劉佳

摘 要：終端是網(wǎng)絡(luò)的基本單元。網(wǎng)絡(luò)終端的安全逐漸成為整個信息安全的核心和底線。它們的安全與否對網(wǎng)絡(luò)自身的健康運行有著深遠(yuǎn)的影響，同時也對公司業(yè)務(wù)的順利開展有著的重要作用。

關(guān)鍵詞：計算機終端;安全防護(hù);安全管理

隨著信息化建設(shè)的深入和新技術(shù)的不斷涌現(xiàn)，電信行業(yè)常用的計算機終端面臨著更多的攻擊風(fēng)險，往往成為機構(gòu)整體安全防護(hù)體系的薄弱環(huán)節(jié)。通過構(gòu)建安全硬件支持層、安全防護(hù)層、安全維護(hù)層和管理審計層四道防線，圍繞普通計算機辦公終端設(shè)備的生命周期，共同探討加強普通辦公終端安全管理的措施和思路。

一、加強辦公終端安全管理的基礎(chǔ)

1.在產(chǎn)品選擇上，優(yōu)先選用國產(chǎn)品牌設(shè)備，支持本土企業(yè)，增強產(chǎn)品安全自主可控性，選用具有國家主管部門認(rèn)證的節(jié)能設(shè)備，選擇符合行業(yè)高標(biāo)準(zhǔn)的電源配件，消除不合格產(chǎn)品引發(fā)的火災(zāi)隱患。

2.在產(chǎn)品配置選擇上，依據(jù)不同的用途，選擇合適的硬件配置，結(jié)合設(shè)備歷史使用情況統(tǒng)計，分析設(shè)備生命周期規(guī)律，尋找設(shè)備配置水平與業(yè)務(wù)需求最佳平衡點，尋找配置最佳組合，優(yōu)化設(shè)備購置需求，形成高、中、低設(shè)備配置搭配格局，在滿足安全防護(hù)性能要求的前提下，最大程度提高資金使用效率。

3.在產(chǎn)品軟件配置選擇上，選取成熟可靠、有專業(yè)服務(wù)支持的操作系統(tǒng)，提倡使用國產(chǎn)操作系統(tǒng)，從基礎(chǔ)軟件層面提高終端信息安全保障能力。安裝硬盤健康情況監(jiān)測軟件，監(jiān)控硬盤運行狀態(tài)，及時發(fā)現(xiàn)硬盤故障，并向用戶發(fā)出告警信息，避免出現(xiàn)因硬盤損壞引發(fā)數(shù)據(jù)丟失風(fēng)險。此外，整體上要保持新購置終端設(shè)備軟硬件環(huán)境初始純凈性，從設(shè)備引入伊始杜絕各類不安全軟硬件。

二、加強辦公終端安全管理的關(guān)鍵

1.加固操作系統(tǒng)層。對每一類型的操作系統(tǒng)制定不同安全加固標(biāo)準(zhǔn)，確保所有終端滿足基本安全加固要求;根據(jù)用戶角色的不同，按照“必須知道”和“最小授權(quán)”的原則合理分配用戶權(quán)限，加強對最高權(quán)限用戶的審批和審計管理;安裝最新系統(tǒng)補丁，并及時修復(fù)系統(tǒng)自身缺陷，開啟系統(tǒng)各項審核審計功能以及各類安全策略;關(guān)閉無關(guān)的系統(tǒng)服務(wù)和共享。

2.在操作系統(tǒng)安全加固基礎(chǔ)上，著力引入各類防護(hù)軟件，提高專業(yè)防護(hù)能力。安裝專業(yè)的防病毒和防間諜軟件，在具備查殺病毒和惡意軟件的能力的同時，加入主動防御威脅的功能;部署專業(yè)的補丁分發(fā)系統(tǒng)，對終端進(jìn)行系統(tǒng)漏洞修復(fù)和提供關(guān)鍵基礎(chǔ)軟件更新;部署木馬查殺工具，定期對終端進(jìn)行木馬查殺和檢測，讓終端遠(yuǎn)離“肉雞”;部署專業(yè)入侵檢測系統(tǒng)，時刻監(jiān)測網(wǎng)絡(luò)上終端行為，有效發(fā)現(xiàn)各類惡意入侵行為，定位、隔離問題終端;部署數(shù)據(jù)防泄密軟件，可自動對終端文件進(jìn)行全盤掃描，將敏感文件進(jìn)行分類，對敏感數(shù)據(jù)的外發(fā)行為進(jìn)行監(jiān)控和審計，敏感信息外發(fā)事件行為可通過郵件自動發(fā)送到指定地址，其中包含詳細(xì)事件記錄、原因及終端明細(xì)。

