伊丹

摘 要 个人计算机作为信息化系统中对信息处理、存储和传输等工作的最基本单元，确保其安全性已成为信息系统信息安全保障工作中的重要环节。本文按照信息系统等级保护体系对个人计算机安全保护的要求，重点提出了在科学有效地部署个人计算机安全防护体系中应注意的问题以及对应的措施。

关键词 个人计算机;等级保护;信息系统;个人计算机安全

引言

个人计算机，作为信息系统的最基本单元，承载着信息加工、处理、存储和传输等重要工作，其安全性涉及系统安全、数据安全、网络安全等各个方面，但是，公司办公网络，个人计算机数量众多，个人计算机安全管理难度很大，个人计算机安全业已成为信息系统信息安全保障工作中的薄弱环节，个人计算机安全也是等级保护体系中安全建设的重要部分，因此，如何在等级保护环境下科学有效部署个人计算机安全防护体系，是当前信息系统信息安全保障工作中迫在眉睫的任务。

1办公终端的威胁现状

目前，信息系统的终端威胁主要来源于以下几个方面：①缺乏终端网络准入机制;②系统漏洞的广泛存在;③木马、病毒等恶意软件的攻击手段层出不穷;④用户缺乏安全知识。有些用户缺乏必要的信息安全知识，未能及时采取合适的安全防护措施保护终端，如安全配置不正确、系统补丁安装不及时、不完全，防病毒软件及其他常用软件未及时升级等。有些用户安全意识不足，在非涉密终端上处理涉密或敏感信息，直接导致涉密或敏感信息泄密[1]。

2等级保护中对于个人计算机安全保护的目标与要求

在等级保护的相关国家标准中，从信息系统安全保护等级的角度对终端计算机系统进行了五个安全等级的划分。简单来看，对于个人计算机安全保护的安全目标基本可概括为能够监测和分析个人计算机安全状态，可以控制和记录终端的操作行为，统一配置个人计算机安全策略，以使终端“可信、可控、可用、可管”，保护终端正常、安全地运行。从基本要求来看，对个人计算机安全保护提出了技术和管理两方面的基本要求，组织机构在实施等级保护工作时可根据相关国家标准来完善各等级信息系统的个人计算机安全保护。

3基于等级保护部署个人计算机安全防护体系

个人计算机安全防护是一个复杂的问题，通常一个组织中的终端地理位置分散，用户使用水平参差不齐，承载业务不同，安全需求各异，这决定了个人计算机安全建设的复杂性和多元性，要根据终端用户的接入位置、所属部门、业务需要等条件来选择和执行适当的安全防护策略，既不能一刀切，也不能对用户放任自流，缺乏控管。个人计算机安全防护要符合安全等级保护的要求，根据不同的安全等级保护的要求制定切合实际的个人计算机安全防护策略[2]。按照安全等级保护的基本思想和技术要求，要做到科学有效的部署个人计算机安全防护体系，我们认为如下几个方面值得注意：

（1）身份认证、接入控制身份认证是个人计算机安全的“大门”，进入“大门”就可以获得终端计算机系统的资源。用户身份认证是对使用终端的人员进行身份鉴别，只有指定的人员才能使用终端，并接受系统的监管，实现授权操作。终端网络准入控制是指设置准入的安全策略对接入设备进行验证，根据个人计算机安全性检查结果，确定终端接入方式。非授权用户接入网络需要身份认证，在用户身份认证时，可绑定用户接入MAC、IP、接入设备IP、端口等信息，进行强身份认证，防止账号盗用、限定账号所使用的终端，认证成功但安全性检查没通过的终端，放入隔离区自动引导其完成主机完整性修复;认证和安全性检查全部通过的终端计算机才能接入内部网络。

（2）访问控制对有权访问网络的终端根据其账户身份定义的安全等级进行检查和访问控制，不安全的终端被隔离在修复区中，待修复完成后方可访问其有权访问的区域;其次，要对访问控制做到细致控制，如果只控制能否访问网络就太过粗放，真正的访问控制是要做到能根据账号享有的权限严格控制其的访问范围，将内部核心数据资源划分为不同的安全等级，根据账号的不同权限控制其可访问的不同的安全等级范围内的资源。例如：核心的业务资源信息、高级机密信息等列在敏感信息的等级中，严格控制可访问其的终端和账号;而邮件服务器和普通文件服务器可划分在安全等级较低的范围内，供更多的人使用。

（3）数据加密數据安全越来越受到重视，特别是公司、公安、保密等部门来说，内部数据安全是亟待解决的重要问题。一些电脑外带使用丢失或被盗后，重要数据被盗取造成泄密，内部无读取权限的员工有意或无意打开敏感数据等给内网数据安全带来极大挑战。目前，应对数据存储安全的主要策略是数据加密技术，采用软件加密或者硬件加密技术，可以确保计算机硬盘数据的密文存储，杜绝因数据窃取、硬盘更换、丢失等造成的数据泄密。

