企业内部计算机终端应用安全问题及对策分析.docx

1、企业内部计算机终端应用安全问题及对策分析摘 要长期以来计算机终端的信息安全一直是整个信息网络安全的一个重要环节，病毒、木马等恶意软件在计算机终端间的恶意传播，网络黑客的攻击，系统软件安全的漏洞，个人计算机安全意识淡薄等因素是影响整个计算机终端安全的几个重要因素。企业网作为互联网的延伸网络结构,得到了广泛采用。但由于互联网自身协议的开放性和部分网络用户安全保密意识的淡薄,现阶段各级企业网的信息安全工作正面临不小的压力和挑战。本文从计算机终端的安全现状、中小企业计算机终端管理现状，中小企业计算机终端安全管理问题的原因，以及应对终端安全问题提出应对措施等几个方面,为企业网中计算机终端信息安全管理工作

2、提供参考。最后通过对中小企业计算机终端信息安全实践的研究,从中可以看到其如何解决身份认证、安全策略检查、病毒预防控制、网络隔离等方面的技术和方案,从而总结出一些先进的技术和理念。关键词：计算机终端安全；病毒预防；网络隔离 1. 引言计算机科学与技术的不断发展给人类创造了巨大的财富。尤其是计算机网络的发展, 使信息共享广泛用于商业、教育等各个领域。计算机终端安全是一个复杂的系统性问题, 它涉及到计算机网络系统中硬件、软件、运行环境、计算机系统管理、计算机病毒、计算机犯罪等系列问题1。在企业信息化建设过程中,不仅公司内外部之间存在信息安全风险,不同的部门之间业务承载在同一张物理网络之上,出于安全性

3、的考虑,必须采用技术手段进行安全隔离,而不同部门之间的部分资源又需要进行受控互访进行共享,所以隔离和互访是企业信息化建设中的必然需求。同时由于企业局域网的特殊性,为了防止关键数据被窃取和更改,必然要求对用户的访问权限加以限制,以保证数据的安全伴随着信息技术、网络技术的迅猛发展,世界经济发生了根本性的变化,以全球化、信息化、网络化、数字化为显著特征的新经济时代己经来临我们已置身于一个信息技术瞬息万变和消费者需求日益多元化的时代。大中型企事业单位、政府办公网络,桌面计算机数量众多,管理难度很大。计算机感染病毒、被安装木马(像目前最严重的灰鸽子),有些不明程序不断抢占IP地址造成其他机器无法正常工作

4、,还有部分员工使用BT、电驴下载工具等现象时有发生。由于难于发现有问题的电脑,难以对这些危险电脑进行定位,一旦问题发生,往往故障排查时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,非常容易导致网络阻塞,从而致使其他正常网络业务无法使用。以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS(入侵检测)、网络互联设备即对交换机、集线器和路由器等的管理,却忽略了对网络环境中的计算单元一服务器、台式机乃至便携机的管理。正确、全面的认识终端桌面管理的发展趋势和技术特点,是IT研发厂商面临的发展抉择,同时也是企、事业IT管理人员和高层决策人员在进行终端桌面安全防护部署时必须考虑的

5、议题2。计算机终端桌面安全管理技术的兴起是伴随着网络管理事务密集度的增加，作为网络管理技术的边缘产物而衍生的,它同传统安全防御体系的缺陷相关联,是传统网络安全防范体系的补充,也是未来网络安全防范体系重要的组成部分。因此,终端桌面安全管理技术无论在现在还是未来都应当归入基础网络安全产品体系之列。2. 计算机终端安全管理现状目前,世界各国也纷纷推出信息系统安全方面的各种计划和管理措施。以美国为例,自1999 年至今,美国会已通过涉及计算机、互联网和信息安全问题的法律文件379个3。法国也成立了跨部协调的计算机终端信息安全机构,由决策层、操作层、技术层及工业层组成。早在20 世纪80 年代中期,美国

6、国家安全标准与技术研究所联合组建了美国国家计算机犯罪情报中心负责制定安全标准评估新建计算机系统的安全性能。随后,英、法、澳等国也建立相应的机构研究计算机犯罪。美国在采取技术措施的同时,还鼓励民间组织协会来解决个人、私人企业中的计算机终端系统安全问题。我国学术界对计算机终端系统信息安全的研究起步不算晚,主要的机构有中国计算机学会下属的计算机安全委员会、国家公安部计算机监察司等。1999 年,国家有关部门组织了“国家信息安全课题组”,该课题组经努力完成了国家信息安全报告,较详细地调查和评估我国计算机信息系统、网络系统及信息采集、加工、传递和应用的安全现状、问题及对策。该报告对强化我国信息安全体系具

