企业内部计算机终端应用安全问题及对策分析.docx
《企业内部计算机终端应用安全问题及对策分析.docx》由会员分享,可在线阅读,更多相关《企业内部计算机终端应用安全问题及对策分析.docx(27页珍藏版)》请在沃文网上搜索。
1、企业内部计算机终端应用安全问题及对策分析摘 要长期以来计算机终端的信息安全一直是整个信息网络安全的一个重要环节,病毒、木马等恶意软件在计算机终端间的恶意传播,网络黑客的攻击,系统软件安全的漏洞,个人计算机安全意识淡薄等因素是影响整个计算机终端安全的几个重要因素。企业网作为互联网的延伸网络结构,得到了广泛采用。但由于互联网自身协议的开放性和部分网络用户安全保密意识的淡薄,现阶段各级企业网的信息安全工作正面临不小的压力和挑战。本文从计算机终端的安全现状、中小企业计算机终端管理现状,中小企业计算机终端安全管理问题的原因,以及应对终端安全问题提出应对措施等几个方面,为企业网中计算机终端信息安全管理工作
2、提供参考。最后通过对中小企业计算机终端信息安全实践的研究,从中可以看到其如何解决身份认证、安全策略检查、病毒预防控制、网络隔离等方面的技术和方案,从而总结出一些先进的技术和理念。关键词:计算机终端安全;病毒预防;网络隔离 1. 引言计算机科学与技术的不断发展给人类创造了巨大的财富。尤其是计算机网络的发展, 使信息共享广泛用于商业、教育等各个领域。计算机终端安全是一个复杂的系统性问题, 它涉及到计算机网络系统中硬件、软件、运行环境、计算机系统管理、计算机病毒、计算机犯罪等系列问题1。在企业信息化建设过程中,不仅公司内外部之间存在信息安全风险,不同的部门之间业务承载在同一张物理网络之上,出于安全性
3、的考虑,必须采用技术手段进行安全隔离,而不同部门之间的部分资源又需要进行受控互访进行共享,所以隔离和互访是企业信息化建设中的必然需求。同时由于企业局域网的特殊性,为了防止关键数据被窃取和更改,必然要求对用户的访问权限加以限制,以保证数据的安全伴随着信息技术、网络技术的迅猛发展,世界经济发生了根本性的变化,以全球化、信息化、网络化、数字化为显著特征的新经济时代己经来临我们已置身于一个信息技术瞬息万变和消费者需求日益多元化的时代。大中型企事业单位、政府办公网络,桌面计算机数量众多,管理难度很大。计算机感染病毒、被安装木马(像目前最严重的灰鸽子),有些不明程序不断抢占IP地址造成其他机器无法正常工作
4、,还有部分员工使用BT、电驴下载工具等现象时有发生。由于难于发现有问题的电脑,难以对这些危险电脑进行定位,一旦问题发生,往往故障排查时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,非常容易导致网络阻塞,从而致使其他正常网络业务无法使用。以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(入侵检测)、网络互联设备即对交换机、集线器和路由器等的管理,却忽略了对网络环境中的计算单元一服务器、台式机乃至便携机的管理。正确、全面的认识终端桌面管理的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的
5、议题2。计算机终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加,作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础网络安全产品体系之列。2. 计算机终端安全管理现状目前,世界各国也纷纷推出信息系统安全方面的各种计划和管理措施。以美国为例,自1999 年至今,美国会已通过涉及计算机、互联网和信息安全问题的法律文件379个3。法国也成立了跨部协调的计算机终端信息安全机构,由决策层、操作层、技术层及工业层组成。早在20 世纪80 年代中期,美国
6、国家安全标准与技术研究所联合组建了美国国家计算机犯罪情报中心负责制定安全标准评估新建计算机系统的安全性能。随后,英、法、澳等国也建立相应的机构研究计算机犯罪。美国在采取技术措施的同时,还鼓励民间组织协会来解决个人、私人企业中的计算机终端系统安全问题。我国学术界对计算机终端系统信息安全的研究起步不算晚,主要的机构有中国计算机学会下属的计算机安全委员会、国家公安部计算机监察司等。1999 年,国家有关部门组织了“国家信息安全课题组”,该课题组经努力完成了国家信息安全报告,较详细地调查和评估我国计算机信息系统、网络系统及信息采集、加工、传递和应用的安全现状、问题及对策。该报告对强化我国信息安全体系具
