宋國(guó)紅

摘 要：2010年，山西空管分局建設(shè)了生產(chǎn)信息化系統(tǒng)，通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)了各部門之間的公文流轉(zhuǎn)、信息共享，為部門管理提供了快速、便捷的無(wú)紙化辦公方式。目前，山西空管分局生產(chǎn)信息化系統(tǒng)網(wǎng)絡(luò)中擁有約110臺(tái)辦公電腦終端。這些設(shè)備在提高辦公效率的同時(shí)，也存在著維護(hù)、監(jiān)管和網(wǎng)絡(luò)信息安全等方面的問(wèn)題。桌面終端管理系統(tǒng)為維護(hù)人員提供了一個(gè)實(shí)時(shí)監(jiān)控的平臺(tái)。主要闡述了桌面管理系統(tǒng)的功能及其在設(shè)備日常維護(hù)工作中的應(yīng)用，以提高維護(hù)工作的效率，保障網(wǎng)絡(luò)信息安全。

關(guān)鍵詞：桌面終端管理系統(tǒng)；信息化系統(tǒng)；客戶端；遠(yuǎn)程控制

中圖分類號(hào)：R197.324 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.15913/j.cnki.kjycx.2015.22.007

山西空管分局于2010年接入生產(chǎn)信息化系統(tǒng)，實(shí)現(xiàn)了自動(dòng)化辦公。起初，為了防止病毒侵入、信息泄露等網(wǎng)絡(luò)安全問(wèn)題，山西空管分局制定了一系列完善的辦公電腦管理制度，監(jiān)控和維護(hù)工作全權(quán)由維護(hù)人員負(fù)責(zé)。這樣，不僅導(dǎo)致維護(hù)人員的工作量大、效率低，還存在管理漏洞和風(fēng)險(xiǎn)。引入桌面終端管理系統(tǒng)后，實(shí)現(xiàn)了對(duì)客戶端的實(shí)時(shí)管控，從技術(shù)層面給維護(hù)工作帶來(lái)了很大的幫助。下面將著重介紹如何利用桌面管理系統(tǒng)來(lái)保障生產(chǎn)信息化系統(tǒng)的正常運(yùn)行。

1 生產(chǎn)信息化系統(tǒng)介紹

山西空管分局生產(chǎn)信息化系統(tǒng)將H3C7503核心交換機(jī)作為系統(tǒng)的核心節(jié)點(diǎn)，連接了生產(chǎn)信息系統(tǒng)、桌面終端管理系統(tǒng)、檔案系統(tǒng)、電子值班系統(tǒng)、殺毒系統(tǒng)、準(zhǔn)入系統(tǒng)等6個(gè)服務(wù)器；通過(guò)H3C3600、H3C3100、H3C5100等網(wǎng)絡(luò)交換機(jī)和PCM設(shè)備連接了分布在6個(gè)不同地理位置、包括各個(gè)部門的近110臺(tái)辦公電腦；通過(guò)MSR3020路由器接入華北空管局生產(chǎn)信息網(wǎng)，實(shí)現(xiàn)與上級(jí)部門的信息傳遞和共享。生產(chǎn)信息化系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 生產(chǎn)信息化系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖

為了保證網(wǎng)絡(luò)安全，生產(chǎn)信息化網(wǎng)絡(luò)中采用了專門的網(wǎng)絡(luò)通道技術(shù)、物理隔離技術(shù)、安全網(wǎng)段劃分、安全防護(hù)設(shè)施（例如防火墻、入侵檢測(cè)、漏洞掃描）等手段，而這些手段的應(yīng)用就依賴于桌面終端管理系統(tǒng)。通過(guò)桌面終端管理系統(tǒng)，可以實(shí)時(shí)、便捷地監(jiān)控所有接入的電腦，及時(shí)發(fā)現(xiàn)終端設(shè)備的系統(tǒng)漏洞，控制移動(dòng)存儲(chǔ)設(shè)備接入內(nèi)網(wǎng)，防范內(nèi)網(wǎng)設(shè)備違規(guī)進(jìn)入外網(wǎng)，同時(shí)還可以統(tǒng)一管理終端設(shè)備，在保障網(wǎng)絡(luò)安全的同時(shí)，提高維護(hù)人員的工作效率。

