刘佳

摘 要：终端是网络的基本单元。网络终端的安全逐渐成为整个信息安全的核心和底线。它们的安全与否对网络自身的健康运行有着深远的影响，同时也对公司业务的顺利开展有着的重要作用。

关键词：计算机终端;安全防护;安全管理

随着信息化建设的深入和新技术的不断涌现，电信行业常用的计算机终端面临着更多的攻击风险，往往成为机构整体安全防护体系的薄弱环节。通过构建安全硬件支持层、安全防护层、安全维护层和管理审计层四道防线，围绕普通计算机办公终端设备的生命周期，共同探讨加强普通办公终端安全管理的措施和思路。

一、加强办公终端安全管理的基础

1.在产品选择上，优先选用国产品牌设备，支持本土企业，增强产品安全自主可控性，选用具有国家主管部门认证的节能设备，选择符合行业高标准的电源配件，消除不合格产品引发的火灾隐患。

2.在产品配置选择上，依据不同的用途，选择合适的硬件配置，结合设备历史使用情况统计，分析设备生命周期规律，寻找设备配置水平与业务需求最佳平衡点，寻找配置最佳组合，优化设备购置需求，形成高、中、低设备配置搭配格局，在满足安全防护性能要求的前提下，最大程度提高资金使用效率。

3.在产品软件配置选择上，选取成熟可靠、有专业服务支持的操作系统，提倡使用国产操作系统，从基础软件层面提高终端信息安全保障能力。安装硬盘健康情况监测软件，监控硬盘运行状态，及时发现硬盘故障，并向用户发出告警信息，避免出现因硬盘损坏引发数据丢失风险。此外，整体上要保持新购置终端设备软硬件环境初始纯净性，从设备引入伊始杜绝各类不安全软硬件。

二、加强办公终端安全管理的关键

1.加固操作系统层。对每一类型的操作系统制定不同安全加固标准，确保所有终端满足基本安全加固要求;根据用户角色的不同，按照“必须知道”和“最小授权”的原则合理分配用户权限，加强对最高权限用户的审批和审计管理;安装最新系统补丁，并及时修复系统自身缺陷，开启系统各项审核审计功能以及各类安全策略;关闭无关的系统服务和共享。

2.在操作系统安全加固基础上，着力引入各类防护软件，提高专业防护能力。安装专业的防病毒和防间谍软件，在具备查杀病毒和恶意软件的能力的同时，加入主动防御威胁的功能;部署专业的补丁分发系统，对终端进行系统漏洞修复和提供关键基础软件更新;部署木马查杀工具，定期对终端进行木马查杀和检测，让终端远离“肉鸡”;部署专业入侵检测系统，时刻监测网络上终端行为，有效发现各类恶意入侵行为，定位、隔离问题终端;部署数据防泄密软件，可自动对终端文件进行全盘扫描，将敏感文件进行分类，对敏感数据的外发行为进行监控和审计，敏感信息外发事件行为可通过邮件自动发送到指定地址，其中包含详细事件记录、原因及终端明细。

3.部署终端综合管理软件，采用统一定制化的终端管理平台。可以实现对接入终端进行实时的监督和控制、终端基线管理、终端运维管理等。通过对终端进行监督和控制，可以实现终端事件监控管理、终端系统运行监控、终端进程和应用监控、终端操作行为监控等，终端软件环境的标准化可以为桌面运维管理带来多方面的效益，能够降低桌面维护的复杂程度，确保关键软件在计算机终端的强制安装与使用，同时通过禁止运行某些软件来间接提高工作效率。通过终端基线管理可对终端进行安全策略管理、安全基线检测和修复，通过对终端安全策略进行管理，实现终端本地策略批量配置或修改，覆盖了 “共享资源管理”、 “IP安全”等模块的若干条个性化安全策略。可以从技术上强制规范终端各类外设的使用，强制对系统进行各类基本安全加固，避免因人为或误操作引发防护实效。

4.加强办公终端移动存储管理。赋予移动存储介质不同的授权试用范围和读写权限，实现对移动存储设备的灵活管控，保证终端与移动存储介质进行数据交换和共享过程中的信息安全要求。并通过对移动外设存储的加密和审计，利用多种模式的安全认证，保证数据安全保密;通过目录加密认证、全盘加密认证等确保机密资料安全;通过对外设存储进行使用过程审计，实时发现問题并及时阻断。

