计算机终端安全管理
终端区域安全防护的主要资产对象是计算机终端,因此解决终端区域安全管理的问题在很大程度上就是如何解决计算机终端安全管理的问题。目前政府部门计算机终端安全管理方面存在计算机终端台账不清、缺乏计算机终端安全防护管理制度和安全防护策略、计算机终端软件很随意安装和滥用、计算机终端运行过程缺乏监控和审计等诸多问题。应从使用维护、配置管理、接入管理和运行管理等方面加强政府部门计算机终端的安全管理。
一、统一管理
(一)设备采购:
1、应采购安全可控的计算机终端及其配套的软硬件产品;采用国产芯片和操作系统;应选择有自主可控的国产安全防护类软件,如恶意代码防范软件、防火墙等;采购基于新型技术的产品和服务 或者国外产品和服务时,应进行必要性和安全性评估;不要单纯追求高性能高配置,而应从业务使用需求出发选择适合的配置。
2、采购过程要规范,对合同内容的安全条款要求,建议以附件方式签订安全保密协议或者在合同正文中体现安全保密要求。
3、采购流程中应具有明确的货物验收环节。货物验收应审查和验证所采购的计算机终端设备是否为质量合格的正品,采购的操作系统软件和应用软件是否为正版软件。对由外包方开发的非商用软件,应要求开发方提供源代码,并在通过第三方专业机构的安全审查后方可使用。
4、如需采购计算机终端运维服务,应进行资质能力评估。
(二)设备使用:
1、建议采用审批手段确保计算机终端设备的使用符合安全管理要求,通过审批机制明确计算机终端的使用人和安全责任人。
2、应制定计算机终端使用管理要求,建立并维护计算机终端软硬件资产清单。资产清单中应包含硬件设备的名称、编号、品牌型号、采购时间、领用人、存放位置、领用时间等信息;软件资产清单应包含软件名称、版本号、采购时间、开发商名称、用途或使用人等信息。应根据资产清单定期对计算机终端进行盘点,掌握计算机终端设备的最新使用状况。
3、对于计算机终端设备和配置的软件,如果已经有权威机构的明确声明或鉴定表明其存在安全漏洞或隐患,应及时要求供应商提供软硬件产品的升级。
4、计算机终端因维修或其他原因带离办公区域时,应根据所存储数据的安全属性,采取数据备份、数据清除等措施,确保重要数据安全。在重新联入办公网络前,应进行安全性检查。
5、应严格移动存储介质管理制度。应定期清理、整理移动存储介质,特别是敏感数据信息。
6、对计算机终端相关安全管理制定必要的应急预案,当计算机终端发生安全事件后,能够及时采取应急响应措施,降低安全风险。
(三)设备报废:
1、建议采用审批手段确保计算机终端设备的报废符合安全管理要求。
2、应制定计算机终端报废管理要求。对计算机终端、移动存储介质等资产的报废统一管理,报废前应做好数据备份和清除,必要时可拆除硬盘、存储卡等数据存储介质。保存敏感信息的废弃存储介质,应由指定的专业机构进行回收处理。
3、软件资产停用后,应及时从计算机终端中卸载。
二、规范配置
(一)软件配置:
应以软件选用列表为基础,建立计算机终端可执行程序“白名单”,通过终端管理系统、安全防护软件等技术手段阻止非“白名单”中软件的安全和运行。具体内容如下:
1、根据终端支撑业务开展的需求,按照最小化原则,确定终端软件的配置管理要求和软件配置清单。
2、网络安全管理部门制定软件配置管理要求规章制度并维护软件配置清单和软件分发记录;网络安全部门或其他责任部门提出操作系统软件、日常办公软件、信息安全软件配置申请,各部门提出应用软件配置申请;由网络安全主管部门批准软件配置申请。
3、网络安全部门对批准的软件进行安全性测试并出具安全评估报告;通过安全性测试的软件,可分发到需求提出部门;责任部门更新软件配置清单和软件分发记录。
4、只有审批并且通过安全性评估的软件,才允许安装使用。安全评估工具可采用病毒检查工具、木马检查工具、源代码安全检查工具、漏洞扫描工具等。
