劉佳

摘要：信息化作為當(dāng)今企業(yè)管理模式的重要手段，在煙草行業(yè)的發(fā)展進程中體現(xiàn)出日益重要的地位。但是隨著企業(yè)網(wǎng)絡(luò)的日益龐大，網(wǎng)絡(luò)安全隱患也非常突出。桌面終端安全系統(tǒng)的出現(xiàn)無疑為企業(yè)提供了一種很好的解決方法。該文從企業(yè)網(wǎng)桌面終端管理現(xiàn)狀出發(fā)，對桌面終端安全系統(tǒng)在煙草行業(yè)的應(yīng)用進行了論述，通過系統(tǒng)實施，實現(xiàn)對企業(yè)網(wǎng)絡(luò)終端的規(guī)范化管理和策略準入控制，有效提升煙草企業(yè)網(wǎng)絡(luò)安全的管控能力。

關(guān)鍵詞：桌面終端安全；網(wǎng)絡(luò)安全；煙草企業(yè)；應(yīng)用

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）18-0039-03

隨著煙草行業(yè)信息化工作建設(shè)的推進，目前煙草企業(yè)的IT系統(tǒng)建設(shè)已經(jīng)具備了相當(dāng)?shù)囊?guī)模，具有自己的信息操作平臺，業(yè)務(wù)系統(tǒng)也越來越依賴于IT系統(tǒng)。但由于網(wǎng)絡(luò)終端分布非常廣泛，計算機的操作者使用水平參差不齊，員工對系統(tǒng)的濫用、錯誤配置以及惡意訪問導(dǎo)致業(yè)務(wù)面臨很多現(xiàn)實的安全威脅。網(wǎng)絡(luò)中部分的系統(tǒng)是完全不受控的，底下用戶隨意訪問互聯(lián)網(wǎng)上的網(wǎng)站，隨時可能感染病毒木馬，甚至被黑客控制。這會導(dǎo)致企業(yè)易遭受網(wǎng)絡(luò)攻擊，引起機密信息的泄漏，以及其他代價高昂的損失。再者，非合法辦公軟件及其他軟件的使用，不但造成了生產(chǎn)效率的低下，也給企業(yè)的形象造成了極差的影響。特別是2017年6月1日實施的《中華人民共和國網(wǎng)絡(luò)安全法》，更是明確了煙草企業(yè)網(wǎng)絡(luò)安全建設(shè)的責(zé)任與義務(wù)。

因此，本文分析了企業(yè)網(wǎng)桌面終端管理的現(xiàn)狀，并從桌面終端安全系統(tǒng)的機理出發(fā)，結(jié)合實際論述系統(tǒng)在煙草企業(yè)網(wǎng)絡(luò)安全管理中的應(yīng)用及效果。利用桌面終端安全系統(tǒng)的身份認證，補丁管理、安全管理等功能，提高桌面終端的安全管理水平，促進企業(yè)IT資產(chǎn)的精細化管理。

1企業(yè)桌面終端現(xiàn)狀分析

桌面終端設(shè)備包括計算機終端、可移動存儲介質(zhì)、計算機外連設(shè)備等。當(dāng)前，在煙草行業(yè)的桌面終端管理中仍存在著以下的安全問題。

1.1網(wǎng)絡(luò)準入管理缺失

隨著煙草行業(yè)在信息技術(shù)下的不斷轉(zhuǎn)型升級，企業(yè)的計算機數(shù)量迅速增加，傳統(tǒng)的手工管理方式已無法對終端的資產(chǎn)情況進行動態(tài)、準確的統(tǒng)計。信息設(shè)備維護及網(wǎng)絡(luò)管理人員很難掌握每一臺計算機的準確位置和使用者，也很難從技術(shù)手段上限制外部設(shè)備的隨意接人和內(nèi)部人員的IP混用。若外部設(shè)備未實現(xiàn)準入控制，將面臨竊密和泄密的安全隱患；若內(nèi)部設(shè)備未實現(xiàn)安全驗證和接人，就存在傳播木馬、病毒或后門等隱患。這樣往往總在網(wǎng)絡(luò)安全事件發(fā)生后，才逐步查找出錯的原因，給企業(yè)造成經(jīng)濟、名譽等方面損失。