3.部署終端綜合管理軟件，采用統(tǒng)一定制化的終端管理平臺。可以實現(xiàn)對接入終端進(jìn)行實時的監(jiān)督和控制、終端基線管理、終端運維管理等。通過對終端進(jìn)行監(jiān)督和控制，可以實現(xiàn)終端事件監(jiān)控管理、終端系統(tǒng)運行監(jiān)控、終端進(jìn)程和應(yīng)用監(jiān)控、終端操作行為監(jiān)控等，終端軟件環(huán)境的標(biāo)準(zhǔn)化可以為桌面運維管理帶來多方面的效益，能夠降低桌面維護(hù)的復(fù)雜程度，確保關(guān)鍵軟件在計算機終端的強制安裝與使用，同時通過禁止運行某些軟件來間接提高工作效率。通過終端基線管理可對終端進(jìn)行安全策略管理、安全基線檢測和修復(fù)，通過對終端安全策略進(jìn)行管理，實現(xiàn)終端本地策略批量配置或修改，覆蓋了 “共享資源管理”、 “IP安全”等模塊的若干條個性化安全策略。可以從技術(shù)上強制規(guī)范終端各類外設(shè)的使用，強制對系統(tǒng)進(jìn)行各類基本安全加固，避免因人為或誤操作引發(fā)防護(hù)實效。

4.加強辦公終端移動存儲管理。賦予移動存儲介質(zhì)不同的授權(quán)試用范圍和讀寫權(quán)限，實現(xiàn)對移動存儲設(shè)備的靈活管控，保證終端與移動存儲介質(zhì)進(jìn)行數(shù)據(jù)交換和共享過程中的信息安全要求。并通過對移動外設(shè)存儲的加密和審計，利用多種模式的安全認(rèn)證，保證數(shù)據(jù)安全保密;通過目錄加密認(rèn)證、全盤加密認(rèn)證等確保機密資料安全;通過對外設(shè)存儲進(jìn)行使用過程審計，實時發(fā)現(xiàn)問題并及時阻斷。

5.對特殊的系統(tǒng)類型進(jìn)行有針對性的專業(yè)防護(hù)，對辦公終端按重要性進(jìn)行分級、分區(qū)域管理，因地制宜，提高辦公終端安全防護(hù)效能。

三、規(guī)范日常終端維護(hù)，形成辦公終端安全維護(hù)層

1.采用成熟的網(wǎng)絡(luò)準(zhǔn)入技術(shù)，定制終端準(zhǔn)入標(biāo)準(zhǔn)，實現(xiàn)對終端接入的自動化審批。通過自動化審批過程，如果終端安全狀態(tài)不符合安全策略，則能夠禁止終端訪問受保護(hù)的應(yīng)用、服務(wù)器或網(wǎng)絡(luò)資源。準(zhǔn)入標(biāo)準(zhǔn)一般包含兩個方面，一方面是技術(shù)防護(hù)要求，包括終端系統(tǒng)加固要求、安全防護(hù)軟件安裝要求和用戶個性化軟件安裝要求等;另一方面是身份認(rèn)證審核機制，即只有合法的用戶才能被允許接入網(wǎng)絡(luò)，準(zhǔn)入標(biāo)準(zhǔn)的制定可有效防止“不合格”終端接入網(wǎng)絡(luò)，或非法終端“潛入”網(wǎng)絡(luò)。

