网络终端计算机安全管理培训.ppt

《网络终端计算机安全管理培训.ppt》由会员分享，可在线阅读，更多相关《网络终端计算机安全管理培训.ppt（128页珍藏版）》请在三一办公上搜索。

1、终端安全运行讲义,终端安全运行讲义,版本信息：版本号：1.0.0 更新时间：2008-10-28编者信息：房仲阳 中国移动辽宁公司网络部 电话：13889888988-2208 邮箱：,培训要求：该课程主要介绍网络与信息安全基础知识培训对象：面向管理层、安全管理人员、安全技术人员、系统维护人员、及普通员工，共5类人员培训时间：3小时左右培训侧重点：本教材针对5类人员的培训内容并无差别,课程目的,了解windows系统的设计原理了解终端系统的安全特性能够对终端系统进行安全配置授课方式：讲解、演示,目录,终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户

2、安全职责终端接入要求终端标准化的意见和操作建议,终端的定义及分类,什么是终端？,终端，即计算机显示终端，是计算机系统的输入、输出设备。计算机显示终端伴随主机时代的集中处理模式而产生，并随着计算技术的发展而不断发展。迄今为止，计算技术经历了主机时代、PC时代和网络计算时代这三个发展时期，终端与计算技术发展的三个阶段相适应，应用也经历了字符哑终端、图形终端和网络终端这三个形态。,终端的定义及分类,终端的分类,终端的分类：目前常见的客户端设备分为两类：一类是胖客户端，一类是瘦客户端。那么，把以PC为代表的基于开放性工业标准架构、功能比较强大的设备叫做“胖客户端”，其他归入“瘦客户端”。瘦客户机产业的

3、空间和规模也很大，不会亚于PC现在的规模。,终端的定义及分类,技术层面,数据处理模式将从分散走向集中，用户界面将更加人性化，可管理性和安全性也将大大提升；同时，通信和信息处理方式也将全面实现网络化，并可实现前所未有的系统扩展能力和跨平台能力。,终端的定义及分类,应用形态,网络终端设备将不局限在传统的桌面应用环境，随着连接方式的多样化，它既可以作为桌面设备使用，也能够以移动和便携方式使用，终端设备会有多样化的产品形态；此外，随着跨平台能力的扩展，为了满足不同系统应用的需要，网络终端设备也将以众多的面孔出现：Unix终端、Windows终端、Linux终端、Web终端、Java终端等等。,终端的定

4、义及分类,应用领域,字符哑终端和图形终端时代的终端设备只能用于窗口服务行业和柜台业务的局面将一去不复返，网上银行、网上证券、银行低柜业务等非柜台业务将广泛采用网络终端设备，同时网络终端设备的应用领域还将会迅速拓展至电信、电力、税务、教育以及政府等新兴的非金融行业。,终端的定义及分类,终端安全的重要性,1、首先，对于一个网络来说80%以上的安全事件来自于终端。2、其次，在企业内部至少有90%的员工需要每天使用终端计算机。3、最后，终端使用者的水平参差不齐。,透过现象看本质,本章回顾,什么是终端终端安全在网络安全的地位终端所面临的风险,目录,终端安全概述终端系统安全性终端体系构架终端安全威胁终端安

5、全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议,TCSEC 安全等级,基于C2级标准的安全组件,灵活的访问控制-要求允许对象的属主能够完全控制谁可以访问这个对象及拥有什么样的访问权限。对象再利用-Windows 很明确地阻止所有的应用程序访问被另一应用程序占用的资源（比如内存或磁盘）。强制登陆-Windows 用户在能访问任何资源前必须通过登陆来验证他们的身份。因此，缺乏这种强制登陆的NT要想达到C2级标准就必须禁止网络功能。审计-因为Windows 采用单独地机制来控制对任何资源的访问，所以这种机制可以集中地记录下所有的访问活动。控制对象的访问-Wind

