您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 信息化管理 > 04降低网络安全风险
降低网络安全风险•通信处信息中心•二O一O年十一月通信处信息中心技术服务QC小组中国石油目录一、小组概况二、选题理由三、现状调查四、设定目标五、原因分析六、要因确认七、制定对策八、对策实施九、效果检查十、巩固措施十一、下一步打算通信处信息中心技术服务QC小组中国石油组建时间2010.3注册编号:TX201003011注册时间:2010.3小组成员7人信息中心QC小组活动课题:降低网络安全风险所在单位:长庆油田公司通信处信息中心平均年龄35岁课题类型攻关型活动次数12次活动时间2010.03-2010.11TQC教育人均32小时1小组概况通信处信息中心技术服务QC小组中国石油1小组概况小组成员序号姓名性别年龄职务/职称文化程度职务TQC教育时间1李世红男35主任/高工研究生组长32小时2秦博男36副主任/工程师本科副组长32小时3陈高辉男35责任工程师研究生组员32小时4李育青女28工程师本科组员32小时5贺亮男31工程师本科组员32小时6陈秀芳女41工程师本科组员32小时7王建兴男40工程师本科组员32小时通信处信息中心技术服务QC小组中国石油2选题理由优先保证正常业务,确保主干网络安全成为当前亟需解决的问题。安全防护手段单一,缺乏应用级别的网络安全防护手段,导致油田网络安全风险极高。降低网络安全风险①P2P等非正常业务占用大量网络带宽,造成网络拥塞。②病毒攻击影响主干网络正常运行。生产要求课题选定技术现状现场反馈通信处信息中心技术服务QC小组中国石油3现状调查通过近几年的建设,油田计算机主干网络已经成为核心万兆互联,骨干网双2.5Gbps互联的冗余星型网络架构。网络带宽大幅提升,接入单位带宽达到千兆,单机网络带宽达到百兆以上,广域网带宽提高20倍以上,公网出口带宽达到3700M。随着网络系统处理性能及网络带宽的快速提升,网络安全压力剧增,网络安全风险急速增加。1、公司主干网现状通信处信息中心技术服务QC小组中国石油3现状调查P2P等应用充斥网络,大量占用有限的出口带宽,无法保证关键办公业务,也对其他增值业务的展开造成影响,网络资源消耗与产值的正比关系难以维持。由于无法了解流量具体组成情况,网络升级缺乏科学依据,可能造成升级频繁依然赶不上流量增长的速度。(1)P2P带宽滥用,造成网络拥塞。(2)病毒攻击冲击网络,造成网络瘫痪。①来自内网的攻击流量冲击企业出口防火墙设备,占用有限的出口带宽,影响全网的业务应用,使出口防火墙的性能下降。②来自内网和外网的攻击影响内部重要业务的正常运行。2、面临问题通信处信息中心技术服务QC小组中国石油4设定目标根据网络使用现状及面临问题,本QC小组决定从以下两个方面来降低网络安全风险,确保油田各项网络业务的正常运行。(2)实现对大于1M攻击流量的检测清洗。(1)将办公时间的P2P流量占用率控制在不大于20%。目标值制定依据:⑴通过调查分析结合长庆网络现状,在对网络影响最小情况下,现有的P2P控制技术最多只能将P2P流量占用率控制在不大于20%的范围内。(2)当前网络攻击检测手段能够检测清洗的攻击流量最小为1M。通信处信息中心技术服务QC小组中国石油5原因分析P2P流量占用率高攻击流量不能处理培训不到位学习能力不足用户安全防范意识不足无法正确识别网络流量缺乏流量统计分析的基础数据控制模式单一效率低下缺乏流量清洗手段设备安全性能不足攻击技术更新快,安全事件频发技术人员水平不足通信处信息中心技术服务QC小组中国石油6要因确认序号末端因素确认内容确认方法标准负责人完成时间分析结果1培训不到位技术人员是否经过充分培训调查分析经过理论与实践培训贺亮2010.4.25要因2学习能力不够检查技术人员学习能力调查分析培训后考核成绩合格贺亮2010.4.27非要因3用户安全防范意识不足调查主机安全防护情况抽样调查符合集团公司桌面安全管理规定李育青2010.4.21非要因4无法正确识别网络流量流量识别方式调查分析能够对各种网络流量进行有效辨别。