大型企业计算机终端安全管理现状与策略分析
黄俊 万方数据

  1、大型企业计算机终端安全管理现状
  1.1身份识别
  1.1.1个人电脑口令设置
  未要求设置无开机密码和硬盘口令验证,开机后只要直接输入正确的管理员用户名和密码即可进行认证登陆电脑,接入公司网络。用户名和密码可以是普通用户权限,不要求一定用管理员帐号密码登录。
  1.1.2公用电脑口令设置
  部分电脑是部门级的公用电脑,用于存放部门的公共资料或公用的数据信息等。对于这类电脑的用户名和密码一般都是公开的,也没有设置相应的责任人,只要输人相应的用户名和密码即可登录电脑,接入公司网络,访问公司资源,也可以随意从公司的相关服务器拷贝资料等。
  1.1.3供应商等其他外部电脑终端在公司内部办公区可直接接人内部网络使用
  任何一台正常工作的电脑,只要带到公司连接上网线即可接入内部网络,访问和使用公司的资源,当然也可以拷贝一些内部资料到其电脑上。
  1.2终端接入
  在内网,通过域认证加入域后,不管域用户是不是管理员帐号,终端将自动接人公司网络。在外网,在计算机终端未关机的状态下,通过安装的远程终端控制软件即可接入控制内部计算机终端。公司内部办公区域网络未做隔离,公共区域的终端可以直接访问敏感区域的服务器。流氓软件肆意流传,严重影响网络安全,导致病毒传播或者数据丢失事件时有发生。
  1.3补丁安全、防病毒技术
  操作系统的安全漏洞又非常多,微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于端终用户缺乏相关知识,导致补丁安装的不完全、不及时,这就会严重影响终端计算机的安全,从而导致更严重的整个内网安全问题。对内部终端接入外部互联网的权限控制不严格,造成内部终端感染病毒类型多,无法有效管理和控制。经常造成网络故障,影响正常办公和企业单位信息安全,漏洞数量居高不下。
  1.4终端信息安全管理体系
  终端信息安全管理相关规范制度缺乏,且难以有效实施。整个管理体系,仅有一些管理的规章制度,并且这些制度仅仅是停留在纸面上。由于信息安全管理体系中没有明确的组织架构,导致终端信息安全的重要性体现不足。相关管理人员没有有效的权利推行相关制度和监管制度的执行隋况。类似场景的违规事件,在不同的部门判定的违规等级以及类型经常都不一致,导致员工认可度不高。
  2、大型企业计算机终端安全管理策略
  2.1终端安全管理的理论
  企业单位要更多考虑端到端的架构,安全永远是三分技术七分管理,在制定了安全策略和安全制度后,更要考虑的是,如何能保证安全策略的贯彻执行?比如说一些公司在管理制度上要求所有员工必须及时打补丁、不允许安装IM软件,但是如果员工不执行公司的策略,这个安全策略就是一纸空文。
  公司的网络安全理念基于三点:首先我们倡导从源头控制,网络的大部分不安全因素来自终端,终端通过一些非法的软件、移动介质引入了很多安全风险,所以对终端的源头控制,是保障网络安全最重要的支撑:其次是对业务系统的健壮性的加强,包括漏洞扫描,业务评估,建立安全基线和主机加固。
  怎么实现风险的统一收集分析、管理和规避,这在整个安全体系中是最重要的工作。通过这个理念来实现端到端,从源头到业务系统,乃至整个网络的安全防护一体化。
  2.2终端安全策略分析
  如何降低终端对网络及系统构成的威胁,要对终端进行相应的身份认证和安全检查,实现一体化的防护,所有终端在进入网络之前要到安全策略服务器上认证和安全策略检查,通过之后才准许终端系统访问相应的业务系统,这作为整个安全认证第一关,如果不符合要求就要进行相应安全的修补,包括针对安全策略进行检查,进行补丁的下载,进行强制杀毒安全权限的补任,修补之后又进行安全检查,这样形成一体的循环。终端安全管理主要包含以下模块:
  2.2.1网络接入控制模块
  传统上来讲,在企业单位中终端接入网络是没有任何控制的,在终端接入网络后,在网络层是可以访问任何网络中的主机。这样的话就带来了很大的风险,然而,根据工作相关原则和最小权限原则,网络接入控制可以实现以下功能:
  1)终端在接入网络之前必须经过身份认证:
  2)终端在身份认证后根据相应的权限确保只能访问相应的系统,比如市场的员工如无工作需要不能访问财务系统的网络:
  3)终端在接入网络后可以进行限流,确保这个终端在中了病毒以后,不会影响网络和网络中的其他设备:
  4)对于没有合法身份的终端进行强制隔离,不允许接入公司的网络。
  2.2.2终端策略强制模块
  终端策略强制模块是安全管理通过技术手段贯彻执行的具体体现,只有符合公司策略的终端才能接入网络。企业单位可以根据自身特点定制安全策略,通过策略强制来确保所有终端执行公司的策略,否则强制隔离。
  2.2.3终端行为审计模块
  终端行为审计模块可以帮助公司安全人员对安全策略的执行情况进行检查分析,用户也可以通过工具进行自检。
  1)用户可以自助检查终端是否符合公司的策略,如果不符合,可以按照提示先行修复:
  2)审计员可以通过工具下载审计任务,自动检查出不符合公司策略的终端:
  3)审计员可以监控终端的可疑行为,如使用USB硬盘等:
  4)可以方便公司进行资产管理。
  2.3终端安全管理体系建设
  2.3.1在战略层面公司高层对信息安全的重要性进行了重新审视和达成共识。并下发公司级文件,向全公司全体员工明确计算机终端信息安全的重要性,以及相应的管理制度。
  2.3.2在战术层面落实具体公司计算机终端信息安全标准、安装操作指引、审计指引等。便于在统一的标准平台下,实施系统的自动统一管理。
  2.3.3在执行层面,每个三级部门设立信息安全专员,按相关规范要求在本部门内负责开展相关信息安全工作,并作为信息安全责任人对部门的信息安全考核结果负责。将信息安全管理工作的执行效果以及违规情况纳入所有员工的绩效考核,将信息安全与员工切身利益相关的绩效考核联系起来,提供了员工对信息安全重要性的认识。
  2.3.4将信息安全管理制度、标准和相应的系统工具的使用方法作为专门的课程,以面授、网络自学、宣传邮件等形式对员工进行培训。确保所有员工能够在信息安全方面有充分的认识。
  公司通过使用安全方针策略、安全目标、审核结果、对监控事件的分析、纠正和预防行动和管理评审的信息来纠正和预防与终端信息安全管理体系要求不相符合之处,以持续改进终端信息安全管理体系的有效性。
  要提高企业单位终端安全,就应该放弃对某些防护技术单一的依赖心理,而将企业单位的具体业务情况和业务环境相结合,制定出以安全策略为核心的解决方案,才能最终长期有效地保护企业单位信息资产的安全可用。终端信息安全管理是一个持续优化的过程,后续需要进一步的研究和优化终端信息安全管理体系和工具。

 

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