桌面安全管理与防护

《桌面安全管理与防护》由会员分享，可在线阅读，更多相关《桌面安全管理与防护（43页珍藏版）》请在装配图网上搜索。

1、桌面安全防护与管理数据中心2010年11月2二、中国石油桌面安全管理建设方案二、中国石油桌面安全管理建设方案一、中国石油桌面安全一、中国石油桌面安全防护防护现状现状三、终端计算机安全管理规范三、终端计算机安全管理规范目 录3 桌面计算机-硬件配置现状 内存配置现状 CPUCPU配置现状 根据2008年统计，中国石油企业网内拥有桌面计算机38万台。分布在560多个局域网中。桌面计算机硬件配置调查表的统计结果显示，配置参差不齐，几乎覆盖了2000年以来的各种配置计算机，约50%的计算机内存小于512MB。中国石油桌面安全防护现状4 中国石油桌面计算机主要使用微软的操作系统，占总体桌面计算机数量的9

2、7.8%。其余2.2%的桌面计算机使用Linux等其他操作系统。WINDOWS XP数量上占绝大部分，到达83%的比例，其他windows操作系统占比都在6%以下，有不超过1%的桌面计算机使用Linux操作系统。2009年以来，windows 7的使用比例在上升，目前尚无准确的统计数据。桌面计算机-操作系统现状中国石油桌面安全防护现状5 桌面计算机-应用软件现状 根据已部署的补丁分发子系统统计，中国石油桌面计算机安装的软件约十万种。常见种类包括：办公软件、防病毒软件、恶意软件清理工具、下载工具、即时通讯软件、游戏平台等。中国石油桌面计算机安装和使用的应用软件种类繁多，其中，73%的应用软件存在

3、较大风险；软件自身的安全风险，以及用户的安全意识不到位，其行为不规范，对中国石油桌面安全构成极大隐患。防病毒软件赛门铁克、卡巴斯基、瑞星、McAfree、江民、金山等恶意软件清理工具360安全卫士、Windows清理助手、瑞星卡卡、恶意软件清理助手等迅雷、Web迅雷、网际快车（FlashGet）、电驴、旋风下载、纳米机器人等下载工具即时通讯软件QQ、MSN、飞鸽传书、飞信等QQ游戏、浩方、联众等游戏平台中国石油桌面安全防护现状6企业所面临的主要安全威胁 非法终端和非授权终端对业务系统的访问 终端不安全导致病毒的扩散 终端数量大、系统复杂、员工行为难以管理终端成为安全威终端成为安全威胁的主要来源

4、胁的主要来源中国石油桌面安全防护现状7内部威胁问题为首要安全问题 据据ISCAISCA统计，随着安全威胁的升级，全球每年由信息安全问统计，随着安全威胁的升级，全球每年由信息安全问题导致的损失约数百亿题导致的损失约数百亿USDUSD，其中源于，其中源于内部的威胁高达内部的威胁高达6060 0909年年IDCIDC安全调查显示，当前企业面临安全调查显示，当前企业面临的的TOP10TOP10安全威胁，包括安全威胁，包括:p 内部员工对内部员工对IT IT系统的不当使用和破坏系统的不当使用和破坏p 员工及合作伙伴盗窃机密数据员工及合作伙伴盗窃机密数据p 黑客入侵黑客入侵p 应用系统脆弱性应用系统脆弱性

5、p 无线网络问题无线网络问题 内部威胁内部威胁60%外部威胁外部威胁40%应用层应用层网络层网络层物理层物理层Figure1 Figure1 企业面临的企业面临的TOP10TOP10安全威胁安全威胁中国石油桌面安全防护现状8中国石油信息安全总体规划中调查问卷的统计结果：n 恶意代码/间谍软件/垃圾邮件、外部攻击/入侵、泄密/个人数据泄露是中国石油所面的临来自于外部的首要安全威胁n 非授权访问、误操作为中国石油所面临来自于内部的主要安全威胁n 拒绝服务攻击对桌面计算机造成的安全威胁相对较低 桌面计算机-安全威胁现状 中国石油桌面安全防护现状9 防病毒子系统防病毒子系统中国石油从2002年起陆续部

6、署桌面安全管理系统，包括防病毒系统、补丁分发系统和端点准入子系统三个部分。客户端安装数量总体上不住50%，防护范围还不能到达安全要求 桌面安全防护现状端点准入子系统端点准入子系统2007年初开始试点工作2008年6月正式开展系统推广部分单位进行了实施客户端数量137042补丁分发子系统补丁分发子系统2006开始部署，建立三级管理架构，实现系统安全补丁自动分发与更新。大部分单位实施客户端数量1386772002年部署该系统2007年对系统升级优化，完善三级架构，保证病毒定义及时更新，增强可管理性。统一使用赛门铁克防病毒软件，客户端数量145668中国石油桌面安全防护现状10 桌面安全管理现状 中