李育青2010.4.24要因5缺乏流量统计基础数据流量分析手段是否具备调查分析能对重要流量指标进行统计分析陈高辉2010.5.1要因6流控模式单一流控手段是否完善调查分析有效控制网络流量陈高辉2010.5.6要因7缺乏流量清洗手段是否具备流量清洗手段调查分析有效清洗主干网异常流量陈高辉2010.5.9要因8安全性能不足现有硬件设备安全性能调查分析安全性能满足油田网络安全需求李育青2010.5.13非要因9攻击技术更新快,安全事件频发攻击技术是否快速更新调查分析攻击技术更新速度高李育青2010.5.14非要因通信处信息中心技术服务QC小组中国石油确认一、培训不到位对技术人员进行培训调查,发现相关网络技术人员都未经过理论与实践的系统培训和学习,培训不到位直接影响到人员技术水平无法迅速提高。结论:培训不到位是主要原因。6要因确认确认二:人员学习能力不强对相关技术人员人员情况进行调查发现,人员学历均为本科学历及以上。检查信息中心其他培训考核记录发现,考试成绩均为合格及以上,并有自学通过网络技术考试的情况,说明技术人员学习能力比较强。结论:人员学习能力不强不是主要原因。通信处信息中心技术服务QC小组中国石油6要因确认通过对用户进行抽样调查发现,广泛存在重应用、轻安全的意识,个人PC不符合集团公司桌面安全管理规定,容易感染病毒,但由于用户数量大、分散等原因提高用户安全防范意识不是本QC小组解决能力范围之内。结论:用户安全防范意识不足不是主要原因。确认三、安全防范意识不足确认四、无法识别网络流量对主干网调查发现,只有出口防火墙具有基本流量识别能力,但流量识别不属于防火墙主要功能,识别方式单一,能力不均,存在大量网络流量无法识别的现象。结论:无法识别网络流量是主要原因。通信处信息中心技术服务QC小组中国石油6要因确认通过网络现状调查发现缺乏内网流量历史统计数据,无法对网络流量进行综合统计与分析,各种应用及各类用户对网络带宽的占用情况不明,导致对网络安全风险无法进行有效识别。结论:缺乏流量历史数据是主要原因确认五、缺乏流量历史统计数据确认六、流量控制手段单一,效率低下目前主干网内流量控制手段仅限于路由器、交换机限速以及基本QoS保障策略的设置,这些手段只能基于IP与端口进行控制,而作为带宽消费大户的P2P应用的特点是:通讯流量巨大、种类繁多、无固定服务端口、特征变化迅速、检测困难。因此现有的流控手段对这些应用的控制面临局限.结论:控制模式单一是主要原因通信处信息中心技术服务QC小组中国石油6要因确认现有网络路由器交换设备安全功能不足,但设备安全功能属设备自带,属于不可更改因素。结论:设备安全功能不足不是主要原因确认七、缺乏流量清洗手段确认八、设备安全功能不足通过对网络调查发现,主干网层面缺乏对网络流量牵引、过滤及回注的过滤清洗手段。结论:缺乏流量清洗手段是主要原因通信处信息中心技术服务QC小组中国石油6要因确认确认九、攻击技术更新速度快,互联网安全事件频发互联网飞速发展,攻击技术日新月异,各种安全事件频发。互联网安全环境恶劣,但这是当前互联网普遍存在的安全问题,为不可抗拒因素。结论:攻击技术更新速度快不是主要原因.通信处信息中心技术服务QC小组中国石油序号要因对策目标措施负责人完成日期实施地点1培训不到位加大相关技术培训掌握相关技术送外培训每周进行内部专题培训贺亮2010.10机房2无法有效识别网络流量进行网络流量分析识别正确识别80%的网络流量对网络的多个层次进行联合检测和识别。李育青2010.10机房3缺乏流量统计数据进行流量统计分析对内网流量可以进行统计分析在相关设备上进行数据采集,采样间隔5min。陈高辉2010.10机房4流控模式单一完善流控手段将P2P等流量进行控制在出口总流量20%以内。部署流控系统配置安全策略陈高辉2010.10机房5缺乏流量清洗手段研究流量清洗手段对大于1M的攻击流量进行清洗部署清洗系统,配置清洗策略陈高辉2010.10机房7制定对策通信处信息中心技术服务QC小组中国石油8对策实施实施一、加大培训力度解决方法:针对目前中心技术人员流量优化技术水平不足的现状,首先对部分技术人员送外培训到各网络安全设备厂商学习网络防护的相关知识和技术。