摘　要：計算機網(wǎng)絡(luò)的不斷發(fā)展，在為公司提升工作效率的同時，又因互聯(lián)和共享等特征，常受到黑客、病毒等的惡意攻擊，給網(wǎng)絡(luò)帶來嚴重的安全隱患。除采取安全產(chǎn)品等技術(shù)防范措施外，設(shè)置好計算機終端的安全策略也可在一定程度上保護終端信息的完整性和安全性。從計算機內(nèi)網(wǎng)的安全模型入手，介紹計算機網(wǎng)絡(luò)終端安全策略的特點，進一步分析了計算機終端本地安全策略的作用，提出了計算機終端安全策略的配置方法。

內(nèi)容目錄：

1　內(nèi)網(wǎng)計算機終端的安全威脅
1.1　惡意軟件攻擊
1.2　內(nèi)部人員濫用權(quán)限
1.3　硬件設(shè)備的物理安全
2　計算機終端安全策略設(shè)置的必要性
2.1　保障數(shù)據(jù)安全
2.2　防止惡意攻擊
2.3　提高系統(tǒng)穩(wěn)定性
3　計算機終端本地安全策略
3.1　賬戶策略
3.2　本地策略
4　本地安全策略設(shè)置實施效果評估實踐
5　結(jié)　語

隨著 IT 應(yīng)用的日益普及，計算機網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用于各行各業(yè)，為資源共享、信息交換等提供了廣闊而又良好的環(huán)境。目前，為了提升工作效率，提供一個良好的信息傳遞和溝通渠道，各單位均建設(shè)了內(nèi)部使用的信息系統(tǒng)（以下簡稱“內(nèi)網(wǎng)”），該系統(tǒng)可以有效實現(xiàn)單位內(nèi)部的資源共享、信息發(fā)布、流程審批、技術(shù)交流、生產(chǎn)組織等，從而實行信息化管理。隨著網(wǎng)絡(luò)安全事件頻發(fā)，使得單位內(nèi)網(wǎng)的安全和防護受到越來越多的威脅，內(nèi)網(wǎng)中存儲了大量的單位經(jīng)營數(shù)據(jù)，是單位寶貴的信息資源，一旦數(shù)據(jù)被破壞、篡改和泄露，將給單位帶來不可估量的損失。對于傳統(tǒng)的“網(wǎng)絡(luò)服務(wù)器 + 客戶端架構(gòu)”的內(nèi)網(wǎng)來說，大量數(shù)據(jù)仍然存儲在計算機本地硬盤中（桌面虛擬化等除外），所以計算機終端安全是單位內(nèi)網(wǎng)的核心。對于普通用戶來說，只關(guān)心計算機網(wǎng)絡(luò)終端的安全（網(wǎng)絡(luò)的其他資源大多由系統(tǒng)的“系統(tǒng)管理員、安全保密管理員、安全審計員”負責(zé)），終端安全策略的正確設(shè)置，可對單位網(wǎng)絡(luò)的終端安全起到較好的保護作用，從而保證網(wǎng)絡(luò)中單位重要數(shù)據(jù)的安全。

1 內(nèi)網(wǎng)計算機終端的安全威脅

隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，對政治、經(jīng)濟、軍事等領(lǐng)域的網(wǎng)絡(luò)安全影響廣泛且深入，形成了網(wǎng)絡(luò)多極化的格局，想要完全杜絕網(wǎng)絡(luò)的安全事件是不可能的，因此，需要加強應(yīng)急響應(yīng)，以便減少網(wǎng)絡(luò)的安全威脅。安全威脅的來源與傳播途徑是單位內(nèi)網(wǎng)終端本地安全策略研究的重要內(nèi)容。

