单位内网模型如图 1 所示。在单位内网中，操作系统的漏洞、重要数据被非法窃取、应用软件的缺陷等，是内网终端面临威胁的重要因素 。这些威胁可能会通过各种手段窃取敏感信息、破坏系统并影响其服务功能，对内网计算机终端的安全构成威胁。内网终端安全管理体系如图 2 所示。多家单位保密及信息化工作的实践表明，内部威胁占据安全威胁的大部分，且这些威胁主要是由于内部人员的违规操作、恶意攻击及管理漏洞等原因所致。而外部威胁则主要来自黑客攻击、病毒传播和网络钓鱼等行为。因此，需要深入分析这些威胁的来源与传播途径，并采取有效的安全策略进行防范和控制。

图 1　单位内网模型

图 2　内网终端安全管理体系

1.1　恶意软件攻击

恶意软件是一种常见的网络威胁程序，它可以通过电子邮件、下载的文件和恶意网站等方式进入内网计算机终端。一旦恶意软件进入计算机，便会窃取敏感信息、破坏系统和消耗资源，甚至控制计算机对其他网络进行远程攻击。

1.2　内部人员滥用权限

内部人员滥用权限是一种常见的威胁。一些员工可能因为疏忽、误操作或恶意行为，导致敏感信息泄露、高密低输或系统被破坏。特别是从内网导出信息时，内部人员滥用权限可能将信息恶意裁剪编辑，并恶意利用当前技术查验漏洞，将涉密信息隐藏于非密信息进行导出，对内网的安全形成极大的安全威胁 。

1.3　硬件设备的物理安全

2.1　保障数据安全

数据是单位最重要的资产之一，数据安全关乎单位的正常运行。因此，针对内网中不同类型的数据需要采取不同的安全策略，保障数据在传输和存储过程中的完整性，防止数据被篡改或窃取。此外，单位还应建立完善的数据备份和恢复机制，确保备份数据的安全性。

2.2　防止恶意攻击

随着网络技术的不断发展，恶意攻击手段日益多样化，给单位内网的安全带来了严重威胁。因此，应加强单位内网的终端设备的安全配置，包括安装防病毒软件、配置防火墙、配置好本地安全策略等手段和措施以提高终端设备的安全性，防止恶意攻击者获取敏感数据或进行非法操作，有效地保障单位内网的安全。

2.3　提高系统稳定性

3.1　账户策略

用户名和密码过于简单，导致网络的安全性问题比较突出，黑客在攻击网络系统时常把破解管理员密码作为一个主要的攻击方式，账户策略通过设置密码策略和账户锁定策略以提高账户密码的安全级别，保证网络资源不被非法使用和非法访问，它是计算机系统安全的第一道防线，也是保证计算机网络安全的核心策略，可以使内网终端的账户更加安全。

（1）密码策略。终端系统口令（密码）是终端系统的第一道防线，密码策略是为防止破解密码而设置的一套规则，密码策略如表 1 所示。

表 1　密码策略

（2）账户锁定策略。账户锁定是指当用户输入错误密码的次数达到一个设定的值时，就锁定该用户，只有等超过指定时间自动解除锁定后方可继续登录，账户锁定策略如表 2 所示。

表 2　账户锁定策略

3.2　本地策略

本地策略主要涉及是否在安全日志中记录登录用户的操作事件，用户能否交互式登录此计算机，用户能否从网络上访问此计算机等。本地策略主要包括审核策略、安全选项和用户权限分配 3 个部分。

（1）审核策略。建立审核跟踪是系统安全的重要内容。通过设置审核策略可以确定是否将计算机中与安全有关的事件和用户登录成功或失败的信息记录到安全日志中，通过日志分析，能追溯和跟踪终端上发生的异常事件。审核策略如表 3 所示。

表 3　审核策略

在审核日志中，失败日志比成功日志更有意义，因为失败说明有异常发生。例如，用户成功登录到计算机通常被视为正常，但如果有人多次尝试登录此计算机都未能成功，则说明可能有攻击者在尝试使用他人的账户入侵此计算机。

（2）安全选项。安全选项策略，可以控制一些和操作系统安全相关的设置。常用的安全策略如表 4 所示。

表 4　安全选项常用策略

（3）用户权限分配。通过用户权限分配策略，可以为某些用户和组授予或拒绝一些特殊的权限，常用的用户权限分配中的安全策略如表 5 所示。

表 5　用户权限分配常用策略

表 6　设置安全策略前后的安全风险对比

由表 6 可知，在具体实践中，可以通过计算机终端的操作系统、应用软件、防病毒策略的正确设置，加强计算机终端口令强度及使用期限的管理，是提高计算机终端安全管理的有效方法，如用户权限、共享资源、远程登录和禁止访问高危端口等 。此外，将一些典型的军工单位涉密网终端作为案例研究对象，跟踪和评估其安全策略的实施过程和效果，并进行对比分析。通过对比不同军工单位设置安全策略前后的实施效果，可以更加清晰地了解各种安全策略的优势和不足，为今后的安全策略设计和优化提供依据。