安全系统运维管理培训手册-v3.4

国家安全生产信息系统 国家安全生产信息系统 金安金安 工程 一期项目培训系列教材工程 一期项目培训系列教材 安全系统运维管理培训手册安全系统运维管理培训手册 编号 安全类 JA AQ 2010 金安金安 工程一期项目办公室工程一期项目办公室 审核 审核 国家安全监管总局通信信息中心国家安全监管总局通信信息中心 编制 编制 网御神州科技 北京 有限公司网御神州科技 北京 有限公司 2010 年年 01 月月 北京北京 国家安全生产信息系统 金安 工程一期 项目培训系列教材 2 前 言 国家安全生产信息系统 金安 工程 一期项目安全系统的建设目标是以 工程总体建设目标为指导 对国家安全生产监督管理总局及地市级煤监 安监 局进行安全域划分 并在各安全域实现边界访问控制等安全保障措施 从国家 安全生产信息系统的实际情况出发 以网络安全建设与主机安全建设为主 合 理划分区域 明确各个区域的边界和保护措施 在划分区域和实施边界保护措施的同时 实施区域内部的关键安全保护措 施 在实践中不断细化安全建设措施 确保业务系统的正常运行 为后续开展 的网络安全建设提供合理化建议 同时为建立信任和授权体系的建设创造一个 良好的环境 为使各地市级煤监 安监局网络管理人员具备对安全系统所属产品进行日 常运维 及在产品出现异常后具备简单的故障排除能力 特编制本培训文档 网管人员可依照此文档 对安全系统各产品进行简单维护和故障处理 当在维 护过程中发现问题较严重或判断问题将对整体系统造成较大威胁时 网管人员 可向安全产品厂商寻求帮助 安全系统运维管理培训手册 3 目目 录录 1安全系统介绍 2 1 1安全域划分 2 1 2安全产品部署说明 2 2安全策略说明 2 2 1边界及网络区域安全 2 2 2主机及应用环境安全 2 3安全产品维护指南 2 4安全产品故障排除简介 2 5未完成节点 VPN 接入方式说明 2 国家安全生产信息系统 金安 工程一期 项目培训系列教材 4 1 安全系统介绍 金安 工程一期项目各地市级煤监 安监局网络分为专网和内网两部分 专网为本期工程所建网络 内网为涉密网 不在项目建设范围内 地市级煤监 安监局网络安全拓扑结构如下图所示 图 1 1 安全拓扑结构图 1 互联设备 地市级煤监 安监局专网包括了上联至本省级局的路由器 防火墙及交换 机 防火墙对来自省级局的访问行为进行控制 交换机为本地用户提供接入端 口 2 终端防病毒 地市级煤监 安监局的专网网络的办公人员在获得信息资源的同时 也面 临着大量计算机病毒的威胁 为了有效切断病毒的传输途径 保护重要信息资源 需要建立完善的 能 够完成软件自动升级 集中配置和管理 统一事件和告警处理的防病毒系统 安全系统运维管理培训手册 5 所以在国家安全生产监督管理总局建立病毒防护中心 同时 在省局部属瑞星 防病毒系统二级中心 在地市局部属瑞星防病毒系统三级中心 与国家安监总 局共同构成有效的防病毒系统 最终利用防病毒系统强大的管理功能在国家安 全生产信息系统 金安 工程 一期项目实现全网集中统一的防杀病毒策略 3 终端安全管理 在地市级煤监 安监局网络中 桌面系统是重要的组成部分 即工作人员 从事日常操作的工作 PC 终端 桌面系统的安全将直接影响办公系统的安全 在办公系统中还存在着大量的 重要的生产数据及业务信息 如果信息泄漏 会造成重大的损失 另外 办公系统与互联网连接 工作人员大量访问因特网 还会影响日常工作效率 外来人员接入办公系统 还可以盗窃机密信息 破坏 信息系统 传播病毒等 桌面管理技术可以对办公终端提供安全防护 最大限 度的防止受保护的敏感信息被不法分子非法或违规的入侵 外传 破坏和拷贝 监控内网用户的网络访问行为 防止内网用户对信息系统的损害 同时针对不 断发现的操作系统及工具软件的漏洞 及时打补丁 4 移动 VPN 客户端 为各地市局移动办公人员通过外部网络登录 金安 专网提供安全保障 以 便办公人员完成对安全生产相关信息的调用 上报 整理等操作 关于 VPN 接 入的部署说明详见第 5 章内容 1 1 安全域划分 依据信息系统划分原则 地市级煤监 安监局节点划分为业务区和办公区 两个区域 具体说明如下 1 业务区域 按等保二级网络要求建设该区域网络环境 该区域包括 业务服务器子区 域 安全管理子区域 2 办公区域 国家安全生产信息系统 金安 工程一期 