电子政务终端安全重在整体防护

电子政务终端安全重在整体防护 计算机终端作为电子政务的最基本单元,承载着信息加工、处理、存储和传输等重要工作,其安全性涉及系统安全、数据安全、网络安全等各个方面。在政府办公网络中,计算机终端数量众多,终端安全管理难度很大,终端安全已成为电子政务信息安全保障工作中的薄弱环节。 政务终端安全风险分析 目前,电子政务系统的终端安全风险主要来源于以下几个方面: 1.缺乏终端网络准入机制。有些计算机终端未经任何身份认证和安全认证,就可以随意接入网络,访问网络和计算机资源,对整个网络的安全构成很大威胁。 2. 系统漏洞广泛存在。操作系统、浏览器、办公软件以及媒体播放器等常用软件的漏洞广泛存在。如果漏洞补丁安装不完全、不及时,将给病毒、木马、恶意软件等入侵系统造成可乘之机。 3. 系统补丁及软件升级包未经第三方安全测试。软件系统的在线升级方式大大加快了软件更新频率和速度。但是,由于多数系统补丁及软件升级包未经第三方安全测评,其完整性、一致性、适用性以及安全性难以得到保证。 4. 木马、病毒等恶意软件的攻击手段层出不穷。木马、病毒等恶意软件的入侵和传播已趋向网络化。蠕虫、后门、恶意代码、垃圾邮件、流氓软件、间谍软件、广告程序、U盘病毒、网络仿冒、网页挂马等攻击手段时刻威胁终端的安全。 5. 用户缺乏安全知识。有些用户缺乏必要的信息安全知识,未能及时采取合适的安全防护措施保护终端,如安全配置不正确、系统补丁安装不完全、不及时,防病毒软件及其他常用软件未及时升级等。有些用户安全意识淡薄,在非涉密终端上处理涉密或敏感信息,直接导致涉密或敏感信息泄密。 6. 机构对终端安全缺乏掌控。在很多单位中,终端安全防护和管理一直是用户的个人行为,机构缺乏对终端安全状态的收集手段和对终端安全的管理手段。没有统一的终端安全配置和防护措施,当发生在非涉密终端上使用涉密U盘等移动存储设备、终端流量异常等情况时缺乏应对手段。 终端安全管理七步走 终端安全并非技术问题 终端安全管理是一个复杂的问题,通常要根据终端用户的接入位置、所属部门、业务需要等条件来选择和执行适当的安全管理策略,既不能搞一刀切,也不能对用户放任自流,缺乏管控。根据实际的工作经验,我们认为终端安全管理应按以下步骤开展: 1.执行终端网络准入控制。设置准入的安全策略对接入设备进行验证,根据终端安全性检查结果,确定终端接入方式。对于认证失败的用户,断开其网络连接;对认证成功但安全性检查没通过的终端,放入隔离区自动引导其完成主机完整性修复;只有认证和安全性检查全部通过的主机才能接入内部网络。 2.统一配置和部署终端安全策略。终端安全防护系统给所有终端统一配置安全策略。安全策略主要包括:密码策略,统一规定终端的口令长度;病毒扫描策略,定义扫描计算机终端的频率;漏洞更新频率,判断用户终端哪些策略是必需的,按照用户的需求分出补丁等级。 3.确保办公终端系统软件安全。对受控的内网办公终端进行基础安全检查,对不能满足基础安全要求的办公终端,通过终端安全管理系统与补丁管理系统、防病毒系统进行联动,及时更新经过安全测评的漏洞补丁和升级病毒库;不安装未经第三方安全测试的可疑补丁、插件、更新程序和其他工具软件,防止办公终端自身存在的安全漏洞被木马、病毒利用。 4.加强对办公终端应用系统的防护。通过软件名称关键字监控指定软件的安装使用行为,对非法安装使用的软件实时监控并告警,一旦发现木马入侵运行即可及时通知管理员进行处理。同时,利用终端安全管理系统中的终端审计功能,对内部员工违规操作、越权访问等行为进行实时监控,发现异常情况及时报警。 5.控制U盘、移动硬盘、光驱等外设的使用。管理员可以对USB外设进行注册授权认证,注册认证过的USB外设才可以在内网使用,而加密的U盘则无法在别的电脑上打开,这样能有效地管理控制USB外设滥用行为,确保内部关键和机密文件不外泄。 6.利用终端安全管理系统中的非法外联检测功能,统一管理内网办公终端的无线网卡使用,防止私自拨号上网,防止非法外联泄密。通过定制和下发外设控制策略规则到指定IP、IP段,或者指定用户或用户组,可以控制终端通过外设进行非法外联等行为。 7.实施统一的终端资产管理。终端资产管理通常包括硬件设备信息统计、软件资产统计、设备变更信息统计,以及移动存储控制及审计。计算机上的软、硬件资源是终端运行的基础,软件和硬件的失效或意外变更可能会影响终端的正常运行和信息安全,需要对软硬件资产进行统计管理,实时监控终端用户软件安装卸载、硬件变更状态,一旦发生变化,立即上报给管理员,实现对用户终端强监控。 政务终端作为政府部门信息存储、传输、应用处理的基础设施,其自身安全性涉及信息安全体系的系统安全、数据安全、网络安全等各个方面。任何一个节点出现问题都有可能影响到整个网络的安全。只有建立统一管理的终端安全整体防护系统,有组织有计划地监测和分析终端安全状态,统一配置终端安全策略,提高政务终端的安全保障能力,才能确保终端系统正常、高效的运行。 不过,网络安全情况复杂多变,政府办公网络终端安全建设除了依靠相应的产品技术外,制度规范也是必不可少的。三分技术,七分管理,政府部门需要从自身入手,制定切实可行的制度来规范员工使用计算机终端的行为,才能真正保障政府办公网络的安全运行。终端安全管理的制度规范条例要反复修改,反复讨论,在获得大多数管理者和使用者的认可后,正式发布,同时认真执行,不能只是停留在纸面上当作摆设,关键是落实检查和定期审核制度,需要有相应的机构和人员专门从