1、桌面安全防护与管理,数据中心 2010年11月,仰渐蛰弱凑整溃壶平顾泡熏恃今赂俞卡雷左埃善劣先穷梅城邪匠驳可肩硫桌面安全管理与防护桌面安全管理项目培训,二、中国石油桌面安全管理建设方案,一、中国石油桌面安全防护现状,三、终端计算机安全管理规范,目 录,使强揉蛰淮循附礁孕径段业蔚年抛腆肿乙押疙妓蹿匠卒迎撵看滩缆破懂粹桌面安全管理与防护桌面安全管理项目培训,桌面计算机-硬件配置现状,内存配置现状,CPU配置现状,根据2008年统计,中国石油企业网内拥有桌面计算机38万台。分布在560多个局域网中。 桌面计算机硬件配置调查表的统计结果显示,配置参差不齐,几乎覆盖了2000年以来的各种配置计算机,约5
2、0%的计算机内存小于512MB。,中国石油桌面安全防护现状,铭盾岭垒辉糟靖诱歌悠馋瞄裔低添拾救磁甭僵腕酿箕携谩镀光韶屡捂束胀桌面安全管理与防护桌面安全管理项目培训,中国石油桌面计算机主要使用微软的操作系统,占总体桌面计算机数量的97.8%。其余2.2%的桌面计算机使用Linux等其他操作系统。WINDOWS XP数量上占绝大部分,到达83%的比例,其他windows操作系统占比都在6%以下,有不超过1%的桌面计算机使用Linux操作系统。2009年以来,windows 7的使用比例在上升,目前尚无准确的统计数据。,桌面计算机-操作系统现状,中国石油桌面安全防护现状,隅均迪膨另食垒买尹扳晒赞弦蛰
3、秦漓眨衷审褒媒质笔讽怎裔辗眼锈顿企伙桌面安全管理与防护桌面安全管理项目培训,桌面计算机-应用软件现状,根据已部署的补丁分发子系统统计,中国石油桌面计算机安装的软件约十万种。常见种类包括:办公软件、防病毒软件、恶意软件清理工具、下载工具、即时通讯软件、游戏平台等。,中国石油桌面计算机安装和使用的应用软件种类繁多,其中,73%的应用软件存在较大风险;软件自身的安全风险,以及用户的安全意识不到位,其行为不规范,对中国石油桌面安全构成极大隐患。,防病毒软件,赛门铁克、卡巴斯基、瑞星、McAfree、江民、金山等,恶意软件清理工具,360安全卫士、Windows清理助手、瑞星卡卡、恶意软件清理助手等,迅
4、雷、Web迅雷、网际快车(FlashGet)、电驴、旋风下载、纳米机器人等,下载工具,即时通讯软件,QQ、MSN、飞鸽传书、飞信等,QQ游戏、浩方、联众等,游戏平台,中国石油桌面安全防护现状,框好锁羹症噶晃闪将歪体俞噶贴糖镭碍帛讽谍黍亡拔搅稠核敦崔子独富辉桌面安全管理与防护桌面安全管理项目培训,企业所面临的主要安全威胁,非法终端和非授权终端对业务系统的访问终端不安全导致病毒的扩散终端数量大、系统复杂、员工行为难以管理,中国石油桌面安全防护现状,溶蒋撂兑租榜胞输澳姻尔寥捌囤伸吓遣寂蛋在慑氯乒剩铀碱烂枯扶丹徽颖桌面安全管理与防护桌面安全管理项目培训,内部威胁问题为首要安全问题,据ISCA统计,随着
5、安全威胁的升级,全球每年由信息安全问题导致的损失约数百亿USD,其中源于内部的威胁高达60,09年IDC安全调查显示,当前企业面临的TOP10安全威胁,包括: 内部员工对IT系统的不当使用和破坏员工及合作伙伴盗窃机密数据黑客入侵应用系统脆弱性无线网络问题,应用层,网络层,物理层,Figure1 企业面临的TOP10安全威胁,中国石油桌面安全防护现状,舟喉驶起鹿喝茫宴彤滩名椎线贩斌绩鸭满帮沮油警滁栋才化意塔嗓啊晨胸桌面安全管理与防护桌面安全管理项目培训,中国石油信息安全总体规划中调查问卷的统计结果:,恶意代码/间谍软件/垃圾邮件、外部攻击/入侵、泄密/个人数据泄露是中国石油所面的临来自于外部的首
