政务终端安全管理的三个视角
站在信息技术管理部门角度,以终端生命周期、国家法规和标准、厂商产品三个视角对政务终端安全管理进行考量。总结出以终端生命周期为全局视图,以分级保护等级保护标准为基本要求,灵活选择各种安全产品和安全措施,建立整体的终端安全管理体系,并在运行中不断完善和优化。
一、政务终端的生命周期
在信息安全工作中,一般采用PDR(保护、检测和响应)、PPDR(安全策略、保护、检测和响应)、PDRR(保护、检测、响应和恢复)、MPDRR(管理、保护、检测、响应和恢复)和WPDRRC等动态可适应安全模型,指导信息安全实践活动。在终端安全中也是重要的参考模型。
政务终端管理的全局视图最自然的表达方式是生命周期视图,政务终端的生命周期分为四个阶段:注册与初始化、运行、变更和注销,如下图:
(一)注册与初始化
终端首先要在企业架构LDAP或者域等注册,严格一点的是使用CA-Key来进一步提高安全性。在注册阶段,填写如注册登记表。注册终端是赋予终端网络属性,根据需要可以进行绑定,一般和责任人一起的LDAP目录结构中。注册后形成资产,进入CMDB库。
初始化一是配置准入和访问控制,准入控制点如交换机端口控制、VLAN、防火墙策略等。二是实施终端安全基线,安装安全软硬件,安装应用软件,安全软件注册(在线、离线),设置安全策略(在线、离线);安全软件还有实现数据安全的工具集。
(二)运行管理与控制
终端注册和初始化完成后,每次开机都进入一次运行状态,这一阶段要进行动态的管理和控制。可以参考PPDR模型等,将运行过程中的身份认证、安全检查与修复、安全监控及处置等过程。
开机之后,首先是准入规则,判断终端是否合法合规。合法即可信,是指终端身份经过验证,属于已经注册的终端,合规即可靠,是指终端安全基线合格(如果有新的安全策略自动升级后进入系统)、网络环境是否可靠,不合规需要进行修复。
运行中,需要对终端用户的操作进行监控,监控上网、文件处理等各类操作行为,把那个记录审计日志,如果有不合规的操作进行告警(前台、后台),严重的要及时控制阻断(技术和管理手段)。
(三)变更管理
变更管理一类是更改主要配置,如IP地址等影响了绑定关系的操作。另一类涉及到的是更换硬盘等,需要重装系统,等于是重新执行初始化操作。
(四)撤销终端
当终端所对应的用户离开单位、更换旧电脑等需要进行的操作,如果终端报废的话需要进行销毁处理(对于涉密电脑需要到专门的销毁机构),如果另做他用,使用介质清除工具进行操作。
除了终端生命周期这条明线外,还存在信息载体生命周期这条暗线,尤其是对移动存储介质的管理是终端安全管理的一个重点,达到的效果将是:进不来:非内部介质接入内部计算机不能使用;拿不走:内部介质接入非内部计算机不能使用;读不懂:数据以密文形式存储在介质上,非授权用户不能解密,内部介质丢失不会泄密;改不了:数据在内部介质上存储后,非法用户无法更改数据内容;走不脱:详细的内部介质使用日志可追踪。
二、 安全计算环境与终端安全基线视角
网络安全等级保护基本要求中,安全计算环境(等保1.0中的主机安全)包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等对象,涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。
在终端管理中,有一个安全基线的概念,安全基线实际上是定义了一组核心配置要求及配置型,包括操作系统配置管理、操作系统审计、应用软件配置管理、安全防护软件配置管理等方面,通过配置项对系统安全进行加固。这些配置项可以通过相应的工具转成格式化(如组策略文件)安全基线包和校验,通过自动化工具部署及监测。
2010年5月,微软公司与国家信息中心签订《中国政务终端安全核心配置》合作备忘录,微软提供技术支持,2014年初,国家标准《信息安全技术 政务计算机终端核心配置规范》(GB/T 30278-2013)颁布实施。2016年,北京信息安全测评中心牵头编制了国家标准GB/T 32925-2016《信息安全技术政府联网计算机终端安全管理基本要求》。
也就是说,终端安全基线可以作为等级保护要求的实现方式之一。组织根据等级保护及内部管理实际制定安全要求,明确配置项集合构成安全基线。通过建立一个涵盖等级保护管理要求的安全基线,定期对安全基线进行度量和控制,形成等级保护长效管理机制。而且,信创终端在网络安全上有先天的优势,更容易构建符合等级保护要求的终端安全基线。
此外,ITIL/ITSM是业界IT服务标准,ITIL提供了大量的最佳实践体现在一堆流程中,和FDCC是安全基线比较配合,尤其是ITIL 可视化服务台。
三、政务终端安全管理的产品视角
通过上述两个视角,对终端管理已经非常清楚,对于传统比较小的几十个windows终端的,可以采用windows域方式,安装几个安全防护软件,配合excel表格就可以基本完成安全管理。
但是到一个大的网络中,终端数量较多,尤其当前面对普通windows(也有不同年限,版本的产品)、自主可控、手机平板以及哑终端各种类型多样化终端,管理模式也需要分级管理,简单的域模式就不能适用了。需要合理选择商业产品的支持解决一定规模的党政机关内网终端管理复杂性、多样性。各厂商根据国家相关法规标准,结合自己对业务需求的理解,提出了很多的方案,通过规范、管理和审计内网终端的安全状态和用户行为,保证所有终端均被合法合规的使用。全网安全策略执行情况可感知可视化,有能力进行事前的预防和事后的追查,有效防止病毒爆发、违规操作、信息泄露及其它不可预见的威胁,实现IT管理的自动化、可视化和智能化。
安全产品一般采用B/S架构,在终端上安装Agent代理,通过管理平台集中管理和统一配置,终端代理上报系统信息状态信息和日志,接收管理平台下发的安全策略。
值得注意,安全产品需要进行相应的检测,病毒防护类要获得公安部销售许可证,安全保密类的就由国家保密科技测评中心进行检测。
对于普通政务终端,配备主机监控审计系统(配置管理、存储介质管理、审计和补丁分发)和杀病毒软件可以满足基本的终端安全管理要求。对于涉密终端,不同之处是强制要求部署保密三合一系统,即将主机监控审计的监控和管理功能独立出来,有的还将配置管理独立出来,但是基本功能组合相似。
实施产品时,对照策略要求文档,将可以自动完成的标识出来,不能自动完成的,尽量采用自动化的脚本和第三方工具进行覆盖。可以以某一个安全产品为核心(一般是主机监控审计系统),进行二次开发,整合多个软件信息,提供可视化和智能化的特性,逐渐完善就是产品的应用之路。
政务终端安全管理的三个视角相关推荐
- 终端安全管理措施三:管理与技术并举
技术无论多成熟和先进都是为人所用,为人服务的,技术的好与坏在非常大的层面上都取决于使用者,这也就是说技术本身并无偏向性,但有了使用者的存在,技术就成了一把双刃剑.所以在注重技术管理的同时,人们也一直对 ...
