企业内部计算机终端应用安全问题及对策分析文档格式.docx
《企业内部计算机终端应用安全问题及对策分析文档格式.docx》由会员分享,可在线阅读,更多相关《企业内部计算机终端应用安全问题及对策分析文档格式.docx(20页珍藏版)》请在冰点文库上搜索。
正确、全面的认识终端桌面管理的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的议题[2]。
计算机终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。
因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础网络安全产品体系之列。
2.计算机终端安全管理现状
目前,世界各国也纷纷推出信息系统安全方面的各种计划和管理措施。
以美国为例,自1999年至今,美国会已通过涉及计算机、互联网和信息安全问题的法律文件379个[3]。
法国也成立了跨部协调的计算机终端信息安全机构,由决策层、操作层、技术层及工业层组成。
早在20世纪80年代中期,美国国家安全标准与技术研究所联合组建了美国国家计算机犯罪情报中心负责制定安全标准评估新建计算机系统的安全性能。
随后,英、法、澳等国也建立相应的机构研究计算机犯罪。
美国在采取技术措施的同时,还鼓励民间组织协会来解决个人、私人企业中的计算机终端系统安全问题。
我国学术界对计算机终端系统信息安全的研究起步不算晚,主要的机构有中国计算机学会下属的计算机安全委员会、国家公安部计算机监察司等。
1999年,国家有关部门组织了“国家信息安全课题组”,该课题组经努力完成了《国家信息安全报告》,较详细地调查和评估我国计算机信息系统、网络系统及信息采集、加工、传递和应用的安全现状、问题及对策。
该报告对强化我国信息安全体系具有重大的战略意义。
我国于1999年底成立国家信息化工作领导小组,大力推进我国的计算机终端信息系统安全工作,实现我国计算机终端系统安全技术与管理的双发展。
国内着眼于计算机终端系统的安全需求,从系统配置现状出发,以实际可行的方式建设安全系统,并符合可操作、有效果和能验证的原则。
目前,比较成熟的安全技术主要有身份识别技术、访问控制机制、数据加密技术、数字签名技术、安全审计技术等。
根据我国信息系统的安全状况,目前急需借鉴国外的经验和技术,研究密码技术、系统扫描安全检查技术、网络攻击监控技术、信息内容监控技术、审计跟踪技术及证据收集、认定等安全技术,并组织开发相应的安全软件产品。
3.中小型企业计算机终端安全管理现状
3.1身份识别现状
1、个人电脑口令设置
未要求设置无开机密码和硬盘口令验证,开机后只要直接输入正确的管理员用户名和密码即可进行认证登陆电脑,接入公司网络。
用户名和密码可以是普通用户权限,不要求一定用管理员帐号密码登录。
口令安全可以说是系统的第一道防线,目前网上的大部分对系统的攻击都是从截获口令或猜测口令开始的,所以我们应该选择更加安全的口令,杜绝不设口令的账号存在。
开机密码和管理员密码可以是一样的,也可以是不一样的。
区别在于,开机密码是用来防止他人乱用你的个人电脑而设的一道防线。
而管理员密码是你在使用电脑时对电脑进行设置和修改设置的一个身分识别的方式。
除密码之外,用户账号也有安全等级,这是因为每个账号可以被赋予不同的权限,因此在建立一个新用户帐号时,系统管理员应该根据需要赋予该账户不同的权限,并且归并到不同的甩户组中。
简单的说就是:
开机密码:
决定谁可以使用电脑。
管理员密码:
决定谁可以对电脑的设置进行修改,谁对电脑有完全的掌控权。
2、供应商等其他外部电脑终端在公司内部办公区可直接接入内部网络使用。
任何一台正常工作的电脑,只要带到公司连接上网线即可接入内部网络,访问和使用公司的资源,当然也可以拷贝一些内部资料到其电脑上。
3、公用电脑口令设置
部分电脑是部门级的公用电脑,用于存放部门的公共资料或公用的数据信息等。
对于这类电脑的用户名和密码一般都是公开的,也没有设置相应的责任人,只要输入相应的用户名和密码即可登录电脑,接入公司网络,访问公司资源,也可以随意从公司的相关服务器拷贝资料等。
4、计算机终端上安装的非法软件多
由于对身份识别没有有效控制,同时对非法软件没有自动化的检测,造成员工在计算机终端上安装的非法软件多,公司网络上病毒扩散快,由于病毒原因造成的网络故障多。
