《桌面安全管理与防护.ppt》由会员分享,可在线阅读,更多相关《桌面安全管理与防护.ppt(43页珍藏版)》请在三一办公上搜索。
1、桌面安全防护与管理,数据中心2010年11月,二、中国石油桌面安全管理建设方案,一、中国石油桌面安全防护现状,三、终端计算机安全管理规范,目 录,桌面计算机-硬件配置现状,内存配置现状,CPU配置现状,根据2008年统计,中国石油企业网内拥有桌面计算机38万台。分布在560多个局域网中。桌面计算机硬件配置调查表的统计结果显示,配置参差不齐,几乎覆盖了2000年以来的各种配置计算机,约50%的计算机内存小于512MB。,中国石油桌面安全防护现状,中国石油桌面计算机主要使用微软的操作系统,占总体桌面计算机数量的97.8%。其余2.2%的桌面计算机使用Linux等其他操作系统。WINDOWS XP数
2、量上占绝大部分,到达83%的比例,其他windows操作系统占比都在6%以下,有不超过1%的桌面计算机使用Linux操作系统。2009年以来,windows 7的使用比例在上升,目前尚无准确的统计数据。,桌面计算机-操作系统现状,中国石油桌面安全防护现状,桌面计算机-应用软件现状,根据已部署的补丁分发子系统统计,中国石油桌面计算机安装的软件约十万种。常见种类包括:办公软件、防病毒软件、恶意软件清理工具、下载工具、即时通讯软件、游戏平台等。,中国石油桌面计算机安装和使用的应用软件种类繁多,其中,73%的应用软件存在较大风险;软件自身的安全风险,以及用户的安全意识不到位,其行为不规范,对中国石油桌
3、面安全构成极大隐患。,防病毒软件,赛门铁克、卡巴斯基、瑞星、McAfree、江民、金山等,恶意软件清理工具,360安全卫士、Windows清理助手、瑞星卡卡、恶意软件清理助手等,迅雷、Web迅雷、网际快车(FlashGet)、电驴、旋风下载、纳米机器人等,下载工具,即时通讯软件,QQ、MSN、飞鸽传书、飞信等,QQ游戏、浩方、联众等,游戏平台,中国石油桌面安全防护现状,企业所面临的主要安全威胁,非法终端和非授权终端对业务系统的访问终端不安全导致病毒的扩散终端数量大、系统复杂、员工行为难以管理,中国石油桌面安全防护现状,内部威胁问题为首要安全问题,据ISCA统计,随着安全威胁的升级,全球每年由信
4、息安全问题导致的损失约数百亿USD,其中源于内部的威胁高达60,09年IDC安全调查显示,当前企业面临的TOP10安全威胁,包括:内部员工对IT系统的不当使用和破坏 员工及合作伙伴盗窃机密数据 黑客入侵 应用系统脆弱性 无线网络问题,应用层,网络层,物理层,Figure1 企业面临的TOP10安全威胁,中国石油桌面安全防护现状,中国石油信息安全总体规划中调查问卷的统计结果:,恶意代码/间谍软件/垃圾邮件、外部攻击/入侵、泄密/个人数据泄露是中国石油所面的临来自于外部的首要安全威胁非授权访问、误操作为中国石油所面临来自于内部的主要安全威胁拒绝服务攻击对桌面计算机造成的安全威胁相对较低,桌面计算机
5、-安全威胁现状,中国石油桌面安全防护现状,防病毒子系统,中国石油从2002年起陆续部署桌面安全管理系统,包括防病毒系统、补丁分发系统和端点准入子系统三个部分。客户端安装数量总体上不住50%,防护范围还不能到达安全要求,桌面安全防护现状,端点准入子系统2007年初开始试点工作2008年6月正式开展系统推广部分单位进行了实施客户端数量137042,补丁分发子系统2006开始部署,建立三级管理架构,实现系统安全补丁自动分发与更新。大部分单位实施客户端数量138677,2002年部署该系统2007年对系统升级优化,完善三级架构,保证病毒定义及时更新,增强可管理性。统一使用赛门铁克防病毒软件,客户端数量
