略 網絡入侵檢測系統的安全考慮 入侵檢測技術是當今一種非常重要的動態(tài)安全技術,與 傳統 的靜態(tài)防火墻技術共同使用,將可以大大提高系統的安全防護水平。 網絡 管理級 :安全級別次于 MAIL 及備份 DNS 系統,包含廣電總局外網網管系統及新增的安全管理系統,這類系統如果遭受入侵或干擾,將暴露 整網結構及相關信息,間接影響整網的安全狀況。從而確保該網段的安全性 。原視頻服務器與主 DNS 服務器放置在該 PIX520 的 DMZ 口所在 VLAN,而其他業(yè)務放置在該
點擊復制文檔內容
高考資料相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1