网络安全终端管理范文
时间:2023-10-25 20:46:15
网络安全终端管理篇1
关键词:多层准入控制 内网安全 合规管理
0 引言
重庆市电力公司教培中心学员培训计算机房已经使用多年,但是存在着不少安全问题,主要表现为:外来终端不难接入内网,这样就会使一些已经感染了未知或新型病毒欺骗病毒的终端,使内网受到病毒感染,直接威胁网络的安全运行。在培训学员时,没有注意让学员严格按照相关的规定对指定的防病毒软件、桌面安全管理等安全软件进行卸载,在安装和运行游戏软件、网络视频工具等其他可能存在安全隐患的软件时也缺少相关的必要指导。内网多使用的是以U盘为代表的移动存储设备,这样就不难导致病毒的侵袭或者是木马传播、泄露内部重要数据和文件;同时U盘的广泛使用也为机房组织考试增加了管理难度。随着网络技术的不断发展,特别是无线网络互联技术的飞快发展,使Internet的联入摆脱了地域的限制,现在内、外网在一定程度上实现了互通,一些不合法外联事件也逐渐的增多了,这给企业核心业务系统的稳定安全运行造成了很大的影响。接入内网的终端,在未授权的情况下就可连接其内部重要服务器,这样给合法用户的访问带来不同程度影响的同时,还可能成为来自内部或外部的非法人员,以此为跳板,攻击其内部关键业务系统……
经过一番认真的调查和仔细的研究,我们发现现有多于80%的安全事故是在内网条件下出现的,在整个网络安全管理中,在内网的管理上还是很欠缺的。
1 内网终端合规管理实施终端准入控制
经过研究发信,强制内网终端合规准入控制机制的建立,从终端系统启动一直到终端之间互访的安全接入实施有效地控制,从而实现对终端整个过程的管理与控制,还能够对终端安全状态做好实时的监控,并能够进行修复,给内网建立“终端安检系统”,这样,不管是终端用户有意的还是无意的不按照内网合规管理方案操作,这一管理系统就会自动开启违规处理,对这些不按照相关规定进行操作的终端做出不同程度的处理,如提示、警告、自动修复或者是对终端进行安全隔离,但是违规终端会很好的保护网络资源,更好的完成内网合规管理。
从上面的分析中,我们制定了几种内网终端合规管理解决方案的原则:①终端接入内网后,从网络边界、业务应用系统到其他客户端做好控制。②终端接入内网后,要对其强制执行内网合规管理策略。③监控终端的全过程、动态的合规状态,如果出现终端违规现象,就会对违规行为进行提示、警告、自动修复甚至对终端实施安全隔离。
2 能够实现合规管理无盲区,不妥协
构筑多层准入的内网终端合规管理系统
基于以上原则,我们广泛了解现在内网终端安全管理市场,考察了多家国内外专业安全厂商,深入了解和测试了多款这些厂家所提供的成熟和稳定的内网终端安全管理产品,最终决定跟国内著名的安全公司“启明星辰”合作,发展好内网终端计算机的综合信息中心,在合规管理平台的运行上不断创新,作为教培中心培训机房的内网终端合规管理系统承载平台,这样就使得教培中心培训机房拥有了全新的多层准入内网安全管理体系架构。
在多层准入控制的帮助下,我们能够实现以下准入控制流程:终端层网络层应用层(包括客户端准入、网络准入和应用准入等)。
2.1 如果终端想借助交换机接入内网
管理服务器可以跟接入层和汇聚层网络设备联动,控制那些想要连入内网的终端网络准入,不仅会对其进行严格的身份验证,还要进行合理的合规检查,我们要做到的是只允许合法的和安全的终端接入内网。那些违规的或者是不合法的终端,系统会自动将其划入修复区甚至是隔离。详见下图:
2.2 当接入网络的终端试图访问内网服务器或关键业务系统时
在内网安全风险管理与审计系统中,需要有一个特有准入控制组件—策略网关,把它安装在企业网的重要服务器或者是关键业务系统上,这样就能够保障有效地控制终端应用层的准入,一旦出现不受控的终端或者是不合规的终端,就无法访问该服务器或业务系统。
应用准入与网络准入的主要区别:①在数据中心的服务器区就可实现应用准入,不涉及网络环境,如果出现与网络准入条件不相符合的情况,或者是由于内网终端合规管理的现实情况,在网络准入控制方面可以不必太严格,此时使用应用准入控制就可以,不必进行终端合规准入控制。②应用准入具有自动重定向功能,一旦发现未受控终端,以及不合规终端,系统就会出现相关的提示,通知其被拦截的消息,并告知其原因。而且在提示页面中还能够设置合规管理客户端下载链接,这样在很大程度上使系统维护人员的工作量变少了,使用户的满意程度不断提高,使他们更乐于接受,进而实现了内网合规的最佳效果。
2.3 当两个终端相互之间进行访问时
来访的终端会受到合规受控的终端的客户端准入控制,同时还要接受合规检查,只有合规安全的终端才能进行访问,如果是不合规的终端或者是不合法的终端都将无法访问,这样当那些感染了蠕虫病毒的非受控终端想要对合规终端进行病毒感染时,就可以将其及时的切断。
3 全面进入内网终端合规管理
教培中心培训机房首先完成构建混合准入控制体系,然后充分考虑到内网终端合规管理以及内网安全等级保护的要求,编辑和下发了一些终端合规安全管理策略,通过对这些策略的认真执行,使内网终端的安全保护能力得到显著提高,而且由于非安全终端造成的很多内网安全问题也减少了很多,此外,不仅仅是教培中心培训学员网络安全防护等级提高了,而且信息安全管理水平也有了明显的改善。
4 总结
教培中心培训学员机房通过部署内网安全风险管理与审计系统,构建多种准入控制手段混合共存的内网终端合规准入管理体系,更好地实施内网终端合规管理规范,在信息安全系统投资中收到最好的效益。
参考文献:
[1]孙强,陈伟,王东红著.信息安全管理:全球最佳实务与实施指南. 北京:清华大学出版社,2004.
