劉啟明

(蘇州工業(yè)園區(qū)職業(yè)技術(shù)學(xué)院 信息工程系，江蘇 蘇州 215123)

計(jì)算機(jī)終端安全管理策略分析

劉啟明

(蘇州工業(yè)園區(qū)職業(yè)技術(shù)學(xué)院 信息工程系，江蘇 蘇州 215123)

在現(xiàn)代企業(yè)中，因組織內(nèi)部的計(jì)算機(jī)沒(méi)有很好地管理和保護(hù)相關(guān)的數(shù)據(jù)，給企業(yè)造成了一定的損失。通過(guò)具體分析計(jì)算機(jī)終端的安全威脅，探討并提出有關(guān)計(jì)算機(jī)終端安全管理策略。

計(jì)算機(jī)終端安全；管理策略；應(yīng)用

網(wǎng)絡(luò)的快速發(fā)展帶給人們便利的同時(shí)，安全管理出現(xiàn)的問(wèn)題也給人們?cè)斐闪藷o(wú)法估量的損失。近幾年，無(wú)論是政府還是企業(yè)都面臨著嚴(yán)重的計(jì)算機(jī)終端安全問(wèn)題。終端計(jì)算機(jī)具有分散性的特點(diǎn)，目前整體的管理手段和措施較為落后，加強(qiáng)計(jì)算機(jī)終端安全管理工作刻不容緩。

1 計(jì)算機(jī)終端安全威脅分析

計(jì)算機(jī)終端安全威脅包括很多方面，但是總的來(lái)說(shuō)可以將計(jì)算機(jī)終端安全威脅分成自然威脅和人為威脅。而人為威脅又包括惡意的行為和非惡意的行為。計(jì)算機(jī)終端威脅中的非惡意行為是指在企業(yè)中，有的員工或者客戶由于不正確的計(jì)算機(jī)操作，缺乏使用計(jì)算機(jī)應(yīng)用的安全防范意識(shí)，給計(jì)算機(jī)終端帶來(lái)了安全威脅[1]。惡意行為則是指某些員工出于報(bào)復(fù)的心理，或者為了自己的利益而對(duì)公司的計(jì)算機(jī)進(jìn)行惡意操作，破壞公司計(jì)算機(jī)中的重要數(shù)據(jù)信息，威脅著企業(yè)的安全。

造成計(jì)算機(jī)終端安全威脅的另一個(gè)原因就是系統(tǒng)存在漏洞。這些漏洞包括軟件、硬件、程序缺點(diǎn)或者配置不當(dāng)?shù)?。在?jì)算機(jī)系統(tǒng)中，如果存在安全漏洞，黑客就可能侵入系統(tǒng)，從而竊取企業(yè)的重要信息。

