终端作为网络行为的发起者和执行者,终端安全问题是信息安全领域的重要组成部分。终端安全已经成为制约信息安全的瓶颈,尽管在安全技术和培训中已经投入了大量人力和资金,但终端安全问题仍频频发生。终端所发生的安全问题可简单归结为3类。......
2023-11-23
终端安全风险管理-操作系统用户管理风险展示
【摘要】:当前一般的终端操作系统,有图B-24所示的两种账户类型。图 B-24必须对这些用户及用户组进行统一控制,如果不控制这些管理员的用户信息,会导致用户信息跨级别用,被不该使用的人员滥用,对终端造成信息泄漏或者信息丢失的风险。与信息安全关系操作系统用户管理的风险涉及在线信息安全风险和存储信息风险。
1.风险分析
(1)风险描述
终端操作系统中,维护着一定数量的操作系统用户,Windows系统作为一个多用户操作系统,允许多个用户共同使用一台计算机,而用户账号就是用户进入系统的出入证。用户账号一方面为每个用户设置相应的密码、隶属的组、保存个人文件夹及系统设置,另一方面将每个用户的程序、数据等相互隔离,这样在不关闭计算机的情况下,不同的用户可以相互访问资源。
在终端上,要执行某些任务,可能需要以Administrators组成员身份登录。“本地用户和组”用于管理计算机用户的用户和组。可以创建新用户和组、将用户添加到组、从组中删除用户、禁用用户和组的账户以及重新设置密码。
终端用户账户类型:当多人共享计算机时,有时设置会被意外地更改,使用用户账户,可以防止其他人更改计算机设置。
当前一般的终端操作系统,有图B-24所示的两种账户类型。
图 B-24
必须对这些用户及用户组进行统一控制,如果不控制这些管理员的用户信息,会导致用户信息跨级别用,被不该使用的人员滥用,对终端造成信息泄漏或者信息丢失的风险。主要风险包括以下几个方面:
√ 普通用户被违规加入管理员组,导致操作范围扩大带来的安全风险
√ 非法用户通过越权修改用户权限,从而控制终端,执行非法操作
√ 用户或用户组过多,导致管理复杂
√ 大量闲置用户或用户组未及时删除,从而被非法利用
(2)相关风险点
操作系统用户管理的风险点详见表B-15。
表 B-15
(续)
(a)基于资产使用生命周期分析
该类风险涉及入网前、运行阶段。入网前由于终端资产不包含敏感信息和数据,风险较低;入网后,由于运行过程中涉及敏感信息和生产数据,如果不加以控制,导致的损失较大,风险较高。操作系统用户管理的风险对终端的影响在资产使用生命周期的体现如下:
风险点(1-5):操作系统受限用户权限变更为管理员权限,用户权限提高。这些风险主要涉及入网前和运行阶段。维修和报废阶段,终端不运行,不存在该类风险。入网前,受限用户权限变更为管理员权限后,可以进行一些只有管理员才能进行的操作,会对其他用户的文件和终端的软硬件都进行一些更改,风险较高;入网后,如果受限用户变更为管理员,对终端进行操作,不仅对其他用户的文件和终端的软硬件都有一些更改,如果其在终端上进行进程停用等操作,会影响业务和正常工作的运行,风险极高。
风险点(6-10):管理员权限用户变更为受限用户,用户权限降低。这些风险主要涉及入网前和运行阶段。维修和报废阶段,终端不运行,不存在该类风险。入网前,管理员权限用户变更为受限用户后,管理员本身可以进行的终端操作都不能运行,会造成一些工作不能正常开展,但不会对系统的信息造成风险,此时风险较低;入网后,管理员权限用户变更为受限用户,可能导致一些终端的操作无法进行,影响终端正常业务开展,风险较高。
风险点(11-12):这些风险主要涉及入网前和运行阶段。维修和报废阶段,终端不运行,不存在该类风险。入网前,增加/删除系统管理员权限的操作系统用户,只会影响对终端本身的操作,风险较低;入网运行后,如果新增加了系统管理员权限的用户,导致系统管理员权限用户增多,一些管理员的操作会冲突,进而影响终端正常业务的开展,风险较高;如果删除了系统管理员权限的系统用户,在需要该用户对终端操作时,却没有相应的管理员用户,导致工作不能正常开展,风险较高。
风险点(13-14):增加/删除受限用户对终端影响不大。
风险点(15-17):这些风险主要涉及入网前和运行阶段。维修和报废阶段,终端不运行,不存在该类风险。入网前,操作系统用户组权限修改,只会影响对终端本身的操作,风险较低;入网运行后,如果用户组权限提升,导致组下的用户可以操作的范围扩大,一些管理员的操作会冲突,进而影响终端正常业务的开展,风险较高;如果用户组权限降低,在需要该用户对终端操作时,却没有相应的管理员用户,导致工作不能正常开展,风险较高。