6、ows 不允许直接访问系统里的资源。,系统漏洞导致的损失,2004年，Mydoom所造成的经济损失已经达到261亿美元。2005年，Nimda电脑病毒在全球各地侵袭了830万部电脑，总共造成5亿9000万美元的损失。2006年，美国联邦调查局公布报告估计：“僵尸网络”、蠕虫、特洛伊木马等电脑病毒给美国机构每年造成的损失达119亿美元。2007年熊猫烧香造成巨大损失。2008年磁碟机造成熊猫烧香10倍损失。,本章回顾,系统安全等级划分的几大标准windowsXP、windows2003所处的安全等级,目录,终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端

7、用户安全职责终端接入要求终端标准化的意见和操作建议,Windows系统构架(仅以NT示意)XP VISTA,服务管理器,服务进程,系统支持进程,本地安全验证服务,Windows登录,会话管理器,应用程序,环境子系统,Svchost.exe,Winmgmt.exe,Spooler,Services.exe,任务管理器,Windows浏览器,用户级应用程序,子系统动态链接库,OS/2,POSIX,Win32,系统服务调度进程,核心可调用接口,I/O设备管理器设备、文件驱动程序,对象管理器,虚拟内存管理器,进程和线程管理器,注册表配置管理器,NTdll,dll,Win32UserGDI图形驱动,HA

8、L（硬件抽象层）,Micro kernel,安全引用监视器,进程和线程,什么是进程？代表了运行程序的一个实例每一个进程有一个私有的内存地址空间什么是线程？进程内的一个执行上下文进程内的所有线程共享相同的进程地址空间每一个进程启动时带有一个主线程运行程序的“主”函数可以在同一个进程中创建其他的线程可以创建额外的进程,系统进程,基本的系统进程System Idle Process这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间smss.exe 会话管理子系统，负责启动用户会话csrss.exe 子系统服务器进程winlogon.exe 管理用户登录service

9、s.exe 包含很多系统服务lsass.exe 本地安全身份验证服务器 svchost.exe 包含很多系统服务SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)explorer.exe 资源管理器internat.exe 托盘区的拼音图标,附加的系统进程,mstask.exe 允许程序在指定时间运行。(系统服务)regsvc.exe 允许远程注册表操作。(系统服务)winmgmt.exe 提供系统管理信息(系统服务)。inetinfo.exe 通过Internet 信息服务的管理单元提供信息服务连接和管理。(系统服务)tlntsvr.exe 允许远程用户登录到系统并且使用命

10、令行运行控制台。(系统服务)dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)。,系统进程树,安全的元素,安全标识符SID：综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。一个SID：S-1-5-163499331-18283675290-12989372637-500访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。安全描述符安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表 访问控制列表包括DACL和SACL，灵活访问控制列表里记录用户和组以及它们的相关权限。系统访

11、问控制列表包含为对象审计的事件。,安全的元素,安全标识符SID：综合计算机名字、当前时间、以及处理当前用户模式线程所花费CPU的时间所建立起来的。一个SID：S-1-5-163499331-18283675290-12989372637-500访问令牌访问令牌是由用户的SID、用户所属于组的SID、用户名、用户所在组的组名构成的。安全描述符安全描述符是由对象属主的SID、组SID，灵活访问控制列表以及计算机访问控制列表 访问控制列表包括DACL和SACL，灵活访问控制列表里记录用户和组以及它们的相关权限。系统访问控制列表包含为对象审计的事件。,S表示该字符串是SID,SID的版本号，对于win

12、2k来说，是1,标志符的颁发机构，对于win2k的帐户，颁发机构就是NT，值是5,表示一系列的子颁发机构,最后一个标志着域内的帐户和组,windowsNT安全模型,Logon process,SAM,User Account Database,Security Policy Database,LSA,Audit log,Win32 subsystem,Security Reference Monitor,User mode,Kernel mode,Security policy,Audit message,Win32 application,windowsNT安全模型,Logon proces

13、s,SAM,User Account Database,Security Policy Database,LSA,Audit log,Win32 subsystem,Security Reference Monitor,User mode,Kernel mode,Security policy,Audit message,Win32 application,使用户登陆生效 生成安全访问令牌 管理本地安全策略 记录SRM审核消息产生的事件日志,负责SAM数据库的控制与维护,防止大部分用户和进程对对象的直接访问 根据本地安全策略的审核策略生成审核信息,用户登录认证过程,本章回顾,什么是线程？什么是

