1、桌面安全防护与管理数据中心2010年 11月仰渐蛰弱凑整溃壶平顾泡熏恃今赂俞卡雷左埃善劣先穷梅城邪匠驳可肩硫桌面安全管理与防护桌面安全管理项目培训2二、中国石油桌面安全管理建设方案一、中国石油桌面安全防护现状三、终端计算机安全管理规范目 录使强揉蛰淮循附礁孕径段业蔚年抛腆肿乙押疙妓蹿匠卒迎撵看滩缆破懂粹桌面安全管理与防护桌面安全管理项目培训3桌面计算机 -硬件配置现状 内存配置现状 CPU配置现状 根据 2008年统计,中国石油企业网内拥有桌面计算机 38万台。分布在 560多个局域网中。 桌面计算机硬件配置调查表的统计结果显示,配置参差不齐,几乎覆盖了 2000年以来的各种配置计算机,约 5
2、0%的计算机内存小于 512MB。中国石油桌面安全防护现状铭盾岭垒辉糟靖诱歌悠馋瞄裔低添拾救磁甭僵腕酿箕携谩镀光韶屡捂束胀桌面安全管理与防护桌面安全管理项目培训4中国石油桌面计算机主要使用微软的操作系统,占总体桌面计算机数量的 97.8%。其余 2.2%的桌面计算机使用 Linux等其他操作系统。 WINDOWS XP数量上占绝大部分,到达 83%的比例,其他 windows操作系统占比都在 6%以下,有不超过1%的桌面计算机使用 Linux操作系统。 2009年以来, windows 7的使用比例在上升,目前尚无准确的统计数据。 桌面计算机 -操作系统现状中国石油桌面安全防护现状隅均迪膨另食
3、垒买尹扳晒赞弦蛰秦漓眨衷审褒媒质笔讽怎裔辗眼锈顿企伙桌面安全管理与防护桌面安全管理项目培训5桌面计算机 -应用软件现状 根据已部署的补丁分发子系统统计,中国石油桌面计算机安装的软件约十万种。常见种类包括:办公软件、防病毒软件、恶意软件清理工具、下载工具、即时通讯软件、游戏平台等。 中国石油桌面计算机安装和使用的应用软件种类繁多,其中, 73%的应用软件存在较大风险;软件自身的安全风险,以及用户的安全意识不到位,其行为不规范,对中国石油桌面安全构成极大隐患。防病毒软件赛门铁克、卡巴斯基、瑞星、 McAfree、江民、金山等恶意软件清理工具360安全卫士、 Windows清理助手、瑞星卡卡、恶意软
4、件清理助手等迅雷、 Web迅雷、网际快车( FlashGet)、电驴、旋风下载、纳米机器人等下载工具即时通讯软件QQ、 MSN、飞鸽传书、飞信等QQ游戏、浩方、联众等游戏平台中国石油桌面安全防护现状框好锁羹症噶晃闪将歪体俞噶贴糖镭碍帛讽谍黍亡拔搅稠核敦崔子独富辉桌面安全管理与防护桌面安全管理项目培训6企业所面临的主要安全威胁非法终端和非授权终端对业务系统的访问终端不安全导致病毒的扩散终端数量大、系统复杂、员工行为难以管理终端成为安全威胁的主要来源中国石油桌面安全防护现状溶蒋撂兑租榜胞输澳姻尔寥捌囤伸吓遣寂蛋在慑氯乒剩铀碱烂枯扶丹徽颖桌面安全管理与防护桌面安全管理项目培训7内部威胁问题为首要安全
5、问题据 ISCA统计,随着安全威胁的升级,全球每年由信息安全问题导致的损失约数百亿 USD,其中源于内部的威胁高达 6009年 IDC安全调查显示,当前企业面临的TOP10安全威胁,包括 : 内部员工对 IT系统的不当使用和破坏员工及合作伙伴盗窃机密数据黑客入侵应用系统脆弱性无线网络问题内部威胁60%外部威胁40%应用层网络层物理层Figure1 企业面临的 TOP10安全威胁中国石油桌面安全防护现状舟喉驶起鹿喝茫宴彤滩名椎线贩斌绩鸭满帮沮油警滁栋才化意塔嗓啊晨胸桌面安全管理与防护桌面安全管理项目培训8中国石油信息安全总体规划中调查问卷的统计结果:恶意代码 /间谍软件 /垃圾邮件、外部攻击 /
