企業網絡客戶端安全策略
日期:2020-03-18
企業信息化建設的不斷發展,企業也越來越重視信息安全工作。但也存在一個普遍的現象,就是認為信息安全的主要威脅來自外界。國內外一些信息安全研究機構的調查結果表明,很大的安全風險主要也來自于泄密和內部人員犯罪。因此目前企業內部的信息安全的工作不僅集中于重要服務器,而是擴展到全體崗位,信息化管理部門在做好服務器的安全工作時同樣要保障客戶端計算機的安全使用,要把客戶端計算機的安全作為企業信息安全保障體系的重要環節,并采取有效的技術手段和管理措施。
根據國家各主管部門在信息安全方面相關文件中提出的技術要求,結合企業網絡實際應用情況,下面對企業內網的安全風險進行一些分析。
一、內部網絡信息安全風險分析
國家保密局多次指出涉密信息系統中應“防內與防外并重”,傳統的外網安全主要是防范來自國際互聯網的攻擊、病毒入侵等,內網安全主要是注重對企業內部信息流和員工行為的管理,防止重要信息在特定范圍外傳播擴散甚至向外泄露。目前內網的安全風險主要有以下四個方面:
1、口令保護脆弱,身份鑒別強度低
企業內部網絡中一般運行辦公系統、設計系統、財務系統等,這些系統都可以從企業內網的客戶端計算機上進行登錄,取得相應的權限。但目前很多企業的計算機只是使用口令密碼進行安全保護,Windows2000/XP操作系統是將口令存在SAM文件中,加密也比較簡單,因此口令密碼防護是非常脆弱的,惡意接觸計算機的人有可能竊取、破壞其中的信息,當然過后也可以被發現。
2、內部信息泄露的風險
企業內網的管理目前主要有兩種形式:一種是通過域控制用戶計算機的行為權限,另一種是劃分虛擬子網(VLAN)結合工作組形式聯網,這兩種管理形式都不能對客戶端計算機的操作進行有效的監管和審計,內部信息流也無法控制和審計,很難妥善地保護、控制客戶端計算機上的有關企業重要商業秘密或國家秘密的文檔和資料。
3、內部攻擊的風險
企業網絡對外的安全防護由路由器、防火墻、入侵檢測系統等組成多道安全防線,在實際情況下客戶端計算機的安全防護由于空間、成本等方面的原因,不可能采取和在機房中服務器相似的安全措施,對于來自于網絡內部的攻擊僅能依靠操作系統自身的安全性。而目前客戶端計算機普遍使用的Windows操作系統的漏洞較多,防范來自于內部的惡意攻擊和流行的Windows操作系統的漏洞較多,防范來自于內部的惡意攻擊和流行于Windows平臺的計算機病毒、木馬等,困難很大。
4、移動存儲介質的風險
目前軟盤、U盤、移動硬盤等移動存儲介質使用非常普遍,大量企業秘密信息通過移動介質存儲傳播,給管理帶來了相當大的難度。一方面移動存儲介質價格低、體積小,大部分由員工自行購買和使用,很難進行統一的嚴格管理,移動介質不受控,形成泄密隱患;另一方面外部人員攜帶的移動存儲介質接入企業內網不愛限制,存在著惡意復制企業信息或將計算機病毒、間諜軟件等惡意程序傳入內網的安全風險。
綜上所述,企業內部網絡的安全風險高、難度大,這就要求安全管理員為客戶端計算機制訂合理的、切實可行的安全策略,利用相關的安全產品,提高客戶端計算機的安全性。下面針對上述安全風險的防護探討企業內部網絡中使用Windows2003/XP操作系統的客戶端計算機應設置的安全策略,并對部分策略提出可行的技術措施。
二、對身份鑒別風險的防護
從操作系統安全方面來講,身份鑒別是最先考慮的環節,獲得了一個用戶的身份就掌握了所登錄計算機的所有資源,在實現了單點登錄的網絡中同時也獲得了各應用系統的使用權限,因此身份鑒別方式的安全有效非常重要。
目前從技術上來講身份鑒別主要有三種方式:
(1)用戶名+復雜口令
(2)電子鑰匙+PIN碼
?。?)生理特征識別
