計算機終端安全威脅問題研究

摘要：隨著計算機的廣泛應(yīng)用，大家對于計算機終端安全威脅問題的研究也逐漸變成了焦點。本文正是以此為研究對象，詳細分析與此相關(guān)的內(nèi)容。文章首先對計算機終端安全威脅的種類進行了闡述，然后介紹了安全管理相關(guān)技術(shù)，最后總結(jié)了計算機終端安全策略。希望本文的研究能夠給相關(guān)領(lǐng)域的研究帶來指導(dǎo)和幫助。

關(guān)鍵詞：計算機；終端安全；威脅問題

計算機終端作為信息存儲、傳輸、應(yīng)用處理的基礎(chǔ)設(shè)施，其自身安全性涉及到系統(tǒng)安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等各個方面，任何一個節(jié)點都有可能影響整個網(wǎng)絡(luò)的安全。計算機終端廣泛涉及每個計算機用戶，由于其分散性、不被重視、安全手段缺乏的特點，已成為信息安全體系的薄弱環(huán)節(jié)。這就要求我們及時調(diào)整安全防護戰(zhàn)略，將著眼點重新回歸到計算機終端安全上來?？梢?，計算機終端安全在企業(yè)信息安全中占有重要地位，對計算機終端的安全統(tǒng)一管理具有重要意義。

一、計算機終端安全威脅分析

1、人為威脅

計算機終端的威脅來自各個方面，總體可分為兩大類，自然威脅和人為威脅。人為威脅可以具有細化為兩個方面：惡意行為和非惡意行為。非惡意行為主要來自干企業(yè)的員工和客戶，這些人可能并未受過正規(guī)的計算機培訓(xùn)或并沒有相應(yīng)的安全意識，因此他們對計算機終端的不當(dāng)操作可能會帶來潛在的安全威脅；惡意行為經(jīng)常來自非員工或心存報復(fù)的在職員工，這些人為了達到自己的個人目的而進行的惡意操作將是企業(yè)的又一大安全威脅。

(1)自然災(zāi)害

自然災(zāi)害的發(fā)生是不可避免的，如地震、洪水、火災(zāi)等等所引起的計算機系統(tǒng)的破壞，從而引起的信息的丟失或損壞，這些威脅不受人為控制，但是產(chǎn)生的損失卻不可小視。企業(yè)可以制定適當(dāng)?shù)陌踩胧﹣淼钟@種威脅，比如對重要信息采取多種備份方式并分散存儲，制定完善的災(zāi)難恢復(fù)機制等都可以極大的降低自然災(zāi)害威脅對企業(yè)帶來的損失。

(2)惡意行為

內(nèi)部員工或可進入企業(yè)內(nèi)部的其他人員的惡意行為是企業(yè)信息安全的最大威脅之一，這些內(nèi)部員工對企業(yè)內(nèi)部組織結(jié)構(gòu)及系統(tǒng)都相對比較熟悉，他們知道何種操作能給企業(yè)帶來最大的損失，他們可以充分利用這一優(yōu)勢來達到自己的目的。由于大部分企業(yè)內(nèi)部并沒有相應(yīng)的對計算機終端審計監(jiān)控措施，相應(yīng)的安全策略也可能并未在訪問控制系統(tǒng)中有效執(zhí)行，使得這些內(nèi)部員工可以輕易進行惡意操作而不被發(fā)現(xiàn)，如通過自己的計算機終端訪問重要信息、散播病毒木馬等等。同樣對于企業(yè)部門調(diào)整等引起的員工變動，相關(guān)的帳戶管理沒有及時更新，也會被某些員工利用來進行惡意操作。計算機終端操作相關(guān)的惡意操作大致可分為以下幾類：