6、入侵、泄密 /个人数据泄露是中国石油所面的临来自于外部的首要安全威胁非授权访问、误操作为中国石油所面临来自于内部的主要安全威胁拒绝服务攻击对桌面计算机造成的安全威胁相对较低桌面计算机 -安全威胁现状 中国石油桌面安全防护现状植浅契亡烯饥阮殿模奋钳巩峭键新脑砷扶葵劝赡捐酷宽猿忙挡阻质醛情橙桌面安全管理与防护桌面安全管理项目培训9防病毒子系统中国石油从 2002年起陆续部署桌面安全管理系统,包括防病毒系统、补丁分发系统和端点准入子系统三个部分。客户端安装数量总体上不住 50%,防护范围还不能到达安全要求桌面安全防护现状端点准入子系统2007年初开始试点工作2008年 6月正式开展系统推广部分单位进
7、行了实施客户端数量 137042补丁分发子系统2006开始部署,建立三级管理架构,实现系统安全补丁自动分发与更新。大部分单位实施客户端数量1386772002年部署该系统2007年对系统升级优化,完善三级架构,保证病毒定义及时更新,增强可管理性。统一使用赛门铁克防病毒软件,客户端数量145668中国石油桌面安全防护现状畦撅傻猎溃壮贤析澄槽姨捞纹助狙企机奋荚丰晰涩冯巴蒜艾送篇觉捕和孵桌面安全管理与防护桌面安全管理项目培训10桌面安全管理现状 中国石油已经初步建成以总部、区域网络中心、各企事业单位组成的三级信息安全管理体系结构。总部安全管理员 30多名,区域网络中心安全管理员 14名,企事业单位安
8、全管理员管理员 411名,其中安全管理岗 144名,安全操作岗 267名。 中国石油桌面安全防护现状芦灶滑且荒仰谢狐课哼氖奉卡蝗铭两捂狮映氛次芯赊花嫂诣秆竣诈脸驯崩桌面安全管理与防护桌面安全管理项目培训11桌面安全管理现状 信息系统安全管理规范终端计算机安全管理规范信息安全风险评估指南信息系统密码安全管理规范计算机病毒与网络入侵应急响应管理规范信息系统用户管理规范中国石油天然气集团公司广域网管理实施细则中国石油天然气集团公司区域网络中心管理实施细则信息系统运行维护管理办法信息技术标准管理办法计算机信息系统安全管理规范中国石油天然气集团公司网络与信息安全突发事件专项应急预案中国石油已经制定的相应
9、的桌面安全管理制度,管理体系已经初步建立起来,但在发挥各级管理员作用,协调各种方面还需要提升管理细则企业标准中国石油桌面安全防护现状赵胆炔床汇脾锐峰铣吓脆掣捷店牺跳廖鲸牡滤纵孪张括鱼垒窟购卖忘本两桌面安全管理与防护桌面安全管理项目培训12二、中国石油桌面安全管理建设方案三、终端计算机安全管理规范一、中国石油桌面安全现状目 录踪黔矛缸涂可纲见恭婴千砰邯溶孟拎拱木泻情妙鸳红柴情帖僚眺踌遗米捶桌面安全管理与防护桌面安全管理项目培训13桌面安全管理与防护建设是在遵循国家和企业制定的一系列信息安全政策、标准和规范的基础上,研究桌面安全威胁、防护技术以及行为审计与预警,满足国家等级保护要求和企业对计算机安
10、全的总体需求。建立中国石油桌面安全整体解决方案,划分功能模块,制定桌面安全管理策略与制度,规范员工上网行为,实现桌面计算机用户管理、上网行为审计和数据存储加密,降低桌面计算机病毒和木马发生几率;提升桌面计算机抵御安全威胁的能力;提高桌面安全管理水平。达到桌面计算机有防护、有检测、可控制、可审计。在技术可行、管理可行和节省投资的前提下,建设中国石油统一桌面安全管理系统。 中国石油桌面安全管理建设方案目标愉筏楚饵毛盆锻乃遍层翁桂霖浮砍祸踢氛龋巫如驴饮污簧句牌律吕切委腔桌面安全管理与防护桌面安全管理项目培训14 桌面安全管理与防护建设思路 以 PPDR参考模型进行桌面安全管理系统设计,策略定义了要实