7、有重大的战略意义。我国于1999 年底成立国家信息化工作领导小组,大力推进我国的计算机终端信息系统安全工作,实现我国计算机终端系统安全技术与管理的双发展。国内着眼于计算机终端系统的安全需求,从系统配置现状出发,以实际可行的方式建设安全系统,并符合可操作、有效果和能验证的原则。目前,比较成熟的安全技术主要有身份识别技术、访问控制机制、数据加密技术、数字签名技术、安全审计技术等。根据我国信息系统的安全状况,目前急需借鉴国外的经验和技术, 研究密码技术、系统扫描安全检查技术、网络攻击监控技术、信息内容监控技术、审计跟踪技术及证据收集、认定等安全技术,并组织开发相应的安全软件产品。3. 中小型企业计算

8、机终端安全管理现状3.1身份识别现状1、个人电脑口令设置未要求设置无开机密码和硬盘口令验证,开机后只要直接输入正确的管理员用户名和密码即可进行认证登陆电脑,接入公司网络。用户名和密码可以是普通用户权限,不要求一定用管理员帐号密码登录。口令安全可以说是系统的第一道防线,目前网上的大部分对系统的攻击都是从截获口令或猜测口令开始的,所以我们应该选择更加安全的口令,杜绝不设口令的账号存在。开机密码和管理员密码可以是一样的,也可以是不一样的。区别在于,开机密码是用来防止他人乱用你的个人电脑而设的一道防线。而管理员密码是你在使用电脑时对电脑进行设置和修改设置的一个身分识别的方式。除密码之外,用户账号也有安

9、全等级,这是因为每个账号可以被赋予不同的权限,因此在建立一个新用户帐号时,系统管理员应该根据需要赋予该账户不同的权限,并且归并到不同的甩户组中。简单的说就是:开机密码:决定谁可以使用电脑。管理员密码:决定谁可以对电脑的设置进行修改,谁对电脑有完全的掌控权。2、供应商等其他外部电脑终端在公司内部办公区可直接接入内部网络使用。任何一台正常工作的电脑,只要带到公司连接上网线即可接入内部网络,访问和使用公司的资源,当然也可以拷贝一些内部资料到其电脑上。3、公用电脑口令设置部分电脑是部门级的公用电脑,用于存放部门的公共资料或公用的数据信息等。对于这类电脑的用户名和密码一般都是公开的,也没有设置相应的责任

10、人,只要输入相应的用户名和密码即可登录电脑,接入公司网络,访问公司资源,也可以随意从公司的相关服务器拷贝资料等。4、计算机终端上安装的非法软件多由于对身份识别没有有效控制,同时对非法软件没有自动化的检测,造成员工在计算机终端上安装的非法软件多,公司网络上病毒扩散快,由于病毒原因造成的网络故障多。3.2补丁安全、防病毒技术现状目前,90%以上的端终用户使用的是windows2000,XP或以上的操作系统,而这几种系统的安全漏洞又非常多,微软公司会通过定期发布安全补丁的方式来弥补这些漏洞,但由于端终用户缺乏相关知识,导致补丁安装的不完全,不及时,这就会严重影响终端计算机的安全,从而导致更严重的整个

11、内网安全问题。公司使用Symantec的Norton Antivirus防病毒软件,防病毒软件采用集中管理的方式,即可以自动升级和更新,按规定所有员工都必须安装,定期由各部门的信息安全专员进行抽查,未安装者有相应的处理措施,视影响大小而定,如提醒安装、通报批评等。对于没有安装的电脑没有高效地、有用的检查措施。在公司的文件服务器上放置最新的系统补丁、病毒定义文件。公司发布公告邮件,员工自行到公共服务器上下载最新发布的系统补丁和病毒软件。对系统和防病毒软件进行升级。员工是否按要求进行升级无法自动检测到,只能靠部门信息安全专员定期抽查来检测。对内部终端接入外部互联网的权限控制不严格,造成内部终端感染

12、病毒类型多,无法有效管理和控制。经常造成网络故障,影响正常办公和企业信息安全,漏洞数量居高不下。3.3终端接入现状 在内网,通过域认证加入域后,不管域用户是不是管理员帐号,终端将自动接入公司网络。在外网,在计算机终端未关机的状态下,通过安装的远程终端控制软件即可接入控制内部计算机终端；在外部互联网通过FTP方式可登陆公司内部文件服务器；在外部互联网通过VPN认证后,即可接入公司网络,如IT人员可以登陆公司内部交换机进行配置维护,普通员工可以收发邮件,访问相关服务器等。权限管理较弱,终端接入场景设置不够,不能有效管理和控制终端接入。公司内部办公区域网络未做隔离,公共区域的终端可以直接访问敏感区域

