浅谈企业计算机终端安全管理.doc

浅谈企业计算机终端安全管理计算机终端是大多数用户访问网络和数据的工具，但是许多企业、组织却在信息安全管理及部署中忽略了对终端的控制，通常一个企业或组织会把精力集中放在部署防火墙等边界安全防护上来保护其内部数据不受外来入侵者的非法访问，却因为对计算机终端的管理不善而造成数据丢失或系统被入侵，因此确保终端计算机的安全性已成为企业信息安全保障工作中的重要环节，在此背景下，省公司重点提出了在科学有效地部署计算机终端安全防护体系中应注意的问题，以及应对的措施。一、 引言随着近年来的信息化进程越来越迅速，信息安全问题也逐步被重视，但现今人们主要把精力都集中在网络边界的防护上，而研究表明引起信息安全问题事件的大多数原因是由于对网络内部IT终端的管理不善而造成的，据CERT报道有九成以上的安全问题是由于计算机终端系统的脆弱性及配置不当造成的，诸如缺少补丁，脆弱的用户名密码或开启不必要的服务等，可见计算机终端的安全管理已经成为信息安全的最大潜在威胁。网络安全呈现出了新的发展趋势，安全战场已经逐步由对核心与主干的防护，转向对网络边缘的每一个终端的管理。因此，研究如何在等级保护环境下科学有效部署计算机终端安全防护体系，是当前省公司信息安全保障工作中迫在眉睫的任务。二、 内网计算机终端的威胁现状信息安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然的恶意的原因遭到破坏、更改和泄露。经过总结，目前认为危害内网终端计算机信息安全的主要因素有以下几个方面：1）缺乏终端网络准入机制：有些计算机终端未经任何身份认证和安全认证，就可以随意接入网络，访问网络和计算机的资源,对整个网络和应用造成很大的安全威胁。2）系统漏洞的广泛存在：包括操作系统、浏览器、办公软件以及媒体播放器等常用软件的漏洞广泛存在。如果漏洞补丁安装不完全、不及时，将给病毒、木马、恶意软件等入侵系统造成可乘之机。3）木马、病毒等恶意软件的攻击手段层出不穷：计算机病毒是一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序使其含有该病毒程序的一个副本。一旦病毒执行时，它可以完成任何功能，例如删除文件和程序等。在实际工作中需要从互联网上下载信息后在内网上应用。因此在内网中要求采用刻录光盘的方式进行内网和互联网之间的传递。但是如果将感染了病毒的文件刻录到的光盘中，然后在内网终端计算机上使用，内网终端计算机也会感染上病毒，病毒也会在内网中传播。然而，有的终端计算机不安装防病毒、防黑客软件，即使安装了不及时升级更新病毒特征库。4）用户缺乏安全知识：有些用户缺乏必要的信息安全知识，未能及时采取合适的安全防护措施保护终端，如安全配置不正确、系统补丁安装不完全、不及时，防病毒软件及其他常用软件未及时升级等。有些用户安全意识淡薄，在非涉密终端上处理涉密或敏感信息，直接导致涉密或敏感信息泄密。5）欠缺对终端计算机用户的行为监控：有的用户可在终端计算机上能随意安装、运行软件，这些软件很有可能带有恶意代码，或者随意拷走涉密文件，违规使用涉密移动存储设备，造成泄密事件的发生;或者故意在终端上运行恶意软件，传播恶意代码、实施破坏或窃密。而在一些内网中对用户操作行为欠缺方便、及时和强大的安全监控和日志审计功能，对用户的违规甚至违法行为无法报警和记载。三、 内网计算机终端安全管理的目标与要求从信息系统安全保护等级的角度对终端计算机系统进行了五个安全等级的划分。在身份鉴别（认证）、访问控制、数据加密、病毒防护、系统加固、安全审计等方面，其针对各安全级别计算机终端保护都提出了清晰的安全目标与基本要求。简单总结来看，对于计算机终端安全保护的安全目标基本可概括为能够监测和分析终端安全状态，可以控制和记录终端的操作行为，统一配置终端安全策略，以使终端“可信、可控、可管、可用”，保护终端正常、安全地运行。从基本要求来看，对计算机终端安全保护提出了技术和管理两方面的基本要求，组织机构在实施等级保护工作时可根据相关国家标准来完善各等级信息系统的计算机终端安全保护措施。四、 内网计算机终端安全管理体系(一) 信息安全的管理措施1. 增强信息安全保护意识有的人认为：要想保证信息安全，只需要把安全方案做的详细，硬件设备和软件产品配置的先进就可以了。这是一种错误的想法。信息安全工作靠这些是远远不够的，或者说也仅仅是治标不治本。要实行“人防”和“技防”相结合, 一方面抓紧配置必要的技术装备,另一方面掌握必备的防范手段, 不断提高管理和操作人员的业务水平和技术防范能力。抓好思想教育，通过召开全体大会，剖析典型案例，提高全体人员对计算机信息安全重要性和必要性的认识，克服麻痹大意思想，自觉在工作中养成良好安全意识。2. 建立和完善信息安全制度为了真正实现对数量众多和环境复杂的网络终端进行有效的管理，还需要配套制定相应的管理制度，加强规范管理和制度控制。制定一系列安全管理制度用于规范管理和操作人员的行为，明确具体责任，制度要有很强的可操作性。只有这样，才能保证它的有效实施。如制定相应的机房出入管理制度，口令密码管理制度等；制定严格的操作规程，操作规程要根据职责分离和对人负责的原则，各负其责，不能超越自己的管辖范围；制定完善的系统维护制度，详细记录故障原因、维护内容和维护前后的情况；制定信息安全应急响应预案和处理办法，形成完整的信息安全保障制度。