企業(yè)內(nèi)部計(jì)算機(jī)終端應(yīng)用總結(jié)歸納安全問(wèn)題及對(duì)策分析

1、精心整理企業(yè)內(nèi)部計(jì)算機(jī)終端應(yīng)用安全問(wèn)題及對(duì)策分析摘要長(zhǎng)期以來(lái)計(jì)算機(jī)終端的信息安全一直是整個(gè)信息網(wǎng)絡(luò)安全的一個(gè)重要環(huán)節(jié)，病毒、木馬等惡意軟件在計(jì)算機(jī)終端間的惡意傳播，網(wǎng)絡(luò)黑客的攻擊，系統(tǒng)軟件安全的漏洞，個(gè)人計(jì)算機(jī)安全意識(shí)淡薄等因素是影響整個(gè)計(jì)算機(jī)終端安全的幾個(gè)重要因素。企業(yè)網(wǎng)作為互聯(lián)網(wǎng)的延伸網(wǎng)絡(luò)結(jié)構(gòu)，得到了廣泛采用。但由于互聯(lián)網(wǎng)自身協(xié)議的開(kāi)放性和部分網(wǎng)絡(luò)用戶安全保密意識(shí)的淡薄，現(xiàn)階段各級(jí)企業(yè)網(wǎng)的信息安全工作正面臨不小的壓力和挑戰(zhàn)。本文從計(jì)算機(jī)終端的安全現(xiàn)狀、中小企業(yè)計(jì)算機(jī)終端管理現(xiàn)狀，中小企業(yè)計(jì)算機(jī)終端安全管理問(wèn)題的原因，以及應(yīng)對(duì)終端安全問(wèn)題提出應(yīng)對(duì)措施等幾個(gè)方面，為企業(yè)網(wǎng)中計(jì)算機(jī)終端信息安全管

2、理工作提供參考。最后通過(guò)對(duì)中小企業(yè)計(jì)算機(jī)終端信息安全實(shí)踐的研究，從中可以看到其如何解決身份認(rèn)證、安全策略檢查、病毒預(yù)防控制、網(wǎng)絡(luò)隔離等方面的技術(shù)和方案，從而總結(jié)出一些先進(jìn)的技術(shù)和理念。"I關(guān)鍵詞：計(jì)算機(jī)終端安全；病毒預(yù)防；網(wǎng)絡(luò)隔離X1 .引言計(jì)算機(jī)科學(xué)與技術(shù)的不斷發(fā)展給人類創(chuàng)造了巨大的財(cái)富。尤其是計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，使信息共享廣泛用于商業(yè)、教育等各個(gè)領(lǐng)域。計(jì)算機(jī)終端安全是一個(gè)復(fù)雜的系統(tǒng)性問(wèn)題，它涉及到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中硬件、軟件、運(yùn)行環(huán)境、計(jì)算機(jī)系統(tǒng)管理、計(jì)算機(jī)病毒、計(jì)算機(jī)犯罪等系列問(wèn)題1。在企業(yè)信息化建設(shè)過(guò)程中，不僅公司內(nèi)外部2019年一9月精心整理之間存在信息安全風(fēng)險(xiǎn)，不同的部門之間

3、業(yè)務(wù)承載在同一張物理網(wǎng)絡(luò)之上，出于安全性的考慮，必須采用技術(shù)手段進(jìn)行安全隔離，而不同部門之間的部分資源又需要進(jìn)行受控互訪進(jìn)行共享，所以隔離和互訪是企業(yè)信息化建設(shè)中的必然需求。同時(shí)由于企業(yè)局域網(wǎng)的特殊性，為了防止關(guān)鍵數(shù)據(jù)被竊取和更改，必然要求對(duì)用戶的訪問(wèn)權(quán)限加以限制，以保證數(shù)據(jù)的安全伴隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，世界經(jīng)濟(jì)發(fā)生了根本性的變化，以全球化、信息化、網(wǎng)絡(luò)化、數(shù)字化為顯著特征的新經(jīng)濟(jì)時(shí)代己經(jīng)來(lái)臨I我們已置身于一個(gè)信息技術(shù)瞬息萬(wàn)變和消費(fèi)者需求日益多元化的時(shí)代。大中型企事業(yè)單位、政府辦公網(wǎng)絡(luò)，桌面計(jì)算機(jī)數(shù)量眾多，管理難度很大。計(jì)算_1,'/機(jī)感染病毒、被安裝木馬（像目前最嚴(yán)重的灰

4、鴿子）,有些不明程序不斷搶占IP地址造成其他機(jī)器無(wú)法正常工作，還有部分員工使用BT、電驢下載工具等現(xiàn)象時(shí)有發(fā)生。由于難于發(fā)現(xiàn)有問(wèn)題的電腦，難以對(duì)這些危險(xiǎn)電腦進(jìn)行定位，一旦問(wèn)題發(fā)生，往往故障排查時(shí)間非常長(zhǎng)。如果同時(shí)有多臺(tái)計(jì)算機(jī)感染網(wǎng)絡(luò)病毒或者進(jìn)行非法操作，非常容易導(dǎo)致網(wǎng)絡(luò)阻塞，從而致使其他正常網(wǎng)絡(luò)業(yè)務(wù)無(wú)法使用。以往提起信息安全，人們更多地把注意力集中在防火墻、防病毒、IDS（入侵檢測(cè)）、網(wǎng)絡(luò)互聯(lián)設(shè)備即對(duì)交換機(jī)、集線器和路由器等的管理，卻忽略了對(duì)網(wǎng)絡(luò)環(huán)境中的計(jì)算單元一服務(wù)器、臺(tái)式機(jī)乃至便攜機(jī)的管理。正確、全面的認(rèn)識(shí)終端桌面管理的發(fā)展趨勢(shì)和技術(shù)特點(diǎn)，是IT研發(fā)X廠商面臨的發(fā)展抉擇，同時(shí)也是企、事業(yè)I

5、T管理人員和高層決策人員在進(jìn)行終端桌面安全防護(hù)部署時(shí)必須考慮的議題。計(jì)算機(jī)終端桌面安全管理技術(shù)的興起是伴隨著網(wǎng)絡(luò)管理事務(wù)密集度的增加，作為網(wǎng)絡(luò)管理技術(shù)的邊緣產(chǎn)物而衍生的，它同傳統(tǒng)安全防御體系的缺陷相關(guān)聯(lián)，是傳統(tǒng)網(wǎng)絡(luò)安全防范體系的補(bǔ)充，也是未來(lái)網(wǎng)絡(luò)安全防范體系重要的組成部分。因此，終端桌面安全管理技術(shù)無(wú)論在現(xiàn)在還是未來(lái)都應(yīng)當(dāng)歸入基2019年一9月精心整理礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品體系之列。2 .計(jì)算機(jī)終端安全管理現(xiàn)狀目前，世界各國(guó)也紛紛推出信息系統(tǒng)安全方面的各種計(jì)劃和管理措施。以美國(guó)為例，自1999年至今，美國(guó)會(huì)已通過(guò)涉及計(jì)算機(jī)、互聯(lián)網(wǎng)和信息安全問(wèn)題的法律文件379個(gè)3。法國(guó)也成立了跨部協(xié)調(diào)的計(jì)算機(jī)終端信息

