企業(yè)信息化建設的不斷發(fā)展,企業(yè)也越來越重視信息安全工作。但也存在一個普遍的現(xiàn)象,就是認為信息安全的主要威脅來自外界。國內(nèi)外一些信息安全研究機構的調(diào)查結果表明,很大的安全風險主要也來自于泄密和內(nèi)部人員犯罪。因此目前企業(yè)內(nèi)部的信息安全的工作不僅集中于重要服務器,而是擴展到全體崗位,信息化管理部門在做好服務器的安全工作時同樣要保障客戶端計算機的安全使用,要把客戶端計算機的安全作為企業(yè)信息安全保障體系的重要環(huán)節(jié),并采取有效的技術手段和管理措施。
根據(jù)國家各主管部門在信息安全方面相關文件中提出的技術要求,結合企業(yè)網(wǎng)絡實際應用情況,下面對企業(yè)內(nèi)網(wǎng)的安全風險進行一些分析。
一、內(nèi)部網(wǎng)絡信息安全風險分析
國家保密局多次指出涉密信息系統(tǒng)中應“防內(nèi)與防外并重”,傳統(tǒng)的外網(wǎng)安全主要是防范來自國際互聯(lián)網(wǎng)的攻擊、病毒入侵等,內(nèi)網(wǎng)安全主要是注重對企業(yè)內(nèi)部信息流和員工行為的管理,防止重要信息在特定范圍外傳播擴散甚至向外泄露。目前內(nèi)網(wǎng)的安全風險主要有以下四個方面:
1、口令保護脆弱,身份鑒別強度低
企業(yè)內(nèi)部網(wǎng)絡中一般運行辦公系統(tǒng)、設計系統(tǒng)、財務系統(tǒng)等,這些系統(tǒng)都可以從企業(yè)內(nèi)網(wǎng)的客戶端計算機上進行登錄,取得相應的權限。但目前很多企業(yè)的計算機只是使用口令密碼進行安全保護,Windows2000/XP操作系統(tǒng)是將口令存在SAM文件中,加密也比較簡單,因此口令密碼防護是非常脆弱的,惡意接觸計算機的人有可能竊取、破壞其中的信息,當然過后也可以被發(fā)現(xiàn)。
2、內(nèi)部信息泄露的風險
企業(yè)內(nèi)網(wǎng)的管理目前主要有兩種形式:一種是通過域控制用戶計算機的行為權限,另一種是劃分虛擬子網(wǎng)(VLAN)結合工作組形式聯(lián)網(wǎng),這兩種管理形式都不能對客戶端計算機的操作進行有效的監(jiān)管和審計,內(nèi)部信息流也無法控制和審計,很難妥善地保護、控制客戶端計算機上的有關企業(yè)重要商業(yè)秘密或國家秘密的文檔和資料。
3、內(nèi)部攻擊的風險
企業(yè)網(wǎng)絡對外的安全防護由路由器、防火墻、入侵檢測系統(tǒng)等組成多道安全防線,在實際情況下客戶端計算機的安全防護由于空間、成本等方面的原因,不可能采取和在機房中服務器相似的安全措施,對于來自于網(wǎng)絡內(nèi)部的攻擊僅能依靠操作系統(tǒng)自身的安全性。而目前客戶端計算機普遍使用的Windows操作系統(tǒng)的漏洞較多,防范來自于內(nèi)部的惡意攻擊和流行的Windows操作系統(tǒng)的漏洞較多,防范來自于內(nèi)部的惡意攻擊和流行于Windows平臺的計算機病毒、木馬等,困難很大。
4、移動存儲介質(zhì)的風險
