宋國紅

摘 要：2010年，山西空管分局建設了生產(chǎn)信息化系統(tǒng)，通過計算機網(wǎng)絡實現(xiàn)了各部門之間的公文流轉、信息共享，為部門管理提供了快速、便捷的無紙化辦公方式。目前，山西空管分局生產(chǎn)信息化系統(tǒng)網(wǎng)絡中擁有約110臺辦公電腦終端。這些設備在提高辦公效率的同時，也存在著維護、監(jiān)管和網(wǎng)絡信息安全等方面的問題。桌面終端管理系統(tǒng)為維護人員提供了一個實時監(jiān)控的平臺。主要闡述了桌面管理系統(tǒng)的功能及其在設備日常維護工作中的應用，以提高維護工作的效率，保障網(wǎng)絡信息安全。

關鍵詞：桌面終端管理系統(tǒng)；信息化系統(tǒng)；客戶端；遠程控制

中圖分類號：R197.324 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.22.007

山西空管分局于2010年接入生產(chǎn)信息化系統(tǒng)，實現(xiàn)了自動化辦公。起初，為了防止病毒侵入、信息泄露等網(wǎng)絡安全問題，山西空管分局制定了一系列完善的辦公電腦管理制度，監(jiān)控和維護工作全權由維護人員負責。這樣，不僅導致維護人員的工作量大、效率低，還存在管理漏洞和風險。引入桌面終端管理系統(tǒng)后，實現(xiàn)了對客戶端的實時管控，從技術層面給維護工作帶來了很大的幫助。下面將著重介紹如何利用桌面管理系統(tǒng)來保障生產(chǎn)信息化系統(tǒng)的正常運行。

1 生產(chǎn)信息化系統(tǒng)介紹

山西空管分局生產(chǎn)信息化系統(tǒng)將H3C7503核心交換機作為系統(tǒng)的核心節(jié)點，連接了生產(chǎn)信息系統(tǒng)、桌面終端管理系統(tǒng)、檔案系統(tǒng)、電子值班系統(tǒng)、殺毒系統(tǒng)、準入系統(tǒng)等6個服務器；通過H3C3600、H3C3100、H3C5100等網(wǎng)絡交換機和PCM設備連接了分布在6個不同地理位置、包括各個部門的近110臺辦公電腦；通過MSR3020路由器接入華北空管局生產(chǎn)信息網(wǎng)，實現(xiàn)與上級部門的信息傳遞和共享。生產(chǎn)信息化系統(tǒng)的網(wǎng)絡結構如圖1所示。

圖1 生產(chǎn)信息化系統(tǒng)網(wǎng)絡結構圖

為了保證網(wǎng)絡安全，生產(chǎn)信息化網(wǎng)絡中采用了專門的網(wǎng)絡通道技術、物理隔離技術、安全網(wǎng)段劃分、安全防護設施（例如防火墻、入侵檢測、漏洞掃描）等手段，而這些手段的應用就依賴于桌面終端管理系統(tǒng)。通過桌面終端管理系統(tǒng)，可以實時、便捷地監(jiān)控所有接入的電腦，及時發(fā)現(xiàn)終端設備的系統(tǒng)漏洞，控制移動存儲設備接入內(nèi)網(wǎng)，防范內(nèi)網(wǎng)設備違規(guī)進入外網(wǎng)，同時還可以統(tǒng)一管理終端設備，在保障網(wǎng)絡安全的同時，提高維護人員的工作效率。

2 桌面終端管理系統(tǒng)的安裝和使用

2.1 桌面終端管理系統(tǒng)介紹

桌面終端標準化管理系統(tǒng)是一個實時的安全監(jiān)控系統(tǒng)，被廣泛應用于局域網(wǎng)、廣域網(wǎng)的構架，跨網(wǎng)段、跨地域的內(nèi)網(wǎng)遠程客戶端管理及非法移動設備接入檢測、網(wǎng)內(nèi)計算機違規(guī)聯(lián)網(wǎng)監(jiān)視、網(wǎng)絡安全隔離度監(jiān)控等領域，提供了防火墻、IDS、防病毒系統(tǒng)、專業(yè)網(wǎng)管軟件所不能提供的防護功能。

