政务终端安全管理的三个视角

站在信息技术管理部门角度，以终端生命周期、国家法规和标准、厂商产品三个视角对政务终端安全管理进行考量。总结出以终端生命周期为全局视图，以分级保护等级保护标准为基本要求，灵活选择各种安全产品和安全措施，建立整体的终端安全管理体系，并在运行中不断完善和优化。

一、政务终端的生命周期

在信息安全工作中，一般采用PDR(保护、检测和响应)、PPDR(安全策略、保护、检测和响应)、PDRR(保护、检测、响应和恢复)、MPDRR(管理、保护、检测、响应和恢复)和WPDRRC等动态可适应安全模型，指导信息安全实践活动。在终端安全中也是重要的参考模型。

政务终端管理的全局视图最自然的表达方式是生命周期视图，政务终端的生命周期分为四个阶段：注册与初始化、运行、变更和注销，如下图：

（一）注册与初始化

终端首先要在企业架构LDAP或者域等注册，严格一点的是使用CA-Key来进一步提高安全性。在注册阶段，填写如注册登记表。注册终端是赋予终端网络属性，根据需要可以进行绑定，一般和责任人一起的LDAP目录结构中。注册后形成资产，进入CMDB库。

初始化一是配置准入和访问控制，准入控制点如交换机端口控制、VLAN、防火墙策略等。二是实施终端安全基线，安装安全软硬件，安装应用软件，安全软件注册（在线、离线），设置安全策略（在线、离线）；安全软件还有实现数据安全的工具集。

（二）运行管理与控制

终端注册和初始化完成后，每次开机都进入一次运行状态，这一阶段要进行动态的管理和控制。可以参考PPDR模型等，将运行过程中的身份认证、安全检查与修复、安全监控及处置等过程。

开机之后，首先是准入规则，判断终端是否合法合规。合法即可信，是指终端身份经过验证，属于已经注册的终端，合规即可靠，是指终端安全基线合格（如果有新的安全策略自动升级后进入系统）、网络环境是否可靠，不合规需要进行修复。

运行中，需要对终端用户的操作进行监控，监控上网、文件处理等各类操作行为，把那个记录审计日志，如果有不合规的操作进行告警（前台、后台），严重的要及时控制阻断（技术和管理手段）。

（三）变更管理

变更管理一类是更改主要配置，如IP地址等影响了绑定关系的操作。另一类涉及到的是更换硬盘等，需要重装系统，等于是重新执行初始化操作。

（四）撤销终端

当终端所对应的用户离开单位、更换旧电脑等需要进行的操作，如果终端报废的话需要进行销毁处理（对于涉密电脑需要到专门的销毁机构），如果另做他用，使用介质清除工具进行操作。

除了终端生命周期这条明线外，还存在信息载体生命周期这条暗线，尤其是对移动存储介质的管理是终端安全管理的一个重点，达到的效果将是：进不来：非内部介质接入内部计算机不能使用；拿不走：内部介质接入非内部计算机不能使用；读不懂：数据以密文形式存储在介质上，非授权用户不能解密，内部介质丢失不会泄密；改不了：数据在内部介质上存储后，非法用户无法更改数据内容；走不脱：详细的内部介质使用日志可追踪。

二、安全计算环境与终端安全基线视角

网络安全等级保护基本要求中，安全计算环境（等保1.0中的主机安全）包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等对象，涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。
在终端管理中，有一个安全基线的概念，安全基线实际上是定义了一组核心配置要求及配置型，包括操作系统配置管理、操作系统审计、应用软件配置管理、安全防护软件配置管理等方面，通过配置项对系统安全进行加固。这些配置项可以通过相应的工具转成格式化（如组策略文件）安全基线包和校验，通过自动化工具部署及监测。
2010年5月，微软公司与国家信息中心签订《中国政务终端安全核心配置》合作备忘录，微软提供技术支持，2014年初，国家标准《信息安全技术政务计算机终端核心配置规范》（GB/T 30278-2013）颁布实施。2016年，北京信息安全测评中心牵头编制了国家标准GB/T 32925-2016《信息安全技术政府联网计算机终端安全管理基本要求》。
也就是说，终端安全基线可以作为等级保护要求的实现方式之一。组织根据等级保护及内部管理实际制定安全要求，明确配置项集合构成安全基线。通过建立一个涵盖等级保护管理要求的安全基线，定期对安全基线进行度量和控制，形成等级保护长效管理机制。而且，信创终端在网络安全上有先天的优势，更容易构建符合等级保护要求的终端安全基线。
此外，ITIL/ITSM是业界IT服务标准，ITIL提供了大量的最佳实践体现在一堆流程中，和FDCC是安全基线比较配合，尤其是ITIL 可视化服务台。

三、政务终端安全管理的产品视角

通过上述两个视角，对终端管理已经非常清楚，对于传统比较小的几十个windows终端的，可以采用windows域方式，安装几个安全防护软件，配合excel表格就可以基本完成安全管理。
但是到一个大的网络中，终端数量较多，尤其当前面对普通windows（也有不同年限，版本的产品）、自主可控、手机平板以及哑终端各种类型多样化终端，管理模式也需要分级管理，简单的域模式就不能适用了。需要合理选择商业产品的支持解决一定规模的党政机关内网终端管理复杂性、多样性。各厂商根据国家相关法规标准，结合自己对业务需求的理解，提出了很多的方案，通过规范、管理和审计内网终端的安全状态和用户行为，保证所有终端均被合法合规的使用。全网安全策略执行情况可感知可视化，有能力进行事前的预防和事后的追查，有效防止病毒爆发、违规操作、信息泄露及其它不可预见的威胁，实现IT管理的自动化、可视化和智能化。
安全产品一般采用B/S架构，在终端上安装Agent代理，通过管理平台集中管理和统一配置，终端代理上报系统信息状态信息和日志，接收管理平台下发的安全策略。

值得注意，安全产品需要进行相应的检测，病毒防护类要获得公安部销售许可证，安全保密类的就由国家保密科技测评中心进行检测。
对于普通政务终端，配备主机监控审计系统（配置管理、存储介质管理、审计和补丁分发）和杀病毒软件可以满足基本的终端安全管理要求。对于涉密终端，不同之处是强制要求部署保密三合一系统，即将主机监控审计的监控和管理功能独立出来，有的还将配置管理独立出来，但是基本功能组合相似。
实施产品时，对照策略要求文档，将可以自动完成的标识出来，不能自动完成的，尽量采用自动化的脚本和第三方工具进行覆盖。可以以某一个安全产品为核心（一般是主机监控审计系统），进行二次开发，整合多个软件信息，提供可视化和智能化的特性，逐渐完善就是产品的应用之路。