[2]启明星辰编著.UTM(统一威胁管理)技术概论.北京:电子工业出版社.
网络安全终端管理篇2
关键词:机密 数据 威胁 网络安全 网络管理
一、概述
随着网络在企业生产经营中应用越来越广、越来越深,企业网络安全的问题也日益凸显。来自企业网外部和内部的攻击无时不刻都在威胁着企业网络的安全,也成了每一位网络管理人员都需要面临的考验。如何建立一个完整的企业网络安全解决方案,减少因网络攻击和病毒引发的生产经营数据的丢失和外泄引发的损失,本文将进行一个浅显的探讨。
二、网络安全的基础——网络设计
网络的设计与建设,是构建一个安全网络的基础。合理的网络构架设计将为未来网络安全的设计与构建节省一大部分开销,这些开销包括了设计、成本和系统的效率等。因此,在构建一个网络的初期,就必须将网络系统的安全作为设计的基本要素,考虑到整个系统中。一个大型的企业,如在地域上分部较为集中,其内网为了增大运行保险系数,一般主干采用双环网的网络构架。这种网络在一路主用线缆引故障停止时会自动切换到备用环上,当然,根据具体的系统配置的不同,双环网正常工作时又会被分为双路负载分担型和双路数据同步型等类型,在这里就不详细介绍了。一个企业如在地域上较为分散,下属有多家子公司且这些子公司又拥有自己的网络的情况下,最好采用以树形或星型网络结构为主的复合型网络设计。这种设计使得各网络层次的访问控制权限一目了然,便于内部网络的控制。
一个大型企业的网络在内部又会被分为许多特定的区域——普通的办公区,财务销售的核心业务区,应用服务器工作区,网络管理维护区,多方网络互联区域,vpn连接区等多个功能区域。其中普通的办公区有时是与财务销售类的业务区合并在一起的,但是,如果公司还涉及特殊业务的时候应当将这两个区域分开,甚至为其单独建立一套网络系统以增强其安全保密性。应用服务器区域一般承载着企业办公、生产等主要业务,因此在安全上其级别应当是最高的。一般对这一区域进行安全设置时最好将除所用端口以外的所有其他端口全部封锁,以避免多余端口通信造成的安全威胁。有条件的网络用户或对安全要求比较高的用户可以在不同的网络之间配置防火墙,使其对网络的访问进行更好的控制或者将不同的网络直接进行物理隔离,以完全绝断不同网络之间的互访。在网络中中有许多服务器,比如病毒服务器、邮件服务器等,有同时被内网及外网访问的需求,应当为这些有外网需求的服务器考虑设置dmz区域。dmz区域的安全级别较普通用户区高,即便得到访问授权的用户,其对dmz区域的访问也是有限制的,只有管理人员才可以对这一区域的服务器进行完全的访问与控制。
三、终端的安全防护
病毒、木马无论通过何种途径传播,其最终都是感染终端为目的的,无论这个终端是指的服务器还是普通用户的终端,因此,对各类终端的安全防护可以说是网络安全构建的关键。对终端的安全防护可以分为两套系统;一种为硬件的防火墙类,一般由管理人员进行专业操作处理的防护系统,包括了反垃圾邮件系统、用户上网行为监控管理系统、网站防篡改系统等专业(服务器)终端防护系统;另一种为软件类的防火墙、杀毒软件及其他安装于各个用户终端由用户或管理人员进行操作管理的防护系统。现在多数的网络安全防护系统多由这两种类型的防护系统复合而成。这种复合式的系统所取得的效果在很大程度上依赖于终端用户的计算机水平及杀毒软件服务提供商的反应能力和软件更新能力,总之,这种方式是比较偏重于“被动防守”的一种防护措施。
现在有厂商提供了一种协调系统,使用这种系统能让以上所述的复合安全系统能够在网络管理员的干涉下实现主动的管理。这套系统一般在用户终端安装一个客户端,开机时,客户端自动判定本终端的安全状态并与安全服务器取得联系,当终端被判定正常时,终端可进行正常权限的网络访问;当终端被判定为非正常(威胁)时,此终端可根据预先堤定的安全策略,断绝与普通局域网的连接,只能与特定的服务器如病毒服务器等进行连接以解决问题。网络管理员可以通过这套系统实时监查每个终端的进程与数据状态,并通过管理终端对客户端进行控制,以解决安全威胁。此类系统的应用将所有用户的终端都纳入了系统管理员的控制下,以系统管理员专业化的技术知识实现对整个系统的监管与维护,能够在很大程度上减少威胁并提高系统的安全性和网络效率。
四、终端用户的规范
网络的安全除了在设计、硬件、技术管理上提高水平外,对网络用户进行必要的指导是十分重要的。普通的网络用户由于其计算机专业知识水平的不同,不可能要求其对终端进行专业的处理,告诫其正确的上网方式,减少各种网络(ie)软件、插件的使用及不明软件的下载是十分重要的。即使对于某些安全防护类软件(控件、插件)也应当控制使用,原因很简单,任何软件的编制都有bug或漏洞的存在,终端用户所使用的网络软件(插件、控件)越多,这种硬伤类的安全威胁也就越多。终端所面临的威胁也就越多。不安装不必要的(网络)软件,也能在很大程度上避免网络威胁。
五、结束语
网络安全终端管理篇3
1.1操作系统及配置
首先鼓励并引导用户使用正版操作系统及软件,通过完整的补丁更新,减少计算机系统漏洞和安全隐患;其次企业可制定计算机操作系统安全基线配置标准,如账号密码策略、端口使用、非法外联、共享、磁盘分区等进行规范,通过操作系统及配置等从基础上可加固操作系统防护能力,有效抵制网络病毒及黑客攻击,减少终端计算机运行风险。
1.2桌面安全软件企业
按照分级部署网络版杀毒及管理软件等终端计算机安全软件,做到每台计算机可管理可控制,并掌握整体终端计算机安全动态。通过桌面安全软件部署,保证病毒定义码和补丁更新,也可自动分发企业定制的安全策略,如安全基线设置、违规接入审计、系统补丁等,保证企业信息安全政策连贯执行,达到统一标准。
