黃 俊

（廣西廣播電視信息網(wǎng)絡(luò)股份有限公司河池分公司，廣西河池547000）

1 大型企業(yè)計算機終端安全管理現(xiàn)狀

1.1 身份識別

1.1.1 個人電腦口令設(shè)置

未要求設(shè)置無開機密碼和硬盤口令驗證，開機后只要直接輸入正確的管理員用戶名和密碼即可進行認證登陸電腦，接入公司網(wǎng)絡(luò)。 用戶名和密碼可以是普通用戶權(quán)限， 不要求一定用管理員帳號密碼登錄。

1.1.2 公用電腦口令設(shè)置

部分電腦是部門級的公用電腦，用于存放部門的公共資料或公用的數(shù)據(jù)信息等。 對于這類電腦的用戶名和密碼一般都是公開的，也沒有設(shè)置相應(yīng)的責任人， 只要輸入相應(yīng)的用戶名和密碼即可登錄電腦，接入公司網(wǎng)絡(luò)，訪問公司資源，也可以隨意從公司的相關(guān)服務(wù)器拷貝資料等。

1.1.3 供應(yīng)商等其他外部電腦終端在公司內(nèi)部辦公區(qū)可直接接入內(nèi)部網(wǎng)絡(luò)使用

任何一臺正常工作的電腦，只要帶到公司連接上網(wǎng)線即可接入內(nèi)部網(wǎng)絡(luò)，訪問和使用公司的資源，當然也可以拷貝一些內(nèi)部資料到其電腦上。

1.2 終端接入

在內(nèi)網(wǎng)，通過域認證加入域后，不管域用戶是不是管理員帳號，終端將自動接入公司網(wǎng)絡(luò)。在外網(wǎng)，在計算機終端未關(guān)機的狀態(tài)下，通過安裝的遠程終端控制軟件即可接入控制內(nèi)部計算機終端。公司內(nèi)部辦公區(qū)域網(wǎng)絡(luò)未做隔離，公共區(qū)域的終端可以直接訪問敏感區(qū)域的服務(wù)器。流氓軟件肆意流傳，嚴重影響網(wǎng)絡(luò)安全，導(dǎo)致病毒傳播或者數(shù)據(jù)丟失事件時有發(fā)生。

1.3 補丁安全、防病毒技術(shù)

操作系統(tǒng)的安全漏洞又非常多，微軟公司會通過定期發(fā)布安全補丁的方式來彌補這些漏洞，但由于端終用戶缺乏相關(guān)知識，導(dǎo)致補丁安裝的不完全，不及時，這就會嚴重影響終端計算機的安全，從而導(dǎo)致更嚴重的整個內(nèi)網(wǎng)安全問題。對內(nèi)部終端接入外部互聯(lián)網(wǎng)的權(quán)限控制不嚴格，造成內(nèi)部終端感染病毒類型多，無法有效管理和控制。經(jīng)常造成網(wǎng)絡(luò)故障，影響正常辦公和企業(yè)單位信息安全，漏洞數(shù)量居高不下。

1.4 終端信息安全管理體系

終端信息安全管理相關(guān)規(guī)范制度缺乏，且難以有效實施。 整個管理體系，僅有一些管理的規(guī)章制度，并且這些制度僅僅是停留在紙面上。 由于信息安全管理體系中沒有明確的組織架構(gòu)，導(dǎo)致終端信息安全的重要性體現(xiàn)不足。相關(guān)管理人員沒有有效的權(quán)利推行相關(guān)制度和監(jiān)管制度的執(zhí)行情況。 類似場景的違規(guī)事件，在不同的部門判定的違規(guī)等級以及類型經(jīng)常都不一致，導(dǎo)致員工認可度不高。

2 大型企業(yè)計算機終端安全管理策略

2.1 終端安全管理的理論

企業(yè)單位要更多考慮端到端的架構(gòu)，安全永遠是三分技術(shù)七分管理，在制定了安全策略和安全制度后，更要考慮的是，如何能保證安全策略的貫徹執(zhí)行?比如說一些公司在管理制度上要求所有員工必須及時打補丁、不允許安裝IM 軟件，但是如果員工不執(zhí)行公司的策略，這個安全策略就是一紙空文。

公司的網(wǎng)絡(luò)安全理念基于二點：首先，我們倡導(dǎo)從源頭控制，網(wǎng)絡(luò)的大部分不安全因素來自終端，終端通過一些非法的軟件、移動介質(zhì)引入了很多安全風險，所以對終端的源頭控制，是保障網(wǎng)絡(luò)安全最重要的支撐；其次，是對業(yè)務(wù)系統(tǒng)的健壯性的加強，包括漏洞掃描，業(yè)務(wù)評估，建立安全基線和主機加固。

怎么實現(xiàn)風險的統(tǒng)一收集分析、管理和規(guī)避，這在整個安全體系中是最重要的工作。通過這個理念來實現(xiàn)端到端，從源頭到業(yè)務(wù)系統(tǒng)，乃至整個網(wǎng)絡(luò)的安全防護一體化。