2.保持和強化終端防護(hù)能力，重在終端變更管理。要求在終端日常維護(hù)過程中，不能破壞已建立的安全防護(hù)網(wǎng)，不能降低防護(hù)能力，維護(hù)過程應(yīng)嚴(yán)格遵循風(fēng)險防范標(biāo)準(zhǔn)，扎牢終端安全防護(hù)的籠子。在人的要求和管理上，技術(shù)維護(hù)人員要具有較高的專業(yè)知識和熟練的操作技能，要有足夠的保密意識和相應(yīng)的維修維護(hù)資質(zhì)。在維護(hù)工具選用上，要使用安全的工具，軟件工具要無病毒、無木馬，軟件來源安全，硬件工具特別是電氣類工具要滿足行業(yè)標(biāo)準(zhǔn)，避免存在短路等火災(zāi)隱患。在具體維護(hù)過程中，要格外注意數(shù)據(jù)的處理，避免數(shù)據(jù)丟失和數(shù)據(jù)接觸范圍擴大。在硬件故障的維修上，要從正規(guī)渠道購置配件替換件，避免引入有“夾帶”的配件，留下安全隱患。維修維護(hù)原則上不能移出辦公地點，采用定點定人維修機制，杜絕攜帶信息存儲部件送修;注重終端設(shè)備的生命終期的管理，規(guī)范設(shè)備報廢。

3.保持和強化終端防護(hù)能力，需要知識的積累和延續(xù)。要建立終端維護(hù)文檔，積累經(jīng)驗知識，同時也可作為一種行為日志記錄，用于監(jiān)督和審計。一類是技術(shù)文檔，登記各種故障現(xiàn)象、處理方式以及技術(shù)操作要點，有利于培養(yǎng)維護(hù)人才，提高維護(hù)技能;另一類是日志文檔，記錄終端編號、故障原因、現(xiàn)象等信息，也保存維護(hù)人員和日期等信息，有利于責(zé)任劃分，也可用于日后的監(jiān)督審計。

四、加強辦公終端安全管理的必要措施

辦公終端信息安全工作需要每一位終端設(shè)備使用人的共同參與。信息技術(shù)部門應(yīng)定期組織開展全公司級信息安全培訓(xùn)，講解信息安全保護(hù)相關(guān)知識，及時發(fā)布信息安全保護(hù)中的新風(fēng)險、新技術(shù)、新手段，灌輸信息安全保護(hù)不利的嚴(yán)重后果，使他們正確認(rèn)識信息安全保護(hù)工作的重要性，特別是重要崗位人員要熟悉信息保護(hù)流程，掌握信息安全基本常識，提高信息安全意識。

1.通過部署行為審計和日志分析系統(tǒng)，監(jiān)控和審計終端用戶上網(wǎng)行為，控制終端通過http代理上網(wǎng)，并對終端進(jìn)行全過程的行為記錄和分析，實時收集終端系統(tǒng)行為和用戶行為信息，自動分析行為信息日志，較快發(fā)現(xiàn)異常行為，定位問題終端，發(fā)出告警信息，及時排查和阻止終端的非法或不安全操作，規(guī)范上網(wǎng)行為。根據(jù)維護(hù)日志和審計日志的統(tǒng)計分析，建立終端防護(hù)能力曲線，分析終端防護(hù)效果，重點修補薄弱點。通過行為日志，加強對“不穩(wěn)定”人員的管理，消除人為故意降低終端防護(hù)能力的風(fēng)險隱患。

2.終端安全專項檢查與各類綜合檢查相結(jié)合，有利于強化終端安全管理力度，提升用戶對終端信息安全主動保護(hù)意識。此外，不能忽視便攜式設(shè)備安全管理。筆記本計算機由于體積較小、重量輕，方便攜帶，已在各公司普遍使用，在提供工作便利和工作效率的同時，也存在被盜、被搶或遺失風(fēng)險，要重點根據(jù)筆記本計算機存儲信息量大、移動性等特點制定有針對性的安全管理措施。其次加強對手機、平板等手持式移動終端的安全管理，防止發(fā)生信息安全事件。

總之，通過構(gòu)建安全硬件支撐層、安全防護(hù)層、安全維護(hù)層和管理審計層4道防線，圍繞普通計算機辦公終端設(shè)備生命周期，結(jié)合終端立體安全防護(hù)網(wǎng)，構(gòu)筑信息安全基本防護(hù)面，一起探討加強普通辦公終端安全管理的措施和思路。

參考文獻(xiàn)

[1]王紅.辦公終端信息安全防護(hù)體系做實信息安全管理工作.2017.

[2]劉鵬，淺談構(gòu)建辦公終端信息安全防護(hù)體系做實信息安全管理工作.2017.