6、安全機(jī)構(gòu)，由決策層、操作層、技術(shù)層及工業(yè)層組成。早在20世紀(jì)80年代中期，美國(guó)國(guó)家安全標(biāo)準(zhǔn)與技術(shù)研究所聯(lián)合組建了美國(guó)國(guó)家計(jì)算機(jī)犯罪情報(bào)中心負(fù)責(zé)制定安全標(biāo)準(zhǔn)評(píng)估新建計(jì)算機(jī)系統(tǒng)的安全性能。隨后，英、法、澳等國(guó)也建立相應(yīng)的機(jī)構(gòu)研究計(jì)算機(jī)犯罪。美國(guó)在采取技術(shù)措施的同時(shí)，還鼓勵(lì)民間組織協(xié)會(huì)來(lái)解決個(gè)人、私人企業(yè)中的計(jì)算機(jī)終端系統(tǒng)安全問(wèn)題。我國(guó)學(xué)術(shù)界對(duì)計(jì)算機(jī)終端系統(tǒng)信息安全的研究起步不算晚，主要的機(jī)構(gòu)有中國(guó)計(jì)算機(jī)學(xué)會(huì)下屬的計(jì)算機(jī)安全委員會(huì)、國(guó)家公安部計(jì)算機(jī)監(jiān)察司等。1999年，國(guó)家有關(guān)部門組織了“國(guó)家信息安全課題組”，該課題組經(jīng)努力完成了國(guó)家信息安全報(bào)告，較詳細(xì)地調(diào)查和評(píng)估我國(guó)計(jì)算機(jī)信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及信息

7、采集、加工、傳遞和應(yīng)用的安全現(xiàn)狀、問(wèn)題及對(duì)策。該報(bào)告對(duì)強(qiáng)化我國(guó)信息安全體系具有重大的戰(zhàn)略意義。我國(guó)于1999年底成立國(guó)家信息化工作領(lǐng)導(dǎo)小組，大力推進(jìn)我國(guó)的計(jì)算機(jī)終端信息系統(tǒng)安全工作，實(shí)現(xiàn)我國(guó)計(jì)算機(jī)終端系統(tǒng)安全技術(shù)與管理的雙發(fā)展。國(guó)內(nèi)著眼于計(jì)算機(jī)終端系統(tǒng)的安全需求，從系統(tǒng)配置現(xiàn)狀出發(fā)，以實(shí)際可行的方式建設(shè)安全系統(tǒng)并符合可操作、有效果和能驗(yàn)證的原則。目前，比較成熟的安全技術(shù)主要有身份識(shí)別技術(shù)、訪問(wèn)控制機(jī)制、數(shù)據(jù)加密技術(shù)、數(shù)字簽名技術(shù)、安全審計(jì)技術(shù)等。根據(jù)我國(guó)信息系統(tǒng)的安全狀況，目前急需借鑒國(guó)外的經(jīng)驗(yàn)和技術(shù)，研究密碼技術(shù)、系統(tǒng)掃描安2019年9月精心整理全檢查技術(shù)、網(wǎng)絡(luò)攻擊監(jiān)控技術(shù)、信息內(nèi)容監(jiān)控技術(shù)

8、、審計(jì)跟蹤技術(shù)及證據(jù)收集、認(rèn)定等安全技術(shù)，并組織開(kāi)發(fā)相應(yīng)的安全軟件產(chǎn)品。3 .中小型企業(yè)計(jì)算機(jī)終端安全管理現(xiàn)狀3.1 身份識(shí)別現(xiàn)狀1、個(gè)人電腦口令設(shè)置I未要求設(shè)置無(wú)開(kāi)機(jī)密碼和硬盤口令驗(yàn)證，開(kāi)機(jī)后只要直接輸入正確的管理員用戶名和密碼即可進(jìn)行認(rèn)證登陸電腦，接入公司網(wǎng)絡(luò)。用戶名和密碼可以是普通用戶權(quán)限，不要求一定用管理員帳號(hào)密碼登錄。口令安全可以說(shuō)是系統(tǒng)的第一道防線，目前網(wǎng)上的大部分對(duì)系統(tǒng)的攻擊都是從截獲口令或猜測(cè)口令開(kāi)始的，所以我們應(yīng)該選擇更加安全的口令，杜絕不設(shè)口令的賬號(hào)存在。開(kāi)機(jī)密碼和管理員密碼可以是一樣的，也可以是不一樣的。區(qū)別在于，開(kāi)機(jī)密碼是用來(lái)防止他人亂用你的個(gè)人電腦而設(shè)的一道防線。而管

9、理員密碼是你在使用工I_j電腦時(shí)對(duì)電腦進(jìn)行設(shè)置和修改設(shè)置的一個(gè)身分識(shí)別的方式。除密碼之外，用戶賬號(hào)也a"I有安全等級(jí)，這是因?yàn)槊總€(gè)賬號(hào)可以被賦予不同的權(quán)限，因此在建立一個(gè)新用戶帳號(hào)時(shí)，系統(tǒng)管理員應(yīng)該根據(jù)需要賦予該賬戶不同的權(quán)限，并且歸并到不同的甩戶組中。I簡(jiǎn)單的說(shuō)就是：開(kāi)機(jī)密碼：決定誰(shuí)可以使用電腦。管理員密碼：決定誰(shuí)可以對(duì)電腦的設(shè)置進(jìn)行修改，誰(shuí)對(duì)電腦有完全的掌控權(quán)。2、供應(yīng)商等其他外部電腦終端在公司內(nèi)部辦公區(qū)可直接接入內(nèi)部網(wǎng)絡(luò)使用。任何一臺(tái)正常工作的電腦，只要帶到公司連接上網(wǎng)線即可接入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)和使用公司的資源，當(dāng)然也可以拷貝一些內(nèi)部資料到其電腦上。2019年9月精心整理3、公用

10、電腦口令設(shè)置部分電腦是部門級(jí)的公用電腦，用于存放部門的公共資料或公用的數(shù)據(jù)信息等。對(duì)于這類電腦的用戶名和密碼一般都是公開(kāi)的，也沒(méi)有設(shè)置相應(yīng)的責(zé)任人，只要輸入相應(yīng)的用戶名和密碼即可登錄電腦，接入公司網(wǎng)絡(luò)，訪問(wèn)公司資源，也可以隨意從公司的相關(guān)服務(wù)器拷貝資料等。4、計(jì)算機(jī)終端上安裝的非法軟件多由于對(duì)身份識(shí)別沒(méi)有有效控制，同時(shí)對(duì)非法軟件沒(méi)有自動(dòng)化的檢測(cè)，造成員工在計(jì)算機(jī)終端上安裝的非法軟件多，公司網(wǎng)絡(luò)上病毒擴(kuò)散快，由于病毒原因造成的網(wǎng)絡(luò)故障多。3.2 補(bǔ)丁安全、防病毒技術(shù)現(xiàn)狀目前,90%以上的端終用戶使用的是windows2000,XP或以上的操作系統(tǒng)，而這幾種系統(tǒng)的安全漏洞又非常多，微軟公司會(huì)通過(guò)定

11、期發(fā)布安全補(bǔ)丁的方式來(lái)彌補(bǔ)這些工I_j漏洞，但由于端終用戶缺乏相關(guān)知識(shí)，導(dǎo)致補(bǔ)丁安裝的不完全，不及時(shí)，這就會(huì)嚴(yán)重影"""I響終端計(jì)算機(jī)的安全，從而導(dǎo)致更嚴(yán)重的整個(gè)內(nèi)網(wǎng)安全問(wèn)題。公司使用Symantec的NortonAntivirus防病毒軟件，防病毒軟件采用集中管理的方式，即可以自動(dòng)升級(jí)和I更新，按規(guī)定所有員工都必須安裝，定期由各部門的信息安全專員進(jìn)行抽查，未安裝者有相應(yīng)的處理措施，視影響大小而定，如提醒安裝、通報(bào)批評(píng)等。對(duì)于沒(méi)有安裝的電腦沒(méi)有高效地、有用的檢查措施。在公司的文件服務(wù)器上放置最新的系統(tǒng)補(bǔ)丁、病毒定義文件。公司發(fā)布公告郵件，員工自行到公共服務(wù)器上下載