桌面終端標準化管理系統(tǒng)由WinPcap程序、SQL Server管理信息庫、Web中央管理配置平臺、區(qū)域管理器、客戶端注冊程序、補丁下載服務器、管理器主機保護模塊、報警中心模塊8個部分組成，由安裝在各計算機設備上的客戶端軟件和安裝在管理服務器上的控制端軟件兩部分進行功能處理，并通過前臺瀏覽器訪問后臺管理信息數(shù)據(jù)庫進行系統(tǒng)管理。桌面終端標準化管理系統(tǒng)的工作流程如圖2所示。

圖2 桌面終端標準化管理系統(tǒng)的工作流程

2.2 客戶端的安裝和注冊

山西空管分局的每臺辦公電腦在接入生產(chǎn)信息化系統(tǒng)之前，都要先通過業(yè)務部門的入網(wǎng)審核，分配IP地址，然后進行病毒查殺。安裝完成應用軟件后，登錄http：//10.5.32.6/vrveis桌面終端管理系統(tǒng)界面，點擊“工具下載”安裝用戶注冊器。桌面終端管理系統(tǒng)界面如圖3所示，客戶端下載界面如圖4所示。

圖3 桌面終端管理系統(tǒng)界面

圖4 桌面終端管理系統(tǒng)客戶端下載界面

注冊器安裝完成后，對辦公電腦進行注冊認證。桌面終端

管理系統(tǒng)自動將注冊信息和系統(tǒng)自動采集獲得的設備信息導入SQL數(shù)據(jù)庫保存，同時將桌面終端管理系統(tǒng)中的客戶端參數(shù)策略發(fā)送給客戶端駐留程序保存執(zhí)行。

在注冊成功以后，注冊程序自動收集和上報的信息包括使用人、部門名稱、聯(lián)系電話、IP地址、MAC地址、設備型號和主板信息等。

這里要說明的是桌面管理系統(tǒng)的首次安裝需由系統(tǒng)維護人員完成，只有注冊之后的電腦才會處于桌面系統(tǒng)的管理和監(jiān)控之下。一旦某個客戶端的信息被改變，桌面系統(tǒng)就會發(fā)送報警數(shù)據(jù)。

2.3 策略管理

策略管理就是，制訂整體安全策略后督促全網(wǎng)執(zhí)行，禁止移動存儲設備隨意接入內(nèi)網(wǎng)。以往，為了防止病毒侵入網(wǎng)絡系統(tǒng)和信息泄露，山西空管分局在制度上嚴禁生產(chǎn)信息化辦公電腦隨意接入存儲設備，例如移動硬盤、U盤等，并用封條封閉電腦USB口。盡管這樣，仍然無法禁止用戶私自開啟封條接入存儲設備復制數(shù)據(jù)，導致極大的安全隱患。而桌面終端管理系統(tǒng)的策略管理可以從技術上解決這一問題。

山西空管分局制定的策略包括關閉USB口策略、開放USB口策略和臨時開放USB口策略。用戶注冊后自動啟用關閉USB口策略；對經(jīng)過審核、可使用移動存儲設備的用戶下發(fā)開放USB口策略；對于工作需要臨時接入移動存儲設備的用戶，在業(yè)務主管部門審核同意后啟用臨時開放USB口策略，同時提供專用移動存儲設備進行操作。這樣從制度和技術兩個層面實現(xiàn)了終端用戶的網(wǎng)絡信息安全管理。

2.4 阻斷違規(guī)接入管理

阻斷違規(guī)接入管理可以控制由外來設備接入內(nèi)網(wǎng)而造成的安全威脅，如圖5所示。在接入控制設置中勾選“沒有注冊則阻斷聯(lián)網(wǎng)” 便可阻斷未注冊設備連接生產(chǎn)信息化系統(tǒng)，同時在設置中還可以啟用IP和MAC地址的綁定進行檢查，保證每個IP地址用戶的唯一性。

圖5 阻斷違規(guī)設置界面

之前在沒有接入桌面終端管理系統(tǒng)時，任何一臺電腦都有可能接入到網(wǎng)絡中，僅依靠制度上的監(jiān)管存在很大的漏洞，維護人員需要定期現(xiàn)場檢查辦公電腦的使用情況。另外，還可能存在多個電腦通過一個IP進入網(wǎng)絡中，給網(wǎng)絡管理帶來了很大的難度，而阻斷違規(guī)接入管理可以很好地解決類似問題。

2.5 數(shù)據(jù)查詢

山西空管分局的約110臺辦公電腦分布在辦公樓、航管樓、塔臺、后服、車隊等各個地方。在以往的網(wǎng)絡信息安全檢查中，要耗費大量的人力和時間逐個檢查每臺電腦，并記錄檢查結果。不僅如此，還可能因人為原因而造成漏檢，導致采集數(shù)據(jù)不準確。

