爱华网云南移动公司 终端安全运行
信息安全中心
2014年12月
云南移动终端安全
安全概述
安全威胁
安全配置 用户安全职责 终端标准化的意见和操作建议
2
安全概述
在日常的生产生活中,移动公司会涉及五类终端,即生产终端、办公终端、业务 终端、开发测试终端和临时接入终端。
3
安全概述
终端安全重要性
1、首先,对于一个网络来说80%以上的安全事件来自于终端。 2、其次,在企业内部至少有90%的员工需要每天使用终端计算机。 3、最后,终端使用者的水平参差不齐。
电脑崩溃、网络瘫痪
重要数据丢失破坏
内
病毒 员工误操作 P2P、在线视频 DOS & DDOS攻击
移动存储 病毒
移动存储木马 人为泄密
外来威胁层
网
内网随意接入 数据未加密保存 IP管理混乱 数据共享权限混乱 操作系统漏洞 数据外泄渠道通畅 内网访问不受控
管理手段层
安全制度缺失 制度执行不力
内部监管与审计不力
制度执行层
4
云南移动终端安全
安全概述
安全威胁
安全配置 用户安全职责 终端标准化的意见和操作建议
5
安全威胁
终端安全威胁 终端免疫
恶意代码
木马
病毒 蠕虫 其它
终端安全管控
终端接入威胁
身份鉴别 非法接入 违规资源利用 无法绑定唯一 IP-MAC-用户
IT支持
终端安全控制
终端密码问题 违规恶意进程 违规服务 恶意流量 共享文件 漏打补丁 注册表篡改 ARP病毒、欺 骗、攻击 网络管理、备 忘表
终端泄密控制
非法外联 移动存储 泄密、病毒 文档泄密
桌面合规管理
资产滥用 外设硬件滥用 软件安装管理 终端运行监控 IP管理、记录 表
6
安全威胁
手段和措施 终端免疫
恶意代码查杀
木马
病毒 蠕虫 其它
终端安全管控
终端准入控制
身份认证 网络准入 应用准入 客户端准入 第三方联动 终端强制修复
IT支持
终端安全控制
口令控制
进程控制 服务控制 流量控制 共享控制 补丁管理 注册表保护 安全状态检测 ARP欺骗防御
终端泄密控制
非法外联监控 移动存储管理 文档防泄密
终端审计
文件共享审计 上网行为审计 邮件审计 移动存储审计
桌面合规管理
资产管理 外设管理 软件安装管理 软件分发 终端运行监控 远程维护 IP管理
网络共享审计
打印审计 注册表审计 终端操作审计
网络管理
7
云南移动终端安全
安全概述
安全威胁
安全配置 用户安全职责 终端标准化的意见和操作建议
8
安全配置-账号管理
?按照用户类型分配账号:根据实际业务情况和系统要求,设定不同的账户和账户组,管理员用
户,数据库用户,审计用户,来宾用户等。
进入“控制面板->管理工具->计
算机管理->系统工具->本地用户和
远程登陆 组” 新建用户和
用户组。 审批
接入审批 ? 系统无效账户清理: 及时删除或锁定与设备运行、维护等与工作无关的账号,可以提高系统安全
性
进入“控制面板->管理工具->
计算机管理->系统工具->本地用户 和组”。
9
安全配置-账号管理
重命名管理员账号:对于管理员帐号,要求更改缺省帐户名称,禁用guest(来宾)帐号,提高
系统安全性
进入“控制面板->管理工具->计算机管 理->系统工具->本地用户和组”。 Administrator->属性-> 重命名
远程登陆 审批
禁用Guest账户:禁用guest(来宾)帐号,可以提高系统安全性
接入审批
进入“控制面板->管理工具->计算机 管理->系统工具->本地用户和组”。 Guest帐号->属性-> 账户已禁用
10
安全配置-账号管理
合理设置密码策略,可以减少密码安全风险,防止系统弱口令的存在。对于采用静态口令认证技术的设 备,口令长度至少8位,且密码规则至少应采用字母(大小写穿插)加数字加标点符号(包括通配符)的方
式
配置 密码策略
配置 账户锁定策略
设置有效的账户锁定策略有助于防止攻击者猜出系统账户的密码
11
安全配置-终端访问控制
远程系统强制关机
?目的:将远端系统强制关机 只指派给Administrators组, 防止远程用户非法关机 ?配置操作:本地安全策略-> 本地策略->用户权利指派->从 远程系统强制关机,设置为 “只指派给Administrators组”
关闭系统
? 将关闭系统仅指派给 Administrators组,防止其 他用户非法关机。 ?本地安全策略->本地策略>用户权利指派->从远程系统 强制关机,设置为“只指派 给Administrators组”
取得文件所有权
?将取得文件所有权仅指派给 Administrators,防止用户非法 获取文件 ?本地安全策略->本地策略->用 户权利指派->取得文件或其它
对象的所有权,设置为“只指派
给Administrators组”
12
安全配置-终端访问控制
从本地登陆此计算机
?目的:指定授权用户允许本地登陆此计算
取得文件所有权
?目的:只允许授权帐号从网络访问(包括网络 共享)此计算机,防止网络用户非法访问主机 ?配置操作:控制面板->管理工具->本地安全 策略->本地策略->用户权利指派”“从网络访 问此计算机”设置为“指定授权用户”
机,防止用户非法登录
?配置操作: 控制面板->管理工具->本地安 全策略->本地策略->用户权利指派” “从 本地登陆此计算机”设置为“指定授权用户”
13
安全配置-日志审核策略
设置审核策略,可以记录系统重要的事件日志,设备应配置日志功能,对用户登录进行
记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用
户使
用的IP地址。
14
安全配置-日志记录
优化系统日志记录,防止日志溢出。设置应用日志文件大小至少为8192KB,设置当达到
最大的日志尺寸时,按需要覆盖事件
设置: 日志大小设置不小于“ 8192KB ” ,
安全日志
当达到最大的日志尺寸时选择按需要覆盖事件
系统日志
应用日志
15
安全配置-屏幕保护和共享设置
非域环境中,关闭Windows 硬盘默认共享,例如C$,D$, 提高系统安全性能 设置共享文件夹只允
