計算機終端，作為電子政務的zui基本單元，承載著信息加工、處理、存儲和傳輸等重要工作，其安全性涉及系統安全、數據安全、網絡安全等各個方面，但是，政府辦公網絡，計算機終端數量眾多，終端安全管理難度很大，終端安全業已成為電子政務信息安全保障工作中的薄弱環節。調查顯示，政府單位中超過80%的信息安全威脅來自內部計算機終端。近些年政府部門開展的信息安全大檢查中，發生了多起重大信息安全事件，主要是由于計算機終端被植入木馬，木馬再利用系統漏洞非法竊取涉密信息所致。因此，加強計算機終端安全管理，是當前電子政務信息安全保障工作中迫在眉睫的任務。

　　1 政務終端安全風險分析

　　政務終端的安全風險主要來源于以下幾個方面：

　    （1）缺乏終端網絡準入機制：有些計算機終端未經任何身份認證和安全認證，就可以隨意接入網絡，訪問網絡和計算機的資源，對整個網絡和應用造成很大的安全威脅。

　　（2）系統漏洞的廣泛存在：包括操作系統﹑瀏覽器﹑辦公軟件以及媒體播放器等常用軟件的漏洞廣泛存在。如果漏洞補丁安裝不*﹑不及時，將給病毒、木馬、惡意軟件等入侵系統造成可乘之機。

　　（3）系統補丁及軟件升級包未經第三方安全測試：網絡在線升級方式，大大加快了軟件更新頻率和速度。但是，由于多數系統補丁及軟件升級包均未經第三方安全測評，其完整性、一致性、適用性，尤其是安全性難以得到保證。

　　（4）木馬、病毒等惡意軟件的攻擊手段層出不窮：木馬、病毒等惡意軟件的入侵和傳播已趨向網絡化。蠕蟲、后門、惡意代碼、垃圾郵件、流氓軟件、間諜軟件、廣告程序、U盤病毒、網絡仿冒、網頁掛馬等時刻威脅終端的系統和信息安全。

　　（5）用戶缺乏安全知識：有些用戶缺乏必要的信息安全知識，未能及時采取合適的安全防護措施保護終端，如安全配置不正確、系統補丁安裝不*、不及時，防病毒軟件及其他常用軟件未及時升級等。有些用戶安全意識淡薄，在非涉密終端上處理涉密或敏感信息，直接導致涉密或敏感信息泄密。俗話說：“堡壘是zui容易從內部攻破的”，更為嚴重的是，個別企業職工出于個人利益，經不起巨大經濟利益的誘惑，不惜損壞企業利益，乃至國家利益，將企業機密提供給競爭對手，甚至充當間諜，出賣情報，鋌而走險。他們之所以能夠暫時得手，大多數都是利用企業終端安全管理的漏洞，將竊取的機密數據、文檔非法復制到移動設備（如筆記本電腦）或者移動存儲（如U 盤）上，或者通過電子郵件、即時聊天工具（如）發送出去。由于電子文檔的傳輸、存儲、發送極快，具有很大的隨機性和隱蔽性，如果安全防護措施不到位，取證和跟蹤都相當困難。另外的安全隱患是，個別職工由于種種原因對其他職工或者領導，乃至企業發泄不滿或者報復，利用工作之便，通過計算機終端對企業網絡、服務器或者其他計算機設備發起進攻和破壞，如果安全防護措施不到位，這些進攻或者破壞也有可能得逞。

　　（6）機構對終端安全缺乏掌握：終端安全防護和管理一直是用戶的個人行為，機構缺乏對終端安全狀態的收集手段和對終端安全的管理手段。因此，在非涉密終端上使用涉密U 盤等移動存儲設備、終端安全配置、終端安全防護措施（如殺毒軟件、防火墻等）、終端異常流量等情況缺乏統一管理。

　　2 政務終端安全管理解決方案

　　針對政務終端在安全方面存在的風險，提高終端安全性的關鍵在于：

　　（1）及時安裝漏洞補丁和安全更新，但不要輕易安裝未經第三方安全測試的可疑補丁、插件、更新程序和其他工具軟件；

　　（2）正確配置終端安全策略。包括用戶身份、口令長度、服務、補丁更新、病毒庫升級、端口等策略；

　　（3）安裝防病毒軟件并啟動防火墻，及時升級病毒庫，有效阻擊各種病毒、木馬及惡意軟件；

　　（4）加強對終端安全狀態的監控，統計系統漏洞、病毒入侵、設備變化、異常行為等信息，并根據終端安全問題及時調整安全策略采取有效措施，保持終端的安全狀態。

　　終端安全管理是一個復雜的問題，通常一個組織中的終端地理位置分散，用戶水平參差不齊，承載業務不同，安全需求各異，這就決定了終端安全建設的復雜性和多元性，要根據終端用戶的接入位置、所屬部門、業務需要等條件來選擇和執行適當的安全管理策略，既不能搞一刀切，也不能對用戶放任自流，缺乏控管。顯然局部的、簡單的、被動的防護不足以解決問題，要想解決終端安全問題，需要建立統一管理的終端安全整體防護系統，全面管理終端安全。 終端安全管理還要符合安全等級保護的要求，根據不同的安全等級保護的要求制定切合實際的終端安全管理的制度，必須克服兩種的錯誤認識：終端安全管理越嚴格越好；終端安全管理不好部署，容易得罪領導和同事，因此放任自流。根據實際的工作，我們認為終端安全管理應有如下幾個方面值得注意：

