邵 俊 孟強龍 周冬青

（馬鞍山供電公司 信息通信公司，安徽 馬鞍山 243000）

0 引言

馬鞍山供電公司目前已建成的信息內網(wǎng)覆蓋公司所有辦公大樓、變電站以及供電所等處，共擁有接入的計算機終端、網(wǎng)絡設備、服務器等約1130臺。這些設備及業(yè)務應用系統(tǒng)的可靠、穩(wěn)定運行，是全公司安全生產(chǎn)、經(jīng)營管理的基礎保障。隨著接入內網(wǎng)的計算機終端越來越多，相應也出現(xiàn)了一系列管理問題。如公司內外網(wǎng)計算機終端混用，移動存儲介質的隨意使用，惡意病毒輕易傳播而難以控制，對補丁和軟件分發(fā)、安全行為、遠程監(jiān)控等管控力度弱，導致桌面終端存在一定的安全隱患[1]。為了加強計算機終端的安全管理，在公司信息內網(wǎng)部署一套桌面標準化管理系統(tǒng)[2]（以下簡稱桌面管理系統(tǒng)）就變得尤為重要了。本文介紹了桌面管理系統(tǒng)在內網(wǎng)中的部署及應用。

1 現(xiàn)狀分析

1.1 桌面終端存在的問題

1.1.1 內外網(wǎng)混用

外來人員攜帶的筆記本接入信息內網(wǎng)、內部人員將計算機內外網(wǎng)混用等，很容易導致公司內網(wǎng)機密信息的泄露。

1.1.2 Windows操作系統(tǒng)補丁更新

公司實行信息內網(wǎng)與互聯(lián)網(wǎng)的徹底隔離，大量信息內網(wǎng)計算機終端操作系統(tǒng)的補丁更新便成了一大難題。由于計算機操作系統(tǒng)補丁得不到及時更新，很容易被一些黑客利用操作系統(tǒng)漏洞進行攻擊，造成不良后果。

1.1.3 使用空、弱口令

公司一些員工對信息安全的意識不夠強，往往在使用計算機時，為了圖方便，常常使用簡單的開機口令、甚至不設置開機口令。而這些設置，常常給了外來人員竊取公司機密信息的機會。

1.1.4 未正確安裝防病毒軟件

新接入內網(wǎng)的計算機，未安裝防病毒軟件、或安裝非趨勢防病毒軟件，很容易讓內網(wǎng)計算機感染病毒，從而讓惡意病毒在信息內網(wǎng)中傳播成為了可能。

1.1.5 移動存儲介質的隨意使用

U盤、移動硬盤等移動存儲設備的隨意使用，越來越多的敏感信息、秘密數(shù)據(jù)被隨意地拷貝。尤其是公司和個人的移動存儲設備不區(qū)分，很容易造成惡意木馬病毒肆意傳播，嚴重影響了桌面終端的安全。

1.2 實施桌面管理系統(tǒng)的意義

在公司內網(wǎng)部署一套桌面管理系統(tǒng)，利用它的主機安全策略、補丁分發(fā)策略、違規(guī)外聯(lián)監(jiān)控策略、移動存儲審計策略等可以解決桌面終端安全管理存在的問題。

2 桌面管理系統(tǒng)的部署與應用

2.1 準備工作

準備一臺操作系統(tǒng)為Windows 2003 Server的服務器，按照服務器的運維要求做好安全措施。然后，安裝SQL server 2000數(shù)據(jù)庫和SQL server 2000 sp4 補丁、IIS 6.0。

2.2 安裝桌面管理系統(tǒng)

按照以下順序完成桌面管理系統(tǒng)的安裝：

1）安裝WinPcap驅動程序；

2）安裝并運行環(huán)境初始化程序，初始化數(shù)據(jù)庫；

3）安裝網(wǎng)頁平臺并進行劃分區(qū)域，配置區(qū)域IP范圍、區(qū)域管理器參數(shù)、設備掃描器參數(shù)；

4）安裝區(qū)域管理器（推薦安裝在默認路徑下）；

5）通知所有用戶下載并運行注冊客戶端代理探頭程序。

2.3 配置管理策略

2.3.1 主機安全策略

用戶密碼策略。此策略可以對計算機操作系統(tǒng)的本地安全策略、本地帳戶鎖定策略、屏保進行設置，同時可以檢測系統(tǒng)弱口令，除本系統(tǒng)自定義的弱口令外，用戶可以自己添加自定義弱口令集。配置此策略后，分發(fā)給所有終端設備，可以及時獲取哪些終端存在空口令和弱口令問題，運維人員以此來提醒并指導用戶修改口令。

殺毒軟件運行監(jiān)控策略。配置此策略可以檢查客戶端是否安裝殺毒軟件，并做提示、斷開、重啟計算機等操作。

2.3.2 接入認證策略

補丁與殺毒軟件認證策略及時提醒用戶安裝趨勢防病毒軟件。此策略與殺毒軟件運行監(jiān)控策略結合使用，確保所有注冊的計算機均能及時安裝趨勢防病毒軟件。

2.3.3 補丁分發(fā)策略

此策略將補丁庫中的補丁按管理員的設置，對設定的終端進行自動的分發(fā)。支持用戶自定義補丁策略自由配置分發(fā)，基于操作系統(tǒng)種類、補丁檢測周期、補丁類別等制定策略，下發(fā)給一定范圍的客戶端后統(tǒng)一按策略執(zhí)行應用。此策略的運用，能及時發(fā)現(xiàn)終端設備的系統(tǒng)漏洞并自動分發(fā)補丁，從而減少了黑客利用系統(tǒng)漏洞攻擊公司網(wǎng)絡的可能性。