默认 共享
默认共 享设置
访问 权限
许授权的账户拥有权 限共享此文件夹,防 止用户非法访问
访问权 限设置
安全设置
挂起时 间设置
设置带密码的屏幕保护,
屏幕 保护
并将时间设定为5分钟,防 止管理员忘记锁定机器被 非法攻击 设置Microsoft网络服务器 挂起时间,防止管理员忘
挂起 时间
屏幕保 护设置 16
记锁定机器被非法利用
安全配置-补丁管理
目的
修复系统漏洞,安装最新的 Service Pack补丁集;对服 务器系统应先进行兼容性测 试。
配置操作
进入“http://10.168.45.108” ->补丁操作系统->完全自 动配置文件/可自定义配置文件
补丁 管理
17
安全配置-病毒查杀
安装统一杀毒软件并实时更新 病毒木马应急预案 定期终端安全检查
安装、更新杀毒软件
目的:
? 统一安装诺顿防病毒软件,及时更新版本和病毒库,提高系统防病毒能力。
配置操作
? 从EIP系统安装“http://eip.yncmcc.com/wps/myportal” ->软件专区->诺顿防病毒软件下载、安 装防病毒软件,并将病毒库更新到最新的版本。 ? 无法访问EIP系统安装操作:“-> Symantec Endpoint Protection ->点击进入 http://10.168.45.108”下载、安装防病毒软件,并将病毒库更新到最新的版本。
18
安全配置-病毒查杀
数据执行保护配置
目的:
提高系统抵抗非法修改文件的性能;
Windows操作系统程序和服务启用 系统自带DEP功能防止在受保护内 存位置运行有害代码。
配置操作: 进入“控制面板->系统”,在“高级”选项卡 的 “性能”下的“设置”。进入 “数据执行保护” 选项卡。设置为“ 仅为基本 Windows 操作系统
程序和服务启用DEP”。
19
云南移动终端安全
安全概述
安全威胁
安全配置 用户安全职责 终端标准化的意见和操作建议
20
安全职责-终端准入
安全项
管理层
安全管理人员
安全技术人员
系统维护人员
员工
身份认证
网络准入 应用准入 客户端准入 第三方联动 终端强制修复
需要关注 无需关注 无需关注 无需关注 无需关注 无需关注
需要关注 需要关注 需要关注 无需关注 需要关注 无需关注
需要关注 需要关注 需要关注 需要关注 需要关注 需要关注
需要关注 无需关注
无需关注 无需关注 无需关注 需要关注
需要关注 无需关注 无需关注 无需关注 无需关注 无需关注
21
安全职责-终端安全控制
安全项
管理层
安全管理人员
安全技术人员
系统维护人员
员工
口令控制 进程控制 服务控制 流量控制 共享控制 补丁管理 注册表保护 安全状态检测 ARP欺骗防御
需要关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注
需要关注 需要关注 无需关注 无需关注 无需关注 无需关注 无需关注 需要关注 无需关注
需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注
需要关注 无需关注 需要关注 无需关注 无需关注 需要关注 需要关注 无需关注 无需关注
需要关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注
22
安全职责-终端泄密控制
安全项
管理层
安全管理人员
安全技术人员
系统维护人员
员工
非法外联监控
无需关注 无需关注 需要关注
需要关注 需要关注 需要关注
需要关注 需要关注 需要关注
无需关注 需要关注 无需关注
无需关注 无需关注 无需关注
移动存储管理
文档防泄密
23
安全职责-终端审计信息
安全项 文件共享审计 上网行为审计 邮件审计 移动存储审计 网络共享审计 打印审计 注册表审计 终端操作审计
管理层
安全管理人员
安全技术人员
系统维护人员
员工
需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注
需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注
无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注
无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注
无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注
24
安全职责-桌面合规管理
安全项 资产管理 外设管理 软件安装管理 软件分发 终端运行监控 远程维护 IP管理
管理层
安全管理人员
安全技术人员
系统维护人员
员工
无需关注
无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注
需要关注
需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注
需要关注
需要关注 需要关注 需要关注 需要关注 需要关注 需要关注 需要关注
无需关注
无需关注 需要关注 需要关注 无需关注 需要关注 无需关注 无需关注
无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注 无需关注
网络管理
25
云南移动终端安全
安全概述
安全威胁
安全配置 用户安
全职责 终端标准化的意见和操作建议
26
终端标准化建议
按业务、按部门、按职责划分终端组。
定制终端组应用软件、服务、端口标准。
制定终端组合规准则。
审计制度应用情况。
改进制度
循环上述过程,完善制度。
27
合规性建议
建立软件和进程的黑、白、红名单
建立IP、MAC、用户资产对照表
建立移动存储设备使用规范
添加准入控制手段
建立口令制定准则
建立补丁、病毒库升级准则 建立审计机制
28