最后一種安全威脅就是惡意代碼，惡意代碼會(huì)威脅到計(jì)算機(jī)終端系統(tǒng)中數(shù)據(jù)的安全性、完整性和秘密性[2]。惡意代碼可以詳細(xì)分為三種：①病毒。病毒屬于計(jì)算機(jī)程序，當(dāng)一臺(tái)計(jì)算機(jī)終端被病毒入侵的時(shí)候，它就會(huì)在沒(méi)有計(jì)算機(jī)主人的允許下對(duì)程序中的內(nèi)容進(jìn)行自動(dòng)的復(fù)制粘貼。計(jì)算機(jī)病毒有許多特點(diǎn)，這些特點(diǎn)包括篡改或者移動(dòng)文件，這兩個(gè)特點(diǎn)所造成的危害較小，有的病毒給計(jì)算機(jī)終端帶來(lái)的危害相當(dāng)大，例如損壞文件的分配表格，從而造成企業(yè)的網(wǎng)絡(luò)癱瘓和經(jīng)濟(jì)損失。②蠕蟲。在沒(méi)有別人允許的情況下，蠕蟲可以把自己復(fù)制到網(wǎng)絡(luò)節(jié)點(diǎn)上，它也屬于計(jì)算機(jī)程序[3]。蠕蟲主要是將一部分復(fù)制到別人的計(jì)算機(jī)上，導(dǎo)致計(jì)算機(jī)終端的很多內(nèi)存空間被占用，延長(zhǎng)了計(jì)算機(jī)終端內(nèi)存空間的解決時(shí)間，導(dǎo)致企業(yè)的計(jì)算機(jī)全部死機(jī)，嚴(yán)重影響了員工工作效率的提高[4]。③特洛伊木馬。特洛伊木馬也是屬于計(jì)算機(jī)程序中的一種，它隱藏在程序里面，并且會(huì)偽裝成合法的程序，然后自主地操作計(jì)算機(jī)?？偟膩?lái)說(shuō)，惡意代碼給計(jì)算機(jī)終端帶來(lái)了很大的威脅，企業(yè)應(yīng)當(dāng)加以重視，及時(shí)地采取安全應(yīng)對(duì)措施解決問(wèn)題，例如企業(yè)可以通過(guò)殺毒軟件的安裝運(yùn)行、病毒庫(kù)的及時(shí)更新等措施防范病毒，提高企業(yè)內(nèi)部計(jì)算機(jī)終端的安全性。

2 與安全管理相關(guān)技術(shù)

2.1 訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)在保證網(wǎng)絡(luò)資源的安全使用上扮演著重要的角色[5]，這種技術(shù)主要是確保資源的合法使用，其涉及范圍較廣。

1) 入網(wǎng)訪問(wèn)控制決定了能登錄服務(wù)器的人員權(quán)限以及確切的入網(wǎng)時(shí)間。賬戶與口令認(rèn)證是幫助其識(shí)別過(guò)程的兩個(gè)途徑。

2) 權(quán)限控制能減少非法的操作，權(quán)限的級(jí)別也是因人而異的。權(quán)限控制可以控制訪問(wèn)范圍或者具體的資源操作性。

3) 目錄及文件屬性控制是進(jìn)一步確保信息安全的技術(shù)，能夠控制用戶訪問(wèn)目錄或者文件等，屬性控制還可以防止誤操作而帶來(lái)的信息損失。

2.2 VPN技術(shù)

VPN技術(shù)能夠仿真點(diǎn)到點(diǎn)的專線，在確保數(shù)據(jù)安全完整上具有重大作用。VPN氛圍企業(yè)內(nèi)部虛擬網(wǎng)、遠(yuǎn)程訪問(wèn)虛擬網(wǎng)以及企業(yè)擴(kuò)展虛擬網(wǎng)三類。VPN技術(shù)移動(dòng)辦公示意圖如圖1所示。

2.3 防病毒技術(shù)

計(jì)算機(jī)病毒所能造成的危害性難以估量，提高防病毒技術(shù)，做好終端防護(hù)的工作刻不容緩。預(yù)防病毒技術(shù)具有優(yōu)先控制權(quán)，能夠及時(shí)監(jiān)視和組織病毒，以防病毒破壞。檢測(cè)病毒技術(shù)主要進(jìn)行病毒判斷工作，清除病毒技術(shù)則能夠做到恢復(fù)源文件的同時(shí)還有效處理病毒。

