個人計算機安全保護要點分析

伊丹

摘 要 個人計算機作為信息化系統中對信息處理、存儲和傳輸等工作的最基本單元，確保其安全性已成為信息系統信息安全保障工作中的重要環節。本文按照信息系統等級保護體系對個人計算機安全保護的要求，重點提出了在科學有效地部署個人計算機安全防護體系中應注意的問題以及對應的措施。

關鍵詞 個人計算機;等級保護;信息系統;個人計算機安全

引言

個人計算機，作為信息系統的最基本單元，承載著信息加工、處理、存儲和傳輸等重要工作，其安全性涉及系統安全、數據安全、網絡安全等各個方面，但是，公司辦公網絡，個人計算機數量眾多，個人計算機安全管理難度很大，個人計算機安全業已成為信息系統信息安全保障工作中的薄弱環節，個人計算機安全也是等級保護體系中安全建設的重要部分，因此，如何在等級保護環境下科學有效部署個人計算機安全防護體系，是當前信息系統信息安全保障工作中迫在眉睫的任務。

1辦公終端的威脅現狀

目前，信息系統的終端威脅主要來源于以下幾個方面：①缺乏終端網絡準入機制;②系統漏洞的廣泛存在;③木馬、病毒等惡意軟件的攻擊手段層出不窮;④用戶缺乏安全知識。有些用戶缺乏必要的信息安全知識，未能及時采取合適的安全防護措施保護終端，如安全配置不正確、系統補丁安裝不及時、不完全，防病毒軟件及其他常用軟件未及時升級等。有些用戶安全意識不足，在非涉密終端上處理涉密或敏感信息，直接導致涉密或敏感信息泄密[1]。

2等級保護中對于個人計算機安全保護的目標與要求

在等級保護的相關國家標準中，從信息系統安全保護等級的角度對終端計算機系統進行了五個安全等級的劃分。簡單來看，對于個人計算機安全保護的安全目標基本可概括為能夠監測和分析個人計算機安全狀態，可以控制和記錄終端的操作行為，統一配置個人計算機安全策略，以使終端“可信、可控、可用、可管”，保護終端正常、安全地運行。從基本要求來看，對個人計算機安全保護提出了技術和管理兩方面的基本要求，組織機構在實施等級保護工作時可根據相關國家標準來完善各等級信息系統的個人計算機安全保護。

3基于等級保護部署個人計算機安全防護體系

個人計算機安全防護是一個復雜的問題，通常一個組織中的終端地理位置分散，用戶使用水平參差不齊，承載業務不同，安全需求各異，這決定了個人計算機安全建設的復雜性和多元性，要根據終端用戶的接入位置、所屬部門、業務需要等條件來選擇和執行適當的安全防護策略，既不能一刀切，也不能對用戶放任自流，缺乏控管。個人計算機安全防護要符合安全等級保護的要求，根據不同的安全等級保護的要求制定切合實際的個人計算機安全防護策略[2]。按照安全等級保護的基本思想和技術要求，要做到科學有效的部署個人計算機安全防護體系，我們認為如下幾個方面值得注意：

（1）身份認證、接入控制身份認證是個人計算機安全的“大門”，進入“大門”就可以獲得終端計算機系統的資源。用戶身份認證是對使用終端的人員進行身份鑒別，只有指定的人員才能使用終端，并接受系統的監管，實現授權操作。終端網絡準入控制是指設置準入的安全策略對接入設備進行驗證，根據個人計算機安全性檢查結果，確定終端接入方式。非授權用戶接入網絡需要身份認證，在用戶身份認證時，可綁定用戶接入MAC、IP、接入設備IP、端口等信息，進行強身份認證，防止賬號盜用、限定賬號所使用的終端，認證成功但安全性檢查沒通過的終端，放入隔離區自動引導其完成主機完整性修復;認證和安全性檢查全部通過的終端計算機才能接入內部網絡。

（2）訪問控制對有權訪問網絡的終端根據其賬戶身份定義的安全等級進行檢查和訪問控制，不安全的終端被隔離在修復區中，待修復完成后方可訪問其有權訪問的區域;其次，要對訪問控制做到細致控制，如果只控制能否訪問網絡就太過粗放，真正的訪問控制是要做到能根據賬號享有的權限嚴格控制其的訪問范圍，將內部核心數據資源劃分為不同的安全等級，根據賬號的不同權限控制其可訪問的不同的安全等級范圍內的資源。例如：核心的業務資源信息、高級機密信息等列在敏感信息的等級中，嚴格控制可訪問其的終端和賬號;而郵件服務器和普通文件服務器可劃分在安全等級較低的范圍內，供更多的人使用。

（3）數據加密數據安全越來越受到重視，特別是公司、公安、保密等部門來說，內部數據安全是亟待解決的重要問題。一些電腦外帶使用丟失或被盜后，重要數據被盜取造成泄密，內部無讀取權限的員工有意或無意打開敏感數據等給內網數據安全帶來極大挑戰。目前，應對數據存儲安全的主要策略是數據加密技術，采用軟件加密或者硬件加密技術，可以確保計算機硬盤數據的密文存儲，杜絕因數據竊取、硬盤更換、丟失等造成的數據泄密。

