桌面安全管理与防护

桌面安全防护与管理数据中心2010年11月2二、中国石油桌面安全管理建设方案一、中国石油桌面安全防护现状三、终端计算机安全管理规范目录3桌面计算机--硬件配置现状内存配置现状CPU配置现状根据2008年统计，中国石油企业网内拥有桌面计算机38万台。分布在560多个局域网中。《桌面计算机硬件配置调查表》的统计结果显示，配置参差不齐，几乎覆盖了2000年以来的各种配置计算机，约50%的计算机内存小于512MB。中国石油桌面安全防护现状4中国石油桌面计算机主要使用微软的操作系统，占总体桌面计算机数量的97.8%。其余2.2%的桌面计算机使用Linux等其他操作系统。WINDOWSXP数量上占绝大部分，到达83%的比例，其他windows操作系统占比都在6%以下，有不超过1%的桌面计算机使用Linux操作系统。2009年以来，windows7的使用比例在上升，目前尚无准确的统计数据。桌面计算机--操作系统现状中国石油桌面安全防护现状5桌面计算机--应用软件现状根据已部署的补丁分发子系统统计，中国石油桌面计算机安装的软件约十万种。常见种类包括：办公软件、防病毒软件、恶意软件清理工具、下载工具、即时通讯软件、游戏平台等。中国石油桌面计算机安装和使用的应用软件种类繁多，其中，73%的应用软件存在较大风险；软件自身的安全风险，以及用户的安全意识不到位，其行为不规范，对中国石油桌面安全构成极大隐患。防病毒软件赛门铁克、卡巴斯基、瑞星、McAfree、江民、金山等恶意软件清理工具360安全卫士、Windows清理助手、瑞星卡卡、恶意软件清理助手等迅雷、Web迅雷、网际快车（FlashGet）、电驴、旋风下载、纳米机器人等下载工具即时通讯软件QQ、MSN、飞鸽传书、飞信等QQ游戏、浩方、联众等游戏平台中国石油桌面安全防护现状6企业所面临的主要安全威胁非法终端和非授权终端对业务系统的访问终端不安全导致病毒的扩散终端数量大、系统复杂、员工行为难以管理终端成为安全威胁的主要来源中国石油桌面安全防护现状7内部威胁问题为首要安全问题•据ISCA统计，随着安全威胁的升级，全球每年由信息安全问题导致的损失约数百亿USD，其中源于内部的威胁高达60％•09年IDC安全调查显示，当前企业面临的TOP10安全威胁，包括:内部员工对IT系统的不当使用和破坏员工及合作伙伴盗窃机密数据黑客入侵应用系统脆弱性无线网络问题……内部威胁60%外部威胁40%应用层网络层物理层Figure1企业面临的TOP10安全威胁中国石油桌面安全防护现状8《中国石油信息安全总体规划》中调查问卷的统计结果：恶意代码/间谍软件/垃圾邮件、外部攻击/入侵、泄密/个人数据泄露是中国石油所面的临来自于外部的首要安全威胁非授权访问、误操作为中国石油所面临来自于内部的主要安全威胁拒绝服务攻击对桌面计算机造成的安全威胁相对较低桌面计算机--安全威胁现状中国石油桌面安全防护现状9防病毒子系统中国石油从2002年起陆续部署桌面安全管理系统，包括防病毒系统、补丁分发系统和端点准入子系统三个部分。客户端安装数量总体上不住50%，防护范围还不能到达安全要求桌面安全防护现状端点准入子系统•2007年初开始试点工作•2008年6月正式开展系统推广•部分单位进行了实施•客户端数量137042补丁分发子系统•2006开始部署，建立三级管理架构，实现系统安全补丁自动分发与更新。•大部分单位实施•客户端数量138677•2002年部署该系统•2007年对系统升级优化，完善三级架构，保证病毒定义及时更新，增强可管理性。•统一使用赛门铁克防病毒软件，客户端数量145668中国石油桌面安全防护现状10桌面安全管理现状中国石油已经初步建成以总部、区域网络中心、各企事业单位组成的三级信息安全管理体系结构。总部安全管理员30多名，区域网络中心安全管理员14名，企事业单位安全管理员管理员411名，其中安全管理岗144名，安全操作岗267名。