终端安全管理系统方案

终端安全管理系统方案（精选8篇）

终端安全管理系统方案 第1篇

产品概述

kill终端安全管理系统(ksms)面向企业级用户，涵盖资产管理、终端保护、应用监管、审计分析四个方面，将终端安全、管理和维护同其业务目标相结合，保障计算机终端持续有效运行，

性能亮点

ksms客户端在运行时只占用1%左右的cpu资源、占用2m左右的内存资源，对系统性能影响非常小。提供对终端生命周期管理(elm)策略的全面技术支撑，将终端安全、管理和维护同其业务目标相结合，保障计算机终端持续有效运行。ksms终端在网络环境下接受安全策略保护和管理，移动办公时仍受安全保护。ksms安全策略可灵活定制，更加适应用户多样可变的需求;为方便使用，贴近国内用户实际使用状况，且能够根据新的需求进行定制开发。

产品经理支招

北京冠群金辰软件产品经理刘炯称:“终端安全涉及两个关键词，保护和管理，

保护的目标，就是要保障计算机终端安全使用。具体可通过防止恶意代码传播、控制网络访问、弥补漏洞、限制资源滥用、监控用户行为等方式实现。管理就是要通过企业级的集中控制实现统一管理。一方面，集中收集终端信息、统一监控管理;另一方面，将企业级的安全策略分配落实到所有计算机客户终端。”

工程师点评

kill终端安全管理系统功能全面，通过多种方式保障用户计算机安全使用，对企业it管理和制度落实提供有效技术支持。

关 键 字：安全方案

终端安全管理系统方案 第2篇

为了加强计算机终端信息安全管理，促使员工规范安全的使用网络及信息系统，切实保障公司IT资产的完整可靠，同时鉴于本系统的敏感性，特制定本办法。实施范围：控股集团总裁班子除外的所有员工(含如山创投及事业部)。设置专用服务器安装终端安全服务端系统，指定专人管理。3 系统管理员密码须由两人以上分段保管，每一个月必须修改一次。以下软件、网站等在工作时间段予以禁用：

4.1 各类下载工具软件，如迅雷、FlashGet等P2P软件。

4.2 游戏软件、游戏插件、娱乐软件。

4.3 色情、反动、游戏等网站。下列软件在工作时间段如需开通，必须经本部门负责人批准，报企管部审核，并进行台账登记管理。

5.1 即时通讯软件，如QQ、MSN、飞信等。

5.2 股票软件、期货软件。

5.3 其它除禁用软件以外且与工作无关的软件。禁止修改计算机名称、IP地址等属性，未经信息管理部同意禁止重装系统、卸载终端安全系统客户端。本系统由控股集团信息管理部指定人员负责维护，定期检查系统运行状况及客户端运行情况。

8员工若违反下述条款，给予50-1000元的负激励，并在集团OA上通报批评。情节严重的，给以待岗或辞退处理，构成犯罪的将移交司法机关处理。

8.1 未经信息管理部同意，私自重装操作系统。

8.2 私自卸载或禁止终端安全客户端软件。

8.3 攻击公司的网络系统、服务器等；对软件进行反向工程，如反汇编、反编译等。

8.4 系统管理员利用系统私自查看及获取他人数据。

8.5 上述行为同时违反保密管理标准的，同时按保密管理标准规定进行考核。

终端安全管理系统方案 第3篇

安全播出是广播电视行业承担的最重要的社会职责,内容安全是安全播出最重要目标之一,安全播出重要保障期间,重要节目和重要时段播出的内容会成为收视焦点,做好这期间的安全播出工作具有重要的社会意义,有线电视网络运营商必须确保这期间机顶盒在电视屏幕上显示内容的安全性。随着有线电视及网络技术体系由数字单向向双向交互的转变,除了传输直播电视节目,有线电视网络运营商还通过大量新业务系统为用户提供各种交互应用业务,用户可以通过机顶盒接收收看大量新业务系统播发的信息,随着播发内容的丰富多变,安全播出形势也变得复杂和严峻起来。本文就新形势下的安全播出问题进行了深入分析,并在此基础上给出一种可控终端安全播出保障机制及系统与技术实现方案,该机制和方案可用于保障安全播出重要保障期间机顶盒终端的新业务内容安全性。

1 安全播出新问题及现状

在技术体系逐渐转型升级和交互业务快速发展的新形势下,有线电视网络运营商除了要保障传输的电视节目内容的安全性,还必须保障新业务系统播发信息的内容安全性,尤其是通过机顶盒显示的新业务系统的信息内容安全性必须得到保障,以EPG广告业务为例,广告业务系统播发的广告信息保存在机顶盒中,用户进行换台操作时广告信息会频繁显示出来,用户收看到EPG广告的次数远超过某个电视频道,一旦广告系统遭到外部或者内部攻击被利用来播发存在安全问题的内容就会造成不可逆转的恶劣社会影响。可见,新业务系统播发的内容已成为安全播出重大隐患,给安全播出带来新的问题和风险,必须采取有效技术措施保障机顶盒新业务系统内容安全性。对有线电视网络运营商而言,如何保障电视台播出内容的安全性已经有较为成熟的技术措施和经验,如何保障新业务信息内容的安全性是个新课题。

