返回
浅谈涉密信息系统单机防护

浅谈涉密信息系统单机防护

ID:27916728

大小:60.50 KB

页数:3页

时间:2018-12-07

浅谈涉密信息系统单机防护_第1页
浅谈涉密信息系统单机防护_第2页
浅谈涉密信息系统单机防护_第3页
资源描述:

《浅谈涉密信息系统单机防护》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、浅谈涉密信息系统单机防护中国航天科技集团公司第九研究院第七0四所郑奇敏1、涉密单机管理的现状及存在的问题对涉密单机的防护一直是各单位容易忽视、难以人手的工作,俗话说“宁做一个网络的防护,不做一台单机的防护”。这项上作之所以说难,主要是涉及范围大、数量多、分布分散,单机不像网络屮的终端,所有安全策略(包括审计、防病毒、系统补丁等)只要网络通畅,儿乎能够同时下发到每台连网终端,而且.通过各个系统的监控,可以很容易查到有哪些终端米正常收到下发的策略,管理员能够有针对性地处理这类问题。但单机的所有工作都必须手工逐台完成,不能偷一点懒,也没有捷径,还不能忽略每一个细节,有一台单机未防护到位,就可能造成整

2、个涉密信息系统存在漏洞和隐患。除了必须采取的安企措施,定期审计与检查也是非常重要的环节,单机的审计不能自动集屮汇总至审计服务器上,只能是一台俞地导出并汇总、审查,工作难度可想而知。这里谈论的笮机防护是一些必备的方法,目的是为了加强涉密信息系统单机的防护能力,并提高用户的安全防范意识,规范其相关操作。随着技术的不断发展,我相信对单机的防护会有更多、更有效的手段,使单机成力涉密信息系统安全、可靠的一部分。在各单位A,会有大量的涉密信息和单位A部信息存在于网络终端与单机屮,单机与连M终端样,存在着共性问题。首先,使用的操作系统一般都是微软提供的windows,这个开放式的系统不仅存在大量的漏洞,其登

3、录安仝隐患也致使系统中的数据存储变得“开放”。其次,因工作耑要开放的各类端口更是信息进出的通道,同时病毒也就利朋这种方式“随便”进入系统,使得敏感数据很容易被窃取因此.做不好涉密单机的防护,涉密信息系统的安企也只是片而的。2涉密单机的必备防护方法涉密单机的防护有很多方面与网络用户终端相同,但又有所区别。首先,在单机的BIOs设置中.必须要通过设置超级用户U令來控制终端的使用人员不得随意打开各种端U,包括串、并口,PCI总线,红外,蓝牙,火线IEEE1394等,不得修改设备启功顺序(必须将硬盘设置为第一启动设备),普通用户只有设置幵机口令并浏览各项设置结果的权限一在这里要特别说明一下,单位可在采

4、购计算机之前,与合作厂商协商,一律取消计算机主板上自带的、严禁涉密单位使用的端口,甚至不安装软驱、光驱,并且可以将BIOS版本初始化为不带一键恢复功能的版本(如联想品牌机等),这样直接从没备生产厂商那里就能够完成一些硬件底层的基础控制工作,直接达到无非法设备可用的目的。因为通过这种手段,基木上可以控制用户使用与工作无关的端口,或采用光盘启动的方式绕过身份鉴别,非授权获得硬盘屮的数据。当然,这要与机箱锁或机箱铅封配合使,使用才有效。试想,如果机箱本身可以随意拆卸,那么BIOS的控制是毫无意义的。这是通过一个基本的技术与物理措施,实现第一少系统发全登录验证。系统第二步的安伞登录验证必须通过USBK

5、EY与系统域账户绑定、结合PIN码的方式来实现,或采用CA、RA、LRA证书逐级发放的模式进行身份鉴别。通过主机临控审计系统,可以实现用户信息与终端信息的绑定,即该用户的USBKEY只能访问绑定的终端,可以是一对一、一对多、多对一的方式。当用户尝试使用自己的USBKEY去登录其他米被绑定的终端时,会提示“无法通过绑定验证,请使用其他平台登录”。USBKEY内的账户信息必须是该终端内的本地账户,但鉴于单机的用途相对简单.,可考虑只给予使用人(user)的权限,将单机的管理员(Administrator)账户权限收回,可以控制,用户的部分操作,比如安装软件、变更设置等,从某种意义上说降低了用户的使

6、用权限,单机的使用安全就更进一步。再细分,若存在多个用户使用一台单机,要如何控制各自数据的访问权限呢?使用NTFS格式的操作系统,建立多个user账户,通过主机监控审计系统,将多个用户的USBKEY与此台终端绑定,不同用户使用各自的USBKEY登录操作系统后,建立系统加密文什灾即可实现,其他用户虽然可以看到这个文件夹,但是没有打开的权限。使用USBKEY控制可登录终端的川户,通过不同的账户实现文件夹的读写,即可实现多人一机。但本人并不推荐使用这种方法,毕竟多介质,病毒库更新速度慢的单机很可能通过介质将病毒传播到连网终端上,整个系统屮的病毒将得不到有效控制,也增大了管理人员分析病毒来源的难度。原

7、则上一律禁用单机的所有端口、设备,包括串、并口,无线,红外,蓝牙,Modem,软驱,光驱,打印机等,最好采用物理拆除或封门方式。可以以部门为单位配备移动DVD光驱,单机用户需要使用光盘安装软件时经审批同意后,由专人携带移动光驱为其安装,完成后将移动光驱拆除并锁柜保管。另外必须严格拧制安装打印机的数量及位置,安装打印机的终端要做好打印登记。因调试设备或连接机床的设备需要幵放的端口比较多、应用特殊,可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。