网络安全——终端安全

背景

大中型企业桌面计算机数量众多，管理难度大，桌面安全问题突出。人们提起信息安全，往往把注意力集中在防火墙、防病毒、IDS、IPS、网络互连设备（Router、Switch）等的管理上，却忽略了对网络环境中的计算单元——桌面安全管理。

桌面安全，是传统网络安全防范体系的补充，也是未来网络安全防范体系的重要组成部分，终端桌面安全管理技术无论是现在还是未来都应当归入基础网络安全产品体系。

 

Large and medium-sized enterprises have a large number of desktop computers, which are difficult to manage and have prominent desktop security problems. When people mention information security, they often focus on the management of firewall, anti-virus, IDS, IPS, network interconnection devices (Router, Switch), but ignore the management of desktop security, which is the computing unit in the network environment.

Desktop security is a supplement to the traditional network security protection system and an important part of the future network security protection system. Terminal desktop security management technology should be included in the basic network security product system, both now and in the future.

目的

建立桌面计算机安全管理系统的意义在于解决大批量的计算机安全管理问题。这些问题包括加强桌面计算机的安全性、及时更新系统补丁、实时监测计算机的安全状态是否符合管理规定、计算机是否做了非法操作等等。

• 批量管理设置计算机，如批量安装、批量安全设置；
• 防止外来计算机非法接入，避免网络安全遭受破坏或信息泄密；
• 限制桌面系统非法操作，如禁止拨号上网、禁止使用外部邮箱、禁止访问非法网站、禁止将机密文件复制发送到外部等。

一、磁盘加密

磁盘加密技术是一种通过专门工具对磁盘的扇区磁道等进行加密的方法，一般直接嵌入到操作系统中，对于使用者来说是透明的（使用者需知道密码）。

Windows BitLocker驱动器加密通过加密windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。Bitlocker使用TPM（受信任的平台模块）保护windows操作系统和用户数据。TPM是一个内置在计算机中的微芯片。它用于存储加密信息，如加密秘钥。

目的

主要作用是防止计算机设备的物理磁盘丢失导致的数据失窃或恶意篡改。

bitlocker加密整个卷，可以保护所有数据，包括操作系统本身、注册表、temp以及休眠文件，解决数据在启动过程中TPM将释放秘钥，而TMP内置与计算机芯片中，所以攻击者无法通过将硬盘安装到另个台电脑上来读取数据。

二、终端硬件端口控制

USB（Universal Serial Bus，通用串行总线）用于将鼠标、键盘、移动硬盘、数码相机、打印机等外设连接到计算机。通过USB接口泄密已经是计算机内部网络信息泄露发生的一个重要途径。

很多病毒利用USB移动储存介质作为传播媒介，为终端桌面安全带来了很大威胁，著名的伊朗核实验室就是通过移动介质带入病毒。

目的

1. 信息泄露
2. 移动介质带入病毒。

最新的USB口权限是将“卡和槽服务”的功能直接集成到操作系统内部。目前市场上主要有信安世纪Desksafe2.0、清华紫光S锁、华为聚合式桌面安全解决方案和趋势科技企业桌面安全解决方案等。

三、系统安全

此系统不仅是指操作系统，而且包含桌面终端所在的信息系统。

1、DMZ

DMZ提供的服务是经过地址转换和受安全规则限制的，以达到隐蔽真实地址。

通常网络通信流向禁止外网区与内网区直接通信，DMZ区既可与外网通信，也可以与内网通信。需注意：DMZ区服务器与内网区、外网区的通信是经过网络地址转换实现的。

2、物理安全

1. 保证机房环境安全
2. 选择合适的传输介质
3. 保证供电安全可靠

3、主机系统安全

主机系统安全主要包括操作系统安全、数据库系统安全、系统访问控制安全、安全审计和主机运行安全。