12、最新發(fā)布的系統(tǒng)補(bǔ)丁和病毒軟件。對(duì)系統(tǒng)和防病毒軟2019年9月精心整理件進(jìn)行升級(jí)。員工是否按要求進(jìn)行升級(jí)無(wú)法自動(dòng)檢測(cè)到，只能靠部門信息安全專員定期抽查來(lái)檢測(cè)。對(duì)內(nèi)部終端接入外部互聯(lián)網(wǎng)的權(quán)限控制不嚴(yán)格，造成內(nèi)部終端感染病毒類型多，無(wú)法有效管理和控制。經(jīng)常造成網(wǎng)絡(luò)故障，影響正常辦公和企業(yè)信息安全，漏洞數(shù)量居高不下。3.3 終端接入現(xiàn)狀在內(nèi)網(wǎng)，通過(guò)域認(rèn)證加入域后，不管域用戶是不是管理員帳號(hào)，終端將自動(dòng)接入公司網(wǎng)絡(luò)。在外網(wǎng)，在計(jì)算機(jī)終端未關(guān)機(jī)的狀態(tài)下，通過(guò)安裝的遠(yuǎn)程終端控制軟件即可接入控制內(nèi)部計(jì)算機(jī)終端；在外部互聯(lián)網(wǎng)通過(guò)FTP方式可登陸公司內(nèi)部文件服務(wù)器；在外部互聯(lián)網(wǎng)通過(guò)VPNJA證后，即可接入公司網(wǎng)絡(luò)

13、，如IT人員可以登陸公司內(nèi)部交換機(jī)進(jìn)行配置維護(hù)，普通員工可以收發(fā)郵件，訪問(wèn)相關(guān)服務(wù)器等。工I_j權(quán)限管理較弱，終端接入場(chǎng)景設(shè)置不夠，不能有效管理和控制終端接入。公司內(nèi)部"I辦公區(qū)域網(wǎng)絡(luò)未做隔離，公共區(qū)域的終端可以直接訪問(wèn)敏感區(qū)域的服務(wù)器。流氓軟件肆意流傳，嚴(yán)重影響網(wǎng)絡(luò)安全，導(dǎo)致病毒傳播或者數(shù)據(jù)丟失事件時(shí)有發(fā)生。對(duì)使用了USEg口的事件沒(méi)有記錄，造成發(fā)生問(wèn)題后無(wú)法追溯。同時(shí)對(duì)于違規(guī)使用USE®口的人員無(wú)法進(jìn)行審計(jì)。3.4 終端信息安全管理體系現(xiàn)狀4-52019年9月精心整理1、員工對(duì)終端信息安全部重視由于信息安全管理體系中沒(méi)有明確的組織架構(gòu)，導(dǎo)致終端信息安全的重要性體現(xiàn)不足。

14、相關(guān)管理人員沒(méi)有有效的權(quán)利推行相關(guān)制度和監(jiān)管制度的執(zhí)行情況。另一方面，相關(guān)員工對(duì)終端信息安全工作的認(rèn)識(shí)不足。2、終端信息安全管理相關(guān)規(guī)范制度缺乏，且難以有效實(shí)施。I整個(gè)管理體系，僅有一些管理的規(guī)章制度，并且這些制度僅僅是停留在紙面上。并沒(méi)有有效的去推行和監(jiān)督制度的執(zhí)行情況。3、終端信息安全違規(guī)事件的嚴(yán)重等級(jí)比較混亂類似場(chǎng)景的違規(guī)事件，在不同的部門判定的違規(guī)等級(jí)以及類型經(jīng)常都不一致，導(dǎo)致員工認(rèn)可度不高。4 .終端安全管理問(wèn)題及原因分析4.1 身份識(shí)別存在的問(wèn)題及原因分析1、供應(yīng)商等其他外部電腦終端在公司內(nèi)部辦公區(qū)可直接接入內(nèi)部網(wǎng)絡(luò)使用在一些合作項(xiàng)目中，供應(yīng)商經(jīng)常帶電腦或者其他外部終端到公司內(nèi)部進(jìn)

15、行辦公。一般情況下需要接入公司的網(wǎng)絡(luò)，但對(duì)外部終端是否帶病毒，是否安裝了違規(guī)軟件等情況無(wú)法實(shí)現(xiàn)自動(dòng)檢測(cè)，并且內(nèi)部網(wǎng)絡(luò)沒(méi)有進(jìn)行區(qū)域隔離。這樣一方面很容易造成病毒在內(nèi)部網(wǎng)絡(luò)中擴(kuò)散，另一方面很容易造成非相關(guān)人員輕易訪問(wèn)到敏感區(qū)的信息，從而造成內(nèi)部資料的外泄。2、部分電腦的密碼公開(kāi)，供多人使用2019年9月精心整理這種情況在新員工大量招聘培訓(xùn)階段較突出，由于新員工大量集中培訓(xùn)，就存在多人合用一臺(tái)電腦的情況。這樣就存在同一電腦終端上不同員工的資料信息流失。另一方面由于未實(shí)行區(qū)域網(wǎng)絡(luò)隔離，就有可能造成敏感區(qū)域的資料外泄。對(duì)于公共電腦的使用，應(yīng)該有管理員建立分配不同的普通賬戶給到相應(yīng)的使用人員。但目前公司基

16、于對(duì)員工的充分信任，對(duì)公共電腦的管理沒(méi)有嚴(yán)格的規(guī)章制度去約束。員工在使用公共電腦時(shí)，都是使用公開(kāi)的管理員帳戶密碼進(jìn)行登陸使用"從而造成信息數(shù)據(jù)的外泄。3、由于無(wú)開(kāi)機(jī)密碼或硬盤密碼的認(rèn)證要求i/員工只要知道電腦的任何一個(gè)用戶名和密碼即可使用公司的網(wǎng)絡(luò)資源，接入公司網(wǎng)絡(luò)，導(dǎo)致一些機(jī)密信息容易被盜取，公司的利益可能受到威脅。公司前期對(duì)這一塊信息安全工作重視不夠，沒(méi)有對(duì)開(kāi)機(jī)密碼設(shè)置做硬性規(guī)定，導(dǎo)致非授權(quán)人員可以輕易啟動(dòng)電腦。4、由于病毒原因造成的網(wǎng)絡(luò)故障多,"""I由于對(duì)身份識(shí)別沒(méi)有有效控制，同時(shí)對(duì)非法軟件沒(méi)有自動(dòng)化的檢測(cè)，造成員工在計(jì)算機(jī)終端上安裝的非法軟件多

17、，公司網(wǎng)絡(luò)上病毒擴(kuò)散快，由于病毒原因造成的網(wǎng)絡(luò)I故障多。4.2 終端接入存在的問(wèn)題及原因分析1、對(duì)使用了USB®的事件沒(méi)有記錄，造成發(fā)生問(wèn)題后無(wú)法追溯員工可以隨意使用USB®，如使用U盤拷貝資料或從其他介質(zhì)導(dǎo)數(shù)據(jù)、文件等。2019年一9月精心整理諸如U盤之類的存儲(chǔ)介質(zhì)經(jīng)常被病毒感染，如果員工將電腦與帶有病毒的U盤連接時(shí)很容易感染病毒。因此沒(méi)有對(duì)USB®口進(jìn)行控制和管理，對(duì)于使用USB®口導(dǎo)致病毒傳播的事件也無(wú)法進(jìn)行審計(jì)?？梢?jiàn)USB接口的統(tǒng)一管理也公司信息安全管理需要加強(qiáng)的方面。2、對(duì)流氓軟件的下載和安全沒(méi)有控制公司雖然有關(guān)于不能隨便安裝非標(biāo)準(zhǔn)軟件的規(guī)定，

