1、 降低網(wǎng)絡(luò)平安風(fēng)險通訊處信息中心二O一O年十一月目錄一、小組概略二、選題理由三、現(xiàn)狀調(diào)查四、設(shè)定目的五、緣由分析六、要因確認(rèn)七、制定對策八、對策實施九、效果檢查十、穩(wěn)定措施十一、下一步計劃組建時間2021.3注冊編號: TX202103011注冊時間:2021.3小組成員7人信息中心QC小組活動課題：降低網(wǎng)絡(luò)平安風(fēng)險所在單位：長慶油田公司通訊處信息中心平均年齡35歲課題類型攻關(guān)型活動次數(shù)12次活動時間2021.03-2021.11TQC教育人均32小時1小組概略1小組概略 小 組 成 員序號姓名性別年齡職務(wù)職稱文化程度職務(wù)TQC教育時間1李世紅男35主任高工研究生組 長32小時2秦 博男36副

2、主任工程師本科副組長32小時3陳高輝男35責(zé)任工程師研究生組員32小時4李育青女28工程師本科組員32小時5賀 亮男31工程師本科組員32小時6陳秀芳女41工程師本科組員32小時7王建興男40工程師本科組員32小時2選題理由優(yōu)先保證正常業(yè)務(wù),確保主干網(wǎng)絡(luò)平安成為當(dāng)前亟需處理的問題。平安防護(hù)手段單一，缺乏運用級別的網(wǎng)絡(luò)平安防護(hù)手段，導(dǎo)致油田網(wǎng)絡(luò)平安風(fēng)險極高。降低網(wǎng)絡(luò)平安風(fēng)險P2P等非正常業(yè)務(wù)占用大量網(wǎng)絡(luò)帶寬，呵斥網(wǎng)絡(luò)擁塞。病毒攻擊影響主干網(wǎng)絡(luò)正常運轉(zhuǎn)。消費要求課題選定技術(shù)現(xiàn)狀現(xiàn)場反響3現(xiàn)狀調(diào)查 經(jīng)過近幾年的建立，油田計算機(jī)主干網(wǎng)絡(luò)曾經(jīng)成為中心萬兆互聯(lián)，骨干網(wǎng)雙2.5Gbps互聯(lián)的冗余星型網(wǎng)絡(luò)架構(gòu)

3、。網(wǎng)絡(luò)帶寬大幅提升，接入單位帶寬到達(dá)千兆，單機(jī)網(wǎng)絡(luò)帶寬到達(dá)百兆以上，廣域網(wǎng)帶寬提高20倍以上，公網(wǎng)出口帶寬到達(dá)3700M。隨著網(wǎng)絡(luò)系統(tǒng)處置性能及網(wǎng)絡(luò)帶寬的快速提升，網(wǎng)絡(luò)平安壓力劇增，網(wǎng)絡(luò)平安風(fēng)險急速添加。1、公司主干網(wǎng)現(xiàn)狀3現(xiàn)狀調(diào)查 P2P等運用充斥網(wǎng)絡(luò)，大量占用有限的出口帶寬，無法保證關(guān)鍵辦公業(yè)務(wù)，也對其他增值業(yè)務(wù)的展開呵斥影響，網(wǎng)絡(luò)資源耗費與產(chǎn)值的正比關(guān)系難以維持。由于無法了解流量詳細(xì)組成情況，網(wǎng)絡(luò)晉級缺乏科學(xué)根據(jù)，能夠呵斥晉級頻繁依然趕不上流量增長的速度。1P2P帶寬濫用，呵斥網(wǎng)絡(luò)擁塞。2病毒攻擊沖擊網(wǎng)絡(luò)，呵斥網(wǎng)絡(luò)癱瘓。 來自內(nèi)網(wǎng)的攻擊流量沖擊企業(yè)出口防火墻設(shè)備，占用有限的出口帶寬，影響

