郭家維

摘 要：終端計算機是網(wǎng)絡(luò)組成的基本元素，任何一個節(jié)點出現(xiàn)問題都有可能影響整個網(wǎng)絡(luò)的安全。因此，我們在強調(diào)網(wǎng)絡(luò)安全時，必須消除來自終端計算機的安全隱患。

關(guān)鍵詞：內(nèi)網(wǎng)；終端計算機；網(wǎng)絡(luò)安全

終端計算機是網(wǎng)絡(luò)組成的基本元素，承載著信息存儲、傳輸、應(yīng)用處理的基本功能，它自身的安全性涉及應(yīng)用安全、系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等各個方面，任何一個節(jié)點都有可能影響整個網(wǎng)絡(luò)的安全。因此，我們在強調(diào)網(wǎng)絡(luò)安全時，必須消除來自終端計算機的安全隱患。

1 危害內(nèi)網(wǎng)終端安全的主要因素

1.1 終端計算機安全漏洞

目前我們的終端計算機廣泛依賴于微軟的操作系統(tǒng)，即使微軟公司經(jīng)常針對產(chǎn)品本身存在的功能或者安全問題發(fā)布補丁，但由于這些操作系統(tǒng)和應(yīng)用軟件屬于他國產(chǎn)品，我們不掌握核心技術(shù)，導(dǎo)致網(wǎng)絡(luò)終端不可避免地存在著安全漏洞，同時也無法排除存在陷阱、后門等隱患的可能。

1.2 缺乏入網(wǎng)資格審查

1.2.1 終端計算機只要配置網(wǎng)絡(luò)連接屬性，不經(jīng)授權(quán)，就可任意連接進(jìn)網(wǎng)絡(luò)中。如果帶有病毒等惡意代碼，或存在著安全漏洞，在進(jìn)入網(wǎng)絡(luò)后，會給內(nèi)網(wǎng)安全帶來很大的威脅。

1.2.2 終端計算機的IP地址和網(wǎng)絡(luò)配置可以隨意改動，如果造成IP地址沖突，會造成其他終端計算機無法正常應(yīng)用的情況，當(dāng)與服務(wù)器地址沖突時，可能造成的損失更大。

1.2.3 當(dāng)企業(yè)淘汰部分終端計算機時，隨意配置了新設(shè)備，會使網(wǎng)絡(luò)出現(xiàn)多種多樣的軟硬件配置，很難進(jìn)行安全管理。

1.3 欠缺對終端用戶的行為監(jiān)控

有的用戶在終端計算機上隨意安裝、運行軟件，這些軟件很有可能攜帶惡意代碼，有的用戶隨意拷走涉密文件，或違規(guī)使用涉密移動存儲設(shè)備，最終導(dǎo)致泄密事件的發(fā)生；如果不能對內(nèi)網(wǎng)用戶的操作行為進(jìn)行及時和強大的安全監(jiān)控和日志審計，即使出現(xiàn)了故意傳播惡意代碼、實施破壞或竊密的行為，也無報警提示或被記載。

2 應(yīng)采取的管理措施

2.1 增強信息安全保護(hù)意識

不能單純依靠網(wǎng)絡(luò)管理員來管理終端安全，要提高全員對計算機信息安全的認(rèn)識，克服用戶的麻痹大意思想，自覺在工作中養(yǎng)成良好的安全意識。

2.2 建立和完善信息安全制度

制定安全管理的條款和細(xì)則，將約束和規(guī)范具體化，將責(zé)任明確化，只有這樣，才能保證制度真正發(fā)揮作用。

2.3 提高保障信息安全技能

要集結(jié)一批有專業(yè)素質(zhì)的人才隊伍，通過宣講和培訓(xùn)，使每一名終端使用者都能夠從各自實際出發(fā)，掌握一定的信息安全知識。做到時時處處有警惕意識、會防范措施，不會因操作失誤造成安全和泄密事故。