5、可通过工具软件分发系统完成软件的分发和安装,并对分发和安装情况进行记录。
6、对已安装软件进行安全跟踪,定期进行安全检查,并通过软件升级及时对新发现的软件安全漏洞进行修补。
(二)操作系统安全配置:
操作系统安全配置需要保证安全性和良好的使用性,主要包括账户策略、本地策略、系统策略、网络策略和操作系统组件。其分为五个级别:用户自主保护、系统审计保护、安全标记保护、机构化保护和访问验证保护。在政府机构单位中大多数日常办公是在Windows环境下进行的,下面以Windows系列操作系统为例,参考如下几个方面对终端操作系统进行安全配置。
1、操作系统权限控制。采用最小权限原则保证操作系统权限得到适当的控制。可通过组策略设定达到权限控制目的。建议采取如下权限设置:
(1)禁止共享文件夹或者更改共享文件夹的默认权限
建议禁止在计算机终端上开启共享文件夹。如果必须开启,建议共享文件的权限从“Everyone”更改为“授权用户”,因为“Everyone”权限可允许任何有权进入网络的用户都能够访问终端上的共享文件。
(2)开启屏幕保护/屏幕锁定密码
建议为计算机终端设置屏幕保护密码,防止内部人员随意进入和浏览计算机终端。离开计算机终端时,屏幕保护将启动并且保护终端桌面无法进入。
(3)使用NTFS分区
与FAT文件系统不同,NTFS文件系统可以提供权限设置、加密等更多的安全功能。因此,建议计算机终端采用NTFS分区进行管理。
(4)开启Windows操作系统内置的防火墙
开启Windows操作系统内置的防火墙,设置必要的访问控制策略,保证操作系统可以屏蔽非授权网络访问。
(5)禁止系统显示上次登录的用户名
默认情况下,计算机终端本地登录对话框中会显示上次登录的账户名。这使得他人可以很容易地得到系统的一些用户名,进而猜测密码。建议修改注册表,禁止登录对话框显示上次登录的用户名,具体方法是修改注册表键值:HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName,把REGB_SZ的键值改成1。
(6)禁止建立空连接
默认情况下,任何用户都可以通过空连接连到计算机终端,进而枚举出账号,猜测密码。建议通过修改注册表来禁止建立空连接,方法是修改注册表键值:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous,将RestrictAnonymous的值改成“1”即可。
(7)打开审核策略
开启Windows安全审核有助于尽快发现计算机入侵行为。建议开启如下审核策略:审核系统登录事件、审核账户管理、审核登录事件、审核对象访问、审核策略更改、审核特权使用、审核系统事件。
2、账号口令安全设置。采用最小权限原则保证只允许必要的用户使用最小操作系统权限使用计算机终端。建议采取如下账号口令安全设置:
(1)停止Guest账号
在【计算机管理】中将Guest账号停止掉,任何时候都不允许Guest账号登录系统。另外,建议给Guest账号设置一个复杂的口令密码,并且修改Guest账号属性,设置为拒绝远程访问。
(2)限制用户账号数量
去掉所有的测试账户、共享账号和普通部门账号。对必须的用户账号,通过用户组策略设置相应权限。建议经常检查操作系统的账号,删除已经不适用或长期不使用的账号。
(3)减少管理员账号
建议不要经常使用管理者账号登录系统,以避免被一些能够察看Winlogon进程中密码的软件窥探到口令,应该为桌面用户建立普通账户来进行日常工作。
(4)管理员账号改名
为Windows操作系统中的默认Administrator管理员账号重新更改名称,应尽量将其伪装为普通用户,可以减少被攻击和探测的危险。
(5)陷阱账号
建议创建一个名称为Administrator的普通用户,作为一个陷阱账号。将其权限设置为最低,并且加上一个10位以上的复杂密码,借此可以耗费入侵者的大量时间,并且可以有效发现其入侵企图。借此可以耗费入侵者的大量时间,并且可以有效发现其入侵企图。
