計算機終端安全威脅問題研究

摘要：隨著計算機的廣泛應用，大家對于計算機終端安全威脅問題的研究也逐漸變成了焦點。本文正是以此為研究對象，詳細分析與此相關的內容。文章首先對計算機終端安全威脅的種類進行了闡述，然后介紹了安全管理相關技術，最后總結了計算機終端安全策略。希望本文的研究能夠給相關領域的研究帶來指導和幫助。

關鍵詞：計算機；終端安全；威脅問題

計算機終端作為信息存儲、傳輸、應用處理的基礎設施，其自身安全性涉及到系統安全、數據安全、網絡安全等各個方面，任何一個節點都有可能影響整個網絡的安全。計算機終端廣泛涉及每個計算機用戶，由于其分散性、不被重視、安全手段缺乏的特點，已成為信息安全體系的薄弱環節。這就要求我們及時調整安全防護戰略，將著眼點重新回歸到計算機終端安全上來。可見，計算機終端安全在企業信息安全中占有重要地位，對計算機終端的安全統一管理具有重要意義。

一、計算機終端安全威脅分析

1、人為威脅

計算機終端的威脅來自各個方面，總體可分為兩大類，自然威脅和人為威脅。人為威脅可以具有細化為兩個方面：惡意行為和非惡意行為。非惡意行為主要來自干企業的員工和客戶，這些人可能并未受過正規的計算機培訓或并沒有相應的安全意識，因此他們對計算機終端的不當操作可能會帶來潛在的安全威脅；惡意行為經常來自非員工或心存報復的在職員工，這些人為了達到自己的個人目的而進行的惡意操作將是企業的又一大安全威脅。

(1)自然災害

自然災害的發生是不可避免的，如地震、洪水、火災等等所引起的計算機系統的破壞，從而引起的信息的丟失或損壞，這些威脅不受人為控制，但是產生的損失卻不可小視。企業可以制定適當的安全措施來抵御這種威脅，比如對重要信息采取多種備份方式并分散存儲，制定完善的災難恢復機制等都可以極大的降低自然災害威脅對企業帶來的損失。

(2)惡意行為

內部員工或可進入企業內部的其他人員的惡意行為是企業信息安全的最大威脅之一，這些內部員工對企業內部組織結構及系統都相對比較熟悉，他們知道何種操作能給企業帶來最大的損失，他們可以充分利用這一優勢來達到自己的目的。由于大部分企業內部并沒有相應的對計算機終端審計監控措施，相應的安全策略也可能并未在訪問控制系統中有效執行，使得這些內部員工可以輕易進行惡意操作而不被發現，如通過自己的計算機終端訪問重要信息、散播病毒木馬等等。同樣對于企業部門調整等引起的員工變動，相關的帳戶管理沒有及時更新，也會被某些員工利用來進行惡意操作。計算機終端操作相關的惡意操作大致可分為以下幾類：

非授權訪問：指未經同意而訪問相關的信息資源。

破壞數據完整性：對重要數據進行惡意操作以取得有益于攻擊者的響應，如惡意添加修改數據以獲取私利。

利用網絡傳播病毒：通過終端計算機傳播病毒，其破壞性極其巨大但又難于防范。

(3)非惡意員工

對于企業的內部員工，雖然他們并沒有惡意動機進行破壞，但是由于缺乏相應的安全意識，他們的一些疏忽或錯誤操作都可能直接或間接的對企業的信息數據造成潛在的安全威脅。如員工對一些重要文件的誤操作可能導致信息的破壞或丟失；員工對計算機終端的不合理配置可能導致系統存在漏洞或重要數據泄露等等。由于內部員工的這些不當操作具有很大的不確定性，因此可以說對企業具有很大的安全威脅。非惡意員工可能造成的威脅有：

帳戶外泄：由于缺乏安全意識或設置不當而將帳戶密碼泄露，從而被利用；

不安全的文件共享：重要信息資源的不安全共享而被人非法獲取；

系統補丁未及時更新：沒有及時更新操作系統和其他應用軟件的補丁，給企業網絡帶來潛在威脅；

未及時防病毒：為正確安全殺毒軟件或為及時更新病毒庫而可能感染并傳播病毒。

2、系統漏洞

漏洞是可以在攻擊過程中利用的弱點，可以是軟件、硬件、程序缺點、功能設計或者配置不當等引起的。在實際應用的系統中，都會不同程度的存在各種潛在的安全性錯誤，對于操作系統這樣一個龐大的軟件系統而言，安全漏洞的存在更是不可避免的。

