04降低网络安全风险.ppt

1、降低网络安全风险,通信处信息中心 二O一O年十一月,目录,一、小组概况 二、选题理由 三、现状调查 四、设定目标 五、原因分析 六、要因确认 七、制定对策 八、对策实施 九、效果检查 十、巩固措施 十一、下一步打算,组建时间 2010.3,注册编号: TX201003011 注册时间:2010.3,小组成员 7人,信息中心 QC小组,活动课题：降低网络安全风险,所在单位：长庆油田公司通信处信息中心,平均年龄 35岁,课题类型 攻关型,活动次数 12次,活动时间 2010.03-2010.11,TQC教育 人均32小时,1小组概况,1小组概况,小 组 成 员,2选题理由,3现状调查,通过近几年的

2、建设，油田计算机主干网络已经成为核心万兆互联，骨干网双2.5Gbps互联的冗余星型网络架构。网络带宽大幅提升，接入单位带宽达到千兆，单机网络带宽达到百兆以上，广域网带宽提高20倍以上，公网出口带宽达到3700M。随着网络系统处理性能及网络带宽的快速提升，网络安全压力剧增，网络安全风险急速增加。,1、公司主干网现状,3现状调查,P2P等应用充斥网络，大量占用有限的出口带宽，无法保证关键办公业务，也对其他增值业务的展开造成影响，网络资源消耗与产值的正比关系难以维持。由于无法了解流量具体组成情况，网络升级缺乏科学依据，可能造成升级频繁依然赶不上流量增长的速度。,（1）P2P带宽滥用，造成网络拥塞。,

3、（2）病毒攻击冲击网络，造成网络瘫痪。,来自内网的攻击流量冲击企业出口防火墙设备，占用有限的出口带宽，影响全网的业务应用，使出口防火墙的性能下降。 来自内网和外网的攻击影响内部重要业务的正常运行。,2、面临问题,4设定目标,根据网络使用现状及面临问题，本QC小组决定从以下两个方面来降低网络安全风险，确保油田各项网络业务的正常运行。,（2）实现对大于1M攻击流量的检测清洗。,（1）将办公时间的P2P流量占用率控制在不大于20%。,目标值制定依据：,通过调查分析结合长庆网络现状，在对网络影响最小情况下，现有的P2P控制技术最多只能将P2P流量占用率控制在不大于20%的范围内。,(2)当前网络攻击检

4、测手段能够检测清洗的攻击流量最小为1M。,5原因分析,P2P流量占用率高,攻击流量不能处理,培训不到位,学习能力不足,用户安全防范意识不足,无法正确识别网络流量,缺乏流量统计分析的基础数据,控制模式单一效率低下,缺乏流量清洗手段,设备安全性能不足,攻击技术更新快，安全事件频发,技术人员水平不足,6要因确认,确认一、培训不到位,对技术人员进行培训调查，发现相关网络技术人员都未经过理论与实践的系统培训和学习，培训不到位直接影响到人员技术水平无法迅速提高。 结论：培训不到位是主要原因。,6要因确认,确认二：人员学习能力不强,对相关技术人员人员情况进行调查发现，人员学历均为本科学历及以上。检查信息中心

5、其他培训考核记录发现，考试成绩均为合格及以上,并有自学通过网络技术考试的情况，说明技术人员学习能力比较强。 结论：人员学习能力不强不是主要原因。,6要因确认,通过对用户进行抽样调查发现，广泛存在重应用、轻安全的意识，个人PC不符合集团公司桌面安全管理规定，容易感染病毒，但由于用户数量大、分散等原因提高用户安全防范意识不是本QC小组解决能力范围之内。 结论：用户安全防范意识不足不是主要原因。,确认三、安全防范意识不足,确认四、无法识别网络流量,对主干网调查发现，只有出口防火墙具有基本流量识别能力，但流量识别不属于防火墙主要功能，识别方式单一，能力不均，存在大量网络流量无法识别的现象。 结论：无法

6、识别网络流量是主要原因。,6要因确认,通过网络现状调查发现缺乏内网流量历史统计数据，无法对网络流量进行综合统计与分析，各种应用及各类用户对网络带宽的占用情况不明，导致对网络安全风险无法进行有效识别。 结论：缺乏流量历史数据是主要原因,确认五、缺乏流量历史统计数据,确认六、流量控制手段单一,效率低下,目前主干网内流量控制手段仅限于路由器、交换机限速以及基本QoS保障策略的设置，这些手段只能基于IP与端口进行控制, 而作为带宽消费大户的P2P应用的特点是:通讯流量巨大、种类繁多、无固定服务端口、特征变化迅速、检测困难。因此现有的流控手段对这些应用的控制面临局限. 结论：控制模式单一是主要原因,6要