6、145668,中国石油桌面安全防护现状,桌面安全管理现状,中国石油已经初步建成以总部、区域网络中心、各企事业单位组成的三级信息安全管理体系结构。总部安全管理员30多名,区域网络中心安全管理员14名,企事业单位安全管理员管理员411名,其中安全管理岗144名,安全操作岗267名。,中国石油桌面安全防护现状,桌面安全管理现状,信息系统安全管理规范终端计算机安全管理规范信息安全风险评估指南信息系统密码安全管理规范计算机病毒与网络入侵应急响应管理规范信息系统用户管理规范,中国石油天然气集团公司广域网管理实施细则中国石油天然气集团公司区域网络中心管理实施细则信息系统运行维护管理办法信息技术标准管理办法计
7、算机信息系统安全管理规范中国石油天然气集团公司网络与信息安全突发事件专项应急预案,中国石油已经制定的相应的桌面安全管理制度,管理体系已经初步建立起来,但在发挥各级管理员作用,协调各种方面还需要提升,管理细则,企业标准,中国石油桌面安全防护现状,二、中国石油桌面安全管理建设方案,三、终端计算机安全管理规范,一、中国石油桌面安全现状,目 录,桌面安全管理与防护建设是在遵循国家和企业制定的一系列信息安全政策、标准和规范的基础上,研究桌面安全威胁、防护技术以及行为审计与预警,满足国家等级保护要求和企业对计算机安全的总体需求。建立中国石油桌面安全整体解决方案,划分功能模块,制定桌面安全管理策略与制度,规
8、范员工上网行为,实现桌面计算机用户管理、上网行为审计和数据存储加密,降低桌面计算机病毒和木马发生几率;提升桌面计算机抵御安全威胁的能力;提高桌面安全管理水平。达到桌面计算机有防护、有检测、可控制、可审计。在技术可行、管理可行和节省投资的前提下,建设中国石油统一桌面安全管理系统。,中国石油桌面安全管理建设方案,目标,桌面安全管理与防护建设思路以PPDR参考模型进行桌面安全管理系统设计,策略定义了要实现的桌面安全目标和实现桌面安全目标的途径,通过防护、监测、响应环节采用不同技术实现。信息系统安全等级保护基本要求在数据保密性、系统安全管理、恶意代码防范管理、资源控制、安全审计、审核和检查、监控管理和
9、安全管理中心方面提出了要求,桌面安全管理系统需满足以上等级保护提出的要求。,PPDR参考模型,中国石油桌面安全管理建设方案,桌面安全管理与防护涉及范围,涉及中国石油总部及所属企事业单位办公管理网内的所有桌面计算机。防病毒、补丁分发、端点准入子系统提升,建立统一的电子文档保护和后台管理子系统。,中国石油桌面安全管理建设方案,建设方案(整体架构),整体系统采用三级架构,分别在总部、区域网络中心部署服务器和应用软件,在各企事业单位桌面计算机上安装客户端软件。防病毒子系统、补丁分发子系统和端点准入子系统是在原有系统基础上进行升级,升级后的三个系统共用一套服务器(包括端点准入策略部分),客户端软件合并为
10、一个,共用一套引擎。电子文档保护子系统、后台管理子系统和等级保护综合平台需要新建。,中国石油桌面安全管理建设方案,等级保护综合平台连接公安部网络,用于上报定级、备案、整改、测评和检查信息;防病毒和补丁更新服务器通过Internet连接到公网服务器,下载厂家提供的病毒定义码和补丁。下载后的病毒定义码分发到各区域网络中心的防病毒子系统,而下载的补丁经过筛选、测试后,逐级下发到区域网络中心补丁分发子系统内,区域中心服务器将病毒定义文件、安全补丁下发到桌面计算机;电子文档保护服务器与身份管理与认证系统连接,下载公钥,为各企事业单位的桌面计算机安装的电子文档保护客户端提供文档加密时公钥下载服务;,石油总
11、部,总部部署:等级保护综合平台服务器、病毒库和补丁更新服务器、电子文档保护服务器、日志分析服务器。,中国石油桌面安全管理建设方案,其中防病毒子系统、补丁分发子系统、端点准入子系统的策略部分共用服务器,后台管理子系统和文档保护子系统共用服务器。每台服务器管理一万台桌面计算机,服务器的部署数量由区域内桌面计算机的数量决定。防病毒子系统、补丁分发子系统下发病毒定义文件和系统安全补丁到各企事业单位的桌面计算机上;后台管理子系统对各企事业单位的桌面计算机提供管理策略,配置策略和收集行为日志。这四个子系统将从桌面计算机收集到的病毒发作日志、补丁更新日志、文档保护日志和行为审计日志上传总部日志存储,为日志分
