计算机终端管理

2024-07-21

计算机终端管理（共11篇）

计算机终端管理篇1

1 影响计算机终端安全管理的因素

1.1 自然灾害因素

自然灾害的发生是不可避免的,如地震、洪水、火灾等等所引起的计算机系统的破坏,从而引起的信息的丢失或损坏,这些威胁不受人为控制,但是产生的损失却不可小视。组织可以制定适当的安全措施来抵御这种威胁,比如对重要信息采取多种备份方式并分散存储,制定完善的灾难恢复机制等都可以极大的降低自然灾害因素对企业带来的损失。

1.2 人为主观因素

人为主观因素可分为两个方面:恶意行为和非恶意行为。

(1)恶意行为。内部员工或可进入组织内部的其他人员的恶意行为是组织信息安全的最大威胁之一,这些内部员工对内部组织结构及系统都相对比较熟悉,他们知道何种操作能给组织带来最大的损失,他们可以充分利用这一优势来达到自己的目的。与计算机终端操作相关的恶意操作大致可分为:非授权访问;破环数据完整性;利用网络传播病毒等。

(2)非恶意行为。对于组织的内部员工,虽然他们并没有恶意动机进行破坏,但是由于缺乏相应的安全意识,他们的一些疏忽或错误操作都可能直接或间接的对组织的信息数据造成潜在的安全威胁。如员工对一些重要文件的误操作可能导致信息的破环或丢失;员工对计算机终端的不合理配置可能导致系统存在漏洞或重要数据泄露等等。由于内部员工的这些不当操作具有很大的不确定性,因此可以说对组织具有很大的安全威胁。非恶意员工可能造成的威胁有:帐户外泄;不安全的文件共享;系统补丁未及时更新;未及时防病毒等。

1.3 系统漏洞因素

漏洞是可以在攻击过程中利用的弱点,可以是软件、硬件、程序缺点、功能设计或者配置不当等引起的。在实际应用的系统中,都会不同程度的存在各种潜在的安全性错误,对于操作系统这样一个庞大的软件系统而言,安全漏洞的存在更是不可避免的。安全漏洞会给黑客或入侵者提供入侵系统的机会,入侵者可能会研究分析漏洞,加以利用而绕过系统的安全机制而获得一定程度的访问权限,从而达到自己的目的。

补丁是系统提供商针对漏洞发布的修补程序,为了最大程度的减小漏洞的威胁,组织内部计算机终端所使用的操作系统及应用软件需要及时进行补丁更新,修补已知漏洞,从而降低安全风险。

1.4 恶意代码因素

对计算机终端系统中数据的保密性、完整性和可用性最顽固的威胁是恶意代码,最常见的形式有:(1)病毒。它是一种计算机程序,该程序执行时可以未经允许就把自身复制到另一个程序之中,感染该病毒的程序在执行时仍以这种方式把自身复制到另一程序之中。这些行为都会极大影响计算机终端,并对整个组织内部网络都造成极大危害。(2)蠕虫。它是一种未经许可就可以把自身复制到网络节点上的计算机程序。蠕虫可以将其一部分散布到网络其他计算机上,占用大量的内存空间和处理时间,最终可能导致死机。(3)特洛伊木马。它指有预谋的隐藏在程序之中的一组计算机指令,是一种计算机程序,它可以伪装成合法程序,做一些用户并不希望的事情。

恶意代码是目前计算机终端面临的重要安全威胁之一,对于组织内计算机终端,应该采取适当的安全策略,安装并运行适当的杀毒软件,并及时更新病毒库,采用适当的安全访问控制措施等等可以有效防护病毒。

2 相关计算机安全管理技术

2.1 访问控制技术

访问控制是网络安全防范和保护的丰要技术之一,他的主要任务是保证网络资源不被非法使用和访问。访问控制技术用来控制用户对网络资源的合法使用,访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。(1)入网访问控制。通过对用户账户和口令的认证与识别来实现用户对网络或资源的访问控制。它主要控制哪些用户能登陆服务器并获取网络资源,控制准许用户的入网时间以及可登陆的服务器。(2)权限控制。权限控制是针对网络非法操作所提出的一种安全保护措施。不同用户和用户组被赋予不同的权限级别,通过权限设置控制用户和用户组对网络资源的访问范围及对可访问资源的操作性。(3)目录及文件属性控制。目录及文件属性控制可以实现进一步的信息安全,可以控制用户对目录、文件或设备的访问,用户或用户组被设置相应的权限来获得对目录或文件的访问。文件属性控制可以针对文件、目录等设置访问属性,如访问、修改、删除、拷贝等属性控制,适当的属性控制可防止由于用户对资源的误操作,可见属性安全是在权限安全的基础上提供的更进一步的安全。

2.2 VPN技术

VPN(Virtual Private Network)是一种通过ISP和其他NSP,在公网如Internet中建立用户私有专用的数据通信网络技术,通过私有隧道在公共数据网上仿真一条点到点的专线,主要采用四项核心技术:安全隧道技术、密钥管理技术、访问控制技术和用户身份认证技术。

安全隧道技术是VPN的一项基本技术,主要负责将待传输的原始信息经过加密、协议封装和压缩处理以后嵌套在另一种协议的数据包中送人网络,从而实现对公用网络的透明性。隧道技术保证在公网上建立专用的私有通道,它主要遵循以下四种隧道协议:PPTP点到点隧道协议、L2TP第二层隧道协议、IPSec网络层隧道协议以及SOCKS v5协议。

VPN安全技术是用于保证数据的安全性和完整性,由加密、认证及密钥交换与管理等技术实现。VPN大致可分为三类:(1)组织内部虚拟网。组织内部虚拟网是指组织的总部与分支机构间通过公网构筑的虚拟网。它通过一个使用专用连接的共享基础设施来连接;组织拥有与专用网络的相同政策,包括安全、服务质量,可管理性和可靠性等。(2)远程访问虚拟网。远程访问虚拟网是指组织员工或小分支机构通过公网远程拨号的方式构筑的虚拟网。它可以通过拨号、ISDN、XDSL、移动IP等方式实现安全连接,用户随时随地以其所需的方式访问组织资源。(3)组织扩展虚拟网:组织扩展虚拟网是指不同组织网通过公网来构筑的虚拟网。它通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到组织内部网、组织拥有与专用网络的相同政策,包括安全、服务质量、可管理性和可靠性等。它适合于提供B2B之间的安全访问服务。

2.3 防病毒技术

计算机病毒有不可估量的威胁性和破坏力,计算机病毒的防范是终端安全域与网络安全性建设中重要的一环。防病毒技术包括预防病毒、检测病毒和病毒清除三种技术:(1)预防病毒技术。它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。(2)检测病毒技术。它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。(3)清除病毒技术:它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。

3 保证计算机终端安全的对策与建议

3.1 限制恶意代码

恶意代码对终端具有严重危害,限制恶意代码是实现终端安全的重要手段,限制恶意代码可以从以下三个方面入手:限制恶意代码进入系统;限制恶意代码运行;限制恶意代码通信。首先我们希望恶意代码远离系统,其次,如果它进入了系统,我们要尽量阻止它运行,最后如果它运行了,只有尽力阻止它向其他系统扩散。为了达到目的,可以采取以下几种终端配置:(1)基于主机的防火墙。Windows内置的基于主机的防火墙可以限制从其他计算机传入的信息,防御穿过外围网络或来自组织内部的网络攻击,可以防止在未经允许的情况下尝试连接到计算机。(2)IPSec过滤。IPSec可以实现过滤出入主机的数据流,通过建立IPSec策略规则来限制通过特定端口的数据,有时在某种程度上对限制蠕虫等恶意代码的传播非常有效。(3)软件限制。软件限制策略是根据一定规则来控制应用程序的在计算机上的运行能力,能有效的防止恶意代码的运行。为了保护客户端远离恶意代码,应尽可能多地使用软件限制策略。软件限制策略可以通过定义组策略强制作用到特定的域或工作组,从而增强客户端的安全性。(4)恶意代码防护软件。防病毒软件及反间谍软件可以很大程度上防止恶意代码侵入系统,因此,在大多数终端上都应安装合适的反病毒软件。

3.2 完善终端帐户配置

(1)更改或禁用Administrator帐户名。对于终端计算机,应更改系统管理员的默认帐户,以避免被人破解密码,而且改后帐户名应尽量复杂,不易被猜到。(2)终端禁止其他用户登录。终端仅允许其唯一使用者登录,采用用户与终端计算机一对一的使用关系,防止交叉使用带来潜在威胁。(3)禁用本机的Guest账号。(4)用户密码安全。密码应定期更改;密码应该遵循一定的复杂对规则,如应规定最小长度,规定应包含尽可能多的字符集等以增加密码复杂度;对于有多个帐户的用户来说,应该禁止使用相同的口令,甚至包括邮件系统等的密码都不与系统登录密码相同。

3.3 完善终端网络配置

(1)网络访问。启用不允许SAM账号的匿名枚举。启用不允许SAM账号和共享的匿名枚举。(2)默认共享。终端计算机应禁止共享C$,D$,ADMIN$,IPC$。IPC$(Internet Process Connection)共享“命名隧道”的资源,它是为了让进程间能够正常通信而开发的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道进行加密数据的交换。Windows XP系统在系统初次安装后提供IPC$功能的同时,还打开默认共享(C$,D$,Admin$),这一特性可被人利用进行IPC$入侵,导致系统安全性的降低,因此应关闭系统的默认共享,以提高系统安全性。

3.4 完善终端软件配置

(1)补丁更新。终端计算机操作系统和应用软件的补丁应该及时进行更新,弥补已发现的漏洞。(2)防病毒。终端计算机应该按要求安装杀毒软件,并要保证病毒库的及时更新。(3)系统服务。对于操作系统,运行的服务越多,可能造成的安全漏洞也就越多,因此,对于不需要的服务,均应将其禁用。(4)终端远程协助配置策略。Windows XP客户端缺省启用终端远程协助。终端用户需要时可以自行禁用。(5)终端远程桌面配置策略。Windows XP客户端缺省禁用远程桌面。终端用户需要时可以自行启用。同时为确保数据的安全性,计算机终端应启用“密码保护屏幕保护程序”和“屏幕保护程序超时”。

参考文献

[1]刘远生.计算机网络安全[M].清华大学出版社,2006.

[2]孙强,陈伟,往东红等.信息安全管理[M].清华大学出版社,2004.

[3]刘晓辉.网络安全管理实践[M].电子工业出版社,2007.

[4]张仁斌,李钢,候整风.计算机病毒与防病毒技术[M].清华大学出版社,2006.