2 桌面終端管理系統(tǒng)的安裝和使用

2.1 桌面終端管理系統(tǒng)介紹

桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)是一個(gè)實(shí)時(shí)的安全監(jiān)控系統(tǒng)，被廣泛應(yīng)用于局域網(wǎng)、廣域網(wǎng)的構(gòu)架，跨網(wǎng)段、跨地域的內(nèi)網(wǎng)遠(yuǎn)程客戶端管理及非法移動(dòng)設(shè)備接入檢測(cè)、網(wǎng)內(nèi)計(jì)算機(jī)違規(guī)聯(lián)網(wǎng)監(jiān)視、網(wǎng)絡(luò)安全隔離度監(jiān)控等領(lǐng)域，提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護(hù)功能。

桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)由WinPcap程序、SQL Server管理信息庫(kù)、Web中央管理配置平臺(tái)、區(qū)域管理器、客戶端注冊(cè)程序、補(bǔ)丁下載服務(wù)器、管理器主機(jī)保護(hù)模塊、報(bào)警中心模塊8個(gè)部分組成，由安裝在各計(jì)算機(jī)設(shè)備上的客戶端軟件和安裝在管理服務(wù)器上的控制端軟件兩部分進(jìn)行功能處理，并通過(guò)前臺(tái)瀏覽器訪問(wèn)后臺(tái)管理信息數(shù)據(jù)庫(kù)進(jìn)行系統(tǒng)管理。桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)的工作流程如圖2所示。

圖2 桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)的工作流程

2.2 客戶端的安裝和注冊(cè)

山西空管分局的每臺(tái)辦公電腦在接入生產(chǎn)信息化系統(tǒng)之前，都要先通過(guò)業(yè)務(wù)部門的入網(wǎng)審核，分配IP地址，然后進(jìn)行病毒查殺。安裝完成應(yīng)用軟件后，登錄http：//10.5.32.6/vrveis桌面終端管理系統(tǒng)界面，點(diǎn)擊“工具下載”安裝用戶注冊(cè)器。桌面終端管理系統(tǒng)界面如圖3所示，客戶端下載界面如圖4所示。

圖3 桌面終端管理系統(tǒng)界面

圖4 桌面終端管理系統(tǒng)客戶端下載界面

注冊(cè)器安裝完成后，對(duì)辦公電腦進(jìn)行注冊(cè)認(rèn)證。桌面終端

管理系統(tǒng)自動(dòng)將注冊(cè)信息和系統(tǒng)自動(dòng)采集獲得的設(shè)備信息導(dǎo)入SQL數(shù)據(jù)庫(kù)保存，同時(shí)將桌面終端管理系統(tǒng)中的客戶端參數(shù)策略發(fā)送給客戶端駐留程序保存執(zhí)行。

在注冊(cè)成功以后，注冊(cè)程序自動(dòng)收集和上報(bào)的信息包括使用人、部門名稱、聯(lián)系電話、IP地址、MAC地址、設(shè)備型號(hào)和主板信息等。

這里要說(shuō)明的是桌面管理系統(tǒng)的首次安裝需由系統(tǒng)維護(hù)人員完成，只有注冊(cè)之后的電腦才會(huì)處于桌面系統(tǒng)的管理和監(jiān)控之下。一旦某個(gè)客戶端的信息被改變，桌面系統(tǒng)就會(huì)發(fā)送報(bào)警數(shù)據(jù)。

2.3 策略管理

策略管理就是，制訂整體安全策略后督促全網(wǎng)執(zhí)行，禁止移動(dòng)存儲(chǔ)設(shè)備隨意接入內(nèi)網(wǎng)。以往，為了防止病毒侵入網(wǎng)絡(luò)系統(tǒng)和信息泄露，山西空管分局在制度上嚴(yán)禁生產(chǎn)信息化辦公電腦隨意接入存儲(chǔ)設(shè)備，例如移動(dòng)硬盤、U盤等，并用封條封閉電腦USB口。盡管這樣，仍然無(wú)法禁止用戶私自開(kāi)啟封條接入存儲(chǔ)設(shè)備復(fù)制數(shù)據(jù)，導(dǎo)致極大的安全隱患。而桌面終端管理系統(tǒng)的策略管理可以從技術(shù)上解決這一問(wèn)題。