1.2可移動存儲介質(zhì)使用隨意

隨著U盤、移動硬盤等移動存儲設(shè)備應(yīng)用的日益廣泛，人們在工作中使用移動存儲介質(zhì)也越來越頻繁，由于對個人的可移動存儲介質(zhì)無法進行統(tǒng)一配發(fā)、使用和管理，很容易造成病毒和木馬的感染，還有可能會造成信息泄密。對于感染了病毒和木馬的計算機，有時候會引起網(wǎng)絡(luò)故障，甚至網(wǎng)絡(luò)小范圍內(nèi)的癱瘓；對于信息泄密的計算機，也很難查找泄密路徑。對安全強度差的計算機終端缺乏有效的安全狀態(tài)檢測，也是信息技術(shù)維護人員需要解決的問題之一。

1.3用戶信息安全認知不足

雖然計算機越來越普及，但使用者的信息安全意識仍顯得不深不足。在使用計算機時，往往為了圖方便、圖省事，使用默認的、簡單的口令，有些甚至不設(shè)置開機口令，最終成為被黑客攻擊、信息泄密的對象。此外，企業(yè)中一些員工的不規(guī)范行為和濫用網(wǎng)絡(luò)等現(xiàn)象，也造成網(wǎng)絡(luò)運維成本和工作量的增加，甚至加大網(wǎng)絡(luò)安全風(fēng)險，導(dǎo)致網(wǎng)絡(luò)通信資源和人力成本的浪費。

1.4制度管理機制不完善

目前，對于企業(yè)網(wǎng)絡(luò)安全風(fēng)險還缺乏強有力的管理流程和控制機制；沒有建立故障排查、數(shù)據(jù)審計和責(zé)任追究管理機制，發(fā)生安全事件后責(zé)任追查比較難；在提高企業(yè)的整體信息安全水平方面，缺乏統(tǒng)一部署的終端安全策略；不能自動生成各類報告和報表，為領(lǐng)導(dǎo)決策提供數(shù)據(jù)依據(jù)。

2桌面終端安全系統(tǒng)在煙草網(wǎng)絡(luò)安全管理中的應(yīng)用

在深入調(diào)研、詳細測試的基礎(chǔ)上，在煙草企業(yè)內(nèi)實施了功能較為完善的桌面終端安全系統(tǒng)，結(jié)合準入控制與終端安全管理，有效解決企業(yè)的桌面終端安全問題，提升信息運維部門的工作效率，規(guī)范員工操作行為。

2.1桌面終端安全系統(tǒng)的原理

通過技術(shù)對比與方案評估，我們采用了內(nèi)網(wǎng)安全管理及補丁分發(fā)系統(tǒng)，以實現(xiàn)對煙草企業(yè)終端設(shè)備的集中式安全管理，通過軟硬件結(jié)合的方式，對網(wǎng)絡(luò)內(nèi)部所有計算機接入網(wǎng)絡(luò)進行準入控制，建立桌面電腦的集中式快速安全管理體系。以終端驗證和終端安全為基礎(chǔ)，通過身份認證、安全域控制等手段，保證接入網(wǎng)絡(luò)終端的可信程度，并控制可信計算機的訪問權(quán)限，為企業(yè)的終端人網(wǎng)安全管理提供了有力保障，規(guī)避由于不可信終端的隨意接入而可能引發(fā)的企業(yè)網(wǎng)絡(luò)及信息資源違規(guī)占用、病毒木馬泛濫、資料泄密以及越權(quán)訪問等安全問題。圖1為企業(yè)網(wǎng)絡(luò)準入控制部署原理圖，圖2為桌面終端安全系統(tǒng)管理流程圖。

2.2桌面終端安全信息系統(tǒng)的應(yīng)用

在煙草系統(tǒng)內(nèi)部部署了桌面終端安全管理系統(tǒng)，采用準入控制與終端安全相結(jié)合、制訂安全策略、分級管理的方式對桌面終端實施全面統(tǒng)一的管理策略。

2.2.1計算機入網(wǎng)審核

利用桌面終端軟件和網(wǎng)絡(luò)接入控制系統(tǒng)，通過注冊一身份認證一安全檢查一安全隔離/入網(wǎng)的統(tǒng)一入網(wǎng)審核流程，對所有接入煙草企業(yè)網(wǎng)絡(luò)內(nèi)的桌面終端設(shè)備進行人網(wǎng)認證。只有通過安全認證的終端設(shè)備才可訪問內(nèi)部專網(wǎng)及互聯(lián)網(wǎng)，否則將被阻斷。保證了桌面終端的安裝率，防止外部計算機私自接入業(yè)務(wù)專網(wǎng)，控制外來設(shè)備對業(yè)務(wù)網(wǎng)關(guān)設(shè)備的有害行為。圖3為計算機入網(wǎng)審核流程圖。

