? 站在信息技術管理部門角度，以終端生命周期、國家法規和標準、廠商產品三個視角對政務終端安全管理進行考量。總結出以終端生命周期為全局視圖，以分級保護等級保護標準為基本要求，靈活選擇各種安全產品和安全措施，建立整體的終端安全管理體系，并在運行中不斷完善和優化。

一、政務終端的生命周期

在信息安全工作中，一般采用PDR(保護、檢測和響應)、PPDR(安全策略、保護、檢測和響應)、PDRR(保護、檢測、響應和恢復)、MPDRR(管理、保護、檢測、響應和恢復)和WPDRRC等動態可適應安全模型，指導信息安全實踐活動。在終端安全中也是重要的參考模型。

政務終端管理的全局視圖最自然的表達方式是生命周期視圖，政務終端的生命周期分為四個階段：注冊與初始化、運行、變更和注銷，如下圖：

政務終端生命周期

? （一）注冊與初始化

終端首先要在企業架構LDAP或者域等注冊，嚴格一點的是使用CA-Key來進一步提高安全性。在注冊階段，填寫如注冊登記表。注冊終端是賦予終端網絡屬性，根據需要可以進行綁定，一般和責任人一起的LDAP目錄結構中。注冊后形成資產，進入CMDB庫。

初始化一是配置準入和訪問控制，準入控制點如交換機端口控制、VLAN、防火墻策略等。二是實施終端安全基線，安裝安全軟硬件，安裝應用軟件，安全軟件注冊（在線、離線），設置安全策略（在線、離線）；安全軟件還有實現數據安全的工具集。

?（二）運行管理與控制

終端注冊和初始化完成后，每次開機都進入一次運行狀態，這一階段要進行動態的管理和控制。可以參考PPDR模型等，將運行過程中的身份認證、安全檢查與修復、安全監控及處置等過程。

開機之后，首先是準入規則，判斷終端是否合法合規。合法即可信，是指終端身份經過驗證，屬于已經注冊的終端，合規即可靠，是指終端安全基線合格（如果有新的安全策略自動升級后進入系統）、網絡環境是否可靠，不合規需要進行修復。

運行中，需要對終端用戶的操作進行監控，監控上網、文件處理等各類操作行為，把那個記錄審計日志，如果有不合規的操作進行告警（前臺、后臺），嚴重的要及時控制阻斷（技術和管理手段）。

（三）變更管理

變更管理一類是更改主要配置，如IP地址等影響了綁定關系的操作。另一類涉及到的是更換硬盤等，需要重裝系統，等于是重新執行初始化操作。

（四）撤銷終端

當終端所對應的用戶離開單位、更換舊電腦等需要進行的操作，如果終端報廢的話需要進行銷毀處理（對于涉密電腦需要到專門的銷毀機構），如果另做他用，使用介質清除工具進行操作。

除了終端生命周期這條明線外，還存在信息載體生命周期這條暗線，尤其是對移動存儲介質的管理是終端安全管理的一個重點，達到的效果將是：進不來：非內部介質接入內部計算機不能使用；拿不走：內部介質接入非內部計算機不能使用；讀不懂：數據以密文形式存儲在介質上，非授權用戶不能解密，內部介質丟失不會泄密；改不了：數據在內部介質上存儲后，非法用戶無法更改數據內容；走不脫：詳細的內部介質使用日志可追蹤。

二、 安全計算環境與終端安全基線視角

網絡安全等級保護基本要求中，安全計算環境（等保1.0中的主機安全）包括網絡設備、安全設備、服務器設備、終端設備、應用系統、數據對象和其他設備等對象，涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份與恢復、剩余信息保護和個人信息保護。
在終端管理中，有一個安全基線的概念，安全基線實際上是定義了一組核心配置要求及配置型，包括操作系統配置管理、操作系統審計、應用軟件配置管理、安全防護軟件配置管理等方面，通過配置項對系統安全進行加固。這些配置項可以通過相應的工具轉成格式化（如組策略文件）安全基線包和校驗，通過自動化工具部署及監測。
2010年5月，微軟公司與國家信息中心簽訂《中國政務終端安全核心配置》合作備忘錄，微軟提供技術支持，2014年初，國家標準《信息安全技術 政務計算機終端核心配置規范》（GB/T 30278-2013）頒布實施。2016年，北京信息安全測評中心牽頭編制了國家標準GB/T 32925-2016《信息安全技術政府聯網計算機終端安全管理基本要求》。
也就是說，終端安全基線可以作為等級保護要求的實現方式之一。組織根據等級保護及內部管理實際制定安全要求，明確配置項集合構成安全基線。通過建立一個涵蓋等級保護管理要求的安全基線，定期對安全基線進行度量和控制，形成等級保護長效管理機制。而且，信創終端在網絡安全上有先天的優勢，更容易構建符合等級保護要求的終端安全基線。
此外，ITIL/ITSM是業界IT服務標準，ITIL提供了大量的最佳實踐體現在一堆流程中，和FDCC是安全基線比較配合，尤其是ITIL 可視化服務臺。

三、政務終端安全管理的產品視角

通過上述兩個視角，對終端管理已經非常清楚，對于傳統比較小的幾十個windows終端的，可以采用windows域方式，安裝幾個安全防護軟件，配合excel表格就可以基本完成安全管理。
但是到一個大的網絡中，終端數量較多，尤其當前面對普通windows（也有不同年限，版本的產品）、自主可控、手機平板以及啞終端各種類型多樣化終端，管理模式也需要分級管理，簡單的域模式就不能適用了。需要合理選擇商業產品的支持解決一定規模的黨政機關內網終端管理復雜性、多樣性。各廠商根據國家相關法規標準，結合自己對業務需求的理解，提出了很多的方案，通過規范、管理和審計內網終端的安全狀態和用戶行為，保證所有終端均被合法合規的使用。全網安全策略執行情況可感知可視化，有能力進行事前的預防和事后的追查，有效防止病毒爆發、違規操作、信息泄露及其它不可預見的威脅，實現IT管理的自動化、可視化和智能化。
安全產品一般采用B/S架構，在終端上安裝Agent代理，通過管理平臺集中管理和統一配置，終端代理上報系統信息狀態信息和日志，接收管理平臺下發的安全策略。

終端安全產品

值得注意，安全產品需要進行相應的檢測，病毒防護類要獲得公安部銷售許可證，安全保密類的就由國家保密科技測評中心進行檢測。
對于普通政務終端，配備主機監控審計系統（配置管理、存儲介質管理、審計和補丁分發）和殺病毒軟件可以滿足基本的終端安全管理要求。對于涉密終端，不同之處是強制要求部署保密三合一系統，即將主機監控審計的監控和管理功能獨立出來，有的還將配置管理獨立出來，但是基本功能組合相似。
實施產品時，對照策略要求文檔，將可以自動完成的標識出來，不能自動完成的，盡量采用自動化的腳本和第三方工具進行覆蓋。可以以某一個安全產品為核心（一般是主機監控審計系統），進行二次開發，整合多個軟件信息，提供可視化和智能化的特性，逐漸完善就是產品的應用之路。

總結

以上是生活随笔為你收集整理的政务终端安全管理的三个视角的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。