国家人口与计划生育委员会中国人口与发展研究中心 蔡鹏程 冯方回  
　　作为电子政务的最基本单元，计算机终端承载着信息加工、处理、存储和传输等重要工作，但终端安全管理难度很大，终端安全业已成为电子政务信息安全保障工作中的薄弱环节。

　　根据相关调查，政府单位中超过80%的信息安全威胁来自内部计算机终端。近些年政府部门开展的信息安全大检查中，发生了多起重大信息安全事件，主要是由于计算机终端被植入木马，木马再利用系统漏洞非法窃取涉密信息所致。

　　加强计算机终端安全管理，是当前电子政务信息安全保障工作中迫在眉睫的任务。

　　安全风险分析

　　存在安全漏洞的一些政府网站已成为黑客们一试身手的攻击对象。电子政务信息系统的脆弱日益暴露，信息系统安全已成为政府IT管理中越来越关键的工作。

　　有些计算机终端未经任何身份认证和安全认证，就可以随意接入网络，访问网络和计算机的资源，对整个网络和应用造成很大的安全威胁。缺乏终端网络准入机制已成为政务终端的安全风险的主要来源之一。

　　另外，系统漏洞的广泛存在，包括操作系统浏览器办公软件以及 媒体播放器等常用软件的漏洞广泛存在。如果漏洞补丁安装不完全不及时，将给病毒、木马、恶意软件等入侵系统造成可乘之机。

　　还有，系统补丁及软件升级包未经第三方安全测试。网络在线升级方式，大大加快了软件更新频率和速度。但是，由于多数系统补丁及软件升级包均未经第三方安全测评，其完整性、一致性、适用性，尤其是安全性难以得到保证。

　　木马、病毒等恶意软件的攻击手段层出不穷，木马、病毒等恶意软件的入侵和传播已趋向网络化。蠕虫、后门、恶意代码、垃圾邮件、流氓软件、间谍软件、广告程序、U盘病毒、网络仿冒、网页挂马等时刻威胁终端的系统和信息安全。

　　用户缺乏安全知识，有些用户缺乏必要的信息安全知识，有些用户安全意识淡薄，在非涉密终端上处理涉密或敏感信息，直接导致涉密或敏感信息泄密。俗话说：“堡垒是最容易从内部攻破的。”

　　机构对终端安全缺乏掌握，终端安全防护和管理一直是用户的个人行为，机构缺乏对终端安全状态的收集手段和对终端安全的管理手段。因此，在非涉密终端上使用涉密U盘等移动存储设备、终端安全配置、终端安全防护措施（如杀毒软件、防火墙等）、终端异常流量等情况缺乏统一管理。

　　整体防护系统

　　政务终端作为政府部门信息存储、传输、应用处理的基础设施，其自身安全性涉及信息安全体系的系统安全、数据安全、网络安全等各个方面。任何一个节点出现问题都有可能影响到整个网络的安全。

　　只有建立统一管理的终端安全整体防护系统，有组织有计划地监测和分析终端安全状态，统一配置终端安全策略，提高政务终端的安全保障能力，确保终端正常、高效地运行。

　　针对政务终端在安全方面存在的风险，提高终端安全性的关键在于：及时安装漏洞补丁和安全更新，但不要轻易安装未经第三方安全测试的可疑补丁、插件、更新程序和其他工具软件；正确配置终端安全策略，包括用户身份、口令长度、服务、补丁更新、病毒库升级、端口等策略；安装防病毒软件并启动防火墙，及时升级病毒库，有效阻击各种病毒、木马及恶意软件；加强对终端安全状态的监控，统计系统漏洞、病毒入侵、设备变化、异常行为等信息，并根据终端安全问题及时调整安全策略采取有效措施，保持终端的安全状态。

　　终端安全管理是一个复杂的问题，通常一个组织中的终端地理位置分散，用户水平参差不齐，承载业务不同，安全需求各异，这就决定了终端安全建设的复杂性和多元性，要根据终端用户的接入位置、所属部门、业务需要等条件来选择和执行适当的安全管理策略，既不能搞一刀切，也不能对用户放任自流，缺乏控管。

　　显然局部的、简单的、被动的防护不足以解决问题，要想解决终端安全问题，需要建立统一管理的终端安全整体防护系统，全面管理终端安全。

　　终端安全管理还要符合安全等级保护的要求，根据不同的安全等级保护的要求制定切合实际的终端安全管理的制度，必须克服两种极端的错误认识：终端安全管理越严格越好；终端安全管理不好部署，容易得罪领导和同事，因此放任自流。

　　制度规范

　　网络安全复杂多变，政府办公网络终端安全建设除了依靠相应的产品技术外，制度规范也是必不可少的。“三分技术，七分管理”，政府部门需要从自身入手，制定切实可行的制度来规范员工使用计算机终端的行为，才能更好的杜绝政府办公网络的安全隐患。

　　执行终端网络准入控制。设置准入的安全策略对接入设备进行验证，根据终端安全性检查结果，确定终端接入方式。对于认证失败的用户，断开其网络连接；认证成功但安全性检查没通过的终端，放入隔离区自动引导其完成主机完整性修复；认证和安全性检查全部通过的主机才能接入内部网络。

　　统一配置和部署终端安全策略。终端安全防护系统向终端统一配置安全策略。安全策略主要包括密码策略，统一规定终端的口令长度；病毒扫描策略，定义扫描计算机终端的频率；漏洞更新频率，判断用户终端哪些策略是必须的，按照用户的需求分出补丁等级。

　　加强对办公终端应用系统的防护。通过软件名称关键字监控指定软件的安装使用行为，对非法安装使用的软件实时监控并告警；一旦发现木马入侵运行即可及时通知管理员进行处理；利用终端安全管理系统中终端审计功能，包括文件、系统、日志三部分，系统一旦发现内部员工违规操作、越权访问等行为，能及时报警。

　　控制U盘、移动硬盘、光驱等外设的使用。管理员可以对USB外设进行注册授权认证；在安全控制方面，系统能够对存放于U盘或光盘上的Windows“自动播放”进行控制，防止autorun病毒木马传播与扩散。

　　利用终端安全管理系统中的非法外联检测功能，统一管理内网办公终端的modem、无线网卡使用，防止私自拨号上网，防止非法外联泄密。

　　实施统一的终端资产管理。终端资产管理主要是满足对整个网络内部IT资产的管理和统计。计算机上的软、硬件资源是终端运行的基础，软件和硬件的失效或意外变更可能会影响终端的正常运行和信息安全，需要对软硬件资产进行统计管理，实现对用户终端强监控。

　　终端安全管理的制度规范要反复修改，反复讨论，在获得领导和大多数职工的认可后，正式发布就要认真执行，定期检查审核，不能只是停留在纸面上当作摆设，关键是落实检查和定期审核，需要有相应的机构和人员专门从事安全制度的落实情况。