山西空管分局制定的策略包括關(guān)閉USB口策略、開(kāi)放USB口策略和臨時(shí)開(kāi)放USB口策略。用戶注冊(cè)后自動(dòng)啟用關(guān)閉USB口策略；對(duì)經(jīng)過(guò)審核、可使用移動(dòng)存儲(chǔ)設(shè)備的用戶下發(fā)開(kāi)放USB口策略；對(duì)于工作需要臨時(shí)接入移動(dòng)存儲(chǔ)設(shè)備的用戶，在業(yè)務(wù)主管部門審核同意后啟用臨時(shí)開(kāi)放USB口策略，同時(shí)提供專用移動(dòng)存儲(chǔ)設(shè)備進(jìn)行操作。這樣從制度和技術(shù)兩個(gè)層面實(shí)現(xiàn)了終端用戶的網(wǎng)絡(luò)信息安全管理。

2.4 阻斷違規(guī)接入管理

阻斷違規(guī)接入管理可以控制由外來(lái)設(shè)備接入內(nèi)網(wǎng)而造成的安全威脅，如圖5所示。在接入控制設(shè)置中勾選“沒(méi)有注冊(cè)則阻斷聯(lián)網(wǎng)” 便可阻斷未注冊(cè)設(shè)備連接生產(chǎn)信息化系統(tǒng)，同時(shí)在設(shè)置中還可以啟用IP和MAC地址的綁定進(jìn)行檢查，保證每個(gè)IP地址用戶的唯一性。

圖5 阻斷違規(guī)設(shè)置界面

之前在沒(méi)有接入桌面終端管理系統(tǒng)時(shí)，任何一臺(tái)電腦都有可能接入到網(wǎng)絡(luò)中，僅依靠制度上的監(jiān)管存在很大的漏洞，維護(hù)人員需要定期現(xiàn)場(chǎng)檢查辦公電腦的使用情況。另外，還可能存在多個(gè)電腦通過(guò)一個(gè)IP進(jìn)入網(wǎng)絡(luò)中，給網(wǎng)絡(luò)管理帶來(lái)了很大的難度，而阻斷違規(guī)接入管理可以很好地解決類似問(wèn)題。

2.5 數(shù)據(jù)查詢

山西空管分局的約110臺(tái)辦公電腦分布在辦公樓、航管樓、塔臺(tái)、后服、車隊(duì)等各個(gè)地方。在以往的網(wǎng)絡(luò)信息安全檢查中，要耗費(fèi)大量的人力和時(shí)間逐個(gè)檢查每臺(tái)電腦，并記錄檢查結(jié)果。不僅如此，還可能因人為原因而造成漏檢，導(dǎo)致采集數(shù)據(jù)不準(zhǔn)確。

桌面終端管理系統(tǒng)通過(guò)注冊(cè)自動(dòng)采集設(shè)備信息，為維護(hù)人員提供數(shù)據(jù)查詢功能。查詢內(nèi)容包括計(jì)算機(jī)所屬區(qū)域、部門、使用人、設(shè)備IP、MAC、注冊(cè)、重新注冊(cè)、信任、保護(hù)、阻斷、開(kāi)機(jī)、殺毒軟件、殺毒廠商等。同時(shí)，桌面終端管理系統(tǒng)還為維護(hù)人員提供了統(tǒng)計(jì)數(shù)據(jù)功能，例如本地注冊(cè)情況統(tǒng)計(jì)，可查詢擁有的客戶端總數(shù)、注冊(cè)情況、注冊(cè)率、在線設(shè)備、安裝殺毒軟件的數(shù)量；本地設(shè)備資源統(tǒng)計(jì)，可查詢客戶端所安裝的操作系統(tǒng)類型、各個(gè)操作系統(tǒng)所安裝的設(shè)備臺(tái)數(shù)及其所占比例等。

維護(hù)人員需要注意的是，如果注冊(cè)后需要更換電腦或重裝系統(tǒng)時(shí)，必須卸載桌面系統(tǒng)的客戶端，完成更換和系統(tǒng)安裝后重新注冊(cè)；否則會(huì)造成同一IP查詢出現(xiàn)更新前和更新后的兩條信息，造成信息混亂。如果查詢出現(xiàn)重復(fù)信息，首先要確定原因，然后根據(jù)注冊(cè)時(shí)間人工刪除不正確的信息，保證信息的唯一性和正確性。

