桌面安全系統助力石化企業計算機終端管理

于寶東

（中國石化銷售浙江石油分公司，杭州 310009）

桌面安全系統助力石化企業計算機終端管理

于寶東

（中國石化銷售浙江石油分公司，杭州 310009）

隨著信息網絡技術在中國石化的廣泛應用，內網計算機終端管理作為一個綜合的系統問題已經成為整個信息網絡安全的薄弱環節，它涉及管理計算機本身、計算機應用、計算機操作者、計算機使用規范等多個方面。合理部署一套計算機桌面終端管理系統，從網絡介入認證，防病毒軟件管理，系統補丁分發，系統賬號安全策略管理等多方面加強網內計算機終端安全，對整個信息網絡系統預防泄露安全事件發生有著重要意義。

桌面終端；安全策略；信息安全

一直以來，安全防御理念局限在常規的網關級別［防火墻等］、網絡邊界［漏洞掃描、安全審計、防病毒、IDS］等方面的防御，重要的安全設施大致集中于機房、網絡入口處，在這些設備的嚴密監控下，來自網絡外部的安全威脅大大減小。但是在實際情況下，來自網絡內部的安全威脅卻是多數網絡管理人員真正需要面對的問題。據統計結果表明，80%的安全事件來自于網絡內部，而只有20%的安全事件來自于外部。2003年以來，以SQL蠕蟲、“沖擊波”“震蕩波”“熊貓燒香”等病毒的連續性爆發為起點，到計算機文件泄密、服務器系統癱瘓等諸多安全事件在各網絡中的發生，表明只要解決網絡內部的安全問題，才可以排除局域網中最大的安全隱患。

中石化內網是中石化系統信息化建設的重要基礎設施，覆蓋面較廣，涉及的計算機種類和數量眾多。同時，ERP、辦公自動化OA系統、電子郵件等多種重要的業務系統在內網平臺上運行。隨著應用系統的不斷增加，網絡中病毒傳播造成的風險也不斷暴露出來，由單個計算機的病毒引起的損害可能傳播到其他系統和主機上從而引起網絡癱瘓，造成重大損失。因此，如何利用有效技術手段及時、持續、穩定地安全管理終端計算機是所有網絡管理人員和信息部門亟需解決的問題。目前網絡管理工作量最大的是客戶端終端安全部分，對網絡的正常運轉威脅最大的也同樣是客戶端安全管理。

由于大型網絡一般結構較為復雜，用戶水平參差不齊，而網絡管理人員編制有限，往往難以面對數量龐大的客戶端安全事件。BES桌面管理系統正是這樣一個集計算機終端的安全管理、漏洞管理、資產管理、電源管理、安全策略管理等多方面功能為一體的確保接入網絡的計算機終端信息安全的系統。它可與防火墻、殺毒軟件等軟硬件系統聯動，形成完整的網絡和系統安全管理體系，可提高內部網絡和計算機信息安全，并減輕運維人員的工作量，確保企業經營管理工作的正常運行。

1　系統組成與結構

BES桌面系統由下面幾個主要部件構成（如圖1所示）。

1.1BES Clients

也被稱作Agents，安裝在每臺你希望管理的計算機上。它們通過獲取Fixlet信息來檢測系統的漏洞情況。BES Client可以通過BES Server獲得BES Console下發的修補漏洞的動作指示。在絕大多數情況下，BES Client在后臺靜默運行，不需要最終用戶的干預。當然，BES也允許管理員為最終用戶提供下發動作的屏幕提示，要求用戶進行互動操作。

圖1　BES桌面管理系統架構

1.2BES Server

它是若干個交互服務的集合，包括應用服務、Web Server和一個DB Server，這些服務是BES系統的核心。它們協調每臺計算機的信息流向，并把結果保存在BES數據庫內。BES Server組件在后臺運行，不需要管理員的直接干預。BES Server還包含了一個內置的Web Reports報表模塊，允許授權用戶通過Web Browser來查看所有的計算機、漏洞、動作等信息。

1.3BES Relay

可增加系統的工作效率。Relay避免了網絡中每臺計算機都直接與BES Server相連，從而減輕BES Server的工作負擔。幾百到幾千臺BES Clients可以通過與BES Relay相連獲得更新軟件下載，只需要一個與BES Server的請求連接就可以了。BES Relay也可以連接到其他的Relay，進一步增加了工作效率。一個BES Relay不需要是一臺專用的計算機――可以安裝在任何裝有BES Client的Windows XP、 Windows7、或Windows Server 2003 計算機上。一旦你安裝了BES Relay，你網絡中的BES Clients會自動發現它們并與它們連接。

