一、终端安全现状、风险及存在的主要问题
终端网络节点管理混乱
1、终端设备和移动存储介质未专网专用、专人专用、内外网终端混接,很多单位存在无安全措施的无线网环境,内网终端可用无线网卡在线上互联网;
2、外来终端接入内网无需认证授权,缺乏全程跟踪审计的手段;
3、对网络资源管理缺乏手段。不能够有效阻止恶意程序、病毒的传播,一些行为无法追溯,如盗窃内网资源、恶意的窜改及盗用IP地址、获取非法权限等不正当行为。
终端桌面管控不力
1、对工作秘密和不宜公开的信息,未依据信息的重要性进行分类管理和安防措施,造成这些重要信息被任意存取和随意扩散。终端外围设备、端口的使用疏于管理,泄露事件时有发生,因缺乏有效监控和审计,也无从追溯相关责任人;
2、随意安装游戏软件、股票软件,P2P等非工作用软件,不仅降低工作效率,也存在安全威胁;
3、终端设备发生补丁漏洞未及时升级安装,防病毒软件不能正常工作,网络流量异常,非法设置和软件等情况,不能及时发现,及时阻断。
终端风险预警和处置措施不全
1、安全孤岛大量存在,对安全事件的发生只有在终端本地才能
发现,而且往往是事件发生并引起不良后果后才进行处理,而且只能是现场和手动处理;
2、对终端设备运行缺乏有效的全过程全生命周期的监控管理,对安全事件的发生没有一整套联动的预警、告警和事件发生后的实时处置机制;
3、对病毒、蠕虫、黑客的引入点和违规接入设备,不能快速有效的的定位,不能及时、准确地切断安全事件发生点和网络。二、终端信息安全管理难的原因分析
由于全省终端计算机管理具有点多(2万余台)、面广、量大的特点,加之地税部门安全管理技术人员少,终端安全风险种类多、事件多、处理和管理复杂,使得目前地税终端安全管理处于一种疲于应付、无序的境况。对于终端安全风险和隐患,目前主要依赖于制度和使用者行为信用进行被动式防范,主动防范控制把握较难实施。在全省地税管理大集中形势下,基于安全等级保护要求的终端安全防护和管理体系还没有建立到位,主要原因在以下几方面:
1、计算机应用多年,终端安全管理意识缺乏
税务系统的信息化建设已经取得了长足的进步,应用水平较大幅度的提高。但对于信息安全,尤其是终端安全意识仍然缺乏。
一是缺乏规范统一的终端安全管理制度。部分单位的税务干部信息安全的严重性认识不足,或者仅局限于某一方面,没有形成一个合理的信息安全指导思想。没有制定必要的信息安全教育与培
训计划,已开展的信息安全教育与培训针对性欠缺,工作人员安全检查评估工作开展较少,未形成制度化。
二是重视硬件投入,轻视安全管理。各单位普遍采用高性能的硬件设备和信息化技术依托的信息安全系统,不断地提高安全管理效能。但相应的信息化安全管理措施不到位,对安全管理人员和操作人员的安全工作规范和要求不具体,安全管理制度更新不及时,对发生安全事件责任追究不力;
三是缺乏安全管理的系统性规划。部分单位的安全管理模式仍是传统的管理方法,出现了问题才去补救,是一种就事论事、静态的管理,不是建立在安全风险评估基础上的动态的持续改进管理方法。
2、现有终端安全管理系统部署较少,功能缺失严重
据统计,近几年,全省部分地区相继购买了不同厂商的桌面管理或准入控制系统9个产品种类,在使用终端安全产品的单位中,就我省而言,仅有市级6个,县级18个,市级单位管控1940个终端,县级单位管控3711终端数,性价比较低。三分之二的省辖市和县没有部署任何终端管理软件。已经部署的桌面管理或准入控制系统也基本不能满足现有安全管理的需要,功能缺失严重。全省安全检查评估报告反映出各地终端安全管理存在着很多问题,一些问题相对还比较严重,各地现在应用的9种终端安全管理软件均无法防护、发现和管控这些风险,终端安全运维管理仍处于无序状态,上级机关也无法发现和及时了解下级单位情况,
而且各地应用的终端安全管理软件基本上不支持分级部署和集中监控,大部分只能在局域网中部署,终端安全管理的体系和功能严重欠缺,安全风险管理的能力达不到省级大集中后的安全管理要求。
3、现有终端安全管理风险防范范围不全,防范能力严重不足
