>>>>>>>>>>点击进入2016年系统分析师考试网络课堂
>>>>>>>>>>点击进入2016年系统分析师考试大纲和教程
网络管理
网络管理和监控系统是整个网络安全防护手段中的重要部分,网络管理应该遵循SDLC(生命周期)的原则,从网络架构前期规划、网络架构开发建设到网络架构运行维护、网络架构系统废弃都应全面考虑安全问题,这样才能够全面分析网络系统存在的风险。应考虑的安全点主要有:
1.网络设备网管软件的部署和网络安全网管软件的部署;部署监控软件对内部网络的状态、网络行为和通信内容进行实时有效的监控,既包括对网络内部的计算机违规操作、恶意攻击行为、恶意代码传播等现象进行有效地发现和阻断,又包括对网络进行的安全漏洞评估。
2.确认网络安全技术人员是否定期通过强加密通道进行远程登录监控网络状况。
3.应尽可能加强网络设备的安全管理方式,例如应使用SSH代替Telnet,使用HTTPS代替HTTP,并且限定远程登录的超时时间、远程管理的用户数量、远程管理的终端IP地址,同时进行严格的身份认证和访问权限的授予,并在配置完后,立刻关闭此类远程连接;应尽可能避免使用SNMP协议进行管理。如果的确需要,应使用V3版本替代V1、V2版本,并启用MD5等验证功能。进行远程管理时,应设置控制口和远程登录口的超时时间,让控制口和远程登录口在空闲一定时间后自动断开。
4.及时监视、收集网络以及安全设备生产厂商公布的软件以及补丁更新,要求下载补丁程序的站点必须是相应的站点,并对更新软件或补丁进行评测,在获得信息安全工作组的批准下,对生产环境实施软件更新或者补丁安装。
5.应立即提醒信息安全工作组任何可能影响网络正常运行的漏洞,并及时评测对漏洞采取的对策,在获得信息安全工作组的批准的情况下,对生产环境实施评测过的对策,并将整个过程记录备案。
6.应充分考虑设备认证、用户认证等认证机制,以便在网络建设时采取相应的安全措施。
7.应定期提交安全事件和相关问题的管理报告,以备管理层检查,以及方便安全策略、预警信息的顺利下发。检测和告警信息的及时上报,保证响应流程的快速、准确而有效。
8.系统开发建设人员在网络建设时应严格按照网络规划中的设计进行实施,需要变更部分,应在专业人士的配合下,经过严格的变更设计方案论证方可进行。
9.网络建设的过程中,应严格按照实施计划进行,并对每一步实施,都进行详细记录,最终形成实施报告。
10.网络建设完成投入使用前,应对所有组件包括设备、服务或应用进行连通性测试、性能测试、安全性测试,并做详细记录,最终形成测试报告。测试机构应由专业的信息安全测试机构或第三方安全咨询机构进行。
11.应对日常运维、监控、配置管理和变更管理在职责上进行分离,由不同的人员负责。12.应制订网络设备日志的管理制定,对于日志功能的启用、日志记录的内容、日志的管理形式、日志的审查分析做明确的规定。对于重要网络设备,应建立集中的日志管理服务器,实现对重要网络设备日志的统一管理,以利于对网络设备日志的审查分析。
13.应保证各设备的系统日志处于运行状态,每两周对日志做一次全面的分析,对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时应及时向信息安全工作组报告。
14.对防火墙管理必须经过安全认证,所有的认证过程都应记录。认证机制应综合使用多种认证方式,如密码认证、令牌认证、会话认证、特定IP地址认证等。
15.应设置可以管理防火墙的IP范围,对登录防火墙管理界面的权限进行严格限制。16.在防火墙和入侵检测系统联动的情况下,最好是手工方式启用联动策略,以避免因入侵检测系统误报造成正常访问被阻断。
17.部署安全日志审计系统。安全日志审计是指对网络系统中的网络设备、网络流量、
运行状况等进行全面的监测、分析、评估,通过这些记录来检查、发现系统或用户行为中的入侵或异常。目前的审计系统可以实现安全审计数据的输入、查询、统计等功能。
18.安全审计内容包括操作系统的审计、应用系统的审计、设备审计、网络应用的审计等。操作系统的审计、应用系统的审计以及网络应用的审计等内容本文不再赘述。在此仅介绍网络设备中路由器的审计内容:操作系统软件版本、路由器负载、登录密码有无遗漏,enable密码、telnet地址限制、HTTP安全限制、SNMP有无安全隐患;是否关闭无用服务;必要的端口设置、Cisco发现协议(CDP协议);是否已修改了缺省旗标(BANNER)、日志是否开启、是否符合设置RPF的条件、设置防SYN攻击、使用CAR(ControlAccessRate)限制ICMP包流量;设置SYN数据包流量控制(非核心节点)。
19.通过检查性审计和攻击性审计两种方式分别对网络系统进行全面审计。20.应对网络设备物理端口、CPU、内存等硬件方面的性能和功能进行监控和管理。
1、系统维护中心批准后,根据实际应用情况提出接入需求和方案,向信息安全工作组提交接入申请;
2、由申请人进行非上线实施测试,并配置其安全策略;
3、信息安全员对安全配置进行确认,检查安全配置是否安全,若安全则进入下一步,否则重新进行配置。
21.网络设备废弃的安全考虑应有一套完整的流程,防止废弃影响到网络运行的稳定。任何网络设备的废弃都应进行记录备案,记录内容应包括废弃人、废弃时间、废弃原因等。
相关链接:
软考不知道考啥科目?扫码测最适合你的报考科目
通关资源:软考各科历年真题 | 各科学习资料汇总 | 在线试题库【点击刷题】
免费课程:系统架构设计师报考指南 | 2026年高项备考指导课及精讲试听
热门活动: 春节不打烊 海量课程免费畅学
