国产超碰人人做人人爱ⅴa-久久婷婷成人综合色-成人爽a毛片免费视频-日本少妇高潮喷水xxxxxxx

山東省輕工業(yè)設(shè)計院有限公司
電子內(nèi)刊
首頁
 / 電子內(nèi)刊  / 07內(nèi)刊
企業(yè)網(wǎng)絡(luò)客戶端安全策略
日期:2020-03-18 
  企業(yè)信息化建設(shè)的不斷發(fā)展,企業(yè)也越來越重視信息安全工作。但也存在一個普遍的現(xiàn)象,就是認(rèn)為信息安全的主要威脅來自外界。國內(nèi)外一些信息安全研究機(jī)構(gòu)的調(diào)查結(jié)果表明,很大的安全風(fēng)險主要也來自于泄密和內(nèi)部人員犯罪。因此目前企業(yè)內(nèi)部的信息安全的工作不僅集中于重要服務(wù)器,而是擴(kuò)展到全體崗位,信息化管理部門在做好服務(wù)器的安全工作時同樣要保障客戶端計算機(jī)的安全使用,要把客戶端計算機(jī)的安全作為企業(yè)信息安全保障體系的重要環(huán)節(jié),并采取有效的技術(shù)手段和管理措施。
  根據(jù)國家各主管部門在信息安全方面相關(guān)文件中提出的技術(shù)要求,結(jié)合企業(yè)網(wǎng)絡(luò)實際應(yīng)用情況,下面對企業(yè)內(nèi)網(wǎng)的安全風(fēng)險進(jìn)行一些分析。
  一、內(nèi)部網(wǎng)絡(luò)信息安全風(fēng)險分析
  國家保密局多次指出涉密信息系統(tǒng)中應(yīng)“防內(nèi)與防外并重”,傳統(tǒng)的外網(wǎng)安全主要是防范來自國際互聯(lián)網(wǎng)的攻擊、病毒入侵等,內(nèi)網(wǎng)安全主要是注重對企業(yè)內(nèi)部信息流和員工行為的管理,防止重要信息在特定范圍外傳播擴(kuò)散甚至向外泄露。目前內(nèi)網(wǎng)的安全風(fēng)險主要有以下四個方面:
  1、口令保護(hù)脆弱,身份鑒別強(qiáng)度低
  企業(yè)內(nèi)部網(wǎng)絡(luò)中一般運行辦公系統(tǒng)、設(shè)計系統(tǒng)、財務(wù)系統(tǒng)等,這些系統(tǒng)都可以從企業(yè)內(nèi)網(wǎng)的客戶端計算機(jī)上進(jìn)行登錄,取得相應(yīng)的權(quán)限。但目前很多企業(yè)的計算機(jī)只是使用口令密碼進(jìn)行安全保護(hù),Windows2000/XP操作系統(tǒng)是將口令存在SAM文件中,加密也比較簡單,因此口令密碼防護(hù)是非常脆弱的,惡意接觸計算機(jī)的人有可能竊取、破壞其中的信息,當(dāng)然過后也可以被發(fā)現(xiàn)。
  2、內(nèi)部信息泄露的風(fēng)險
  企業(yè)內(nèi)網(wǎng)的管理目前主要有兩種形式:一種是通過域控制用戶計算機(jī)的行為權(quán)限,另一種是劃分虛擬子網(wǎng)(VLAN)結(jié)合工作組形式聯(lián)網(wǎng),這兩種管理形式都不能對客戶端計算機(jī)的操作進(jìn)行有效的監(jiān)管和審計,內(nèi)部信息流也無法控制和審計,很難妥善地保護(hù)、控制客戶端計算機(jī)上的有關(guān)企業(yè)重要商業(yè)秘密或國家秘密的文檔和資料。
  3、內(nèi)部攻擊的風(fēng)險