7、国石油已经初步建成以总部、区域网络中心、各企事业单位组成的三级信息安全管理体系结构。总部安全管理员30多名，区域网络中心安全管理员14名，企事业单位安全管理员管理员411名，其中安全管理岗144名，安全操作岗267名。中国石油桌面安全防护现状11 桌面安全管理现状 信息系统安全管理规范 终端计算机安全管理规范 信息安全风险评估指南 信息系统密码安全管理规范 计算机病毒与网络入侵应急响应管理规范 信息系统用户管理规范 中国石油天然气集团公司广域网管理实施细则 中国石油天然气集团公司区域网络中心管理实施细则 信息系统运行维护管理办法 信息技术标准管理办法 计算机信息系统安全管理规范 中国石油天然气

8、集团公司网络与信息安全突发事件专项应急预案 中国石油已经制定的相应的桌面安全管理制度，管理体系已经初步建立起来，但在发挥各级管理员作用，协调各种方面还需要提升管理细则企业标准中国石油桌面安全防护现状12二、中国石油桌面安全管理建设方案二、中国石油桌面安全管理建设方案三、终端计算机安全管理规范三、终端计算机安全管理规范一、中国石油桌面安全现状一、中国石油桌面安全现状目 录13桌面安全管理与防护建设是在遵循国家和企业制定的一系列信息安全政策、标准和规范的基础上，研究桌面安全威胁、防护技术以及行为审计与预警，满足国家等级保护要求和企业对计算机安全的总体需求。建立中国石油桌面安全整体解决方案，划分功能

9、模块，制定桌面安全管理策略与制度，规范员工上网行为，实现桌面计算机用户管理、上网行为审计和数据存储加密，降低桌面计算机病毒和木马发生几率；提升桌面计算机抵御安全威胁的能力；提高桌面安全管理水平。达到桌面计算机有防护、有检测、可控制、可审计。在技术可行、管理可行和节省投资的前提下，建设中国石油统一桌面安全管理系统。中国石油桌面安全管理建设方案目标14 桌面安全管理与防护建设思路1.以PPDR参考模型进行桌面安全管理系统设计，策略定义了要实现的桌面安全目标和实现桌面安全目标的途径，通过防护、监测、响应环节采用不同技术实现。2.信息系统安全等级保护基本要求在数据保密性、系统安全管理、恶意代码防范管理

10、、资源控制、安全审计、审核和检查、监控管理和安全管理中心方面提出了要求，桌面安全管理系统需满足以上等级保护提出的要求。PPDR参考模型中国石油桌面安全管理建设方案15 桌面安全管理与防护涉及范围2涉及中国石油总部及所属企事业单位办公管理网内的所有桌面计算机。2防病毒、补丁分发、端点准入子系统提升，建立统一的电子文档保护和后台管理子系统。中国石油桌面安全管理建设方案16 建设方案（整体架构）整体系统采用三级架构，分别在总部、区域网络中心部署服务器和应用软件，在各企事业单位桌面计算机上安装客户端软件。防病毒子系统、补丁分发子系统和端点准入子系统是在原有系统基础上进行升级，升级后的三个系统共用一套服

11、务器（包括端点准入策略部分），客户端软件合并为一个，共用一套引擎。电子文档保护子系统、后台管理子系统和等级保护综合平台需要新建。中国石油桌面安全管理建设方案17p 等级保护综合平台连接公安部网络，用于上报定级、备案、整改、测评和检查信息；p 防病毒和补丁更新服务器通过Internet连接到公网服务器，下载厂家提供的病毒定义码和补丁。下载后的病毒定义码分发到各区域网络中心的防病毒子系统，而下载的补丁经过筛选、测试后，逐级下发到区域网络中心补丁分发子系统内，区域中心服务器将病毒定义文件、安全补丁下发到桌面计算机；p 电子文档保护服务器与身份管理与认证系统连接，下载公钥，为各企事业单位的桌面计算机安

12、装的电子文档保护客户端提供文档加密时公钥下载服务；石油总部 总部部署：等级保护综合平台服务器、病毒库和补丁更新服务器、电子文档保护服务器、日志分析服务器。中国石油桌面安全管理建设方案18p 其中防病毒子系统、补丁分发子系统、端点准入子系统的策略部分共用服务器，后台管理子系统和文档保护子系统共用服务器。每台服务器管理一万台桌面计算机，服务器的部署数量由区域内桌面计算机的数量决定。p 防病毒子系统、补丁分发子系统下发病毒定义文件和系统安全补丁到各企事业单位的桌面计算机上；后台管理子系统对各企事业单位的桌面计算机提供管理策略，配置策略和收集行为日志。p 这四个子系统将从桌面计算机收集到的病毒发作日志