13、的服务器。流氓软件肆意流传,严重影响网络安全,导致病毒传播或者数据丢失事件时有发生。对使用了USB接口的事件没有记录，造成发生问题后无法追溯。同时对于违规使用USB接口的人员无法进行审计。3.4终端信息安全管理体系现状4-51、员工对终端信息安全部重视由于信息安全管理体系中没有明确的组织架构,导致终端信息安全的重要性体现不足。相关管理人员没有有效的权利推行相关制度和监管制度的执行情况。另一方面,相关员工对终端信息安全工作的认识不足。2、终端信息安全管理相关规范制度缺乏,且难以有效实施。整个管理体系,仅有一些管理的规章制度,并且这些制度仅仅是停留在纸面上。并没有有效的去推行和监督制度的执行情况。

14、3、终端信息安全违规事件的严重等级比较混乱类似场景的违规事件,在不同的部门判定的违规等级以及类型经常都不一致,导致员工认可度不高。4. 终端安全管理问题及原因分析4.1身份识别存在的问题及原因分析1、供应商等其他外部电脑终端在公司内部办公区可直接接入内部网络使用在一些合作项目中,供应商经常带电脑或者其他外部终端到公司内部进行办公。一般情况下需要接入公司的网络,但对外部终端是否带病毒,是否安装了违规软件等情况无法实现自动检测,并且内部网络没有进行区域隔离。这样一方面很容易造成病毒在内部网络中扩散,另一方面很容易造成非相关人员轻易访问到敏感区的信息,从而造成内部资料的外泄。2、部分电脑的密码公开,

15、供多人使用这种情况在新员工大量招聘培训阶段较突出,由于新员工大量集中培训,就存在多人合用一台电脑的情况。这样就存在同一电脑终端上不同员工的资料信息流失。另一方面由于未实行区域网络隔离,就有可能造成敏感区域的资料外泄。对于公共电脑的使用,应该有管理员建立分配不同的普通账户给到相应的使用人员。但目前公司基于对员工的充分信任,对公共电脑的管理没有严格的规章制度去约束。员工在使用公共电脑时,都是使用公开的管理员帐户密码进行登陆使用从而造成信息数据的外泄。3、由于无开机密码或硬盘密码的认证要求员工只要知道电脑的任何一个用户名和密码即可使用公司的网络资源,接入公司网络,导致一些机密信息容易被盗取,公司的利

16、益可能受到威胁。公司前期对这一块信息安全工作重视不够,没有对开机密码设置做硬性规定,导致非授权人员可以轻易启动电脑。4、由于病毒原因造成的网络故障多由于对身份识别没有有效控制,同时对非法软件没有自动化的检测,造成员工在计算机终端上安装的非法软件多,公司网络上病毒扩散快,由于病毒原因造成的网络故障多。4.2 终端接入存在的问题及原因分析1、对使用了USB接口的事件没有记录,造成发生问题后无法追溯员工可以随意使用USB接口,如使用U盘拷贝资料或从其他介质导数据、文件等。诸如U盘之类的存储介质经常被病毒感染,如果员工将电脑与带有病毒的U盘连接时很容易感染病毒。因此没有对USB接口进行控制和管理,对于

17、使用USB接口导致病毒传播的事件也无法进行审计。可见USB接口的统一管理也公司信息安全管理需要加强的方面。2、对流氓软件的下载和安全没有控制公司虽然有关于不能随便安装非标准软件的规定,但是由于个别员工对公司规定重视不够,为图方便随意安装小软件或者工具。光有相关的规定是不够的,而且应该在类似事件发生时得到控制,即对类似软件的安装和下载通过工具统一管理和检测,即在事件发生时得到制止或控制。因此,容易在文件下载或安装的过程中导致电脑中病毒或者被恶意软件攻击,严重影响网络安全。4.3补丁安全、防毒技术存在的问题及原因分析1、现有的技术不能有效清除蠕虫病毒 由于蠕虫是利用系统的漏洞来感染,并且获取了系统

18、的最高权限,传统的防病毒只能在安全模式下根据病毒特征进行查杀,查杀后还会被感染,不能彻底清除蠕虫。2、现有的技术不能防止计算机终端被蠕虫感染由于蠕虫是利用系统的漏洞来感染系统的,只要漏洞存在,没有安装补丁,因此单纯靠防病毒软件并不能防止蠕虫感染系统。3、现有的技术方案,主要是单机或者网络版本的防病毒软件由于病毒、蠕虫的传播快速、破坏性大、难以彻底根除,因此一直是网络安全的焦点。一些软件厂商也纷纷推出防病毒软件来查杀蠕虫,但传统防病毒软件采用病毒特征码方式进行病毒检查,然后根据预先定义的规则清除病毒。4、现有的方案没有把补丁检查、隔离危险机器、杀毒等一系列功能结合起来正是因为这一系列功能没有结合

