国产超碰人人做人人爱ⅴa-久久婷婷成人综合色-成人爽a毛片免费视频-日本少妇高潮喷水xxxxxxx

　　企業(yè)信息化建設(shè)的不斷發(fā)展，企業(yè)也越來越重視信息安全工作。但也存在一個普遍的現(xiàn)象，就是認(rèn)為信息安全的主要威脅來自外界。國內(nèi)外一些信息安全研究機(jī)構(gòu)的調(diào)查結(jié)果表明，很大的安全風(fēng)險主要也來自于泄密和內(nèi)部人員犯罪。因此目前企業(yè)內(nèi)部的信息安全的工作不僅集中于重要服務(wù)器，而是擴(kuò)展到全體崗位，信息化管理部門在做好服務(wù)器的安全工作時同樣要保障客戶端計算機(jī)的安全使用，要把客戶端計算機(jī)的安全作為企業(yè)信息安全保障體系的重要環(huán)節(jié)，并采取有效的技術(shù)手段和管理措施。

　　根據(jù)國家各主管部門在信息安全方面相關(guān)文件中提出的技術(shù)要求，結(jié)合企業(yè)網(wǎng)絡(luò)實際應(yīng)用情況，下面對企業(yè)內(nèi)網(wǎng)的安全風(fēng)險進(jìn)行一些分析。

　　一、內(nèi)部網(wǎng)絡(luò)信息安全風(fēng)險分析

　　國家保密局多次指出涉密信息系統(tǒng)中應(yīng)“防內(nèi)與防外并重”，傳統(tǒng)的外網(wǎng)安全主要是防范來自國際互聯(lián)網(wǎng)的攻擊、病毒入侵等，內(nèi)網(wǎng)安全主要是注重對企業(yè)內(nèi)部信息流和員工行為的管理，防止重要信息在特定范圍外傳播擴(kuò)散甚至向外泄露。目前內(nèi)網(wǎng)的安全風(fēng)險主要有以下四個方面：

　　1、口令保護(hù)脆弱，身份鑒別強(qiáng)度低

　　企業(yè)內(nèi)部網(wǎng)絡(luò)中一般運行辦公系統(tǒng)、設(shè)計系統(tǒng)、財務(wù)系統(tǒng)等，這些系統(tǒng)都可以從企業(yè)內(nèi)網(wǎng)的客戶端計算機(jī)上進(jìn)行登錄，取得相應(yīng)的權(quán)限。但目前很多企業(yè)的計算機(jī)只是使用口令密碼進(jìn)行安全保護(hù)，Windows2000/XP操作系統(tǒng)是將口令存在SAM文件中，加密也比較簡單，因此口令密碼防護(hù)是非常脆弱的，惡意接觸計算機(jī)的人有可能竊取、破壞其中的信息，當(dāng)然過后也可以被發(fā)現(xiàn)。

　　2、內(nèi)部信息泄露的風(fēng)險

　　企業(yè)內(nèi)網(wǎng)的管理目前主要有兩種形式：一種是通過域控制用戶計算機(jī)的行為權(quán)限，另一種是劃分虛擬子網(wǎng)（VLAN）結(jié)合工作組形式聯(lián)網(wǎng)，這兩種管理形式都不能對客戶端計算機(jī)的操作進(jìn)行有效的監(jiān)管和審計，內(nèi)部信息流也無法控制和審計，很難妥善地保護(hù)、控制客戶端計算機(jī)上的有關(guān)企業(yè)重要商業(yè)秘密或國家秘密的文檔和資料。

　　3、內(nèi)部攻擊的風(fēng)險

　　企業(yè)網(wǎng)絡(luò)對外的安全防護(hù)由路由器、防火墻、入侵檢測系統(tǒng)等組成多道安全防線，在實際情況下客戶端計算機(jī)的安全防護(hù)由于空間、成本等方面的原因，不可能采取和在機(jī)房中服務(wù)器相似的安全措施，對于來自于網(wǎng)絡(luò)內(nèi)部的攻擊僅能依靠操作系統(tǒng)自身的安全性。而目前客戶端計算機(jī)普遍使用的Windows操作系統(tǒng)的漏洞較多，防范來自于內(nèi)部的惡意攻擊和流行的Windows操作系統(tǒng)的漏洞較多，防范來自于內(nèi)部的惡意攻擊和流行于Windows平臺的計算機(jī)病毒、木馬等，困難很大。

