企业网络客户端安全策略_07内刊_电子内刊_山东省轻工业设计院有限公司

企业网络客户端安全策略

日期：2020-03-18　

　　企业信息化建设的不断发展，企业也越来越重视信息安全工作。但也存在一个普遍的现象，就是认为信息安全的主要威胁来自外界。国内外一些信息安全研究机构的调查结果表明，很大的安全风险主要也来自于泄密和内部人员犯罪。因此目前企业内部的信息安全的工作不仅集中于重要服务器，而是扩展到全体岗位，信息化管理部门在做好服务器的安全工作时同样要保障客户端计算机的安全使用，要把客户端计算机的安全作为企业信息安全保障体系的重要环节，并采取有效的技术手段和管理措施。

　　根据国家各主管部门在信息安全方面相关文件中提出的技术要求，结合企业网络实际应用情况，下面对企业内网的安全风险进行一些分析。

　　一、内部网络信息安全风险分析

　　国家保密局多次指出涉密信息系统中应“防内与防外并重”，传统的外网安全主要是防范来自国际互联网的攻击、病毒入侵等，内网安全主要是注重对企业内部信息流和员工行为的管理，防止重要信息在特定范围外传播扩散甚至向外泄露。目前内网的安全风险主要有以下四个方面：

　　1、口令保护脆弱，身份鉴别强度低

　　企业内部网络中一般运行办公系统、设计系统、财务系统等，这些系统都可以从企业内网的客户端计算机上进行登录，取得相应的权限。但目前很多企业的计算机只是使用口令密码进行安全保护，Windows2000/XP操作系统是将口令存在SAM文件中，加密也比较简单，因此口令密码防护是非常脆弱的，恶意接触计算机的人有可能窃取、破坏其中的信息，当然过后也可以被发现。

　　2、内部信息泄露的风险

　　企业内网的管理目前主要有两种形式：一种是通过域控制用户计算机的行为权限，另一种是划分虚拟子网（VLAN）结合工作组形式联网，这两种管理形式都不能对客户端计算机的操作进行有效的监管和审计，内部信息流也无法控制和审计，很难妥善地保护、控制客户端计算机上的有关企业重要商业秘密或国家秘密的文档和资料。

　　3、内部攻击的风险

　　企业网络对外的安全防护由路由器、防火墙、入侵检测系统等组成多道安全防线，在实际情况下客户端计算机的安全防护由于空间、成本等方面的原因，不可能采取和在机房中服务器相似的安全措施，对于来自于网络内部的攻击仅能依靠操作系统自身的安全性。而目前客户端计算机普遍使用的Windows操作系统的漏洞较多，防范来自于内部的恶意攻击和流行的Windows操作系统的漏洞较多，防范来自于内部的恶意攻击和流行于Windows平台的计算机病毒、木马等，困难很大。

　　4、移动存储介质的风险

　　目前软盘、U盘、移动硬盘等移动存储介质使用非常普遍，大量企业秘密信息通过移动介质存储传播，给管理带来了相当大的难度。一方面移动存储介质价格低、体积小，大部分由员工自行购买和使用，很难进行统一的严格管理，移动介质不受控，形成泄密隐患；另一方面外部人员携带的移动存储介质接入企业内网不爱限制，存在着恶意复制企业信息或将计算机病毒、间谍软件等恶意程序传入内网的安全风险。

　　综上所述，企业内部网络的安全风险高、难度大，这就要求安全管理员为客户端计算机制订合理的、切实可行的安全策略，利用相关的安全产品，提高客户端计算机的安全性。下面针对上述安全风险的防护探讨企业内部网络中使用Windows2003/XP操作系统的客户端计算机应设置的安全策略，并对部分策略提出可行的技术措施。

　　二、对身份鉴别风险的防护

　　从操作系统安全方面来讲，身份鉴别是最先考虑的环节，获得了一个用户的身份就掌握了所登录计算机的所有资源，在实现了单点登录的网络中同时也获得了各应用系统的使用权限，因此身份鉴别方式的安全有效非常重要。