安全漏洞會給黑客或入侵者提供入侵系統的機會，入侵者可能會研究分析漏洞，加以利用而繞過系統的安全機制而獲得一定程度的訪問權限，從而達到自己的目的。

補丁是系統提供商針對漏洞發布的修補程序，為了最大程度的減小漏洞的威脅，企業內部計算機終端所使用的操作操作系統及應用軟件需要及時進行補丁更新，修補已知漏洞，從而降低安全風險。

3、惡意代碼

對計算機終端系統中數據的保密性、完整性和可用性最頑固的威脅是惡意代碼，最常見的形式有以下幾種：

病毒：是一種計算機程序，該程序執行時可以未經允許就把自身復制到另一個程序之中，感染該病毒的程序在執行時仍以這種方式把自身復制到另一程序之中。

病毒表現出很多特征，比如制造惡作劇、篡改或刪除文件等，有些病毒的危害是特別大的，比如會破壞文件分配表等。這些行為都會極大影響計算機終端，并對整個企業內部網絡都造成極大危害。

蠕蟲：是一種未經許可就可以把自身復制到網絡節點上的計算機程序。蠕蟲可以將其一部分散布到網絡其他計算機上，占用大量的內存空間和處理時間，最終可能導致死機。

特洛伊木馬：指有預謀的隱藏在程序之中的一組計算機指令，是一種計算機程序，它可以偽裝成合法程序，做一些用戶并不希望的事情。作為計算機術語，它的含義是指，用戶將一個貌似合法的程序載入內存，但此后惡意代碼也開始運行，他可能會獲取擊鍵口令或者刪除數據。

惡意代碼是目前計算機終端面臨的重要安全威脅之一，對于企業內計算機終端，應該采取適當的安全策略，安裝并運行適當的殺毒軟件，并及時更新病毒庫，采用適當的安全訪問控制措施等等可以有效防護病毒。

二、安全管理相關技術

1、訪問控制技術

訪問控制是網絡安全防范和保護的主要技術之一，他的主要任務是保證網絡資源不被非法使用和訪問。訪問控制技術用來控制用戶對網絡資源的合法使用，訪問控制涉及的技術比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

入網訪問控制：通過對用戶賬戶和口令的認證與識別來實現用戶對網絡或資源的訪問控制。它主要控制哪些用戶能登陸服務器并獲取網絡資源，控制準許用戶的入網時間以及可登陸的服務器。

權限控制：權限控制是針對網絡非法操作所提出的一種安全保護措施。不同用戶和用戶組被賦予不同的權限級別，通過權限設置控制用戶和用戶組對網絡資源的訪問范圍及對可訪問資源的操作性。

目錄及文件屬性控制：目錄及文件屬性控制可以實現進一步的信息安全，可以控制用戶對目錄、文件或設備的訪問，用戶或用戶組被設置相應的權限來獲得對目錄或文件的訪問。文件屬性控制可以針對文件、目錄等設置訪問屬性，如訪問、修改、刪除、拷貝等屬性控制，適當的屬性控制可防止由于用戶對資源的誤操作，可見屬性安全是在權限安全的基礎上提供的更進一步的安全。

2、VPN技術

VPN是一種通過ISP和其他NSP，在公網如Internet中建立用戶私有專用的數據通信網絡技術，通過私有隧道在公共數據網上仿真，一條點到點的專線，主要采用四項核心技術：安全隧道技術、密鑰管理技術、訪問控制技術和用戶身份認證技術。

安全隧道技術是VPN的一項基本技術，主要負責將待傳輸的原始信息經過加密、協議封裝和壓縮處理以后嵌套在另一種協議的數據包中送人網絡，從而實現對公用網絡的透明性。隧道技術保證在公網上建立專用的私有通道，它主要遵循以下

四種隧道協議：PPTP點到點隧道協議、L2TP第二層隧道協議、IPSec網絡層隧道協議以及SOCKSv5協議。

VPN安全技術是用于保證數據的安全性和完整性，由加密、認證及密鑰交換與管理等技術實現。

VPN大致可分為三類：

企業內部虛擬網：指企業的總部與分支機構間通過公網構筑的虛擬網。它通過一個使用專用連接的共享基礎設施來連接；企業擁有與專用網絡的相同政策，包括安全、服務質量，可管理性和可靠性等。