19、起来,导致一有大规模蠕虫出现,就造成大量的系统、网络瘫痪,造成重大损失。5、现有的技术不能阻止蠕虫扩散防病毒软件在发现蠕虫后,只是对蠕虫病毒本身进行处理,并不能限制蠕虫进一步感染其他计算机终端。6、现有的技术不能防止蠕虫关闭、破坏防病毒系统由于蠕虫感染计算机终端后具有最高权限,因此可以关闭病毒软件,使防病毒软件失效,不能正常查杀蠕虫。4.4 终端信息安全管理体系存在的问题及原因分析1、终端信息安全违规事件的严重等级比较混乱正是相关管理部门对终端信息安全违规事件的缺乏详细的归纳总结,没有一个违规事件分类分级标准。导致类似场景的违规事件的判定无据可依,出现在不同的部门判定的违规等级以及类型经常都不

20、一致,并最终导致员工认可度不高,相关的规范推行阻力大。2、终端信息安全管理相关规范制度缺乏,且难以有效实施虽然领导层对终端信息安全的重要性有较深的认识,但相关管理层对如何做好该项工作,还没有较系统的和完整的考虑。整个终端信息安全管理体系不健全,仅有一些管理的规章制度,并且这些制度仅仅是停留在纸面上。并没有有效的去推行和监督制度的执行情况。另一方面也没有相应的机制去保障相关制度和规范的落地执行。3、员工对终端信息安全不重视由于信息安全管理体系中没有明确的组织架构,导致终端信息安全的重要性体现不足。相关管理人员没有有效的权利推行相关制度和监管制度的执行情况。另一方面,员工对终端信息安全工作的认识不

21、足。5.企业公司终端信息安全管理改进措施总的来说,传统安全防护是对己知漏洞的防护还缺乏对安全风险源头控制,特别企业安全来讲,通过对各种实例分析和信息的收集,大量安全隐患来自终端的网络,终端给这个企业的安全带来的风险可以用二八原则定义,80%网络安全来自计算机终端,对于公司来说,对计算机终端管理是信息安全管理的重中之重。鉴于公司在计算机终端信息安全使用和管理的现状,以及目前存在问题和原因分析,公司结合自身多年在信息安全领域的实践,提出了解决终端信息安全管理的理论方案以及相应是实现方案措施。计划开发自主的终端安全策略强制系统和优化现有的信息安全管里制度和流程。5.1终端安全管理的理论方案6-71、

22、传统的防护体系传统安全防护体系,也就是我们经常所说的纵深防御,它以部署防火墙、入侵检测、防病毒等独立安全产品为主要特征。这种体系的优点是利用现用安全产品的丰富性进行分层分级的纵深防护,通过对安全漏洞不断深入分析研究,提升整体的安全结构。但是它也存在一定不足,如传统安全防护是对已知漏洞的防范,而且还缺乏对安全风险源头控制。2、公司的免疫网络安逸的理念针对企业安全来讲,要更多考虑端到端的架构,安全永远是三分技术七分管理,在制定了安全策略和安全制度后,更要考虑的是,如何能保证安全策略的贯彻执行？比如说一些公司在管理制度上要求所有员工必须及时打补丁、不允许安装IM软件,但是如果员工不执行公司的策略,这

23、个安全策略就是一纸空文。所以安全管理一定要通过技术手段来实现,这就是我们所提倡的免疫网络。公司的免疫网络安逸的理念基于三点：首先我们倡导从源头控制,网络的大部分不安全因素来自终端,终端通过一些非法的软件、移动介质引入了很多安全风险,所以对终端的源头控制,是保障网络安全最重要的支撑：其次是对业务系统的健壮性的加强,包括漏洞扫描,业务评估,建立安全基线和主机加固。最后就是管理的概念,怎么实现风险的统一收集分析、管理和规避,这在整个安全体系中是最重要的工作。通过这个理念来实现端到端,从源头到业务系统,乃至整个网络的安全防护一体化。3、源头控制：公司的终端安全方案介绍公司在自身多年信息安全实践中发现安