3.2补丁安全、防病毒技术现状
目前,90%以上的端终用户使用的是windows2000,XP或以上的操作系统,而这几种系统的安全漏洞又非常多,微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于端终用户缺乏相关知识,导致补丁安装的不完全,不及时,这就会严重影响终端计算机的安全,从而导致更严重的整个内网安全问题。
公司使用Symantec的NortonAntivirus防病毒软件,防病毒软件采用集中管理的方式,即可以自动升级和更新,按规定所有员工都必须安装,定期由各部门的信息安全专员进行抽查,未安装者有相应的处理措施,视影响大小而定,如提醒安装、通报批评等。
对于没有安装的电脑没有高效地、有用的检查措施。
在公司的文件服务器上放置最新的系统补丁、病毒定义文件。
公司发布公告邮件,员工自行到公共服务器上下载最新发布的系统补丁和病毒软件。
对系统和防病毒软件进行升级。
员工是否按要求进行升级无法自动检测到,只能靠部门信息安全专员定期抽查来检测。
对内部终端接入外部互联网的权限控制不严格,造成内部终端感染病毒类型多,无法有效管理和控制。
经常造成网络故障,影响正常办公和企业信息安全,漏洞数量居高不下。
3.3终端接入现状
在内网,通过域认证加入域后,不管域用户是不是管理员帐号,终端将自动接入公司网络。
在外网,在计算机终端未关机的状态下,通过安装的远程终端控制软件即可接入控制内部计算机终端;
在外部互联网通过FTP方式可登陆公司内部文件服务器;
在外部互联网通过VPN认证后,即可接入公司网络,如IT人员可以登陆公司内部交换机进行配置维护,普通员工可以收发邮件,访问相关服务器等。
权限管理较弱,终端接入场景设置不够,不能有效管理和控制终端接入。
公司内部办公区域网络未做隔离,公共区域的终端可以直接访问敏感区域的服务器。
流氓软件肆意流传,严重影响网络安全,导致病毒传播或者数据丢失事件时有发生。
对使用了USB接口的事件没有记录,造成发生问题后无法追溯。
同时对于违规使用USB接口的人员无法进行审计。
3.4终端信息安全管理体系现状[4-5]
1、员工对终端信息安全部重视
由于信息安全管理体系中没有明确的组织架构,导致终端信息安全的重要性体现不足。
相关管理人员没有有效的权利推行相关制度和监管制度的执行情况。
另一方面,相关员工对终端信息安全工作的认识不足。
2、终端信息安全管理相关规范制度缺乏,且难以有效实施。
整个管理体系,仅有一些管理的规章制度,并且这些制度仅仅是停留在纸面上。
并没有有效的去推行和监督制度的执行情况。
3、终端信息安全违规事件的严重等级比较混乱
类似场景的违规事件,在不同的部门判定的违规等级以及类型经常都不一致,导致员工认可度不高。
4.终端安全管理问题及原因分析
4.1身份识别存在的问题及原因分析
1、供应商等其他外部电脑终端在公司内部办公区可直接接入内部网络使用
在一些合作项目中,供应商经常带电脑或者其他外部终端到公司内部进行办公。
一般情况下需要接入公司的网络,但对外部终端是否带病毒,是否安装了违规软件等情况无法实现自动检测,并且内部网络没有进行区域隔离。
这样一方面很容易造成病毒在内部网络中扩散,另一方面很容易造成非相关人员轻易访问到敏感区的信息,从而造成内部资料的外泄。
2、部分电脑的密码公开,供多人使用
这种情况在新员工大量招聘培训阶段较突出,由于新员工大量集中培训,就存在多人合用一台电脑的情况。
这样就存在同一电脑终端上不同员工的资料信息流失。
另一方面由于未实行区域网络隔离,就有可能造成敏感区域的资料外泄。
对于公共电脑的使用,应该有管理员建立分配不同的普通账户给到相应的使用人员。
但目前公司基于对员工的充分信任,对公共电脑的管理没有严格的规章制度去约束。
员工在使用公共电脑时,都是使用公开的管理员帐户密码进行登陆使用"
从而造成信息数据的外泄。
3、由于无开机密码或硬盘密码的认证要求
员工只要知道电脑的任何一个用户名和密码即可使用公司的网络资源,接入公司网络,导致一些机密信息容易被盗取,公司的利益可能受到威胁。
公司前期对这一块信息安全工作重视不够,没有对开机密码设置做硬性规定,导致非授权人员可以轻易启动电脑。
4、由于病毒原因造成的网络故障多
4.2终端接入存在的问题及原因分析