计算机终端管理篇2

1、迅驰技术并不是单纯代表CPU，它包括了笔记本电脑专用处理器Pentium-M，Intel PRO/Wireless 2100 Network Connection和855芯片组系列，所以迅驰的实质是一整套无线接入的移动技术平台。（A）A.对 B.错

2、安装计算机CPU时需要使用散热硅胶。（A）A.对 B.错

3、下列选项是（A）衡量计算机性能指标之一。A、CPU主频 B、光驱速率 C、显示器大小 D、硬盘大小

4、ROM的中文含义是（D）A、软盘 B、光盘 C、显示器 D、只读存储器

5、下列数据中，最小的是（A）。

A、36 B、（01011010）C、（2A）D、（123）

6、哪些情况下磁盘可以做快速格式化（C）A、新盘和旧盘 B、新的3、5英寸软盘 C、没有用的数据磁盘 D、新的5、25英寸软盘

7、在计算机中存储信息的基本的存储单元是（C）。A、磁盘 B、柱面 C、扇区 D、磁盘

8、如果在主板的一个IDE插口上同时接上硬盘和光驱，硬盘应该设置为（），光驱设置为（），这样性能最佳。（A）A.Master Slave B.Master Master C.Slave Master D.Slave Slave

9、磁盘、光盘、打印机、（A）都是微机的外部设备。A、键盘、鼠标、显示器 B、键盘、显示器、显示卡 C、声卡、鼠标、显示器 D、机箱、鼠标、显示器、电源

10、扫描仪可以用于录入图形、（C）。A、图像、声音 B、文字、音频 C、文字、图像 D、音视频信息

11、UPS能在（B）时，及时重新供电，保障系统正常运行。A、供电 B、断电 C、有市电 D、没有电

12、平常所说的高速缓冲存储器是指（C）。A、内存 B、PC133内存 C、CACHE D、ROM

13、计算机中的CACHE有（B）和二级CACHE。A、首级CACHE B、一级CACHE C、外部CACHE D、RAM的ROM

14、现有一块无标记的硬盘，通过测试软件得知其主轴转速为15000rpm，由此可以判断这是一块（A）接口硬盘。A.SCSI B.PCI

15、计算机病毒的类型按入侵方式可分为操作系统型病毒、源码病毒、（A）。A、外壳病毒和入侵病毒 B、外壳病毒和良性病毒 C、恶性病毒和入侵病毒 D、良性病毒和恶性病毒

17、打印机中的打印效果最好的是（D）。A、针式打印机 B、24针打印机 C、喷墨打印机 D、激光打印机

18、操作系统是对计算机系统的软件资源的硬件资源进行（C）A、登记和记录 B、汇编和执行 C、管理和控制 D、整理和使用

19、计算机进行引导启动可从A盘、（C）。A、C盘、D盘 B、C盘、B盘

C、C盘、光盘驱动器、网络 D、C盘、光盘驱动器、B盘 20、操作系统和其他系统的关系是（A）。A、没有操作系统，其他系统软件就不能工作 B、没有操作系统，其他系统软件可以正常运转 C、没有操作系统，其他系统软件部分可正常运转 D、有操作系统，其他系统软件可以运转，只是偶尔出错

21、文件的属性是隐藏时，浏览该文件会发现（A）。A、该文件无法被看到 B、该文件丢失 C、该文件不存在 D、该文件可以被看到

22、唯一能够在显卡领域与nVIDIA公司从技术、产品等方面抗衡的公司有（B）。A.Matrox B.ATI C.SIS D.VIA

23、如果交换机没有级连功能,采用(C)双绞线。A.T568A B.T568B直连线 C.T568B交叉线 D.T568A交叉线

24、文件系统属性是指（B）。

A、该文件被系统化了 B、该文件是系统文件

C、该文件是某个系统的文件 D、该文件是系统工程文件

25、文件夹是只读时，不能对其进行（C）操作。A、读写 B、查看、删除

C、删除、改写出 D、改写、查看、改名

26、多媒体信息不包括（D）。A、文字、图形 B、音频、视频 C、影像、动画 D、光盘、声卡

27、下面对文件改名与删除说法合理的是（B）。A、改名后文件实际仍然存在，删除就不一定存在了 B、改名后文件实际仍然存在，删除就不存在了

C、改名后文件实际仍然存在，但内容改变了，删除就不存在了 D、名后文件内容改变，删除文件就不存在了

28、以下语句，哪条能查询TELECOM表中的所有数据（A）。A、select * from TELECOM B、select * from TELE C、Create table TELECOM D、select telecom from *

29、MS SQL SERVER中支持使用以下命令，可以进行数据的查询（D）。A、SELECT B、CREATE C、INSERT D、UPDATE 30、MS SQL SERVER 安装完成后，会开放本机的（A）端口，接受远程访问。A、TCP 1433 B、UDP 1433 C、TCP 3600 D、UDP 3600 多项选择题

1、用（AC）方法可以打开window98中联机帮助。A、“开始”菜单，再打开“帮助” B、在WINDOWS窗口下输入“帮助” C、在WINDOWS窗口状态下按F1键

D、在WINDOWS状态下单击鼠标右键，再选“帮助”

2、以下哪个厂家是硬盘厂商。（BCD）A.Sony B.HITACHI C.Seagate D.Maxtor

3、应用程序、（AB）中，都可以使计算机病毒寄生。A、操作系统文件B、引导程序 C、内存病毒D、良性病毒

4、为清除计算机病毒，启动计算机时应选用（AD）启动。A、无病毒系统盘 B、硬盘中的操作系统 C、软盘或硬盘 D、CD-ROM引导光盘

5、名为（A）的可执行文件，是安装程序。A、Install B、Uninsrall C、Setup D、Bakup

6、网络一般可分为（AB）。A、局域网B、广域网 C、因特网 D、无线网

7、目前的驱动程序有二种安装方式，即（AB）程序。A、通过.inf文件安装 B、运行setup安装 C、通过.sys文件安装 D、通过.cfg文件安装

8、驱动程序的安装有两种方式一样，驱动程序的卸载也有两种方式，即（AD）。A、直接用“设备管理器”删除

B、进入“我的电脑”找到驱动程序文件夹直接删除或放入回收站 C、进入“资源管理器”找到驱动程序文件夹直接删除或放入回收站 D、进入控制面板的“添加/删除程序”卸载

9、网络造配器实现工作站和（C）的物理连接和电信号匹配。A、显示器 B、集线器 C、双绞线 D、铜轴电缆

10、下列的文件格式属于图像的文件格式的是（ABC）。A、.BMP B、.GIF C、.TIF D、.PRG

11、（ABC）不属于共享资源。

A、自己主机的C盘 B、自己主机的D盘

C、自己主机的光驱 D、网络上其他主机的部分资源

12、主机域名public.tpt.he.cn由4个子域组成，其中不代表主机名的子域是（ACD）。A、tpt B、public C、he D、cn

13、关闭了文档窗口，以下判断错误的是（ABD）。A、关闭文档，同时退出程序 B、不会关闭文档，只是退出程序 C、只是关闭了文档，并不会退出程序 D、不会关闭文档，并只是退出程序

14、当前用于万维网的流行浏览器是（）。A、网景导航 B、微软探索者 C、遨游 D、Outlook

15、对于邮件服务器作用的判断，以下答案错误的是（BCD）。A、负责电子邮件的接收和发送 B、传送普通信件信息 C、发布主页信息 D、接收和发送传真

16、以下介质是只读的（AC）。

A、CD-ROM B、硬盘 C、DVD-R D、软盘

17、若想让你的文件夹，不让其他人看，以下操作哪几个是错误的（ACD）

A、不给文件夹命名 B、给文件夹添加隐藏属性 C、将文件夹放入回收站 D、给文件夹添加归档属性

18、目前大多数PC机主板采用的扩展槽有哪几种（ABC）。A、ISA B、PCI C、AGP D、PCI-X

19、以下哪几样属于存储器（）

A、SD卡 B、SCSI硬盘 C、RAID卡 D、U盘

20、只是阅读文件并无修改，关闭文档窗口，下列描述错误的是（BCD）。A、同时关闭了程序窗口 B、只是关闭了文档，并不会退程序 B、关闭了文档同时退出程序 D、退出了程序并不关闭文档

21、公文的重点标题的正文一般分别用（AB）。A、黑体 B、宋体 C、行书 D、草体

22、UPS分为（AB）。

A、后备式 B、在线式 C、冷备式 D、热备式

23、通过标尺的滑块不能设置（BCD）。A、页面边距 B、页面大小 C、页面 D、页脚

24、段落之间的距离，称为段落间距。段落可分为（AB）。A、段前距 B、段后距 C、上边距D、内边距

25、以下段落后距，描述错误的是（BCD）。

A、当前段落与下一个段落 B、当前段落与上一个段落 C、当前行与上一行 D、内边距与下一行

26、按存储方式来分类，图像可分为（AB）。A、位图图像 B、矢量图形 C、主观图形D、客观图像

27、安装应用程序的途径有（AD）。A、“资源管理器”中进行

B、“我的电脑”中的“打印机”中进行 C、“开始”菜单中的“文档”命令 D、“控制面板”中的“添加/删除程序”

28、切换已同时打开的应用程序的方法有（BC）。A、Shift+Tab B、Alt+Tab C、Alt+Esc D、Ctrl+Tab

29、在Windows环境下，可用A??.* 来表示的文件有（AB）。A、A12.DOC B、AAA.TXT C、A1.BAK D、A123.PRG 30、网络互连设备常用的有(ACD)。A、中继器 B、Modem C、网桥 D、网关

31、一个IP地址有三个字段组成，它们是(ABC)字段。A、类别 B、网络号 C、主机号 D、域名

32、局域网的介质访问控制方法有CSMA/CD和(CD)。

A、无冲突访问方式 B、随机访问方式 C、令牌环方式 D、令牌总线方式

33、在网络中信息安全十分重要。与Web服务器安全有关的措施有（BC）。A、增加集线器数量 B、对用户身份进行鉴别 C、使用防火墙 D、使用高档服务器

34、下列有关电子邮件的说法中，正确的是（BC）。A、电子邮件的邮局一般在接收方个人计算机中 B、电子邮件是Internet提供的一项最基本的服务

C、通过电子邮件可以向世界上任何一个Internet用户发送信息 D、电子邮件可发送的多媒体信息只有文字和图象

35、半双工通信指通信双方可以(B)；全双工通信指通信双方可以（D）。A、同时发送 B、同时接收 C、发送信息，但不能同时发送 D、同时发送和接收

36、国际标准化组织(BC)提出的七层网络模型被称为开放系统互连参考模型。A、OSI B、ISO C、OSI/RM D、TCP/IP

37、计算机网络的拓扑结构有(ABC)。A、星型 B、环型 C、总线型 D、三角型

38、计算机网络可以分为(AC)。

A、局域网 B、Internet网 C、广域网 D、微型网

39、域名WWW.ACM.ORG（BCD）。A、是中国的非赢利的组织的服务器 B、其中最高层域名是ORG C、其中组织机构的缩写是ACM D、是美国的非赢利的组织的服务器