2.2.2終端注冊管理

單位各部門終端設(shè)備在接入網(wǎng)絡(luò)前，需要安裝安全客戶端，使每臺計算機接受管理。并將自己的個人信息提交到服務(wù)器，個人信息內(nèi)容包含使用人、單位、部門、聯(lián)系電話、設(shè)備類型等，見圖4。系統(tǒng)將所填寫信息和自動采集獲得的設(shè)備信息發(fā)送到區(qū)域管理器，區(qū)域管理器將注冊信息導(dǎo)人SQL數(shù)據(jù)庫保存，設(shè)置的客戶端參數(shù)策略將由區(qū)域掃描器掃描客戶端后，發(fā)送給客戶端駐留程序保存執(zhí)行，該程序以服務(wù)方式實時運行，一旦有非法外聯(lián)或違規(guī)設(shè)備，就會發(fā)送報警數(shù)據(jù)。對全市煙草系統(tǒng)辦公區(qū)域的計算機進行注冊管理，注冊情況見圖5，終端注冊率達到98.8%。通過終端入網(wǎng)注冊，不僅能對終端進行實名化管理，而且為終端資產(chǎn)信息的收集與終端安全策略的執(zhí)行提供管理依據(jù)。endprint

2.2.3 IT資產(chǎn)管理

系統(tǒng)對管轄范圍內(nèi)的所有桌面終端進行硬件資產(chǎn)管理、軟件資產(chǎn)管理以及資產(chǎn)變更報警管理。自動搜集包括CPU、內(nèi)存、硬盤分區(qū)總和、設(shè)備標識的大小、主板、顯卡、鍵盤、鼠標、監(jiān)視器、鍵盤等所有的硬件信息。自動發(fā)現(xiàn)并識別客戶端已安裝的所有軟件信息（包括名稱、版本、安裝時間等），將相關(guān)數(shù)據(jù)入庫，檢測客戶端運行軟件信息，管理人員通過資產(chǎn)編號、所屬部門、使用人、入網(wǎng)時間等屬性信息對資產(chǎn)進行管理和信息查詢，并能夠定期輸出資產(chǎn)信息報表。

圖6、圖7分別為本地應(yīng)用桌面終端安全系統(tǒng)后，輸出的員工終端設(shè)備信息及設(shè)備在線/離線活動情況。

2.2.4策略管理

策略中心是桌面終端安全系統(tǒng)的管理控制中心，對客戶端進行策略的制定與下發(fā)，實現(xiàn)對企業(yè)網(wǎng)絡(luò)終端的統(tǒng)一安全管理。依照系統(tǒng)“策略中心”中安全準入管理、行為管理及審計、基本安全管理、補丁分發(fā)管理、公共策略五個方面，按需求配置策略。圖8為本地策略的配置與啟用情況。按照行業(yè)要求對設(shè)備使用人變更、設(shè)備資產(chǎn)變化、終端訪問異常、系統(tǒng)流量異常、違規(guī)軟件使用等進行相應(yīng)的策略啟用和審計分析。及時為企業(yè)員工的終端設(shè)備檢查安全情況，完成終端硬件設(shè)備信息統(tǒng)計、終端軟件資產(chǎn)統(tǒng)計、審計與報警等項目管理。

2.2.5網(wǎng)絡(luò)安全防護

一是通過終端軟件對設(shè)備網(wǎng)絡(luò)IP地址進行鎖定，杜絕經(jīng)常出現(xiàn)的因IP地址沖突導(dǎo)致業(yè)務(wù)停頓的現(xiàn)象發(fā)生，二是從源頭控制計算機病毒的傳播途徑，利用桌面客戶端配置計算機安全策略，增強計算機對病毒的防護能力。三是計算機遠程巡檢，對終端計算機定期進行掃描，將出現(xiàn)的故障隱患提前匯總至信息中心，技術(shù)人員可通過遠程維護技術(shù)處理計算機存在的故障，從而提高計算機終端運維工作效率，降低運維成本。

