劉佳

摘要：信息化作為當(dāng)今企業(yè)管理模式的重要手段，在煙草行業(yè)的發(fā)展進(jìn)程中體現(xiàn)出日益重要的地位。但是隨著企業(yè)網(wǎng)絡(luò)的日益龐大，網(wǎng)絡(luò)安全隱患也非常突出。桌面終端安全系統(tǒng)的出現(xiàn)無(wú)疑為企業(yè)提供了一種很好的解決方法。該文從企業(yè)網(wǎng)桌面終端管理現(xiàn)狀出發(fā)，對(duì)桌面終端安全系統(tǒng)在煙草行業(yè)的應(yīng)用進(jìn)行了論述，通過(guò)系統(tǒng)實(shí)施，實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)終端的規(guī)范化管理和策略準(zhǔn)入控制，有效提升煙草企業(yè)網(wǎng)絡(luò)安全的管控能力。

關(guān)鍵詞：桌面終端安全；網(wǎng)絡(luò)安全；煙草企業(yè)；應(yīng)用

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）18-0039-03

隨著煙草行業(yè)信息化工作建設(shè)的推進(jìn)，目前煙草企業(yè)的IT系統(tǒng)建設(shè)已經(jīng)具備了相當(dāng)?shù)囊?guī)模，具有自己的信息操作平臺(tái)，業(yè)務(wù)系統(tǒng)也越來(lái)越依賴于IT系統(tǒng)。但由于網(wǎng)絡(luò)終端分布非常廣泛，計(jì)算機(jī)的操作者使用水平參差不齊，員工對(duì)系統(tǒng)的濫用、錯(cuò)誤配置以及惡意訪問(wèn)導(dǎo)致業(yè)務(wù)面臨很多現(xiàn)實(shí)的安全威脅。網(wǎng)絡(luò)中部分的系統(tǒng)是完全不受控的，底下用戶隨意訪問(wèn)互聯(lián)網(wǎng)上的網(wǎng)站，隨時(shí)可能感染病毒木馬，甚至被黑客控制。這會(huì)導(dǎo)致企業(yè)易遭受網(wǎng)絡(luò)攻擊，引起機(jī)密信息的泄漏，以及其他代價(jià)高昂的損失。再者，非合法辦公軟件及其他軟件的使用，不但造成了生產(chǎn)效率的低下，也給企業(yè)的形象造成了極差的影響。特別是2017年6月1日實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，更是明確了煙草企業(yè)網(wǎng)絡(luò)安全建設(shè)的責(zé)任與義務(wù)。

因此，本文分析了企業(yè)網(wǎng)桌面終端管理的現(xiàn)狀，并從桌面終端安全系統(tǒng)的機(jī)理出發(fā)，結(jié)合實(shí)際論述系統(tǒng)在煙草企業(yè)網(wǎng)絡(luò)安全管理中的應(yīng)用及效果。利用桌面終端安全系統(tǒng)的身份認(rèn)證，補(bǔ)丁管理、安全管理等功能，提高桌面終端的安全管理水平，促進(jìn)企業(yè)IT資產(chǎn)的精細(xì)化管理。

1企業(yè)桌面終端現(xiàn)狀分析

桌面終端設(shè)備包括計(jì)算機(jī)終端、可移動(dòng)存儲(chǔ)介質(zhì)、計(jì)算機(jī)外連設(shè)備等。當(dāng)前，在煙草行業(yè)的桌面終端管理中仍存在著以下的安全問(wèn)題。

1.1網(wǎng)絡(luò)準(zhǔn)入管理缺失

隨著煙草行業(yè)在信息技術(shù)下的不斷轉(zhuǎn)型升級(jí)，企業(yè)的計(jì)算機(jī)數(shù)量迅速增加，傳統(tǒng)的手工管理方式已無(wú)法對(duì)終端的資產(chǎn)情況進(jìn)行動(dòng)態(tài)、準(zhǔn)確的統(tǒng)計(jì)。信息設(shè)備維護(hù)及網(wǎng)絡(luò)管理人員很難掌握每一臺(tái)計(jì)算機(jī)的準(zhǔn)確位置和使用者，也很難從技術(shù)手段上限制外部設(shè)備的隨意接人和內(nèi)部人員的IP混用。若外部設(shè)備未實(shí)現(xiàn)準(zhǔn)入控制，將面臨竊密和泄密的安全隱患；若內(nèi)部設(shè)備未實(shí)現(xiàn)安全驗(yàn)證和接人，就存在傳播木馬、病毒或后門等隱患。這樣往往總在網(wǎng)絡(luò)安全事件發(fā)生后，才逐步查找出錯(cuò)的原因，給企業(yè)造成經(jīng)濟(jì)、名譽(yù)等方面損失。

