桌面安全管理系統在企業信息建設中的應用研究

盧緒平（中原油田采油六廠，山東 東明 274515）

1 補丁管理

1.1 在桌面應用系統應用過程中，操作人員經常會：裝完操作系統之后，電腦再沒有打過操作系統的補丁；數據庫管理系統、各種應用程序從不打補丁升級，用戶缺乏升級意識。

1.2 我們在補丁管理工作中采用的管理辦法是：在BES控制臺中，打開Fixlet選項卡下查看到由安全級別定義的補丁信息；由安全級別判斷補丁的嚴重程度，如果定義為Critical(嚴重)的補丁，須盡快修補；定義為嚴重性的補丁，我廠BigFix管理員在執行動作前，要向項目主管上報，提出申請，修復的動作是否批準；我廠項目主管同意執行打補丁動作后，BigFix管理員要判定該補丁是否需要進行系統兼容性等的測試；如該補丁不需要進行測試，則直接將該補丁發送到我廠客戶端終端機，進行小規模部署；如該補丁需要進行測試，則在測試環境里終端機上進行兼容性、可靠性測試。

2 資產管理

在BES控制臺管理中，資產管理選項可以幫助管理員了解網絡中還有多少計算機未安裝BES客戶端即有多少不受管理員管理的設備，方便管理員對本網絡資產的數據掌握。

3 軟件分發

3.1 在BES應用管理過程中，軟件分發中存在的問題有：在廠局域網內，同步部署計算機的常用軟件及ERP軟件的工作非常繁瑣，而且容易遺漏部分設備，對企業IT資產的管理效率低下；在我廠局域網內某些即時通知無法迅速批量送達，并且員工容易因疏忽而忘記查收。

3.2 解決辦法及措施：BES的軟件分發功能可以完美的解決動態網絡環境中繁雜的應用軟件及文件的部署和分發問題。為了統一部署網內計算機的軟件配置，實現自動而靈活的軟件分發功能，使用BES的軟件。

3.3 分發向導實現以下功能：對多臺桌面計算機的各種應用軟件的批量分發，包括Office、ERP客戶端軟件等一些大型應用軟件；支持對在線/非在線桌面計算機的策略分發功能，實現對在線的計算機短時間內分發完成；對于非在線的計算機，可根據所定義的分發策略，自動完成軟件安裝。具有多種網絡優化技術，支持帶寬調整功能。

3.4 軟件分發管理工作主要做法：項目主管接到廠分發軟件或下發通知的任務，下達給BigFix管理員，并提供相應安裝文件或通知資料；BigFix管理員判斷執行軟件分發或下發通知；確定任務是軟件分發，需要繼續判斷軟件是否滿足分發條件，如：是否可以執行靜默安裝，是否需要對軟件制定配置策略等；如果軟件直接滿足分發條件還需要判斷是否進行分發前的測試；如果不滿足分發條件，BigFix管理員需要與項目主管溝通，制定配置策略，對軟件進行重新打包，然后再判斷是否需要進行測試。

4 漏洞管理

為消除計算機漏洞，保證系統正常運作，對漏洞修補必須有一個完善的管理方案。大規模部署前的小規模測試是整個流程中最關鍵的步驟，盡管很多補丁都已經過測試，但是不同的環境仍可能出現新的情況。

4.1 注冊表漏洞：從Windows 98開始，Microsoft在Windows中引入了注冊表的概念，注冊表是Windows的核心數據庫，表中存放著各種參數，直接控制著Windows的啟動、硬件驅動程序的裝載以及一些Windows應用程序運行的正常與否，注冊表是Windows系統中保存系統軟件和應用軟件配置的數據庫，而隨著Windows功能越來越豐富，注冊表里的配置項目也越來越多，很多配置都可以自定義設置，因此漏洞也會隨之增多。

4.2 系統安全策略漏洞：以下是普遍遵循的安全標準和策略：安裝標準；網絡和域標準；端口開放標準；加密文件系統的標準；補丁更新標準；管理帳戶標準；強密碼標準；系統配置策略不遵循安全標準便會產生漏洞。操作員利用bigfix超強資產管理能力靈活選擇少量機器進行測試，并將測試結構上報給管理員，管理員得到上級主管批準后向操作員分配修補任務。

4.3 測試內容：系統版本是否合適；是否會與已有的網絡配置策略沖突；是否影響系統穩定；取消某個共享是否導致同名服務不可用；檢查補丁版本是否合適；版本太低的主程序打上高版本補丁后可能永久不可用。先對非生產線機器修補，再對生產線機器修補。

4.4 具體修補步驟是：以修補sans top漏洞為例，操作員在Bigfix中依次點擊“所有fixlet---bysite--sans top vulnerabili?ties”在右側列表中找到要修補的漏洞并雙擊。

4.5 漏洞檢查周期：我們一般是7天，對于象沖擊波等嚴重漏洞須第一時間采取措施。

4.6 生成報表：利用bes的BESWebReportsServer.exe工具生成報表，我們一般是7天。

漏洞修補情況匯總：每隔30天根據生成的報表對上月漏洞修補情況做個分析并匯總。

5 用戶管理

在客戶端部署過程中，我們對計算機用戶進行了實名登記，當通過其他系統、工具發現異常計算機時，可以通過本系統很快定位并聯系到計算機用戶，提高了我們處理問題的效率。

[1]王自國.中原油田信息化之路[J].數字化工.2005(Z1).

[2]李琳.油田信息化之路[J].統計與決策.2003(01).

[3]王立新.中原油田信息化建設方略[J].煤炭經濟研究.2004(11).