(6)安全密码
开启Windows的账号密码策略和账号锁定策略。确保启用操作系统的密码复杂度要求,建议设置8位以上的账号口令,并采用字母、数字和特殊字符的组合方式设置口令。复杂的密码可有效防止破解和系统入侵。账号锁定策略可保证多次登录失败后系统自动锁定。
3、禁止运行不必要的进程和服务。采用最小运行原则保证只允许用户运行授权使用的软件和服务。
(1)禁止不必要的服务
以Windows XP为例,应该禁用如下服务。
---NetMeeting Remote Desktop Sharing 允许授权的用户通过NetMeeting在网络上互相访问对方。
---Universal Plug and Play Device Host 此服务为通用的即插即用设备提供支持。这项服务存在一个安全漏洞,运行此服务的计算机很容易受到攻击。
---Messenger 俗称信使服务,这是一个危险的服务,垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告。
---Terminal Services 允许多位用户连接并控制一台机器。
---Remote Registry 使远程用户能修改此计算机上的注册表设置。
---Fast User Switching Compatibility在多用户下为需要协助的应用程序提供管理。
---Telnet 允许远程用户登录到此计算机并运行程序。
---Remote Desktop Help Session Manager 如果此服务被终止,远程协助将不可用。
---TCP/IP NetBIOS Helper NetBIOS很容易被人利用来进行攻击,对于不需要文件和打印共享的用户,此项服务应禁用。
---Error Reporting 服务和应用程序在非标准环境下运行时,允许错误报告。
---Print Spooler 将文件加载到内存中以便稍后打印。如果没装打印机,可以禁用。
(2)禁止不必要的进程
对于计算机终端可以运行的进程应该严格管理,以防恶意软件对操作系统的入侵和信息泄露。
(三)应用软件:
对计算机终端运行的应用软件进行安全管理,包括应用软件运行控制、升级和安全配置三个方面。
1、应用软件运行控制
以Windows操作系统为例,建议通过第三方软件实现进程的“白名单”管理,如安装商业化的桌面安全管理软件,启用软件安装管理控制功能,可通过“白名单”方式对软件运行进行控制。
2、应用软件升级
当应用软件出现新的安全漏洞时,应及时对应用软件进行版本升级或补丁升级。建议开启系统自动更新功能或通过第三方软件实现应用软件的安全补丁升级管理。
3、应用软件安全配置
常见的桌面应用软件包括网页浏览器程序、邮件客户端程序、文字处理软件等。应对这些常见应用软件进行必要的安全配置,以保证软件使用的安全性。
(1)网页浏览器程序安全配置
以Windows Internet Explorer 10.0为例,建议从如下方面增强浏览器的安全性:
---临时文件位置转移和限制
IE浏览器在上网的过程中会在系统盘内自动的把浏览过的图片、动画、文本等数据信息保留在系统C盘中的某个临时文件夹内。建议将该文件夹转移到非系统磁盘分析,并限制该文件夹的大小。方法是打开IE,依次点击“工具”→“Internet选项”→“Internet临时文件”→“设置”,选择“移动文件夹”的 命令按钮并设定C盘以外的路径,然后再依据硬盘空间的大小来设定临时文件夹的容量大小(例如,设置为50M)。
---禁用历史记录
浏览器历史记录可成为入侵者利用机会,造成计算机终端的安全问题。建议禁用浏览历史记录。方法是在浏览器界面中点击“工具”→“Internet选项”,找到“历史记录”一项,将“网页保留在历史记录中的天数”设定为0。