18、但是由于個(gè)別員工對(duì)公司規(guī)定重視不夠，為圖方便隨意安裝小軟件或者工具。光有相關(guān)的規(guī)定是不夠的，而且應(yīng)該在類似事件發(fā)生時(shí)得到控制，即對(duì)類似軟件的安裝和下載通過(guò)工具統(tǒng)一管理和檢測(cè)，、"-/'''即在事件發(fā)生時(shí)得到制止或控制。因此，容易在文件下載或安裝的過(guò)程中導(dǎo)致電腦中病毒或者被惡意軟件攻擊，嚴(yán)重影響網(wǎng)絡(luò)安全。4.3 補(bǔ)丁安全、防毒技術(shù)存在的問(wèn)題及原因分析1、現(xiàn)有的技術(shù)不能有效清除蠕蟲病毒一尸）_j由于蠕蟲是利用系統(tǒng)的漏洞來(lái)感染，并且獲取了系統(tǒng)的最高權(quán)限，傳統(tǒng)的防病"""I毒只能在安全模式下根據(jù)病毒特征進(jìn)行查殺，查殺后還會(huì)被感染，不能徹底

19、清除蠕蟲。2、現(xiàn)有的技術(shù)不能防止計(jì)算機(jī)終端被蠕蟲感染由于蠕蟲是利用系統(tǒng)的漏洞來(lái)感染系統(tǒng)的，只要漏洞存在，沒(méi)有安裝補(bǔ)丁，因此單純靠防病毒軟件并不能防止蠕蟲感染系統(tǒng)。3、現(xiàn)有的技術(shù)方案，主要是單機(jī)或者網(wǎng)絡(luò)版本的防病毒軟件由于病毒、蠕蟲的傳播快速、破壞性大、難以徹底根除，因此一直是網(wǎng)絡(luò)安全的2019年一9月精心整理焦點(diǎn)。一些軟件廠商也紛紛推出防病毒軟件來(lái)查殺蠕蟲，但傳統(tǒng)防病毒軟件采用病毒特征碼方式進(jìn)行病毒檢查，然后根據(jù)預(yù)先定義的規(guī)則清除病毒。4、現(xiàn)有的方案沒(méi)有把補(bǔ)丁檢查、隔離危險(xiǎn)機(jī)器、殺毒等一系列功能結(jié)合起來(lái)正是因?yàn)檫@一系列功能沒(méi)有結(jié)合起來(lái)，導(dǎo)致一有大規(guī)模蠕蟲出現(xiàn)，就造成大量的系統(tǒng)、網(wǎng)絡(luò)癱瘓，造成重

20、大損失。I5、現(xiàn)有的技術(shù)不能阻止蠕蟲擴(kuò)散防病毒軟件在發(fā)現(xiàn)蠕蟲后，只是對(duì)蠕蟲病毒本身進(jìn)行處理，并不能限制蠕蟲進(jìn)一步感染其他計(jì)算機(jī)終端。6、現(xiàn)有的技術(shù)不能防止蠕蟲關(guān)閉、破壞防病毒系統(tǒng)由于蠕蟲感染計(jì)算機(jī)終端后具有最高權(quán)限，因此可以關(guān)閉病毒軟件，使防病毒軟件失效，不能正常查殺蠕蟲。4.4終端信息安全管理體系存在的問(wèn)題及原因分析,"""I1、終端信息安全違規(guī)事件的嚴(yán)重等級(jí)比較混亂正是相關(guān)管理部門對(duì)終端信息安全違規(guī)事件的缺乏詳細(xì)的歸納總結(jié)，沒(méi)有一個(gè)違規(guī)事件分類分級(jí)標(biāo)準(zhǔn)。導(dǎo)致類似場(chǎng)景的違規(guī)事件的判定無(wú)據(jù)可依，出現(xiàn)在不同的部門判定的違規(guī)等級(jí)以及類型經(jīng)常都不一致，并最終導(dǎo)致員工認(rèn)可

21、度不高，相關(guān)的規(guī)范推行阻力大。2、終端信息安全管理相關(guān)規(guī)范制度缺乏，且難以有效實(shí)施2019年一9月精心整理雖然領(lǐng)導(dǎo)層對(duì)終端信息安全的重要性有較深的認(rèn)識(shí)，但相關(guān)管理層對(duì)如何做好該項(xiàng)工作，還沒(méi)有較系統(tǒng)的和完整的考慮。整個(gè)終端信息安全管理體系不健全，僅有一些管理的規(guī)章制度，并且這些制度僅僅是停留在紙面上。并沒(méi)有有效的去推行和監(jiān)督制度的執(zhí)行情況。另一方面也沒(méi)有相應(yīng)的機(jī)制去保障相關(guān)制度和規(guī)范的落地執(zhí)行。3、員工對(duì)終端信息安全不重視由于信息安全管理體系中沒(méi)有明確的組織架構(gòu)，導(dǎo)致終端信息安全的重要性體現(xiàn)不足。相關(guān)管理人員沒(méi)有有效的權(quán)利推行相關(guān)制度和監(jiān)管制度的執(zhí)行情況。另一方面，員工對(duì)終端信息安全工作的認(rèn)識(shí)不

22、足。i/.i.I。7fc5.企業(yè)公司終端信息安全管理改進(jìn)措施總的來(lái)說(shuō)，傳統(tǒng)安全防護(hù)是對(duì)己知漏洞的防護(hù)還缺乏對(duì)安全風(fēng)險(xiǎn)源頭控制，特別企業(yè)安全來(lái)講，通過(guò)對(duì)各種實(shí)例分析和信息的收集，大量安全隱患來(lái)自終端的網(wǎng)絡(luò)，終端給這個(gè)企業(yè)的安全帶來(lái)的風(fēng)險(xiǎn)可以用二八原則定義，80%網(wǎng)絡(luò)安全來(lái)自計(jì)算機(jī)終端,對(duì)于公司來(lái)說(shuō)，對(duì)計(jì)算機(jī)終端管理是信息安全管理的重中之重。鑒于公司在計(jì)算機(jī)終端信息安全使用和管理的現(xiàn)狀，以及目前存在問(wèn)題和原因分析，公司結(jié)合自身多年在信息安全領(lǐng)域的實(shí)踐，提出了解決終端信息安全管理的理論方案以及相應(yīng)是實(shí)X現(xiàn)方案措施。計(jì)劃開(kāi)發(fā)自主的終端安全策略強(qiáng)制系統(tǒng)和優(yōu)化現(xiàn)有的信息安全管里制度和流程。5.1 終端安全

23、管理的理論方案6-71、傳統(tǒng)的防護(hù)體系傳統(tǒng)安全防護(hù)體系，也就是我們經(jīng)常所說(shuō)的縱深防御，它以部署防火墻、入侵檢2019年9月精心整理測(cè)、防病毒等獨(dú)立安全產(chǎn)品為主要特征。這種體系的優(yōu)點(diǎn)是利用現(xiàn)用安全產(chǎn)品的豐富性進(jìn)行分層分級(jí)的縱深防護(hù)，通過(guò)對(duì)安全漏洞不斷深入分析研究，提升整體的安全結(jié)構(gòu)。但是它也存在一定不足，如傳統(tǒng)安全防護(hù)是對(duì)已知漏洞的防范，而且還缺乏對(duì)安全風(fēng)險(xiǎn)源頭控制。2、公司的免疫網(wǎng)絡(luò)安逸的理念I(lǐng)針對(duì)企業(yè)安全來(lái)講，要更多考慮端到端的架構(gòu)，安全永遠(yuǎn)是三分技術(shù)七分管理，在制定了安全策略和安全制度后，更要考慮的是，如何能保證安全策略的貫徹執(zhí)行？比如說(shuō)一些公司在管理制度上要求所有員工必須及時(shí)打補(bǔ)丁、不允