單位內(nèi)網(wǎng)模型如圖 1 所示。在單位內(nèi)網(wǎng)中，操作系統(tǒng)的漏洞、重要數(shù)據(jù)被非法竊取、應(yīng)用軟件的缺陷等，是內(nèi)網(wǎng)終端面臨威脅的重要因素 。這些威脅可能會通過各種手段竊取敏感信息、破壞系統(tǒng)并影響其服務(wù)功能，對內(nèi)網(wǎng)計算機終端的安全構(gòu)成威脅。內(nèi)網(wǎng)終端安全管理體系如圖 2 所示。多家單位保密及信息化工作的實踐表明，內(nèi)部威脅占據(jù)安全威脅的大部分，且這些威脅主要是由于內(nèi)部人員的違規(guī)操作、惡意攻擊及管理漏洞等原因所致。而外部威脅則主要來自黑客攻擊、病毒傳播和網(wǎng)絡(luò)釣魚等行為。因此，需要深入分析這些威脅的來源與傳播途徑，并采取有效的安全策略進行防范和控制。

圖 1　單位內(nèi)網(wǎng)模型

圖 2　內(nèi)網(wǎng)終端安全管理體系

1.1　惡意軟件攻擊

惡意軟件是一種常見的網(wǎng)絡(luò)威脅程序，它可以通過電子郵件、下載的文件和惡意網(wǎng)站等方式進入內(nèi)網(wǎng)計算機終端。一旦惡意軟件進入計算機，便會竊取敏感信息、破壞系統(tǒng)和消耗資源，甚至控制計算機對其他網(wǎng)絡(luò)進行遠程攻擊。

1.2　內(nèi)部人員濫用權(quán)限

內(nèi)部人員濫用權(quán)限是一種常見的威脅。一些員工可能因為疏忽、誤操作或惡意行為，導(dǎo)致敏感信息泄露、高密低輸或系統(tǒng)被破壞。特別是從內(nèi)網(wǎng)導(dǎo)出信息時，內(nèi)部人員濫用權(quán)限可能將信息惡意裁剪編輯，并惡意利用當前技術(shù)查驗漏洞，將涉密信息隱藏于非密信息進行導(dǎo)出，對內(nèi)網(wǎng)的安全形成極大的安全威脅 。

1.3　硬件設(shè)備的物理安全

硬件設(shè)備的物理安全是內(nèi)網(wǎng)計算機終端安全的重要組成部分。硬件設(shè)備可能因為自然災(zāi)害、人為破壞、設(shè)備老化等原因?qū)е聯(lián)p壞，從而影響內(nèi)網(wǎng)計算機終端的正常運行。當前，企業(yè)內(nèi)網(wǎng)的終端設(shè)備配置多且雜，這些系統(tǒng)和設(shè)備的兼容性不強，導(dǎo)致部分軟件無法正確運行。

２ 計算機終端安全策略設(shè)置的必要性

企業(yè)的內(nèi)網(wǎng)終端安全管理是一個綜合且復(fù)雜的系統(tǒng)工程，安全策略設(shè)置的必要性主要體現(xiàn)在對單位內(nèi)網(wǎng)終端本地計算機的保護上。在制定安全策略前，應(yīng)當分析信息系統(tǒng)（內(nèi)網(wǎng)）、信息設(shè)備和存儲設(shè)備等存在的脆弱性和威脅，識別風(fēng)險和隱患，提出解決安全問題管理和控制的措施。隨著惡意攻擊、數(shù)據(jù)泄露等網(wǎng)絡(luò)安全威脅的日益嚴重，制定內(nèi)網(wǎng)終端的安全策略，保障單位內(nèi)網(wǎng)終端本地計算機的安全顯得尤為重要。

2.1　保障數(shù)據(jù)安全

數(shù)據(jù)是單位最重要的資產(chǎn)之一，數(shù)據(jù)安全關(guān)乎單位的正常運行。因此，針對內(nèi)網(wǎng)中不同類型的數(shù)據(jù)需要采取不同的安全策略，保障數(shù)據(jù)在傳輸和存儲過程中的完整性，防止數(shù)據(jù)被篡改或竊取。此外，單位還應(yīng)建立完善的數(shù)據(jù)備份和恢復(fù)機制，確保備份數(shù)據(jù)的安全性。