在近期的全省组织的现有终端安全管理风险和风险管理点的统计调查中,列举了186个风险点和风险管控点,发现现有终端安全管理管控能力较弱。如无法对终端自身使用安全和运行安全状态进行监控;终端安全防护中文件传输及加密管理,全省终端安管产品中具有完全管控能力的只占13.33%,无法管控的达71.76%;终端安全管理系统中针对管理员安全风险点,完全管控能力的只占20%,无法管控的达60%;边界安全中的违规内联管理,完全满足监管要求的只占18.89%,无法管控的达72%;风险评估及应急响应管理中,具有完全管控能力的占11.33%,无法管控的达82%;风险日常管理中,具有完全管控能力的只占20%,无法管控的达75%。在桌面管理中的软件信息、系统信息、软件分发、补丁管理和进程运行等这些基于技术手段的功能模块,具有完全管控能力的能达到70%以上。各地在风险排查和处置这些无法管控的风险点和风险管理点时,还停留在人工方式为主,导致安全风险定位不准、处置较难、时间较长,省局对全省终端安全管控更无法有效开展,难以满足省级大集中后对终端安全风险有效管控的要求。
4、现有终端安全管理系统重要风险防范较少,缺少主动防范机制
现有终端安全管理系统重要安全风险防范较少,终端安全管理规范未落实到位,缺少主动防范机制。
一是按规定终端和移动存储介质只能专网专用、专人专用,内网终端不能上外网。但目前无法有效阻止内网计算机通过无线网络、手机、无线上网卡等方式在线上互联网,内网移动存储介质上互联网;无法有效控制非认证授权计算机不得上内网,外来计算机授权上内网且应全程跟踪审计等情况。
二是内网终端计算机上存有工作秘密、商业秘密或其他不宜公开的信息等,当前我省基本没有依据信息的重要性进行分类管理和采取安全防控措施,这些重要信息在内网将存在随意扩散的危险。三是信息资料的定密不清、外来人员的监控不力等问题,在全省大集中后显得更为突出,极易发生泄密事件和违规使用网络的行为,发生风险也无法追溯和定位,也无法有效实施应急处理。三、提高终端信息安全管理水平的途径
针对当前人手少、范围广、风险多的困难局面,面对全省征管数据大集中的新形势,必须在全省范围内对终端安全风险采取全面和分级加集中管理的有效方法和手段,从而有效提高税务系统终端安全管理水平。
1、全员参与、持续改进,提高终端安全的管理能力
信息安全管理体系的建立是一个目标叠加的过程,是在不断发展
变化的技术环境中进行的,是一个动态、闭环的风险管理过程。“安全无小事”,要真正实现有效的安全管控,
首先必须要强化信息化安全宣传教育,提高全体地税干部对信息安全管理重要性的认识,全系统各级领导和广大地税干部都必须高度重视信息安全工作。
其次全体税务干部都要积极参与信息安全管理工作,三分技术、七分管理,在安全管理的评估、防护、监管、应急响应到恢复等环节,绝不仅仅是技术人员的事,更多的是每一名地税干部的管理责任和管理工作。
三是注重安全长效机制建设。按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的要求,落实信息安全保密责任,形成人人有责任、个个抓落实的责任机制。
2、全盘考虑,加强管理,切实提高终端信息安全管理水平
领导重视、制度建设、宣传教育、组织管理、技术应用来实现信息安全的有效管控,全面实现风险预防、应急处理、责任追究的一体化终端安全管理体系。一是要全面落实国家有关安全管理标准规范,总局和省局相关安全建设与管理规范。《计算机信息系统国际互联网保密管理规定》、《终端计算机系统安全等级技术要求》、《国家税务总局关于印发税务系统网络与信息安全应急处置有关制度的通知》这些相关要求都对终端的安全提出了具体要求,要有效落实这些管理制度。二是要对信息安全与运行安全有序控管并实施有效管理。终端安全管理应能对资产管理、策略管理、
准入控制、桌面管理、行为审计、外设与接口、外联管理、防病毒管理、网络环境常规监控等终端相关风险和事件进行统一识别和管理。对各类终端行为进行有效审计;对各类风险事件可进行事后追溯,进行现场还原,事件定责。三是要全面了解终端信息系统的安全态势。对安全管理实现全局一盘棋。我们可以对各类风险予以完整、全面的识别、管控和分析,结合风险展示,来达到直观展示终端信息安全管理成果,分析管理效果和不足;发现终端信息安全管控中的隐患,更有效地揭示终端信息安全风险的发生规律;对各类风险和事件进行关联分析,实现风险和事件分类统计、风险趋势分析,产生各类报表,提供预警信息;进行信息安全风险责任认定和处罚;为领导决策提供依据。
3、搭建《终端安全管理平台》,构建技术与管理有机融合的终端安全管理新机制
税务系统终端既是税收信息产生的起点,又是税收信息销毁的终点,更是税务业务信息全过程安全的控制点,同时也是网络安全的重要边界。终端信息安全应该从技术和管理两方面防微杜渐,建成机制化有效的安全防护体系。《终端安全管理平台》的建设是对现有先进的基础安全管控系统(成熟的基础技术)结合本地化应用,进行优化改造,从而满足税务行业的管理要求。《终端安全管理平台》可通过两个“子平台”建设,从而实现三个“可”。两个子平台为防护子平台和安管子平台:
一是在防护子平台中,是基于基础管理通过先进技术来实现。主
要考虑运行安全与信息安全两方面,通过准入控制、安全检查、病毒防护、行为审计等措施,有效解决终端运行安全问题。通过控制移动存储、监管非法外联、文档加密等技术手段,实现信息安全。
二是在安管子平台中,是基于信息化管理之上实现有效管控,主要考虑对终端信息安全管理的风险予以全生命周期的识别、分析和管控。(1)能够对各类风险进行全面的分析和展示,按照风险的技术特性进行分类,按照风险的严重程度进行分级。对风险进行全生命周期的管控,对风险的发生进行前瞻性、逻辑性管控,做到对高风险有效管控,对低风险进行防范。(2)结合地税行业管理的要求对风险、事件能够进行历史性回溯,实现事件再现,对风险的发生设置违规档案,并配合行政管理,采取相关行政处罚手段进行处理。三是通过终端管理平台可以对本平台和第三方安全产品的各类风险、事件进行风险识别、关联分析,有效管控各类风险和事件的发生。切实做到该事前不事中,该事中不事后,该本系统处理不到其他系统处理功能,达到防控结合、实时处理、响应到位、追溯源头,降低风险、减少损失的效果。
实现三个“可”,即通过终端平台的建设,将达到终端安全管理的标准化,全面实现自动化、系统化、科学化管控。实现…可知'、…可控'和…可管'。主要表现为:
一是全生命周期中自动化管理,实现全面…可知'。通过自动化手段,提高维护效率;全生命周期中实施持续管理;实时监控安全
风险,全面掌握所有终端的安全状态。
二是采用全过程的系统化管理控制措施,确保终端…可控'。全面的终端行为审计功能,终端在线、离线均可以进行管理和控制,严格移动存储设备使用,确保网内信息不泄漏,设备失窃不失密。三是实施基于科学化的强制策略的准入控制,确保接入终端…可管'。终端接入网络,必须接受网络的安全管理控制;非法用户无法接入,只有接受管理和控制才能访问内部网络。
四、结束语
随着信息和通信技术的快速发展,无线办公、移动办公和存储介质应用的大量增加,使得内部终端及延伸接入存储设备的情况变得错综复杂。我省地税系统采用省级集中、分级部署的网络架构,在此环境中,风险往往会被不断的放大和扩散,引起连锁反应,形成所谓的“蝴蝶效应”,单个的终端风险能最终导致整个信息系统受到损害。由此可见,终端安全就像信息安全“千里大堤”上的“蚁穴”,决不可忽视,建立全省地税系统统一的终端安全管理平台也就显得尤为重要了。
由于准备论文的时间比较仓促,以上的一些观点、方法、措施可能还不太完善,也未能作深入的阐述。好在我们已经在行动!省局已经在全省加强了信息化安全管理;不断地在制定完善各项安管制度;组织开发安管平台,实现手工管理向技术管理,科学管理迈进。可以预见的是,只要全省上下一致,高度重视,切实努力,一定会把我省的信息化安全管理工作推上新台阶。
大型企业计算机终端安全管理现状与策略分析 发表时间:2019-06-05T15:25:55.603Z 来源:《中国西部科技》2019年第6期作者:赵赫金建强[导读] 目前我国市场的经济呈现着飞速发展的状态,各行各业都得到了一定程度上的进步。企业为了更好地在市场竞争中占有优势地位,企业就要根据实际情况进行改革,逐渐使自身的不足得到完善。目前我们处在信息网络化的时代,计算机技术得到了广泛的应用与提高,本文对大型企业计算机终端安全管理的现状进行分析,同时找到适合企业发展的策略,使大型企业更好的使用计算机终端。 中车大连机车车辆有限公司 目前的时代信息与我们的生产生活有着密不可分的联系,我们离不开信息技术,信息技术给我们提供了很好的服务,同时符合时代的发展要求,做到了与时俱进。现在的企业离不开信息化的管理,大型的企业对计算机有着格外的关注与广泛应用,但是在发展的过程中存在着一定的不足与缺陷,影响着计算机的安全性,同时也给大型企业的管理工作带来了一定的阻碍,为了更好地进行管理工作就要进行改革,从而使当前的情况得以改变,更好地适应市场需求。 一、大型企业计算机终端安全管理现状 1.1身份识别 (1)个人电脑口令设置。计算机没有对开机密码和硬盘口令验证方面进行设置,当计算机开机之后输入正确的用户名和密码就可以接入电脑,从而接入公司的网络。用户名和密码是普通用户权限,不一定是管理员的账号密码。(2)公用电脑口令设置。