电子政务网络故障处理和安全管理基础知识

电子政务网络故障处理和安全管理基础知识2019年8月1日一、电子政务网络技术架构二、网络常用命令和工具三、常见故障分析及处理四、安全基础五、安全管理目录通讯及联系方式市信息网络管理中心：办公电话：3088581电子邮箱：xxbkjj@163.com中心网站：www.bd.net.cn迈普工程师：田育鹏：15831444182一、电子政务网络技术架构（一）接入方式•横向网络横向网络节点百兆链路接入外联单位采用100M纯光纤方式接入（采用单纤双电口光纤收发器）；公务内网口为port1，外网口port0。•纵向网络省、市、县纵向网络采用SDH方式连接。•公务内网和公务外网及互联网物理隔离。光收发的外型及接口互联网各街道办和社区节点各小区用户终端数字电视网、电话、ADSL等方式横向连通政府各局办SiSi公务外网服务器区社区服务器组市信息网络管理中心省电子政务网络中心乡DDN接入纵向连通各县汇聚节点局级单位网络保定市公务外网、互联网接入拓扑结构图整体网络结构示意二、网络常用命令和工具（一）WINDOWS常用网络命令1.命令帮助：ping/?查看支持的参数扩展命令：pingx.x.x.x–t连续ping目标主机，直到按Ctrl+C停止Pingx.x.x.x–l1000指定测试包大小，默认为32字节，本例为1000字节包大小范围1-65500Pingx.x.x.x–s100指定发送测试包的数量，本例为100个Ping-l大包会造成网络延时，大延时对检测网络稳定性很有帮助。Ping-t不间断ping包。如，ping10.38.40.31–l2000–tping3.49.56.1–tpingwww.bdinfo.net2.Ipconfig/all查看所有网络连接的详细信息。3.Arp-a显示所有arpcatch中的数据。配合superscan的时候，会产生非常多的记录。别人扫描我，我也会有它的记录。-d删除（清空catch）-s10.38.40.200-aa-00-62-c6-09写静态对应（针对arp欺骗病毒）。4.Netstat-a显示所有网络服务（IP/端口）-r显示路由表信息，对应命令：routeprint。–n以数字形式显示当前连接–an查看侦听及当前TCP/UDP连接例：C:\DocumentsandSettings\zbnetstat-anActiveConnectionsProtoLocalAddressForeignAddressStateTCP0.0.0.0:250.0.0.0:0LISTENINGTCP0.0.0.0:1350.0.0.0:0LISTENINGTCP0.0.0.0:4450.0.0.0:0LISTENINGTCP0.0.0.0:10250.0.0.0:0LISTENINGTCP0.0.0.0:10260.0.0.0:0LISTENINGTCP0.0.0.0:10280.0.0.0:0LISTENINGTCP202.206.0.142:1461121.22.154.178:3077ESTABLISHEDTCP202.206.0.142:1462121.22.154.178:3077ESTABLISHEDTCP202.206.0.142:160461.55.209.233:3077ESTABLISHED5.路由跟踪命令tracertwww.sohu.com6.pathping除了显示路由外，还提供一个时间段的分析，计算丢失包的百分比。7.netsh命令接口8.route命令printadd[desnet]mask[mask][gateway]{METRIC[]IF[]}delete[desnet]change9.ftp&telnet主动ftp和被动ftptelnetwww.sohu.com80telnetpop3.126.com25有很多ftp和telnet的工具，也可用命令行方式测试。10.Nslookup测试DNS服务工具（命令行方式）命令格式：nslookup进入域名查询提示符www.hbu.cn输入域名，域名服务器返回对应的IP信息例：www.baidu.comServer:UnKnownAddress:219.148.103.1Non-authoritativeanswer:Name:www.a.shifen.comAddresses:202.108.22.43,202.108.22.5Aliases:www.baidu.com此命令可此初步测试dns是否正常。(二)网管&工具1.扫描器superscan局域网全网段扫描服务端口扫描2.