40、在局域网连接Internet时，在添加TCP/IP协议后，还需要设置本机的（ABC）后，才能连接Internet网。

A、子网掩码 B、网关 C、IP地址 D、代理服务器地址

41、计算机网络的主要功能有(AC)。

A、网络通信 B、海量计算 C、资源共享 D、高可靠性

42、LINUX中，samba所提供的安全级别包括(BCD)A、share B、user C、server D、domain

43、LINUX中，组成/etc/inittab文件的几个常用字段名为（ABCD）A、id B、runlevels C、action D、process

44、万用表是计算机维修工作中必备的测量工具，它可以测量（ABC）参数。A、电压 B、电流 C、电阻 D、功率

45、兼容性故障一般可分为（ABC）。A、硬件与硬件之间的兼容性故障 B、硬件与软件之间的兼容性故障 C、软件与软件之间的兼容性故障 D、硬件与机箱之间的兼容性故障

46、计算机软件系统的日常维护内容有哪些。（A、B、C、D、E）

A、病毒防治 B、数据整理 C、计算机操作系统维护 D、数据备份 E、计算机网络维护

47、和主板电池有关的故障现象有哪些。（CD）A、电脑开机时不能正确找到硬盘 B、机器加电无显示 C、开机后系统时间不正确 D、CMOS设置不能保存

48、MS SQL SERVER可以安装在以下操作系统上（BC）。

A、RedHat AS4 B、Windows XP C、Windows 2003 D、以上都可以

计算机终端安全威胁问题研究篇3

关键词：计算机；终端安全；威胁问题

计算机终端作为信息存储、传输、应用处理的基础设施，其自身安全性涉及到系统安全、数据安全、网络安全等各个方面，任何一个节点都有可能影响整个网络的安全。计算机终端广泛涉及每个计算机用户，由于其分散性、不被重视、安全手段缺乏的特点，已成为信息安全体系的薄弱环节。这就要求我们及时调整安全防护战略，将着眼点重新回归到计算机终端安全上来。可见，计算机终端安全在企业信息安全中占有重要地位，对计算机终端的安全统一管理具有重要意义。

一、计算机终端安全威胁分析

1、人为威胁

计算机终端的威胁来自各个方面，总体可分为两大类，自然威胁和人为威胁。人为威胁可以具有细化为两个方面：恶意行为和非恶意行为。非恶意行为主要来自干企业的员工和客户，这些人可能并未受过正规的计算机培训或并没有相应的安全意识，因此他们对计算机终端的不当操作可能会带来潜在的安全威胁；恶意行为经常来自非员工或心存报复的在职员工，这些人为了达到自己的个人目的而进行的恶意操作将是企业的又一大安全威胁。

(1)自然灾害

自然灾害的发生是不可避免的，如地震、洪水、火灾等等所引起的计算机系统的破坏，从而引起的信息的丢失或损坏，这些威胁不受人为控制，但是产生的损失却不可小视。企业可以制定适当的安全措施来抵御这种威胁，比如对重要信息采取多种备份方式并分散存储，制定完善的灾难恢复机制等都可以极大的降低自然灾害威胁对企业带来的损失。

(2)恶意行为

内部员工或可进入企业内部的其他人员的恶意行为是企业信息安全的最大威胁之一，这些内部员工对企业内部组织结构及系统都相对比较熟悉，他们知道何种操作能给企业带来最大的损失，他们可以充分利用这一优势来达到自己的目的。由于大部分企业内部并没有相应的对计算机终端审计监控措施，相应的安全策略也可能并未在访问控制系统中有效执行，使得这些内部员工可以轻易进行恶意操作而不被发现，如通过自己的计算机终端访问重要信息、散播病毒木马等等。同样对于企业部门调整等引起的员工变动，相关的帐户管理没有及时更新，也会被某些员工利用来进行恶意操作。计算机终端操作相关的恶意操作大致可分为以下几类：

非授权访问：指未经同意而访问相关的信息资源。

破坏数据完整性：对重要数据进行恶意操作以取得有益于攻击者的响应，如恶意添加修改数据以获取私利。

利用网络传播病毒：通过终端计算机传播病毒，其破坏性极其巨大但又难于防范。

(3)非恶意员工

对于企业的内部员工，虽然他们并没有恶意动机进行破坏，但是由于缺乏相应的安全意识，他们的一些疏忽或错误操作都可能直接或间接的对企业的信息数据造成潜在的安全威胁。如员工对一些重要文件的误操作可能导致信息的破坏或丢失；员工对计算机终端的不合理配置可能导致系统存在漏洞或重要数据泄露等等。由于内部员工的这些不当操作具有很大的不确定性，因此可以说对企业具有很大的安全威胁。非恶意员工可能造成的威胁有：

帐户外泄：由于缺乏安全意识或设置不当而将帐户密码泄露，从而被利用；

不安全的文件共享：重要信息资源的不安全共享而被人非法获取；

系统补丁未及时更新：没有及时更新操作系统和其他应用软件的补丁，给企业网络带来潜在威胁；

未及时防病毒：为正确安全杀毒软件或为及时更新病毒库而可能感染并传播病毒。

2、系统漏洞

漏洞是可以在攻击过程中利用的弱点，可以是软件、硬件、程序缺点、功能设计或者配置不当等引起的。在实际应用的系统中，都会不同程度的存在各种潜在的安全性错误，对于操作系统这样一个庞大的软件系统而言，安全漏洞的存在更是不可避免的。

安全漏洞会给黑客或入侵者提供入侵系统的机会，入侵者可能会研究分析漏洞，加以利用而绕过系统的安全机制而获得一定程度的访问权限，从而达到自己的目的。

补丁是系统提供商针对漏洞发布的修补程序，为了最大程度的减小漏洞的威胁，企业内部计算机终端所使用的操作操作系统及应用软件需要及时进行补丁更新，修补已知漏洞，从而降低安全风险。

3、恶意代码

对计算机终端系统中数据的保密性、完整性和可用性最顽固的威胁是恶意代码，最常见的形式有以下几种：

病毒：是一种计算机程序，该程序执行时可以未经允许就把自身复制到另一个程序之中，感染该病毒的程序在执行时仍以这种方式把自身复制到另一程序之中。

病毒表现出很多特征，比如制造恶作剧、篡改或删除文件等，有些病毒的危害是特别大的，比如会破坏文件分配表等。这些行为都会极大影响计算机终端，并对整个企业内部网络都造成极大危害。

蠕虫：是一种未经许可就可以把自身复制到网络节点上的计算机程序。蠕虫可以将其一部分散布到网络其他计算机上，占用大量的内存空间和处理时间，最终可能导致死机。

特洛伊木马：指有预谋的隐藏在程序之中的一组计算机指令，是一种计算机程序，它可以伪装成合法程序，做一些用户并不希望的事情。作为计算机术语，它的含义是指，用户将一个貌似合法的程序载入内存，但此后恶意代码也开始运行，他可能会获取击键口令或者删除数据。

恶意代码是目前计算机终端面临的重要安全威胁之一，对于企业内计算机终端，应该采取适当的安全策略，安装并运行适当的杀毒软件，并及时更新病毒库，采用适当的安全访问控制措施等等可以有效防护病毒。

二、安全管理相关技术

1、访问控制技术

访问控制是网络安全防范和保护的主要技术之一，他的主要任务是保证网络资源不被非法使用和访问。访问控制技术用来控制用户对网络资源的合法使用，访问控制涉及的技术比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

入网访问控制：通过对用户账户和口令的认证与识别来实现用户对网络或资源的访问控制。它主要控制哪些用户能登陆服务器并获取网络资源，控制准许用户的入网时间以及可登陆的服务器。

权限控制：权限控制是针对网络非法操作所提出的一种安全保护措施。不同用户和用户组被赋予不同的权限级别，通过权限设置控制用户和用户组对网络资源的访问范围及对可访问资源的操作性。

目录及文件属性控制：目录及文件属性控制可以实现进一步的信息安全，可以控制用户对目录、文件或设备的访问，用户或用户组被设置相应的权限来获得对目录或文件的访问。文件属性控制可以针对文件、目录等设置访问属性，如访问、修改、删除、拷贝等属性控制，适当的属性控制可防止由于用户对资源的误操作，可见属性安全是在权限安全的基础上提供的更进一步的安全。

2、VPN技术

VPN是一种通过ISP和其他NSP，在公网如Internet中建立用户私有专用的数据通信网络技术，通过私有隧道在公共数据网上仿真，一条点到点的专线，主要采用四项核心技术：安全隧道技术、密钥管理技术、访问控制技术和用户身份认证技术。

安全隧道技术是VPN的一项基本技术，主要负责将待传输的原始信息经过加密、协议封装和压缩处理以后嵌套在另一种协议的数据包中送人网络，从而实现对公用网络的透明性。隧道技术保证在公网上建立专用的私有通道，它主要遵循以下

四种隧道协议：PPTP点到点隧道协议、L2TP第二层隧道协议、IPSec网络层隧道协议以及SOCKSv5协议。

VPN安全技术是用于保证数据的安全性和完整性，由加密、认证及密钥交换与管理等技术实现。

VPN大致可分为三类：

企业内部虚拟网：指企业的总部与分支机构间通过公网构筑的虚拟网。它通过一个使用专用连接的共享基础设施来连接；企业拥有与专用网络的相同政策，包括安全、服务质量，可管理性和可靠性等。

远程访问虚拟网：指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。它可以通过拨号、ISDN、XDSL、移动IP等方式实现安全连接，用户随时随地以其所需的方式访问企业资源。

企业扩展虚拟网：指不同企业网通过公网来构筑的虚拟网。它通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网、企业拥有与专用网络的相同政策，包括安全、服务质量、可管理性和可靠性等。它适合于提供B2B之间的安全访问服务。

3、防病毒技术

计算机病毒有不可估量的威胁性和破坏力，计算机病毒的防范是终端安全域与网络安全性建设中重要的一环。

防病毒技术包括预防病毒、检测病毒和病毒清除三种技术：

预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制(如防病毒软件等)。

检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。

清除病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。

三、计算机终端安全策略分析

1、限制恶意代码策略

限制恶意代码是实现终端安全的重要手段，限制恶意代码可以从以下三个方面人手：

限制恶意代码进入系统；

限制恶意代码运行；

限制恶意代码通信；

很显然，首先我们希望恶意代码远离系统，其次，如果它进入了系统，我们要尽量阻止它运行，最后如果它运行了，只有尽力阻止它向其他系统扩散。为了达到目的，可以采取以下几种终端配置策略：