圖1 VPN技術(shù)移動(dòng)辦公示意圖

3 計(jì)算機(jī)終端安全策略分析

1) 限制惡意代碼策略。惡意代碼會(huì)對(duì)終端帶來(lái)巨大的威脅。為了保障終端安全必須做好限制惡意代碼通信、限制惡意代碼運(yùn)行以及限制惡意代碼進(jìn)入系統(tǒng)三個(gè)內(nèi)容。盡最大努力阻止惡意代碼的危害，可以有以下兩種配置策略：①基于主機(jī)的防火墻策略。 Windows內(nèi)置防火墻能夠有效防止外來(lái)網(wǎng)絡(luò)攻擊以及嘗試性連接行為。除此之外還可以通過(guò)安全日志來(lái)分析故障，以達(dá)到阻止惡意代碼入侵的目的。②軟件限制策略實(shí)際上是對(duì)計(jì)算機(jī)運(yùn)行的一個(gè)控制過(guò)程，它主要有四種方法區(qū)分文件，分別是哈希規(guī)則、證書規(guī)則、路徑規(guī)則與網(wǎng)絡(luò)區(qū)域規(guī)則。多使用軟件限制策略可以有效保護(hù)客戶端。另外，針對(duì)服務(wù)器，最好先限制所有文件，再結(jié)合路徑規(guī)則與哈希規(guī)則進(jìn)程操作；而普通的終端則要周全考慮具體所采用的策略。

2) 終端賬戶配置策略主要有四個(gè)方面的內(nèi)容，更改或禁用Administrator賬戶名，禁用本機(jī)Guest號(hào)，實(shí)施用戶密碼安全策略和終端禁止其他用戶的登錄。

3) 終端網(wǎng)絡(luò)配置策略包括了網(wǎng)絡(luò)訪問(wèn)與默認(rèn)共享，終端計(jì)算機(jī)需要關(guān)閉默認(rèn)共享，以減少被侵害的可能性。

4) 終端軟件配置策略包括防病毒、系統(tǒng)服務(wù)、補(bǔ)丁更新、終端遠(yuǎn)程協(xié)助配置策略以及終端遠(yuǎn)程桌面配置策略五個(gè)要素[6]。終端計(jì)算機(jī)操作系統(tǒng)要及時(shí)做好補(bǔ)丁的更新，以防漏洞給使用者帶來(lái)不必要的損失。同時(shí)，終端計(jì)算機(jī)要關(guān)閉沒(méi)有需要的服務(wù)，以及及時(shí)安裝和更新殺毒軟件。

4 計(jì)算機(jī)終端安全管理框架研究

4.1 總體架構(gòu)

為了盡可能地降低企業(yè)的人力、物力、財(cái)力的投入，確保企業(yè)的信息安全和發(fā)展，企業(yè)有必要架構(gòu)計(jì)算機(jī)終端安全管理的框架。企業(yè)網(wǎng)終端管理主要采取技術(shù)手段和管理手段，通過(guò)一個(gè)好的架構(gòu)規(guī)劃和行政手段的輔助，為企業(yè)發(fā)展保駕護(hù)航。F5BIG-IP應(yīng)用安全管理器示意圖如圖2所示。

4.2 終端支持管理平臺(tái)

終端管理平臺(tái)既能實(shí)現(xiàn)安全管理，又能支撐基礎(chǔ)網(wǎng)絡(luò)及服務(wù)。通過(guò)這個(gè)平臺(tái)，管理員除了可以完成常見工作內(nèi)容外，還可以高效展開故障告警、系統(tǒng)的管理等工作。終端支持管理平臺(tái)在實(shí)現(xiàn)其余安全系統(tǒng)或者安全體系的接口方面有著重要作用。網(wǎng)絡(luò)安全備份系統(tǒng)示意圖如圖3所示。

圖2 F5BIG-IP應(yīng)用安全管理器示意圖

圖3 網(wǎng)絡(luò)安全備份系統(tǒng)示意圖

5 計(jì)算機(jī)終端安全管理實(shí)現(xiàn)的基本功能和目標(biāo)

實(shí)時(shí)掌控計(jì)算機(jī)運(yùn)行，及時(shí)對(duì)計(jì)算機(jī)的使用情況進(jìn)行監(jiān)控，是局域網(wǎng)管理者的基本要求。被控端安全管理策略必須要具有三個(gè)基本功能，分別是對(duì)監(jiān)控端信息的處理功能、傳送本機(jī)信息的功能以及對(duì)計(jì)算機(jī)系統(tǒng)的監(jiān)控功能。

