1、大型企業(yè)計(jì)算機(jī)終端安全管理現(xiàn)狀

　　1.1身份識(shí)別

　　1.1.1個(gè)人電腦口令設(shè)置

　　未要求設(shè)置無(wú)開(kāi)機(jī)密碼和硬盤(pán)口令驗(yàn)證，開(kāi)機(jī)后只要直接輸入正確的管理員用戶(hù)名和密碼即可進(jìn)行認(rèn)證登陸電腦，接入公司網(wǎng)絡(luò)。用戶(hù)名和密碼可以是普通用戶(hù)權(quán)限，不要求一定用管理員帳號(hào)密碼登錄。

　　1.1.2公用電腦口令設(shè)置

　　部分電腦是部門(mén)級(jí)的公用電腦，用于存放部門(mén)的公共資料或公用的數(shù)據(jù)信息等。對(duì)于這類(lèi)電腦的用戶(hù)名和密碼一般都是公開(kāi)的，也沒(méi)有設(shè)置相應(yīng)的責(zé)任人，只要輸人相應(yīng)的用戶(hù)名和密碼即可登錄電腦，接入公司網(wǎng)絡(luò)，訪(fǎng)問(wèn)公司資源，也可以隨意從公司的相關(guān)服務(wù)器拷貝資料等。

　　1.1.3供應(yīng)商等其他外部電腦終端在公司內(nèi)部辦公區(qū)可直接接人內(nèi)部網(wǎng)絡(luò)使用

　　任何一臺(tái)正常工作的電腦，只要帶到公司連接上網(wǎng)線(xiàn)即可接入內(nèi)部網(wǎng)絡(luò)，訪(fǎng)問(wèn)和使用公司的資源，當(dāng)然也可以拷貝一些內(nèi)部資料到其電腦上。

　　1.2終端接入

　　在內(nèi)網(wǎng)，通過(guò)域認(rèn)證加入域后，不管域用戶(hù)是不是管理員帳號(hào)，終端將自動(dòng)接人公司網(wǎng)絡(luò)。在外網(wǎng)，在計(jì)算機(jī)終端未關(guān)機(jī)的狀態(tài)下，通過(guò)安裝的遠(yuǎn)程終端控制軟件即可接入控制內(nèi)部計(jì)算機(jī)終端。公司內(nèi)部辦公區(qū)域網(wǎng)絡(luò)未做隔離，公共區(qū)域的終端可以直接訪(fǎng)問(wèn)敏感區(qū)域的服務(wù)器。流氓軟件肆意流傳，嚴(yán)重影響網(wǎng)絡(luò)安全，導(dǎo)致病毒傳播或者數(shù)據(jù)丟失事件時(shí)有發(fā)生。

　　1.3補(bǔ)丁安全、防病毒技術(shù)

　　操作系統(tǒng)的安全漏洞又非常多，微軟公司會(huì)通過(guò)定期發(fā)布安全補(bǔ)丁的方式來(lái)彌補(bǔ)這些漏洞，但由于端終用戶(hù)缺乏相關(guān)知識(shí)，導(dǎo)致補(bǔ)丁安裝的不完全、不及時(shí)，這就會(huì)嚴(yán)重影響終端計(jì)算機(jī)的安全，從而導(dǎo)致更嚴(yán)重的整個(gè)內(nèi)網(wǎng)安全問(wèn)題。對(duì)內(nèi)部終端接入外部互聯(lián)網(wǎng)的權(quán)限控制不嚴(yán)格，造成內(nèi)部終端感染病毒類(lèi)型多，無(wú)法有效管理和控制。經(jīng)常造成網(wǎng)絡(luò)故障，影響正常辦公和企業(yè)單位信息安全，漏洞數(shù)量居高不下。

　　1.4終端信息安全管理體系

　　終端信息安全管理相關(guān)規(guī)范制度缺乏，且難以有效實(shí)施。整個(gè)管理體系，僅有一些管理的規(guī)章制度，并且這些制度僅僅是停留在紙面上。由于信息安全管理體系中沒(méi)有明確的組織架構(gòu)，導(dǎo)致終端信息安全的重要性體現(xiàn)不足。相關(guān)管理人員沒(méi)有有效的權(quán)利推行相關(guān)制度和監(jiān)管制度的執(zhí)行隋況。類(lèi)似場(chǎng)景的違規(guī)事件，在不同的部門(mén)判定的違規(guī)等級(jí)以及類(lèi)型經(jīng)常都不一致，導(dǎo)致員工認(rèn)可度不高。