24、全的大部分风险来源于终端。终端不仅威胁其自身的安全,更多对网络和网络中的主机造成极大的威胁。终端还会造成一些感染性风险,比如病毒大规模散播；还有终端会滥用网络资源,比如终端自身感染病毒会引起网络风暴,这也是所有企业面临最头疼的安全问题；最后,一些终端进行蓄意破坏,比如恶意用户可以通过终端来进行网络破坏和盗取口令。如何降低终端对网络及系统构成的威胁,要对终端进行相应的身份认证和安全检查,实现一体化的防护,所有终端在进入网络之前要到安全策略服务器上认证和安全策略检查,通过之后才准许终端系统访问相应的业务系统,这作为整个安全认证第一关,如果不符合要求就要进行相应安全的修补,包括针对安全策略进行检查,

25、进行补丁的下载,进行强制杀毒安全权限的补任,修补之后又进行安全检查,这样形成一体的循环。只有被信任之后才能使用这个业务系统,这是我们所说的对终端安全管理的基本概念。终端安全管理主要包含以下模块:(l)网络接入控制模块传统上来讲,在企业中终端接入网络是没有任何控制的,在终端接入网络后,在网络层是可以访问任何网络中的主机。这样的话就带来了很大的风险,然而,根据工作相关原则和最小权限原则,网络接入控制可以实现以下功能：A、终端在接入网络之前必须经过身份认证。B、终端在身份认证后根据相应的权限确保只能访问相应的系统,比如市场的员工如无工作需要不能访问财务系统的网络。C、终端在接入网络后可以进行限流,确

26、保这个终端在中了病毒以后,不会影响网络和网络中的其他设备。D、对于没有合法身份的终端进行强制隔离,不允许接入公司的网络。(2)终端策略强制模块终端策略强制模块是安全管理通过技术手段贯彻执行的具体体现,只有符合公司策略的终端才能接入网络。企业可以根据自身特点定制安全策略,通过策略强制来确保所有终端执行公司的策略,否则强制隔离。A、确保终端只能安装公司批准的合法软件B、确保终端不能安装公司定义的非法软件C、确保终端在接入网络时加载最新的操作系统补丁、应用系统补丁D、确保终端在接入网络时已经安装防病毒软件,并且病毒库更新到最新版本(3)终端行为审计模块终端行为审计模块可以帮助公司安全人员对安全策略的

27、执行情况进行检查分析,用户也可以通过工具进行自检。A、用户可以自助检查终端是否符合公司的策略,如果不符合,可以按照提示先行修复。B、审计员可以通过工具下载审计任务,自动检查出不符合公司策略的终端。C、审计员可以监控终端的可疑行为,如使用USB硬盘等。D、可以方便公司进行资产管理。5.2终端安全策略强制系统的实现方案1、模块功能介绍(1)安全配置服务器：管理员通过安全配置服务器配置企业的多种安全策略,管理维护补丁文件和病毒特征码,提供个性化补丁下载,为用户提供安全设置指导。(2)安全认证服务器：根据配置好的安全策略,对计算机终端进行安全策略认证,如果计算机终端安全符合公司策略,则通知网络接入设备

28、开放网络权限,允许用户上网；如果计算机终端安全不符合公司策略,则给计算机终端代理服务器发送错误信息,隔离该计算机终端,同时该服务器存放公司安全策略和日志信息。(3)计算机终端代理服务器：计算机终端代理服务器负责收集计算机终端和安全相关的信息,同时通过网络发送到安全认证服务器进行认证,如果计算机终端安全策略不符合公司信息安全策略,则给用户提示错误信息,并引导用户到安全配置服务器进行个性化的安全配置。(4)网络接入服务器:根据安全认证服务器发送的信息,处理计算机终端上网权限,以隔离危险机器,防止未打补丁机器连接网络感染病毒,防止感染了病毒的计算机终端进一步感染其他计算机终端。2、功能实现过程介绍(

29、l)管理员配置策略：管理员在安全配置服务器上配置企业的安全策略,可以按组确定计算机终端必须安装的软件、补丁和其他一些安全设置,形成企业的安全策略。(2)用户接入公司网络过程说明A、用户主机配置成通过DHCP动态获取IP地址后,用户主机初始化并发送DHCP请求报文,该报文经用户侧设备(LAN Switch)转发到NAS设备。B、NAS设备实现DHCP中继功能,将该请求报文转发至DHCP服务器。C、DHCP服务器对用户的DHCP申请报文进行响应,并通过响应报文为用户分配IP地址。D、NAS设备接收到DHCP Server的DHCP响应报文后,转发到相应的用户主机,并在NAS设备内部形成IP地址、M