24、許安裝IM軟件，/-_/o但是如果員工不執(zhí)行公司的策略，這個(gè)安全策略就是一紙空文。所以安全管理一定要通過(guò)技術(shù)手段來(lái)實(shí)現(xiàn)，這就是我們所提倡的免疫網(wǎng)絡(luò)。公司的免疫網(wǎng)絡(luò)安逸的理念基于三點(diǎn)：首先我們倡導(dǎo)從源頭控制，網(wǎng)絡(luò)的大部分不安全因素來(lái)自終端，終端通過(guò)一些非法的軟件、移動(dòng)介質(zhì)引入了很多安全風(fēng)險(xiǎn)，所以對(duì)終端的源頭控制，是保障網(wǎng)絡(luò)安全最重要的支撐：其次是對(duì)業(yè)務(wù)系統(tǒng)的健壯性的加強(qiáng)，包括漏洞掃描，業(yè)務(wù)評(píng)估，建立安全基線和主機(jī)加固。最后就是管理的概念，怎么實(shí)現(xiàn)風(fēng)險(xiǎn)的統(tǒng)一收集分析、管理a""""I和規(guī)避，這在整個(gè)安全體系中是最重要的工作。通過(guò)這個(gè)理念來(lái)實(shí)現(xiàn)端到端，從源頭到

25、業(yè)務(wù)系統(tǒng)，乃至整個(gè)網(wǎng)絡(luò)的安全防護(hù)一體化。I3、源頭控制：公司的終端安全方案介紹公司在自身多年信息安全實(shí)踐中發(fā)現(xiàn)安全的大部分風(fēng)險(xiǎn)來(lái)源于終端。終端不僅威脅其自身的安全，更多對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)中的主機(jī)造成極大的威脅。終端還會(huì)造成一些感染性風(fēng)險(xiǎn)，比如病毒大規(guī)模散播；還有終端會(huì)濫用網(wǎng)絡(luò)資源，比如終端自身感染病2019年9月精心整理毒會(huì)引起網(wǎng)絡(luò)風(fēng)暴，這也是所有企業(yè)面臨最頭疼的安全問(wèn)題；最后，一些終端進(jìn)行蓄意破壞，比如惡意用戶可以通過(guò)終端來(lái)進(jìn)行網(wǎng)絡(luò)破壞和盜取口令。如何降低終端對(duì)網(wǎng)絡(luò)及系統(tǒng)構(gòu)成的威脅，要對(duì)終端進(jìn)行相應(yīng)的身份認(rèn)證和安全檢查，實(shí)現(xiàn)一體化的防護(hù)，所有終端在進(jìn)入網(wǎng)絡(luò)之前要到安全策略服務(wù)器上認(rèn)證和安全策略檢查

26、，通過(guò)之后才準(zhǔn)許終端系統(tǒng)訪問(wèn)相應(yīng)的業(yè)務(wù)系統(tǒng)，這作為整個(gè)安全認(rèn)證第一關(guān)，如果不符合要求就要進(jìn)行相應(yīng)安全的修補(bǔ)，包括針對(duì)安全策略進(jìn)行檢查，進(jìn)行補(bǔ)丁的下載，進(jìn)行強(qiáng)制殺毒安全權(quán)限的補(bǔ)任，修補(bǔ)之后又進(jìn)行安全檢查，這樣形成一體的循環(huán)。只有被信任之后才能使用這個(gè)業(yè)務(wù)系統(tǒng)，這是我們所說(shuō)的對(duì)終端安全管理一、»-''/的基本概念。終端安全管理主要包含以下模塊：jI,7產(chǎn)"(l)網(wǎng)絡(luò)接入控制模塊傳統(tǒng)上來(lái)講，在企業(yè)中終端接入網(wǎng)絡(luò)是沒(méi)有任何控制的，在終端接入網(wǎng)絡(luò)后，在網(wǎng)絡(luò)層是可以訪問(wèn)任何網(wǎng)絡(luò)中的主機(jī)。這樣的話就帶來(lái)了很大的風(fēng)險(xiǎn)，然而，根據(jù)工作相關(guān)原則和最小權(quán)限原則，網(wǎng)絡(luò)接入控制可以實(shí)

27、現(xiàn)以下功能：A、終端在接入網(wǎng)絡(luò)之前必須經(jīng)過(guò)身份認(rèn)證。IB、終端在身份認(rèn)證后根據(jù)相應(yīng)的權(quán)限確保只能訪問(wèn)相應(yīng)的系統(tǒng)，比如市場(chǎng)的員工如無(wú)工作需要不能訪問(wèn)財(cái)務(wù)系統(tǒng)的網(wǎng)絡(luò)。C、終端在接入網(wǎng)絡(luò)后可以進(jìn)行限流，確保這個(gè)終端在中了病毒以后，不會(huì)影響網(wǎng)絡(luò)和網(wǎng)絡(luò)中的其他設(shè)備。2019年一9月精心整理DK對(duì)于沒(méi)有合法身份的終端進(jìn)行強(qiáng)制隔離，不允許接入公司的網(wǎng)絡(luò)。(2)終端策略強(qiáng)制模塊終端策略強(qiáng)制模塊是安全管理通過(guò)技術(shù)手段貫徹執(zhí)行的具體體現(xiàn)，只有符合公司策略的終端才能接入網(wǎng)絡(luò)。企業(yè)可以根據(jù)自身特點(diǎn)定制安全策略，通過(guò)策略強(qiáng)制來(lái)確保所有終端執(zhí)行公司的策略，否則強(qiáng)制隔離。IA、確保終端只能安裝公司批準(zhǔn)的合法軟件B、確保終端

28、不能安裝公司定義的非法軟件.-J3,/i/_/c/C、確保終端在接入網(wǎng)絡(luò)時(shí)加載最新的操作系統(tǒng)補(bǔ)丁、應(yīng)用系統(tǒng)補(bǔ)丁DK確保終端在接入網(wǎng)絡(luò)時(shí)已經(jīng)安裝防病毒軟件，并且病毒庫(kù)更新到最新版本(3)終端行為審計(jì)模塊終端行為審計(jì)模塊可以幫助公司安全人員對(duì)安全策略的執(zhí)行情況進(jìn)行檢查分析用戶也可以通過(guò)工具進(jìn)行自檢。"""IA、用戶可以自助檢查終端是否符合公司的策略，如果不符合，可以按照提示先行修復(fù)。B、審計(jì)員可以通過(guò)工具下載審計(jì)任務(wù)，自動(dòng)檢查出不符合公司策略的終端。C、審計(jì)員可以監(jiān)控終端的可疑行為，如使用USBM盤等。DK可以方便公司進(jìn)行資產(chǎn)管理。5.2終端安全策略強(qiáng)制系統(tǒng)的實(shí)現(xiàn)方案

29、2019年9月精心整理1、模塊功能介紹(1)安全配置服務(wù)器：管理員通過(guò)安全配置服務(wù)器配置企業(yè)的多種安全策略，管理維護(hù)補(bǔ)丁文件和病毒特征碼,提供個(gè)性化補(bǔ)丁下載，為用戶提供安全設(shè)置指導(dǎo)。(2)安全認(rèn)證服務(wù)器：根據(jù)配置好的安全策略，對(duì)計(jì)算機(jī)終端進(jìn)行安全策略認(rèn)證，如果計(jì)算機(jī)終端安全符合公司策略，則通知網(wǎng)絡(luò)接入設(shè)備開(kāi)放網(wǎng)絡(luò)權(quán)限，允許用戶上網(wǎng)；如果計(jì)算機(jī)終端尸Q"/安全不符合公司策略，則給計(jì)算機(jī)終端代理服務(wù)器發(fā)送錯(cuò)誤信息，隔離該計(jì)算機(jī)終端同時(shí)該服務(wù)器存放公司安全策略和日志信息。(3)計(jì)算機(jī)終端代理服務(wù)器：計(jì)算機(jī)終端代理服務(wù)器負(fù)責(zé)收集計(jì)算機(jī)終端和安全相關(guān)的信息，同時(shí)通過(guò)網(wǎng)絡(luò)發(fā)送到安全認(rèn)證服務(wù)器進(jìn)行

