计算机安全保护论文：计算机终端安全保护与安全政务终端.doc

计算机安全保护论文：计算机终端安全保护与安全政务终端摘要：计算机终端作为电子政务中承载着信息处理、存储 和传输等工作的最基木单元，确保其安全性已成为电了政务 信息安全保障工作中的重要环节本文按照信息系统等级保 护体系对计算机终端安全保护的要求，重点提出了在科学有 效地部署计算机终端安全防护体系中应注意的问题，以及对 应的措施关键词：等级保护；电子政务；终端安全0引言计算机终端，作为电子政务的最基本单元，承载着信息 加工、处理、存储和传输等重要工作，其安全性涉及系统安 全、数据安全、网络安全等各个方面，但是，政府办公网络, 计算机终端数量众多，终端安全管理难度很大，终端安全业 已成为电子政务信息安全保障工作中的薄弱环节，计算机终 端安全也是等级保护体系中安全建设的重要部分，因此，研 究如何在等级保护环境下科学有效部署计算机终端安全防 护体系，是当前电子政务信息安全保障工作中迫在眉睫的任 务1政务终端的威胁现状冃前，电子政务系统的终端威胁主要来源于以下几个方 面：1）缺乏终端网络准入机制：有些计算机终端未经任何 身份认证和安全认证，就可以随意接入网络，访问网络和计 算机的资源，对整个网络和应用造成很大的安全威胁。

[1]2） 系统漏洞的广泛存在：包括操作系统、浏览器、办公软件以 及媒体播放器等常用软件的漏洞广泛存在如果漏洞补丁安 装不完全、不及时，将给病毒、木马、恶意软件等入侵系统 造成可乘之机3）木马、病毒等恶意软件的攻击手段层出 不穷：木马、病毒等恶意软件的入侵和传播已趋向网络化 蠕虫、后门、恶意代码、垃圾邮件、流氓软件、间谍软件、 广告程序、U盘病毒、网络仿冒、网页挂马等时刻威胁终端 的系统和信息安全4）用户缺乏安全知识：有些用户缺乏 必要的信息安全知识，未能及时采取合适的安全防护措施保 护终端，如安全配置不正确、系统补丁安装不完全、不及时, 防病毒软件及其他常用软件未及时升级等有些用户安全意 识淡薄，在非涉密终端上处理涉密或敏感信息，直接导致涉 密或敏感信息泄密2等级保护体系中对于计算机终端安全保护的目标与要 求在等级保护的相关国家标准中，从信息系统安全保护等 级的角度对终端计算机系统进行了五个安全等级的划分在 身份鉴别（认证）、访问控制、数据加密、病毒防护、系统 加固、安全审计等方面，其针对各安全级别计算机终端保护 都提出了清晰的安全目标与基本要求简单总结来看，对于 计算机终端安全保护的安全目标基本可概括为能够监测和 分析终端安全状态，可以控制和记录终端的操作行为，统一 配置终端安全策略，以使终端“可信、可控、可管、可用”, 保护终端正常、安全地运行。

从基本要求來看，对计算机终 端安全保护提出了技术和管理两方面的基本要求，组织机构 在实施等级保护工作时可根据相关国家标准来完善各等级 信息系统的计算机终端安全保护措施3基于等级保护部署计算机终端安全防护体系终端安全防护是一个复杂的问题，通常一个组织中的终 端地理位置分散，用户水平参差不齐，承载业务不同，安全 需求各异，这就决定了终端安全建设的复杂性和多元性，要 根据终端用户的接入位置、所属部门、业务需要等条件来选 择和执行适当的安全防护策略，既不能搞一刀切，也不能对 用户放任自流，缺乏控管终端安全防护要符合安全等级保 护的要求，根据不同的安全等级保护的要求制定切合实际的 终端安全防护策略按照安全等级保护的基本思想和技术要 求，要做到科学有效的部署计算机终端安全防护体系，我们 认为应有如下几个方面值得注意：3.1身份认证、接入控制身份认证是终端安全的“大门”, 进入“大门”就可以获得终端计算机系统的资源用户身份 认证是对使用终端的人员进行身份鉴别，只有指定的人员才 能使用终端，并接受系统的监管，实现授权操作终端网络 准入控制是指设置准入的安全策略对接入设备进行验证，根 据终端安全性检查结果，确定终端接入方式。

非授权用户接 入网络需要身份认证，在用户身份认证时，可绑定用户接入 IP、MAC、接入设备IP、端口等信息，进行强身份认证，防 止账号盗用、限定账号所使用的终端，认证成功但安全性检 查没通过的终端，放入隔离区自动引导其完成主机完整性修 复；认证和安全性检查全部通过的终端计算机才能接入内部 网络3.2访问控制对有权访问网络的终端根据其账户身份定 义的安全等级进行检查和访问控制，不安全的终端被隔离在 修复区中，待修复完成后方可访问其有权访问的区域；其次, 要对访问控制做到细致控制，如果只控制能否访问网络就太 过粗放，真正的访问控制是要做到能根据账号享有的权限严 格控制其的访问范围，将内部核心数据资源划分为不同的安 全等级，根据账号的不同权限控制其可访问的不同的安全等 级范围内的资源例如：核心的业务资源信息、高级机密信 息等列在敏感信息的等级中，严格控制可访问其的终端和账 号；而邮件服务器和普通文件服务器可划分在安全等级较低 的范围内，供更多的人使用3.3数据加密数据安全越来越受到重视，特别是政府、 公安、保密等部门来说，内部数据安全是亟待解决的重要问 题一些电脑外带使用丢失或被盗后，重要数据被盗取造成 泄密，内部无读取权限的员工有意或无意打开敏感数据等给 内网数据安全带来极大挑战。