---禁用自动完成功能
IE浏览器的“自动完成”功能会暴漏使用者的一些敏感信息,因此建议禁用浏览器的“自动完成”功能。方法是在IE浏览器界面依次点击菜单栏上的“工具”→“internet选项”→“内容”。在个人信息处单击“自动完成”按钮。将所有的选项卡均勾除掉。同时点击“清除密码”和“清除表单”以去掉曾经保留下的密码和相关权限信息。
---脚本运行设置
根据工作需要,尽量禁止浏览器自动运行ActiveX控件和插件脚本文件。方法是点击IE浏览器菜单栏中的“工具”→“Internet选项”→“安全”→“Internet”→“自定义级别”,禁用“ActiveX控件和插件”、“Java”、“脚本”等安全选项。
---Cookies隐私设置
Cookies会暴漏使用者的隐私和敏感信息。建议禁用Cookies。方法是点击IE浏览器菜单栏中的“工具”→“Internet选项”;在“隐私”标签中将隐私设置项设为“阻止所有Cookie”。
---禁用多余插件
浏览器插件程序是多数恶意软件破坏计算机的入口。建议禁用可疑的浏览器插件。方法是选择IE浏览器工具栏中的“管理加载项”菜单,查看已经安装的插件并禁用可疑插件。
(2)邮件客户端程序安全配置
邮件是最大的信息泄露源之一,因此应注意邮件的安全保护。
---设置运行密码
建议对邮件客户端程序设置启动密码,防止未授权启动邮件客户端收取或查看邮件内容。以某邮件客户端为例,其设置方法如下:选择“个人文件夹”,右键单击“属性”,在弹出的对话框中点击“高级”,在弹出的对话框中点击“更改密码”,可为当前文件夹设置一个访问密码。
---禁用账号密码保存功能
邮件客户端程序会通过保存的邮件账号和密码自动收取邮件。建议禁用账号密码保存功能,防止非授权用户收取邮件或发送伪造邮件。以Outlook2007为例,其设置方法如下:单击“工具”→“账户设置”,选中要设置的邮件账户,在弹出的对话框中去除“保存密码”选项。
(3)文字处理软件安全配置
文字处理软件是政府机关计算机终端最频繁使用的应用软件,不过其安全性往往容易被人忽视。下面以OFFICE WORD 2007软件为例,对如何加强文字处理的安全配置提出建议。
---禁用宏
宏是一段在OFFICE WORD 文字处理软件中能够解释运行的程序代码,常常会成为病毒入侵系统的入口。因此建议在OFFICE WORD文字处理软件中禁用宏。设置方法如下:点击“OFFICE图标”→“WORD选项”→“信任中心”→“信任中心设置”→“宏设置”,选择“禁用宏”,可以禁止OFFICE WORD自动运行宏。
---禁用ActiveX控件
允许ActiveX控件自动执行可能会为应用程序带来安全风险。建议通过配置“禁用所有ActiveX”设置来禁止在WORD中运行ActiveX控件。设置方法是修改注册表键值:HKEY_CURRENT_USER/Software/Policies/Microsoft/Office/Common/Security,将注册表项DisableALLActiveX的值修改为“1”。
---禁用加载项
禁用加载项的设置方法如下:点击“OFFICE图标”→“WORD选项”→“信任中心”→“信任中心设置”→“加载项”,选择“禁用加载项”,可以禁止OFFICE WORD打开文件时自动运行加载项。
---检查可疑Internet链接
某些WORD文件中可能有隐藏的Internet连接,建议对此类隐藏Internet连接进行自动检测。设置方法如下:点击“OFFICE图标”→“WORD选项”→“信任中心”→“信任中心设置”→“个人信息选项”,选中“检查来自或链接到可疑网站的Office文档”。
(四)安全防护软件:
为保证计算机终端的信息安全,应安装和运行必要的安全防护软件,包括桌面防火墙软件、防病毒软件、系统防护与安全检查软件等 。安全防护软件配置建议:
1、设置安全防护软件为开机自动启动方式。
2、应设置恶意代码防范软件策略设置,定期查杀木马,定期清理Cookie等。
3、定期对所有本地存储介质进行安全扫描。
4、自动对接入介质及其文件进行安全扫描。
5、及时更新、升级恶意代码防范规则库。
6、应启用本机防火墙,并以白名单的方式设置访问控制规则。
7、除特殊情况外,应阻断所有向本机发起的连接。
三、接入管控
(一)网络接入:
网络接入管理是指对计算机终端接入政府机关办公网络的管理,包括身份认证、访问控制和日志审计。建议采取如下措施对计算机终端进行接入管理:
1、计算机终端入网审批
建议采用准入审批机制,对接入办公网络的计算机进行登记。准入审批机制可以让管理人员了解和掌握本单位所有合法的计算机终端清单,配合准入控制策略的实施,可有效减少非法计算机终端接入办公网络。
2、身份管理
(1)对每一台计算机终端进行资产登记,分配唯一的资产编码或身份编码,并且与一个使用人账号关联,资产登记信息项至少包括:
计算机名称、使用人姓名、唯一识别号、认证关联账号、操作系统名称、操作系统版本、部门。
(2)使用人账号与实际使用人实名关联,统一计算机终端身份和使用人身份从而实现计算机终端接入的实名认证。
3、身份认证
(1)启用Windows操作系统的802.1X准入认证功能,或者采用第三方准入控制系统,实现计算机终端接入网络时的身份验证;
(2)应对计算机终端的安全性进行检查,只有通过安全性检查的计算机终端才允许接入办公网络;
(3)对于无线接入的计算机终端,可通过开启接入AP的身份验证功能,强制对无线接入计算机终端进行身份认证;
(4)部署专门的身份认证服务器,如Radius服务器,负责对有线或无线网络接入的终端计算机进行身份认证。
4、访问控制
(1)建议通过技术手段,确保未通过身份认证的计算机终端,不允许接入办公网络;
(2)通过身份认证但未通过安全认证的计算机终端,建议将其隔离到一个独立的网段,在该网段部署补丁更新服务器和防病毒服务器等,允许隔离的计算机终端手动或自动安装操作系统补丁和更新防病毒软件的病毒库。经过安全修复的计算机终端,可再次通过身份认证和安全认证,接入办公网络;
(3)对通过身份认证和安全认证的计算机终端,建议按照部门或安全级别启用不同访问控制策略,对其访问目标进行必要的控制;
(4)可以通过动态更新办公网络的核心层交换机访问控制列表,或者部署第三方访问控制网关实现接入计算机终端的访问控制。
5、日志审计
(1)建议对计算机终端接入办公网络的全过程进行日志审计,包括计算机终端的入网审批日志、身份认证日志、安全认证日志、安全修复日志、访问控制日志等。
(2)建议统一日志格式,便于日志检索和分析。
(二)介质接入:
存储介质,尤其是USB移动存储介质的滥用,是政府机关办公网络信息泄露和病毒引入的主要原因之一。对计算机终端介质接入必须进行管理控制,尤其是不能交叉使用。
1、建议介质管理制度
建议在办公网络计算机终端管理制度中明确提出介质管理的相关要求,具体内容可参考如下方面制定:
(1)应明确存储介质的分类,如光盘、软盘、USB移动硬盘、U盘、存储卡等;
(2)制定介质使用的审批流程;
(3)明确介质使用的控制范围、控制方法和具体措施;
(4)要求对介质的使用过程记录日志。
2、介质使用审批
建议采用介质使用的审批机制,对办公网络的所有介质进行登记注册。审批与注册机制可以让管理人员了解和掌握本单位所有合法的介质清单,登记信息项目至少包括:介质资产编号、介质类型、介质名称、使用人姓名、责任人姓名、使用范围、使用期限。
3、介质使用控制
设置办公网络USB移动存储介质使用的控制策略并部署实施,建议的控制策略如下:是否允许使用、权限(读写、只读)、部门范围(允许使用的部门)、计算机范围(允许接入的计算机)、网络范围(内网、外网)、使用时间、使用次数。