目前軟盤、U盤、移動硬盤等移動存儲介質(zhì)使用非常普遍,大量企業(yè)秘密信息通過移動介質(zhì)存儲傳播,給管理帶來了相當大的難度。一方面移動存儲介質(zhì)價格低、體積小,大部分由員工自行購買和使用,很難進行統(tǒng)一的嚴格管理,移動介質(zhì)不受控,形成泄密隱患;另一方面外部人員攜帶的移動存儲介質(zhì)接入企業(yè)內(nèi)網(wǎng)不愛限制,存在著惡意復制企業(yè)信息或?qū)⒂嬎銠C病毒、間諜軟件等惡意程序傳入內(nèi)網(wǎng)的安全風險。
綜上所述,企業(yè)內(nèi)部網(wǎng)絡的安全風險高、難度大,這就要求安全管理員為客戶端計算機制訂合理的、切實可行的安全策略,利用相關的安全產(chǎn)品,提高客戶端計算機的安全性。下面針對上述安全風險的防護探討企業(yè)內(nèi)部網(wǎng)絡中使用Windows2003/XP操作系統(tǒng)的客戶端計算機應設置的安全策略,并對部分策略提出可行的技術措施。
二、對身份鑒別風險的防護
從操作系統(tǒng)安全方面來講,身份鑒別是最先考慮的環(huán)節(jié),獲得了一個用戶的身份就掌握了所登錄計算機的所有資源,在實現(xiàn)了單點登錄的網(wǎng)絡中同時也獲得了各應用系統(tǒng)的使用權限,因此身份鑒別方式的安全有效非常重要。
目前從技術上來講身份鑒別主要有三種方式:
(1)用戶名+復雜口令
?。?)電子鑰匙+PIN碼
?。?)生理特征識別
采取用戶名和設置復雜口令的身份鑒別方式,一般要求的口令強度在12位或更高,由字母、數(shù)字、特殊符合混合組成,并定期更換。但這種方式的缺點是Windows2000/XP操作系統(tǒng)的口令可能被惡意的人破解,而且終端用戶在口令更換周期、口令復雜性等方面很難自覺做到,日常管理難度較大。但是企業(yè)內(nèi)部可以通過制度來規(guī)定客戶端使用人員的行為規(guī)則,違反規(guī)則的人將被企業(yè)制度處罰。
采取電子鑰匙和PIN碼的身份鑒別方式,一般來說是在電子鑰匙中存入數(shù)字證書等身份識別文件,定期更換PIN值,PIN值一般設在6位或更高,用戶只有在同時擁有電子解匙和知道PIN碼的情況下才能登錄系統(tǒng)。數(shù)字證書是目前在網(wǎng)上銀行、政府部門等應用比較廣泛的技術手段,安全性要好于用戶名+復雜口令的登錄方式。這種身份鑒別方式需要購買相應的軟硬件產(chǎn)品,一般來說每個客戶端計算機需要數(shù)百元。
生理特征識別一般常見的有指紋識別、虹膜識別、面容識別等,其中虹膜識別設備體積大、成本高,一般用于要害部位的入口,近期難以在客戶端計算機應用,面容識別技術目前還不是很成熟,在面部非常相似的情況下也難以起到較好的作用,目前來講應用最廣泛的是指紋識別技術。指紋識別技術基于人體生理特征,安全性相對較高,缺點是成本高,每臺客戶端計算機均安裝指紋傳感器及相應軟件,可能需要上千元。此外無論是采用光學識別技術還是電容傳感器識別技術,在獲取用戶指紋的條件下,采用專門設備利用凝膠等原料能偽造用戶指紋。對于非常重要的客戶端計算機可以采取生理特征識別+復雜口令的技術措施來保證身份鑒別的安全。
