计算机终端作为信息存储、传输、应用处理的基础设施,其自身安全性涉及信息安全体系的系统安全、数据安全、网络安全等各个方面。任何一个节点出现问题都有可能影响到整个网络的安全。对于金融机构,计算机终端用户通常分布在全国各地,由于存在分散性、不被重视、安全防护手段滞后等特点,现已成为信息安全体系的薄弱环节。这就要求IT管理者及时调整安全防护战略,将着眼点重新回归到计算机终端安全上。
一、终端安全问题焦点回顾
以前我们在谈信息安全问题时,更多关注网络边界安全和核心资源安全。即辖内所有计算机终端要在防火墙内部,同时安装统一的防病毒系统、入侵检测系统。而如今边界的概念已不局限于防火墙圈定的范围内。随着网络接入手段的扩展,如远程拨号、VPN接入、无线局域网等新型网络接入方式的采用,使得各分支机构扩大了边界的概念。与此同时,混合型病毒的出现,带来了多种传播途径。新出现的病毒通过网络下载、邮件传输、系统漏洞、文件共享等方式进行蔓延。此时,终端上的防病毒系统已显得无能为力,只要一台终端感染了病毒或木马,就有可能传播至整个网络。终端安全的防范已经迫在眉睫。
互联网发展初期,终端用户使用浏览器访问网站,当时浏览器几乎是访问信息内容的唯一工具。而如今,终端用户可以用浏览器衍生的多种应用软件访问大量内容,如实时流媒体播放器、BT下载等等。由此造成的网络资源占用、员工工作效率降低等诸多问题日益凸现。而终端上经常出现的软件出错、系统崩溃、病毒传播,以及员工私自改动配置带来的系列问题,让IT管理员疲于奔命。他们手工对每台客户端进行处理,对于动辄成百上千的客户端,这样的维护量相当可观。
另外,IT 组织面临的管理压力越来越大。由于员工安装未经批准的软件,改变了企业终端计算机的标准配置,成为了有效避开网络边界安全的“外围杀手”。终端的不可控性,使IT管理者面临很尴尬的局面。
我们认为终端面临的首要困扰还是蠕虫、木马程序、间谍软件、广告软件等肆意泛滥。然而原有的安全防护部署,如架构防火墙、实施入侵检测、防病毒系统等均属于被动防御模式。原因在于:首先是防病毒系统的局限性,它对间谍软件、广告软件以及黑客等很难查杀和根除。其次,病毒定义库的滞后性与恶意病毒蠕虫的飞速传播并产生大量变种已形成了鲜明的对比,往往病毒定义库还未及时更新,终端用户已经通过某种途径感染了最新病毒。例如2006年典型的“熊猫烧香”病毒,变种约为500种。变种的出现及传播速度非常迅速,使很多企业诸多终端应用程序受到破坏。最后,以Windows为代表的各种操作系统不断发现漏洞,通常在漏洞被披露的1~2周之内,相应的蠕虫病毒就会产生。一旦终端用户未及时安装补丁,蠕虫病毒便很容易感染系统,后果严重。故此,IT管理者要通过综合的、全方位的安全防范方式来实现主动防御。
二、终端安全防范从四方面入手
出于对上述存在种种问题的考虑,目前应当如何应对终端安全面临的诸多困扰呢?
1.制订终端安全策略
安全策略是企业信息安全体系建设的核心,企业所有的信息安全建设都应该围绕预先制定的安全策略来执行。对于终端的安全策略应包括以下四方面的内容。
(1)操作系统的安全策略。
例如密码策略、帐号策略、本地策略、软件策略、服务策略、外设策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护具有重要作用。操作系统安全策略可由第三方安全产品或操作系统本身强制执行。
(2)分配用户权限。
针对不同企业的具体情况,严格分配和授权终端用户的使用权限。如网络访问权限,系统访问权限、授权用户的使用资源。
(3)互联网访问策略。
一项分析统计报告表明,很多企业终端感染病毒或流氓软件,均源于恶意网站和P2P的海量下载。如果不对终端用户访问互联网加以控制,各种防护措施将不能有效地防范所有攻击。
(4)制定外来人员访问策略,严格控制和管理外来终端的接入和访问权限。
对外来终端实施准入控制,可采用先进的网络准入控制软件,严格限制未经授权的终端接入企业内部网络,避免由此造成的安全隐患。终端准入控制技术是指在端点连接到网络之前对其安全状态进行审计和适度更新,从而将蠕虫和病毒屏蔽在网络之外。
2.实施终端资产管理
计算机上的软、硬件资源是终端运行的基础。软件和硬件的失效或意外变更可能会影响终端的正常运行和信息安全。所以需要对软硬件资产进行统计管理,并跟踪其变更情况。终端资产管理主要是满足对整个网络内部IT资产的管理和统计。对于一些在美国的上市公司来说,IT资产管理需要符合《萨班斯》法案。因此近年来,国内企业的IT资产管理越来越被各公司的CIO所重视。终端资产管理包括硬件设备信息统计、软件资产统计、设备变更信息统计,以及移动存储控制及审计。
首先,对企业中所有终端的硬件,软件资源,许可数量等进行有效的管理和控制,实现软、硬件非授权变更报警。其次,制定员工终端主机软、硬件变更的申请流程,制定报废年限,同时要设计新员工申请终端流程和离职员工终端的处理流程。第三,对新接入网络的终端进行软件安装、策略配置、监控代理安装、密码设置等。第四,对报废终端进行安全的信息销毁,使用专用软件对所有存储器,进行信息擦除。最后,实施有效的移动存储管理。目前,大多数人已经接受了U盘、移动硬盘等设备的数据存储方式,但与此同时这些移动存储设备可能携带和传播的病毒也给企业的信息安全带来了威胁。
3.部署终端安全防护
为了保障终端系统信息资源的机密性、完整性和可用性,需要整合多种安全防范技术对终端实施全面的安全保护。
一是实施病毒防护系统。在每台终端部署防病毒软件。防病毒软件具有可管理性,可以自动升级病毒定义码。
二是进行补丁管理。利用补丁管理软件,实现系统补丁自动升级。企业内部网络若没有部署补丁管理系统,很多终端会缺乏安全补丁,从而受到病毒攻击,甚至蔓延到整个网络,危害极大。
三是实施入侵防护系统。利用桌面的防火墙和入侵检测产品,阻止木马以及各种黑客的攻击入侵行为。
4.构建终端审计与监控平台
终端安全是一个动态的发展过程。在制定了安全策略并采用一定的安全防护措施后,需要通过有效的监控及审计手段,来保障策略的执行,检查发现新问题,不断调整安全策略和防护措施。在终端的使用、管理、保护以及监管的过程中,需要有一套行之有效的审计措施,并由专门人员进行日志的分析、整理,发现违反策略的行为和策略需要改进的地方。
作为企业IT管理者,应该建设一个能够监控所有终端的信息安全监控中心。信息安全监控管理中心是终端信息安全体系落实的实体。它通过统一的信息管理平台,实现对总部以及各办事处范围内的所有终端安全需求、安全事件的集中管理;安全策略和标准的集中配置管理和审计;安全威胁的监控、分析、处理以及安全管理工具的部署管理。在每个终端上安装部署审计监控代理,确保对所有终端进行安全监控。
综上所述,我们可以建立一个以终端安全策略为核心,终端资产管理、安全保护为手段,终端审计与监控为保障的终端安全综合防范模型。进一步建立企业终端的安全防范体系,不断完善和加强企业终端安全建设。
发表于:
2007-12-26 13:50 跳跳 阅读(567)
评论(0) 收藏(0)
好文推荐