企业当前面临的网络威胁众多，除了加强其服务器和应用服务的安全外，还需要审慎地对待其内部的终端安全管理，这也是内网安全所关注的一个重要方面。病毒、密码泄露、不正常的上网流量激增，都是终端安全问题的重要体现。本文将讨论如何做好企业终端安全管理。

　　企业终端安全管理包括两个层面：主机安全层面和数据安全层面。

　　第一层面：主机安全管理

　　1、密码管理

　　设置安全、有效的密码能够保证主机不被非法地使用，也可以保证即使在主机丢失的情况下，不法用户也不能访问。密码管理包括如下几个方面：

　　1)设置BIOS(Basic Input/Output System，基本输入/输出系统)密码：防止用户对主机BIOS相关参数进行非法修改;

　　2)设置操作系统登录密码：防止用户对操作系统及其资源进行非法使用;

　　3)设置密码长度、密码过期时间、错误密码尝试次数等：保证密码的有效性，定期更新，并防范不法用户通过恶意密码尝试来获取密码。

　　2、防病毒、防入侵管理

　　联网的计算机容易受到病毒、恶意软件等的入侵和危害，针对其的管理包括：

　　1)安装防病毒软件，并定期进行防病毒软件升级和查杀工作;

　　2)安装主机入侵防护软件，如Symantec Endpoint Protection等，从恶意软件防护、文件系统保护、进出邮件扫描等方面进行整体的防护工作，启动该软件的实时检测和防范模式，并定期对该软件升级。

　　3、主机脆弱性管理：补丁

　　作为操作系统软件，定期的修补其自身的弱点(Vulnerability，也称为漏洞)是主机脆弱性管理的主要内容。主要通过从门户网站(如微软、红帽等)下载补丁软件进行操作系统补丁升级，或者通过其他第三方工具(如360安全卫士)来对操作系统的漏洞采用打补丁的方式来进行修补。

　　4、端口管理

　　联网计算机的每一个开放端口(Port)，都为不法用户的入侵提供了一个可能的通道，因此端口管理要做好如下工作：

　　1)尽可能地关闭系统不需要的服务端口，如HTTP服务端口、FTP服务端口等;

　　2)周期性地检查(进入控制面板或者使用如360安全卫士等的第三方工具)主机的端口开放情况，并及时关闭无意或者被非法打开的端口及其服务。

　　5、主机权限管理

　　为防范用户随意安装软件带来的系统安全隐患，需要做好如下主机权限管理工作：

　　1)管理员等高级权限由管理员掌握，普通用户不应分配高级权限，从而防止随意安装软件;

　　2)普通用户安装软件需要高级权限时，需经管理员批准、审核后进行;

　　3)管理员定期对用户的权限进行审核和管理。

　　第二层面：数据防泄露安全管理

　　1、数据共享管理

　　联网计算机在数据共享管理方面，需要注意如下几点：

　　1)尽可能少地开发数据共享资源，任何一个资源都是一个可能被攻击的门户;

　　2)对共享资源设定详细的共享选项，如针对某些用户的某些具体操作(如读/写/执行等)。

　　2、移动介质管理

　　员工因USB等移动设备使用不当，可能造成有意或无意的机密数据丢失。另外，员工还可以随意接入各类外设和移动存储设备(如：U盘、移动硬盘、手机/MP3/MP4、数码相机等)带走内部资料，造成机密数据丢失等。移动介质管理可以采取如下方法：

　　1)通过软件、脚本等方式完全禁止员工使用移动设备进行数据拷贝;

　　2)对于特别允许的使用移动设备的员工，可以使用软件对员工的移动设备使用进行事中记录和事后审计。

　　3、上网行为管理

　　用户上网行为，包括网页浏览、发送/接收Web Mail、软件下载等，都可能导致恶意软件的侵入和数据的泄漏，可以采用如下方法进行管理：

　　1)在员工电脑客户端安装诸如Symantec Endpoint Protection、360安全卫士等安全应用软件，从多个层面保护用户上网过程中不会遭受病毒和木马的入侵;

　　2)在公司网关(也叫Proxy，代理服务器)处部署相应的安全产品，如Web防火墙、入侵检测/防御系统、UTM(Unified Threat Management)等产品，从公司与Internet的入口处对进入公司的网络威胁进行检测和阻断;

　　3)在公司网关处部署上网行为管理设备(或者软件)，对员工的上网行为进行管理，如不能使用IM(Instant Messenger，即时消息)软件、不能使用P2P软件下载、不能浏览部分非法网站等。

(责任编辑：)