企業(yè)終端安全管理概要-電腦資料

1、企業(yè)終端安全管理概要-電腦資料企業(yè)終端安全管理包括兩個層面：主機安全層面和數(shù)據(jù)安全層面。第一層面：主機安全管理1、密碼管理設(shè)置安全、有效的密碼能夠保證主機不被非法地使用，也可以保 證即使在主機丟失的情況下，不法用戶也不能訪問。密碼管理包括 如下幾個方面：1）設(shè)置 BIOS （BasicInput/OutputSystem,基本輸入/輸出系統(tǒng)） 密碼：防止用戶對主機BIOS相關(guān)參數(shù)進行非法修改；2）設(shè)置操作系統(tǒng)登錄密碼：防止用戶對操作系統(tǒng)及其資源進行非 法使用；3）設(shè)置密碼長度、密碼過期時間、錯誤密碼嘗試次數(shù)等：保證密 碼的有效性，定期更新，并防范不法用戶通過惡意密碼嘗試來獲取 密碼。2、防病毒

2、、防入侵管理聯(lián)網(wǎng)的計算機容易受到病毒、惡意軟件等的入侵和危害，針對其 的管理包括：1）安裝防病毒軟件，并定期進行防病毒軟件升級和查殺工作；2）安裝主機入侵防護軟件，如S5nnantecEndpointProtection等， 從惡意軟件防護、文件系統(tǒng)保護、進出郵件掃描等方面進行整體的 防護工作，啟動該軟件的實時檢測和防范模式，并定期對該軟件升 級。3、主機脆弱性管理：補丁作為操作系統(tǒng)軟件，定期的修補其自身的弱點（Vulnerability, 也稱為漏洞）是主機脆弱性管理的主要內(nèi)容。主要通過從門戶網(wǎng)站 （如微軟、紅帽等）下載補丁軟件進行操作系統(tǒng)補丁升級，或者通 過其他第三方工具（如360安全衛(wèi)士

3、）來對操作系統(tǒng)的漏洞采用打 補丁的方式來進行修補。4、端口管理聯(lián)網(wǎng)計算機的每一個開放端口 （Port）,都為不法用戶的入侵提 供了一個可能的通道，因此端口管理要做好如下工作：1）盡可能地關(guān)閉系統(tǒng)不需要的服務(wù)端口，如HTTP服務(wù)端口、FTP 服務(wù)端口等；2）周期性地檢查（進入控制面板或者使用如360安全衛(wèi)士等的第 三方工具）主機的端口開放情況，并及時關(guān)閉無意或者被非法打開 的端口及其服務(wù)，5、主機權(quán)限管理為防范用戶隨意安裝軟件帶來的系統(tǒng)安全隱患，需要做好如下主 機權(quán)限管理工作：1）管理員等高級權(quán)限由管理員掌握，普通用戶不應(yīng)分配高級權(quán)限, 從而防止隨意安裝軟件；2）普通用戶安裝軟件需要高級權(quán)限時，

4、需經(jīng)管理員批準(zhǔn)、審核后 進行；3）管理員定期對用戶的權(quán)限進行審核和管理。第二層面：數(shù)據(jù)防泄露安全管理1、數(shù)據(jù)共享管理聯(lián)網(wǎng)計算機在數(shù)據(jù)共享管理方面，需要注意如下幾點：1）盡可能少地開發(fā)數(shù)據(jù)共享資源，任何一個資源都是一個可能被 攻擊的門戶；2）對共享資源設(shè)定詳細的共享選項，如針對某些用戶的某些具體 操作（如讀/寫/執(zhí)行等）。2、移動介質(zhì)管理員工因USB等移動設(shè)備使用不當(dāng)，可能造成有意或無意的機密數(shù) 據(jù)丟失。另外，員工還可以隨意接入各類外設(shè)和移動存儲設(shè)備（如： U盤、移動硬盤、手機/MP3/MP4、數(shù)碼相機等）帶走內(nèi)部資料，造成 機密數(shù)據(jù)丟失等。移動介質(zhì)管理可以采取如下方法：1）通過軟件、腳本等方式完全禁止員工使用移動設(shè)備進行數(shù)據(jù)拷 貝；2）對于特別允許的使用移動設(shè)備的員工，可以使用軟件對員工的 移動設(shè)備使用進行事中記錄和事后審計。3、上網(wǎng)行為管理用戶上網(wǎng)行為，包括網(wǎng)頁瀏覽、發(fā)送/接收WebMail、軟件下載 等，都可能導(dǎo)致惡意軟件的侵入和數(shù)據(jù)的泄漏，可以采用如下方法 進行管理：1）在員工電腦客戶端安裝諸如SymantecEndpointProtection 360安全衛(wèi)士等安全應(yīng)用軟件，從多個層面保護用戶上網(wǎng)過程中不 會遭受病毒和木馬的入侵；2）在公司網(wǎng)關(guān)（也叫Proxy,代理服務(wù)器）處部署相應(yīng)的安全產(chǎn) 品，如Web防火墻、入侵檢測/防御系統(tǒng)、UTM（Uni