『壹』 什麼是終端安全管理系統
終端安全管理(endpoint security management)是一種保護網路安全的策略式方法,它需要終端設備在得到訪問網路資源的許可之前遵從特定的標准。
終端在使用過程中會產生眾多事件,每一條都有可能與終端安全相關,但並不意味著這些內容都屬於終端安全事件范疇,不對這些時間進行嚴格的區分、限定和歸並,就極有可能導致對於終端安全的分析工作陷入誤區。
因此記錄終端、區分終端產生的事件是否屬於安全事件就是終端安全工作需要完成的重要工作。終端自身產生的事件,取決於事件的產生源,不可能把所有的事件全部記錄,所以,對於終端安全的相關事件,有相當大的一部分來自於網路和第三方工具的分析。
(1)軍隊電腦開機咋輸密碼擴展閱讀:
終端安全防護主要是建立在計算機終端可能發生風險的各個方面的有效管控,通過制度與技術有效結合的方式,減少甚至杜絕各類風險事件的發生,針對終端使用過程中可能發生風險的操作行為進行詳細記錄,通過分析之後進行具有針對性的防護措施和相關功能的管控。如下:
基礎類防護措施 操作系統安全防護對操作系統進行安全加固;關閉不必要的服務、埠、來賓組等,為不同用戶開放許可權較低許可權,防止安裝過多應用軟體及病毒、木馬程序的自運行。
進程運行監控對運行以及試圖運行的進程、進程樹進行監視、控制。防止病毒、木馬等惡意程序調用進程。及時了解操作系統開啟服務與程序情況,防止惡意程序後台運行。
操作系統性能監控對操作系統內存、CPU利用率等基本性能的監控有助於了解對系統資源佔用過大的程序,從而鑒定其是否為正常運行或正常程序。有助於對計算機硬體利用率的掌握和硬體性能的維護。
終端外設使用監控對終端外設介面、外聯設備及使用的監視、控制能有效的控制計算機的資源利用率,規范計算機資源使用,防止因濫用計算機外接存儲設備造成的木馬、病毒的泛濫傳播等。
操作系統密碼口令檢查定期改變具有一定復雜度的密碼及密碼策略可以有效的防止非授權人員進入計算機終端,防止非法人員竊取計算機終端信息,所以,對操作系統口令的檢查能有效的督促、保證計算機終端設置合規的用戶口令,保證終端安全。
網路配置信息監控網路配置信息包含計算機網卡的MAC、IP地址、計算機路由器的介面信息等,對網路配置的有效監控可以及時發現非法接入信息系統的非法終端,防止非法終端接入可信網路竊取信息、傳播病毒等。
運行類風險防護 操作系統網路流量監控對操作系統各用戶、各時段的流量監控可以有效判斷計算機內是否存在程序、服務在上傳或下載信息,及時判斷計算機是否感染木馬程序致使信息外發,或成為共享服務站造成信息泄露。
操作系統網路訪問監控對計算機終端進行的系統網路訪問控制能有效的防止計算機進行違規互聯,防止信息因共享等方式進行違規流轉,防止木馬、病毒在信息系統內大規模爆發。
操作系統運行狀態監控對操作系統運行狀態的監控科有效的了解到計算機終端長時間未登錄、企圖進入安全模式等繞過行為,監控主機調用的埠、服務等系統信息,保證計算機終端時刻處於被監控狀態。
信息類風險防護 安全准入控制非法主機接入可信信息系統可能導致內網信息外泄、病毒、木馬傳播擴散、對內外伺服器攻擊等嚴重後果,因此,對計算機終端的安全防護中,准入控制是極為重要的一項防護手段。
終端使用者變更監控計算機終端始終歸屬不同人員使用,不同用戶及使用者對計算機終端有著不同的操作許可權,對於變更使用者的計算機終端應及時改變資產所屬人員以保證計算機使用許可權正常,資產歸屬正常。防止計算機終端使用者非授權登錄、使用計算機,保證計算機終端信息安全性。
中心信息的防擴散和防泄密監控按照國家保密標准及等級保護標準的明確規定,應有效控制信息的知悉范圍,明確信息流向,對外協信息進行安全回收,對外帶攜帶型計算機及移動存儲介質進行外協後的信息清除,防止設備再次使用時信息被違規恢復。因此,做好信息的防擴散、防泄漏工作是非常有必要也必須要做的。
管理類風險 管理人員操作監控對管理人員的操作進行安全監控,一方面規范了管理員的操作行為,另一方面也使出現安全問題後的責任追查工作簡單、明確、抗抵賴。
管理工具運行狀態監控因管理工具為管理員所用,有著相同的用戶許可權,為防止管理工具內嵌木馬、病毒等惡意程序,針對管理工具的狀態監控,可有效防止管理員在不知情的狀態下將木馬、病毒等惡意程序感染傳播至伺服器等重要資源。
監控信息實時分析對於監控信息,應進行實時、准確分析,在第一時間判斷安全事件的發生所在,確定問題所在後進行快速響應與處理。