李 海

（山東省發(fā)展與改革委員會信息中心，山東 濟南250012）

計算機終端，作為電子政務(wù)的最基本單元，承載著信息加工、處理、存儲和傳輸?shù)戎匾ぷ鳎S著信息安全建設(shè)的不斷深入和發(fā)展，其安全性涉及系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等各個方面，計算機終端安全問題日益凸顯，甚至已經(jīng)成為信息安全管理工作中的薄弱環(huán)節(jié)。但是，政府辦公網(wǎng)絡(luò)，計算機終端數(shù)量眾多，終端安全管理難度很大，終端安全已成為電子政務(wù)信息安全保障工作中的薄弱環(huán)節(jié)。調(diào)查顯示，政府單位中超過80%的信息安全威脅來自內(nèi)部計算機終端。近些年政府部門開展的信息安全大檢查中，發(fā)生了多起重大信息安全事件，主要是由于計算機終端被植入木馬，木馬再利用系統(tǒng)漏洞非法竊取涉密信息所致。因此，加強計算機終端安全管理，研發(fā)政務(wù)終端安全護理整體解決方案是當(dāng)前電子政務(wù)信息安全保障工作中迫在眉睫的任務(wù)。

政務(wù)終端安全護理系統(tǒng)解決方案是面向各級政府部門的計算機終端，提供全面、強大且易于管理的安全護理功能。終端使用者不再需要進行任何安全方面的操作就可以確保自己的計算機始終處于安全狀態(tài)。有組織有計劃地監(jiān)測和分析終端安全狀態(tài)，及時向終端分發(fā)經(jīng)過安全測評的漏洞補丁和更新，統(tǒng)一配置終端安全策略，定期對終端進行病毒掃描、黑客軟件清除、垃圾軟件清理等安全護理服務(wù)，保護終端正常、高效地運行。

本文就山東省發(fā)展與改革委員會信息中心部署的政務(wù)終端護理系統(tǒng)使用情況作了簡單介紹，為其他用戶使用提供了參考。

一、政務(wù)終端安全風(fēng)險分析

當(dāng)前，政務(wù)終端的安全風(fēng)險主要來源于以下幾個方面：

(1)缺乏終端網(wǎng)絡(luò)準入機制：有些計算機終端未經(jīng)任何身份認證和安全認證，就可以隨意接入網(wǎng)絡(luò)，訪問網(wǎng)絡(luò)和計算機的資源，對整個網(wǎng)絡(luò)和應(yīng)用造成很大的安全威脅。

(2)系統(tǒng)漏洞的廣泛存在：包括操作系統(tǒng)﹑瀏覽器﹑辦公軟件以及媒體播放器等常用軟件的漏洞廣泛存在。如果漏洞補丁安裝不完全﹑不及時，將給病毒、木馬、惡意軟件等入侵系統(tǒng)造成可乘之機。

(3)系統(tǒng)補丁及軟件升級包未經(jīng)第三方安全測試：網(wǎng)絡(luò)在線升級方式，大大加快了軟件更新頻率和速度。但是，由于多數(shù)系統(tǒng)補丁及軟件升級包均未經(jīng)第三方安全測評，其完整性、一致性、適用性，尤其是安全性難以得到保證。

(4)木馬、病毒等惡意軟件的攻擊手段層出不窮：木馬、病毒等惡意軟件的入侵和傳播已趨向網(wǎng)絡(luò)化。蠕蟲、后門、惡意代碼、垃圾郵件、流氓軟件、間諜軟件、廣告程序、U盤病毒、網(wǎng)絡(luò)仿冒、網(wǎng)頁掛馬等時刻威脅終端的系統(tǒng)和信息安全。

