【文章內(nèi)容簡介】 安裝 防護(hù) 目前在 教育行業(yè) 的單位中，承載各種應(yīng)用的操作系統(tǒng) 90%以上的端終用戶使用的 都 是 windows2020,XP 或以上的操作系統(tǒng)，但是 這幾種 操作系統(tǒng)的安全漏洞非常多， 很容易收到攻擊。 微軟公司會通過定期發(fā)布安全補丁的方式來彌補這些漏洞，但由于 某些員工 用戶缺乏相關(guān)知識， 或者處于研發(fā)部門的設(shè)計網(wǎng)是和單位局域網(wǎng)物理隔離的網(wǎng)絡(luò)，從而 導(dǎo)致補丁安裝的不完全，不及時，這就會嚴(yán)重影響終端計算機的安全， 一旦發(fā)生針對微軟操作系統(tǒng)漏洞的攻擊，就會 導(dǎo)致 整個網(wǎng)絡(luò)受到威脅。 . 防病毒防護(hù) 員工 由于防范病毒意識較淡薄，沒有安裝防病毒軟件；或者由于個人對防病毒品牌的傾向性，從而發(fā)生 沒有安裝防病毒軟件 ，甚至意外卸載， 或防病毒軟件沒有運行，這樣不僅使單臺 PC 機受到病毒侵害，而且 一旦感染病毒，可能回向內(nèi)網(wǎng)的其他 機器傳播， 導(dǎo)致整個內(nèi)網(wǎng)病毒泛濫 ，甚至網(wǎng)絡(luò)擁塞。因此一定要保證防病毒軟件的安裝、正常運行、及時升級。 . 進(jìn)程防護(hù) 由于當(dāng)前大量病毒以及惡意程序的存在，而這些程序?qū)τ谄胀ㄓ脩舳圆⒉恢?，甚至有些惡意程序通過技術(shù)手段使得用戶無法通過任務(wù)管理器看到其工作進(jìn)程；另一方面，有些用戶可能有意或無意地運行一些可能會影響他人或自己工作的軟件 (如網(wǎng)絡(luò)嗅探器 )。 單位的機器目的是提高員工的生產(chǎn)效率，充分利用上班時間為單位創(chuàng)造更多效益，但是某些娛樂性軟件嚴(yán)重影響了員工的工作效率，某些下載軟件造成網(wǎng)絡(luò)速度減慢，影響了內(nèi)網(wǎng)的正常辦公。 因此通過制定策略，實現(xiàn)對非法 進(jìn)程的監(jiān)控并阻止，能夠大大減少由內(nèi)部引起的網(wǎng)絡(luò)安全事件 ，提高我們的工作效率 。 教育行 業(yè) 解決方案 169。 版權(quán)所有 圣博潤 第 XI頁 . 網(wǎng)頁過濾 某些員工訪問 Inter 時，由于安全防范意識不夠，登陸惡意網(wǎng)站，造成機器受到攻擊，從而產(chǎn)生病毒感染、機器不能正常使用，注冊表被修改、瀏覽器無法正常的訪問網(wǎng)絡(luò)；嚴(yán)重的甚至?xí)踩肽抉R，造成機器重要數(shù)據(jù)的網(wǎng)絡(luò)泄密。因此必須對內(nèi)網(wǎng)機器的網(wǎng)絡(luò)訪問進(jìn)行必要的過濾。 . 非法外聯(lián)防護(hù) 單位內(nèi)部的局域網(wǎng)會在網(wǎng)絡(luò)的出口上，增加相關(guān)的安全硬件防護(hù)設(shè)備，例如：防火墻、 IDS、 IPS、防病毒網(wǎng)關(guān)等設(shè)備來加 強邊界的防護(hù)，保證內(nèi)網(wǎng)的安裝。但是員工由于好奇，或者厭煩上網(wǎng)出口的種種限制，通過 Modem 或 ADSL 撥號方式訪問 Inter，極易受到外部網(wǎng)絡(luò)的攻擊；當(dāng)該機器一旦受到攻擊，回到內(nèi)網(wǎng)后 很 容易將相關(guān)病毒、木馬向內(nèi)網(wǎng)傳播 。 . 終端 涉密信息防護(hù) 在現(xiàn)代生活中，信息就是財富。無論是國家、政府、 學(xué)校 和個人都不希望機密 信息被別人竊取，造成各種經(jīng)濟(jì)和社會損失。對 教育行業(yè) 單位的設(shè)計、研發(fā)部門 來說，機密信息的存儲、使用和傳遞過程中，會面臨各種各樣的泄漏風(fēng)險。 信息外泄的途徑包括： ? 