　　2、大型企業(yè)計(jì)算機(jī)終端安全管理策略

　　2.1終端安全管理的理論

　　企業(yè)單位要更多考慮端到端的架構(gòu)，安全永遠(yuǎn)是三分技術(shù)七分管理，在制定了安全策略和安全制度后，更要考慮的是，如何能保證安全策略的貫徹執(zhí)行?比如說(shuō)一些公司在管理制度上要求所有員工必須及時(shí)打補(bǔ)丁、不允許安裝IM軟件，但是如果員工不執(zhí)行公司的策略，這個(gè)安全策略就是一紙空文。

　　公司的網(wǎng)絡(luò)安全理念基于三點(diǎn)：首先我們倡導(dǎo)從源頭控制，網(wǎng)絡(luò)的大部分不安全因素來(lái)自終端，終端通過(guò)一些非法的軟件、移動(dòng)介質(zhì)引入了很多安全風(fēng)險(xiǎn)，所以對(duì)終端的源頭控制，是保障網(wǎng)絡(luò)安全最重要的支撐：其次是對(duì)業(yè)務(wù)系統(tǒng)的健壯性的加強(qiáng)，包括漏洞掃描，業(yè)務(wù)評(píng)估，建立安全基線(xiàn)和主機(jī)加固。

　　怎么實(shí)現(xiàn)風(fēng)險(xiǎn)的統(tǒng)一收集分析、管理和規(guī)避，這在整個(gè)安全體系中是最重要的工作。通過(guò)這個(gè)理念來(lái)實(shí)現(xiàn)端到端，從源頭到業(yè)務(wù)系統(tǒng)，乃至整個(gè)網(wǎng)絡(luò)的安全防護(hù)一體化。

　　2.2終端安全策略分析

　　如何降低終端對(duì)網(wǎng)絡(luò)及系統(tǒng)構(gòu)成的威脅，要對(duì)終端進(jìn)行相應(yīng)的身份認(rèn)證和安全檢查，實(shí)現(xiàn)一體化的防護(hù)，所有終端在進(jìn)入網(wǎng)絡(luò)之前要到安全策略服務(wù)器上認(rèn)證和安全策略檢查，通過(guò)之后才準(zhǔn)許終端系統(tǒng)訪(fǎng)問(wèn)相應(yīng)的業(yè)務(wù)系統(tǒng)，這作為整個(gè)安全認(rèn)證第一關(guān)，如果不符合要求就要進(jìn)行相應(yīng)安全的修補(bǔ)，包括針對(duì)安全策略進(jìn)行檢查，進(jìn)行補(bǔ)丁的下載，進(jìn)行強(qiáng)制殺毒安全權(quán)限的補(bǔ)任，修補(bǔ)之后又進(jìn)行安全檢查，這樣形成一體的循環(huán)。終端安全管理主要包含以下模塊：

　　2.2.1網(wǎng)絡(luò)接入控制模塊

　　傳統(tǒng)上來(lái)講，在企業(yè)單位中終端接入網(wǎng)絡(luò)是沒(méi)有任何控制的，在終端接入網(wǎng)絡(luò)后，在網(wǎng)絡(luò)層是可以訪(fǎng)問(wèn)任何網(wǎng)絡(luò)中的主機(jī)。這樣的話(huà)就帶來(lái)了很大的風(fēng)險(xiǎn)，然而，根據(jù)工作相關(guān)原則和最小權(quán)限原則，網(wǎng)絡(luò)接入控制可以實(shí)現(xiàn)以下功能：

　　1)終端在接入網(wǎng)絡(luò)之前必須經(jīng)過(guò)身份認(rèn)證：

　　2)終端在身份認(rèn)證后根據(jù)相應(yīng)的權(quán)限確保只能訪(fǎng)問(wèn)相應(yīng)的系統(tǒng)，比如市場(chǎng)的員工如無(wú)工作需要不能訪(fǎng)問(wèn)財(cái)務(wù)系統(tǒng)的網(wǎng)絡(luò)：

　　3)終端在接入網(wǎng)絡(luò)后可以進(jìn)行限流，確保這個(gè)終端在中了病毒以后，不會(huì)影響網(wǎng)絡(luò)和網(wǎng)絡(luò)中的其他設(shè)備：