30、認(rèn)證，如果計(jì)算機(jī)終端安全策略不符合公司信息安全策略，則給用戶提示錯(cuò)誤信息，并引導(dǎo)用戶到安全配置服務(wù)器進(jìn)行個(gè)性化的安全配置。(4)網(wǎng)絡(luò)接入服務(wù)器：XI根據(jù)安全認(rèn)證服務(wù)器發(fā)送的信息，處理計(jì)算機(jī)終端上網(wǎng)權(quán)限，以隔離危險(xiǎn)機(jī)器防止未打補(bǔ)丁機(jī)器連接網(wǎng)絡(luò)感染病毒，防止感染了病毒的計(jì)算機(jī)終端進(jìn)一步感染其他計(jì)算機(jī)終端。2、功能實(shí)現(xiàn)過(guò)程介紹(l)管理員配置策略：2019年9月精心整理管理員在安全配置服務(wù)器上配置企業(yè)的安全策略，可以按組確定計(jì)算機(jī)終端必須安裝的軟件、補(bǔ)丁和其他一些安全設(shè)置，形成企業(yè)的安全策略。(2)用戶接入公司網(wǎng)絡(luò)過(guò)程說(shuō)明A、用戶主機(jī)配置成通過(guò)DHC勘態(tài)獲取IP地址后，用戶主機(jī)初始化并發(fā)送DHCP請(qǐng)

31、求報(bào)文，該報(bào)文經(jīng)用戶側(cè)設(shè)備(LANSwitch)轉(zhuǎn)發(fā)到NAS設(shè)備。IB、NASS備實(shí)現(xiàn)DHC呻繼功能，將該請(qǐng)求報(bào)文轉(zhuǎn)發(fā)至DHCP艮務(wù)器。C、DHC哪務(wù)器對(duì)用戶的DHCP申請(qǐng)報(bào)文進(jìn)行響應(yīng)，并通過(guò)響應(yīng)報(bào)文為用戶分配一、"LJ1/IP地址。DNAS設(shè)備接收到DHCPServer的DHCR向應(yīng)報(bào)文后，轉(zhuǎn)發(fā)到相應(yīng)的用戶主機(jī)，并在NAS設(shè)備內(nèi)部形成IP地址、MACM址和VLAN口的對(duì)應(yīng)關(guān)系，在用戶未通過(guò)安全認(rèn)證以前，限制該用戶主機(jī)的訪問(wèn)權(quán)限。E、用戶主機(jī)收到DHCPServer的DHCP向應(yīng)報(bào)文后，獲得IP地址和其他相關(guān)參數(shù)，同時(shí)獲得缺省的用戶權(quán)限，這些權(quán)限包括：可以訪問(wèn)策略配置服務(wù)器、文件服務(wù)

32、器和防病毒服務(wù)器(允許訪問(wèn)的目的地可以在NASS備上配置)。XF、用戶終端通過(guò)計(jì)算機(jī)終端代理服務(wù)器發(fā)送本機(jī)的安全信息(比如MAC地址、本季的補(bǔ)丁情況和中毒情況)到安全認(rèn)證服務(wù)器，安全認(rèn)證服務(wù)器比較安全策略是否滿足,不滿足則向用戶提示不滿足的原因，并轉(zhuǎn)到安全配置服務(wù)器進(jìn)行修補(bǔ)。G如果安全策略滿足，則安全認(rèn)證服務(wù)器產(chǎn)生一個(gè)允許接入的數(shù)據(jù)包發(fā)送給NAS設(shè)備。2019年一9月精心整理H、NA酸備接收到允許接入的數(shù)據(jù)包打開(kāi)該用戶的訪問(wèn)權(quán)限。I、NA皺備向安全認(rèn)證服務(wù)器發(fā)送該用戶認(rèn)證通過(guò)的消息。J、安全認(rèn)證服務(wù)器向用戶終端發(fā)送認(rèn)證成功的消息。K、通過(guò)安全認(rèn)證的用戶主機(jī)可以正常上公司網(wǎng)絡(luò)。L、其他考慮：通過(guò)

33、網(wǎng)絡(luò)隔離實(shí)現(xiàn)防范病毒還可以提供更多的安全檢查，下面舉一個(gè)例子：目前的無(wú)線網(wǎng)絡(luò)大規(guī)模使用后，防止無(wú)線網(wǎng)絡(luò)中的非法接入是一個(gè)很大的安全問(wèn)題，傳ij；_/：統(tǒng)的技術(shù)中是通過(guò)身份認(rèn)證達(dá)到限制非法計(jì)算機(jī)終端接入的目的。終端安全策略強(qiáng)制系統(tǒng)可以通過(guò)身份認(rèn)證和安全策略認(rèn)證雙重認(rèn)證的辦法達(dá)到限制非法計(jì)算機(jī)終端接入的目的，防止企業(yè)外部用戶的非法入侵。目前的無(wú)線網(wǎng)絡(luò)大規(guī)模使用后，防止無(wú)線網(wǎng)絡(luò)中的非法接入是一個(gè)很大的安全問(wèn)題，傳統(tǒng)的技術(shù)中是通過(guò)身份認(rèn)證達(dá)到限制非法計(jì)算機(jī)終端接入的目的。終端安全策略強(qiáng)制系統(tǒng)可以通過(guò)身份認(rèn)證和安全策工I_j略認(rèn)證雙重認(rèn)證的辦法達(dá)到限制非法計(jì)算機(jī)終端接入的目的，防止企業(yè)外部用戶的a&qu

34、ot;"""I非法入侵。5.3終端安全策略強(qiáng)制系統(tǒng)的功能特性1、強(qiáng)制性可以通過(guò)NA般備強(qiáng)制未打補(bǔ)丁計(jì)算機(jī)終端使用正常網(wǎng)絡(luò)，防止不健壯的計(jì)算機(jī)終端被病毒感染；強(qiáng)制受感染的計(jì)算機(jī)終端使用正常網(wǎng)絡(luò)，防止受感染的計(jì)算機(jī)終端進(jìn)一步感染其他計(jì)算機(jī)終端，并對(duì)網(wǎng)絡(luò)造成堵塞，從而達(dá)到防止病毒大規(guī)模爆發(fā)的目2019年一9月精心整理的。另一方面，對(duì)于未按公司信息安全規(guī)范要求的輕微風(fēng)險(xiǎn)（如未設(shè)開(kāi)機(jī)密碼、未設(shè)屏保密碼、未設(shè)郵箱離開(kāi)鎖定時(shí)間、使用USB接口等），在進(jìn)行接入網(wǎng)絡(luò)認(rèn)證時(shí)都將給予對(duì)話框提示，并將未改正便接入網(wǎng)絡(luò)的計(jì)算機(jī)終端信息計(jì)入安全日志中，并由信息安全專員定期審計(jì)安全日志，對(duì)違規(guī)

35、情況人員進(jìn)行處罰。這樣便可強(qiáng)制要求員工按信息安全規(guī)范操作，減少信息安全風(fēng)險(xiǎn)。同時(shí)系統(tǒng)還可以對(duì)安全日志進(jìn)行自動(dòng)的分類打印，便于定期輸出安全審計(jì)報(bào)告。2、系統(tǒng)性本方案集合了補(bǔ)丁管理、企業(yè)策略管理、病毒查殺、網(wǎng)絡(luò)隔離等多種安全技術(shù)，、_/'''二）是系統(tǒng)的、整體的方案，能比較徹底地解決令人頭痛的病毒、蠕蟲問(wèn)題，以及過(guò)去需人工審計(jì)的情況，目前系統(tǒng)可以自動(dòng)審計(jì)出員工計(jì)算機(jī)終端上的違規(guī)情況，大大提高的員工在信息安全方面的意識(shí)。3、自動(dòng)性可以將不符合安全策略被隔離的計(jì)算機(jī)終端，自動(dòng)引導(dǎo)完成缺陷修補(bǔ)更新（如:系統(tǒng)補(bǔ)丁、病毒定義文件、屏保密碼、郵箱密碼等）。確保接入公司網(wǎng)絡(luò)的計(jì)算機(jī)終端是