(1)基于主机的防火墙策略

Windows内置的基于主机的防火墙可以限制从其他计算机传人的信息，防御穿过外围网络或来自企业内部的网络攻击，可以防止在未经允许的情况下尝试连接到计算机。同时还可以创建安全日志，记录各种连接尝试，可用于故障分析。因此建议在终端启用基于主机的防火墙，可以尽量在第一时间阻止恶意代码进入系统。

(2)IPSec过滤策略

IPSec可以实现过滤出入主机的数据流，通过建立IPSec策略规则来限制通过特定端口的数据，有时在某种程度上对限制蠕虫等恶意代码的传播非常有效。

(3)软件限制策略

软件限制策略是根据一定规则来控制应用程序的在计算机上的运行能力，能有效的防止恶意代码的运行。

(4)恶意代码防护软件

防病毒软件及反间谍软件可以很大程度上防止恶意代码侵入系统，因此，在大多数终端上都应安装合适的反病毒软件。

2、终端帐户配置策略

(1)更改或禁用Administrator帐户名

对于终端计算机，应更改系统管理员的默认帐户，以避免被人破解密码，而且改后帐户名应尽量复杂，不易被猜到。

(2)终端禁止其他用户登录

终端仅允许其唯一使用者登录，采用用户与终端计算机一对一的使用关系，防止交叉使用带来潜在威胁。

(3)禁用本机的Guest账号

(4)用户密码安全策略

密码应定期更改；密码应该遵循一定的复杂对规则，如应规定最小长度，规定应包含尽可能多的字符集等以增加密码复杂度；对于有多个帐户的用户来说，应该禁止使用相同的口令，甚至包括邮件系统等的密码都不与系统登录密码相同。

3、终端软件配置策略

(1)补丁更新

终端计算机操作系统和应用软件软件的补丁应该及时进行更新，弥补已发现的漏洞。

(2)防病毒

终端计算机应该按要求安装杀毒软件，并要保证病毒库的及时更新。

(3)系统服务

对于操作系统，运行的服务越多，可能造成的安全漏洞也就越多，因此，对于不需要的服务，均应将其禁用。

(4)终端远程协助配置策略

Windows XP客户端缺省启用终端远程协助。终端用户需要时可以自行禁用。

(5)终端远程桌面配置策略

计算机终端安全管理系统及其应用篇4

随着网络技术的飞速发展, 网络信息的安全问题倍受关注。当前我国网络信息安全问题十分突出, 根据CNCERT/CC的统计, 木马、病毒、系统软件漏洞、网页恶意代码、僵尸网络是影响互联网信息安全的几个主要因素[1]。计算机终端经常通过移动存储介质、电子邮件、Web浏览器等方式与外界进行数据交换, 容易受到病毒、木马、垃圾邮件和黑客的攻击, 而且受病毒木马控制的计算机终端往往成为黑客发起大规模DDOS攻击的工具。另外, 由于个人计算机安全意识淡薄, 使得计算机终端用户在病毒防护软件安装、系统软件补丁更新、操作系统账号口令设置、垃圾邮件处理等方面存在很多不足。这些因素都危害着计算机终端的信息安全, 仅依靠员工自发的信息安全防护使得终端计算机信息安全十分脆弱。

目前, 大多数信息网络已经部署了防火墙、入侵检测系统、病毒网关等安全防护系统来增强网络的信息安全, 但在计算机终端的安全防护与管理上却缺少有力的整合工具。网络信息安全的整体防护要求计算机终端、交换机、路由器、服务器、防火墙等设备协同工作、共同防范, 网络上任何设备的安全隐患都会影响整个网络的信息安全。为加强计算机终端的信息安全防护, 克服个人在计算机终端信息安全防护中的随意性, 实施统一的、强制的计算机终端安全管理策略, 有必要建设一套计算机终端安全管理系统, 从终端的网络接入控制、终端安全状态审查、系统软件补丁分发、系统账号安全策略管理等多方面加强计算机终端的安全管理, 确保接入网络的计算机终端信息安全。

1 系统功能与结构

计算机终端安全管理系统通过实现计算机终端信息安全防护的自动化和规范化来加强计算机终端的安全性。计算机终端信息安全防护涉及到病毒防护软件安装及病毒库更新、系统账号口令策略设置、补丁更新、进程和注册表监控保护、移动存储介质管理等多个方面。从上面几个方面入手, 建设计算机终端的安全管理系统。该系统的基本原理是通过在计算机终端上部署客户端软件, 检测计算机安全防护策略, 控制网络接入认证, 从而确保接入网络计算机的信息安全。

本系统采用C/S结构, 主要由客户端软件 (Client) 和服务器端软件 (Server) 构成。客户端软件是实现系统各项功能的关键组件。客户端软件安装在计算机终端上, 接收服务器下发的信息安全策略, 执行相应的程序, 如:检测系统账户口令策略, 检测病毒防护软件及病毒库版本, 检测及更新系统补丁, 发起网络接入认证等。服务器端由多台服务器构成, 实现信息安全策略配置与管理、网络接入认证、更新系统补丁库、管理客户端注册、管理系统账号口令策略、数据统计报表等功能。该系统的总体结构如图2所示。

系统主要包括:应用服务器、支持802.1X协议的交换机、计算机终端等几部分:

(1) 安全管理服务器:负责所有终端设备的安全管理, 实现终端安全策略的配置与管理, 具有向客户端下发安全策略, 分发各类补丁和软件, 接受客户端注册, 统计各类信息等功能;

(2) Radius认证服务器:该服务器是网络接入控制的核心, 支持802.1X协议的网络接入认证。Radius认证服务器接收客户端认证请求并对用户身份合法性进行验证;

(3) 重定向服务器:重定向未注册客户端软件计算机的DNS请求, 采用ARP重定向技术把用户的DNS请求转移到指定的修复服务器;

(4) 修复服务器:该服务器提供客户端软件、病毒防护软件的下载安装程序, 用于修复计算机终端的安全隐患;

(5) Radius认证客户端:该客户端为支持802.1X协议的网络设备 (交换机和路由器) , 由该设备接收计算机终端客户端的认证请求数据包, 并发送到认证服务器进行用户身份验证;

(6) 客户端:客户端软件安装在计算机终端上, 负责执行安全管理服务器下发的安全策略, 检测计算机终端的安全防护策略, 发起计算机终端到Radius认证客户端的网络接入认证等。

2 系统原理

2.1 工作流程

本系统采用802.1X协议的网络接入认证技术实现对未安装客户端软件或不满足信息安全防护的计算机进行“访问控制”。网络接入控制是整个系统的基础, 该系统仅允许认证通过的计算机终端接入网络;而未安装客户端软件或不满足安全防护策略的计算机终端接入“受限”的网络。“受限”网络仅允许访问一些受限服务器, 用于下载客户端软件、病毒防护软件或修补系统漏洞。计算机终端客户端的工作流程如图2所示。

为满足接入控制对网络的要求, 网络被划分为Work VLAN和Guest VLAN, 分别对应于通过认证计算机和未安装认证软件或未通过认证的计算机终端。计算机的客户端首先发起认证请求, 如果通过认证则与该计算机对应的网络端口被设置为Work VLAN, 计算机终端可正常使用网络;如果未安装客户端软件或未通过认证, 则与该计算机对应的网络端口被设置为Guest VLAN, 计算机进入“受限”网络。在Guest VLAN内架设了重定向服务器和修复服务器, 重定向服务器会采用ARP重定向技术转移进入Guest VLAN计算机的DNS请求到指定的修复服务器上, 便于用户客户端软件的安装和注册, 以及防护软件的安装和漏洞修补等。

2.2 认证原理

本系统采用IEEE 802.1X协议实现网络接入认证。802.1X是2001年6月IEEE制定的关于用户接入网络的认证标准, 它的全称是“基于端口的网络接入控制”。802.1X协议为2层协议, 对设备的性能要求不高, 建设成本低。802.1X的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能, 由RADIUS和交换机共同完成对用户的认证与控制, 从而可以实现业务数据与认证过程的分离。

802.1X协议采用了在RAS系统中常用的扩展认证协议 (EAP) , 可以提供良好的扩展性和适应性, 并对传统的PPP认证架构的兼容。目前已有20余种不同的EAP协议, 主要差异在于认证机制与密钥管理方法的不同。其中比较典型的EAP协议包括:最基本的EAP-MD5;需要公钥基础设施PKI (Public Key Infrastructure) 的EAP-TTLS, PEAP, EAP-TLS与EAP-LEAP;基于SIM卡的EAP-AKA与EAP-SIM;基于密码的EAP-SRP与EAP-SPEKE;基于预共享密钥PSK (Pre Shared Key) 的EAP-SKE, EAPPSK与EAP-FAST。

基于802.1X的认证系统一般包括3个实体组成部分:申请者 (Supplicant) 、验证者 (Authenticator) 、认证服务器 (Authentication) 。申请者 (Supplicant) 一般是指接入到网络中的计算机终端。验证者 (Authenticator) 一般是网络的边缘设备, 比如边缘交换机或无线接入访问设备 (AP) 。认证服务器 (Authentication Server) 为验证者提供用户认证服务, 保存用户的认证信息。系统采用EAP-MD5的认证方式, 其认证过程如图3所示。

2.3 服务器软件

该系统各服务器基于Windows2003 Server平台, Radius服务器采用Windows IAS, 数据库采用MS SQL Server 2000, Web服务器采用Windows IIS软件。安全管理服务器的设计采用典型的ASP 3层结构, 即表现层、业务层和数据层, 实现了用户界面、业务逻辑和系统数据的分离。该系统采用模块化设计, 包括配置管理、策略中心、终端管理、移动存储、接入管理、补丁与软件分发、运维监控等多个功能模块, 可以根据需求灵活配置。

3 部署与应用

系统的实施涉及安装客户端软件、部署服务器和开启交换机802.1X协议等。目前主流的交换机产品均已支持802.1X协议。在开启交换机端口的802.1X协议时, 可以采用“先试点、后分批”的策略逐步开启交换机端口上的协议, 保证用户平稳过度, 网络设备状态平稳迁移。

客户端软件需要安装在每台接入网络的计算机终端上, 执行服务器下发的安全管理策略。客户端软件安装后需要填写必要的信息并向安全管理服务器注册。注册成功后, 客户端软件接收管理服务器下发的安全管理策略, 实现系统设定的功能。为防止客户端软件被随意卸载, 在执行客户端软件卸载程序时需要输入卸载密码, 该密码存储在安全管理服务器中, 系统管理员可以根据需要查询。

目前, 国家电网公司总部已经部署了该套系统, 累计安装600余个客户端软件。经过半年的试运行, 该系统运行稳定、功能完善。图4为系统的Web管理界面, 左侧为系统的功能主菜单, 右侧为具体的操作区域。管理员登录该服务器进行系统设置或数据查询。

