王天祺 尚飛宏 李 娜

王天祺 尚飛宏 李 娜

內(nèi)蒙古電力（集團(tuán)）有限責(zé)任公司巴彥淖爾電業(yè)局信息通信處 內(nèi)蒙古巴彥淖爾市 015000

【摘 要】通過(guò)桌面管控技術(shù)的研究與實(shí)施，規(guī)范了桌面終端入網(wǎng)的工作流程，提高了桌面終端的聯(lián)網(wǎng)工作效率，提高了桌面及整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全，有效增強(qiáng)了公司的信息安全防護(hù)水平。鑒于此，本文對(duì)桌面管控技術(shù)的信息安全水平提升進(jìn)行了分析探討。

【關(guān)鍵詞】桌面管控；終端；安全

一、桌面管控管理措施

1、全面簽訂信息安全責(zé)任書(shū)和承諾書(shū)

為保障公司信息安全，進(jìn)一步落實(shí)安全責(zé)任，提高全員信息安全意識(shí)，確保員工自覺(jué)遵守公司各項(xiàng)信息安全規(guī)章制度，某供電公司將信息安全責(zé)任書(shū)簽訂工作作為信息安全常態(tài)工作開(kāi)展，逐級(jí)簽訂安全責(zé)任書(shū)，與所屬各單位簽訂 《區(qū)域信息安全責(zé)任書(shū)》；所屬單位與本單位員工簽訂 《員工信息安全責(zé)任書(shū)》，簽署范圍為全體在職人員（包括公司員工、 外聘員工、 農(nóng)電工）；所屬單位與本單位信息外網(wǎng)計(jì)算機(jī)管理相關(guān)責(zé)任人簽訂 《信息外網(wǎng)安全責(zé)任書(shū)》，責(zé)任書(shū)明確車(chē)間信息安全責(zé)任、 信息安全目標(biāo)及員工信息安全注意事項(xiàng)，人員崗位變化或新進(jìn)員工需隨時(shí)補(bǔ)簽安全責(zé)任書(shū)；公司與部門(mén)、 部門(mén)與人員之間簽署 《信息安全承諾書(shū)》，有效地保障了信息安全。某供電公司同時(shí)注重普及員工信息安全常識(shí)，強(qiáng)化信息安全意識(shí)，以避免出現(xiàn)違規(guī)外聯(lián)、 防病毒軟件未運(yùn)行等信息安全違規(guī)行為。同時(shí)制作了統(tǒng)一的信息安全屏保和信息安全桌面程序，在屏保界面和辦公終端桌面增加了信息安全小知識(shí)、 操作注意事項(xiàng)、 信息安全提醒等內(nèi)容，并設(shè)置了屏保啟動(dòng)時(shí)間和密碼保護(hù)等功能。

2、強(qiáng)化內(nèi)網(wǎng)終端接入流程管理

某供電公司內(nèi)網(wǎng)桌面終端接入需遵守內(nèi)網(wǎng)終端接入的標(biāo)準(zhǔn)流程，市公司內(nèi)網(wǎng)終端接入由申請(qǐng)部門(mén)通過(guò)協(xié)同辦公系統(tǒng)簽報(bào)流程提報(bào)申請(qǐng)，由部門(mén)領(lǐng)導(dǎo)及公司分管領(lǐng)導(dǎo)審批后轉(zhuǎn)發(fā)信通分公司，由網(wǎng)控室分配 IP 地址、 調(diào)整終端準(zhǔn)入賬號(hào)并根據(jù)需要派發(fā)終端，符合入網(wǎng)條件的由運(yùn)維人員將內(nèi)網(wǎng)終端入網(wǎng)。市供電公司內(nèi)網(wǎng)桌面終端接入申請(qǐng)流程如圖 1 所示。

二、桌面管控技術(shù)措施

1、內(nèi)網(wǎng)桌面終端防護(hù)措施

為了加強(qiáng)信息內(nèi)網(wǎng)的桌面安全，市公司建立了桌面一體化防護(hù)體系，通過(guò)統(tǒng)一的準(zhǔn)入流程進(jìn)行終端的統(tǒng)一分配。由信通分公司負(fù)責(zé)操作系統(tǒng)及應(yīng)用軟件的安裝，確保在系統(tǒng)安裝完成后進(jìn)行必要的基礎(chǔ)加固，在入網(wǎng)時(shí)執(zhí)行統(tǒng)一的準(zhǔn)入策略和北信源策略，并通過(guò)入網(wǎng)后的定時(shí)檢查維護(hù)確保桌面終端的信息安全。