36、完全符合公司安全策略的計(jì)算機(jī)終端。XI4、可靠性病毒、蠕蟲無(wú)法繞過(guò)網(wǎng)絡(luò)設(shè)備的限制，系統(tǒng)能可靠地檢查、隔離危險(xiǎn)機(jī)器，從而可靠地保護(hù)整個(gè)網(wǎng)絡(luò)。確保不安全終端不能進(jìn)入公司網(wǎng)絡(luò)，防止了病毒和非法用戶的侵入。5、實(shí)時(shí)的“危險(xiǎn)”用戶隔離2019年9月精心整理系統(tǒng)補(bǔ)丁、病毒庫(kù)版本不及時(shí)更新的用戶終端，如果不符合管理員設(shè)定的企業(yè)安全策略，將被限制訪問(wèn)權(quán)限，只能訪問(wèn)病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。用戶上網(wǎng)過(guò)程中，如果終端發(fā)生感染病毒等安全事件，終端安全策略強(qiáng)制系統(tǒng)可實(shí)時(shí)隔離該“危險(xiǎn)終端。6、可擴(kuò)充性本方案可以根據(jù)需求對(duì)計(jì)算機(jī)終端和服務(wù)器的檢查選項(xiàng)進(jìn)行擴(kuò)充。根據(jù)企業(yè)不同的發(fā)展階段，以及該階段所面臨

37、的不同類型的信息安全問(wèn)題和風(fēng)險(xiǎn)，有針對(duì)性的增加和優(yōu)化該系統(tǒng)的功能模塊，以實(shí)現(xiàn)企業(yè)安全策略統(tǒng)一管理。、1/-/1,亡）I.j'|.-Li,JT-£7、可擴(kuò)展的、開(kāi)放的安全解決方案終端安全策略強(qiáng)制系統(tǒng)是一個(gè)可擴(kuò)展的安全解決方案，對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備和組網(wǎng)方式改造較小。在現(xiàn)有企業(yè)網(wǎng)中，只需對(duì)網(wǎng)絡(luò)設(shè)備和第三方軟件進(jìn)行簡(jiǎn)單升級(jí)，即可實(shí)現(xiàn)接入控制和防病毒的聯(lián)動(dòng)，達(dá)到端點(diǎn)準(zhǔn)入控制的目的，有效保護(hù)用戶的網(wǎng)絡(luò)投資。一尸）_j其也是一個(gè)開(kāi)放的安全解決方案，安全策略服務(wù)器與網(wǎng)絡(luò)設(shè)備的交互、與第三方"""I服務(wù)器的交互都基于開(kāi)放、標(biāo)準(zhǔn)的協(xié)議實(shí)現(xiàn)。在防病毒方面，目前系統(tǒng)己與諾頓

38、、McAFee趨勢(shì)、以瑞星、金山等多家主流防病毒廠商的產(chǎn)品實(shí)現(xiàn)聯(lián)動(dòng)。I8、完備的安全狀態(tài)評(píng)估用戶終端的安全狀態(tài)是指操作系統(tǒng)補(bǔ)丁、第三方軟件版本、病毒庫(kù)版本等反映終端防御能力的狀態(tài)信息。終端安全策略強(qiáng)制系統(tǒng)通過(guò)對(duì)終端安全狀態(tài)進(jìn)行評(píng)估，使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能準(zhǔn)許訪問(wèn)網(wǎng)絡(luò)。2019年一9月精心整理9、基于角色的網(wǎng)絡(luò)服務(wù)在用戶終端在通過(guò)病毒、補(bǔ)丁等安全信息檢查后，終端安全策略強(qiáng)制系統(tǒng)可基于終端用戶的角色，向安全客戶端下發(fā)系統(tǒng)配置的接入控制策略，按照用戶角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為。終端用戶的ACL訪問(wèn)策略、QoS策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一管理，并

39、實(shí)時(shí)應(yīng)用實(shí)施。10、網(wǎng)絡(luò)入口安全防護(hù)8大型企業(yè)往往擁有分支機(jī)構(gòu)或合作伙伴，其分支機(jī)構(gòu)、合作伙伴也可以通過(guò)專線或WA催接企業(yè)總部。這種組網(wǎng)方式在開(kāi)放型的商業(yè)企業(yè)中比較普遍，受到的安全威I三'IXL_脅也更嚴(yán)重。為了確保接入企業(yè)內(nèi)部網(wǎng)的用戶具有合法身份且符合企業(yè)安全標(biāo)準(zhǔn)，可以在企業(yè)入口路由器中實(shí)施終端安全策略強(qiáng)制系統(tǒng)準(zhǔn)入控制，保證接入網(wǎng)絡(luò)的用戶終端不會(huì)對(duì)內(nèi)部網(wǎng)絡(luò)造成安全威脅。11、局域網(wǎng)安全防護(hù)在企業(yè)網(wǎng)內(nèi)部，接入終端一般是通過(guò)交換機(jī)接入企業(yè)網(wǎng)絡(luò)，終端安全策略強(qiáng)制系a""""I統(tǒng)通過(guò)與接入層交換機(jī)的聯(lián)動(dòng)，強(qiáng)制檢查用戶終端的病毒庫(kù)和系統(tǒng)補(bǔ)丁信息，降低病毒

40、和蠕蟲蔓延的風(fēng)險(xiǎn)，同時(shí)強(qiáng)制實(shí)施網(wǎng)絡(luò)接入用戶的安全策略，阻止來(lái)自企業(yè)內(nèi)部的I安全威脅。12、VPN®入網(wǎng)絡(luò)的安全防護(hù)9許多企業(yè)和機(jī)構(gòu)允許移動(dòng)辦公員工或外部合作人員通過(guò)VPN方式接入企業(yè)內(nèi)部網(wǎng)絡(luò)。該方案可以通過(guò)VPNW關(guān)確保遠(yuǎn)程接入用戶在進(jìn)入企業(yè)內(nèi)部網(wǎng)之前，檢查用戶終端的安全狀態(tài)，并在用戶認(rèn)證通過(guò)后實(shí)施企業(yè)安全策略。對(duì)于沒(méi)有安裝終端安全策2019年9月精心整理略強(qiáng)制系統(tǒng)安全客戶端的遠(yuǎn)程用戶，管理員可以選擇拒絕其訪問(wèn)內(nèi)部網(wǎng)絡(luò)或限制其訪問(wèn)權(quán)限。13、企業(yè)關(guān)鍵數(shù)據(jù)保護(hù)接入網(wǎng)絡(luò)的用戶終端的訪問(wèn)權(quán)限受終端策略安全強(qiáng)制系統(tǒng)下發(fā)的安全策略控制對(duì)企業(yè)關(guān)鍵數(shù)據(jù)服務(wù)器的訪問(wèn)也因此受到保護(hù)。在其的控制下，訪問(wèn)

41、企業(yè)關(guān)鍵數(shù)據(jù)的用戶需要通過(guò)身份驗(yàn)證和安全狀態(tài)檢查，可以避免企業(yè)敏感信息遭受非法訪問(wèn)和惡意攻擊。5.4終端安全管理體系建設(shè)首先，在戰(zhàn)略層面公司高層對(duì)信息安全的重要性進(jìn)行了重新審視和達(dá)成共識(shí)。并下發(fā)公司級(jí)文件，向全公司全體員工明確計(jì)算機(jī)終端信息安全的重要性，以及相應(yīng)的管理制度。其次,在戰(zhàn)術(shù)層面落實(shí)具體公司計(jì)算機(jī)終端信息安全標(biāo)準(zhǔn)！安裝操作指引、審計(jì)指引等。便于在統(tǒng)一的標(biāo)準(zhǔn)平臺(tái)下，實(shí)施系統(tǒng)的自動(dòng)統(tǒng)一管理。另外,在執(zhí)行層面，每個(gè)三級(jí)部門設(shè)立信息安全專員，按相關(guān)規(guī)范要求在本部門II.內(nèi)負(fù)責(zé)開(kāi)展相關(guān)信息安全工作，并作為信息安全責(zé)任人對(duì)部門的信息安全考核結(jié)果負(fù)責(zé)。同時(shí)將信息安全管理工作的執(zhí)行效果以及違規(guī)情況納