12、析服务提供数据源。,区域网络中心,区域网络中心部署:防病毒子系统、补丁分发子系统、端点准入子系统和后台管理子系统。,中国石油桌面安全管理建设方案,防病毒软件、补丁分发软件和端点准入软件合并为一个软件,减少了系统资源占用的,整合系统功能。电子文档保护软件和后台管理软件整合在一起,降低了桌面计算机系统资源占用。,企事业单位,在企事业单位桌面计算机上安装客户端软件,客户端软件包括防病毒软件、补丁分发软件、端点准入软件、电子文档保护软件和后台管理软件。,中国石油桌面安全管理建设方案,建设方案(功能架构),端点准入子系统、防病毒子系统、补丁分发子系统、电子文档保护子系统组成桌面计算机安全管理的防护手段;
13、后台管理子系统、信息安全等级保护综合平台为桌面计算机安全管理系统提供管理手段;通过监测分析桌面行为是否满足等级保护要求,为进一步桌面安全管理系统的完善与提升提供依据;防护与管理措施相辅相成、循环上升,不断提升桌面安全管理水平。,中国石油桌面安全管理建设方案,包括防病毒管理和病毒木马监控两个功能:防病毒管理:1、为桌面计算机提供病毒、木马和蠕虫查杀功能。2、防病毒服务器下发病毒定义文件到桌面计算机,计算机将病毒扫描日志、病毒报警信息等数据上报到 防病毒服务器。病毒木马监控:包括计算机病毒监控和网络病毒监控两个部分内容:1、计算机病毒监控收集各个防病毒服务器的日志信息,对桌面计算机的病毒和木马发作
14、情况进行分析统计,提供桌面计算机病毒、木马、蠕虫发作情况现状,按照发现的病毒、木马和蠕虫的种类、数量和分布范围统计报告。2、网络病毒监控对网络中的病毒木马发作情况进行监控,统计病毒木马来源、感染计算机数量等信息。通过计算机病毒监控和网络病毒监控为桌面计算机安全策略完善与提升提供指导。,防病毒子系统,中国石油桌面安全管理建设方案,补丁分发子系统主要包含以下功能:1、补丁获取:定期从微软获取同步补丁目录信息,获取微软最新发布的安全补丁。2、补丁筛选与测试:对获取的安全补丁进行筛选与测试,确定补丁的有效性和影响,防止补丁安装后产生意外影响;优先播发威胁级别高、影响严重的安全补丁。3、补丁检测:检测桌
15、面计算机缺乏哪些安全补丁,为补丁播发提供基础数据,并适 当增加安装率低、影响严重的补丁播发频率。4、补丁分发与安装:将筛选、测试过的操作系统安全补丁播发到桌面计算机,桌面 计算机接收到播发的补丁后自动进行安装,使计算机安全补丁及时更新。5、补丁安装统计:统计补丁播发数量、补丁名称、补丁安装成功率、未安装补丁列 表等信息。,补丁分发子系统,补丁分发子系统为桌面计算机提供系统补丁自动更新功能,通过及时下发桌面计算机操作系统安全补丁,减少操作系统存在的漏洞,提升桌面计算机安全性,降低通过利用已知漏洞进行的恶意入侵和攻击概率。,中国石油桌面安全管理建设方案,端点准入子系统,端点准入子系统为桌面计算机提
16、供网络接入管理功能,能够阻止不合规桌面计算机接入网络,确保只有合规计算机才能接入到网络中,防止病毒和木马通过不合规计算机在网络内传播,使统一的安全策略落实到位。,端点准入子系统主要包含以下功能:,1、策略制定:制定桌面计算机准入策略,规定计算机要满足哪些要求才能够接入 到网络。策略制定完毕,下发到计算机执行。2、安全性检测:按照制定的准入策略对接入到网络的计算机进行检测,允许满足 策略要求的计算机接入网络。3、隔离修复:对于不满足策略要求的计算机进行隔离,计算机完成修复,满足策 略要求后才允许其接入网络。4、周期性检测:周期性对已经接入网络的桌面计算机进行检测,一旦发现计算机 不合规,立即进行