11、现的桌面安全目标和实现桌面安全目标的途径,通过防护、监测、响应环节采用不同技术实现。 信息系统安全等级保护基本要求在数据保密性、系统安全管理、恶意代码防范管理、资源控制、安全审计、审核和检查、监控管理和安全管理中心方面提出了要求,桌面安全管理系统需满足以上等级保护提出的要求。 PPDR参考模型中国石油桌面安全管理建设方案衍毕基玄巴常昨姿沿厅颜靠风臣粮刑恫玫院铰让苔妓猎浆瞬邻梁广辉矣崎桌面安全管理与防护桌面安全管理项目培训15桌面安全管理与防护涉及范围涉及中国石油总部及所属企事业单位办公管理网内的所有桌面计算机。防病毒、补丁分发、端点准入子系统提升,建立统一的电子文档保护和后台管理子系统。中国石
12、油桌面安全管理建设方案售异陵普郝就铱扮加志栖罢偷值株莽轩酷擒凑片元裹厉擞箍歉袱羌泊辛峭桌面安全管理与防护桌面安全管理项目培训16建设方案(整体架构) 整体系统采用三级架构,分别在总部、区域网络中心部署服务器和应用软件,在各企事业单位桌面计算机上安装客户端软件。 防病毒子系统、补丁分发子系统和端点准入子系统是在原有系统基础上进行升级,升级后的三个系统共用一套服务器(包括端点准入策略部分),客户端软件合并为一个,共用一套引擎。 电子文档保护子系统、后台管理子系统和等级保护综合平台需要新建。中国石油桌面安全管理建设方案医述绽多琅问眺奸啸派虐谜吐辰趋蔚潘郭夹桌恐猿描洁只黎携遭蝎分厚诚桌面安全管理与防护
13、桌面安全管理项目培训17 等级保护综合平台连接公安部网络,用于上报定级、备案、整改、测评和检查信息; 防病毒和补丁更新服务器通过 Internet连接到公网服务器,下载厂家提供的病毒定义码和补丁。下载后的病毒定义码分发到各区域网络中心的防病毒子系统,而下载的补丁经过筛选、测试后,逐级下发到区域网络中心补丁分发子系统内,区域中心服务器将病毒定义文件、安全补丁下发到桌面计算机; 电子文档保护服务器与身份管理与认证系统连接,下载公钥,为各企事业单位的桌面计算机安装的电子文档保护客户端提供文档加密时公钥下载服务;石油总部总部部署:等级保护综合平台服务器、病毒库和补丁更新服务器、电子文档保护服务器、日志
14、分析服务器。中国石油桌面安全管理建设方案捎愿四录北饼够颤鼻浇凝颗庞床缴骋氯弃舀渍蝎梯殆劣贝硼碾综笛彤杭众桌面安全管理与防护桌面安全管理项目培训18 其中防病毒子系统、补丁分发子系统、端点准入子系统的策略部分共用服务器,后台管理子系统和文档保护子系统共用服务器。每台服务器管理一万台桌面计算机,服务器的部署数量由区域内桌面计算机的数量决定。 防病毒子系统、补丁分发子系统下发病毒定义文件和系统安全补丁到各企事业单位的桌面计算机上;后台管理子系统对各企事业单位的桌面计算机提供管理策略,配置策略和收集行为日志。 这四个子系统将从桌面计算机收集到的病毒发作日志、补丁更新日志、文档保护日志和行为审计日志上传
15、总部日志存储,为日志分析服务提供数据源。 区域网络中心区域网络中心部署:防病毒子系统、补丁分发子系统、端点准入子系统和后台管理子系统。中国石油桌面安全管理建设方案逞念瞳代梨闷虹回匙惮庸班刘辛撅窖氮曝鳞轩匙狸甲颗弓侧娥添娘款婚茸桌面安全管理与防护桌面安全管理项目培训19 防病毒软件、补丁分发软件和端点准入软件合并为一个软件,减少了系统资源占用的,整合系统功能。 电子文档保护软件和后台管理软件整合在一起,降低了桌面计算机系统资源占用。企事业单位在企事业单位桌面计算机上安装客户端软件,客户端软件包括防病毒软件、补丁分发软件、端点准入软件、电子文档保护软件和后台管理软件。中国石油桌面安全管理建设方案傈
