構建辦公終端信息安全防護體系做實信息安全管理工作

劉佳

摘 要：終端是網絡的基本單元。網絡終端的安全逐漸成為整個信息安全的核心和底線。它們的安全與否對網絡自身的健康運行有著深遠的影響，同時也對公司業務的順利開展有著的重要作用。

關鍵詞：計算機終端;安全防護;安全管理

隨著信息化建設的深入和新技術的不斷涌現，電信行業常用的計算機終端面臨著更多的攻擊風險，往往成為機構整體安全防護體系的薄弱環節。通過構建安全硬件支持層、安全防護層、安全維護層和管理審計層四道防線，圍繞普通計算機辦公終端設備的生命周期，共同探討加強普通辦公終端安全管理的措施和思路。

一、加強辦公終端安全管理的基礎

1.在產品選擇上，優先選用國產品牌設備，支持本土企業，增強產品安全自主可控性，選用具有國家主管部門認證的節能設備，選擇符合行業高標準的電源配件，消除不合格產品引發的火災隱患。

2.在產品配置選擇上，依據不同的用途，選擇合適的硬件配置，結合設備歷史使用情況統計，分析設備生命周期規律，尋找設備配置水平與業務需求最佳平衡點，尋找配置最佳組合，優化設備購置需求，形成高、中、低設備配置搭配格局，在滿足安全防護性能要求的前提下，最大程度提高資金使用效率。

3.在產品軟件配置選擇上，選取成熟可靠、有專業服務支持的操作系統，提倡使用國產操作系統，從基礎軟件層面提高終端信息安全保障能力。安裝硬盤健康情況監測軟件，監控硬盤運行狀態，及時發現硬盤故障，并向用戶發出告警信息，避免出現因硬盤損壞引發數據丟失風險。此外，整體上要保持新購置終端設備軟硬件環境初始純凈性，從設備引入伊始杜絕各類不安全軟硬件。

二、加強辦公終端安全管理的關鍵

1.加固操作系統層。對每一類型的操作系統制定不同安全加固標準，確保所有終端滿足基本安全加固要求;根據用戶角色的不同，按照“必須知道”和“最小授權”的原則合理分配用戶權限，加強對最高權限用戶的審批和審計管理;安裝最新系統補丁，并及時修復系統自身缺陷，開啟系統各項審核審計功能以及各類安全策略;關閉無關的系統服務和共享。

2.在操作系統安全加固基礎上，著力引入各類防護軟件，提高專業防護能力。安裝專業的防病毒和防間諜軟件，在具備查殺病毒和惡意軟件的能力的同時，加入主動防御威脅的功能;部署專業的補丁分發系統，對終端進行系統漏洞修復和提供關鍵基礎軟件更新;部署木馬查殺工具，定期對終端進行木馬查殺和檢測，讓終端遠離“肉雞”;部署專業入侵檢測系統，時刻監測網絡上終端行為，有效發現各類惡意入侵行為，定位、隔離問題終端;部署數據防泄密軟件，可自動對終端文件進行全盤掃描，將敏感文件進行分類，對敏感數據的外發行為進行監控和審計，敏感信息外發事件行為可通過郵件自動發送到指定地址，其中包含詳細事件記錄、原因及終端明細。

3.部署終端綜合管理軟件，采用統一定制化的終端管理平臺。可以實現對接入終端進行實時的監督和控制、終端基線管理、終端運維管理等。通過對終端進行監督和控制，可以實現終端事件監控管理、終端系統運行監控、終端進程和應用監控、終端操作行為監控等，終端軟件環境的標準化可以為桌面運維管理帶來多方面的效益，能夠降低桌面維護的復雜程度，確保關鍵軟件在計算機終端的強制安裝與使用，同時通過禁止運行某些軟件來間接提高工作效率。通過終端基線管理可對終端進行安全策略管理、安全基線檢測和修復，通過對終端安全策略進行管理，實現終端本地策略批量配置或修改，覆蓋了 “共享資源管理”、 “IP安全”等模塊的若干條個性化安全策略。可以從技術上強制規范終端各類外設的使用，強制對系統進行各類基本安全加固，避免因人為或誤操作引發防護實效。

4.加強辦公終端移動存儲管理。賦予移動存儲介質不同的授權試用范圍和讀寫權限，實現對移動存儲設備的靈活管控，保證終端與移動存儲介質進行數據交換和共享過程中的信息安全要求。并通過對移動外設存儲的加密和審計，利用多種模式的安全認證，保證數據安全保密;通過目錄加密認證、全盤加密認證等確保機密資料安全;通過對外設存儲進行使用過程審計，實時發現問題并及時阻斷。

