浅谈企业计算机终端安全管理

浅谈企业计算机终端安全管理

计算机终端是大多数用户访问网络和数据的工具，但是许多企业、组织却在信息安全管理及部署中忽略了对终端的控制，通常一个企业或组织会把精力集中放在部署防火墙等边界安全防护上来保护其内部数据不受外来入侵者的非法访问，却因为对计算机终端的管理不善而造成数据丢失或系统被入侵，因此确保终端计算机的安全性已成为企业信息安全保障工作中的重要环节，在此背景下，省公司重点提出了在科学有效地部署计算机终端安全防护体系中应注意的问题，以及应对的措施。

一、引言

随着近年来的信息化进程越来越迅速，信息安全问题也逐步被重视，但现今人们主要把精力都集中在网络边界的防护上，而研究表明引起信息安全问题事件的大多数原因是由于对网络内部IT终端的管理不善而造成的，据CERT报道有九成以上的安全问题是由于计算机终端系统的脆弱性及配置不当造成的，诸如缺少补丁，脆弱的用户名密码或开启不必要的服务等，可见计算机终端的安全管理已经成为信息安全的最大潜在威胁。网络安全呈现出了新的发展趋势，安全战场已经逐步由对核心与主干的防护，转向对网络边缘的每一个终端的管理。因此，研究如何在等级保护环境下科学有

效部署计算机终端安全防护体系，是当前省公司信息安全保障工作中迫在眉睫的任务。

二、内网计算机终端的威胁现状

信息安全是为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然的恶意的原因遭到破坏、更改和泄露。经过总结，目前认为危害内网终端计算机信息安全的主要因素有以下几个方面：1）缺乏终端网络准入机制：有些计算机终端未经任何身份认证和安全认证，就可以随意接入网络，访问网络和计算机的资源,对整个网络和应用造成很大的安全威胁。

2）系统漏洞的广泛存在：包括操作系统、浏览器、办公软件以及媒体播放器等常用软件的漏洞广泛存在。如果漏洞补丁安装不完全、不及时，将给病毒、木马、恶意软件等入侵系统造成可乘之机。

3）木马、病毒等恶意软件的攻击手段层出不穷：计算机病毒是一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序使其含有该病毒程序的一个副本。一旦病毒执行时，它可以完成任何功能，例如删除文件和程序等。在实际工作中需要从互联网上下载信息后在内网上应用。因此在内网中要求采用刻录光盘的方式进行内网和互联网之间的传递。但是如果将感染了病毒的文件刻录到的光盘

中，然后在内网终端计算机上使用，内网终端计算机也会感染上病毒，病毒也会在内网中传播。然而，有的终端计算机不安装防病毒、防黑客软件，即使安装了不及时升级更新病毒特征库。

4）用户缺乏安全知识：有些用户缺乏必要的信息安全知识，未能及时采取合适的安全防护措施保护终端，如安全配置不正确、系统补丁安装不完全、不及时，防病毒软件及其他常用软件未及时升级等。有些用户安全意识淡薄，在非涉密终端上处理涉密或敏感信息，直接导致涉密或敏感信息泄密。

5）欠缺对终端计算机用户的行为监控：有的用户可在终端计算机上能随意安装、运行软件，这些软件很有可能带有恶意代码，或者随意拷走涉密文件，违规使用涉密移动存储设备，造成泄密事件的发生;或者故意在终端上运行恶意软件，传播恶意代码、实施破坏或窃密。而在一些内网中对用户操作行为欠缺方便、及时和强大的安全监控和日志审计功能，对用户的违规甚至违法行为无法报警和记载。

三、内网计算机终端安全管理的目标与要求

从信息系统安全保护等级的角度对终端计算机系统进行了五个安全等级的划分。在身份鉴别（认证）、访问控制、数据加密、病毒防护、系统加固、安全审计等方面，其针对

各安全级别计算机终端保护都提出了清晰的安全目标与基本要求。简单总结来看，对于计算机终端安全保护的安全目标基本可概括为能够监测和分析终端安全状态，可以控制和记录终端的操作行为，统一配置终端安全策略，以使终端“可信、可控、可管、可用”，保护终端正常、安全地运行。从基本要求来看，对计算机终端安全保护提出了技术和管理两方面的基本要求，组织机构在实施等级保护工作时可根据相关国家标准来完善各等级信息系统的计算机终端安全保护措施。

四、内网计算机终端安全管理体系

(一)信息安全的管理措施

1.增强信息安全保护意识

有的人认为：要想保证信息安全，只需要把安全方案做的详细，硬件设备和软件产品配置的先进就可以了。这是一种错误的想法。信息安全工作靠这些是远远不够的，或者说也仅仅是治标不治本。要实行“人防”和“技防”相结合,一方面抓紧配置必要的技术装备,另一方面掌握必备的防范手段,不断提高管理和操作人员的业务水平和技术防范能力。抓好思想教育，通过召开全体大会，剖析典型案例，提高全体人员对计算机信息安全重要性和必要性的认识，克服麻痹

大意思想，自觉在工作中养成良好安全意识。

2.建立和完善信息安全制度

为了真正实现对数量众多和环境复杂的网络终端进行有效的管理，还需要配套制定相应的管理制度，加强规范管理和制度控制。制定一系列安全管理制度用于规范管理和操作人员的行为，明确具体责任，制度要有很强的可操作性。只有这样，才能保证它的有效实施。如制定相应的机房出入管理制度，口令密码管理制度等；制定严格的操作规程，操作规程要根据职责分离和对人负责的原则，各负其责，不能超越自己的管辖范围；制定完善的系统维护制度，详细记录故障原因、维护内容和维护前后的情况；制定信息安全应急响应预案和处理办法，形成完整的信息安全保障制度。

3.提高保障信息安全技能

信息化建设是科技含量很高的工作，需要集结一批有专业素质的人才队伍。为了适应信息技术迅猛发展的现实，也需要对现有信息技术人员进行有针对性、适应实际需要的培训，提高专业队伍的素质水平。同时，信息安全工作做的好，需要每一名终端使用者掌握一定的信息安全方面的知识。因此，应该结合各自实际，加大全员培训力度，达到人人熟悉设备性能，个个掌握安全知识，时时处处能应用各种防范措

施，防止因操作失误造成安全和泄密事故。

(二)信息安全的技术措施

1.身份认证，通过身份认证的终端才能进入内部网络

接入控制身份认证是终端安全的“大门”，进入“大门”就可以获得终端计算机系统的资源。用户身份认证是对使用终端的人员进行身份鉴别，只有指定的人员才能使用终端，并接受系统的监管，实现授权操作。终端网络准入控制是指设置准入的安全策略对接入设备进行验证，根据终端安全性检查结果，确定终端接入方式。非授权用户接入网络需要身份认证，在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口等信息，进行强身份认证，防止账号盗用、限定账号所使用的终端，认证和安全性检查全部通过的终端计算机才能接入内部网络。

2.建立终端标准化管理系统，加强对用户的行为监控

为了便于省公司对内网终端计算机的管理，做到“看得见，管得了”的可视化的管理目的，建立了终端计算机的桌面终端标准化管理系统，从而将内网信息安全的管理重点扩大至终端计算机。

一是通过批量设置计算机的安全保护策略提高桌面计算机的安全性，及时更新桌面计算机的安全补丁，减少被攻