14、进程？什么是进程树？,目录,终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议,终端安全关注点,终端免疫,终端安全管控,IT支持,资产滥用,终端运行监控,外设硬件滥用,软件安装管理,IP管理、记录表,网络管理、备忘表,桌面合规管理,AV,A-Other,A-SPY,A-Phishing,恶意代码,终端管理的一些必要手段和措施,终端免疫,终端安全管控,IT支持,资产管理,软件分发,终端运行监控,外设管理,软件安装管理,远程维护,IP管理,网络管理,桌面合规管理,AV,A-Other,A-SPY,A-Phis

15、hing,恶意代码查杀,内网安全的规划-内网合规,抵御入侵能力防泄密能力防病毒能力防非法接入能力审计能力补丁更新能力IP-MAC-用户绑定能力,内网合规实践,基于策略的访问控制基于网络行为的攻击防护ARP欺骗主动防御分布式流量管理安全状态检测及自动修复,资产管理 外设管理进程管理 IP管理 补丁分发 软件分发HOD远程按需支援,移动存储设备认证文件透明加密与授权文件授权共享,文件操作审计文件打印审计上网行为审计移动存储审计异常路由审计Windows登录审计,网络准入控制802.1x接入层EOU汇聚层,应用准入控制DNS、Web、Proxy、EmailWindows&Linux Server网管

16、及准入控制,客户端准入控制,五维化终端合规管理模型 打造安全可信的合规内网,本章回顾,终端威胁的类别抵御威胁的手段什么是内网合规,目录,终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,Win2000安装配置,建立和

17、选择分区选择安装目录不安装多余的组件停止多余的服务安装系统补丁,多余的组件,Internt信息服务（IIS）（如不需要）索引服务Indexing Service消息队列服务（MSMQ）远程安装服务远程存储服务终端服务终端服务授权,关闭不必要的服务,Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System:局域网管理共享文件，不需要禁用 Distributed linktracking cli

18、ent：用于局域网更新连接信息，不需要禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 Workstation 关闭的话远程NET命令列不出用户组,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与

19、补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,用户身份验证,交互式登录使用域帐号使用本地计算机帐户网络身份验证NTLM验证Kerberos V5安全套接字层/传输层安全（SSL/TLS）,SYSKEY,从NT4 Service Pack 3开始，Microsoft提供了对SAM散列进行进一步加密的方法，称为SYSKEY。SYSKEY是System KEY的缩写，它生成一个随机的128位密钥，对散列再次进行加密

20、(不是对SAM文件加密，而是对散列)。,SYSKEY,练 习,利用Syskey对系统中的帐号密码文件加密设定系统的启动密码,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,访问控制,NTFS与FAT分区文件属性文件权限用户权限权限控制原则网络访问控制,NTFS与FAT分区权限,FAT32,NTFS,用户权限,Administrators 组Users 组

21、Power Users 组Backup Operators组,权限控制原则和特点,1权限是累计 用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。2拒绝的权限要比允许的权限高 拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。,有一个文件叫FILE。USER1用户属于GROUP1组USER1（读取权限）FILE FILE GROUP1（拒绝）拒绝访问那么USER1对FILE的权限将不再是：读取写入，而是无法访问文件FILE。,权限控制原则和特点,3文件权限比文

22、件夹权限高 例如：如果我对文件夹设置了拒绝写入，但是对文件夹里的文件设置为允许写入，我就可以对此文件有写入权限。4利用用户组来进行权限控制 不同的用户组具有不同的权限，可以把不同的用户划分到不同的组里。5权限的最小化原则 只给用户真正需要的权限,权限控制原则和特点,网络访问控制,利用IP安全策略实现访问控制,设置IPSec策略，禁止Ping。设置IPsec策略，关闭135，445端口,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Ke

23、rberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,EFS加密文件系统,特性：,1、采用单一密钥技术2、核心文件加密技术仅用于NTFS，使用户在本地计算机上安全存储数据3、加密用户使用透明，其他用户被拒4、不能加密压缩的和系统文件，加密后不能被共享、能被删除,建议加密文件夹，不要加密单独的文件,EFS恢复代理,故障恢复代理就是获得授权解密由其他用户加密的数据的管理员必须进行数据恢复时，恢复代理可以从安全的存储位置获得数据恢复证书导入系统。默认的超级管理员就是恢复代理使用条件：当加密密钥丢失,练习,用EFS加密一个文件。,安全管理与安全维护,用户管理,保护注册表,数据