7、有重大的战略意义。我国于1999 年底成立国家信息化工作领导小组,大力推进我国的计算机终端信息系统安全工作,实现我国计算机终端系统安全技术与管理的双发展。国内着眼于计算机终端系统的安全需求,从系统配置现状出发,以实际可行的方式建设安全系统,并符合可操作、有效果和能验证的原则。目前,比较成熟的安全技术主要有身份识别技术、访问控制机制、数据加密技术、数字签名技术、安全审计技术等。根据我国信息系统的安全状况,目前急需借鉴国外的经验和技术, 研究密码技术、系统扫描安全检查技术、网络攻击监控技术、信息内容监控技术、审计跟踪技术及证据收集、认定等安全技术,并组织开发相应的安全软件产品。3. 中小型企业计算
8、机终端安全管理现状3.1身份识别现状1、个人电脑口令设置未要求设置无开机密码和硬盘口令验证,开机后只要直接输入正确的管理员用户名和密码即可进行认证登陆电脑,接入公司网络。用户名和密码可以是普通用户权限,不要求一定用管理员帐号密码登录。口令安全可以说是系统的第一道防线,目前网上的大部分对系统的攻击都是从截获口令或猜测口令开始的,所以我们应该选择更加安全的口令,杜绝不设口令的账号存在。开机密码和管理员密码可以是一样的,也可以是不一样的。区别在于,开机密码是用来防止他人乱用你的个人电脑而设的一道防线。而管理员密码是你在使用电脑时对电脑进行设置和修改设置的一个身分识别的方式。除密码之外,用户账号也有安
9、全等级,这是因为每个账号可以被赋予不同的权限,因此在建立一个新用户帐号时,系统管理员应该根据需要赋予该账户不同的权限,并且归并到不同的甩户组中。简单的说就是:开机密码:决定谁可以使用电脑。管理员密码:决定谁可以对电脑的设置进行修改,谁对电脑有完全的掌控权。2、供应商等其他外部电脑终端在公司内部办公区可直接接入内部网络使用。任何一台正常工作的电脑,只要带到公司连接上网线即可接入内部网络,访问和使用公司的资源,当然也可以拷贝一些内部资料到其电脑上。3、公用电脑口令设置部分电脑是部门级的公用电脑,用于存放部门的公共资料或公用的数据信息等。对于这类电脑的用户名和密码一般都是公开的,也没有设置相应的责任
10、人,只要输入相应的用户名和密码即可登录电脑,接入公司网络,访问公司资源,也可以随意从公司的相关服务器拷贝资料等。4、计算机终端上安装的非法软件多由于对身份识别没有有效控制,同时对非法软件没有自动化的检测,造成员工在计算机终端上安装的非法软件多,公司网络上病毒扩散快,由于病毒原因造成的网络故障多。3.2补丁安全、防病毒技术现状目前,90%以上的端终用户使用的是windows2000,XP或以上的操作系统,而这几种系统的安全漏洞又非常多,微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于端终用户缺乏相关知识,导致补丁安装的不完全,不及时,这就会严重影响终端计算机的安全,从而导致更严重的整个
11、内网安全问题。公司使用Symantec的Norton Antivirus防病毒软件,防病毒软件采用集中管理的方式,即可以自动升级和更新,按规定所有员工都必须安装,定期由各部门的信息安全专员进行抽查,未安装者有相应的处理措施,视影响大小而定,如提醒安装、通报批评等。对于没有安装的电脑没有高效地、有用的检查措施。在公司的文件服务器上放置最新的系统补丁、病毒定义文件。公司发布公告邮件,员工自行到公共服务器上下载最新发布的系统补丁和病毒软件。对系统和防病毒软件进行升级。员工是否按要求进行升级无法自动检测到,只能靠部门信息安全专员定期抽查来检测。对内部终端接入外部互联网的权限控制不严格,造成内部终端感染
12、病毒类型多,无法有效管理和控制。经常造成网络故障,影响正常办公和企业信息安全,漏洞数量居高不下。3.3终端接入现状 在内网,通过域认证加入域后,不管域用户是不是管理员帐号,终端将自动接入公司网络。在外网,在计算机终端未关机的状态下,通过安装的远程终端控制软件即可接入控制内部计算机终端;在外部互联网通过FTP方式可登陆公司内部文件服务器;在外部互联网通过VPN认证后,即可接入公司网络,如IT人员可以登陆公司内部交换机进行配置维护,普通员工可以收发邮件,访问相关服务器等。权限管理较弱,终端接入场景设置不够,不能有效管理和控制终端接入。公司内部办公区域网络未做隔离,公共区域的终端可以直接访问敏感区域