- 威胁情报大会直击 | 企业IT部王森:腾讯企业终端安全管理最佳实践
8月29日,2018网络安全分析与情报大会在北京新云南皇冠假日酒店正式开幕,本次大会由国内威胁情报领军企业微步在线主办,十数位来自政府.央企.金融.互联网等一线公司的安全专家将对威胁情报的落地应用进行 ...
- 大型企业计算机终端安全管理现状与策略分析
1.大型企业计算机终端安全管理现状 1.1身份识别 1.1.1个人电脑口令设置 未要求设置无开机密码和硬盘口令验证,开机后只要直接输入正确的管理员用户名和密码即可进行认证登陆电脑,接入公司网络.用户名 ...
- 终端安全管理:守住最后的堡垒
终端安全管理:守住最后的堡垒 互联网的迅猛发展,使信息时代的重要信息载体--电脑,面临着越来越恶劣的应用环境,蠕虫.***.冲击波等病毒层出不穷,时刻威胁着电脑安全,使得电脑出现运行缓慢.应用程序 ...
- 每天只要8分钱 瑞星企业终端安全管理系统软件SOHO版全面保护小微企业安全
许多关心企业信息安全的朋友心里可能都有一个疑问,博主也不例外,那就是国家现在正大力发展小微企业,我国小微企业的总体发展势头也不错.但在普遍实行企业电子化.互联网化的今天,面对来势汹汹的互联网安全隐患, ...
- 生产系统支撑终端故障处理的三个误区
生产系统支撑终端故障处理的三个误区 目前生产系统支撑主要分为:需求应用解决方案提供.楼层和终端网络管理.系统管理和生产配置.故障响应和处理四个部分, 其中需求应用解决方案作为产品提供者,而系统管理和生 ...
- 终端安全管理是什么?终端安全和网络安全有什么差别...
终端安全管理是一系列内嵌的规则和策略,包含内嵌的法律.法规等,以及每个用户的权限和角色,他们定义了连接到业务网络的每个设备必须遵守的安全级别.授权范围.操作权限等. 这些规则.策略.权限和角色,可能包 ...
- 终端安全管理有什么优势和价值?
终端安全管理是一种算法软件,它制定了一种机制来保护终端(计算机)的网络和系统数据安全,并通过这种机制严格保护终端计算机.它可以识别终端计算机可能遇到的安全风险,并建立相应的终端风险系统来安全管理终端计 ...
- Secospace TSM 终端安全管理系统概述
信 > 产品中心 > 安全产品 (数通旧资料) > Secospace TSM 终端安全管理系统 Secospace TSM 终端安全管理系统概述 在现代企业环境下,企业由于终 ...
- deskvideosys终端安全管理软件主要功能介绍
deskvideosys终端安全管理软件以提高终端系统安全,降低终端运维工作量为准则,规范用户桌面终端行为,满足企事业桌面终端管理,运维管理,IT资产管理,软件管理,系统管理,设备管理,补丁管理,移动 ...
最新文章
- 单片机C语言知识用法之,单片机C语言知识用法之define
- 微服务架构,多“微”才合适?
- 777后无效 执行chmod_厉害了!南航777机队和南航空姐在人民大会堂接受表彰!
- BZOJ#3786. 星系探索(平衡树,fhq-treap,弱化版ETT)
- 损失函数的意义和作用_损失函数的可视化:浅论模型的参数空间与正则
- kvm虚拟机安装esxi服务器,VMware vSphere虚拟机迁移至KVM virt-v2v方案
- 线性支持向量机与软间隔最大化
- 【认知无线网络】认知无线网络基础知识学习
- 汇总3种获取水系数据的途径
- 使用js替换数组中元素
- 在VT上搜索恶意软件
- PAT Deepest Root
- matlab 梳妆函数,梳状函数.PPT
- 大话电脑(转自知乎Jeffersli)
- PHP之微信头像加水印
- 开发人员不可不看的 OBD通讯协议知识
- Windows副屏调整任务栏不同
- Nacos作为配置中心,bootstrap.properties没有生效
- Mac系统好的修图软件,收藏有备无患
- JAVA匿名内部类(Anonymous Classes)