企业内部计算机终端应用安全问题及对策分析

企业内部计算机终端应用安全问题及对策分析摘 要长期以来计算机终端的信息安全一直是整个信息网络安全的一个重要环节，病毒、木马等恶意软件在计算机终端间的恶意传播，网络黑客的攻击，系统软件安全的漏洞，个人计算机安全意识淡薄等因素是影响整个计算机终端安全的几个重要因素。企业网作为互联网的延伸网络结构,得到了广泛采用。但由于互联网自身协议的开放性和部分网络用户安全保密意识的淡薄,现阶段各级企业网的信息安全工作正面临不小的压力和挑战。本文从计算机终端的安全现状、中小企业计算机终端管理现状，中小企业计算机终端安全管理问题的原因，以及应对终端安全问题提出应对措施等几个方面,为企业网中计算机终端信息安全管理工作提供参考。最后通过对中小企业计算机终端信息安全实践的研究,从中可以看到其如何解决身份认证、安全策略检查、病毒预防控制、网络隔离等方面的技术和方案,从而总结出一些先进的技术和理念。关键词：计算机终端安全；病毒预防；网络隔离 1. 引言计算机科学与技术的不断发展给人类创造了巨大的财富。尤其是计算机网络的发展, 使信息共享广泛用于商业、教育等各个领域。计算机终端安全是一个复杂的系统性问题, 它涉及到计算机网络系统中硬件、软件、运行环境、计算机系统管理、计算机病毒、计算机犯罪等系列问题 1。在企业信息化建设过程中,不仅公司内外部之间存在信息安全风险,不同的部门之间业务承载在同一张物理网络之上,出于安全性的考虑,必须采用技术手段进行安全隔离,而不同部门之间的部分资源又需要进行受控互访进行共享,所以隔离和互访是企业信息化建设中的必然需求。同时由于企业局域网的特殊性,为了防止关键数据被窃取和更改,必然要求对用户的访问权限加以限制,以保证数据的安全伴随着信息技术、网络技术的迅猛发展,世界经济发生了根本性的变化,以全球化、信息化、网络化、数字化为显著特征的新经济时代己经来临我们已置身于一个信息技术瞬息万变和消费者需求日益多元化的时代。大中型企事业单位、政府办公网络,桌面计算机数量众多,管理难度很大。计算机感染病毒、被安装木马(像目前最严重的灰鸽子),有些不明程序不断抢占 IP 地址造成其他机器无法正常工作,还有部分员工使用 BT、电驴下载工具等现象时有发生。由于难于发现有问题的电脑,难以对这些危险电脑进行定位,一旦问题发生,往往故障排查时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,非常容易导致网络阻塞,从而致使其他正常网络业务无法使用。以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(入侵检测)、网络互联设备即对交换机、集线器和路由器等的管理,却忽略了对网络环境中的计算单元一服务器、台式机乃至便携机的管理。正确、全面的认识终端桌面管理的发展趋势和技术特点,是 IT 研发厂商面临的发展抉择,同时也是企、事业 IT 管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题 2。计算机终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加，作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础网络安全产品体系之列。2. 计算机终端安全管理现状目前,世界各国也纷纷推出信息系统安全方面的各种计划和管理措施。以美国为例,自 1999 年至今,美国会已通过涉及计算机、互联网和信息安全问题的法律文件 379 个 3。法国也成立了跨部协调的计算机终端信息安全机构,由决策层、操作层、技术层及工业层组成。早在 20 世纪 80 年代中期,美国国家安全标准与技术研究所联合组建了美国国家计算机犯罪情报中心负责制定安全标准评估新建计算机系统的安全性能。随后,英、法、澳等国也建立相应的机构研究计算机犯罪。美国在采取技术措施的同时,还鼓励民间组织协会来解决个人、私人企业中的计算机终端系统安全问题。我国学术界对计算机终端系统信息安全的研究起步不算晚,主要的机构有中国计算机学会下属的计算机安全委员会、国家公安部计算机监察司等。