13、、补丁更新日志、文档保护日志和行为审计日志上传总部日志存储，为日志分析服务提供数据源。区域网络中心 区域网络中心部署：防病毒子系统、补丁分发子系统、端点准入子系统和后台管理子系统。中国石油桌面安全管理建设方案19p 防病毒软件、补丁分发软件和端点准入软件合并为一个软件，减少了系统资源占用的，整合系统功能。p 电子文档保护软件和后台管理软件整合在一起，降低了桌面计算机系统资源占用。企事业单位 在企事业单位桌面计算机上安装客户端软件，客户端软件包括防病毒软件、补丁分发软件、端点准入软件、电子文档保护软件和后台管理软件。中国石油桌面安全管理建设方案20建设方案（功能架构）端点准入子系统、防病毒子系统

14、、补丁分发子系统、电子文档保护子系统组成桌面计算机安全管理的防护手段；后台管理子系统、信息安全等级保护综合平台为桌面计算机安全管理系统提供管理手段；通过监测分析桌面行为是否满足等级保护要求，为进一步桌面安全管理系统的完善与提升提供依据；防护与管理措施相辅相成、循环上升，不断提升桌面安全管理水平。中国石油桌面安全管理建设方案21包括防病毒管理和病毒木马监控两个功能：防病毒管理：1、为桌面计算机提供病毒、木马和蠕虫查杀功能。2、防病毒服务器下发病毒定义文件到桌面计算机，计算机将病毒扫描日志、病毒报警信息等数据上报到 防病毒服务器。病毒木马监控：包括计算机病毒监控和网络病毒监控两个部分内容：1、计算

15、机病毒监控收集各个防病毒服务器的日志信息，对桌面计算机的病毒和木马发作情况进行分析统计，提供桌面计算机病毒、木马、蠕虫发作情况现状，按照发现的病毒、木马和蠕虫的种类、数量和分布范围统计报告。2、网络病毒监控对网络中的病毒木马发作情况进行监控，统计病毒木马来源、感染计算机数量等信息。通过计算机病毒监控和网络病毒监控为桌面计算机安全策略完善与提升提供指导。防病毒子系统中国石油桌面安全管理建设方案22 补丁分发子系统主要包含以下功能：1、补丁获取：定期从微软获取同步补丁目录信息，获取微软最新发布的安全补丁。2、补丁筛选与测试：对获取的安全补丁进行筛选与测试，确定补丁的有效性和影响，防止补丁安装后产生

16、意外影响；优先播发威胁级别高、影响严重的安全补丁。3、补丁检测：检测桌面计算机缺乏哪些安全补丁，为补丁播发提供基础数据，并适 当增加安装率低、影响严重的补丁播发频率。4、补丁分发与安装：将筛选、测试过的操作系统安全补丁播发到桌面计算机，桌面 计算机接收到播发的补丁后自动进行安装，使计算机安全补丁及时更新。5、补丁安装统计：统计补丁播发数量、补丁名称、补丁安装成功率、未安装补丁列 表等信息。补丁分发子系统 补丁分发子系统为桌面计算机提供系统补丁自动更新功能，通过及时下发桌面计算机操作系统安全补丁，减少操作系统存在的漏洞，提升桌面计算机安全性，降低通过利用已知漏洞进行的恶意入侵和攻击概率。中国石油

17、桌面安全管理建设方案23端点准入子系统 端点准入子系统为桌面计算机提供网络接入管理功能，能够阻止不合规桌面计算机接入网络，确保只有合规计算机才能接入到网络中，防止病毒和木马通过不合规计算机在网络内传播，使统一的安全策略落实到位。端点准入子系统主要包含以下功能：1、策略制定：制定桌面计算机准入策略，规定计算机要满足哪些要求才能够接入 到网络。策略制定完毕，下发到计算机执行。2、安全性检测：按照制定的准入策略对接入到网络的计算机进行检测，允许满足 策略要求的计算机接入网络。3、隔离修复：对于不满足策略要求的计算机进行隔离，计算机完成修复，满足策 略要求后才允许其接入网络。4、周期性检测：周期性对已

