终端数据防泄漏安全管理思考

◆黄飞飞 刘晓天 王洪彬 许 鹏

（1.中国石油西南油气田公司 四川 610051；2.中国石油西南油气田公司蜀南气矿 四川 646000；3.中国石油西南油气田公司川中油气矿 四川 629000）

网络迅速发展给人们带来了便利，不过在使用过程中人们也遇到了一些网络安全问题，如给用户的私密信息和重要信息等造成了严重问题。最近几年，不管是政府还是企业都需要接受计算机终端安全问题带来的伤害，终端数据具有分散性特征，现在整体管理形式和对策不够先进，因此在新时期下强化终端数据防泄漏安全管理是必要工作内容，需要及时解决和处理，强化终端数据防泄漏安全管理效果。

1 终端安全威胁介绍

1.1 人为自然威胁

计算机终端安全威胁设计内容比较多，不过总体来说可以将终端安全威胁分为自然和人为两种，人为威胁主要是恶意行为和非恶意行为导致的，计算机终端微信中非恶意行为一般都是发生在企业内部的，企业内部工作人员依据客户的不正当操作导致的计算机威胁，因为这些人员在实际工作中缺少安全防范意识导致的，给计算机带来了严重威胁和伤害。恶意行为就是一些员工因为自身对企业或者其他人员秉持报复心态，还有一些人员为自身利益而对企业计算机进行人为恶意操作行为，严重损害企业计算机出现的数据信息，对于企业数据信息安全具有阻碍作用。形成计算机终端安全威胁不仅仅是人为行为。

1.2 计算机系统漏洞

还有计算机自身系统存在漏洞导致，漏洞主要是软件、硬件、程序不足导致的，在计算机整个系统中，一旦出现各种安全漏洞，那么黑客就可以快速进入到系统内部，进而可以盗取企业内部重要信息和主要数据内容。

1.3 恶意代码威胁

还有一种安全威胁就是恶意代码导致的，恶意代码会对终端数据的安全性和完整性造成威胁。恶意代码能够分为三种不同形式，第一是手机中的病毒，病毒是计算机自身程序之中的，当人员自身使用的计算机被病毒入侵后，在没有人员同意和允许下会对整个计算机内部程序和数据进行复制粘贴。计算机病毒自身存在很多特点，最主要的特征就是可以篡改和移动计算机中的文件，两种特点对于整个计算机造成的危害比较小，不过有一些病毒会对整个计算机造成非常严重的威胁。比如文件表格被破坏，使得企业网络全面瘫痪，给企业造成无法弥补的经济危害，第二是蠕虫，在不需要人员同意和允许基础上，蠕虫能够通过自我复制形式，粘贴在网络节点上，是一种计算机程序，蠕虫可以将计算机中数据成功复制到其他人员计算机之中，使得计算机终端的很多内存空间被无用信息和数据占用，延长了计算机终端内存空间处理时间，使得企业计算机出现全部死机状态，对于人员实际工作效果和质量具有阻碍作用。第三是特洛伊木马病毒，也是计算机程度中一种病毒形式，主要是隐藏在程序之中，并且在计算机中可以伪装成为一种合法的程序，进而可以自我对计算机进行操作和控制。可以说，恶意代码会给计算机终端带来非常严重的威胁，因此企业一定要高度重视恶意代码带来的危害，针对实际情况及时采取对策解决。企业可以使用杀毒软件安装查杀病毒，在病毒更新时能够及时收集并提出对策解决，防范病毒入侵，提升企业整体终端数据安全性。

2 与终端安全管理相关的技术

2.1 访问控制技术

访问控制技术在网络资源安全上扮演着非常重要的角色，此种技术能够保证资源被有效合法使用，包含的领域比较广泛。第一，人网访问控制直接决定了登录服务器人员权限，以及确切入网期限，账户和口令认证可以帮助人们正确识别过程的主要途径。第二，权限控制可以降低非法操作，权限级别在一定程度上因人而异的，权限控制能够最大限度控制访问范围，以及实际资源操作性。第三，目录以及文件属性控制能够对信息技术的深度确认，可以合理控制用户访问目录以及文件，属性控制还可以避免错误操作造成的信息损失。

2.2 VPN技术分析

VPN技术可以仿真点和点之间的专线，在保证数据安全性和整体性上具有非常重要的价值，VPN技术可以为企业营造内部虚拟网络和远程访问虚拟网络，还可以为企业营造拓展虚拟网络。VPN技术虚拟网组成如图1。

图1 VPN技术虚拟网

2.3 防病毒技术分析

计算机病毒是导致数据丢失的主要伤害，对于终端数据的威胁性是无法估量和分析的，因此提升计算机终端病毒技术，做好终端防护是现在必不可少的工作内容。预防病毒技术具有一定优先控制权利，可以及时对病毒进行合力监视和组织，避免病毒遭到破坏。检测病毒技术主要是所有病毒进行合理判断，清除病毒技术就是在有效恢复文件基本信息和内容的同时，还可以对病毒进行清除和解决。

3 终端数据防泄漏安全管理对策

3.1 限制恶意代码对策

恶意代码对于整个计算机终端数据具有非常严重的威胁，为确保终端数据的安全，就要做好限制工作，避免恶意代码通信和运行出现，严格限制恶意代码进入到计算机终端系统中。充分发挥自身作用和力量，阻碍恶意代码进带来的威胁和伤害性。可以从以下两种配置上应对，第一，建立在主机防火墙基础上采取的对策，Windows内置防火墙可以最大限度避免外来网络攻击，也可以尝试性进行连接，并且可以借助安全日志对整体故障和问题进行分析和研究，进而可以达到阻止恶意代码入侵计算机的最终目的。第二，软件限制对策，事实上软件可以对整个计算机系统进行合理控制，采用四种形式对计算机内部文件进行隔离，分别是哈希规则、证书规则、路径和网络区域规则四种，现在企业和人员一般都采用终端对策合理保护客户端和计算机终端数据内容。并且，对于服务器来说最好采用限制文件运行对策，在使用路径规则和哈希规则形式对终端数据进行远程操作，普通对策还要充分考虑和分析实际情况，在采取相对应的对策解决问题。

3.2 终端账户配置对策

此种对策主要有四种形式，更改以及禁用Administrator账户名，禁止使用本机Guest号，对用户使用进行密码保对策，禁止其他用户进行登陆对策。

3.3 终端网络配置对策

主要涉及了网络访问，默认共享信息数据形式，终端计算机需要始终处在关闭形式下实现数据共享，可以最大限度减少侵害发生的可能性。

3.4 终端软件配置对策

主要是对计算机终端出现了病毒、系统服务、补丁更新以及终端远程协助配置对策，或者对计算机远程桌面进行远程配置检测等等。终端计算机操作系统可以对数据以及补丁进行更新，避免漏洞给用户带来不必要的数据损害和丢失现象，终端计算机要处在关闭状态下为用户提供必要的服务，或者在计算机终端系统上及时安装更新杀毒软件设备。

4 结束语

总而言之，计算机病毒传播对于人们正常生活和工作具有严重威胁，随着计算机使用的不断深入，对管理人员提出了更高要求，特别是因为计算机终端设备使用效果不断增多，终端管理者在未来实际工作中要将重点放在专业素养上，对计算机终端可能出现的病毒进行查杀和控制，保证整个计算机终端数据信息的安全性和完整性。