引言：終端運維是一項繁瑣而重要的工作，運維水平的高低直接關(guān)系到整個系統(tǒng)運行的效果。單位內(nèi)部辦公網(wǎng)使用天擎終端安全管理系統(tǒng)后，實現(xiàn)了桌面管理高效化、終端安全全面化、運維工作規(guī)范化，為內(nèi)部辦公系統(tǒng)高效運行奠定了堅實的基礎(chǔ)。

隨著辦公自動化日益普及，IT運維難度也越來越高。本文以部署使用的天擎終端安全管理系統(tǒng)為例，詳細(xì)介紹如何在單位內(nèi)部網(wǎng)絡(luò)中建立計算機終端安全管理防護體系，以提升運維效率。

單位內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)

單位網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，自辦公網(wǎng)投入使用以來，計算機終端數(shù)量從最初四百余臺迅速增長至一千余臺，隨著終端數(shù)量的增多，在管理和使用上問題越來越多，如果繼續(xù)沿用之前粗放式方式進(jìn)行運維管理，就無法保證內(nèi)部辦公網(wǎng)絡(luò)正常高效運行。在內(nèi)網(wǎng)中部署天擎終端安全管理系統(tǒng)則很好地解決了此問題。

桌面統(tǒng)一高效管理

1.自動升級

圖1 單位內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)

內(nèi)部辦公網(wǎng)為物理隔離網(wǎng)絡(luò)，禁止與互聯(lián)網(wǎng)進(jìn)行通訊，所以使用天擎隔離升級代理工具進(jìn)行升級工作，這樣內(nèi)網(wǎng)中的電腦就無須連接到互聯(lián)網(wǎng)就能完成升級。服務(wù)器在沒有運維管理人員參與的情況下也能對管理控制臺軟件、客戶端病毒特征庫、系統(tǒng)應(yīng)用的漏洞補丁進(jìn)行自動下載、升級與安裝。

2.遠(yuǎn)程協(xié)助

由于辦公網(wǎng)終端分布范圍廣，運維人員人數(shù)有限，故當(dāng)終端發(fā)生故障或操作困難時，運維人員可以遠(yuǎn)程協(xié)助功能對終端進(jìn)行故障排查，并指導(dǎo)用戶如何正確使用相關(guān)業(yè)務(wù)系統(tǒng)。由此縮短故障響應(yīng)時間，提高工作效率。

3.外設(shè)管理

內(nèi)部辦公網(wǎng)絡(luò)涉及敏感數(shù)據(jù)信息，故需要對主機所能連接的外部設(shè)備進(jìn)行嚴(yán)格管控。終端安全管理系統(tǒng)能實現(xiàn)對USB接口、光驅(qū)等輸入輸出設(shè)備進(jìn)行準(zhǔn)入控制，以此實現(xiàn)主機的數(shù)據(jù)安全。

4.審計管控

終端安全管理系統(tǒng)可以對文件進(jìn)行審計與管控，能夠?qū)χ付窂交驍U展名文件的讀取、修改、刪除、移動等行為進(jìn)行限制及審計，同時，對于終端共享目錄的輸出、讀取及終端用戶對網(wǎng)絡(luò)文件的訪問也可進(jìn)行詳細(xì)的審計。另外，系統(tǒng)也可以對打印進(jìn)行審計與管控，對終端的打印動作、打印文件信息進(jìn)行審計，也可禁止使用打印機或禁止打印某類文件，可有效防止核心數(shù)據(jù)通過紙質(zhì)文件外泄。

終端安全統(tǒng)一加固

1.病毒防護

目前，隨著病毒的大量出現(xiàn)，傳統(tǒng)的本地病毒庫查殺方式已經(jīng)無法滿足對已知病毒的查殺要求。而終端安全管理系統(tǒng)就是基于云查殺檢測引擎，并采用雙病毒檢測引擎與雙病毒特征庫技術(shù)。其框架如圖2，這是完全不同的兩套獨立的病毒庫和檢測引擎，能對已知病毒進(jìn)行有效檢測和查殺。

2.防黑加固

系統(tǒng)能夠?qū)蛻舳诉M(jìn)行防黑加固功能，以滿足有針對性的監(jiān)控需求。能夠?qū)K端密碼復(fù)雜度、生存期和密碼歷史進(jìn)行檢查，如不滿足設(shè)定條件，系統(tǒng)將提示終端用戶修改；對重點端口進(jìn)行監(jiān)控，并支持自定義端口監(jiān)控與上報；顯示終端開啟的共享目錄并對共享目錄進(jìn)行管理，監(jiān)控用戶和用戶組賬號權(quán)限變化，同時上報日志。

3.主機安全

圖2 防病毒和惡意代碼功能框架

系統(tǒng)能夠在內(nèi)網(wǎng)終端之間建立訪問控制機制，杜絕非業(yè)務(wù)需求下的終端互訪現(xiàn)象，遏制網(wǎng)內(nèi)主機發(fā)起的攻擊：一是基于IP、端口和主機的訪問控制策略，實現(xiàn)同子網(wǎng)或不同子網(wǎng)內(nèi)終端之間的訪問控制。訪問控制策略在控制中心集中定義，可根據(jù)不同分組按需下發(fā)，分布式執(zhí)行，簡潔高效。在不需要對原有網(wǎng)絡(luò)設(shè)備做任何調(diào)整的前提下實現(xiàn)細(xì)致的安全域訪問控制管理；二是可禁止終端ping出、ping入，有效遏制內(nèi)網(wǎng)嗅探行為。

4、安全檢查

根據(jù)終端的安全狀況，決定其是否能接入內(nèi)部網(wǎng)絡(luò)之中，最終目的是強制終端落實規(guī)定的安全防范措施，進(jìn)行安全加固工作，隔離具有安全隱患的終端。

終端遠(yuǎn)程統(tǒng)一運維

1.分發(fā)軟件

終端安全管理系統(tǒng)可以對指定終端強制推送軟件，推送時，可以按照用戶ID、IP地址等條件選擇推送范圍。通過此功能，將以往重復(fù)且繁瑣的軟件安裝變成了一項輕松的工作。

2.統(tǒng)計功能

統(tǒng)計當(dāng)前在線、離線的用戶數(shù)量，并提供查詢功能，查詢指定的用戶是否在線，查詢指定的組內(nèi)在線、離線的用戶數(shù)量：一是統(tǒng)計全網(wǎng)在線與離線終端的數(shù)量，同時給出這些終端的IP、MAC、主機名、對應(yīng)的用戶名、用戶所屬的部門等；二是根據(jù)時間、部門、用戶名、IP、MAC查詢主機的在線與離線狀態(tài)，并可導(dǎo)出成EXCEL格式。

3.定制安裝

管理員可以定制終端安裝包，這樣在終端進(jìn)行系統(tǒng)部署時，無需進(jìn)行額外交互操作即可完成安裝。終端也可以通過訪問網(wǎng)頁頁面實現(xiàn)一鍵式安裝。另外，管理員在控制端為終端定制的安裝包，也可以植入終端所需連接的DNS、IP地址、端口信息，并將這些信息寫入安裝包配置文件中的方式植入到安裝包中，從而簡化終端的配置過程，實現(xiàn)一鍵式安裝。