企业终端安全管理概要

企业当前面临的网络威胁众多,除了加强其服务器和应用服务的安全外,还需要审慎地对待其内部的终端安全管理,这也是内网安全所关注的一个重要方面。病毒、密码泄露、不正常的上网流量激增,都是终端安全问题的重要体现。本文将讨论如何做好企业终端安全管理。

企业终端安全管理包括两个层面:主机安全层面和数据安全层面。

第一层面:主机安全管理

1、密码管理

设置安全、有效的密码能够保证主机不被非法地使用,也可以保证即使在主机丢失的情况下,不法用户也不能访问。密码管理包括如下几个方面:

1)设置BIOS(Basic Input/Output System,基本输入/输出系统)密码:防止用户对主机BIOS相关参数进行非法修改;

2)设置操作系统登录密码:防止用户对操作系统及其资源进行非法使用;

3)设置密码长度、密码过期时间、错误密码尝试次数等:保证密码的有效性,定期更新,并防范不法用户通过恶意密码尝试来获取密码。

2、防病毒、防入侵管理

联网的计算机容易受到病毒、恶意软件等的入侵和危害,针对其的管理包括:

1)安装防病毒软件,并定期进行防病毒软件升级和查杀工作;

2)安装主机入侵防护软件,如Symantec Endpoint Protection等,从恶意软件防护、文件系统保护、进出邮件扫描等方面进行整体的防护工作,启动该软件的实时检测和防范模式,并定期对该软件升级。

3、主机脆弱性管理:补丁

作为操作系统软件,定期的修补其自身的弱点(Vulnerability,也称为漏洞)是主机脆弱性管理的主要内容。主要通过从门户网站(如微软、红帽等)下载补丁软件进行操作系统补丁升级,或者通过其他第三方工具(如360安全卫士)来对操作系统的漏洞采用打补丁的方式来进行修补。

4、端口管理

联网计算机的每一个开放端口(Port),都为不法用户的入侵提供了一个可能的通道,因此端口管理要做好如下工作:

1)尽可能地关闭系统不需要的服务端口,如HTTP服务端口、FTP服务端口等;

2)周期性地检查(进入控制面板或者使用如360安全卫士等的第三方工具)主机的端口开放情况,并及时关闭无意或者被非法打开的端口及其服务。

5、主机权限管理

为防范用户随意安装软件带来的系统安全隐患,需要做好如下主机权限管理工作:

1)管理员等高级权限由管理员掌握,普通用户不应分配高级权限,从而防止随意安装软件;

2)普通用户安装软件需要高级权限时,需经管理员批准、审核后进行;

3)管理员定期对用户的权限进行审核和管理。

第二层面:数据防泄露安全管理

1、数据共享管理

联网计算机在数据共享管理方面,需要注意如下几点:

1)尽可能少地开发数据共享资源,任何一个资源都是一个可能被攻击的门户;

2)对共享资源设定详细的共享选项,如针对某些用户的某些具体操作(如读/写/执行等)。

2、移动介质管理

员工因USB等移动设备使用不当,可能造成有意或无意的机密数据丢失。另外,员工还可以随意接入各类外设和移动存储设备(如:U盘、移动硬盘、手机/MP3/MP4、数码相机等)带走内部资料,造成机密数据丢失等。移动介质管理可以采取如下方法:

1)通过软件、脚本等方式完全禁止员工使用移动设备进行数据拷贝;

2)对于特别允许的使用移动设备的员工,可以使用软件对员工的移动设备使用进行事中记录和事后审计。

3、上网行为管理

用户上网行为,包括网页浏览、发送/接收Web Mail、软件下载等,都可能导致恶意软件的侵入和数据的泄漏,可以采用如下方法进行管理:

1)在员工电脑客户端安装诸如Symantec Endpoint Protection、360安全卫士等安全应用软件,从多个层面保护用户上网过程中不会遭受病毒和木马的入侵;

2)在公司网关(也叫Proxy,代理服务器)处部署相应的安全产品,如Web防火墙、入侵检测/防御系统、UTM(Unified Threat Management)等产品,从公司与Internet的入口处对进入公司的网络威胁进行检测和阻断;

3)在公司网关处部署上网行为管理设备(或者软件),对员工的上网行为进行管理,如不能使用IM(Instant Messenger,即时消息)软件、不能使用P2P软件下载、不能浏览部分非法网站等。