项目培训系列教材 6 按等保二级网络要求建设该区域网络环境 该区域为办公终端区域 1 2 安全产品部署说明 金安 工程一期项目中各地市煤监 安监单位采购的安全产品如下表所示 序号序号节点类别节点类别安全产品名称安全产品名称部署位置部署位置 产品数量产品数量 单位 台 单位 台 套 套 说明说明 1网神防火墙专网边界1 2 北信源内网安全管 理及补丁分发系统 服务器区及客户端 服务器 1 客户端 实际 人员编制数量 3瑞星防病毒系统服务器区及客户端 服务器 1 客户端 实际 人员编制数量 4 地市局地市局 安盟硬件 U KEY移动终端20 后期进行调整 改为无 U KEY 方式登录 表格 1 1 安全产品采购表 2 安全策略说明 地市级节点的安全策略分为边界及网络区域安全 主机及应用环境安全两 个方面 2 1 边界及网络区域安全 在地市级节点网络中 需要对传输网出口位置采取部署防火墙的方式实现 访问控制 安全系统运维管理培训手册 7 专网出口专网出口 1 采用单机的方式部署防火墙 实现边界安全隔离 2 通过防火墙的访问控制功能实现端口级对数据流的访问控制能力 3 通过防火墙设置用户和系统之间的允许访问规则 保护局域网内的业 务资源 业务区域 办公区域业务区域 办公区域 1 通过该区域的交换机实现控制粒度为网段级的访问控制 实现根据会 话状态信息为数据流提供明确的允许 拒绝访问的能力 2 针对办公用户对业务区域的资源访问 通过业务区域边界的防火墙设 置访问规则 实现控制粒度为单个用户的访问控制 2 2 主机及应用环境安全 在地市级节点网络中 通过部署终端防病毒系统和终端安全管理系统实现 主机及应用环境的安全 终端防病毒终端防病毒 在地市级节点防病毒服务器上安装防病毒软件系统中心 并设置为隶属于 省局二级防病毒系统中心的三级管理中心 防病毒三级管理中心可以设置为通 过电子政务外网接收省局推送过来的升级包进行升级 终端安全管理终端安全管理 通过部署内网管理及补丁分发系统可达到终端防护的效果 将采取如下安 全策略 1 IP 和 MAC 地址的绑定 内部用户在对内网进行破坏之前 通常都会 修改 IP 地址 通过可信终端系统设置 IP 和 MAC 地址绑定 让每个 用户只能使用一个 IP 地址 避免对内网造成危害 2 非法主机内联网络发现及阻断机制 通过可信终端系统可杜绝非法外 国家安全生产信息系统 金安 工程一期 项目培训系列教材 8 联现象的发生 3 外设的控制和审计 采用可信终端系统对外设和打印等行为进行严密 的控制 确保通过该途径的信息泄密 4 自动登记受控终端的软硬件配置并对硬件变化产生审计 网管人员在 控制台的机器上 可以观察到各个机器的配置信息 方便了网管人员 的操作 并且在用户私自修改硬件配置时 控制台会有报警信息并会 产生相应的日志存储在数据库中 5 对计算机进程的控制和审计 恶意程序 非法程序在工作时可以显示 为进程 通过可信终端系统可以发现并控制该进程 6 安装和卸载控制 用户端的非法安装和卸载应用程序会对系统造成很 大的威胁 可信终端系统可以精确地对每一个客户端的安装和卸载进 行控制 7 集中的补丁管理 通过补丁的集中管理功能 免除网管人员每台机器 安装的工作量 3 安全产品维护指南 针对各安全产品的维护 建议网络管理人员采用每日检查的方式 各安全 产品的检查步骤及内容如下 请网管人员在执行下表内容后记录检查结果 并 保障安全产品稳定运行 编号编号产品产品 设备名称设备名称检查内容检查内容结果结果 1 瑞星杀毒软件 高级企业专 用版 1 服务器是否开机 服务器是否开机 默认 系统登录用户名 administrator 系统登录密码 如登陆名及密码改变 请各省维护人员牢记 正常 不正常 安全系统运维管理培训手册 9 编号编号产品产品 设备名称设备名称检查内容检查内容结果结果 2 服务器运行状态 服务器运行状态 登陆后 查看服务器是否出现死机或运行慢 的情况 正常 不正常 3 登录服务器 是否正常进入瑞星控制台 登录服务器 是否正常进入瑞星控制台 默认 控制台登录用户名 无 控制台登录密码 无 如登陆名及密码改变 请各省维护人员牢记 正常 不正常 4 检查防火墙功能是否开启 检查防火墙功能是否开启正常 不正常 5 检查瑞星病毒库文件是否已经更新至最新版 检查瑞星病毒库文件是否已经更新至最新版 本本 核对瑞星官方网站 上发 布的病毒库与本系统版本是否一致 