1999 年,国家有关部门组织了“国家信息安全课题组”,该课题组经努力完成了国家信息安全报告,较详细地调查和评估我国计算机信息系统、网络系统及信息采集、加工、传递和应用的安全现状、问题及对策。该报告对强化我国信息安全体系具有重大的战略意义。我国于 1999 年底成立国家信息化工作领导小组,大力推进我国的计算机终端信息系统安全工作,实现我国计算机终端系统安全技术与管理的双发展。国内着眼于计算机终端系统的安全需求,从系统配置现状出发,以实际可行的方式建设安全系统,并符合可操作、有效果和能验证的原则。目前,比较成熟的安全技术主要有身份识别技术、访问控制机制、数据加密技术、数字签名技术、安全审计技术等。根据我国信息系统的安全状况,目前急需借鉴国外的经验和技术, 研究密码技术、系统扫描安全检查技术、网络攻击监控技术、信息内容监控技术、审计跟踪技术及证据收集、认定等安全技术,并组织开发相应的安全软件产品。3. 中小型企业计算机终端安全管理现状3.1 身份识别现状1、个人电脑口令设置未要求设置无开机密码和硬盘口令验证,开机后只要直接输入正确的管理员用户名和密码即可进行认证登陆电脑,接入公司网络。用户名和密码可以是普通用户权限,不要求一定用管理员帐号密码登录。口令安全可以说是系统的第一道防线,目前网上的大部分对系统的攻击都是从截获口令或猜测口令开始的,所以我们应该选择更加安全的口令,杜绝不设口令的账号存在。开机密码和管理员密码可以是一样的,也可以是不一样的。区别在于,开机密码是用来防止他人乱用你的个人电脑而设的一道防线。而管理员密码是你在使用电脑时对电脑进行设置和修改设置的一个身分识别的方式。除密码之外,用户账号也有安全等级,这是因为每个账号可以被赋予不同的权限,因此在建立一个新用户帐号时,系统管理员应该根据需要赋予该账户不同的权限,并且归并到不同的甩户组中。简单的说就是:开机密码:决定谁可以使用电脑。管理员密码:决定谁可以对电脑的设置进行修改,谁对电脑有完全的掌控权。2、供应商等其他外部电脑终端在公司内部办公区可直接接入内部网络使用。任何一台正常工作的电脑,只要带到公司连接上网线即可接入内部网络,访问和使用公司的资源,当然也可以拷贝一些内部资料到其电脑上。3、公用电脑口令设置部分电脑是部门级的公用电脑,用于存放部门的公共资料或公用的数据信息等。对于这类电脑的用户名和密码一般都是公开的,也没有设置相应的责任人,只要输入相应的用户名和密码即可登录电脑,接入公司网络,访问公司资源,也可以随意从公司的相关服务器拷贝资料等。4、计算机终端上安装的非法软件多由于对身份识别没有有效控制,同时对非法软件没有自动化的检测,造成员工在计算机终端上安装的非法软件多,公司网络上病毒扩散快,由于病毒原因造成的网络故障多。3.2 补丁安全、防病毒技术现状目前,90%以上的端终用户使用的是 windows2000,XP 或以上的操作系统,而这几种系统的安全漏洞又非常多,微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于端终用户缺乏相关知识,导致补丁安装的不完全,不及时,这就会严重影响终端计算机的安全,从而导致更严重的整个内网安全问题。公司使用 Symantec 的Norton Antivirus 防病毒软件,防病毒软件采用集中管理的方式,即可以自动升级和更新,按规定所有员工都必须安装,定期由各部门的信息安全专员进行抽查,未安装者有相应的处理措施,视影响大小而定,如提醒安装、通报批评等。对于没有安装的电脑没有高效地、有用的检查措施。在公司的文件服务器上放置最新的系统补丁、病毒定义文件。公司发布公告邮件,员工自行到公共服务器上下载最新发布的系统补丁和病毒软件。对系统和防病毒软件进行升级。员工是否按要求进行升级无法自动检测到,只能靠部门信息安全专员定期抽查来检测。对内部终端接入外部互联网的权限控制不严格,造成内部终端感染病毒类型多,无法有效管理和控制。经常造成网络故障,影响正常办公和企业信息安全,漏洞数量居高不下。3.3 终端接入现状 在内网,通过域认证加入域后,不管域用户是不是管理员帐号,终端将自动接入公司网络。在外网,在计算机终端未关机的状态下,通过安装的远程终端控制软件即可接入控制内部计算机终端；在外部互联网通过 FTP 方式可登陆公司内部文件服务器；在外部互联网通过 VPN 认证后,即可接入公司网络,如 IT 人员可以登陆公司内部交换机进行配置维护,普通员工可以收发邮件,访问相关服务器等。