本地打印機 、網(wǎng)絡(luò)打印機的非法輸出涉密文件； ? 終端 計算機非法 撥號 、非法外聯(lián) 訪問； ? 離線存儲設(shè)備存儲涉密文件遺失； ? 內(nèi)部員工使用涉密計算機連接外部網(wǎng)絡(luò)致使泄密 ； ? 工作人員由于對計算機專業(yè)知識的不熟悉而泄密。 從泄密行為的區(qū)別上，分為兩種泄密：被動泄密和主動泄密。 被動泄密： 由于員工的 電子信息保密的意識還不強，常常由于專業(yè)知識不熟悉 或者工作疏忽 而 造成 泄 密。如有些人由于不知道計算機的電磁波輻射會泄露秘密信息，計算機工作時未采取任何措施，因而給他人提供竊密的機會 ； 有些人由于不知道計算機軟盤上的剩磁 可以提取還原，將曾經(jīng)存貯過秘密信息的軟盤交流 教育行 業(yè) 解決方案 169。 版權(quán)所有 圣博潤 第 XII頁 出去，因而造成泄密 ； 有些人因事離機時沒有及時關(guān)機，或者采取屏幕保護(hù)加密措施，使各種輸入、輸出信息暴露在界面上 ；有些人對自己使用的計算機終端缺乏防護(hù)意識，如沒有及時升級病毒庫和更新系統(tǒng)補丁，導(dǎo)致病毒和木馬的入侵，在不知不覺中泄露了機密信息。 主動 泄密： 這種情況是由于內(nèi)部員工出于個人利益或者發(fā)泄不滿情緒，有意識的收集和竊取機密信息。 由于電子信息文檔不像 傳統(tǒng)文檔那樣直觀，極易被復(fù)制，且不會留下痕跡，所以竊取秘密也非常容易。電子計算機操作人員徇私枉法，受親友或朋友委托，通過計算機查詢有關(guān)案情，就可以向有關(guān)人員泄露案情。計算機操作人員 被收買，泄露計算機系統(tǒng)軟件保密措施，口令或密鑰，就會使不法分子打入計算機網(wǎng)絡(luò)，竊取信息系統(tǒng)、數(shù)據(jù)庫內(nèi)的重要秘密。 對于 教育行業(yè) 單位 來說，涉密終端計算機作為涉密信息處理的工具，在其上存儲、傳輸和處理的涉密信息的安全性保護(hù)相當(dāng)重要。任何一個環(huán)節(jié)的疏漏均可導(dǎo)致涉密信息的丟失。因此，必須加強對涉密信息的防護(hù)。當(dāng)前，對涉密信息的防護(hù)需求主要包括如下幾個方面： . 終端登錄安全認(rèn)證 終端用戶當(dāng)前通過用戶名 /口令方式進(jìn)行計算機本地 /域登錄，然而用戶名 /口令方式雖然簡單，但是存在很大的安全隱患： ? 密碼管理復(fù)雜 ? 密碼容易泄漏 ? 存 在暴力破解的可能性 ? 無法阻止他人惡意非法盜用 因此，作為終端安全管理的第一步，首先需要解決終端登錄安全認(rèn)證的問題。 . I/O 接口管理 隨著 計算機外設(shè)的增多，各種各樣的輸出設(shè)備 （軟驅(qū)、刻錄機、打印機、繪圖儀、移動存儲設(shè)備、紅外、藍(lán)牙、無線網(wǎng)絡(luò)設(shè)備） 為信息處理和 傳輸 提供極大便利的同時，也為機密信息的擴散和泄露帶來了可能。尤其是 USB 接口的計算 教育行 業(yè) 解決方案 169。 版權(quán)所有 圣博潤 第 XIII頁 機周邊設(shè)備的豐富，使得計算機與其他外部設(shè)備，如 U 盤， USB 打印機等連接十分方便，并能輕而易舉地通過 USB 設(shè)備將外部數(shù)據(jù)導(dǎo)入或者內(nèi)部數(shù)據(jù)導(dǎo)出，為重要數(shù)據(jù)的保護(hù)帶來了巨大的安全隱 患。 . 桌面 文件 安全管理 作為數(shù)據(jù)最終處理的 計算機終端 ，存儲著大量的業(yè)務(wù)數(shù)據(jù)。由于 Windows操作系統(tǒng)默認(rèn)將數(shù)據(jù)以明文方式存儲于磁盤上，因此一旦其他未被授權(quán)用戶能夠進(jìn)入操作系統(tǒng)，都能非常方便地實現(xiàn)對磁盤數(shù)據(jù)的訪問和閱讀。 因此，如何確保數(shù)據(jù)信息在 計算機終端 的安全，也是 計算機終端 安全管理必須考慮的問題。 . 文件 安全共享管理 由于 計算機終端 大多使用 Windows 操作系統(tǒng)，而該操作系統(tǒng)安裝后即開放了部分共享目錄，同時由于許多用戶并未采用安全的訪問密碼，造成其他用戶能夠較為方便地通過遠(yuǎn)程網(wǎng)絡(luò)實現(xiàn)對他人網(wǎng)絡(luò)共享數(shù)據(jù)的訪 問。 因此嚴(yán)格控制終端的文件共享，尤其是涉密終端的文件共享，也是桌面系統(tǒng)安全管理的重要內(nèi)容。 同時，作為常見的文件共享，應(yīng)能提供安全的用戶身份認(rèn)證機制、完善的共享授權(quán)以及詳細(xì)的訪問日志信息。 . 網(wǎng)絡(luò) 外聯(lián) 控制 涉密 內(nèi)網(wǎng) 雖然 不與互聯(lián)網(wǎng)直接連接，但是內(nèi)部 人員 可能會 出于各種 原因通過Modem 撥號、 ADSL 上網(wǎng)、無線上網(wǎng)等技術(shù)手段將個人終端計算機接入互聯(lián)網(wǎng)。這種行為帶來的危害不僅包括內(nèi)部員工通過主動的郵件發(fā)送、即時通訊等手段將機密信息發(fā)送到內(nèi)網(wǎng)之外，也為內(nèi)網(wǎng)增加了來自互聯(lián)網(wǎng)上的攻擊和破壞的風(fēng)險，從而導(dǎo)致由互聯(lián)網(wǎng)入侵或者 木馬程序等方式造成內(nèi)網(wǎng)機密信息的被動泄密。 因此對終端 計算機的 網(wǎng)絡(luò)外聯(lián)控制 是 防泄密管理 的重要內(nèi)容之一。 教育行 業(yè) 解決方案 169。 版權(quán)所有 圣博潤 第 XIV頁 . 移動存儲介質(zhì)的管理 移動存儲介質(zhì)已經(jīng)得到普及應(yīng)用，移動存儲介質(zhì)使用靈活、方便，使它在 各個單位 的 信息化 過程中迅速得到普及，越來越多的敏感信息、秘密數(shù)據(jù)和檔案資料被存貯在移動存儲介質(zhì)里，大量的秘密文件和資料變?yōu)榇判越橘|(zhì)、光學(xué)介質(zhì)，存貯在無保護(hù)的移動存儲介質(zhì)中，這給 學(xué)校 涉及設(shè)計、研發(fā) 信息資源帶來相當(dāng)大的安全隱患。存儲介質(zhì)作為 學(xué)校 核心商業(yè)機密和敏感信息的載體，實現(xiàn)對它們安全、有效的管理是保證 學(xué)校 信息安全的重要手段 。 移動存儲介質(zhì)使用過程中常見的風(fēng)險包括： 1) 非法拷貝敏感信息和涉密信息到磁盤、 U 盤或其他移動存儲介質(zhì)中； 2) 學(xué)校 外部移動存儲介質(zhì)未經(jīng)授權(quán)在內(nèi)部使用； 3) 學(xué)校 內(nèi)部移動存儲介質(zhì)及信息資源被帶出，在外部非授權(quán)使用； 4) 使用過程的疏忽； 5) 存貯在媒體中的秘密信息在聯(lián)網(wǎng)交換時被泄露或被竊取，存貯在媒體中的秘密信息在進(jìn)行人工交換時泄密； 6) 處理廢舊移動存儲介質(zhì)時，由于磁盤經(jīng)消磁十余次后，仍有辦法恢復(fù)原來記錄的信息，存有秘密信息的磁盤很可能被利用磁盤剩磁提取原記錄的信息 —這很容易發(fā)生在對磁盤的報廢時，或存貯過秘密信息的磁盤，用戶 認(rèn)為已經(jīng)清除了信息，而給其他人使用； 7) 移動存儲介質(zhì)發(fā)生故障時，存有秘密信息的介質(zhì)不經(jīng)處理或無人監(jiān)督就帶出修理，或修理時沒有懂技術(shù)的人員在場監(jiān)督，而造成泄密； 8) 移動存儲介質(zhì)管理不規(guī)范，秘密信息和非秘密信息放在同一媒體上，明密不分，媒體介質(zhì)不標(biāo)密級，不按有關(guān)規(guī)定管理秘密信息的媒體，容易造成泄密； 9) 移動存儲設(shè)備在更新?lián)Q代時沒有進(jìn)行技術(shù)處理 ； 10)媒體失竊，存有秘密信息的磁盤等媒體被盜，就會造成大量的國家或 學(xué)校 秘密信息外泄，其危害程度將是難以估量的， 丟失造成后果非常嚴(yán)重 。 