24、备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,本地安全策略-帐号策略,*在账户策略-密码策略中设定：密码复杂性要求 启用密码长度最小值 6位强制密码历史 5次最长存留期 30天*在账户策略-账户锁定策略中设定：账户锁定 3次错误登录锁定时间 20分钟复位锁定计数 20分钟,本地安全策略-本地策略,审核策略：决定记录在计算机（成功/失败的尝试）的安全日志上的安全事件。用户权利分配：决定在计算机上有登

25、录/任务特权的用户或组。安全选项：启用或禁用计算机的安全设置，例如数据的数字信号、administrator 和guest的帐号名、软驱和光盘的访问、驱动程序的安装以及登录提示。,安全管理与安全维护,用户管理,保护注册表,数据备份,漏洞与补丁,安全配置程序,安全分析,组策略,安全模板,安全策略,数据安全,IPSEC,EFS,访问控制,TCP/IP,组策略,权限控制,身份认证,证书服务,Kerberos,智能卡,NTLM,SSL/TLS,Win2000基本安全注意事项,用户管理,更改超级管理名称取消guest帐号合理分配其它用户权限,注册表安全设置,禁止默认网络共享禁止枚举域内用户,删除默认网络

26、共享,服务器:Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:AutoShareServerType:DWORDValue:0工作站：Key:HKLMSYSTEMCurrentControlSetServiceslanmanserverparametersName:AutoShareWksType:DWORDValue:0,取消默认共享编辑txt文本内容net share c$/delnet share d$/delnet share e$/delnet share ADMIN$/del改扩展名为.bat设置开

27、机自启动此批处理文件,删除默认网络共享,禁止枚举用户名和共享,Key:HKLMSYSTEMCurrentControlSetControlLsaName:RestrictAnonymousType:REG_DWORDValue:1,备份和还原数据,将文件备份到文件或磁带备份“系统状态”数据使用备份向导备份文件计划备份,系统文件备份,系统文件备份,系统文件备份,系统文件备份,系统文件备份,系统漏洞及修复,输入法漏洞 空会话漏洞 unicode漏洞.ida/.idq缓冲区溢出漏洞.print isapi扩展远程缓冲区溢出 Frontpage 服务器扩展漏洞 sqlserver 空口令Windows

28、接口远程缓冲区漏洞,安全审核与日志,审计成功：可以确定用户或服务获得访问指定文件、打印机或其他对象的频率审计失败：警告那些可能发生的安全泄漏,访问文件夹的审核审核策略安全事件查看并分析,目录,终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议,windowsNT日志,系统日志 跟踪各种各样的系统事件，比如跟踪系统启动过程中的事件或者硬件和控制器的故障。%systemroot%system32configSysEvent.EVT 应用程序日志 跟踪应用程序关联的事件，比如应用程序产生的象装载 DLL（动态链

29、接库）失败的信息将出现在日志中。%systemroot%system32configAppEvent.EVT安全日志 跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。注意：安全日志的默认状态是关闭的。%systemroot%system32configSecEvent.EVT,日志,Internet信息服务 FTP日志默认位置：%systemroot%/system32/logfiles/msftpsvc1 默认每天一个日志Internet 信息服务WWW 日志默认位置：%systemroot%/system32/logfiles/w3svc1，默认每天一个日志FTP 日志和WWW

30、日志文件名通常为ex（年份）（月份）（日期），例如ex001023 就是2000 年10 月23 日产生的日志，用记事本就可直接打开Scheduler服务日志默认位置：%systemroot%/schedlgu.txt,日志分析,FTP日志分析，如下例：#Software:Microsoft Internet Information Services 5.0（微软IIS5.0）#Version:1.0（版本1.0）#Date:20001023 03:11:55（服务启动时间日期）03:11:55 127.0.0.1 1USER administator-331（IP地址为127.0.0.1 用