2运行环境安全
在终端计算机安全防护体系建设中,运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境,在网络环境中给终端计算机加几把锁,把握其方向轨迹和动态。
2.1IP地址固定
在网络中,IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法,技术上在网络设备里通过DHCPSnooping和A-CL列表,实现IP和MAC地址绑定。
2.2控制上互联网计算机
因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度,技术上实施是在IP地址固定的前提下,在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。
2.3部署准入设备
为保证网络安全,在网络边界或内部部署准入设备,设立终端计算机入网规则,如必须安装企业桌面安全软件和配置安全基线等等,通过进程检测合规后入网或可访问关键业务。
2.4部署内容审计系统
在互联网出口边界部署内容审计系统,在线对终端计算机访问互联网的行为进行2~7层的识别,可进行关键字的设置过滤、URL过滤,对于计算机的互联网行为做到可控制、可管理、可审计,以保证网络信息的安全。
2.5部署服务器
为保证终端计算机上网安全,一般建议在互联网出口设置服务器,用户通过服务器访问互联网。通过服务器访问互联网可以提高访问速度,方便对用户行为进行管理和审计,起到防火墙作用,保护局域网安全。
3安全管理三分技术
七分管理,是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中,技术操作都是通过管理来实施的,因此形成一套安全管理机制并始终贯彻运行,是十分重要的。
3.1建立终端计算机管理制度
建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施,如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度,通过建立健全这些制度,形成信息化考核机制,使得终端计算机安全工作有章可循。
3.2提高计算机安全管理的力度和深度
在企业计算机安全管理管理中,管理人员首先要提高各级领导和员工网络安全重视程度,其次定期通过各种手段完成终端计算机安全检查工作,如通过桌面安全系统、审计系统检查计算机违规行为,根据规定实施处罚等,最后安全管理人员要主动识别和评估安全风险,制定和落实安全整改措施,确保终端计算机持续安全稳定运行。
3.3建设完整的计算机实名库
通过建设终端计算机实名库,掌握计算机管理动态,实现计算机资产管理,给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等,从而完成终端计算机实名库的建设。
3.4建立网络建设标准
通过网络建设标准的建立,保障终端计算机安全运行环境,也加强了桌面安全防护体系在网络体系建设中的作用。
3.5建设一支过硬的信息化队伍
在企业中,建立信息安全组织架构、明确组织责任、设置相应岗位,建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。
4结语
终端计算机安全防护体系建设是网络安全体系的一部分,它是一个长期的、系统的、复杂的建设,往往伴随着互联网信息安全变化、企业信息发展变化而不断调整。在企业里必须推进终端计算机安全防护体系建设,保证终端计算机在网上安全、高速、稳定地运行,提升信息安全堡垒的作用,保障互联网安全运行。
网络安全终端管理篇4
关键词:SYGATE公司安全策略保证系统;入侵防护系统
中图分类号:TP3文献标识码:A文章编号:1009-3044(2010)18-4901-02
The Security Solution for the Front Retailer Computer
QI Gang
(School of Computer Science, Wuhang University, Wuhan 430020, China)
Abstract: In nowaday, the front retailer computer of telecom operatior is lack the essential management method.They also has serious insufficiency on the security aspect and the usability aspect.The enterprise’s security policy is unable to use a suitable method to implement the whole system.So the front retailer staff’s behavior can not be restricted. This article provides a solution which using the SYGATE ESS system to solve the problem we talked about before.The SYGATE ESS system can implement enterprise security standards,regulate the operating behavior of front line staff and protect network security.