针对如何保障机顶盒新业务系统播发内容的安全性,目前,业界采取的主要技术方案是对前端平台采取安全防护措施,通过在前端网络中部署各种网络和信息安全技术为前端平台构筑多重防御体系,以此来阻止新业务系统平台遭受到攻击破坏并被利用来播发有安全性问题的内容。这种防护方式不仅实施成本高昂,而且使得安全播出工作处于被动状况。

2 解决方法

为解决新业务系统带给有线电视网络运营商的安全播出新问题和风险,本文提出了一种可控终端安全播出保障机制。

2.1 机制思路

为确保安全播出重要保障期内新业务系统通过机顶盒在电视屏幕上显示内容的安全性,本文提出一种保障机制,该机制具体思路:在有线电视网络前端平台增设安全控制服务器,并在安全控制服务器中设置安全播出时间表;运行过程中,安全控制服务器根据时间表对当前时间值进行判断并根据判断结果与机顶盒进行控制指令交互;机顶盒执行新业务功能时,根据控制指令的定义来选择和执行对应的业务流程。

2.2 流程步骤

具体运行过程的流程步骤如下:

1.在安全控制服务器的安全播出时间表中设置安全播出重要保障期的开始时间与结束时间;

2.安全控制服务器根据时间表对当前时间值进行判断,并根据判断结果与机顶盒进行控制指令交互;

3. 机顶盒接收到安全控制服务器指令后保存指令中的设置;

4.机顶盒每次执行新业务功能时,首先对来自安全控制服务器的指令进行判断,若是安全控制指令,则机顶盒执行安全控制业务流程;若是常规控制指令,则机顶盒执行常规控制业务流程。

安全控制指令和常规控制指令定义了指令数据与机顶盒终端操作之间的对应关系(如指令数据值为“0x00”时,对应的机顶盒操作是执行常规控制业务流程;指令数据值为“0x01”时,对应的机顶盒操作是执行安全控制业务流程),并由安全控制服务器向机顶盒终端发送,机顶盒终端接收控制指令,对指令进行解析,根据指令定义执行相应操作。

常规控制业务流程和安全控制业务流程是为机顶盒新业务功能定义的可选择的两个不同业务流程,其中,常规控制业务流程定义为机顶盒正常获取新业务系统播发的信息;安全控制业务流程定义为机顶盒拒绝获取新业务系统播发的信息。实际应用中,对于机顶盒广告业务,安全控制业务流程可定义为机顶盒不获取广告业务系统播发的文件。经如上定义,当机顶盒执行安全控制业务流程时不会获取新业务系统播发的信息,从而避免接收到含有不良内容的信息并通过电视屏幕显示的方式传播给观众(图1)。

3 技术实现方案

为实现本文提出的可控终端安全播出保障机制,接下来给出具体的系统及技术实现方案。

3.1 系统设计方案

实现可控终端安全播出保障机制的系统在支持TCP/IP技术的双向网络环境中实施,系统主要功能模块包括安全控制服务器和机顶盒,其中,安全控制服务器用于设置安全播出时间表,设置和播发控制指令;机顶盒中设置客户端模块,用于接收和保存安全控制服务器播发的控制指令。图2为系统设计方案框架图示,该系统在有线电视网络技术体系中实现。

3.2 技术实现方案

3.2.1 安全控制服务器

在交互业务平台中增设安全控制服务器,通过安全控制服务器在支持TCP/IP技术的双向有线电视网络内播发控制指令,控制指令具体编码格式如表1。

其中,指令标识部分的值为“0xAA”,表示该指令为控制指令;指令数据部分的值为“0x00”或“0x01”,其中“0x00”表示机顶盒新业务模块执行常规控制业务流程,“0x01”表示机顶盒新业务模块执行安全控制业务流程。

安全控制服务器中安全播出时间表设置如表2。

表2中每一条数据记录定义的开始时间和结束时间之间的时间段属于安全播出重要保障期,安全播出重要保障期内要求机顶盒终端执行安全控制业务流程,其他时间段内要求机顶盒终端执行常规控制业务流程。

3.2.2 机顶盒终端

机顶盒终端中新业务模块的常规控制业务流程定义为机顶盒正常获取新业务系统播发内容;安全控制业务流程定义为机顶盒拒绝获取新业务系统播发内容。

3.2.3 流程步骤

具体流程步骤如下所述:

1.机顶盒客户端模块每隔固定时间间隔向安全控制服务器发起请求,请求安全控制服务器发送控制指令数据;

