安全运营
安全运营必须是资源、流程和管理的有效结合
基本条件
- 业务连续性计划的目标:在紧急情况下提供快速、沉着和有效的响应,从而增强企业从破坏性事件恢复过来的能力。
业务连续性计划的基本步骤:
1.项目范围和计划编制
2.业务影响评估
3.连续性计划编制
4.BCP文档化
BCP文档内容
- 连续性计划的目标
- 重要性声明
- 组织职责的声明
- 紧急程度和时限声明
- 风险评估
- 可接受的风险/风险调解
- 重大记录计划
- 响应紧急事件的指导原则
- 维护
- 测试和演习
数据监控
主动收集
安全扫描
工作内容:
- 系统公开的端口号
- 系统中存在的安全漏洞
- 是否存在弱口令
- SQL注入漏洞
- 跨站脚本漏洞
工作输出 - 扫描工具生成结果
人工审计
工作内容:
- 安全专家对包括主机系统、业务系统、数据库、网络设备、安全设备等在内的系统目标系统进行人工检查
- 检查的内容可能有:是否安装最新补丁、是否使用服务最小化原则、是否开启了不必要的服务和端口、防火墙配置策略是否正确
渗透测试
渗透测试流程
- 信息收集、分析
- 指定渗透方案、实施准备
- 前端信息汇报、分析
- 提升权限、渗透实施
- 渗透结果总结
- 输出渗透测试报告
- 提出安全解决建议
问卷调查
- 调查对象:网络系统管理员、安全管理员、技术负责人等
- 调查内容:内容、资产、威胁、脆弱性
- 设计原:完整性、具体性、简洁性、一致性
访谈调研
被动获取
抓包
命令行:查看OSPF邻居建立过程
端口镜像
指设备复制从镜像端口流经的报文传送到指定观察端口进行分析和监控
网络设备日志
- 系统日志(版本下载失败、邻居改变、用户登陆失败)
- 业务日志(攻击类型、被什么攻击了)
- 告警信息(地址冲突、地址被占用
- 操作系统日志
日志分析要点
Who:用户、访客
When:时间
Where:位置、设备、接口、服务
How:有线、无线、VPN
What:行为、设备类型、资源
网络安全应急响应
国家网络安全事件等级分类
网络安全应急响应形式
- 远程应急响应:电话、邮件、传真
- 本地应急响应:应急响应组第一时间赶事发地点
网络安全应急响应流程图
- 准备阶段:对安全事件进行评估,制定相应措施
- 检测阶段:日常运维监控
- 抑制阶段:先制攻击范围,同时限制潜在的损失和破坏
- 根除阶段:找出事件并根除
- 恢复阶段:对破坏的网络进行恢复配置
- 总结阶段:总结教训
防火墙双机热备技术
路由器冗余部署方案
VGMP原理
- 当防火墙的VGMP为Active/Standby状态时,组内所有VRRP备份组的状态统一为Active/Standby状态
- 状态为Active的VGMP也会定期向对端发送HELLO报文,通知Standby端本身的运行状态
VGMP组管理
- 状态统一切换
- 会抢占主设备
HRP
HRP协议,用于实现防火墙双机之间动态状态数据和关键配置命令的配置命令的备份
HRP心跳接口
两台FW之间备份的数据通过心跳口发送和接收的,是通过心跳链路传输的
- 心跳口必须是状态独立且具有IP地址的接口(G0/0/0不行)