桌面標準化管理系統在公司內網的應用

邵 俊 孟強龍 周冬青

（馬鞍山供電公司 信息通信公司，安徽 馬鞍山 243000）

0 引言

馬鞍山供電公司目前已建成的信息內網覆蓋公司所有辦公大樓、變電站以及供電所等處，共擁有接入的計算機終端、網絡設備、服務器等約1130臺。這些設備及業務應用系統的可靠、穩定運行，是全公司安全生產、經營管理的基礎保障。隨著接入內網的計算機終端越來越多，相應也出現了一系列管理問題。如公司內外網計算機終端混用，移動存儲介質的隨意使用，惡意病毒輕易傳播而難以控制，對補丁和軟件分發、安全行為、遠程監控等管控力度弱，導致桌面終端存在一定的安全隱患[1]。為了加強計算機終端的安全管理，在公司信息內網部署一套桌面標準化管理系統[2]（以下簡稱桌面管理系統）就變得尤為重要了。本文介紹了桌面管理系統在內網中的部署及應用。

1 現狀分析

1.1 桌面終端存在的問題

1.1.1 內外網混用

外來人員攜帶的筆記本接入信息內網、內部人員將計算機內外網混用等，很容易導致公司內網機密信息的泄露。

1.1.2 Windows操作系統補丁更新

公司實行信息內網與互聯網的徹底隔離，大量信息內網計算機終端操作系統的補丁更新便成了一大難題。由于計算機操作系統補丁得不到及時更新，很容易被一些黑客利用操作系統漏洞進行攻擊，造成不良后果。

1.1.3 使用空、弱口令

公司一些員工對信息安全的意識不夠強，往往在使用計算機時，為了圖方便，常常使用簡單的開機口令、甚至不設置開機口令。而這些設置，常常給了外來人員竊取公司機密信息的機會。

1.1.4 未正確安裝防病毒軟件

新接入內網的計算機，未安裝防病毒軟件、或安裝非趨勢防病毒軟件，很容易讓內網計算機感染病毒，從而讓惡意病毒在信息內網中傳播成為了可能。

1.1.5 移動存儲介質的隨意使用

U盤、移動硬盤等移動存儲設備的隨意使用，越來越多的敏感信息、秘密數據被隨意地拷貝。尤其是公司和個人的移動存儲設備不區分，很容易造成惡意木馬病毒肆意傳播，嚴重影響了桌面終端的安全。

1.2 實施桌面管理系統的意義

在公司內網部署一套桌面管理系統，利用它的主機安全策略、補丁分發策略、違規外聯監控策略、移動存儲審計策略等可以解決桌面終端安全管理存在的問題。

2 桌面管理系統的部署與應用

2.1 準備工作

準備一臺操作系統為Windows 2003 Server的服務器，按照服務器的運維要求做好安全措施。然后，安裝SQL server 2000數據庫和SQL server 2000 sp4 補丁、IIS 6.0。

2.2 安裝桌面管理系統

按照以下順序完成桌面管理系統的安裝：

1）安裝WinPcap驅動程序；

2）安裝并運行環境初始化程序，初始化數據庫；

3）安裝網頁平臺并進行劃分區域，配置區域IP范圍、區域管理器參數、設備掃描器參數；

4）安裝區域管理器（推薦安裝在默認路徑下）；

5）通知所有用戶下載并運行注冊客戶端代理探頭程序。

2.3 配置管理策略

2.3.1 主機安全策略

用戶密碼策略。此策略可以對計算機操作系統的本地安全策略、本地帳戶鎖定策略、屏保進行設置，同時可以檢測系統弱口令，除本系統自定義的弱口令外，用戶可以自己添加自定義弱口令集。配置此策略后，分發給所有終端設備，可以及時獲取哪些終端存在空口令和弱口令問題，運維人員以此來提醒并指導用戶修改口令。

