- 快捷搜索
- 全站搜索
目前来看,涉及用户操作及服务相关的安全控制措施,比较有效的方法是通过操作系统的组策略进行集中控制。如微软公司的AD系统,可对加入AD域的终端用户实施统一用户策略,强制要求定期修改密码、密码符合复杂度要求,可对高风险服务进行禁用管理,可对用户权限进行集中控制等。
(2)操作系统漏洞
目前终端使用的操作系统有Windows、苹果或用于手机的安卓系统等,操作系统的运营商会定期发布操作系统的漏洞修复补丁。针对于这些漏洞,可以及时进行安装,避免出现“零日攻击”。同时,可以通过构建企业的补丁管理系统,实现对终端补丁的统一管理和集中下发,甚至强制安装,以保障操作系统漏洞的及时修复。
4.应用软件
(1)非授权软件的使用
各企业均存在因法律或授权、安全漏洞较多等原因,不允许企业内部终端使用的软件.一般称之为非授权软件。非授权软件采用黑名单的管理方式。非授权软件的管理,可通过多种渠道进行。如可在非授权软件安装之初,通过提取其安装程序的特征码,通过客户端安全管理系统禁止其运行;也可以同步提取其运行程序的特征码,在其尝试运行时禁止其运行;还可通过事后采集终端添加删除程序记录,来确认终端非授权软件的安装情况,加强事后监督。
(2)木马、病毒、蠕虫等恶意软件攻击
上述报告指出,2011年CNCERT全年共发现近890万余个境内主机IP地址感染了木马或僵尸程序,较2010年大幅增加78.5%。其中,感染窃密类木马的境内主机IP地址为5.6万余个,国家、企业以及网民的信息安全面临严重威胁。面对日益严重的恶意软件的攻击,防病毒软件是终端防御计算机病毒、木马、蠕虫的有效手段,企业可以部署防病毒系统,并及时进行病毒库更新,降低终端受恶意软件攻击的风险。
5.数据和文件系统
(1)越权阅读文件
敏感文档或商密文档在企业内部进行传输过程中,常常出现传输文档无保护措施,终端用户可随意查看敏感信息,越权阅读文件的情况发生。为解决此类问题,可在企业内部网络部署电子文件控制系统,对各项敏感和商密文件进行加密并授权给所需要的用户。
(2)恶意信息泄露
报告提到的“2012年值得关注的网络安全热点问题”就包含了网站中集中存储的用户信息将成为黑客窃取的重点。这说明了恶意信息泄露事件仍然是2012年互联网安全的一个重要关注点。
随着国家保密局等监管单位对各单位信息保密工作例行化检查要求越来越高,以及各企业内控、内审、保密等职能部门不断加强信息保密检查审计力度,企业可以部署信息泄露监控和检查审计工具对各种信息泄露渠道进行例行化检查审计。
目前信息泄露的渠道有多种,如企业内部邮箱向互联网邮箱发送邮件、通过互联网站点上传各项敏感信息、互联网免费邮箱上传敏感信息、打印、刻录、U盘拷贝等,需要通过各类安全防护系统实现信息传输途径的监控、拦截以及报警,同时可利用安全防护系统对终端本地保存的敏感信息进行检查.对发现不符合要求的文档进行处理。
三、终端安全防护体系部署
要构建全方位的终端安全防护体系,需要从终端的硬件、网络接入、操作系统、应用软件、数据和文件系统五个层面考虑实施不同的控制措施,需要通过部署各项终端安全防护系统来实现安全措施的落地,如客户端安全管理系统、准入控制系统、补丁管理系统、防病毒系统、电子文件控制系统、信息泄露防护系统等(如图l所示)。这些系统功能可以由一个公司的多个产品实现,也可以由多个公司的多个产品实现。诸多的终端安全防护系统,如何在企业内部进行部署,下面分别按照架构部署模式以及策略管理进行介绍。
1.架构部署模式
从架构部署上来说,可分为集中式部署和分布式部署两种模式。
对于集中式部署模式,所有终端安全防护系统均集中部署在数据中心,企业内部终端都通过网络连接到数据中心进行策略更新、日志上传、任务接收、更新病毒码等。其优点是,终端安全防护系统集中部署,易于统一管理,缺点是如果终端数量庞大,对网络带宽和网络设备的消耗较大,比较适用于小规模企业或者通信时效性要求不高的系统。
在银行业信息化新阶段,信息技术风险也自然成为金融机构操作风险的重要方面
华融湘江银行致力于服务地方经济、中小企业、广大客户,全力打造成为客户信