搜索
2020/2/221技术交流“一机两用”监控及补丁分发系统2020/2/222主要内容“一机两用”监控系统基础知识“一机两用”监控系统操作补丁分发系统基础知识2020/2/223“一机两用”监控系统基础知识◆哪些行为属于“一机两用”行为◆“一机两用”行为的危害◆“一机两用”监控系统的管理结构2020/2/224全国“一机两用”监测系统什么是“一机两用”行为指公安信息网内计算机设备,同时连接公安网和互联网(所有非公安信息网)或断开公安网连接互联网(所有非公安信息网)的操作,包括存放公安涉密信息的计算机单独接入互联网(所有非公安信息网)的操作。表现方式:一贯性连接、间断间续性连接等。互联网接入方式包括:Modem拨号、ADSL拨号、双网卡、网关代理、路由、手机上网等方式。2020/2/225—什么是“一机两用”行为—连接表现互联网双网卡同时连接内外网电话拨号接入互联网公安信息网互联网办公网一机两用离线接入互联网一机两用2020/2/226公安信息网公安网用户公安网用户一机两用互联网用户文件失泄密电子邮件泄密互联网“一机两用”行为导致了公安网同互联网的物理连接,是造成重要机密文件泄密的可能性原因之一。“一机两用”行为的危害:文件泄密2020/2/227公安信息网上的“一机两用”行为导致互联网上黑客攻击,使公安网络、计算机、信息遭受破坏。互联网黑客一机两用“一机两用”行为的危害:黑客攻击公安信息网互联网服务器瘫痪黑客攻击2020/2/228公安网用户公安网用户病毒制造者一机两用一机两用公安信息网上的“一机两用”行为导致互联网病毒、蠕虫、木马直接入侵公安网。“一机两用”行为的危害:病毒感染公安信息网互联网2020/2/229各级领导和干警对“一机两用”的严重后果认识不足,管理上不重视,违规行为不断发生。没有专门的机构和人员从事日常的“一机两用”监控工作,处罚措施不得力。各地对一机两用行为的监控存在技术和管理的差异,导致公安信息网的整体防范存在漏洞。公安信息网“一机两用”管理现状2020/2/2210全国“一机两用”监测系统构架和功能在部、省、市(地)三级信息中心建立“一机两用”监测系统,对所有联入公安信息网计算机设备的“一机两用”行为进行实时监控和阻断,强化对全国公安信息网边界的监控。公安部监控平台(国家级)公安厅监控平台(省级)公安局监控平台(市级)“一机两用”全国监测系统构架:2020/2/2211公安部公安局公安厅公安厅市监控平台“一机两用”全国三级监测系统部署构架公安部公安厅公安局公安厅公安局公安局—全国“一机两用”监测系统构架和功能—构架省监控平台(省级总控)部监控平台(部级总控)2020/2/2212公安部公安局公安厅公安厅部监控平台(部级总控)省监控平台(省级总控)市监控平台全国“一机两用”监测系统集中监控管理公安部公安厅公安局公安厅公安局公安局—全国“一机两用”监测系统构架和功能—构架安全信息安全信息2020/2/2213“一机两用”监控“一机两用”阻断病毒检测定位设备登记注册违规联网报警“一机两用”监测—全国“一机两用”监测系统构架和功能—功能2020/2/2214互联网双网卡同时连接电话拨号接入公安信息网互联网实时监控扫描监控“一机两用”监控:实时检测公安网中存在的同互联网连接的计算机,及时发现“一机两用”行为并作详细记录。—全国“一机两用”监测系统构架和功能—功能报警数据上报2020/2/2215互联网互联网办公网实时监控扫描监控公安信息网监控平台一机两用实时监控告警扫描阻断“一机两用”阻断:发现违规计算机后,自动阻断违规其非法联网行为,同时向管理中心上报违规记录。—全国“一机两用”监测系统构架和功能—功能2020/2/2216违规联网报警:发现违规行为后在控制台报警,并逐级报送给上级管理台。公安部公安局公安厅公安局部监控平台省监控平台市监控平台一机两用注册设备违规行为告警报警数据阻断—全国“一机两用”监测系统构架和功能—功能2020/2/2217公安信息网监控平台公安信息网管理信息库设备登记注册:自动扫描发现网络中存在的网络设备,支持用户手动或系统自动注册。