殺毒軟件運行監控策略。配置此策略可以檢查客戶端是否安裝殺毒軟件，并做提示、斷開、重啟計算機等操作。

2.3.2 接入認證策略

補丁與殺毒軟件認證策略及時提醒用戶安裝趨勢防病毒軟件。此策略與殺毒軟件運行監控策略結合使用，確保所有注冊的計算機均能及時安裝趨勢防病毒軟件。

2.3.3 補丁分發策略

此策略將補丁庫中的補丁按管理員的設置，對設定的終端進行自動的分發。支持用戶自定義補丁策略自由配置分發，基于操作系統種類、補丁檢測周期、補丁類別等制定策略，下發給一定范圍的客戶端后統一按策略執行應用。此策略的運用，能及時發現終端設備的系統漏洞并自動分發補丁，從而減少了黑客利用系統漏洞攻擊公司網絡的可能性。

2.3.4 防違規外聯策略

此策略的應用，提供了非法外聯行為的監控功能，可以對所有注冊的終端進行實時監控。在違規監控設置中，采用探測外網方法，選擇了百度和新浪網站作為探測點進行監控[3]；設置禁止使用IE代理上網；并對違規行為做出相應的處理，如斷網、關機等。同時上報至桌面管理系統的web前臺違規外聯的查看頁面，為管理員的安全管理提供重要信息。

2.3.5 進程執行監控策略

防違規外聯策略不能做到禁止在內網計算機中訪問Internet連接，但我們可以通過進程執行監控策略來禁止此類事件發生。在進程執行監控策略中，我們創建一條禁用3G無線上網卡的策略，將所有有關3G無線上網卡的進程/服務名、公司名稱、產品名稱、源文件名在控制規則列表中加以禁止，便可以實現禁止3G無線上網卡在內網機器中的使用，從而可以避免違規外聯事件的發生。

2.3.6 用戶權限策略

檢查系統用戶、系統用戶組的權限的改變和系統用戶、系統用戶組的增加或減少。當以上的某一條件符合時，則彈出相應的提示信息。此策略的使用，可以幫助管理員及時掌握終端操作系統的系統用戶情況，從而規范終端用戶的操作行為。

2.3.7 軟件分發策略

提供服務器向客戶端分發各種文件（如可執行文件|批處理文件），并可以自動運行，服務器端可以選擇分發的目標路徑、設定運行參數、是否后臺運行，同時向客戶端發送提示信息。我們可以通過此策略將趨勢防病毒軟件統一下發給所有注冊的客戶端，讓終端用戶只要成功注冊計算機后，即便忘了安裝防病毒軟件，趨勢防病毒軟件也會自動在后臺運行，從而確保注冊機器安裝防病毒軟件時萬無一失。

2.3.8 移動存儲審計策略

對于公司內網用戶，內網之間使用加密的U盤、移動硬盤進行信息交互，禁用外來移動存儲設備在公司內網中的使用。對移動存儲介質的管理，桌面管理系統通過移動存儲審計策略[4]來實現。此策略的使用，確保了公司員工的U盤等移動存儲設備只有在信息中心打過標簽后，才能在內網機器中使用，從而將單位U盤與個人U盤有效地區分開，避免了外來U盤的隨意使用，保障了信息網絡與數據的安全。

3 應用效果

自桌面管理系統在公司內網中成功部署以來，內網計算機注冊率、防病毒安裝率均為100%，無一例違規外聯事件發生，操作系統補丁均能及時更新，系統弱口令數為0。桌面管理系統在公司內網的部署及應用，規范了桌面管理系統功能，解決了來自公司內部用戶的安全風險，提高了公司內網計算機終端的管控能力和水平，使得日常的桌面終端管理不再僅僅依賴行政管理手段。同時實現了公司內網桌面終端的安全管理、補丁管理、軟件管理的需要，從技術上解決了內網桌面終端安全管理中的若干難題，提高了桌面終端安全防護能力，有效保護了內網信息資源。

［1］柴育峰.桌面管理系統在企業內網的應用[J].科技視界，2012,14(2):105-107.

［2］桌面終端標準化管理系統培訓教材[Z].國網電力科學研究院：2009.

［3］李達，彭立峰.桌面管控系統推廣及移動存儲管控應用研究[J].供用電，2010，27（2）:36-38.

［4］楊小寧，李曉娥.桌面終端管理系統深化應用探析[J].電力信息化，2011,9(12):93-96