终端主机安全

一、终端主机安全

从组成信息系统的服务器、网络、终端三个层面上看，人们把过多的注意力放在对服务器和网络设备的保护上，而忽略了对终端的保护。操作系统是计算机应用的核心，因此操作系统的安全关系到用户程序、数据等的安全。

1.物理安全

物理安全包括环境安全、设备安全，是最基本的安全条件。

（1）环境安全。要求终端计算机使用环境远离水源，避免周围环境潮湿；远离易燃易爆物品，电源接地正常。

（2）设备安全。终端计算机上的硬盘等存储设备，不得在存有数据的情况下交于他人；笔记本电脑等可移动设备，须妥善保管，以提高计算机信息系统设备的安全性；要求工作电源电压平稳；对医院内接入信息系统的计算机设备接口（如光驱、软驱、USB口等）进行管理和控制。

2.运行安全

运行安全包括风险分析、审计跟踪、备份与恢复、应急预案，是指终端在运行期间的安全维护。

（1）风险分析。软件系统在运行前、运行期要进行风险分析，若发现不了潜在风险需及时通告管理员，并进行妥善处理。

（2）审计跟踪。每周进行记录和跟踪终端计算机整体变化趋势，实现对各种安全事件的快速定位。在本地安全策略中，开启审核策略更改、审核系统事件、审核账户登录事件、审核账户管理成功和失败的审核，开启审核对象访问、审核特权使用和失败的审核。

（3）备份与恢复。对系统中重要信息、资料、数据等进行有效备份，保障系统在受损情况下及时有效的恢复。在备份和恢复过程中，要保障所备份内容防丢失，防损坏，防窃取，定期要将备份的数据进行读取。

（4）应急预案。制定应急响应预案以提供计算机受损或非安全行为进行时，保护计算机的正常安全运行。

（5）身份鉴别。身份验证是系统安全的一个基本方面，它负责确定试图登录域或访问网络资源的任何用户的身份，赋予用户登录访问资源的能力，包括交互式登录和网络身份验证。Windows的安全性建立在身份验证和授权之上，用户可以通过设置开机密码、BIOS密码提高计算机的安全性。用户应不定期地更换自己的账户密码。

（6）入侵防范。在默认情况下，Windows有很多系统服务和端口是开放的，一些端口常常会被黑客和木马病毒利用，对计算机系统进行攻击。为了提高计算机的安全性，应该封闭这些端口。在端口限制中，由本地访问外部网络的端口越少越好。主要端口有TCP 135、139、445、593、1025和UDP 135、137、138、445，以及一些流行病毒的后门端口（如TCP 2745、3127、6129端口等）、远程服务访问端口3389等。

（7）访问控制。访问控制通过控制与检查进出计算机中的访问，保护计算机中的关键数据。它包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。在默认的情况下，大多数文件夹对所有用户是完全敞开的，应根据应用的需要进行权限重设。

（8）病毒防护。所有的连网终端计算机必须安装统一的防病毒软件，病毒库自动从服务器进行更新。每月至少一次对终端计算机进行全盘病毒扫描。对移动存储设备接入必须进行严格控制，且在使用前必须进行病毒扫描，确认没有问题后才可使用。终端计算机禁止安装具有扫描、攻击等恶意行为的黑客软件。对操作系统及时安装补丁程序。

（9）移动存储设备。移动存储的安全管理，成为目前终端安全的一大问题。目前主要存在的问题：内外网移动存储混用；移动存储公私混用；移动存储介质成为病毒、木马和恶意代码的传播源；体积小易丢失，重要信息也随之泄露。目前常用的方法是：物理破坏或封堵计算机USB接口；修改注册表项，禁用USB移动存储设备；隐藏可分配给USB移动存储设备的盘符并禁止查看；禁止安装USB驱动程序；修改组策略文件隐藏USB移动设备盘符。通过以上方式虽然可以得到一定控制，但仍存在安全隐患。在条件允许的情况下，建议安装终端安全软件，从而对移动存储进行全面管理，可实现如下目标：禁止非授权移动存储使用，防止内部移动存储外部非法使用，降低移动存储丢失后泄密的安全风险。