大型企业都会有公用电脑,这些电脑主要是为了存放部门的资料和数据信息,更好地方便工作人员使用。公用电脑的用户名和密码一般是属于公开的,没有设置专门的负责人对公用电脑进行管理,输入用户名和密码就可以登录电脑,访问公司的资源,同时还可以对公司的相关资料进行拷贝,这样就会给公司的资料带来一定的隐患。(3)供应商等外部电脑终端在公司内部可以接入内部的网络,同时可以使用任何一部电脑进行工作,只要将电脑带到公司,并且连接上网线就可以进入内部网络,对公司的内部资料进行拷贝。 1.2终端接入 在公司内部的网络中,当通过域认证进入后,就可以通过终端连入公司的网络。在外网中计算机终端处于未关机的状态,需要安装远程终端对软件进行控制,这样才可以对内部计算机终端进行控制。 1.3终端信息安全管理体系 在终端信息管理方面较为复杂,同时在管理上存在着不规范、没有条理性的现象,这是很多大型企业面临的问题,同时在实施管理过程是具有一定的复杂性,具有一定的的困难。由于存在着一些的问题,大型企业的工作人员就会有一定抵触的心理,这样就不能更好地按照相关的规章制度去实施工作,就会导致规章制度没有任何的价值,同时不利于企业的发展。企业自身具有一定的独特性,所以各企业要根据自身的情况对企业存在的问题进行处理,采取科学有效的监督机制促进制度的有效实施。不同的企业部门对违法规定的行为判断标准是不同的,存在着一定的差异性,这样也会给工作带来不便,不能很好的开展工作,同时也会使人们对企业的管理情况产生怀疑,不利于企业在市场中的发展。 二、大型企业计算机终端安全管理策略 2.1终端安全管理的理论 大型企业要考虑到计算机终端的安全,对于保证计算机安全可靠性的技术进行管理,企业就要制定策略和制度进行有效的管理。大型企业的工作人员要按照公司制定的管理策略进行工作,如果员工没有对策略进行很好的执行,就会很难保证大型企业计算机终端的安全。 2.2终端安全策略分析 随着信息技术的不断发展,人们越来越依靠信息网络来进行工作,但是在使用过程中会存在很多问题,其中终端安全问题尤为重要。目前网络终端系统有着安全隐患,这样不利于自身的发展。要使终端安全系统成为有机的整体,每个部分都具有一定的联系性。(1)网络接入控制模块。传统企业单位的终端接入网络是不受控制的,当进入网络后就可以访问主机,这样就会带来很大的危险。目前要对网络进行控制,在终端接入公司网络之前要进行验证工作,验证成功方可进入网络,同时验证身份后还要根据相关的权限来访问对应的系统,各个系统之间没有同意是不可以相互访问的。终端接入公司网络后进行限流,这样可以在有了病毒后不会影响其它设备。系统要对不合法的身份进行隔离,不能使其进入公司的网络,这样可以更好地保证企业计算机终端的安全。(2)终端策略强制模块。终端策略强制模块是通过技术来进行管理工作的,只有符合公司策略的终端才可以进入公司网络。大型企业要根据企业自身存在的特点,对安全策略的进行制定,通过策略来强制终端执行,不符合公司要求的要进行隔离。(3)终端行为审计模块。终端行为审计模块可以对公司的人员执行情况进行检查与分析,同时还可以通过一定的工具进行自检。当用户发现不符合公司策略的时候,可以按照相关要求与指令进行修复。审计员可以下载升级任务检测不符合公司政策的终端。使用终端审计模块还可以对公司的资产进行管理,从而推动企业的发展。 2.3终端安全管理体系建设 公司的领导对于管理来说起到了至关重要的作用,要对相关的方案进行完善,工作人员要及时与领导进行沟通交流,这样可以提高重视程度,更好的进行决策。工作的时候要全员参与,这就需要领导的支持。在部门要设有专门的工作人员,同时要对负责人的考核情况进行检查,这样可以更好地保证企业计算机终端的安全,将计算机终端的安全与员工利益进行有机的结合,这样有利于使工作人员提高对信息安全的认识,提高工作积极性与热情,从而更好地推动企业的发展。 结束语:目前科学技术不断的发展,科学技术应用到了我们生活的各个方面,也使终端安全方面的内容逐渐的出现在大众的视野中,但是大型企业在使用计算机的过程中还存在着一些安全隐患与问题,因此要从实践过程中对这些不足进行改善,对弊端进行研究与分析,从而使企业获得更大的经济效益,在市场竞争中占有优势地位。 参考文献: [1]龚晨.大型企业计算机终端安全管理现状与策略探索构架[J].科技与企业,2016(10):14. [2]周一聪.大型企业计算机终端安全管理现状与策略分析[J].黑龙江科技信息,2016(29):89.