（4）系統加固、病毒防范要確保終端系統軟件安全，對受控的終端進行基線安全檢查，對不滿足基線安全要求的終端通過個人計算機安全管理系統和補丁管理系統、防病毒系統聯動，及時向終端分發經過安全測評的漏洞補丁和更新、升級病毒庫和惡意代碼庫;制定安全威脅掃描策略，定期掃描和清除病毒、木馬、后門、間諜軟件、網頁掛馬、網絡釣魚軟件等惡意軟件。不安裝未經第三方安全測試的可疑補丁、插件、更新程序和其他工具軟件，防止終端自身存在安全漏洞被木馬、病毒利用[3]。

（5）終端行為審計終端上網行為的審計作為一種技術手段，對于防止用戶進行非法訪問及事后追蹤、審計是十分必要的。主要包括以下內容：①網絡文件輸出審計：對主機通過共享文件等方式進行的網絡文件輸出行為進行審計和記錄。②上網訪問行為審計和控制：可對用戶上網訪問的網頁等進行審計和記錄;以黑白名單的方式對用戶的網頁訪問行為進行控制。③文件保護及審計：保護和監控選定用戶終端的指定目錄和網絡共享文件的讀取、修改、刪除權限;對設定目錄文件的操作進行審計，包括文件創建、打印、讀寫、復制、改名、刪除、移動等的記錄。④用戶權限審計：審計用戶權限更改及操作系統內用戶增加和刪除。以上絕大多數安全策略和審計都可以通過相應的軟件和硬件來完成，所以選擇性能強大的能夠滿足本單位安全策略和審計要求的軟件和硬件至關重要。首先是功能強大和全面，這樣才能滿足個人計算機安全的當前和未來的需求。在選擇軟硬件時，一定要重視其綜合管理能力，不要只是放在某個具體功能上面。另外，具有自主知識產權的國產產品是首選的產品。

（6）安全策略是個人計算機安全防護體系建設的核心，所有的個人計算機安全防護建設都應該圍繞預先制定的安全策略來執行。對于終端的安全策略應包括以下內容：①操作系統的安全策略。例如密碼策略、賬號策略、本地策略、軟件策略、服務策略、外設策略、審核策略、屏保策略、匿名訪問限制、建立撥號連接限制等等。這些安全配置的正確應用對于各種軟件系統自身的安全防護具有重要作用。操作系統安全策略可由第三方安全產品或操作系統本身強制執行。②分配用戶權限。針對不同組織機構的具體情況，嚴格分配和授權終端用戶的使用權限。如網絡訪問權限，系統訪問權限、授權用戶的使用資源。③互聯網訪問策略。一項分析統計報告表明，很多辦公終端感染病毒或流氓軟件，均源于惡意網站和P2P的海量下載。如果不對終端用戶訪問互聯網加以控制，各種防護措施將不能有效地防范所有攻擊。④制定外來人員訪問策略，嚴格控制和管理外來終端的接入和訪問權限。對外來終端實施準入控制，可采用先進的網絡準入控制軟件，嚴格限制未經授權的終端接入內部網絡，避免由此造成的安全隱患。終端準入控制技術是指在端點連接到網絡之前對其安全狀態進行審計和適度更新，從而將蠕蟲和病毒屏蔽在網絡之外。

（7）領導重視和功能強大全面的軟硬件的選擇，兩者缺一不可。如果只是強調軟硬件的強大，那么就有可能購買以后，置之高閣或者無法正常使用。必須首先取得領導對本單位個人計算機安全策略的重視，對信息部門實施的安全策略的首肯，并且同意堅決地貫徹實施，那么購買的安全軟硬件才可以充分發揮其應有的作用。還有一點要特別注意的是：本單位或本系統最好購買同一的軟硬件安全產品，這樣才有助于安全策略的部署和實施，才可以防止不同軟硬件之間的沖突和不兼容性問題，這些問題的發生有時候是很不容易解決的，或者解決起來會增加很多成本和時間，還會給本單位的安全管理帶來不必要的麻煩[4]。

4結束語

信息安全等級保護制度是國家信息安全保障工作的基本制度，經過十多年的成長已經成為一個廣泛接受的概念。相關的政策規范及配套標準已推出，系統定級工作也已全面開展。通過相關政策規范及配套標準的指導，組織機構在實施信息安全建設工作時可保證安全建設的合規性與有效性，保障信息系統應用。在信息系統終端防護系統建設方面，應采取技術與管理并重策略，以相關政策規范和配套標準為指導的理論依據，以科學有效的技術和管理手段為實施原則，為信息系統建立遵循等級保護思路的信息系統終端防護技術。

參考文獻

[1] 周德銘.落實安全等級保護增強信息系統安全[J].信息網絡安全，2009（5）：10，19.

[2] 衡靜.個人計算機安全防范迫在眉睫[J].金融電子化，2007（3）：53-54.

[3] 信息安全技術信息系統安全等級保護基本要求：GBT22239-2008[S].北京：中國標準出版社，2008.

[4] 信息安全技術終端計算機系統安全等級技術要求：GA/T671-2008[S].北京：中國標準出版社，2008.