1、2022-6-61技术交流技术交流2022-6-62“一机两用一机两用”监控系统基础知识监控系统基础知识“一机两用一机两用”监控系统操作监控系统操作补丁分发系统基础知识补丁分发系统基础知识2022-6-63“一机两用一机两用”监控系统基础知识监控系统基础知识 哪些行为属于哪些行为属于“一机两用一机两用”行为行为 “一机两用一机两用”行为的危害行为的危害 “一机两用一机两用”监控系统的管理结构监控系统的管理结构2022-6-642022-6-65 双网卡同时连接内外网双网卡同时连接内外网电话拨号接入互联网电话拨号接入互联网公安信息网公安信息网互联网办公网互联网办公网一机两用一机两用离线接入互联网
2、离线接入互联网一机两用一机两用2022-6-66公安网用户公安网用户公安网用户公安网用户一机两用一机两用互联网用户互联网用户文件失泄密文件失泄密电子邮件泄密电子邮件泄密2022-6-67互联网黑客互联网黑客一机两用一机两用黑客攻击黑客攻击2022-6-68公安网用户公安网用户公安网用户公安网用户病毒制造者病毒制造者一机两用一机两用一机两用一机两用2022-6-69各级领导和干警对“一机两用”的严重后果认识不足,管理上不重视,违规行为不断发生。没有专门的机构和人员从事日常的“一机两用”监控工作,处罚措施不得力。各地对一机两用行为的监控存在技术和管理的差异,导致公安信息网的整体防范存在漏洞。 20
3、22-6-610 2022-6-611公安部公安部公安局公安局公安厅公安厅公安厅公安厅市监控平台市监控平台公安部公安部公安厅公安厅公安局公安局公安厅公安厅公安局公安局公安局公安局省监控平台省监控平台(省级总控)(省级总控)部监控平台部监控平台(部级总控)(部级总控)2022-6-612公安部公安部公安局公安局公安厅公安厅公安厅公安厅部监控平台部监控平台(部级总控)(部级总控)省监控平台省监控平台(省级总控)(省级总控)市监控平台市监控平台公安部公安部公安厅公安厅公安局公安局公安厅公安厅公安局公安局公安局公安局2022-6-6132022-6-614 双网卡同时连接双网卡同时连接电话拨号接入电话
4、拨号接入公安信息网公安信息网互联网互联网报警数据上报报警数据上报2022-6-615 互联网办公网互联网办公网公安信息网公安信息网实时监控实时监控告警告警扫描阻断扫描阻断2022-6-616发现违规行为后在控制台报警,并逐级报送给上级管理台。公安部公安部公安局公安局公安厅公安厅公安局公安局部监控平台部监控平台省监控平台省监控平台市监控平台市监控平台违规行为违规行为告警告警报报警警数数据据阻断阻断2022-6-617公安信息网公安信息网监控平台监控平台公安信息网公安信息网2022-6-618公安部公安部公安局公安局公安厅公安厅公安厅公安厅公安局公安局部监控平台部监控平台省监控平台省监控平台市监控
5、平台市监控平台公安部公安部公安局公安局2022-6-619公安部公安部公安局公安局公安厅公安厅公安局公安局部监控平台部监控平台省监控平台省监控平台市监控平台市监控平台报警数据报警数据阻断阻断扫描检测扫描检测2022-6-620病毒制造者病毒制造者一机两用一机两用 2022-6-621全国全国“一机两用一机两用”监控系统监控系统民警使用操作注意事项民警使用操作注意事项(注:提供注释的功能项为管理员专用,其他民警需要了解)(注:提供注释的功能项为管理员专用,其他民警需要了解)2022-6-622目目 录录 q 客户端注册需填写内容说明客户端注册需填写内容说明q q(以下为管理员专用)(以下为管理员
6、专用)q 审核重新注册的设备信息审核重新注册的设备信息q 处理被保护的设备处理被保护的设备q 系统变更介绍系统变更介绍2022-6-623注册需填写内容说明注册需填写内容说明 序号序号填写项填写项说明说明必填项必填项1.1.使用人使用人填写计算机使用者或负责人的姓名填写计算机使用者或负责人的姓名不允许填写单位名等非姓名名称,如:值班室不允许填写单位名等非姓名名称,如:值班室2.2.单位名称单位名称填写使用人所在单位,如:填写使用人所在单位,如:“信息通信局信息通信局”要求按照要求按照CACA编码规则中的要求填写编码规则中的要求填写3.3.部门名称部门名称填写使用者所属部门名称,如:填写使用者所
7、属部门名称,如:“网络安全处网络安全处”要求按照要求按照CACA编码规则中的要求填写编码规则中的要求填写4.4.设备安装位置设备安装位置填写计算机所在地,包括楼号、房间号填写计算机所在地,包括楼号、房间号5.5.联系电话联系电话填写使用人的联系电话填写使用人的联系电话6.设备类型用户按类型从操作系统库中做统计7.警种由用户从列表中选择,分类见附表8.是否属于基层科所队由用户从列表中选择,分为是和否两种选填项选填项9.9.电子邮件电子邮件使用人的公安网电子邮件地址使用人的公安网电子邮件地址10.10.备注备注设备的其它需要说明的信息设备的其它需要说明的信息2022-6-624 设备注册设备注册根