风险点(18-19):这些风险主要涉及入网前和运行阶段。维修和报废阶段,终端不运行,不存在该类风险。入网前,增加/删除系统用户组,只会影响对终端本身的操作,风险较低;入网运行后,如果新增加了系统用户组,如果用户组分配的权限是系统管理员,会导致系统管理员权限用户增多,一些管理员的操作会冲突,进而影响终端正常业务的开展,风险较高;如果删除了系统用户组,在需要该用户组下的用户对终端操作时,却没有相应的用户,导致工作不能正常开展,风险较高。
风险点(20):该风险与资产生命周期无关。
(b)与信息安全关系
操作系统用户管理的风险涉及在线信息安全风险和存储信息风险。
风险点(1-5):操作系统受限用户变更为管理员用户后,一些只有管理员权限级别的管理员查看在线信息,会导致在线信息泄漏或被篡改;同时,这些用户还可以对原本没有操作权限的存储信息进行操作,会导致存储信息丢失、被篡改等风险。
风险点(6-10):管理员用户变更为受限用户后,需要在线操作的管理员因为权限降低,无法进行相关操作,会导致在线信息不能及时存储。对存储的信息,不能查看和操作,不存在风险。
风险点(11-12):增加管理员权限的用户,对在线信息可操作的管理员增加;会导致在线信息泄漏或被篡改。增加的管理员权限用户,可以对终端上的存储信息进行操作,会导致存储信息丢失、被篡改等风险;删除管理员权限用户,不会对存储信息有风险。对在线信息来说,如果需要管理员权限用户操作,但该用户被删除了,存在在线信息得不到及时处理的风险。
风险点(13-14):增加/删除受限用户的权限对在线信息和存储信息没有风险。
风险点(15-17):与风险点(1-5)类似。
风险点(18-19):与风险点(1-5)类似。
风险点(20):该风险与信息安全无关。
(c)基于资产使用人分析
风险点(1-20):这些风险与人员类别密切相关,外来人员使用终端的操作系统,登录终端进行相应的操作,会造成信息泄漏或篡改;风险非常高;必须严禁外来人员使用内部终端,尤其是要闲置外部人员使用终端的管理员用户账号操作;临时人员有时候因为工作需要,必须使用内部终端,一定要控制其用户级别,避免出现跨权限的资源访问;内部人员在对操作系统用户管理时,必须做到及时删除多余的用户和用户组,同时一定要妥善保管好管理员账号,避免账号和密码泄漏,同时要做到权限控制,不要设置过多的具有管理员权限的账号。
(d)合规性要求
合规性要求见表B-16。
表 B-16
基于以上风险点分析,如采取相关技术和管理手段管控8个风险点,则终端操作系统用户管理的风险符合等级保护相关要求。
相关技术和管理的风险管控措施参见以下小节阐述。
2.风险管控(www.chuimin.cn)
(1)风险点(1-10):操作系统用户权限变更管理流程。
事前处置:定义终端上每个用户对应的权限,检查用户的权限与事先指定的是否一致。制定制度,不允许随意变更用户的权限;对每一个终端,必须根据其使用的目的对终端的用户权限做统一规定。
事中处置:
√ 定时检测终端操作系统用户的权限列表
√ 将获取的用户权限列表与制度规定的用户权限列表相比较
√ 如果用户的权限列表与制度规定的不符合,提示用户终端操作系统用户权限情况异常,有违反权限规定的用户存在,提示用户进行进一步处理(按规定修改用户权限等)
√ 如果用户权限变化,及时根据规则产生报警,提醒管理员注意
√ 如果用户的权限变化了,及时对变更进行记录(包括变更前权限、变更后权限、变更的时间、变更操作人员等信息),发送至防护平台服务器。
事后处置:根据权限变更的实际情况,进行相应的操作,如果是权限提升,产生报警,提醒终端用户及时按制度修改用户权限;如果权限降低,也需要通知用户权限过低,一些用户可能得不到必须的权限来使用终端资源。
操作系统用户权限变更管理流程如图B-25所示:
图 B-25
风险点(11-14):操作系统用户增加/删除管理流程
事前处置:定义终端上可以有的用户数量、用户类别,规定不允许随意在终端上添加或删除用户;需要注意的是,不同的终端上可以有的操作系统用户是不尽相同的,比如个人办公终端,可能有管理员用户和一般个人用户就够了,但在一些业务服务器上,管理员用户可能只有一个,但一般用户可以允许有多个。具体的终端用户情况需要结合实际运维情况制定。
事中处置:
√ 定时检测终端操作系统用户列表
√ 将获取的列表与制度规定的用户数量和情况相比较
√ 如果是随意增加了操作系统用户的情况,提示用户终端操作系统用户情况异常,有违反规定的用户存在,提示用户进行进一步处理(删除违规增加的用户等等)
√ 如果是已有的用户被除掉了,提示用户终端用户被异常删除,提示用户进行进一步处理(恢复被删除的用户)
√ 记录用户变化的情况及终端使用者的操作,发送至防护平台服务器。
事后处置:
根据整体安全态势分析调整安全策略,针对终端下发新的用户管理策略,如果是违规增加了用户,提示终端删除用户,如果是违规删除了用户,提示终端恢复用户。对用户变化的情况进行记录,包括终端使用者、增加/删除的用户信息、更改的时间等信息。
操作系统用户增加/删除管理流程如图B-26所示:
图 B-26
风险点(15-17):操作系统用户组权限变更管理流程与用户权限变更管理流程类似。
风险点(17-19):操作系统用户组增加/删除管理流程与操作系统用户增加/删除管理流程类似。
风险点(20):由于操纵Windows系统的用户需要从操作系统获取,所以必须保证操作系统可用,且可以正确获取终端上的用户以及用户组信息,如果不能获取用户和用户组信息,后续的策略控制和报警都无从产生;
3.残余风险处理
在对终端的操纵系统用户进行管理时存在这样的情况:
√ 对操作系统的用户权限没有严格按照要求分配
√ 其审计信息报给管理员后,也未得到及时的关注和处理
√ 系统因工作或维修需要增加了操作系统用户,事后未及时对这些用户进行删除操作
√ 未按照规定进行操作系统用户组建设
因此,尽管部署了完备的检测和管理技术手段,却会因人的操作习惯和安全意识造成操作系统用户管理的风险继续存在。
针对该问题,建议增加以下几方面工作:
√ 加强安全意识培训和教育,使终端用户意识到严格按照要求对操作系统的用户组和用户信心进行管理的重要性
√ 需要在制度上规定不允许随意在终端上添加管理员用户,同时,提示用户,所有的用户权限修改都会有记录在案,不允许随意修改用户权限
√ 闲置用户的定义也需要在制度上保证,必须有一个闲置用户的明确规定,才能根据这个判断哪些是限制用户
√ 建立定期检查和整改制度,定期对组织内终端的操作系统用户情况进行集中检查,集中整改
√ 设立针对操作系统用户相关的考核管理措施,将该项工作作为终端使用人、终端所有单位安全工作考评中的考核指标
4.风险控制效果
主要以监控为主,控制较弱,输出信息提示报警。
有关终端安全风险管理的文章
- 详细阅读
-
终端安全管理揭秘-终端安全风险管理详细阅读
一系列安全事件后,在美国政府的资助下,卡内基·梅隆大学成立了全球第一个计算机应急安全响应组。因此,终端安全管理的实质就是识别终端安全风险,构建终端风险体系并对终端风险进行安全管理,从而避免终端安全风险事件的发生。......
2023-11-23
-
终端安全风险管理:揭示3.5终端安全管理未来详细阅读
有相应硬件支持,将很大程度上解决纯软件终端安全产品存在的问题。综合趋势终端安全产品要和网关及其他安全设施密切配合,分工协作,才有可能构架全面完整的安全防护保障体系。终端安全的重要组成部分是设置管理或针对安全规范符合程度的检查、隔离和矫正。综上所述,终端安全管理体系的构建实施过程需要依赖完善的方法论,对体系建设过程提供内部审核、管理评审、外部审核等管理活动支持,保障体系的有效实施。......
2023-11-23
-
终端安全风险管理:基于风险来源详细阅读
针对不同的威胁来源的终端安全风险图谱见图6-7。其中终端安全技术平台自身的风险,暂不列在内。与基础安全风险相比,终端安全运行风险更具动态性,随着时间和相关环境条件的变化。3)信息安全风险指终端信息安全风险为终端中存储的信息,以及信息在传递过程中所面临的风险。......
2023-11-23
-
终端安全风险管理实例详细阅读
分布式管理业务,管理平台和防护平台部署在各级节点上,所有分支节点为管理及防护功能完全的自主节点。二期建设完成后,在集团下属院、厂所本地,乃至全国已初步形成分布式管理模式。对于终端日志与报警信息,全部逐级转发,汇总至集团信息中心进行安全事件处理。分布式管理模式参见图12-4。......
2023-11-23
-
终端安全风险管理:8个风险点详细阅读
为了解决上述问题,可以采取终端软件自动分发的方式,集中统一为终端需要安装的软件进行自动分发,并自动在终端上运行。相关风险点终端软件自动分发风险点见表A-11。入网前,终端不接入网络,无法对该终端进行软件自动分发操作;维护和报废阶段,终端不运行,也不存在这些风险。终端入网运行后,如果没有应用软件自动分发与自动安装,会增加管理员的工作量而降低工作效率。......
2023-11-23
-
终端安全风险管理-11个网络违规访问风险点详细阅读
如果不对该终端网络访问风险进行严格管理和控制,将会导致信息外泄、资源滥用甚至全网范围内的灾难性事件。将终端违规网络访问风险按照终端使用人角色分析如下。风险点(1-4):任何岗位角色都会使用网络,都会涉及终端违规网络访问风险问题,因此,该风险与内部人员相关:a)高级管理岗位,如区域负责人等高层领导,风险不大。该风险与外来人员:外来厂家人员、外来维护人员风险重大。......
2023-11-23
-
终端安全风险管理-垂直管理实例详细阅读
监控数据和防护结果信息上传至总部安全管理中心进行统一存储和处理。中心节点直接对二三级节点的防护平台下发安全策略,下发的策略类型分为3类:查询策略、关联分析策略、预警告警策略。图12-2 垂直管理示意图......
2023-11-23
相关推荐