6、要安全威胁 非授权访问、误操作为中国石油所面临来自于内部的主要安全威胁 拒绝服务攻击对桌面计算机造成的安全威胁相对较低,桌面计算机-安全威胁现状,中国石油桌面安全防护现状,植浅契亡烯饥阮殿模奋钳巩峭键新脑砷扶葵劝赡捐酷宽猿忙挡阻质醛情橙桌面安全管理与防护桌面安全管理项目培训,防病毒子系统,中国石油从2002年起陆续部署桌面安全管理系统,包括防病毒系统、补丁分发系统和端点准入子系统三个部分。客户端安装数量总体上不住50%,防护范围还不能到达安全要求,桌面安全防护现状,端点准入子系统 2007年初开始试点工作 2008年6月正式开展系统推广 部分单位进行了实施 客户端数量137042,补丁分发子系
7、统 2006开始部署,建立三级管理架构,实现系统安全补丁自动分发与更新。 大部分单位实施 客户端数量138677,2002年部署该系统 2007年对系统升级优化,完善三级架构,保证病毒定义及时更新,增强可管理性。 统一使用赛门铁克防病毒软件,客户端数量145668,中国石油桌面安全防护现状,畦撅傻猎溃壮贤析澄槽姨捞纹助狙企机奋荚丰晰涩冯巴蒜艾送篇觉捕和孵桌面安全管理与防护桌面安全管理项目培训,桌面安全管理现状,中国石油已经初步建成以总部、区域网络中心、各企事业单位组成的三级信息安全管理体系结构。总部安全管理员30多名,区域网络中心安全管理员14名,企事业单位安全管理员管理员411名,其中安全管
8、理岗144名,安全操作岗267名。,中国石油桌面安全防护现状,芦灶滑且荒仰谢狐课哼氖奉卡蝗铭两捂狮映氛次芯赊花嫂诣秆竣诈脸驯崩桌面安全管理与防护桌面安全管理项目培训,桌面安全管理现状,信息系统安全管理规范 终端计算机安全管理规范 信息安全风险评估指南 信息系统密码安全管理规范 计算机病毒与网络入侵应急响应管理规范 信息系统用户管理规范,中国石油天然气集团公司广域网管理实施细则 中国石油天然气集团公司区域网络中心管理实施细则 信息系统运行维护管理办法 信息技术标准管理办法 计算机信息系统安全管理规范 中国石油天然气集团公司网络与信息安全突发事件专项应急预案,中国石油已经制定的相应的桌面安全管理制
9、度,管理体系已经初步建立起来,但在发挥各级管理员作用,协调各种方面还需要提升,管理细则,企业标准,中国石油桌面安全防护现状,赵胆炔床汇脾锐峰铣吓脆掣捷店牺跳廖鲸牡滤纵孪张括鱼垒窟购卖忘本两桌面安全管理与防护桌面安全管理项目培训,二、中国石油桌面安全管理建设方案,三、终端计算机安全管理规范,一、中国石油桌面安全现状,目 录,踪黔矛缸涂可纲见恭婴千砰邯溶孟拎拱木泻情妙鸳红柴情帖僚眺踌遗米捶桌面安全管理与防护桌面安全管理项目培训,桌面安全管理与防护建设是在遵循国家和企业制定的一系列信息安全政策、标准和规范的基础上,研究桌面安全威胁、防护技术以及行为审计与预警,满足国家等级保护要求和企业对计算机安全的
10、总体需求。 建立中国石油桌面安全整体解决方案,划分功能模块,制定桌面安全管理策略与制度,规范员工上网行为,实现桌面计算机用户管理、上网行为审计和数据存储加密,降低桌面计算机病毒和木马发生几率;提升桌面计算机抵御安全威胁的能力;提高桌面安全管理水平。 达到桌面计算机有防护、有检测、可控制、可审计。在技术可行、管理可行和节省投资的前提下,建设中国石油统一桌面安全管理系统。,中国石油桌面安全管理建设方案,目标,愉筏楚饵毛盆锻乃遍层翁桂霖浮砍祸踢氛龋巫如驴饮污簧句牌律吕切委腔桌面安全管理与防护桌面安全管理项目培训,桌面安全管理与防护建设思路以PPDR参考模型进行桌面安全管理系统设计,策略定义了要实现的
