利用桌面管理系統，提升信息安全水平

張鴻久　王少杰

摘要：桌面安全管理系統運用了安全管理信息技術來提高安全管理水平，它充分利用了現有的先進的網絡管理工具，強化網絡計算機終端的控制，實現實時的安全監控系統，同時能夠同其它網絡安全設備進行安全集成，使內部網絡成為高速、安全的辦公網絡系統。

關鍵詞：桌面管理；策略管理；信息安全；桌面安全管理

中圖分類號：TP315

文獻標識碼：A

文章編號：1006－8937(2009)16－0114－02

1系統研究現狀

常規安全防御往往局限在網關級別、網絡邊界(防火墻、漏洞掃描、防病毒、IDS)等方面的防御，重要的安全設施均集在于機房或網絡入口處，在這些設備的嚴密監控下，大大減少了來自網絡外部的安全威脅。而對于來自網絡內部的計算機終端的安全威脅卻忽視了，99.9％管理和安全問題來自于終端。在企業的內部網絡管理中，終端安全威脅隨時隨地都可能影響著網絡的正常運行。如：ip地址濫用、終端隨意接入、防范內部重要數據外泄、內網終端加固工作繁瑣、難以做到安全策略的統一等。

2結構層次分析

客戶端桌面安全管理軟件——“客戶端桌面安全管理”強化了對網絡計算機終端的控制，對計算機終端的管理，提供了防火墻、IDS、防病毒系統、專業網管軟件所不能提供的防護功能，并能夠同其它網絡安全設備進行安全集成。

①使用“統一策略管理中心”，按需求加載策略。客戶端桌面安全管理系統采用統一策略管理中心實現對內部網絡終端的統一安全管理。我單位按國網的要求對設備資產變化、設備使用人變更、終端訪問異常、系統流量異常、違規軟件使用、系統運行異常等進行審計分析。及時為客戶端打操作系統補丁，檢查防病毒情況，嚴禁桌面終端違規外聯、非注冊桌面終端違規。完成終端硬件設備信息統計、終端軟件資產統計終端。

②終端接人管理。在終端接人管理中，對非法外聯行為監控、阻止。網絡交換機聯接、終端帶入帶出網絡、網絡地址規劃與管理。系統提供實時監控的強大功能，即實時報警以及實時切斷非法計算機同內網的連接，流程如圖1。

③桌面安全。對單位內計算機進行密碼安全、權限安全、桌面流量管理、終端統一防火墻、終端安全等級管理、殺毒軟件識別與統計。提高計算機自身的安全防火水平。有效防范不安全因素對內部網絡構成的威脅，真正做到內部網絡的完全安全管理。

④隔離病毒源，保證網絡暢通。開啟桌面標準化管理系統阻斷功能，發現電腦設備流量異常后執行該動作，然后檢查計算機是否中了木馬、受病毒感染、及時將受病毒感染的機器與網絡隔離，阻斷病毒源，避免病毒大規模爆發，保證網絡正常運行。

⑤完備的查詢和報表功能。系統可將報警信息、報警處置信息、網絡終端信息、級聯統計信息、日志信息等分類進行查詢，提供多種報表。

系統具備獨有的“組態報表”查詢功能，能夠以數據庫中存在的任何字段為查詢條件，并可將多種不同條件進行組合，以查詢所需要的數據。

⑥移動存儲設備認證功能。移動存儲設備認證管理作用是為移動存儲設備配置認證信息，并將認證信息寫入到該存儲設備中，并與策略中的配置信息相驗證，以達到對移動設備的審計與管理功能。

⑦硬件變化設備查詢。客戶端注冊時，已經把其硬件信息注冊入庫，如果客戶端硬件有變化(增添或卸載)，則可通過該查詢條件查到，從而避免了企業資產的流失。

3系統應用

3.1區域劃分與配置

區域劃分：單擊系統首頁面左側“策略中心”的“區域劃分與配置”，對網絡中的客戶端進行區域劃分管理，按照提示依次添加區域、增加區域IP管理范圍、分配區域管理器、分配區域掃描器，并完成系統組件運行參數配置。

區域描述配置：填寫好一些必要的與區域相關的信息。

本區域IP劃分：根據用戶實際需要在下圖所示的文章框中填入需要管轄的IP地址。

下級區域劃分：在已有區域頁面中點擊“增加下級區域”按鈕進行下級區域添加，如生技部下屬鑄造車間、組裝車間等。

組件添加：對于網絡規模大的管理，可以設置多個區域管理器對網絡進行管理，不同的區域管理器共同使用一個數據庫去管理不同范圍的網絡，并且，每個區域管理器下屬可以使用多個區域掃描器，管理員根據管理需要設置區域管理器和掃描器。