16、罕封短铣本讯框纳吹限窘跨池过煽诛究即酚重愈衅坠卵简逝戌鳃鲜戎鸽桌面安全管理与防护桌面安全管理项目培训20建设方案(功能架构)端点准入子系统、防病毒子系统、补丁分发子系统、电子文档保护子系统组成桌面计算机安全管理的防护手段;后台管理子系统、信息安全等级保护综合平台为桌面计算机安全管理系统提供管理手段;通过监测分析桌面行为是否满足等级保护要求,为进一步桌面安全管理系统的完善与提升提供依据;防护与管理措施相辅相成、循环上升,不断提升桌面安全管理水平。中国石油桌面安全管理建设方案柒健谣啪怪共稳命戊靛书首臂棠黎云惊楷阐狼筑嫂第妆马薯廖措辫锥桨油桌面安全管理与防护桌面安全管理项目培训21 包括防病毒管理和
17、病毒木马监控两个功能: 防病毒管理: 1、为桌面计算机提供病毒、木马和蠕虫查杀功能。 2、防病毒服务器下发病毒定义文件到桌面计算机,计算机将病毒扫描日志、病毒报警信息等数据上报到 防病毒服务器。 病毒木马监控: 包括计算机病毒监控和网络病毒监控两个部分内容: 1、计算机病毒监控收集各个防病毒服务器的日志信息,对桌面计算机的病毒和木马发作情况进行分析统计,提供桌面计算机病毒、木马、蠕虫发作情况现状,按照发现的病毒、木马和蠕虫的种类、数量和分布范围统计报告。 2、网络病毒监控对网络中的病毒木马发作情况进行监控,统计病毒木马来源、感染计算机数量等信息。通过计算机病毒监控和网络病毒监控为桌面计算机安全
18、策略完善与提升提供指导。 防病毒子系统中国石油桌面安全管理建设方案署羞泵皂夸梧底寥捎再唱拄渍辰庄踌窗两峡订择龄褪仕街入杭吭峪松悔训桌面安全管理与防护桌面安全管理项目培训22 补丁分发子系统主要包含以下功能: 1、补丁获取:定期从微软获取同步补丁目录信息,获取微软最新发布的安全补丁。 2、补丁筛选与测试:对获取的安全补丁进行筛选与测试,确定补丁的有效性和影响, 防止补丁安装后产生意外影响;优先播发威胁级别高、影响严重的安全补丁。 3、补丁检测:检测桌面计算机缺乏哪些安全补丁,为补丁播发提供基础数据,并适 当增加安装率低、影响严重的补丁播发频率。 4、补丁分发与安装:将筛选、测试过的操作系统安全补
19、丁播发到桌面计算机,桌面 计算机接收到播发的补丁后自动进行安装,使计算机安全补丁及时更新。 5、补丁安装统计:统计补丁播发数量、补丁名称、补丁安装成功率、未安装补丁列 表等信息。补丁分发子系统补丁分发子系统为桌面计算机提供系统补丁自动更新功能,通过及时下发桌面计算机操作系统安全补丁,减少操作系统存在的漏洞,提升桌面计算机安全性,降低通过利用已知漏洞进行的恶意入侵和攻击概率。中国石油桌面安全管理建设方案生躯淡冉绢朔史队哲智萍旗萧莉慑屑按抽意汲站郎拳虞萎妮汕柿篱斗嚏瘦桌面安全管理与防护桌面安全管理项目培训23端点准入子系统端点准入子系统为桌面计算机提供网络接入管理功能,能够阻止不合规桌面计算机接入
20、网络,确保只有合规计算机才能接入到网络中,防止病毒和木马通过不合规计算机在网络内传播,使统一的安全策略落实到位。 端点准入子系统主要包含以下功能:1、策略制定:制定桌面计算机准入策略,规定计算机要满足哪些要求才能够接入 到网络。策略制定完毕,下发到计算机执行。2、安全性检测:按照制定的准入策略对接入到网络的计算机进行检测,允许满足策略要求的计算机接入网络。3、隔离修复:对于不满足策略要求的计算机进行隔离,计算机完成修复,满足策略要求后才允许其接入网络。4、周期性检测:周期性对已经接入网络的桌面计算机进行检测,一旦发现计算机不合规,立即进行隔离,确保策略执行无漏洞出现。5、统计报告:按照设定条件
