桌面標(biāo)準(zhǔn)化管理系統(tǒng)在公司內(nèi)網(wǎng)的應(yīng)用

邵 俊 孟強(qiáng)龍 周冬青

（馬鞍山供電公司 信息通信公司，安徽 馬鞍山 243000）

0 引言

馬鞍山供電公司目前已建成的信息內(nèi)網(wǎng)覆蓋公司所有辦公大樓、變電站以及供電所等處，共擁有接入的計(jì)算機(jī)終端、網(wǎng)絡(luò)設(shè)備、服務(wù)器等約1130臺(tái)。這些設(shè)備及業(yè)務(wù)應(yīng)用系統(tǒng)的可靠、穩(wěn)定運(yùn)行，是全公司安全生產(chǎn)、經(jīng)營(yíng)管理的基礎(chǔ)保障。隨著接入內(nèi)網(wǎng)的計(jì)算機(jī)終端越來越多，相應(yīng)也出現(xiàn)了一系列管理問題。如公司內(nèi)外網(wǎng)計(jì)算機(jī)終端混用，移動(dòng)存儲(chǔ)介質(zhì)的隨意使用，惡意病毒輕易傳播而難以控制，對(duì)補(bǔ)丁和軟件分發(fā)、安全行為、遠(yuǎn)程監(jiān)控等管控力度弱，導(dǎo)致桌面終端存在一定的安全隱患[1]。為了加強(qiáng)計(jì)算機(jī)終端的安全管理，在公司信息內(nèi)網(wǎng)部署一套桌面標(biāo)準(zhǔn)化管理系統(tǒng)[2]（以下簡(jiǎn)稱桌面管理系統(tǒng)）就變得尤為重要了。本文介紹了桌面管理系統(tǒng)在內(nèi)網(wǎng)中的部署及應(yīng)用。

1 現(xiàn)狀分析

1.1 桌面終端存在的問題

1.1.1 內(nèi)外網(wǎng)混用

外來人員攜帶的筆記本接入信息內(nèi)網(wǎng)、內(nèi)部人員將計(jì)算機(jī)內(nèi)外網(wǎng)混用等，很容易導(dǎo)致公司內(nèi)網(wǎng)機(jī)密信息的泄露。

1.1.2 Windows操作系統(tǒng)補(bǔ)丁更新

公司實(shí)行信息內(nèi)網(wǎng)與互聯(lián)網(wǎng)的徹底隔離，大量信息內(nèi)網(wǎng)計(jì)算機(jī)終端操作系統(tǒng)的補(bǔ)丁更新便成了一大難題。由于計(jì)算機(jī)操作系統(tǒng)補(bǔ)丁得不到及時(shí)更新，很容易被一些黑客利用操作系統(tǒng)漏洞進(jìn)行攻擊，造成不良后果。

1.1.3 使用空、弱口令

公司一些員工對(duì)信息安全的意識(shí)不夠強(qiáng)，往往在使用計(jì)算機(jī)時(shí)，為了圖方便，常常使用簡(jiǎn)單的開機(jī)口令、甚至不設(shè)置開機(jī)口令。而這些設(shè)置，常常給了外來人員竊取公司機(jī)密信息的機(jī)會(huì)。

1.1.4 未正確安裝防病毒軟件

新接入內(nèi)網(wǎng)的計(jì)算機(jī)，未安裝防病毒軟件、或安裝非趨勢(shì)防病毒軟件，很容易讓內(nèi)網(wǎng)計(jì)算機(jī)感染病毒，從而讓惡意病毒在信息內(nèi)網(wǎng)中傳播成為了可能。

1.1.5 移動(dòng)存儲(chǔ)介質(zhì)的隨意使用

U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備的隨意使用，越來越多的敏感信息、秘密數(shù)據(jù)被隨意地拷貝。尤其是公司和個(gè)人的移動(dòng)存儲(chǔ)設(shè)備不區(qū)分，很容易造成惡意木馬病毒肆意傳播，嚴(yán)重影響了桌面終端的安全。

1.2 實(shí)施桌面管理系統(tǒng)的意義

在公司內(nèi)網(wǎng)部署一套桌面管理系統(tǒng)，利用它的主機(jī)安全策略、補(bǔ)丁分發(fā)策略、違規(guī)外聯(lián)監(jiān)控策略、移動(dòng)存儲(chǔ)審計(jì)策略等可以解決桌面終端安全管理存在的問題。

