周鹏

摘要

本文简要分析了大型企业的终端防护策略和方法，从企业内部数量最大的计算机终端开展信息安全防护工作，防止以终端为突破口或跳板，达到入侵企业内网的目的。同时针对终端防护的几类问题，研发多种工具并在企业内部广泛应用。

【关键词】安全存储介质 文件清理工具 漏洞整改

企业中办公计算机数量极大，产生的信息安全隐患也较多，如顽固病毒无法被部署的杀毒软件查杀，导致大面积感染;终端常见漏洞因无法及时更新补丁，甚至是操作系统己无法更新，导致终端出现大量高危漏洞;在内外网隔离的网络中，外网终端如何实现工作文件的强制清理;如何在内网环境下防止出现，u盘摆渡攻击;如何在已有的后台管理系统下，更好的管理移动存储介质。

1 顽固病毒查杀

大型企业一般都会购置企业级防病毒软件，国内外的防病毒软件都带有管控功能，能够在实现防病毒功能之外还可以实现对企业终端的多种防护功能。

但有很多病毒，因为没有很强大的破坏性和典型性，很多杀毒软件都不会收入，不会对这类病毒进行查杀，这类病毒就成为了顽固病毒。

1.1 开发查杀工具

开发一种能够扫描公司内网中存在的多种病毒、木马、后门等信息安全威胁。并且可以自由扩展病毒库，具有杀毒速度快，使用简单，病毒库扩展方便等优点的顽固病毒查杀工具。

1.2 工具说明

顽固病毒工具使用Visual Basic开发，核心模块为病毒扫描模块。通过遍历文件目录，检测文件特征码并与保存的病毒特征码进行对比。如果特征码相同，说明该文件是病毒文件或己被病毒感染。

1.3 工具特性

工具中预先存储了700多种常见病毒的特征码，一旦在扫描时发现特征码与病毒相同的文件，便会立即隔离该文件并向用户报告，以防止病毒进一步入侵系统。在出现病毒库中尚未记录的新病毒时，还可以将该病毒手动记录到病毒库中，从而阻止该病毒再次危害系统安全。此外，工具还可对注册表等系统设置进行调整，以便于用户使用。

2 终端漏洞整改

企业内部部署了安全管控平台或者防病毒系统，但这两类安全平台不会对一些常见漏洞或者高危服务进行修复。通过绿盟、NESSUS的漏洞扫描系统对企业内网终端进行全面扫描发现，计算机存在大量的SMB、RDP、SNMP等系列高危漏洞，对外开放了许多高危服务。

2.1 漏洞整改工具

经过对漏洞整改方法的详细研究，可以开发一款基于DOS批处理命令的漏洞整改工具。因为基于批处理命令，工具将小巧且易于运行。

2.2 工具说明

通过在漏洞整改过程中的反复实践和总结，信息管理员制作了一系列的漏洞整改脚本;为便于下发和使用，又开发了一个专门调用这些脚本的程序。最终完成的终端漏洞整改工具由一个主程序和若干命令行脚本组成，主程序负责调用各个脚本对漏洞进行修复，各个脚本也可以独立运行，以针对不同漏洞进行修复。

2.3 工具特性

本工具集能有效地解决nessus扫描报告中常见的SMB、SNMP、HS、RDP等类型以及RSAS扫描报告内常见的SNMP、RDP、IIS等系列漏洞。

3 外网终端文件清理

互联网中暗流涌动，大型公司的外网设备经常成为黑客的攻击目标。为了防止外网终端受到攻击而导致数据泄密，很多大型公司规定在外网终端上严禁处理、存储涉及国家秘密和企業秘密的信息。但是出于工作疏忽等原因，依然有一部分内网资料会被带到外网终端上，如果外网终端遭到了黑客入侵，就有可能导致信息泄密事件，为了杜绝此类事件发生，开发了外网文件清理工具。

3.1 文件清理工具

工具分为两大组件，一部分为主程序，主要用来进行环境识别，并根据环境调用脚本;一部分为脚本程序，主要用途是清理终端内指定格式的文件。

3.2 工具说明

该工具使用Delphi结合批处理脚本开发，运行之后会在短暂倒计时后，自动解压工具内置的脚本文件，并通过脚本对终端内的各种文档进行统计，如果该终端为外网终端，会提示用户及时转移所需文件，并在1天后对所有的文档进行删除。

3.3 工具特性

该工具能够对外网终端上常见的*.doc，*.xls，*.ppt，*.wps，*.et，*.pdf，*.ceb等多种文档进行扫描检查，并且智能判断当前运行环境为内网或是外网。在内网上只进行检查统计，避免删除工作文件。在外网上则会先提示用户存放有工作文件，要求用户进行清理，1天后才会对所有文档进行删除。该工具界面新颖，使用简单，采取了一键式的操作方式，绝大多数命令由系统自动执行，用户只需在最后确认文件数量即可。便于在外网进行分发和推广。

4 存储介质管理

为提高信息安全防护能力，某些大型公司采取了信息内外网物理隔离的措施，但并不代表来自外部的攻击就无法入侵信息内网。在伊朗爆发的“震网”病毒为我们敲响了警钟，该病毒通过移动介质传播，从工作人员家庭电脑中神不知鬼不觉地偷渡到了工作内网。为了防止类似事件发生，部分大型企业在终端管理系统中启用了安全移动存储介质策略来对移动介质的注册、使用、注销进行管理。但终端管理系统自带的查询功能并不方便，首先是查询速度慢，从登录桌面管理系统到查询完成，需要打开五六个页面，耗时大约一分多钟，其次是管理功能不灵活，注销的移动介质信息与过去的注册信息无法联动，而损坏或丢失的移动介质也无法记录到系统中。为了解决这些问题，以加强对移动存储介质的管理，开发了移动介质辅助管理工具。

4.1 辅助工具

存储介质管理辅助工具主要用于对终端管理系统的补充，对安全存储介质台账的精确管理，从管理层面实现移动存储介质的安全管理要求。

4.2 工具说明

该工具使用DELPHI语言编写，通过借助桌面管理系统数据库存储的移动介质信息来方便管理员对用户使用移动介质的情况进行查询和管理。

工具适用于Windows XP、WindowsServer 2003、Windows Vista、Windows 7、Windows Server 2008等操作系统。

由于该工具需要调用终端管理系统的数据库，在应用工具前，需要根据终端管理系统的数据库用户名和密码进行定制。

4.3 工具特性

工具依托终端管理平台数据库，在不破坏原数据信息的前提下，新建数据库表，添加列信息，如注销时间、状态等。同时工具具有同步功能，能手动与原系统存储介质标签制作数据同步，形成精准台账。

5 结语

本文介绍了大型企业在内外网隔离的网络环境下，计算机终端面临的几大问题，以及实现防护的工具研发及应用。