13、的服务器。流氓软件肆意流传,严重影响网络安全,导致病毒传播或者数据丢失事件时有发生。对使用了USB接口的事件没有记录,造成发生问题后无法追溯。同时对于违规使用USB接口的人员无法进行审计。3.4终端信息安全管理体系现状4-51、员工对终端信息安全部重视由于信息安全管理体系中没有明确的组织架构,导致终端信息安全的重要性体现不足。相关管理人员没有有效的权利推行相关制度和监管制度的执行情况。另一方面,相关员工对终端信息安全工作的认识不足。2、终端信息安全管理相关规范制度缺乏,且难以有效实施。整个管理体系,仅有一些管理的规章制度,并且这些制度仅仅是停留在纸面上。并没有有效的去推行和监督制度的执行情况。
14、3、终端信息安全违规事件的严重等级比较混乱类似场景的违规事件,在不同的部门判定的违规等级以及类型经常都不一致,导致员工认可度不高。4. 终端安全管理问题及原因分析4.1身份识别存在的问题及原因分析1、供应商等其他外部电脑终端在公司内部办公区可直接接入内部网络使用在一些合作项目中,供应商经常带电脑或者其他外部终端到公司内部进行办公。一般情况下需要接入公司的网络,但对外部终端是否带病毒,是否安装了违规软件等情况无法实现自动检测,并且内部网络没有进行区域隔离。这样一方面很容易造成病毒在内部网络中扩散,另一方面很容易造成非相关人员轻易访问到敏感区的信息,从而造成内部资料的外泄。2、部分电脑的密码公开,
15、供多人使用这种情况在新员工大量招聘培训阶段较突出,由于新员工大量集中培训,就存在多人合用一台电脑的情况。这样就存在同一电脑终端上不同员工的资料信息流失。另一方面由于未实行区域网络隔离,就有可能造成敏感区域的资料外泄。对于公共电脑的使用,应该有管理员建立分配不同的普通账户给到相应的使用人员。但目前公司基于对员工的充分信任,对公共电脑的管理没有严格的规章制度去约束。员工在使用公共电脑时,都是使用公开的管理员帐户密码进行登陆使用从而造成信息数据的外泄。3、由于无开机密码或硬盘密码的认证要求员工只要知道电脑的任何一个用户名和密码即可使用公司的网络资源,接入公司网络,导致一些机密信息容易被盗取,公司的利
16、益可能受到威胁。公司前期对这一块信息安全工作重视不够,没有对开机密码设置做硬性规定,导致非授权人员可以轻易启动电脑。4、由于病毒原因造成的网络故障多由于对身份识别没有有效控制,同时对非法软件没有自动化的检测,造成员工在计算机终端上安装的非法软件多,公司网络上病毒扩散快,由于病毒原因造成的网络故障多。4.2 终端接入存在的问题及原因分析1、对使用了USB接口的事件没有记录,造成发生问题后无法追溯员工可以随意使用USB接口,如使用U盘拷贝资料或从其他介质导数据、文件等。诸如U盘之类的存储介质经常被病毒感染,如果员工将电脑与带有病毒的U盘连接时很容易感染病毒。因此没有对USB接口进行控制和管理,对于
17、使用USB接口导致病毒传播的事件也无法进行审计。可见USB接口的统一管理也公司信息安全管理需要加强的方面。2、对流氓软件的下载和安全没有控制公司虽然有关于不能随便安装非标准软件的规定,但是由于个别员工对公司规定重视不够,为图方便随意安装小软件或者工具。光有相关的规定是不够的,而且应该在类似事件发生时得到控制,即对类似软件的安装和下载通过工具统一管理和检测,即在事件发生时得到制止或控制。因此,容易在文件下载或安装的过程中导致电脑中病毒或者被恶意软件攻击,严重影响网络安全。4.3补丁安全、防毒技术存在的问题及原因分析1、现有的技术不能有效清除蠕虫病毒 由于蠕虫是利用系统的漏洞来感染,并且获取了系统
18、的最高权限,传统的防病毒只能在安全模式下根据病毒特征进行查杀,查杀后还会被感染,不能彻底清除蠕虫。2、现有的技术不能防止计算机终端被蠕虫感染由于蠕虫是利用系统的漏洞来感染系统的,只要漏洞存在,没有安装补丁,因此单纯靠防病毒软件并不能防止蠕虫感染系统。3、现有的技术方案,主要是单机或者网络版本的防病毒软件由于病毒、蠕虫的传播快速、破坏性大、难以彻底根除,因此一直是网络安全的焦点。一些软件厂商也纷纷推出防病毒软件来查杀蠕虫,但传统防病毒软件采用病毒特征码方式进行病毒检查,然后根据预先定义的规则清除病毒。4、现有的方案没有把补丁检查、隔离危险机器、杀毒等一系列功能结合起来正是因为这一系列功能没有结合