4、全網(wǎng)的業(yè)務(wù)運用，使出口防火墻的性能下降。 來自內(nèi)網(wǎng)和外網(wǎng)的攻擊影響內(nèi)部重要業(yè)務(wù)的正常運轉(zhuǎn)。2、面臨問題4設(shè)定目的 根據(jù)網(wǎng)絡(luò)運用現(xiàn)狀及面臨問題，本QC小組決議從以下兩個方面來降低網(wǎng)絡(luò)平安風(fēng)險，確保油田各項網(wǎng)絡(luò)業(yè)務(wù)的正常運轉(zhuǎn)。2實現(xiàn)對大于1M攻擊流量的檢測清洗。1將辦公時間的P2P流量占用率控制在不大于20%。目的值制定根據(jù)：經(jīng)過調(diào)查分析結(jié)合長慶網(wǎng)絡(luò)現(xiàn)狀，在對網(wǎng)絡(luò)影響最小情況下，現(xiàn)有的P2P控制技術(shù)最多只能將P2P流量占用率控制在不大于20%的范圍內(nèi)。(2)當(dāng)前網(wǎng)絡(luò)攻擊檢測手段可以檢測清洗的攻擊流量最小為1M。5緣由分析P2P流量占用率高攻擊流量不能處置培訓(xùn)不到位學(xué)習(xí)才干缺乏用戶平安防備認(rèn)識缺乏無

5、法正確識別網(wǎng)絡(luò)流量缺乏流量統(tǒng)計分析的根底數(shù)據(jù)控制方式單一效率低下缺乏流量清洗手段設(shè)備平安性能缺乏攻擊技術(shù)更新快，平安事件頻發(fā)技術(shù)人員程度缺乏6要因確認(rèn)序號末端因素確認(rèn)內(nèi)容確認(rèn)方法標(biāo)準(zhǔn)負(fù)責(zé)人完成時間分析結(jié)果1培訓(xùn)不到位技術(shù)人員是否經(jīng)過充分培訓(xùn)調(diào)查分析經(jīng)過理論與實踐培訓(xùn)賀亮 2010.4.25要因2學(xué)習(xí)能力不夠檢查技術(shù)人員學(xué)習(xí)能力調(diào)查分析培訓(xùn)后考核成績合格賀亮2010.4.27非要因3用戶安全防范意識不足調(diào)查主機(jī)安全防護(hù)情況抽樣調(diào)查符合集團(tuán)公司桌面安全管理規(guī)定李育青2010.4.21非要因4無法正確識別網(wǎng)絡(luò)流量流量識別方式調(diào)查分析能夠?qū)Ω鞣N網(wǎng)絡(luò)流量進(jìn)行有效辨別。李育青2010.4.24要因5缺乏流

6、量統(tǒng)計基礎(chǔ)數(shù)據(jù)流量分析手段是否具備調(diào)查分析能對重要流量指標(biāo)進(jìn)行統(tǒng)計分析陳高輝2010.5.1要因6流控模式單一流控手段是否完善調(diào)查分析有效控制網(wǎng)絡(luò)流量陳高輝2010.5.6要因7缺乏流量清洗手段是否具備流量清洗手段調(diào)查分析有效清洗主干網(wǎng)異常流量陳高輝2010.5.9要因8安全性能不足現(xiàn)有硬件設(shè)備安全性能調(diào)查分析安全性能滿足油田網(wǎng)絡(luò)安全需求李育青2010.5.13非要因9攻擊技術(shù)更新快，安全事件頻發(fā)攻擊技術(shù)是否快速更新調(diào)查分析攻擊技術(shù)更新速度高李育青2010.5.14非要因確認(rèn)一、培訓(xùn)不到位對技術(shù)人員進(jìn)展培訓(xùn)調(diào)查，發(fā)現(xiàn)相關(guān)網(wǎng)絡(luò)技術(shù)人員都未經(jīng)過實際與實際的系統(tǒng)培訓(xùn)和學(xué)習(xí)，培訓(xùn)不到位直接影響到人員技