2、桌面終端加固措施

內(nèi)網(wǎng)桌面終端由某供電公司統(tǒng)一安裝操作系統(tǒng)和必要的應(yīng)用軟件，加強(qiáng)了桌面終端的基礎(chǔ)防護(hù)。在安裝操作系統(tǒng)后對(duì)用戶(hù)賬號(hào)與口令安全進(jìn)行策略設(shè)置，禁用 Guest 用戶(hù)，安裝信通分公司統(tǒng)一制作的信息安全屏保程序，部署統(tǒng)一的防病毒軟件，并安裝必要的應(yīng)用軟件（如 WPS、 準(zhǔn)入客戶(hù)端、 北信源客戶(hù)端等）。

3、準(zhǔn)入控制策略執(zhí)行

統(tǒng)一準(zhǔn)入控制客戶(hù)端，并由某供電公司統(tǒng)一管理賬戶(hù)，桌面終端接入內(nèi)網(wǎng)時(shí)首先要進(jìn)行網(wǎng)絡(luò)接入認(rèn)證，認(rèn)證通過(guò)后會(huì)接收到來(lái)自服務(wù)器的安全策略。接入內(nèi)網(wǎng)的桌面終端首先要安裝殺毒軟件和補(bǔ)丁，若此終端未安裝殺毒軟件則會(huì)自動(dòng)跳轉(zhuǎn)到指定的 URL 安裝殺毒軟件；若系統(tǒng)補(bǔ)丁安全檢測(cè)到不合格，則會(huì)提示到指定的 URL 進(jìn)行補(bǔ)丁升級(jí)。通過(guò)認(rèn)證的終端才允許進(jìn)入正常的工作 VLAN，同時(shí)為保證客戶(hù)端安全可靠運(yùn)行，服務(wù)器會(huì)下發(fā)多種安全策略，并實(shí)時(shí)監(jiān)測(cè)終端的運(yùn)行狀況。

4、北信源系統(tǒng)策略執(zhí)行

在北信源桌面系統(tǒng)中啟用 “硬件設(shè)備控制”策略，禁止使用調(diào)制解調(diào)器、 紅外設(shè)備、 藍(lán)牙設(shè)備；啟用“進(jìn)程執(zhí)行監(jiān)控” 策略；禁用無(wú)線(xiàn)網(wǎng)卡設(shè)備；啟用 “協(xié)議防火墻策略”，只允許桌面終端訪問(wèn)內(nèi)網(wǎng)地址；啟用 “IP 與 MAC 綁定” 策略，禁用冗余網(wǎng)卡，禁止修改IP 與網(wǎng)關(guān)，以防發(fā)生違規(guī)外聯(lián)事件；執(zhí)行 “文件內(nèi)容檢查” 、 “終端涉密檢查” 、 “文件動(dòng)態(tài)監(jiān)控”，確保敏感信息檢查執(zhí)行率及保密檢測(cè)系統(tǒng)安裝率指標(biāo)水平。

5、杜絕信息敏感字措施

通過(guò)上網(wǎng)行為審計(jì)系統(tǒng)與防火墻聯(lián)動(dòng)，控制郵箱敏感字，包含敏感字的郵件將被丟棄，確保不發(fā)送含敏感字的郵件。通過(guò)內(nèi)網(wǎng)保密檢測(cè)系統(tǒng)敏感信息檢查執(zhí)行率查詢(xún)，可及時(shí)查找與定位不符合要求的桌面終端并進(jìn)行處理，確保該指標(biāo)達(dá)到 100%，有效杜絕信息敏感字。

6、常態(tài)化的安全檢查與維護(hù)措施

定期利用漏洞掃描設(shè)備進(jìn)行全網(wǎng)掃描，對(duì)掃描出的漏洞及問(wèn)題及時(shí)進(jìn)行整改；基線(xiàn)掃描設(shè)備發(fā)現(xiàn)終端不符合基線(xiàn)要求的，通過(guò)北信源桌面終端程序下發(fā)統(tǒng)一的符合基線(xiàn)要求的策略，確保桌面終端符合基線(xiàn)安全要求；網(wǎng)控室專(zhuān)值值班人員檢查準(zhǔn)入控制和桌面系統(tǒng)的各類(lèi)指標(biāo)，發(fā)現(xiàn)異常及時(shí)處理，以提升信息安全水平。

三、桌面安全管控培訓(xùn)