嗅探器snifferandethereal抓包分析工具3.SolarWindsSNMP管理工具4.NViewRaisecom公司的光纤收发器管理软件注：Ethereal从linux系统移植来，需要一个底层抓包库的支持。三、常见网络故障分析及处理1、处理问题的一般方法和步骤•收集有用信息，分析故障现象；•确定故障环节；•分析硬故障还是软故障；•尝试修复；•验证故障并排除。2、网络故障简单分类•网络不通•网速慢•网络时通时断•某些网络应用无法使用•纵向网链路不通•路由不可达3.1收集信息：Ipconfig/all看自己的ip/mac和网关？Ping网关通不通？Arp看下自己网关的mac对不对？同一交换机（hub）下能否互通？上连物理链路是否正常？线路接头是否虚接？光纤收发器是否正常？Etc…3、网络不通时的故障处理3.2根据收集的信息确定故障环节如，光纤链路异常；光纤收发器工作异常；交换机工作异常；局域网ip地址冲突；局域网病毒；路由中断；DNS服务器不通。3.3尝试修复并排除故障（光纤）链路故障——重启光纤收发器；主机直接连接光纤收发器，ping网关通否；检查连接设备的网线。交换机等设备故障——更换（交换机）上连端口；更换设备；检查网线。局域网故障——分析网关信息是否异常；是否有地址冲突；是否有病毒。路由故障——trace路由，查看路由信息。应用类故障——nslookup查看DNS服务器是否正常。3.4验证是否正常4、网速慢或网络时通时断此两类问题都有可能是设备负载严重、链路拥塞、网络病毒爆发等原因造成：可通过trace路由分析故障点；查看故障点设备信息；（可联合我办通查）断开负载，测试链路。特别针对arp欺骗病毒说一下：现象：局域网外联时通时断；arp命令查看网关MAC地址，已不正确。病毒原理：中毒机器收到arp的广播包后（或间隔一段时间），比对自己网关ip地址，发送arp响应包，告诉局域网的机器，网关ip对应自己的MAC地址。最终导致局域网机器将ip包发送到网关，但此假网关并不路由这些机器的ip包，因此“断网”。抓包分析见下图：Arp查询包Arp响应包5、某些网络应用无法使用此类属于软故障，可结合网络分析工具检查：superscan扫描网络应用服务器的端口，查看服务信息；利用ethereal抓包分析故障原因。借助其他网络工具分析。四﹑安全基础（一）信息安全：安全事件：1、外部威胁、内部威胁、介质泄密。2、常见安全事件：3、设备、信息遭破坏、篡改、丢失泄漏；4、外部扫描、入侵、攻击；5、服务器、终端植入木马、系统崩溃；6、内部扫描、入侵、攻击、传播病毒以及病毒导致向外发送大量垃圾信息；7、内部黑客行为（越权、非法访问重要数据）；处理流程•要求立即断开网络连接；•安全管理人员搜集异常情况，并在到现场后确认异常和断开连接；•指定专人诊断和排除异常恢复性能和信息；•鉴定异常形成分析报告；•向单位信息安全负责人提出管理和技术改进方案；•向相关人员通报情况；•记录过程并备案。（二）网络安全技术•VLAN技术•VPN技术•IDS和IPS技术•防火墙技术•物理隔离技术（数据摆渡）•病毒防范和攻击防范•密码技术1、病毒防范•种类繁多，隐蔽执行，潜伏传染，触发破坏。•包括系统病毒、蠕虫、木马、脚本（网页）、宏病毒（office）、后门、植入、捆绑及纯玩笑病毒等。对网络来说，最讨厌的当属蠕虫、DoS、hacktool(Exploit)类，会导致耗尽网络资源。•传播方式：介质、漏洞、网络。•防范措施：杀毒软件、介质专用、预警专杀、断网查杀。诺顿网络版防病毒软件•安装地址symantec.bd.net.cn•提前将使用的IP地址告知市信息网管中心，授权后安装使用。•杀毒软件不是万能的，各种软件都有自己的问题。由于使用习惯，可使用其他软件，但必须保证终端要安装杀毒软件。2、黑客防范•手段：欺骗（url和ip、arp）、监听、扫描、漏洞攻击、DoS（含email攻击）、钓鱼。•防范：加防火墙、复杂密码、修补漏洞、学会查看html源码、对来历不明的程序及脚本保持警惕。•定期杀毒、定期更新。•服务器安全：严格帐号管理、关闭无用服务（端口）、加防火墙、程序安全、身份认证。发展电子签名和证书。DoS/DDoS攻击•DoS大量发包（空包、垃圾包），频率很高。•Ddos采用分布式攻击方法，造成拒绝服务。3、数据安全：•重要数据加密、安全介质；•日常备份、灾难备份、数据恢复。五﹑安全管理（一）制定制度：•文档资料管理•操作管理人员制度•机房安全制度•安全事件上报和应急制度•数据安全管理•病毒防御制度（二）保密措施•目前网络不涉密，不要把涉密信息放在政务网。政务外网保密管理遵循以下基本要求：•“上网信息不涉密”；•“涉密信息不上网”。