2.2 終端安全策略分析

如何降低終端對網(wǎng)絡(luò)及系統(tǒng)構(gòu)成的威脅，要對終端進行相應(yīng)的身份認證和安全檢查，實現(xiàn)一體化的防護，所有終端在進入網(wǎng)絡(luò)之前要到安全策略服務(wù)器上認證和安全策略檢查，通過之后才準許終端系統(tǒng)訪問相應(yīng)的業(yè)務(wù)系統(tǒng)，這作為整個安全認證第一關(guān)，如果不符合要求就要進行相應(yīng)安全的修補，包括針對安全策略進行檢查，進行補丁的下載，進行強制殺毒安全權(quán)限的補任，修補之后又進行安全檢查，這樣形成一體的循環(huán)。 終端安全管理主要包含以下模塊：

2.2.1 網(wǎng)絡(luò)接入控制模塊

傳統(tǒng)上來講， 在企業(yè)單位中終端接入網(wǎng)絡(luò)是沒有任何控制的，在終端接入網(wǎng)絡(luò)后，在網(wǎng)絡(luò)層是可以訪問任何網(wǎng)絡(luò)中的主機。 這樣的話就帶來了很大的風險，然而，根據(jù)工作相關(guān)原則和最小權(quán)限原則，網(wǎng)絡(luò)接入控制可以實現(xiàn)以下功能：

1）終端在接入網(wǎng)絡(luò)之前必須經(jīng)過身份認證；

2）終端在身份認證后根據(jù)相應(yīng)的權(quán)限確保只能訪問相應(yīng)的系統(tǒng)，比如市場的員工如無工作需要不能訪問財務(wù)系統(tǒng)的網(wǎng)絡(luò)；

3）終端在接入網(wǎng)絡(luò)后可以進行限流，確保這個終端在中了病毒以后，不會影響網(wǎng)絡(luò)和網(wǎng)絡(luò)中的其他設(shè)備；

4）對于沒有合法身份的終端進行強制隔離，不允許接入公司的網(wǎng)絡(luò)。

2.2.2 終端策略強制模塊

終端策略強制模塊是安全管理通過技術(shù)手段貫徹執(zhí)行的具體體現(xiàn)， 只有符合公司策略的終端才能接入網(wǎng)絡(luò)。 企業(yè)單位可以根據(jù)自身特點定制安全策略， 通過策略強制來確保所有終端執(zhí)行公司的策略，否則強制隔離。

2.2.3 終端行為審計模塊

終端行為審計模塊可以幫助公司安全人員對安全策略的執(zhí)行情況進行檢查分析，用戶也可以通過工具進行自檢。

1）用戶可以自助檢查終端是否符合公司的策略，如果不符合，可以按照提示先行修復(fù)；

2）審計員可以通過工具下載審計任務(wù)， 自動檢查出不符合公司策略的終端；3）審計員可以監(jiān)控終端的可疑行為，如使用USB 硬盤等；4）可以方便公司進行資產(chǎn)管理。

2.3 終端安全管理體系建設(shè)

2.3.1 在戰(zhàn)略層面公司高層對信息安全的重要性進行了重新審視和達成共識。 并下發(fā)公司級文件，向全公司全體員工明確計算機終端信息安全的重要性，以及相應(yīng)的管理制度。

2.3.2 在戰(zhàn)術(shù)層面落實具體公司計算機終端信息安全標準、安裝操作指引、審計指引等。便于在統(tǒng)一的標準平臺下，實施系統(tǒng)的自動統(tǒng)一管理。

2.3.3 在執(zhí)行層面，每個三級部門設(shè)立信息安全專員，按相關(guān)規(guī)范要求在本部門內(nèi)負責開展相關(guān)信息安全工作，并作為信息安全責任人對部門的信息安全考核結(jié)果負責。將信息安全管理工作的執(zhí)行效果以及違規(guī)情況納入所有員工的績效考核，將信息安全與員工切身利益相關(guān)的績效考核聯(lián)系起來，提供了員工對信息安全重要性的認識。

2.3.4 將信息安全管理制度、標準和相應(yīng)的系統(tǒng)工具的使用方法作為專門的課程，以面授、網(wǎng)絡(luò)自學、宣傳郵件等形式對員工進行培訓。 確保所有員工能夠在信息安全方面有充分的認識。

公司通過使用安全方針策略、安全目標、審核結(jié)果、對監(jiān)控事件的分析、糾正和預(yù)防行動和管理評審的信息來糾正和預(yù)防與終端信息安全管理體系要求不相符合之處，以持續(xù)改進終端信息安全管理體系的有效性。

3 結(jié)語

要提高企業(yè)單位終端安全，就應(yīng)該放棄對某些防護技術(shù)單一的依賴心理，而將企業(yè)單位的具體業(yè)務(wù)情況和業(yè)務(wù)環(huán)境相結(jié)合，制定出以安全策略為核心的解決方案，才能最終長期有效地保護企業(yè)單位信息資產(chǎn)的安全可用。 終端信息安全管理是一個持續(xù)優(yōu)化的過程，后續(xù)需要進一步的研究和優(yōu)化終端信息安全管理體系和工具。

［1］陳衛(wèi)平.淺析終端安全管理系統(tǒng)的建設(shè)[J].現(xiàn)代電視技術(shù)，2011（10）.

［2］盧海勤.終端安全防護技術(shù)及體系架構(gòu)部署模式[J].中國金融電腦，2012（10）.

［3］張桂紅.終端安全管理系統(tǒng)設(shè)計與實現(xiàn)[J].電腦知識與技術(shù)，2009（18）.