桌面終端管理系統在生產信息化系統中的應用

宋國紅

摘 要：2010年，山西空管分局建設了生產信息化系統，通過計算機網絡實現了各部門之間的公文流轉、信息共享，為部門管理提供了快速、便捷的無紙化辦公方式。目前，山西空管分局生產信息化系統網絡中擁有約110臺辦公電腦終端。這些設備在提高辦公效率的同時，也存在著維護、監管和網絡信息安全等方面的問題。桌面終端管理系統為維護人員提供了一個實時監控的平臺。主要闡述了桌面管理系統的功能及其在設備日常維護工作中的應用，以提高維護工作的效率，保障網絡信息安全。

關鍵詞：桌面終端管理系統；信息化系統；客戶端；遠程控制

中圖分類號：R197.324 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.22.007

山西空管分局于2010年接入生產信息化系統，實現了自動化辦公。起初，為了防止病毒侵入、信息泄露等網絡安全問題，山西空管分局制定了一系列完善的辦公電腦管理制度，監控和維護工作全權由維護人員負責。這樣，不僅導致維護人員的工作量大、效率低，還存在管理漏洞和風險。引入桌面終端管理系統后，實現了對客戶端的實時管控，從技術層面給維護工作帶來了很大的幫助。下面將著重介紹如何利用桌面管理系統來保障生產信息化系統的正常運行。

1 生產信息化系統介紹

山西空管分局生產信息化系統將H3C7503核心交換機作為系統的核心節點，連接了生產信息系統、桌面終端管理系統、檔案系統、電子值班系統、殺毒系統、準入系統等6個服務器；通過H3C3600、H3C3100、H3C5100等網絡交換機和PCM設備連接了分布在6個不同地理位置、包括各個部門的近110臺辦公電腦；通過MSR3020路由器接入華北空管局生產信息網，實現與上級部門的信息傳遞和共享。生產信息化系統的網絡結構如圖1所示。

圖1 生產信息化系統網絡結構圖

為了保證網絡安全，生產信息化網絡中采用了專門的網絡通道技術、物理隔離技術、安全網段劃分、安全防護設施（例如防火墻、入侵檢測、漏洞掃描）等手段，而這些手段的應用就依賴于桌面終端管理系統。通過桌面終端管理系統，可以實時、便捷地監控所有接入的電腦，及時發現終端設備的系統漏洞，控制移動存儲設備接入內網，防范內網設備違規進入外網，同時還可以統一管理終端設備，在保障網絡安全的同時，提高維護人員的工作效率。

2 桌面終端管理系統的安裝和使用

2.1 桌面終端管理系統介紹

桌面終端標準化管理系統是一個實時的安全監控系統，被廣泛應用于局域網、廣域網的構架，跨網段、跨地域的內網遠程客戶端管理及非法移動設備接入檢測、網內計算機違規聯網監視、網絡安全隔離度監控等領域，提供了防火墻、IDS、防病毒系統、專業網管軟件所不能提供的防護功能。

桌面終端標準化管理系統由WinPcap程序、SQL Server管理信息庫、Web中央管理配置平臺、區域管理器、客戶端注冊程序、補丁下載服務器、管理器主機保護模塊、報警中心模塊8個部分組成，由安裝在各計算機設備上的客戶端軟件和安裝在管理服務器上的控制端軟件兩部分進行功能處理，并通過前臺瀏覽器訪問后臺管理信息數據庫進行系統管理。桌面終端標準化管理系統的工作流程如圖2所示。

圖2 桌面終端標準化管理系統的工作流程

2.2 客戶端的安裝和注冊

山西空管分局的每臺辦公電腦在接入生產信息化系統之前，都要先通過業務部門的入網審核，分配IP地址，然后進行病毒查殺。安裝完成應用軟件后，登錄http：//10.5.32.6/vrveis桌面終端管理系統界面，點擊“工具下載”安裝用戶注冊器。桌面終端管理系統界面如圖3所示，客戶端下載界面如圖4所示。

圖3 桌面終端管理系統界面

圖4 桌面終端管理系統客戶端下載界面

注冊器安裝完成后，對辦公電腦進行注冊認證。桌面終端

管理系統自動將注冊信息和系統自動采集獲得的設備信息導入SQL數據庫保存，同時將桌面終端管理系統中的客戶端參數策略發送給客戶端駐留程序保存執行。

在注冊成功以后，注冊程序自動收集和上報的信息包括使用人、部門名稱、聯系電話、IP地址、MAC地址、設備型號和主板信息等。

這里要說明的是桌面管理系統的首次安裝需由系統維護人員完成，只有注冊之后的電腦才會處于桌面系統的管理和監控之下。一旦某個客戶端的信息被改變，桌面系統就會發送報警數據。

2.3 策略管理

策略管理就是，制訂整體安全策略后督促全網執行，禁止移動存儲設備隨意接入內網。以往，為了防止病毒侵入網絡系統和信息泄露，山西空管分局在制度上嚴禁生產信息化辦公電腦隨意接入存儲設備，例如移動硬盤、U盤等，并用封條封閉電腦USB口。盡管這樣，仍然無法禁止用戶私自開啟封條接入存儲設備復制數據，導致極大的安全隱患。而桌面終端管理系統的策略管理可以從技術上解決這一問題。