2 桌面管理系統(tǒng)的部署與應(yīng)用

2.1 準(zhǔn)備工作

準(zhǔn)備一臺(tái)操作系統(tǒng)為Windows 2003 Server的服務(wù)器，按照服務(wù)器的運(yùn)維要求做好安全措施。然后，安裝SQL server 2000數(shù)據(jù)庫和SQL server 2000 sp4 補(bǔ)丁、IIS 6.0。

2.2 安裝桌面管理系統(tǒng)

按照以下順序完成桌面管理系統(tǒng)的安裝：

1）安裝WinPcap驅(qū)動(dòng)程序；

2）安裝并運(yùn)行環(huán)境初始化程序，初始化數(shù)據(jù)庫；

3）安裝網(wǎng)頁平臺(tái)并進(jìn)行劃分區(qū)域，配置區(qū)域IP范圍、區(qū)域管理器參數(shù)、設(shè)備掃描器參數(shù)；

4）安裝區(qū)域管理器（推薦安裝在默認(rèn)路徑下）；

5）通知所有用戶下載并運(yùn)行注冊(cè)客戶端代理探頭程序。

2.3 配置管理策略

2.3.1 主機(jī)安全策略

用戶密碼策略。此策略可以對(duì)計(jì)算機(jī)操作系統(tǒng)的本地安全策略、本地帳戶鎖定策略、屏保進(jìn)行設(shè)置，同時(shí)可以檢測(cè)系統(tǒng)弱口令，除本系統(tǒng)自定義的弱口令外，用戶可以自己添加自定義弱口令集。配置此策略后，分發(fā)給所有終端設(shè)備，可以及時(shí)獲取哪些終端存在空口令和弱口令問題，運(yùn)維人員以此來提醒并指導(dǎo)用戶修改口令。

殺毒軟件運(yùn)行監(jiān)控策略。配置此策略可以檢查客戶端是否安裝殺毒軟件，并做提示、斷開、重啟計(jì)算機(jī)等操作。

2.3.2 接入認(rèn)證策略

補(bǔ)丁與殺毒軟件認(rèn)證策略及時(shí)提醒用戶安裝趨勢(shì)防病毒軟件。此策略與殺毒軟件運(yùn)行監(jiān)控策略結(jié)合使用，確保所有注冊(cè)的計(jì)算機(jī)均能及時(shí)安裝趨勢(shì)防病毒軟件。

2.3.3 補(bǔ)丁分發(fā)策略

此策略將補(bǔ)丁庫中的補(bǔ)丁按管理員的設(shè)置，對(duì)設(shè)定的終端進(jìn)行自動(dòng)的分發(fā)。支持用戶自定義補(bǔ)丁策略自由配置分發(fā)，基于操作系統(tǒng)種類、補(bǔ)丁檢測(cè)周期、補(bǔ)丁類別等制定策略，下發(fā)給一定范圍的客戶端后統(tǒng)一按策略執(zhí)行應(yīng)用。此策略的運(yùn)用，能及時(shí)發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞并自動(dòng)分發(fā)補(bǔ)丁，從而減少了黑客利用系統(tǒng)漏洞攻擊公司網(wǎng)絡(luò)的可能性。

2.3.4 防違規(guī)外聯(lián)策略

此策略的應(yīng)用，提供了非法外聯(lián)行為的監(jiān)控功能，可以對(duì)所有注冊(cè)的終端進(jìn)行實(shí)時(shí)監(jiān)控。在違規(guī)監(jiān)控設(shè)置中，采用探測(cè)外網(wǎng)方法，選擇了百度和新浪網(wǎng)站作為探測(cè)點(diǎn)進(jìn)行監(jiān)控[3]；設(shè)置禁止使用IE代理上網(wǎng)；并對(duì)違規(guī)行為做出相應(yīng)的處理，如斷網(wǎng)、關(guān)機(jī)等。同時(shí)上報(bào)至桌面管理系統(tǒng)的web前臺(tái)違規(guī)外聯(lián)的查看頁面，為管理員的安全管理提供重要信息。

2.3.5 進(jìn)程執(zhí)行監(jiān)控策略

防違規(guī)外聯(lián)策略不能做到禁止在內(nèi)網(wǎng)計(jì)算機(jī)中訪問Internet連接，但我們可以通過進(jìn)程執(zhí)行監(jiān)控策略來禁止此類事件發(fā)生。在進(jìn)程執(zhí)行監(jiān)控策略中，我們創(chuàng)建一條禁用3G無線上網(wǎng)卡的策略，將所有有關(guān)3G無線上網(wǎng)卡的進(jìn)程/服務(wù)名、公司名稱、產(chǎn)品名稱、源文件名在控制規(guī)則列表中加以禁止，便可以實(shí)現(xiàn)禁止3G無線上網(wǎng)卡在內(nèi)網(wǎng)機(jī)器中的使用，從而可以避免違規(guī)外聯(lián)事件的發(fā)生。

