北信源证券网络桌面安全课件.pptVIP

北信源终端安全管理解决方案

1.病毒和恶意程序影响网络正常运行；2.黑客行为影响正常交易。3.内部威胁：4.用户违规行为带来的危险；5.用户越权使用造成的威胁。

主机资源消耗网络资源消耗通用性必威体育官网网址性

1.防止由于网络终端造成的行情网和办公网等各子网之间的直接连接；2.内部重要信息的输出审计；3.违规网站连接审计和控制。

——移动设备控制——1.移动设备接入认证管理；2.移动设备行为控制；3.移动设备安全控制；4.移动设备数据交换控制；5.移动设备数据交换审计；

——防火墙——3.地址及端口转换（NAT、PAT）功能4.建立三个以上网络区域的能力：外网、内网、一个或多个DMZ区

2.数据审计和回放；

——移动存储设备控制——1.移动存储设备接入认证管理；2.移动存储数据读写控制；3.移动存储设备分组管理；4.移动存储设备使用行为审计；5.移动存储设备数据加密控制；6.移动存储设备销毁。

2.采用安全域的概念进行网络逻辑和物理划分，同一安全域应尽可能地只支持单一的业务、服务或流程，形成清晰的安全域边界3.根据各部门的工作职能、重要性、所涉及信息等级等因素，划分不同的子网或网段。4.合理设计网络带宽，按照对业务服务的重要次序制定带宽分配优先级别

——节点加固——主机加固?补丁加固；?弱口令；?防病毒软件的安装和正常运行。?采用权限分级策略；?限制远程管理，并采用带加密保护的远程访问方式。如用SSH代替telnet

——补丁加固——

——主机控制——

——恶意代码防范——1.全面部署网络版防病毒软件；2.使用专用工具配合进行恶意代码查杀；3.对IE等主要恶意代码传播手段重点监控；

1.异常连接；2.异常流量；3.异常进程或模块；4.违规软件或操作。5.注册表异常篡改；6.交换机端口快速定位

数据库安全业务系统安全

1.注册介质在内网具有唯一标志符。2.移动存储介质按需求可以划分为可信区和普通区，分区容量可自定义。3.可信区在已安装客户端并具有访问权限的计算机上可以读写，在未安装客户端的计算机上将不被识别并弹出可定制化的消息框提醒；普通区凭密码认证可在所有计算机上使用。4.系统支持注册移动存储介质和授权计算机形成“多对多”的使用方式。5.支持注册后的移动存储介质依据授权信息进行细粒度、多层次的访问控制；支持禁止、读、写、加密写等访问权限的细化。6.管理员可以按所有的网络终端结点进行任意分组，不同组可以执行不同的介质访问策略。7.未注册存储介质接入内网时将在客户端产生嗡鸣器报警并弹出可定制化的消息框提醒，服务器端并有响应的报警。8.移动存储介质上的数据都以密文方式保存。9.加密方式是扇区级加密，加解密过程自动完成。

数据定期备份异地灾备

无论什么样先进的网络安全保障系统，使用者、控制者最终都是人。所以做好网络安全保障首要的事情是建立网络安全管理机构，以领导、协调网络安全保障工作和处理应急响应事件。

机构管理机构应注意的问题1.机构内各组织的网络安全保障工作的协调管理；

3.2管理机制的制定和完善1.需求分析：只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构，正确的安全分析需求是保证网络系统的安全的根源。2.风险管理：风险管理是对需求分析结果中存在的威胁和业务需求进行风险评估，以可以接受的投资，进行最大限度的网络安全防范工作。

3.制定安全防范策略:根据组织和部门的安全防范需求和风险评估的结论，制定切实可行的计算机网络安全防范策略。4.定期安全审核:安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。因为网络安全防范是一个动态的过程，安全的需求可能会发生变化；为了在安全需求发生变化时，策略和控制措施能够及

1.网络管理员管理制度a)日常管理责任c)应急响应事件责任

3.账户及口令管理制度4.设备管理规章制度a)入网设备防病毒管理制度b)服务器管理制度c)便携机管理制度d)介质管理

?减少从第三方的系统下载软件；?组建一支队伍，监测和调查安全事件；?各类安全规则库必须随时更新；?重要的数据必须备份，并每月检查一次；

1.进行有效的网络边界控制；2.保证系统补丁、防病毒软件安装执行情况；3.监督最先安全事件源；4.建立广域安全防护监控体系。

安全管理机制的执行需要很多技术手段，有些技术手段属于专业反病毒、防黑客等技术范畴，专业安全服务商可以了解相关技术细节，更能准确的通过技术培训提高下属网管网络安全知识和应对手段。

1.针对普通人员的培训

2.建立应急相应小组（小组成员可包括单位

安全事件分级分级应参考以下几个标准：1.危害程度

根据安全事件的具体情况，制定相应的安全应急响应处理预案，此预案可