7、術(shù)程度無法迅速提高。結(jié)論：培訓(xùn)不到位是主要緣由。6要因確認(rèn)確認(rèn)二：人員學(xué)習(xí)才干不強(qiáng)對相關(guān)技術(shù)人員人員情況進(jìn)展調(diào)查發(fā)現(xiàn)，人員學(xué)歷均為本科學(xué)歷及以上。檢查信息中心其他培訓(xùn)考核記錄發(fā)現(xiàn)，考試成果均為合格及以上,并有自學(xué)經(jīng)過網(wǎng)絡(luò)技術(shù)考試的情況，闡明技術(shù)人員學(xué)習(xí)才干比較強(qiáng)。結(jié)論：人員學(xué)習(xí)才干不強(qiáng)不是主要緣由。6要因確認(rèn)經(jīng)過對用戶進(jìn)展抽樣調(diào)查發(fā)現(xiàn)，廣泛存在重運用、輕平安的認(rèn)識，個人PC不符合集團(tuán)公司桌面平安管理規(guī)定，容易感染病毒，但由于用戶數(shù)量大、分散等緣由提高用戶平安防備認(rèn)識不是本QC小組處理才干范圍之內(nèi)。結(jié)論：用戶平安防備認(rèn)識缺乏不是主要緣由。確認(rèn)三、平安防備認(rèn)識缺乏確認(rèn)四、無法識別網(wǎng)絡(luò)流量 對主干網(wǎng)

8、調(diào)查發(fā)現(xiàn)，只需出口防火墻具有根本流量識別才干，但流量識別不屬于防火墻主要功能，識別方式單一，才干不均，存在大量網(wǎng)絡(luò)流量無法識別的景象。 結(jié)論：無法識別網(wǎng)絡(luò)流量是主要緣由。 6要因確認(rèn)經(jīng)過網(wǎng)絡(luò)現(xiàn)狀調(diào)查發(fā)現(xiàn)缺乏內(nèi)網(wǎng)流量歷史統(tǒng)計數(shù)據(jù)，無法對網(wǎng)絡(luò)流量進(jìn)展綜合統(tǒng)計與分析，各種運用及各類用戶對網(wǎng)絡(luò)帶寬的占用情況不明，導(dǎo)致對網(wǎng)絡(luò)平安風(fēng)險無法進(jìn)展有效識別。結(jié)論：缺乏流量歷史數(shù)據(jù)是主要緣由確認(rèn)五、缺乏流量歷史統(tǒng)計數(shù)據(jù)確認(rèn)六、流量控制手段單一,效率低下 目前主干網(wǎng)內(nèi)流量控制手段僅限于路由器、交換機(jī)限速以及根本QoS保證戰(zhàn)略的設(shè)置，這些手段只能基于IP與端口進(jìn)展控制, 而作為帶寬消費大戶的P2P運用的特點是:通訊流

9、量宏大、種類繁多、無固定效力端口、特征變化迅速、檢測困難。因此現(xiàn)有的流控手段對這些運用的控制面臨局限.結(jié)論：控制方式單一是主要緣由 6要因確認(rèn)現(xiàn)有網(wǎng)絡(luò)路由器交換設(shè)備平安功能缺乏，但設(shè)備平安功能屬設(shè)備自帶，屬于不可更改要素。結(jié)論：設(shè)備平安功能缺乏不是主要緣由確認(rèn)七、缺乏流量清洗手段確認(rèn)八、設(shè)備平安功能缺乏經(jīng)過對網(wǎng)絡(luò)調(diào)查發(fā)現(xiàn)，主干網(wǎng)層面缺乏對網(wǎng)絡(luò)流量牽引、過濾及回注的過濾清洗手段。結(jié)論：缺乏流量清洗手段是主要緣由6要因確認(rèn)確認(rèn)九、攻擊技術(shù)更新速度快，互聯(lián)網(wǎng)平安事件頻發(fā) 互聯(lián)網(wǎng)飛速開展，攻擊技術(shù)日新月異，各種平安事件頻發(fā)?；ヂ?lián)網(wǎng)平安環(huán)境惡劣，但這是當(dāng)前互聯(lián)網(wǎng)普遍存在的平安問題,為不可抗拒要素。結(jié)論：