31、户名为administator 试图登录）03:11:58 127.0.0.1 1PASS-530（登录失败）03:12:04 127.0.0.1 1USER nt-331（IP地址为 127.0.0.1用户名为 nt的用户试图登录）03:12:06 127.0.0.1 1PASS-530（登录失败）03:12:32 127.0.0.1 1USER administrator-331（IP地址为127.0.0.1 用户名为administrator 试图登录）03:12:34 127.0.0.1 1PASS 230（登录成功）（登录成功）03:12:41 127.0.0.1 1MKD nt 5

32、50（新建目录失败）03:12:45 127.0.0.1 1QUIT 550（退出FTP 程序）,目录,终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议,及时打补丁，建议启用微软自动更新功能,终端系统日常安全配置建议,安装杀毒软件并正确的使用杀毒软件，及时升级杀毒软件，开启实时扫描功能，定期杀毒,终端系统日常安全配置建议,安装并启用个人防火墙（可以是windows自带的或杀毒软件自带的）,终端系统日常安全配置建议,显示所有文件及文件扩展名,终端系统日常安全配置建议,关闭自动播放功能,终端系统日常安全配置

33、建议,设置浏览器安全级别,终端系统日常安全配置建议,离开计算机时锁屏Windows 2000 Ctrl+Alt+DelWindows xp运行-gpedit.msc配置启用“总是用经典登录”,终端系统日常安全配置建议,利用目录系统确保终端安全,目录系统是什么管理中心：资源整合安全中心：集中管理和控制分层次的权限委派单一登陆开放的平台：与多种应用进行整合使用目录系统，实现对企业内部大量终端的规范、安全管理；,规范终端管理结构,组策略是什么？,组策略对象使用户可以集中配置大量用户和计算机。可配置客户端的桌面环境、安全设置以及控制计算机和用户的状态。减少管理员直接访问每台计算机的时间。增加管理员的集

34、中控制能力。,安全模板是一组预先配置的安全设置Windows XP 安全指南模板包括：两个包含适用于域中所有计算机的设置的域模板两个包含适用于桌面计算机的设置的模板两个包含适用于膝上型计算机的设置的模板每个模板均具有一个企业版和高安全性版安全模板中的设置可被编辑、保存和导入到 GPO 中,安全模板是什么？,安全设置是什么？,如何应用安全模板和管理模板？,策略驱动的机制，用于标识和控制客户端计算机上的软件默认的安全级别具有两个选项：不受限的 可以运行除明确拒绝的软件外的所有软件不允许的 只能运行明确允许的软件,什么是软件限制策略？,使用组策略编辑器为域定义策略,通过组策略将策略下载到计算机,在运

35、行软件时由操作系统实施,1,2,3,软件限制如何工作？,安全威胁和来源安全原则和体系终端的安全配置内容终端安全管理的手段和方法总结,内容,遵循深层防御模型,应用最低权限、最少连接和最低用户访问权限的准则,运用监视和审核,培训用户注意安全性问题,从经验中学习,制定和测试事件应对计划和过程,努力实现在设计上安全的系统,安全性最佳做法,创建安全策略和过程文档,订阅安全性警告电子邮件,了解更新管理的最新信息,维护定期备份和还原过程,捕捉攻击者的心思,安全性检查列表,目录,终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和

36、操作建议,员工安全职责-恶意代码类,员工,AV,A-Other,A-SPY,A-Phishing,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,员工安全职责-终端准入,身份认证,终端强制修复,网络准入,客户端准入,应用准入,第三方联动,员工,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,需要关注,无需关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注

37、,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,员工安全职责-终端安全控制,补丁管理,共享控制,ARP欺骗防御,口令控制,安全状态检测,服务控制,进程控制,注册表保护,流量控制,员工,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,需要关注,无需关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需

38、关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,员工安全职责-终端泄密控制,移动存储管理,非法外联监控,文档防泄密,员工,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,员工安全职责-审计信息,文件共享审计,上网行为审计,邮件审计,

39、移动存储审计,网络共享审计,打印审计,注册表审计,终端操作审计,员工,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,员工安全职责-桌面合规管理,资产管理,软件分发,终端运行监控,外设管理,