17、隔离,确保策略执行无漏洞出现。5、统计报告:按照设定条件生成统计信息报告。,中国石油桌面安全管理建设方案,电子文档保护为计算机用户提供计算机登陆管理、电子文档加密保护、文件输出审计、电子文档销毁管理、桌面健康检查功能。电子文档保护子系统在电子文档创建、使用、传输、销毁各个阶段提供管理和保护功能,密钥登陆管理功能解决计算机和电子文件的非授权使用问题,通过电子文件加密保护和删除文件销毁功能,能够解决机密数据意外泄露造成的安全问题。,电子文档保护子系统,中国石油桌面安全管理建设方案,后台管理子系统主要提供计算机用户管理、配置策略管理、安全审计及报警、数据查询和统计,日志统计与分析功能。通过配置策略管
18、理功能,能够统一制定下发操作系统安全策略,计算机接收到策略后自动执行,修改默认的系统安全设置(IE设置、服务设置、默认账户、启动项等内容),解决默认系统配置不安全问题。对系统日志、电子文档访问日志等内容进行审计,通过日志审计发现问题。,后台管理子系统,中国石油桌面安全管理建设方案,通过信息安全等级保护综合工作平台,能够实现定级、备案、整改、测评和检查等信息化管理工作,提升等级保护工作的效率和管理水平。建立完善的评价体系,对信息系统的安全性进行评价,对等级保护工作的安全效果进行评价,并形成专业决策库,为管理层进行等级保护工作的部署提供决策。该平台主要包括:定级备案管理、建设整改管理、等级测评管理
19、、安全检查管理、统计分析、基础数据管理。,信息安全等级保护综合工作平台,中国石油桌面安全管理建设方案,在桌面安全管理系统的方案设计中,充分利用身份认证系统资源,将电子文档保护子系统与身份认证系统有效集成通过身份认证USBKey实现用户登录计算机认证和文件加密。,中国石油桌面安全管理建设方案,与身份认证系统的关系,选用适度集中部署方案在总部和区域中心部署系统服务器,各企事业单位原则上不部署服务器,除非特大型企业可以考虑部署相关服务器各企事业单位的桌面计算机均部署客户端软件,部署方案,中国石油桌面安全管理建设方案,防病毒子系统、补丁分发子系统、端点准入子系统的策略部分共用一类服务器,总部部署防病毒
20、服务器。各区域网络中心部署防病毒服务器。各企事业单位安全管理员完成防病毒客户端安装。病毒定义和系统安全补丁由总部防病毒服务器通过互联网获取,逐级下发,计算机从各个区域网络中心服务器升级病毒定义文件和系统安全补丁文件。端点准入子系统部署在区域网络中心各企事业单位的接入点。,防病毒子系统、补丁分发子系统、端点准入子系统,中国石油桌面安全管理建设方案,电子文档保护子系统,总部部署电子文档保护服务器。电子文档保护服务器与身份认证系统同步用户密钥数据。,中国石油桌面安全管理建设方案,后台管理子系统,总部部署后台管理服务器、日志统计与分析服务器、计算机病毒监测服务器、网络病毒检测设备;各区域网络中心部署后
21、台管理服务器、网络病毒检测设备;各企事业单位安全管理员完成后台管理客户端安装;日志统计与分析服务器,用以对日志信息进行统计分析;数据存储设备,用于集中存储、防病毒子系统、后台管理子系统、电子文档保护的相关的日志信息;总部部署计算机病毒监测服务器用来收集防病毒服务器日志信息,监测桌面计算机病毒发作情况;网络病毒检测设备用来监测总部和各个区域网络中心网络内病毒发作情况。,信息安全等级保护综合工作平台,总部部署信息安全等级保护综合工作平台服务器。信息安全等级保护综合工作平台,按照公安部要求定期向公安部提交信息系统等级保护工作相关信息。,中国石油桌面安全管理建设方案,桌面与安全管理与防护建设计划,计划
22、2010-2011年在集团公司143家单位进行实施工作。2011年5月完成,用时12个月、共分5个阶段完成:调研与分析、设计与招标、推广实施、集成开发、总结验收。,中国石油桌面安全管理建设方案,调研与分析,设计与招标,实施一期,验收,实施二期,集成研发阶段,完成实施及,验收,完成需求分析,报告,完成测试报告,方案设计,总部及辽河、,大连、大庆四,个区域实施,北京、兰州、,西安、西南四,个区域实施,新疆、华东、,华南三个区域,实施,完成功能开发,实施三期,桌面安全管理项目作为中国石油的“十一五”信息技术总体规划中基础设施项目之一,为总部及所属企事业单位提供桌面安全管理与防护服务,项目覆盖总部及1