　　目前从技术上来讲身份鉴别主要有三种方式：

　　（1）用户名+复杂口令

　　（2）电子钥匙+PIN码

　　（3）生理特征识别

　　采取用户名和设置复杂口令的身份鉴别方式，一般要求的口令强度在12位或更高，由字母、数字、特殊符合混合组成，并定期更换。但这种方式的缺点是Windows2000/XP操作系统的口令可能被恶意的人破解，而且终端用户在口令更换周期、口令复杂性等方面很难自觉做到，日常管理难度较大。但是企业内部可以通过制度来规定客户端使用人员的行为规则，违反规则的人将被企业制度处罚。

　　采取电子钥匙和PIN码的身份鉴别方式，一般来说是在电子钥匙中存入数字证书等身份识别文件，定期更换PIN值，PIN值一般设在6位或更高，用户只有在同时拥有电子解匙和知道PIN码的情况下才能登录系统。数字证书是目前在网上银行、政府部门等应用比较广泛的技术手段，安全性要好于用户名+复杂口令的登录方式。这种身份鉴别方式需要购买相应的软硬件产品，一般来说每个客户端计算机需要数百元。

　　生理特征识别一般常见的有指纹识别、虹膜识别、面容识别等，其中虹膜识别设备体积大、成本高，一般用于要害部位的入口，近期难以在客户端计算机应用，面容识别技术目前还不是很成熟，在面部非常相似的情况下也难以起到较好的作用，目前来讲应用最广泛的是指纹识别技术。指纹识别技术基于人体生理特征，安全性相对较高，缺点是成本高，每台客户端计算机均安装指纹传感器及相应软件，可能需要上千元。此外无论是采用光学识别技术还是电容传感器识别技术，在获取用户指纹的条件下，采用专门设备利用凝胶等原料能伪造用户指纹。对于非常重要的客户端计算机可以采取生理特征识别+复杂口令的技术措施来保证身份鉴别的安全。

　　综合考虑以上几种技术方式，从性价比、安全性等方面考虑，在保密要求较高的单位可以采取储存数字证书的电子钥匙和PIN码结合的身份鉴别方式。仅采取电子钥匙还不能安全保证系统的登录安全，作为客户端安全策略的组成部分，在主板BIOS中设置为硬盘引导，设置BIOS口令。同时为客户端计算机的用户创建根据数字证书或其他身份鉴别文件建立的日常使用账号，禁止使用管理员（administrator）账号登录和日常工作，客户端计算机仅设置管理员账号和一个用户账号，用户不能创建无对应数字证书的账号。管理员账号设置为用户无法知道的高强度口令，仅用于系统出现问题时的维护。客户端计算机还设置了相应的屏保或锁屏功能，确保用户不在的情况下他人无法进入计算机。

　　三、对信息泄露风险的防护

　　根据网络模式、安全保密需求等具体情况的不同，用户权限的管理在各单位要求也不同。在安全保密要求较高的单位，客户端计算机的输入输出端口应该是受到控制的。利用安全产品对客户端计算机的软驱、光驱、USB口、COM口、LPT口、1394口、打印机（包括本地打印机和网络打印机）等输入输出端口进行了使用权限控制。同时出于安全性和保护内部秘密的需求，要求该安全产品提供审计功能以加强对内部网络中客户端计算机的监控和管理，主要审计以下内容：

　　（1）审计客衣端计算机上的身份鉴别相关事件，如每天用户登录尝试次数、登录时间等信息；

　　（2）审计客户端计算机与移动存储设备间的文件操作，包括复制、删除、剪切、粘贴、文件另存为等文件操作；

　　（3）审计客户端计算机的打印机使用情况，记录打印文件名称、打印时间、打印页数等相关信息；

　　（4）禁止客户端计算机以无线上网等方式接入国际互联网，并部署审计策略记录客户端计算机未成功的联网行为。

　　因客户端计算机是采取工作组模式组网，则技术上对用户安装软件较难管理，但如SQL Server等软件如安装时sa用户设置为空口令会有很高的安全风险，我们从管理上明确用户安装软件应通知安全管理员，经检查确认无安全风险后再进行安装。在日常管理中也通过扫描等技术手段定期进行检查和安全风险分析。

