于寶東

（中國石化銷售浙江石油分公司，杭州 310009）

桌面安全系統(tǒng)助力石化企業(yè)計(jì)算機(jī)終端管理

于寶東

（中國石化銷售浙江石油分公司，杭州 310009）

隨著信息網(wǎng)絡(luò)技術(shù)在中國石化的廣泛應(yīng)用，內(nèi)網(wǎng)計(jì)算機(jī)終端管理作為一個(gè)綜合的系統(tǒng)問題已經(jīng)成為整個(gè)信息網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)，它涉及管理計(jì)算機(jī)本身、計(jì)算機(jī)應(yīng)用、計(jì)算機(jī)操作者、計(jì)算機(jī)使用規(guī)范等多個(gè)方面。合理部署一套計(jì)算機(jī)桌面終端管理系統(tǒng)，從網(wǎng)絡(luò)介入認(rèn)證，防病毒軟件管理，系統(tǒng)補(bǔ)丁分發(fā)，系統(tǒng)賬號(hào)安全策略管理等多方面加強(qiáng)網(wǎng)內(nèi)計(jì)算機(jī)終端安全，對(duì)整個(gè)信息網(wǎng)絡(luò)系統(tǒng)預(yù)防泄露安全事件發(fā)生有著重要意義。

桌面終端；安全策略；信息安全

一直以來，安全防御理念局限在常規(guī)的網(wǎng)關(guān)級(jí)別［防火墻等］、網(wǎng)絡(luò)邊界［漏洞掃描、安全審計(jì)、防病毒、IDS］等方面的防御，重要的安全設(shè)施大致集中于機(jī)房、網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的安全威脅大大減小。但是在實(shí)際情況下，來自網(wǎng)絡(luò)內(nèi)部的安全威脅卻是多數(shù)網(wǎng)絡(luò)管理人員真正需要面對(duì)的問題。據(jù)統(tǒng)計(jì)結(jié)果表明，80%的安全事件來自于網(wǎng)絡(luò)內(nèi)部，而只有20%的安全事件來自于外部。2003年以來，以SQL蠕蟲、“沖擊波”“震蕩波”“熊貓燒香”等病毒的連續(xù)性爆發(fā)為起點(diǎn)，到計(jì)算機(jī)文件泄密、服務(wù)器系統(tǒng)癱瘓等諸多安全事件在各網(wǎng)絡(luò)中的發(fā)生，表明只要解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除局域網(wǎng)中最大的安全隱患。

中石化內(nèi)網(wǎng)是中石化系統(tǒng)信息化建設(shè)的重要基礎(chǔ)設(shè)施，覆蓋面較廣，涉及的計(jì)算機(jī)種類和數(shù)量眾多。同時(shí)，ERP、辦公自動(dòng)化OA系統(tǒng)、電子郵件等多種重要的業(yè)務(wù)系統(tǒng)在內(nèi)網(wǎng)平臺(tái)上運(yùn)行。隨著應(yīng)用系統(tǒng)的不斷增加，網(wǎng)絡(luò)中病毒傳播造成的風(fēng)險(xiǎn)也不斷暴露出來，由單個(gè)計(jì)算機(jī)的病毒引起的損害可能傳播到其他系統(tǒng)和主機(jī)上從而引起網(wǎng)絡(luò)癱瘓，造成重大損失。因此，如何利用有效技術(shù)手段及時(shí)、持續(xù)、穩(wěn)定地安全管理終端計(jì)算機(jī)是所有網(wǎng)絡(luò)管理人員和信息部門亟需解決的問題。目前網(wǎng)絡(luò)管理工作量最大的是客戶端終端安全部分，對(duì)網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)威脅最大的也同樣是客戶端安全管理。

由于大型網(wǎng)絡(luò)一般結(jié)構(gòu)較為復(fù)雜，用戶水平參差不齊，而網(wǎng)絡(luò)管理人員編制有限，往往難以面對(duì)數(shù)量龐大的客戶端安全事件。BES桌面管理系統(tǒng)正是這樣一個(gè)集計(jì)算機(jī)終端的安全管理、漏洞管理、資產(chǎn)管理、電源管理、安全策略管理等多方面功能為一體的確保接入網(wǎng)絡(luò)的計(jì)算機(jī)終端信息安全的系統(tǒng)。它可與防火墻、殺毒軟件等軟硬件系統(tǒng)聯(lián)動(dòng)，形成完整的網(wǎng)絡(luò)和系統(tǒng)安全管理體系，可提高內(nèi)部網(wǎng)絡(luò)和計(jì)算機(jī)信息安全，并減輕運(yùn)維人員的工作量，確保企業(yè)經(jīng)營管理工作的正常運(yùn)行。

1　系統(tǒng)組成與結(jié)構(gòu)