　　4、移動存儲介質(zhì)的風(fēng)險

　　目前軟盤、U盤、移動硬盤等移動存儲介質(zhì)使用非常普遍，大量企業(yè)秘密信息通過移動介質(zhì)存儲傳播，給管理帶來了相當(dāng)大的難度。一方面移動存儲介質(zhì)價格低、體積小，大部分由員工自行購買和使用，很難進(jìn)行統(tǒng)一的嚴(yán)格管理，移動介質(zhì)不受控，形成泄密隱患；另一方面外部人員攜帶的移動存儲介質(zhì)接入企業(yè)內(nèi)網(wǎng)不愛限制，存在著惡意復(fù)制企業(yè)信息或?qū)⒂嬎銠C(jī)病毒、間諜軟件等惡意程序傳入內(nèi)網(wǎng)的安全風(fēng)險。

　　綜上所述，企業(yè)內(nèi)部網(wǎng)絡(luò)的安全風(fēng)險高、難度大，這就要求安全管理員為客戶端計算機(jī)制訂合理的、切實可行的安全策略，利用相關(guān)的安全產(chǎn)品，提高客戶端計算機(jī)的安全性。下面針對上述安全風(fēng)險的防護(hù)探討企業(yè)內(nèi)部網(wǎng)絡(luò)中使用Windows2003/XP操作系統(tǒng)的客戶端計算機(jī)應(yīng)設(shè)置的安全策略，并對部分策略提出可行的技術(shù)措施。

　　二、對身份鑒別風(fēng)險的防護(hù)

　　從操作系統(tǒng)安全方面來講，身份鑒別是最先考慮的環(huán)節(jié)，獲得了一個用戶的身份就掌握了所登錄計算機(jī)的所有資源，在實現(xiàn)了單點登錄的網(wǎng)絡(luò)中同時也獲得了各應(yīng)用系統(tǒng)的使用權(quán)限，因此身份鑒別方式的安全有效非常重要。

　　目前從技術(shù)上來講身份鑒別主要有三種方式：

　　（1）用戶名+復(fù)雜口令

　　（2）電子鑰匙+PIN碼

　?。?）生理特征識別

　　采取用戶名和設(shè)置復(fù)雜口令的身份鑒別方式，一般要求的口令強(qiáng)度在12位或更高，由字母、數(shù)字、特殊符合混合組成，并定期更換。但這種方式的缺點是Windows2000/XP操作系統(tǒng)的口令可能被惡意的人破解，而且終端用戶在口令更換周期、口令復(fù)雜性等方面很難自覺做到，日常管理難度較大。但是企業(yè)內(nèi)部可以通過制度來規(guī)定客戶端使用人員的行為規(guī)則，違反規(guī)則的人將被企業(yè)制度處罰。

　　采取電子鑰匙和PIN碼的身份鑒別方式，一般來說是在電子鑰匙中存入數(shù)字證書等身份識別文件，定期更換PIN值，PIN值一般設(shè)在6位或更高，用戶只有在同時擁有電子解匙和知道PIN碼的情況下才能登錄系統(tǒng)。數(shù)字證書是目前在網(wǎng)上銀行、政府部門等應(yīng)用比較廣泛的技術(shù)手段，安全性要好于用戶名+復(fù)雜口令的登錄方式。這種身份鑒別方式需要購買相應(yīng)的軟硬件產(chǎn)品，一般來說每個客戶端計算機(jī)需要數(shù)百元。

　　生理特征識別一般常見的有指紋識別、虹膜識別、面容識別等，其中虹膜識別設(shè)備體積大、成本高，一般用于要害部位的入口，近期難以在客戶端計算機(jī)應(yīng)用，面容識別技術(shù)目前還不是很成熟，在面部非常相似的情況下也難以起到較好的作用，目前來講應(yīng)用最廣泛的是指紋識別技術(shù)。指紋識別技術(shù)基于人體生理特征，安全性相對較高，缺點是成本高，每臺客戶端計算機(jī)均安裝指紋傳感器及相應(yīng)軟件，可能需要上千元。此外無論是采用光學(xué)識別技術(shù)還是電容傳感器識別技術(shù)，在獲取用戶指紋的條件下，采用專門設(shè)備利用凝膠等原料能偽造用戶指紋。對于非常重要的客戶端計算機(jī)可以采取生理特征識別+復(fù)雜口令的技術(shù)措施來保證身份鑒別的安全。

　　綜合考慮以上幾種技術(shù)方式，從性價比、安全性等方面考慮，在保密要求較高的單位可以采取儲存數(shù)字證書的電子鑰匙和PIN碼結(jié)合的身份鑒別方式。僅采取電子鑰匙還不能安全保證系統(tǒng)的登錄安全，作為客戶端安全策略的組成部分，在主板BIOS中設(shè)置為硬盤引導(dǎo)，設(shè)置BIOS口令。同時為客戶端計算機(jī)的用戶創(chuàng)建根據(jù)數(shù)字證書或其他身份鑒別文件建立的日常使用賬號，禁止使用管理員（administrator）賬號登錄和日常工作，客戶端計算機(jī)僅設(shè)置管理員賬號和一個用戶賬號，用戶不能創(chuàng)建無對應(yīng)數(shù)字證書的賬號。管理員賬號設(shè)置為用戶無法知道的高強(qiáng)度口令，僅用于系統(tǒng)出現(xiàn)問題時的維護(hù)?？蛻舳擞嬎銠C(jī)還設(shè)置了相應(yīng)的屏保或鎖屏功能，確保用戶不在的情況下他人無法進(jìn)入計算機(jī)。

