企业终端设备存在的安全隐患及防护措施

　　1 引言

　　某公司十分重视终端设备安全工作，针对终端设备安全防护问题建立了初步的安全框架，在安全管理、安全技术等方面形成了一个较为健全的安全保障体系。

　　2 终端设备存在的安全隐患

　　1） 不少终端设备用户安全意识淡薄。不少终端设备的使用人员的信息安全和保密意识比较淡薄，对一些不明信息、软件及程序不加以辨别任意浏览、下载、安装、使用，往往给病毒及黑客攻击造成可乘之机。不少人对于网络安全的重视不够，认为终端设备安全防护是简单的问题，一次性安装好所有的安全防护软件产品便可以"高枕无忧".其实在计算机技术发展迅速的今天，当下的先进产品和技术不久就可能就被淘汰了。

　　2） 现有的计算机软硬件产品本身存在安全隐患。现有的计算机操作系统存在大量的安全漏洞，及易受到网络病毒和黑客的攻击，造成网络系统泄密甚至瘫痪。例如，利用微软系统漏洞进行传播的"冲击波"、"震荡波"蠕虫病毒，就曾经在互联网和局域网上大面积爆发，造成了巨大的损失。

　　3） 基层信息维护人员的水平有待提高。公司庞大的终端设备数量决定了基层单位终端设备的运行维护工作任务繁重，如果基层信息维护人员的技术水平不能得到有效地提高，便不能及时对终端设备进行安全检测、发现安全隐患、进行安全防护和简单的维修。一旦设备出现故障，势必造成较大损失。

　　3 终端设备安全管理措施

　　1） 完善终端设备安全各项管理制度。制度是管理的基础，没有一套完善的、切实可行的制度保障，终端设备的安全也就变成了空谈。某公司将终端设备安全纳入公司安全生产，制定了《信息系统安全运行管理规程》、《办公计算机信息安全和保密管理规定》等一系列管理标准，其中《办公计算机信息安全和保密管理规定》中明确了与终端设备安全有关的各项制度，如：管理职责分工、对办公计算机信息安全和保密管理、对相关计算机的外设管理、办公计算机维护和变更要求、计算机使用人员要求等。

　　2） 加强人员管理，提高安全意识。人员管理是终端设备安全保障的一个重要组成部分。我公司出现的终端设备安全问题大部分还是由于终端设备使用人员的安全意识差，如打开病毒邮件、系统及用户口令设置不当、U盘随意使用导致病毒传播、随意开启共享服务、不安装防毒软件、操作系统不及时打补丁、没有及时进行数据备份等等。因此提高人员素质、提高人员安全意识对网络与系统的安全起着很大的作用。

　　3） 加强考核，确保制度的执行。考核是保证各项制度执行的一种有效手段，公司因此制定了《某公司信息化管理考核细则》。考核细则从防病毒工具安装、移动存储介质的使用、设备实名情况、口令设置等各方面都进行了详细的考核说明，对制度的监督执行提供了一个有效的保证。另外还不定期对公司属各单位终端设备信息安全与保密情况进行检查，对于在终端设备安全检查中发现的各类问题均严格执行公司考核制度，决不姑息。

　　4 终端安全技术防护手段

　　4.1 信息内外网隔离

　　某公司信息内外网隔离的完成，将我公司原有信息网络改造为内部信息网，新建信息外网并与内部信息网物理隔离，有效阻止了互联网上的病毒、木马程序直接进入到内部信息网，避免了遭受黑客攻击的可能，确保某公司信息网络的安全、稳定、可靠运行。

　　4.2 网络防病毒系统和木马查杀工具

　　在各种网络防毒系统各有千秋的形势下，我公司先后使用了塞门铁克的Norton和瑞星两套防病毒系统，各终端根据自身应用情况可以选择其一安装使用，方便用户对所使用的终端设备进行流行木马查杀、恶意软件清理、ARP防火墙保护、系统全面诊断等必要的防护措施。

　　4.3 移动存储介质管理系统

　　移动存储介质的随意使用是导致计算机病毒、木马泛滥的主要途径之一。移动存储介质管理系统通过集中的注册管理平台对USB存储设备作严格的设备介质身份认证、数据信息重构、数据加密等一系列安全防护操作；未经注册的移动存储设备将会自动被系统强制卸载，实现单位U盘外出使用需要到单位保密或网络管理员处登记，否则在外部无法打开。

　　4.4 Internet上网认证系统

　　我公司在Internet接入点部署了认证管理网关，实现"管理，认证，授权，监控"等功能。认证网关具有WEB、客户端两种认证方式，拥有丰富的安全及控制策略，支持BT限速，具有防私接、防代理，并具有用户监控管理、资源限制等功能，实现了对上网用户的认证授权控制管理。

　　4.5 漏洞扫描系统

　　在终端设备中常常存在系统设置不当使得普通用户权限过高、管理员操作不当使系统被安装了后门程序、系统本身或应用程序存在可被利用的漏洞等等不安全因素。网络漏洞扫描系统正是实现对各种主流操作系统的主机和智能网络设备进行扫描，发现安全隐患和漏洞，并提示修补建议，最大限度地降低系统安全风险。

　　4.6 SUS补丁分发系统

　　我公司终端及服务器绝大多数采用了微软的Windows操作系统，但由于内部信息网用户不能登陆互联网，造成终端遭受病毒感染和黑客攻击的几率增加。针对这个问题我们采用SUS2.0,通过在内部信息网建立服务器端，下载最新补丁程序，客户端可通过内网建立的服务器端自动下载升级补丁，并可定制客户端的安装策略，保障了计算机的安全。

　　5 某公司终端设备安全保障图

　　6 结束语

　　终端设备的安全防护看似是一个简单的问题，但实际上所涉及的内容并不少。我们的企业只有充分了解自己的实际情况，综合考虑安全需求、技术、管理、相关法律法规等各方面因素，才能建立起适合自己的安全防御体系，使终端设备安全真正地做到坚入磐石。