个人计算机安全保护要点分析.docx

?

?

个人计算机安全保护要点分析

?

?

伊丹

摘要个人计算机作为信息化系统中对信息处理、存储和传输等工作的最基本单元，确保其安全性已成为信息系统信息安全保障工作中的重要环节。本文按照信息系统等级保护体系对个人计算机安全保护的要求，重点提出了在科学有效地部署个人计算机安全防护体系中应注意的问题以及对应的措施。

关键词个人计算机;等级保护;信息系统;个人计算机安全

引言

个人计算机，作为信息系统的最基本单元，承载着信息加工、处理、存储和传输等重要工作，其安全性涉及系统安全、数据安全、网络安全等各个方面，但是，公司办公网络，个人计算机数量众多，个人计算机安全管理难度很大，个人计算机安全业已成为信息系统信息安全保障工作中的薄弱环节，个人计算机安全也是等级保护体系中安全建设的重要部分，因此，如何在等级保护环境下科学有效部署个人计算机安全防护体系，是当前信息系统信息安全保障工作中迫在眉睫的任务。

1办公终端的威胁现状

目前，信息系统的终端威胁主要来源于以下几个方面：①缺乏终端网络准入机制;②系统漏洞的广泛存在;③木马、病毒等恶意软件的攻击手段层出不穷;④用户缺乏安全知识。有些用户缺乏必要的信息安全知识，未能及时采取合适的安全防护措施保护终端，如安全配置不正确、系统补丁安装不及时、不完全，防病毒软件及其他常用软件未及时升级等。有些用户安全意识不足，在非涉密终端上处理涉密或敏感信息，直接导致涉密或敏感信息泄密[1]。

2等级保护中对于个人计算机安全保护的目标与要求

在等级保护的相关国家标准中，从信息系统安全保护等级的角度对终端计算机系统进行了五个安全等级的划分。简单来看，对于个人计算机安全保护的安全目标基本可概括为能够监测和分析个人计算机安全状态，可以控制和记录终端的操作行为，统一配置个人计算机安全策略，以使终端“可信、可控、可用、可管”，保护终端正常、安全地运行。从基本要求来看，对个人计算机安全保护提出了技术和管理两方面的基本要求，组织机构在实施等级保护工作时可根据相关国家标准来完善各等级信息系统的个人计算机安全保护。

3基于等级保护部署个人计算机安全防护体系

个人计算机安全防护是一个复杂的问题，通常一个组织中的终端地理位置分散，用户使用水平参差不齐，承载业务不同，安全需求各异，这决定了个人计算机安全建设的复杂性和多元性，要根据终端用户的接入位置、所属部门、业务需要等条件来选择和执行适当的安全防护策略，既不能一刀切，也不能对用户放任自流，缺乏控管。个人计算机安全防护要符合安全等级保护的要求，根据不同的安全等级保护的要求制定切合实际的个人计算机安全防护策略[2]。按照安全等级保护的基本思想和技术要求，要做到科学有效的部署个人计算机安全防护体系，我们认为如下几个方面值得注意：

（1）身份认证、接入控制身份认证是个人计算机安全的“大门”，进入“大门”就可以获得终端计算机系统的资源。用户身份认证是对使用终端的人员进行身份鉴别，只有指定的人员才能使用终端，并接受系统的监管，实现授权操作。终端网络准入控制是指设置准入的安全策略对接入设备进行验证，根据个人计算机安全性检查结果，确定终端接入方式。非授权用户接入网络需要身份认证，在用户身份认证时，可绑定用户接入MAC、IP、接入设备IP、端口等信息，进行强身份认证，防止账号盗用、限定账号所使用的终端，认证成功但安全性检查没通过的终端，放入隔离区自动引导其完成主机完整性修复;认证和安全性检查全部通过的终端计算机才能接入内部网络。

（2）访问控制对有权访问网络的终端根据其账户身份定义的安全等级进行检查和访问控制，不安全的终端被隔离在修复区中，待修复完成后方可访问其有权访问的区域;其次，要对访问控制做到细致控制，如果只控制能否访问网络就太过粗放，真正的访问控制是要做到能根据账号享有的权限严格控制其的访问范围，将内部核心数据资源划分为不同的安全等级，根据账号的不同权限控制其可访问的不同的安全等级范围内的资源。例如：核心的业务资源信息、高级机密信息等列在敏感信息的等级中，严格控制可访问其的终端和账号;而邮件服务器和普通文件服务器可划分在安全等级较低的范围内，供更多的人使用。

（3）数据加密數据安全越来越受到重视，特别是公司、公安、保密等部门来说，内部数据安全是亟待解决的重要问题。一些电脑外带使用丢失或被盗后，重要数据被盗取造成泄密，内部无读取权限的员工有意或无意打开敏感数据等给内网数据安全带来极大挑战。目前，应对数据存储安全的主要策略是数据加密技术，采用软件加密或者硬件加密技术，可以确保计算机硬盘数据的密文存储，杜绝因数据窃取、硬盘更换、丢失等造成的数据泄密。

（4）系统加固、病毒防范要确保终端系统软件安全，对受控的终端进行基线安全检查，对不满足基线安全要求的终端通过个人计算机安全管理系统和补丁管理