1、2019/7/19,1,技术交流,“一机两用”监控及补丁分发系统,2019/7/19,2,主要内容,“一机两用”监控系统基础知识“一机两用”监控系统操作补丁分发系统基础知识,2019/7/19,3,“一机两用”监控系统基础知识 哪些行为属于“一机两用”行为 “一机两用”行为的危害 “一机两用”监控系统的管理结构,2019/7/19,4,全国“一机两用”监测系统,什么是“一机两用”行为指公安信息网内计算机设备,同时连接公安网和互联网(所有非公安信息网)或断开公安网连接互联网(所有非公安信息网)的操作,包括存放公安涉密信息的计算机单独接入互联网(所有非公安信息网)的操作。 表现方式:一贯性连接、间
2、断间续性连接等。互联网接入方式包括:Modem拨号、ADSL拨号、双网卡、网关代理、路由、手机上网等方式。,2019/7/19,5,什么是“一机两用”行为连接表现,互联网,双网卡同时连接内外网,电话拨号接入互联网,公安信息网,互联网办公网,一机两用,离线接入互联网,一机两用,2019/7/19,6,公安信息网,公安网用户,公安网用户,一机两用,互联网用户,文件失泄密,电子邮件泄密,互联网,“一机两用”行为导致了公安网同互联网的物理连接,是造成重要机密文件泄密的可能性原因之一。,“一机两用”行为的危害:文件泄密,2019/7/19,7,公安信息网上的“一机两用”行为导致互联网上黑客攻击,使公安网
3、络、计算机、信息遭受破坏。,互联网黑客,一机两用,“一机两用”行为的危害:黑客攻击,公安信息网,互联网,服务器瘫痪,黑客攻击,2019/7/19,8,公安网用户,公安网用户,病毒制造者,一机两用,一机两用,公安信息网上的“一机两用”行为导致互联网病毒、蠕虫、木马直接入侵公安网。,“一机两用”行为的危害:病毒感染,公安信息网,互联网,2019/7/19,9,各级领导和干警对“一机两用”的严重后果认识不足,管理上不重视,违规行为不断发生。 没有专门的机构和人员从事日常的“一机两用”监控工作,处罚措施不得力。 各地对一机两用行为的监控存在技术和管理的差异,导致公安信息网的整体防范存在漏洞。,公安信息
4、网“一机两用”管理现状,2019/7/19,10,全国“一机两用”监测系统构架和功能,在部、省、市(地)三级信息中心建立“一机两用” 监测系统,对所有联入公安信息网计算机设备的“一机两用”行为进行实时监控和阻断,强化对全国公安信息网边界的监控。公安部监控平台(国家级) 公安厅监控平台(省级) 公安局监控平台(市级),“一机两用” 全国监测系统构架:,2019/7/19,11,公安部,公安局,公安厅,公安厅,市监控平台,“一机两用” 全国三级监测系统部署构架,公安部,公安厅,公安局,公安厅,公安局,公安局,全国“一机两用”监测系统构架和功能构架,省监控平台 (省级总控),部监控平台 (部级总控)
5、,2019/7/19,12,公安部,公安局,公安厅,公安厅,部监控平台 (部级总控),省监控平台(省级总控),市监控平台,全国“一机两用” 监测系统集中监控管理,公安部,公安厅,公安局,公安厅,公安局,公安局,全国“一机两用”监测系统构架和功能构架,安全信息,安全信息,2019/7/19,13,“一机两用” 监控,“一机两用” 阻断,病毒检测 定位,设备登记 注册,违规联网 报警,“一机两用” 监测,全国“一机两用”监测系统构架和功能功能,2019/7/19,14,互联网,双网卡同时连接,电话拨号接入,公安信息网,互联网,实时监控,扫描监控,“一机两用”监控:实时检测公安网中存在的同互联网连接
6、的计算机,及时发现“一机两用”行为并作详细记录。,全国“一机两用”监测系统构架和功能功能,报警数据上报,2019/7/19,15,互联网,互联网办公网,实时监控,扫描监控,公安信息网,监控平台,一机两用,实时监控告警,扫描阻断,“一机两用”阻断:发现违规计算机后,自动阻断违规其非法联网行为,同时向管理中心上报违规记录。,全国“一机两用”监测系统构架和功能功能,2019/7/19,16,违规联网报警:发现违规行为后在控制台报警,并逐级报送给上级管理台。,公安部,公安局,公安厅,公安局,部监控平台,省监控平台,市监控平台,一机两用,注册设备,违规行为告警,报警数据,阻断,全国“一机两用”监测系统构
