分册4-终端安全.doc

中国电信增值业务平台安全管理办法（试行）终端安全中国电信集团公司网络运行维护事业部二一年七月目录一. 终端安全概述1二. 终端自身安全防护规范12.1 终端初始化12.2 病毒、恶意代码防护22.3 终端防火墙2三. 终端安全接入控制规范23.1 终端接入网络认证23.2 终端安全性审查与修复33.3 细粒度网络访问控制3四. 终端行为监控规范34.1 非法外联检测34.2 终端上网行为检测44.3 终端应用软件使用控制4中国电信增值业务平台安全管理办法 分册4-终端安全一. 终端安全概述终端一种比较分散的资源，长期以来面临病毒、蠕虫、木马、恶意代码攻击，难以进行集中有效的安全管理。不安全的终端可能成为一个被动的攻击源，对整个业务平台系统构成威胁。为提高对终端的安全管理能力，规范终端用户的行为，降低来自终端的安全威胁，特制定本规范。本规范涉及终端为业务平台维护部门操作维护终端，不包括移动终端。二. 终端自身安全防护规范2.1 终端初始化终端初始化应支持以下功能：u 根据策略对终端进行操作系统配置和操作系统定制；u 根据不同的策略自动选择所需应用软件进行安装，完成配置；u 对于某些无法进行密码策略配置的主机，可采用人工进行定期改密操作，同时纳入维护作业计划管理范围；u 支持定制计算机类型配置安装内容；u 支持终端在线初始化安装；u 支持对特定终端的定期备份功能。终端安全管理必须建立一套有效的补丁管理机制，尽量采取主动防御的方法，支持实时自动补丁更新，技术要求如下：u 可自动获取或分发补丁：获得操作系统、办公软件的最新补丁及相关说明，影响范围、重要程度及优先级；补丁获取方式应具有合法性验证安全防护措施，如经过数字签名或哈希校验机制保护；u 可灵活配置补丁分发对象或范围，以满足不同需求与环境；补丁管理须支持断点续传、增量更新，可配置满足带宽管理的策略；u 终端补丁自动检测，能够自动检测本地终端漏打补丁情况，并自动下载安装补丁或者重定向到自动补丁库。2.2 病毒、恶意代码防护所有终端部署防治病毒及恶意代码软件，可以达到 “层层设防、集中控制、以防为主、防杀结合”的策略要求 。防病毒和恶意代码系统构建网络防护体系应满足：u 支持通过服务器自动安装客户端工作站防病毒和防恶意代码软件； u 能够自动下载和安装相应的防毒软件，实时进行病毒库更新；u 支持通过服务器设置统一的防毒策略，实时防治病毒，获取完整的病毒活动日志；u 可对防病毒软件在客户端的安装情况进行监控，禁止未安装指定防病毒软件的 客户端接入；2.3 终端防火墙终端防火墙必须满足以下要求：u 占用终端用户较少的资源，不能影响终端用户的正常工作；u 可以按照集中定义的防火墙策略限制终端的端口打开、网络协议的使用；u 可以配置允许使用的网络程序及使用端口；u 具有良好的应用软件兼容性。三. 终端安全接入控制规范3.1 终端接入网络认证终端安全管理必须具备接入网络认证的要求，只允许合法授权的用户终端接入网络，对于不同应用场合的用户和终端可配置不同的认证方式，如：u AD域认证u 用户名/口令认证u MAC认证u 802.1x认证u Web认证（无需安装代理）u 能支持LDAP、AD 等第三方认证数据库u 提供终端设备指纹与用户绑定的安全强化认证可以支持在特定应用场合下同时采用一种或几种认证方式的组合。终端接入网络认证应该能够避免单一用户认证和单一设备认证的局限性，比如采用提供终端设备指纹和用户绑定的安全强化认证，可满足要求用户和终端强认证的场合。3.2 终端安全性审查与修复应对试图接入网络的终端进行控制，在终端接入网络之前必须进行强制性的安全审查，只有符合终端接入网络的安全策略的终端才允许接入网络。对于不符合终端安全策略的终端必须强制隔离，根据既定的网络准入策略进行相关的控制，对于可能对网络造成严重威胁的终端，可严格限制接入业务网络，支持对不安全终端提供终端修复协助和终端系统的加固。3.3 细粒度网络访问控制对接入网络的终端必须做到精细的访问控制，可根据用户权限控制接入不同的业务区域，同时应该对用户进行流量和带宽的控制。必须能够严格控制终端或者用户的对于业务资源和业务网络的越权访问。具体技术要求如下：u 控制特定用户或用户组对特定业务资源的访问u 控制特定终端或终端群对特定网络资源的接入u 对业务资源访问的内容监控和过滤。四. 终端行为监控规范4.1 非法外联检测可定义有针对性的策略规则， 限制终端非法外联行为，要求包括：u 可自动检测未经允许的拨号行为，并可根据需要加以阻止，包括Modem电话拨号、VPN拨号、PPPoE、无线拨号的检测，可以通过安全策略限制拨号号码和目的IP，根据需要可以自动切断拨号并告警；u 可监控网络内部设备违规接入Internet的行为；u 可支持对移动设备进行行为审计，可控制usb等移动存储设备的接入与使用，支持对访问的行为和内容进行审计监控。4.2 终端上网行为检测终端上网行为检测应满足以下要求：u 支持终端用户上网记录审计，支持对终端用户上网审计数据进行统计分析；u 可支持设置上网内容过滤；u 可对终端网络状态以及网络流量等信息进行监控和审计。4.3 终端应用软件使用控制可对终端用户软件安装情况进行审计，同时对应用软件的使用情况进行控制。终端安全管理对于应用软件使用控制必须满足以下功能：u 能够准确的审计当前软件安装状况，明确各个软