30、AC地址和VLAN端口的对应关系,在用户未通过安全认证以前,限制该用户主机的访问权限。E、用户主机收到DHCP Server的DHCP响应报文后,获得IP地址和其他相关参数,同时获得缺省的用户权限,这些权限包括:可以访问策略配置服务器、文件服务器和防病毒服务器(允许访问的目的地可以在NAS设备上配置)。F、用户终端通过计算机终端代理服务器发送本机的安全信息(比如MAC地址、本季的补丁情况和中毒情况)到安全认证服务器,安全认证服务器比较安全策略是否满足,不满足则向用户提示不满足的原因,并转到安全配置服务器进行修补。G、如果安全策略满足,则安全认证服务器产生一个允许接入的数据包发送给NAS设备。H

31、、NAS设备接收到允许接入的数据包打开该用户的访问权限。I、NAS设备向安全认证服务器发送该用户认证通过的消息。J、安全认证服务器向用户终端发送认证成功的消息。K、通过安全认证的用户主机可以正常上公司网络。L、其他考虑:通过网络隔离实现防范病毒还可以提供更多的安全检查,下面举一个例子： 目前的无线网络大规模使用后,防止无线网络中的非法接入是一个很大的安全问题,传统的技术中是通过身份认证达到限制非法计算机终端接入的目的。终端安全策略强制系统可以通过身份认证和安全策略认证双重认证的办法达到限制非法计算机终端接入的目的,防止企业外部用户的非法入侵。目前的无线网络大规模使用后,防止无线网络中的非法接入

32、是一个很大的安全问题,传统的技术中是通过身份认证达到限制非法计算机终端接入的目的。终端安全策略强制系统可以通过身份认证和安全策略认证双重认证的办法达到限制非法计算机终端接入的目的,防止企业外部用户的非法入侵。5.3终端安全策略强制系统的功能特性1、强制性可以通过NAS设备强制未打补丁计算机终端使用正常网络,防止不健壮的计算机终端被病毒感染；强制受感染的计算机终端使用正常网络,防止受感染的计算机终端进一步感染其他计算机终端,并对网络造成堵塞,从而达到防止病毒大规模爆发的目的。另一方面,对于未按公司信息安全规范要求的轻微风险(如未设开机密码、未设屏保密码、未设邮箱离开锁定时间、使用USB接口等),

33、在进行接入网络认证时都将给予对话框提示,并将未改正便接入网络的计算机终端信息计入安全日志中,并由信息安全专员定期审计安全日志,对违规情况人员进行处罚。这样便可强制要求员工按信息安全规范操作,减少信息安全风险。同时系统还可以对安全日志进行自动的分类打印,便于定期输出安全审计报告。2、系统性本方案集合了补丁管理、企业策略管理、病毒查杀、网络隔离等多种安全技术,是系统的、整体的方案,能比较彻底地解决令人头痛的病毒、蠕虫问题,以及过去需人工审计的情况,目前系统可以自动审计出员工计算机终端上的违规情况,大大提高的员工在信息安全方面的意识。3、自动性可以将不符合安全策略被隔离的计算机终端,自动引导完成缺陷

34、修补更新(如：系统补丁、病毒定义文件、屏保密码、邮箱密码等)。确保接入公司网络的计算机终端是完全符合公司安全策略的计算机终端。4、可靠性病毒、蠕虫无法绕过网络设备的限制,系统能可靠地检查、隔离危险机器,从而可靠地保护整个网络。确保不安全终端不能进入公司网络,防止了病毒和非法用户的侵入。5、实时的“危险”用户隔离系统补丁、病毒库版本不及时更新的用户终端,如果不符合管理员设定的企业安全策略,将被限制访问权限,只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。用户上网过程中,如果终端发生感染病毒等安全事件,终端安全策略强制系统可实时隔离该“危险终端。6、可扩充性本方案可以根据需求对计算机终端和

35、服务器的检查选项进行扩充。根据企业不同的发展阶段,以及该阶段所面临的不同类型的信息安全问题和风险,有针对性的增加和优化该系统的功能模块,以实现企业安全策略统一管理。7、可扩展的、开放的安全解决方案终端安全策略强制系统是一个可扩展的安全解决方案,对现有网络设备和组网方式改造较小。在现有企业网中,只需对网络设备和第三方软件进行简单升级,即可实现接入控制和防病毒的联动,达到端点准入控制的目的,有效保护用户的网络投资。其也是一个开放的安全解决方案,安全策略服务器与网络设备的交互、与第三方服务器的交互都基于开放、标准的协议实现。在防病毒方面,目前系统己与诺顿、McAFee、趋势、以瑞星、金山等多家主流防