7、架和功能功能,2019/7/19,17,公安信息网,监控平台,公安信息网,管理信息库,设备登记注册:自动扫描发现网络中存在的网络设备,支持用户手动或系统自动注册。,(一)区域注册,全国“一机两用”监测系统构架和功能功能,2019/7/19,18,公安部,公安局,公安厅,公安厅,公安局,部监控平台,省监控平台,市监控平台,设备注册,公安部,公安局,(二)全国注册,全国“一机两用”监测系统构架和功能功能,2019/7/19,19,公安部,公安局,公安厅,公安局,部监控平台,省监控平台,市监控平台,未注册设备,注册设备,报警数据,阻断,全国“一机两用”监测系统未注册管理,扫描检测,未注册计算机定位:
8、时时发现未注册设备,并对该设备进行阻断与公安信息网隔离,使其无法联入公安信息网络中。,2019/7/19,20,病毒检测定位:搜索网络注册客户端系统是否有病毒、木马等运行进程,并能够定位病毒源计算机。,病毒制造者,一机两用,公安信息网,病毒信息定位汇总,监控平台,互联网,病毒检测,全国“一机两用”监测系统构架和功能功能,2019/7/19,21,全国“一机两用”监控系统 民警使用操作注意事项 (注:提供注释的功能项为管理员专用,其他民警需要了解),2019/7/19,22,目 录,客户端注册需填写内容说明(以下为管理员专用)审核重新注册的设备信息处理被保护的设备系统变更介绍,2019/7/19
9、,23,注册需填写内容说明,2019/7/19,24,设备注册根据各地一机两用服务器地址下载注册机,进行注册. http:/*.*.*.*/vrveis/download/deviceregist.exe,2019/7/19,25,审核重新注册的设备信息,审核重新注册设备信息的准确性 对不准确的信息可以通过以下3种方法处理:1)通过终端控制来强制修改在线设备的注册信息2)通过发送重新注册的提示消息来要求用户纠正注册信息3)现场协助用户重新注册,2019/7/19,26,处理被保护的设备,被保护设备需完善下列信息:,2019/7/19,27,为了降低违规外联行为对公安网络产生的安全威胁,新的违规
10、外联行为处理办法修改为以下方式:当客户端探头检测到计算机发生违规外联行为时,就会立即锁定计算机的网络功能,并在2分钟后关闭计算机,计算机重新启动后需要由管理员为计算机解锁,才可以再接入网络。,系统变更 - 违规外联行为的永久阻断,2019/7/19,28,系统变更 系统定义组2,被阻断组:被管理员设置为手工阻断的设备。今天注册设备阻:显示今天从0点至当前时间 的注册设备黑名单设备:该组设备不参与条件查询长时间未使用设备:超过180天未使用的设备IP重复设备MAC重复设备,2019/7/19,29,IP/MAC 绑定,对管理范围内的IP、MAC地址实施绑定可通过两种方式来实现。 设备接入管理的I
11、P、MAC绑定列表 策略管理中心安全策略中的IP、MAC绑定策略,2019/7/19,30,IP/MAC 绑定列表,根据基准列表中的IP、MAC地址对来判断IP或MAC地址是否发生绑定改变,一旦发现绑定改变即可对目标计算机执行阻断。 通过修改或删除IP、MAC绑定列表中的记录来达到变更或取消绑定的目的。特点:可对IP、MAC地址进行一对一、一对多的绑定;可对网络中所有IP或MAC进行绑定,不论目标设备是注册或者未注册;发现改变即会产生报警,便于管理员发现和解决网络地址配置不当引起的问题。,2019/7/19,31,目前系统存在的问题,1、技术方面: 新入网设备的监测和控制策略不够严格; 数据的