　　4)對(duì)于沒(méi)有合法身份的終端進(jìn)行強(qiáng)制隔離，不允許接入公司的網(wǎng)絡(luò)。

　　2.2.2終端策略強(qiáng)制模塊

　　終端策略強(qiáng)制模塊是安全管理通過(guò)技術(shù)手段貫徹執(zhí)行的具體體現(xiàn)，只有符合公司策略的終端才能接入網(wǎng)絡(luò)。企業(yè)單位可以根據(jù)自身特點(diǎn)定制安全策略，通過(guò)策略強(qiáng)制來(lái)確保所有終端執(zhí)行公司的策略，否則強(qiáng)制隔離。

　　2.2.3終端行為審計(jì)模塊

　　終端行為審計(jì)模塊可以幫助公司安全人員對(duì)安全策略的執(zhí)行情況進(jìn)行檢查分析，用戶(hù)也可以通過(guò)工具進(jìn)行自檢。

　　1)用戶(hù)可以自助檢查終端是否符合公司的策略，如果不符合，可以按照提示先行修復(fù)：

　　2)審計(jì)員可以通過(guò)工具下載審計(jì)任務(wù)，自動(dòng)檢查出不符合公司策略的終端：

　　3)審計(jì)員可以監(jiān)控終端的可疑行為，如使用USB硬盤(pán)等：

　　4)可以方便公司進(jìn)行資產(chǎn)管理。

　　2.3終端安全管理體系建設(shè)

　　2.3.1在戰(zhàn)略層面公司高層對(duì)信息安全的重要性進(jìn)行了重新審視和達(dá)成共識(shí)。并下發(fā)公司級(jí)文件，向全公司全體員工明確計(jì)算機(jī)終端信息安全的重要性，以及相應(yīng)的管理制度。

　　2.3.2在戰(zhàn)術(shù)層面落實(shí)具體公司計(jì)算機(jī)終端信息安全標(biāo)準(zhǔn)、安裝操作指引、審計(jì)指引等。便于在統(tǒng)一的標(biāo)準(zhǔn)平臺(tái)下，實(shí)施系統(tǒng)的自動(dòng)統(tǒng)一管理。

　　2.3.3在執(zhí)行層面，每個(gè)三級(jí)部門(mén)設(shè)立信息安全專(zhuān)員，按相關(guān)規(guī)范要求在本部門(mén)內(nèi)負(fù)責(zé)開(kāi)展相關(guān)信息安全工作，并作為信息安全責(zé)任人對(duì)部門(mén)的信息安全考核結(jié)果負(fù)責(zé)。將信息安全管理工作的執(zhí)行效果以及違規(guī)情況納入所有員工的績(jī)效考核，將信息安全與員工切身利益相關(guān)的績(jī)效考核聯(lián)系起來(lái)，提供了員工對(duì)信息安全重要性的認(rèn)識(shí)。

　　2.3.4將信息安全管理制度、標(biāo)準(zhǔn)和相應(yīng)的系統(tǒng)工具的使用方法作為專(zhuān)門(mén)的課程，以面授、網(wǎng)絡(luò)自學(xué)、宣傳郵件等形式對(duì)員工進(jìn)行培訓(xùn)。確保所有員工能夠在信息安全方面有充分的認(rèn)識(shí)。

　　公司通過(guò)使用安全方針策略、安全目標(biāo)、審核結(jié)果、對(duì)監(jiān)控事件的分析、糾正和預(yù)防行動(dòng)和管理評(píng)審的信息來(lái)糾正和預(yù)防與終端信息安全管理體系要求不相符合之處，以持續(xù)改進(jìn)終端信息安全管理體系的有效性。

　　要提高企業(yè)單位終端安全，就應(yīng)該放棄對(duì)某些防護(hù)技術(shù)單一的依賴(lài)心理，而將企業(yè)單位的具體業(yè)務(wù)情況和業(yè)務(wù)環(huán)境相結(jié)合，制定出以安全策略為核心的解決方案，才能最終長(zhǎng)期有效地保護(hù)企業(yè)單位信息資產(chǎn)的安全可用。終端信息安全管理是一個(gè)持續(xù)優(yōu)化的過(guò)程，后續(xù)需要進(jìn)一步的研究和優(yōu)化終端信息安全管理體系和工具。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：大型企業(yè)計(jì)算機(jī)終端安全管理現(xiàn)狀與策略分析

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121810389.html