　　四、对内部攻击风险的防护

　　对于来自内部网络的攻击，除了加强口令强度外，还应采取及时安装系统补丁，在网络团体议上进行策略设置，安装病毒防护系统等安全措施

　　1、补丁管理

　　Windows操作系统自发布以后，基本每月微软都会发布安全更新补丁，已经发布的补丁修补了很多高风险的漏洞，可以说一台未及时更新补丁的计算机是基本不设防的，因此建立补丁管理系统并分发补丁是非常重要的安全措施，建立后可以对系统软件进行修补，从而最大限度地减少漏洞，降低了病毒利用漏洞的可能。由于很多攻击都是利用漏洞进行的，快速地为客户端和服务器打上最新的安全补丁，能减少安全隐患，基本避免网络中的恶意攻击者利用漏洞进行攻击。一个合适的补丁管理系统应满足以下要求：

　　（1）可以自动化地部署补丁，不需要过多的人工维护；

　　（2）可以自动收集数据，确认每台计算机需要更新的补丁，避免重复打补丁；

　　（3）灵活的软件架构，可以应用在工作组模式中也可应用在域模式中；

　　（4）可以提供日志和报表；

　　（5）用记操作简单，补丁分发正确、可靠。

　　使用微软的WSUS工具进行补丁管理，能下载并分发WindowsXP/2000/2003操作和Office办公软件的补丁，在客户端计算机配置相应的组策略后自动的从服务器上及时更新补丁，管理员在控制台能清楚地了解到网络中每台计算机的补丁安装情况，根据各成员单位不同的安全要求在配置客户端策略时选择自动安装补丁或提醒安装。补丁管理系统可以很大程度地改善企业的网络安全情况，提高工作效率，缩短响应时间，但仍然有其局限性，并且在实施和应用中会遇到一些困难和问题，只能通过有效的规划和细致工作，补丁管理系统才能实际发挥作用并起到良好效果。

　　2、网络协议安全策略设置

　　安全性与可用性之间存在着一定的矛盾，由于网络需要较高的安全性，我们通过安全产品，在客户端计算机设置了关闭客户端计算机远程访问、删除所有隐含分享、客户端计算机设置静态IP地址、用户无法自行修改IP地址等安全策略。

　　3、病毒防护

　　我们为所有计算机安装了网络版的病毒防护系统，并配置了另一套不同厂商的病毒防护系统作为补充和备份。每周更新病毒库，如发现病毒流行，则启动相应的预案，对感染病毒的计算机采取更换病毒防护软件、断网等技术措施，保证系统的正常运行。

　　五、移动存储介质管理

　　为了降低移动存储介质带来的安全风险，在企业内部对所有移动存储介质统一管理，建立台账，由保密部门将存储介质分为涉密和不涉密两种。对不同的存储介质对采取不同的技术和管理措施，通过技术手段使外来移动存储介质无法接入企业内网，内网中认证过的移动存储介质也仅能在授权的客户端计算机上使用，涉密的移动存储介质采取加密等技术使在授权之外的计算机上无法使用，以降低介质丢失或管理不严带来的安全风险。

　　六、人员管理

　　技术措施不能解决所有的安全问题，而且目前安全产品不能安全防范企业内部人员对关键信息的泄露、窃取、更改和破坏。由于内部人员最容易接触敏感信息，他们的行动非常具有针对性，危害的对象往往是系统中最核心的信息资源，会造成很大的破坏。内部人员对本单位的结构、管理和文化等情况非常熟悉，窃取或破坏信息时不易被发觉、有可能事后才发现。因此人员的管理和教育是非常重要的，人员是信息安全管理的核心。为了从根本上保障内部网络信息安全，除采用必要的技术防范手段外，还加强对企业员工的信息安全和保密教育，加强日常的监督管理和检查，确保所有终端用的计算机始终处于被监管的状态，以及时发现和解决存在风险。

　　企业内部网络中客户端计算机其数量多，软硬件配置和应用情况复杂，做好安全防护工作是有一定的难度。在保证计算机功能使用和对性能影响较小的情况下，应充分应用Windows操作系统本身的安全策略及组策略进行管理，并考虑在一个安全产品中实现多功能集成，尽可能地降低成本和便于维护。随着技术发展和安全需求的提高，安全策略也必将随之调整完善。