5.对特殊的系统类型进行有针对性的专业防护，对办公终端按重要性进行分级、分区域管理，因地制宜，提高办公终端安全防护效能。

三、规范日常终端维护，形成办公终端安全维护层

1.采用成熟的网络准入技术，定制终端准入标准，实现对终端接入的自动化审批。通过自动化审批过程，如果终端安全状态不符合安全策略，则能够禁止终端访问受保护的应用、服务器或网络资源。准入标准一般包含两个方面，一方面是技术防护要求，包括终端系统加固要求、安全防护软件安装要求和用户个性化软件安装要求等;另一方面是身份认证审核机制，即只有合法的用户才能被允许接入网络，准入标准的制定可有效防止“不合格”终端接入网络，或非法终端“潜入”网络。

2.保持和强化终端防护能力，重在终端变更管理。要求在终端日常维护过程中，不能破坏已建立的安全防护网，不能降低防护能力，维护过程应严格遵循风险防范标准，扎牢终端安全防护的笼子。在人的要求和管理上，技术维护人员要具有较高的专业知识和熟练的操作技能，要有足够的保密意识和相应的维修维护资质。在维护工具选用上，要使用安全的工具，软件工具要无病毒、无木马，软件来源安全，硬件工具特别是电气类工具要满足行业标准，避免存在短路等火灾隐患。在具体维护过程中，要格外注意数据的处理，避免数据丢失和数据接触范围扩大。在硬件故障的维修上，要从正规渠道购置配件替换件，避免引入有“夹带”的配件，留下安全隐患。维修维护原则上不能移出办公地点，采用定点定人维修机制，杜绝携带信息存储部件送修;注重终端设备的生命终期的管理，规范设备报废。

3.保持和强化终端防护能力，需要知识的积累和延续。要建立终端维护文档，积累经验知识，同时也可作为一种行为日志记录，用于监督和审计。一类是技术文档，登记各种故障现象、处理方式以及技术操作要点，有利于培养维护人才，提高维护技能;另一类是日志文档，记录终端编号、故障原因、现象等信息，也保存维护人员和日期等信息，有利于责任划分，也可用于日后的监督审计。

四、加强办公终端安全管理的必要措施

办公终端信息安全工作需要每一位终端设备使用人的共同参与。信息技术部门应定期组织开展全公司级信息安全培训，讲解信息安全保护相关知识，及时发布信息安全保护中的新风险、新技术、新手段，灌输信息安全保护不利的严重后果，使他们正确认识信息安全保护工作的重要性，特别是重要岗位人员要熟悉信息保护流程，掌握信息安全基本常识，提高信息安全意识。

1.通过部署行为审计和日志分析系统，监控和审计终端用户上网行为，控制终端通过http代理上网，并对终端进行全过程的行为记录和分析，实时收集终端系统行为和用户行为信息，自动分析行为信息日志，较快发现异常行为，定位问题终端，发出告警信息，及时排查和阻止终端的非法或不安全操作，规范上网行为。根据维护日志和审计日志的统计分析，建立终端防护能力曲线，分析终端防护效果，重点修补薄弱点。通过行为日志，加强对“不稳定”人员的管理，消除人为故意降低终端防护能力的风险隐患。

2.终端安全专项检查与各类综合检查相结合，有利于强化终端安全管理力度，提升用户对终端信息安全主动保护意识。此外，不能忽视便携式设备安全管理。笔记本计算机由于体积较小、重量轻，方便携带，已在各公司普遍使用，在提供工作便利和工作效率的同时，也存在被盗、被抢或遗失风险，要重点根据笔记本计算机存储信息量大、移动性等特点制定有针对性的安全管理措施。其次加强对手机、平板等手持式移动终端的安全管理，防止发生信息安全事件。

总之，通过构建安全硬件支撑层、安全防护层、安全维护层和管理审计层4道防线，围绕普通计算机办公终端设备生命周期，结合终端立体安全防护网，构筑信息安全基本防护面，一起探讨加强普通办公终端安全管理的措施和思路。

参考文献

[1]王红.办公终端信息安全防护体系做实信息安全管理工作.2017.

[2]刘鹏，浅谈构建办公终端信息安全防护体系做实信息安全管理工作.2017.