Key words: SYGATE ESS; IPS
1 终端维护面临的问题
目前,省一级电信运营商运营支撑网络基本上都采取如下接入方式:省分公司将访问资源集中,各个市州分公司通过传输资源与省分公司连接,然后各个营业网点再通过接入网与市州分公司的汇聚层设备连接用于前台营业终端的接入。由于终端分散在省内各地市县的营业厅及办公大楼内,在日常维护会常见如下问题:
1) 没有经过安全检查的电脑可以直接登陆网络;
2) 操作系统的补丁无法保证每一台终端都正常装上;
3) 防病毒软件的安装率始终都无法达到100%,致使病毒容易在局域网内传播;
4) 对于染毒终端发起的ARP攻击缺乏有效的工具进行控制,定位困难;
5) U盘及光驱的使用导致终端染毒的机率大大增高;
6) 很多营业厅(特别是合作营业厅及代办点)使用终端浏览INTERNET网页,玩电脑游戏,对营业员的行为无法进行规范;
7) 市州的营业前台终端由于分布零散,很难进行全面的管理及控制;
采用SYMANTEC公司的SYGATEESS系统可以完备的解决上述存在的维护问题,下面就以H省某电信运营商的实施案例作简要介绍,与各位读者分享。
2项目实施目标
H省电信运营商本次项目实施的目标是保证运营支撑网络的安全,确保网内终端的可靠性及可用性,减轻市州网络管理员的维护压力。具体可分解为以下目标:
1) 对网络实行强制准入控制,保证只有合法的用户才能访问企业的内部网络。
2) 终端在进入内部网络之前自身的安全性符合企业的安全策略,落实并强制实施企业网络的安全策略。为合法终端构建无缝的防护体系。强制终端安装网络安全程序(如防病毒软件、个人版防火墙、入侵检测工具),安装操作系统补丁等,并强制进行更新。
3) 对营业前台终端访问的网络资源进行控制。只允许前台终端访问省分允许访问的网络资源,禁止访问其它非法的网络资源,禁止连接INTERNET。
4) 对终端上运行的程序进行控制。只允许前台终端运行与工作相关的软件,禁止非法程序(游戏软件等)的运行。
5) 禁止优盘及光驱等不良外设的使用。
3 解决方案
通过前期产品选型及试用,H省电信运营商最终选用了SYMANTEC公司的SYGATE安全策略保证系统(ESS),SYGATE ESS系统主要包括4部分:客户端软件、策略服务器、强制准入控制服务器、数据库服务器。
ESS系统客户端软件具有如下功能:
1) 终端完整性检查。终端完整性策略检查终端计算机上防病毒软件、反间谍软件、补丁程序、Service Pack 或其它必需应用程序是否符合要求。具体内容可以是对防病毒程序的安装,微软的补丁安装,客户端启用强口令策略,关闭有威胁的服务与端口,因为主机完整性检查支持对终端的注册表检查与设置,进程管理,文件检查,下载与启动程序等,所以可通过设置自定义的策略来满足几乎所有对客户端的安全策略与管理要求。
2) 终端软件防火墙。通过SSE的以应用程序为中心的终端软件防火墙能对客户端的网络访问制定访问规则,支持对应用程序来设定防火墙规则。
3) 入侵防护系统 (IPS)。通过集成的入侵防护系统对各种入侵行为做出自动响应,保护终端避免受到黑客攻击,对目前流行的ARP欺骗功击有很好的防护作用,并可定期从服务器端升级攻击特征码。
4) 操作系统保护策略。客户端对终端的文件、注册表项和进程可以直接访问。客户端对终端的硬件设备可以进行管理,根据企业网络安全策略设置是否终端使用相关的设备,可以设置对如U盘的禁止使用,无线网卡,红外端口的禁止使用,禁止修改IP地址,禁止U盘的自动运行功能、禁止指定程序如BT程序等的运行。
从上述描述可以看出,客户端对终端的控制在操作系统层面来讲已达到系统管理员这一级别,这样就保证了ESS系统对前台终端具有完全的控制能力。
客户端软件布署在前台营业终端上,接收策略服务器下发的企业安全策略并执行;策略服务器负责终端的安全策略的制定;数据库服务器存储所有客户端的信息;强制准入控制服务器对不符合安全策略的终端进行隔离。当终端在访问省分资源时,强制准入控制服务器将对终端进行准入认证,只有符合网络安全基本策略的终端才能访问企业的内部网络,否则将对终端的HTTP访问进行重定向到指定的网页,指导用户对终端进行必须的安全加固之后才能访问企业的内部网络。
按照网络的的现状,我们设计了如图1的部署方案图。
如图1,为了让市州所有访问省分的网络流量通过准入控制服务器,将准入控制服务器布署在主用的汇聚层路由器与汇聚层防火墙之间,数据库服务器与策略服务器布署在省分,由省分进行统一的管理。结合如图2的流程图,可以清晰地表明整套系统所发挥的作用。
策略服务器将省分制定的企业安全策略下发至前台终端上的ESS客户端,由客户端完成省分制定策略的执行检查工作并对终端进行保护。强制准入控制服务器对终端客户端的安装情况进行校验,保证所有终端都必须安装客户端。这样,整个系统形成闭环管理架构,省分的安全策略能够得到有效的执行,保障了前台终端及整个网络的稳定运行。
4 总结
该项目在2009年11月份开始实施,2010年3月份正式开始正式投入生产运营。实施后的效果,通过市州反馈的调查表格我们就一目了然了,如表1所示。
网络安全终端管理篇5
【关键词】网络终端 数据 系统功能模块 量化模型
1 引言
随着计算机网络的普及和信息化的推进,网络与信息安全问题也日益突出,我国对网络信息系统的依赖性日益加深。国外在研究网络与信息系统安全风险评估方面已有数十年的经验,IT发达国家在信息系统风险评估的标准、技术、架构、组织等方面都已非常成熟。而国内,更重视网络系统内部数据的安全保护,网络终端是重要文件和重要数据的存放源头,许多安全事件往往发源于网络终端,来自终端的泄密事件、安全威胁也频频显现,网络终端安全管理已成为信息安全管理体系的薄弱环节。