綜合考慮以上幾種技術方式,從性價比、安全性等方面考慮,在保密要求較高的單位可以采取儲存數(shù)字證書的電子鑰匙和PIN碼結合的身份鑒別方式。僅采取電子鑰匙還不能安全保證系統(tǒng)的登錄安全,作為客戶端安全策略的組成部分,在主板BIOS中設置為硬盤引導,設置BIOS口令。同時為客戶端計算機的用戶創(chuàng)建根據(jù)數(shù)字證書或其他身份鑒別文件建立的日常使用賬號,禁止使用管理員(administrator)賬號登錄和日常工作,客戶端計算機僅設置管理員賬號和一個用戶賬號,用戶不能創(chuàng)建無對應數(shù)字證書的賬號。管理員賬號設置為用戶無法知道的高強度口令,僅用于系統(tǒng)出現(xiàn)問題時的維護??蛻舳擞嬎銠C還設置了相應的屏?;蜴i屏功能,確保用戶不在的情況下他人無法進入計算機。
三、對信息泄露風險的防護
根據(jù)網(wǎng)絡模式、安全保密需求等具體情況的不同,用戶權限的管理在各單位要求也不同。在安全保密要求較高的單位,客戶端計算機的輸入輸出端口應該是受到控制的。利用安全產(chǎn)品對客戶端計算機的軟驅(qū)、光驅(qū)、USB口、COM口、LPT口、1394口、打印機(包括本地打印機和網(wǎng)絡打印機)等輸入輸出端口進行了使用權限控制。同時出于安全性和保護內(nèi)部秘密的需求,要求該安全產(chǎn)品提供審計功能以加強對內(nèi)部網(wǎng)絡中客戶端計算機的監(jiān)控和管理,主要審計以下內(nèi)容:
?。?)審計客衣端計算機上的身份鑒別相關事件,如每天用戶登錄嘗試次數(shù)、登錄時間等信息;
?。?)審計客戶端計算機與移動存儲設備間的文件操作,包括復制、刪除、剪切、粘貼、文件另存為等文件操作;
(3)審計客戶端計算機的打印機使用情況,記錄打印文件名稱、打印時間、打印頁數(shù)等相關信息;
?。?)禁止客戶端計算機以無線上網(wǎng)等方式接入國際互聯(lián)網(wǎng),并部署審計策略記錄客戶端計算機未成功的聯(lián)網(wǎng)行為。
因客戶端計算機是采取工作組模式組網(wǎng),則技術上對用戶安裝軟件較難管理,但如SQL Server等軟件如安裝時sa用戶設置為空口令會有很高的安全風險,我們從管理上明確用戶安裝軟件應通知安全管理員,經(jīng)檢查確認無安全風險后再進行安裝。在日常管理中也通過掃描等技術手段定期進行檢查和安全風險分析。
四、對內(nèi)部攻擊風險的防護
對于來自內(nèi)部網(wǎng)絡的攻擊,除了加強口令強度外,還應采取及時安裝系統(tǒng)補丁,在網(wǎng)絡團體議上進行策略設置,安裝病毒防護系統(tǒng)等安全措施
1、補丁管理
Windows操作系統(tǒng)自發(fā)布以后,基本每月微軟都會發(fā)布安全更新補丁,已經(jīng)發(fā)布的補丁修補了很多高風險的漏洞,可以說一臺未及時更新補丁的計算機是基本不設防的,因此建立補丁管理系統(tǒng)并分發(fā)補丁是非常重要的安全措施,建立后可以對系統(tǒng)軟件進行修補,從而最大限度地減少漏洞,降低了病毒利用漏洞的可能。由于很多攻擊都是利用漏洞進行的,快速地為客戶端和服務器打上最新的安全補丁,能減少安全隱患,基本避免網(wǎng)絡中的惡意攻擊者利用漏洞進行攻擊。一個合適的補丁管理系統(tǒng)應滿足以下要求:
?。?)可以自動化地部署補丁,不需要過多的人工維護;
?。?)可以自動收集數(shù)據(jù),確認每臺計算機需要更新的補丁,避免重復打補丁;
(3)靈活的軟件架構,可以應用在工作組模式中也可應用在域模式中;
?。?)可以提供日志和報表;
(5)用記操作簡單,補丁分發(fā)正確、可靠。
