【通信安全CACE-管理类基础级】第7章 安全运维

资源
中国通信企业协会网络安全人员能力认证考试知识点大纲
中国通信企业协会网络安全人员能力认证管理类基础级考试课件
中国通信企业协会网络安全人员能力认证考试管理类基础级复习资料
中国通信企业协会网络安全人员能力认证考试管理类基础级模拟题

系列文章
【通信安全CACE-管理类基础级】第1章 网络安全基础知识
【通信安全CACE-管理类基础级】第3章 国际安全标准体系概述
【通信安全CACE-管理类基础级】第4章 国内安全标准体系概述
【通信安全CACE-管理类基础级】第5章 安全体系最佳实践
【通信安全CACE-管理类基础级】第6章 风险评估
【通信安全CACE-管理类基础级】第7章 安全运维
【通信安全CACE-管理类基础级】第8章 网络安全应急响应
【通信安全CACE-管理类基础级】第10章 网络攻击
【通信安全CACE-管理类基础级】第11章 防护技术

7.1 安全运维的分类

1. 分类
   1. 机房运维 : 负责设备上下架、巡检、报修、硬件监控
   2. 基础设施运维:：系统初始化、网络维护
   3. 基础服务运维：内部DNS、负载均衡、系统监控、资产管理、运维平台，包合运维开发
   4. 系统运维：架构层面的分布式缓存、分布式文件系统、日志收集、环境规划(测开发、生产)、架构设计、性能优化
   5. 安全运维：整体的安全方案、规范、漏洞监测、安全防护等。
   6. 应用运维：业务熟悉、服务部署、业务部署、版本管理、灰度发布、应用监控监控运维: 7*24运维值班、故障处理。

7.2 安全运维方式

7.2.1 安全基线

安全基线在一台计算机上实现了受信计算机组件。同时，它还描述了实现安全运行的所有相关配置设置。可以认为安全基线是最低的安全要求。

7.2.2 安全加固

1. 安全加固实施过程中关键点的处理方法
   1. 准备阶段
   2. 宣讲和破冰
   3. 方案实施
   4. 全面展开
   5. 重点关注
      1. 阶梯式部署
      2. 选取单一角色的主机部署
      3. 每完成一个阶段输出加固阶段性报告，对具体实施人员和相关部门领导进行通告和知会
      4. 收集加固效果体现的案例
   6. 项目收尾完结

7.2.3 安全监控

1. 主要对象：网络或主机活动、电力系统

7.2.4 安全审计

1. 四要素：控制目标、安全漏洞、控制措施、控制测试

7.2.5 应急响应

1. 应急响应的方法：未雨绸缪、亡羊补牢
2. 处理过程
   1. 事件评估
   2. 应急处理
   3. 信息收集

7.2.6 安全评估

7.2.7 维护作业

1. 维护作业主要包含的内容
   1. 系统安全日志检查。确保无异常日志
   2. 安全设备网络连通性维护。确保各设备网络连接正常
   3. 入侵检测系统告警监控。确保正常，无异常告警
   4. 入侵检测系统健康性检查。确保各IDS运行正常，CPU占用率<70%
   5. 防火墙健康巡检。确保各防火墙运行正常，CPU占用率<70%
   6. 网络异常流量监控。确保各网络接口流量正常，无异常流量1检查应用系统端口、服务情况。确保各应用系统端口、服务正常
   7. 检查各防火墙访问控制策略。确保各防火墙策略应用正确合理，严格有效9、病毒代码更新检查。确保以完成更新
   8. 重要操作日志检查。确保完成日志检查，无异常操作
   9. 入侵系统版本维护。确保版本已完成更新
   10. Windows系统安装安全补丁。确保安全补丁更新
   11. 防火墙配置备份。确保已完成备份
   12. 病毒杀毒策略定制。确保以对防病毒系统进行策略检查
   13. 更改账户口令。确保完成相关用户口令更新
   14. 防火墙权限检查。确保已完成防火墙权限管理
   15. 收集安全预警信息。确保根据集团预警完成安全信息收集
   16. 垃圾邮件隐患扫描，确保完成扫描，对隐患主机进行处理
   17. 远程系统漏洞扫描。确保完成扫描，对隐患主机进行处理
   18. 安全事件处理演练。确保按计划顺利完成
   19. 安全审计。确保安全规范的执行落实情况

7.3 安全运维技术

7.3.1 网络设备

1. 维护内容
   1. 机房环境
      1. 机房长期工作环境温度应在0°C～45°C之间，短期工作环境温度应在-5°C～55°C之间。
      2. 在正常情况下，机房的长期工作环境相对湿度应在10%RH～95%RH之间，短期工作环境相对湿度应在5%RH～95%RH之间。
   2. 告警及数据配置维护
      1. CPU的占用率≤80%
      2. 内存的占用率应≤80%
      3. 接口流量≤80%
      4. 接口、链路状态 使用UP 关闭SHUTDOWN
      5. debugging开关是否关闭
      6. 查看当前配置信息和保存配置信息是否一致
      7. Flash里的文件都必须是有用 delete /unreserved 命令删除。
      8. 系统必须配置超级用户密码，并且要求是密文方式，密码长度大于6位
      9. Telnet口令和特权用户的口令设置要不同，并使用密文格式，密码不能过于简单。
   3. 告警及数据配置维护要求
      1. Telnet和串口两种方式能正常登录。
      2. 用户口令密码长度大于6位。一般建议一季度更新一次。
      3. 不允许状态为DOWN的接口下有配置（除shutdown的之外）；不允许状态为UP的接口下无配置
      4. 所有激活接口都使用规范描述：接口描述规则：本端设备名-本端端口号->对端设备名-对端端口号-//端口速率。
      5. 执行show interface命令，检查接口的配置
      6. 执行show clock命令。通过该命令查询系统日期和时间，时间应与当地实际时间一致（时间

差不大于5分钟）。

7.3.2 安全设备

1. 检查项目
   1. 安全设备至少保证每周检查两次，每次检查的结果要求进行登录记录。
   2. 每次更改安全设备的配置、策略后，都要及时更新备份，保证当前备份最新数据。
   3. 每天正常工作期间必须保证监视所有安全设备状态，一旦设备异常，要及时采取相应错误。
   4. 安全设备保证每周或依据数据情况对相关日志进行整理，整理前对应的各项日志进行保存
   5. 对安全设备的检查主要包括CPU利用率、运行状态、性能、网络流向等方面。安全管理员必须保证对安全设备每月进行一次安全检查，并生产检查报告。
   6. 安全设备保证至少每一个月更改一次密码，密码长度不少于8位，且满足复杂要求。
   7. 定时对安全设备进行检查、调试和修理，确保其运行完好。
   8. 硬件设备发生损坏、丢失等事故，应及时上报，填写报告单并按有关对顶处理。

7.2.3 其他网关

1. 接入模式
   1. 网桥模式：应该部署在企业接入设备（防火墙或者路由器）的后面
   2. 网关模式：ADSL拨号、静态路由、DHCP client端三种外网接入类型。如果安全网关采用网关模式，通常情况下应该部署在企业网络出口处，做为宽带网络接入设备，保护整个内部网络