2.2　防止惡意攻擊

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，惡意攻擊手段日益多樣化，給單位內(nèi)網(wǎng)的安全帶來了嚴重威脅。因此，應(yīng)加強單位內(nèi)網(wǎng)的終端設(shè)備的安全配置，包括安裝防病毒軟件、配置防火墻、配置好本地安全策略等手段和措施以提高終端設(shè)備的安全性，防止惡意攻擊者獲取敏感數(shù)據(jù)或進行非法操作，有效地保障單位內(nèi)網(wǎng)的安全。

2.3　提高系統(tǒng)穩(wěn)定性

內(nèi)網(wǎng)終端的計算機系統(tǒng)規(guī)模不斷擴大，系統(tǒng)復(fù)雜度也隨之增加，包括硬件設(shè)備的質(zhì)量、軟件的穩(wěn)定性、網(wǎng)絡(luò)環(huán)境的安全性等。因此，需要采用高可用性的硬件設(shè)備，對重要數(shù)據(jù)進行備份和恢復(fù)，加強網(wǎng)絡(luò)安全防護及定期對系統(tǒng)進行安全漏洞掃描和修復(fù)等。這些措施可以有效地降低系統(tǒng)故障和數(shù)據(jù)丟失的風(fēng)險，提高系統(tǒng)的穩(wěn)定性和可靠性，減少重大系統(tǒng)故障或安全事件。

３ 計算機終端本地安全策略

計算機系統(tǒng)的訪問權(quán)限主要體現(xiàn)在終端用戶的賬號、口令及對于訪問用戶的身份驗證3 個方面 。配置好計算機終端本身的安全策略，可以進一步強化系統(tǒng)的安全性，在一定程度上有效地保護信息的完整和安全，有效地維護計算機系統(tǒng)的安全，降低終端安全風(fēng)險事件發(fā)生的概率。反之，終端安全策略配置不當則可能暴露安全漏洞，給內(nèi)網(wǎng)系統(tǒng)帶來巨大的安全隱患。制定本地安全策略，結(jié)合安全防護產(chǎn)品（如漏洞掃描系統(tǒng)、防病毒軟件、網(wǎng)絡(luò)防火墻等）等，形成一整套有效的終端系統(tǒng)安全體系，可有效地保護內(nèi)網(wǎng)系統(tǒng)的安全。

3.1　賬戶策略

用戶名和密碼過于簡單，導(dǎo)致網(wǎng)絡(luò)的安全性問題比較突出，黑客在攻擊網(wǎng)絡(luò)系統(tǒng)時常把破解管理員密碼作為一個主要的攻擊方式，賬戶策略通過設(shè)置密碼策略和賬戶鎖定策略以提高賬戶密碼的安全級別，保證網(wǎng)絡(luò)資源不被非法使用和非法訪問，它是計算機系統(tǒng)安全的第一道防線，也是保證計算機網(wǎng)絡(luò)安全的核心策略，可以使內(nèi)網(wǎng)終端的賬戶更加安全。

（1）密碼策略。終端系統(tǒng)口令（密碼）是終端系統(tǒng)的第一道防線，密碼策略是為防止破解密碼而設(shè)置的一套規(guī)則，密碼策略如表 1 所示。

表 1　密碼策略

（2）賬戶鎖定策略。賬戶鎖定是指當用戶輸入錯誤密碼的次數(shù)達到一個設(shè)定的值時，就鎖定該用戶，只有等超過指定時間自動解除鎖定后方可繼續(xù)登錄，賬戶鎖定策略如表 2 所示。

表 2　賬戶鎖定策略

3.2　本地策略

本地策略主要涉及是否在安全日志中記錄登錄用戶的操作事件，用戶能否交互式登錄此計算機，用戶能否從網(wǎng)絡(luò)上訪問此計算機等。本地策略主要包括審核策略、安全選項和用戶權(quán)限分配 3 個部分。

（1）審核策略。建立審核跟蹤是系統(tǒng)安全的重要內(nèi)容。通過設(shè)置審核策略可以確定是否將計算機中與安全有關(guān)的事件和用戶登錄成功或失敗的信息記錄到安全日志中，通過日志分析，能追溯和跟蹤終端上發(fā)生的異常事件。審核策略如表 3 所示。