7、因确认,现有网络路由器交换设备安全功能不足，但设备安全功能属设备自带，属于不可更改因素。 结论：设备安全功能不足不是主要原因,确认七、缺乏流量清洗手段,确认八、设备安全功能不足,通过对网络调查发现，主干网层面缺乏对网络流量牵引、过滤及回注的过滤清洗手段。 结论：缺乏流量清洗手段是主要原因,6要因确认,确认九、攻击技术更新速度快，互联网安全事件频发,互联网飞速发展，攻击技术日新月异，各种安全事件频发。互联网安全环境恶劣，但这是当前互联网普遍存在的安全问题,为不可抗拒因素。 结论：攻击技术更新速度快不是主要原因.,7制定对策,8对策实施,实施一、加大培训力度,解决方法：针对目前中心技术人员流量优化

8、技术水平不足的现状，首先对部分技术人员送外培训到各网络安全设备厂商学习网络防护的相关知识和技术。其次每周进行内部专题培训，聘请网络安全设备厂家等专业技术人员对所有技术人员进行相关知识培训。最后积极开展技术人员间的相互交流活动进行技术及经验的共享。,8对策实施,培训及交流,效果评价：实施后，明显提高了技术人员流量优化技术水平。,8对策实施,8对策实施,实施二、识别网络流量,解决方法：,8对策实施,实施二、识别网络流量,解决方法： 我们在互联网出口处实行流量分光镜像，通过对流量的IP地址、源/目标端口、会话信息以及应用层数据的深入分析，继而进行特征值比对，可以识别L2到L7层的各种协议和应用， 目

9、前实现了对P2P、网络游戏、炒股软件、网络管理协议等等常用应用协议进行有效识别。 效果评价：经过现场检验，该措施实行后，已能识别大部分协议应用的网络流量。,8对策实施,实施二、识别网络流量,解决方法：在网管及其他相关设备上对带宽利用率，占用带宽最多的用户和应用类型等数据进行收集整理并以图表、报表等形式展现出来。 效果评价：实施后，流量可以进行统计分析，为网络规划、扩容等工作提供决策依据。,8对策实施,实施三、进行流量统计分析,解决方法：研究并应用新兴流量控制技术，采用流量分光镜像干扰包模式,在周一到周五工作时间段对用户P2P应用进行干扰，降低P2P在出口带宽的比例。,8对策实施,实施四、流量控

10、制,8对策实施,实施四、流量控制,效果评价：实施后，周一到周五7：30-23：00,P2P流量占总带宽比例不超过20%。,解决方法：研究并应用异常流量清洗技术，采用了国内独创使用的旁路部属BGP引流回注方式，根据长庆网络流量特点，使用上行流量策略引流，下行异常流量的BGP动态引流，清洗后回注的方式，保障了正常业务的安全应用，将病毒攻击等对数字化应用系统及用户的影响降低到了最小。 效果评价:通过异常流量清洗技术在西安网络核心的部署，已经实现了到数据中心、生产指挥中心、集团公司、互联网等业务方向网络数据的实时监测，能够自动监测发现网络中存在的异常攻击流量，并清洗过滤掉异常攻击流量，确保正常网络流量

11、不受影响，实现了核心层和接入层的网络安全防护，保障了生产业务的安全通畅，消除了潜在安全隐患。,8对策实施,实施四、研究流量清洗技术,8对策实施,监测中心,清洗中心,管理中心,服务器,攻击流量,正常流量,分析数据,安全策略,Internet,流量分光,路由策略,互联网对内网的攻击,8对策实施,监测中心,清洗中心,管理中心,Internet,流量分光,服务器,用户,用户,用户,用户,攻 击 流量,正 常 流量,清洗后流量,内网用户对服务器的攻击,9效果检查,(1)目标完成情况: 实施QC活动后，经过一段时间的运行，证明达到了QC小组原先设定的目标， 情况统计如表下所示 ：,案例说明： 油田内部某单

12、位网内单位用户千兆接入公司计算机主干网，因用户主机UDP-FLOOD攻击互联网主机造成，其所在单位网络几乎中断，流量清洗系统对攻击流量进行清洗，骨干网及互联网出口网络未受到影响，某病毒主机11日开始攻击网络，攻击流量达到200Mbps，13日关闭此主机后流量正常。,(2)社会效益: 本次QC活动采用的技术先进，很多在国内企业网属于开创性技术，异常流量清洗技术在国内企业网内属首先应用，采用的网络安全架构合理技术先进，很好的保障了油田生产及数字化管理系统的运行。,(3)自我评价 通过本次QC活动的实施，小组成员对其认识达到了从量变到质变的提高。,10巩固措施,向值班人员普及流量监测及统计方法，并将流量监测纳入日常值班监测管理工作中