【正文】 故 障 處理 流 程 處 理參 考 安 全 系 統(tǒng) 告 警處 理 手 冊 進 行 告 警分 析 及 預(yù) 處 理網(wǎng) 管 安 全 監(jiān)控 操 作 手冊 、 安 全 告警 處 理 手 冊1 、 本 流 程 適 用 于 網(wǎng) 絡(luò) 監(jiān) 控 處收 接 收 到 或 主 動 發(fā) 現(xiàn) 的 安 全 事件 后 續(xù) 處 理 。能 否 參 考 手 冊 自 行完 成 告 警 分 析 及 預(yù)處 理 ？重 大 故障 定 義及 流 程日常安全監(jiān)控 維護作業(yè)C M N e t 骨 干 網(wǎng) 流 量 異 常移 動 夢 網(wǎng) 網(wǎng) 站 首 頁 異 常骨 干 路 由 器 異 常 登 錄入 侵 檢 測 、 防 病 毒 、 防火 墻 系 統(tǒng) 安 全 告 警E O M S 派 發(fā) 工 單至 相 關(guān) 處 室 （ 維護 優(yōu) 化 處 / 網(wǎng) 管支 撐 處 / 網(wǎng) 絡(luò) 安全 處 等 ） 處 理郵 件 投 訴安 全 事 件安 全 監(jiān) 控 崗轉(zhuǎn) 發(fā) 的 告 警事 件安 全 類 工 單支 撐 崗 判 斷 能否 進 行 分 析 和預(yù) 處 理 ？接 收 E O M S 工單 ， 處 理 完 畢后 回 復(fù) 工 單通 過 郵 件 投訴 處 理 系 統(tǒng)自 動 轉(zhuǎn) 發(fā) 相應(yīng) 省 公 司 處理支 撐 崗 判 斷 能否 自 行 處 理 ？歸 檔 工 單回 復(fù) 工 單歸 檔 工 單完 善 安 全 事 件 處 理預(yù) 案 和 處 理 手 冊整 理 安 全 告 警 處 理手 冊 和 網(wǎng) 管 安 全 監(jiān)控 操 作 手 冊 ， 并 培訓(xùn) 監(jiān) 控 崗 使 用是否 ， 轉(zhuǎn) 發(fā)至 支 撐 崗是 ， 指 導(dǎo) 監(jiān)控 崗 進 行 分析 及 預(yù) 處 理否是否E O M S 派 發(fā) 工 單至 告 警 涉 及 系統(tǒng) 負 責(zé) 人 處 理將 處 理 情 況 在 E O M S維 護 作 業(yè) 記 錄圖 例 ：文 檔 、 模 板活 動 流 轉(zhuǎn)流 程 活 動選 擇 判 斷轉(zhuǎn) 其 他 流程 ， 結(jié) 束流 程 觸 發(fā) 項21 目錄 ?安全基本概念 ?安全事件分類分級 ?安全事件監(jiān)控和處理流程 ?安全監(jiān)控工作思路 ?信息安全基礎(chǔ)知識 ?安全事件案例 22 ? 2022年，總部組織全網(wǎng)開展了以“風(fēng)險管理”為核心的安全監(jiān)控。 ? 圍繞“重要資產(chǎn)，重要告警，重點監(jiān)控”的工作目標(biāo)，以安全告警和資產(chǎn)的關(guān)聯(lián)為重點開展工作 。制定資產(chǎn)信息收集和更新的流程。將安全告警分類分級，手冊標(biāo)準(zhǔn)化。 ? 實現(xiàn)了具備安全監(jiān)控手段的一干和省網(wǎng)重要系統(tǒng) 5 8小時的重點安全監(jiān)控，有效提升了全網(wǎng)安全監(jiān)控能力 。 – 上述方式下，各省做到了 5 8小時的安全監(jiān)控，但大多數(shù)難以開展 7 24小時的安全監(jiān)控； – 各類安全監(jiān)控手段較為分散，未實現(xiàn)安全監(jiān)控手段的集中化。 ” ? 按照上述要求， 2022年在全網(wǎng)推行集中化的 7 24小時安全監(jiān)控的工作勢在必行。 ? 對具備基礎(chǔ)安全監(jiān)控手段的一干和省網(wǎng)重要系統(tǒng)實現(xiàn)集中化的7 24小時安全監(jiān)控，重要系統(tǒng)中實現(xiàn)集中化安全監(jiān)控的比例要達到 80%，保證網(wǎng)絡(luò)在可管、可控的情況下安全運營。 – 制定標(biāo)準(zhǔn)化的集中化安全監(jiān)控工作流程，操作手冊，針對奧運保障完善預(yù)處理手冊，制定 7*24小時安全監(jiān)控作業(yè)計劃，安全告警派單的模板。 – 各省公司也要組織必要的培訓(xùn)，確保安全監(jiān)控崗位人員具備安全監(jiān)控技能，熟悉掌握監(jiān)控工作手冊，并可熟練執(zhí)行安全監(jiān)控作業(yè)。 Firewall Inter DMZ Internal Network 27 什么是防火墻 ? 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 28 防火墻工作原理 P C 客 戶 機 防 火 墻U N I X? 對 IP地址和某些端口進行過濾 29 防火墻不是萬能的 ? 防火墻僅僅是網(wǎng)絡(luò)安全體系的一個組件 ? 防火墻通常是抵御攻擊的第一道防線，經(jīng)常被有經(jīng)驗的入侵者繞過 ? 防火墻中的“開放”策略通常被利用 ? 防火墻不能安全過濾應(yīng)用層的非法攻擊，如 unicode攻擊； ? 防火墻對不通過它的連接無能為力，如內(nèi)網(wǎng)攻擊等； ? 防火墻采用靜態(tài)安全策略技術(shù)，因此自身無法動態(tài)防御新的非法攻擊。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 （ Intrusion Detection System,簡稱IDS）。 31 IDS工作流程示意 數(shù)據(jù)采集 數(shù)據(jù)過濾 事件報警/響應(yīng) 攻擊檢測/分析 主機 網(wǎng)絡(luò) 數(shù)據(jù)采集 ：網(wǎng)絡(luò)入侵檢測系統(tǒng)（ NIDS）或者主機入侵檢測系統(tǒng) (HIDS)利用處于混雜模式的網(wǎng)卡來獲得通過網(wǎng)絡(luò)的數(shù)據(jù)，采集必要的數(shù)據(jù)用于入侵分析。 攻擊檢測 /分析 ：根據(jù)定義的安全策略，來實時監(jiān)測并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)，使用采集的網(wǎng)絡(luò)包作為數(shù)據(jù)源進行攻擊辨別，通常使用模式、表達式或字節(jié)匹配、頻率或穿越閥值、事件的相關(guān)性和統(tǒng)計學(xué)意義上的非常規(guī)現(xiàn)象檢測這四種技術(shù)來識別攻擊。 32 IDS部署 傳感器可以被放置在業(yè) 網(wǎng)絡(luò)中的任何可能存安 全隱患的網(wǎng)段。 33 防火墻與 IDS協(xié)同工作 00000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 000000000000000000000000000 000000000000000000000000000 000000000000000000000000000 000000000000000000000000000 00000000000000000000000000000000000000000000000000000