淺析供電企業(yè)辦公終端的安全管理

摘要：本文通過對(duì)供電企業(yè)辦公終端接入公司網(wǎng)絡(luò)而引起的各類信息違規(guī)情況進(jìn)行分析，得出了一套有效地規(guī)避違規(guī)的計(jì)算機(jī)入網(wǎng)操作流程，以解決計(jì)算機(jī)入網(wǎng)的管理難題。同時(shí)，作者將技術(shù)和管理有機(jī)的融合起來，依靠技術(shù)協(xié)助終端入網(wǎng)的安全管理，為終端運(yùn)維管控提出了新的解決思路。

關(guān)鍵詞：信息 標(biāo)準(zhǔn)化 流程 應(yīng)用

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題不斷發(fā)生，供電企業(yè)對(duì)信息安全要求也不斷提高，國(guó)網(wǎng)公司為此統(tǒng)一部署了桌面終端管理系統(tǒng)，用以對(duì)接入公司網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)進(jìn)行安全方面的監(jiān)控和審計(jì)，以提升終端的安全防護(hù)能力。本文重點(diǎn)針對(duì)預(yù)入網(wǎng)的計(jì)算機(jī)，做到把好入網(wǎng)終端安全加固關(guān)，進(jìn)而逐步提升入網(wǎng)終端的安全防護(hù)能力，有效降低了終端弱口令、防病毒軟件、系統(tǒng)補(bǔ)丁等方面的違規(guī)問題發(fā)生。

1 辦公計(jì)算機(jī)接入管理現(xiàn)狀及存在的問題

新購(gòu)計(jì)算機(jī)（或重新安裝操作系統(tǒng)的計(jì)算機(jī)）接入公司網(wǎng)絡(luò)時(shí)，由于桌面終端管理系統(tǒng)可有效阻止未注冊(cè)計(jì)算機(jī)正常訪問網(wǎng)絡(luò)，因此用戶為了保證網(wǎng)絡(luò)暢通，會(huì)首先完成桌面終端程序注冊(cè)安裝，這樣往往會(huì)引發(fā)信息違規(guī)告警上報(bào)，尤其是弱口令及防病毒軟件不合規(guī)告警，對(duì)公司終端安全管理工作帶來不便。

弱口令的產(chǎn)生與操作系統(tǒng)有很大的關(guān)系，由于公司業(yè)務(wù)應(yīng)用系統(tǒng)的適用性，目前辦公網(wǎng)內(nèi)絕大部分終端還是使用Windows XP操作系統(tǒng)，在Windows XP下，如果建立了一個(gè)新的非受限者用戶（計(jì)算機(jī)管理員），下次登錄計(jì)算機(jī)時(shí)，將不會(huì)出現(xiàn)Administrator超級(jí)用戶的登錄入口了，只有切換到安全模式下，這個(gè)帳號(hào)才會(huì)在登錄界面時(shí)被看到[1]。因此用戶往往會(huì)忘記設(shè)置Administrator的口令，這就會(huì)觸發(fā)弱口令違規(guī)上報(bào)。為了避免這個(gè)情況的發(fā)生，需要計(jì)算機(jī)在接入前將所有系統(tǒng)帳號(hào)均設(shè)置強(qiáng)口令，但是，由于“一鍵還原”技術(shù)的普及應(yīng)用，部分用戶在計(jì)算機(jī)出現(xiàn)運(yùn)行變慢的情況下，會(huì)采取一鍵還原系統(tǒng)來解決，這就導(dǎo)致終端弱口令違規(guī)，同樣，防病毒軟件違規(guī)也與終端用戶隨意安裝操作系統(tǒng)有一定的關(guān)系。

