廖正湘,李云英,段振興

（1.中國石油吐哈油田公司 信息中心,新疆 哈密 839009；2.中國石油吐哈油田公司 信息產(chǎn)業(yè)處，新疆 哈密 839009）

2014年9月，據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）公布的數(shù)據(jù)，境內(nèi)平均每周感染病毒主機50萬臺以上，被篡改網(wǎng)站5000個以上，被植入后門網(wǎng)站在500個以上，同時有大量信息安全漏洞和網(wǎng)絡(luò)病毒家族產(chǎn)生。以上信息無一不和終端計算機相關(guān),說明終端計算機安全就是互聯(lián)網(wǎng)信息安全的堡壘。如果終端計算機可防護(hù)、可檢測、可控制、可審計，有抵御安全威脅的能力，能降低計算機病毒和木馬發(fā)生概率，不僅加強了企業(yè)內(nèi)部網(wǎng)絡(luò)安全，也為整個互聯(lián)網(wǎng)環(huán)境提供了安全防護(hù)功能。

1 自身系統(tǒng)安全

自身系統(tǒng)安全在終端計算機安全防護(hù)體系中特別重要。沒有自身安全，其他無從談起。自身安全涉及多方面多層次問題，其中操作系統(tǒng)及配置、桌面安全軟件非常重要。

1.1 操作系統(tǒng)及配置

首先鼓勵并引導(dǎo)用戶使用正版操作系統(tǒng)及軟件，通過完整的補丁更新，減少計算機系統(tǒng)漏洞和安全隱患；其次企業(yè)可制定計算機操作系統(tǒng)安全基線配置標(biāo)準(zhǔn)，如賬號密碼策略、端口使用、非法外聯(lián)、共享、磁盤分區(qū)等進(jìn)行規(guī)范，通過操作系統(tǒng)及配置等從基礎(chǔ)上可加固操作系統(tǒng)防護(hù)能力，有效抵制網(wǎng)絡(luò)病毒及黑客攻擊，減少終端計算機運行風(fēng)險。

1.2 桌面安全軟件

企業(yè)按照分級部署網(wǎng)絡(luò)版殺毒及管理軟件等終端計算機安全軟件，做到每臺計算機可管理可控制，并掌握整體終端計算機安全動態(tài)。通過桌面安全軟件部署，保證病毒定義碼和補丁更新，也可自動分發(fā)企業(yè)定制的安全策略，如安全基線設(shè)置、違規(guī)接入審計、系統(tǒng)補丁等，保證企業(yè)信息安全政策連貫執(zhí)行，達(dá)到統(tǒng)一標(biāo)準(zhǔn)。

2 運行環(huán)境安全

在終端計算機安全防護(hù)體系建設(shè)中，運行環(huán)境至關(guān)重要。運行環(huán)境主要有物理環(huán)境、網(wǎng)絡(luò)環(huán)境等。本文主要介紹網(wǎng)絡(luò)環(huán)境，在網(wǎng)絡(luò)環(huán)境中給終端計算機加幾把鎖，把握其方向軌跡和動態(tài)。

2.1 IP地址固定

在網(wǎng)絡(luò)中，IP地址固定可以解決信息安全事故溯源、IP地址沖突、準(zhǔn)確掌握上網(wǎng)計算機數(shù)量等問題。實施中通過管理和技術(shù)相結(jié)合的辦法，技術(shù)上在網(wǎng)絡(luò)設(shè)備里通過DHCP Snooping和ACL列表，實現(xiàn)IP和MAC地址綁定。

2.2 控制上互聯(lián)網(wǎng)計算機

因工作性質(zhì)和安全考慮,部分終端計算機僅處理企業(yè)內(nèi)部業(yè)務(wù)不需上互聯(lián)網(wǎng)。因此加大終端計算機上互聯(lián)網(wǎng)權(quán)限審核力度，技術(shù)上實施是在IP地址固定的前提下，在網(wǎng)絡(luò)設(shè)備通過訪問控制列表ACL或者互聯(lián)網(wǎng)出口安全設(shè)備里進(jìn)行配置。

2.3 部署準(zhǔn)入設(shè)備

為保證網(wǎng)絡(luò)安全，在網(wǎng)絡(luò)邊界或內(nèi)部部署準(zhǔn)入設(shè)備，設(shè)立終端計算機入網(wǎng)規(guī)則，如必須安裝企業(yè)桌面安全軟件和配置安全基線等等，通過進(jìn)程檢測合規(guī)后入網(wǎng)或可訪問關(guān)鍵業(yè)務(wù)。

