王天祺 尚飛宏 李 娜

王天祺 尚飛宏 李 娜

內(nèi)蒙古電力（集團）有限責任公司巴彥淖爾電業(yè)局信息通信處 內(nèi)蒙古巴彥淖爾市 015000

【摘 要】通過桌面管控技術的研究與實施，規(guī)范了桌面終端入網(wǎng)的工作流程，提高了桌面終端的聯(lián)網(wǎng)工作效率，提高了桌面及整個網(wǎng)絡系統(tǒng)的安全，有效增強了公司的信息安全防護水平。鑒于此，本文對桌面管控技術的信息安全水平提升進行了分析探討。

【關鍵詞】桌面管控；終端；安全

一、桌面管控管理措施

1、全面簽訂信息安全責任書和承諾書

為保障公司信息安全，進一步落實安全責任，提高全員信息安全意識，確保員工自覺遵守公司各項信息安全規(guī)章制度，某供電公司將信息安全責任書簽訂工作作為信息安全常態(tài)工作開展，逐級簽訂安全責任書，與所屬各單位簽訂 《區(qū)域信息安全責任書》；所屬單位與本單位員工簽訂 《員工信息安全責任書》，簽署范圍為全體在職人員（包括公司員工、 外聘員工、 農(nóng)電工）；所屬單位與本單位信息外網(wǎng)計算機管理相關責任人簽訂 《信息外網(wǎng)安全責任書》，責任書明確車間信息安全責任、 信息安全目標及員工信息安全注意事項，人員崗位變化或新進員工需隨時補簽安全責任書；公司與部門、 部門與人員之間簽署 《信息安全承諾書》，有效地保障了信息安全。某供電公司同時注重普及員工信息安全常識，強化信息安全意識，以避免出現(xiàn)違規(guī)外聯(lián)、 防病毒軟件未運行等信息安全違規(guī)行為。同時制作了統(tǒng)一的信息安全屏保和信息安全桌面程序，在屏保界面和辦公終端桌面增加了信息安全小知識、 操作注意事項、 信息安全提醒等內(nèi)容，并設置了屏保啟動時間和密碼保護等功能。

2、強化內(nèi)網(wǎng)終端接入流程管理

某供電公司內(nèi)網(wǎng)桌面終端接入需遵守內(nèi)網(wǎng)終端接入的標準流程，市公司內(nèi)網(wǎng)終端接入由申請部門通過協(xié)同辦公系統(tǒng)簽報流程提報申請，由部門領導及公司分管領導審批后轉發(fā)信通分公司，由網(wǎng)控室分配 IP 地址、 調(diào)整終端準入賬號并根據(jù)需要派發(fā)終端，符合入網(wǎng)條件的由運維人員將內(nèi)網(wǎng)終端入網(wǎng)。市供電公司內(nèi)網(wǎng)桌面終端接入申請流程如圖 1 所示。

二、桌面管控技術措施

1、內(nèi)網(wǎng)桌面終端防護措施

為了加強信息內(nèi)網(wǎng)的桌面安全，市公司建立了桌面一體化防護體系，通過統(tǒng)一的準入流程進行終端的統(tǒng)一分配。由信通分公司負責操作系統(tǒng)及應用軟件的安裝，確保在系統(tǒng)安裝完成后進行必要的基礎加固，在入網(wǎng)時執(zhí)行統(tǒng)一的準入策略和北信源策略，并通過入網(wǎng)后的定時檢查維護確保桌面終端的信息安全。

2、桌面終端加固措施

內(nèi)網(wǎng)桌面終端由某供電公司統(tǒng)一安裝操作系統(tǒng)和必要的應用軟件，加強了桌面終端的基礎防護。在安裝操作系統(tǒng)后對用戶賬號與口令安全進行策略設置，禁用 Guest 用戶，安裝信通分公司統(tǒng)一制作的信息安全屏保程序，部署統(tǒng)一的防病毒軟件，并安裝必要的應用軟件（如 WPS、 準入客戶端、 北信源客戶端等）。

3、準入控制策略執(zhí)行

統(tǒng)一準入控制客戶端，并由某供電公司統(tǒng)一管理賬戶，桌面終端接入內(nèi)網(wǎng)時首先要進行網(wǎng)絡接入認證，認證通過后會接收到來自服務器的安全策略。接入內(nèi)網(wǎng)的桌面終端首先要安裝殺毒軟件和補丁，若此終端未安裝殺毒軟件則會自動跳轉到指定的 URL 安裝殺毒軟件；若系統(tǒng)補丁安全檢測到不合格，則會提示到指定的 URL 進行補丁升級。通過認證的終端才允許進入正常的工作 VLAN，同時為保證客戶端安全可靠運行，服務器會下發(fā)多種安全策略，并實時監(jiān)測終端的運行狀況。