(5)用戶缺乏安全知識：有些用戶缺乏必要的信息安全知識，未能及時采取合適的安全防護措施保護終端，如安全配置不正確、系統(tǒng)補丁安裝不完全、不及時，防病毒軟件及其他常用軟件未及時升級等。有些用戶安全意識淡薄，在非涉密終端上處理涉密或敏感信息，直接導(dǎo)致涉密或敏感信息泄密。俗話說：“堡壘是最容易從內(nèi)部攻破的”，更為嚴重的是，個別企業(yè)職工出于個人利益，經(jīng)不起巨大經(jīng)濟利益的誘惑，不惜損壞企業(yè)利益，乃至國家利益，將企業(yè)機密提供給競爭對手，甚至充當(dāng)間諜，出賣情報，鋌而走險。他們之所以能夠暫時得手，大多數(shù)都是利用企業(yè)終端安全管理的漏洞，將竊取的機密數(shù)據(jù)、文檔非法復(fù)制到移動設(shè)備(如筆記本電腦)或者移動存儲(如U盤)上，或者通過電子郵件、即時聊天工具(如QQ)發(fā)送出去。由于電子文檔的傳輸、存儲、發(fā)送極快，具有很大的隨機性和隱蔽性，如果安全防護措施不到位，取證和跟蹤都相當(dāng)困難。另外的安全隱患是，個別職工由于種種原因?qū)ζ渌毠せ蛘哳I(lǐng)導(dǎo)，乃至企業(yè)發(fā)泄不滿或者報復(fù)，利用工作之便，通過計算機終端對企業(yè)網(wǎng)絡(luò)、服務(wù)器或者其他計算機設(shè)備發(fā)起進攻和破壞，如果安全防護措施不到位，這些進攻或者破壞也有可能得逞。

(6)機構(gòu)對終端安全缺乏掌握：終端安全防護和管理一直是用戶的個人行為，機構(gòu)缺乏對終端安全狀態(tài)的收集手段和對終端安全的管理手段。因此，在非涉密終端上使用涉密U盤等移動存儲設(shè)備、終端安全配置、終端安全防護措施(如殺毒軟件、防火墻等)、終端異常流量等情況缺乏統(tǒng)一管理。

二、政務(wù)終端安全護理解決方案

政務(wù)終端安全護理整體解決方案在于面向各級政府部門和國有大型企業(yè)，為其提供全面、強大且易于管理的計算機終端安全護理功能，包括實時監(jiān)測和分析終端安全狀態(tài)，及時向終端分發(fā)經(jīng)過安全測評的漏洞補丁和更新，統(tǒng)一部署終端安全核心配置策略，病毒木馬實時查殺，系統(tǒng)垃圾定期清理等，從而保障計算機終端安全、高效運行。針對政務(wù)終端在安全方面存在的風(fēng)險，提高終端安全性關(guān)鍵在于：

(1)及時安裝漏洞補丁和安全更新，但不要輕易安裝未經(jīng)第三方安全測試的可疑補丁、插件、更新程序和其他工具軟件。

(2)正確配置終端安全策略。包括用戶身份認證、口令長度、服務(wù)、補丁更新、病毒庫升級、端口配置等策略，如禁用高危服務(wù)端口，禁止非法腳本程序運行，禁止非法程序授權(quán)安裝等。

(3)安裝防病毒軟件并啟動防火墻，及時升級病毒庫，有效阻擊各種病毒、木馬及惡意軟件。

(4)加強對終端安全狀態(tài)的監(jiān)控，統(tǒng)計系統(tǒng)漏洞、病毒入侵、設(shè)備變化、異常行為等信息，啟用安全保護功能，如外接設(shè)備的數(shù)字簽名認證，進程內(nèi)存配額管理等。并根據(jù)終端安全問題及時調(diào)整安全策略采取有效措施，保持終端的安全狀態(tài)。

三、完善的系統(tǒng)架構(gòu)提供全方位的護理服務(wù)

政府終端安全護理整體解決方案采用分布式體系結(jié)構(gòu)，由全國級聯(lián)部署的終端安全護理平臺、系統(tǒng)補丁驗證測試實驗室、終端安全護理軟件和殺毒軟件構(gòu)成，可為各級政府部門和企事業(yè)單位提供全方位的終端安全護理服務(wù)。