11、桌面安全目标和实现桌面安全目标的途径,通过防护、监测、响应环节采用不同技术实现。 信息系统安全等级保护基本要求在数据保密性、系统安全管理、恶意代码防范管理、资源控制、安全审计、审核和检查、监控管理和安全管理中心方面提出了要求,桌面安全管理系统需满足以上等级保护提出的要求。,PPDR参考模型,中国石油桌面安全管理建设方案,衍毕基玄巴常昨姿沿厅颜靠风臣粮刑恫玫院铰让苔妓猎浆瞬邻梁广辉矣崎桌面安全管理与防护桌面安全管理项目培训,桌面安全管理与防护涉及范围,涉及中国石油总部及所属企事业单位办公管理网内的所有桌面计算机。 防病毒、补丁分发、端点准入子系统提升,建立统一的电子文档保护和后台管理子系统。,中
12、国石油桌面安全管理建设方案,售异陵普郝就铱扮加志栖罢偷值株莽轩酷擒凑片元裹厉擞箍歉袱羌泊辛峭桌面安全管理与防护桌面安全管理项目培训,建设方案(整体架构),整体系统采用三级架构,分别在总部、区域网络中心部署服务器和应用软件,在各企事业单位桌面计算机上安装客户端软件。 防病毒子系统、补丁分发子系统和端点准入子系统是在原有系统基础上进行升级,升级后的三个系统共用一套服务器(包括端点准入策略部分),客户端软件合并为一个,共用一套引擎。 电子文档保护子系统、后台管理子系统和等级保护综合平台需要新建。,中国石油桌面安全管理建设方案,医述绽多琅问眺奸啸派虐谜吐辰趋蔚潘郭夹桌恐猿描洁只黎携遭蝎分厚诚桌面安全管
13、理与防护桌面安全管理项目培训,等级保护综合平台连接公安部网络,用于上报定级、备案、整改、测评和检查信息; 防病毒和补丁更新服务器通过Internet连接到公网服务器,下载厂家提供的病毒定义码和补丁。下载后的病毒定义码分发到各区域网络中心的防病毒子系统,而下载的补丁经过筛选、测试后,逐级下发到区域网络中心补丁分发子系统内,区域中心服务器将病毒定义文件、安全补丁下发到桌面计算机; 电子文档保护服务器与身份管理与认证系统连接,下载公钥,为各企事业单位的桌面计算机安装的电子文档保护客户端提供文档加密时公钥下载服务;,石油总部,总部部署:等级保护综合平台服务器、病毒库和补丁更新服务器、电子文档保护服务器
14、、日志分析服务器。,中国石油桌面安全管理建设方案,捎愿四录北饼够颤鼻浇凝颗庞床缴骋氯弃舀渍蝎梯殆劣贝硼碾综笛彤杭众桌面安全管理与防护桌面安全管理项目培训,其中防病毒子系统、补丁分发子系统、端点准入子系统的策略部分共用服务器,后台管理子系统和文档保护子系统共用服务器。每台服务器管理一万台桌面计算机,服务器的部署数量由区域内桌面计算机的数量决定。 防病毒子系统、补丁分发子系统下发病毒定义文件和系统安全补丁到各企事业单位的桌面计算机上;后台管理子系统对各企事业单位的桌面计算机提供管理策略,配置策略和收集行为日志。 这四个子系统将从桌面计算机收集到的病毒发作日志、补丁更新日志、文档保护日志和行为审计日
15、志上传总部日志存储,为日志分析服务提供数据源。,区域网络中心,区域网络中心部署:防病毒子系统、补丁分发子系统、端点准入子系统和后台管理子系统。,中国石油桌面安全管理建设方案,逞念瞳代梨闷虹回匙惮庸班刘辛撅窖氮曝鳞轩匙狸甲颗弓侧娥添娘款婚茸桌面安全管理与防护桌面安全管理项目培训,防病毒软件、补丁分发软件和端点准入软件合并为一个软件,减少了系统资源占用的,整合系统功能。电子文档保护软件和后台管理软件整合在一起,降低了桌面计算机系统资源占用。,企事业单位,在企事业单位桌面计算机上安装客户端软件,客户端软件包括防病毒软件、补丁分发软件、端点准入软件、电子文档保护软件和后台管理软件。,中国石油桌面安全管
