彭聰+劉婉瀾+劉冰

摘 要 本文介紹了桌面終端安全管控系統(tǒng)的要求、功能及在企業(yè)應用的舉措，突出了桌面終端管理系統(tǒng)在企業(yè)信息化建設及信息安全防護體系中的重要作用。

關鍵詞 桌面終端 安全管控系統(tǒng) 信息安全防護

中圖分類號：TP393 文獻標識碼：A

0 引言

隨著公司管理的桌面終端數量的增多，同時人員體系復雜，終端部署位置分散，會導致信息安全風險的提高。傳統(tǒng)單一、分散的終端管理模式已不能適應新形勢下的管理需求，不能實現(xiàn)有效且安全的桌面終端管控，對桌面終端的故障處理也不能在公司層面統(tǒng)一監(jiān)控和調度管理。

為了全面提升桌面安全防護水平，在桌面終端的日常管理措施中，可加強桌面接入流程管理，全面簽訂安全責任書和安全承諾書，加強信息安全考核管理，同時加大培訓力度，提高全體員工的桌面安全管理意識。在技術層面，可通過桌面安全管控實現(xiàn)對桌面終端、注冊用戶、IP 地址、介質訪問控制（Media Access Control，MAC）地址、交換機物理端口等的統(tǒng)一匹配管理，確保桌面終端安全，提高企業(yè)的安全防護能力，從而提高辦公效率和經濟效益。

1 桌面管控系統(tǒng)的要求及功能

1.1 桌面管控系統(tǒng)的要求

非法接入與違規(guī)外聯(lián)是公司網絡安全的重大威脅，為此應確保不發(fā)生非法接入、違規(guī)外聯(lián)，確保桌面終端數據信息的完整、可用以及機密性，防止病毒、木馬及黑客攻擊等各類威脅而導致的信息被破壞、系統(tǒng)不可用、服務中斷，以及由此引起的安全事件。保障桌面終端安全，一方面可通過各類途徑提高使用人員的信息安全防范意識和防護水平，另一方面可通過技術手段加強對桌面終端的安全防護能力，以此杜絕可能出現(xiàn)的安全隱患。

1.2 桌面管控系統(tǒng)的功能

桌面終端管理系統(tǒng)功能范疇包括桌面終端計算機資產管理、軟件管理、補丁管理、安全管理。其中，資產管理主要針對桌面終端詳細的軟、硬件資產現(xiàn)狀及變更等進行管理；軟件管理包括軟件分發(fā)、配置管理、遠程控制和軟件計量等；補丁管理包括防病毒軟件和系統(tǒng)的補丁更新及報警管理等；安全管理包括對病毒防范、安全準入、非法外聯(lián)、安全評估、用戶行為進行管理等，從而支持對桌面終端完整的全生命周期管理。

2 桌面管控系統(tǒng)的實施

桌面終端管控系統(tǒng)在用戶接入網絡前，通過統(tǒng)一管理的安全策略檢查終端的安全健康狀態(tài)，對不符合安全標準的用戶進行“隔離”并強制用戶進行病毒升級、系統(tǒng)補丁安裝等操作，在保障用戶終端具備自防御能力并安全接入的前提下，可以通過動態(tài)分配網絡權限，從而提高網絡的整體安全水平。

3 企業(yè)桌面安全管控系統(tǒng)的應用舉措

3.1 桌面終端安全防護

對終端進行統(tǒng)一分配，由專業(yè)部門負責操作系統(tǒng)及應用軟件的安裝，確保在系統(tǒng)安裝完成后進行必要的安全加固。在入網時執(zhí)行統(tǒng)一的準入策略和桌面管理系統(tǒng)安全策略，并通過入網后的定時檢查與維護確保桌面終端的信息安全。部署統(tǒng)一的防病毒軟件，并安裝必要的應用軟件。對未注冊和未安裝防病毒的設備強制下線，以確保內外網桌面終端注冊率及防病毒軟件安裝率。內外網桌面終端入網后，由專業(yè)人員在接入交換機上進行IP-MAC-端口-責任人綁定，并將交換機上未使用的端口關閉，以防止非法接入。

3.2 桌面終端安全準入

部署安全準入網關實現(xiàn)信息內網終端的準入管理。桌面終端接入信息內網時首先要進行安全準入檢測，首先檢測是否在桌面管理系統(tǒng)中注冊，若無注冊則自動跳轉到指定的URL 安裝注冊軟件，接著檢測是否安裝殺毒軟件和補丁，若此終端未安裝殺毒軟件則自動跳轉到指定的URL 安裝殺毒軟件；若系統(tǒng)補丁安全檢測到不合格，則提示到指定的URL進行補丁升級。安全準入網關還可以通過弱口令檢測、默認共享檢測等安全策略共同確保信息內網接入終端的安全可靠運行。

3.3 杜絕信息敏感字

通過上網行為審計系統(tǒng)與防火墻聯(lián)動，控制郵箱敏感字，包含敏感字的郵件將被丟棄，確保不發(fā)送含敏感字的郵件。通過內網保密檢測系統(tǒng)敏感信息檢查執(zhí)行率查詢，可及時查找與定位不符合要求的桌面終端并進行處理，確保該指標達到100%，有效杜絕信息敏感字。

3.4 外網桌面終端防護

對外網終端實施準入控制，對未注冊和未安裝防病毒的設備強制下線，對含有敏感字的文檔進行告警提醒，以確保外網桌面終端注冊率及防病毒軟件安裝率。

3.5 桌面管理系統(tǒng)安全策略

在桌面管理系統(tǒng)中啟用基準策略?！爸鳈C安全策略”，啟用用戶密碼策略，強制桌面終端系統(tǒng)口令符合復雜度要求，以防發(fā)生弱口令事件；“接入認證策略”，啟用補丁與殺毒軟件認證，確保內網終端防病毒軟件實時監(jiān)控率；“硬件設備控制”策略，禁止使用調制解調器、紅外設備、藍牙設備；啟用“進程執(zhí)行監(jiān)控”策略；禁用無線網卡設備；啟用“協(xié)議防火墻策略”，只允許桌面終端訪問內網地址；啟用“IP 與MAC 綁定”策略，禁用冗余網卡，禁止修改IP 與網關，以防發(fā)生違規(guī)外聯(lián)事件；執(zhí)行“文件內容檢查”、“終端涉密檢查”、“文件動態(tài)監(jiān)控”，確保敏感信息檢查執(zhí)行率及保密檢測系統(tǒng)安裝率。

3.6 常態(tài)化開展安全檢查與運維

定期利用漏洞掃描設備進行全網掃描，對掃描出的漏洞及問題及時進行整改；基線掃描設備發(fā)現(xiàn)終端不符合基線要求的，通過桌面終端程序下發(fā)統(tǒng)一的符合基線要求的策略，確保桌面終端符合基線安全要求；信息運檢班值班人員每日實時監(jiān)測準入桌面管理系統(tǒng)和IMS系統(tǒng)的各類指標，發(fā)現(xiàn)異常及時處理，以提升信息安全水平。

參考文獻

[1] 馬之力，張馴，崔阿軍等.電網企業(yè)網絡準入體系設計及應用[J].電力信息與通信技術，2015，13（5）：127-129.