　　三、對信息泄露風(fēng)險的防護(hù)

　　根據(jù)網(wǎng)絡(luò)模式、安全保密需求等具體情況的不同，用戶權(quán)限的管理在各單位要求也不同。在安全保密要求較高的單位，客戶端計算機(jī)的輸入輸出端口應(yīng)該是受到控制的。利用安全產(chǎn)品對客戶端計算機(jī)的軟驅(qū)、光驅(qū)、USB口、COM口、LPT口、1394口、打印機(jī)（包括本地打印機(jī)和網(wǎng)絡(luò)打印機(jī)）等輸入輸出端口進(jìn)行了使用權(quán)限控制。同時出于安全性和保護(hù)內(nèi)部秘密的需求，要求該安全產(chǎn)品提供審計功能以加強(qiáng)對內(nèi)部網(wǎng)絡(luò)中客戶端計算機(jī)的監(jiān)控和管理，主要審計以下內(nèi)容：

　?。?）審計客衣端計算機(jī)上的身份鑒別相關(guān)事件，如每天用戶登錄嘗試次數(shù)、登錄時間等信息；

　?。?）審計客戶端計算機(jī)與移動存儲設(shè)備間的文件操作，包括復(fù)制、刪除、剪切、粘貼、文件另存為等文件操作；

　　（3）審計客戶端計算機(jī)的打印機(jī)使用情況，記錄打印文件名稱、打印時間、打印頁數(shù)等相關(guān)信息；

　?。?）禁止客戶端計算機(jī)以無線上網(wǎng)等方式接入國際互聯(lián)網(wǎng)，并部署審計策略記錄客戶端計算機(jī)未成功的聯(lián)網(wǎng)行為。

　　因客戶端計算機(jī)是采取工作組模式組網(wǎng)，則技術(shù)上對用戶安裝軟件較難管理，但如SQL Server等軟件如安裝時sa用戶設(shè)置為空口令會有很高的安全風(fēng)險，我們從管理上明確用戶安裝軟件應(yīng)通知安全管理員，經(jīng)檢查確認(rèn)無安全風(fēng)險后再進(jìn)行安裝。在日常管理中也通過掃描等技術(shù)手段定期進(jìn)行檢查和安全風(fēng)險分析。

　　四、對內(nèi)部攻擊風(fēng)險的防護(hù)

　　對于來自內(nèi)部網(wǎng)絡(luò)的攻擊，除了加強(qiáng)口令強(qiáng)度外，還應(yīng)采取及時安裝系統(tǒng)補(bǔ)丁，在網(wǎng)絡(luò)團(tuán)體議上進(jìn)行策略設(shè)置，安裝病毒防護(hù)系統(tǒng)等安全措施

　　1、補(bǔ)丁管理

　　Windows操作系統(tǒng)自發(fā)布以后，基本每月微軟都會發(fā)布安全更新補(bǔ)丁，已經(jīng)發(fā)布的補(bǔ)丁修補(bǔ)了很多高風(fēng)險的漏洞，可以說一臺未及時更新補(bǔ)丁的計算機(jī)是基本不設(shè)防的，因此建立補(bǔ)丁管理系統(tǒng)并分發(fā)補(bǔ)丁是非常重要的安全措施，建立后可以對系統(tǒng)軟件進(jìn)行修補(bǔ)，從而最大限度地減少漏洞，降低了病毒利用漏洞的可能。由于很多攻擊都是利用漏洞進(jìn)行的，快速地為客戶端和服務(wù)器打上最新的安全補(bǔ)丁，能減少安全隱患，基本避免網(wǎng)絡(luò)中的惡意攻擊者利用漏洞進(jìn)行攻擊。一個合適的補(bǔ)丁管理系統(tǒng)應(yīng)滿足以下要求：