遠程訪問虛擬網：指企業員工或企業的小分支機構通過公網遠程撥號的方式構筑的虛擬網。它可以通過撥號、ISDN、XDSL、移動IP等方式實現安全連接，用戶隨時隨地以其所需的方式訪問企業資源。

企業擴展虛擬網：指不同企業網通過公網來構筑的虛擬網。它通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業內部網、企業擁有與專用網絡的相同政策，包括安全、服務質量、可管理性和可靠性等。它適合于提供B2B之間的安全訪問服務。

3、防病毒技術

計算機病毒有不可估量的威脅性和破壞力，計算機病毒的防范是終端安全域與網絡安全性建設中重要的一環。

防病毒技術包括預防病毒、檢測病毒和病毒清除三種技術：

預防病毒技術：它通過自身常駐系統內存，優先獲得系統的控制權，監視和判斷系統中是否有病毒存在，進而阻止計算機病毒進入計算機系統和對系統進行破壞。這類技術有，加密可執行程序、引導區保護、系統監控與讀寫控制(如防病毒軟件等)。

檢測病毒技術：它是通過對計算機病毒的特征來進行判斷的技術，如自身校驗、關鍵字、文件長度的變化等。

清除病毒技術：它通過對計算機病毒的分析，開發出具有刪除病毒程序并恢復原文件的軟件。

三、計算機終端安全策略分析

1、限制惡意代碼策略

限制惡意代碼是實現終端安全的重要手段，限制惡意代碼可以從以下三個方面人手：

限制惡意代碼進入系統；

限制惡意代碼運行；

限制惡意代碼通信；

很顯然，首先我們希望惡意代碼遠離系統，其次，如果它進入了系統，我們要盡量阻止它運行，最后如果它運行了，只有盡力阻止它向其他系統擴散。為了達到目的，可以采取以下幾種終端配置策略：

(1)基于主機的防火墻策略

Windows內置的基于主機的防火墻可以限制從其他計算機傳人的信息，防御穿過外圍網絡或來自企業內部的網絡攻擊，可以防止在未經允許的情況下嘗試連接到計算機。同時還可以創建安全日志，記錄各種連接嘗試，可用于故障分析。因此建議在終端啟用基于主機的防火墻，可以盡量在第一時間阻止惡意代碼進入系統。

(2)IPSec過濾策略

IPSec可以實現過濾出入主機的數據流，通過建立IPSec策略規則來限制通過特定端口的數據，有時在某種程度上對限制蠕蟲等惡意代碼的傳播非常有效。

(3)軟件限制策略

軟件限制策略是根據一定規則來控制應用程序的在計算機上的運行能力，能有效的防止惡意代碼的運行。

(4)惡意代碼防護軟件

防病毒軟件及反間諜軟件可以很大程度上防止惡意代碼侵入系統，因此，在大多數終端上都應安裝合適的反病毒軟件。

2、終端帳戶配置策略

(1)更改或禁用Administrator帳戶名

對于終端計算機，應更改系統管理員的默認帳戶，以避免被人破解密碼，而且改后帳戶名應盡量復雜，不易被猜到。

(2)終端禁止其他用戶登錄

終端僅允許其唯一使用者登錄，采用用戶與終端計算機一對一的使用關系，防止交叉使用帶來潛在威脅。

(3)禁用本機的Guest賬號

(4)用戶密碼安全策略

密碼應定期更改；密碼應該遵循一定的復雜對規則，如應規定最小長度，規定應包含盡可能多的字符集等以增加密碼復雜度；對于有多個帳戶的用戶來說，應該禁止使用相同的口令，甚至包括郵件系統等的密碼都不與系統登錄密碼相同。

3、終端軟件配置策略

(1)補丁更新

終端計算機操作系統和應用軟件軟件的補丁應該及時進行更新，彌補已發現的漏洞。

(2)防病毒

終端計算機應該按要求安裝殺毒軟件，并要保證病毒庫的及時更新。

(3)系統服務

對于操作系統，運行的服務越多，可能造成的安全漏洞也就越多，因此，對于不需要的服務，均應將其禁用。

(4)終端遠程協助配置策略

Windows XP客戶端缺省啟用終端遠程協助。終端用戶需要時可以自行禁用。

(5)終端遠程桌面配置策略

Windows XP客戶端缺省禁用遠程桌面。終端用戶需要時可以自行啟用。同時為確保數據的安全性，計算機終端應啟用“密碼保護屏幕保護程序”和“屏幕保護程序超時”。