采取用戶名和設置復雜口令的身份鑒別方式,一般要求的口令強度在12位或更高,由字母、數字、特殊符合混合組成,并定期更換。但這種方式的缺點是Windows2000/XP操作系統的口令可能被惡意的人破解,而且終端用戶在口令更換周期、口令復雜性等方面很難自覺做到,日常管理難度較大。但是企業內部可以通過制度來規定客戶端使用人員的行為規則,違反規則的人將被企業制度處罰。
采取電子鑰匙和PIN碼的身份鑒別方式,一般來說是在電子鑰匙中存入數字證書等身份識別文件,定期更換PIN值,PIN值一般設在6位或更高,用戶只有在同時擁有電子解匙和知道PIN碼的情況下才能登錄系統。數字證書是目前在網上銀行、政府部門等應用比較廣泛的技術手段,安全性要好于用戶名+復雜口令的登錄方式。這種身份鑒別方式需要購買相應的軟硬件產品,一般來說每個客戶端計算機需要數百元。
生理特征識別一般常見的有指紋識別、虹膜識別、面容識別等,其中虹膜識別設備體積大、成本高,一般用于要害部位的入口,近期難以在客戶端計算機應用,面容識別技術目前還不是很成熟,在面部非常相似的情況下也難以起到較好的作用,目前來講應用最廣泛的是指紋識別技術。指紋識別技術基于人體生理特征,安全性相對較高,缺點是成本高,每臺客戶端計算機均安裝指紋傳感器及相應軟件,可能需要上千元。此外無論是采用光學識別技術還是電容傳感器識別技術,在獲取用戶指紋的條件下,采用專門設備利用凝膠等原料能偽造用戶指紋。對于非常重要的客戶端計算機可以采取生理特征識別+復雜口令的技術措施來保證身份鑒別的安全。
綜合考慮以上幾種技術方式,從性價比、安全性等方面考慮,在保密要求較高的單位可以采取儲存數字證書的電子鑰匙和PIN碼結合的身份鑒別方式。僅采取電子鑰匙還不能安全保證系統的登錄安全,作為客戶端安全策略的組成部分,在主板BIOS中設置為硬盤引導,設置BIOS口令。同時為客戶端計算機的用戶創建根據數字證書或其他身份鑒別文件建立的日常使用賬號,禁止使用管理員(administrator)賬號登錄和日常工作,客戶端計算機僅設置管理員賬號和一個用戶賬號,用戶不能創建無對應數字證書的賬號。管理員賬號設置為用戶無法知道的高強度口令,僅用于系統出現問題時的維護。客戶端計算機還設置了相應的屏?;蜴i屏功能,確保用戶不在的情況下他人無法進入計算機。
三、對信息泄露風險的防護
根據網絡模式、安全保密需求等具體情況的不同,用戶權限的管理在各單位要求也不同。在安全保密要求較高的單位,客戶端計算機的輸入輸出端口應該是受到控制的。利用安全產品對客戶端計算機的軟驅、光驅、USB口、COM口、LPT口、1394口、打印機(包括本地打印機和網絡打印機)等輸入輸出端口進行了使用權限控制。同時出于安全性和保護內部秘密的需求,要求該安全產品提供審計功能以加強對內部網絡中客戶端計算機的監控和管理,主要審計以下內容:
?。?)審計客衣端計算機上的身份鑒別相關事件,如每天用戶登錄嘗試次數、登錄時間等信息;
?。?)審計客戶端計算機與移動存儲設備間的文件操作,包括復制、刪除、剪切、粘貼、文件另存為等文件操作;
?。?)審計客戶端計算機的打印機使用情況,記錄打印文件名稱、打印時間、打印頁數等相關信息;
(4)禁止客戶端計算機以無線上網等方式接入國際互聯網,并部署審計策略記錄客戶端計算機未成功的聯網行為。
因客戶端計算機是采取工作組模式組網,則技術上對用戶安裝軟件較難管理,但如SQL Server等軟件如安裝時sa用戶設置為空口令會有很高的安全風險,我們從管理上明確用戶安裝軟件應通知安全管理員,經檢查確認無安全風險后再進行安裝。在日常管理中也通過掃描等技術手段定期進行檢查和安全風險分析。
四、對內部攻擊風險的防護
對于來自內部網絡的攻擊,除了加強口令強度外,還應采取及時安裝系統補丁,在網絡團體議上進行策略設置,安裝病毒防護系統等安全措施
1、補丁管理
