电子政务安全始于终端

2010年，国家发改委决定组织实施信息安全专项建设。基础信息网络和重要信息系统的安全保障，以及面向国家信息安全的安全标准体系建设，成为IT产业发展的又一焦点。如何提升政府信息化办公效率，确保电子政务网络建设步伐快速安全稳定发展，正在成为政府信息化建设的新需求。

然而，近年来随着互联网应用的快速发展，政府办公网络正变得愈发复杂，信息终端存在的各类安全隐患已成为政府信息化建设不容忽视的短板，特别是驱动冲突、软件不兼容、网络滥用、病毒感染和网络攻击等终端问题，严重影响了政府网络的办公效率，同时也增加了网络运维的复杂度。今天，终端的运维与管理已经深度影响了政府办公的效率，而终端所面临的信息安全风险也成为数据泄露的主要途径。终端设备不断增加、使用者IT水平参差不齐、安全威胁越来越复杂等问题，时刻威胁着电子政务的安全，从终端入手的安全策略已刻不容缓。

福州卫生局的安全烦恼

福州市卫生局是主管福州全市卫生工作的市政府工作部门，下设15个职能处（室），共有100多台电脑终端。在计算机终端管理方面，福州市卫生局一直存在众多难以有效解决的问题。例如：办公终端分布在多个楼层及办公室，网络也被分为内、外两个，采用隔离卡实现物理隔离，造成了终端分散且应用多样，终端日常的安全管理和维护难度巨大，更不要说处理日常应用软件及补丁的安装工作，以及系统崩溃、涉及单位重要信息的数据安全等问题了。

福州市卫生局工程师朱晓锋告诉记者：“在安装操作系统的过程种，经常可能出现驱动冲突、软件不兼容等问题。但我局的工作用机都是分多批次购买的，硬件配置不相同，每一次重新安装部署都需要几个小时，且终端分布分散管理困难，严重影响了管理员及工作人员的工作效率。”他表示，由于终端计算机数量较多，各台终端的补丁升级和病毒库更新常常滞后，很容易感染病毒和蠕虫。大规模的病毒和蠕虫爆发更是经常导致信息网络陷于瘫痪，业务无法正常进行。

此外，福州市卫生局内部重要机密信息的泄露风险极高，因为终端并没有对U盘或者移动硬盘实施强制管理策略，很难防范内部人员通过移动储存介质将重要机密信息泄露出去，给单位造成重大损失。

不仅如此，福州市卫生局内网资产（CPU、内存、硬盘等）也经常被随意更换。由于缺乏有效的技术跟踪手段，员工经常随时更改自己所使用机器的IP地址等配置，一旦出现攻击行为或者安全事故，责任定位非常困难。

管好终端等于事半功倍

面对这些问题，福州市卫生局发现他们急需找到一套行之有效的终端管理方案，既可以简捷地实施日常维护管理，又要能实现深度的安全防护。经过了多种尝试后，朱晓锋和他的同事发现采用虚拟终端管理系统实施对终端的管控，不失为一种好方法。

在测试的过程中，和信创天研发的和信虚拟终端管理系统被纳入备选方案。根据福州市卫生局网络的实际情况，和信创天采用了以下的策略：

首先，针对卫生局内的情况制作多个相应的操作系统镜像文件，分别针对各部门安装相应业务工具等软件，可根据各个部门的业务和应用情况制定相应策略，实现卫生局终端系统及应用的集中和统一管理。如果用户在使用工作终端时遇到系统崩溃、感染病毒木马或者其他软件冲突，只需重启机器即可完全恢复正常，无需系统管理员协助处理。其次，针对高密级部门，为防止资料外泄，和信创天建议福州市卫生局卸载相应部门工作终端上的物理硬盘，全部采用远程虚拟硬盘，并下发限制使用USB等外置接口的策略，禁止使用互联网。针对所有部门，下发流量控制和ARP防护策略，防止用户滥用网络资源和产生对网络造成影响的异常流量。最后，利用和信虚拟终端管理系统中的资产管理功能，监控各部门的终端资产，资产发生变化时系统会发出警告提示并生成日志便于事后查询。

通过虚拟终端管理系统，福州市卫生局也渐渐找到了自己进行电子政务安全建设的方向。朱晓锋表示，终端安全是电子政务安全体系中的重要一环。但如果只是单纯利用防病毒这类安全产品去管理终端，不仅安全策略难以执行，安全管理规范也难以贯彻。借助“和信”这类虚拟终端管理系统，不仅可以管好终端、还可以用好过去采购的防病毒软件等安全产品，让安全管理事半功倍。未来，他们完全可以根据自己的需求及不断变化的应用来搭建和调整管理和安全的整体方案，彻底摆脱以往的被动局面。