用终端安全管理系统构建内网安全体系.pdfVIP

软件服务 2014年·第11期 Practice 栏目编辑：罗锦莉 E-mail:luo102500@163.com 用终端安全管理系统构建内网安全体系 ■   中国人民银行南昌中心支行   冷  平 随着人民银行重要业务系统逐步上收到总行，保障 指引，用于规范信息系统软硬件安全配置。终端操作系 业务网络安全稳定运行成为信息安全保障工作的重中 统如能按照指引进行配置，安全性能可以得到有效加 之重。人民银行内部业务网络和互联网实行严格的物 固。由于各单位人员较多，计算机操作水平参差不齐， 理隔离，终端计算机是内部业务网络的重要组成部分， 部门计算机安全员工作未完全到位，造成部分计算机 要构建一个相对独立、可靠的内网安全体系，必须加强 安全配置不完善。科技部门如未及时安排安全加固，将 终端计算机的安全管理。 形成安全隐患。 （四）网络违规接入 一、终端存在的风险隐患 人民银行内部业务网络和互联网实行物理隔离， 在终端安全管理系统上线前，科技部门终端安全 并在业务网络部署了非法外联监控系统，接入业务网 管理工作存在以下难点。 络的计算机禁止私自接入互联网。现代数码产品的普 （一）移动存储介质违规使用 及带来了网络访问的便捷，也加大了网络安全管理的难 移动存储介质在内外网交叉使用，可形成安全隐 度。如果业务网络的计算机通过ADSL拨号、手机无线 患：交叉使用移动存储易造成病毒、木马及其他恶意 拨号和无线网卡等方式连接到互联网，破坏内部网络 软件的大量传播；内网计算机感染木马病毒后，通过 和互联网物理隔离特性，将会引起非法外联监控系统 移动存储介质“摆渡”的途径可使内部的敏感信息向 的报警，严重违反信息安全管理规定。 外网泄露。在人民银行信息安全管理规定中，明确要 求严格管理移动存储介质，严禁违规使用移动存储介 二、运用终端安全管理系统的解决方法 质。科技部门通过信息安全培训也在重点宣传移动介 中国人民银行南昌中心支行（以下简称“南昌中 质的使用管理制度，但移动介质违规接入事件还是难 支”）于2010年在省内按“分级管理”模式部署了终端 以避免。 安全管理系统，省级中心支行和地市中心支行同时部署 （二）终端未安装必要的安全软件 了终端安全管理服务器和系统软件，实现了江西省人民 人民银行内部终端需要安装防病毒、补丁分发、非 银行系统终端的“分级—集中”管理。通过在系统中实 法外联监控、终端安全管理等安全软件，终端安全软件 施以下安全策略，较好地解决了终端安全管理中存在的 安装不全，会造成病毒、木马及其他恶意软件大范围传 难点问题（如图1所示）。 播，计算机容易遭受攻击，安全稳定的网络环境无法得 （一）移动存储介质管理 到保障。 终端安全管理系统可以提供对移动存储介质的有 桌面终端一般数量较多，系统配置情况复杂。单纯 效管控。系统将移动存储介质区分为注册介质和非注