蔡鵬程 馮方回

中國人口與發(fā)展研究中心網絡和數(shù)據中心 北京 100081

0 引言

計算機終端，作為電子政務的最基本單元，承載著信息加工、處理、存儲和傳輸?shù)戎匾ぷ鳎浒踩陨婕跋到y(tǒng)安全、數(shù)據安全、網絡安全等各個方面，但是，政府辦公網絡，計算機終端數(shù)量眾多，終端安全管理難度很大，終端安全業(yè)已成為電子政務信息安全保障工作中的薄弱環(huán)節(jié)。調查顯示，政府單位中超過80%的信息安全威脅來自內部計算機終端。近些年政府部門開展的信息安全大檢查中，發(fā)生了多起重大信息安全事件，主要是由于計算機終端被植入木馬，木馬再利用系統(tǒng)漏洞非法竊取涉密信息所致。因此，加強計算機終端安全管理，是當前電子政務信息安全保障工作中迫在眉睫的任務。

1 政務終端安全風險分析

政務終端的安全風險主要來源于以下幾個方面：

（1）缺乏終端網絡準入機制：有些計算機終端未經任何身份認證和安全認證，就可以隨意接入網絡，訪問網絡和計算機的資源，對整個網絡和應用造成很大的安全威脅。

（2）系統(tǒng)漏洞的廣泛存在：包括操作系統(tǒng)、瀏覽器、辦公軟件以及媒體播放器等常用軟件的漏洞廣泛存在。如果漏洞補丁安裝不完全、不及時，將給病毒、木馬、惡意軟件等入侵系統(tǒng)造成可乘之機。

（3）系統(tǒng)補丁及軟件升級包未經第三方安全測試：網絡在線升級方式，大大加快了軟件更新頻率和速度。但是，由于多數(shù)系統(tǒng)補丁及軟件升級包均未經第三方安全測評，其完整性、一致性、適用性，尤其是安全性難以得到保證。

（4）木馬、病毒等惡意軟件的攻擊手段層出不窮：木馬、病毒等惡意軟件的入侵和傳播已趨向網絡化。蠕蟲、后門、惡意代碼、垃圾郵件、流氓軟件、間諜軟件、廣告程序、U盤病毒、網絡仿冒、網頁掛馬等時刻威脅終端的系統(tǒng)和信息安全。

（5）用戶缺乏安全知識：有些用戶缺乏必要的信息安全知識，未能及時采取合適的安全防護措施保護終端，如安全配置不正確、系統(tǒng)補丁安裝不完全、不及時，防病毒軟件及其他常用軟件未及時升級等。有些用戶安全意識淡薄，在非涉密終端上處理涉密或敏感信息，直接導致涉密或敏感信息泄密。俗話說：“堡壘是最容易從內部攻破的”，更為嚴重的是，個別企業(yè)職工出于個人利益，經不起巨大經濟利益的誘惑，不惜損壞企業(yè)利益，乃至國家利益，將企業(yè)機密提供給競爭對手，甚至充當間諜，出賣情報，鋌而走險。他們之所以能夠暫時得手，大多數(shù)都是利用企業(yè)終端安全管理的漏洞，將竊取的機密數(shù)據、文檔非法復制到移動設備(如筆記本電腦)或者移動存儲(如U盤)上，或者通過電子郵件、即時聊天工具(如QQ)發(fā)送出去。由于電子文檔的傳輸、存儲、發(fā)送極快，具有很大的隨機性和隱蔽性，如果安全防護措施不到位，取證和跟蹤都相當困難。另外的安全隱患是，個別職工由于種種原因對其他職工或者領導，乃至企業(yè)發(fā)泄不滿或者報復，利用工作之便，通過計算機終端對企業(yè)網絡、服務器或者其他計算機設備發(fā)起進攻和破壞，如果安全防護措施不到位，這些進攻或者破壞也有可能得逞。

（6）機構對終端安全缺乏掌握：終端安全防護和管理一直是用戶的個人行為，機構缺乏對終端安全狀態(tài)的收集手段和對終端安全的管理手段。因此，在非涉密終端上使用涉密U盤等移動存儲設備、終端安全配置、終端安全防護措施(如殺毒軟件、防火墻等)、終端異常流量等情況缺乏統(tǒng)一管理。

2 政務終端安全管理解決方案

針對政務終端在安全方面存在的風險，提高終端安全性的關鍵在于：

（1）及時安裝漏洞補丁和安全更新，但不要輕易安裝未經第三方安全測試的可疑補丁、插件、更新程序和其他工具軟件；

（2）正確配置終端安全策略。包括用戶身份、口令長度、服務、補丁更新、病毒庫升級、端口等策略；

（3）安裝防病毒軟件并啟動防火墻，及時升級病毒庫，有效阻擊各種病毒、木馬及惡意軟件；

（4）加強對終端安全狀態(tài)的監(jiān)控，統(tǒng)計系統(tǒng)漏洞、病毒入侵、設備變化、異常行為等信息，并根據終端安全問題及時調整安全策略采取有效措施，保持終端的安全狀態(tài)。

終端安全管理是一個復雜的問題，通常一個組織中的終端地理位置分散，用戶水平參差不齊，承載業(yè)務不同，安全需求各異，這就決定了終端安全建設的復雜性和多元性，要根據終端用戶的接入位置、所屬部門、業(yè)務需要等條件來選擇和執(zhí)行適當?shù)陌踩芾聿呗?，既不能搞一刀切，也不能對用戶放任自流，缺乏控管。顯然局部的、簡單的、被動的防護不足以解決問題，要想解決終端安全問題，需要建立統(tǒng)一管理的終端安全整體防護系統(tǒng)，全面管理終端安全。 終端安全管理還要符合安全等級保護的要求，根據不同的安全等級保護的要求制定切合實際的終端安全管理的制度，必須克服兩種極端的錯誤認識：終端安全管理越嚴格越好；終端安全管理不好部署，容易得罪領導和同事，因此放任自流。根據實際的工作，我們認為終端安全管理應有如下幾個方面值得注意：