　?。?）可以自動化地部署補(bǔ)丁，不需要過多的人工維護(hù)；

　?。?）可以自動收集數(shù)據(jù)，確認(rèn)每臺計算機(jī)需要更新的補(bǔ)丁，避免重復(fù)打補(bǔ)??；

　　（3）靈活的軟件架構(gòu)，可以應(yīng)用在工作組模式中也可應(yīng)用在域模式中；

　?。?）可以提供日志和報表；

　?。?）用記操作簡單，補(bǔ)丁分發(fā)正確、可靠。

　　使用微軟的WSUS工具進(jìn)行補(bǔ)丁管理，能下載并分發(fā)WindowsXP/2000/2003操作和Office辦公軟件的補(bǔ)丁，在客戶端計算機(jī)配置相應(yīng)的組策略后自動的從服務(wù)器上及時更新補(bǔ)丁，管理員在控制臺能清楚地了解到網(wǎng)絡(luò)中每臺計算機(jī)的補(bǔ)丁安裝情況，根據(jù)各成員單位不同的安全要求在配置客戶端策略時選擇自動安裝補(bǔ)丁或提醒安裝。補(bǔ)丁管理系統(tǒng)可以很大程度地改善企業(yè)的網(wǎng)絡(luò)安全情況，提高工作效率，縮短響應(yīng)時間，但仍然有其局限性，并且在實施和應(yīng)用中會遇到一些困難和問題，只能通過有效的規(guī)劃和細(xì)致工作，補(bǔ)丁管理系統(tǒng)才能實際發(fā)揮作用并起到良好效果。

　　2、網(wǎng)絡(luò)協(xié)議安全策略設(shè)置

　　安全性與可用性之間存在著一定的矛盾，由于網(wǎng)絡(luò)需要較高的安全性，我們通過安全產(chǎn)品，在客戶端計算機(jī)設(shè)置了關(guān)閉客戶端計算機(jī)遠(yuǎn)程訪問、刪除所有隱含分享、客戶端計算機(jī)設(shè)置靜態(tài)IP地址、用戶無法自行修改IP地址等安全策略。

　　3、病毒防護(hù)

　　我們?yōu)樗杏嬎銠C(jī)安裝了網(wǎng)絡(luò)版的病毒防護(hù)系統(tǒng)，并配置了另一套不同廠商的病毒防護(hù)系統(tǒng)作為補(bǔ)充和備份。每周更新病毒庫，如發(fā)現(xiàn)病毒流行，則啟動相應(yīng)的預(yù)案，對感染病毒的計算機(jī)采取更換病毒防護(hù)軟件、斷網(wǎng)等技術(shù)措施，保證系統(tǒng)的正常運行。

　　五、移動存儲介質(zhì)管理

　　為了降低移動存儲介質(zhì)帶來的安全風(fēng)險，在企業(yè)內(nèi)部對所有移動存儲介質(zhì)統(tǒng)一管理，建立臺賬，由保密部門將存儲介質(zhì)分為涉密和不涉密兩種。對不同的存儲介質(zhì)對采取不同的技術(shù)和管理措施，通過技術(shù)手段使外來移動存儲介質(zhì)無法接入企業(yè)內(nèi)網(wǎng)，內(nèi)網(wǎng)中認(rèn)證過的移動存儲介質(zhì)也僅能在授權(quán)的客戶端計算機(jī)上使用，涉密的移動存儲介質(zhì)采取加密等技術(shù)使在授權(quán)之外的計算機(jī)上無法使用，以降低介質(zhì)丟失或管理不嚴(yán)帶來的安全風(fēng)險。

　　六、人員管理

　　技術(shù)措施不能解決所有的安全問題，而且目前安全產(chǎn)品不能安全防范企業(yè)內(nèi)部人員對關(guān)鍵信息的泄露、竊取、更改和破壞。由于內(nèi)部人員最容易接觸敏感信息，他們的行動非常具有針對性，危害的對象往往是系統(tǒng)中最核心的信息資源，會造成很大的破壞。內(nèi)部人員對本單位的結(jié)構(gòu)、管理和文化等情況非常熟悉，竊取或破壞信息時不易被發(fā)覺、有可能事后才發(fā)現(xiàn)。因此人員的管理和教育是非常重要的，人員是信息安全管理的核心。為了從根本上保障內(nèi)部網(wǎng)絡(luò)信息安全，除采用必要的技術(shù)防范手段外，還加強(qiáng)對企業(yè)員工的信息安全和保密教育，加強(qiáng)日常的監(jiān)督管理和檢查，確保所有終端用的計算機(jī)始終處于被監(jiān)管的狀態(tài)，以及時發(fā)現(xiàn)和解決存在風(fēng)險。

　　企業(yè)內(nèi)部網(wǎng)絡(luò)中客戶端計算機(jī)其數(shù)量多，軟硬件配置和應(yīng)用情況復(fù)雜，做好安全防護(hù)工作是有一定的難度。在保證計算機(jī)功能使用和對性能影響較小的情況下，應(yīng)充分應(yīng)用Windows操作系統(tǒng)本身的安全策略及組策略進(jìn)行管理，并考慮在一個安全產(chǎn)品中實現(xiàn)多功能集成，盡可能地降低成本和便于維護(hù)。隨著技術(shù)發(fā)展和安全需求的提高，安全策略也必將隨之調(diào)整完善。