山西空管分局制定的策略包括關閉USB口策略、開放USB口策略和臨時開放USB口策略。用戶注冊后自動啟用關閉USB口策略；對經過審核、可使用移動存儲設備的用戶下發開放USB口策略；對于工作需要臨時接入移動存儲設備的用戶，在業務主管部門審核同意后啟用臨時開放USB口策略，同時提供專用移動存儲設備進行操作。這樣從制度和技術兩個層面實現了終端用戶的網絡信息安全管理。

2.4 阻斷違規接入管理

阻斷違規接入管理可以控制由外來設備接入內網而造成的安全威脅，如圖5所示。在接入控制設置中勾選“沒有注冊則阻斷聯網” 便可阻斷未注冊設備連接生產信息化系統，同時在設置中還可以啟用IP和MAC地址的綁定進行檢查，保證每個IP地址用戶的唯一性。

圖5 阻斷違規設置界面

之前在沒有接入桌面終端管理系統時，任何一臺電腦都有可能接入到網絡中，僅依靠制度上的監管存在很大的漏洞，維護人員需要定期現場檢查辦公電腦的使用情況。另外，還可能存在多個電腦通過一個IP進入網絡中，給網絡管理帶來了很大的難度，而阻斷違規接入管理可以很好地解決類似問題。

2.5 數據查詢

山西空管分局的約110臺辦公電腦分布在辦公樓、航管樓、塔臺、后服、車隊等各個地方。在以往的網絡信息安全檢查中，要耗費大量的人力和時間逐個檢查每臺電腦，并記錄檢查結果。不僅如此，還可能因人為原因而造成漏檢，導致采集數據不準確。

桌面終端管理系統通過注冊自動采集設備信息，為維護人員提供數據查詢功能。查詢內容包括計算機所屬區域、部門、使用人、設備IP、MAC、注冊、重新注冊、信任、保護、阻斷、開機、殺毒軟件、殺毒廠商等。同時，桌面終端管理系統還為維護人員提供了統計數據功能，例如本地注冊情況統計，可查詢擁有的客戶端總數、注冊情況、注冊率、在線設備、安裝殺毒軟件的數量；本地設備資源統計，可查詢客戶端所安裝的操作系統類型、各個操作系統所安裝的設備臺數及其所占比例等。

維護人員需要注意的是，如果注冊后需要更換電腦或重裝系統時，必須卸載桌面系統的客戶端，完成更換和系統安裝后重新注冊；否則會造成同一IP查詢出現更新前和更新后的兩條信息，造成信息混亂。如果查詢出現重復信息，首先要確定原因，然后根據注冊時間人工刪除不正確的信息，保證信息的唯一性和正確性。

維護人員還可以將查詢的數據轉換成Word文檔作為設備資料保存，為之后的工作提供便利。

2.6 報警管理

圖6 報警數據顯示界面

桌面終端管理系統可實時監控客戶端，一旦發現注冊信息和策略有異常，就會自動生成報警數據提示維護人員。報警內容包括阻斷、IP與MAC綁定變化、違規外聯、設備變化、流量異常、探頭卸載侵入、病毒、違規上網等。

報警數據顯示界面如圖6所示。維護人員通過每天定時查看報警數據，就可以及時發現網絡中存在的問題，尤其是非法外聯、流量異常和病毒侵入等，為運行維護中的故障處理提供了技術支持，能夠幫助維護人員快速鎖定有問題的客戶端，從而盡快處理。

2.7 終端管理

桌面終端管理系統能夠對網絡中的客戶終端信息進行點對點式的控制、管理，只需要在終端管理界面中輸入終端的IP地址，就可以遠程訪問該IP地址的終端，對該終端進行操作。終端管理界面如圖7所示。

圖7 終端管理界面

維護人員不僅可以遠程檢查終端的進程、服務、軟件、端口、系統漏洞、安全日志、共享資源、策略等項目，還可以遠程點對點地實時發送消息，提供全盤殺毒或制訂某一目錄的殺毒程序，修改客戶端計算機的名稱、IP和DNS等網絡配置，斷開和恢復客戶端聯網，卸載客戶端探頭，重啟或關閉客戶端計算機。在維護過程中，通過遠程訪問，就可以為終端用戶提供與現場一樣的服務。需要注意的是，維護人員首先要與用戶溝通，達成一致意見后才可維護，避免造成資料丟失等問題，影響用戶的工作。

3 結束語

自山西空管分局使用信息化系統以來，維護人員從網絡安全的角度出發，制訂了整體安全策略，并結合制度，利用桌面終端管理系統從技術上實現了對辦公電腦設備的統一管理，實現了對內網設備違規進入外網、移動設備隨意接入內網等行為的防范。桌面終端管理系統的功能還有待進一步開發，因為在維護過程中，桌面終端管理系統無法監控WIN7系統用戶。對于這種情況，目前的解決方法是更換操作系統。而面對未來的發展趨勢，這將是應用開發的一個新課題。

〔編輯：王霞〕