2.4 部署內(nèi)容審計系統(tǒng)

在互聯(lián)網(wǎng)出口邊界部署內(nèi)容審計系統(tǒng)，在線對終端計算機訪問互聯(lián)網(wǎng)的行為進(jìn)行2～7層的識別，可進(jìn)行關(guān)鍵字的設(shè)置過濾、URL過濾，對于計算機的互聯(lián)網(wǎng)行為做到可控制、可管理、可審計，以保證網(wǎng)絡(luò)信息的安全。

2.5 部署代理服務(wù)器

為保證終端計算機上網(wǎng)安全，一般建議在互聯(lián)網(wǎng)出口設(shè)置代理服務(wù)器，用戶通過代理服務(wù)器訪問互聯(lián)網(wǎng)。通過代理服務(wù)器訪問互聯(lián)網(wǎng)可以提高訪問速度，方便對用戶行為進(jìn)行管理和審計，起到防火墻作用，保護(hù)局域網(wǎng)安全。

3 安全管理

三分技術(shù)七分管理，是終端計算機安全防護(hù)體系建設(shè)的準(zhǔn)繩。在自身系統(tǒng)和運行環(huán)境建設(shè)中，技術(shù)操作都是通過管理來實施的，因此形成一套安全管理機制并始終貫徹運行，是十分重要的。

3.1 建立終端計算機管理制度

建立終端計算機管理制度也是終端計算機安全防護(hù)體系建設(shè)的組成部分和重要措施，如《計算機信息系統(tǒng)管理》《計算機安全管理實施細(xì)則》《計算機工作考核評比細(xì)則》《計算機保密管理規(guī)定》《信息化考核體系》等都是非常重要的制度，通過建立健全這些制度，形成信息化考核機制，使得終端計算機安全工作有章可循。

3.2 提高計算機安全管理的力度和深度

在企業(yè)計算機安全管理管理中，管理人員首先要提高各級領(lǐng)導(dǎo)和員工網(wǎng)絡(luò)安全重視程度，其次定期通過各種手段完成終端計算機安全檢查工作，如通過桌面安全系統(tǒng)、審計系統(tǒng)檢查計算機違規(guī)行為，根據(jù)規(guī)定實施處罰等，最后安全管理人員要主動識別和評估安全風(fēng)險，制定和落實安全整改措施，確保終端計算機持續(xù)安全穩(wěn)定運行。

3.3 建設(shè)完整的計算機實名庫

通過建設(shè)終端計算機實名庫，掌握計算機管理動態(tài)，實現(xiàn)計算機資產(chǎn)管理，給領(lǐng)導(dǎo)提供決策依據(jù)。實名庫建設(shè)可采用各單位簽字蓋章上報、在桌面安全管理系統(tǒng)里注冊、定期現(xiàn)場抽查等，從而完成終端計算機實名庫的建設(shè)。

3.4 建立網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)

通過網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)的建立，保障終端計算機安全運行環(huán)境，也加強了桌面安全防護(hù)體系在網(wǎng)絡(luò)體系建設(shè)中的作用。

3.5 建設(shè)一支過硬的信息化隊伍

在企業(yè)中，建立信息安全組織架構(gòu)、明確組織責(zé)任、設(shè)置相應(yīng)崗位，建立一支過硬的專業(yè)信息化安全隊伍,切實加強計算機管理、維護(hù)終端計算機安全。

4 結(jié)語

終端計算機安全防護(hù)體系建設(shè)是網(wǎng)絡(luò)安全體系的一部分，它是一個長期的、系統(tǒng)的、復(fù)雜的建設(shè)，往往伴隨著互聯(lián)網(wǎng)信息安全變化、企業(yè)信息發(fā)展變化而不斷調(diào)整。在企業(yè)里必須推進(jìn)終端計算機安全防護(hù)體系建設(shè)，保證終端計算機在網(wǎng)上安全、高速、穩(wěn)定地運行，提升信息安全堡壘的作用，保障互聯(lián)網(wǎng)安全運行。

[1]潘玉洵.桌面安全管理技術(shù)現(xiàn)狀及發(fā)展趨勢[J].信息安全技術(shù)，2010(6).

[2]孫海.醫(yī)院桌面終端信息安全管理思考[J].現(xiàn)代醫(yī)院，2011(5)

[3]焦新勝.計算機網(wǎng)絡(luò)信息和網(wǎng)絡(luò)安全及防護(hù)策略的探討.[J].科技傳播，2013(1).