摘　要：計算機網絡的不斷發(fā)展，在為公司提升工作效率的同時，又因互聯(lián)和共享等特征，常受到黑客、病毒等的惡意攻擊，給網絡帶來嚴重的安全隱患。除采取安全產品等技術防范措施外，設置好計算機終端的安全策略也可在一定程度上保護終端信息的完整性和安全性。從計算機內網的安全模型入手，介紹計算機網絡終端安全策略的特點，進一步分析了計算機終端本地安全策略的作用，提出了計算機終端安全策略的配置方法。

內容目錄：
1　內網計算機終端的安全威脅
1.1　惡意軟件攻擊
1.2　內部人員濫用權限
1.3　硬件設備的物理安全
2　計算機終端安全策略設置的必要性
2.1　保障數據安全
2.2　防止惡意攻擊
2.3　提高系統(tǒng)穩(wěn)定性
3　計算機終端本地安全策略

3.1　賬戶策略
3.2　本地策略
4　本地安全策略設置實施效果評估實踐
5　結　語

隨著 IT 應用的日益普及，計算機網絡技術被廣泛應用于各行各業(yè)，為資源共享、信息交換等提供了廣闊而又良好的環(huán)境。目前，為了提升工作效率，提供一個良好的信息傳遞和溝通渠道，各單位均建設了內部使用的信息系統(tǒng)（以下簡稱“內網”），該系統(tǒng)可以有效實現單位內部的資源共享、信息發(fā)布、流程審批、技術交流、生產組織等，從而實行信息化管理。隨著網絡安全事件頻發(fā)，使得單位內網的安全和防護受到越來越多的威脅，內網中存儲了大量的單位經營數據，是單位寶貴的信息資源，一旦數據被破壞、篡改和泄露，將給單位帶來不可估量的損失。對于傳統(tǒng)的“網絡服務器 + 客戶端架構”的內網來說，大量數據仍然存儲在計算機本地硬盤中（桌面虛擬化等除外），所以計算機終端安全是單位內網的核心。對于普通用戶來說，只關心計算機網絡終端的安全（網絡的其他資源大多由系統(tǒng)的“系統(tǒng)管理員、安全保密管理員、安全審計員”負責），終端安全策略的正確設置，可對單位網絡的終端安全起到較好的保護作用，從而保證網絡中單位重要數據的安全。

1內網計算機終端的安全威脅

隨著網絡技術的高速發(fā)展，對政治、經濟、軍事等領域的網絡安全影響廣泛且深入，形成了網絡多極化的格局，想要完全杜絕網絡的安全事件是不可能的，因此，需要加強應急響應，以便減少網絡的安全威脅。安全威脅的來源與傳播途徑是單位內網終端本地安全策略研究的重要內容。

單位內網模型如圖 1 所示。在單位內網中，操作系統(tǒng)的漏洞、重要數據被非法竊取、應用軟件的缺陷等，是內網終端面臨威脅的重要因素 。這些威脅可能會通過各種手段竊取敏感信息、破壞系統(tǒng)并影響其服務功能，對內網計算機終端的安全構成威脅。內網終端安全管理體系如圖 2 所示。多家單位保密及信息化工作的實踐表明，內部威脅占據安全威脅的大部分，且這些威脅主要是由于內部人員的違規(guī)操作、惡意攻擊及管理漏洞等原因所致。而外部威脅則主要來自黑客攻擊、病毒傳播和網絡釣魚等行為。因此，需要深入分析這些威脅的來源與傳播途徑，并采取有效的安全策略進行防范和控制。

圖 1　單位內網模型

圖 2　內網終端安全管理體系

1.1　惡意軟件攻擊

惡意軟件是一種常見的網絡威脅程序，它可以通過電子郵件、下載的文件和惡意網站等方式進入內網計算機終端。一旦惡意軟件進入計算機，便會竊取敏感信息、破壞系統(tǒng)和消耗資源，甚至控制計算機對其他網絡進行遠程攻擊。