4 结语

该系统实现了网络接入控制、补丁分发管理、系统账号口令策略管理、病毒防护软件管理、应用软件分发、资产管理等计算机终端信息安全防护中的重要功能。计算机终端的安全管理是整个信息安全体系的一个重要环节, 也是一个不断发展完善的过程。随着计算机终端安全管理认识的深入和系统功能的完善, 计算机终端的安全管理系统一定会在信息安全防护与管理中发挥更大的作用。

参考文献

[1]国家计算机网络应急技术协调处理中心, CNCERT/CC2007年网络安全工作报告, http://www.cert.org.cn/articles/docs/2008040823865.shtml

从新终端看个人计算新生态篇5

苹果的iPad、iPhone 4先后在国内上市，而且都翻版了海外上市时的胜景，上千人彻夜排队等候。虽然国内彻底的苹果迷的数量还不够多，很多人也只是用iPad、iPhone来赶时髦或者标榜身份，但更多的人已经将iPad、iPhone作为娱乐和工作中不可或缺的玩具或者工具。

近日，RIM对外展示了其BlackBerry PlayBook平板电脑，面向企业计算用户，除了与iPad一样的娱乐功能外，突出了工作和商务中的媒体发布和协同功能。与iPad和iPhone 4的各自为战不同，BlackBerry手机和BlackBerry PlayBook平板电脑需要相互依存使用。

盛大电子书Bambook也终于在9月底开始全国发货，作为盛大文学的重要组成部分，Bambook显然也不仅仅是电子书那么简单，相较于Kindle等电子书阅读器，Bambook对于传统出版和阅读更具革命性。

无论是iPad、iPhone 4、BlackBerry手机、BlackBerry PlayBook还是Bambook，它们都是新型的终端设备，部分或者全部代替了传统PC的功能，成为移动计算平台主力，从消费市场、商用市场到企业市场，在全面蚕食传统PC市场的同时，将逐渐成为个人计算市场的重要组成部分。

除了对传统PC的替代和补充，这些新型的终端设备无一例外都展示了一个全新的个人计算生态和个人计算模式。

新的计算生态的核心从PC终端已经转移到了互联网，新终端都表现出了对于互联网的依附和延伸，当互联网已经成为信息、内容和媒体的大本营之后，作为应用信息、内容和媒体工具的终端必然会互联网化。

“云”会成为未来计算生态的中心，而个人计算终端将成为用户接受云服务的工具，所以在以上的新终端中都或多或少地有了一点云的影子，它们都不再是以单独的设备出现，在它们的后面都有着一套通过互联网实现的完整的应用和服务体系。

在iPad、iPhone 4、BlackBerry手机、BlackBerry PlayBook和Bambook这些新终端中，还可以看到，依托以终端为目标、以服务为吸引的互联网，新终端如同一个风筝，被类似于AppStore、盛大文学这类的应用服务牵引控制着，而使用同一终端的用户无形中被聚合成了一个SNS，所以苹果、盛大文学们在卖出一个终端的同时也深度获得了一个用户，未来可以继续通过终端从这个用户身上赚钱。这是包括PC和新终端在内的所有个人计算终端趋势性的盈利模式和生存状况，以个人计算终端产品为话题或者中心的SNS也将成为互联网上的一个新力量。

新的计算生态也决定了未来个人计算终端的新诉求，追求用户体验将取代计算能力成为终端设备的新“圣经”，从设备本身到服务，都会以提升用户体验和用户价值为目标，所以人机接口、节能环保、个性设计、网络连接方便性、应用和服务的丰富性、实用性将成为个人计算终端新的指标。

未来的个人计算会让用户随时、随地、随心获得并享受所有与信息相关的服务，让工作和生活更高效也更有质量。

计算机终端管理篇6

中石化内网是中石化系统信息化建设的重要基础设施,覆盖面较广,涉及的计算机种类和数量众多。同时,ERP、办公自动化OA系统、电子邮件等多种重要的业务系统在内网平台上运行。随着应用系统的不断增加,网络中病毒传播造成的风险也不断暴露出来,由单个计算机的病毒引起的损害可能传播到其他系统和主机上从而引起网络瘫痪,造成重大损失。因此,如何利用有效技术手段及时、持续、稳定地安全管理终端计算机是所有网络管理人员和信息部门亟需解决的问题。目前网络管理工作量最大的是客户端终端安全部分,对网络的正常运转威胁最大的也同样是客户端安全管理。

由于大型网络一般结构较为复杂,用户水平参差不齐,而网络管理人员编制有限,往往难以面对数量庞大的客户端安全事件。BES桌面管理系统正是这样一个集计算机终端的安全管理、漏洞管理、资产管理、电源管理、安全策略管理等多方面功能为一体的确保接入网络的计算机终端信息安全的系统。它可与防火墙、杀毒软件等软硬件系统联动,形成完整的网络和系统安全管理体系,可提高内部网络和计算机信息安全,并减轻运维人员的工作量,确保企业经营管理工作的正常运行。

1 系统组成与结构

BES桌面系统由下面几个主要部件构成(如图1所示)。

1.1 BES Clients

也被称作Agents, 安装在每台你希望管理的计算机上。它们通过获取Fixlet信息来检测系统的漏洞情况。BES Client可以通过BES Server获得BES Console下发的修补漏洞的动作指示。在绝大多数情况下,BES Client在后台静默运行,不需要最终用户的干预。当然,BES也允许管理员为最终用户提供下发动作的屏幕提示,要求用户进行互动操作。

1.2 BES Server

它是若干个交互服务的集合,包括应用服务、Web Server和一个DB Server,这些服务是BES系统的核心。它们协调每台计算机的信息流向,并把结果保存在BES数据库内。BES Server组件在后台运行,不需要管理员的直接干预。BES Server还包含了一个内置的Web Reports报表模块,允许授权用户通过Web Browser来查看所有的计算机、漏洞、动作等信息。

1.3 BES Relay

可增加系统的工作效率。Relay避免了网络中每台计算机都直接与BES Server相连,从而减轻BES Server的工作负担。几百到几千台BES Clients可以通过与BES Relay相连获得更新软件下载,只需要一个与BES Server的请求连接就可以了。BES Relay也可以连接到其他的Relay,进一步增加了工作效率。一个BES Relay不需要是一台专用的计算机――可以安装在任何装有BES Client的Windows XP、Windows7、或Windows Server 2003计算机上。一旦你安装了BES Relay,你网络中的BES Clients会自动发现它们并与它们连接。

1.4 BES Console

将BES各个部件连接起来,为网络中所有的计算机提供了系统级的全局视图,同时也包括它们存在的漏洞问题和修补方法。BES Console允许授权用户快速、简单的将修补方法分发到每台计算机中;同时,不对网络中其他的计算机带来任何影响。BES Consol可以运行在任何能与BES Server进行网络通讯的Windows XP,Windows 7或Windows Server 2003计算机中。

各下属单位计算机终端数量及网络带宽各有不同。在安装BES系统时,需充分考虑各种条件,在窄带连接的局域网中设置一台中继,在高带宽大型网络中,每500~1 000台计算机也要设置一台中继。同其他网络情况的实施一样,建议在中心机房设置一台顶级中继(Top Relay),以减轻BES Server的压力。

省公司部署一台BES服务器,一台顶级中继。各分公司公司部署一台BES中继(利用现有的文件、打印等服务器),中继手工指向顶级中级。

2 系统功能介绍与应用

2.1 补丁管理

利用基线功能,每月将通过FIXLET消息的形式发布的最新的微软补丁添加到分类的系统补丁基线中。管理员每月将基线执行为动作,将这些补丁静默的分发到各个客户端,客户端用户在没有任何感觉的情况下就完成了漏洞的修复,从而有效的减少了感染病毒的情况,保证了客户端的正常运行。

2.2 软件分发

实现保证应用软件以可靠和高效的方式分发、安装和维护,自动实现企业级大规模的应用软件分发和安装,优化网络效率,大幅减少分发操作消耗的网络带宽等功能。

2.3 资产管理

可以利用桌面安全系统查看终端配置情况,可以对品牌、CPU、内存、硬盘、终端类型、操作系统、IP地址、MAC地址等信息等进行统计筛选,并通过报表功能进行统计。对公司中使用年限较长、配置较低的计算机,逐步更换淘汰,为设备更新提供参考。

2.4 电源管理

利用BES系统中的电源管理模块,跟踪客户端的电源设置信息,通过电源配置向导,可以对计算机使用电源进行管理,电源管理模块可以对用户计算机进行休眠、关机、待机、重启等操作,以节省企业用电量。

2.5 安全管理

通过账户策略分析监控客户端中相关的安全设置信息,如账户密码最长有效期、密码最小长度、密码复杂性要求等,启用此策略后可以有效防范终端桌面不设密码或者弱口令等现象的存在;禁止自动运行功能,在默认情况下,计算机启用自动运行功能,插入计算机的可移动介质将会自动运行,从而将病毒或木马传入到计算机中,使用FIXLET消息对系统自动运行功能进行禁止;禁止使用移动存储设备、无线设备。BES系统可以对客户机的硬件进行分析,管理员可以禁止客户使用移动存储设备、无线网卡等,以保证企业网络的安全性。

2.6 为其他系统提供支持

桌面安全管理系统提供了丰富的信息和动作的支持功能,它可以为其他系统提供丰富的计算机信息和必要的动作执行支持。系统的自定义功能可以人为的通过定义新的关联要求和动作,来提取所需的计算机信息并执行一定的动作。整个过程都是在后台完成,使得对用户的影响降到最低。对网络设置未能达到要求的计算机,启动服务下发设置脚本,替代人员的部分操作。除此之外,还为计算机设备管理系统提供原始的数据信息,缩短开发周期、降低工作强度。

3 结语与展望

桌面安全管理系统把网络管理的概念从路由交换层延伸至了终端,使网络安全得到加强和巩固,其作用非常明显。计算机终端的安全管理是整个信息安全体系的一个重要环节,也是一个不断发展、完善的过程。计算机的终端管理已经成为每个网络工作者必须及时正视与面对的问题。随着对信息网络计算机终端安全管理认识的不断深入和桌面系统功能的日益完善,桌面安全管理系统一定会在信息安全防护与管理中发挥更大的作用。

参考文献

[1]蔡曙光.论信息能力与信息资源利用率[J].中国社会科学院研究生院学报,2006(5).