(一)区域注册—全国“一机两用”监测系统构架和功能—功能2020/2/2218公安部公安局公安厅公安厅公安局部监控平台省监控平台市监控平台设备注册公安部公安局(二)全国注册—全国“一机两用”监测系统构架和功能—功能2020/2/2219公安部公安局公安厅公安局部监控平台省监控平台市监控平台未注册设备注册设备报警数据阻断—全国“一机两用”监测系统—未注册管理扫描检测未注册计算机定位:时时发现未注册设备,并对该设备进行阻断与公安信息网隔离,使其无法联入公安信息网络中。2020/2/2220病毒检测定位:搜索网络注册客户端系统是否有病毒、木马等运行进程,并能够定位病毒源计算机。病毒制造者一机两用公安信息网病毒信息定位汇总监控平台互联网病毒检测—全国“一机两用”监测系统构架和功能—功能2020/2/2221全国“一机两用”监控系统民警使用操作注意事项(注:提供注释的功能项为管理员专用,其他民警需要了解)2020/2/2222目录客户端注册需填写内容说明(以下为管理员专用)审核重新注册的设备信息处理被保护的设备系统变更介绍2020/2/2223注册需填写内容说明序号填写项说明必填项1.使用人填写计算机使用者或负责人的姓名不允许填写单位名等非姓名名称,如:值班室2.单位名称填写使用人所在单位,如:“信息通信局”要求按照CA编码规则中的要求填写3.部门名称填写使用者所属部门名称,如:“网络安全处”要求按照CA编码规则中的要求填写4.设备安装位置填写计算机所在地,包括楼号、房间号5.联系电话填写使用人的联系电话6.设备类型用户按类型从操作系统库中做统计7.警种由用户从列表中选择,分类见附表8.是否属于基层科所队由用户从列表中选择,分为是和否两种选填项9.电子邮件使用人的公安网电子邮件地址10.备注设备的其它需要说明的信息2020/2/2224设备注册根据各地一机两用服务器地址下载注册机,进行注册.http://*.*.*.*/vrveis/download/deviceregist.exe2020/2/2225审核重新注册的设备信息审核重新注册设备信息的准确性对不准确的信息可以通过以下3种方法处理:1)通过终端控制来强制修改在线设备的注册信息2)通过发送重新注册的提示消息来要求用户纠正注册信息3)现场协助用户重新注册2020/2/2226处理被保护的设备序号填写项说明必填项1单位名称填写使用人所在单位,如:“信息通信处”2部门名称填写使用者所属部门名称,如:“网络安全科”3使用人填写计算机使用者或负责人的姓名不允许填写单位名等非姓名名称,如:值班室4联系电话填写使用人的联系电话5设备类型用户按该设备的实际用途从下拉列表中选择选填项6注释可填写设备的品牌及型号等信息,设备类型选“其它”的要在此注明具体用途被保护设备需完善下列信息:2020/2/2227为了降低违规外联行为对公安网络产生的安全威胁,新的违规外联行为处理办法修改为以下方式:当客户端探头检测到计算机发生违规外联行为时,就会立即锁定计算机的网络功能,并在2分钟后关闭计算机,计算机重新启动后需要由管理员为计算机解锁,才可以再接入网络。系统变更-违规外联行为的永久阻断2020/2/2228系统变更–系统定义组2被阻断组:被管理员设置为手工阻断的设备。今天注册设备阻:显示今天从0点至当前时间的注册设备黑名单设备:该组设备不参与条件查询长时间未使用设备:超过180天未使用的设备IP重复设备MAC重复设备2020/2/2229IP/MAC绑定对管理范围内的IP、MAC地址实施绑定可通过两种方式来实现。设备接入管理的IP、MAC绑定列表策略管理中心安全策略中的IP、MAC绑定策略2020/2/2230IP/MAC绑定列表根据基准列表中的IP、MAC地址对来判断IP或MAC地址是否发生绑定改变,一旦发现绑定改变即可对目标计算机执行阻断。