非授權(quán)訪問：指未經(jīng)同意而訪問相關(guān)的信息資源。

破壞數(shù)據(jù)完整性：對重要數(shù)據(jù)進行惡意操作以取得有益于攻擊者的響應(yīng)，如惡意添加修改數(shù)據(jù)以獲取私利。

利用網(wǎng)絡(luò)傳播病毒：通過終端計算機傳播病毒，其破壞性極其巨大但又難于防范。

(3)非惡意員工

對于企業(yè)的內(nèi)部員工，雖然他們并沒有惡意動機進行破壞，但是由于缺乏相應(yīng)的安全意識，他們的一些疏忽或錯誤操作都可能直接或間接的對企業(yè)的信息數(shù)據(jù)造成潛在的安全威脅。如員工對一些重要文件的誤操作可能導(dǎo)致信息的破壞或丟失；員工對計算機終端的不合理配置可能導(dǎo)致系統(tǒng)存在漏洞或重要數(shù)據(jù)泄露等等。由于內(nèi)部員工的這些不當(dāng)操作具有很大的不確定性，因此可以說對企業(yè)具有很大的安全威脅。非惡意員工可能造成的威脅有：

帳戶外泄：由于缺乏安全意識或設(shè)置不當(dāng)而將帳戶密碼泄露，從而被利用；

不安全的文件共享：重要信息資源的不安全共享而被人非法獲?。?/p>

系統(tǒng)補丁未及時更新：沒有及時更新操作系統(tǒng)和其他應(yīng)用軟件的補丁，給企業(yè)網(wǎng)絡(luò)帶來潛在威脅；

未及時防病毒：為正確安全殺毒軟件或為及時更新病毒庫而可能感染并傳播病毒。

2、系統(tǒng)漏洞

漏洞是可以在攻擊過程中利用的弱點，可以是軟件、硬件、程序缺點、功能設(shè)計或者配置不當(dāng)?shù)纫鸬摹Ｔ趯嶋H應(yīng)用的系統(tǒng)中，都會不同程度的存在各種潛在的安全性錯誤，對于操作系統(tǒng)這樣一個龐大的軟件系統(tǒng)而言，安全漏洞的存在更是不可避免的。

安全漏洞會給黑客或入侵者提供入侵系統(tǒng)的機會，入侵者可能會研究分析漏洞，加以利用而繞過系統(tǒng)的安全機制而獲得一定程度的訪問權(quán)限，從而達到自己的目的。

補丁是系統(tǒng)提供商針對漏洞發(fā)布的修補程序，為了最大程度的減小漏洞的威脅，企業(yè)內(nèi)部計算機終端所使用的操作操作系統(tǒng)及應(yīng)用軟件需要及時進行補丁更新，修補已知漏洞，從而降低安全風(fēng)險。

3、惡意代碼

對計算機終端系統(tǒng)中數(shù)據(jù)的保密性、完整性和可用性最頑固的威脅是惡意代碼，最常見的形式有以下幾種：

病毒：是一種計算機程序，該程序執(zhí)行時可以未經(jīng)允許就把自身復(fù)制到另一個程序之中，感染該病毒的程序在執(zhí)行時仍以這種方式把自身復(fù)制到另一程序之中。

病毒表現(xiàn)出很多特征，比如制造惡作劇、篡改或刪除文件等，有些病毒的危害是特別大的，比如會破壞文件分配表等。這些行為都會極大影響計算機終端，并對整個企業(yè)內(nèi)部網(wǎng)絡(luò)都造成極大危害。

蠕蟲：是一種未經(jīng)許可就可以把自身復(fù)制到網(wǎng)絡(luò)節(jié)點上的計算機程序。蠕蟲可以將其一部分散布到網(wǎng)絡(luò)其他計算機上，占用大量的內(nèi)存空間和處理時間，最終可能導(dǎo)致死機。

特洛伊木馬：指有預(yù)謀的隱藏在程序之中的一組計算機指令，是一種計算機程序，它可以偽裝成合法程序，做一些用戶并不希望的事情。作為計算機術(shù)語，它的含義是指，用戶將一個貌似合法的程序載入內(nèi)存，但此后惡意代碼也開始運行，他可能會獲取擊鍵口令或者刪除數(shù)據(jù)。

惡意代碼是目前計算機終端面臨的重要安全威脅之一，對于企業(yè)內(nèi)計算機終端，應(yīng)該采取適當(dāng)?shù)陌踩呗?，安裝并運行適當(dāng)?shù)臍⒍拒浖?，并及時更新病毒庫，采用適當(dāng)?shù)陌踩L問控制措施等等可以有效防護病毒。