4、介质使用审计
建议对USB移动存储介质使用过程进行日志审计,审计日志事件类型至少包括:计算机终端装载、计算机终端卸载、文库操作(拷贝、复制、删除、改名、修改)、外网使用痕迹。
5、介质接入安全
(1)应制定周密、严格的介质管理制度,对介质进行正确标识、定期安全检查,并实行集中管理、专人管理。
(2)对重要计算机终端,可安装控制介质接入的安全防护系统,以防止非授权介质接入计算机终端进行非法读写操作。
(3)计算机终端应开启自动安全检查功能,对所有接入介质进行病毒查杀、安全扫描等。
(4)计算机终端应开启日志记录功能,自动记录所有介质接入行为。
四、运行监控
(一)集中管控:
计算机终端的管理是一项比较复杂的工作,如果由使用人或者责任人手动进行维护管理,很难保证计算机终端的安全得到及时有效控制。建议采用集中管控手段对计算机终端进行统一的维护管理。
1、维护管理内容
对于计算机终端的统一维护管理,建议包括如下主要内容:
(1)软件安装和卸载
(2)补丁检测和更新
(3)病毒检测和病毒库更新
(4)流量监控
2、维护管理方法
建议利用如下方法加强计算机终端的统一管理:
(1)启用Windows域管理策略,实现软件的集中分发与管控和补丁更新;
(2)安装第三方安全管理系统实现软件分发部署、防病毒软件检测、补丁管理、流量控制等管控要求;
(3)安装网络版防病毒软件实现集中病毒查杀。
(二)安全审计:
1、安全审计对象
计算机终端安全审计的主要对象应包括计算机配置变更情况、计算机资源使用情况、计算机安全配置变更情况、计算机用户操作行为等,具体应包括:
(1)配置变更:CPU、主板、内存、硬盘、显卡、网卡等。
(2)资源使用:CPU占用、内存占用、磁盘空间占用、网络带宽占用等。
(3)安全配置变更:账户变更、账户密码策略变更、本地审核策略变更、用户权限变更、组策略变更、自启动程序配置变更、服务变更、注册表变更等。
(4)用户操作行为:文件操作、文档打印、文件共享、文档刻录、网络访问、移动介质使用、邮件收发等。
2、安全审计方法
建议安装第三方安全管理软件,对计算机终端进行统一的安全审计。
(三)流量监控:
1、流量监控对象
流量监控可以有效发现计算机终端存在的可疑进程和服务,还可有效减少网络负载压力。流量监控的对象是计算机终端本地运行的进程和服务,通过流量监控结果的分析,可以及时发现可疑进程和服务并采取必要的保护措施。
2、流量监控策略
流量监控可采取三种策略。一是对计算机终端流入流出的总流量进行监控,二是按照计算机终端访问的目标网络进行分段详细监控,三是对本地计算机上的不同进程与服务的流量进行监控。建议根据自身需要,采取上述策略之一或者策略组合对计算机终端的流量进行监控。当流量监测过程中发现异常流量时,建议留存日志记录或报警记录。
3、流量控制
对于具有特殊安全需要的计算机终端,建议在流量监控策略之外,还应实施流量控制策略,限制其网络访问流量。
4、流量监控方法
建议启用Windows自身流量监控功能,或者采用第三方软件进行流量监控。一般情况下,第三方流量监控软件都可以实现上述三种监测策略。
(四)漏洞扫描与修复:
1、定期漏洞扫描
建议对计算机终端定期进行漏洞扫描,参考扫描策略如下:
(1)每周一、周四扫描一次
(2)有重大漏洞公布时,立即进行手动扫描
(3)重要时期每天扫描一次
2、漏洞修补
以Windows操作系统为例,漏洞修补可采取如下几种方式之一:
(1)开启操作系统自身的补丁检测和升级功能,以Windows7操作系统为例,具体操作方法是打开“控制面板”→“系统和安全”→“Windows更新”→“更改设置”,选择“自动检测和安装更新”;
(2)安装第三方补丁管理软件,并开启补丁检测和修复策略。
--
内容来源:
《政府部门网络安全解决方案指引》