信息安全服务(终端安全)项目 技术需求 电子税务管理中心 二○一五年七月
第一章项目基本情况 1.1项目背景 税务系统自2005年起,部署实施了瑞星防病毒软件和北信源桌面安全管理系统,覆盖了税务系统超过50万终端计算机,初步实现了病毒木马防治和计算机资源管理,但也存在多个客户端软件运行资源占用较大,统一管理难度大等问题。 为此,税务总局于2013年7月起试点实施了基于云的桌面终端安全管理项目,为终端提供病毒木马查杀、桌面安全管理、补丁管理、网络准入、移动存储管理等安全防护能力。截至目前,桌面管理系统软件已定制开发完毕,并在六个试点省国税局(内蒙、山西、山东、河南、广东、重庆)进行了部署实施,部署终端总数95000余台。 根据工作安排,税务总局决定启动国税系统其他30个单位桌面管理系统的推广实施、售后服务等工作。 1.2软件概况 税务桌面管理系统为税务系统定制开发软件,通过部署一套安全产品,解决终端的桌面安全、准入、防毒杀毒等多种安全需求。通过采用C/S、B/S混合模式,实现了税务私有云模式下的两级部署、多级管理。 1.2.1系统总体框架 整个系统将由以下5个模块组成: 1.私有云模块 私有云模块为系统核心,包含云查杀子模块和云存储子模块。由两个异地互备的计算、存储平台和各省虚拟化平台组成,主要负责绝大部份终端计算任务的执行(如病毒检查、恶意代码检查、终端安全性状况的计算等)和绝大部份的存储任务(如云端病毒库、黑白名单等)。 2.终端安全模块 终端安全子模块是终端安全的本地程序,负责终端信息的搜集、安全策略、防控任务、网络准入的本地响应与控制,同时在云计算平台或本地网络出现异常的情况下,负责临时
智能终端安全风险、策略、规划及方案研究 中国移动通信集团浙江有限公司徐良、何晓明 一.智能终端面临的安全风险 企业移动化场景包括移动办公、移动营业厅、移动经分、移动桌面云等应用,在移动互联网严峻的安全形势下,用户使用移动终端主要面临敏感信息泄露、后台应用系统被入侵导致违规业务操作等风险。 1.移动终端上的风险 1)移动终端丢失,存储在终端本地的敏感数据泄露。 2)移动终端植入病毒木马,盗取企业应用本地敏感数据,截取执行过程数据。 3)企业应用被篡改,盗取应用本地敏感数据,截取执行过程数据。 2.网络接入风险 1)移动终端与后台应用系统之间的传输数据被窃听截取(明文或弱加密)。 3.业务应用系统风险 1)利用从移动终端网络传输中盗取的帐号信息,以“合法”身份登录应用系统进行违规 业务受理或窃取敏感信息。 2)通过分析移动终端上的应用程序,发现应用系统安全漏洞,非法入侵进行违规业务 受理或窃取敏感信息。 二.BYOD安全策略设计 基于上述安全风险,BYOD的安全策略需要从监、管、控三个方面来考虑,覆盖设备、网络、应用、数据四个部分,具体的管理策略待进一步细化。
三.智能终端安全防护需求 以“安全、快捷、灵活、体验”为目标,移动智能终端在安全防护上需要从“端、管、云”三个方面考虑,并实现策略统一管理。 1.“端”注重体验和效率。 1)在终端侧需要实现企业应用统一入口;所用应用单点登录,体验同PC浏览器; 集中消息管理、安全性和稳定性。 2)在终端接入控制上支持多种认证方式,按需选用。 2.“管”确保安全和效率。 1)在企业应用端,安全SDK支持主流OS平台,支持跨平台;提供本地文件/数 据加解密接口;提供网络访问加密接口。 2)在网络上,支持应用到网关、设备到网关的端到端VPN加密。支持虚拟协议 栈技术,支持全IP应用;提供应用专属VPN隧道、网络开放权限小;数据在 应用层高强度加密,防止本地网络层窃取。 3)在终端侧,需要提供安全沙箱功能。可以创建独立的安全存储区,将企业数据 和个人数据隔离;企业数据被高强度加密算法加密;应用或资产注销时,按照 安全策略擦除终端本地数据。 3.“云”实现开放集成。 1)安全平台SDK支持业务应用快速集成,SDK提供灵活的接口方式,支持数据隔 离、通道管理、数据加密、本地文件加解密等安全接口。 2)支持业务应用通过管理平台客户端启动,支持业务应用单点登录,支持业务应 用主动推送信息至应用商店,支持企业应用的集中发布。 4.可实现基于用户、设备、网络、应用、内容的统一策略管控。 