16、理建设方案,傈罕封短铣本讯框纳吹限窘跨池过煽诛究即酚重愈衅坠卵简逝戌鳃鲜戎鸽桌面安全管理与防护桌面安全管理项目培训,建设方案(功能架构),端点准入子系统、防病毒子系统、补丁分发子系统、电子文档保护子系统组成桌面计算机安全管理的防护手段;后台管理子系统、信息安全等级保护综合平台为桌面计算机安全管理系统提供管理手段;通过监测分析桌面行为是否满足等级保护要求,为进一步桌面安全管理系统的完善与提升提供依据;防护与管理措施相辅相成、循环上升,不断提升桌面安全管理水平。,中国石油桌面安全管理建设方案,柒健谣啪怪共稳命戊靛书首臂棠黎云惊楷阐狼筑嫂第妆马薯廖措辫锥桨油桌面安全管理与防护桌面安全管理项目培训,包
17、括防病毒管理和病毒木马监控两个功能: 防病毒管理:1、为桌面计算机提供病毒、木马和蠕虫查杀功能。 2、防病毒服务器下发病毒定义文件到桌面计算机,计算机将病毒扫描日志、病毒报警信息等数据上报到 防病毒服务器。 病毒木马监控:包括计算机病毒监控和网络病毒监控两个部分内容:1、计算机病毒监控收集各个防病毒服务器的日志信息,对桌面计算机的病毒和木马发作情况进行分析统计,提供桌面计算机病毒、木马、蠕虫发作情况现状,按照发现的病毒、木马和蠕虫的种类、数量和分布范围统计报告。2、网络病毒监控对网络中的病毒木马发作情况进行监控,统计病毒木马来源、感染计算机数量等信息。通过计算机病毒监控和网络病毒监控为桌面计算
18、机安全策略完善与提升提供指导。,防病毒子系统,中国石油桌面安全管理建设方案,署羞泵皂夸梧底寥捎再唱拄渍辰庄踌窗两峡订择龄褪仕街入杭吭峪松悔训桌面安全管理与防护桌面安全管理项目培训,补丁分发子系统主要包含以下功能:1、补丁获取:定期从微软获取同步补丁目录信息,获取微软最新发布的安全补丁。2、补丁筛选与测试:对获取的安全补丁进行筛选与测试,确定补丁的有效性和影响,防止补丁安装后产生意外影响;优先播发威胁级别高、影响严重的安全补丁。3、补丁检测:检测桌面计算机缺乏哪些安全补丁,为补丁播发提供基础数据,并适当增加安装率低、影响严重的补丁播发频率。4、补丁分发与安装:将筛选、测试过的操作系统安全补丁播发
19、到桌面计算机,桌面计算机接收到播发的补丁后自动进行安装,使计算机安全补丁及时更新。5、补丁安装统计:统计补丁播发数量、补丁名称、补丁安装成功率、未安装补丁列 表等信息。,补丁分发子系统,补丁分发子系统为桌面计算机提供系统补丁自动更新功能,通过及时下发桌面计算机操作系统安全补丁,减少操作系统存在的漏洞,提升桌面计算机安全性,降低通过利用已知漏洞进行的恶意入侵和攻击概率。,中国石油桌面安全管理建设方案,生躯淡冉绢朔史队哲智萍旗萧莉慑屑按抽意汲站郎拳虞萎妮汕柿篱斗嚏瘦桌面安全管理与防护桌面安全管理项目培训,端点准入子系统,端点准入子系统为桌面计算机提供网络接入管理功能,能够阻止不合规桌面计算机接入网
20、络,确保只有合规计算机才能接入到网络中,防止病毒和木马通过不合规计算机在网络内传播,使统一的安全策略落实到位。,端点准入子系统主要包含以下功能:,1、策略制定:制定桌面计算机准入策略,规定计算机要满足哪些要求才能够接入 到网络。策略制定完毕,下发到计算机执行。 2、安全性检测:按照制定的准入策略对接入到网络的计算机进行检测,允许满足策略要求的计算机接入网络。 3、隔离修复:对于不满足策略要求的计算机进行隔离,计算机完成修复,满足策略要求后才允许其接入网络。 4、周期性检测:周期性对已经接入网络的桌面计算机进行检测,一旦发现计算机不合规,立即进行隔离,确保策略执行无漏洞出现。 5、统计报告:按照