2.安全控制服务器接收到机顶盒的请求后,判断当前时间是否位于开始时间与结束时间之间,若是,则安全控制服务器配置安全控制指令,设置指令数据部分的值为“0x01”,并在网络中播发该指令;若不是,则安全控制服务器配置常规控制指令,设置指令数据部分的值为“0x00”,并在网络中播发该指令;

3.机顶盒客户端模块接收控制指令,保存指令数据;

4. 当机顶盒执行新业务模块功能时,判断指令数据的值,若值为“0x01”,则机顶盒执行安全控制业务流程定义的操作;

若值为“0x00”,则机顶盒执行常规控制业务流程定义的操作。

4 结束语

安全播出是广播电视工作永不松懈的责任。本文提出的可控终端安全播出保障机制能够在安全播出重要保障期间保障有线电视网络运营商新业务内容的安全性,同时本文给出的系统设计和技术实现方案为广播电视和通信行业有线电视网络运营商以及互联网电视运营商在各自技术领域内实现该机制提供了参考。希望籍以此文与广大同行共同探讨如何通过技术创新来应对技术与业务日益发展变化而带来的新的安全播出问题。

参考文献

[1]张瑞芝.大数据、云计算驱动播出安全与监测监管的变革[J].广播与电视技术,2016,43(7):16-20.

[2]张瑞芝.我国广播电视安全播出应急管理现状分析及建议[J].广播与电视技术,2010,37(5):26-29.

[3]国家广电总局.广播电视安全播出管理规定.2009(12).

终端安全管理系统方案 第4篇

目前国内金融系统中，综合业务处理系统、凭证查询系统等一些代表性业务系统，经过近十年的应用完善，已初步形成了核心业务处理系统。这里，我们就以综合业务处理系统为例展开一些深入探讨。

集中管理、客户端零管理、免维护的优点，可大夫提高业务系统的运作效率，减轻系统管理的复杂性，使操作简便易行。

1综合业务种类

一般来说，金融系统的柜台业务包含以下几类：

*对公业务：对公业务是指针对企业及非个人业务而言的企业对企业的业务。

*信用卡业务：针对个人用户及集团用户进行信用卡申请受理、发卡等业务。

*储蓄业务：前台储蓄业务是指针对个人用户的存款业务。

*新兴业务：理财业务，基金业务等。

以上业务绝大部分都基于uNIX系统，特别是传统业务中，网点一般都采用了UNIX终端；而对于基于Windows开发的新兴业务，则使用PC来完成。这里比较有代表性的可以参考实达Windows终端提出的“一台清”应用理念：即采用Windows终端作为网点用机，全面实现不同业务类型用机的整合。而Windows终端既可实现现有的UNIX应用，作为纯粹的UNIX终端使用，同时也可以运行基于Windows的业务软件，如理财，基金买卖等。

金融行业基于服务的需要，网点分布存在点多面广的行业特性，因此面临着庞大的设备系统维护问题；另外还要面对“柜员的电脑知识水平参差不齐”、“系统病毒防范”等系列问题。如果采用PC用机来实现图形业务，则有可能会面临繁杂的技术维护需求以及防不胜防的病毒入侵问题，从而导致整个系统在一个极低的效率下运行。

从以上两个层次分析可得，构建“安全、高教、稳定”的业务系统成为了金融行业综合业务系统的迫切需求。而上面所说的，实达Windows终端综合柜员业务解决方案，恰好就采用了Windows终端替代部分PC作为柜员操作业务的基础平台，整个系统为瘦客户机／服务器结构，具有系统

2WBT终端的应用

此案例采用实达STAR WT-5000万维Windows终端，从终端上登录到终端服务器，运行应用程序服务器上的业务，访问数据库服务器进行业务操作。

3WBT终端的优点

组网模式灵活多样，既可以在本地局域网络环境使用，也可以在远程广域网模式下使用，既可以当作Windows终端来用，也可以当作UNIX终端使用，在一个网络环境下，与传统UNIX终端、PC机可以灵活搭配，组成一个实用、经济、高效、安全的应用网络。

资源投资锐减，正版的软件只要在服务器端安装一次，整个系统便可以使用了，大大降低了软件的初始购置成本。所有的软件都在终端服务器上运行，终端仅仅是作为显示输出和数据输入的设备，终端上任何时刻断电，不会影响在服务器上的程序的运行和数据，因此在配置UPS的时候可以仅仅给服务器配上UPS便可以了。

维护工作锐减，完全集中式的网络管理，简化了工作环节，与传统的PC组网方式相比大大地减少了维护人员的工作量，一旦系统出现故障，网络管理人员不必到达远端的服务器端检修，只需用一台终端远端以管理员身份登录到服务器上即可完成故障排除。

总拥有成本锐减，由于Windows终端完全基于服务器运行的特性，使得网络硬件升级换代的代价远远低于PC或无盘站，只需服务器端适当升级即可，终端本身不需考虑升级问题。