終端安全護理平臺：中心節(jié)點設(shè)在國家信息中心、各省市（經(jīng)濟）信息中心設(shè)置地方節(jié)點，并可根據(jù)用戶分布情況靈活擴展和設(shè)立分支節(jié)點；系統(tǒng)補丁驗證實驗室；開展對微軟補丁及其它應(yīng)用軟件升級包的一致性、適用性和完整性測試和驗證；終端安全護理系統(tǒng)軟件；提供安全狀態(tài)監(jiān)測、安全策略配置、補丁分發(fā)、漏洞掃描、安全預(yù)警等安全護理服務(wù)；殺毒軟件；提供病毒木馬查殺、進程和啟動項管理、系統(tǒng)修復(fù)、垃圾清理等功能。

四、領(lǐng)先的技術(shù)優(yōu)勢保障終端的安全運行

終端的漏洞補丁先測評后分發(fā)：MS_Windows安全更新補丁及其他應(yīng)用軟件的升級包，由國家權(quán)威信息安全測評機構(gòu)進行一致性、適用性和完整性驗證分析，檢測安全后通過安全護理平臺下發(fā)給用戶終端；實時監(jiān)測終端安全狀態(tài)：全方位實時監(jiān)測終端安全狀態(tài)、層層匯總分析全國各地終端遭受病毒木馬、間諜軟件、網(wǎng)絡(luò)攻擊、用戶越權(quán)操作等威脅情況，并通過豐富的可視化報表進行展現(xiàn)；安全策略統(tǒng)一部署：終端安全管理員可以統(tǒng)一制定，快速部署終端安全策略，輕松設(shè)定補丁分發(fā)、系統(tǒng)更新、病毒掃描、密碼檢查、進程及軟件管理、主機運維、流量異常監(jiān)控、涉密檢查和硬件資源管理等終端安全防護配置，減少終端使用者在安全方面的誤操作；病毒木馬全面查殺：國內(nèi)領(lǐng)先的新一代殺毒引擎，有效清除木馬、蠕蟲、后門、流氓軟件、間諜軟件、廣告程序、有效阻擊U盤病毒、ARP病毒、網(wǎng)頁掛馬等新威脅，阻斷未知病毒和各種網(wǎng)絡(luò)威脅的入侵。

五、多種功能為終端護理提供給完善的技術(shù)保障

補丁驗證分發(fā)：自動下載，驗證，分發(fā)和安裝Microsoft和其他重要軟件供應(yīng)商發(fā)布的各類補丁和更新，統(tǒng)一分發(fā)操作系統(tǒng)安全補丁和關(guān)鍵更新程序、及時升級病毒庫和惡意代碼庫。所有系統(tǒng)更新及補丁均由國家權(quán)威信息安全測評機構(gòu)進行檢測分析，驗證通過后再下發(fā)；安全狀態(tài)檢測：掃描計算機終端的安全狀態(tài)信息，統(tǒng)計用戶感染惡意軟件信息、漏洞問題、過時策略問題，并統(tǒng)計由IP綁定變化、違規(guī)外聯(lián)、設(shè)備變化、流量異常產(chǎn)生的報警行為，并提供豐富的可視化報表功能。讓管理員能夠輕松地掌握網(wǎng)絡(luò)中的總體安全情況并及時調(diào)整安全策略部署；安全策略配置：統(tǒng)一配置和部署安全策略。包括密碼策略、病毒掃描策略、漏洞更新策略、進程及軟件管理、主機運維策略等。同時還提供軟件分發(fā)、行為管理及審計、違規(guī)外聯(lián)監(jiān)控、流量異常監(jiān)控、涉密檢查和硬件資源等管理策略；木馬病毒查殺：具有高效強大的病毒、木馬、后門、間諜軟件、網(wǎng)頁掛馬、網(wǎng)絡(luò)釣魚軟件等惡意軟件的掃描和清除功能，可以定制安全威脅掃描計劃，病毒庫和惡意代碼庫每天即時更新，新一代殺毒引擎和云安全技術(shù)有效清除各種已知病毒，阻斷未知病毒和各種網(wǎng)絡(luò)威脅的入侵，加強系統(tǒng)自我保護能力。