8、据各地一机两用服务器地址下载注册机根据各地一机两用服务器地址下载注册机,进行注册进行注册.http:/*.*.*.*/vrveis/download/deviceregist.exe2022-6-625审核重新注册的设备信息审核重新注册的设备信息q 审核重新注册设备信息的准确性审核重新注册设备信息的准确性 对不准确的信息可以通过以下对不准确的信息可以通过以下3 3种方法处理:种方法处理: 1 1)通过终端控制来强制修改在线设备的注册信息)通过终端控制来强制修改在线设备的注册信息 2 2)通过发送重新注册的提示消息来要求用户纠正)通过发送重新注册的提示消息来要求用户纠正注册信息注册信息 3 3)
9、现场协助用户重新注册)现场协助用户重新注册2022-6-626处理被保护的设备处理被保护的设备序号序号填写项填写项说明说明必填项必填项1 1单位名称单位名称填写使用人所在单位,如:填写使用人所在单位,如:“信息通信处信息通信处”2 2部门名称部门名称填写使用者所属部门名称,如:填写使用者所属部门名称,如:“网络安全科网络安全科”3 3使用人使用人填写计算机使用者或负责人的姓名填写计算机使用者或负责人的姓名不允许填写单位名等非姓名名称,如:值班室不允许填写单位名等非姓名名称,如:值班室4 4联系电话联系电话填写使用人的联系电话填写使用人的联系电话5 5设备类型设备类型用户按该设备的实际用途从下拉
10、列表中选择用户按该设备的实际用途从下拉列表中选择选填项选填项6 6注释注释可填写设备的品牌及型号等信息,设备类型选可填写设备的品牌及型号等信息,设备类型选“其它其它”的要在此的要在此注明具体用途注明具体用途被保护设备需完善下列信息:2022-6-627 为了降低违规外联行为对公安网络产生的安全威胁,新的违规外联行为处理办法修改为以下方式: 当客户端探头检测到计算机发生违规外联行为时,就会立即锁定计算机的网络功能,并在2分钟后关闭计算机,计算机重新启动后需要由管理员为计算机解锁,才可以再接入网络。 系统变更系统变更 - - 违规外联行为的永久阻断违规外联行为的永久阻断2022-6-628系统变更
11、系统变更 系统定义组系统定义组2 2 q 被阻断组:被阻断组:被管理员设置为手工阻断的设备。q 今天注册设备阻:今天注册设备阻:显示今天从0点至当前时间 的注册设备q 黑名单设备:黑名单设备:该组设备不参与条件查询q 长时间未使用设备:长时间未使用设备:超过180天未使用的设备q IPIP重复设备重复设备q MACMAC重复设备重复设备2022-6-629IP/MAC IP/MAC 绑定绑定 对管理范围内的IP、MAC地址实施绑定可通过两种方式来实现。q设备接入管理的IP、MAC绑定列表q策略管理中心安全策略中的IP、MAC绑定策略2022-6-630IP/MAC IP/MAC 绑定列表绑定列
12、表 根据基准列表中的IP、MAC地址对来判断IP或MAC地址是否发生绑定改变,一旦发现绑定改变即可对目标计算机执行阻断。 通过修改或删除IP、MAC绑定列表中的记录来达到变更或取消绑定的目的。 特点特点:可对IP、MAC地址进行一对一、一对多的绑定;可对网络中所有IP或MAC进行绑定,不论目标设备是注册或者未注册;发现改变即会产生报警,便于管理员发现和解决网络地址配置不当引起的问题。 2022-6-6311 1、技术方面:、技术方面:新入网设备的监测和控制策略不够严格;新入网设备的监测和控制策略不够严格;数据的核查操作不够方便;数据的核查操作不够方便;注册进程的稳定性不够注册进程的稳定性不够
13、。2 2、管理方面:、管理方面:监控系统管理员配备不到位,日常运行工作缺位;监控系统管理员配备不到位,日常运行工作缺位;系统中大量的不明设备不能及时核实;系统中大量的不明设备不能及时核实;系统中大量的无效数据不能及时清理。系统中大量的无效数据不能及时清理。2022-6-632补丁分发系统基础知识补丁分发系统基础知识2022-6-633什么是操作系统漏洞?什么是操作系统漏洞? 漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。 补丁相关知识介绍2022-6-634系统漏洞的产生原因?系统漏洞的产生原因? 1. 编程人员的人为因