42、入所有員工的績(jī)效考核，將信息安全與員工切身利益相關(guān)的績(jī)效考核聯(lián)系起來(lái)，提供了員工對(duì)信息安全重要性的認(rèn)識(shí)。同時(shí)，將信息安全管理制度、標(biāo)準(zhǔn)和相應(yīng)的系統(tǒng)工具的使用方法作為專門的課程，以面授、網(wǎng)絡(luò)自學(xué)、宣傳郵件等形式對(duì)員工進(jìn)行培訓(xùn)。確保所有員工能夠在信息2019年9月精心整理安全方面有充分的認(rèn)識(shí)。6.終端安全策略強(qiáng)制系統(tǒng)解決的問(wèn)題公司自己在多年系統(tǒng)的構(gòu)建和信息系統(tǒng)的改進(jìn)上，不斷體會(huì)到很多安全的風(fēng)險(xiǎn)來(lái)自于終端，對(duì)終端這一塊通過(guò)跟自身的體會(huì)也提出一個(gè)分析現(xiàn)狀，終端安全管理現(xiàn)狀，不僅威脅終端自身的安全，更多對(duì)網(wǎng)絡(luò)和主機(jī)造成極大的威脅，這體現(xiàn)在四個(gè)方面,一個(gè)終端自身的安全，會(huì)造成大量業(yè)務(wù)終端，特別在OM、公系

43、統(tǒng)中使用的，比如運(yùn)營(yíng)商在生產(chǎn)系統(tǒng)中使用的終端，包括自身各個(gè)企業(yè)使用各個(gè)業(yè)務(wù)系統(tǒng)中面臨要操作這個(gè)終端，實(shí)際上安全的風(fēng)險(xiǎn)來(lái)自于人，人的第一體現(xiàn)者就在終端上，怎么封閉和管、_/匚/理這個(gè)終端的安全是非常重要的。除了終端安全之外會(huì)造成一些感染性風(fēng)險(xiǎn)，比如病毒大規(guī)模散播，還有終端濫用資源，比如終端自身感染病毒會(huì)引起網(wǎng)絡(luò)風(fēng)暴，還有終端非授權(quán)訪問(wèn)，這也是所有企業(yè)面臨安全課題時(shí)最頭疼的問(wèn)題，怎么樣讓企業(yè)的業(yè)務(wù)順暢運(yùn)行，又避免出現(xiàn)信息安全的問(wèn)題，因?yàn)樾畔踩鳛槠髽I(yè)來(lái)講己經(jīng)上升為企業(yè)的核心資產(chǎn)。還有一些終端的蓄意破壞，有丫些企業(yè)內(nèi)部不健壯性，通過(guò)終端來(lái)進(jìn)行網(wǎng)絡(luò)破壞和帳號(hào)口令的盜取。""&qu

44、ot;I如何降低終端對(duì)服務(wù)器網(wǎng)絡(luò)構(gòu)成的威脅，要對(duì)終端進(jìn)行相應(yīng)的身份認(rèn)證和安全檢查，實(shí)現(xiàn)一體化對(duì)終端的防護(hù)，所有終端在進(jìn)入網(wǎng)絡(luò)之前要通過(guò)客戶端到安全策略服務(wù)器上認(rèn)證和安全策略檢查，通過(guò)之后才準(zhǔn)許終端系統(tǒng)訪問(wèn)相應(yīng)的業(yè)務(wù)系統(tǒng)，這作為整個(gè)安全認(rèn)證第一關(guān)，如果不符合要求就要進(jìn)行相應(yīng)安全的修補(bǔ)，包括針對(duì)安全策略進(jìn)行檢查，進(jìn)行補(bǔ)丁的下載，進(jìn)行強(qiáng)制殺毒安全權(quán)限的補(bǔ)任，修補(bǔ)之后又進(jìn)行安全檢查，這樣形成一體的循環(huán)。只有被信任之后才能使用這個(gè)業(yè)務(wù)系統(tǒng)，這是我們所說(shuō)的對(duì)終端安全管理的基本概念。解決的問(wèn)題如下：2019年9月精心整理1、身份識(shí)別問(wèn)題(l)通過(guò)規(guī)范標(biāo)準(zhǔn)要求所有計(jì)算機(jī)終端必須設(shè)置開(kāi)機(jī)密碼驗(yàn)證，開(kāi)機(jī)后直接輸入

45、管理員密碼即可進(jìn)行認(rèn)證登陸。避免通過(guò)計(jì)算機(jī)終端非法侵入公司網(wǎng)絡(luò)。(2)通過(guò)增加公司安全域，所有人員都有相應(yīng)的域帳號(hào)和密碼，即使部分電腦的密碼公開(kāi)，供多人使用。存在同一電腦終端上不同員工的資料信息流失。另一方面由于未實(shí)行區(qū)域網(wǎng)絡(luò)隔離，就有可能造成敏感區(qū)域的資料外泄。(3)通過(guò)隔離內(nèi)部各業(yè)務(wù)區(qū)域網(wǎng)絡(luò)，供應(yīng)商等其他外部電腦終端在公司內(nèi)部辦公區(qū)使用時(shí)必須通過(guò)系統(tǒng)認(rèn)證后才能接入相應(yīng)權(quán)限的區(qū)域網(wǎng)絡(luò)。避免了外部終端帶病I三'IXL_毒的風(fēng)險(xiǎn)，同時(shí)也避免了內(nèi)部資料的外泄的問(wèn)題。2、系統(tǒng)補(bǔ)丁、病毒軟件管理問(wèn)題(1)病毒軟件實(shí)行統(tǒng)一管理，實(shí)時(shí)進(jìn)行病毒定義文件的在線更新。從而解決以前需人工到服務(wù)器上下載最新

46、版本手工更新不及時(shí)的問(wèn)題。(2)通過(guò)對(duì)未安裝系統(tǒng)補(bǔ)丁的計(jì)算機(jī)終端的強(qiáng)制隔離，來(lái)確保接入公司網(wǎng)絡(luò)的計(jì)算機(jī)終端的操作系統(tǒng)是最強(qiáng)大的，減少因系統(tǒng)漏洞造成病毒感染或擴(kuò)散的風(fēng)險(xiǎn)。II.X(3)日志記錄功能，能夠?qū)⑦`規(guī)計(jì)算機(jī)終端信息記錄并發(fā)送到相關(guān)負(fù)責(zé)人處，從而使違規(guī)人員的行為能夠得到有效的監(jiān)管。(4)終端策略強(qiáng)制系統(tǒng)將補(bǔ)丁檢查、隔離危險(xiǎn)機(jī)器、殺毒等一系列功能結(jié)合起來(lái)，因此能夠最大程度避免因病毒而造成的系統(tǒng)、網(wǎng)絡(luò)癱瘓。(5)防范未知的病毒感染。通過(guò)對(duì)客戶端機(jī)器進(jìn)行檢查，強(qiáng)制執(zhí)行企業(yè)的安全策2019年一9月精心整理略，可以要求計(jì)算機(jī)終端及時(shí)安裝補(bǔ)丁，防范未知病毒。(6)有效隔離被病毒感染的計(jì)算機(jī)終端。對(duì)于某些移動(dòng)計(jì)算機(jī)終端在外部感染病毒的情況，本系統(tǒng)可以通過(guò)網(wǎng)絡(luò)接入服務(wù)器進(jìn)行有效的隔離，不會(huì)被蠕蟲繞過(guò)或者破壞，有效防止蠕蟲病毒進(jìn)一步擴(kuò)大感