0 引言

計算機終端是指能獨立進行數(shù)據(jù)處理及提供網(wǎng)絡服務訪問的計算機系統(tǒng)，由硬件、操作系統(tǒng)、應用軟件等部分組成，包括臺式微型計算機系統(tǒng)和便攜微型計算機系統(tǒng)。其作為信息存儲、傳輸、應用處理的基礎設施和鏈接網(wǎng)絡的關鍵節(jié)點，成為了廣大用戶日常生產(chǎn)、辦公等工作環(huán)節(jié)的重要支撐平臺，其自身安全涉及到網(wǎng)絡安全、數(shù)據(jù)安全等各個方面，是網(wǎng)絡安全的源頭和終點。當前，國內信息安全形勢不容樂觀，由計算機終端安全產(chǎn)生的網(wǎng)絡安全事件越來越多，相關統(tǒng)計數(shù)據(jù)顯示，來自企業(yè)內部計算機終端的安全威脅占整個安全威脅的70%以上，計算機終端安全隱患已成為最大的網(wǎng)絡安全威脅之一。因此，構建覆蓋計算機終端網(wǎng)絡準入控制、安全配置管理、安全狀態(tài)監(jiān)控、安全審計、數(shù)據(jù)安全管理、資產(chǎn)安全管理、外設安全管理等多個功能模塊的整體化終端安全防護體系，對計算機終端進行可視、可管、可控的多方位監(jiān)管，已成為當前網(wǎng)絡安全保障工作中的首要任務。

1 計算機終端面臨的主要安全隱患

當前計算機終端面臨的主要隱患有：

（1）缺乏針對計算機終端的網(wǎng)絡準入控制。非授權計算機終端接入用戶內部網(wǎng)絡，很可能會導致內部信息外泄、病毒傳播擴散和對內部服務器攻擊等嚴重后果。當前國內大部分企業(yè)、單位缺乏必要的網(wǎng)絡準入控制手段，無法確認連入內部網(wǎng)絡的計算機終端的用戶網(wǎng)絡身份以及是否會給網(wǎng)絡帶來安全風險，存在接入網(wǎng)絡的計算機終端自身安全性不可知、無法規(guī)范入網(wǎng)用戶網(wǎng)絡行為等諸多安全隱患。

（2）缺乏針對計算機終端的安全配置管理。據(jù)國際知名研究機構Gardner統(tǒng)計，65%的計算機終端安全事件均是由于安全配置不當造成，因此，加強計算機終端的安全配置管理勢在必行。計算機終端安全配置是對計算機操作系統(tǒng)、辦公軟件、瀏覽器等基礎軟件中影響計算機終端安全的關鍵參數(shù)可選項進行設置的過程。通過配置可限制或禁止存在安全漏洞的系統(tǒng)內核功能，啟用或加強具有安全保護的系統(tǒng)內核功能，增強計算機終端抵抗漏洞風險的能力。

（3）缺乏針對計算機終端的安全監(jiān)控與審計管理。目前，大部分企業(yè)已實施的計算機終端安全防護措施重在對計算機終端進行運算環(huán)境的安全檢查及防護，缺乏對計算機終端安全狀態(tài)的收集和統(tǒng)一監(jiān)控管理手段，對計算機終端安全配置情況、安全防護情況缺乏了解和掌控，針對計算機終端缺少必要的審計及控制措施。

（4）缺乏針對計算機終端的資產(chǎn)安全管理。由于計算機終端資產(chǎn)在使用過程中使用者會變更、使用范圍會變化、使用地點會調整，這些內容原來均由不同的工作部門處理，但信息卻不統(tǒng)一，造成資產(chǎn)狀態(tài)在不同的工作部門和范圍內信息未同步，存在一定的安全風險，如原來某部門用來上內網(wǎng)的計算機終端被調劑到其他部門用來上外網(wǎng)，由于缺乏資產(chǎn)安全管理，導致計算機終端的使用用途變更而相應的安全防護措施卻沒有及時調整，極易引發(fā)安全問題。

（5）缺乏針對計算機終端的外設安全管理。移動存儲設備可在內部網(wǎng)絡及其他網(wǎng)絡之間交叉使用，極易造成內部敏感信息通過移動存儲設備泄露，并會通過移動存儲設備引入惡意病毒，從而對企業(yè)內部網(wǎng)絡環(huán)境造成威脅。

2 計算機終端安全防護技術及措施

2.1 準入控制技術

目前主要存在三種準入控制技術：純軟件方式準入控制（software-based NAC）、與網(wǎng)絡設備聯(lián)動準入控制（infrastructure-based NAC）、基于第三方應用設備準入控制（Appliance-based NAC）。

純軟件或協(xié)議方式準入比較初級，如利用ARP欺騙技術，但必須需要DHCP動態(tài)IP地址分配的支持；優(yōu)勢在于成本低廉，部署方便；劣勢是效果不理想、環(huán)境要求高，屬于早期的準入控制類型。

與網(wǎng)絡設備聯(lián)動準入對網(wǎng)絡設備的要求是必須符合某個框架標準的網(wǎng)絡設備準入產(chǎn)品，典型的是支持 802.1x、Webportal協(xié)議的網(wǎng)絡廠商產(chǎn)品。802.1X是一種基于端口的網(wǎng)絡接入控制協(xié)議，目前市場上的交換機均能滿足此技術。802.1x常用到 EAP（擴展認證協(xié)議），具備一定的擴展性。WebPortal是一種三層網(wǎng)絡接入認證技術，在認證之前用戶首先要獲取網(wǎng)絡地址，這點與802.1x不同。該類準入技術優(yōu)勢在于準入效果明顯；劣勢為組網(wǎng)只能使用單一廠商的設備，當網(wǎng)絡再次升級時，部署和維護難度大，人工成本高。

