摘要:互联网中,终端计算机是源头,也是终点。随着信息网络技术建设的发展,终端计算机安全防护越来越重要。如何推进终端计算机安全建设,夯筑底层安全体系,是当今企业面临的问题,也是业界研究的方向。本文从终端计算机自身系统、运行环境、管理方面探讨在企业里如何建设、健全终端计算机安全防护体系,完善终端计算机安全防护体系建设。
关键词:信息安全;终端计算机安全防护体系。
第一章 引 言
2014年9月,据国家互联网应急中心(CNCERT/CC)公布的数据,境内平均每周感染病毒主机50万以上,被篡改网站5000个以上,被植入后门网站在500以上,同时有大量信息安全漏洞和网络病毒家族产生。以上信息无一不和终端计算机相关,说明终端计算机安全就是互联网信息安全的堡垒。如果终端计算机可防护、可检测、可控制、可审计,有抵御安全威胁的能力,能降低计算机病毒和木马发生几率,不仅加强了企业内部网络安全,也为整个互联网环境提供安全防护功能。
第二章 自身系统安全
自身系统安全在终端计算机安全防护体系中特别重要。没有自身安全,其他无从谈起。自身安全涉及多方面多层次问题,其中操作系统及配置、桌面安全软件非常重要。
2.1操作系统及配置
首先鼓励并引导用户使用正版操作系统及软件,通过完整的补丁更新,减少计算机系统漏洞和安全隐患;其次企业可制定计算机操作系统安全基线配置标准,如帐号密码策略、端口使用、非法外联、共享、磁盘分区等进行规范,通过操作系统及配置等从基础上可加固操作系统防护能力,有效抵制网络病毒及黑客攻击,减少终端计算机运行风险。
2.2桌面安全软件
企业按照分级部署网络版杀毒及管理软件等终端计算机安全软件,做到每台计算机可管理可控制,并掌握整体终端计算机安全动态。通过桌面安全软件部署,保证病毒定义码和补丁更新,也可自动分发企业定制的安全策略,如安全基线设置、违规接入审计、系统补丁等,保证企业信息安全政策连贯执行,达到统一标准。
第三章 运行环境安全
在终端计算机安全防护体系建设中,运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境,在网络环境中给终端计算机加几把锁,把握其方向轨迹和动态。
3.1 IP地址固定
在网络中,IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法,技术上在网络设备里通过DHCP Snooping和ACL列表,实现IP和MAC地址绑定。
3.2 控制上互联网计算机
因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度,技术上实施是在IP地址固定前提下,在网络设备通过访问控制列表ACL来或者互联网出口安全设备里进行配置。
3.3 部署准入设备
为保证网络安全,在网络边界或内部部署准入设备,设立终端计算机入网规则,如必须安装企业桌面安全软件和配置安全基线等等,通过进程检测合规后入网或可访问关键业务。
3.4部署内容审计系统
在互联网出口边界部署内容审计系统,在线对终端计算机访问互联网的行为进行2到7层的识别,可进行关键字的设置过滤、URL过滤,对于计算机的互联网行为做到可控制可管理可审计,以保证网络信息的安全。
3.5部署代理服务器
为保证终端计算机上网安全,一般建议在互联网出口设置代理服务器,用户通过代理服务器访问互联网。通过代理服务器访问互联网可以提高访问速度、方便对用户行为进行管理和审计,起到防火墙作用,保护局域网安全。
第三章 安全管理
三分技术七分管理,是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中,技术操作都是通过管理来实施的,因此形成一套安全管理机制并始终贯彻运行,是十分重要的。
4.1 建立终端计算机管理制度
建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施和,如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度,通过建立健全这些制度,形成信息化考核机制,使得终端计算机安全工作有章可循。
4.2提高计算机安全管理力度和深度
在企业计算机安全管理管理中,管理人员首先要提高各级领导和员工网络安全重视程度,其次定期通过各种手段完成终端计算机安全检查工作,如通过桌面安全系统、审计系统检查计算机违规行为,根据规定实施处罚等,最后安全管理人员要主动识别和评估安全风险,制定和落实安全整改措施,确保终端计算机持续安全稳定运行。
4.3 建设完整的计算机实名库
通过建设终端计算机实名库,掌握计算机管理动态,实现计算机资产管理,给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等,通过从而完成终端计算机实名库的建设。
4.4 建立网络建设标准
通过网络建设标准的建立,保障终端计算机安全运行环境,也加强了桌面安全防护体系在网络体系建设中的作用。
4.5 建设一支过硬的信息化队伍
在企业中,建立信息安全组织架构、明确组织责任、设置相应岗位,建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。
结束语
终端计算机安全防护体系建设是网络安全体系的一部分,它是一个长期的、系统的、复杂的建设,往往伴随着互联网信息安全变化、企业信息发展变化而不断调整。在企业里必须推进终端计算机安全防护体系建设,保证终端计算机在网上安全、高速、稳定地运行,提升信息安全堡垒的作用,保障互联网安全运行。
参考文献:
参考文献: [1]潘玉洵.桌面安全管理技术现状及发展趋势[J].信息安全技术2010(6)
[2]孙海.医院桌面终端信息安全管理思考[J].现代意义2011(5)
[3]焦新胜.计算机网络信息和网络安全及防护策略的探讨.[J].科技传播2013(1)
个人介绍:
廖正湘,1996年毕业于中国石油大学(华东)自动化系,现为吐哈油田公司信息中心高级主管、工程师。当前主要负责油田公司网络管理和网络安全。从事通信、信息网络技术19年,先后参与油田通信系统建设、吐哈油田骨干网络系统运维、吐哈油田骨干网改造、吐哈油田网络安全建设、桌面安全及安全域配套建设等局级信息网络项目,在信息运维和技术管理方面积累了大量的经验。
段振兴,2007年毕业于成都理工大学信息管理专业,现为吐哈油田公司信息中心工程师。现从事门户管理工作。参与过油田档案系统的开发与部署工作、门户系统的升级工作以及公司主页的改版工作,在系统管理及网站开发、网页制作方面积累了丰富的经验。