  企業(yè)網(wǎng)絡(luò)對外的安全防護(hù)由路由器、防火墻、入侵檢測系統(tǒng)等組成多道安全防線,在實際情況下客戶端計算機(jī)的安全防護(hù)由于空間、成本等方面的原因,不可能采取和在機(jī)房中服務(wù)器相似的安全措施,對于來自于網(wǎng)絡(luò)內(nèi)部的攻擊僅能依靠操作系統(tǒng)自身的安全性。而目前客戶端計算機(jī)普遍使用的Windows操作系統(tǒng)的漏洞較多,防范來自于內(nèi)部的惡意攻擊和流行的Windows操作系統(tǒng)的漏洞較多,防范來自于內(nèi)部的惡意攻擊和流行于Windows平臺的計算機(jī)病毒、木馬等,困難很大。
  4、移動存儲介質(zhì)的風(fēng)險
  目前軟盤、U盤、移動硬盤等移動存儲介質(zhì)使用非常普遍,大量企業(yè)秘密信息通過移動介質(zhì)存儲傳播,給管理帶來了相當(dāng)大的難度。一方面移動存儲介質(zhì)價格低、體積小,大部分由員工自行購買和使用,很難進(jìn)行統(tǒng)一的嚴(yán)格管理,移動介質(zhì)不受控,形成泄密隱患;另一方面外部人員攜帶的移動存儲介質(zhì)接入企業(yè)內(nèi)網(wǎng)不愛限制,存在著惡意復(fù)制企業(yè)信息或?qū)⒂嬎銠C(jī)病毒、間諜軟件等惡意程序傳入內(nèi)網(wǎng)的安全風(fēng)險。
  綜上所述,企業(yè)內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險高、難度大,這就要求安全管理員為客戶端計算機(jī)制訂合理的、切實可行的安全策略,利用相關(guān)的安全產(chǎn)品,提高客戶端計算機(jī)的安全性。下面針對上述安全風(fēng)險的防護(hù)探討企業(yè)內(nèi)部網(wǎng)絡(luò)中使用Windows2003/XP操作系統(tǒng)的客戶端計算機(jī)應(yīng)設(shè)置的安全策略,并對部分策略提出可行的技術(shù)措施。
  二、對身份鑒別風(fēng)險的防護(hù)
  從操作系統(tǒng)安全方面來講,身份鑒別是最先考慮的環(huán)節(jié),獲得了一個用戶的身份就掌握了所登錄計算機(jī)的所有資源,在實現(xiàn)了單點登錄的網(wǎng)絡(luò)中同時也獲得了各應(yīng)用系統(tǒng)的使用權(quán)限,因此身份鑒別方式的安全有效非常重要。
  目前從技術(shù)上來講身份鑒別主要有三種方式:
  (1)用戶名+復(fù)雜口令
  (2)電子鑰匙+PIN碼
 ?。?)生理特征識別
  采取用戶名和設(shè)置復(fù)雜口令的身份鑒別方式,一般要求的口令強(qiáng)度在12位或更高,由字母、數(shù)字、特殊符合混合組成,并定期更換。但這種方式的缺點是Windows2000/XP操作系統(tǒng)的口令可能被惡意的人破解,而且終端用戶在口令更換周期、口令復(fù)雜性等方面很難自覺做到,日常管理難度較大。但是企業(yè)內(nèi)部可以通過制度來規(guī)定客戶端使用人員的行為規(guī)則,違反規(guī)則的人將被企業(yè)制度處罰。
  采取電子鑰匙和PIN碼的身份鑒別方式,一般來說是在電子鑰匙中存入數(shù)字證書等身份識別文件,定期更換PIN值,PIN值一般設(shè)在6位或更高,用戶只有在同時擁有電子解匙和知道PIN碼的情況下才能登錄系統(tǒng)。數(shù)字證書是目前在網(wǎng)上銀行、政府部門等應(yīng)用比較廣泛的技術(shù)手段,安全性要好于用戶名+復(fù)雜口令的登錄方式。這種身份鑒別方式需要購買相應(yīng)的軟硬件產(chǎn)品,一般來說每個客戶端計算機(jī)需要數(shù)百元。