系统安全大幅提升，Windows终端本身不含硬盘，软驱，光驱，所有数据都保存在远端服务器端，有效地防止了重要数据的丢失和泄漏，而且也不会像PC那样容易从外界染上病毒。

断点工作人性应用，由于应用程序和数据都在服务器端运行和处理，如果终端突然掉电，数据并不会丢失，依然保持在服务器上，终端只要再次连到服务器上，还可以从断点处继续工作，不会影响正常的操作。

安全管理终端责任书(安全总监) 第5篇

——项目安全总监

根据集团公司制定的落实“消除安全事故隐患、遏制险性事件、杜绝亡人事故”，安全生产管理目标，明确安全管理终端责任，分清责、权、利，做到明责、履责、追责，让安全工作清晰、明了、管到位，更好地消除各种安全隐患，预防安全事故的发生，并结合公司《安全生产目标考核办法》，特签订此责任状。

一、安全管理终端目标

1、消除各类事故隐患

①每月负责组织不少于3次隐患排查治理，查处各类事故隐患。

②各级安全检查查出一般隐患不得超过5项，杜绝重大安全隐患。

③严禁出现要求整治但整治不到位的重大安全隐患。④查出的安全隐患必须按期整改，实行闭环管理。

2、遏制险性事件

全年无较大生产安全险性事件，即未造成人员伤亡的事故，主要包括：

①深基坑、高边坡及高处作业滑塌和坠落；

②营业线和邻近营业线施工造成营运线停车、翻车； ③大型机械设备（架桥机、吊车、挖掘机、装载机、水泥搅

拌钻机、桩基础用钻机）引发的倾覆、坠落和碰撞；

④结构支架、模板跨塌或倾覆； ⑤生产、生活区触电和火灾； ⑥易燃易爆物品引起火灾爆炸等。

3、杜绝亡人事故

全年无各类亡人事故（包括与施工生产有关的交通、生活、消防等）。

二、安全终端责任

1、项目部安全总监对所有责任单元终端安全进行监督，同时还要监督安全终端管理责任人的管理状态和现场施工安全状况。

2、安全总监为安全管理总监督责任人，负责安全管理工作的全面监督。

3、未被分解的安全管理监督责任，由安全总监负责。

4、安全总监对安全终端管理责任人、办公室、设备物资部、施工技术部等部门以及专职安全员的安全职责履行情况负监督责任。

三、权力

1、责令停工整改权。

2、罚款权：罚劳务队每次3000元以下权利，3000元以上上报项目，经项目经理办公会决定。

3、对终端管理责任人及其他管理人员有撤换或处分的建议权。

4、撤换劳务人员或劳务队的建议权。

5、对监管范围劳务分包合同的知情权。

6、对监管范围施工方案、施工计划的建议权。

四、安全责任津贴

达到安全生产目标,落实终端责任享受400元/月的安全津贴。

五、安全责任处罚

没有达到安全目标责任不落实，或在检查中被通报造成严重不良影响的扣除当月安全津贴；发生等级以上事故的按照项目部有关管理规定，及公司、集团公司有关规定对责任人进行处理。

六、本人自愿签订此责任书。

项目经理：

责任人： 党工委书记：

供电企业办公终端的安全管理 第6篇

同时，作者将技术和管理有机的融合起来，依靠技术协助终端入网的安全管理，为终端运维管控提出了新的解决思路。

关键词：信息 标准化 流程 应用

0 引言

随着互联网技术的不断发展，网络安全问题不断发生，供电企业对信息安全要求也不断提高，国网公司为此统一部署了桌面终端管理系统，用以对接入公司网络内的计算机进行安全方面的监控和审计，以提升终端的安全防护能力。

本文重点针对预入网的计算机，做到把好入网终端安全加固关，进而逐步提升入网终端的安全防护能力，有效降低了终端弱口令、防病毒软件、系统补丁等方面的违规问题发生。

1 办公计算机接入管理现状及存在的问题

新购计算机(或重新安装操作系统的.计算机)接入公司网络时，由于桌面终端管理系统可有效阻止未注册计算机正常访问网络，因此用户为了保证网络畅通，会首先完成桌面终端程序注册安装，这样往往会引发信息违规告警上报，尤其是弱口令及防病毒软件不合规告警，对公司终端安全管理工作带来不便。

弱口令的产生与操作系统有很大的关系，由于公司业务应用系统的适用性，目前办公网内绝大部分终端还是使用Windows XP操作系统，在Windows XP下，如果建立了一个新的非受限者用户(计算机管理员)，下次登录计算机时，将不会出现Administrator超级用户的登录入口了,只有切换到安全模式下，这个帐号才会在登录界面时被看到[1]。

