大型企業計算機終端安全管理現狀與策略分析

黃 俊

（廣西廣播電視信息網絡股份有限公司河池分公司，廣西河池547000）

1 大型企業計算機終端安全管理現狀

1.1 身份識別

1.1.1 個人電腦口令設置

未要求設置無開機密碼和硬盤口令驗證，開機后只要直接輸入正確的管理員用戶名和密碼即可進行認證登陸電腦，接入公司網絡。 用戶名和密碼可以是普通用戶權限， 不要求一定用管理員帳號密碼登錄。

1.1.2 公用電腦口令設置

部分電腦是部門級的公用電腦，用于存放部門的公共資料或公用的數據信息等。 對于這類電腦的用戶名和密碼一般都是公開的，也沒有設置相應的責任人， 只要輸入相應的用戶名和密碼即可登錄電腦，接入公司網絡，訪問公司資源，也可以隨意從公司的相關服務器拷貝資料等。

1.1.3 供應商等其他外部電腦終端在公司內部辦公區可直接接入內部網絡使用

任何一臺正常工作的電腦，只要帶到公司連接上網線即可接入內部網絡，訪問和使用公司的資源，當然也可以拷貝一些內部資料到其電腦上。

1.2 終端接入

在內網，通過域認證加入域后，不管域用戶是不是管理員帳號，終端將自動接入公司網絡。在外網，在計算機終端未關機的狀態下，通過安裝的遠程終端控制軟件即可接入控制內部計算機終端。公司內部辦公區域網絡未做隔離，公共區域的終端可以直接訪問敏感區域的服務器。流氓軟件肆意流傳，嚴重影響網絡安全，導致病毒傳播或者數據丟失事件時有發生。

1.3 補丁安全、防病毒技術

操作系統的安全漏洞又非常多，微軟公司會通過定期發布安全補丁的方式來彌補這些漏洞，但由于端終用戶缺乏相關知識，導致補丁安裝的不完全，不及時，這就會嚴重影響終端計算機的安全，從而導致更嚴重的整個內網安全問題。對內部終端接入外部互聯網的權限控制不嚴格，造成內部終端感染病毒類型多，無法有效管理和控制。經常造成網絡故障，影響正常辦公和企業單位信息安全，漏洞數量居高不下。

1.4 終端信息安全管理體系

終端信息安全管理相關規范制度缺乏，且難以有效實施。 整個管理體系，僅有一些管理的規章制度，并且這些制度僅僅是停留在紙面上。 由于信息安全管理體系中沒有明確的組織架構，導致終端信息安全的重要性體現不足。相關管理人員沒有有效的權利推行相關制度和監管制度的執行情況。 類似場景的違規事件，在不同的部門判定的違規等級以及類型經常都不一致，導致員工認可度不高。

2 大型企業計算機終端安全管理策略

2.1 終端安全管理的理論

企業單位要更多考慮端到端的架構，安全永遠是三分技術七分管理，在制定了安全策略和安全制度后，更要考慮的是，如何能保證安全策略的貫徹執行?比如說一些公司在管理制度上要求所有員工必須及時打補丁、不允許安裝IM 軟件，但是如果員工不執行公司的策略，這個安全策略就是一紙空文。

公司的網絡安全理念基于二點：首先，我們倡導從源頭控制，網絡的大部分不安全因素來自終端，終端通過一些非法的軟件、移動介質引入了很多安全風險，所以對終端的源頭控制，是保障網絡安全最重要的支撐；其次，是對業務系統的健壯性的加強，包括漏洞掃描，業務評估，建立安全基線和主機加固。