36、病毒厂商的产品实现联动。8、完备的安全状态评估用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本等反映终端防御能力的状态信息。终端安全策略强制系统通过对终端安全状态进行评估,使得只有符合企业安全标准的终端才能准许访问网络。9、基于角色的网络服务在用户终端在通过病毒、补丁等安全信息检查后,终端安全策略强制系统可基于终端用户的角色,向安全客户端下发系统配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一管理,并实时应用实施。10、网络入口安全防护8大型企业往往拥有分支机构或合作伙

37、伴,其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准,可以在企业入口路由器中实施终端安全策略强制系统准入控制,保证接入网络的用户终端不会对内部网络造成安全威胁。11、局域网安全防护在企业网内部,接入终端一般是通过交换机接入企业网络,终端安全策略强制系统通过与接入层交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全威胁。12、VPN接入网络的安全防护9许多企业和机构允许移动办公员

38、工或外部合作人员通过VPN方式接入企业内部网络。该方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。对于没有安装终端安全策略强制系统安全客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。13、企业关键数据保护接入网络的用户终端的访问权限受终端策略安全强制系统下发的安全策略控制,对企业关键数据服务器的访问也因此受到保护。在其的控制下,访问企业关键数据的用户需要通过身份验证和安全状态检查,可以避免企业敏感信息遭受非法访问和恶意攻击。5.4终端安全管理体系建设首先,在战略层面公司高层对信息安全的重要性进行了重新审

39、视和达成共识。并下发公司级文件,向全公司全体员工明确计算机终端信息安全的重要性,以及相应的管理制度。其次,在战术层面落实具体公司计算机终端信息安全标准!安装操作指引、审计指引等。便于在统一的标准平台下,实施系统的自动统一管理。另外,在执行层面,每个三级部门设立信息安全专员,按相关规范要求在本部门内负责开展相关信息安全工作,并作为信息安全责任人对部门的信息安全考核结果负责。同时将信息安全管理工作的执行效果以及违规情况纳入所有员工的绩效考核,将信息安全与员工切身利益相关的绩效考核联系起来,提供了员工对信息安全重要性的认识。同时,将信息安全管理制度、标准和相应的系统工具的使用方法作为专门的课程,以面

40、授、网络自学、宣传邮件等形式对员工进行培训。确保所有员工能够在信息安全方面有充分的认识。6. 终端安全策略强制系统解决的问题公司自己在多年系统的构建和信息系统的改进上,不断体会到很多安全的风险来自于终端,对终端这一块通过跟自身的体会也提出一个分析现状,终端安全管理现状,不仅威胁终端自身的安全,更多对网络和主机造成极大的威胁,这体现在四个方面,一个终端自身的安全,会造成大量业务终端,特别在OA办公系统中使用的,比如运营商在生产系统中使用的终端,包括自身各个企业使用各个业务系统中面临要操作这个终端,实际上安全的风险来自于人,人的第一体现者就在终端上,怎么封闭和管理这个终端的安全是非常重要的。除了终

41、端安全之外会造成一些感染性风险,比如病毒大规模散播,还有终端滥用资源,比如终端自身感染病毒会引起网络风暴,还有终端非授权访问,这也是所有企业面临安全课题时最头疼的问题,怎么样让企业的业务顺畅运行,又避免出现信息安全的问题,因为信息安全作为企业来讲己经上升为企业的核心资产。还有一些终端的蓄意破坏,有丫些企业内部不健壮性,通过终端来进行网络破坏和帐号口令的盗取。如何降低终端对服务器网络构成的威胁,要对终端进行相应的身份认证和安全检查,实现一体化对终端的防护,所有终端在进入网络之前要通过客户端到安全策略服务器上认证和安全策略检查,通过之后才准许终端系统访问相应的业务系统,这作为整个安全认证第一关,如

42、果不符合要求就要进行相应安全的修补,包括针对安全策略进行检查,进行补丁的下载,进行强制杀毒安全权限的补任,修补之后又进行安全检查,这样形成一体的循环。只有被信任之后才能使用这个业务系统,这是我们所说的对终端安全管理的基本概念。解决的问题如下：1、身份识别问题(l)通过规范标准要求所有计算机终端必须设置开机密码验证,开机后直接输入管理员密码即可进行认证登陆。避免通过计算机终端非法侵入公司网络。（2）)通过增加公司安全域,所有人员都有相应的域帐号和密码,即使部分电脑的密码公开,供多人使用。存在同一电脑终端上不同员工的资料信息流失。另一方面由于未实行区域网络隔离,就有可能造成敏感区域的资料外泄。(3