因此用户往往会忘记设置Administrator的口令，这就会触发弱口令违规上报。

为了避免这个情况的发生，需要计算机在接入前将所有系统帐号均设置强口令，但是，由于“一键还原”技术的普及应用，部分用户在计算机出现运行变慢的情况下，会采取一键还原系统来解决，这就导致终端弱口令违规，同样，防病毒软件违规也与终端用户随意安装操作系统有一定的关系。

同时，在运维过程中发现，现在市面上销售有的盗版操作系统存在无法正常升级操作系统补丁的情况，即便手动安装补丁包也无法顺利成功。

安装有这样的系统的终端即便注册接入公司办公网络，也会因为存在大量系统漏洞而容易被病毒、木马、恶意脚本、黑客所利用[2]，从而严重影响终端使用及公司网络的安全和畅通。

另外，计算机入网前要做好应用程序的检测管理，避免发生应用程序对办公网络的冲击，例如，暴风影音曾爆发0day软件漏洞，若公司网内存在大量暴风影音程序，将会发生域名解析故障而导致网络中断，影响办公业务的正常运行。

因此，在办公终端操作系统的安全加固方面需要加强管理。

2 标准化注册管理介绍

通过上面情况的分析发现，这些违规现象都是计算机接入办公网络前因没有进行必要的系统加固造成的。

随着公司员工计算机水平的提高，具有自行安装操作系统能力的人员不断增多，这种由于计算机入网而引起的终端违规现象也是当前终端安全运维工作中牛皮癣，因此需要我们加强终端入网标准化注册流程的管理。

通过对桌面终端管控系统的研究发现，在通常情况下，当计算机安装桌面终端管控客户端软件时，会触发完成计算机环境的安全检查，并将数据上传至桌面终端管控后台服务器，若客户端没有进行杀毒软件安装，没有设置帐号口令，就会发生安全策略违规告警。

因此，规范的入网设置流程，可有效避免信息违规现象发生。

以下是本公司入网管理办法的入网设置流程：

①首先，用户填写《内网终端接入申请表》。

②确认预接入的计算机未连接网络。

③完成操作系统版本确认。

通过计算机桌面“我的电脑”右键属性，查看计算机操作系统版本是否合格。

④完成应用程序清理。

通过“控制面板”-“添加删除程序”进行互联网应用程序、游戏软件、炒股软件及娱乐软件的卸载。

要求所有接入内网的计算机不允许存在非办公用应用程序。

⑤完成操作系统补丁加固。

按照查看计算机操作系统版本的方法查看当前系统补丁版本。

要求Windows XP必须安装SP3或以上的补丁集。

⑥完成所有系统帐号的密码加固。

对系统所有帐号进行密码设置，要求密码长度大于8位，且必须为字母、数字及符号的混合字串。

⑦完成计算机名称的更改。

要求计算机名格式：“公司名简称”+“-”+“单位简称(不超过两位中文字符)”+“使用人姓名”。

⑧完成防病毒软件安装。

要求办公计算机必须安装公司统一配发的趋势企业版杀毒软件。

⑨连接网络，完成桌面终端管理客户端注册及安装。

按预先申请的内网地址信息完成计算机网络配置，将网线接入预先申请的公司信息内网端口上，使计算机可正常访问公司网站。

要求所有接入公司内网的办公计算机终端必须进行桌面终端的注册，并要求所注册信息必须真实。

⑩流程完毕。

3 终端标准化管理工作的创新

为了进一步规范终端标准化管理，落实公司计算机入网设置流程规定，避免基层终端用户习惯性操作违规，降低基层终端运维人员的操作难度，为此，作者自主研发了一套终端标准化注册程序，实现计算机入网前对系统进行关键加固项检查，以技术手段为管理工作提供保障。

标准化注册程序是以运城供电公司计算机入网设置流程为依据，其主要功能实现了，通过技术手段在计算机注册入网前，对计算机名称是否规范、是否安装非办公软件、防病毒软件是否规范、操作系统补丁是否合格、系统是否存在弱口令等方面进行检查，若存在不合格项，则阻止该计算机注册并提示用户进行整改，从而借助桌面终端管理系统实现了阻止未经过系统加固的计算机接入办公网络。

图1是标准化注册程序工作流程图。

通过在公司办公网内试运行标准化注册程序，公司终端运行指标得到显著提升，通过观察，自3月开始至今，公司终端弱口令违规数量逐月降低，防病毒软件安装情况得到极大的改善，表1是运城公司2月至5月的终端违规统计说明。

4 结语

终端安全是信息系统安全的根源，是网络中最薄弱的环节，只有全面消除网内终端的隐患，不断提高终端用户信息安全意识，不断提升终端安全管控技术水平，以技术助管理，才能高效可靠地完成终端信息安全管理工作。

计算机入网管理的规范化，在办公内外网络隔离的情况下，可有效避免给公司内网引入病毒、木马、恶意脚本及黑客的攻击，同时，也减轻了基层终端运维人员日常工作量，降低了运维人员技术要求。

相信随着标准化管理注册程序的进一步推广，实现入网终端零个弱口令，操作系统百分百完成安全加固的目标，为公司信息系统安全运行提供有力的保障。

参考文献：

[1]曹天杰等编著.计算机系统安全.北京:高等教育出版社，.9.

