计算机终端安全管理探讨

计算机终端安全管理探讨
作者：景香芝
来源：《软件》2012年第07期
摘要：计算机终端是组织内部员工进行业务处理、数据处理及访问网络的主要工具，但是许多组织却在信息安全管理及部署中忽略了对终端的控制，针对这个问题，本文具体分析了影响计算机终端安全的因素，并给出相应的安全管理建议，确保终端安全策略在组织内部的有效实施。

关键词：计算机；终端；安全
中图分类号：TP315 文献标识码：A DOI：10.3969/j.issn.1003-6970.2012.07.045
1.影响计算机终端安全管理的因素
1.1自然灾害因素
自然灾害的发生是不可避免的，如地震、洪水、火灾等等所引起的计算机系统的破坏，从而引起的信息的丢失或损坏，这些威胁不受人为控制，但是产生的损失却不可小视。

组织可以制定适当的安全措施来抵御这种威胁，比如对重要信息采取多种备份方式并分散存储，制定完善的灾难恢复机制等都可以极大的降低自然灾害因素对企业带来的损失。

1.2人为主观因素
人为主观因素可分为两个方面：恶意行为和非恶意行为。

（1）恶意行为。

内部员工或可进入组织内部的其他人员的恶意行为是组织信息安全的最大威胁之一，这些内部员工对内部组织结构及系统都相对比较熟悉，他们知道何种操作能给组织带来最大的损失，他们可以充分利用这一优势来达到自己的目的。

与计算机终端操作相关的恶意操作大致可分为：非授权访问；破环数据完整性；利用网络传播病毒等。

（2）非恶意行为。

对于组织的内部员工，虽然他们并没有恶意动机进行破坏，但是由于缺乏相应的安全意识，他们的一些疏忽或错误操作都可能直接或间接的对组织的信息数据造成潜在的安全威胁。

如员工对一些重要文件的误操作可能导致信息的破环或丢失；员工对计算机终端的不合理配置可能导致系统存在漏洞或重要数据泄露等等。

由于内部员工的这些不当操作具有很大的不确定性，因此可以说对组织具有很大的安全威胁。

非恶意员工可能造成的威胁有：帐户外泄；不安全的文件共享；系统补丁未及时更新；未及时防病毒等。

1.3系统漏洞因素
漏洞是可以在攻击过程中利用的弱点，可以是软件、硬件、程序缺点、功能设计或者配置不当等引起的。

在实际应用的系统中，都会不同程度的存在各种潜在的安全性错误，对于操作系统这样一个庞大的软件系统而言，安全漏洞的存在更是不可避免的。

安全漏洞会给黑客或入侵者提供入侵系统的机会，入侵者可能会研究分析漏洞，加以利用而绕过系统的安全机制而获得一定程度的访问权限，从而达到自己的目的。

补丁是系统提供商针对漏洞发布的修补程序，为了最大程度的减小漏洞的威胁，组织内部计算机终端所使用的操作系统及应用软件需要及时进行补丁更新，修补已知漏洞，从而降低安全风险。

1.4恶意代码因素
对计算机终端系统中数据的保密性、完整性和可用性最顽固的威胁是恶意代码，最常见的形式有：（1）病毒。

它是一种计算机程序，该程序执行时可以未经允许就把自身复制到另一个程序之中，感染该病毒的程序在执行时仍以这种方式把自身复制到另一程序之中。

这些行为都会极大影响计算机终端，并对整个组织内部网络都造成极大危害。

（2）蠕虫。

它是一种未经许可就可以把自身复制到网络节点上的计算机程序。

蠕虫可以将其一部分散布到网络其他计算机上，占用大量的内存空间和处理时间，最终可能导致死机。

（3）特洛伊木马。

它指有预谋的隐藏在程序之中的一组计算机指令，是一种计算机程序，它可以伪装成合法程序，做一些用户并不希望的事情。

恶意代码是目前计算机终端面临的重要安全威胁之一，对于组织内计算机终端，应该采取适当的安全策略，安装并运行适当的杀毒软件，并及时更新病毒库，采用适当的安全访问控制措施等等可以有效防护病毒。

2.相关计算机安全管理技术
2.1访问控制技术
访问控制是网络安全防范和保护的丰要技术之一，他的主要任务是保证网络资源不被非法使用和访问。

访问控制技术用来控制用户对网络资源的合法使用，访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

（1）入网访问控制。

通过对用户账户和口令的认证与识别来实现用户对网络或资源的访问控制。

它主要控制哪些用户能登陆服务器并获取网络资源，控制准许用户的入网时间以及可登陆的服务器。

（2）权限控制。

权限控制是针对网络非法操作所提出的一种安全保护措施。

不同用户和用户组被赋予不同的权限级别，通过权限设置控制用户和用户组对网络资源的访问范围及对可访问资源的操作性。

（3）目录及文件属性控制。

目录及文件属性控制可以实现进一步的信息安全，可以控制用户对目录、文件或设备的访问，用户或用户组被设置相应的权限来获得对目录或文件的访问。

文件属性控制可以针对文件、目录等设置访问属性，如访问、修改、删除、拷
贝等属性控制，适当的属性控制可防止由于用户对资源的误操作，可见属性安全是在权限安全的基础上提供的更进一步的安全。

