数据终端安全配置的方法浅析.docVIP

数据终端安全配置的方法浅析 　　【 摘 要 】 文章针对现阶段辽宁省气象局在终端数据安全管理上普遍存在的隐患，提出了对终端数据进行综合安全防护的整体解决方案。采用多种防护方法（如准入控制、桌面管理等），设置敏感信息的扩散边缘，监控终端操作敏感信息的行为及记录操作审计日志，实现对数据存储、使用过程控制、保护和审计，确保数据完整性，避免数据的非授权获取，做到事前防范、事中巡查和事后审计，实现对终端数据有效的安全综合防护。 　　【 关键词 】 终端安全；安全管理；管理技术 　　1 引言 　　随着互联网的迅猛发展，信息时代的重要信息载体“电脑”，面临着越来越恶劣的应用环境，蠕虫、木马、冲击波等病毒层出不穷，时刻威胁着电脑安全，使得电脑出现运行缓慢、应用程序出错、系统崩溃等现象。 　　2 终端安全的威胁现状 　　缺乏终端网络准入机制。计算机终端未经任何身份认证和安全认证，随意接入网络，访问网络和计算机资源，对整个网络和应用造成很大的安全威胁。 　　系统漏洞广泛存在，包括操作系统、浏览器、办公软件以及媒体播放器等常用软件的漏洞广泛存在。如果漏洞补丁安装不完全、不及时，将给病毒、木马、恶意软件等入侵系统造成可乘之机。 　　木马、病毒等恶意软件的攻击手段层出不穷。木马、病毒等恶意软件的入侵和传播已趋向网络化。蠕虫、后门、恶意代码、垃圾邮件、流氓软件、间谍软件、广告程序、U盘病毒、网络仿冒、网页挂马等时刻威胁终端系统和网络安全。 　　用户缺乏安全知识。终端用户缺乏必要的信息安全知识，未能及时采取合适的安全防护措施保护，如安全配置不正确、系统补丁安装不完全、不及时将防病毒软件及其他常用软件及时升级等。部分用户安全意识淡薄，在非涉密终端上处理涉密或敏感信息，直接导致涉密或敏感信息泄密。 　　3 终端安全配置主要内容 　　终端安全配置主要分为五部分，分别为准入控制、桌面管理、补丁管理、存储管理、加密管理等。 　　准入控制。准入控制包括终端身份认证和终端网络准入控制。身份认证是指对使用终端的人员进行身份鉴别，只有指定的人员才能使用终端，并接受系统监管，实现授权操作。终端网络准入控制是指设置准入的安全策略对接入设备进行验证，根据终端安全性检查结果，确定终端接入方式。 　　桌面管理。桌面管理主要包括桌面流量管理、进程运行管理、终端服务管理、点对点终端控制等。对广义上的终端，比如服务器等，需要有主机运维解决方案，包括CPU、内存等运行资源的监控、主机流量异常的监控、系统服务或进程的异常监控等。 　　补丁管理。补丁管理涵盖Windows Update的所有功能及文件分发、文件自动执行功能，同时提供补丁整体导入、增量导入、补丁信息上报管理控制等功能。 　　存储管理。存储管理主要指对移动存储介质的管理，采用如移动存储介质登记及认证、移动存储介质分级授权及加密等技术，来确保移动存储数据安全。 　　数据加密。数据加密是指采用数据加密技术，如软件加密或者硬件加密技术，来确保计算机硬盘数据的密文存储，杜绝因数据窃取、硬盘跟换、丢失等造成的数据泄密。 　　4 终端安全配置 　　要解决终端安全管理问题，首先要解决非法终端和不安全终端的接入问题，要能通过身份认证明确终端使用人员的账户和密码，并将人员账户与终端进行有效关联，便于对各类终端问题的迅速定位（即可定位终端在网络中的位置，又可迅速定位问题终端的相关责任人）。其次，对有权访问内部网络的终端进行账户身份定义的安全等级检查和接入控制，不安全的终端隔离在修复区中，修复完成后可以访问其有权访问的区域。再次，要对接入控制进行细化，要做到能根据账户享有的权限严格控制其的访问范围，如将内部核心数据资源划分为不同的安全等级，根据账户的不同权限控制其可访问不同的资源。最后，要从终端管理角度出发，对相关的人员的行为进行审计，通过严格的内部行为审计和检查，来减少内部安全威胁。 　　5 终端安全应用 　　针对上述终端安全威胁，辽宁省气象局采取几项措施进行了信息安全改造工作。一是通过部署上网行为管理系统、帮助管理者全面了解业务人员上网情况和网络使用情况，提高网络使用效率和工作效率，最大限度地避免不当的上网行为带来的潜在终端数据安全风险，提高终端数据的安全性。二是通过部署漏洞扫描系统，能够对网络设备、终端数据操作系统和数据库三个方面进行扫描，找出数据终端的安全漏洞，并将所发现的漏洞依照风险等级进行分类，向用户发出不同的警告提示，提交风险评估报告，给出相应的修补措施和安全建议。 　　6 结束语 　　随着东北区域气象中心新业务楼信息网络支撑系统全面建成，终端数据安全管理工作较比过去有了大幅的提高，但还不能达到预期的目标，所以必需根据终端数据的特点、结合本单位的实际情况，做好中长期规划。要在确保终端数据安全的前