[2]徐茂智.信息安全概论.北京:人民邮电出版社，.8.

对网络内部终端安全管理的思考 第7篇

【摘要】随着信息化水平的不断提高，网络安全问题日益突出。如何建设维护一个稳定、安全的内部网络，已成为税务信息安全的重要问题。本文从网络终端入手，分析了网络安全管理中的现状及存在的问题，进而提出了解决问题的建议和对策。

【关键词】终端；安全；管理；对策

1引言

根据国际安全界的统计，每年全球计算机网络遭受的攻击和破坏70%是内部人员所为。在税务部门，内部终端数量众多，同时还存在与上级部门的纵向互联，以及与外单位的横向互联。在如此复杂的应用环境下，任何内部人员的误操作或者故意的非法操作都有可能导致信息资源的泄漏或被破坏。例如使用手提电脑在家上网，从互联网上感染病毒，上班后没有采取任何措施就接入内网，导致病毒在整个内网中传播，可能会引起整个内网的瘫痪；由于安全意识薄弱，没有及时安装操作系统补丁或者开启不安全端口或服务，导致黑客入侵，致使系统瘫痪或者信息被窃取。这些安全威胁问题对于税务部门来说都是致命的，而主要侧重于外部攻击防范的网络安全设备又无法解决此类威胁。因此除了要求建设高效、便捷的税务网络外，建设一个有效的终端安全管理体系显得更为重要，其紧密关系到税收业务能否正常顺利进行，是税收信息化建设的基础和重要保证。

2网络终端安全管理现状

2.1网络与信息安全管理体制尚不完善

目前，税务网络是一个与外界物理隔离的专用网络。由于尚未在整体上建立成熟的信息安全结构体系，管理上缺乏相应的信息安全标准，因此网络和信息安全管理基础还很薄弱，甚至还存在一些漏洞，例如存在“一机双网”――既可以连接税务内网，又可以连接互联网，违规外联等情况还时有发生。这些现象对税务信息的安全使用与保护以及病毒传播等，都留下了潜在的安全隐患，同时也为来自内部或外部系统的入侵提供了可趁之机。

此外还缺乏有效的监控机制和管理手段，无法对现有终端进行实时监控。在上班时间时常有人在网络内部终端上做一些与工作无关的行为，如上网聊天、网络游戏，使用下载工具疯狂下载电影、游戏、软件等大型文件等。这些行为不但严重影响工作效率，而且经常会在不经意间引入大量的病毒、木马和恶意代码，还无谓地消耗了网络资源，致使关键业务应用系统带宽无法保证，严重影响内部网络的正常运行。

2.2终端安全防护和控制手段缺乏

内部终端的安全管理尚存许多问题。由于对不安全终端的接入缺少控制，存在安全问题的计算机能够随意接入网络，促使各类病毒的大面积传播。终端安装的防护软件其策略设置不够科学，有病毒不报警，有病毒不查杀，视而不见无法发挥其作用。

常见防病毒、防火墙等软件只能被动的防护已知的病毒和攻击行为，一旦升级包没有及时更新时就会出现较为严重的安全漏洞，一些未知的病毒将会有可乘之机，严重时导致计算机瘫痪甚至无法启动。终端计算机安全防护手段控制的缺乏，是导致安全问题频发的主要原因。

2.3数据安全尚存隐患

如何消除数据安全存在的隐患，确保数据的完整性、保密性和可信性，已成为信息化工作的核心内容。

虽然目前已采用许多安全措施来保证数据安全，如双机热备、远程备份等，但是数据安全仍然存在一定的隐患。

一是数据保密性和可信性受到的重视不够，缺乏一套有效的机制对数据产生、存储、传输、使用和销毁整个生命周期进行控制、跟踪和保护。

二是存在着因软、硬件故障造成的服务不可用或者数据丢失，以及自然灾害等物理破坏所带来的安全隐患。

三是系统应急预案不完善，缺乏一套业务与技术相对应的完整的应急体系，而且应急预案平时缺少演练，特别是需要多部门协同的预案仍停留在书面上。

这些问题都使数据安全存在隐患。

3进一步完善税务网络终端的建议及对策

3.1使用桌面终端管理系统，实现可控管理

税务部门内网终端较多，而且管理分散，安全策略不统一，缺乏全局防御能力。如何对内网终端进行统一认证和安全控制，从源头上防御威胁，将不符合安全要求的终端限制在“隔离区” 内或拒绝其入网，从而保证网络和信息安全，已成为终端管理的一个重要课题。笔者认为在目前的安全设备中，桌面终端管理系统可以有效地解决上述问题。