2.2VPN技术
VPN（Virtual Private Network）是一种通过ISP和其他NSP，在公网如Internet中建立用户私有专用的数据通信网络技术，通过私有隧道在公共数据网上仿真一条点到点的专线，主要采用四项核心技术：安全隧道技术、密钥管理技术、访问控制技术和用户身份认证技术。

安全隧道技术是VPN的一项基本技术，主要负责将待传输的原始信息经过加密、协议封装和压缩处理以后嵌套在另一种协议的数据包中送人网络，从而实现对公用网络的透明性。

隧道技术保证在公网上建立专用的私有通道，它主要遵循以下四种隧道协议：PPTP点到点隧道协议、L2TP第二层隧道协议、IPSec网络层隧道协议以及SOCKS v5协议。

VPN安全技术是用于保证数据的安全性和完整性，由加密、认证及密钥交换与管理等技术实现。

VPN大致可分为三类：（1）组织内部虚拟网。

组织内部虚拟网是指组织的总部与分支机构间通过公网构筑的虚拟网。

它通过一个使用专用连接的共享基础设施来连接；组织拥有与专用网络的相同政策，包括安全、服务质量，可管理性和可靠性等。

（2）远程访问虚拟网。

远程访问虚拟网是指组织员工或小分支机构通过公网远程拨号的方式构筑的虚拟网。

它可以通过拨号、ISDN、XDSL、移动IP等方式实现安全连接，用户随时随地以其所需的方式访问组织资源。

（3）组织扩展虚拟网：组织扩展虚拟网是指不同组织网通过公网来构筑的虚拟网。

它通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到组织内部网、组织拥有与专用网络的相同政策，包括安全、服务质量、可管理性和可靠性等。

它适合于提供B2B之间的安全访问服务。

2.3防病毒技术
计算机病毒有不可估量的威胁性和破坏力，计算机病毒的防范是终端安全域与网络安全性建设中重要的一环。

防病毒技术包括预防病毒、检测病毒和病毒清除三种技术：（1）预防病毒技术。

它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。

（2）检测病毒技术。

它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。

（3）清除病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。

3.保证计算机终端安全的对策与建议
3.1限制恶意代码
恶意代码对终端具有严重危害，限制恶意代码是实现终端安全的重要手段，限制恶意代码可以从以下三个方面入手：限制恶意代码进入系统；限制恶意代码运行；限制恶意代码通信。

首先我们希望恶意代码远离系统，其次，如果它进入了系统，我们要尽量阻止它运行，最后如
果它运行了，只有尽力阻止它向其他系统扩散。

为了达到目的，可以采取以下几种终端配置：（1）基于主机的防火墙。

Windows内置的基于主机的防火墙可以限制从其他计算机传入的信息，防御穿过外围网络或来自组织内部的网络攻击，可以防止在未经允许的情况下尝试连接到计算机。

（2）IPSec过滤。

IPSec可以实现过滤出入主机的数据流，通过建立IPSec策略规则来限制通过特定端口的数据，有时在某种程度上对限制蠕虫等恶意代码的传播非常有效。

（3）软件限制。

软件限制策略是根据一定规则来控制应用程序的在计算机上的运行能力，能有效的防止恶意代码的运行。

为了保护客户端远离恶意代码，应尽可能多地使用软件限制策略。

软件限制策略可以通过定义组策略强制作用到特定的域或工作组，从而增强客户端的安全性。

（4）恶意代码防护软件。

防病毒软件及反间谍软件可以很大程度上防止恶意代码侵入系统，因此，在大多数终端上都应安装合适的反病毒软件。

3.2完善终端帐户配置
（1）更改或禁用Administrator帐户名。

对于终端计算机，应更改系统管理员的默认帐户，以避免被人破解密码，而且改后帐户名应尽量复杂，不易被猜到。

（2）终端禁止其他用户登录。

终端仅允许其唯一使用者登录，采用用户与终端计算机一对一的使用关系，防止交叉使用带来潜在威胁。

（3）禁用本机的Guest账号。

（4）用户密码安全。

密码应定期更改；密码应该遵循一定的复杂对规则，如应规定最小长度，规定应包含尽可能多的字符集等以增加密码复杂度；对于有多个帐户的用户来说，应该禁止使用相同的口令，甚至包括邮件系统等的密码都不与系统登录密码相同。

3.3完善终端网络配置
（1）网络访问。

启用不允许SAM账号的匿名枚举。

启用不允许SAM账号和共享的匿名枚举。

（2）默认共享。

终端计算机应禁止共享C$，D$，ADMIN$，IPC$。

IPC$（InternetProcess Connection）共享“命名隧道”的资源，它是为了让进程间能够正常通信而开发的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道进行加密数据的交换。

Windows XP系统在系统初次安装后提供IPC$功能的同时，还打开默认共享（C$，D$，Admin$），这一特性可被人利用进行IPC$入侵，导致系统安全性的降低，因此应关闭系统的默认共享，以提高系统安全性。

3.4完善终端软件配置。