Windows操作系統自發布以后,基本每月微軟都會發布安全更新補丁,已經發布的補丁修補了很多高風險的漏洞,可以說一臺未及時更新補丁的計算機是基本不設防的,因此建立補丁管理系統并分發補丁是非常重要的安全措施,建立后可以對系統軟件進行修補,從而最大限度地減少漏洞,降低了病毒利用漏洞的可能。由于很多攻擊都是利用漏洞進行的,快速地為客戶端和服務器打上最新的安全補丁,能減少安全隱患,基本避免網絡中的惡意攻擊者利用漏洞進行攻擊。一個合適的補丁管理系統應滿足以下要求:
(1)可以自動化地部署補丁,不需要過多的人工維護;
?。?)可以自動收集數據,確認每臺計算機需要更新的補丁,避免重復打補丁;
(3)靈活的軟件架構,可以應用在工作組模式中也可應用在域模式中;
?。?)可以提供日志和報表;
(5)用記操作簡單,補丁分發正確、可靠。
使用微軟的WSUS工具進行補丁管理,能下載并分發WindowsXP/2000/2003操作和Office辦公軟件的補丁,在客戶端計算機配置相應的組策略后自動的從服務器上及時更新補丁,管理員在控制臺能清楚地了解到網絡中每臺計算機的補丁安裝情況,根據各成員單位不同的安全要求在配置客戶端策略時選擇自動安裝補丁或提醒安裝。補丁管理系統可以很大程度地改善企業的網絡安全情況,提高工作效率,縮短響應時間,但仍然有其局限性,并且在實施和應用中會遇到一些困難和問題,只能通過有效的規劃和細致工作,補丁管理系統才能實際發揮作用并起到良好效果。
2、網絡協議安全策略設置
安全性與可用性之間存在著一定的矛盾,由于網絡需要較高的安全性,我們通過安全產品,在客戶端計算機設置了關閉客戶端計算機遠程訪問、刪除所有隱含分享、客戶端計算機設置靜態IP地址、用戶無法自行修改IP地址等安全策略。
3、病毒防護
我們為所有計算機安裝了網絡版的病毒防護系統,并配置了另一套不同廠商的病毒防護系統作為補充和備份。每周更新病毒庫,如發現病毒流行,則啟動相應的預案,對感染病毒的計算機采取更換病毒防護軟件、斷網等技術措施,保證系統的正常運行。
五、移動存儲介質管理
為了降低移動存儲介質帶來的安全風險,在企業內部對所有移動存儲介質統一管理,建立臺賬,由保密部門將存儲介質分為涉密和不涉密兩種。對不同的存儲介質對采取不同的技術和管理措施,通過技術手段使外來移動存儲介質無法接入企業內網,內網中認證過的移動存儲介質也僅能在授權的客戶端計算機上使用,涉密的移動存儲介質采取加密等技術使在授權之外的計算機上無法使用,以降低介質丟失或管理不嚴帶來的安全風險。
六、人員管理
技術措施不能解決所有的安全問題,而且目前安全產品不能安全防范企業內部人員對關鍵信息的泄露、竊取、更改和破壞。由于內部人員最容易接觸敏感信息,他們的行動非常具有針對性,危害的對象往往是系統中最核心的信息資源,會造成很大的破壞。內部人員對本單位的結構、管理和文化等情況非常熟悉,竊取或破壞信息時不易被發覺、有可能事后才發現。因此人員的管理和教育是非常重要的,人員是信息安全管理的核心。為了從根本上保障內部網絡信息安全,除采用必要的技術防范手段外,還加強對企業員工的信息安全和保密教育,加強日常的監督管理和檢查,確保所有終端用的計算機始終處于被監管的狀態,以及時發現和解決存在風險。
企業內部網絡中客戶端計算機其數量多,軟硬件配置和應用情況復雜,做好安全防護工作是有一定的難度。在保證計算機功能使用和對性能影響較小的情況下,應充分應用Windows操作系統本身的安全策略及組策略進行管理,并考慮在一個安全產品中實現多功能集成,盡可能地降低成本和便于維護。隨著技術發展和安全需求的提高,安全策略也必將隨之調整完善。
相關文章
- 市場開發有技巧 2020-03-18
- 規范化工園區建設 推進區域安全評價 2020-03-18
- 赴芬蘭Tekla Structures軟件培訓情況介紹 2007-07-17
- 企業職工住宅設計體現“以人為本”的構想探討 2007-06-07
- 紙機汽罩排風余熱回收系統工程實例 2007-05-26
- 輕工業設計院微信公眾號