《内网安全管理解决方案.ppt》由会员分享,可在线阅读,更多相关《内网安全管理解决方案.ppt(67页珍藏版)》请在三一办公上搜索。
1、酒店网络及计算机信息安 全 管 理,一、内部网络安全、等级权限二、计算机帐户、密码保密三、文件服务器的功能及使用四、酒店邮箱使用,随着计算机网络技术的快速发展和广泛使用,计算机网络已经成为现代社会和企业不可缺少的重要支撑平台,为社会和企业提高了效益和创造了财富。同时,随之产生的信息安全问题也越来越突出。系统漏洞、蠕虫感染、黑客攻击、非法接入和信息被盗等网络终端安全问题和网络资源被滥用无时无刻不在威胁着政府和企事业的信息安全,网络安全造成的损失也日益加大。对单位或企业而言,重要客户信息、核心技术、市场计划等机密信息,一旦泄露给竞争对手,会给单位或企业带来严重后果,造成不可估量的损失。计算机网络安
2、全是随着计算机网络的发展而被提出的,按其发展历程,经历过了单机系统安全(防病毒)、局域网防外部攻击(防火墙、IDS),信息安全(加密、访问控制)等过程。这些技术都是针对计算机网络运用的发展而提出的,并解决了当时面临的突出安全问题。,内网安全概述,内网安全概述,但随着酒店和其它行业内部网络的建设发展并进入实质性的运用,大家发现内部网络的安全问题更加突出,运用越广泛安全问题越多。如网络资源被滥用造成的网络阻塞,重要信息的非法拷贝和传播等,给酒店和其它行业造成了重大的损失。据统计全世界由于信息安全问题造成的经济损失高达上千亿美元,这不能不引起政府和企业的重视。在互联网的迅速普及当中,人们在感受网络所
3、带来的便利的同时,也面临着各种各样的进攻和威胁:机密泄漏、数据丢失、网络滥用、身份冒用、非法入侵数据表明,我国有63.6%的企业用户处于“高度风险”级别,每年因网络泄密导致的经济损失高达上百亿。更令人吃惊的是,在诸多安全事件中,83%竟为内部人员和内外勾结所为,且呈上升的趋势。,内网安全概述,虽然大多数企业都非常重视内网安全管理问题,内网安防投入也不断增加,但是内网安全问题却仍然严峻。事实表明,有效保护酒店内部资源和网络的安全,需要建立全面的内网安全体系。下面是几个内网泄密事故:1.客户入住酒店,半夜接到电话骚扰,主叫方还知道被叫方的姓名,是谁泄露了客户资料?2.温州多个酒店泄露客户结婚信息
4、情报费一年数万,造成了很坏的负面影响,社会反响强烈。3.前台飞单,还是团伙作案。某酒店查一位客人的资料和了解账务问题时,发现此帐有问题,就随便查了个详细!一查吓一跳,前台有人竟然做假账,后面延着这个做假账的方式,查他以前的帐,发现已经快做了1年多的假账了,而且还查出来2 3个同伙,1个主管,1个领班,1个员工。4.销售外泄酒店客史档案及房价信息。5.多岗位联合走黑账,内网所面临的威胁,1.混合型病毒木马通过垃圾邮件,恶意WEB网页,文件下载等传播途径该变了传统病毒的危害范围和速度。2.黑客程序,木马,系统漏洞形成了混合式病毒的发展。3.恶意网页欺骗,垃圾邮件传播。4.内部员工肆意登陆非法网站及
5、色情网站,造成内部网络终端成为网络安全的弱点。,内网所面临的威胁,5.内部网络滥用,员工非正常使用视频、BT等应用耗费了大量的网络资源,影响正常工作的开展。并且存在通过网络发布违反国家法律的言论以及泄密单位敏感信息的潜在威胁。6.内部非授权访问,容易造成机密资料的泄密传播和各自隐私受到侵犯的问题。7.U盘、移动硬盘等等移动存储介质的使用管理困难,造成病毒的泛滥和涉密信息的泄露。8.笔记本、WIFI手机等移动终端的私自接入对内网的信息安全造成很大的威胁。,为什么需要内网安全管理,外国政府,竞争对手,黑客,内部员工,内部网络的现状,增加终端管理困难,增加终端管理压力,网络复杂化,应用复杂化,内网管
