客户机安全与防御策略：保护客户机系统的安全措施

在企业、单位的内部网络中，除了一些提供网络服务的服务器外，应用更多的是客户机。网络管理人员可以考虑制定标准的客户机安全政策，利用一些安全设定与保护机制来管理这些有潜在风险的客户机系统。

客户机是对企业网络进行内部攻击的最常见的攻击源头，其对系统安全管理员的工作构成了挑战：一是因为网络中客户机的数量很多；二是因为许多用户没有接受过网络安全教育，或不关心网络安全问题。虽然阻止外部对网络内部客户机的访问相对容易，但要防止内部的攻击却困难得多。

（一）客户机的安全策略

网络安全管理员为客户机制订合理的、切实可行的安全策略，利用相关的安全产品，提高客户机的安全性是非常必要的。

1.客户机系统安全

（1）下载安装软件开发厂商提供的补丁程序，并执行修补作业。

（2）安装防毒软件并定期更新病毒码。

（3）定期执行文件和数据的备份。

（4）关闭或移除不必要的应用程序。

（5）合理使用客户机管理程序。

（6）不随意下载或执行来源不明的文档或程序。

2.客户机安全设定

（1）设定使用者授权机制。在企业、单位内部网络环境里，可以明确唯有授权的使用者方可使用内部网的客户机。另外，使用者可以启动屏幕保护程序来限制非授权人的使用，以保护客户机中所存放的数据。

（2）设定访问控制权限。对于客户机中机密或重要的文档/目录进行权限控制，非授权人无法读取重要的文件或利用密码保护功能进行控制。

（3）设定安全的远程管理。

Windows Server 2003及以上版本都支持远程桌面控制功能，都提供远程对服务器和客户机的安全管理工具，用户只需简单设定一下即可。

（二）客户机的风险防护(www.xing528.com)

1.对身份认证风险的防护

从操作系统安全方面来看，身份认证是最先考虑的环节，获得一个用户的身份就掌握了所登录计算机的所有资源，同时也很容易获得各应用系统的使用权限，因此身份认证方式的安全有效是非常重要的。目前，从技术上看身份认证主要有用户名十复杂口令、电子密钥+PIN码和人体生理特征识别三种方式。

通常情况下，主机采用用户名和设置复杂口令的身份认证方式。该方式一般要求的口令位数为12位或更多，由字母、数字、特殊符号混合组成，并定期更换。但这种方式的缺点是系统的口令容易被破解，且终端用户在口令更换周期、口令复杂性等方面很难严格执行，日常管理难度较大。对于Windows7客户机操作系统，可以使用组策略管理方法，由网络管理员直接配置系统密码策略和账户锁定策略，对密码长度、更换周期、锁定时长和无效登录阈值等进行具体限制。

电子密钥和PIN码的身份认证方式是在电子密钥中存入数字证书等身份识别文件，定期更换PIN值（类似动态口令卡），PIN值一般设为6位或更多，用户只有在同时拥有电子密钥和知道PIN值的情况下才能登录系统。数字证书是目前在网上银行、政府部门等应用比较广泛的技术手段，其安全性优于用户名十复杂口令方式。数字证书身份认证方式需要购买相应的软硬件产品。

以个人生理特征进行验证时，可有多种技术为验证机制提供支持，如指纹识别、声音识别、血型识别、视网膜识别等。个人生理特征识别方法的安全性最好，但验证系统也最复杂。指纹识别是常用于客户机的生理特征识别方法。指纹识别技术基于人体生理特征，安全性相对较高，但缺点是成本高，每台客户机均要安装指纹传感器及相应软件。对于非常重要的客户机可以采取生理特征识别十复杂口令的技术措施来保证安全。

2.对信息泄露风险的防护

根据网络模式、安全保密需求等具体情况的不同，用户权限的管理在各应用场合的要求也不同。在安全保密要求较高的部门，客户机的I/O端口应该是受到控制的。通常可利用相关安全产品对客户机的光驱、USB口、COM口、LPT口以及打印机（本地打印机和网络打印机）等I/O端口进行使用权限控制。同时出于安全性和保护内部机密的需要，要求相关安全产品提供审计功能以加强对内部网络中客户机的监控和管理。就审计功能而言，可以有如下审计内容。

（1）审计客户机的身份认证内容，如每天用户登录尝试次数、登录时间等信息。

（2）审计客户机与移动存储设备间的文件操作，包括复制、删除、剪切、粘贴、文件另存为等。

（3）审计客户机的打印机使用情况，记录打印文件名称、打印时间、打印页数等信息。

（4）禁止客户机以无线方式接入互联网，并部署审计策略记录客户机未成功的联网行为。

3.对内部攻击风险的防护

对于来自内部网络的攻击，除了加强口令强度预防外，还应采取及时安装系统补丁、进行策略设置和安装病毒防护系统等安全措施。

4.对移动存储介质风险的防护

为了降低移动存储介质带来的安全风险，应在企业内部对所有移动存储介质进行统一管理。对不同的存储介质采取不同的技术和管理措施。通过技术手段使外来移动存储介质无法接入企业内部网，内部网中认证过的移动存储介质也仅能在授权的客户机上使用，对涉密的移动存储介质应采取加密等技术使其在授权之外的计算机上无法使用，以降低因介质丢失或管理不严带来的安全风险。