40、软件安装管理,远程维护,IP管理,网络管理,员工,系统维护人员,安全技术人员,安全管理人员,管理层,安全项,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,无需关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,需要关注,无需关注,无需关注,无需关注,无需关注,无需关注,目录,终端安全概述终端系统安全性终端体系构架终端安全威胁终端安全配置终端安全检查终端安全加固

41、终端用户安全职责终端接入要求终端标准化的意见和操作建议,终端接入-基本合规审核项,终端免疫,终端安全管控,IT支持,资产管理,软件分发,终端运行监控,外设管理,软件安装管理,远程维护,IP管理,网络管理,桌面合规管理,AV,A-Other,A-SPY,A-Phishing,恶意代码查杀,准入流程,IP&MAC比对,合规性比对,用户比对,通过准入,准入方式划分,802.1X网络准入EAPOU网络准入ARP网络准入网关网络准入客户端准入,终端准入控制 网络准入的分类,内网,修复区,内网,修复区,认证不通过/不符合安全策略,认证通过、符合安全策略,不支持802.1x,策略服务器,策略服务器,基于Ci

42、sco EOU的汇聚层网络准入,终端准入控制 应用准入,基于策略网关的应用层准入,认证通过、符合安全策略,认证不通过/不符合安全策略,内网,修复区,Mail/DNS服务器,Web服务器,ISA服务器,网管机准入控制,策略服务器,终端准入控制 客户端准入,基于安全策略、访问控制策略的客户端准入,安装客户端、符合安全策略符合访问控制策略,内网,策略服务器,安装客户端、符合安全策略不符合访问控制策略,安装客户端、不符合安全策略,未安装客户端,本章回顾,什么是EAL？EOU和EOL的最大区别是什么？准入控制方式有哪几种？哪种方式对网络影响最小？,目录,终端安全概述终端系统安全性终端体系构架终端安全威胁

43、终端安全配置终端安全检查终端安全加固终端用户安全职责终端接入要求终端标准化的意见和操作建议,终端标准化的意义,可以有效避免大部分终端安全问题。方便统一管理、统一升级。减少网络安全事件排查的耗时。可以最大程度减轻维护人员的工作压力。,终端标准化建议,按业务、按部门、按职责划分终端组。定制终端组应用软件、服务、端口标准。制定终端组合规准则。审计制度应用情况。改进制度循环上述过程，完善制度。,合规性建议,建立软件和进程的黑、白、红名单。建立IP、MAC、用户资产对照表建立移动存储设备使用规范添加准入控制手段建立口令制定准则建立补丁、病毒库升级准则建立审计机制。,软件进程黑、白、红名单,黑名单：不允许

44、运行的软件或进程白名单：只允许运行的软件或进程红名单：必需运行的软件或进程,可以有效管理软件及进程可以防止常见的恶意程序,建议,建议用途,IP、MAC、用户，资产对照表,防止ARP类攻击可以绑定IP-MAC-用户的唯一关系可以做到事后审计精确到人方便资产管理,建议绑定ip-mac-用户,建议,建议用途,移动存储设备使用规范,可以在一定程度上避免病毒传播可以保护涉密信息,认证过的移动存储设备可以使用审计认证移动存储设备的操作记录或者禁止使用移动存储设备,建议,建议用途,准入控制手段,推荐使用802.1X或EOU方式的准入控制。建议准入检查前进行必要的合规检查,可以避免非法接入行为避免越权访问资源

45、避免IP滥用,建议,建议用途,口令制定准则,口令长度限制口令生存周期限制口令繁杂度限制,口令是终端安全的第一道大门。保护终端信息不被窃取。,建议,建议用途,补丁、病毒库升级,定期更新补丁及病毒库。制定更新最后期限，超过期限则视为不合规终端。（比如说病毒库最少5天更新一次）。,可以有效防止病毒入侵终端。避免漏洞隐患。,建议,建议用途,建立审计机制,可以真实记录终端标准化的每个环节。方便找到行为隐患，以便完善终端标准化进程。发生安全事件可以准确定位，及时解决。,审计上网行为审计打印行为审计邮件,建议,建议用途,本章回顾,为什么需要终端标准化？终端标准化包括那几个必要环节？什么是软件红名单？,Any questions?谢谢大家,