淺談企業(yè)計算機終端安全管理

1、淺談企業(yè)計算機終端安全管理計算機終端是大多數(shù)用戶訪問網(wǎng)絡和數(shù)據(jù)的工具，但是許多企業(yè)、組織卻在信息安全管理及部署中忽略了對終端的控制，通常一個企業(yè)或組織會把精力集中放在部署防火墻等邊界安全防護上來保護其內部數(shù)據(jù)不受外來入侵者的非法訪問，卻因為對計算機終端的管理不善而造成數(shù)據(jù)丟失或系統(tǒng)被入侵，因此確保終端計算機的安全性已成為企業(yè)信息安全保障工作中的重要環(huán)節(jié)，在此背景下，省公司重點提出了在科學有效地部署計算機終端安全防護體系中應注意的問題，以及應對的措施。引言隨著近年來的信息化進程越來越迅速，信息安全問題也逐步被重視,但現(xiàn)今人們主要把精力都集中在網(wǎng)絡邊界的防護上,而研究表明引起信息安全問題事件的大多

2、數(shù)原因是由于對網(wǎng)絡內部IT終端的管理不善而造成的，據(jù)CERT報道有九成以上的安全問題是由于計算機終端系統(tǒng)的脆弱性及配置不當造成的，諸如缺少補丁，脆弱的用戶名密碼或開啟不必要的服務等，可見計算機終端的安全管理已經(jīng)成為信息安全的最大潛在威脅。網(wǎng)絡安全呈現(xiàn)出了新的發(fā)展趨勢,安全戰(zhàn)場已經(jīng)逐步由對核心與主干的防護,轉向對網(wǎng)絡邊緣的每一個終端的管理.因此，研究如何在等級保護環(huán)境下科學有效部署計算機終端安全防護體系，是當前省公司信息安全保障工作中迫在眉睫的任務。內網(wǎng)計算機終端的威脅現(xiàn)狀信息安全是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術和管理的安全保護,保護計算機硬件、軟件和數(shù)據(jù)不因偶然的惡意的原因遭到破壞、更改和泄露

3、。經(jīng)過總結，目前認為危害內網(wǎng)終端計算機信息安全的主要因素有以下幾個方面：1）缺乏終端網(wǎng)絡準入機制：有些計算機終端未經(jīng)任何身份認證和安全認證，就可以隨意接入網(wǎng)絡，訪問網(wǎng)絡和計算機的資源，對整個網(wǎng)絡和應用造成很大的安全威脅。2）系統(tǒng)漏洞的廣泛存在:包括操作系統(tǒng)、瀏覽器、辦公軟件以及媒體播放器等常用軟件的漏洞廣泛存在。如果漏洞補丁安裝不完全、不及時，將給病毒、木馬、惡意軟件等入侵系統(tǒng)造成可乘之機。3）木馬、病毒等惡意軟件的攻擊手段層出不窮:計算機病毒是一段可執(zhí)行的程序代碼，通過對其他程序進行修改,可以感染這些程序使其含有該病毒程序的一個副本。一旦病毒執(zhí)行時,它可以完成任何功能，例如刪除文件和程序等。

4、在實際工作中需要從互聯(lián)網(wǎng)上下載信息后在內網(wǎng)上應用。因此在內網(wǎng)中要求采用刻錄光盤的方式進行內網(wǎng)和互聯(lián)網(wǎng)之間的傳遞.但是如果將感染了病毒的文件刻錄到的光盤中，然后在內網(wǎng)終端計算機上使用，內網(wǎng)終端計算機也會感染上病毒病毒也會在內網(wǎng)中傳播.然而,有的終端計算機不安裝防病毒、防黑客軟件，即使安裝了不及時升級更新病毒特征庫。4）用戶缺乏安全知識：有些用戶缺乏必要的信息安全知識，未能及時采取合適的安全防護措施保護終端，如安全配置不正確、系統(tǒng)補丁安裝不完全、不及時,防病毒軟件及其他常用軟件未及時升級等.有些用戶安全意識淡薄，在非涉密終端上處理涉密或敏感信息,直接導致涉密或敏感信息泄密。5）欠缺對終端計算機用戶

5、的行為監(jiān)控：有的用戶可在終端計算機上能隨意安裝、運行軟件，這些軟件很有可能帶有惡意代碼，或者隨意拷走涉密文件，違規(guī)使用涉密移動存儲設備，造成泄密事件的發(fā)生;或者故意在終端上運行惡意軟件,傳播惡意代碼、實施破壞或竊密。而在一些內網(wǎng)中對用戶操作行為欠缺方便、及時和強大的安全監(jiān)控和日志審計功能，對用戶的違規(guī)甚至違法行為無法報警和記載。內網(wǎng)計算機終端安全管理的目標與要求從信息系統(tǒng)安全保護等級的角度對終端計算機系統(tǒng)進行了五個安全等級的劃分。在身份鑒別（認證）、訪問控制、數(shù)據(jù)加密、病毒防護、系統(tǒng)加固、安全審計等方面，其針對各安全級別計算機終端保護都提出了清晰的安全目標與基本要求。簡單總結來看，對于計算機終