计算机终端管理篇7

1大型企业计算机终端安全管理现状

1.1身份识别

1.1.1个人电脑口令设置。未要求设置无开机密码和硬盘口令验证, 开机后只要直接输入正确的管理员用户名和密码即可进行认证登陆电脑, 接入公司网络。用户名和密码可以是普通用户权限, 不要求一定用管理员帐号密码登录。

1.1.2公用电脑口令设置。部分电脑是部门级的公用电脑, 用于存放部门的公共资料或公用的数据信息等。对于这类电脑的用户名和密码一般都是公开的, 也没有设置相应的责任人, 只要输入相应的用户名和密码即可登录电脑, 接入公司网络, 访问公司资源, 也可以随意从公司的相关服务器拷贝资料等。

1.1.3供应商等其他外部电脑终端在公司内部办公区可直接接入内部网络使用任何一台正常工作的电脑, 只要带到公司连接上网线即可接入内部网络, 访问和使用公司的资源, 当然也可以拷贝一些内部资料到其电脑上。

1.2终端接入

在内网, 通过域认证加入域后, 不管域用户是不是管理员帐号, 终端将自动接入公司网络。在外网, 在计算机终端未关机的状态下, 通过安装的远程终端控制软件即可接入控制内部计算机终端。

1.3终端信息安全管理体系

在大部分的企业中都面临着这样的问题, 就是在终端信息管理方面紊乱, 管理上存在着一定的不规范, 没有条理性, 此外还存在着这样的问题在实施的过程中十分的困难, 在人们的心理上有抵触的情绪与懒惰, 即使所有的都条理清晰规章制度, 不去实施, 这样所有的规章制度成为了一纸空文, 起不到任何的实际意义。信息管理本来就是一个抽象的概念, 对于不同的企业有自身的特殊性, 所以针对于本行业要针对性的。还有很关键的一步就是采取有效的监督制度, 能够更好地促进制度的实施。对于不同的部门判断违反的行为不同, 所以会出现差异, 这样给工作带来了很大的不便, 很多人会产生怀疑。

2大型企业计算机终端安全管理策略

2.1终端安全管理的理论

企业单位要更多考虑端到端的架构, 安全永远是三分技术七分管理, 在制定了安全策略和安全制度后, 更要考虑的是, 如何能保证安全策略的贯彻执行?比如说一些公司在管理制度上要求所有员工必须及时打补丁、不允许安装IM软件, 但是如果员工不执行公司的策略, 这个安全策略就是一纸空文。

2.2终端安全策略分析

随着信心技术的不断推广, 人们越来越依赖于信息网络, 与此同时有许多的问题跃到了纸面上, 最关键的一点就是终端安全问题, 终端安全问题是长期以来我们考虑与研究的问题。现在的网络终端系统面临着很大的安全隐患, 有来自于自身系统的不够完善所带来的, 也有来至于外界所带来的, 有些人有意的进行恶意的破坏, 未获得所需的信息。当今的网络终端系统用的最多的就是身份认证, 通过身份识别来确定是否有权限进行进入系统, 如果得不到正确信息的就会自动的进行锁定, 系统的自身会定期的进行杀毒修补。整个的终端安全系统是一个有机的整体, 每一部分紧密联系, 相互进行弥补, 下面对于一些安全的模块进行介绍:

2.2.1网络接入控制模块。传统上来讲, 在企业单位中终端接入网络是没有任何控制的, 在终端接入网络后, 在网络层是可以访问任何网络中的主机。这样的话就带来了很大的风险, 然而, 根据工作相关原则和最小权限原则, 网络接入控制可以实现以下功能: (1) 终端在接入网络之前必须经过身份认证; (2) 终端在身份认证后根据相应的权限确保只能访问相应的系统, 比如市场的员工如无工作需要不能访问财务系统的网络; (3) 终端在接入网络后可以进行限流, 确保这个终端在中了病毒以后, 不会影响网络和网络中的其他设备; (4) 对于没有合法身份的终端进行强制隔离, 不允许接入公司的网络。

2.2.2终端策略强制模块。终端策略强制模块是安全管理通过技术手段贯彻执行的具体体现, 只有符合公司策略的终端才能接入网络。企业单位可以根据自身特点定制安全策略, 通过策略强制来确保所有终端执行公司的策略, 否则强制隔离。

2.2.3终端行为审计模块。终端行为审计模块可以帮助公司安全人员对安全策略的执行情况进行检查分析, 用户也可以通过工具进行自检。

(1) 用户可以自助检查终端是否符合公司的策略, 如果不符合, 可以按照提示先行修复; (2) 审计员可以通过工具下载审计任务, 自动检查出不符合公司策略的终端; (3) 审计员可以监控终端的可疑行为, 如使用USB硬盘等; (4) 可以方便公司进行资产管理。

2.3终端安全管理体系建设

2.3.1领导层主导性十分的关键。对于此项建设相关的技术开发部门对于方案进行了有效的制定完善, 是完全不够的, 要与相关的领导层进行沟通交流, 增强他们的重视程度, 最好在进行科研研讨的过程邀请部门的高层领导, 这样在推广与实施的过程中会更加的通畅, 此项工作是需要全体员工参与的活动, 十分的需要领导的倡导与支持。

2.3.2在战术层面落实具体公司计算机终端信息安全标准、安装操作指引、审计指引等。便于在统一的标准平台下, 实施系统的自动统一管理。

2.3.3在执行层面, 每个三级部门设立信息安全专员, 按相关规范要求在本部门内负责开展相关信息安全工作, 并作为信息安全责任人对部门的信息安全考核结果负责。将信息安全管理工作的执行效果以及违规情况纳入所有员工的绩效考核, 将信息安全与员工切身利益相关的绩效考核联系起来, 提供了员工对信息安全重要性的认识。

3结论

科学技术是当今时代进步的具体体现, 科技在我们的生活的方方面面。在网络方面更是一日千里, 今天我们介绍的终端安全方面就是关注的重要的焦点之一, 有很多的弊端体现出来了, 如何的根治与改变十分的关键, 在以往实践过程中我们不断的总结归纳, 在这一方面取得了很大的进步, 成绩是可见的, 但是许多问题还没有彻底的解决也是事实, 需要我们继续努力改变完善现状。我们有了一个好的开头, 往下的路我坚信一定会越走越宽广。

参考文献

[1]陈卫平.浅析终端安全管理系统的建设[J].现代电视技术, 2011 (10) .

[2]卢海勤.终端安全防护技术及体系架构部署模式[J].中国金融电脑, 2012 (10) .

计算机内网的安全管理及终端控制篇8

1.1终端信息易泄露

对于企事业单位来说,在内网中传送和分享的信息非常重要,也正是为了传播能够保证这些信息的安全传播才有了企业内部网络。可以说内部的局域网络在很大程度上减小了外网对于企业内部信息交流的冲击,保证了信息的安全性,同时提高了办公的效率。但是内网作为一个局域网络,人们总是对它的安全性能不太注意。总是认为要下大功夫改善外网导致的安全问题而忽略了内网自身的安全性和保密性。所以很多企业对于内网几乎没有任何保护手段,再加上大多数人对于计算机网络知识了解并不多,只知道计算机关于工作的某一方面内容,对于安全问题并不关注,这就给了不法分子以可乘之机,随着移动设备的便携性的增大,很多安全问题已经从无意识错误变为有意为之,所以人们需要提高内网的信息安全管理程度,尽最大努力减少由于终端信息泄露造成的损失。

1.2对于终端设备的管理很难到位

随着信息化时代的发展,在企事业单位的几乎每个机构都有一台终端设备在工作,如此庞大的终端设备导致管理很难统一和到位。因为作为一个整体的系统,每一个部门和终端都肩负着不同的角色和任务,对于每一个终端的安全管理也都不尽相同,有的终端需要有权访问所有数据,有的终端则只允许进行单一方面的信息处理和查询,而无法对其他信息进行查询和修改。

与此同时,很多办公人员对于自己终端的权限并不知晓,对于网络安全的意识也并不相同,严重影响了组织的策略部署,无法让用户达到统一的认知。如果对每一台内网的终端进行单独的管理并不现实,因为这样无疑会投入很大的人力和物力,而且还要定期对每个终端的系统进行单独的维护,事实证明这是不现实的。所以说要想对整个内网系统进行统一的管理和调配,就必须有一个完整的终端信息管理体系,这样才能保证企业的正常运行。

1.3内网安全管理环节薄弱

正如上文所述,在企业中的每个终端都肩负着不同的使命,所以很多终端的系统和配置以及管理方式都存在差别,在安全管理方面就会遇到很大的问题,造成许多安全管理的标准和规定不能普遍实施,造成安全隐患。如果将所有部门系统终端的软硬件配置统一,并设定特定的权限,防止使用者私自修改,在升级和维护时也会比较方便,可以有效提高整个内网系统的安全。然而这样必然会增加对于信息管理和终端设备硬件方面的投入,并需要专门进行技术上的管理和监控。一旦发现问题,检测系统发现问题,可以马上终止程序的运行并发出警告,这个警告管理员同样也可以看到,管理员在对警报信息进行分析和判断以后做出回应,可以及时发现系统的漏洞,防止不法分子通过内网泄露关键信息,保证了信息的安全和健康运行。

2计算机内网的安全管理及终端控制策略

2.1漏洞与补丁

对于一个网络终端设备来说,漏洞就是终端的操作系统本身所存在的缺陷,在网络中可能会受到相应的威胁。其中Windows的操作系统就存在着一些漏洞,这些漏洞可能来源于对于程序的设计上的逻辑缺陷,也可能来自于程序或者软件设计时的编程错误。这些漏洞随着人们对于操作系统的使用和熟悉会慢慢被发现,如果被人恶意利用则会对真个网络安全造成威胁,但是漏洞是在系统发布和使用以后体现出来的,具有滞后性。随着漏洞的发现,操作系统设计方就会不断地发布补丁进行系统的更新,让整个系统能够保持稳定安全的运行,然而新的补丁的加入同时也会引起新的漏洞的出现,所以修正了旧的漏洞并不意味着就不会有新漏洞的出现。不断地进行系统的漏洞修复对于系统的安全至关重要,这一部分问题主要由微软这样的操作系统供应商负责,但是对于已经发现但是还没有发布补丁的漏洞则要更加小心,内网管理系统要尽最大努力减小漏洞对于内网的危害,并及时将漏洞进行反馈,保证系统正常运行。

2.2利用P2DR模型加强安全管理

随着木马和蠕虫等病毒的日益强大和专业化,传统的边界防护和网络防火墙技术已经渐渐无法满足多维的内网终端网络环境。为了让内网终端的安全环境得到有效地防护和净化,人们提出了P2DR模型,P2DR模型主要包括四个部分,分别是安全策略、防护、检测和响应。在策略方面,该模型可以根据风险分析产生的安全策略描述哪些资源需要得到保护,以及具体的保护措施,以此来指导整个安全模型的运行。在防护方面,模型可以通过系统漏洞修复,主动防御来预防安全事件的发生,通过经常的检查发现系统的威胁并及时处理。在检测方面,该模型可以动态响应和加强防护的依据,通过不断地对系统进行监控,提高自身的检测能力,从而做出更加有效地响应。在响应方面,系统一旦侦测到威胁,就会马上出发响应系统对威胁进行处理,保证整体内网环境的安全性。

3总结

总之,随着经济飞速发展,大部分企业中内网终端数量越来越多,同时网络环境也比较复杂,面对各种各样的问题与隐患,内部信息资源管理也存在许多问题,就会导致内网终端安全管理显得非常重要,企业单位必须对其进行科学控制,完善计算机内网安全管理,保证网络环境安全,维护经济环境安全,从而提高经济效益,确保企业持续健康发展。

参考文献

[1]宁晓波,兰文涛,秦海燕等.油田企业网络安全经验分享[J].科技与企业,2014(3):21-21.