12、核查操作不够方便; 注册进程的稳定性不够 。 2、管理方面: 监控系统管理员配备不到位,日常运行工作缺位; 系统中大量的不明设备不能及时核实; 系统中大量的无效数据不能及时清理。,2019/7/19,32,补丁分发系统基础知识,2019/7/19,33,什么是操作系统漏洞?,漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。,补丁相关知识介绍,2019/7/19,34,系统漏洞的产生原因?,编程人员的人为因素,在程序编写过程中,为实现不可告人的目的,在程序代码的隐蔽处保留后门; 受编程人员的能力、经验和当时安全技术所限,在程
13、序中难免会有不足之处,轻则影响程序效率,重则导致非授权用户的权限提升; 由于硬件原因,使编程人员无法弥补硬件的漏洞,从而使硬件的问题通过软件表现。,2019/7/19,35,系统漏洞的危害?,漏洞可能会导致网内计算机被轻易入侵,造成重要机密文件泄密。 漏洞可能会导致网络攻击型病毒在内网迅速传播等不安全因素的存在。 漏洞可能会导致部分应用无法正常运行。,2019/7/19,36,什么是补丁?,补丁,顾名思义就是用来修补漏洞的程序,针对特定软件上存在的漏洞和缺陷而对该软件进行加强或升级的附属文件。,2019/7/19,37,微软补丁分类,Hotfix:是针对某一个具体的系统漏洞或安全问题而发布的专
14、门解决该漏洞或安全问题的小程序,通常称为修补程序。 SP:Service Pack的缩写,意即补丁包。,Hotfix是针对某一个问题的单一补丁,SP包含SP发布日期前的所有Hotfix补丁。,2019/7/19,38,微软补丁命名,补丁程序文件名有严格的规定,一般格式如下: “产品名-KBXXXXXX-处理器平台-语言版本.exe”。 如微软针对震荡波病毒而发布的补丁: “Win2K-KB835732-X86-CHS.exe”。,2019/7/19,39,建立部、省、市三级补丁分发管理系统,将补丁管理系统和补丁库部署到部级、省级和地、市级的补丁管理服务器,在全国公安信息网上实现统一的微软操作系
15、统补丁库维护、更新、管理和自动分发机制,为各级信息系统和联网计算机提供补丁自动分发服务,以利于各级信息中心准确、及时地掌握最新的漏洞信息并进行修补。,补丁系统简介,2019/7/19,40,公安信息网补丁源统一; 避免各地公安信息网自行下载、测试补丁所带来的大量重复工作; 避免部分用户安装可能带来危害的补丁(包括“假”补丁)进入公安信息网; 避免部分用户在外网打补丁的现象。,多级级联补丁系统的特点,2019/7/19,41,二、补丁分发管理系统构架,2019/7/19,42,补丁系统级联管理构架,2.1系统结构图,2019/7/19,43,使用端口客户端:22105(TCP/UDP) 服务器端
16、:88(备用188,TCP) 上下级级联端口:使用80转换的情况下:80(TCP)未使用80转换的情况下:2388、2399(TCP) Vrvanywhere:8800,8900(TCP),2019/7/19,44,客户端驻留程序Watchclient.exe 客户端服务 Vrvrf_c.exe 策略解析、程序调度 Vrvedp_m.exe 违规外联、补丁检测 Vrvsafec.exe 客户端保护,2019/7/19,45,设备扫描发现:扫描器扫描发现(一个管理器对应多个扫描器):ICMP探测TCP连接探测(Ping有回馈时执行)SNMP探测 客户端扫描发现UDP探测 ARP探测 3. 注册状
17、态判断:22105通讯是否正常,2019/7/19,46,设备注册相关:注册成功:服务器和客户端均保留用户填写的注册信息,客户端开机时可自动上报。 缺省注册成功:注册时与管理器未成功建立通讯连接,当客户端与管理器通讯成功后会自动将信息上报到服务器,同时在本地保存副本。,2019/7/19,47,被阻断设备的处理方法:未注册阻断:由扫描器调度被阻断设备邻近的注册计算机向被阻断设备发出ARP干扰,导致其无法进行网络通讯。 已注册阻断:由扫描器调度被阻断设备上的客户端程序执行自我阻断。 锁定模式:由客户端调度访问控制模块完成计算机的网络锁定。,2019/7/19,48,补丁管理功能:,补丁自动分发到