19、起来,导致一有大规模蠕虫出现,就造成大量的系统、网络瘫痪,造成重大损失。5、现有的技术不能阻止蠕虫扩散防病毒软件在发现蠕虫后,只是对蠕虫病毒本身进行处理,并不能限制蠕虫进一步感染其他计算机终端。6、现有的技术不能防止蠕虫关闭、破坏防病毒系统由于蠕虫感染计算机终端后具有最高权限,因此可以关闭病毒软件,使防病毒软件失效,不能正常查杀蠕虫。4.4 终端信息安全管理体系存在的问题及原因分析1、终端信息安全违规事件的严重等级比较混乱正是相关管理部门对终端信息安全违规事件的缺乏详细的归纳总结,没有一个违规事件分类分级标准。导致类似场景的违规事件的判定无据可依,出现在不同的部门判定的违规等级以及类型经常都不
20、一致,并最终导致员工认可度不高,相关的规范推行阻力大。2、终端信息安全管理相关规范制度缺乏,且难以有效实施虽然领导层对终端信息安全的重要性有较深的认识,但相关管理层对如何做好该项工作,还没有较系统的和完整的考虑。整个终端信息安全管理体系不健全,仅有一些管理的规章制度,并且这些制度仅仅是停留在纸面上。并没有有效的去推行和监督制度的执行情况。另一方面也没有相应的机制去保障相关制度和规范的落地执行。3、员工对终端信息安全不重视由于信息安全管理体系中没有明确的组织架构,导致终端信息安全的重要性体现不足。相关管理人员没有有效的权利推行相关制度和监管制度的执行情况。另一方面,员工对终端信息安全工作的认识不
21、足。5.企业公司终端信息安全管理改进措施总的来说,传统安全防护是对己知漏洞的防护还缺乏对安全风险源头控制,特别企业安全来讲,通过对各种实例分析和信息的收集,大量安全隐患来自终端的网络,终端给这个企业的安全带来的风险可以用二八原则定义,80%网络安全来自计算机终端,对于公司来说,对计算机终端管理是信息安全管理的重中之重。鉴于公司在计算机终端信息安全使用和管理的现状,以及目前存在问题和原因分析,公司结合自身多年在信息安全领域的实践,提出了解决终端信息安全管理的理论方案以及相应是实现方案措施。计划开发自主的终端安全策略强制系统和优化现有的信息安全管里制度和流程。5.1终端安全管理的理论方案6-71、
22、传统的防护体系传统安全防护体系,也就是我们经常所说的纵深防御,它以部署防火墙、入侵检测、防病毒等独立安全产品为主要特征。这种体系的优点是利用现用安全产品的丰富性进行分层分级的纵深防护,通过对安全漏洞不断深入分析研究,提升整体的安全结构。但是它也存在一定不足,如传统安全防护是对已知漏洞的防范,而且还缺乏对安全风险源头控制。2、公司的免疫网络安逸的理念针对企业安全来讲,要更多考虑端到端的架构,安全永远是三分技术七分管理,在制定了安全策略和安全制度后,更要考虑的是,如何能保证安全策略的贯彻执行?比如说一些公司在管理制度上要求所有员工必须及时打补丁、不允许安装IM软件,但是如果员工不执行公司的策略,这
23、个安全策略就是一纸空文。所以安全管理一定要通过技术手段来实现,这就是我们所提倡的免疫网络。公司的免疫网络安逸的理念基于三点:首先我们倡导从源头控制,网络的大部分不安全因素来自终端,终端通过一些非法的软件、移动介质引入了很多安全风险,所以对终端的源头控制,是保障网络安全最重要的支撑:其次是对业务系统的健壮性的加强,包括漏洞扫描,业务评估,建立安全基线和主机加固。最后就是管理的概念,怎么实现风险的统一收集分析、管理和规避,这在整个安全体系中是最重要的工作。通过这个理念来实现端到端,从源头到业务系统,乃至整个网络的安全防护一体化。3、源头控制:公司的终端安全方案介绍公司在自身多年信息安全实践中发现安
24、全的大部分风险来源于终端。终端不仅威胁其自身的安全,更多对网络和网络中的主机造成极大的威胁。终端还会造成一些感染性风险,比如病毒大规模散播;还有终端会滥用网络资源,比如终端自身感染病毒会引起网络风暴,这也是所有企业面临最头疼的安全问题;最后,一些终端进行蓄意破坏,比如恶意用户可以通过终端来进行网络破坏和盗取口令。如何降低终端对网络及系统构成的威胁,要对终端进行相应的身份认证和安全检查,实现一体化的防护,所有终端在进入网络之前要到安全策略服务器上认证和安全策略检查,通过之后才准许终端系统访问相应的业务系统,这作为整个安全认证第一关,如果不符合要求就要进行相应安全的修补,包括针对安全策略进行检查,
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
10 积分
下载 | 加入VIP,下载更划算! |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业内部 计算机 终端 应用 安全问题 对策 分析
