员工误操作 P2P、在线视频 DOS & DDOS攻击
移动存储 病毒
移动存储木马 人为泄密
网
内网随意接入 IP管理混乱 操作系统漏洞 内网访问不受控
数据未加密保存 数据共享权限混乱 数据外泄渠道通畅
安全制度缺失 制度执行不力
内部监管与审计不力
外来威胁层 管理手段层 制度执行层
<12>
本章回顾
什么是终端 终端安全在网络安全的地位 终端所面临的风险
<13>
目录
➢ 终端安全概述 ➢ 终端系统安全性 ➢ 终端体系构架 ➢ 终端安全威胁 ➢ 终端安全配置 ➢ 终端安全检查 ➢ 终端安全加固 ➢ 终端用户安全职责 ➢ 终端接入要求 ➢ 终端标准化的意见和操作建议
<14>
TCSEC 安全等级
安全级别 D C1
C2
B1 B2 B3
A
描述
最低的级别。如MS-DOS计算机，没有安全性可言
2006年，美国联邦调查局公布报告估计：“僵 尸网络”、蠕虫、特洛伊木马等电脑病毒给美 国机构每年造成的损失达119亿美元。
2007年熊猫烧香造成巨大损失。 2008年磁碟机造成熊猫烧香10倍损失。
<17>
本章回顾
系统安全等级划分的几大标准 windowsXP、windows2003所处的安全等级
终端安全运行讲义
金山词霸 2003.lnk
版本信息：
版本号：1.0.0 更新时间：2008-10-28
编者信息：
房仲阳 中国移动辽宁公司网络部 电话： 13889888988-2208 邮箱：
fangzhongyang@ln.chinamobile.co m
<2>
培训要求：
该课程主要介绍网络与信息安全基础知识
培训对象：
面向管理层、安全管理人员、安全技术人员、系统维 护人员、及普通员工，共5类人员
培训时间：
3小时左右
培训侧重点：
本教材针对5类人员的培训内容并无差别
<3>
课程目的
了解windows系统的设计原理 了解终端系统的安全特性 能够对终端系统进行安全配置 授课方式：讲解、演示
<4>
目录
➢ 终端安全概述 ➢ 终端系统安全性 ➢ 终端体系构架 ➢ 终端安全威胁 ➢ 终端安全配置 ➢ 终端安全检查 ➢ 终端安全加固 ➢ 终端用户安全职责 ➢ 终端接入要求 ➢ 终端标准化的意见和操作建议
<5>
终端的定义及分类
什么是终端？
终端，即计算机显示终端，是计算机系统的输入、 输出设备。计算机显示终端伴随主机时代的集中处 理模式而产生，并随着计算技术的发展而不断发展 。迄今为止，计算技术经历了主机时代、PC时代和 网络计算时代这三个发展时期，终端与计算技术发 展的三个阶段相适应，应用也经历了字符哑终端、 图形终端和网络终端这三个形态。
终端安全的重要性
1、首先，对于一个网络来说80%以上的安全事件来自 于终端。
2、其次，在企业内部至少有90%的员工需要每天使用 终端计算机。
3、最后，终端使用者的水平参差不齐。
<11>
透过现象看本质
问题广泛存在于此! Burning Issue(燃眉之急）
电脑崩溃、网络瘫痪
重要数据丢失\破坏
内
病毒
基于C2级标准的安全组件
灵活的访问控制----要求允许对象的属主能够完全控制谁 可以访问这个对象及拥有什么样的访问权限。
对象再利用-----Windows 很明确地阻止所有的应用程序 访问被另一应用程序占用的资源（比如内存或磁盘）。
强制登陆----Windows 用户在能访问任何资源前必须通 过登陆来验证他们的身份。因此，缺乏这种强制登陆的 NT要想达到C2级标准就必须禁止网络功能。
结构化保护。支持硬件保护。内容区被虚拟分割并严格保护。 如Trusted XENIX and Honeywell MULTICS
安全域。提出数据隐藏和分层，阻止层之间的交互。如 Honeywell XTS-200
校验级设计。需要严格的准确的证明系统不会被危害。如 Honeywell SCOMP
<15>
技术层面
数据处理模式将从分散走向集中，用户界面将更加人 性化，可管理性和安全性也将大大提升；同时，通 信和信息处理方式也将全面实现网络化，并可实现 前所未有的系统扩展能力和跨平台能力。
<8>
终端的定义及分类
应用形态
网络终端设备将不局限在传统的桌面应用环境，随着 连接方式的多样化，它既可以作为桌面设备使用， 也能够以移动和便携方式使用，终端设备会有多样 化的产品形态；此外，随着跨平台能力的扩展，为 了满足不同系统应用的需要，网络终端设备也将以 众多的面孔出现：Unix终端、Windows终端、 Linux终端、Web终端、Java终端等等。
<6>
终端的定义及分类
终端的分类
终端的分类：PC为代 表的基于开放性工业标准架构、功能比较强大的设 备叫做“胖客户端”，其他归入“瘦客户端”。瘦 客户机产业的空间和规模也很大，不会亚于PC现在 的规模。
<7>
终端的定义及分类
审计----因为Windows 采用单独地机制来控制对任何资 源的访问，所以这种机制可以集中地记录下所有的访问活 动。
控制对象的访问----Windows 不允许直接访问系统里的 资源。
<16>
系统漏洞导致的损失
2004年，Mydoom所造成的经济损失已经达到 261亿美元 。
2005年，Nimda电脑病毒在全球各地侵袭了 830万部电脑，总共造成5亿9000万美元的损失。
自主安全保护。系统不需要区分用户。可提供根本的访问控制。 大部分UNIX达到此标准。
可控访问保护。系统可通过注册过程、与安全相关事件的审计 以及资源隔离等措施，使用户对他们的活动分别负责。NT属 于C2级的系统
标记安全保护。系统提供更多的保护措施包括各式的安全级别。 如AT＆T的SYSTEM V和UNIX with MLS 以及IBM MVS/ESA
<9>
终端的定义及分类
应用领域
字符哑终端和图形终端时代的终端设备只能用于窗口 服务行业和柜台业务的局面将一去不复返，网上银 行、网上证券、银行低柜业务等非柜台业务将广泛 采用网络终端设备，同时网络终端设备的应用领域 还将会迅速拓展至电信、电力、税务、教育以及政 府等新兴的非金融行业。
<10>
终端的定义及分类