18、各省、市的补丁管理服务器; 补丁可根据管理员需要分发到各客户端; 可定时进行补丁检测和分发; 管理员可查询本地补丁修补的相关完成情况; 用户可访问专门的(内网)页面,下载、安装当前未安装的补丁; 补丁下载可进行客户端转发,以减少网络负载。,2019/7/19,49,用户补丁下载查询,用户可通过访问指定页面查询、下载安装未安装的补丁,2019/7/19,50,补丁下载地址为http:/*.*.*.*/Patchweb,2019/7/19,51,2019/7/19,52,2019/7/19,53,系统定义组以下各功能组说明:,新发现组:在前24小时发现的未注册设备。 脱缰组:曾经注册过,但由于卸载
19、探头或者注册设备网络原因无法与“一机 两用”服务器正常通讯,扫描4个周期。 受保护组:被设置为保护的设备。 信任组:被信任的设备;被勾选保护或信任的设备都相当于注册设备,保护 设备违规不会被阻断,信任设备违规会被阻断,但都会报警。 应注册未注册设备组:应注册未注册设备;MAC地址不为0的都为应注册设 备。 空MAC地址组:无法取得MAC地址的设备。 被阻断组:当前被管理员手动勾选阻断的设备。 今天注册设备组:当日24小时内注册的设备。 无效设备组:管理员勾选无效的设备;该组设备不算统计数据,在组外也无 法查询该设备,并且可以通过系统的阻断配置来阻断该设备。 长时间未使用组:超过90天未使用的设
20、备。 IP重复组:IP重复的设备。 MAC重复组:MAC重复的设备。,2019/7/19,54,二、 系统新升级后增加移动存储管理功能情况说明,2019/7/19,55,安全控制策略(安全策略专用存储设备),保密区,内网计算机,中间机,外网计算机,普通U盘/安全策略2存储设备,注册后的专用存储设备只有一个“保密区”,仅能在授权计算机上使用,在非授权计算机上不可用。 选择安全策略专用存储设备的用户,其计算机对非注册的移动存储设备为“完全禁止”。 用户将通过”中间机”完成内外网之间的数据交互工作。,安全策略1存储设备,专用存储设备功能,2019/7/19,56,保密区,内部计算机,交换区,安全控制
21、策略(安全策略专用存储设备),外部计算机,注册后的专用存储设备分为保密区、交换区、启动区。 保密区仅能在授权计算机上使用,在非授权计算机上不可用。 交换区通过用户密码认证后在内外网计算机均可使用。 启动区在授权计算机上不显示。在非授权计算机上显示工具。选择安全策略专用存储设备的用户,其计算机对非注册移动存储设备为“只读”。用户将通过“交换区”完成内外网之间的数据交互工作。,安全策略2存储设备,启动区,专用存储设备功能,2019/7/19,57,专用存储设备功能,1、双数据区交互使用 专用存储设备支持交互区和保密区划分。 交互区在授权计算机上透明使用,在外网或非授权计算机上支持口令登录使用; 保
22、密区在授权计算机上受控使用,在外网或非授权计算机上不可见。,2019/7/19,58,专用存储设备功能,2、全盘数据加密 采用AES128位高强度算法对磁盘全面加密; 在没有登录口令的情况下,使用任何第三方磁盘管理工具都无法获取内部加密数据。 在AES高强度加密基础上,采用8位以上字母、数字组合口令保护专用U盘的登录。,2019/7/19,59,3、授权访问控制专用存储设备配合终端计算机注册程序的安全策略,灵活控制不同数据区的访问权限;2个数据区的专用存储设备,其交换区和保密区在不同的部门、不同的计算机上用户使用权限不同(如禁止使用、只读使用、完全使用);整盘加密(仅有保密区)的专用存储设备只能在授权计算机上使用,在外网或非授权计算机上不可用。,专用存储设备功能,2019/7/19,60,专用存储设备功能,专用存储设备应用部署,控制台,2019/7/19,61,安装客户端软件,专用存储设备使用演示,第一:了解使用步骤流程,安全策略,管理员,用 户,注册授权,获取注册盘,使用,(U盘/移动硬盘),2019/7/19,62,第三:客户端安全策略接收,上述策略包括:对认证安全盘的读写控制;对部门之间的认证安全盘使用控制;对外来普通的盘的读写控制。同时在用户计算机桌面提供管理告警信息。,专用存储设备使用演示,2019/7/19,63,2019/7/19,64,谢 谢!,