1.4BES Console

將BES各個部件連接起來，為網絡中所有的計算機提供了系統級的全局視圖，同時也包括它們存在的漏洞問題和修補方法。BES Console允許授權用戶快速、簡單的將修補方法分發到每臺計算機中；同時，不對網絡中其他的計算機帶來任何影響。BES Console可以運行在任何能與BES Server進行網絡通訊的Windows XP，Windows 7或Windows Server 2003 計算機中。

各下屬單位計算機終端數量及網絡帶寬各有不同。在安裝BES系統時，需充分考慮各種條件，在窄帶連接的局域網中設置一臺中繼，在高帶寬大型網絡中，每500～1 000臺計算機也要設置一臺中繼。同其他網絡情況的實施一樣，建議在中心機房設置一臺頂級中繼（Top Relay），以減輕BES Server的壓力。

省公司部署一臺BES服務器，一臺頂級中繼。各分公司公司部署一臺BES中繼（利用現有的文件、打印等服務器），中繼手工指向頂級中級。

2　系統功能介紹與應用

2.1補丁管理

利用基線功能，每月將通過FIXLET消息的形式發布的最新的微軟補丁添加到分類的系統補丁基線中。管理員每月將基線執行為動作，將這些補丁靜默的分發到各個客戶端，客戶端用戶在沒有任何感覺的情況下就完成了漏洞的修復，從而有效的減少了感染病毒的情況，保證了客戶端的正常運行。

2.2軟件分發

實現保證應用軟件以可靠和高效的方式分發、安裝和維護，自動實現企業級大規模的應用軟件分發和安裝，優化網絡效率，大幅減少分發操作消耗的網絡帶寬等功能。

2.3資產管理

可以利用桌面安全系統查看終端配置情況，可以對品牌、CPU、內存、硬盤、終端類型、操作系統、IP地址、MAC地址等信息等進行統計篩選，并通過報表功能進行統計。對公司中使用年限較長、配置較低的計算機，逐步更換淘汰，為設備更新提供參考。

2.4電源管理

利用BES系統中的電源管理模塊，跟蹤客戶端的電源設置信息，通過電源配置向導，可以對計算機使用電源進行管理，電源管理模塊可以對用戶計算機進行休眠、關機、待機、重啟等操作，以節省企業用電量。

2.5安全管理

通過賬戶策略分析監控客戶端中相關的安全設置信息，如賬戶密碼最長有效期、密碼最小長度、密碼復雜性要求等，啟用此策略后可以有效防范終端桌面不設密碼或者弱口令等現象的存在；禁止自動運行功能，在默認情況下，計算機啟用自動運行功能，插入計算機的可移動介質將會自動運行，從而將病毒或木馬傳入到計算機中，使用FIXLET消息對系統自動運行功能進行禁止；禁止使用移動存儲設備、無線設備。BES系統可以對客戶機的硬件進行分析，管理員可以禁止客戶使用移動存儲設備、無線網卡等，以保證企業網絡的安全性。

2.6為其他系統提供支持

桌面安全管理系統提供了豐富的信息和動作的支持功能，它可以為其他系統提供豐富的計算機信息和必要的動作執行支持。系統的自定義功能可以人為的通過定義新的關聯要求和動作，來提取所需的計算機信息并執行一定的動作。整個過程都是在后臺完成，使得對用戶的影響降到最低。對網絡設置未能達到要求的計算機，啟動服務下發設置腳本，替代人員的部分操作。除此之外，還為計算機設備管理系統提供原始的數據信息，縮短開發周期、降低工作強度。

3　結語與展望

桌面安全管理系統把網絡管理的概念從路由交換層延伸至了終端，使網絡安全得到加強和鞏固，其作用非常明顯。計算機終端的安全管理是整個信息安全體系的一個重要環節，也是一個不斷發展、完善的過程。計算機的終端管理已經成為每個網絡工作者必須及時正視與面對的問題。隨著對信息網絡計算機終端安全管理認識的不斷深入和桌面系統功能的日益完善，桌面安全管理系統一定會在信息安全防護與管理中發揮更大的作用。

主要參考文獻

［1］蔡曙光.論信息能力與信息資源利用率［J］.中國社會科學院研究生院學報，2006（5）.

［2］劉麗.電力企業計算機桌面終端管理系統應用探討［J］.寧夏電力.2010（Z1）.

10.3969/j.issn.1673-0194.2015.02.057

TP311.52

A

1673-0194（2015）02-0075-02

2014-12-18