网络安全攻防预案.docx

网络安全攻防预案 网络安全的重要性 网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快越来越重要。网络安全就是指网络系统的硬件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、篡改、泄露，系统连续可靠正常地运行，网络服务不被中断。 计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私，因此成为敌对势力、不法分子的攻击目标。? ?随着计算机系统功能的日益完善和速度的不断提高，系统组成越来越复杂，系统规模越来越大，特别是Internet的迅速发展，存取控制、逻辑连接数量不断增加，软件规模空前膨胀，任何隐含的缺陷、失误都能造成巨大损失。? 人们对计算机系统的需求在不断扩大，这类需求在许多方面都是不可逆转，不可替代的，而计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间，核辐射环境等等，这些环境都比机房恶劣，出错率和故障的增多必将导致可靠性和安全性的降低。? 随着计算机系统的广泛应用，各类应用人员队伍迅速发展壮大，教育和培训却往往跟不上知识更新的需要，操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。 网络安全事件 网络与信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个类别。 （1）有害程序事件包括：计算机病毒、计算机蠕虫、计算机木马、僵尸网络、混合攻击程序、网页内嵌恶意代码和其它有害程序等事件。 （2）网络攻击事件包括：拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和其它网络攻击等事件。 （3）信息破坏事件包括：信息篡改、信息假冒、信息泄露、信息窃取、信息丢失和其它信息破坏等事件。 （4）信息内容安全事件包括：通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作、讨论敏感问题，并危害国家安全、社会稳定和公众利益的事件。 （5）设备设施故障事件包括：软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障等事件。 （6）灾害性事件包括：水灾、台风、地震、雷击、火灾、恐怖袭击、战争等不可抗力因素对网络及信息系统造成的物理破坏导致的事件。 （7）其他信息安全事件：不能归为以上类别分类且造成影响或后果较为严重的信息安全事件。 机房防御措施 针对本次网络安全攻防演练我方准备的防御措施有以下几点： 我方机房部署的网络安全设备将实时对日志、带宽进行分析，以便第一时间发现异常流量信息并进行封堵。 机房部署的深信服防火墙将安全特征识别库更新至必威体育精装版版本，全面开启对网络安全防护。 将各个设备管理员账号及密码修改为强口令，对设备进行检查、维护，开启服务器系统防火墙。 将不必要端口进行封堵，以免被攻击受到损失。 网络设备开启ACL策略，防止受到网络攻击。 防火墙业务防护优化策略 序号 涉及模块 检查项目 操作 1 漏洞攻击 防护模块 所有对外发布的业务（包括网 站和其他系统）是否已完成策略防护 所有经过防火墙对外发布的业务都在漏洞攻击防护策略防护范围内 2 策略防护内容需要选择正确， 不宜全选，会导致很多误判 大致有两种情况： 情况一：防护的业务系统无法上网，选择 “保护服务器”和“口令暴力破解”两项； 情况二：防护的业务系统可以上网，选择 “保护服务器”、“口令暴力破解”两项， 同时再建立一条服务器所在网段内网到外网方向的“恶意软件”防护项 3 确保非标准80 端口的IPS 防 护，在IPS 的识别防护范围内 业务梳理有非标准80 端口的网站情况， 需要把非标准80 端口的漏洞防护进行自定义添加 4 应用控制 模块 对外发布业务遵循权限最小化 原则，需要对外发布什么业 务，就只开放什么端口 根据业务收集的信息，每个业务系统开放了哪些端口，在防火墙上就放通什么端口，未明确对外开放的，全部拦截 5 有上网权限的业务系统，指定访问的目的，需要访问外网什 么地址，就开放什么地址权限 根据前期业务收集的信息，业务系统有上网权限的，明确需要访问什么外网什么地址或者服务，进行有针对性开放 ，非指定范围内的外网地址或者服务，全部拦截 6 地域访问 控制 业务系统只接收需要服务地域的访问请求 根据业务收集的信息，明确业务系统需要提供服务的区域，非需要提供服务区域的访问请求，全部拦截 上网主机策略调优 序号 涉及模块 检查项目 检查要求 1 僵尸网络 所有具备上网权限的终端，都需要开启僵尸网络防护功能 正常情况，要求所有经过防火墙对外发布的网站都需要在waf策略防护范围内 2 IPS模块 所有需要防护的主机，是否已完成策略防护 正常情况，要求所有经过防火墙上网的数据，都需要