正常 不正常 1 服务器是否开机 服务器是否开机 默认 系统登录用户名 administrator 系统登录密码 如登陆名及密码改变 请各省维护人员牢记 正常 不正常 2 服务器运行状态 服务器运行状态 登陆后 查看服务器是否出现死机或运行慢 的情况 正常 不正常 2 北信源可信终 端系统 3 登录服务器 是否可以通过 登录服务器 是否可以通过 WEB 方式正常方式正常 登录北信源控制台登录北信源控制台 登录网址 http 10 XX XX XX vrveis 进入 管理控制台 默认 正常 不正常 国家安全生产信息系统 金安 工程一期 项目培训系列教材 10 编号编号产品产品 设备名称设备名称检查内容检查内容结果结果 系统登录用户名 admin 系统登录密码 如登陆名及密码改变 请各省维护人员牢记 4 检查是否存在报警消息 检查是否存在报警消息正常 不正常 1 检查设备是否开机 指示灯是否有异常报警 检查设备是否开机 指示灯是否有异常报警正常 不正常 2 是否正常登录管理界面 是否正常登录管理界面 https 10 XX XX XX 8889 以上设备的默认 登录用户名 admin 登录密码 firewall 如登陆名及密码改变 请各省维护人员牢记 正常 不正常 2 进入管理界面后 查看 进入管理界面后 查看 CPU 及内存运行状及内存运行状 况 是否存在突发事件况 是否存在突发事件 正常 不正常 3网神防火墙 3 查看是否存在不正常的日志 查看是否存在不正常的日志正常 不正常 表格 3 1 安全产品维护记录表 4 安全产品故障排除简介 依照第 3 章内容 网络管理人员可完成对安全产品的检查工作 以下将简 要列举各安全产品在出现异常情况后的处理方法 对于较为严重的问题 请网 管人员与安全产品原厂商联系并寻求技术支持 注 各安全产品的故障处理 是建立在其正确部署和配置的基础之上的 注 各安全产品的故障处理 是建立在其正确部署和配置的基础之上的 对于产品在实施阶段中出现的问题 本文无法加以考虑 安全产品的故障诊断对于产品在实施阶段中出现的问题 本文无法加以考虑 安全产品的故障诊断 和简要排除方法如下 和简要排除方法如下 序号序号安全产品名称安全产品名称问题现象问题现象处理办法处理办法 安全系统运维管理培训手册 11 序号序号安全产品名称安全产品名称问题现象问题现象处理办法处理办法 1 硬件报警 检查是否发生断电情况 如重启后硬件指 示灯正常 可以启动并管理 2 无法使用终端 PC 机通过设备的网 口进行管理 检查终端 PC 机是否安装管理证书 检查管 理 IP 地址是否正确 检查网络是否可达1网神防火墙 3 业务应用不能实 现 查看安全规则表中的内容是否满足实际情 况要求 并确保不能随意改动 1 控制台无法登陆 查看服务器状态 服务器 IP 地址及路径 区域管理器是否开启 数据库是否启动 用户名及密码是否输入正确 2 登陆后无客户端 上线 查看扫描网段是否为本地规划的 IP 地址段2 北信源内网安全管 理及补丁分发系统 3 无法实现安全策 略 查看安全策略是否已正确配置并已生效 1 控制台无法登陆 查看服务器状态 服务器 IP 地址 数据库 是否启动 用户名及密码是否输入正确 2 无法升级病毒库 检查上级代理配置是否正确 上级控制中 心的 IP 地址是否配置正确 3 客户端防火墙未 开启 在客户端上右键 查看防火墙功能是否已 开启 3瑞星防病毒系统 4 客户端 监控 和 主动防御 为关闭 状态 在客户端上右键 查看 实时监控 和 主动 防御 功能是否已开启 表格 4 1 安全产品故障诊断与排除表 5 未完成节点 VPN 接入方式说明 为保证 金安 工程一期项目未完成建设节点启动应用系统的试运行工作 国家安全生产信息系统 金安 工程一期 项目培训系列教材 12 将通过本地互联网利用 VPN 客户端实现访问总局和各省局专网应用业务 金安 工程一期项目中使用 VPN 客户端接入专网的用户大致可以分为两类 一类是 截至目前尚未完成实施省份的用户 另一类为已完成集成实施的地市 级移动办公用户 为了保障应用系统按计划在全国范围内统一上线运行的需要 即针对 VPN 的每个客户端制定唯一的身份证书 网神 VPN 客户端的接入方案 说明如下 1 对于未完成建设的节点 省 市 县的安监人员需要通过 VPN 客户 端软件访问部署在总局的 VPN 网关进入专网访问应用系统