对网络终端安全性进行客观、系统地评估是保障信息安全的基础。通过对安全隐患及未来风险的分析,并评估这些风险可能带来的安全威胁及影响程度,将有助于安全人员针对性地抵御威胁、全面提高网络信息系统安全防护能力,最大程度地保护信息资产。
目前,国内关于评估网络终端安全状况还没有统一的标准,网络终端安全的关键点尚不明晰。本文将对网络终端安全状况评估指标体系作出有益探讨,尝试量化网络终端评估系统指标,将网络终端安全风险控制在可靠水平,从而最大程度提高终端安全水平。
2 网络终端安全评估方法
选择何种安全评估方法将直接影响到评估过程的各个环节,可能左右最终评估结果。现有的风险评估方法大致可分为定量风险评估、定性风险评估及综合风险评估三大类。
2.1 定量风险评估
定量评估对构成风险的各个要素和潜在的损失水平赋以数值,当量度风险的所有要素都被赋值后,建立起综合评价的数学模型,从而完成风险的量化计算。定量评估数据较为直观,分析方法相对客观,但部分风险被量化后存在被曲解的可能性。常用的定量评估方法包括模糊综合评判法、BP神经网络、灰色系统等。
2.2 定性风险评估
定性评估主要依据研究人员的知识和经验,或业界标准、历史教训、政策走向等非量化
资料对系统风险作出评估,是一种模糊分析方法。定性分析操作相对简单,结论较为全面,但主观性强,易受到评估人员直觉、经验的影响。常用的定性评估方法包括专家评价法、历史比较法、事故树分析法、因果分析法、逻辑分析法等。
2.3 综合风险评估
综合风险分析是将定性与定量评估相结合的一种分析方法,在不容易获得准确数据的情况下使用定性分析,在定性分析的基础上采取定量方法以减少主观性。最常用的综合风险分析评估法即层次分析法(简称AHP),它是一种综合了定性与定量分析、是人脑决策思维模型化的决策方法。
3 网络终端安全评估指标体系研究
3.1 建立评估体系的原则
我国《信息安全风险评估规范》将风险评估的基本要素定义为:资产、威胁、脆弱性、风险、安全措施。网络终端安全状况评估中主要牵涉资产、威胁、脆弱性三个要素。建立网络终端安全评估指标体系时,需要考虑以下4大原则:(1)必须遵循国际、国内信息安全评估规范,评估指标体系还应符合业务要求及应用特点,尽量满足用户及应用环境对网络终端安全性的要求。(2)设定的指标应涵盖终端安全所有风险要素,覆盖技术、管理各个层面,也囊括主观、客观各种因素。(3)指标的含义、目标应当明确,指标体系整体条理清晰,数据收集渠道应具现实操作性,保障定量分析的可行性。(4)评估指标要独立于网络终端安全的具体内容,不与其他指标内涵发生重叠。
3.2 网络终端安全评估框架设计
本文遵循评估体系建立原则,对网络终端安全状况建立起层次评估指标体系,拟将指标体系分为四层,详见表1。
实现网络终端安全状况评估指标体系,分为三步:一是建立层次评估指标体系;二是确定评估指标;三是对各个评估指标赋予权值。指标数据有多种来源,包括问卷调查、人员访谈、实地调查、辅助工具和文档审查等。之后,参照终端安全评估指标体系,采用文档审查、调查表等方式获得安全状况数据,再利用漏洞扫描工具、入侵检测工具等技术对资产、威胁、脆弱性进行识别和分析。
3.3 网络终端安全量化评估模型建立
本文采用多级模糊综合评价方法建立评估模型。模糊综合评价方法先通过构造等级模糊子集,对被评估事物的模糊指标进行量化,再利用模糊变换原理对各指标进行综合评价。
3.3.1 建立评价对象因素集
设层次型评估指标体系为U,把因素集U分为n组,记做U={U1,U2,…,Un},其中Ui∩Uj≠Φ,i≠j(i,j=1,2,…,n)。设第i个子集为Ui={Ui1,Ui2,…,Uin},其中i表示第i组的单因素个数。
3.3.2 设置评判集和分配权重系数
设V={V1,V2,…,Vn}为评判集,由不同等级的描述组成的集合。m一般取奇数,评判集适用于任一层次和任一因素的评判。
3.3.3 单级模糊综合评价
成立一个评估专家小组,由专家对每个评估指标评判,并确定评估指标属于等级评判集中哪个级别,统计评估指标被评判为相应等级的专家数,相应等级专家数占专家总人数的百分比,即得到评估指标在此等级的隶属度,进而得到模糊关系矩阵Rj。根据单因素模糊关系矩阵Rj,利用复合运算求出子因素Ui的综合评判结果:Bi=AiΟRi=(bi1 bi2 … bim),i=1,2,…,n。
3.3.4 计算最终综合评价结果
对单因素评价结果Bi再进行高层次的模糊综合评判,由较低层次的综合评判结果Bi构成高一层的单因素模糊关系矩阵R。之后,对多级因素集进行综合评价,得出评判因素U的最后评价结果为:B=AΟR=(b1 b2 … bm)。可根据评估指标的层次情况循环本轮计算,直至得到最满意的综合评价结果。
3.3.5 综合评价结果分析
模糊综合评价的最终结果不是一个单值,而是一个模糊子集,这样,能比较准确地体现对象本身的模糊状况。由多级模糊综合评价法量化评价的具体过程可以看出,最底层指标需要人为做隶属度判断,所有上层指标的隶属度均根据下层计算得到。网络终端安全评估主要是识别和分析资产价值、威胁及脆弱性。根据资产(A)在保密性、完整性、可用性要求的不同程度,将三个属性划分为五个等级,对不同等级赋予不同数值;根据威胁(T)出现的频率对威胁进行赋值并划分五个等级;脆弱性(V)识别针对每一项资产,同样将其划分为五个等级。对网络终端安全评估值进行五等级划分,分别是好、良、中、差、极差,等级越高对终端及网络造成的影响越大。表2是等级划分表及相应的安全状况。