二、安全管理相關(guān)技術(shù)

1、訪問控制技術(shù)

訪問控制是網(wǎng)絡(luò)安全防范和保護的主要技術(shù)之一，他的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制技術(shù)用來控制用戶對網(wǎng)絡(luò)資源的合法使用，訪問控制涉及的技術(shù)比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。

入網(wǎng)訪問控制：通過對用戶賬戶和口令的認證與識別來實現(xiàn)用戶對網(wǎng)絡(luò)或資源的訪問控制。它主要控制哪些用戶能登陸服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶的入網(wǎng)時間以及可登陸的服務(wù)器。

權(quán)限控制：權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。不同用戶和用戶組被賦予不同的權(quán)限級別，通過權(quán)限設(shè)置控制用戶和用戶組對網(wǎng)絡(luò)資源的訪問范圍及對可訪問資源的操作性。

目錄及文件屬性控制：目錄及文件屬性控制可以實現(xiàn)進一步的信息安全，可以控制用戶對目錄、文件或設(shè)備的訪問，用戶或用戶組被設(shè)置相應(yīng)的權(quán)限來獲得對目錄或文件的訪問。文件屬性控制可以針對文件、目錄等設(shè)置訪問屬性，如訪問、修改、刪除、拷貝等屬性控制，適當(dāng)?shù)膶傩钥刂瓶煞乐褂捎谟脩魧Y源的誤操作，可見屬性安全是在權(quán)限安全的基礎(chǔ)上提供的更進一步的安全。

2、VPN技術(shù)

VPN是一種通過ISP和其他NSP，在公網(wǎng)如Internet中建立用戶私有專用的數(shù)據(jù)通信網(wǎng)絡(luò)技術(shù)，通過私有隧道在公共數(shù)據(jù)網(wǎng)上仿真，一條點到點的專線，主要采用四項核心技術(shù)：安全隧道技術(shù)、密鑰管理技術(shù)、訪問控制技術(shù)和用戶身份認證技術(shù)。

安全隧道技術(shù)是VPN的一項基本技術(shù)，主要負責(zé)將待傳輸?shù)脑夹畔⒔?jīng)過加密、協(xié)議封裝和壓縮處理以后嵌套在另一種協(xié)議的數(shù)據(jù)包中送人網(wǎng)絡(luò)，從而實現(xiàn)對公用網(wǎng)絡(luò)的透明性。隧道技術(shù)保證在公網(wǎng)上建立專用的私有通道，它主要遵循以下

四種隧道協(xié)議：PPTP點到點隧道協(xié)議、L2TP第二層隧道協(xié)議、IPSec網(wǎng)絡(luò)層隧道協(xié)議以及SOCKSv5協(xié)議。

VPN安全技術(shù)是用于保證數(shù)據(jù)的安全性和完整性，由加密、認證及密鑰交換與管理等技術(shù)實現(xiàn)。

VPN大致可分為三類：

企業(yè)內(nèi)部虛擬網(wǎng)：指企業(yè)的總部與分支機構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)。它通過一個使用專用連接的共享基礎(chǔ)設(shè)施來連接；企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量，可管理性和可靠性等。

遠程訪問虛擬網(wǎng)：指企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠程撥號的方式構(gòu)筑的虛擬網(wǎng)。它可以通過撥號、ISDN、XDSL、移動IP等方式實現(xiàn)安全連接，用戶隨時隨地以其所需的方式訪問企業(yè)資源。

企業(yè)擴展虛擬網(wǎng)：指不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。它通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)、企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量、可管理性和可靠性等。它適合于提供B2B之間的安全訪問服務(wù)。

3、防病毒技術(shù)

計算機病毒有不可估量的威脅性和破壞力，計算機病毒的防范是終端安全域與網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。