14、素,在程序编写过程中,为实现不可告人的目的,在程序代码的隐蔽处保留后门;2. 受编程人员的能力、经验和当时安全技术所限,在程序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升;3. 由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。 2022-6-635系统漏洞的危害?系统漏洞的危害? 1.漏洞可能会导致网内计算机被轻易入侵,造成重要机密文件泄密。 2.漏洞可能会导致网络攻击型病毒在内网迅速传播等不安全因素的存在。3.漏洞可能会导致部分应用无法正常运行。2022-6-636什么是补丁?什么是补丁? 补丁,顾名思义就是用来修补漏洞的程序,针对特定软件上存
15、在的漏洞和缺陷而对该软件进行加强或升级的附属文件。2022-6-637微软补丁分类微软补丁分类 1. Hotfix:是针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序。2. SP:Service Pack的缩写,意即补丁包。 Hotfix是针对某一个问题的单一补丁,SP包含SP发布日期前的所有Hotfix补丁。2022-6-638微软补丁命名微软补丁命名 补丁程序文件名有严格的规定,一般格式如下:“产品名-KBXXXXXX-处理器平台-语言版本.exe”。如微软针对震荡波病毒而发布的补丁:“Win2K-KB835732-X86-CHS.exe”。 2
16、022-6-639 建立部、省、市三级补丁分发管理系统,将补丁管理系统和补丁库部署到部级、省级和地、市级的补丁管理服务器,在全国公安信息网上实现统一的微软操作系统补丁库维护、更新、管理和自动分发机制,为各级信息系统和联网计算机提供补丁自动分发服务,以利于各级信息中心准确、及时地掌握最新的漏洞信息并进行修补。补丁系统简介2022-6-6401.公安信息网补丁源统一;2.避免各地公安信息网自行下载、测试补丁所带来的大量重复工作;3.避免部分用户安装可能带来危害的补丁(包括“假”补丁)进入公安信息网;4.避免部分用户在外网打补丁的现象。多级级联补丁系统的特点2022-6-6412022-6-642补
17、丁系统级联管理构架2.1系统结构图2022-6-643使用端口1. 客户端:22105(TCP/UDP)2. 服务器端:88(备用188,TCP)3. 上下级级联端口: 使用80转换的情况下:80(TCP) 未使用80转换的情况下:2388、2399(TCP)4. Vrvanywhere:8800,8900(TCP)2022-6-644客户端驻留程序1. Watchclient.exe 客户端服务2. Vrvrf_c.exe 策略解析、程序调度3. Vrvedp_m.exe 违规外联、补丁检测4. Vrvsafec.exe 客户端保护2022-6-645设备扫描发现:1. 扫描器扫描发现(一个
18、管理器对应多个扫描器): ICMP探测 TCP连接探测(Ping有回馈时执行) SNMP探测2. 客户端扫描发现 UDP探测 ARP探测3. 注册状态判断:22105通讯是否正常2022-6-646设备注册相关:1. 注册成功:服务器和客户端均保留用户填写的注册信息,客户端开机时可自动上报。2. 缺省注册成功:注册时与管理器未成功建立通讯连接,当客户端与管理器通讯成功后会自动将信息上报到服务器,同时在本地保存副本。2022-6-647被阻断设备的处理方法:1.未注册阻断:由扫描器调度被阻断设备邻近的注册计算机向被阻断设备发出ARP干扰,导致其无法进行网络通讯。2.已注册阻断:由扫描器调度被阻断
19、设备上的客户端程序执行自我阻断。3.锁定模式:由客户端调度访问控制模块完成计算机的网络锁定。2022-6-648补丁管理功能:补丁管理功能:1. 补丁自动分发到各省、市的补丁管理服务器;2. 补丁可根据管理员需要分发到各客户端;3. 可定时进行补丁检测和分发;4. 管理员可查询本地补丁修补的相关完成情况;5. 用户可访问专门的(内网)页面,下载、安装当前未安装的补丁;6. 补丁下载可进行客户端转发,以减少网络负载。2022-6-649用户补丁下载查询用户可通过访问指定页面查询、下载安装未安装的补丁2022-6-650 补丁下载地址为补丁下载地址为http:/*.*.*.*/Patchweb20
