计算机安全保护论文：计算机终端安全保护与安全政务终端摘要：计算机终端作为电子政务中承载着信息处理、存储和传输等工作的最基本单元，确保其安全性已成为电子政务信息安全保障工作中的重要环节。本文按照信息系统等级保护体系对计算机终端安全保护的要求，重点提出了在科学有效地部署计算机终端安全防护体系中应注意的问题，以及对应的措施。关键词：等级保护；电子政务；终端安全0引言计算机终端，作为电子政务的最基本单元，承载着信息加工、处理、存储和传输等重要工作，其安全性涉及系统安全、数据安全、网络安全等各个方面，但是，政府办公网络，计算机终端数量众多，终端安全管理难度很大，终端安全业已成为电子政务信息安全保障工作中的薄弱环节，计算机终端安全也是等级保护体系中安全建设的重要部分，因此，研究如何在等级保护环境下科学有效部署计算机终端安全防护体系，是当前电子政务信息安全保障工作中迫在眉睫的任务。1政务终端的威胁现状目前，电子政务系统的终端威胁主要来源于以下几个方面：1）缺乏终端网络准入机制：有些计算机终端未经任何身份认证和安全认证，就可以随意接入网络，访问网络和计算机的资源,对整个网络和应用造成很大的安全威胁。[1]2）系统漏洞的广泛存在：包括操作系统、浏览器、办公软件以及媒体播放器等常用软件的漏洞广泛存在。如果漏洞补丁安装不完全、不及时，将给病毒、木马、恶意软件等入侵系统造成可乘之机。3）木马、病毒等恶意软件的攻击手段层出不穷：木马、病毒等恶意软件的入侵和传播已趋向网络化。蠕虫、后门、恶意代码、垃圾邮件、流氓软件、间谍软件、广告程序、U盘病毒、网络仿冒、网页挂马等时刻威胁终端的系统和信息安全。4）用户缺乏安全知识：有些用户缺乏必要的信息安全知识，未能及时采取合适的安全防护措施保护终端，如安全配置不正确、系统补丁安装不完全、不及时，防病毒软件及其他常用软件未及时升级等。有些用户安全意识淡薄，在非涉密终端上处理涉密或敏感信息，直接导致涉密或敏感信息泄密。2等级保护体系中对于计算机终端安全保护的目标与要求在等级保护的相关国家标准中，从信息系统安全保护等级的角度对终端计算机系统进行了五个安全等级的划分。在身份鉴别（认证）、访问控制、数据加密、病毒防护、系统加固、安全审计等方面，其针对各安全级别计算机终端保护都提出了清晰的安全目标与基本要求。简单总结来看，对于计算机终端安全保护的安全目标基本可概括为能够监测和分析终端安全状态，可以控制和记录终端的操作行为，统一配置终端安全策略，以使终端“可信、可控、可管、可用”，保护终端正常、安全地运行。从基本要求来看，对计算机终端安全保护提出了技术和管理两方面的基本要求，组织机构在实施等级保护工作时可根据相关国家标准来完善各等级信息系统的计算机终端安全保护措施。3基于等级保护部署计算机终端安全防护体系终端安全防护是一个复杂的问题，通常一个组织中的终端地理位置分散，用户水平参差不齐，承载业务不同，安全需求各异，这就决定了终端安全建设的复杂性和多元性，要根据终端用户的接入位置、所属部门、业务需要等条件来选择和执行适当的安全防护策略，既不能搞一刀切，也不能对用户放任自流，缺乏控管。终端安全防护要符合安全等级保护的要求，根据不同的安全等级保护的要求制定切合实际的终端安全防护策略。按照安全等级保护的基本思想和技术要求，要做到科学有效的部署计算机终端安全防护体系，我们认为应有如下几个方面值得注意：3.1身份认证、接入控制身份认证是终端安全的“大门”，进入“大门”就可以获得终端计算机系统的资源。用户身份认证是对使用终端的人员进行身份鉴别，只有指定的人员才能使用终端，并接受系统的监管，实现授权操作。终端网络准入控制是指设置准入的安全策略对接入设备进行验证，根据终端安全性检查结果，确定终端接入方式。非授权用户接入网络需要身份认证，在用户身份认证时，可绑定用户接入IP、MAC、接入设备IP、端口等信息，进行强身份认证，防止账号盗用、限定账号所使用的终端，认证成功但安全性检查没通过的终端，放入隔离区自动引导其完成主机完整性修复；认证和安全性检查全部通过的终端计算机才能接入内部网络。3.2访问控制对有权访问网络的终端根据其账户身份定义的安全等级进行检查和访问控制，不安全的终端被隔离在修复区中，待修复完成后方可访问其有权访问的区域；其次，要对访问控制做到细致控制，如果只控制能否访问网络就太过粗放，真正的访问控制是要做到能根据账号享有的权限严格控制其的访问范围，将内部核心数据资源划分为不同的安全等级，根据账号的不同权限控制其可访问的不同的安全等级范围内的资源。例如：核心的业务资源信息、高级机密信息等列在敏感信息的等级中，严格控制可访问其的终端和账号；而邮件服务器和普通文件服务器可划分在安全等级较低的范围内，供更多的人使用。3.