- 快捷搜索
- 全站搜索
硬盘密码保护是指通过在BIOS中设置硬盘用户密码(HDD User Password,HUP)和硬盘管理密码(HDDMasterPassWord,HMP)来实现对硬盘的保护。其中,HUP主要控制对硬盘的读取,当硬盘加电时,只有输入这个密码,才能获得对硬盘的读取权限。HMP主要用于修改或重置HUP。由于HUP只有设备使用人知道,若遗忘无法进行清除或重置,故设置HMP用于处理此类情况是十分必要的。但是由于不同厂商设备和型号对硬盘密码设置的支持程度不一致,在实施过程中可能存在部分厂商设备无法实施此项控制措施。
此处的硬盘加密是指全磁盘加密技术(Full DiskEncryption,FDE)。全磁盘加密技术是指通过动态加解密技术,对磁盘上所有数据(包括操作系统)进行动态加解密的技术。FDE技术的最大优点就是直接对物理扇区进行加密,不需要终端用户针对不同的文件和文件系统、各类数据进行加密,加密软件直接对所有数据进行加密,保存在磁盘上的数据均为密文,安全性极高。但缺点是,由于需要对所有存储数据进行加解密,客户端性能受到一定影响。
(2)外设引导
我们在终端日常维护过程中,经常遇到终端用户忘记操作系统密码或其他原因无法进入操作系统的情况,我们常常使用的处理方法就是通过修改B10s的引导顺序,通过u盘引导进入另一个操作系统,进行用户密码重置或修复工作。此种方式往往也是信息泄露的一种途径。因此针对安全级别要求比较高的终端,可上收终端的BIOS管理员权限,并设置仅允许通过硬盘进行引导,禁止通过其他渠道启动操作系统,可防止非授权的外设引导系统的情况发生。
(3)数据转移
人们常使用的外设包括U口、光驱、软驱、蓝牙、红外以及SD卡等。目前通过终端外设进行数据转移已经成为信息泄露的重要渠道,因此如何有效地控制终端外设的使用成为了安全控制系统的一项重要功能。针对一些安全风险较高的终端,如外包人员使用的客户端,可以从物理层面完全控制外设的使用,如物理封禁外包人员所使用的U口、拆卸光驱或软驱、关闭蓝牙等。针对于企业可通过设置移动存储加密系统,实现U盘等方式.确保信息在安全模式下进行传输,同时可加张对外设口使用的日志审计工作,以防出现信息泄露的情况发生。
2.网络
(1)非企业终端接入企业内部网络
企业内部网络为企业内部各资源服务器之间以及资源服务器与终端之间的数据通信提供了网络基础。但是,在企业内部网络的边界,即终端接入网络的控制上,各企业往往不够重视,网络准入的控制措施不严格,为非企业终端接入企业内部网络提供可能性,存在外部入侵和信息泄露的风险。
针对网络准入控制,可通过在交换机上实施802.1X认证,同时后台Radius服务器或终端管理系统服务器对终端接入环境进行验证,保障符合企业安全策略要求的吝户端才能接入内部网络。
(2)网络攻击
终端网络攻击是指利用终端或网络存在的漏洞和缺陷,对终端的系统和各项资源进行攻击。常见的攻击方法是先进行端口扫描.获取终端相关信息后,再利用一些攻击方式获得远程非授权用户权限,进一步获取系统管理员权限,如简单拒绝服务攻击或安全漏洞攻击等。
针对此种攻击,终端可以部署客户端防火墙产品,依靠防火墙的过滤检查,保护计算机终端在正常使用网络时不会发起并受到恶意的攻击,提高了网络安全性;同时通过防火墙的策略设置可控制终端可访问的范围,仅允许终端访问“白名单”列表内的网站,这样可大大加强终端使用的安全性。
3.操作系统
(1)操作系统用户设置及安全配置不当
在进行各项安全检测中,我们经常发现终端的操作系统用户Administrator常常设置为弱密码,如PassWord、Passwordl23等、用户未设置具有一定复杂度的密码、用户未定期修改管理员密码等。对于系统层面的一些高风险服务(如ICS服务)未禁止使用,终端可通过设置网络共享或桥接后实现内外网络的互联。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信