2.3.4 防違規(guī)外聯(lián)策略

此策略的應用，提供了非法外聯(lián)行為的監(jiān)控功能，可以對所有注冊的終端進行實時監(jiān)控。在違規(guī)監(jiān)控設置中，采用探測外網(wǎng)方法，選擇了百度和新浪網(wǎng)站作為探測點進行監(jiān)控[3]；設置禁止使用IE代理上網(wǎng)；并對違規(guī)行為做出相應的處理，如斷網(wǎng)、關機等。同時上報至桌面管理系統(tǒng)的web前臺違規(guī)外聯(lián)的查看頁面，為管理員的安全管理提供重要信息。

2.3.5 進程執(zhí)行監(jiān)控策略

防違規(guī)外聯(lián)策略不能做到禁止在內網(wǎng)計算機中訪問Internet連接，但我們可以通過進程執(zhí)行監(jiān)控策略來禁止此類事件發(fā)生。在進程執(zhí)行監(jiān)控策略中，我們創(chuàng)建一條禁用3G無線上網(wǎng)卡的策略，將所有有關3G無線上網(wǎng)卡的進程/服務名、公司名稱、產(chǎn)品名稱、源文件名在控制規(guī)則列表中加以禁止，便可以實現(xiàn)禁止3G無線上網(wǎng)卡在內網(wǎng)機器中的使用，從而可以避免違規(guī)外聯(lián)事件的發(fā)生。

2.3.6 用戶權限策略

檢查系統(tǒng)用戶、系統(tǒng)用戶組的權限的改變和系統(tǒng)用戶、系統(tǒng)用戶組的增加或減少。當以上的某一條件符合時，則彈出相應的提示信息。此策略的使用，可以幫助管理員及時掌握終端操作系統(tǒng)的系統(tǒng)用戶情況，從而規(guī)范終端用戶的操作行為。

2.3.7 軟件分發(fā)策略

提供服務器向客戶端分發(fā)各種文件（如可執(zhí)行文件|批處理文件），并可以自動運行，服務器端可以選擇分發(fā)的目標路徑、設定運行參數(shù)、是否后臺運行，同時向客戶端發(fā)送提示信息。我們可以通過此策略將趨勢防病毒軟件統(tǒng)一下發(fā)給所有注冊的客戶端，讓終端用戶只要成功注冊計算機后，即便忘了安裝防病毒軟件，趨勢防病毒軟件也會自動在后臺運行，從而確保注冊機器安裝防病毒軟件時萬無一失。

2.3.8 移動存儲審計策略

對于公司內網(wǎng)用戶，內網(wǎng)之間使用加密的U盤、移動硬盤進行信息交互，禁用外來移動存儲設備在公司內網(wǎng)中的使用。對移動存儲介質的管理，桌面管理系統(tǒng)通過移動存儲審計策略[4]來實現(xiàn)。此策略的使用，確保了公司員工的U盤等移動存儲設備只有在信息中心打過標簽后，才能在內網(wǎng)機器中使用，從而將單位U盤與個人U盤有效地區(qū)分開，避免了外來U盤的隨意使用，保障了信息網(wǎng)絡與數(shù)據(jù)的安全。

3 應用效果

自桌面管理系統(tǒng)在公司內網(wǎng)中成功部署以來，內網(wǎng)計算機注冊率、防病毒安裝率均為100%，無一例違規(guī)外聯(lián)事件發(fā)生，操作系統(tǒng)補丁均能及時更新，系統(tǒng)弱口令數(shù)為0。桌面管理系統(tǒng)在公司內網(wǎng)的部署及應用，規(guī)范了桌面管理系統(tǒng)功能，解決了來自公司內部用戶的安全風險，提高了公司內網(wǎng)計算機終端的管控能力和水平，使得日常的桌面終端管理不再僅僅依賴行政管理手段。同時實現(xiàn)了公司內網(wǎng)桌面終端的安全管理、補丁管理、軟件管理的需要，從技術上解決了內網(wǎng)桌面終端安全管理中的若干難題，提高了桌面終端安全防護能力，有效保護了內網(wǎng)信息資源。

［1］柴育峰.桌面管理系統(tǒng)在企業(yè)內網(wǎng)的應用[J].科技視界，2012,14(2):105-107.

［2］桌面終端標準化管理系統(tǒng)培訓教材[Z].國網(wǎng)電力科學研究院：2009.

［3］李達，彭立峰.桌面管控系統(tǒng)推廣及移動存儲管控應用研究[J].供用電，2010，27（2）:36-38.

［4］楊小寧，李曉娥.桌面終端管理系統(tǒng)深化應用探析[J].電力信息化，2011,9(12):93-96