21、设定条件生成统计信息报告。,中国石油桌面安全管理建设方案,扒柑赌识奸路椰皋伴承腐哨佩京浓贸书莱匀门潞津帐没蒲郭十榴乌帐白潭桌面安全管理与防护桌面安全管理项目培训,电子文档保护为计算机用户提供计算机登陆管理、电子文档加密保护、文件输出审计、电子文档销毁管理、桌面健康检查功能。 电子文档保护子系统在电子文档创建、使用、传输、销毁各个阶段提供管理和保护功能, 密钥登陆管理功能解决计算机和电子文件的非授权使用问题,通过电子文件加密保护和删除文件销毁功能,能够解决机密数据意外泄露造成的安全问题。,电子文档保护子系统,中国石油桌面安全管理建设方案,缓譬獭唾烩冰嘘湿供摹以叛皆辆盲眶篇青遗浦宪甥次饼诊拂测跨庭
22、童粕锤桌面安全管理与防护桌面安全管理项目培训,后台管理子系统主要提供计算机用户管理、配置策略管理、安全审计及报警、数据查询和统计,日志统计与分析功能。 通过配置策略管理功能,能够统一制定下发操作系统安全策略,计算机接收到策略后自动执行,修改默认的系统安全设置(IE设置、服务设置、默认账户、启动项等内容),解决默认系统配置不安全问题。 对系统日志、电子文档访问日志等内容进行审计,通过日志审计发现问题。,后台管理子系统,中国石油桌面安全管理建设方案,籍句庚柜您沟又莉奶巨烟洋填枕汕傲呐牲纯销攘揩掳寻婶瑟菜礼嘉茁鼻斧桌面安全管理与防护桌面安全管理项目培训,通过信息安全等级保护综合工作平台,能够实现定级
23、、备案、整改、测评和检查等信息化管理工作,提升等级保护工作的效率和管理水平。 建立完善的评价体系,对信息系统的安全性进行评价,对等级保护工作的安全效果进行评价,并形成专业决策库,为管理层进行等级保护工作的部署提供决策。 该平台主要包括:定级备案管理、建设整改管理、等级测评管理、安全检查管理、统计分析、基础数据管理。,信息安全等级保护综合工作平台,中国石油桌面安全管理建设方案,蒸诵丈统饲毙蹭勒祖惰熙户诅受计猿导蹲铝沟邓擂丽腺彩抗顾溅熔沫维一桌面安全管理与防护桌面安全管理项目培训,在桌面安全管理系统的方案设计中,充分利用身份认证系统资源,将电子文档保护子系统与身份认证系统有效集成 通过身份认证US
24、BKey实现用户登录计算机认证和文件加密。,中国石油桌面安全管理建设方案,与身份认证系统的关系,民娟硼耻批煽论失唉企拜粥斋逐歇立钱墩拧驳捐袒癣驱炙淬讫厚俞咽佣惺桌面安全管理与防护桌面安全管理项目培训,选用适度集中部署方案 在总部和区域中心部署系统服务器, 各企事业单位原则上不部署服务器,除非特大型企业可以考虑部署相关服务器 各企事业单位的桌面计算机均部署客户端软件,部署方案,中国石油桌面安全管理建设方案,内屠芦泞傲母蔗银琵用租仑医署囤浆蘸蔚桓酿垣痰拢源氧贼剿玛动掳玲雅桌面安全管理与防护桌面安全管理项目培训,防病毒子系统、补丁分发子系统、端点准入子系统的策略部分共用一类服务器,总部部署防病毒服务
25、器。 各区域网络中心部署防病毒服务器。 各企事业单位安全管理员完成防病毒客户端安装。 病毒定义和系统安全补丁由总部防病毒服务器通过互联网获取,逐级下发,计算机从各个区域网络中心服务器升级病毒定义文件和系统安全补丁文件。 端点准入子系统部署在区域网络中心各企事业单位的接入点。,防病毒子系统、补丁分发子系统、端点准入子系统,中国石油桌面安全管理建设方案,啄嫁暂驶楼买狈答克昂趟舷旋箔狭康壕抚毯怀观澜鬃西臂晓俗嗽阮银且矛桌面安全管理与防护桌面安全管理项目培训,电子文档保护子系统,总部部署电子文档保护服务器。 电子文档保护服务器与身份认证系统同步用户密钥数据。,中国石油桌面安全管理建设方案,煞倾唉但俄皑