6、端安全保護的安全目標基本可概括為能夠監(jiān)測和分析終端安全狀態(tài)，可以控制和記錄終端的操作行為,統(tǒng)一配置終端安全策略，以使終端“可信、可控、可管、可用”，保護終端正常、安全地運行。從基本要求來看,對計算機終端安全保護提出了技術和管理兩方面的基本要求，組織機構在實施等級保護工作時可根據(jù)相關國家標準來完善各等級信息系統(tǒng)的計算機終端安全保護措施。內網(wǎng)計算機終端安全管理體系（一）信息安全的管理措施增強信息安全保護意識有的人認為：要想保證信息安全，只需要把安全方案做的詳細,硬件設備和軟件產(chǎn)品配置的先進就可以了。這是一種錯誤的想法。信息安全工作靠這些是遠遠不夠的,或者說也僅僅是治標不治本。要實行“人防”和“技防

7、”相結合，一方面抓緊配置必要的技術裝備，另一方面掌握必備的防范手段，不斷提高管理和操作人員的業(yè)務水平和技術防范能力。抓好思想教育，通過召開全體大會，剖析典型案例，提高全體人員對計算機信息安全重要性和必要性的認識,克服麻痹大意思想，自覺在工作中養(yǎng)成良好安全意識.建立和完善信息安全制度為了真正實現(xiàn)對數(shù)量眾多和環(huán)境復雜的網(wǎng)絡終端進行有效的管理，還需要配套制定相應的管理制度，加強規(guī)范管理和制度控制。制定一系列安全管理制度用于規(guī)范管理和操作人員的行為，明確具體責任，制度要有很強的可操作性只有這樣,才能保證它的有效實施。如制定相應的機房出入管理制度，口令密碼管理制度等；制定嚴格的操作規(guī)程，操作規(guī)程要根據(jù)職

8、責分離和對人負責的原則，各負其責，不能超越自己的管轄范圍；制定完善的系統(tǒng)維護制度，詳細記錄故障原因、維護內容和維護前后的情況；制定信息安全應急響應預案和處理辦法,形成完整的信息安全保障制度。提高保障信息安全技能信息化建設是科技含量很高的工作，需要集結一批有專業(yè)素質的人才隊伍。為了適應信息技術迅猛發(fā)展的現(xiàn)實，也需要對現(xiàn)有信息技術人員進行有針對性、適應實際需要的培訓，提高專業(yè)隊伍的素質水平。同時，信息安全工作做的好，需要每一名終端使用者掌握一定的信息安全方面的知識.因此，應該結合各自實際，加大全員培訓力度,達到人人熟悉設備性能，個個掌握安全知識，時時處處能應用各種防范措施，防止因操作失誤造成安全和

9、泄密事故.（二）信息安全的技術措施身份認證,通過身份認證的終端才能進入內部網(wǎng)絡接入控制身份認證是終端安全的“大門，進入“大門”就可以獲得終端計算機系統(tǒng)的資源。用戶身份認證是對使用終端的人員進行身份鑒別，只有指定的人員才能使用終端并接受系統(tǒng)的監(jiān)管,實現(xiàn)授權操作.終端網(wǎng)絡準入控制是指設置準入的安全策略對接入設備進行驗證，根據(jù)終端安全性檢查結果，確定終端接入方式.非授權用戶接入網(wǎng)絡需要身份認證，在用戶身份認證時，可綁定用戶接入IP、MAC、接入設備IP、端口等信息，進行強身份認證,防止賬號盜用、限定賬號所使用的終端,認證和安全性檢查全部通過的終端計算機才能接入內部網(wǎng)絡。建立終端標準化管理系統(tǒng)，加強對

10、用戶的行為監(jiān)控為了便于省公司對內網(wǎng)終端計算機的管理，做到“看得見，管得了”的可視化的管理目的，建立了終端計算機的桌面終端標準化管理系統(tǒng)，從而將內網(wǎng)信息安全的管理重點擴大至終端計算機.一是通過批量設置計算機的安全保護策略提高桌面計算機的安全性,及時更新桌面計算機的安全補丁，減少被攻擊的可能；實現(xiàn)動態(tài)安全評估，實時評估計算機的安全狀態(tài)及其是否符合管理規(guī)定。二是防止外來電腦非法接入、主機地址冒用，避免網(wǎng)絡安全遭受破壞或者信息泄密,確保本單位的計算機使用制度得到落實。三是通過主動掃描和終端計算機上傳得到的信息自動發(fā)現(xiàn)網(wǎng)絡內部的非法行為，出現(xiàn)安全問題后，可以對有問題的IP、MAC、主機名等進行快速的定位