计算机终端管理篇9

近年来,电力企业对信息化的依赖程度越来越高,越来越多的涉及到电力企业的信息化系统投入使用,电力企业投入的桌面数量也越来越大,然后,对于巨大的桌面终端数量,安全管理是一个重要的问题,

本文分析了电力企业内网桌面终端的管理现状,对桌面终端安全管理技术在企业的应用进行了论述,通过运用安全管理信息技术,以提高公司的安全管理水平,它充分利用了现有的先进网络管理工作,强化网络计算机终端的控制,实现实时的安全监控系统,同时能够同其他网络进行系统集成,使内部网络成为高速、安全的网络办公环境,最终提高桌面终端的安全管理水平,促进公司的IT资产精细化管理。

1 研究的背景及意义

桌面终端安全管理是为企业级用户提供全面高效的计算机设备管理手段,监控企业内IT环境的变化,保障计算机设备正常运行,大幅度降低维护成本,帮助企业用户管理好计算机设备。

随着网络技术在电力系统的广泛应用,内网计算机终端管理作为一个综合的系统问题已成为整个信息网络安全的薄弱环节,它涉及桌面终端计算机本身,桌面终端操作者、桌面终端应用和桌面终端使用规范等多个方面,合理部署一套计算机终端管理系统,从网络接入认证、防病毒软件管理、系统补丁分发、系统账号安全策略管理等多方面加强网内网络计算机终端的安全,对整个信息网络系统预防信息安全事件发生具有重要的意义。电力多数电力企业已将桌面终端管理系统投入生产应用当中,该系统现在已经成为电力企业经营、管理和生产的重要技术支撑系统,担负着不可或缺的作用。

2 电力企业管理现状

2.1 管理现状

电力企业已经引入桌面终端管理系统(HUAWEI策略管理中心),该系统基于NAC客户端提供安全接入控制、终端安全管理、补丁管理、终端用户的行为管理、软件分发、资产管理六大功能。其核心思想是解决网络准入控制,基本要素是安全检查、访问控制和安全修复。有效控制网络日渐增多的接入点,发现并隔离带有威胁的终端主机,提升网络防御安全威胁的能力。

如何对桌面终端管理系统进行有效监控,成为IT运维工作中的一项重点。但随着应用系统的不断引进,电力企业业务对IT系统的依赖性越来越大。同时,IT系统日趋复杂、系统维护要求越来越高,运维部门的工作压力越来越大,而随着信息系统的重要性越来越强,系统的稳定运行也关系到企业的生产运营。因此,如何对桌面终端管理系统进行有效监控,发现潜在的系统故障并及时处理,如何在系统故障发生时快速、精确的定位故障,找到故障产生的根源并让运维人员快速响应故障,让系统用户及时了解系统故障信息就成为当前企业IT运维工作中的一项重点。

为了在IT运维工作中实现系统故障的快速定位及快速响应,引入故障自动发现、自动预警等手段,就需要在IT运维工作中引入一套集IT监控和IT运维管理于一体的系统,实时获取信息系统相关的业务指标、可用率等关键指标信息,帮助IT监控人员及时了解当前系统运行状态并能根据现有指标及时发现系统潜在的故障风险后通知运维人员快速处理,而IT运维人员可通过系统快速定位故障、找到故障产生根源并及时采取有效的解决方案排除故障,保证系统的稳定运行,提升运维水平,降低IT运营风险满足。

桌面终端的管理主要集中于数据信息的管理上,还未实现向决策管理的过渡。虽然玉溪局桌面终端数据已相对较完善,但在进行桌面终端设备综合分析,为企业IT决策提供相应信息支持时,还主要是通过人工计算的方法完成,而且结合IT全景监控管理的相关要求,桌面终端监控的相关指标还相对缺乏, 针对桌面终端管理还主要集中于数据信息的管理上,还未实现向决策管理过渡。为促进玉溪局IT运维管理到IT运营管理的过渡,就需要基于玉溪局桌面终端现有数据等相关信息,结合IT全景监控的相关要求,完成玉溪局桌面终端全景监控相关功能的研发,实现对玉溪局桌面终端监控相关指标的提取、计算及集中展现,实现全景监控图形化、管理要求指标化。

2.2 桌面终端安全管理系统全景监控研究的意义

2.2.1 提高桌面终端管控能力和减少桌面终端风险的需要

桌面终端有关数据急剧膨胀,管理者和决策者对IT整体的管控显得越来越困难。而传统的管理手段也暴露出其局限性,如资产的情况无法全面掌握,存在运维工作计划性不强、容易出错、质量不可控、管控不科学、效率低下等问题。

因此,有必要建立起桌面终端管理各监控域广泛联系的信息基础,形成关联的而不是片断的信息,提供一站式的桌面终端管理信息,减少沟通成本和沟通障碍,减少桌面终端管理不到位不及时造成的IT设施风险和信息安全风险作。

2.2.2 提升桌面终端管理整体价值的需要

虽然目前多数电力企业形成了一体化管控模式,但对于桌面终端监控还缺乏统一的信息通道,桌面终端难以管控到位,资产和资源难以统管,难于复用,难于调配。因此,有必要通过桌面终端全景监控,把终端资产和资源的规划、建设、应用、维护和服务等通过一个系统管理起来,把管理的生命周期和资产的生命周期管理结合起来,最大限度地提升整体桌面终端资产价值。

2.2.3 提升IT决策能力的需要

随着业务的日益发展,各电力企业使用企业内部应用的桌面终端越来越多、操作系统及应用软件版本越来越多、硬件配置差异日益加大,给桌面终端管控带来很大挑战。

因此,全面掌控桌面终端防病毒软件总体安装情况、补丁安装总体情况、网络准入控制总体情况、操作系统版本正版化情况、office软件正版化情况、硬件配置水平分布等信息就显得尤为重要,为电力企业终端决策能力的整体提升提供支持,同时统一管理桌面终端资产,提高效率,降低维护成本及软件盗版等情况带来的风险。

3 对电力桌面终端管理全景监控的实现机制(以玉溪供电局为例)

本文提出“通过抽取及提炼运行中的桌面终端管理系统的关键业务数据,主动模拟特定用户行为来对终端业务进行监控”的思想,并以云南电网有限责任公司玉溪供电局为例,从4 个方面介论述桌面终端管理全景监控的实现机制。

3.1 技术架构和业务架构的实现

3.1.1 技术架构

在IT运维指标体系的基础上,确定桌面终端管理系统全景监控数据提取技术策略及集中展现的技术架构,研究IT集中运行监控系统通过客户端B/S架构,使用FLEX来实现数据图形化的相关展现,提供高度可视化的监控界面,增加交互性,减少系统的维护量,也易于对系统进行灵活扩展。

3.1.2 业务架构

筛选确定集中展现的核心指标、业务体系、数据关系,通过对桌面总体情况、安全加固情况、应用软件版本分布情况、硬件配置水平的实时监控数据进行细致的关联整合,结合CMDB关系,实现从实时监控到分级报警,再到事件处理的全面贯通,实时分析出报警或事件影响的系统、设备范围及影响的组织机构和用户范围,并进行及时的展现,让终端运维人员和管理人员第一时间了解终端环境的运行状态和故障情况,为监控人员提供有效的监控数据展现和详细的技术、业务研究支持。

3.2 全景监控范围

目前,在运的桌面终端管理系统提供了:1)灵活的策略引擎,基于5W1H的情景感知,整个组织内实施统一访问策略(有线、无线,内网,外网一体化), 实现基于用户、设备类型、资产类型、接入时间、接入地点、接入方式的认证和授权,满足企业接入认证多层次、泛终端接入的需求,实现企业用户接入安全,保证合法的用户接入且合理、合法的使用企业网络;2)访客全生命周期管理,智能终端随时随地的接入,访客全生命周期管理:访客注册、审批、分发、认证、审计和注销全生命周期管理,提高网络管理人员的工作效率;3)完善的终端安全策略,健康检查加固防泄密:提供丰富的终端安全健康检查策略:阻止不安全的终端以及不满足企业安全策略的终端接入网络,符合企业的管控策略,提升整体的信息安全水平;同时,提供丰富的员工行为管理、安全加固、资产管理、补丁管理和软件分发等功能,降低IT运维成本,提升企业信息安全水平。

基于以上桌面终端管理范围,全面整合在运的安全审计系统、IT综合管控平台,实现桌面终端全关联的全景监控,全方位保障桌面终端的安全,确定桌面终端范围。

3.2.1 桌面总体态势状况/ 加固状况全景监控

对桌面终端总体运行情况指标的进行计算、分析,包括病毒总体终端率、补丁总体终端率、网络准入总体终端率等,为桌面终端运维人员、企业运营管理人员提供直观的桌面终端总体安全态势情况。

3.2.2 Office及操作系统版本分布全景监控

对桌面终端操作系统版本、office软件版本分布情况的统计,展现版本分布比例情况、版本具体分布数量情况等。操作系统版本包括Windows xp,Windows vista,Windows7,Windows8;Office软件版本包括但不限于WPS Office2003、WPS Office2005、W P S O f f i c e 2 0 0 7 、 W P S O f f i c e 2 0 0 9 、 W P S Office2010、WPS Office2012、WPS Office2013、MS Office2003、MS Office2007、MS office2010其他等

3.2.3 桌面终端硬件配置水平全景监控

对桌面终端设备硬件配置分布进行统计,对CPU、内存、硬盘容量等主要指标按范围进行指标划定和展现。直观反映桌面终端硬件配置水平情况,为企业的终端配置水平衡量、终端设备采购提供数据支撑。CPU内核数分类:单核、双核、四核及以上;CPU主频分类:(1.4-1.6)GHz、(1.6-1.8)GHz、(1.8-2.0)GHz、(2.0-2.2)GHz、(2.2-2.4)GHz、(2.4-2.6)GHz、(2.6-2.8)GHz、(2.8-3.0)GHz、(3.0-3.2)GHz、(3.2-3.4)GHz、3.4GHz及以上;硬盘容量分类:(40-80)GB、(80-160)GB、(200-320)GB、(500-750)GB、(1000G-1.5TB)、2TB、3TB、4TB; 内存分类:512MB及以下、512MB-1GB、2GB、4GB、8GB及以上。