BES桌面系統(tǒng)由下面幾個(gè)主要部件構(gòu)成（如圖1所示）。

1.1BES Clients

也被稱作Agents，安裝在每臺(tái)你希望管理的計(jì)算機(jī)上。它們通過獲取Fixlet信息來檢測系統(tǒng)的漏洞情況。BES Client可以通過BES Server獲得BES Console下發(fā)的修補(bǔ)漏洞的動(dòng)作指示。在絕大多數(shù)情況下，BES Client在后臺(tái)靜默運(yùn)行，不需要最終用戶的干預(yù)。當(dāng)然，BES也允許管理員為最終用戶提供下發(fā)動(dòng)作的屏幕提示，要求用戶進(jìn)行互動(dòng)操作。

圖1　BES桌面管理系統(tǒng)架構(gòu)

1.2BES Server

它是若干個(gè)交互服務(wù)的集合，包括應(yīng)用服務(wù)、Web Server和一個(gè)DB Server，這些服務(wù)是BES系統(tǒng)的核心。它們協(xié)調(diào)每臺(tái)計(jì)算機(jī)的信息流向，并把結(jié)果保存在BES數(shù)據(jù)庫內(nèi)。BES Server組件在后臺(tái)運(yùn)行，不需要管理員的直接干預(yù)。BES Server還包含了一個(gè)內(nèi)置的Web Reports報(bào)表模塊，允許授權(quán)用戶通過Web Browser來查看所有的計(jì)算機(jī)、漏洞、動(dòng)作等信息。

1.3BES Relay

可增加系統(tǒng)的工作效率。Relay避免了網(wǎng)絡(luò)中每臺(tái)計(jì)算機(jī)都直接與BES Server相連，從而減輕BES Server的工作負(fù)擔(dān)。幾百到幾千臺(tái)BES Clients可以通過與BES Relay相連獲得更新軟件下載，只需要一個(gè)與BES Server的請(qǐng)求連接就可以了。BES Relay也可以連接到其他的Relay，進(jìn)一步增加了工作效率。一個(gè)BES Relay不需要是一臺(tái)專用的計(jì)算機(jī)――可以安裝在任何裝有BES Client的Windows XP、 Windows7、或Windows Server 2003 計(jì)算機(jī)上。一旦你安裝了BES Relay，你網(wǎng)絡(luò)中的BES Clients會(huì)自動(dòng)發(fā)現(xiàn)它們并與它們連接。

1.4BES Console

將BES各個(gè)部件連接起來，為網(wǎng)絡(luò)中所有的計(jì)算機(jī)提供了系統(tǒng)級(jí)的全局視圖，同時(shí)也包括它們存在的漏洞問題和修補(bǔ)方法。BES Console允許授權(quán)用戶快速、簡單的將修補(bǔ)方法分發(fā)到每臺(tái)計(jì)算機(jī)中；同時(shí)，不對(duì)網(wǎng)絡(luò)中其他的計(jì)算機(jī)帶來任何影響。BES Console可以運(yùn)行在任何能與BES Server進(jìn)行網(wǎng)絡(luò)通訊的Windows XP，Windows 7或Windows Server 2003 計(jì)算機(jī)中。

各下屬單位計(jì)算機(jī)終端數(shù)量及網(wǎng)絡(luò)帶寬各有不同。在安裝BES系統(tǒng)時(shí)，需充分考慮各種條件，在窄帶連接的局域網(wǎng)中設(shè)置一臺(tái)中繼，在高帶寬大型網(wǎng)絡(luò)中，每500～1 000臺(tái)計(jì)算機(jī)也要設(shè)置一臺(tái)中繼。同其他網(wǎng)絡(luò)情況的實(shí)施一樣，建議在中心機(jī)房設(shè)置一臺(tái)頂級(jí)中繼（Top Relay），以減輕BES Server的壓力。

省公司部署一臺(tái)BES服務(wù)器，一臺(tái)頂級(jí)中繼。各分公司公司部署一臺(tái)BES中繼（利用現(xiàn)有的文件、打印等服務(wù)器），中繼手工指向頂級(jí)中級(jí)。

2　系統(tǒng)功能介紹與應(yīng)用

2.1補(bǔ)丁管理

利用基線功能，每月將通過FIXLET消息的形式發(fā)布的最新的微軟補(bǔ)丁添加到分類的系統(tǒng)補(bǔ)丁基線中。管理員每月將基線執(zhí)行為動(dòng)作，將這些補(bǔ)丁靜默的分發(fā)到各個(gè)客戶端，客戶端用戶在沒有任何感覺的情況下就完成了漏洞的修復(fù)，從而有效的減少了感染病毒的情況，保證了客戶端的正常運(yùn)行。

2.2軟件分發(fā)

