1、大型企業(yè)計算機終端安全管理現(xiàn)狀

　　1.1身份識別

　　1.1.1個人電腦口令設(shè)置

　　未要求設(shè)置無開機密碼和硬盤口令驗證，開機后只要直接輸入正確的管理員用戶名和密碼即可進行認(rèn)證登陸電腦，接入公司網(wǎng)絡(luò)。用戶名和密碼可以是普通用戶權(quán)限，不要求一定用管理員帳號密碼登錄。

　　1.1.2公用電腦口令設(shè)置

　　部分電腦是部門級的公用電腦，用于存放部門的公共資料或公用的數(shù)據(jù)信息等。對于這類電腦的用戶名和密碼一般都是公開的，也沒有設(shè)置相應(yīng)的責(zé)任人，只要輸人相應(yīng)的用戶名和密碼即可登錄電腦，接入公司網(wǎng)絡(luò)，訪問公司資源，也可以隨意從公司的相關(guān)服務(wù)器拷貝資料等。

　　1.1.3供應(yīng)商等其他外部電腦終端在公司內(nèi)部辦公區(qū)可直接接人內(nèi)部網(wǎng)絡(luò)使用

　　任何一臺正常工作的電腦，只要帶到公司連接上網(wǎng)線即可接入內(nèi)部網(wǎng)絡(luò)，訪問和使用公司的資源，當(dāng)然也可以拷貝一些內(nèi)部資料到其電腦上。

　　1.2終端接入

　　在內(nèi)網(wǎng)，通過域認(rèn)證加入域后，不管域用戶是不是管理員帳號，終端將自動接人公司網(wǎng)絡(luò)。在外網(wǎng)，在計算機終端未關(guān)機的狀態(tài)下，通過安裝的遠程終端控制軟件即可接入控制內(nèi)部計算機終端。公司內(nèi)部辦公區(qū)域網(wǎng)絡(luò)未做隔離，公共區(qū)域的終端可以直接訪問敏感區(qū)域的服務(wù)器。流氓軟件肆意流傳，嚴(yán)重影響網(wǎng)絡(luò)安全，導(dǎo)致病毒傳播或者數(shù)據(jù)丟失事件時有發(fā)生。

　　1.3補丁安全、防病毒技術(shù)

　　操作系統(tǒng)的安全漏洞又非常多，微軟公司會通過定期發(fā)布安全補丁的方式來彌補這些漏洞，但由于端終用戶缺乏相關(guān)知識，導(dǎo)致補丁安裝的不完全、不及時，這就會嚴(yán)重影響終端計算機的安全，從而導(dǎo)致更嚴(yán)重的整個內(nèi)網(wǎng)安全問題。對內(nèi)部終端接入外部互聯(lián)網(wǎng)的權(quán)限控制不嚴(yán)格，造成內(nèi)部終端感染病毒類型多，無法有效管理和控制。經(jīng)常造成網(wǎng)絡(luò)故障，影響正常辦公和企業(yè)單位信息安全，漏洞數(shù)量居高不下。

　　1.4終端信息安全管理體系

　　終端信息安全管理相關(guān)規(guī)范制度缺乏，且難以有效實施。整個管理體系，僅有一些管理的規(guī)章制度，并且這些制度僅僅是停留在紙面上。由于信息安全管理體系中沒有明確的組織架構(gòu)，導(dǎo)致終端信息安全的重要性體現(xiàn)不足。相關(guān)管理人員沒有有效的權(quán)利推行相關(guān)制度和監(jiān)管制度的執(zhí)行隋況。類似場景的違規(guī)事件，在不同的部門判定的違規(guī)等級以及類型經(jīng)常都不一致，導(dǎo)致員工認(rèn)可度不高。

　　2、大型企業(yè)計算機終端安全管理策略

　　2.1終端安全管理的理論

　　企業(yè)單位要更多考慮端到端的架構(gòu)，安全永遠是三分技術(shù)七分管理，在制定了安全策略和安全制度后，更要考慮的是，如何能保證安全策略的貫徹執(zhí)行?比如說一些公司在管理制度上要求所有員工必須及時打補丁、不允許安裝IM軟件，但是如果員工不執(zhí)行公司的策略，這個安全策略就是一紙空文。

　　公司的網(wǎng)絡(luò)安全理念基于三點：首先我們倡導(dǎo)從源頭控制，網(wǎng)絡(luò)的大部分不安全因素來自終端，終端通過一些非法的軟件、移動介質(zhì)引入了很多安全風(fēng)險，所以對終端的源頭控制，是保障網(wǎng)絡(luò)安全最重要的支撐：其次是對業(yè)務(wù)系統(tǒng)的健壯性的加強，包括漏洞掃描，業(yè)務(wù)評估，建立安全基線和主機加固。

　　怎么實現(xiàn)風(fēng)險的統(tǒng)一收集分析、管理和規(guī)避，這在整個安全體系中是最重要的工作。通過這個理念來實現(xiàn)端到端，從源頭到業(yè)務(wù)系統(tǒng)，乃至整個網(wǎng)絡(luò)的安全防護一體化。

