终端安全管理

终端安全管理与应用实践信息与网络安全部刘蓓2015年10月内容一、国家网络安全新形势新要求二、计算机终端安全保障要点三、终端安全管理应用实践一、我国信息安全新形势•2014年2月27日，习近平总书记主持召开了中央网络安全和信息化领导小组第一次会议，中央网络安全和信息化领导小组成立。•国家对网络与信息安全极为重视，将会从战略部署、组织架构、法律法规、关键基础设施安全、产业发展、攻防能力建设等方面加强顶层设计。“网络安全”与“信息化”的关系——习总书记指出，“没有网络安全就没有国家安全，没有信息化，就没有现代化”。——“网络安全与信息化是一体之双翼，驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施，做好网络安全和信息化工作”我国网络安全的主要威胁•互联网基础设施的五大核心技术领域，高性能计算机、操作系统、数据库技术、网络交换技术和信息资源库，全部被美国IT巨头垄断•美国“八大金刚”几乎渗透到我国网络空间的每一个节点，芯片（英特尔）、网络设备（思科）、服务器（IBM）、手机（苹果）、操作系统（微软）、数据库软件（甲骨文）、搜索引擎（谷歌）、无线通信技术（高通）等我国网络安全的主要威胁•网络违法犯罪活动猖獗。网络欺诈、黑客、病毒、木马、侵犯知识产权、个人信息滥用等。•网络渗透、颠覆和网络恐怖活动加剧。境外敌对势力利用网络对我国实施渗透、颠覆、策反活动。•关键信息基础设施和信息系统潜在的威胁加大，遭受外部攻击和控制的情况时有发生，重要网站频遭境外攻击破坏。•国家基础数据和重要敏感信息被窃取和滥用、企业商业机密、个人隐私和信息难以保护•网络攻击、网络战，窃取国家机密、网络军事威胁日趋增加我国网络安全的主要威胁•“棱镜门”和“XP停止服务”等事件，显示出全球化的互联网服务和信息正面临着极大的安全隐患。中国在网络安全上面临的挑战归根结底是产业能力不对称•技术和产品缺乏自主，导致产业“受控于人”•防御措施不成体系，各自为战，防护不利•缺乏统一的信息安全工作运行维护平台，导致威胁“家底不清”我国网络安全的主要对策•习总书记在中央网络安全和信息化领导小组第一次会议上指出：——“网络安全与信息化是一体之双翼，驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施，做好网络安全和信息化工作”——“做好网络安全和信息化工作，要处理好安全和发展的关系，做到协调一致，齐头并进、以安全保发展、以发展促安全、努力建久安之势，成长治之业”我国网络安全的主要对策•解决中国的网络安全问题，归根结底，要提升国家信息能力，培育国家信息优势•信息采集、信息处理、信息传播、信息分析利用、信息安全•未来十年，我国信息化的发展目标需要从提高经济社会系统的劳动生产率和运行效率逐步转向提高国家信息能力•大力发展自主可控信息技术，努力摆脱核心技术受制于人的困境•我国将对关系国家安全和公共利益的系统使用的重要技术产品和服务进行网络安全审查国家政策要求•《关于加强党政机关网站安全管理的通知》（中网办发文[2014]1号）——严格党政机关网站的开办审核，信息发布管理，强化网站应用安全管理，建立网站标识制度，加强技术防护体系建设。•《关于做好微软停止WindowsXP安全服务应对工作的通知》（中网办发文[2014]3号）——党政部门要及时部署安全防护产品，采取白名单、卸载与工作无关的应用程序、关闭不必要的服务和端口，减少安全风险隐患。•《关于印发2014年国家网络安全检查工作方案的通知》（中网办发文[2014]5号）——重点检查网络安全管理，技术防护，应急工作，宣传培训，XP事件应对，数据泄露问题，安全问题整改情况等•《国务院办公厅关于促进电子政务协调发展的指导意见》国办发[2014]66号)国家政策要求•《关于加强党政部门云计算服务网络安全管理的意见》中网办发文[2014]14号——党政部门采购云计算服务时，应逐步通过采购文件或合同等手段，明确要求服务商应通过安全审查。