“一横两纵”计算机终端安全防护体系的创建及应用

“一横两纵”计算机终端安全防护体系的创建及应用

田雨 宋人文 龙振华

（贵州省烟草公司黔东南州公司　）

[摘要]计算机终端安全是整个信息安全体系中至关重要的一环，其安全性直接关系到用户的个人隐私、财产安全以及企业的核心数据和业务的安全，其作为信息存储、传输、应用处理的基础设施和链接网络的关键节点，成为了广大用户日常生产、办公等工作环节的重要支撑平台，其自身安全涉及到网络安全、数据安全等各个方面，是网络安全的源头和终点。本文提出以“纵向防御、横向隔离”为核心的“一横两纵”的计算机终端安全防御模式，即在计算机终端网络之间划分VLAN 实施横向管理，部署下一代防火墙实施边界第一层纵向防御，部署终端安全管理系统实施第二层纵向防御，该模式经验证能有效提高计算机终端网络攻击防御能力，具有较强推广价值。

[关键词]一横两纵；网络安全；横向隔离；纵向防御；

引言

随着国内外网络安全形式日益严峻复杂，计算机网络建设不断深入、作用不断深化，安全防护问题日趋突出，传统的计算机终端网络安全防护手段防护往往采用单一网络安全设备进行简单防护，防护力度不足，容易发生病毒和网络入侵事件，一旦遭遇病毒和网络入侵，极易造成行政办公计算机终端、业务计算机终端瘫痪、信息泄露、业务中断等影响，危害巨大。创建一种新的安全防护体系来提高计算机终端网络安全十分必要。

1 计算机终端安全管理

1.1 计算机终端

计算机终端是指能独立进行数据处理及提供网络服务访问的计算机系统，由硬件、操作系统、应用软件等部分组成，包括微型计算机系统和便携微型计算机系统。

1.2 计算机终端安全管理

计算机终端安全管理主要是指专业的技术人员为了确保计算机终端的正常工作而开展的一系列维护工作，包括计算机的配置、安装、故障、升级、处理等。

2 计算机终端安全管理存在的问题

2.1安全意识不足

对计算机终端实施安全管控，对于企业来说是一项消耗性的投资，不会给企业产生直接的经济效益。大多数企业更愿意将资金投入到未来对经济有利的项目上，以此来促进企业的发展。另一方面，员工对计算机终端安全的认识不足，成为影响信息安全的关键因素。

2.2安全控制问题

管理层没有制定计算机终端安全管理相关规定,安全管理责任没有明确，管理终端不够严格，如果终端出现故障，将有可能导致机密信息的泄露，可能会给企业带来一定的损失；内部员工对终端进行恶意破坏和窃取数据，或由于不懂计算机数据安全防护知识，导致攻击者利用系统漏洞进行破坏。

3 “一横两纵”计算机终端安全防护体系

3.1 体系概念

一横：立足“计算机终端”，实施VLAN管控；

两纵：创建“双层防护”，部署终端安全管理系统实施终端管控，与边界防火墙形成“双层防护。

3.2 体系应用

一横：在交换机上划分VLAN网段，对计算机终端进行横向访问隔离。

两纵：在网络边界部署下一代防火墙，实现“第一纵”，在核心交换机上部署终端安全管理控制中心，在计算机终端上部署终端安全管理系统，实现“第二纵”。

3.3 运行效果

该体系于2023年7月在黔东南州烟草公司网络安全防御中应用，试运行3个月来，计算机终端网络攻击拦截率由原来的63.04%提升至99.28%，防御效果显著。

4 结束语

本文着力“纵向防御”和“横向隔离”两个维度，提出了计算机终端“一横两纵”安全防御新模式，该模式大大提升了黔东南州公司网络安全保障水平和应急处置能力，具有一定推广性，但提升计算机终端安全管理能力是一个循序渐进不断完善的过程，需要不断推进网络安全建设，才能确保计算机终端安全管理的持久有效性。

1