實(shí)現(xiàn)保證應(yīng)用軟件以可靠和高效的方式分發(fā)、安裝和維護(hù)，自動(dòng)實(shí)現(xiàn)企業(yè)級(jí)大規(guī)模的應(yīng)用軟件分發(fā)和安裝，優(yōu)化網(wǎng)絡(luò)效率，大幅減少分發(fā)操作消耗的網(wǎng)絡(luò)帶寬等功能。

2.3資產(chǎn)管理

可以利用桌面安全系統(tǒng)查看終端配置情況，可以對(duì)品牌、CPU、內(nèi)存、硬盤、終端類型、操作系統(tǒng)、IP地址、MAC地址等信息等進(jìn)行統(tǒng)計(jì)篩選，并通過報(bào)表功能進(jìn)行統(tǒng)計(jì)。對(duì)公司中使用年限較長、配置較低的計(jì)算機(jī)，逐步更換淘汰，為設(shè)備更新提供參考。

2.4電源管理

利用BES系統(tǒng)中的電源管理模塊，跟蹤客戶端的電源設(shè)置信息，通過電源配置向?qū)?，可以?duì)計(jì)算機(jī)使用電源進(jìn)行管理，電源管理模塊可以對(duì)用戶計(jì)算機(jī)進(jìn)行休眠、關(guān)機(jī)、待機(jī)、重啟等操作，以節(jié)省企業(yè)用電量。

2.5安全管理

通過賬戶策略分析監(jiān)控客戶端中相關(guān)的安全設(shè)置信息，如賬戶密碼最長有效期、密碼最小長度、密碼復(fù)雜性要求等，啟用此策略后可以有效防范終端桌面不設(shè)密碼或者弱口令等現(xiàn)象的存在；禁止自動(dòng)運(yùn)行功能，在默認(rèn)情況下，計(jì)算機(jī)啟用自動(dòng)運(yùn)行功能，插入計(jì)算機(jī)的可移動(dòng)介質(zhì)將會(huì)自動(dòng)運(yùn)行，從而將病毒或木馬傳入到計(jì)算機(jī)中，使用FIXLET消息對(duì)系統(tǒng)自動(dòng)運(yùn)行功能進(jìn)行禁止；禁止使用移動(dòng)存儲(chǔ)設(shè)備、無線設(shè)備。BES系統(tǒng)可以對(duì)客戶機(jī)的硬件進(jìn)行分析，管理員可以禁止客戶使用移動(dòng)存儲(chǔ)設(shè)備、無線網(wǎng)卡等，以保證企業(yè)網(wǎng)絡(luò)的安全性。

2.6為其他系統(tǒng)提供支持

桌面安全管理系統(tǒng)提供了豐富的信息和動(dòng)作的支持功能，它可以為其他系統(tǒng)提供豐富的計(jì)算機(jī)信息和必要的動(dòng)作執(zhí)行支持。系統(tǒng)的自定義功能可以人為的通過定義新的關(guān)聯(lián)要求和動(dòng)作，來提取所需的計(jì)算機(jī)信息并執(zhí)行一定的動(dòng)作。整個(gè)過程都是在后臺(tái)完成，使得對(duì)用戶的影響降到最低。對(duì)網(wǎng)絡(luò)設(shè)置未能達(dá)到要求的計(jì)算機(jī)，啟動(dòng)服務(wù)下發(fā)設(shè)置腳本，替代人員的部分操作。除此之外，還為計(jì)算機(jī)設(shè)備管理系統(tǒng)提供原始的數(shù)據(jù)信息，縮短開發(fā)周期、降低工作強(qiáng)度。

3　結(jié)語與展望

桌面安全管理系統(tǒng)把網(wǎng)絡(luò)管理的概念從路由交換層延伸至了終端，使網(wǎng)絡(luò)安全得到加強(qiáng)和鞏固，其作用非常明顯。計(jì)算機(jī)終端的安全管理是整個(gè)信息安全體系的一個(gè)重要環(huán)節(jié)，也是一個(gè)不斷發(fā)展、完善的過程。計(jì)算機(jī)的終端管理已經(jīng)成為每個(gè)網(wǎng)絡(luò)工作者必須及時(shí)正視與面對(duì)的問題。隨著對(duì)信息網(wǎng)絡(luò)計(jì)算機(jī)終端安全管理認(rèn)識(shí)的不斷深入和桌面系統(tǒng)功能的日益完善，桌面安全管理系統(tǒng)一定會(huì)在信息安全防護(hù)與管理中發(fā)揮更大的作用。

主要參考文獻(xiàn)

［1］蔡曙光.論信息能力與信息資源利用率［J］.中國社會(huì)科學(xué)院研究生院學(xué)報(bào)，2006（5）.

［2］劉麗.電力企業(yè)計(jì)算機(jī)桌面終端管理系統(tǒng)應(yīng)用探討［J］.寧夏電力.2010（Z1）.

10.3969/j.issn.1673-0194.2015.02.057

TP311.52

A

1673-0194（2015）02-0075-02

2014-12-18