廖正湘,李云英,段振兴

（1.中国石油吐哈油田公司 信息中心,新疆 哈密 839009；2.中国石油吐哈油田公司 信息产业处，新疆 哈密 839009）

2014年9月，据国家互联网应急中心（CNCERT/CC）公布的数据，境内平均每周感染病毒主机50万台以上，被篡改网站5000个以上，被植入后门网站在500个以上，同时有大量信息安全漏洞和网络病毒家族产生。以上信息无一不和终端计算机相关,说明终端计算机安全就是互联网信息安全的堡垒。如果终端计算机可防护、可检测、可控制、可审计，有抵御安全威胁的能力，能降低计算机病毒和木马发生概率，不仅加强了企业内部网络安全，也为整个互联网环境提供了安全防护功能。

1 自身系统安全

自身系统安全在终端计算机安全防护体系中特别重要。没有自身安全，其他无从谈起。自身安全涉及多方面多层次问题，其中操作系统及配置、桌面安全软件非常重要。

1.1 操作系统及配置

首先鼓励并引导用户使用正版操作系统及软件，通过完整的补丁更新，减少计算机系统漏洞和安全隐患；其次企业可制定计算机操作系统安全基线配置标准，如账号密码策略、端口使用、非法外联、共享、磁盘分区等进行规范，通过操作系统及配置等从基础上可加固操作系统防护能力，有效抵制网络病毒及黑客攻击，减少终端计算机运行风险。

1.2 桌面安全软件

企业按照分级部署网络版杀毒及管理软件等终端计算机安全软件，做到每台计算机可管理可控制，并掌握整体终端计算机安全动态。通过桌面安全软件部署，保证病毒定义码和补丁更新，也可自动分发企业定制的安全策略，如安全基线设置、违规接入审计、系统补丁等，保证企业信息安全政策连贯执行，达到统一标准。

2 运行环境安全

在终端计算机安全防护体系建设中，运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境，在网络环境中给终端计算机加几把锁，把握其方向轨迹和动态。

2.1 IP地址固定

在网络中，IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法，技术上在网络设备里通过DHCP Snooping和ACL列表，实现IP和MAC地址绑定。

2.2 控制上互联网计算机

因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度，技术上实施是在IP地址固定的前提下，在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。

2.3 部署准入设备

为保证网络安全，在网络边界或内部部署准入设备，设立终端计算机入网规则，如必须安装企业桌面安全软件和配置安全基线等等，通过进程检测合规后入网或可访问关键业务。

2.4 部署内容审计系统

在互联网出口边界部署内容审计系统，在线对终端计算机访问互联网的行为进行2～7层的识别，可进行关键字的设置过滤、URL过滤，对于计算机的互联网行为做到可控制、可管理、可审计，以保证网络信息的安全。

2.5 部署代理服务器

为保证终端计算机上网安全，一般建议在互联网出口设置代理服务器，用户通过代理服务器访问互联网。通过代理服务器访问互联网可以提高访问速度，方便对用户行为进行管理和审计，起到防火墙作用，保护局域网安全。

3 安全管理

三分技术七分管理，是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中，技术操作都是通过管理来实施的，因此形成一套安全管理机制并始终贯彻运行，是十分重要的。

3.1 建立终端计算机管理制度

建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施，如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度，通过建立健全这些制度，形成信息化考核机制，使得终端计算机安全工作有章可循。

3.2 提高计算机安全管理的力度和深度

在企业计算机安全管理管理中，管理人员首先要提高各级领导和员工网络安全重视程度，其次定期通过各种手段完成终端计算机安全检查工作，如通过桌面安全系统、审计系统检查计算机违规行为，根据规定实施处罚等，最后安全管理人员要主动识别和评估安全风险，制定和落实安全整改措施，确保终端计算机持续安全稳定运行。

3.3 建设完整的计算机实名库

通过建设终端计算机实名库，掌握计算机管理动态，实现计算机资产管理，给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等，从而完成终端计算机实名库的建设。

3.4 建立网络建设标准

通过网络建设标准的建立，保障终端计算机安全运行环境，也加强了桌面安全防护体系在网络体系建设中的作用。

3.5 建设一支过硬的信息化队伍

在企业中，建立信息安全组织架构、明确组织责任、设置相应岗位，建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。

4 结语

终端计算机安全防护体系建设是网络安全体系的一部分，它是一个长期的、系统的、复杂的建设，往往伴随着互联网信息安全变化、企业信息发展变化而不断调整。在企业里必须推进终端计算机安全防护体系建设，保证终端计算机在网上安全、高速、稳定地运行，提升信息安全堡垒的作用，保障互联网安全运行。

[1]潘玉洵.桌面安全管理技术现状及发展趋势[J].信息安全技术，2010(6).

[2]孙海.医院桌面终端信息安全管理思考[J].现代医院，2011(5)

[3]焦新胜.计算机网络信息和网络安全及防护策略的探讨.[J].科技传播，2013(1).