鼓励重点行业优先采购和使用通过安全审查的服务商提供的云计算服务•《关于印发2015年国家网络安全检查工作指南的通知》中网办发[2015]4号•国务院《关于促进云计算创新发展培育信息产业新业态的意见》(国发[2015]5号）——云计算是信息化发展的重大的变革和必然趋势，电子政务云计算发展新模式和政务信息化建设新机制，励应用云计算技术整合改造现有电子政务信息系统，积极开展试点示范•《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国办发[2012]23号）——禁止办公用计算机安装使用与工作无关的软件。目录二、计算机终端安全保障要点密码强度测试实验你的密码破译需要多少时间？8位数字组合：0.02秒，8位字母组合：50秒8位数字字母组合：10分钟8位数字字母大小写组合：10小时2014年国内信息安全状况•新增病毒样本5,145万余个，病毒总体数量比2013年同期增长55.44%，共有5.46亿人次网民被病毒感染。•据抽样监测，2014年我国境内感染木马僵尸网络的主机为1108.8万余台。•2014年新增手机病毒样本183万个，与2013年相比上涨了128.75%，其中以隐私窃取（privacy）、诱骗欺诈（fraud）、恶意扣费（payment）、恶意传播（spread）、资费消耗（expense）等几大类为主。•2014年12月25日，一个14M的文本文件在互联网上疯传，内含13万条12306网站（中国铁路客户服务中心）的用户数据，包括用户邮箱、密码、姓名、身份证、手机等关键隐私信息。•小米论坛的用户管理模块存在漏洞，导致包括账号、密码和社交账号等的800万用户信息泄露。•2014年网民因各类侵权遭受的损失合计达1434亿元，主要由于钓鱼网站、网购木马、恶意插件、虚假WiFi、诈骗电话、病毒等危害。计算机终端安全问题产生的根源政府和企事业单位信息系统中超过80%的安全事件来自终端——《公安部公共信息网络安全监察报告》据CNCERT监测：2015年6月，境内感染网络病毒的终端数为近202万个，较上月增长17.1%。我国境内179万个IP地址对应的主机被木马或僵尸程序控制计算机终端安全问题产生的根源政府和企事业单位信息系统中超过80%的安全事件来自终端——《公安部公共信息网络安全监察报告》操作系统及应用软件中存在的漏洞仍是引发终端安全事件的根本原因——CNCERT《中国计算机网络安全报告》——公安部《计算机病毒疫情调查分析报告》——中国国家漏洞库《漏洞通报》——安全厂商《网络安全报告》计算机终端安全风险分析网络浏览或下载（网页挂马）垃圾邮件移动存储介质病毒木马僵尸程序攻击源攻击路径攻击目标漏洞风险软硬件自身缺陷安全配置不当系统广泛存在漏洞35%（Gartner报告，2012）XP系统停服事件•事件：2014年4月8日起，微软公司在全球范围内停止对WindowsXP和Office2003的支持服务，包括产品更新、安全补丁、漏洞修复等•现状：在中国的PC中，XP终端约为2亿台，约占73.5%，政府计算机终端共约有2000万台，XP终端约为1400万台•影响：XP用户总量巨大，如果不采取有效防护措施，一旦发现新的高危漏洞，易爆发大规模安全事件终端安全配置范围硬件部件清单外联设备清单外联接口配置硬件驱动配置应安装软件列表可安装软件列表禁止安装软件列表操作系统配置办公软件配置浏览器配置邮件系统配置BIOS系统配置病毒防护软件配置计算机终端安全检查要求•中央网络安全和信息化领导小组办公室关于印发《2014年国家网络安全检查工作方案》的通知（中网办发文[2014]5号）——重点检查WindowsXP停止服务应对工作情况，XP系统使用情况，安全保护方案制定情况、安全产品部署情况，采取白名单、卸载与工作无关的应用程序、关闭不必要的服务和端口等措施——中央和国家机关网络安全检查表终端计算机安全防护检查内容：1、管理方式：集中统一管理？分散管理？