中国石油桌面安全防护现状11桌面安全管理现状•《信息系统安全管理规范》•《终端计算机安全管理规范》•《信息安全风险评估指南》•《信息系统密码安全管理规范》•《计算机病毒与网络入侵应急响应管理规范》•《信息系统用户管理规范》•《中国石油天然气集团公司广域网管理实施细则》•《中国石油天然气集团公司区域网络中心管理实施细则》•《信息系统运行维护管理办法》•《信息技术标准管理办法》•《计算机信息系统安全管理规范》•《中国石油天然气集团公司网络与信息安全突发事件专项应急预案》中国石油已经制定的相应的桌面安全管理制度，管理体系已经初步建立起来，但在发挥各级管理员作用，协调各种方面还需要提升管理细则企业标准中国石油桌面安全防护现状12二、中国石油桌面安全管理建设方案三、终端计算机安全管理规范一、中国石油桌面安全现状目录13桌面安全管理与防护建设是在遵循国家和企业制定的一系列信息安全政策、标准和规范的基础上，研究桌面安全威胁、防护技术以及行为审计与预警，满足国家等级保护要求和企业对计算机安全的总体需求。建立中国石油桌面安全整体解决方案，划分功能模块，制定桌面安全管理策略与制度，规范员工上网行为，实现桌面计算机用户管理、上网行为审计和数据存储加密，降低桌面计算机病毒和木马发生几率；提升桌面计算机抵御安全威胁的能力；提高桌面安全管理水平。达到桌面计算机有防护、有检测、可控制、可审计。在技术可行、管理可行和节省投资的前提下，建设中国石油统一桌面安全管理系统。中国石油桌面安全管理建设方案目标14桌面安全管理与防护建设思路1.以PPDR参考模型进行桌面安全管理系统设计，策略定义了要实现的桌面安全目标和实现桌面安全目标的途径，通过防护、监测、响应环节采用不同技术实现。2.《信息系统安全等级保护基本要求》在数据保密性、系统安全管理、恶意代码防范管理、资源控制、安全审计、审核和检查、监控管理和安全管理中心方面提出了要求，桌面安全管理系统需满足以上等级保护提出的要求。PPDR参考模型中国石油桌面安全管理建设方案15文档保护子系统补丁分发子系统防病毒子系统端点准入子系统病毒定义码更新防间谍软件入侵检测防护主动威胁防护系统防火墙邮件防护系统补丁分发漏洞自动检测分发统计安全补丁检测准入策略管理准入控制认证后台管理子系统用户管理配置策略管理安全审计及报警数据查询统计展示平台开发密钥登陆管理个人文件审计文档加密保护文档销毁管理已部署的子系统未实现的功能已实现的功能准备部署的子系统桌面安全管理与防护涉及范围涉及中国石油总部及所属企事业单位办公管理网内的所有桌面计算机。防病毒、补丁分发、端点准入子系统提升，建立统一的电子文档保护和后台管理子系统。中国石油桌面安全管理建设方案16建设方案（整体架构）整体系统采用三级架构，分别在总部、区域网络中心部署服务器和应用软件，在各企事业单位桌面计算机上安装客户端软件。防病毒子系统、补丁分发子系统和端点准入子系统是在原有系统基础上进行升级，升级后的三个系统共用一套服务器（包括端点准入策略部分），客户端软件合并为一个，共用一套引擎。电子文档保护子系统、后台管理子系统和等级保护综合平台需要新建。中国石油桌面安全管理建设方案17等级保护综合平台连接公安部网络，用于上报定级、备案、整改、测评和检查信息；防病毒和补丁更新服务器通过Internet连接到公网服务器，下载厂家提供的病毒定义码和补丁。下载后的病毒定义码分发到各区域网络中心的防病毒子系统，而下载的补丁经过筛选、测试后，逐级下发到区域网络中心补丁分发子系统内，区域中心服务器将病毒定义文件、安全补丁下发到桌面计算机；电子文档保护服务器与身份管理与认证系统连接，下载公钥，为各企事业单位的桌面计算机安装的电子文档保护客户端提供文档加密时公钥下载服务；石油总部总部部署：等级保护综合平台服务器、病毒库和补丁更新服务器、电子文档保护服务器、日志分析服务器。中国石油桌面安全管理建设方案18其中防病毒子系统、补丁分发子系统、端点准入子系统的策略部分共用服务器，后台管理子系统和文档保护子系统共用服务器。