桌面安全的技术防范

　　桌面计算机输入输出控制是企业涉密信息系统安全保密工作技术防范的关键，桌面计算机输人输出控制不严会大大增加安全保密的风险，导致企业涉密信息系统安全 保密技术防范措施千疮百孔，因此企业必须切实控制好桌面计算机的输人输出。目前国内控制桌面计算机输人输出行为的成功案例是统一集中的输人输出方案，可按 建筑物或部门设置统一集中的输人输出机房，并配置专人负责管理;规定所有的打印输出必须到指定的输人输出机房进标每台计算机上都安装网络版的主机监控审计 软件客户端[2][3)，并在主机监控审计软件服务器配置主机监控和审计策略，禁用用户的各类输入输出端口，例如禁止使用USB端口的移动存储介质、调制 解调器、各类光驱、红外端口、SCSI端口和打印端口等，只允许输人输出机房的计算机能够使用输人输出端口。但由于国内的主机监控审计软件容易被突破，因 此桌面安全做得较好的企业会联合采用物理措施封堵计算机的输人输出端口，例如更换专门的安全保密机箱并将机箱上锁。或用粘胶、封条等方式封堵计算机的输人 输出端口。同时为了防止病毒的人侵，避免用户随意安装软件和操作系统，确保整个涉密信息系统的安全，桌面安全做得较好的企业也会拆除计算机的只读光驱。

　　如果手工进行所有桌面计算机的安全配置和漏洞封堵，将大大增加系统管理员的工作量，而且也难以做到位。因此，这里建议采用软件自动配置的方式来完成桌面计 算机的安全配置和漏洞封堵，可采用Windows活动目录组策略的配置来控制所有域内计算机的安全配置，例如域帐户密码的长度和复杂性要求、锁屏策略等; 采用Windows的软件分发服务来自动实现系统补丁的分发，可定期从国际互联网上下载系统补丁包，由软件分发服务器来实现系统补丁的分发。目前国内个别 先进的主机监控审计软件也能够实现桌面计算机安全配置和漏洞封堵的自动化。