怎么實現風險的統一收集分析、管理和規避，這在整個安全體系中是最重要的工作。通過這個理念來實現端到端，從源頭到業務系統，乃至整個網絡的安全防護一體化。

2.2 終端安全策略分析

如何降低終端對網絡及系統構成的威脅，要對終端進行相應的身份認證和安全檢查，實現一體化的防護，所有終端在進入網絡之前要到安全策略服務器上認證和安全策略檢查，通過之后才準許終端系統訪問相應的業務系統，這作為整個安全認證第一關，如果不符合要求就要進行相應安全的修補，包括針對安全策略進行檢查，進行補丁的下載，進行強制殺毒安全權限的補任，修補之后又進行安全檢查，這樣形成一體的循環。 終端安全管理主要包含以下模塊：

2.2.1 網絡接入控制模塊

傳統上來講， 在企業單位中終端接入網絡是沒有任何控制的，在終端接入網絡后，在網絡層是可以訪問任何網絡中的主機。 這樣的話就帶來了很大的風險，然而，根據工作相關原則和最小權限原則，網絡接入控制可以實現以下功能：

1）終端在接入網絡之前必須經過身份認證；

2）終端在身份認證后根據相應的權限確保只能訪問相應的系統，比如市場的員工如無工作需要不能訪問財務系統的網絡；

3）終端在接入網絡后可以進行限流，確保這個終端在中了病毒以后，不會影響網絡和網絡中的其他設備；

4）對于沒有合法身份的終端進行強制隔離，不允許接入公司的網絡。

2.2.2 終端策略強制模塊

終端策略強制模塊是安全管理通過技術手段貫徹執行的具體體現， 只有符合公司策略的終端才能接入網絡。 企業單位可以根據自身特點定制安全策略， 通過策略強制來確保所有終端執行公司的策略，否則強制隔離。

2.2.3 終端行為審計模塊

終端行為審計模塊可以幫助公司安全人員對安全策略的執行情況進行檢查分析，用戶也可以通過工具進行自檢。

1）用戶可以自助檢查終端是否符合公司的策略，如果不符合，可以按照提示先行修復；

2）審計員可以通過工具下載審計任務， 自動檢查出不符合公司策略的終端；3）審計員可以監控終端的可疑行為，如使用USB 硬盤等；4）可以方便公司進行資產管理。

2.3 終端安全管理體系建設

2.3.1 在戰略層面公司高層對信息安全的重要性進行了重新審視和達成共識。 并下發公司級文件，向全公司全體員工明確計算機終端信息安全的重要性，以及相應的管理制度。

2.3.2 在戰術層面落實具體公司計算機終端信息安全標準、安裝操作指引、審計指引等。便于在統一的標準平臺下，實施系統的自動統一管理。

2.3.3 在執行層面，每個三級部門設立信息安全專員，按相關規范要求在本部門內負責開展相關信息安全工作，并作為信息安全責任人對部門的信息安全考核結果負責。將信息安全管理工作的執行效果以及違規情況納入所有員工的績效考核，將信息安全與員工切身利益相關的績效考核聯系起來，提供了員工對信息安全重要性的認識。

2.3.4 將信息安全管理制度、標準和相應的系統工具的使用方法作為專門的課程，以面授、網絡自學、宣傳郵件等形式對員工進行培訓。 確保所有員工能夠在信息安全方面有充分的認識。

公司通過使用安全方針策略、安全目標、審核結果、對監控事件的分析、糾正和預防行動和管理評審的信息來糾正和預防與終端信息安全管理體系要求不相符合之處，以持續改進終端信息安全管理體系的有效性。

3 結語

要提高企業單位終端安全，就應該放棄對某些防護技術單一的依賴心理，而將企業單位的具體業務情況和業務環境相結合，制定出以安全策略為核心的解決方案，才能最終長期有效地保護企業單位信息資產的安全可用。 終端信息安全管理是一個持續優化的過程，后續需要進一步的研究和優化終端信息安全管理體系和工具。

［1］陳衛平.淺析終端安全管理系統的建設[J].現代電視技術，2011（10）.

［2］盧海勤.終端安全防護技術及體系架構部署模式[J].中國金融電腦，2012（10）.

［3］張桂紅.終端安全管理系統設計與實現[J].電腦知識與技術，2009（18）.