23、1个区域网络中心的143家企事业单位,涉及面广、工作量大,需要各地区公司和总部的大力支持与配合。,中国石油桌面安全管理建设方案,实施一期:总部及辽河、大连、大庆区域所属单位实施实施二期:北京、兰州、西安、西南区域所属单位实施实施三期:新疆、华东、华南区域所属单位实施,各企事业单位应发文要求统一安排本单位桌面安全管理系统实施工作,确保组织人员 培训、硬件设施、网络环境满足方案要求;各企事业单位要指定负责部门和项目负责人,统一组织项目实施工作;每200台计算机配备一名客户端维护人员,该人员应具备基本的系统维护和桌面计算机病毒处理能力;安排专人参加管理员培训,负责本单位系统运行维护;组织下属单位,安
24、排项目联系人,负责项目实施人员与本单位计算机用户的协调工作。,实施工作要求,中国石油桌面安全管理建设方案,二、中国石油桌面安全管理与防护建设方案,一、中国石油桌面安全现状与需求分析,三、终端计算机安全管理规范,目 录,本标准规定了终端计算机的物理安全、运行安全、病毒防护、补丁管理、网络准入控制、介质管理、监控审计和备份与恢复的基本要求。本标准适用于中国石油所属各企事业单位所有非涉密终端计算机。,终端计算机安全管理规范,主管部门应提供必要的场地安全措施,用户具有终端计算机的使用权和保管权。主管部门应负责终端计算机、存储设备的维修和回收工作。用户离开终端计算机应关闭电源,并将外接移动存储设备拔下并
25、妥善保管。主管部门应将新购置的终端计算机做系统固有的脆弱性分析,排除潜在的安全隐患。,物理安全,终端计算机安全管理规范,终端计算机应安装正版操作系统和应用软件。主管部门应对本单位终端计算机实行注册管理,建立计算机用户信息库,进行实名制登记,记录MAC(物理地址)、IP(因特网协议地址)、部门、联系方式,并对IP与MAC进行绑定。主管部门应对终端计算机软、硬件资产及变更信息进行管理。主管部门应对安全事件进行监控、报警和定位事件源头,并采取措施控制和处理。主管部门应收集、分析、整理本单位终端计算机端口、服务、进程、Web(网页)访问,形成本单位访问控制策略,用于管理用户对网络资源的访问。主管部门应
26、收集、分析、整理本单位应用软件列表,推行终端计算机桌面标准化。用户应设置终端计算机密码,密码复杂性、长度、存留期应符合主管部门的要求。终端计算机应关闭Guest用户、系统默认共享和远程桌面,并设置系统自动锁屏。,运行安全,终端计算机安全管理规范,主管部门应建设本单位的防病毒系统,并对终端计算机进行统一安装防病毒软件和更新病毒定义码。用户下载的文件应进行病毒扫描后使用。用户不应蓄意传播计算机病毒。用户不应蓄意安装具有扫描、攻击等恶意行为的黑客软件。,补丁管理,主管部门应建设本单位的补丁升级系统,并对终端计算机进行统一安装补丁升级软件和更新安全补丁。用户应在安全补丁发布后及时将安全补丁更新至最新。
27、主管部门定期检查补丁升级情况,对于升级不成功的终端计算机,应进行升级处理。,病毒防护,终端计算机安全管理规范,主管部门应建立网络准入控制系统,并满足以下基本准入控制策略:杀毒软件运行检测;杀毒软件病毒库更新检测;补丁分发软件运行检测;安全补丁更新检测;软件防火墙运行检测;用户非法外联其它网络检测。非中国石油员工未经主管部门允许,不应访问中国石油计算机网络,网络准入控制,终端计算机安全管理规范,终端计算机硬盘存储的重要文件应加密。软盘存储重要文件应加密。刻录机刻录重要文件应加密。移动硬盘、U盘应设置密码,存储重要文件应加密。用户不应将非工作存储介质连接到终端计算机。,主管部门应建立监控和审计机制,记录输入输出、备份、删除、拷贝以及非工作时间段终端计算机操作的日志。主管部门应定期检查和审计访问日志,对可疑行为进行追踪,并通报和处理。,用户应对终端计算机系统中重要数据进行加密备。备份内容防丢失、损坏、窃取。,介质管理,监控审计,备份,终端计算机安全管理规范,谢 谢!,