关于桌面终端安全管控系统的研究

关于桌面终端安全管控系统的研究

张莹陈慧

国网宜昌供电公司湖北宜昌443000

摘要：信息网络安全防护工作涉及的范围极其广泛，从网络架构到边界隔离，从应用系统到数据传输，从服务器到存储介质，都是网络安全重要的一环。然而管理难度最大、安全防护最薄弱的还是桌面终端设备。本文分析了桌面终端的安全防护内容，介绍了终端面临的安全管理问题，给出了北信源桌面管控系统的架构，最后详细介绍了该系统在终端管理上的核心功能，希望能够提升桌面终端安全防护能力，保障信息网络安全。

关键词：桌面终端；信息安全防护；安全管控系统

1桌面终端安全防护的内容

已经拥有防火墙、IDS、防病毒系统、网管软件，为什么网络管理和网络安全仍然很麻烦？桌面终端是创建和存放重要数据的源头，多数的攻击事件都是从终端发起的，数据泄露和蠕虫病毒感染等也是因为终端脆弱性引起。据统计，目前70%以上的管理和安全问题来自终端，桌面终端是信息安全的盲区和企业网络安全的短板。做好桌面终端的安全防护显得迫切而十分必要。

桌面终端安全防护主要包括的内容：有效进行网络终端资源资产管理；保障网络的物理隔离；监控外来设备的随意接入网络现象；全面、彻底的实现终端的控制与管理；对非正常终端（安全事件源）快速定位，有效阻断；有效监控系统补丁、防病毒软件的安装情况；防止涉密文件泄露；移动存储介质的保护和安全问题。

2桌面终端面临的安全管理问题

桌面终端（安全）管理作为制约网络安全的瓶颈，消耗了绝大部分信息运维人员的精力。随着网络的不断扩大和应用的不断扩展，客户端管理的矛盾还将日益突出。终端安全管理主要存在以下问题：

（1）日常工作繁琐，急需先进的技术手段提高工作效率。终端用户大部分缺乏网络安全知识，终端维护工作量庞大，而网络运维人员有限，难以有效地管理数量庞大的客户端设备。需要先进的管控系统来提升运维效率，如自动统计区域内的IT资产信息，统一配置安全策略，及时下发并安装系统漏洞补丁等。

（2）桌面终端安全防护和管控能力薄弱。IP地址规划不合理，IP地址未和MAC未按要求绑定，造成终端违规接入网络时，管理员不能及时定位并隔离事故终端。对于违规操作缺乏有效地实时监控，而造成重要文档任意流转，企业机密信息存在泄漏风险。因移动存储介质管控不力而导致内网计算机感染病毒、网络被攻击的现象依然存在。

3桌面管理系统的架构

目前电力企业主要采用北信源桌面管控系统，该系统包含的组件有SQLServer管理信息库、中央管理配置平台、区域管理器、客户端注册程序、补丁文件，系统架构如图1所示。

图1北信源桌面终端管控系统结构图

（1）管理信息库：用来存放和管理各种策略、系统组件运行参数配置、网络客户端设备信息、补丁及相关信息、报警、日志等各种信息。

（2）中央管理配置平台：管控系统的操作管理中心，基于web浏览器方式工作，用于系统应用策略制订，配置系统组件运行参数，维护系统等操作，并显示网络设备和本系统组件状态信息、报警信息和各种日志记录等。在中央管理配置平台进行的所有操作过程和结果数据均存储在管理信息库中。

（3）区域管理器：管控系统的数据处理中心、从管理信息库获取来自控制台的各种策略和命令操作，发送到客户端和扫描器后执行。区域管理器接收扫描器的信息和客户端程序提供的各类状态和报警信息，并发送到管理信息库，管理人员通过中央管理配置平台查阅这些数据。

（4）设备扫描器：主要功能是扫描网络中主机状态，查看是否已经安装客户端注册程序，巡检网络设备状态变化信息，及时通知客户端驻留程序更新应用参数，对客户端的违规行为的阻断也是由扫描器在接受控制台命令后执行。

（5）客户端程序：该程序模块按策略自动探测计算机系统相关信息和状态并上报给区域管理器，然后将这些数据存储到数据库；通过区域管理器接受管理员制定的策略，根据策略进行功能执行。同时，可以提供扩展安全管理功能。

4桌面管理系统的功能

桌面终端管理系统主要从终端状态、行为、事件三个方面来进行管理，包含终端接入管理等9项功能，如图2所示。

图2北信源桌面终端标准化管理核心功能

（1）终端接入管理：对终端计算机的联网接入行为进行审批授权管理，合理规划控制网络的使用，防止各种威胁导入。终端注册管理，物理位置定位；未注册终端拒绝入网管理（ARP阻断技术），禁止终端代理功能；IP和MAC绑定和自动恢复管理；禁止修改网关、禁用冗余网卡管理。

（2）主机及服务器运维管理：系统运行资源监控、流量异常监控、进程异常监控；CUP资源管理，硬盘资源管理，异常流量管理、内存资源、关键进程维护。

（3）安全管理：合理进行网络地址规划管理看，防范网络中用户随意修改网络地址，导致重要服务器瘫痪。非法外联行为监控、对桌面终端进行安全访问，入侵检测、安全接入、安全策略进行标准化管理，做好数据安全及备份恢复。

（4）IT资产管理：对所管控区域内的所有终端设备进行管理，包括设备软硬件设备信息、设备变更（接入、移出）情况、设备在线/离线监测、设备接口信息等。

（5）补丁管理：提供桌面终端所需的各种补丁漏洞信息、补丁安全检测、及补丁数据更新服务，实现网路终端补丁自动检测和分发安装。

（6）第三方接口联动：PKI/CA认证联动，防火墙联动，网管软件联动安全管理平台联动，其它第三方接口。

（7）事件报表及报警处置：终端信息数据统计分类，图形化信息数据输出，组态报表输出及查询管理，报警结果处置管理，安全事件源远程阻断。

5结束语

在电力系统中，桌面终端安全防护是一项复杂而艰巨的工作，信息运维人员不仅需要对终端本身进行安全管理，还要对终端用户的操作进行管控和规范。桌面管控系统强化了对终端设备的状态，行为以及事件的处理，实现了对全过程、全方位、全寿命周期的安全管理。桌面管控系统和防火墙，IDS、防病毒系统、专业网管软件共同构造了信息网络的安全防护网，保障了电力生产的安全、稳定运行。

参考文献：

[1]李达，彭立峰.桌面管控系统推广及移动存储管控应用研究[J].供用电，2010，27（02）.

[2]陶明峰，于桂波，徐胜朋，梁斌，邢艺欣.基于桌面管控技术的信息安全水平提升[J].电力信息与通信技术，2016，14（01）.

[3]周颖.北信源桌面终端管理系统在企业客户端管理中的应用[J].辽宁师专学报（自然科学版），2013，15（02）.

[4]杨小宁，李晓娥.桌面终端管理系统深化应用探析[J].电力信息化，2011，9（12）.