18、经接入网络的桌面计算机进行检测，一旦发现计算机 不合规，立即进行隔离，确保策略执行无漏洞出现。5、统计报告：按照设定条件生成统计信息报告。中国石油桌面安全管理建设方案24 电子文档保护为计算机用户提供计算机登陆管理、电子文档加密保护、文件输出审计、电子文档销毁管理、桌面健康检查功能。电子文档保护子系统在电子文档创建、使用、传输、销毁各个阶段提供管理和保护功能，密钥登陆管理功能解决计算机和电子文件的非授权使用问题，通过电子文件加密保护和删除文件销毁功能，能够解决机密数据意外泄露造成的安全问题。电子文档保护子系统中国石油桌面安全管理建设方案25 后台管理子系统主要提供计算机用户管理、配置策略管理、

19、安全审计及报警、数据查询和统计，日志统计与分析功能。通过配置策略管理功能，能够统一制定下发操作系统安全策略，计算机接收到策略后自动执行，修改默认的系统安全设置（IE设置、服务设置、默认账户、启动项等内容），解决默认系统配置不安全问题。对系统日志、电子文档访问日志等内容进行审计，通过日志审计发现问题。后台管理子系统中国石油桌面安全管理建设方案26 通过信息安全等级保护综合工作平台，能够实现定级、备案、整改、测评和检查等信息化管理工作，提升等级保护工作的效率和管理水平。建立完善的评价体系，对信息系统的安全性进行评价，对等级保护工作的安全效果进行评价，并形成专业决策库，为管理层进行等级保护工作的部署

20、提供决策。该平台主要包括：定级备案管理、建设整改管理、等级测评管理、安全检查管理、统计分析、基础数据管理。信息安全等级保护综合工作平台中国石油桌面安全管理建设方案27 在桌面安全管理系统的方案设计中，充分利用身份认证系统资源，将电子文档保护子系统与身份认证系统有效集成通过身份认证USBKey实现用户登录计算机认证和文件加密。中国石油桌面安全管理建设方案与身份认证系统的关系28选用适度集中部署方案在总部和区域中心部署系统服务器，各企事业单位原则上不部署服务器，除非特大型企业可以考虑部署相关服务器各企事业单位的桌面计算机均部署客户端软件部署方案中国石油桌面安全管理建设方案29防病毒子系统、补丁分发

21、子系统、端点准入子系统的策略部分共用一类服务器，总部部署防病毒服务器。各区域网络中心部署防病毒服务器。各企事业单位安全管理员完成防病毒客户端安装。病毒定义和系统安全补丁由总部防病毒服务器通过互联网获取，逐级下发，计算机从各个区域网络中心服务器升级病毒定义文件和系统安全补丁文件。端点准入子系统部署在区域网络中心各企事业单位的接入点。防病毒子系统、补丁分发子系统、端点准入子系统中国石油桌面安全管理建设方案30电子文档保护子系统总部部署电子文档保护服务器。电子文档保护服务器与身份认证系统同步用户密钥数据。中国石油桌面安全管理建设方案31后台管理子系统总部部署后台管理服务器、日志统计与分析服务器、计算

22、机病毒监测服务器、网络病毒检测设备；各区域网络中心部署后台管理服务器、网络病毒检测设备；各企事业单位安全管理员完成后台管理客户端安装；日志统计与分析服务器，用以对日志信息进行统计分析；数据存储设备，用于集中存储、防病毒子系统、后台管理子系统、电子文档保护的相关的日志信息；总部部署计算机病毒监测服务器用来收集防病毒服务器日志信息，监测桌面计算机病毒发作情况；网络病毒检测设备用来监测总部和各个区域网络中心网络内病毒发作情况。32信息安全等级保护综合工作平台总部部署信息安全等级保护综合工作平台服务器。信息安全等级保护综合工作平台，按照公安部要求定期向公安部提交信息系统等级保护工作相关信息。中国石油桌

23、面安全管理建设方案33桌面与安全管理与防护建设计划计划2010-2011年在集团公司143家单位进行实施工作。2011年5月完成，用时12个月、共分5个阶段完成：调研与分析、设计与招标、推广实施、集成开发、总结验收。中国石油桌面安全管理建设方案2010年2011年6月7月8月9月10月11月12月1月2月3月4月5月调研与分析调研与分析设计与招标设计与招标实施一期实施一期验收验收实施二期实施二期集成研发阶段集成研发阶段完成实施及验收完成需求分析报告完成测试报告方案设计总部及辽河、大连、大庆四个区域实施北京、兰州、西安、西南四个区域实施新疆、华东、华南三个区域实施完成功能开发实施三期实施三期34

