企业当前面临的网络威胁众多，除了加强其服务器和应用服务的安全外，还需要审慎地对待其内部的终端安全管理，这也是内网安全所关注的一个重要方面。病毒、密码泄露、不正常的上网流量激增，都是终端安全问题的重要体现。本文将讨论如何做好企业终端安全管理。

企业终端安全管理包括两个层面：主机安全层面和数据安全层面。

第一层面：主机安全管理

1、密码管理

设置安全、有效的密码能够保证主机不被非法地使用，也可以保证即使在主机丢失的情况下，不法用户也不能访问。密码管理包括如下几个方面：

1)设置BIOS（Basic Input/Output System，基本输入/输出系统）密码：防止用户对主机BIOS相关参数进行非法修改；

2)设置操作系统登录密码：防止用户对操作系统及其资源进行非法使用；

3)设置密码长度、密码过期时间、错误密码尝试次数等：保证密码的有效性，定期更新，并防范不法用户通过恶意密码尝试来获取密码。

2、防病毒、防入侵管理

联网的计算机容易受到病毒、恶意软件等的入侵和危害，针对其的管理包括：

1)安装防病毒软件，并定期进行防病毒软件升级和查杀工作；

2)安装主机入侵防护软件，如Symantec Endpoint Protection等，从恶意软件防护、文件系统保护、进出邮件扫描等方面进行整体的防护工作，启动该软件的实时检测和防范模式，并定期对该软件升级。

3、主机脆弱性管理：补丁

作为操作系统软件，定期的修补其自身的弱点（Vulnerability，也称为漏洞）是主机脆弱性管理的主要内容。主要通过从门户网站（如微软、红帽等）下载补丁软件进行操作系统补丁升级，或者通过其他第三方工具（如360安全卫士）来对操作系统的漏洞采用打补丁的方式来进行修补。

4、端口管理

联网计算机的每一个开放端口（Port），都为不法用户的入侵提供了一个可能的通道，因此端口管理要做好如下工作：

1)尽可能地关闭系统不需要的服务端口，如HTTP服务端口、FTP服务端口等；

2)周期性地检查（进入控制面板或者使用如360安全卫士等的第三方工具）主机的端口开放情况，并及时关闭无意或者被非法打开的端口及其服务。

5、主机权限管理

为防范用户随意安装软件带来的系统安全隐患，需要做好如下主机权限管理工作：

1)管理员等高级权限由管理员掌握，普通用户不应分配高级权限，从而防止随意安装软件；

2)普通用户安装软件需要高级权限时，需经管理员批准、审核后进行；

3)管理员定期对用户的权限进行审核和管理。

第二层面：数据防泄露安全管理

1、数据共享管理

联网计算机在数据共享管理方面，需要注意如下几点：

1)尽可能少地开发数据共享资源，任何一个资源都是一个可能被攻击的门户；

2)对共享资源设定详细的共享选项，如针对某些用户的某些具体操作（如读/写/执行等）。

2、移动介质管理

员工因USB等移动设备使用不当，可能造成有意或无意的机密数据丢失。另外，员工还可以随意接入各类外设和移动存储设备(如：U盘、移动硬盘、手机/MP3/MP4、数码相机等)带走内部资料，造成机密数据丢失等。移动介质管理可以采取如下方法：

1)通过软件、脚本等方式完全禁止员工使用移动设备进行数据拷贝；

2)对于特别允许的使用移动设备的员工，可以使用软件对员工的移动设备使用进行事中记录和事后审计。

3、上网行为管理

用户上网行为，包括网页浏览、发送/接收Web Mail、软件下载等，都可能导致恶意软件的侵入和数据的泄漏，可以采用如下方法进行管理：

1)在员工电脑客户端安装诸如Symantec Endpoint Protection、360安全卫士等安全应用软件，从多个层面保护用户上网过程中不会遭受病毒和木马的入侵；

2)在公司网关（也叫Proxy，代理服务器）处部署相应的安全产品，如Web防火墙、入侵检测/防御系统、UTM（Unified Threat Management）等产品，从公司与Internet的入口处对进入公司的网络威胁进行检测和阻断；

3)在公司网关处部署上网行为管理设备（或者软件），对员工的上网行为进行管理，如不能使用IM（Instant Messenger，即时消息）软件、不能使用P2P软件下载、不能浏览部分非法网站等。