區域管理器：該區域管理器作為系統策略控制及數據接收處理的中心，其具有控制完成系統相關動作行為處理的功能。

掃描器阻斷管理：對沒有注冊的機器自動阻斷聯網，可設置持續阻斷時間。(注：使用已注冊設備向未注冊設備進行ARP欺騙達到阻斷效果)

3.2注冊部門配置與管理

該功能是在沒有或由于網絡IP規劃凌亂而不方便劃分區域的情況下，按部門名稱進行注冊。從而達到可以直接通過部門名稱進行管理查詢它下屬的客戶端。

3.3設備接入管理

當掃描器發現有外來設備接人本網絡時，通過選中“沒有注冊則阻斷聯網”復選框便可阻斷該設備接入本網達到控制外來設備接入的效果。

3.4策略管理中心

策略中心是桌面系統的管理控制中心，對客戶端進行策略的制定與下發。

①策略創建和分發。在“策略管理中心”中左邊的策略主菜單中點擊需要制定的策略，在右邊的“新建策略名”中輸入相應的策略名稱后，單擊“創建”按鈕創建策略。

下發策略，指定策略的執行對象，通過單擊“對象”按鈕后，按界面的提示完成對象的分配。(注：可靈活控制策略的執行對象，如只分發到一個部門并不是全網都執行此策略)如圖2所示。

②策略的高級設置。策略的高級設置用于客戶端程序對策略的執行高級設置，包括策略的狀態、策略的存活時間、策略的執行觸發條件、策略的無效時間、策略的應用范圍。

③系統策略設定。硬件資源管理包括：控制硬件外部設備的使用，有效控制啟用或禁用如光驅、軟驅、移動存儲設備、USB接口、打印機接口、調制解調器、串行口、并行口、1394控制器、紅外設備、藍牙設備、PCMCIA卡、冗余硬盤、磁帶機、冗余SCSI設備等輸入輸出設備；進程及軟件監控：監控已安裝的軟件、監控正在運行的進程，分別配置違規處理措施。在“進程名”中輸入需控制的進程名稱，然后設置好“控制狀態”后，單擊“添加控制”按鈕即可完成禁止運行或必須運行進程的效果；軟件分發策略：普通文件分發的具體操作：點擊“瀏覽”選擇需要分發的文件，然后單擊“開始上傳”按鈕，待上傳完畢后，即可在“文件名”處的下拉框中選擇欲分發的文件(也可以一次上傳多個文件)，最后單擊“保存策略”按鈕，待依次指定對象和啟用策略后，該策略則開始生效。文件完全分發到客戶端需依照文件大小決定；補丁分發策略：包括補丁自動分發和人工選擇補丁分發，補丁自動分發是策略發送到客戶端后，客戶端注冊程序統一執行補丁策略自動安裝無需人為操作；人工選擇補丁分發：此功能根據人工選擇特定的補丁下發給客戶端用戶。

4結論

4.1使用后的效果

①桌面安全管理系統，為網絡系統構建了一個完整的客戶端防護體系；②從外部對用戶的網絡邊界的完整性進行有效監控(即網絡隔離度監控)；③從內部通過補丁管理，防病毒軟件管理，入網設備聯網狀況管理，軟件安裝狀況管理，客戶硬件狀況管理等手段，完成對網絡客戶端的全面監控和管理；④為網絡建設一個完善的客戶端防護體系，從根本上解決了網絡客戶端安全管理的問題；⑤有效地減少了網管人員的勞動強度，縮短了故障處理時間；⑥添加桌面安全管理系統使我廠的網絡安全進一步強化，在全廠實現了終端到終端的全面管理和控制；⑦在計算機管理上，用該軟件在所有的計算機上把MAC地址與IP地址進行綁定，使非法計算機無法進入網絡，杜絕了內網人員使用未經授權的u盤，避免u盤病毒傳人的危險，關閉了可能存在的安全隱患。

4.2結語

桌面安全管理系統是繼軟硬件防火墻之后又一強大的安全防護管理軟件。這一產品的合理使用，把網絡管理的概念由過去的路由交換層延伸到了終端，使網絡安全得到更大的加強與鞏固。我單位網絡中心使用桌面系統的封閉端口和終止服務等功能，有效的控制了大部分病毒傳播途徑，縮短了補丁發布和漏洞公布之間的響應時間，真正意義上保證了終端安全，也成為應急響應和臨時變通安全方案的重要工具。總之，桌面安全管理系統與防火墻、殺毒軟件、等系統聯動，提高了內網的計算機信息安全，減輕了運維人員的工作，保證網絡的暢通，更加確保了設計生產工作的正常運行。