六、山東省發(fā)改委信息中心政務(wù)終端護理系統(tǒng)使用現(xiàn)狀

山東省發(fā)改委信息中心自2008年正式部署政務(wù)終端護理系統(tǒng)?，F(xiàn)在系統(tǒng)內(nèi)設(shè)備總數(shù)677臺，應(yīng)注冊計算機終端281臺，已注冊計算機48臺，注冊率為17.08%，在線設(shè)備207臺，殺毒軟件覆蓋率達到66.67%。目前在中心內(nèi)部啟用的策略主要有終端服務(wù)配置策略、終端設(shè)置策略、終端代理掃描策略。

每天由系統(tǒng)管理員登陸政務(wù)終端護理系統(tǒng)，可以查看中心內(nèi)部計算機終端安全狀況、過去24小時內(nèi)漏洞信息統(tǒng)計情況、病毒木馬統(tǒng)計等信息，能夠及時了解中心計算機終端的安全狀況，并及時通知終端用戶更新漏洞補丁庫。

圖6.1 漏洞信息統(tǒng)計表

省發(fā)改委信息中心自應(yīng)用政務(wù)終端護理系統(tǒng)以來，中心內(nèi)部的計算機設(shè)備安全狀況均可由網(wǎng)管中心的系統(tǒng)管理員所掌握，可以根據(jù)中心內(nèi)部情況自由制定適合本單位的安全策略，如漏洞掃描策略，補丁分發(fā)自動安裝策略等。針對中心計算機終端的安全狀況，系統(tǒng)管理員可以每周形成一個安全周報，以圖表的形式報送到分管領(lǐng)導(dǎo)，為分管領(lǐng)導(dǎo)了解本單位的信息安全狀況提供了幫助。

政務(wù)終端護理系統(tǒng)推出以來，國家信息中心網(wǎng)絡(luò)安全部對終端護理系統(tǒng)平臺進行了多次版本升級，如2012版本，新版本增加了新的功能，如終端數(shù)量的接入控制、數(shù)據(jù)安全、終端流量分析監(jiān)測、核心配置編輯功能，并于2012年年底完成2013版的設(shè)計和開發(fā)，預(yù)計新增加云架構(gòu)、安全衛(wèi)士、木馬查殺等功能。

政務(wù)終端作為政府部門信息存儲、傳輸、應(yīng)用處理的基礎(chǔ)設(shè)施，其自身安全性涉及信息安全體系的系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等各個方面。任何一個節(jié)點出現(xiàn)問題都有可能影響到整個網(wǎng)絡(luò)的安全。

總之，終端安全是信息安全的重要內(nèi)容，終端安全配置是解決終端安全的一個重要手段，從國外的實踐經(jīng)驗來看，實施終端安全配置是非常必要的。只有建立統(tǒng)一管理的終端安全整體防護系統(tǒng)，有組織、有計劃地監(jiān)測和分析終端安全狀態(tài)，統(tǒng)一配置終端安全策略，提高政務(wù)終端的安全保障能力，才能確保終端正常、高效地運行。

[1]終端伸向遠方——計算機終端市場市場調(diào)查[J];中國計算機用戶;1999年04期

[2]李源;信息安全[J];中國新時代;2005年03期

[3]信息安全:春華秋實[J];信息安全與通信保密;2006年11期

[4]陸浪如;信息安全評估標準的研究與信息安全系統(tǒng)的設(shè)計[D];解放軍信息工程大學(xué);2001年

[5]楊柯;信息安全師：與黑客為敵[N];經(jīng)理日報;2005年

[6]記者 季洪光;中國信息安全測評中心掛牌成立[N];科技日報;2008年

[7]劉村友;信息安全產(chǎn)業(yè)淺析[A];中國電子學(xué)會產(chǎn)業(yè)戰(zhàn)略研究分會第11屆年會論文集[C];2004年

[8]王大川;朱蘇華;吳自容;構(gòu)筑面向大型企業(yè)的信息安全平臺[A];全面建設(shè)小康社會：中國科技工作者的歷史責(zé)任——中國科協(xié)2003年學(xué)術(shù)年會論文集（上）[C];2003年