  生理特征識別一般常見的有指紋識別、虹膜識別、面容識別等,其中虹膜識別設(shè)備體積大、成本高,一般用于要害部位的入口,近期難以在客戶端計算機(jī)應(yīng)用,面容識別技術(shù)目前還不是很成熟,在面部非常相似的情況下也難以起到較好的作用,目前來講應(yīng)用最廣泛的是指紋識別技術(shù)。指紋識別技術(shù)基于人體生理特征,安全性相對較高,缺點是成本高,每臺客戶端計算機(jī)均安裝指紋傳感器及相應(yīng)軟件,可能需要上千元。此外無論是采用光學(xué)識別技術(shù)還是電容傳感器識別技術(shù),在獲取用戶指紋的條件下,采用專門設(shè)備利用凝膠等原料能偽造用戶指紋。對于非常重要的客戶端計算機(jī)可以采取生理特征識別+復(fù)雜口令的技術(shù)措施來保證身份鑒別的安全。
  綜合考慮以上幾種技術(shù)方式,從性價比、安全性等方面考慮,在保密要求較高的單位可以采取儲存數(shù)字證書的電子鑰匙和PIN碼結(jié)合的身份鑒別方式。僅采取電子鑰匙還不能安全保證系統(tǒng)的登錄安全,作為客戶端安全策略的組成部分,在主板BIOS中設(shè)置為硬盤引導(dǎo),設(shè)置BIOS口令。同時為客戶端計算機(jī)的用戶創(chuàng)建根據(jù)數(shù)字證書或其他身份鑒別文件建立的日常使用賬號,禁止使用管理員(administrator)賬號登錄和日常工作,客戶端計算機(jī)僅設(shè)置管理員賬號和一個用戶賬號,用戶不能創(chuàng)建無對應(yīng)數(shù)字證書的賬號。管理員賬號設(shè)置為用戶無法知道的高強(qiáng)度口令,僅用于系統(tǒng)出現(xiàn)問題時的維護(hù)??蛻舳擞嬎銠C(jī)還設(shè)置了相應(yīng)的屏保或鎖屏功能,確保用戶不在的情況下他人無法進(jìn)入計算機(jī)。
  三、對信息泄露風(fēng)險的防護(hù)
  根據(jù)網(wǎng)絡(luò)模式、安全保密需求等具體情況的不同,用戶權(quán)限的管理在各單位要求也不同。在安全保密要求較高的單位,客戶端計算機(jī)的輸入輸出端口應(yīng)該是受到控制的。利用安全產(chǎn)品對客戶端計算機(jī)的軟驅(qū)、光驅(qū)、USB口、COM口、LPT口、1394口、打印機(jī)(包括本地打印機(jī)和網(wǎng)絡(luò)打印機(jī))等輸入輸出端口進(jìn)行了使用權(quán)限控制。同時出于安全性和保護(hù)內(nèi)部秘密的需求,要求該安全產(chǎn)品提供審計功能以加強(qiáng)對內(nèi)部網(wǎng)絡(luò)中客戶端計算機(jī)的監(jiān)控和管理,主要審計以下內(nèi)容:
 ?。?)審計客衣端計算機(jī)上的身份鑒別相關(guān)事件,如每天用戶登錄嘗試次數(shù)、登錄時間等信息;
 ?。?)審計客戶端計算機(jī)與移動存儲設(shè)備間的文件操作,包括復(fù)制、刪除、剪切、粘貼、文件另存為等文件操作;
  (3)審計客戶端計算機(jī)的打印機(jī)使用情況,記錄打印文件名稱、打印時間、打印頁數(shù)等相關(guān)信息;
 ?。?)禁止客戶端計算機(jī)以無線上網(wǎng)等方式接入國際互聯(lián)網(wǎng),并部署審計策略記錄客戶端計算機(jī)未成功的聯(lián)網(wǎng)行為。
  因客戶端計算機(jī)是采取工作組模式組網(wǎng),則技術(shù)上對用戶安裝軟件較難管理,但如SQL Server等軟件如安裝時sa用戶設(shè)置為空口令會有很高的安全風(fēng)險,我們從管理上明確用戶安裝軟件應(yīng)通知安全管理員,經(jīng)檢查確認(rèn)無安全風(fēng)險后再進(jìn)行安裝。在日常管理中也通過掃描等技術(shù)手段定期進(jìn)行檢查和安全風(fēng)險分析。