每台服务器管理一万台桌面计算机，服务器的部署数量由区域内桌面计算机的数量决定。防病毒子系统、补丁分发子系统下发病毒定义文件和系统安全补丁到各企事业单位的桌面计算机上；后台管理子系统对各企事业单位的桌面计算机提供管理策略，配置策略和收集行为日志。这四个子系统将从桌面计算机收集到的病毒发作日志、补丁更新日志、文档保护日志和行为审计日志上传总部日志存储，为日志分析服务提供数据源。区域网络中心区域网络中心部署：防病毒子系统、补丁分发子系统、端点准入子系统和后台管理子系统。中国石油桌面安全管理建设方案19防病毒软件、补丁分发软件和端点准入软件合并为一个软件，减少了系统资源占用的，整合系统功能。电子文档保护软件和后台管理软件整合在一起，降低了桌面计算机系统资源占用。企事业单位在企事业单位桌面计算机上安装客户端软件，客户端软件包括防病毒软件、补丁分发软件、端点准入软件、电子文档保护软件和后台管理软件。中国石油桌面安全管理建设方案20建设方案（功能架构）端点准入子系统、防病毒子系统、补丁分发子系统、电子文档保护子系统组成桌面计算机安全管理的防护手段；后台管理子系统、信息安全等级保护综合平台为桌面计算机安全管理系统提供管理手段；通过监测分析桌面行为是否满足等级保护要求，为进一步桌面安全管理系统的完善与提升提供依据；防护与管理措施相辅相成、循环上升，不断提升桌面安全管理水平。中国石油桌面安全管理建设方案21包括防病毒管理和病毒木马监控两个功能：防病毒管理：1、为桌面计算机提供病毒、木马和蠕虫查杀功能。2、防病毒服务器下发病毒定义文件到桌面计算机，计算机将病毒扫描日志、病毒报警信息等数据上报到防病毒服务器。病毒木马监控：包括计算机病毒监控和网络病毒监控两个部分内容：1、计算机病毒监控收集各个防病毒服务器的日志信息，对桌面计算机的病毒和木马发作情况进行分析统计，提供桌面计算机病毒、木马、蠕虫发作情况现状，按照发现的病毒、木马和蠕虫的种类、数量和分布范围统计报告。2、网络病毒监控对网络中的病毒木马发作情况进行监控，统计病毒木马来源、感染计算机数量等信息。通过计算机病毒监控和网络病毒监控为桌面计算机安全策略完善与提升提供指导。防病毒子系统中国石油桌面安全管理建设方案22补丁分发子系统主要包含以下功能：1、补丁获取：定期从微软获取同步补丁目录信息，获取微软最新发布的安全补丁。2、补丁筛选与测试：对获取的安全补丁进行筛选与测试，确定补丁的有效性和影响，防止补丁安装后产生意外影响；优先播发威胁级别高、影响严重的安全补丁。3、补丁检测：检测桌面计算机缺乏哪些安全补丁，为补丁播发提供基础数据，并适当增加安装率低、影响严重的补丁播发频率。4、补丁分发与安装：将筛选、测试过的操作系统安全补丁播发到桌面计算机，桌面计算机接收到播发的补丁后自动进行安装，使计算机安全补丁及时更新。5、补丁安装统计：统计补丁播发数量、补丁名称、补丁安装成功率、未安装补丁列表等信息。补丁分发子系统补丁分发子系统为桌面计算机提供系统补丁自动更新功能，通过及时下发桌面计算机操作系统安全补丁，减少操作系统存在的漏洞，提升桌面计算机安全性，降低通过利用已知漏洞进行的恶意入侵和攻击概率。中国石油桌面安全管理建设方案23端点准入子系统端点准入子系统为桌面计算机提供网络接入管理功能，能够阻止不合规桌面计算机接入网络，确保只有合规计算机才能接入到网络中，防止病毒和木马通过不合规计算机在网络内传播，使统一的安全策略落实到位。端点准入子系统主要包含以下功能：1、策略制定：制定桌面计算机准入策略，规定计算机要满足哪些要求才能够接入到网络。策略制定完毕，下发到计算机执行。2、安全性检测：按照制定的准入策略对接入到网络的计算机进行检测，允许满足策略要求的计算机接入网络。3、隔离修复：对于不满足策略要求的计算机进行隔离，计算机完成修复，满足策略要求后才允许其接入网络。4、周期性检测：周