2.2.6網(wǎng)絡(luò)行為審計及輿情監(jiān)控

利用桌面終端安全系統(tǒng)可以監(jiān)控聯(lián)網(wǎng)計算機的上網(wǎng)行為信息，對所有網(wǎng)絡(luò)訪問操作進行記錄，杜絕從單位互聯(lián)網(wǎng)出口發(fā)出的各種違法、違規(guī)信息。上網(wǎng)行為的審計信息包括：何時、那個終端、哪個用戶、通過哪個程序訪問網(wǎng)絡(luò)、具體的網(wǎng)絡(luò)行為、是否被終止、是否離線訪問。通過白名單和黑名單，審計和控制web網(wǎng)站的訪問，可以禁止終端用戶訪問一些非法web網(wǎng)站。

同時還可對敏感輿情進行策略控制，一旦發(fā)現(xiàn)所管理的終端設(shè)備IP地址發(fā)生更改、非法外聯(lián)、探頭被卸載、流量異常等情況，系統(tǒng)立即進行本機報警，并對違規(guī)行為做出相應(yīng)的處理，同時上報到中央控制臺，為管理員的安全管理提供重要數(shù)據(jù)信息。圖9為本地24小時內(nèi)網(wǎng)絡(luò)違規(guī)行為報警數(shù)據(jù)。

3應(yīng)用效果

自桌面終端安全信息項目實施以來，全面提升了煙草企業(yè)網(wǎng)絡(luò)安全的管控能力，效果明顯。

一是為網(wǎng)絡(luò)系統(tǒng)構(gòu)建了一個完整的客戶端安全防護體系。從內(nèi)部通過策略管理、入網(wǎng)設(shè)備認證管理、IT資產(chǎn)管理、行為審計等手段，完成對員工客戶端的安全標準化管理；從外部對企業(yè)網(wǎng)絡(luò)邊界的完整性進行有效監(jiān)控（即網(wǎng)絡(luò)隔離度監(jiān)控），減少風(fēng)險隱患，為下一步構(gòu)建煙草企業(yè)網(wǎng)絡(luò)邊界安全防護體系打下基礎(chǔ)。

二是通過詳細的數(shù)據(jù)報表分析功能為企業(yè)智能決策提供技術(shù)支持。使企業(yè)信息資產(chǎn)管理及報表統(tǒng)計從原來的手工模式變?yōu)楝F(xiàn)在的集中自動信息收集模式，保證了信息管理的時效性，提高了資源分配和使用的合理性，提升了西安煙草信息化服務(wù)的整體水平，為建立網(wǎng)絡(luò)安全管理工作的長效機制提供數(shù)據(jù)保障。

三是改變了被動管理的模式。增強管理員對問題的主動發(fā)現(xiàn)和遠程維護能力，降低運營維護和管理的成本，縮短了設(shè)備故障的處理時間，提高全局工作效率和質(zhì)量。

四是加強員工的網(wǎng)絡(luò)安全意識。系統(tǒng)在終端注冊、終端身份認證、終端安全檢查的時候都進行相應(yīng)的原因提示。通過入網(wǎng)提示普及計算機網(wǎng)絡(luò)安全知識，讓員工意識到安全入網(wǎng)的重要性，加強對網(wǎng)絡(luò)安全知識的了解，從而形成良好的計算機使用習(xí)慣，有效延長終端設(shè)備的使用壽命，節(jié)約資源成本。

4結(jié)束語

結(jié)合準入控制的桌面終端安全系統(tǒng)在煙草企業(yè)順利的部署與應(yīng)用，對企業(yè)內(nèi)分散的終端設(shè)備形成一個有效的統(tǒng)一的監(jiān)管手段，使桌面終端由被動管理向標準化、信息化、精細化管理轉(zhuǎn)變，全面提升煙草企業(yè)網(wǎng)絡(luò)安全管控能力。今后我們將進一步加強信息系統(tǒng)管理員培訓(xùn)，加強計算機終端入網(wǎng)管理和網(wǎng)絡(luò)行為規(guī)范，充分發(fā)揮系統(tǒng)各項功能，保障企業(yè)整體網(wǎng)絡(luò)安全。積極適應(yīng)新形勢下對信息網(wǎng)絡(luò)安全的新要求，居安思危，常抓不懈，為煙草行業(yè)的網(wǎng)絡(luò)安全建設(shè)做出貢獻。endprint