劉啟明

(蘇州工業(yè)園區(qū)職業(yè)技術學院 信息工程系，江蘇 蘇州 215123)

計算機終端安全管理策略分析

劉啟明

(蘇州工業(yè)園區(qū)職業(yè)技術學院 信息工程系，江蘇 蘇州 215123)

在現(xiàn)代企業(yè)中，因組織內(nèi)部的計算機沒有很好地管理和保護相關的數(shù)據(jù)，給企業(yè)造成了一定的損失。通過具體分析計算機終端的安全威脅，探討并提出有關計算機終端安全管理策略。

計算機終端安全；管理策略；應用

網(wǎng)絡的快速發(fā)展帶給人們便利的同時，安全管理出現(xiàn)的問題也給人們造成了無法估量的損失。近幾年，無論是政府還是企業(yè)都面臨著嚴重的計算機終端安全問題。終端計算機具有分散性的特點，目前整體的管理手段和措施較為落后，加強計算機終端安全管理工作刻不容緩。

1 計算機終端安全威脅分析

計算機終端安全威脅包括很多方面，但是總的來說可以將計算機終端安全威脅分成自然威脅和人為威脅。而人為威脅又包括惡意的行為和非惡意的行為。計算機終端威脅中的非惡意行為是指在企業(yè)中，有的員工或者客戶由于不正確的計算機操作，缺乏使用計算機應用的安全防范意識，給計算機終端帶來了安全威脅[1]。惡意行為則是指某些員工出于報復的心理，或者為了自己的利益而對公司的計算機進行惡意操作，破壞公司計算機中的重要數(shù)據(jù)信息，威脅著企業(yè)的安全。

造成計算機終端安全威脅的另一個原因就是系統(tǒng)存在漏洞。這些漏洞包括軟件、硬件、程序缺點或者配置不當?shù)?。在計算機系統(tǒng)中，如果存在安全漏洞，黑客就可能侵入系統(tǒng)，從而竊取企業(yè)的重要信息。

最后一種安全威脅就是惡意代碼，惡意代碼會威脅到計算機終端系統(tǒng)中數(shù)據(jù)的安全性、完整性和秘密性[2]。惡意代碼可以詳細分為三種：①病毒。病毒屬于計算機程序，當一臺計算機終端被病毒入侵的時候，它就會在沒有計算機主人的允許下對程序中的內(nèi)容進行自動的復制粘貼。計算機病毒有許多特點，這些特點包括篡改或者移動文件，這兩個特點所造成的危害較小，有的病毒給計算機終端帶來的危害相當大，例如損壞文件的分配表格，從而造成企業(yè)的網(wǎng)絡癱瘓和經(jīng)濟損失。②蠕蟲。在沒有別人允許的情況下，蠕蟲可以把自己復制到網(wǎng)絡節(jié)點上，它也屬于計算機程序[3]。蠕蟲主要是將一部分復制到別人的計算機上，導致計算機終端的很多內(nèi)存空間被占用，延長了計算機終端內(nèi)存空間的解決時間，導致企業(yè)的計算機全部死機，嚴重影響了員工工作效率的提高[4]。③特洛伊木馬。特洛伊木馬也是屬于計算機程序中的一種，它隱藏在程序里面，并且會偽裝成合法的程序，然后自主地操作計算機?？偟膩碚f，惡意代碼給計算機終端帶來了很大的威脅，企業(yè)應當加以重視，及時地采取安全應對措施解決問題，例如企業(yè)可以通過殺毒軟件的安裝運行、病毒庫的及時更新等措施防范病毒，提高企業(yè)內(nèi)部計算機終端的安全性。

2 與安全管理相關技術

2.1 訪問控制技術

訪問控制技術在保證網(wǎng)絡資源的安全使用上扮演著重要的角色[5]，這種技術主要是確保資源的合法使用，其涉及范圍較廣。

1) 入網(wǎng)訪問控制決定了能登錄服務器的人員權限以及確切的入網(wǎng)時間。賬戶與口令認證是幫助其識別過程的兩個途徑。

2) 權限控制能減少非法的操作，權限的級別也是因人而異的。權限控制可以控制訪問范圍或者具體的資源操作性。

3) 目錄及文件屬性控制是進一步確保信息安全的技術，能夠控制用戶訪問目錄或者文件等，屬性控制還可以防止誤操作而帶來的信息損失。

2.2 VPN技術

VPN技術能夠仿真點到點的專線，在確保數(shù)據(jù)安全完整上具有重大作用。VPN氛圍企業(yè)內(nèi)部虛擬網(wǎng)、遠程訪問虛擬網(wǎng)以及企業(yè)擴展虛擬網(wǎng)三類。VPN技術移動辦公示意圖如圖1所示。

2.3 防病毒技術

計算機病毒所能造成的危害性難以估量，提高防病毒技術，做好終端防護的工作刻不容緩。預防病毒技術具有優(yōu)先控制權，能夠及時監(jiān)視和組織病毒，以防病毒破壞。檢測病毒技術主要進行病毒判斷工作，清除病毒技術則能夠做到恢復源文件的同時還有效處理病毒。

圖1 VPN技術移動辦公示意圖

3 計算機終端安全策略分析

1) 限制惡意代碼策略。惡意代碼會對終端帶來巨大的威脅。為了保障終端安全必須做好限制惡意代碼通信、限制惡意代碼運行以及限制惡意代碼進入系統(tǒng)三個內(nèi)容。盡最大努力阻止惡意代碼的危害，可以有以下兩種配置策略：①基于主機的防火墻策略。 Windows內(nèi)置防火墻能夠有效防止外來網(wǎng)絡攻擊以及嘗試性連接行為。除此之外還可以通過安全日志來分析故障，以達到阻止惡意代碼入侵的目的。②軟件限制策略實際上是對計算機運行的一個控制過程，它主要有四種方法區(qū)分文件，分別是哈希規(guī)則、證書規(guī)則、路徑規(guī)則與網(wǎng)絡區(qū)域規(guī)則。多使用軟件限制策略可以有效保護客戶端。另外，針對服務器，最好先限制所有文件，再結合路徑規(guī)則與哈希規(guī)則進程操作；而普通的終端則要周全考慮具體所采用的策略。

