桌面終端安全管控系統(tǒng)在企業(yè)的應(yīng)用與創(chuàng)新

彭聰+劉婉瀾+劉冰

摘 要 本文介紹了桌面終端安全管控系統(tǒng)的要求、功能及在企業(yè)應(yīng)用的舉措，突出了桌面終端管理系統(tǒng)在企業(yè)信息化建設(shè)及信息安全防護(hù)體系中的重要作用。

關(guān)鍵詞 桌面終端 安全管控系統(tǒng) 信息安全防護(hù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

0 引言

隨著公司管理的桌面終端數(shù)量的增多，同時(shí)人員體系復(fù)雜，終端部署位置分散，會(huì)導(dǎo)致信息安全風(fēng)險(xiǎn)的提高。傳統(tǒng)單一、分散的終端管理模式已不能適應(yīng)新形勢下的管理需求，不能實(shí)現(xiàn)有效且安全的桌面終端管控，對桌面終端的故障處理也不能在公司層面統(tǒng)一監(jiān)控和調(diào)度管理。

為了全面提升桌面安全防護(hù)水平，在桌面終端的日常管理措施中，可加強(qiáng)桌面接入流程管理，全面簽訂安全責(zé)任書和安全承諾書，加強(qiáng)信息安全考核管理，同時(shí)加大培訓(xùn)力度，提高全體員工的桌面安全管理意識(shí)。在技術(shù)層面，可通過桌面安全管控實(shí)現(xiàn)對桌面終端、注冊用戶、IP 地址、介質(zhì)訪問控制（Media Access Control，MAC）地址、交換機(jī)物理端口等的統(tǒng)一匹配管理，確保桌面終端安全，提高企業(yè)的安全防護(hù)能力，從而提高辦公效率和經(jīng)濟(jì)效益。

1 桌面管控系統(tǒng)的要求及功能

1.1 桌面管控系統(tǒng)的要求

非法接入與違規(guī)外聯(lián)是公司網(wǎng)絡(luò)安全的重大威脅，為此應(yīng)確保不發(fā)生非法接入、違規(guī)外聯(lián)，確保桌面終端數(shù)據(jù)信息的完整、可用以及機(jī)密性，防止病毒、木馬及黑客攻擊等各類威脅而導(dǎo)致的信息被破壞、系統(tǒng)不可用、服務(wù)中斷，以及由此引起的安全事件。保障桌面終端安全，一方面可通過各類途徑提高使用人員的信息安全防范意識(shí)和防護(hù)水平，另一方面可通過技術(shù)手段加強(qiáng)對桌面終端的安全防護(hù)能力，以此杜絕可能出現(xiàn)的安全隱患。

1.2 桌面管控系統(tǒng)的功能

桌面終端管理系統(tǒng)功能范疇包括桌面終端計(jì)算機(jī)資產(chǎn)管理、軟件管理、補(bǔ)丁管理、安全管理。其中，資產(chǎn)管理主要針對桌面終端詳細(xì)的軟、硬件資產(chǎn)現(xiàn)狀及變更等進(jìn)行管理；軟件管理包括軟件分發(fā)、配置管理、遠(yuǎn)程控制和軟件計(jì)量等；補(bǔ)丁管理包括防病毒軟件和系統(tǒng)的補(bǔ)丁更新及報(bào)警管理等；安全管理包括對病毒防范、安全準(zhǔn)入、非法外聯(lián)、安全評估、用戶行為進(jìn)行管理等，從而支持對桌面終端完整的全生命周期管理。

2 桌面管控系統(tǒng)的實(shí)施

桌面終端管控系統(tǒng)在用戶接入網(wǎng)絡(luò)前，通過統(tǒng)一管理的安全策略檢查終端的安全健康狀態(tài)，對不符合安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒升級、系統(tǒng)補(bǔ)丁安裝等操作，在保障用戶終端具備自防御能力并安全接入的前提下，可以通過動(dòng)態(tài)分配網(wǎng)絡(luò)權(quán)限，從而提高網(wǎng)絡(luò)的整體安全水平。

3 企業(yè)桌面安全管控系統(tǒng)的應(yīng)用舉措

3.1 桌面終端安全防護(hù)

對終端進(jìn)行統(tǒng)一分配，由專業(yè)部門負(fù)責(zé)操作系統(tǒng)及應(yīng)用軟件的安裝，確保在系統(tǒng)安裝完成后進(jìn)行必要的安全加固。在入網(wǎng)時(shí)執(zhí)行統(tǒng)一的準(zhǔn)入策略和桌面管理系統(tǒng)安全策略，并通過入網(wǎng)后的定時(shí)檢查與維護(hù)確保桌面終端的信息安全。部署統(tǒng)一的防病毒軟件，并安裝必要的應(yīng)用軟件。對未注冊和未安裝防病毒的設(shè)備強(qiáng)制下線，以確保內(nèi)外網(wǎng)桌面終端注冊率及防病毒軟件安裝率。內(nèi)外網(wǎng)桌面終端入網(wǎng)后，由專業(yè)人員在接入交換機(jī)上進(jìn)行IP-MAC-端口-責(zé)任人綁定，并將交換機(jī)上未使用的端口關(guān)閉，以防止非法接入。