11、；四是實現(xiàn)計算機的資產(chǎn)管理和控制，建立對微機、Windows終端、網(wǎng)絡打印機等聯(lián)網(wǎng)前臺設備進行管理的信息數(shù)據(jù)庫，記錄微機的操作系統(tǒng)及當前版本、計算機名稱、網(wǎng)卡MAC地址、IP地址、主要硬件設備型號、使用管理人、當前用戶等信息。安裝防病毒軟件，實時監(jiān)測內網(wǎng)終端的狀態(tài)省公司對接入內網(wǎng)的終端安裝防病毒軟件，通過防病毒軟件的監(jiān)測，能夠判斷內網(wǎng)終端計算機是否安裝了防病毒軟件、防病毒軟件運行是否正常以及病毒庫是否保持最新等情況.我們在防病毒控制臺中還針對內網(wǎng)訪問的網(wǎng)段進行訪問控制，把準許訪問的網(wǎng)段添加到白名單中，把用戶嚴格限制在安全的區(qū)域范圍內，防病毒控制臺還可以制定安全威脅掃描策略，定期掃描和清除病毒、

12、木馬、后門、間諜軟件等惡意軟件.對不滿足安全要求的終端通過防病毒系統(tǒng)及時向終端分發(fā)經(jīng)過安全測評的病毒庫升級包和惡意代碼庫；防病毒系統(tǒng)還可阻斷違規(guī)聯(lián)入外網(wǎng)，確保內網(wǎng)終端計算機的安全。及時更新終端計算機的系統(tǒng)補丁目前省公司在內網(wǎng)終端計算機中主要應用的是微軟的XP系統(tǒng)。微軟在其產(chǎn)品發(fā)布后，經(jīng)常會針對產(chǎn)品本身存在的功能或者安全問題發(fā)布補丁.省公司在內網(wǎng)分發(fā)補丁采用措施有兩個，一是采用軟件更新服務(SUS)的方法進行補丁管理。SUS是一個用于管理和分發(fā)關鍵Windows補丁的免費工具。二是采用桌面終端標準化管理系統(tǒng)的補丁分發(fā)模塊，在全網(wǎng)實現(xiàn)補丁的下發(fā)與安裝。通過及時安裝補丁可以解決MicrosoftWi

13、ndows2000、WindowsXP和WindowsServer2003操作系統(tǒng)中已知的安全漏洞和其他穩(wěn)定性問題.實行數(shù)據(jù)存儲保護，做到有備無患數(shù)據(jù)加密數(shù)據(jù)安全越來越受到重視，內部數(shù)據(jù)安全是亟待解決的重要問題。一些電腦外帶使用丟失或被盜后,重要數(shù)據(jù)被盜取造成泄密，內部無讀取權限的員工有意或無意打開敏感數(shù)據(jù)等給內網(wǎng)數(shù)據(jù)安全帶來極大挑戰(zhàn)。目前，應對數(shù)據(jù)存儲安全的主要策略是數(shù)據(jù)加密技術，采用軟件加密或者硬件加密技術，省公司在終端計算機中使用經(jīng)過加密的安全U盤來拷貝數(shù)據(jù)，安全U盤分為交換區(qū)和保密區(qū)，在安裝了桌面終端標準化管理軟件的終端上可以使用交換區(qū)和保密區(qū)，但是在未安裝桌面終端標準化管理軟件的終端

14、上只可以使用家換取，用戶的一般數(shù)據(jù)可以拷入交換區(qū)，可以與其他終端進行數(shù)據(jù)交換，如果保密的數(shù)據(jù)，可以拷入保密區(qū),萬一發(fā)生U盤丟失的情況，U盤中的數(shù)據(jù)也不會被拷出，杜絕因數(shù)據(jù)竊取、泄露等造成巨大的安全隱患與經(jīng)濟損失。制定安全策略,加強終端安全防護體系建設所有的終端安全防護建設都應該圍繞預先制定的安全策略來執(zhí)行.對于終端的安全策略應包括以下內容:）操作系統(tǒng)的安全策略。例如密碼策略、賬號策略、本地策略、軟件策略、服務策略、外設策略、審核策略、屏保策略、匿名訪問限制等等。這些安全配置的正確應用對于各種軟件系統(tǒng)自身的安全防護具有重要作用。操作系統(tǒng)安全策略可由第三方安全產(chǎn)品或操作系統(tǒng)本身強制執(zhí)行.2）分配用戶權限。針對不同組織機構的具體情況，嚴格分配和授權終端用戶的使用權限。如網(wǎng)絡訪問權限，系統(tǒng)訪問權限、授權用戶的使用資源。3）制定外來人員訪問策略，嚴格控制和管理外來終端對外來終端實施準入控制,可采用先進的,嚴