基于第三方應用設備的準入具有框架無關性和很好的網(wǎng)絡兼容性，代表了網(wǎng)絡準入技術發(fā)展的前沿趨勢。其最大優(yōu)勢是不需要對既有網(wǎng)絡結構進行重大調整。兼容性好，無論接入交換機廠商、型號、新舊均可兼容。

2.2 防病毒技術

計算機終端防病毒系統(tǒng)具備集中管理、安全防護等核心技術。支持智能安裝/Web安裝/腳本登陸安裝/共享安裝等多種本地和遠程客戶端部署安裝方式，同時支持定制客戶端安裝包，提高全網(wǎng)安裝部署效率。管理中心可對每個客戶端進行遠程配置查殺、主動防御、升級等安全策略，具備遠程獲取客戶端診斷信息、客戶端按規(guī)則自動分組管理、管理員權限分級技術。管理中心可自動進行客戶端軟件版本、病毒庫版本的自動派發(fā)升級，并提供及時、詳細的數(shù)據(jù)統(tǒng)計和日志報警。系統(tǒng)支持空閑時段查殺、后臺查殺、斷點續(xù)殺和異步殺毒處理等多種查殺方式，支持包括Outlook、Foxmail、IE等多種方式的郵件監(jiān)控，并支持U盤及移動硬盤等移動存儲設備接入時的實時安全檢查，阻止病毒通過移動介質進行傳播。

2.3 補丁管理技術

補丁管理提供對計算機終端操作系統(tǒng)及重要應用的補丁集中管理及自動派發(fā)安裝功能，通過及時修補操作系統(tǒng)或者應用軟件的漏洞，保證系統(tǒng)不被病毒利用漏洞進行攻擊。由于補丁安裝存在一定幾率導致計算機終端系統(tǒng)宕機或其他故障，所以補丁大批量安裝前必須進行測試，由管理員預先測試補丁的安全性，確認安全后分發(fā)到客戶端。

2.4 核心配置技術

據(jù)Gartner統(tǒng)計，針對系統(tǒng)核心攻擊中，5%是零日攻擊，30%是沒有打補丁，65%是安全配置不當，因此，正確的安全配置是提高計算機終端安全性行之有效方法。計算機終端安全核心配置是指對計算機操作系統(tǒng)、辦公軟件、瀏覽器、BIOS系統(tǒng)和防病毒軟件等基礎軟件中影響計算機安全的關鍵可選項進行參數(shù)設置的過程。建立安全核心配置管理機制后，設置并統(tǒng)一了全網(wǎng)的安全核心配置基準，計算機終端的安全監(jiān)控工作將開啟，系統(tǒng)會定期按照策略對當前全網(wǎng)計算機終端安全情況進行監(jiān)控，如有違反安全核心配置的違規(guī)操作時會發(fā)出告警信息，管理員可根據(jù)安全監(jiān)控功能對當前網(wǎng)內的安全信息進行評測和監(jiān)管。

2.5 安全審計技術

包括文件保護審計、文件輸出審計、郵件審計、打印審計等。文件保護審計可對設定目錄文件的操作進行審計，包括文件創(chuàng)建、打印、讀寫、復制、改名、刪除、移動等記錄，同時將信息上報管理信息庫供查詢；文件輸出審計對計算機終端通過共享文件、上傳、同步、點對點傳輸?shù)确绞竭M行的網(wǎng)絡文件輸出行為進行審計和記錄；郵件審計對計算機終端發(fā)送的郵件及其相關附件進行審計和記錄；打印審計對計算機終端打印行為進行監(jiān)控審計，從而防止非授權打印造成的泄密事件發(fā)生。

2.6 移動介質管理技術

移動介質管理技術能夠自動識別任意移動存儲介質的接入，可以通過策略分配在驅動級對移動存儲設備的使用進行控制。在允許使用的情況下，進行更細致的移動存儲設備管理；實現(xiàn)禁止用戶使用移動存儲設備，不影響非存儲類設備的正常使用。通過策略對寫入不同標簽（普通標簽和加密標簽）的移動存儲介質進行標簽認證管理，防止未授權移動存儲介質隨意接入，防止因授權移動存儲介質外帶使用造成的信息泄密?？稍敿氂涗浻嬎銠C終端用戶插拔移動存儲設備的具體時間、盤符、插拔狀態(tài)等信息，記錄包括文件名、審計描述、時間、用戶名、部門、計算機終端IP地址、MAC地址等，支持對指定格式的文件審計過濾。

3 結束語

從信息安全等級保護角度考量，計算機終端安全是其中一個重要維度，作為企業(yè)內部網(wǎng)絡的基本單元，計算機終端是創(chuàng)建和存放業(yè)務信息數(shù)據(jù)的源頭，是網(wǎng)絡環(huán)境中最難管理的節(jié)點，其安全與否對企業(yè)網(wǎng)絡安全總體狀況有著深遠影響。因此，部署整合多種終端安全防護技術的計算機終端安全管理系統(tǒng)，實現(xiàn)計算機終端的網(wǎng)絡準入控制、安全審計、安全狀態(tài)監(jiān)測、安全配置管理、數(shù)據(jù)安全管理、外設安全管理，最終實現(xiàn)計算機終端的全方位、多層次、立體化管控，必將有力保障計算機終端安全，保障網(wǎng)絡信息資源的機密性、完整性和可用性，有力提升網(wǎng)絡安全整體防御能力。