43、)通过隔离内部各业务区域网络,供应商等其他外部电脑终端在公司内部办公区使用时必须通过系统认证后才能接入相应权限的区域网络。避免了外部终端带病毒的风险,同时也避免了内部资料的外泄的问题。2、系统补丁、病毒软件管理问题(1)病毒软件实行统一管理,实时进行病毒定义文件的在线更新。从而解决以前需人工到服务器上下载最新版本手工更新不及时的问题。(2)通过对未安装系统补丁的计算机终端的强制隔离,来确保接入公司网络的计算机终端的操作系统是最强大的,减少因系统漏洞造成病毒感染或扩散的风险。(3)日志记录功能,能够将违规计算机终端信息记录并发送到相关负责人处,从而使违规人员的行为能够得到有效的监管。(4)终端策

44、略强制系统将补丁检查、隔离危险机器、杀毒等一系列功能结合起来,因此能够最大程度避免因病毒而造成的系统、网络瘫痪。(5)防范未知的病毒感染。通过对客户端机器进行检查,强制执行企业的安全策略,可以要求计算机终端及时安装补丁,防范未知病毒。(6)有效隔离被病毒感染的计算机终端。对于某些移动计算机终端在外部感染病毒的情况,本系统可以通过网络接入服务器进行有效的隔离,不会被蠕虫绕过或者破坏,有效防止蠕虫病毒进一步扩大感染范围(7)有效清除病毒。通过强制病毒查杀和补丁安装,可以有效清除病毒,防止多次重复感染。3、终端接入问题(1)通过帐号权限管理和业务网络隔离,不同业务的人员不能跨区访问非相关业务网络和服

45、务器,减少资料外泄问题。(2)通过在信息安全标准中定义符合公司信息安全要求的标准软件,非标准软件将在接入认证过程中被识别出来,从而禁止或限制该安装了非标准软件的计算机终端接入内部网络。(3)取消外部FTP方式,减少感染病毒风险,避免信息泄漏。(4)在外部互联网通过VPN认证后,还需要通过终端策略强制系统的认证才能登陆公司内部网络。并且需要向专门的帐号安全管理部门申请动态口令才能登陆相应的交换机进行配置维护。(5)设立专门的帐号安全管理部门,集中加强各种帐号权限的管理。避免以往帐号权限的管理分散到多个系统管理员处,减少信息安全风险。(6)严禁使用USB接口,并对USB接口的使用情况实行自动检测,

46、并生成日志记录，减少电子文件资料的外泄。结论随着我国经济的快速发展和企业信息化水平的不断提高,计算机终端信息安全管理被越来越多的企业在规划企业战略目标时,将其上升到企业战略的高度来考虑。如何有效的做好计算机终端信息安全管理是关系到企业生存和发展的关键和基础。本文首先分析了我国目前终端信息安全管理的现状,指出了我国终端信息安全管理规范标准的建立和完善势在必行。通过研究讨论得出一些结论：首先,我国企业计算机终端安全管理目前存在较多的问题,由于我国信息技术的起步相对较晚,导致我国自主的各种终端安全管理和病毒防护软件功能不强、预防和治理效率地下、病毒感染和扩散严重、企业资料外泄严重,这就迫切需要我们引

47、入先进的终端安全管理体系和终端安全管理软件来有效的管理企业计算机终端以及企业网络,实践证明公司自主开发的终端安全策略强制系统具有较为广泛的推广和运用前景。并且终端安全策略强制系统的实现模型也值得相关企业借鉴。第二,清晰、明确的终端信息安全管理体系结构,能够在战略、战术、运作等不同层面给予终端信息安全工作的开展给予支持和指导。一个企业要想做好终端信息安全管理工作,是需要这样一个管理体系的。这一点公司的终端安全管理体系是可以值得参考借鉴的。其次,对于不符合安全策略的计算机终端,应该进行友好的隔离和给出修正指引提示。便于计算机终端用户能够有针对性的便捷的进行终端安全信息的修正,同时确保网络环境的洁净

48、,降低安全风险。在友好隔离危险终端的同时,也确保了企业网络的安全。最后,终端安全防护软件功能的可扩充性是强大完善的,可以灵活适应安全防护软件发展的方向,增加相应的需求功能模块。参考文献1 朱晓欢,黄水清. 信息安全管理领域研究现状的统计分析与评价现代情报Modern Inforlnation.2 杨永川,李冬静.信息安全.清华大学、中国人民公安大学出版社.3 孟为民.重视信息安全学科体系的建设J;情报杂志;2001年05期;46-48.4 王东霞,赵刚.安全体系结构与安全标准体系J;计算机工程与应用;2005年08期;152-155.5 蒋春芳,岳超源,陈太一.信息系统安全体系结构的有关问题研究J;计算机工程与应用:2004年01期:138-140+219.6 沈昌祥.基于积极防御的安全保障框架J;中国信息导报;2003年10期.7 赵建屏.信息安全问题初探