校园通用型发生网络安全事件解决方案

已知校园多教学楼、多教学机房、非标网络机房缺乏防护设备、检测设备、安全保护软件(杀软)

切断所有外网，断网理！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

部署路由系统可选择爱快、routeros、openwrt、lede。等。可将日志上传到日志分析系统。《这项非必要的》

部署开源防火墙可选择pfsense、opnsense、snort，suricata、bro、zeek。等。旁路监测或串联当ips，可将日志上传到日志分析系统。《这项非必要的》

部署开源雷池WAF。等。保护业务系统的基于web被攻性。可将日志上传到日志分析系统。《这项非必要的》

部署沙箱也就是自动化动态恶意软件分析系统cuckoosandbox、malwarebytes。等。可将日志上传到日志分析系统。《这项非必要的》

核心交换机配置端口镜像操作联系官方400或查阅产品对应配置手册，这里就不详细讲解了。《必要的》

使用OneDNS公益版对内外网连接做到威胁监测。《必要的》

部署开源DNS系统可选择adguardhome。等。将局域网内所有终端设置成内网dns服务器，来过滤病毒，广告，成人等。《必要的》

部署流量分析系统可选择派网NTM、流影Flowshadow，Elastiflow，ntopng，Malcolm套件。arkime。等。接入交换机端口镜像到流量分析系统进行实时流量态势分析及数据包存储。派网ntm社区版本日志存储7天，PCAP存储256G，存储带宽100m/s落盘超出则丢弃。可将日志上传到日志分析系统。《必要的》

部署企业杀毒软件可选择火绒企杀能试用90天，深信服EDR、开源EDR之Wazuh，whids。thehive。等。调整企杀策略保证自动发现、自动处理、定时漏扫病毒、定时扫描漏洞功能，可将日志上传到日志分析系统。《必要的》

部署蜜罐系统可选择Hfish。等。Hfish是一款社区型免费蜜罐，侧重企业安全场景，从内网失陷检测、外网威胁感知、威胁情报生产三个场景出发，为用户提供可独立操作且实用的功能，通过安全、敏捷、可靠的中低交互蜜罐增加用户在失陷感知和威胁情报领域的能力。可将日志上传到日志分系统。《必要的》

部署日志分析系统可选择elk、elfk、elkk、graylog、Splunk、炎黄数据的鸿皓。等。将终端开启组略审计功能并将系统日志通过syslog发送到日志分析系统。《必要的》

如有一定技术功底可以手动抓包。Wireshark、pyshark、TcpDump、Fiddler、sniffnet。proxypin。等。科来网络分析系统 可以说是Wireshark的升级版对小白友好。如抓的包不会分析可以将数据包上传到在线流量分析平台 入侵检测平台 及 packettotal 及 dynamite。

平时运维关注流量分析系统和日志分析系统，如把流量分析系统的日志发送到日志分析系统上那只关注日志分析系统即可，根据日志分析平台调整防火墙威胁情报IP/域名黑名单。

最后更多解决方案可以联系我们。安全服务包括基础安全服务、安全监测与处置服务、响应恢复、安全培训等。安全服务团队拥有领先的风险管理技术、丰富的信息咨询经验、专业化的人才、庞大的资源库，可为客户提供量身定做的专业咨询服务。