6、理面对的主要安全问题,数据泄密,越权操作,非法外联,存储设备管理,系统应用管理,IP地址和网络配置的管理,资产和资源的管理,内网网中的行为管理,美国联邦调查局(FBI)和电脑安全协会(CSI)电脑犯罪与安全年度调查报告,仅44%愿意透露或估算具体数字,总计竟达4.558亿美元,其中85%遭受经济损失,经济损失比重,数据失窃1.708亿美元,金融欺诈1.157亿美元,员工滥用网络5000万美元,病毒入侵4990万美元,其他原因7440万美元,信息安全存在的盲区,终端是创建和存放重要数据的源头,多数的攻击事件都是从终端发起的,数据泄密和蠕虫病毒感染都是因为终端脆弱性引起,内网面对的主要维护问题,批
7、量的系统升级和维护,大面积的软件开发,远程用户服务,网络故障的远程诊断、报警,传统网络安全和网络管理产品的局限性,功能单一,缺乏综合型解决方案,面向网络终端的安全和管理功能薄弱,往往都是采用“事后救火”的方式,传统内网管理工具使用困扰,不易安装操作,需要培养专职维护人员,宽带与相关资源消耗较大,架设成本高,投资回报率低,只有解决当前问题,没有后续管理观念,内网安全管理解决方案追求的目标,面向局域网的解决方案必须是安全、管理和维护三位一体的解决方案,信息中心欢迎的网管产品应同时面对数据安全、网络终端,内部行为等。,将工作模式从“事后救火”转变为“事先预防”,典型的局域网应用结构,WinManag
8、er 管理平台主要功能模块,内网审计,内网控制,内网报警,软硬件统计,补丁和软件分发,远程协助,1、内网审计模块-基本信息,内网审计模块-操作信息,内网审计模块-系统事件,内网审计模块-系统事件,2、内网控制模块-程序/网站禁用,内网控制模块-外设管理,3、内网报警模块-报警管理,4、软硬件统计模块,5、补丁和软件分发模块,6、远程协助模块,远程协助-强制接管,远程协助-应答接管,发送通知,锁定/解锁计算机,注销、关闭、重启计算机,总 结,文档安全管理 通过阻断存储设备、U盘、软盘、光驱、刻录机等纺织信息外泄,通过管理设备端口:SCSI口、1394口、红外线、蓝牙等防止信息外泄,通过管理打印机
9、防止信息外泄,通过文档操作记录(新建、考呗、改名、删除)保留重要痕迹。网络行为管理 上网行为管理:禁止浏览与工作无关的网站、应用程序,禁止与上班无关的程序(MSN、QQ等),屏幕记录。桌面管理 Windows补丁分发,软件分发,远程控制、消息发送、重启/锁定、软硬件统计。,内部网络到底有多脆弱,不清楚安装和运行了什么软件,单纯依靠升级缓慢的反病毒软件、个人防火墙,无法对网络上所有计算机进行强制安全配置,无法控制移动PC的接入,内部网络到底有多脆弱,补救能力无法满足发布安全弱点通知与危机爆发之间日益缩短的时间要求,危机爆发无法准确定位问题,个人计算机使用安全,个人计算机使用安全,第一个问题 曾经
10、发生过什么?第二个问题 我们正受到哪些威胁?第三个问题 我们采取了什么措施?第四个问题 我们还需要做些什么?,第一个问题 曾经发生过什么?,网络现状简介OA与DCN全网3000台PC一百余台路由器数百台以太网交换机三类数十个应用系统,第一个问题 曾经发生过什么?,BLASTER(冲击波)病毒,利用IP扫描技术寻找网络上系统为Win2K或XP的计算机找到后就利用DCOM RPC缓冲区漏洞攻击该系统病毒体将会被传送到对方计算机中进行感染使系统操作异常、不停重启、甚至导致系统崩溃,第一个问题 曾经发生过什么?,BLASTER(冲击波)病毒 2003年8月11日,一种名为“冲击波”(Worm.Blas
11、ter)的电脑蠕虫病毒席卷全球,造成大量电脑中毒,部分网络瘫痪。,第一个问题 曾经发生过什么?,“震荡波”病毒 莫名其妙地死机或重新启动计算机;任务管理器里有一个叫avserve.exe、avserve2.exe或者skynetave.exe的进程在运行;在系统目录下,产生一个名为avserve.exe、avserve2.exe、skynetave.exe的病毒文件;最系统速度极慢,cpu占用100%。,第一个问题 曾经发生过什么?,其它 机器被远程控制 OA帐号盗用,多变形病毒(Tequila),混合型的威胁(Code Red,Nimda,Klez,Blaster),拒绝服务攻击(Yahoo