桌面终端管理系统是以数据安全为核心的计算机终端信息安全管理系统。通过加强用户身份管理、数据安全管理、设备安全管理和综合安全审计等手段，对数据的存储、传输和使用整个生命周期进行控制和保护，确保数据的完整性和保密性，从而达到防止敏感信息泄漏。

目前桌面终端管理系统在终端安全管理方面主要有几个功能。

3.1.1联网控制

为防止非法用户通过非正常途径获取网络参数，非法联入税务内网，导致安全事件的发生，系统可阻断这部分非法终端的访问。

3.1.2 IP地址和MAC地址绑定

计算机使用人擅自修改IP地址，往往会导致网络冲突，影响税务内网的正常运行。系统会主动收集计算机终端的IP和MAC地址，通过管理员审核后，在数据库中进行匹配绑定，从而有效解决IP地址盗用问题，并从根本上解决ARP病毒的传播。

3.1.3杀毒软件监控

在税务部门内部终端都必须安装统一部署的杀毒软件，便于全网的计算机病毒监控。通过信息安全策略部署，系统可以实时探测终端杀毒软件的安装和运行情况。只有符合安全要求的终端才能正常访问内部网络资源，否则访问会受到限制，甚至被阻断。

3.1.4违规外联监控

为保证内部数据的安全，防止黑客侵入盗取信息等安全事件的发生，税务部门内部终端是绝对不允许联入互联网。为了杜绝这部分内部终端非法外联，系统可通过违规外联策略，进行实时探测。一旦发生非法外联，系统会发出报警信息，并根据策略响应机制，对计算采取关闭或阻断网络访问等操作。

3.1.5系统补丁分发

为解决在脱离互联网的情况下给网络内部终端安装系统补丁的问题，系统有一套完善的系统补丁分发策略。平时，系统会自动监测内部终端的系统补丁安装情况，并根据最新系统补丁库，自动更新系统补丁，有效防止计算机病毒利用系统漏洞在网络上大规模传播。

3.1.6外设接入严格控制

移动存储等设备已成为病毒传播、信息泄露的重灾区。对此，系统可对这部分设备进行注册授权认证，只有注册认证过的才可以在内部终端上使用，从而有效管理滥用行为。同时，系统对移动存储等设备上传输、存储文件进行实时监控，甚至可以根据特定的文件类型进行特殊审计。

此外，通过桌面终端策略还可以有效地防止恶意软件的安装、监控计算机设备硬件资产的变化等情况，有效地保证桌面系统管理安全。

3.2使用IDS技术，实时监测入侵行为

入侵检测系统（Intrusion Detection System，IDS）能弥补防火墙等传统安全设备的不足，为受保护的网络提供有效的入侵检测及采取相应的防护手段。IDS可以对计算机网络或计算机系统中若干关键点的信息进行收集和分析，从中检测到网络或系统中可能存在的各种非法攻击、恶意破坏、错误操作等违反安全策略的行为或迹象，并联动防火墙等安全设备进行有效防范，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。

根据税务部门网络现状，充分考虑各种可能存在的信息安全风险隐患，建议在网络关键部位部署入侵检测系统。

一是在提供互联网服务的区域中部署入侵检测系统，实时监测来自互联网的入侵行为，对发生的入侵行为及时告警，从而保护系统安全，提高税务部门对纳税人的服务水平。

二是在地税与横向数据交换的网络中部署入侵检测系统，实时监测来自横向部门的非法访问行为，并利用报警与防护系统阻断非法访问。

三是在地税内部网络中部署入侵检测系统，实时监测内部网络中不正常的数据流量，帮助系统管理员分析内网中可能存在的病毒传播，及时消除安全隐患，确保内部终端安全。

3.3应用防护技术，确保数据安全

计算机存储的信息越来越多，而且越来越重要，特别在税务部门数据安全问题显得尤为突出。为防止计算机中的数据意外丢失，需要采用一些安全防护技术来确保数据的安全。

3.3.1完整备份和增量备份

备份管理包括备份的可计划性，自动化操作，历史记录的保存或日志记录。有两种基本的备份方法：完整备份和增量备份。完整备份会把所选的数据完整地复制到其他介质，增量备份仅备份上次完整备份以来添加或更改的数据。通过增量备份扩充完整备份通常较快且占用较少的存储空间，可以考虑每周进行一次完整备份，然后每天进行增量备份。

3.3.2对敏感数据加密

对数据加密意味着把其转换为一种可伪装数据的格式，确保其机密性和完整性。加密技术大致可分为硬件加密和软件加密两种。相对而言，硬件加密更加安全，操作比较简单，如电子狗加密设备等，但是加密设备费用相对昂贵。而软件加密成本较低，不过，软件加密主要依赖于算法，存在被破译的风险。因此，建议对终端敏感数据的加密可采用软硬件混合的加密方式，比如对机密等级的数据采用硬件加密，对其他敏感数据可采用软件加密。