通过修改或删除IP、MAC绑定列表中的记录来达到变更或取消绑定的目的。特点:可对IP、MAC地址进行一对一、一对多的绑定;可对网络中所有IP或MAC进行绑定,不论目标设备是注册或者未注册;发现改变即会产生报警,便于管理员发现和解决网络地址配置不当引起的问题。2020/2/2231目前系统存在的问题1、技术方面:新入网设备的监测和控制策略不够严格;数据的核查操作不够方便;注册进程的稳定性不够。2、管理方面:监控系统管理员配备不到位,日常运行工作缺位;系统中大量的不明设备不能及时核实;系统中大量的无效数据不能及时清理。2020/2/2232补丁分发系统基础知识2020/2/2233什么是操作系统漏洞?漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。补丁相关知识介绍2020/2/2234系统漏洞的产生原因?1.编程人员的人为因素,在程序编写过程中,为实现不可告人的目的,在程序代码的隐蔽处保留后门;2.受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升;3.由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。2020/2/2235系统漏洞的危害?1.漏洞可能会导致网内计算机被轻易入侵,造成重要机密文件泄密。2.漏洞可能会导致网络攻击型病毒在内网迅速传播等不安全因素的存在。3.漏洞可能会导致部分应用无法正常运行。2020/2/2236什么是补丁?补丁,顾名思义就是用来修补漏洞的程序,针对特定软件上存在的漏洞和缺陷而对该软件进行加强或升级的附属文件。2020/2/2237微软补丁分类1.Hotfix:是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序。2.SP:ServicePack的缩写,意即补丁包。Hotfix是针对某一个问题的单一补丁,SP包含SP发布日期前的所有Hotfix补丁。2020/2/2238微软补丁命名补丁程序文件名有严格的规定,一般格式如下:“产品名-KBXXXXXX-处理器平台-语言版本.exe”。如微软针对震荡波病毒而发布的补丁:“Win2K-KB835732-X86-CHS.exe”。2020/2/2239建立部、省、市三级补丁分发管理系统,将补丁管理系统和补丁库部署到部级、省级和地、市级的补丁管理服务器,在全国公安信息网上实现统一的微软操作系统补丁库维护、更新、管理和自动分发机制,为各级信息系统和联网计算机提供补丁自动分发服务,以利于各级信息中心准确、及时地掌握最新的漏洞信息并进行修补。补丁系统简介2020/2/22401.公安信息网补丁源统一;2.避免各地公安信息网自行下载、测试补丁所带来的大量重复工作;3.避免部分用户安装可能带来危害的补丁(包括“假”补丁)进入公安信息网;4.避免部分用户在外网打补丁的现象。多级级联补丁系统的特点2020/2/2241二、补丁分发管理系统构架2020/2/2242补丁系统级联管理构架公安部信息中心省公安厅信息中心省公安厅信息中心市公安局信息中心市公安局信息中心市公安局信息中心市公安局信息中心一级管理节点二级管理节点三级管理节点补丁、策略、命令和软件下发统计、报警和各种状态信息上报图例客户端客户端客户端客户端客户端客户端客户端客户端客户端客户端客户端客户端客户端节点客户端客户端客户端客户端客户端客户端客户端客户端客户端统计、报警信息上报2.1系统结构图2020/2/2243使用端口1.客户端:22105(TCP/UDP)2.服务器端:88(备用188,TCP)3.上下级级联端口:使用80转换的情况下:80(TCP)未使用80转换的情况下:2388、2399(TCP)1.Vrvanywhere:8800,8900(TCP)2020/2/2244客户端驻留程序1.Watchclient.exe客户