互联网金融信息安全 客户机安全 客户机安全.pptxVIP

互联网金融信息安全2.1.6 客户机安全《互联网金融信息安全》本节教学目标：了解客户机的安全相关知识2.1.6客户机安全 在企业、单位的内部网络中，除了一些提供网络服务的服务器外，应用更多的是客户机。网络管理人员可以考虑制定标准的客户机安全政策,利用一些安全设定与保护机制来管理这些有潜在风险的客户机系统。 客户机是对企业网络进行内部攻击的最常见的攻击源头，其对系统安全管理员的工作构成了挑战：一是因为网络中客户机的数量很多；二是因为许多用户没有接受过网络安全教育，或不关心网络安全问题。虽然阻止外部对网络内部客户机的访问相对容易，但要防止内部的攻击却困难得多。客户机如图2.5所示。图2.5 客户机2.1.6客户机安全 1.客户机的安全策略网络安全管理员为客户机制订合理的、切实可行的安全策略，利用相关的安全产品，提高客户机的安全性是非常必要的。(1)客户机系统安全①下载安装软件开发厂商提供的补丁程序，并执行修补作业。 ②安装防毒软件并定期更新病毒码。③定期执行文件和数据的备份。④关闭或移除不必要的应用程序。⑤合理使用客户机管理程序。⑥不随意下载或执行来源不明的文档或程序。2.1.6客户机安全 (2)客户机安全设定①设定使用者授权机制。在企业、单位内部网络环境里，可以明确唯有授权的使用者方可使用内部网的客户机。另外，使用者可以启动屏幕保护程序来限制非授权人的使用，以保护客户机中所存放的数据。②设定访问控制权限。对于客户机中机密或重要的文档/目录进行权限控制，非授权人无法读取重要的文件或利用密码保护功能进行控制。③设定安全的远程管理。Windows Server 2003 及以上版本都支持远程桌面控制功能，都提供远程对服务器和客户机的安全管理工具，用户只需简单设定一下即可。2.1.6客户机安全 2.客户机的风险防护(1)对身份认证风险的防护从操作系统安全方面来看，身份认证是最先考虑的环节，获得一个用户的身份就掌握了所登录计算机的所有资源，同时也很容易获得各应用系统的使用权限，因此身份认证方式的安全有效是非常重要的。目前，从技术上看身份认证主要有用户名+复杂口令、电子密钥+PIN码和人体生理特征识别三种方式。通常情况下，主机采用用户名和设置复杂口令的身份认证方式。该方式一般要求的口令位数为12位或更多，由字母、数字、特殊符号混合组成，并定期更换。但这种方式的缺点是系统的口令容易被破解，且终端用户在口令更换周期、口令复杂性等方面很难严格执行，日常管理难度较大。对于Windows 7 客户机操作系统，可以使用组策略管理方法，由网络管理员直接配置系统密码策略和账户锁定策略，对密码长度、更换周期、锁定时长和无效登录阈值等进行具体限制。2.1.6客户机安全 (2)对信息泄露风险的防护根据网络模式、安全保密需求等具体情况的不同，用户权限的管理在各应用场合的要求也不同。在安全保密要求较高的部门，客户机的I/O端口应该是受到控制的。通常可利用相关安全产品对客户机的光驱、USB口、COM口、LPT口以及打印机(本地打印机和网络打印机)等I/O端口进行使用权限控制。同时出于安全性和保护内部机密的需要，要求相关安全产品提供审计功能以加强对内部网络中客户机的监控和管理。就审计功能而言，可以有如下审计内容。●审计客户机的身份认证内容，如每天用户登录尝试次数、登录时间等信息。●审计客户机与移动存储设备间的文件操作，包括复制、删除、剪切、粘贴、文件另存为等。●审计客户机的打印机使用情况,记录打印文件名称、打印时间、打印页数等信息。●禁止客户机以无线方式接入互联网，并部署审计策略记录客户机未成功的联网行为。2.1.6客户机安全 (3)对内部攻击风险的防护对于来自内部网络的攻击，除了加强口令强度预防外，还应采取及时安装系统补丁、进行策略设置和安装病毒防护系统等安全措施。(4)对移动存储介质风险的防护为了降低移动存储介质带来的安全风险，应在企业内部对所有移动存储介质进行统一管理。对不同的存储介质采取不同的技术和管理措施。通过技术手段使外来移动存储介质无法接入企业内部网，内部网中认证过的移动存储介质也仅能在授权的客户机上使用，对涉密的移动存储介质应采取加密等技术使其在授权之外的计算机上无法使用，以降低因介质丢失或管理不严带来的安全风险。