24、 桌面安全管理项目作为中国石油的“十一五”信息技术总体规划中基础设施项目之一，为总部及所属企事业单位提供桌面安全管理与防护服务，项目覆盖总部及11个区域网络中心的143家企事业单位，涉及面广、工作量大，需要各地区公司和总部的大力支持与配合。中国石油桌面安全管理建设方案实施一期：2010.8-2010.11 总部及辽河、大连、大庆区域所属单位实施实施二期：2010.11-2011.2 北京、兰州、西安、西南区域所属单位实施实施三期：2011.2-2011.5 新疆、华东、华南区域所属单位实施35各企事业单位应发文要求统一安排本单位桌面安全管理系统实施工作，确保组织人员 培训、硬件设施、网络环境满

25、足方案要求；各企事业单位要指定负责部门和项目负责人，统一组织项目实施工作；每200台计算机配备一名客户端维护人员，该人员应具备基本的系统维护和桌面计算机病毒处理能力；安排专人参加管理员培训，负责本单位系统运行维护；组织下属单位，安排项目联系人，负责项目实施人员与本单位计算机用户的协调工作。实施工作要求中国石油桌面安全管理建设方案36二、中国石油桌面安全管理与防护建设方案二、中国石油桌面安全管理与防护建设方案一、中国石油桌面安全现状与需求分析一、中国石油桌面安全现状与需求分析三、终端计算机安全管理规范三、终端计算机安全管理规范目 录37 本标准规定了终端计算机的物理安全、运行安全、病毒防护、补丁

26、管理、网络准入控制、介质管理、监控审计和备份与恢复的基本要求。本标准适用于中国石油所属各企事业单位所有非涉密终端计算机。终端计算机安全管理规范38 主管部门应提供必要的场地安全措施，用户具有终端计算机的使用权和保管权。主管部门应负责终端计算机、存储设备的维修和回收工作。用户离开终端计算机应关闭电源，并将外接移动存储设备拔下并妥善保管。主管部门应将新购置的终端计算机做系统固有的脆弱性分析，排除潜在的安全隐患。物理安全终端计算机安全管理规范39终端计算机应安装正版操作系统和应用软件。主管部门应对本单位终端计算机实行注册管理，建立计算机用户信息库，进行实名制登记，记录MAC（物理地址）、IP（因特网

27、协议地址）、部门、联系方式，并对IP与MAC进行绑定。主管部门应对终端计算机软、硬件资产及变更信息进行管理。主管部门应对安全事件进行监控、报警和定位事件源头，并采取措施控制和处理。主管部门应收集、分析、整理本单位终端计算机端口、服务、进程、Web（网页）访问，形成本单位访问控制策略，用于管理用户对网络资源的访问。主管部门应收集、分析、整理本单位应用软件列表，推行终端计算机桌面标准化。用户应设置终端计算机密码，密码复杂性、长度、存留期应符合主管部门的要求。终端计算机应关闭Guest用户、系统默认共享和远程桌面，并设置系统自动锁屏。运行安全终端计算机安全管理规范40主管部门应建设本单位的防病毒系统

28、，并对终端计算机进行统一安装防病毒软件和更新病毒定义码。用户下载的文件应进行病毒扫描后使用。用户不应蓄意传播计算机病毒。用户不应蓄意安装具有扫描、攻击等恶意行为的黑客软件。补丁管理主管部门应建设本单位的补丁升级系统，并对终端计算机进行统一安装补丁升级软件和更新安全补丁。用户应在安全补丁发布后及时将安全补丁更新至最新。主管部门定期检查补丁升级情况，对于升级不成功的终端计算机，应进行升级处理。病毒防护终端计算机安全管理规范41主管部门应建立网络准入控制系统，并满足以下基本准入控制策略：1.杀毒软件运行检测；2.杀毒软件病毒库更新检测；3.补丁分发软件运行检测；4.安全补丁更新检测；5.软件防火墙运

29、行检测；6.用户非法外联其它网络检测。非中国石油员工未经主管部门允许，不应访问中国石油计算机网络 网络准入控制终端计算机安全管理规范42 终端计算机硬盘存储的重要文件应加密。软盘存储重要文件应加密。刻录机刻录重要文件应加密。移动硬盘、U盘应设置密码，存储重要文件应加密。用户不应将非工作存储介质连接到终端计算机。主管部门应建立监控和审计机制，记录输入输出、备份、删除、拷贝以及非工作时间段终端计算机操作的日志。主管部门应定期检查和审计访问日志，对可疑行为进行追踪，并通报和处理。用户应对终端计算机系统中重要数据进行加密备。备份内容防丢失、损坏、窃取。介质管理 监控审计 备份终端计算机安全管理规范43谢谢 谢！谢！