3.3 桌面终端管理数据挖掘

桌面终端管理数据挖掘包括许多步骤:从在运系统数据库中取得数据;选择合适的特征属性;挑选合适的样本策略;剔除数据中不正常的数据并补足不够的部分;用恰当的降维、变换使数据挖掘过程与数据模型相适合或相匹配;辨别所得到的是否是知识则需将得到的结果信息化或可视化,然后与现有的知识相结合比较。这些步骤是从桌面终端管理基础数据到全景监控展现的必由之路。每一步骤都可能是成功的关键或失败的开始。见图1。

3.4 全景监控的展现实现

支持指标进行向下的逐层钻取,并对构成该指标的各详细数据通过安全态势地图或其他图表方式进行展现。采用可视化技术进行全景监控平台的展现。可视化是计算机应用技术的发展趋势,也是数据挖掘的研究方向之一。可视化数据分析技术拓宽了传统的图表功能,用直观图形形式将信息模式、数据关联或趋势呈现给决策者,使之能交互分析数据关系,如把数据库中多维数据变成多种图形对揭示数据总体状况、内在本质及规律至关重要。可视化技术将人的观察力和智能融入挖掘系统,极大提升了系统挖掘的速度、层次和内容。见图2。

摘要：随着网络应用技术的发展以及计算机应用系统的广泛应用,计算机桌面终端已成为日常办公的重要支撑;另一方面,近年来电力企业对信息化的依赖程度越来越高,越来越多的涉及到电力企业的信息化系统投入使用,电力企业投入的桌面数量也越来越大,然而,对于巨大的桌面终端数量,安全管理是一个重要的问题。本文将阐述电力企业桌面终端安全管理现状,分析电力企业桌面终端普遍存在的问题,以玉溪供电局为例,论述电力企业计算机桌面终端的全景监控研究及实现。

计算机终端管理篇10

微博中有一个段子：世界上最遥远的距离，不是生与死，而是我已在3G，你还在2G；我在发微博，你在码短信；我用手机导航，你打电话问路。

作者的意思无疑是想说明智能手机与传统功能手机的区别，这也是中国内地2011年手机行业的最显著转变。可以说2011年是内地智能手机元年。

也是在2011年，苹果发布了iPhone 4S，虽然在硬件配置上与iPhone 4相比，并无革新性变化，不过iCloud及Siri的推出意味着苹果已经领先竞争对手进入云计算时代。

虽然很多媒体都将2011年作为云计算元年—苹果推出iCloud，华为推出华为云，联想推出乐云……。不过，对于很多普通消费者来说，感受更多的是云里雾里的概念，云计算对于消费者而言可能也仅仅意味着通讯录、相片、文档的云端存储，因为2011年手机是手机、电脑是电脑，二者并没有多大关联。

在经历了2011年云计算的铺垫之后，2012年，终端互联互通将成为未来产业发展的基石。

在苹果推出了iOS 5之后，被称为乔布斯最失败的产品Apple TV也悄然进行了升级，最大的变化在于Airplay对视频的支持—通过Apple TV，用户在使用iPhone或iPad看视频时可以一键置换到Apple TV播放，就像iPhone或iPad成了Apple TV的遥控器，由此可见苹果未来几年的发展战略：云计算基础上的终端互联。

如今，电脑是计算中心，电视是视频终端，手机则在通讯中心的基础上已经超过数码相机成为照相的最普及终端。那么，智能手机与智能电视的普及无疑为终端互联奠定了设备基础。

电脑已经普及、智能手机进入普及高峰，2012年将成为智能电视元年。在经历了2011年云计算的铺垫之后，终端互联互通将成为未来产业发展的基石，这也是2012年苹果要发布智能电视，联想等公司也要发布智能电视的根本原因，而前不久广电总局放开IPTV业务无疑也将成为2012年智能电视快速起步的催化剂。

云计算将成为未来竞争的基础，多设备之间的互联互通将成为终端厂商未来的主战场。

以联想前不久发布的乐云为例做个说明。

1.多终端时时自动同步：当我们在任何一个联想终端上更新了通讯录以后，乐云会将改动的部分自动同步到云端，与云端连接的其他终端，也将同时完成更新，我们打开任何一个设备，都可以获得最新的数据。

2.多终端跨屏互访：只需要简单几步就可以轻松实现手机、平板电脑、电脑甚至是电视之间的互相访问。比如我们在家里，可以用乐Phone或者乐Pad调取公司电脑中的工作文档进行编辑。我们甚至可以用乐Pad调取书房电脑中的高清影片，然后播放到智能电视上。此时，乐Pad将成为一只遥控器。

3.复杂任务无缝迁移：任务迁移不仅仅是游戏存档的同步，它能保持游戏的即时状态在不同设备上都得到一致地呈现。比如时下非常流行的游戏《捕鱼达人》，我们可能习惯在睡觉前用乐Pad玩一会，但经常在等人的时候，也忍不住想要捕两条大鱼，这时我们就可以使用更便携的乐Phone来玩，而且不用从头开始，金币数、等级甚至是正在发射的激光炮都会保持完全的一致，就像只是按了暂停，然后继续游戏一样。

终端计算机安全防护体系建设探讨篇11

1自身系统安全

自身系统安全在终端计算机安全防护体系中特别重要。没有自身安全,其他无从谈起。自身安全涉及多方面多层次问题,其中操作系统及配置、桌面安全软件非常重要。

1.1 操作系统及配置

首先鼓励并引导用户使用正版操作系统及软件,通过完整的补丁更新,减少计算机系统漏洞和安全隐患;其次企业可制定计算机操作系统安全基线配置标准,如账号密码策略、端口使用、非法外联、共享、磁盘分区等进行规范,通过操作系统及配置等从基础上可加固操作系统防护能力,有效抵制网络病毒及黑客攻击,减少终端计算机运行风险。

1.2 桌面安全软件

企业按照分级部署网络版杀毒及管理软件等终端计算机安全软件,做到每台计算机可管理可控制,并掌握整体终端计算机安全动态。通过桌面安全软件部署,保证病毒定义码和补丁更新,也可自动分发企业定制的安全策略,如安全基线设置、违规接入审计、系统补丁等,保证企业信息安全政策连贯执行,达到统一标准。

2运行环境安全

在终端计算机安全防护体系建设中,运行环境至关重要。运行环境主要有物理环境、网络环境等。本文主要介绍网络环境,在网络环境中给终端计算机加几把锁,把握其方向轨迹和动态。

2.1 IP 地址固定

在网络中,IP地址固定可以解决信息安全事故溯源、IP地址冲突、准确掌握上网计算机数量等问题。实施中通过管理和技术相结合的办法,技术上在网络设备里通过DHCP Snooping和ACL列表,实现IP和MAC地址绑定。

2.2 控制上互联网计算机

因工作性质和安全考虑,部分终端计算机仅处理企业内部业务不需上互联网。因此加大终端计算机上互联网权限审核力度,技术上实施是在IP地址固定的前提下,在网络设备通过访问控制列表ACL或者互联网出口安全设备里进行配置。

2.3 部署准入设备

为保证网络安全,在网络边界或内部部署准入设备,设立终端计算机入网规则,如必须安装企业桌面安全软件和配置安全基线等等,通过进程检测合规后入网或可访问关键业务。

2.4 部署内容审计系统

在互联网出口边界部署内容审计系统,在线对终端计算机访问互联网的行为进行2~7层的识别,可进行关键字的设置过滤、URL过滤,对于计算机的互联网行为做到可控制、可管理、可审计,以保证网络信息的安全。

2.5 部署代理服务器

为保证终端计算机上网安全,一般建议在互联网出口设置代理服务器,用户通过代理服务器访问互联网。通过代理服务器访问互联网可以提高访问速度,方便对用户行为进行管理和审计,起到防火墙作用,保护局域网安全。

3安全管理

三分技术七分管理,是终端计算机安全防护体系建设的准绳。在自身系统和运行环境建设中,技术操作都是通过管理来实施的,因此形成一套安全管理机制并始终贯彻运行,是十分重要的。

3.1 建立终端计算机管理制度

建立终端计算机管理制度也是终端计算机安全防护体系建设的组成部分和重要措施,如《计算机信息系统管理》《计算机安全管理实施细则》《计算机工作考核评比细则》《计算机保密管理规定》《信息化考核体系》等都是非常重要的制度,通过建立健全这些制度,形成信息化考核机制,使得终端计算机安全工作有章可循。

3.2 提高计算机安全管理的力度和深度

在企业计算机安全管理管理中,管理人员首先要提高各级领导和员工网络安全重视程度,其次定期通过各种手段完成终端计算机安全检查工作,如通过桌面安全系统、审计系统检查计算机违规行为,根据规定实施处罚等,最后安全管理人员要主动识别和评估安全风险,制定和落实安全整改措施,确保终端计算机持续安全稳定运行。

3.3 建设完整的计算机实名库

通过建设终端计算机实名库,掌握计算机管理动态,实现计算机资产管理,给领导提供决策依据。实名库建设可采用各单位签字盖章上报、在桌面安全管理系统里注册、定期现场抽查等,从而完成终端计算机实名库的建设。

3.4 建立网络建设标准

通过网络建设标准的建立,保障终端计算机安全运行环境,也加强了桌面安全防护体系在网络体系建设中的作用。

3.5 建设一支过硬的信息化队伍

在企业中,建立信息安全组织架构、明确组织责任、设置相应岗位,建立一支过硬的专业信息化安全队伍,切实加强计算机管理、维护终端计算机安全。

4结语

终端计算机安全防护体系建设是网络安全体系的一部分,它是一个长期的、系统的、复杂的建设,往往伴随着互联网信息安全变化、企业信息发展变化而不断调整。在企业里必须推进终端计算机安全防护体系建设,保证终端计算机在网上安全、高速、稳定地运行,提升信息安全堡垒的作用,保障互联网安全运行。

摘要：互联网中,终端计算机是源头,也是终点。随着信息网络技术建设的发展,终端计算机安全防护越来越重要。如何推进终端计算机安全建设,夯筑底层安全体系,是当今企业面临的问题,也是业界研究的方向。本文从终端计算机自身系统、运行环境、管理方面探讨在企业里如何建设、健全终端计算机安全防护体系,完善终端计算机安全防护体系建设。

【计算机终端管理】推荐阅读：

计算机终端考试06-08

计算机管理09-20

计算机管理11-18