防病毒技術(shù)包括預(yù)防病毒、檢測病毒和病毒清除三種技術(shù)：

預(yù)防病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制(如防病毒軟件等)。

檢測病毒技術(shù)：它是通過對計算機病毒的特征來進行判斷的技術(shù)，如自身校驗、關(guān)鍵字、文件長度的變化等。

清除病毒技術(shù)：它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。

三、計算機終端安全策略分析

1、限制惡意代碼策略

限制惡意代碼是實現(xiàn)終端安全的重要手段，限制惡意代碼可以從以下三個方面人手：

限制惡意代碼進入系統(tǒng)；

限制惡意代碼運行；

限制惡意代碼通信；

很顯然，首先我們希望惡意代碼遠離系統(tǒng)，其次，如果它進入了系統(tǒng)，我們要盡量阻止它運行，最后如果它運行了，只有盡力阻止它向其他系統(tǒng)擴散。為了達到目的，可以采取以下幾種終端配置策略：

(1)基于主機的防火墻策略

Windows內(nèi)置的基于主機的防火墻可以限制從其他計算機傳人的信息，防御穿過外圍網(wǎng)絡(luò)或來自企業(yè)內(nèi)部的網(wǎng)絡(luò)攻擊，可以防止在未經(jīng)允許的情況下嘗試連接到計算機。同時還可以創(chuàng)建安全日志，記錄各種連接嘗試，可用于故障分析。因此建議在終端啟用基于主機的防火墻，可以盡量在第一時間阻止惡意代碼進入系統(tǒng)。

(2)IPSec過濾策略

IPSec可以實現(xiàn)過濾出入主機的數(shù)據(jù)流，通過建立IPSec策略規(guī)則來限制通過特定端口的數(shù)據(jù)，有時在某種程度上對限制蠕蟲等惡意代碼的傳播非常有效。

(3)軟件限制策略

軟件限制策略是根據(jù)一定規(guī)則來控制應(yīng)用程序的在計算機上的運行能力，能有效的防止惡意代碼的運行。

(4)惡意代碼防護軟件

防病毒軟件及反間諜軟件可以很大程度上防止惡意代碼侵入系統(tǒng)，因此，在大多數(shù)終端上都應(yīng)安裝合適的反病毒軟件。

2、終端帳戶配置策略

(1)更改或禁用Administrator帳戶名

對于終端計算機，應(yīng)更改系統(tǒng)管理員的默認帳戶，以避免被人破解密碼，而且改后帳戶名應(yīng)盡量復(fù)雜，不易被猜到。

(2)終端禁止其他用戶登錄

終端僅允許其唯一使用者登錄，采用用戶與終端計算機一對一的使用關(guān)系，防止交叉使用帶來潛在威脅。

(3)禁用本機的Guest賬號

(4)用戶密碼安全策略

密碼應(yīng)定期更改；密碼應(yīng)該遵循一定的復(fù)雜對規(guī)則，如應(yīng)規(guī)定最小長度，規(guī)定應(yīng)包含盡可能多的字符集等以增加密碼復(fù)雜度；對于有多個帳戶的用戶來說，應(yīng)該禁止使用相同的口令，甚至包括郵件系統(tǒng)等的密碼都不與系統(tǒng)登錄密碼相同。

3、終端軟件配置策略

(1)補丁更新

終端計算機操作系統(tǒng)和應(yīng)用軟件軟件的補丁應(yīng)該及時進行更新，彌補已發(fā)現(xiàn)的漏洞。

(2)防病毒

終端計算機應(yīng)該按要求安裝殺毒軟件，并要保證病毒庫的及時更新。

(3)系統(tǒng)服務(wù)

對于操作系統(tǒng)，運行的服務(wù)越多，可能造成的安全漏洞也就越多，因此，對于不需要的服務(wù)，均應(yīng)將其禁用。

(4)終端遠程協(xié)助配置策略

Windows XP客戶端缺省啟用終端遠程協(xié)助。終端用戶需要時可以自行禁用。

(5)終端遠程桌面配置策略

Windows XP客戶端缺省禁用遠程桌面。終端用戶需要時可以自行啟用。同時為確保數(shù)據(jù)的安全性，計算機終端應(yīng)啟用“密碼保護屏幕保護程序”和“屏幕保護程序超時”。