5.對特殊的系統類型進行有針對性的專業防護，對辦公終端按重要性進行分級、分區域管理，因地制宜，提高辦公終端安全防護效能。

三、規范日常終端維護，形成辦公終端安全維護層

1.采用成熟的網絡準入技術，定制終端準入標準，實現對終端接入的自動化審批。通過自動化審批過程，如果終端安全狀態不符合安全策略，則能夠禁止終端訪問受保護的應用、服務器或網絡資源。準入標準一般包含兩個方面，一方面是技術防護要求，包括終端系統加固要求、安全防護軟件安裝要求和用戶個性化軟件安裝要求等;另一方面是身份認證審核機制，即只有合法的用戶才能被允許接入網絡，準入標準的制定可有效防止“不合格”終端接入網絡，或非法終端“潛入”網絡。

2.保持和強化終端防護能力，重在終端變更管理。要求在終端日常維護過程中，不能破壞已建立的安全防護網，不能降低防護能力，維護過程應嚴格遵循風險防范標準，扎牢終端安全防護的籠子。在人的要求和管理上，技術維護人員要具有較高的專業知識和熟練的操作技能，要有足夠的保密意識和相應的維修維護資質。在維護工具選用上，要使用安全的工具，軟件工具要無病毒、無木馬，軟件來源安全，硬件工具特別是電氣類工具要滿足行業標準，避免存在短路等火災隱患。在具體維護過程中，要格外注意數據的處理，避免數據丟失和數據接觸范圍擴大。在硬件故障的維修上，要從正規渠道購置配件替換件，避免引入有“夾帶”的配件，留下安全隱患。維修維護原則上不能移出辦公地點，采用定點定人維修機制，杜絕攜帶信息存儲部件送修;注重終端設備的生命終期的管理，規范設備報廢。

3.保持和強化終端防護能力，需要知識的積累和延續。要建立終端維護文檔，積累經驗知識，同時也可作為一種行為日志記錄，用于監督和審計。一類是技術文檔，登記各種故障現象、處理方式以及技術操作要點，有利于培養維護人才，提高維護技能;另一類是日志文檔，記錄終端編號、故障原因、現象等信息，也保存維護人員和日期等信息，有利于責任劃分，也可用于日后的監督審計。

四、加強辦公終端安全管理的必要措施

辦公終端信息安全工作需要每一位終端設備使用人的共同參與。信息技術部門應定期組織開展全公司級信息安全培訓，講解信息安全保護相關知識，及時發布信息安全保護中的新風險、新技術、新手段，灌輸信息安全保護不利的嚴重后果，使他們正確認識信息安全保護工作的重要性，特別是重要崗位人員要熟悉信息保護流程，掌握信息安全基本常識，提高信息安全意識。

1.通過部署行為審計和日志分析系統，監控和審計終端用戶上網行為，控制終端通過http代理上網，并對終端進行全過程的行為記錄和分析，實時收集終端系統行為和用戶行為信息，自動分析行為信息日志，較快發現異常行為，定位問題終端，發出告警信息，及時排查和阻止終端的非法或不安全操作，規范上網行為。根據維護日志和審計日志的統計分析，建立終端防護能力曲線，分析終端防護效果，重點修補薄弱點。通過行為日志，加強對“不穩定”人員的管理，消除人為故意降低終端防護能力的風險隱患。

2.終端安全專項檢查與各類綜合檢查相結合，有利于強化終端安全管理力度，提升用戶對終端信息安全主動保護意識。此外，不能忽視便攜式設備安全管理。筆記本計算機由于體積較小、重量輕，方便攜帶，已在各公司普遍使用，在提供工作便利和工作效率的同時，也存在被盜、被搶或遺失風險，要重點根據筆記本計算機存儲信息量大、移動性等特點制定有針對性的安全管理措施。其次加強對手機、平板等手持式移動終端的安全管理，防止發生信息安全事件。

總之，通過構建安全硬件支撐層、安全防護層、安全維護層和管理審計層4道防線，圍繞普通計算機辦公終端設備生命周期，結合終端立體安全防護網，構筑信息安全基本防護面，一起探討加強普通辦公終端安全管理的措施和思路。

參考文獻

[1]王紅.辦公終端信息安全防護體系做實信息安全管理工作.2017.

[2]劉鵬，淺談構建辦公終端信息安全防護體系做實信息安全管理工作.2017.