張鴻久　王少杰

摘要：桌面安全管理系統(tǒng)運用了安全管理信息技術來提高安全管理水平，它充分利用了現(xiàn)有的先進的網(wǎng)絡管理工具，強化網(wǎng)絡計算機終端的控制，實現(xiàn)實時的安全監(jiān)控系統(tǒng)，同時能夠同其它網(wǎng)絡安全設備進行安全集成，使內部網(wǎng)絡成為高速、安全的辦公網(wǎng)絡系統(tǒng)。

關鍵詞：桌面管理；策略管理；信息安全；桌面安全管理

中圖分類號：TP315

文獻標識碼：A

文章編號：1006－8937(2009)16－0114－02

1系統(tǒng)研究現(xiàn)狀

常規(guī)安全防御往往局限在網(wǎng)關級別、網(wǎng)絡邊界(防火墻、漏洞掃描、防病毒、IDS)等方面的防御，重要的安全設施均集在于機房或網(wǎng)絡入口處，在這些設備的嚴密監(jiān)控下，大大減少了來自網(wǎng)絡外部的安全威脅。而對于來自網(wǎng)絡內部的計算機終端的安全威脅卻忽視了，99.9％管理和安全問題來自于終端。在企業(yè)的內部網(wǎng)絡管理中，終端安全威脅隨時隨地都可能影響著網(wǎng)絡的正常運行。如：ip地址濫用、終端隨意接入、防范內部重要數(shù)據(jù)外泄、內網(wǎng)終端加固工作繁瑣、難以做到安全策略的統(tǒng)一等。

2結構層次分析

客戶端桌面安全管理軟件——“客戶端桌面安全管理”強化了對網(wǎng)絡計算機終端的控制，對計算機終端的管理，提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護功能，并能夠同其它網(wǎng)絡安全設備進行安全集成。

①使用“統(tǒng)一策略管理中心”，按需求加載策略。客戶端桌面安全管理系統(tǒng)采用統(tǒng)一策略管理中心實現(xiàn)對內部網(wǎng)絡終端的統(tǒng)一安全管理。我單位按國網(wǎng)的要求對設備資產變化、設備使用人變更、終端訪問異常、系統(tǒng)流量異常、違規(guī)軟件使用、系統(tǒng)運行異常等進行審計分析。及時為客戶端打操作系統(tǒng)補丁，檢查防病毒情況，嚴禁桌面終端違規(guī)外聯(lián)、非注冊桌面終端違規(guī)。完成終端硬件設備信息統(tǒng)計、終端軟件資產統(tǒng)計終端。

②終端接人管理。在終端接人管理中，對非法外聯(lián)行為監(jiān)控、阻止。網(wǎng)絡交換機聯(lián)接、終端帶入帶出網(wǎng)絡、網(wǎng)絡地址規(guī)劃與管理。系統(tǒng)提供實時監(jiān)控的強大功能，即實時報警以及實時切斷非法計算機同內網(wǎng)的連接，流程如圖1。

③桌面安全。對單位內計算機進行密碼安全、權限安全、桌面流量管理、終端統(tǒng)一防火墻、終端安全等級管理、殺毒軟件識別與統(tǒng)計。提高計算機自身的安全防火水平。有效防范不安全因素對內部網(wǎng)絡構成的威脅，真正做到內部網(wǎng)絡的完全安全管理。

④隔離病毒源，保證網(wǎng)絡暢通。開啟桌面標準化管理系統(tǒng)阻斷功能，發(fā)現(xiàn)電腦設備流量異常后執(zhí)行該動作，然后檢查計算機是否中了木馬、受病毒感染、及時將受病毒感染的機器與網(wǎng)絡隔離，阻斷病毒源，避免病毒大規(guī)模爆發(fā)，保證網(wǎng)絡正常運行。

⑤完備的查詢和報表功能。系統(tǒng)可將報警信息、報警處置信息、網(wǎng)絡終端信息、級聯(lián)統(tǒng)計信息、日志信息等分類進行查詢，提供多種報表。