权限管理较弱,终端接入场景设置不够,不能有效管理和控制终端接入。公司内部办公区域网络未做隔离,公共区域的终端可以直接访问敏感区域的服务器。流氓软件肆意流传,严重影响网络安全,导致病毒传播或者数据丢失事件时有发生。对使用了 USB 接口的事件没有记录，造成发生问题后无法追溯。同时对于违规使用 USB 接口的人员无法进行审计。3.4 终端信息安全管理体系现状 4-51、员工对终端信息安全部重视由于信息安全管理体系中没有明确的组织架构,导致终端信息安全的重要性体现不足。相关管理人员没有有效的权利推行相关制度和监管制度的执行情况。另一方面,相关员工对终端信息安全工作的认识不足。2、终端信息安全管理相关规范制度缺乏,且难以有效实施。整个管理体系,仅有一些管理的规章制度,并且这些制度仅仅是停留在纸面上。并没有有效的去推行和监督制度的执行情况。3、终端信息安全违规事件的严重等级比较混乱类似场景的违规事件,在不同的部门判定的违规等级以及类型经常都不一致,导致员工认可度不高。4. 终端安全管理问题及原因分析4.1 身份识别存在的问题及原因分析1、供应商等其他外部电脑终端在公司内部办公区可直接接入内部网络使用在一些合作项目中,供应商经常带电脑或者其他外部终端到公司内部进行办公。一般情况下需要接入公司的网络,但对外部终端是否带病毒,是否安装了违规软件等情况无法实现自动检测,并且内部网络没有进行区域隔离。这样一方面很容易造成病毒在内部网络中扩散,另一方面很容易造成非相关人员轻易访问到敏感区的信息,从而造成内部资料的外泄。2、部分电脑的密码公开,供多人使用这种情况在新员工大量招聘培训阶段较突出,由于新员工大量集中培训,就存在多人合用一台电脑的情况。这样就存在同一电脑终端上不同员工的资料信息流失。另一方面由于未实行区域网络隔离,就有可能造成敏感区域的资料外泄。对于公共电脑的使用,应该有管理员建立分配不同的普通账户给到相应的使用人员。但目前公司基于对员工的充分信任,对公共电脑的管理没有严格的规章制度去约束。员工在使用公共电脑时,都是使用公开的管理员帐户密码进行登陆使用“从而造成信息数据的外泄。3、由于无开机密码或硬盘密码的认证要求员工只要知道电脑的任何一个用户名和密码即可使用公司的网络资源,接入公司网络,导致一些机密信息容易被盗取,公司的利益可能受到威胁。公司前期对这一块信息安全工作重视不够,没有对开机密码设置做硬性规定,导致非授权人员可以轻易启动电脑。4、由于病毒原因造成的网络故障多由于对身份识别没有有效控制,同时对非法软件没有自动化的检测,造成员工在计算机终端上安装的非法软件多,公司网络上病毒扩散快,由于病毒原因造成的网络故障多。4.2 终端接入存在的问题及原因分析1、对使用了 USB 接口的事件没有记录,造成发生问题后无法追溯员工可以随意使用 USB 接口,如使用 U 盘拷贝资料或从其他介质导数据、文件等。诸如 U 盘之类的存储介质经常被病毒感染,如果员工将电脑与带有病毒的 U 盘连接时很容易感染病毒。因此没有对USB 接口进行控制和管理,对于使用 USB 接口导致病毒传播的事件也无法进行审计。可见 USB 接口的统一管理也公司信息安全管理需要加强的方面。2、对流氓软件的下载和安全没有控制公司虽然有关于不能随便安装非标准软件的规定,但是由于个别员工对公司规定重视不够,为图方便随意安装小软件或者工具。光有相关的规定是不够的,而且应该在类似事件发生时得到控制,即对类似软件的安装和下载通过工具统一管理和检测,即在事件发生时得到制止或控制。因此,容易在文件下载或安装的过程中导致电脑中病毒或者被恶意软件攻击,严重影响网络安全。4.3 补丁安全、防毒技术存在的问题及原因分析1、现有的技术不能有效清除蠕虫病毒由于蠕虫是利用系统的漏洞来感染,并且获取了系统的最高权限,传统的防病毒只能在安全模式下根据病毒特征进行查杀,查杀后还会被感染,不能彻底清除蠕虫。2、现有的技术不能防止计算机终端被蠕虫感染由于蠕虫是利用系统的漏洞来感染系统的,只要漏洞存在,没有安装补丁,因此单纯靠防病毒软件并不能防止蠕虫感染系统。3、现有的技术方案,主要是单机或者网络版本的防病毒软件由于病毒、蠕虫的传播快速、破坏性