計(jì)算機(jī)終端安全管理主要是大批量解決安全問(wèn)題，實(shí)現(xiàn)安全管理為目標(biāo)，具體目標(biāo)為：①通過(guò)計(jì)算機(jī)終端安全管理保證企事業(yè)單位內(nèi)網(wǎng)的安全可控，防止非法操作和非法控制行為的出現(xiàn)。這是終端安全管理的核心所在。②實(shí)施動(dòng)態(tài)評(píng)估、實(shí)時(shí)監(jiān)控計(jì)算機(jī)的安全狀態(tài)，確保計(jì)算機(jī)的狀態(tài)符合管理要求。③通過(guò)安全管理實(shí)施對(duì)計(jì)算機(jī)有效批量管理任務(wù)。④在終端計(jì)算機(jī)陷入安全管理困境時(shí)，及時(shí)解決問(wèn)題，保證快速定位和監(jiān)控實(shí)效性。⑤做好接入網(wǎng)的資產(chǎn)管控工作，對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)自動(dòng)跟進(jìn)，做好防控工作。⑥維護(hù)好終端計(jì)算機(jī)系統(tǒng)安全，嚴(yán)格控制非法軟件接入，以減少計(jì)算機(jī)被侵幾率。

計(jì)算機(jī)病毒傳播對(duì)人們的正常生活和工作帶來(lái)巨大的威脅，這對(duì)終端管理人員提出了較高的要求。尤其是隨著計(jì)算機(jī)終端設(shè)備的使用率越來(lái)越高，終端管理者在未來(lái)的工作中還需要不斷加強(qiáng)專業(yè)素養(yǎng)，有效控制計(jì)算機(jī)病毒，確保網(wǎng)絡(luò)的安全和穩(wěn)定。

[1] 張棟，劉曉輝.網(wǎng)絡(luò)安全管理實(shí)踐[M].北京：電子工業(yè)出版社，2014.

[2] 黃中砥，張召賢，周飛菲.組網(wǎng)技術(shù)與網(wǎng)絡(luò)管理[M].北京：清華大學(xué)出版社，2013.

[3] 劉遠(yuǎn)生.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社， 2015.

[4] 高海英.VPN技術(shù)[M].北京： 機(jī)械工業(yè)出版社， 2014.

[5] 孫強(qiáng)，陳偉，王東紅.信息安全管理[M].北京：清華大學(xué)出版社，2015.

[6] 戴宗坤，羅萬(wàn)伯.信息系統(tǒng)安全[M].北京：電子工業(yè)出版社，2012 .

（責(zé)任編輯：李 華）

Analysis on Security Management Strategy of Computer Terminals and Its Application

LIU Qiming

(Department of Information Engineering，Suzhou Industrial Park Institute of Vocational Technology，Suzhou 215123，China)

In modern enterprises， certain losses are often caused due to the lack of proper management and protection of relevant data from within. This paper analyzes the security threat of computer terminals， discusses and proposes the security management strategy on computer terminals.

computer terminal security；management strategy；application

TP391

A

1008-5475(2017)02-0045-03

10.16219/j.cnki.szxbzk.2017.02.009

2017-02-22；

2017-03-11

蘇州工業(yè)園區(qū)職業(yè)技術(shù)學(xué)院青年基金研究課題(2015-R-43813)

劉啟明(1977-)，男，江蘇宿遷人，高級(jí)工程師，碩士，主要從事全國(guó)計(jì)算機(jī)等級(jí)考試系統(tǒng)管理、計(jì)算機(jī)網(wǎng)絡(luò)與網(wǎng)站設(shè)計(jì)研究。

劉啟明.計(jì)算機(jī)終端安全管理策略分析[J].蘇州市職業(yè)大學(xué)學(xué)報(bào)，2017，28(2)：45-47.