1、对使用了USB接口的事件没有记录,造成发生问题后无法追溯
员工可以随意使用USB接口,如使用U盘拷贝资料或从其他介质导数据、文件等。
诸如U盘之类的存储介质经常被病毒感染,如果员工将电脑与带有病毒的U盘连接时很容易感染病毒。
因此没有对USB接口进行控制和管理,对于使用USB接口导致病毒传播的事件也无法进行审计。
可见USB接口的统一管理也公司信息安全管理需要加强的方面。
2、对流氓软件的下载和安全没有控制
公司虽然有关于不能随便安装非标准软件的规定,但是由于个别员工对公司规定重视不够,为图方便随意安装小软件或者工具。
光有相关的规定是不够的,而且应该在类似事件发生时得到控制,即对类似软件的安装和下载通过工具统一管理和检测,即在事件发生时得到制止或控制。
因此,容易在文件下载或安装的过程中导致电脑中病毒或者被恶意软件攻击,严重影响网络安全。
4.3补丁安全、防毒技术存在的问题及原因分析
1、现有的技术不能有效清除蠕虫病毒
由于蠕虫是利用系统的漏洞来感染,并且获取了系统的最高权限,传统的防病毒只能在安全模式下根据病毒特征进行查杀,查杀后还会被感染,不能彻底清除蠕虫。
2、现有的技术不能防止计算机终端被蠕虫感染
由于蠕虫是利用系统的漏洞来感染系统的,只要漏洞存在,没有安装补丁,因此单纯靠防病毒软件并不能防止蠕虫感染系统。
3、现有的技术方案,主要是单机或者网络版本的防病毒软件
由于病毒、蠕虫的传播快速、破坏性大、难以彻底根除,因此一直是网络安全的焦点。
一些软件厂商也纷纷推出防病毒软件来查杀蠕虫,但传统防病毒软件采用病毒特征码方式进行病毒检查,然后根据预先定义的规则清除病毒。
4、现有的方案没有把补丁检查、隔离危险机器、杀毒等一系列功能结合起来
正是因为这一系列功能没有结合起来,导致一有大规模蠕虫出现,就造成大量的系统、网络瘫痪,造成重大损失。
5、现有的技术不能阻止蠕虫扩散
防病毒软件在发现蠕虫后,只是对蠕虫病毒本身进行处理,并不能限制蠕虫进一步感染其他计算机终端。
6、现有的技术不能防止蠕虫关闭、破坏防病毒系统
由于蠕虫感染计算机终端后具有最高权限,因此可以关闭病毒软件,使防病毒软件失效,不能正常查杀蠕虫。
4.4终端信息安全管理体系存在的问题及原因分析
1、终端信息安全违规事件的严重等级比较混乱
正是相关管理部门对终端信息安全违规事件的缺乏详细的归纳总结,没有一个违规事件分类分级标准。
导致类似场景的违规事件的判定无据可依,出现在不同的部门判定的违规等级以及类型经常都不一致,并最终导致员工认可度不高,相关的规范推行阻力大。
2、终端信息安全管理相关规范制度缺乏,且难以有效实施
虽然领导层对终端信息安全的重要性有较深的认识,但相关管理层对如何做好该项工作,还没有较系统的和完整的考虑。
整个终端信息安全管理体系不健全,仅有一些管理的规章制度,并且这些制度仅仅是停留在纸面上。
另一方面也没有相应的机制去保障相关制度和规范的落地执行。
3、员工对终端信息安全不重视
另一方面,员工对终端信息安全工作的认识不足。
5.企业公司终端信息安全管理改进措施
总的来说,传统安全防护是对己知漏洞的防护还缺乏对安全风险源头控制,特别企业安全来讲,通过对各种实例分析和信息的收集,大量安全隐患来自终端的网络,终端给这个企业的安全带来的风险可以用二八原则定义,80%网络安全来自计算机终端,对于公司来说,对计算机终端管理是信息安全管理的重中之重。
鉴于公司在计算机终端信息安全使用和管理的现状,以及目前存在问题和原因分析,公司结合自身多年在信息安全领域的实践,提出了解决终端信息安全管理的理论方案以及相应是实现方案措施。
计划开发自主的终端安全策略强制系统和优化现有的信息安全管里制度和流程。
5.1终端安全管理的理论方案[6-7]
1、传统的防护体系
传统安全防护体系,也就是我们经常所说的纵深防御,它以部署防火墙、入侵检测、防病毒等独立安全产品为主要特征。
这种体系的优点是利用现用安全产品的丰富性进行分层分级的纵深防护,通过对安全漏洞不断深入分析研究,提升整体的安全结构。
但是它也存在一定不足,如传统安全防护是对已知漏洞的防范,而且还缺乏对安全风险源头控制。
2、公司的免疫网络安逸的理念
针对企业安全来讲,要更多考虑端到端的架构,安全永远是三分技术七分管理,在制定了安全策略和安全制度后,更要考虑的是,如何能保证安全策略的贯彻执行?