系統(tǒng)具備獨有的“組態(tài)報表”查詢功能，能夠以數(shù)據(jù)庫中存在的任何字段為查詢條件，并可將多種不同條件進行組合，以查詢所需要的數(shù)據(jù)。

⑥移動存儲設備認證功能。移動存儲設備認證管理作用是為移動存儲設備配置認證信息，并將認證信息寫入到該存儲設備中，并與策略中的配置信息相驗證，以達到對移動設備的審計與管理功能。

⑦硬件變化設備查詢。客戶端注冊時，已經(jīng)把其硬件信息注冊入庫，如果客戶端硬件有變化(增添或卸載)，則可通過該查詢條件查到，從而避免了企業(yè)資產的流失。

3系統(tǒng)應用

3.1區(qū)域劃分與配置

區(qū)域劃分：單擊系統(tǒng)首頁面左側“策略中心”的“區(qū)域劃分與配置”，對網(wǎng)絡中的客戶端進行區(qū)域劃分管理，按照提示依次添加區(qū)域、增加區(qū)域IP管理范圍、分配區(qū)域管理器、分配區(qū)域掃描器，并完成系統(tǒng)組件運行參數(shù)配置。

區(qū)域描述配置：填寫好一些必要的與區(qū)域相關的信息。

本區(qū)域IP劃分：根據(jù)用戶實際需要在下圖所示的文章框中填入需要管轄的IP地址。

下級區(qū)域劃分：在已有區(qū)域頁面中點擊“增加下級區(qū)域”按鈕進行下級區(qū)域添加，如生技部下屬鑄造車間、組裝車間等。

組件添加：對于網(wǎng)絡規(guī)模大的管理，可以設置多個區(qū)域管理器對網(wǎng)絡進行管理，不同的區(qū)域管理器共同使用一個數(shù)據(jù)庫去管理不同范圍的網(wǎng)絡，并且，每個區(qū)域管理器下屬可以使用多個區(qū)域掃描器，管理員根據(jù)管理需要設置區(qū)域管理器和掃描器。

區(qū)域管理器：該區(qū)域管理器作為系統(tǒng)策略控制及數(shù)據(jù)接收處理的中心，其具有控制完成系統(tǒng)相關動作行為處理的功能。

掃描器阻斷管理：對沒有注冊的機器自動阻斷聯(lián)網(wǎng)，可設置持續(xù)阻斷時間。(注：使用已注冊設備向未注冊設備進行ARP欺騙達到阻斷效果)

3.2注冊部門配置與管理

該功能是在沒有或由于網(wǎng)絡IP規(guī)劃凌亂而不方便劃分區(qū)域的情況下，按部門名稱進行注冊。從而達到可以直接通過部門名稱進行管理查詢它下屬的客戶端。

3.3設備接入管理

當掃描器發(fā)現(xiàn)有外來設備接人本網(wǎng)絡時，通過選中“沒有注冊則阻斷聯(lián)網(wǎng)”復選框便可阻斷該設備接入本網(wǎng)達到控制外來設備接入的效果。

3.4策略管理中心

策略中心是桌面系統(tǒng)的管理控制中心，對客戶端進行策略的制定與下發(fā)。

①策略創(chuàng)建和分發(fā)。在“策略管理中心”中左邊的策略主菜單中點擊需要制定的策略，在右邊的“新建策略名”中輸入相應的策略名稱后，單擊“創(chuàng)建”按鈕創(chuàng)建策略。

下發(fā)策略，指定策略的執(zhí)行對象，通過單擊“對象”按鈕后，按界面的提示完成對象的分配。(注：可靈活控制策略的執(zhí)行對象，如只分發(fā)到一個部門并不是全網(wǎng)都執(zhí)行此策略)如圖2所示。