1.2　內部人員濫用權限

內部人員濫用權限是一種常見的威脅。一些員工可能因為疏忽、誤操作或惡意行為，導致敏感信息泄露、高密低輸或系統(tǒng)被破壞。特別是從內網導出信息時，內部人員濫用權限可能將信息惡意裁剪編輯，并惡意利用當前技術查驗漏洞，將涉密信息隱藏于非密信息進行導出，對內網的安全形成極大的安全威脅 。

1.3　硬件設備的物理安全

硬件設備的物理安全是內網計算機終端安全的重要組成部分。硬件設備可能因為自然災害、人為破壞、設備老化等原因導致?lián)p壞，從而影響內網計算機終端的正常運行。當前，企業(yè)內網的終端設備配置多且雜，這些系統(tǒng)和設備的兼容性不強，導致部分軟件無法正確運行。

２計算機終端安全策略設置的必要性

企業(yè)的內網終端安全管理是一個綜合且復雜的系統(tǒng)工程，安全策略設置的必要性主要體現在對單位內網終端本地計算機的保護上。在制定安全策略前，應當分析信息系統(tǒng)（內網）、信息設備和存儲設備等存在的脆弱性和威脅，識別風險和隱患，提出解決安全問題管理和控制的措施。隨著惡意攻擊、數據泄露等網絡安全威脅的日益嚴重，制定內網終端的安全策略，保障單位內網終端本地計算機的安全顯得尤為重要。

2.1　保障數據安全

數據是單位最重要的資產之一，數據安全關乎單位的正常運行。因此，針對內網中不同類型的數據需要采取不同的安全策略，保障數據在傳輸和存儲過程中的完整性，防止數據被篡改或竊取。此外，單位還應建立完善的數據備份和恢復機制，確保備份數據的安全性。

2.2　防止惡意攻擊

隨著網絡技術的不斷發(fā)展，惡意攻擊手段日益多樣化，給單位內網的安全帶來了嚴重威脅。因此，應加強單位內網的終端設備的安全配置，包括安裝防病毒軟件、配置防火墻、配置好本地安全策略等手段和措施以提高終端設備的安全性，防止惡意攻擊者獲取敏感數據或進行非法操作，有效地保障單位內網的安全。

2.3　提高系統(tǒng)穩(wěn)定性

內網終端的計算機系統(tǒng)規(guī)模不斷擴大，系統(tǒng)復雜度也隨之增加，包括硬件設備的質量、軟件的穩(wěn)定性、網絡環(huán)境的安全性等。因此，需要采用高可用性的硬件設備，對重要數據進行備份和恢復，加強網絡安全防護及定期對系統(tǒng)進行安全漏洞掃描和修復等。這些措施可以有效地降低系統(tǒng)故障和數據丟失的風險，提高系統(tǒng)的穩(wěn)定性和可靠性，減少重大系統(tǒng)故障或安全事件。

３計算機終端本地安全策略

計算機系統(tǒng)的訪問權限主要體現在終端用戶的賬號、口令及對于訪問用戶的身份驗證3 個方面 。配置好計算機終端本身的安全策略，可以進一步強化系統(tǒng)的安全性，在一定程度上有效地保護信息的完整和安全，有效地維護計算機系統(tǒng)的安全，降低終端安全風險事件發(fā)生的概率。反之，終端安全策略配置不當則可能暴露安全漏洞，給內網系統(tǒng)帶來巨大的安全隱患。制定本地安全策略，結合安全防護產品（如漏洞掃描系統(tǒng)、防病毒軟件、網絡防火墻等）等，形成一整套有效的終端系統(tǒng)安全體系，可有效地保護內網系統(tǒng)的安全。

3.1　賬戶策略

用戶名和密碼過于簡單，導致網絡的安全性問題比較突出，黑客在攻擊網絡系統(tǒng)時常把破解管理員密碼作為一個主要的攻擊方式，賬戶策略通過設置密碼策略和賬戶鎖定策略以提高賬戶密碼的安全級別，保證網絡資源不被非法使用和非法訪問，它是計算機系統(tǒng)安全的第一道防線，也是保證計算機網絡安全的核心策略，可以使內網終端的賬戶更加安全。