綜上所述，移動存儲介質(zhì)的管理對 教育行業(yè) 來說， 是一個必須關(guān)注的問題。 教育行 業(yè) 解決方案 169。 版權(quán)所有 圣博潤 第 XV頁 . 網(wǎng)絡(luò)接入控制 若不對接入網(wǎng)絡(luò)的計算機設(shè)備進(jìn)行認(rèn)證，則每一臺外來的計算機設(shè)備只要通過 涉密網(wǎng)內(nèi)的 任何一個端口連接，則整個網(wǎng)絡(luò)都將向其開放，這顯然對于 內(nèi)部 網(wǎng)絡(luò) 安全 而言是巨大的安全隱患。 因此，需要對計算機終端的接入進(jìn)行有效的監(jiān)視和控制。通過提取接入計算機的物理特征，可以判斷該計算機是否為 學(xué)校 內(nèi)網(wǎng)上授權(quán)接入的計算機，如果為非授權(quán)計算機，則視為非法主機。對非法主機需要采取必要的方式進(jìn)行阻斷和隔離，從而保證該計算機無法訪問內(nèi)網(wǎng)的相關(guān)資源。 另外，對于內(nèi)網(wǎng)授權(quán)使用的計算機，任何一臺感染了病毒和木馬， 管理人員也無法及時定位和自動阻斷該計算機的破壞行為。往往需要花費很長的時間才能判斷和定位該計算機，然后再通過手動的方式斷網(wǎng)。對安全強度差的終端計算機缺乏有效的安全狀態(tài)檢測和內(nèi)網(wǎng)接入控制， 也 是 內(nèi) 網(wǎng) 管理人員比較頭疼的問題之一。 要想對此類計算機進(jìn)行接入的控制，首先應(yīng)該對計算機的安全狀態(tài)能夠?qū)崟r掌握，例如病毒庫的升級情況和操作系統(tǒng)補丁的修補情況等。只有掌握了計算機的安全狀態(tài)，才能根據(jù)其安全狀態(tài)判斷是否應(yīng)該對其進(jìn)行阻斷和隔離。 . 計算機終端 管理與 維護(hù) 對于 教育行業(yè) 單位 龐大的網(wǎng)絡(luò)和眾多的終端計算機 來說 ，依靠傳統(tǒng)的資產(chǎn)登記 管理辦法，根本無法做到對計算機配置信息的準(zhǔn)確掌握，對計算機配置的變化也無法及時跟蹤。例如，要準(zhǔn)確掌握每臺計算機的軟硬件配置信息，通過手工方式將是非常耗時和繁瑣的工作。要想實時并準(zhǔn)確地掌握內(nèi)網(wǎng)終端計算機的配置狀況與配置變更狀況，必須通過技術(shù)手段和工具來輔助實現(xiàn)，才能有效節(jié)省成本和資源，提高內(nèi)網(wǎng)管理的效率。 另外 ， 由于 終端計算機的數(shù)量眾多，管理人員 也 無法實時掌握每臺終端計算機的運行狀態(tài)。當(dāng)終端計算機出現(xiàn)故障需要維護(hù)時，管理人員如果采用現(xiàn)場維護(hù)的方式，一方面增加了人力成本，另外由于人力資源有限，也無法保證維護(hù)的及時性。如何實時監(jiān)視終端計算機的運行狀況，并且方便地對終端計算機進(jìn)行遠(yuǎn)程維護(hù)，是 教育行業(yè) 單位 網(wǎng)絡(luò) 管理人員迫切需要解決的問題。 教育行 業(yè) 解決方案 169。 版權(quán)所有 圣博潤 第 XVI頁 . 分級分權(quán)管理 內(nèi)網(wǎng)安全管理系統(tǒng) 作為一個計算機終端防護(hù)、檢測、維護(hù)和工具，其特點是管理的計算機數(shù)量眾多。管理這么多的計算機，依靠某一位管理員是不現(xiàn)實的，另外，如果 學(xué)校 的部門設(shè)置較為復(fù)雜，分支機構(gòu)多，則會加劇管理的難度。因為一個管理員不可能了解所有計算機終端用戶的計算機使用細(xì)節(jié)，所以對管理的深度和強度無法把握。 由于以上的原因，對以一個大型 學(xué)校 ，從科學(xué)