（4）系统加固、病毒防范要确保终端系统软件安全，对受控的终端进行基线安全检查，对不满足基线安全要求的终端通过个人计算机安全管理系统和补丁管理系统、防病毒系统联动，及时向终端分发经过安全测评的漏洞补丁和更新、升级病毒库和恶意代码库;制定安全威胁扫描策略，定期扫描和清除病毒、木马、后门、间谍软件、网页挂马、网络钓鱼软件等恶意软件。不安装未经第三方安全测试的可疑补丁、插件、更新程序和其他工具软件，防止终端自身存在安全漏洞被木马、病毒利用[3]。

（5）终端行为审计终端上网行为的审计作为一种技术手段，对于防止用户进行非法访问及事后追踪、审计是十分必要的。主要包括以下内容：①网络文件输出审计：对主机通过共享文件等方式进行的网络文件输出行为进行审计和记录。②上网访问行为审计和控制：可对用户上网访问的网页等进行审计和记录;以黑白名单的方式对用户的网页访问行为进行控制。③文件保护及审计：保护和监控选定用户终端的指定目录和网络共享文件的读取、修改、删除权限;对设定目录文件的操作进行审计，包括文件创建、打印、读写、复制、改名、删除、移动等的记录。④用户权限审计：审计用户权限更改及操作系统内用户增加和删除。以上绝大多数安全策略和审计都可以通过相应的软件和硬件来完成，所以选择性能强大的能够满足本单位安全策略和审计要求的软件和硬件至关重要。首先是功能强大和全面，这样才能满足个人计算机安全的当前和未来的需求。在选择软硬件时，一定要重视其综合管理能力，不要只是放在某个具体功能上面。另外，具有自主知识产权的国产产品是首选的产品。

（6）安全策略是个人计算机安全防护体系建设的核心，所有的个人计算机安全防护建设都应该圍绕预先制定的安全策略来执行。对于终端的安全策略应包括以下内容：①操作系统的安全策略。例如密码策略、账号策略、本地策略、软件策略、服务策略、外设策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护具有重要作用。操作系统安全策略可由第三方安全产品或操作系统本身强制执行。②分配用户权限。针对不同组织机构的具体情况，严格分配和授权终端用户的使用权限。如网络访问权限，系统访问权限、授权用户的使用资源。③互联网访问策略。一项分析统计报告表明，很多办公终端感染病毒或流氓软件，均源于恶意网站和P2P的海量下载。如果不对终端用户访问互联网加以控制，各种防护措施将不能有效地防范所有攻击。④制定外来人员访问策略，严格控制和管理外来终端的接入和访问权限。对外来终端实施准入控制，可采用先进的网络准入控制软件，严格限制未经授权的终端接入内部网络，避免由此造成的安全隐患。终端准入控制技术是指在端点连接到网络之前对其安全状态进行审计和适度更新，从而将蠕虫和病毒屏蔽在网络之外。

（7）领导重视和功能强大全面的软硬件的选择，两者缺一不可。如果只是强调软硬件的强大，那么就有可能购买以后，置之高阁或者无法正常使用。必须首先取得领导对本单位个人计算机安全策略的重视，对信息部门实施的安全策略的首肯，并且同意坚决地贯彻实施，那么购买的安全软硬件才可以充分发挥其应有的作用。还有一点要特别注意的是：本单位或本系统最好购买同一的软硬件安全产品，这样才有助于安全策略的部署和实施，才可以防止不同软硬件之间的冲突和不兼容性问题，这些问题的发生有时候是很不容易解决的，或者解决起来会增加很多成本和时间，还会给本单位的安全管理带来不必要的麻烦[4]。

4结束语

信息安全等级保护制度是国家信息安全保障工作的基本制度，经过十多年的成长已经成为一个广泛接受的概念。相关的政策规范及配套标准已推出，系统定级工作也已全面开展。通过相关政策规范及配套标准的指导，组织机构在实施信息安全建设工作时可保证安全建设的合规性与有效性，保障信息系统应用。在信息系统终端防护系统建设方面，应采取技术与管理并重策略，以相关政策规范和配套标准为指导的理论依据，以科学有效的技术和管理手段为实施原则，为信息系统建立遵循等级保护思路的信息系统终端防护技术。

参考文献

[1] 周德铭.落实安全等级保护增强信息系统安全[J].信息网络安全，2009（5）：10，19.

[2] 衡静.个人计算机安全防范迫在眉睫[J].金融电子化，2007（3）：53-54.

[3] 信息安全技术信息系统安全等级保护基本要求：GBT22239-2008[S].北京：中国标准出版社，2008.

[4] 信息安全技术终端计算机系统安全等级技术要求：GA/T671-2008[S].北京：中国标准出版社，2008.