（1）執(zhí)行終端網絡準入控制。設置準入的安全策略對接入設備進行驗證，根據終端安全性檢查結果，確定終端接入方式。對于認證失敗的用戶，斷開其網絡連接；認證成功但安全性檢查沒通過的終端，放入隔離區(qū)自動引導其完成主機完整性修復；認證和安全性檢查全部通過的主機才能接入內部網絡。

（2）統(tǒng)一配置和部署終端安全策略。終端安全防護系統(tǒng)向終端統(tǒng)一配置安全策略。安全策略主要包括密碼策略，統(tǒng)一規(guī)定終端的口令長度；病毒掃描策略，定義掃描計算機終端的頻率；漏洞更新頻率，判斷用戶終端哪些策略是必須的，按照用戶的需求分出補丁等級。

（3）確保辦公終端系統(tǒng)軟件安全。對受控的內網辦公終端進行基線安全檢查，對不滿足基線安全要求的辦公終端通過終端安全管理系統(tǒng)和補丁管理系統(tǒng)、防病毒系統(tǒng)聯(lián)動，及時向終端分發(fā)經過安全測評的漏洞補丁和更新、升級病毒庫；不安裝未經第三方安全測試的可疑補丁、插件、更新程序和其他工具軟件，防止辦公終端自身存在安全漏洞被木馬、病毒利用。

（4）加強對辦公終端應用系統(tǒng)的防護。通過軟件名稱關鍵字監(jiān)控指定軟件的安裝使用行為，對非法安裝使用的軟件實時監(jiān)控并告警；一旦發(fā)現(xiàn)木馬入侵運行即可及時通知管理員進行處理；利用終端安全管理系統(tǒng)中終端審計功能，包括文件、系統(tǒng)、日志三部分，系統(tǒng)一旦發(fā)現(xiàn)內部員工違規(guī)操作、越權訪問等行為，能及時報警。

（5）控制U盤、移動硬盤、光驅等外設的使用，管理員可以對USB外設進行注冊授權認證，注冊認證過的USB外設才可以在內網使用，而加密的U盤則無法在別的電腦上打開，這樣能有效地管理控制USB外設濫用行為，可以確保內部關鍵和機密文件不外泄，確保信息安全；在安全控制方面，系統(tǒng)能夠對存放于U盤或光盤上的Windows“自動播放”進行控制，防止autorun病毒木馬傳播與擴散。

（6）利用終端安全管理系統(tǒng)中的非法外聯(lián)檢測功能，統(tǒng)一管理內網辦公終端的modem、無線網卡使用，防止私自撥號上網，防止非法外聯(lián)泄密。通過定制和下發(fā)禁用可能存在非法外聯(lián)的外設控制策略規(guī)則到指定IP、IP段，或者指定用戶或用戶組，實現(xiàn)控制終端通過外設(例如 USB、modem、無線網卡、紅外線設備、串口、并口等進行)進行非法外聯(lián)的行為。

（7）實施統(tǒng)一的終端資產管理。終端資產管理主要是滿足對整個網絡內部IT資產的管理和統(tǒng)計。通常包括硬件設備信息統(tǒng)計、軟件資產統(tǒng)計、設備變更信息統(tǒng)計，以及移動存儲控制及審計。計算機上的軟、硬件資源是終端運行的基礎，軟件和硬件的失效或意外變更可能會影響終端的正常運行和信息安全，需要對軟硬件資產進行統(tǒng)計管理，實時監(jiān)控終端用戶軟件安裝卸載、硬件變更狀態(tài)，一旦發(fā)生變化，立即上報給管理員，實現(xiàn)對用戶終端強監(jiān)控。

3 結束語

政務終端作為政府部門信息存儲、傳輸、應用處理的基礎設施，其自身安全性涉及信息安全體系的系統(tǒng)安全、數(shù)據安全、網絡安全等各個方面。任何一個節(jié)點出現(xiàn)問題都有可能影響到整個網絡的安全。只有建立統(tǒng)一管理的終端安全整體防護系統(tǒng)，有組織有計劃地監(jiān)測和分析終端安全狀態(tài)，統(tǒng)一配置終端安全策略，提高政務終端的安全保障能力，確保終端正常、高效地運行。

不過，網絡安全復雜多變，政府辦公網絡終端安全建設除了依靠相應的產品技術外，制度規(guī)范也是必不可少的，三分技術，七分管理，政府部門需要從自身入手，制定切實可行的制度來規(guī)范員工使用計算機終端的行為，才能更好的杜絕政府辦公網絡的安全隱患。終端安全管理的制度規(guī)范條例要反復修改，反復討論，在獲得領導和大多數(shù)職工的認可后，正式發(fā)布就要認真執(zhí)行，定期檢查審核，不能只是停留在紙面上當作擺設，關鍵是落實檢查和定期審核，需要有相應的機構和人員專門從事安全制度的落實情況。

[1] 柯江源.我國電子政務網絡存在的安全隱患[J].網絡安全技術與應用.2006.

[2] 蔡智龍，羅曉哲.淺談電子政務辦公系統(tǒng)中的信息安全問題[J].廣東農工商職業(yè)技術學院學報.2007.