同時(shí)，在運(yùn)維過程中發(fā)現(xiàn)，現(xiàn)在市面上銷售有的盜版操作系統(tǒng)存在無法正常升級(jí)操作系統(tǒng)補(bǔ)丁的情況，即便手動(dòng)安裝補(bǔ)丁包也無法順利成功。安裝有這樣的系統(tǒng)的終端即便注冊(cè)接入公司辦公網(wǎng)絡(luò)，也會(huì)因?yàn)榇嬖诖罅肯到y(tǒng)漏洞而容易被病毒、木馬、惡意腳本、黑客所利用[2]，從而嚴(yán)重影響終端使用及公司網(wǎng)絡(luò)的安全和暢通。另外，計(jì)算機(jī)入網(wǎng)前要做好應(yīng)用程序的檢測(cè)管理，避免發(fā)生應(yīng)用程序?qū)k公網(wǎng)絡(luò)的沖擊，例如，暴風(fēng)影音曾爆發(fā)0day軟件漏洞，若公司網(wǎng)內(nèi)存在大量暴風(fēng)影音程序，將會(huì)發(fā)生域名解析故障而導(dǎo)致網(wǎng)絡(luò)中斷，影響辦公業(yè)務(wù)的正常運(yùn)行。因此，在辦公終端操作系統(tǒng)的安全加固方面需要加強(qiáng)管理。

2 標(biāo)準(zhǔn)化注冊(cè)管理介紹

通過上面情況的分析發(fā)現(xiàn)，這些違規(guī)現(xiàn)象都是計(jì)算機(jī)接入辦公網(wǎng)絡(luò)前因沒有進(jìn)行必要的系統(tǒng)加固造成的。隨著公司員工計(jì)算機(jī)水平的提高，具有自行安裝操作系統(tǒng)能力的人員不斷增多，這種由于計(jì)算機(jī)入網(wǎng)而引起的終端違規(guī)現(xiàn)象也是當(dāng)前終端安全運(yùn)維工作中牛皮癬，因此需要我們加強(qiáng)終端入網(wǎng)標(biāo)準(zhǔn)化注冊(cè)流程的管理。

通過對(duì)桌面終端管控系統(tǒng)的研究發(fā)現(xiàn)，在通常情況下，當(dāng)計(jì)算機(jī)安裝桌面終端管控客戶端軟件時(shí)，會(huì)觸發(fā)完成計(jì)算機(jī)環(huán)境的安全檢查，并將數(shù)據(jù)上傳至桌面終端管控后臺(tái)服務(wù)器，若客戶端沒有進(jìn)行殺毒軟件安裝，沒有設(shè)置帳號(hào)口令，就會(huì)發(fā)生安全策略違規(guī)告警。因此，規(guī)范的入網(wǎng)設(shè)置流程，可有效避免信息違規(guī)現(xiàn)象發(fā)生。

以下是本公司入網(wǎng)管理辦法的入網(wǎng)設(shè)置流程：

①首先，用戶填寫《內(nèi)網(wǎng)終端接入申請(qǐng)表》。

②確認(rèn)預(yù)接入的計(jì)算機(jī)未連接網(wǎng)絡(luò)。

③完成操作系統(tǒng)版本確認(rèn)。通過計(jì)算機(jī)桌面“我的電腦”右鍵屬性，查看計(jì)算機(jī)操作系統(tǒng)版本是否合格。

④完成應(yīng)用程序清理。通過“控制面板”-“添加刪除程序”進(jìn)行互聯(lián)網(wǎng)應(yīng)用程序、游戲軟件、炒股軟件及娛樂軟件的卸載。要求所有接入內(nèi)網(wǎng)的計(jì)算機(jī)不允許存在非辦公用應(yīng)用程序。

⑤完成操作系統(tǒng)補(bǔ)丁加固。按照查看計(jì)算機(jī)操作系統(tǒng)版本的方法查看當(dāng)前系統(tǒng)補(bǔ)丁版本。要求Windows XP必須安裝SP3或以上的補(bǔ)丁集。

⑥完成所有系統(tǒng)帳號(hào)的密碼加固。對(duì)系統(tǒng)所有帳號(hào)進(jìn)行密碼設(shè)置，要求密碼長(zhǎng)度大于8位，且必須為字母、數(shù)字及符號(hào)的混合字串。

⑦完成計(jì)算機(jī)名稱的更改。要求計(jì)算機(jī)名格式：“公司名簡(jiǎn)稱”+“-”+“單位簡(jiǎn)稱（不超過兩位中文字符）”+“使用人姓名”。