1)用户(WHO):员工、访客、供应商、合作伙伴、最终用户等 2)时间(WHEN):日期、时间 3)地点(WHERE):地理位置(公司内/外,省内/省外) 4)设备(DEVICE):设备类型、设备版本、安全策略设备状态 5)网络(HOW):接入类型(WLAN、VPN) 6)应用(WHAT):公司所有应用、公司大部分应用、公司受限应用 四.涉及的关键技术 (一)多域 为适应不同业务应用场景需求,需要在终端上划分工作域和个人域。工作域进行企业级、较高安全需求的操作,如公司OA、邮箱、移动营业厅等;个人域进行 个人的、一般安全需求的操作,如社交、游戏等。工作域的较高安全需求包括企业 OA、邮箱等信息应保密,不得被其他域非授权访问;企业APP不得被其他域非授权 访问;工作域可安全连接企业网络。 在安全目标上要实现域与域之间的安全隔离,域A中的进程/应用无法非授权访问域 B中的数据;只有在安全策略允许的情况下,才能进行授权访问。
(二零一二年十二月) 2019-2025年中国终端安全管理行业新产品进入市场策略研究报告 可落地执行的实战解决方案 让每个人都能成为 战略专家 管理专家 行业专家 ……
报告目录 第一章企业新产品进入市场策略概述 (6) 第一节研究报告简介 (6) 第二节研究原则与方法 (7) 一、研究原则 (7) 二、研究方法 (7) 第三节研究企业新产品进入市场策略的意义 (9) 第二章市场调研:2018-2019年中国终端安全管理行业市场深度调研 (10) 第一节终端安全管理概述 (10) 第二节我国终端安全管理行业监管体制与发展特征 (11) 一、行业主管部门和监管体制 (11) 二、行业主要法律、法规和政策 (11) 三、行业技术水平、技术特点 (17) (1)行业技术水平 (17) (2)行业技术特点 (18) 四、行业经营模式 (19) 五、行业周期性、区域性或季节性 (19) (1)行业周期性 (19) (2)行业区域性 (19) (3)行业季节性 (19) 六、行业与上下游行业间的关系 (19) (1)上游行业对行业的影响 (19) (2)下游行业对行业的影响 (20) 第三节2018-2019年中国终端安全管理行业发展情况分析 (20) 一、信息安全行业的市场发展状况 (20) 二、终端安全管理市场发展状况 (22) 三、中国终端安全管理产品市场规模 (24) 第四节2018-2019年我国终端安全管理行业竞争格局分析 (25) 一、信息安全行业的竞争状况 (26) 二、终端安全管理市场的竞争状况 (26) 三、行业内主要企业情况 (26) (1)赛门铁克 (27) (2)中软 (27) (3)卫士通 (27) 三、进入本行业的主要障碍 (27) (1)技术壁垒 (27) (2)资质管理的市场准入壁垒 (28) (3)客户忠诚度形成的壁垒 (28) 第五节企业案例分析:北信源 (28) 一、公司主营业务情况 (29) 二、北信源在行业中的地位 (29) 三、公司的竞争优势 (29)
1.终端安全管理系统目标 1)实现桌面终端管理标准化:对桌面终端进行安全访问、病毒防范、安全接入、补丁更新等安全策略进行标准化管理。 2)实现桌面环境管理规范化:桌面软硬件资产配置的标准化。 3)实现桌面维护管理流程化:对桌面终端的软硬件维护服务实施进行标准的流程化管理。 4)实现桌面运行管理自动化:增强桌面终端管理的自动化,提高管理效率,减少人力投入。 2.终端安全管理主要范畴 终端安全管理对象范畴包括信息内网的所有桌面终端,包括所有个人桌面及相关外设等桌面终端。 终端安全管理功能范畴包括桌面终端计算机环境管理、软件管理、补丁管理、安全管理。其中,环境管理包括计算机操作系统统一版本安装、浏览器版本统一安装、IP地址统一管理等;软件管理包括办公软件分发、安装配置管理、远程控制和软件维护等;补丁管理包括防病毒软件和系统的补丁报警及更新管理等;安全管理包括对病毒防范、安全准入、非法外联、用户行为进行管理等,从而支持对桌面终端完整的全生命周期管理。
3.终端安全管理内容 3.1.终端计算机环境配置标准化 网络中所有桌面终端的详细软件现状及变更情况进行标准化管理:
3.2.桌面终端管理技术标准化 1)IP地址统一管理:对网络中所有桌面终端的IP资产现状及变更情况 进行标准化管理登记,按照一个月为周期通过自动或手工方式进行IP 信息采集,做好记录文档。采集包括:IP地址、终端MAC地址、终 端使用部门、终端使用人信息。做到一个IP地址指定一台终端设备, 一个IP地址找到终端使用人。 日常工作中终端设备经常出现无法接入外网情况,原因大多是IP 地址的人为改动导致。直接解决办法是把本地连接属性设置为禁止更 改状态,其方法如下:打开“运行”命令,从弹出的系统运行框中输 入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地系 统的组策略编辑窗口,在组策略中启动“禁止访问LAN连接属性“与” 为管理员启用windows 2000网络连接设置“。如图:
目录 1 用户账号策略 (1) 1.1 修改缺省帐户名称 (1) 1.2 禁用其他用户 (2) 1.3 账号锁定策略 (3) 2 用户密码策略 (6) 3 屏幕保护锁屏 (8) 4 审核策略 (10) 5 用户权利分配 (13) 5.1 从远端系统强制关机 (13) 5.2 关闭系统 (14) 5.3 取得文件或其它对象的所有权 (15) 6 关闭系统默认共享 (15) 7 关闭自动播放 (17) 8 关闭不必要的服务 (19) 8.1 关闭不必要的windows系统服务 (19) 8.2 关闭其他软件安装的不必要服务 (21) 9 补丁更新 (22) 10 防病毒软件 (23) 11 终端监控软件 (25) 12 卸载不必要软件 (28) 13 配置合规检查 (29)
1用户账号策略 1.1修改缺省帐户名称 按住“win”键+“R”键,打开“运行”窗口,输入lusrmgr.msc,点击“确定”。
选择->“用户”->右击“Administrator”账号->选择“重命名”。 1.2禁用其他用户 选择->“用户”->右击“guest”账号->“属性”->“常规”->勾取“账号已禁用”。 点击“确定”后,在guest账号上会出现一个向下的箭头号,表明操作成
功。(禁止其他不用的账户,可按此方法操作) 1.3账号锁定策略 按住“Win”键+“R”键,打开“运行”窗口,输入“gpedit.msc”,打开“组策略”窗口。
在“组策略”窗口中,选择“计算机配置”->“Windows设置”->“安全设置”->“账户策略”->“账户锁定策略”,进入“账户锁定策略”窗口。
移动智能终端安全威胁及应对策略 1 移动智能终端发展模式分析 当前,移动智能终端正加速迈向普及。据IDC数据显示,2013年全球智能手机出货量达到10.04亿部,较2012年同期增长38.4%,在全球手机总出货量(18亿部)中的份额达到55%,三星、苹果仍然位居当前全球智能手机销量的冠亚军。谷歌眼镜、iWatch智能手表、三星Gear智能手表、耐克智能手环等可穿戴设备也纷纷推出,带来全新的用户体验和应用服务。中国智能终端整机制造实力大幅提升,成为全球增长的重要力量,2013年国内智能手机出货量达到4.23亿部,同比增长64.1%,市场占有率达到73.1%,华为、中兴、联想、宇龙等国内企业的出货量进入全球前十。可穿戴设备创新也极为活跃,例如百度推出百度Eye智能眼镜、盛大果壳推出智能手表Bamboo Smart Watch。随着移动智能终端高速发展,移动应用下载业务市场也增长迅猛,截至2013年底苹果和谷歌两大应用程序商店的应用下载次数已累计超过1 000亿,我国91手机助手、360、中国移动等第三方应用商店也蓬勃发展。 产业界各方都将移动智能终端当作自己进军移动互联网领域的入口,但由于自身优势和经营理念差异,其发展模式也各不相同。按照操作系统的授权方式和应用商店的运营方式,主要可分为封闭端到端模式、半封闭模式和开放开源模式[1]。 封闭端到端模式是指终端厂商完全控制终端产品的生产,基于封闭的操作系统平台构建端到端闭合的应用生态系统,在终端中深度内置自营业务,并对第三方应用的开发、测试、上架和使用全程控制,不允许第三方应用商店存在,例如苹果、黑莓等。 半封闭模式是指操作系统厂商授权给OEM厂商或者终端设备厂商生产终端产品,但不向其开放源代码。