根据三个基本要素的最终赋值,并结合网络终端安全评估模型(图1),分析计算出网络终端安全评估值,计算过程分四步:(1)由A、T、V及风险发生概率决定网络终端安全评估值。(2)计算威胁利用脆弱性导致终端安全事件发生的可能性P,记为P=F1(T,V),P=T+V。(3)对资产造成的损失程度和威胁值、脆弱性、资产价值有关,记为L=F2(P,A),L=PXA。(4)考虑威胁发生并对资产造成的损失与风险发生的概率R,得出终端安全评估值S,S= F(L,R) ,S=LXR。
3.4 网络终端安全评估系统的设计与实现
3.4.1 系统需求分析
安全性评估分析,重点评估风险可能造成的威胁及影响,向系统管理员提交细致可靠的分析报告,让管理员掌握策略漏洞和安全状况,并提出有针对性的抵御威胁的防护对策。网络终端安全评估系统需要满足7点需求:(1)识别网络终端资产。(2)对网络终端进行漏洞扫描,提供准确、客观的定量评估数据。(3)动态监测网络运行的终端资源,分析可能面临的威胁及发生的可能性。(4)进行终端安全评估,得到综合量化评估结论。(5)将数据、量化评估结果以报告形式输出。(6)给出安全解决方案或加固建议等,提高网络终端安全性。(7)管理使用评估系统的用户,分配不同权限。
3.4.2 网络终端安全评估系统设计
为减少系统资源占用,本文将评估系统设计在内网一台服务器上,设软件运行环境为Windows 2002/2003 Server,服务器被要求接入核心交换机。系统架构如图2所示。
3.4.3 系统功能模块实现
网络终端安全评估系统主要分为五大模块:资产识别、脆弱性管理、威胁管理、终端安全评估、评估响应。
(1)资产识别模块。资产识别模块主要包括资产信息管理子模块和资产识别及赋值子模块。前者主要管理本地终端和远程终端的基本信息,后者从资产数据库里读取终端IP地址、用户名、密码等信息,建立主机对象,将主机对象传给回调函数。
(2)脆弱性管理模块。该模块包含漏洞扫描和脆弱性赋值两个子模块。扫描被评估的本地终端和远程终端,并确定应用程序和操作系统所存在的漏洞以及对终端资产的脆弱性权重进行赋值。
(3)威胁管理模块。该模块包括资源监测和威胁赋值两个子模块。其中,资源监测模块动态监测本地、远程终端资源,获取资源状态信息。
(4)终端安全评估模块。分为快速、完全评估两大子模块。快速评估根据量化评估模型对终端安全进行评估;完全评估则根据建立的安全评估指标体系里的指标因素集,利用多级模糊综合评判方法进行评估。
(5)响应模块。根据评估结果,匹配响应库里定义的规则,给出解决方案或加固建议。
系统接口设计方面,将系统分为三层:用户接口层、逻辑处理层和数据中间层。接口层用于接受用户输入及显示评估报告;逻辑处理层实现上述五大模块的各项功能;数据中间层则屏蔽数据库细节,连接系统和多个数据库。系统接口设计如图3所示。
4 结束语
本文提出一套网络终端安全评估指标体系,建立起网络终端量化评估模型,将评估项目尽可能具体量化,以减少人为主观影响。下一步可考虑根据安全评估系统,对终端安全量化评估模型做进一步探索和改进,完善系统设计并扩充评估功能。
参考文献
[1]国家质量技术监督局.GB17859-1999,计算机信息系统安全保护等级划分准则[S].1999.
[2]国家质量监督检验检疫总局.GB/Z 24367-2009,信息安全技术 信息安全风险管理指南[S].2009.
[3]吴亚飞,李新友,禄凯.信息安全风险评估[M].北京:清华大学出版社,2007(04).
[4]郭宁.信息安全风险评估指标体系研究[J].信息安全标准与技术追踪,2006,5:17-19.
[5]Xiaoping Wu,Yu Fu,Jiasheng Wang.Information systems security risk assessment on improved fuzzy AHP[C].Compution,Communication,Control,and Management.International Colloquium,2009,4:365-369.
[6]GB/T 20984-2007,信息安全技术信息安全风险评估规范[S].2007.
作者单位
1.国网重庆市电力公司客户服务中心 重庆市 400023
网络安全终端管理篇6
随着我国的病毒数据的逐年增加,其在网络信息系统中操作漏洞也是不断出现,使实施攻击的效果成本越来越低,攻击操作起来也是非常简单的,医院信息系统的安全性能问题也存在很多,所以为了确保医院的整个网络信息系统能够达到稳定性能和安全是至关重要的,基于医院内部的环境特殊,使用终端设备来获取一些经济利益,其准确性更为强烈。以往传统的安全解决形势是很难躲避一些隐患的,这样会使医院网络信息终端设备遭受到一定程度的破坏,严重时会使一些比较重要的文件丢失,也会使服务器连接发生中断,从而医院的整体名誉和信誉都会受到打折。现如今计算机终端已经成为医院里重点保护的环节,医院要提前做好加强计算机终端安全性能的维护。随着医院内部的规模不断壮大,计算机终端的总数也在不断提升,从而分布的范围比较广泛,然而计算机终端的种类型号要去也是相当复杂的,这样一来就给相关的管理人员造成了很大的困难,其中介绍几个比较具体的困难:非法入侵私自连接计算机终端内网;终端的管理手段不合理;客户端的设备型号混乱;信息系统内部消毒不及时。
2分析医院计算机终端存在的安全管理问题