使用微軟的WSUS工具進行補丁管理,能下載并分發(fā)WindowsXP/2000/2003操作和Office辦公軟件的補丁,在客戶端計算機配置相應的組策略后自動的從服務器上及時更新補丁,管理員在控制臺能清楚地了解到網(wǎng)絡中每臺計算機的補丁安裝情況,根據(jù)各成員單位不同的安全要求在配置客戶端策略時選擇自動安裝補丁或提醒安裝。補丁管理系統(tǒng)可以很大程度地改善企業(yè)的網(wǎng)絡安全情況,提高工作效率,縮短響應時間,但仍然有其局限性,并且在實施和應用中會遇到一些困難和問題,只能通過有效的規(guī)劃和細致工作,補丁管理系統(tǒng)才能實際發(fā)揮作用并起到良好效果。
2、網(wǎng)絡協(xié)議安全策略設置
安全性與可用性之間存在著一定的矛盾,由于網(wǎng)絡需要較高的安全性,我們通過安全產(chǎn)品,在客戶端計算機設置了關閉客戶端計算機遠程訪問、刪除所有隱含分享、客戶端計算機設置靜態(tài)IP地址、用戶無法自行修改IP地址等安全策略。
3、病毒防護
我們?yōu)樗杏嬎銠C安裝了網(wǎng)絡版的病毒防護系統(tǒng),并配置了另一套不同廠商的病毒防護系統(tǒng)作為補充和備份。每周更新病毒庫,如發(fā)現(xiàn)病毒流行,則啟動相應的預案,對感染病毒的計算機采取更換病毒防護軟件、斷網(wǎng)等技術措施,保證系統(tǒng)的正常運行。
五、移動存儲介質(zhì)管理
為了降低移動存儲介質(zhì)帶來的安全風險,在企業(yè)內(nèi)部對所有移動存儲介質(zhì)統(tǒng)一管理,建立臺賬,由保密部門將存儲介質(zhì)分為涉密和不涉密兩種。對不同的存儲介質(zhì)對采取不同的技術和管理措施,通過技術手段使外來移動存儲介質(zhì)無法接入企業(yè)內(nèi)網(wǎng),內(nèi)網(wǎng)中認證過的移動存儲介質(zhì)也僅能在授權的客戶端計算機上使用,涉密的移動存儲介質(zhì)采取加密等技術使在授權之外的計算機上無法使用,以降低介質(zhì)丟失或管理不嚴帶來的安全風險。
六、人員管理
技術措施不能解決所有的安全問題,而且目前安全產(chǎn)品不能安全防范企業(yè)內(nèi)部人員對關鍵信息的泄露、竊取、更改和破壞。由于內(nèi)部人員最容易接觸敏感信息,他們的行動非常具有針對性,危害的對象往往是系統(tǒng)中最核心的信息資源,會造成很大的破壞。內(nèi)部人員對本單位的結構、管理和文化等情況非常熟悉,竊取或破壞信息時不易被發(fā)覺、有可能事后才發(fā)現(xiàn)。因此人員的管理和教育是非常重要的,人員是信息安全管理的核心。為了從根本上保障內(nèi)部網(wǎng)絡信息安全,除采用必要的技術防范手段外,還加強對企業(yè)員工的信息安全和保密教育,加強日常的監(jiān)督管理和檢查,確保所有終端用的計算機始終處于被監(jiān)管的狀態(tài),以及時發(fā)現(xiàn)和解決存在風險。
企業(yè)內(nèi)部網(wǎng)絡中客戶端計算機其數(shù)量多,軟硬件配置和應用情況復雜,做好安全防護工作是有一定的難度。在保證計算機功能使用和對性能影響較小的情況下,應充分應用Windows操作系統(tǒng)本身的安全策略及組策略進行管理,并考慮在一個安全產(chǎn)品中實現(xiàn)多功能集成,盡可能地降低成本和便于維護。隨著技術發(fā)展和安全需求的提高,安全策略也必將隨之調(diào)整完善。