維護(hù)人員還可以將查詢的數(shù)據(jù)轉(zhuǎn)換成Word文檔作為設(shè)備資料保存，為之后的工作提供便利。

2.6 報(bào)警管理

圖6 報(bào)警數(shù)據(jù)顯示界面

桌面終端管理系統(tǒng)可實(shí)時(shí)監(jiān)控客戶端，一旦發(fā)現(xiàn)注冊(cè)信息和策略有異常，就會(huì)自動(dòng)生成報(bào)警數(shù)據(jù)提示維護(hù)人員。報(bào)警內(nèi)容包括阻斷、IP與MAC綁定變化、違規(guī)外聯(lián)、設(shè)備變化、流量異常、探頭卸載侵入、病毒、違規(guī)上網(wǎng)等。

報(bào)警數(shù)據(jù)顯示界面如圖6所示。維護(hù)人員通過(guò)每天定時(shí)查看報(bào)警數(shù)據(jù)，就可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問(wèn)題，尤其是非法外聯(lián)、流量異常和病毒侵入等，為運(yùn)行維護(hù)中的故障處理提供了技術(shù)支持，能夠幫助維護(hù)人員快速鎖定有問(wèn)題的客戶端，從而盡快處理。

2.7 終端管理

桌面終端管理系統(tǒng)能夠?qū)W(wǎng)絡(luò)中的客戶終端信息進(jìn)行點(diǎn)對(duì)點(diǎn)式的控制、管理，只需要在終端管理界面中輸入終端的IP地址，就可以遠(yuǎn)程訪問(wèn)該IP地址的終端，對(duì)該終端進(jìn)行操作。終端管理界面如圖7所示。

圖7 終端管理界面

維護(hù)人員不僅可以遠(yuǎn)程檢查終端的進(jìn)程、服務(wù)、軟件、端口、系統(tǒng)漏洞、安全日志、共享資源、策略等項(xiàng)目，還可以遠(yuǎn)程點(diǎn)對(duì)點(diǎn)地實(shí)時(shí)發(fā)送消息，提供全盤殺毒或制訂某一目錄的殺毒程序，修改客戶端計(jì)算機(jī)的名稱、IP和DNS等網(wǎng)絡(luò)配置，斷開(kāi)和恢復(fù)客戶端聯(lián)網(wǎng)，卸載客戶端探頭，重啟或關(guān)閉客戶端計(jì)算機(jī)。在維護(hù)過(guò)程中，通過(guò)遠(yuǎn)程訪問(wèn)，就可以為終端用戶提供與現(xiàn)場(chǎng)一樣的服務(wù)。需要注意的是，維護(hù)人員首先要與用戶溝通，達(dá)成一致意見(jiàn)后才可維護(hù)，避免造成資料丟失等問(wèn)題，影響用戶的工作。

3 結(jié)束語(yǔ)

自山西空管分局使用信息化系統(tǒng)以來(lái)，維護(hù)人員從網(wǎng)絡(luò)安全的角度出發(fā)，制訂了整體安全策略，并結(jié)合制度，利用桌面終端管理系統(tǒng)從技術(shù)上實(shí)現(xiàn)了對(duì)辦公電腦設(shè)備的統(tǒng)一管理，實(shí)現(xiàn)了對(duì)內(nèi)網(wǎng)設(shè)備違規(guī)進(jìn)入外網(wǎng)、移動(dòng)設(shè)備隨意接入內(nèi)網(wǎng)等行為的防范。桌面終端管理系統(tǒng)的功能還有待進(jìn)一步開(kāi)發(fā)，因?yàn)樵诰S護(hù)過(guò)程中，桌面終端管理系統(tǒng)無(wú)法監(jiān)控WIN7系統(tǒng)用戶。對(duì)于這種情況，目前的解決方法是更換操作系統(tǒng)。而面對(duì)未來(lái)的發(fā)展趨勢(shì)，這將是應(yīng)用開(kāi)發(fā)的一個(gè)新課題。

〔編輯：王霞〕