目前，应对数据存储安全的主 要策略是数据加密技术，采用软件加密或者硬件加密技术， 可以确保计算机硬盘数据的密文存储，杜绝因数据窃取、硬 盘更换、丢失等造成的数据泄密[2]3.4系统加固、病毒防范要确保终端系统软件安全，对 受控的终端进行基线安全检查，对不满足基线安全要求的终 端通过终端安全管理系统和补丁管理系统、防病毒系统联 动，及时向终端分发经过安全测评的漏洞补丁和更新、升级 病毒库和恶意代码库；制定安全威胁扫描策略，定期扫描和 清除病毒、木马、后门、间谍软件、网页挂马、网络钓鱼软 件等恶意软件不安装未经第三方安全测试的可疑补丁、插 件、更新程序和其他工具软件，防止终端自身存在安全漏洞 被木马、病毒利用3.5安全策略安全策略是终端安全防护体系建设的核心, 所有的终端安全防护建设都应该围绕预先制定的安全策略 来执行对于终端的安全策略应包括以下内容：1)操作系 统的安全策略例如密码策略、账号策略、本地策略、软件 策略、服务策略、外设策略、审核策略、屏保策略、匿名访 问限制、建立拨号连接限制等等这些安全配置的正确应用 对于各种软件系统自身的安全防护具有重要作用操作系统 安全策略可由第三方安全产品或操作系统本身强制执行。

2) 分配用户权限针对不同组织机构的具体情况，严格分配和 授权终端用户的使用权限如网络访问权限，系统访问权限、 授权用户的使用资源3）互联网访问策略一项分析统计 报告表明，很多政务终端感染病毒或流氓软件，均源于恶意 网站和P2P的海量下载如果不对终端用户访问互联网加以 控制，各种防护措施将不能有效地防范所有攻击4）制定 外来人员访问策略，严格控制和管理外来终端的接入和访问 权限对外来终端实施准入控制，可采用先进的网络准入控 制软件，严格限制未经授权的终端接入内部网络，避免由此 造成的安全隐患终端准入控制技术是指在端点连接到网络 之前对其安全状态进行审计和适度更新，从而将蠕虫和病毒 屏蔽在网络之外3.6终端行为审计终端上网行为的审计作为一种技术手 段，对于防止用户进行非法访问及事后追踪、审计是十分必 要的主要包括以下内容：1）上网访问行为审计和控制： 可对用户上网访问的网页等进行审计和记录；以黑口名单的 方式对用户的网页访问行为进行控制2）文件保护及审计: 保护和监控选泄用户终端的指泄目录和网络共享文件的读 取、修改、删除权限；对设定目录文件的操作进行审计，包 括文件创建、打印、读写、复制、改名、删除、移动等的记 录。

3）网络文件输出审计：对主机通过共享文件等方式进 行的网络文件输出行为进行审计和记录4）用户权限审计: 审计用户权限更改及操作系统内用户增加和删除以上绝大 多数安全策略和审计都可以通过相应的软件和硬件来完成， 所以选择性能强大的能够满足本单位安全策略和审计要求 的软件和硬件至关重要首先是功能强大和全面，这样才能 满足终端安全的当前和未来的需求在选择软硬件时，一定 要重视其综合管理能力，不要只是放在某个具体功能上面 另外，具有自主知识产权的国产产品是首选的产品领导重 视和功能强大全面的软硬件的选择，两者缺一不可如果只 是强调软便件的强大，那么就有可能购买以后，置之高阁或 者无法正常使用必须首先取得领导对本单位终端安全策略 的重视，对信息部门实施的安全策略的首肯，并且同意坚决 地贯彻实施，那么购买的安全软硬件才可以充分发挥其应有 的作用还有一点要特别注意的是：本单位或本系统最好购 买同一的软硬件安全产品，这样才有助于安全策略的部署和 实施，才可以防止不同软硬件之间的冲突和不兼容性问题， 这些问题的发生有时候是很不容易解决的，或者解决起来会 增加很多成本和时间，还会给本单位的安全管理带来不必要 的麻烦。

因此，不要急于购买软硬件的产品，应该首先取得 主要领导对于终端安全管理的重视；其次，根据领导的要求, 信息部门制定完善的终端安全管理的策略；在领导和信息等 部门对等级保护下的终端安全有了深思熟虑的认识和要求 后，最后才是采购相应的软硬件产品[3]4结束语信息安全等级保护制度是国家信息安全保障工作的基 本制度，经过十多年的成长已经成为一个广泛接受的概念 相关的政策规范及配套标准已推出，系统定级工作也已全面 开展通过相关政策规范及配套标准的指导，组织机构在实 施信息安全建设工作时可保证安全建设的合规性与有效性， 保障信息系统应用在电子政务终端防护系统建设方面，应 采取技术与管理并重策略，以相关政策规范和配套标准为指 导的理论依据，以科学有效的技术和管理手段为实施原则， 为信息系统建立遵循等级保护思路的电子政务终端防护技 术⑷参考文献：[1] 衡静•终端安全防范迫在眉睫[J].金融电子化，2007, 3:53-54.[2] 周德铭•落实安全等级保护增强信息系统安全[J]•信息 网络安全，2009, 5： 7, 16.[3] GA/T 671-2006信息安全技术终端计算机系统安全等 级技术要求[S].[4] GBT22239-2008_信息安全技术—信息系统安全等级保护基本要求[S].。