其次每周进行内部专题培训,聘请网络安全设备厂家等专业技术人员对所有技术人员进行相关知识培训。最后积极开展技术人员间的相互交流活动进行技术及经验的共享。通信处信息中心技术服务QC小组中国石油8对策实施培训及交流通信处信息中心技术服务QC小组中国石油效果评价:实施后,明显提高了技术人员流量优化技术水平。8对策实施通信处信息中心技术服务QC小组中国石油8对策实施实施二、识别网络流量解决方法:通信处信息中心技术服务QC小组中国石油8对策实施实施二、识别网络流量解决方法:我们在互联网出口处实行流量分光镜像,通过对流量的IP地址、源/目标端口、会话信息以及应用层数据的深入分析,继而进行特征值比对,可以识别L2到L7层的各种协议和应用,目前实现了对P2P、网络游戏、炒股软件、网络管理协议等等常用应用协议进行有效识别。效果评价:经过现场检验,该措施实行后,已能识别大部分协议应用的网络流量。通信处信息中心技术服务QC小组中国石油8对策实施实施二、识别网络流量通信处信息中心技术服务QC小组中国石油解决方法:在网管及其他相关设备上对带宽利用率,占用带宽最多的用户和应用类型等数据进行收集整理并以图表、报表等形式展现出来。效果评价:实施后,流量可以进行统计分析,为网络规划、扩容等工作提供决策依据。8对策实施实施三、进行流量统计分析通信处信息中心技术服务QC小组中国石油解决方法:研究并应用新兴流量控制技术,采用流量分光镜像干扰包模式,在周一到周五工作时间段对用户P2P应用进行干扰,降低P2P在出口带宽的比例。8对策实施实施四、流量控制通信处信息中心技术服务QC小组中国石油8对策实施实施四、流量控制效果评价:实施后,周一到周五7:30-23:00,P2P流量占总带宽比例不超过20%。通信处信息中心技术服务QC小组中国石油解决方法:研究并应用异常流量清洗技术,采用了国内独创使用的旁路部属BGP引流回注方式,根据长庆网络流量特点,使用上行流量策略引流,下行异常流量的BGP动态引流,清洗后回注的方式,保障了正常业务的安全应用,将病毒攻击等对数字化应用系统及用户的影响降低到了最小。效果评价:通过异常流量清洗技术在西安网络核心的部署,已经实现了到数据中心、生产指挥中心、集团公司、互联网等业务方向网络数据的实时监测,能够自动监测发现网络中存在的异常攻击流量,并清洗过滤掉异常攻击流量,确保正常网络流量不受影响,实现了核心层和接入层的网络安全防护,保障了生产业务的安全通畅,消除了潜在安全隐患。8对策实施实施四、研究流量清洗技术通信处信息中心技术服务QC小组中国石油8对策实施监测中心清洗中心管理中心服务器攻击流量正常流量分析数据安全策略Internet流量分光路由策略互联网对内网的攻击通信处信息中心技术服务QC小组中国石油8对策实施监测中心清洗中心管理中心Internet流量分光服务器用户用户用户用户攻击流量正常流量清洗后流量内网用户对服务器的攻击通信处信息中心技术服务QC小组中国石油9效果检查序号项目效果1将P2P流量控制在20%以下2对大于1M的攻击流量进行清洗11月总共有118,892.6GB的流量进入清洗系统,其中有574.0GB的攻击流量成功的被清洗掉。(1)目标完成情况:实施QC活动后,经过一段时间的运行,证明达到了QC小组原先设定的目标,情况统计如表下所示:通信处信息中心技术服务QC小组中国石油•案例说明:油田内部某单位网内单位用户千兆接入公司计算机主干网,因用户主机UDP-FLOOD攻击互联网主机造成,其所在单位网络几乎中断,流量清洗系统对攻击流量进行清洗,骨干网及互联网出口网络未受到影响,某病毒主机11日开始攻击网络,攻击流量达到200Mbps,13日关闭此主机后流量正常。通信处信息中心技术服务QC小组中国石油(2)社会效益:本次QC活动采用的技术
本文标题:04降低网络安全风险
链接地址:https://www.777doc.com/doc-502958 .html