②策略的高級設置。策略的高級設置用于客戶端程序對策略的執(zhí)行高級設置，包括策略的狀態(tài)、策略的存活時間、策略的執(zhí)行觸發(fā)條件、策略的無效時間、策略的應用范圍。

③系統(tǒng)策略設定。硬件資源管理包括：控制硬件外部設備的使用，有效控制啟用或禁用如光驅、軟驅、移動存儲設備、USB接口、打印機接口、調制解調器、串行口、并行口、1394控制器、紅外設備、藍牙設備、PCMCIA卡、冗余硬盤、磁帶機、冗余SCSI設備等輸入輸出設備；進程及軟件監(jiān)控：監(jiān)控已安裝的軟件、監(jiān)控正在運行的進程，分別配置違規(guī)處理措施。在“進程名”中輸入需控制的進程名稱，然后設置好“控制狀態(tài)”后，單擊“添加控制”按鈕即可完成禁止運行或必須運行進程的效果；軟件分發(fā)策略：普通文件分發(fā)的具體操作：點擊“瀏覽”選擇需要分發(fā)的文件，然后單擊“開始上傳”按鈕，待上傳完畢后，即可在“文件名”處的下拉框中選擇欲分發(fā)的文件(也可以一次上傳多個文件)，最后單擊“保存策略”按鈕，待依次指定對象和啟用策略后，該策略則開始生效。文件完全分發(fā)到客戶端需依照文件大小決定；補丁分發(fā)策略：包括補丁自動分發(fā)和人工選擇補丁分發(fā)，補丁自動分發(fā)是策略發(fā)送到客戶端后，客戶端注冊程序統(tǒng)一執(zhí)行補丁策略自動安裝無需人為操作；人工選擇補丁分發(fā)：此功能根據(jù)人工選擇特定的補丁下發(fā)給客戶端用戶。

4結論

4.1使用后的效果

①桌面安全管理系統(tǒng)，為網(wǎng)絡系統(tǒng)構建了一個完整的客戶端防護體系；②從外部對用戶的網(wǎng)絡邊界的完整性進行有效監(jiān)控(即網(wǎng)絡隔離度監(jiān)控)；③從內部通過補丁管理，防病毒軟件管理，入網(wǎng)設備聯(lián)網(wǎng)狀況管理，軟件安裝狀況管理，客戶硬件狀況管理等手段，完成對網(wǎng)絡客戶端的全面監(jiān)控和管理；④為網(wǎng)絡建設一個完善的客戶端防護體系，從根本上解決了網(wǎng)絡客戶端安全管理的問題；⑤有效地減少了網(wǎng)管人員的勞動強度，縮短了故障處理時間；⑥添加桌面安全管理系統(tǒng)使我廠的網(wǎng)絡安全進一步強化，在全廠實現(xiàn)了終端到終端的全面管理和控制；⑦在計算機管理上，用該軟件在所有的計算機上把MAC地址與IP地址進行綁定，使非法計算機無法進入網(wǎng)絡，杜絕了內網(wǎng)人員使用未經(jīng)授權的u盤，避免u盤病毒傳人的危險，關閉了可能存在的安全隱患。

4.2結語

桌面安全管理系統(tǒng)是繼軟硬件防火墻之后又一強大的安全防護管理軟件。這一產品的合理使用，把網(wǎng)絡管理的概念由過去的路由交換層延伸到了終端，使網(wǎng)絡安全得到更大的加強與鞏固。我單位網(wǎng)絡中心使用桌面系統(tǒng)的封閉端口和終止服務等功能，有效的控制了大部分病毒傳播途徑，縮短了補丁發(fā)布和漏洞公布之間的響應時間，真正意義上保證了終端安全，也成為應急響應和臨時變通安全方案的重要工具。總之，桌面安全管理系統(tǒng)與防火墻、殺毒軟件、等系統(tǒng)聯(lián)動，提高了內網(wǎng)的計算機信息安全，減輕了運維人員的工作，保證網(wǎng)絡的暢通，更加確保了設計生產工作的正常運行。