2、管理内容：规范软硬件安装、统一补丁升级、统一病毒防护、统一安全审计、对移动存储介质接入实施控制、入网准入控制。1、定期更新补丁2、安装杀毒软件3、规范硬件安装4、规范软件安装5、服务、端口、审计、准入、移动存储等控制6、集中管控管理模式安全配置终端安全国家标准•《信息安全技术政务计算机终端核心配置规范》（已发布，GB/T30278-2013）•《信息安全技术计算机终端核心配置基线结构规范》•《信息安全技术政府联网计算机终端安全基本要求》•《信息安全技术基于互联网电子政务安全实施指南》第四部分：终端安全终端核心安全配置（GB/T30278-2013)22对计算机操作系统、办公软件、浏览器、邮件系统、BIOS系统等基础软件中影响计算机安全的关键可选项进行参数设置的过程。限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，达到一定的安全基线，增强终端抵抗安全风险的能力。核心配置的作用23限制•用户权限•资源共享•远程登录启用•数字签名•数据执行保护（DEP）•加密存储禁止•高危服务和端口•非法程序脚本执行•未授权程序驱动安装加强•口令管理•身份鉴别•账户管理•安全审计利用核心配置技术防范漏洞（举例）【漏洞类型】Windows内核漏洞（微软安全公告ID：MS13-063）【发布时间】2013年8月【影响软件】WindowsXP/Win7【涉及漏洞】CVE-2013-3196/3197/3198：Windows内核内存损坏漏洞【漏洞风险】漏洞可能允许特权提升。攻击者可以在内核模式下运行任意代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。【补丁编号】：KB2859537【配置方法】：（1）运行gpedit.msc，打开组策略控制台。（2）选择“管理模板”-“Windows组件”-“应用程序兼容性”文件夹（3）启用“防止访问16位应用程序”策略配置（4）帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。针对XP系统测试效果核心配置基本要求1、身份鉴别配置要求2、访问控制配置要求3、安全审计配置要求4、资源控制配置要求5、剩余信息保护配置要求6、应用安全配置要求7、入侵防范配置要求信息系统等级保护基本要求（GB/T22239-2008）终端核心配置基本要求（GB/T30278-2013）1、物理安全要求2、网络安全要求3、主机安全要求4、应用安全要求5、数据安全要求6、安全管理要求操作系统办公软件浏览器邮件系统BIOS系统病毒防护软件终端核心配置基线库安全核心配置基线库共包含42条基线1000多个配置项【等保三级要求】操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；【配置要求】•账户登录时，应启动身份验证机制，限制连续登录失败次数，连续多次登录失败后应锁定账户；•应配置安全的口令长度、复杂度、有效期和加密强度，禁止不设置口令；•启动账户登录界面时，应禁止无关进程的启动和运行，防止鉴别信息被窃听。。举例：身份鉴别基本配置要求核心配置基本要求•身份鉴别：包括账户登录和口令管理•访问控制：包括账户管理和权限分配•安全审计：包括账户行为审计和资源访问审计•剩余信息保护：包括临时文件、历史文件和虚拟文件管理•入侵防范：包括对组件的保护功能开启、应用程序的更新•恶意代码防范：包括杀毒软件的安装、升级和病毒查杀•资源控制：包括服务、端口、协议等资源管理和数据加密核心配置自动化实现方法第一步：了解机构安全需求及安全等级，制定安全配置要求第二步：编制核心配置清单第三步：生成核心配置基线包第四步：自动部署及合规性监测配置基线验证配置基线分发配置基线部署配置基线编辑配置状态监测国外安全配置管理实施情况FDCC-美国联邦桌面核心配置2007年，美国联邦预算管理办公室（OMB）发布备忘录（M-07-11），开始实FDCCFDCC强制规定：联邦政府所