⑧完成防病毒軟件安裝。要求辦公計(jì)算機(jī)必須安裝公司統(tǒng)一配發(fā)的趨勢(shì)企業(yè)版殺毒軟件。

⑨連接網(wǎng)絡(luò)，完成桌面終端管理客戶端注冊(cè)及安裝。按預(yù)先申請(qǐng)的內(nèi)網(wǎng)地址信息完成計(jì)算機(jī)網(wǎng)絡(luò)配置，將網(wǎng)線接入預(yù)先申請(qǐng)的公司信息內(nèi)網(wǎng)端口上，使計(jì)算機(jī)可正常訪問公司網(wǎng)站。要求所有接入公司內(nèi)網(wǎng)的辦公計(jì)算機(jī)終端必須進(jìn)行桌面終端的注冊(cè)，并要求所注冊(cè)信息必須真實(shí)。

⑩流程完畢。

3 終端標(biāo)準(zhǔn)化管理工作的創(chuàng)新

為了進(jìn)一步規(guī)范終端標(biāo)準(zhǔn)化管理，落實(shí)公司計(jì)算機(jī)入網(wǎng)設(shè)置流程規(guī)定，避免基層終端用戶習(xí)慣性操作違規(guī)，降低基層終端運(yùn)維人員的操作難度，為此，作者自主研發(fā)了一套終端標(biāo)準(zhǔn)化注冊(cè)程序，實(shí)現(xiàn)計(jì)算機(jī)入網(wǎng)前對(duì)系統(tǒng)進(jìn)行關(guān)鍵加固項(xiàng)檢查，以技術(shù)手段為管理工作提供保障。

標(biāo)準(zhǔn)化注冊(cè)程序是以運(yùn)城供電公司計(jì)算機(jī)入網(wǎng)設(shè)置流程為依據(jù)，其主要功能實(shí)現(xiàn)了，通過技術(shù)手段在計(jì)算機(jī)注冊(cè)入網(wǎng)前，對(duì)計(jì)算機(jī)名稱是否規(guī)范、是否安裝非辦公軟件、防病毒軟件是否規(guī)范、操作系統(tǒng)補(bǔ)丁是否合格、系統(tǒng)是否存在弱口令等方面進(jìn)行檢查，若存在不合格項(xiàng)，則阻止該計(jì)算機(jī)注冊(cè)并提示用戶進(jìn)行整改，從而借助桌面終端管理系統(tǒng)實(shí)現(xiàn)了阻止未經(jīng)過系統(tǒng)加固的計(jì)算機(jī)接入辦公網(wǎng)絡(luò)。圖1是標(biāo)準(zhǔn)化注冊(cè)程序工作流程圖。

通過在公司辦公網(wǎng)內(nèi)試運(yùn)行標(biāo)準(zhǔn)化注冊(cè)程序，公司終端運(yùn)行指標(biāo)得到顯著提升，通過觀察，自2012年3月開始至今，公司終端弱口令違規(guī)數(shù)量逐月降低，防病毒軟件安裝情況得到極大的改善，表1是運(yùn)城公司2月至5月的終端違規(guī)統(tǒng)計(jì)說明。

4 結(jié)語

終端安全是信息系統(tǒng)安全的根源，是網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)，只有全面消除網(wǎng)內(nèi)終端的隱患，不斷提高終端用戶信息安全意識(shí)，不斷提升終端安全管控技術(shù)水平，以技術(shù)助管理，才能高效可靠地完成終端信息安全管理工作。

計(jì)算機(jī)入網(wǎng)管理的規(guī)范化，在辦公內(nèi)外網(wǎng)絡(luò)隔離的情況下，可有效避免給公司內(nèi)網(wǎng)引入病毒、木馬、惡意腳本及黑客的攻擊，同時(shí)，也減輕了基層終端運(yùn)維人員日常工作量，降低了運(yùn)維人員技術(shù)要求。相信隨著標(biāo)準(zhǔn)化管理注冊(cè)程序的進(jìn)一步推廣，實(shí)現(xiàn)入網(wǎng)終端零個(gè)弱口令，操作系統(tǒng)百分百完成安全加固的目標(biāo)，為公司信息系統(tǒng)安全運(yùn)行提供有力的保障。

參考文獻(xiàn)：

[1]曹天杰等編著.計(jì)算機(jī)系統(tǒng)安全.北京:高等教育出版社，2003.9.

[2]徐茂智.信息安全概論.北京:人民郵電出版社，2007.8.

[3]牟曉東.0Day漏洞，你有么？.電腦知識(shí)與技術(shù)，2012年03期.