  四、對內(nèi)部攻擊風(fēng)險的防護(hù)
  對于來自內(nèi)部網(wǎng)絡(luò)的攻擊,除了加強(qiáng)口令強(qiáng)度外,還應(yīng)采取及時安裝系統(tǒng)補(bǔ)丁,在網(wǎng)絡(luò)團(tuán)體議上進(jìn)行策略設(shè)置,安裝病毒防護(hù)系統(tǒng)等安全措施
  1、補(bǔ)丁管理
  Windows操作系統(tǒng)自發(fā)布以后,基本每月微軟都會發(fā)布安全更新補(bǔ)丁,已經(jīng)發(fā)布的補(bǔ)丁修補(bǔ)了很多高風(fēng)險的漏洞,可以說一臺未及時更新補(bǔ)丁的計算機(jī)是基本不設(shè)防的,因此建立補(bǔ)丁管理系統(tǒng)并分發(fā)補(bǔ)丁是非常重要的安全措施,建立后可以對系統(tǒng)軟件進(jìn)行修補(bǔ),從而最大限度地減少漏洞,降低了病毒利用漏洞的可能。由于很多攻擊都是利用漏洞進(jìn)行的,快速地為客戶端和服務(wù)器打上最新的安全補(bǔ)丁,能減少安全隱患,基本避免網(wǎng)絡(luò)中的惡意攻擊者利用漏洞進(jìn)行攻擊。一個合適的補(bǔ)丁管理系統(tǒng)應(yīng)滿足以下要求:
 ?。?)可以自動化地部署補(bǔ)丁,不需要過多的人工維護(hù);
 ?。?)可以自動收集數(shù)據(jù),確認(rèn)每臺計算機(jī)需要更新的補(bǔ)丁,避免重復(fù)打補(bǔ)??;
  (3)靈活的軟件架構(gòu),可以應(yīng)用在工作組模式中也可應(yīng)用在域模式中;
 ?。?)可以提供日志和報表;
 ?。?)用記操作簡單,補(bǔ)丁分發(fā)正確、可靠。
  使用微軟的WSUS工具進(jìn)行補(bǔ)丁管理,能下載并分發(fā)WindowsXP/2000/2003操作和Office辦公軟件的補(bǔ)丁,在客戶端計算機(jī)配置相應(yīng)的組策略后自動的從服務(wù)器上及時更新補(bǔ)丁,管理員在控制臺能清楚地了解到網(wǎng)絡(luò)中每臺計算機(jī)的補(bǔ)丁安裝情況,根據(jù)各成員單位不同的安全要求在配置客戶端策略時選擇自動安裝補(bǔ)丁或提醒安裝。補(bǔ)丁管理系統(tǒng)可以很大程度地改善企業(yè)的網(wǎng)絡(luò)安全情況,提高工作效率,縮短響應(yīng)時間,但仍然有其局限性,并且在實施和應(yīng)用中會遇到一些困難和問題,只能通過有效的規(guī)劃和細(xì)致工作,補(bǔ)丁管理系統(tǒng)才能實際發(fā)揮作用并起到良好效果。
  2、網(wǎng)絡(luò)協(xié)議安全策略設(shè)置
  安全性與可用性之間存在著一定的矛盾,由于網(wǎng)絡(luò)需要較高的安全性,我們通過安全產(chǎn)品,在客戶端計算機(jī)設(shè)置了關(guān)閉客戶端計算機(jī)遠(yuǎn)程訪問、刪除所有隱含分享、客戶端計算機(jī)設(shè)置靜態(tài)IP地址、用戶無法自行修改IP地址等安全策略。
  3、病毒防護(hù)
  我們?yōu)樗杏嬎銠C(jī)安裝了網(wǎng)絡(luò)版的病毒防護(hù)系統(tǒng),并配置了另一套不同廠商的病毒防護(hù)系統(tǒng)作為補(bǔ)充和備份。每周更新病毒庫,如發(fā)現(xiàn)病毒流行,則啟動相應(yīng)的預(yù)案,對感染病毒的計算機(jī)采取更換病毒防護(hù)軟件、斷網(wǎng)等技術(shù)措施,保證系統(tǒng)的正常運行。
  五、移動存儲介質(zhì)管理