表 3　審核策略

在審核日志中，失敗日志比成功日志更有意義，因為失敗說明有異常發(fā)生。例如，用戶成功登錄到計算機通常被視為正常，但如果有人多次嘗試登錄此計算機都未能成功，則說明可能有攻擊者在嘗試使用他人的賬戶入侵此計算機。

（2）安全選項。安全選項策略，可以控制一些和操作系統(tǒng)安全相關(guān)的設(shè)置。常用的安全策略如表 4 所示。

表 4　安全選項常用策略

（3）用戶權(quán)限分配。通過用戶權(quán)限分配策略，可以為某些用戶和組授予或拒絕一些特殊的權(quán)限，常用的用戶權(quán)限分配中的安全策略如表 5 所示。

表 5　用戶權(quán)限分配常用策略

４ 本地安全策略設(shè)置實施效果評估實踐

安全策略實施效果評估是單位內(nèi)網(wǎng)終端本地安全策略研究的重要組成部分。為了全面、客觀地評估安全策略的實施效果，需要從多個維度進行分析。其中，實踐與案例分析是一種重要的評估方法。常用的安全策略設(shè)置后的前后對比分析如表 6 所示。

表 6　設(shè)置安全策略前后的安全風(fēng)險對比

由表 6 可知，在具體實踐中，可以通過計算機終端的操作系統(tǒng)、應(yīng)用軟件、防病毒策略的正確設(shè)置，加強計算機終端口令強度及使用期限的管理，是提高計算機終端安全管理的有效方法，如用戶權(quán)限、共享資源、遠程登錄和禁止訪問高危端口等 。此外，將一些典型的軍工單位涉密網(wǎng)終端作為案例研究對象，跟蹤和評估其安全策略的實施過程和效果，并進行對比分析。通過對比不同軍工單位設(shè)置安全策略前后的實施效果，可以更加清晰地了解各種安全策略的優(yōu)勢和不足，為今后的安全策略設(shè)計和優(yōu)化提供依據(jù)。

隨著科技的不斷發(fā)展，內(nèi)網(wǎng)終端本地計算機安全策略也在不斷演變，向智能化、自動化和協(xié)同化發(fā)展。同時，其更加注重跨平臺的協(xié)同防護，以實現(xiàn)不同系統(tǒng)之間的安全信息的共享和聯(lián)防聯(lián)動，形成更加完善的安全防護體系。因此，內(nèi)網(wǎng)終端安全技術(shù)應(yīng)不斷更新和完善安全策略，以確保內(nèi)網(wǎng)中數(shù)據(jù)的安全性和完整性。

５ 結(jié)　語

單位內(nèi)網(wǎng)的安全防護和終端安全防護應(yīng)作為整個網(wǎng)絡(luò)安全防護的重點。作為計算機網(wǎng)絡(luò)安全的重要組成部分，計算機終端本地安全策略的主要目標是保證本地計算機的安全，安全策略的配置是整個系統(tǒng)安全策略的核心，對整個網(wǎng)絡(luò)的安全性起著重要的防護作用。因此，應(yīng)充分挖掘操作系統(tǒng)的潛能，設(shè)置好各項安全策略，保障單位內(nèi)網(wǎng)系統(tǒng)穩(wěn)定且安全地運行。

引用格式：尹開賢 . 內(nèi)網(wǎng)計算機終端安全策略的應(yīng)用研究 [J]. 信息安全與通信保密 ,2024(3):103-109.
作者簡介 >>>
尹開賢，男，碩士，高級工程師，主要研究方向為信息安全和保密技術(shù)管理。
選自《信息安全與通信保密》2024年第3期（為便于排版，已省去原文參考文獻）
重要聲明：本文來自信息安全與通信保密雜志社，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點，轉(zhuǎn)載的目的在于傳遞更多知識和信息。

相關(guān)閱讀：

公網(wǎng)內(nèi)網(wǎng)IP地址如何申請SSL證書實現(xiàn)HTTPS加密?
如何預(yù)防惡意軟件的攻擊?10項防御措施來幫您!