（1）密碼策略。終端系統(tǒng)口令（密碼）是終端系統(tǒng)的第一道防線，密碼策略是為防止破解密碼而設置的一套規(guī)則，密碼策略如表 1 所示。

表 1　密碼策略

（2）賬戶鎖定策略。賬戶鎖定是指當用戶輸入錯誤密碼的次數達到一個設定的值時，就鎖定該用戶，只有等超過指定時間自動解除鎖定后方可繼續(xù)登錄，賬戶鎖定策略如表 2 所示。

表 2　賬戶鎖定策略

3.2　本地策略

本地策略主要涉及是否在安全日志中記錄登錄用戶的操作事件，用戶能否交互式登錄此計算機，用戶能否從網絡上訪問此計算機等。本地策略主要包括審核策略、安全選項和用戶權限分配 3 個部分。

（1）審核策略。建立審核跟蹤是系統(tǒng)安全的重要內容。通過設置審核策略可以確定是否將計算機中與安全有關的事件和用戶登錄成功或失敗的信息記錄到安全日志中，通過日志分析，能追溯和跟蹤終端上發(fā)生的異常事件。審核策略如表 3 所示。

表 3　審核策略

在審核日志中，失敗日志比成功日志更有意義，因為失敗說明有異常發(fā)生。例如，用戶成功登錄到計算機通常被視為正常，但如果有人多次嘗試登錄此計算機都未能成功，則說明可能有攻擊者在嘗試使用他人的賬戶入侵此計算機。

（2）安全選項。安全選項策略，可以控制一些和操作系統(tǒng)安全相關的設置。常用的安全策略如表 4 所示。

表 4　安全選項常用策略

（3）用戶權限分配。通過用戶權限分配策略，可以為某些用戶和組授予或拒絕一些特殊的權限，常用的用戶權限分配中的安全策略如表 5 所示。

表 5　用戶權限分配常用策略

４本地安全策略設置實施效果評估實踐

安全策略實施效果評估是單位內網終端本地安全策略研究的重要組成部分。為了全面、客觀地評估安全策略的實施效果，需要從多個維度進行分析。其中，實踐與案例分析是一種重要的評估方法。常用的安全策略設置后的前后對比分析如表 6 所示。

表 6　設置安全策略前后的安全風險對比

由表 6 可知，在具體實踐中，可以通過計算機終端的操作系統(tǒng)、應用軟件、防病毒策略的正確設置，加強計算機終端口令強度及使用期限的管理，是提高計算機終端安全管理的有效方法，如用戶權限、共享資源、遠程登錄和禁止訪問高危端口等 。此外，將一些典型的軍工單位涉密網終端作為案例研究對象，跟蹤和評估其安全策略的實施過程和效果，并進行對比分析。通過對比不同軍工單位設置安全策略前后的實施效果，可以更加清晰地了解各種安全策略的優(yōu)勢和不足，為今后的安全策略設計和優(yōu)化提供依據。

隨著科技的不斷發(fā)展，內網終端本地計算機安全策略也在不斷演變，向智能化、自動化和協(xié)同化發(fā)展。同時，其更加注重跨平臺的協(xié)同防護，以實現不同系統(tǒng)之間的安全信息的共享和聯(lián)防聯(lián)動，形成更加完善的安全防護體系。因此，內網終端安全技術應不斷更新和完善安全策略，以確保內網中數據的安全性和完整性。

５結　語

單位內網的安全防護和終端安全防護應作為整個網絡安全防護的重點。作為計算機網絡安全的重要組成部分，計算機終端本地安全策略的主要目標是保證本地計算機的安全，安全策略的配置是整個系統(tǒng)安全策略的核心，對整個網絡的安全性起著重要的防護作用。因此，應充分挖掘操作系統(tǒng)的潛能，設置好各項安全策略，保障單位內網系統(tǒng)穩(wěn)定且安全地運行。

選自《信息安全與通信保密》2024年第3期