12、!,eBay),发送大量邮件的病毒(Love Letter/Melissa),特洛伊木马,病毒,网络入侵,70,000,60,000,50,000,40,000,30,000,20,000,10,000,Number of Known Threats,计算机病毒,第二个问题 我们正受到哪些威胁?,第二个问题 我们正受到哪些威胁?,黑客攻击1、获取口令 2、电子邮件攻击 3、特洛伊木马攻击 4、诱入法 5、寻找系统漏洞,第二个问题 我们正受到哪些威胁?,计算机用户自己!安全意识 计算机安全使用常识,网络安全 保障各种网络资源 稳定、可靠地运行 受控、合法地使用,信息安全 机密性(confiden
13、tiality)完整性(integrity)抗否认性(non-repudiation)可用性(availability),第三个问题 我们采取了什么措施?,第三个问题 我们采取了什么措施?,第三个问题 我们采取了什么措施?,安全制度的建立计算机安全管理规定个人计算机安全使用协议的签订IP、域帐号、拨号帐号等计算机资源使用的规范化个人计算机资料规范化,第三个问题 我们采取了什么措施?,省公司办公网安全系统的建立AD域管理趋势防病毒系统外网访问代理,第三个问题 我们采取了什么措施?,市公司安全系统的建立集成了 防火墙、病毒防护、入侵检测 和隐私防护技术,同时集成了管理和响应功能以全面的安全产品和快
14、速的响应能力去应对混合式威胁,第三个问题 我们采取了什么措施?,网络调整与优化vlan划分IP地址调整MAC与IP绑定OA系统 ID与IP绑定拨号接入服务器与主叫绑定及日志记录IDS系统的建立,第三个问题 我们采取了什么措施?,其它辅助手段间谍检测程序 spybot,第四个问题 我们还需要做些什么?,第四个问题 我们还需要做些什么?,第四个问题 我们还需要做些什么?,全面的网络安全评估管理制度拓扑结构系统漏洞IDS威胁,第四个问题 我们还需要做些什么?,制度的落实个人计算机使用水平的提升个人安全意识的提升,第四个问题 我们还需要做些什么?,网络的进一步调整与优化交换机端口与MAC地址的绑定加强
15、重要系统的访问控制,DDOS攻击,DNS,Email,Zombie,DDOS攻击,Server-level DDoS attacks,Bandwidth-level DDoS attacks,DNS,Email,Infrastructure-level DDoS attacks,Attack Zombies:Massively distributedSpoof Source IPUse valid protocols,DDOS攻击SYN FLOOD,我没发过请求,SYN_RECV状态半开连接队列遍历,消耗CPU和内存SYN|ACK 重试SYN Timeout:30秒2分钟无暇理睬正常的连接请求
16、拒绝服务,SYN(我可以连接吗?),ACK(可以)/SYN(请确认!),攻击者,受害者,伪造地址进行SYN 请求,不能建立正常的连接!,SYN Flood 攻击原理,攻击表象,DDOS攻击ACK FLOOD,大量ACK冲击服务器受害者资源消耗查表回应ACK/RSTACK Flood流量要较大才会对服务器造成影响,ACK(你得查查我连过你没),攻击者,受害者,查查看表内有没有,ACK Flood 攻击原理,攻击表象,ACK/RST(我没有连过你呀),DDOS攻击CONNECTION FLOOD,攻击者,受害者,大量tcp connect,不能建立正常的连接,正常用户,正常tcp connect,