3. 提高保障信息安全技能信息化建设是科技含量很高的工作，需要集结一批有专业素质的人才队伍。为了适应信息技术迅猛发展的现实，也需要对现有信息技术人员进行有针对性、适应实际需要的培训，提高专业队伍的素质水平。同时，信息安全工作做的好，需要每一名终端使用者掌握一定的信息安全方面的知识。因此，应该结合各自实际，加大全员培训力度，达到人人熟悉设备性能，个个掌握安全知识，时时处处能应用各种防范措施，防止因操作失误造成安全和泄密事故。(二) 信息安全的技术措施1. 身份认证，通过身份认证的终端才能进入内部网络接入控制身份认证是终端安全的“大门”，进入“大门”就可以获得终端计算机系统的资源。用户身份认证是对使用终端的人员进行身份鉴别，只有指定的人员才能使用终端，并接受系统的监管，实现授权操作。终端网络准入控制是指设置准入的安全策略对接入设备进行验证，根据终端安全性检查结果，确定终端接入方式。非授权用户接入网络需要身份认证，在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口等信息，进行强身份认证，防止账号盗用、限定账号所使用的终端，认证和安全性检查全部通过的终端计算机才能接入内部网络。2. 建立终端标准化管理系统，加强对用户的行为监控为了便于省公司对内网终端计算机的管理，做到“看得见，管得了”的可视化的管理目的，建立了终端计算机的桌面终端标准化管理系统，从而将内网信息安全的管理重点扩大至终端计算机。一是通过批量设置计算机的安全保护策略提高桌面计算机的安全性，及时更新桌面计算机的安全补丁，减少被攻击的可能；实现动态安全评估，实时评估计算机的安全状态及其是否符合管理规定。二是防止外来电脑非法接入、主机地址冒用，避免网络安全遭受破坏或者信息泄密，确保本单位的计算机使用制度得到落实。三是通过主动扫描和终端计算机上传得到的信息自动发现网络内部的非法行为，出现安全问题后，可以对有问题的IP、MAC、主机名等进行快速的定位；四是实现计算机的资产管理和控制，建立对微机、Windows终端、网络打印机等联网前台设备进行管理的信息数据库，记录微机的操作系统及当前版本、计算机名称、网卡MAC地址、IP地址、主要硬件设备型号、使用管理人、当前用户等信息。3. 安装防病毒软件，实时监测内网终端的状态省公司对接入内网的终端安装防病毒软件，通过防病毒软件的监测，能够判断内网终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。我们在防病毒控制台中还针对内网访问的网段进行访问控制，把准许访问的网段添加到白名单中，把用户严格限制在安全的区域范围内，防病毒控制台还可以制定安全威胁扫描策略，定期扫描和清除病毒、木马、后门、间谍软件等恶意软件。对不满足安全要求的终端通过防病毒系统及时向终端分发经过安全测评的病毒库升级包和恶意代码库；防病毒系统还可阻断违规联入外网，确保内网终端计算机的安全。4. 及时更新终端计算机的系统补丁目前省公司在内网终端计算机中主要应用的是微软的XP系统。微软在其产品发布后，经常会针对产品本身存在的功能或者安全问题发布补丁。省公司在内网分发补丁采用措施有两个，一是采用软件更新服务（SUS）的方法进行补丁管理。SUS是一个用于管理和分发关键 Windows 补丁的免费工具。二是采用桌面终端标准化管理系统的补丁分发模块，在全网实现补丁的下发与安装。通过及时安装补丁可以解决 Microsoft Windows 2000、Windows XP 和 Windows Server 2003操作系统中已知的安全漏洞和其他稳定性问题。5. 实行数据存储保护，做到有备无患数据加密数据安全越来越受到重视，内部数据安全是亟待解决的重要问题。一些电脑外带使用丢失或被盗后，重要数据被盗取造成泄密，内部无读取权限的员工有意或无意打开敏感数据等给内网数据安全带来极大挑战。目前，应对数据存储安全的主要策略是数据加密技术，采用软件加密或者硬件加密技术，省公司在终端计算机中使用经过加密的安全U盘来拷贝数据，安全U盘分为交换区和保密区，在安装了桌面终端标准化管理软件的终端上可以使用交换区和保密区，但是在未安装桌面终端标准化管理软件的终端上只可以使用家换取，用户的一般数据可以拷入交换区，可以与其他终端进行数据交换，如果保密的数据，可以拷入保密区，万一发生U盘丢失的情况，U盘中的数据也不会被拷出，杜绝因数据窃取、泄露等造成巨大的安全隐患与经济损失。6. 制定安全策略，加强终端安全防护体系建设所有的终端安全防护建设都应该围绕预先制定的安全策略来执行。对于终端的安全策略应包括以下内容：1）操作系统的安全策略。例如密码策略、账号策略、本地策略、软件策略、服务策略、外设策略、审核策略、屏保策略、匿名访问限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护具有重要作用。操作系统安全策略可由第三方安全产品或操作系统本身强制执行。2）分配用户权限。针对不同组织机构的具体情况，严格分配和授权终端用户的使用权限。如网络访问权限，系统访问权限、授权用户的使用资源。3）制定外来人员访问策略，严格控制和管理外来终端的接入和访问权限。对外来终端实施准入控制，可采用先进的网络准入控制软件