　　（1）執行終端網絡準入控制。設置準入的安全策略對接入設備進行驗證，根據終端安全性檢查結果，確定終端接入方式。對于認證失敗的用戶，斷開其網絡連接；認證成功但安全性檢查沒通過的終端，放入隔離區自動引導其完成主機完整性修復；認證和安全性檢查全部通過的主機才能接入內部網絡。

　　（2）統一配置和部署終端安全策略。終端安全防護系統向終端統一配置安全策略。安全策略主要包括密碼策略，統一規定終端的口令長度；病毒掃描策略，定義掃描計算機終端的頻率；漏洞更新頻率，判斷用戶終端哪些策略是必須的，按照用戶的需求分出補丁等級。

　　（3）確保辦公終端系統軟件安全。對受控的內網辦公終端進行基線安全檢查，對不滿足基線安全要求的辦公終端通過終端安全管理系統和補丁管理系統、防病毒系統聯動，及時向終端分發經過安全測評的漏洞補丁和更新、升級病毒庫；不安裝未經第三方安全測試的可疑補丁、插件、更新程序和其他工具軟件，防止辦公終端自身存在安全漏洞被木馬、病毒利用。

　　（4）加強對辦公終端應用系統的防護。通過軟件名稱關鍵字監控軟件的安裝使用行為，對非法安裝使用的軟件實時監控并告警；一旦發現木馬入侵運行即可及時通知管理員進行處理；利用終端安全管理系統中終端審計功能，包括文件、系統、日志三部分，系統一旦發現內部員工違規操作、越權訪問等行為，能及時報警。

　　（5）控制U 盤、移動硬盤、光驅等外設的使用，管理員可以對USB 外設進行注冊*認證，注冊認證過的USB 外設才可以在內網使用，而加密的U 盤則無法在別的電腦上打開，這樣能有效地管理控制USB 外設濫用行為，可以確保內部關鍵和機密文件不外泄，確保信息安全；在安全控制方面，系統能夠對存放于U 盤或光盤上的Windows“自動播放”進行控制，防止autorun 病毒木馬傳播與擴散。

　　（6）利用終端安全管理系統中的非法外聯檢測功能，統一管理內網辦公終端的modem、無線網卡使用，防止私自撥號上網，防止非法外聯泄密。通過定制和下發禁用可能存在非法外聯的外設控制策略規則到IP、IP 段，或者用戶或用戶組，實現控制終端通過外設（例如USB、modem、無線網卡、紅外線設備、串口、并口等進行）進行非法外聯的行為。

　　（7）實施統一的終端資產管理。終端資產管理主要是滿足對整個網絡內部IT 資產的管理和統計。通常包括硬件設備信息統計、軟件資產統計、設備變更信息統計，以及移動存儲控制及審計。計算機上的軟、硬件資源是終端運行的基礎，軟件和硬件的失效或意外變更可能會影響終端的正常運行和信息安全，需要對軟硬件資產進行統計管理，實時監控終端用戶軟件安裝卸載、硬件變更狀態，一旦發生變化，立即上報給管理員，實現對用戶終端強監控。

　　3 結束語

　　政務終端作為政府部門信息存儲、傳輸、應用處理的基礎設施，其自身安全性涉及信息安全體系的系統安全、數據安全、網絡安全等各個方面。任何一個節點出現問題都有可能影響到整個網絡的安全。只有建立統一管理的終端安全整體防護系統，有組織有計劃地監測和分析終端安全狀態，統一配置終端安全策略，提高政務終端的安全保障能力，確保終端正常、地運行。

　　不過，網絡安全復雜多變，政府辦公網絡終端安全建設除了依靠相應的產品技術外，制度規范也是*的，三分技術，七分管理，政府部門需要從自身入手，制定切實可行的制度來規范員工使用計算機終端的行為，才能更好的杜絕政府辦公網絡的安全隱患。終端安全管理的制度規范條例要反復修改，反復討論，在獲得領導和大多數職工的認可后，正式發布就要認真執行，定期檢查審核，不能只是停留在紙面上當作擺設，關鍵是落實檢查和定期審核，需要有相應的機構和人員專門從事安全制度的落實情況。