3 應(yīng)采取的技術(shù)措施

3.1 安裝網(wǎng)絡(luò)防病毒軟件，及時更新病毒庫，做好病毒的查殺

北京科技大學(xué)教授周賢偉說，“有誰會把自己國家的大門交給國外的保鏢看守呢？”當(dāng)外國殺毒軟件設(shè)置后門或秘密功能時，會對用戶的個人隱私和商業(yè)機密造成很大的威脅，斯諾登事件后，我國增強了對外國科技公司的審查，而隨著國產(chǎn)軟件日益表現(xiàn)出色，我們更推薦安裝國產(chǎn)的殺毒軟件。

3.2 及時為終端計算機安裝補丁程序

windows操作系統(tǒng)是目前應(yīng)用最廣泛的系統(tǒng)，黑客常常尋找它的漏洞進(jìn)行網(wǎng)絡(luò)攻擊。但微軟公司經(jīng)常會針對產(chǎn)品存在的功能或者安全問題發(fā)布補丁。及時為計算機終端安裝這些補丁程序，可以有效減輕網(wǎng)絡(luò)病毒造成的威脅。

3.3 安裝個人防火墻，實現(xiàn)對終端訪問控制

一些用戶認(rèn)為安裝了防病毒軟件，就可以不裝個人防火墻，但這一想法是錯誤的。因為防病毒軟件側(cè)重于防范病毒人侵，但并不能防范人為的黑客攻擊。網(wǎng)絡(luò)邊界上的網(wǎng)絡(luò)防火墻，雖然能夠防范來自外部網(wǎng)絡(luò)的黑客攻擊，但無法防范來自內(nèi)部的非法攻擊。個人防火墻通過提供IP地址和端口過濾、端口“隱蔽”、應(yīng)用程序過濾、郵件保護(hù)和內(nèi)容過濾等功能，可以作為網(wǎng)絡(luò)邊界防火墻的有益補充。

3.4 實行數(shù)據(jù)存儲保護(hù)，做到有備無患

對于磁盤上的數(shù)據(jù)要根據(jù)重要程度決定備份的數(shù)量，在硬件損壞、病毒感染等原因?qū)е聰?shù)據(jù)受損時，進(jìn)行及時的數(shù)據(jù)恢復(fù)?？梢赃x用GHOST等備份工具、刻錄光盤和網(wǎng)絡(luò)備份等方式進(jìn)行備份，不要使用可能會攜帶病毒的U盤、移動硬盤等設(shè)備進(jìn)行備份。對于重要數(shù)據(jù)一定要做到異地備份，并通過加密算法進(jìn)行加密存儲。這樣即使備份丟失，竊取者也很難明白數(shù)據(jù)的真正意義，從而達(dá)到安全的功效。

3.5 建立終端安全管理系統(tǒng)

建立終端計算機的安全管理系統(tǒng)，通過批量設(shè)置計算機的安全保護(hù)措施提高終端計算機的安全性。

3.5.1 及時更新終端計算機的安全補丁，減少被攻擊的可能。

3.5.2 實現(xiàn)動態(tài)安全評估，實時評估計算機的安全狀態(tài)及其是否符合管理規(guī)定。

3.5.3 防止外來電腦非法接入、主機地址冒用、電話撥號，信息泄密。

3.5.4 實現(xiàn)計算機的資產(chǎn)管理和控制，建立對計算機終端、網(wǎng)絡(luò)打印機等設(shè)備進(jìn)行管理的信息數(shù)據(jù)庫，記錄計算機名稱、網(wǎng)卡MAC地址、IP地址、使用管理人、當(dāng)前用戶等信息；

3.5.5 通過主動掃描等方式發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部的非法行為，出現(xiàn)安全問題后，可以對有問題的IP、MAC、主機名等進(jìn)行快速的定位。

結(jié)束語

網(wǎng)絡(luò)安全工作應(yīng)當(dāng)管理與技術(shù)并舉，對于可能發(fā)生的內(nèi)網(wǎng)終端安全事件，竭力避免，積極防御。通過引領(lǐng)內(nèi)網(wǎng)終端的良性、健康發(fā)展，營造安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。endprint