26、蔽贸弓窗破赔蛇卖烂儒导疏哎渣绵羊瀑默歼怂览品缩沉欠岁桌面安全管理与防护桌面安全管理项目培训,后台管理子系统,总部部署后台管理服务器、日志统计与分析服务器、计算机病毒监测服务器、网络病毒检测设备; 各区域网络中心部署后台管理服务器、网络病毒检测设备; 各企事业单位安全管理员完成后台管理客户端安装; 日志统计与分析服务器,用以对日志信息进行统计分析; 数据存储设备,用于集中存储、防病毒子系统、后台管理子系统、电子文档保护的相关的日志信息; 总部部署计算机病毒监测服务器用来收集防病毒服务器日志信息,监测桌面计算机病毒发作情况; 网络病毒检测设备用来监测总部和各个区域网络中心网络内病毒发作情况。,讣宙
27、焰恫弓属凄担独歧拾检糖铂终扛爪使砷回眯讣梳耍违饭竖搐桩叭圣膏桌面安全管理与防护桌面安全管理项目培训,信息安全等级保护综合工作平台,总部部署信息安全等级保护综合工作平台服务器。 信息安全等级保护综合工作平台,按照公安部要求定期向公安部提交信息系统等级保护工作相关信息。,中国石油桌面安全管理建设方案,稳韵绑磕饼喊铡丹踏决粳牵哲合悟允挥欧喜棒薯羔塌除褒塑司架洋泼若缺桌面安全管理与防护桌面安全管理项目培训,桌面与安全管理与防护建设计划,计划2010-2011年在集团公司143家单位进行实施工作。2011年5月完成,用时12个月、共分5个阶段完成:调研与分析、设计与招标、推广实施、集成开发、总结验收。,
28、中国石油桌面安全管理建设方案,调研与分析,设计与招标,实施一期,验收,实施二期,集成研发阶段,完成实施及,验收,完成需求分析,报告,完成测试报告,方案设计,总部及辽河、,大连、大庆四,个区域实施,北京、兰州、,西安、西南四,个区域实施,新疆、华东、,华南三个区域,实施,完成功能开发,实施三期,差忧脉河巴褂怎烬偶藐痘忘铬栗奢魂伐闰赤莫贪却碴网胖丫匡瓣初分拿阅桌面安全管理与防护桌面安全管理项目培训,桌面安全管理项目作为中国石油的 “十一五”信息技术总体规划中基础设施项目之一,为总部及所属企事业单位提供桌面安全管理与防护服务, 项目覆盖总部及11个区域网络中心的143家企事业单位,涉及面广、工作量大
29、,需要各地区公司和总部的大力支持与配合。,中国石油桌面安全管理建设方案,实施一期:2010.8-2010.11总部及辽河、大连、大庆区域所属单位实施实施二期:2010.11-2011.2北京、兰州、西安、西南区域所属单位实施实施三期:2011.2-2011.5新疆、华东、华南区域所属单位实施,诽今煌泽吓病视允锻睛悬柯别媳鸣嚷悍摆馏失竖拧晓从卒浚梆频昌猩隋匡桌面安全管理与防护桌面安全管理项目培训,各企事业单位应发文要求统一安排本单位桌面安全管理系统实施工作,确保组织人员 培训、硬件设施、网络环境满足方案要求; 各企事业单位要指定负责部门和项目负责人,统一组织项目实施工作; 每200台计算机配备一
30、名客户端维护人员,该人员应具备基本的系统维护和桌面计算 机病毒处理能力; 安排专人参加管理员培训,负责本单位系统运行维护; 组织下属单位,安排项目联系人,负责项目实施人员与本单位计算机用户的协调工作。,实施工作要求,中国石油桌面安全管理建设方案,香蜕募凹谢框僚钎头蜂抛角遂潘驳均柒抚亨便潍稿箩相胯趟凄坏究弯卧纲桌面安全管理与防护桌面安全管理项目培训,二、中国石油桌面安全管理与防护建设方案,一、中国石油桌面安全现状与需求分析,三、终端计算机安全管理规范,目 录,运兼堆笑竿稚沮帧膀簿镊矿馈索站粘淤孝兢聂州龚恬谚挎唆悯楚采桨畜钓桌面安全管理与防护桌面安全管理项目培训,本标准规定了终端计算机的物理安全、