　　2.2終端安全策略分析

　　如何降低終端對網(wǎng)絡(luò)及系統(tǒng)構(gòu)成的威脅，要對終端進行相應(yīng)的身份認(rèn)證和安全檢查，實現(xiàn)一體化的防護，所有終端在進入網(wǎng)絡(luò)之前要到安全策略服務(wù)器上認(rèn)證和安全策略檢查，通過之后才準(zhǔn)許終端系統(tǒng)訪問相應(yīng)的業(yè)務(wù)系統(tǒng)，這作為整個安全認(rèn)證第一關(guān)，如果不符合要求就要進行相應(yīng)安全的修補，包括針對安全策略進行檢查，進行補丁的下載，進行強制殺毒安全權(quán)限的補任，修補之后又進行安全檢查，這樣形成一體的循環(huán)。終端安全管理主要包含以下模塊：

　　2.2.1網(wǎng)絡(luò)接入控制模塊

　　傳統(tǒng)上來講，在企業(yè)單位中終端接入網(wǎng)絡(luò)是沒有任何控制的，在終端接入網(wǎng)絡(luò)后，在網(wǎng)絡(luò)層是可以訪問任何網(wǎng)絡(luò)中的主機。這樣的話就帶來了很大的風(fēng)險，然而，根據(jù)工作相關(guān)原則和最小權(quán)限原則，網(wǎng)絡(luò)接入控制可以實現(xiàn)以下功能：

　　1)終端在接入網(wǎng)絡(luò)之前必須經(jīng)過身份認(rèn)證：

　　2)終端在身份認(rèn)證后根據(jù)相應(yīng)的權(quán)限確保只能訪問相應(yīng)的系統(tǒng)，比如市場的員工如無工作需要不能訪問財務(wù)系統(tǒng)的網(wǎng)絡(luò)：

　　3)終端在接入網(wǎng)絡(luò)后可以進行限流，確保這個終端在中了病毒以后，不會影響網(wǎng)絡(luò)和網(wǎng)絡(luò)中的其他設(shè)備：

　　4)對于沒有合法身份的終端進行強制隔離，不允許接入公司的網(wǎng)絡(luò)。

　　2.2.2終端策略強制模塊

　　終端策略強制模塊是安全管理通過技術(shù)手段貫徹執(zhí)行的具體體現(xiàn)，只有符合公司策略的終端才能接入網(wǎng)絡(luò)。企業(yè)單位可以根據(jù)自身特點定制安全策略，通過策略強制來確保所有終端執(zhí)行公司的策略，否則強制隔離。

　　2.2.3終端行為審計模塊

　　終端行為審計模塊可以幫助公司安全人員對安全策略的執(zhí)行情況進行檢查分析，用戶也可以通過工具進行自檢。

　　1)用戶可以自助檢查終端是否符合公司的策略，如果不符合，可以按照提示先行修復(fù)：

　　2)審計員可以通過工具下載審計任務(wù)，自動檢查出不符合公司策略的終端：

　　3)審計員可以監(jiān)控終端的可疑行為，如使用USB硬盤等：

　　4)可以方便公司進行資產(chǎn)管理。

　　2.3終端安全管理體系建設(shè)

　　2.3.1在戰(zhàn)略層面公司高層對信息安全的重要性進行了重新審視和達成共識。并下發(fā)公司級文件，向全公司全體員工明確計算機終端信息安全的重要性，以及相應(yīng)的管理制度。

　　2.3.2在戰(zhàn)術(shù)層面落實具體公司計算機終端信息安全標(biāo)準(zhǔn)、安裝操作指引、審計指引等。便于在統(tǒng)一的標(biāo)準(zhǔn)平臺下，實施系統(tǒng)的自動統(tǒng)一管理。

　　2.3.3在執(zhí)行層面，每個三級部門設(shè)立信息安全專員，按相關(guān)規(guī)范要求在本部門內(nèi)負(fù)責(zé)開展相關(guān)信息安全工作，并作為信息安全責(zé)任人對部門的信息安全考核結(jié)果負(fù)責(zé)。將信息安全管理工作的執(zhí)行效果以及違規(guī)情況納入所有員工的績效考核，將信息安全與員工切身利益相關(guān)的績效考核聯(lián)系起來，提供了員工對信息安全重要性的認(rèn)識。

　　2.3.4將信息安全管理制度、標(biāo)準(zhǔn)和相應(yīng)的系統(tǒng)工具的使用方法作為專門的課程，以面授、網(wǎng)絡(luò)自學(xué)、宣傳郵件等形式對員工進行培訓(xùn)。確保所有員工能夠在信息安全方面有充分的認(rèn)識。

　　公司通過使用安全方針策略、安全目標(biāo)、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防行動和管理評審的信息來糾正和預(yù)防與終端信息安全管理體系要求不相符合之處，以持續(xù)改進終端信息安全管理體系的有效性。

　　要提高企業(yè)單位終端安全，就應(yīng)該放棄對某些防護技術(shù)單一的依賴心理，而將企業(yè)單位的具體業(yè)務(wù)情況和業(yè)務(wù)環(huán)境相結(jié)合，制定出以安全策略為核心的解決方案，才能最終長期有效地保護企業(yè)單位信息資產(chǎn)的安全可用。終端信息安全管理是一個持續(xù)優(yōu)化的過程，后續(xù)需要進一步的研究和優(yōu)化終端信息安全管理體系和工具。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：大型企業(yè)計算機終端安全管理現(xiàn)狀與策略分析

本文網(wǎng)址：http://www.oesoe.com/html/support/11121810389.html