2) 終端賬戶配置策略主要有四個方面的內(nèi)容，更改或禁用Administrator賬戶名，禁用本機Guest號，實施用戶密碼安全策略和終端禁止其他用戶的登錄。

3) 終端網(wǎng)絡配置策略包括了網(wǎng)絡訪問與默認共享，終端計算機需要關閉默認共享，以減少被侵害的可能性。

4) 終端軟件配置策略包括防病毒、系統(tǒng)服務、補丁更新、終端遠程協(xié)助配置策略以及終端遠程桌面配置策略五個要素[6]。終端計算機操作系統(tǒng)要及時做好補丁的更新，以防漏洞給使用者帶來不必要的損失。同時，終端計算機要關閉沒有需要的服務，以及及時安裝和更新殺毒軟件。

4 計算機終端安全管理框架研究

4.1 總體架構

為了盡可能地降低企業(yè)的人力、物力、財力的投入，確保企業(yè)的信息安全和發(fā)展，企業(yè)有必要架構計算機終端安全管理的框架。企業(yè)網(wǎng)終端管理主要采取技術手段和管理手段，通過一個好的架構規(guī)劃和行政手段的輔助，為企業(yè)發(fā)展保駕護航。F5BIG-IP應用安全管理器示意圖如圖2所示。

4.2 終端支持管理平臺

終端管理平臺既能實現(xiàn)安全管理，又能支撐基礎網(wǎng)絡及服務。通過這個平臺，管理員除了可以完成常見工作內(nèi)容外，還可以高效展開故障告警、系統(tǒng)的管理等工作。終端支持管理平臺在實現(xiàn)其余安全系統(tǒng)或者安全體系的接口方面有著重要作用。網(wǎng)絡安全備份系統(tǒng)示意圖如圖3所示。

圖2 F5BIG-IP應用安全管理器示意圖

圖3 網(wǎng)絡安全備份系統(tǒng)示意圖

5 計算機終端安全管理實現(xiàn)的基本功能和目標

實時掌控計算機運行，及時對計算機的使用情況進行監(jiān)控，是局域網(wǎng)管理者的基本要求。被控端安全管理策略必須要具有三個基本功能，分別是對監(jiān)控端信息的處理功能、傳送本機信息的功能以及對計算機系統(tǒng)的監(jiān)控功能。

計算機終端安全管理主要是大批量解決安全問題，實現(xiàn)安全管理為目標，具體目標為：①通過計算機終端安全管理保證企事業(yè)單位內(nèi)網(wǎng)的安全可控，防止非法操作和非法控制行為的出現(xiàn)。這是終端安全管理的核心所在。②實施動態(tài)評估、實時監(jiān)控計算機的安全狀態(tài)，確保計算機的狀態(tài)符合管理要求。③通過安全管理實施對計算機有效批量管理任務。④在終端計算機陷入安全管理困境時，及時解決問題，保證快速定位和監(jiān)控實效性。⑤做好接入網(wǎng)的資產(chǎn)管控工作，對發(fā)現(xiàn)的問題及時自動跟進，做好防控工作。⑥維護好終端計算機系統(tǒng)安全，嚴格控制非法軟件接入，以減少計算機被侵幾率。

計算機病毒傳播對人們的正常生活和工作帶來巨大的威脅，這對終端管理人員提出了較高的要求。尤其是隨著計算機終端設備的使用率越來越高，終端管理者在未來的工作中還需要不斷加強專業(yè)素養(yǎng)，有效控制計算機病毒，確保網(wǎng)絡的安全和穩(wěn)定。

[1] 張棟，劉曉輝.網(wǎng)絡安全管理實踐[M].北京：電子工業(yè)出版社，2014.

[2] 黃中砥，張召賢，周飛菲.組網(wǎng)技術與網(wǎng)絡管理[M].北京：清華大學出版社，2013.

[3] 劉遠生.計算機網(wǎng)絡安全[M].北京：清華大學出版社， 2015.

[4] 高海英.VPN技術[M].北京： 機械工業(yè)出版社， 2014.

[5] 孫強，陳偉，王東紅.信息安全管理[M].北京：清華大學出版社，2015.

[6] 戴宗坤，羅萬伯.信息系統(tǒng)安全[M].北京：電子工業(yè)出版社，2012 .

（責任編輯：李 華）

Analysis on Security Management Strategy of Computer Terminals and Its Application

LIU Qiming

(Department of Information Engineering，Suzhou Industrial Park Institute of Vocational Technology，Suzhou 215123，China)

In modern enterprises， certain losses are often caused due to the lack of proper management and protection of relevant data from within. This paper analyzes the security threat of computer terminals， discusses and proposes the security management strategy on computer terminals.

computer terminal security；management strategy；application

TP391

A

1008-5475(2017)02-0045-03

10.16219/j.cnki.szxbzk.2017.02.009

2017-02-22；

2017-03-11

蘇州工業(yè)園區(qū)職業(yè)技術學院青年基金研究課題(2015-R-43813)

劉啟明(1977-)，男，江蘇宿遷人，高級工程師，碩士，主要從事全國計算機等級考試系統(tǒng)管理、計算機網(wǎng)絡與網(wǎng)站設計研究。

劉啟明.計算機終端安全管理策略分析[J].蘇州市職業(yè)大學學報，2017，28(2)：45-47.