(1)外部的计算机信息系统管理漏洞是由于笔记本电脑的不断增多,使用起来比较方便可以移动办公,然而医院内部的网络经常会被工作人员的外部电脑进行连接,使医院内部的网络系统安全性能产生了隐患。(2)移动磁盘的大量使用是对医院内部的网络信息系统一个重大威胁,会有一些工作人员在闲暇时间俩安装游戏等一些有病毒侵犯的数据会直接传送到医院内部的网络中,从而使医院整体的工作效率减慢。(3)计算机内网终端有时会出现禁止访问,随着近年来远程协助的风险越来越大,要在内网中安装远程协助工具来维护终端的安全问题。(4)分别在医院内的各个病区,各个楼层内都安装计算机终端设备,但使用这类设备是具有一定的风险的。
3医院计算机终端安全问题对策
经过分析研究多家的医院计算机终端安全管理问题后,结合自身的实际情况,对上述的问题,进行建立一个安全有效的计算机终端软件,具体的功能如下:(1)采取真实姓名来认证,进行登录网络来核对人员的实名制,设备关联内部网络,确保人员在接近计算机终端设备时具有合理性质,从而加强了内部网络的操控性,为相关的管理人员提供了便捷。(2)移动磁盘外部控制系统,例如驱动器、优盘、移动硬盘等,为USB插口设置读取、禁止以及只读的这三种形式。(3)医院内部网络信息系统终端的外部控制设备要独立建一个私密的网址,此程序会在出现危机中毒时及时发出警报或者是自动切断网络的功能,对任何科室的工作人员的上网次数都会有详细的记载。(4)远程控制系统根据相关的管理人员进行远程查看操作,但远程观看只局限于看到屏幕的最终端,不能进行控制操作,而远程控制操作系统是既可以在远程观看也可以对屏幕进行操作控制,然而所有的远程操控都在内部网络中有记录。(5)漏洞补丁管理针对系统的漏洞,在外网补丁下载服务器使用增量式补丁分离技术,区分出内网已安装和未安装的补丁,导入内网进行增量式的升级。(6)绑定一个指定的管理终端网址,从而预防非法的客户端对计算机终端设备进行不良的行为,绑定后可以时刻观察一旦发现事物会及时提醒报警。
4医院计算机终端安全管理的背景
现如今,网络系统的安全性能应用是在对多数人眼里都比较主要,其主要都有:身份实名验证、系统漏洞扫描、系统对病毒进行自动扫描、防火墙等,这些对于网络系统的安全的应用是具有防范的效果,都是针对某种类型的网络进行操作,果不其然只会解决一部分的网络安全问题。查找病毒是不能够对网络系统内部设备实施的行为,主要针对的是木马来进行杀毒,某种恶意进攻的病毒我们可以利用定位系统来看清。防火墙主要的作用是用来阻拦病毒的入侵,对于网络内部的各种攻击手段和非法进入等这类形式防火墙是无能为力的。它们的防御功能都不能解决对于网络内部信息泄露的事实,与相关的管理措施以及计算机终端设备的使用是息息相关的,要解决这些综合性的问题,它们都不是专业的解决计算机内部网络的工具。目前,有很对新近的网络信息系统逐渐的进行了医院当中,使医院的信息化时代加快了速度,优化了医院内部的工作效率,从而完善了计算机终端网络设备的管理体系,促进了当前医院内部业务的发展需求。随着医院各种系统的网络进行完善时,切记要针对医院计算机终端安全管理问题做出相对应的措施,做好防御系统,但在应用的过程当中得到的效果并不是很理想化,医院内部整体而定预防系统能力还不够完善,采取的措施达不到科学性,为此,要让相关的管理人员对预防系统做进一步的完善,以确保医院计算机终端设备能正常的运行,不会突然出现系统断网的想象,使医院内部网络达到稳定的状态。
5结语
综合上述,针对医院计算机终端安全管理所找出的问题进行研究,然而要想确保医院计算机终端安全管理问题能得到尽快的解决,其重要的原因就在于操作技术和系统管理这两个方面进行实施,要做到操作技术和系统管理相结合,一同去实施,这样才能将医院计算机终端安全管理问题完全的解决,从而达到医院里的整个网络系统都处于安全的状态。
网络安全终端管理篇7
关键词:网络安全;安全防护;接入控制;防火墙;访问权限
随着计算机技术的发展和Internet的广泛应用,越来越多的企业都实现了业务系统的电子化和网络化,计算机网络安全已成为企业信息安全的重要组成部分。但计算机网络也面临着非法入侵,恶意攻击、病毒木马等多种威胁,对企业的信息系统安全造成损害。
因此,如何提高计算机网络的防御能力,增强网络的安全性和可靠性,已成为企业网络建设时必须考虑的问题。下面介绍一些网络安全建设方面的策略,希望能为企业网络建设提供一些参考。
一、 做好网络结构安全设计
网络结构安全的核心是网络隔离,即将整个网络按照系统功能、信息安全等级、工作地点等原则划分为相对独立的子网络,使得当某个子网络内发生安全故障时,有害信息不能或不易扩散到别的子网络中。
各个子网络之间应部署防火墙、网闸等网络安全设备,实现信息系统隔离和访问控制。同时,充分利用IP地址、VLAN、访问控制列表等工具,实现子网络之间的逻辑隔离。
二、 网络设备的安全防护
网络设备的安全防护是指同设备交互时的安全防护,一般用于设备的配置和管理。同设备的交互有以下几种方式:
* 通过设备Console 口访问。
* 异步辅助端口的本地/远程拨号访问
* TELNET访问
* SNMP访问
* HTTP访问
针对这几种交互方式,采取的安全策略如下:
(1) 用户登录验证
必须要求设备配置身份验证,如果设备未配,将拒绝接受用户登录,可以通过本地用户验证或RADIUS验证实现。
(2) 控制台超时注销
控制台访问用户超过一段时间对设备没有交互操作,设备将自动注销本次控制台配置任务,并切断连接。超时时间必须可配置,缺省为10分钟。
(3) 控制台终端锁定
配置用户离开配置现场,设备提供暂时锁定终端的能力,并设置解锁口令。
(4) 限制telnet用户数目
设备对telnet用户数量必需做出上限控制。
三、 部署用户安全接入控制系统