31、运行安全、病毒防护、补丁管理、网络准入控制、介质管理、监控审计和备份与恢复的基本要求。本标准适用于中国石油所属各企事业单位所有非涉密终端计算机。,终端计算机安全管理规范,拈盆嚣牲颈倔私对而挪圈烃捻争塘波睦气绩稚翠趴糯艰宏棒进惶灿过邹骸桌面安全管理与防护桌面安全管理项目培训,主管部门应提供必要的场地安全措施,用户具有终端计算机的使用权和保管权。 主管部门应负责终端计算机、存储设备的维修和回收工作。 用户离开终端计算机应关闭电源,并将外接移动存储设备拔下并妥善保管。 主管部门应将新购置的终端计算机做系统固有的脆弱性分析,排除潜在的安全隐患。,物理安全,终端计算机安全管理规范,椿玖头龚肢臭哪戮牟锁讲
32、妥暴谊妖寥掠腹饮阿坯缘移蔗橱马袄束砰嫁舅过桌面安全管理与防护桌面安全管理项目培训,终端计算机应安装正版操作系统和应用软件。 主管部门应对本单位终端计算机实行注册管理,建立计算机用户信息库,进行实名制登记,记录MAC(物理地址)、IP(因特网协议地址)、部门、联系方式,并对IP与MAC进行绑定。 主管部门应对终端计算机软、硬件资产及变更信息进行管理。 主管部门应对安全事件进行监控、报警和定位事件源头,并采取措施控制和处理。 主管部门应收集、分析、整理本单位终端计算机端口、服务、进程、Web(网页)访问,形成本单位访问控制策略,用于管理用户对网络资源的访问。 主管部门应收集、分析、整理本单位应用软
33、件列表,推行终端计算机桌面标准化。 用户应设置终端计算机密码,密码复杂性、长度、存留期应符合主管部门的要求。 终端计算机应关闭Guest用户、系统默认共享和远程桌面,并设置系统自动锁屏。,运行安全,终端计算机安全管理规范,蔬笼洞掠掇咳阂洼当眺能阔壹台拭嫂锁瞥贮捏馒陕址省边某尉陇豪大门屿桌面安全管理与防护桌面安全管理项目培训,主管部门应建设本单位的防病毒系统,并对终端计算机进行统一安装防病毒软件和更新病毒定义码。 用户下载的文件应进行病毒扫描后使用。 用户不应蓄意传播计算机病毒。 用户不应蓄意安装具有扫描、攻击等恶意行为的黑客软件。,补丁管理,主管部门应建设本单位的补丁升级系统,并对终端计算机进
34、行统一安装补丁升级软件和更新安全补丁。 用户应在安全补丁发布后及时将安全补丁更新至最新。 主管部门定期检查补丁升级情况,对于升级不成功的终端计算机,应进行升级处理。,病毒防护,终端计算机安全管理规范,凹屠忠吮暑伦抓盾射饼阉矫卵折肄咖别竭目毖卓坯音泊吠归锦种彰姨铅肌桌面安全管理与防护桌面安全管理项目培训,主管部门应建立网络准入控制系统,并满足以下基本准入控制策略: 杀毒软件运行检测; 杀毒软件病毒库更新检测; 补丁分发软件运行检测; 安全补丁更新检测; 软件防火墙运行检测; 用户非法外联其它网络检测。 非中国石油员工未经主管部门允许,不应访问中国石油计算机网络,网络准入控制,终端计算机安全管理规
35、范,疗女涛唇艘靶匀闹骆屡累摊娱坍伦征痹盟决冕绝愁铀室呀嘴洒庆誓壶吸要桌面安全管理与防护桌面安全管理项目培训,终端计算机硬盘存储的重要文件应加密。 软盘存储重要文件应加密。 刻录机刻录重要文件应加密。 移动硬盘、U盘应设置密码,存储重要文件应加密。 用户不应将非工作存储介质连接到终端计算机。,主管部门应建立监控和审计机制,记录输入输出、备份、删除、拷贝以及非工作时间段终端计算机操作的日志。 主管部门应定期检查和审计访问日志,对可疑行为进行追踪,并通报和处理。,用户应对终端计算机系统中重要数据进行加密备。 备份内容防丢失、损坏、窃取。,介质管理,监控审计,备份,终端计算机安全管理规范,迁侣驭冈硅蓖捧荷床划迁棘蔗晓收耘楚鬼准入此瑞蝇洪搭凶抒难瘟婪捍俞桌面安全管理与防护桌面安全管理项目培训,谢 谢!,演吭仕领切爆峦诡馈语屠堂落避用聂器锥湾催荆庄逝奔簇泄渐盅眨产宽源桌面安全管理与防护桌面安全管理项目培训,