10、攻擊技術(shù)更新速度快不是主要緣由.序號要因?qū)Σ吣繕?biāo)措施負(fù)責(zé)人完成日期實施地點1培訓(xùn)不到位 加大相關(guān) 技術(shù)培訓(xùn)掌握相關(guān)技術(shù)送外培訓(xùn)每周進(jìn)行內(nèi)部專題培訓(xùn)賀亮2010.10機(jī)房2無法有效識別網(wǎng)絡(luò)流量進(jìn)行網(wǎng)絡(luò)流量分析識別正確識別80%的網(wǎng)絡(luò)流量對網(wǎng)絡(luò)的多個層次進(jìn)行聯(lián)合檢測和識別。李育青2010.10機(jī)房3缺乏流量統(tǒng)計數(shù)據(jù)進(jìn)行流量統(tǒng)計分析對內(nèi)網(wǎng)流量可以進(jìn)行統(tǒng)計分析在相關(guān)設(shè)備上進(jìn)行數(shù)據(jù)采集，采樣間隔5min。陳高輝2010.10機(jī)房4流控模式單一完善流控手段將P2P等流量進(jìn)行控制在出口總流量20%以內(nèi)。部署流控系統(tǒng)配置安全策略陳高輝2010.10機(jī)房5缺乏流量清洗手段研究流量清洗手段對大于1M的攻擊流量進(jìn)行

11、清洗部署清洗系統(tǒng)，配置清洗策略陳高輝2010.10機(jī)房7制定對策8對策實施實施一、加大培訓(xùn)力度 處理方法：針對目前中心技術(shù)人員流量優(yōu)化技術(shù)程度缺乏的現(xiàn)狀，首先對部分技術(shù)人員送外培訓(xùn)到各網(wǎng)絡(luò)平安設(shè)備廠商學(xué)習(xí)網(wǎng)絡(luò)防護(hù)的相關(guān)知識和技術(shù)。其次每周進(jìn)展內(nèi)部專題培訓(xùn)，聘請網(wǎng)絡(luò)平安設(shè)備廠家等專業(yè)技術(shù)人員對一切技術(shù)人員進(jìn)展相關(guān)知識培訓(xùn)。最后積極開展技術(shù)人員間的相互交流活動進(jìn)展技術(shù)及閱歷的共享。8對策實施培訓(xùn)及交流效果評價：實施后，明顯提高了技術(shù)人員流量優(yōu)化技術(shù)程度。8對策實施8對策實施實施二、識別網(wǎng)絡(luò)流量處理方法：8對策實施實施二、識別網(wǎng)絡(luò)流量 處理方法：我們在互聯(lián)網(wǎng)出口處實行流量分光鏡像，經(jīng)過對流量的IP地

12、址、源/目的端口、會話信息以及運用層數(shù)據(jù)的深化分析，繼而進(jìn)展特征值比對，可以識別L2到L7層的各種協(xié)議和運用， 目前實現(xiàn)了對P2P、網(wǎng)絡(luò)游戲、炒股軟件、網(wǎng)絡(luò)管理協(xié)議等等常用運用協(xié)議進(jìn)展有效識別。 效果評價：經(jīng)過現(xiàn)場檢驗，該措施實行后，已能識別大部分協(xié)議運用的網(wǎng)絡(luò)流量。8對策實施實施二、識別網(wǎng)絡(luò)流量 處理方法：在網(wǎng)管及其他相關(guān)設(shè)備上對帶寬利用率，占用帶寬最多的用戶和運用類型等數(shù)據(jù)進(jìn)展搜集整理并以圖表、報表等方式展現(xiàn)出來。 效果評價：實施后，流量可以進(jìn)展統(tǒng)計分析，為網(wǎng)絡(luò)規(guī)劃、擴(kuò)容等任務(wù)提供決策根據(jù)。8對策實施實施三、進(jìn)展流量統(tǒng)計分析 處理方法：研討并運用新興流量控制技術(shù)，采用流量分光鏡像干擾包方式