3.4完善信息化制度，培养实干型人才

从工作实际来看，仅仅依靠安全设备尚达不到绝对安全的目的。为了真正实现对数量众多和环境复杂的终端进行有效的管理，还需要配套制定严格的管理制度，如针对计算机终端移动存储设备的安全与保密管理制度，并加强系统应急演练。同时还要加强安全意识教育，通过定期举办各类终端安全培训、讲座，以及安全宣传，增强广大干部职工的安全意识。

另外，应注重计算机人才的培养，提倡“专才专用”。在工作实践中，鼓励其结合专业知识提升实际工作能力，从而有效地解决知识与实际相脱节的矛盾，为税务部门储备一批安全管理力量，实现信息化工作的可持续发展。

参考文献

[1] 王常青.浅析基层分局网络终端安全防护难点及对策[M].税务信息化论文集，2009（3），北京：中国税务出版社，1792-1794.[2] 邹锦民.也谈税务部门信息化建设中的网络信息安全问题与对策[M].浙江地税信息化建设探索研究（2000-2006），北京：中国税务出版社，244-246.[3] 余京洋.终端安全解析[J].计算机安全，2006，（4），74-75.[4] 王义申.终端安全管理系统在企事业单位内网应用的分析[J].计算机安全，2007，（7），64-65.作者简介：

终端安全管理系统方案 第8篇

“椒图”上阵,彰显六大特色

基于自主安全可信架构的智能终端紫潭安全解决方案,具有生物识别、公私分离、硬件加密、安全通信、可管可控、整机安全六大特色。 特别是硬件平台,它采用了展讯自主研发的安全定制芯片———椒图,拥有支持可信计算STEE安全级别的安全应用处理器,代码安全认证的安全启动模块,符合国际和中国标准加解密算法的加密模块,实现语音/ 数据加密通信的安全通信处理器以及敏感数据特殊区域存储的存储加密。

通过专用加密通信技术、代码防篡改技术、安全运算区隔技术, 椒图从最核心的芯片硬件源头解决整个移动终端系统的完整性和安全性。 作为一款采用28nm工艺的八核五模LTE智能安全手机芯片,具有更强运算能力的ISP、GPU及更低功耗。 该芯片从硬件源头解决系统完整性、关键应用完整性等问题,可防止篡改Boot、OS、服务及应用,杜绝恶意代码运行。

安全保护,从“终端”到“云端”

紫潭安全解决方案高度集成了中国科学院信息工程研究所的“海网云协同”体系架构以及中科虹霸独特的虹膜生物识别技术, 并采用元心科技开发的国产双OS操作系统, 分别搭载符合EAL4 国际安全标准的国产操作系统和安卓原生操作系统,建立了从“终端”到“云端”的多层次全体系安全保障系统。 此外, 基于紫潭方案的中国首款搭载可控芯片及操作系统的双OS安全手机,目前已通过各项专业认证和性能测试,达到正式量产的产业化水平。

层层安全可信、自主可控

展讯通信有限公司董事长兼首席执行官李力游博士表示:“紫潭安全解决方案是第一次真正实现了从硬件、周边附件、芯片物理层、底层基础软件到上层应用软件安全可信,自主可控的目的。紫潭安全方案有很多特色,首先带来了一颗‘可信任’的芯椒图,它采用了完全自主的系统架构设计,在配备强大的处理器、内置国密算法外,芯片中加入了Security Boot,UUID以及安全区隔离等设计,为芯片唯一性、代码防篡改等安全应用提供了技术保障。其次芯片内的Modem,从芯片到通信协议栈的每一行代码都是展讯自己设计和实现,通过独有的语音加扰技术,可以实现全球跨制式、跨网络的加密通话,并提供另一种可以实现高强度加密、高清语音的4G加密通信功能。此外,它采用了由展讯研发的业内首颗采用40nm技术的北斗芯片,可实现高灵敏度、低功耗,完备的网络辅助定位并支持“A-北斗”以及地基增强接口系统,确保定位的准确度。”

多项技术应用,打造安全手机

中国科学院信息工程研究所信息安全国家重点实验室的徐震主任强调, 基于中科院先导专项提出的海网云安全协同理念形成的海网云协同安全架构, 致力于面向移动智能设备和IOT设备, 通过海与云侧的安全能力协同,实施移动物联体系化安全防护。

元心科技首席执行官唐如安表示:“紫潭安全解决方案打破了我国移动智能终端产业长期以来缺芯少魂的局面。 作为国内唯一达到EAL4 级安全标准的移动智能操作系统, 元心双系统实现了全方位立体的安全机制,确保安全方案整体不存在短板。 ”

中科虹霸总经理马力博士认为:“基于紫潭安全解决方案的中国首款搭载可控芯片及操作系统的双OS安全手机,成为我国第一款量产的虹膜识别手机。相比于大众熟知的指纹认证,虹膜识别可更好地实现活体检测,为终端应用提供更高的安全保障。”