17、攻击表象,利用真实 IP 地址(代理服务器、广告页面)在服务器上建立大量连接 服务器上残余连接(WAIT状态)过多,效率降低,甚至资源耗尽,无法响应 蠕虫传播过程中会出现大量源IP地址相同的包,对于 TCP 蠕虫则表现为大范围扫描行为 消耗骨干设备的资源,如防火墙的连接数,Connection Flood 攻击原理,DDOS攻击HTTP GET FLOOD,攻击者,受害者(Web Server),正常HTTP Get请求,不能建立正常的连接,正常用户,正常HTTP Get Flood,攻击表象,利用代理服务器向受害者发起大量HTTP Get请求主要请求动态页面,涉及到数据库访问操作数据库负载以
18、及数据库连接池负载极高,无法响应正常请求,受害者(DB Server),DB连接池用完啦!,DB连接池,占用,占用,占用,HTTP Get Flood 攻击原理,DDOS攻击发展趋势,目标网站-网络基础设施(路由器/交换机/DNS等)流量从几兆-几十兆-1G甚至更高10K pps-100K pps-1M pps技术真实IP地址-IP欺骗技术单一攻击源-多个攻击源简单协议承载-复杂协议承载智能化,试图绕过IDS或FW形式DRDoS/ACK FloodZombie Net/BOTNETProxy Connection FloodDNS Flood,DDOS攻击对内网的影响,很多针对特殊服务器或是网
19、游私服的DDOS攻击大举利用网吧或企业网络中的客户机作为“僵尸”电脑,对指定的服务器IP发送大量的数据包,“僵尸”电脑越多,服务器被消耗的带宽也越多,利用这个原理耗尽服务器的带宽,达到让服务器掉线的目的。这种攻击方式虽然是针对外网服务器,但是它在攻击过程中需要向路由器发送大量的数据包,会直接导致路由器仅有的100M LAN口被“堵满”,因此其他局域网的计算机的请求无法提交到路由器进行处理,结果就产生局域网计算机全部“掉线”的现象。,DDOS攻击防御,防火墙只能抵御来自于外网的DDOS攻击,对内网发起的DDOS攻击却是无能为力。防火墙或路由器上可开启限制SYN、ICMP流量,可一定程度上减少DD
20、OS攻击对内网的影响。网内主机安装防木马软件,并经常升级木马特征库,以防止误中木马。在网内部署流量监控平台,监控所有网络设备的流量,及时发现异常流量,可帮助查出发起DDOS攻击的主机。通过抓包分析来确定发起DDOS攻击的主机。将内网划分成更小的广播域,有利于快速锁定发起DDOS攻击的主机。,网络窃听,在网络中,当信息进行传播的时候,可以利用工具,将网络接口设置在监听的模式,便可将网络中正在传播的信息截获或者捕获到。这种嗅探(Sniffer)技术是一种很重要的网络安全攻防技术。对黑客来说,通过网络窃听能以非常隐蔽的方式攫取网络中的大量敏感信息(如口令、专用的或者机密的信息、更高级别的访问权限、底
21、层的协议信息等),嗅探行为更难被察觉,也更容易操作。对安全管理人员来说,借助嗅探技术,可以对网络活动进行实时监控,并及时发现各种网络攻击行为。,共享式网络窃听,共享式网络,通过广播方式实现一对一通信。将网卡设置为混杂模式,即可进行网络窃听。,交换式网络窃听,交换式网络,管理员可采用端口镜像方式进行网络窃听。非管理员可采用ARP欺骗、交换机MAC地址表溢出、MAC地址伪造或ICMP重定向等手段捕获数据包进行网络窃听。,网络窃听防御,网内所有主机都安装防病毒、防木马软件,并经常更新病毒库与木马特征库,防止被黑客远程控制进行网络窃听。Telnet服务以明文的方式传输用户名及口令,用SSH服务代替Telnet服务,有效防止对Telnet口令的窃听。使用静态ARP,与网关设备双向绑定,防止ARP欺骗攻击。对于怀疑运行监听程序的计算机,用正确的IP地址和错误的物理地址ping,运行监听程序的计算机会有响应。使用反监听工具如antisniffer等进行检测。少用Hub,Sniffer无法穿过交换机与路由器。网络分段越细,则安全程度越大。将内网划分成更小的广播域,有利于防止网络窃听。在网内部署流量监控平台,监控所有网络设备的流量,及时发现异常流量,帮助锁定网络窃听主机。,个人计算机使用安全,谢谢!,谢 谢!,