  為了降低移動存儲介質(zhì)帶來的安全風(fēng)險,在企業(yè)內(nèi)部對所有移動存儲介質(zhì)統(tǒng)一管理,建立臺賬,由保密部門將存儲介質(zhì)分為涉密和不涉密兩種。對不同的存儲介質(zhì)對采取不同的技術(shù)和管理措施,通過技術(shù)手段使外來移動存儲介質(zhì)無法接入企業(yè)內(nèi)網(wǎng),內(nèi)網(wǎng)中認(rèn)證過的移動存儲介質(zhì)也僅能在授權(quán)的客戶端計算機(jī)上使用,涉密的移動存儲介質(zhì)采取加密等技術(shù)使在授權(quán)之外的計算機(jī)上無法使用,以降低介質(zhì)丟失或管理不嚴(yán)帶來的安全風(fēng)險。
  六、人員管理
  技術(shù)措施不能解決所有的安全問題,而且目前安全產(chǎn)品不能安全防范企業(yè)內(nèi)部人員對關(guān)鍵信息的泄露、竊取、更改和破壞。由于內(nèi)部人員最容易接觸敏感信息,他們的行動非常具有針對性,危害的對象往往是系統(tǒng)中最核心的信息資源,會造成很大的破壞。內(nèi)部人員對本單位的結(jié)構(gòu)、管理和文化等情況非常熟悉,竊取或破壞信息時不易被發(fā)覺、有可能事后才發(fā)現(xiàn)。因此人員的管理和教育是非常重要的,人員是信息安全管理的核心。為了從根本上保障內(nèi)部網(wǎng)絡(luò)信息安全,除采用必要的技術(shù)防范手段外,還加強(qiáng)對企業(yè)員工的信息安全和保密教育,加強(qiáng)日常的監(jiān)督管理和檢查,確保所有終端用的計算機(jī)始終處于被監(jiān)管的狀態(tài),以及時發(fā)現(xiàn)和解決存在風(fēng)險。
  企業(yè)內(nèi)部網(wǎng)絡(luò)中客戶端計算機(jī)其數(shù)量多,軟硬件配置和應(yīng)用情況復(fù)雜,做好安全防護(hù)工作是有一定的難度。在保證計算機(jī)功能使用和對性能影響較小的情況下,應(yīng)充分應(yīng)用Windows操作系統(tǒng)本身的安全策略及組策略進(jìn)行管理,并考慮在一個安全產(chǎn)品中實現(xiàn)多功能集成,盡可能地降低成本和便于維護(hù)。隨著技術(shù)發(fā)展和安全需求的提高,安全策略也必將隨之調(diào)整完善。
主站蜘蛛池模板: 午夜.dj高清免费观看视频| 成人综合伊人五月婷久久| 天堂中文а√在线| 外国男同志网站| 久久精品夜夜夜夜夜久久| 最近中文字幕视频高清| 97精品国产一区二区三区| 久久国产加勒比精品无码| 无码一区二区三区免费| 成人无码a级毛片免费| 欧美极品少妇×xxxbbb| 亚洲精品无码久久久| 女人色熟女乱| 公粗挺进了我的密道在线播放贝壳| av无码久久久久不卡免费网站| 日韩精品一区二区亚洲av| 麻花传媒剧国产mv高清播放| 午夜亚洲福利在线老司机| 熟女人妇 成熟妇女系列视频| 中文字幕人成人乱码亚洲电影| 孩交精品乱子片| 色久综合网精品一区二区| 午夜无码国产理论在线| julia无码中文字幕一区| 天堂网www在线| 亚洲日韩欧洲乱码av夜夜摸 | 福利一区二区三区视频在线观看 | 国偷自产av一区二区三区| 无码精品人妻一区二区三区影院 | 欧美日韩中文国产一区| 无码午夜人妻一区二区三区不卡视频| 五十路丰满中年熟女中出| 脱了美女内裤猛烈进入gif| 免费黄色电影在线观看| 国内精品人妻无码久久久影院导航| 无码尹人久久相蕉无码| 与亲女洗澡时伦了毛片| 九九视频在线观看视频6| 久久精品国产免费观看| 福利一区二区三区视频在线观看| 无码区国产区在线播放|