4、北信源系統(tǒng)策略執(zhí)行

在北信源桌面系統(tǒng)中啟用 “硬件設備控制”策略，禁止使用調(diào)制解調(diào)器、 紅外設備、 藍牙設備；啟用“進程執(zhí)行監(jiān)控” 策略；禁用無線網(wǎng)卡設備；啟用 “協(xié)議防火墻策略”，只允許桌面終端訪問內(nèi)網(wǎng)地址；啟用 “IP 與 MAC 綁定” 策略，禁用冗余網(wǎng)卡，禁止修改IP 與網(wǎng)關，以防發(fā)生違規(guī)外聯(lián)事件；執(zhí)行 “文件內(nèi)容檢查” 、 “終端涉密檢查” 、 “文件動態(tài)監(jiān)控”，確保敏感信息檢查執(zhí)行率及保密檢測系統(tǒng)安裝率指標水平。

5、杜絕信息敏感字措施

通過上網(wǎng)行為審計系統(tǒng)與防火墻聯(lián)動，控制郵箱敏感字，包含敏感字的郵件將被丟棄，確保不發(fā)送含敏感字的郵件。通過內(nèi)網(wǎng)保密檢測系統(tǒng)敏感信息檢查執(zhí)行率查詢，可及時查找與定位不符合要求的桌面終端并進行處理，確保該指標達到 100%，有效杜絕信息敏感字。

6、常態(tài)化的安全檢查與維護措施

定期利用漏洞掃描設備進行全網(wǎng)掃描，對掃描出的漏洞及問題及時進行整改；基線掃描設備發(fā)現(xiàn)終端不符合基線要求的，通過北信源桌面終端程序下發(fā)統(tǒng)一的符合基線要求的策略，確保桌面終端符合基線安全要求；網(wǎng)控室專值值班人員檢查準入控制和桌面系統(tǒng)的各類指標，發(fā)現(xiàn)異常及時處理，以提升信息安全水平。

三、桌面安全管控培訓

某供電公司開展了特色信息安全大講堂活動，宣貫桌面管控，提升信息安全意識。根據(jù)省公司班組要求，結合信息專業(yè)工作實際，優(yōu)化組織實施，拓展培訓模式，加強專業(yè)指導。同時以多種方式進行信息安全宣貫，講解信息安全相關識，在培訓學習中提高運維與信息安全技能。技術培訓大講堂遵循 “選、 抽、 評、 考”流程，內(nèi)容緊扣信息安全核心業(yè)務，以 “上講堂” 促 “學業(yè)務” 。事故分析大講堂則選擇信息安全事件，針對事件根源詳細分析原因，結合運維現(xiàn)狀分析潛在問題，討論制定整改方案和措施，適用于對各種信息安全事件進行分析、 學習和制定防范措施。

加大信息安全培訓力度，做到信息安全培訓常態(tài)化，可使全員意識上和行動上知行合一，確保安全管控措施到位，不發(fā)生信息安全事件。通過安全培訓，使全員掌握信息安全的基本要求和桌面管控安全知識，提高安全意識，杜絕違規(guī)外聯(lián)。通過信息安全大講堂等多種形式的安全培訓，某供電公司對桌面管控等信息安全相關內(nèi)容開展了重點培訓，提高了全員的技術水平和技能素質，為保證信息安全提供了技術支撐。

四、桌面云系統(tǒng)搭建方案

1、桌面云的系統(tǒng)層次

根據(jù)企業(yè)應用情況，可以將桌面虛擬化系統(tǒng)部署分為五層：桌面設備層，應用發(fā)布層，虛擬平臺層，虛擬桌面管理層，后端存儲層。桌面設備層：接入本系統(tǒng)的桌面層設備，包括維護瘦客戶端及營業(yè)廳瘦客戶端。其中，營業(yè)廳瘦客戶端不包含在本期工程投資范圍內(nèi)。虛擬桌面管理層：對瘦客戶端進行統(tǒng)一管理，實現(xiàn)身份認證、準入管理、軟件管理、資產(chǎn)管理、桌面安全策略、文檔安全等功能。應用發(fā)布層：負責承擔所有瘦客戶端的發(fā)布任務，安裝各種應用，供用戶調(diào)用，用戶可以通過應用發(fā)布系統(tǒng)訪問各種業(yè)務應用。

2、桌面云系統(tǒng)的業(yè)務邏輯

第一，瘦客戶端服務器通過虛擬桌面管理層實現(xiàn)終端和虛擬機的連接控制及策略設置；第二，虛擬機服務器將后臺的物理服務器虛擬化為多個虛擬機，并提供操作系統(tǒng)環(huán)境，供瘦客戶端使用；第三，應用發(fā)布系統(tǒng)將后臺應用發(fā)布出來提供給瘦客戶端，并對應用的訪問制定相應策略。

結束語

今后供電公司將繼續(xù)深入研究桌面管控及信息安全管理的典型經(jīng)驗和做法，完善桌面安全管理，加強縣公司安全防護，夯實桌面管控的基礎，進一步提升信息安全防護水平，以適應未來信息安全的更高要求。

參考文獻：

[1]許敏. 基于云計算的醫(yī)院信息技術平臺的構建與研究[D].廈門大學，2014.

[2]劉輝舟. 供電企業(yè)內(nèi)網(wǎng)終端主動式安全防御體系建設[J]. 計算機安全，2014.