2.3.6 用戶權(quán)限策略

檢查系統(tǒng)用戶、系統(tǒng)用戶組的權(quán)限的改變和系統(tǒng)用戶、系統(tǒng)用戶組的增加或減少。當(dāng)以上的某一條件符合時(shí)，則彈出相應(yīng)的提示信息。此策略的使用，可以幫助管理員及時(shí)掌握終端操作系統(tǒng)的系統(tǒng)用戶情況，從而規(guī)范終端用戶的操作行為。

2.3.7 軟件分發(fā)策略

提供服務(wù)器向客戶端分發(fā)各種文件（如可執(zhí)行文件|批處理文件），并可以自動(dòng)運(yùn)行，服務(wù)器端可以選擇分發(fā)的目標(biāo)路徑、設(shè)定運(yùn)行參數(shù)、是否后臺(tái)運(yùn)行，同時(shí)向客戶端發(fā)送提示信息。我們可以通過此策略將趨勢(shì)防病毒軟件統(tǒng)一下發(fā)給所有注冊(cè)的客戶端，讓終端用戶只要成功注冊(cè)計(jì)算機(jī)后，即便忘了安裝防病毒軟件，趨勢(shì)防病毒軟件也會(huì)自動(dòng)在后臺(tái)運(yùn)行，從而確保注冊(cè)機(jī)器安裝防病毒軟件時(shí)萬無一失。

2.3.8 移動(dòng)存儲(chǔ)審計(jì)策略

對(duì)于公司內(nèi)網(wǎng)用戶，內(nèi)網(wǎng)之間使用加密的U盤、移動(dòng)硬盤進(jìn)行信息交互，禁用外來移動(dòng)存儲(chǔ)設(shè)備在公司內(nèi)網(wǎng)中的使用。對(duì)移動(dòng)存儲(chǔ)介質(zhì)的管理，桌面管理系統(tǒng)通過移動(dòng)存儲(chǔ)審計(jì)策略[4]來實(shí)現(xiàn)。此策略的使用，確保了公司員工的U盤等移動(dòng)存儲(chǔ)設(shè)備只有在信息中心打過標(biāo)簽后，才能在內(nèi)網(wǎng)機(jī)器中使用，從而將單位U盤與個(gè)人U盤有效地區(qū)分開，避免了外來U盤的隨意使用，保障了信息網(wǎng)絡(luò)與數(shù)據(jù)的安全。

3 應(yīng)用效果

自桌面管理系統(tǒng)在公司內(nèi)網(wǎng)中成功部署以來，內(nèi)網(wǎng)計(jì)算機(jī)注冊(cè)率、防病毒安裝率均為100%，無一例違規(guī)外聯(lián)事件發(fā)生，操作系統(tǒng)補(bǔ)丁均能及時(shí)更新，系統(tǒng)弱口令數(shù)為0。桌面管理系統(tǒng)在公司內(nèi)網(wǎng)的部署及應(yīng)用，規(guī)范了桌面管理系統(tǒng)功能，解決了來自公司內(nèi)部用戶的安全風(fēng)險(xiǎn)，提高了公司內(nèi)網(wǎng)計(jì)算機(jī)終端的管控能力和水平，使得日常的桌面終端管理不再僅僅依賴行政管理手段。同時(shí)實(shí)現(xiàn)了公司內(nèi)網(wǎng)桌面終端的安全管理、補(bǔ)丁管理、軟件管理的需要，從技術(shù)上解決了內(nèi)網(wǎng)桌面終端安全管理中的若干難題，提高了桌面終端安全防護(hù)能力，有效保護(hù)了內(nèi)網(wǎng)信息資源。

［1］柴育峰.桌面管理系統(tǒng)在企業(yè)內(nèi)網(wǎng)的應(yīng)用[J].科技視界，2012,14(2):105-107.

［2］桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)培訓(xùn)教材[Z].國(guó)網(wǎng)電力科學(xué)研究院：2009.

［3］李達(dá)，彭立峰.桌面管控系統(tǒng)推廣及移動(dòng)存儲(chǔ)管控應(yīng)用研究[J].供用電，2010，27（2）:36-38.

［4］楊小寧，李曉娥.桌面終端管理系統(tǒng)深化應(yīng)用探析[J].電力信息化，2011,9(12):93-96