比如说一些公司在管理制度上要求所有员工必须及时打补丁、不允许安装IM软件,但是如果员工不执行公司的策略,这个安全策略就是一纸空文。
所以安全管理一定要通过技术手段来实现,这就是我们所提倡的免疫网络。
公司的免疫网络安逸的理念基于三点:
首先我们倡导从源头控制,网络的大部分不安全因素来自终端,终端通过一些非法的软件、移动介质引入了很多安全风险,所以对终端的源头控制,是保障网络安全最重要的支撑:
其次是对业务系统的健壮性的加强,包括漏洞扫描,业务评估,建立安全基线和主机加固。
最后就是管理的概念,怎么实现风险的统一收集分析、管理和规避,这在整个安全体系中是最重要的工作。
通过这个理念来实现端到端,从源头到业务系统,乃至整个网络的安全防护一体化。
3、源头控制:
公司的终端安全方案介绍
公司在自身多年信息安全实践中发现安全的大部分风险来源于终端。
终端不仅威胁其自身的安全,更多对网络和网络中的主机造成极大的威胁。
终端还会造成一些感染性风险,比如病毒大规模散播;
还有终端会滥用网络资源,比如终端自身感染病毒会引起网络风暴,这也是所有企业面临最头疼的安全问题;
最后,一些终端进行蓄意破坏,比如恶意用户可以通过终端来进行网络破坏和盗取口令。
如何降低终端对网络及系统构成的威胁,要对终端进行相应的身份认证和安全检查,实现一体化的防护,所有终端在进入网络之前要到安全策略服务器上认证和安全策略检查,通过之后才准许终端系统访问相应的业务系统,这作为整个安全认证第一关,如果不符合要求就要进行相应安全的修补,包括针对安全策略进行检查,进行补丁的下载,进行强制杀毒安全权限的补任,修补之后又进行安全检查,这样形成一体的循环。
只有被信任之后才能使用这个业务系统,这是我们所说的对终端安全管理的基本概念。
终端安全管理主要包含以下模块:
(l)网络接入控制模块
传统上来讲,在企业中终端接入网络是没有任何控制的,在终端接入网络后,在网络层是可以访问任何网络中的主机。
这样的话就带来了很大的风险,然而,根据工作相关原则和最小权限原则,网络接入控制可以实现以下功能:
A、终端在接入网络之前必须经过身份认证。
B、终端在身份认证后根据相应的权限确保只能访问相应的系统,比如市场的员工如无工作需要不能访问财务系统的网络。
C、终端在接入网络后可以进行限流,确保这个终端在中了病毒以后,不会影响网络和网络中的其他设备。
D、对于没有合法身份的终端进行强制隔离,不允许接入公司的网络。
(2)终端策略强制模块
终端策略强制模块是安全管理通过技术手段贯彻执行的具体体现,只有符合公司策略的终端才能接入网络。
企业可以根据自身特点定制安全策略,通过策略强制来确保所有终端执行公司的策略,否则强制隔离。
A、确保终端只能安装公司批准的合法软件
B、确保终端不能安装公司定义的非法软件
C、确保终端在接入网络时加载最新的操作系统补丁、应用系统补丁
D、确保终端在接入网络时已经安装防病毒软件,并且病毒库更新到最新版本
(3)终端行为审计模块
终端行为审计模块可以帮助公司安全人员对安全策略的执行情况进行检查分析,用户也可以通过工具进行自检。
A、用户可以自助检查终端是否符合公司的策略,如果不符合,可以按照提示先行修复。
B、审计员可以通过工具下载审计任务,自动检查出不符合公司策略的终端。
C、审计员可以监控终端的可疑行为,如使用USB硬盘等。
D、可以方便公司进行资产管理。
5.2终端安全策略强制系统的实现方案
1、模块功能介绍
(1)安全配置服务器:
管理员通过安全配置服务器配置企业的多种安全策略,管理维护补丁文件和病毒特征码,提供个性化补丁下载,为用户提供安全设置指导。
(2)安全认证服务器:
根据配置好的安全策略,对计算机终端进行安全策略认证,如果计算机终端安全符合公司策略,则通知网络接入设备开放网络权限,允许用户上网;
如果计算机终端安全不符合公司策略,则给计算机终端代理服务器发送错误信息,隔离该计算机终端,同时该服务器存放公司安全策略和日志信息。
(3)计算机终端代理服务器:
计算机终端代理服务器负责收集计算机终端和安全相关的信息,同时通过网络发送到安全认证服务器进行认证,如果计算机终端安全策略不符合公司信息安全策略,则给用户提示错误信息,并引导用户到安全配置服务器进行个性化的安全配置。
(4)网络接入服务器:
根据安全认证服务器发送的信息,处理计算机终端上网权限,以隔离危险机器,防止未打补丁机器连接网络感染病毒,防止感染了病毒的计算机终端进一步感染其他计算机终端。
2、功能实现过程介绍
(l)管理员配置策略:
管理员在安全配置服务器上配置企业的安全策略,可以按组确定计算机终端必须安装的软件、补丁和其他一些安全设置,形成企业的安全策略。
(2)用户接入公司网络过程说明
A、用户主机配置成通过DHCP动态获取IP地址后,用户主机初始化并发送DHCP请求报文,该报文经用户侧设备(LANSwitch)转发到NAS设备。
B、NAS设备实现DHCP中继功能,将该请求报文转发至DHCP服务器。
C、DHCP服务器对用户的DHCP申请报文进行响应,并通过响应报文为用户分配IP地址。
D、NAS设备接收到DHCPServer的DHCP响应报文后,转发到相应的用户主机,并在NAS设备内部形成IP地址、MAC地址和VLAN端口的对应关系,在用户未通过安全认证以前,限制该用户主机的访问权限。
E、用户主机收到DHCPServer的DHCP响应报文后,获得IP地址和其他相关参数,同时获得缺省的用户权限,这些权限包括:
可以访问策略配置服务器、文件服务器和防病毒服务器(允许访问的目的地可以在NAS设备上配置)。
F、用户终端通过计算机终端代理服务器发送本机的安全信息(比如MAC地址、本季的补丁情况和中毒情况)到安全认证服务器,安全认证服务器比较安全策略是否满足,不满足则向用户提示不满足的原因,并转到安全配置服务器进行修补。
G、如果安全策略满足,则安全认证服务器产生一个允许接入的数据包发送给NAS设备。
H、NAS设备接收到允许接入的数据包打开该用户的访问权限。
I、NAS设备向安全认证服务器发送该用户认证通过的消息。
J、安全认证服务器向用户终端发送认证成功的消息。
K、通过安全认证的用户主机可以正常上公司网络。
L、其他考虑:
通过网络隔离实现防范病毒还可以提供更多的安全检查,下面举一个例子:
目前的无线网络大规模使用后,防止无线网络中的非法接入是一个很大的安全问题,传统的技术中是通过身份认证达到限制非法计算机终端接入的目的。
终端安全策略强制系统可以通过身份认证和安全策略认证双重认证的办法达到限制非法计算机终端接入的目的,防止企业外部用户的非法入侵。
目前的无线网络大规模使用后,防止无线网络中的非法接入是一个很大的安全问题,传统的技术中是通过身份认证达到限制非法计算机终端接入的目的。
5.3终端安全策略强制系统的功能特性
1、强制性
可以通过NAS设备强制未打补丁计算机终端使用正常网络,防止不健壮的计算机终端被病毒感染;
强制受感染的计算机终端使用正常网络,防止受感染的计算机终端进一步感染其他计算机终端,并对网络造成堵塞,从而达到防止病毒大规模爆发的目的。
另一方面,对于未按公司信息安全规范要求的轻微风险(如未设开机密码、未设屏保密码、未设邮箱离开锁定时间、使用USB接口等),在进行接入网络认证时都将给予对话框提示,并将未改正便接入网络的计算机终端信息计入安全日志中,并由信息