终端安全：时刻有效防护

2023-11-23 理论教育版权反馈

【摘要】：2.运行类风险防护操作系统网络流量监控对操作系统各用户、各时段的流量监控可以有效地判断计算机内是否存在程序、服务在上传或下载信息，及时判断计算机是否感染木马程序致使信息外发，或成为共享服务站造成信息泄漏。

经过长时间的探索和分析，我们把计算机终端安全大致分为两方面，分别是计算机终端的物理安全和系统安全。

计算机终端的物理安全就是计算机所在物理环境的安全与计算机自身硬件的安全。物理环境安全就如同一个人的生存、生活和工作环境，环境适宜，心情和工作都会比较舒畅，环境恶劣的时候人也会生病。同理，计算机也有比较适宜的工作环境（如周边环境的湿度、温度、电压和雷击等），当环境的某个或多个因素超过计算机的极限承受能力时，计算机也会像人一样“生病”。

计算机终端物理安全还包括计算机各个元器件的自身安全，如硬件的自身损耗、人为破坏和被盗丢失等。因此，计算机的使用过程中就要有对于硬件的保护和维护工作。

随着人类科技实力的不断提高，计算机各个零部件的寿命和强度都有了明显提高，但因为自身构造等特点，一些硬件使用不当极易遭到破坏，导致计算机无法正常使用。

目前，计算机已大规模步入人类文明生活的各个方面，对于人类生活的办公、娱乐和学习都有着重大影响。同时，木马和病毒在计算机世界横行（本书将对这些威胁进行详细介绍）。因为计算机存储了大量的个人、商业和军事信息，一些不法人员为非法牟取利益将黑手伸向了这些终端，盗取硬件、施放木马和恶意程序等，无不危害着计算机终端的正常使用和操作员的正常工作与生活。

以上就是对计算机终端安全中物理安全性的简单描述。计算机终端安全的另一方面则是系统安全，是本书重点介绍的部分。

计算机终端系统安全主要是操作系统相关技术和网络安全技术两个部分。

操作系统相关技术是针对目前终端使用的主要操作系统，如Windows、UNIX等，包括操作系统的驱动开发、信息获取和接口调用等。

网络安全技术包括网络设备的相关接口开发、网络信息的扫描和探测等。

与终端安全相关的事件统称为终端安全事件。有效地区分与终端安全相关的事件，是分析终端安全状况的首要工作和基础工作。

终端在使用过程中会产生众多事件，每一个事件都有可能与终端安全相关，但并不意味着这些内容都属于终端安全事件范畴，不对这些时间进行严格的区分、限定和归并，就极可能导致对于终端安全的分析工作陷入误区。因此记录终端和区分终端产生的事件是否属于安全事件就是终端安全工作需要完成的重要工作。终端自身产生的事件，取决于事件的产生源，不可能把所有的事件全部记录，所以，对于终端安全的相关事件，有相当大的一部分来自网络和第三方工具的分析。

终端安全防护主要是建立在计算机终端可能发生风险的各个方面的有效管控，通过制度与技术有效结合的方式，减少甚至杜绝各类风险事件的发生，针对终端使用过程中可能发生风险的操作行为进行详细记录，通过分析之后进行具有针对性的防护措施和相关功能的管控。管控措施如下：

1.基础类防护措施

（1）操作系统安全防护

对操作系统进行安全加固；关闭不必要的服务、端口和来宾组等；为不同用户开放不同的权限，防止安装过多应用软件及病毒和木马程序的自运行。

（2）进程运行监控

对运行以及试图运行的进程与进程树进行监视和控制；防止病毒和木马等恶意程序调用进程。及时了解操作系统开启服务与程序情况，防止恶意程序后台运行。

（3）操作系统性能监控

对操作系统内存和CPU利用率等基本性能的监控有助于了解对系统资源占用过大的程序，从而鉴定其是否为正常运行或正常程序；有助于对计算机硬件利用率的掌握和硬件性能的维护。

（4）终端外设使用监控

对终端外设接口、外联设备使用的监视和控制能有效地控制计算机的资源利用率，规范计算机资源使用，防止因滥用计算机外接存储设备造成的木马、病毒的泛滥传播等。

（5）操作系统密码口令检查

定期改变具有一定复杂度的密码及密码策略可以有效地防止非授权人员进入计算机终端，防止非法人员窃取计算机终端信息，所以，对操作系统口令的检查能有效地督促计算机终端设置合规的用户口令，保证终端安全。

（6）网络配置信息监控(www.chuimin.cn)

网络配置信息包含计算机网卡的MAC、IP地址和计算机路由器的接口信息等。对网络配置的有效监控可以及时发现非法接入信息系统的非法终端，防止非法终端接入可信网络窃取信息、传播病毒等。

2.运行类风险防护

（1）操作系统网络流量监控

对操作系统各用户、各时段的流量监控可以有效地判断计算机内是否存在程序、服务在上传或下载信息，及时判断计算机是否感染木马程序致使信息外发，或成为共享服务站造成信息泄漏。

（2）操作系统网络访问监控

对计算机终端进行的系统网络访问控制能有效地防止计算机进行违规互联，防止信息因共享等方式进行违规流转，防止木马、病毒在信息系统内大规模爆发。

（3）操作系统运行状态监控

对操作系统运行状态的监控可有效地了解到计算机终端长时间未登录、企图进入安全模式等绕过行为，监控主机调用的端口、服务等系统信息，保证计算机终端时刻处于被监控状态。

3.信息类风险防护

（1）安全准入控制

非法主机接入可信信息系统可能导致内网信息外泄、病毒、木马传播扩散和对内外服务器攻击等严重后果，因此对计算机终端的安全防护中，准入控制是极为重要的一项防护手段。

（2）终端使用者变更监控

计算机终端可能归属不同人员使用，不同用户及使用者对计算机终端有着不同的操作权限，对于变更使用者的计算机终端应及时改变资产所属人员以保证计算机使用权限正常，资产归属正常；防止计算机终端使用者非授权登录、使用计算机，保证计算机终端信息安全性。

（3）中心信息的防扩散和防泄密监控

按照国家保密标准及等级保护标准的明确规定，应有效控制信息的知悉范围，明确信息流向，对外泄信息进行安全回收，对外带便携式计算机及移动存储介质进行外泄后的信息清除，防止设备再次使用时信息被违规恢复。因此，做好信息的防扩散、防泄漏工作是非常必要的。

4.管理类风险

（1）管理人员操作监控

对管理人员的操作进行安全监控，一方面规范了管理员的操作行为，另一方面也使出现安全问题后的责任追查工作简单、明确、抗抵赖。

（2）管理工具运行状态监控

因管理工具为管理员所用，有着相同的用户权限，为防止管理工具内嵌木马、病毒等恶意程序，针对管理工具的状态监控，可有效防止管理员在不知情的状态下将木马、病毒等恶意程序感染传播至服务器等重要资源。

（3）监控信息实时分析

对于监控信息，应进行实时和准确的分析，在第一时间判断安全事件的发生所在，确定问题所在后进行快速响应与处理。

终端安全：时刻有效防护

相关推荐