13、,在周一到周五任務(wù)時間段對用戶P2P運用進(jìn)展干擾，降低P2P在出口帶寬的比例。8對策實施實施四、流量控制8對策實施實施四、流量控制效果評價：實施后，周一到周五7：30-23：00,P2P流量占總帶寬比例不超越20%。 處理方法：研討并運用異常流量清洗技術(shù)，采用了國內(nèi)獨創(chuàng)運用的旁路部屬BGP引流回注方式，根據(jù)長慶網(wǎng)絡(luò)流量特點，運用上行流量戰(zhàn)略引流，下行異常流量的BGP動態(tài)引流，清洗后回注的方式，保證了正常業(yè)務(wù)的平安運用，將病毒攻擊等對數(shù)字化運用系統(tǒng)及用戶的影響降低到了最小。 效果評價:經(jīng)過異常流量清洗技術(shù)在西安網(wǎng)絡(luò)中心的部署，曾經(jīng)實現(xiàn)了到數(shù)據(jù)中心、消費指揮中心、集團(tuán)公司、互聯(lián)網(wǎng)等業(yè)務(wù)方向網(wǎng)絡(luò)數(shù)據(jù)

14、的實時監(jiān)測，可以自動監(jiān)測發(fā)現(xiàn)網(wǎng)絡(luò)中存在的異常攻擊流量，并清洗過濾掉異常攻擊流量，確保正常網(wǎng)絡(luò)流量不受影響，實現(xiàn)了中心層和接入層的網(wǎng)絡(luò)平安防護(hù)，保證了消費業(yè)務(wù)的平安通暢，消除了潛在平安隱患。8對策實施實施四、研討流量清洗技術(shù) 8對策實施監(jiān)測中心清洗中心管理中心效力器攻擊流量正常流量分析數(shù)據(jù)平安戰(zhàn)略Internet流量分光 路由戰(zhàn)略互聯(lián)網(wǎng)對內(nèi)網(wǎng)的攻擊8對策實施監(jiān)測中心清洗中心管理中心Internet流量分光效力器用戶用戶用戶用戶攻 擊 流量正 常 流量清洗后流量內(nèi)網(wǎng)用戶對效力器的攻擊9效果檢查 序號項目效果1將P2P流量控制在20%以下2對大于1M的攻擊流量進(jìn)行清洗 11月總共有118,892.6

15、GB的流量進(jìn)入清洗系統(tǒng)，其中有574.0GB的攻擊流量成功的被清洗掉。(1)目的完成情況: 實施QC活動后，經(jīng)過一段時間的運轉(zhuǎn)，證明到達(dá)了QC小組原先設(shè)定的目的，情況統(tǒng)計如表下所示 ：案例闡明： 油田內(nèi)部某單位網(wǎng)內(nèi)單位用戶千兆接入公司計算機(jī)主干網(wǎng)，因用戶主機(jī)UDP-FLOOD攻擊互聯(lián)網(wǎng)主機(jī)呵斥，其所在單位網(wǎng)絡(luò)幾乎中斷，流量清洗系統(tǒng)對攻擊流量進(jìn)展清洗，骨干網(wǎng)及互聯(lián)網(wǎng)出口網(wǎng)絡(luò)未遭到影響，某病毒主機(jī)11日開場攻擊網(wǎng)絡(luò)，攻擊流量到達(dá)200Mbps，13日封鎖此主機(jī)后流量正常。 (2)社會效益: 本次QC活動采用的技術(shù)先進(jìn)，很多在國內(nèi)企業(yè)網(wǎng)屬于開創(chuàng)性技術(shù)，異常流量清洗技術(shù)在國內(nèi)企業(yè)網(wǎng)內(nèi)屬首先運用，采用的網(wǎng)絡(luò)平安架構(gòu)合理技術(shù)先進(jìn)，很好的保證了油田消費及數(shù)字化管理系統(tǒng)的運轉(zhuǎn)。 (3)自我評價 經(jīng)過本次QC活動的實施，小組成員對其認(rèn)識到達(dá)了從量變到量變的提高。編號項目自我評價活動前（5）活動后（5）1質(zhì)量意識452個人能力343QC知識444解決問題的信心455團(tuán)隊精神4510穩(wěn)定措施向值班人員普及流量監(jiān)測及統(tǒng)計方法，并將流量監(jiān)測納入日常值班監(jiān)測管理任務(wù)中