同时,操作系统厂商构建端到端闭合的应用生态系统,在操作系统中深度内置自营业务,同时对第三方应用的开发、测试、上架和使用全程控制,不允许未经审核认证的应用在操作系统上使用,例如微软Windows Phone操作系统。 开放开源模式是操作系统厂商对源代码开放开源,任何终端厂商均可针对操作系统进行定制和修改,任何硬件开发商均可为操作系统开发驱动程序,从而组成范围更大的产业联盟。同时,操作系统厂商对第三方应用的开发、传播一般不做任何限制,允许任何应用在操作系统上运行。开放开源模式以谷歌安卓(Android)为代表,普遍被终端领域后进入者所采用,发展极为迅猛。截至2013年前三季度,Android操作系统的市场份额已达81%。 不同移动智能终端的发展模式也使得终端面临的安全威胁程度不一。在端到端封闭模式和半封闭模式下,终端厂商在封闭的生态系统中占据绝对主导地位,承担 闵 栋 工业和信息化部电信研究院 北京 100191 摘 要当前,移动智能终端产业迅猛发展,但也带来恶意代码泛滥、用户隐私窃取、不良内容传播等安全威胁。文章在对移动智能终端的安全威胁及其技术根源深入分析的基础上,对安全技术水平进行研究,并提出系统完整的移动智能终端安全应对策略。 关键词 移动智能终端;安全;威胁
股份公司计算机终端安全管理 一.操作系统安全验证策略 1.账号策略,域账号登录,员工电脑必须加入域 2.密码复杂度策略,密码必须大于7位,包含字母大小写,数字,特殊符号 股份公司这边有域环境,所有windows客户端电脑需加入到域,用户身份认证是对使用终端的人员进行身份鉴别,只有使用域账户才能使用终端电脑二.建立计算机终端化桌面管理系统,加强对用户的使用电脑行为监控 1. 为了股份公司对内网终端计算机的管理,做到“看得见,管得了”的可视 化的管理目的,可以通过建立终端计算机的桌面终端标准化管理系统,从而将内网信息安全的管理重点扩大至终端计算机。对企业进行软件批量部署、升级的强大工具,支持各种软件包支持各种部网络结构 2. 软件自动发现工具可以搜索到环境中的所有软件.许可证管理有助于调 配软件许可证,掌握软件使用的真实数据来获得最合理的软件投入,协调软件安装权益,处理意外情况(尤其是已安装但没有授权使用) 3. 提供基于网络的操作系统自动部署解决方案,满足各种企业在系统部署 后的策略规范,如机器名,加域、驱动程序加载、软件部署等;同时提供强大的操作系统迁移工具 4. 软件白名单功能能够将终端应用及权限设定在标准框架内,提升终端的 可控性及标准化程度,极大的增加终端系统生命周期及安全性 5. 对用户现有防病毒系统进行辅助管理,掌握防病毒客户端部署率,运行 状态,病毒定义,实施防护等信息 6. 主机防御体系能主动保护主机脆弱位置,包括浏览器,启动项,系统注
册表,Windows关键目录等,避免被恶意程序破坏 7. 软件黑名单功能,限制用户安装或使用某些指定的软件 8. 能检测到客户端电脑是否加入到域控环境 三.安装防病毒软件,实时监测内网终端的安全状态 对接入内网的终端安装防病毒软件,可以通过防病毒软件的监测,能够判断内网终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。防病毒控制台中还针对内网访问的网段进行访问控制,把准许访问的网段添加到白名单中,把用户严格限制在安全的区域范围内,防病毒控制台还可以制定安全威胁扫描策略,定期扫描和清除病毒、木马、后门、间谍软件等恶意软件。对不满足安全要求的终端通过防病毒系统及时向终端分发经过安全测评的病毒库升级包和恶意代码库;防病毒系统还可阻断违规联入外网,确保内网终端计算机的安全。 四.及时更新终端计算机的系统补丁 目前股份公司在内网终端计算机中主要用的都是win7和win10系统,微软一直会提供对系统的存在的功能和安全问题发布补丁,所以需要及时安装补丁解决操作系统中的漏洞,安装补丁可以通过域控进行推送。 五.实行数据存储保护 1. 对硬盘进行磁盘加密保证了笔记本电脑丢失的情况下,电脑中存储 的资料仍然不被泄密。同时只有输入合法的口令,才可以查看笔记本上的数据。 2. 对内部文件加密后,保持现有的工作模式和操作习惯不变,不改变文件格式、不封闭网络、外设端口,保证办公效率,实现数据泄密管理,形成“对