用户安全接入控制是指企业员工在使用终端访问企业资源前,先要经过身份认证和终端安全检查。用户在确认身份合法并通过安全检查后,终端可以访问用户授权的内部资源,认证不通过则被拒绝接入网络。终端安全接入控制主要是防止不安全的终端接入网络和防止非法终端用户访问企业内部网络。
用户接入控制可通过部署终端安全管理系统实现。终端安全管理系统是一个包括软件和硬件整体系统。在用户终端上安装安全服务程序,在用户使用网络前,必须启动程序,然后输入身份信息进行登录。由安全管控服务器对终端用户进行身份认证和安全检查。通过之后服务器把检查结果通知安全接入网关,安全接入网关根据用户的角色,开放终端用户的访问权限,有效的制止用户的非法访问和越权访问。
四、 网络数据流控制
网络数据流控制通过数据包过滤来实现。通过网络数据包过滤,可以限制网络通信量,限制网络访问到特定的用户和设备。
访问列表可用来控制网络上数据包的传递,限制终端线路的通信量或者控制路由选择更新,以达到增强网络安全性的目的。在端口上设定数据流过滤,防止企业内部的IP地址欺骗。严格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等数据流通过网络设备,原则上只允许本系统应用需要的应用数据流才能通过网络设备。
五、 部署网络防病毒软件
网络病毒的入口点是非常多的。在一个具有多个网络入口的连接点的企业网络环境中,病毒可以由软盘、光盘、U盘等传统介质进入,也可能由企业信息网等进入,还有可能从外部网络中通过文件传输等方式进入。所以不仅要注重单机的防毒,更要重要网络的整体防毒措施。
任何一点没有部署防病毒系统,对整个网络都是一个安全的威胁。网络中应部署一套网络防病毒系统,在所有重要服务器、操作终端安装杀毒软件。通过网络杀毒服务器及时更新病毒库及杀毒引擎,保证内部网络安全、稳定的运行。
六、 内部网络使用安全
* 内部系统中资源共享
严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。
* 信息存储
对有涉及企业秘密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份,包括本地备份和远程备份存储。
* 构建安全管理平台
构建安全管理平台将会降低很多因为无意的人为因素而造成的风险。构建安全管理平台从技术上如:组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统一管理软件。通过安全管理平台实现全网的安全管理。
总之,网络安全是一个系统的工程,要用系统的思想来建设全方位的、多层次的、立体的安全防护体系。这是一项长期而艰巨的任务,需要不断的探索。网络安全建设不能仅仅依靠于技术手段,而应建立包括安全规范、规章制度、人员培训等全面的管理体系,提高全体员工的安全防范意识,保护好每台接入网络中的设备,才能实现高速稳定安全的信息化网络系统。
参考文献:
[1]、《计算机网络与信息安全》潘爱民译 第四版 清华大学出版社2007
网络安全终端管理篇8
终端成为重要攻击目标,安全防护不容忽视。在由云计算、大数据、移动互联网重构的IT环境中,大量信息数据被放置到云端,传统的防火墙边界已经不复存在,因此有人认为终端安全已经无关紧要。然而对于多数企业来说,PC、手机、平板电脑等终端设备仍然是企业数据存放和周转的重要节点,如果终端安全无法得到保障,这些数据也将面临严重的威胁。
亚信安全产品经理何莉表示:“从网络安全防护实践来看,针对终端的安全攻击对企业的整体业务和数据安全造成了很大威胁。网络攻击者不仅可以通过入侵终端设备来窃取机密的企业信息,还有可能以终端设备作为‘跳板’发动APT攻击,将定制化的恶意软件散播到企业网络之中,伺机执行破坏网络、窃取数据等高威胁的行动。”
提升终端安全防护能力和联动防御成为重心之一。要提升终端安全防护能力,就必须不断改进安全防御技术,以组成更高效、更坚不可摧的防御体系。此外,随着终端安全威胁的复杂化,企业最好能够综合使用多种技术,而不是单个技术来化解威胁,这就要求企业将不同安全产品功能与信息进行整合,这样有利于对安全威胁情势进行全面准确地洞察,实现安全威胁的联动防御。
除了强化对安全威胁的治理,将不同终端安全产品进行融合,还能显著降低企业的安全运维难度。很多企业部署了多种终端安全产品来应对不同威胁,这样虽然可以提高安全防护能力的覆盖范围,但是不同产品有着不同的技术架构和管理方式,会大大增加安全运维的难度,还有可能产生产品兼容性题。如果能够实现融合管理,将显著提升安全运维的效率,减少安全防御的漏洞。
对于终端安全的防护,亚信安全有终端安全管控系统和防毒墙网络版OfficeScan两款产品。其中,亚信安全终端安全管控系统以安全管控为核心、以运维管控为重点,可帮助企业打造全方位终端安全管理体系;亚信安全防毒墙网络版OfficeScan则以防范具体网络安全威胁为重心,具备针对未来而设计的弹性架构,可以提供恶意软件防护、数据保护、邮件安全等安全防护功能。
这两款产品都是面向大中型企业终端安全设计的,如果能够实现威胁共享、联动防御,无疑将进一步提升终端安全的防护效果,同时简化安全运维。目前,亚信安全终端安全管控系统和防毒墙网络版OfficeScan已经做到了部分功能的互通,实现了信息共享、功能互通、联动防御。例如,亚信安全已经实现了FireWall、IDS/IPS、WAF、UTM、SIEM(安全信息和事件管理)之间的有机联动,可以更加准确地锁定入侵者。互通联动,亚信安全为企业打造融合终端安全防护体系。