20、22-6-6512022-6-6522022-6-653系统定义组以下各功能组说明:系统定义组以下各功能组说明: 新发现组:新发现组:在前在前24小时发现的未注册设备。小时发现的未注册设备。脱缰组:脱缰组:曾经注册过,但由于卸载探头或者注册设备网络原因无法与曾经注册过,但由于卸载探头或者注册设备网络原因无法与“一机一机 两用两用”服务器正常通讯,扫描服务器正常通讯,扫描4个周期。个周期。受保护组:受保护组:被设置为保护的设备。被设置为保护的设备。信任组:信任组:被信任的设备;被勾选保护或信任的设备都相当于注册设备,保护被信任的设备;被勾选保护或信任的设备都相当于注册设备,保护 设备违规不会被阻
21、断,信任设备违规会被阻断,但都会报警。设备违规不会被阻断,信任设备违规会被阻断,但都会报警。应注册未注册设备组应注册未注册设备组:应注册未注册设备;应注册未注册设备;MAC地址不为地址不为0的都为应注册设的都为应注册设 备。备。空空MAC地址组:地址组:无法取得无法取得MAC地址的设备。地址的设备。被阻断组:被阻断组:当前被管理员手动勾选阻断的设备。当前被管理员手动勾选阻断的设备。今天注册设备组:今天注册设备组:当日当日24小时内注册的设备。小时内注册的设备。无效设备组:无效设备组:管理员勾选无效的设备;该组设备不算统计数据,在组外也无管理员勾选无效的设备;该组设备不算统计数据,在组外也无 法
22、查询该设备,并且可以通过系统的阻断配置来阻断该设备。法查询该设备,并且可以通过系统的阻断配置来阻断该设备。长时间未使用组:长时间未使用组:超过超过90天未使用的设备。天未使用的设备。IP重复组:重复组:IP重复的设备。重复的设备。MAC重复组:重复组:MAC重复的设备。重复的设备。2022-6-654二、二、 系统新升级后增加移动存储管理系统新升级后增加移动存储管理功能情况说明功能情况说明2022-6-655安全控制策略安全控制策略(安全策略(安全策略专用存储设备)专用存储设备)保密区保密区内网计算机内网计算机中间机中间机外网计算机外网计算机普通U盘/安全策略2 2存储设备 n注册后的专用存储
23、设备只有一个“保密区”,仅能在授权计算机上使用,在非授权计算机上不可用。n选择安全策略专用存储设备的用户,其计算机对非注册的移动存储设备为“完全禁止”。n用户将通过”中间机”完成内外网之间的数据交互工作。安全策略1 1存储设备专用存储设备功能专用存储设备功能2022-6-656保密区内部计算机内部计算机交换区安全控制策略安全控制策略(安全策略(安全策略专用存储设备)专用存储设备)外部计算机外部计算机注册后的专用存储设备分为保密区、交换区、启动区。n保密区仅能在授权计算机上使用,在非授权计算机上不可用。n交换区通过用户密码认证后在内外网计算机均可使用。n启动区在授权计算机上不显示。在非授权计算机
24、上显示工具。 选择安全策略专用存储设备的用户,其计算机对非注册移动存储设备为“只读”。用户将通过“交换区”完成内外网之间的数据交互工作。安全策略2 2存储设备启动区专用存储设备功能专用存储设备功能2022-6-657专用存储设备功能专用存储设备功能1、双数据区交互使用双数据区交互使用专用存储设备支持交互区和保密区划分。交互区在授权计算机上透明使用,在外网或非授权计算机上支持口令登录使用;保密区在授权计算机上受控使用,在外网或非授权计算机上不可见。2022-6-658专用存储设备功能专用存储设备功能2 2、全盘数据加密、全盘数据加密采用AES128位高强度算法对磁盘全面加密;在没有登录口令的情况
25、下,使用任何第三方磁盘管理工具都无法获取内部加密数据。在AES高强度加密基础上,采用8位以上字母、数字组合口令保护专用U盘的登录。 2022-6-6593 3、授权访问控制、授权访问控制 专用存储设备配合终端计算机注册程序的安全策略,灵活控制不同数据区的访问权限; 2个数据区的专用存储设备,其交换区和保密区在不同的部门、不同的计算机上用户使用权限不同(如禁止使用、只读使用、完全使用); 整盘加密(仅有保密区)的专用存储设备只能在授权计算机上使用,在外网或非授权计算机上不可用。专用存储设备功能专用存储设备功能2022-6-660专用存储设备功能专用存储设备功能专用存储设备应用部署专用存储设备应用部署控制台控制台2022-6-661安装客户端软件安装客户端软件专用存储设备使用演示专用存储设备使用演示第一:了解使用步骤流程第一:了解使用步骤流程安全策略安全策略管理员管理员用用 户户注册授权获取注册盘获取注册盘使用使用(U盘盘/移动硬盘)移动硬盘)2022-6-662第三:客户端安全策略接收第三:客户端安全策略接收上述策略包括:对认证安全盘的读写控制;对部门之间的认证安全盘使用控制;对外来普通的盘的读写控制。同时在用户计算机桌面提供管理告警信息。专用存储设备使用演示专用存储设备使用演示2022-6-6632022-6-664谢谢 谢!谢!