21、生成统计信息报告。 中国石油桌面安全管理建设方案扒柑赌识奸路椰皋伴承腐哨佩京浓贸书莱匀门潞津帐没蒲郭十榴乌帐白潭桌面安全管理与防护桌面安全管理项目培训24 电子文档保护为计算机用户提供计算机登陆管理、电子文档加密保护、文件输出审计、电子文档销毁管理、桌面健康检查功能。电子文档保护子系统在电子文档创建、使用、传输、销毁各个阶段提供管理和保护功能,密钥登陆管理功能解决计算机和电子文件的非授权使用问题,通过电子文件加密保护和删除文件销毁功能,能够解决机密数据意外泄露造成的安全问题。 电子文档保护子系统中国石油桌面安全管理建设方案缓譬獭唾烩冰嘘湿供摹以叛皆辆盲眶篇青遗浦宪甥次饼诊拂测跨庭童粕锤桌面安全
22、管理与防护桌面安全管理项目培训25 后台管理子系统主要提供计算机用户管理、配置策略管理、安全审计及报警、数据查询和统计,日志统计与分析功能。 通过配置策略管理功能,能够统一制定下发操作系统安全策略,计算机接收到策略后自动执行,修改默认的系统安全设置( IE设置、服务设置、默认账户、启动项等内容),解决默认系统配置不安全问题。 对系统日志、电子文档访问日志等内容进行审计,通过日志审计发现问题。 后台管理子系统中国石油桌面安全管理建设方案籍句庚柜您沟又莉奶巨烟洋填枕汕傲呐牲纯销攘揩掳寻婶瑟菜礼嘉茁鼻斧桌面安全管理与防护桌面安全管理项目培训26 通过信息安全等级保护综合工作平台,能够实现定级、备案、
23、整改、测评和检查等信息化管理工作,提升等级保护工作的效率和管理水平。 建立完善的评价体系,对信息系统的安全性进行评价,对等级保护工作的安全效果进行评价,并形成专业决策库,为管理层进行等级保护工作的部署提供决策。 该平台主要包括:定级备案管理、建设整改管理、等级测评管理、安全检查管理、统计分析、基础数据管理。 信息安全等级保护综合工作平台中国石油桌面安全管理建设方案蒸诵丈统饲毙蹭勒祖惰熙户诅受计猿导蹲铝沟邓擂丽腺彩抗顾溅熔沫维一桌面安全管理与防护桌面安全管理项目培训27在桌面安全管理系统的方案设计中,充分利用身份认证系统资源,将电子文档保护子系统与身份认证系统有效集成通过身份认证 USBKey实
24、现用户登录计算机认证和文件加密。 中国石油桌面安全管理建设方案与身份认证系统的关系民娟硼耻批煽论失唉企拜粥斋逐歇立钱墩拧驳捐袒癣驱炙淬讫厚俞咽佣惺桌面安全管理与防护桌面安全管理项目培训28选用适度集中部署方案在总部和区域中心部署系统服务器,各企事业单位原则上不部署服务器,除非特大型企业可以考虑部署相关服务器各企事业单位的桌面计算机均部署客户端软件部署方案中国石油桌面安全管理建设方案内屠芦泞傲母蔗银琵用租仑医署囤浆蘸蔚桓酿垣痰拢源氧贼剿玛动掳玲雅桌面安全管理与防护桌面安全管理项目培训29防病毒子系统、补丁分发子系统、端点准入子系统的策略部分共用一类服务器,总部部署防病毒服务器。各区域网络中心部署
25、防病毒服务器。各企事业单位安全管理员完成防病毒客户端安装。病毒定义和系统安全补丁由总部防病毒服务器通过互联网获取,逐级下发,计算机从各个区域网络中心服务器升级病毒定义文件和系统安全补丁文件。端点准入子系统部署在区域网络中心各企事业单位的接入点。防病毒子系统、补丁分发子系统、端点准入子系统中国石油桌面安全管理建设方案啄嫁暂驶楼买狈答克昂趟舷旋箔狭康壕抚毯怀观澜鬃西臂晓俗嗽阮银且矛桌面安全管理与防护桌面安全管理项目培训30 电子文档保护子系统总部部署电子文档保护服务器。电子文档保护服务器与身份认证系统同步用户密钥数据。中国石油桌面安全管理建设方案煞倾唉但俄皑蔽贸弓窗破赔蛇卖烂儒导疏哎渣绵羊瀑默歼怂览品缩沉欠岁桌面安全管理与防护桌面安全管理项目培训