3.2 桌面終端安全準(zhǔn)入

部署安全準(zhǔn)入網(wǎng)關(guān)實(shí)現(xiàn)信息內(nèi)網(wǎng)終端的準(zhǔn)入管理。桌面終端接入信息內(nèi)網(wǎng)時(shí)首先要進(jìn)行安全準(zhǔn)入檢測，首先檢測是否在桌面管理系統(tǒng)中注冊，若無注冊則自動(dòng)跳轉(zhuǎn)到指定的URL 安裝注冊軟件，接著檢測是否安裝殺毒軟件和補(bǔ)丁，若此終端未安裝殺毒軟件則自動(dòng)跳轉(zhuǎn)到指定的URL 安裝殺毒軟件；若系統(tǒng)補(bǔ)丁安全檢測到不合格，則提示到指定的URL進(jìn)行補(bǔ)丁升級。安全準(zhǔn)入網(wǎng)關(guān)還可以通過弱口令檢測、默認(rèn)共享檢測等安全策略共同確保信息內(nèi)網(wǎng)接入終端的安全可靠運(yùn)行。

3.3 杜絕信息敏感字

通過上網(wǎng)行為審計(jì)系統(tǒng)與防火墻聯(lián)動(dòng)，控制郵箱敏感字，包含敏感字的郵件將被丟棄，確保不發(fā)送含敏感字的郵件。通過內(nèi)網(wǎng)保密檢測系統(tǒng)敏感信息檢查執(zhí)行率查詢，可及時(shí)查找與定位不符合要求的桌面終端并進(jìn)行處理，確保該指標(biāo)達(dá)到100%，有效杜絕信息敏感字。

3.4 外網(wǎng)桌面終端防護(hù)

對外網(wǎng)終端實(shí)施準(zhǔn)入控制，對未注冊和未安裝防病毒的設(shè)備強(qiáng)制下線，對含有敏感字的文檔進(jìn)行告警提醒，以確保外網(wǎng)桌面終端注冊率及防病毒軟件安裝率。

3.5 桌面管理系統(tǒng)安全策略

在桌面管理系統(tǒng)中啟用基準(zhǔn)策略?！爸鳈C(jī)安全策略”，啟用用戶密碼策略，強(qiáng)制桌面終端系統(tǒng)口令符合復(fù)雜度要求，以防發(fā)生弱口令事件；“接入認(rèn)證策略”，啟用補(bǔ)丁與殺毒軟件認(rèn)證，確保內(nèi)網(wǎng)終端防病毒軟件實(shí)時(shí)監(jiān)控率；“硬件設(shè)備控制”策略，禁止使用調(diào)制解調(diào)器、紅外設(shè)備、藍(lán)牙設(shè)備；啟用“進(jìn)程執(zhí)行監(jiān)控”策略；禁用無線網(wǎng)卡設(shè)備；啟用“協(xié)議防火墻策略”，只允許桌面終端訪問內(nèi)網(wǎng)地址；啟用“IP 與MAC 綁定”策略，禁用冗余網(wǎng)卡，禁止修改IP 與網(wǎng)關(guān)，以防發(fā)生違規(guī)外聯(lián)事件；執(zhí)行“文件內(nèi)容檢查”、“終端涉密檢查”、“文件動(dòng)態(tài)監(jiān)控”，確保敏感信息檢查執(zhí)行率及保密檢測系統(tǒng)安裝率。

3.6 常態(tài)化開展安全檢查與運(yùn)維

定期利用漏洞掃描設(shè)備進(jìn)行全網(wǎng)掃描，對掃描出的漏洞及問題及時(shí)進(jìn)行整改；基線掃描設(shè)備發(fā)現(xiàn)終端不符合基線要求的，通過桌面終端程序下發(fā)統(tǒng)一的符合基線要求的策略，確保桌面終端符合基線安全要求；信息運(yùn)檢班值班人員每日實(shí)時(shí)監(jiān)測準(zhǔn)入桌面管理系統(tǒng)和IMS系統(tǒng)的各類指標(biāo)，發(fā)現(xiàn)異常及時(shí)處理，以提升信息安全水平。

參考文獻(xiàn)

[1] 馬之力，張馴，崔阿軍等.電網(wǎng)企業(yè)網(wǎng)絡(luò)準(zhǔn)入體系設(shè)計(jì)及應(yīng)用[J].電力信息與通信技術(shù)，2015，13（5）：127-129.