某供電公司開(kāi)展了特色信息安全大講堂活動(dòng)，宣貫桌面管控，提升信息安全意識(shí)。根據(jù)省公司班組要求，結(jié)合信息專(zhuān)業(yè)工作實(shí)際，優(yōu)化組織實(shí)施，拓展培訓(xùn)模式，加強(qiáng)專(zhuān)業(yè)指導(dǎo)。同時(shí)以多種方式進(jìn)行信息安全宣貫，講解信息安全相關(guān)識(shí)，在培訓(xùn)學(xué)習(xí)中提高運(yùn)維與信息安全技能。技術(shù)培訓(xùn)大講堂遵循 “選、 抽、 評(píng)、 考”流程，內(nèi)容緊扣信息安全核心業(yè)務(wù)，以 “上講堂” 促 “學(xué)業(yè)務(wù)” 。事故分析大講堂則選擇信息安全事件，針對(duì)事件根源詳細(xì)分析原因，結(jié)合運(yùn)維現(xiàn)狀分析潛在問(wèn)題，討論制定整改方案和措施，適用于對(duì)各種信息安全事件進(jìn)行分析、 學(xué)習(xí)和制定防范措施。

加大信息安全培訓(xùn)力度，做到信息安全培訓(xùn)常態(tài)化，可使全員意識(shí)上和行動(dòng)上知行合一，確保安全管控措施到位，不發(fā)生信息安全事件。通過(guò)安全培訓(xùn)，使全員掌握信息安全的基本要求和桌面管控安全知識(shí)，提高安全意識(shí)，杜絕違規(guī)外聯(lián)。通過(guò)信息安全大講堂等多種形式的安全培訓(xùn)，某供電公司對(duì)桌面管控等信息安全相關(guān)內(nèi)容開(kāi)展了重點(diǎn)培訓(xùn)，提高了全員的技術(shù)水平和技能素質(zhì)，為保證信息安全提供了技術(shù)支撐。

四、桌面云系統(tǒng)搭建方案

1、桌面云的系統(tǒng)層次

根據(jù)企業(yè)應(yīng)用情況，可以將桌面虛擬化系統(tǒng)部署分為五層：桌面設(shè)備層，應(yīng)用發(fā)布層，虛擬平臺(tái)層，虛擬桌面管理層，后端存儲(chǔ)層。桌面設(shè)備層：接入本系統(tǒng)的桌面層設(shè)備，包括維護(hù)瘦客戶(hù)端及營(yíng)業(yè)廳瘦客戶(hù)端。其中，營(yíng)業(yè)廳瘦客戶(hù)端不包含在本期工程投資范圍內(nèi)。虛擬桌面管理層：對(duì)瘦客戶(hù)端進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)身份認(rèn)證、準(zhǔn)入管理、軟件管理、資產(chǎn)管理、桌面安全策略、文檔安全等功能。應(yīng)用發(fā)布層：負(fù)責(zé)承擔(dān)所有瘦客戶(hù)端的發(fā)布任務(wù)，安裝各種應(yīng)用，供用戶(hù)調(diào)用，用戶(hù)可以通過(guò)應(yīng)用發(fā)布系統(tǒng)訪問(wèn)各種業(yè)務(wù)應(yīng)用。

2、桌面云系統(tǒng)的業(yè)務(wù)邏輯

第一，瘦客戶(hù)端服務(wù)器通過(guò)虛擬桌面管理層實(shí)現(xiàn)終端和虛擬機(jī)的連接控制及策略設(shè)置；第二，虛擬機(jī)服務(wù)器將后臺(tái)的物理服務(wù)器虛擬化為多個(gè)虛擬機(jī)，并提供操作系統(tǒng)環(huán)境，供瘦客戶(hù)端使用；第三，應(yīng)用發(fā)布系統(tǒng)將后臺(tái)應(yīng)用發(fā)布出來(lái)提供給瘦客戶(hù)端，并對(duì)應(yīng)用的訪問(wèn)制定相應(yīng)策略。

結(jié)束語(yǔ)

今后供電公司將繼續(xù)深入研究桌面管控及信息安全管理的典型經(jīng)驗(yàn)和做法，完善桌面安全管理，加強(qiáng)縣公司安全防護(hù)，夯實(shí)桌面管控的基礎(chǔ)，進(jìn)一步提升信息安全防護(hù)水平，以適應(yīng)未來(lái)信息安全的更高要求。

參考文獻(xiàn)：

[1]許敏. 基于云計(jì)算的醫(yī)院信息技術(shù)平臺(tái)的構(gòu)建與研究[D].廈門(mén)大學(xué)，2014.

[2]劉輝舟. 供電企業(yè)內(nèi)網(wǎng)終端主動(dòng)式安全防御體系建設(shè)[J]. 計(jì)算機(jī)安全，2014.