谈起网络安全问题,大多数人只会考虑网络架构,防火墙,网络设备的安全问题等等,事实上很多网络上的安全问题是由于客户端安全措施的忽略而造成的,近年来的那些蠕虫的病毒传播的手段主要就是攻击客户端PC,进而感染网络中的大部分设备而导致网络的瘫痪。网络安全措施再周密,也难防范网络内部的小小一击。这正如一句老话讲的,“明枪易躲,暗箭难防”。
企业客户端安全策略
对于那些善于管理公司安全问题的大型企业,首先管理的就是客户端的安全问题,要给客户端定义一个详细的安全策略,并严格管理客户端的映像的灌装,使得公司的安全策略能够准确的实施,保障整个公司的安全基础单元——也就是员工的PC的安全。一个完整的客户端安全策略是什么呢?
总的来说,客户端安全策略分为两部分,一部份叫做硬策略,另一部分叫做软策略。硬策略可以简单的理解为IT资产管理,软策略可以认为是在PC机上实现的一些安全措施。
下面我们分开讨论一下这两部分的策略:
一、硬策略:IT资产管理
IT资产管理不是财务资产清查,主要IT资产的领用、更换、回收、等细节的控制。事实上就是一个流程问题,分为领用、回收、更换的三个流程。
1. 领用流程:一个新员工到岗,需要领用工作机,那么他就去找IT部门去领用,IT部门会得到人力资源部门的邮件通知,知道有这样一个员工已经报到,所以准备好给他的工作机,这个工作机已经灌装了公司统一的映像,该映像中已实施了公司要求的所有客户端安全策略。新员工直接签字,领用工作机。这个流程的意义在于控制工作机的映像,从源头实现客户端安全策略。
2. 更换流程:一个老员工机器硬件出了问题,并且也不能够短期内修好,那么会找到IT部门更换工作机,那么IT部门会收回原有工作机,分发新的工作机,新的工作机也是灌装的公司的统一映像。老员工会直接签字,退回原用工作机,领用新的工作机。这个流程也同样适用那些到期的
3. 回收流程,如果员工离开企业,那么人力资源部门会发邮件通知IT部门回收工作机,该员工会到IT部门签字,退回原用工作机。并确认工作机的BIOS口令已经完全清空。
这三个流程设计到的重要安全环节就是IT部门要掌握所有工作机的映像,确保分发的工作机安装的是公司要求的映像,这样才可以保证软策略的正确实施。
二、软策略:客户端安全措施
客户端安全措施可以分为三个层次:
1. BIOS级别安全策略
这部分的安全策略主要是设置开机密码,如果是笔记本产品还要设置硬盘密码。对于Think产品来说,非常显著的就是可以提供USB端口禁用的功能,最新的M57系列的ThinkCentre台式机还可以提供部分USB端口禁用的功能,ThinkPad笔记本还可以利用指纹识别替代BIOS密码口令输入验证。
对于权限控制严格的企业可以选择在BIOS内设置管理员口令。管理员口令只对有限的IT人员开放,这样最终用户就没有权限修改BIOS内的任何设置,包括USB端口禁用这样的安全机制。
2. 操作系统级别安全策略
操作系统下的安全策略非常关键,也是企业可以根据自己需要定制的一个重要组成部分。主要的策略包括:
a. 客户端软件代理
用来企业控制端向客户端下发必要的操作系统补丁。
b. 防火墙软件
c. 防病毒软件
d. Windows登录密码
e. 密码安全机制
定义一个好的密码,也是客户端防止攻击的好办法,比方说长度必须是8位,必须数字加字母的组合才可以,密码的开头和结尾不能是数字等等规则。 但是与之而来的麻烦是很多用户因此就觉得密码是一件非常头疼的事情,所以干脆所有密码都设为同一个,或者经常忘记密码而影响工作。ThinkPad笔记本和ThinkCentre台式机产品特有的客户端安全管理软件(Client Security Solution)可以提供指纹替代密码输入的方便功能,特有的密码管理器软件就像密码银行一样,将工作机内的密码有效存储起来。既省去了密码输入的麻烦,还可以定义符合密码安全机制的复杂的密码。一举两得的易用功能。
3.应用层安全策略
对于企业非常重要的应用软件,比如邮件软件,ERP,CRM等软件也要有效的管理用户权限,并制定严格的密码机制。
综上所述,企业网络安全的大前提就是要保障客户端设备的安全, Think产品提供了非常全面的安全平台和方便使用的安全管理软件,为企业的网络安全免去了后顾之忧。