桌面終端管理系統(tǒng)通過注冊自動采集設備信息，為維護人員提供數(shù)據(jù)查詢功能。查詢內(nèi)容包括計算機所屬區(qū)域、部門、使用人、設備IP、MAC、注冊、重新注冊、信任、保護、阻斷、開機、殺毒軟件、殺毒廠商等。同時，桌面終端管理系統(tǒng)還為維護人員提供了統(tǒng)計數(shù)據(jù)功能，例如本地注冊情況統(tǒng)計，可查詢擁有的客戶端總數(shù)、注冊情況、注冊率、在線設備、安裝殺毒軟件的數(shù)量；本地設備資源統(tǒng)計，可查詢客戶端所安裝的操作系統(tǒng)類型、各個操作系統(tǒng)所安裝的設備臺數(shù)及其所占比例等。

維護人員需要注意的是，如果注冊后需要更換電腦或重裝系統(tǒng)時，必須卸載桌面系統(tǒng)的客戶端，完成更換和系統(tǒng)安裝后重新注冊；否則會造成同一IP查詢出現(xiàn)更新前和更新后的兩條信息，造成信息混亂。如果查詢出現(xiàn)重復信息，首先要確定原因，然后根據(jù)注冊時間人工刪除不正確的信息，保證信息的唯一性和正確性。

維護人員還可以將查詢的數(shù)據(jù)轉換成Word文檔作為設備資料保存，為之后的工作提供便利。

2.6 報警管理

圖6 報警數(shù)據(jù)顯示界面

桌面終端管理系統(tǒng)可實時監(jiān)控客戶端，一旦發(fā)現(xiàn)注冊信息和策略有異常，就會自動生成報警數(shù)據(jù)提示維護人員。報警內(nèi)容包括阻斷、IP與MAC綁定變化、違規(guī)外聯(lián)、設備變化、流量異常、探頭卸載侵入、病毒、違規(guī)上網(wǎng)等。

報警數(shù)據(jù)顯示界面如圖6所示。維護人員通過每天定時查看報警數(shù)據(jù)，就可以及時發(fā)現(xiàn)網(wǎng)絡中存在的問題，尤其是非法外聯(lián)、流量異常和病毒侵入等，為運行維護中的故障處理提供了技術支持，能夠幫助維護人員快速鎖定有問題的客戶端，從而盡快處理。

2.7 終端管理

桌面終端管理系統(tǒng)能夠對網(wǎng)絡中的客戶終端信息進行點對點式的控制、管理，只需要在終端管理界面中輸入終端的IP地址，就可以遠程訪問該IP地址的終端，對該終端進行操作。終端管理界面如圖7所示。

圖7 終端管理界面

維護人員不僅可以遠程檢查終端的進程、服務、軟件、端口、系統(tǒng)漏洞、安全日志、共享資源、策略等項目，還可以遠程點對點地實時發(fā)送消息，提供全盤殺毒或制訂某一目錄的殺毒程序，修改客戶端計算機的名稱、IP和DNS等網(wǎng)絡配置，斷開和恢復客戶端聯(lián)網(wǎng)，卸載客戶端探頭，重啟或關閉客戶端計算機。在維護過程中，通過遠程訪問，就可以為終端用戶提供與現(xiàn)場一樣的服務。需要注意的是，維護人員首先要與用戶溝通，達成一致意見后才可維護，避免造成資料丟失等問題，影響用戶的工作。

3 結束語

自山西空管分局使用信息化系統(tǒng)以來，維護人員從網(wǎng)絡安全的角度出發(fā)，制訂了整體安全策略，并結合制度，利用桌面終端管理系統(tǒng)從技術上實現(xiàn)了對辦公電腦設備的統(tǒng)一管理，實現(xiàn)了對內(nèi)網(wǎng)設備違規(guī)進入外網(wǎng)、移動設備隨意接入內(nèi)網(wǎng)等行為的防范。桌面終端管理系統(tǒng)的功能還有待進一步開發(fā)，因為在維護過程中，桌面終端管理系統(tǒng)無法監(jiān)控WIN7系統(tǒng)用戶。對于這種情況，目前的解決方法是更換操作系統(tǒng)。而面對未來的發(fā)展趨勢，這將是應用開發(fā)的一個新課題。

〔編輯：王霞〕