1.2可移動(dòng)存儲(chǔ)介質(zhì)使用隨意

隨著U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備應(yīng)用的日益廣泛，人們?cè)诠ぷ髦惺褂靡苿?dòng)存儲(chǔ)介質(zhì)也越來(lái)越頻繁，由于對(duì)個(gè)人的可移動(dòng)存儲(chǔ)介質(zhì)無(wú)法進(jìn)行統(tǒng)一配發(fā)、使用和管理，很容易造成病毒和木馬的感染，還有可能會(huì)造成信息泄密。對(duì)于感染了病毒和木馬的計(jì)算機(jī)，有時(shí)候會(huì)引起網(wǎng)絡(luò)故障，甚至網(wǎng)絡(luò)小范圍內(nèi)的癱瘓；對(duì)于信息泄密的計(jì)算機(jī)，也很難查找泄密路徑。對(duì)安全強(qiáng)度差的計(jì)算機(jī)終端缺乏有效的安全狀態(tài)檢測(cè)，也是信息技術(shù)維護(hù)人員需要解決的問(wèn)題之一。

1.3用戶信息安全認(rèn)知不足

雖然計(jì)算機(jī)越來(lái)越普及，但使用者的信息安全意識(shí)仍顯得不深不足。在使用計(jì)算機(jī)時(shí)，往往為了圖方便、圖省事，使用默認(rèn)的、簡(jiǎn)單的口令，有些甚至不設(shè)置開機(jī)口令，最終成為被黑客攻擊、信息泄密的對(duì)象。此外，企業(yè)中一些員工的不規(guī)范行為和濫用網(wǎng)絡(luò)等現(xiàn)象，也造成網(wǎng)絡(luò)運(yùn)維成本和工作量的增加，甚至加大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，導(dǎo)致網(wǎng)絡(luò)通信資源和人力成本的浪費(fèi)。

1.4制度管理機(jī)制不完善

目前，對(duì)于企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)還缺乏強(qiáng)有力的管理流程和控制機(jī)制；沒有建立故障排查、數(shù)據(jù)審計(jì)和責(zé)任追究管理機(jī)制，發(fā)生安全事件后責(zé)任追查比較難；在提高企業(yè)的整體信息安全水平方面，缺乏統(tǒng)一部署的終端安全策略；不能自動(dòng)生成各類報(bào)告和報(bào)表，為領(lǐng)導(dǎo)決策提供數(shù)據(jù)依據(jù)。

2桌面終端安全系統(tǒng)在煙草網(wǎng)絡(luò)安全管理中的應(yīng)用

在深入調(diào)研、詳細(xì)測(cè)試的基礎(chǔ)上，在煙草企業(yè)內(nèi)實(shí)施了功能較為完善的桌面終端安全系統(tǒng)，結(jié)合準(zhǔn)入控制與終端安全管理，有效解決企業(yè)的桌面終端安全問(wèn)題，提升信息運(yùn)維部門的工作效率，規(guī)范員工操作行為。

2.1桌面終端安全系統(tǒng)的原理

通過(guò)技術(shù)對(duì)比與方案評(píng)估，我們采用了內(nèi)網(wǎng)安全管理及補(bǔ)丁分發(fā)系統(tǒng)，以實(shí)現(xiàn)對(duì)煙草企業(yè)終端設(shè)備的集中式安全管理，通過(guò)軟硬件結(jié)合的方式，對(duì)網(wǎng)絡(luò)內(nèi)部所有計(jì)算機(jī)接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制，建立桌面電腦的集中式快速安全管理體系。以終端驗(yàn)證和終端安全為基礎(chǔ)，通過(guò)身份認(rèn)證、安全域控制等手段，保證接入網(wǎng)絡(luò)終端的可信程度，并控制可信計(jì)算機(jī)的訪問(wèn)權(quán)限，為企業(yè)的終端人網(wǎng)安全管理提供了有力保障，規(guī)避由于不可信終端的隨意接入而可能引發(fā)的企業(yè)網(wǎng)絡(luò)及信息資源違規(guī)占用、病毒木馬泛濫、資料泄密以及越權(quán)訪問(wèn)等安全問(wèn)題。圖1為企業(yè)網(wǎng)絡(luò)準(zhǔn)入控制部署原理圖，圖2為桌面終端安全系統(tǒng)管理流程圖。

2.2桌面終端安全信息系統(tǒng)的應(yīng)用

在煙草系統(tǒng)內(nèi)部部署了桌面終端安全管理系統(tǒng)，采用準(zhǔn)入控制與終端安全相結(jié)合、制訂安全策略、分級(jí)管理的方式對(duì)桌面終端實(shí)施全面統(tǒng)一的管理策略。

2.2.1計(jì)算機(jī)入網(wǎng)審核

利用桌面終端軟件和網(wǎng)絡(luò)接入控制系統(tǒng)，通過(guò)注冊(cè)一身份認(rèn)證一安全檢查一安全隔離/入網(wǎng)的統(tǒng)一入網(wǎng)審核流程，對(duì)所有接入煙草企業(yè)網(wǎng)絡(luò)內(nèi)的桌面終端設(shè)備進(jìn)行人網(wǎng)認(rèn)證。只有通過(guò)安全認(rèn)證的終端設(shè)備才可訪問(wèn)內(nèi)部專網(wǎng)及互聯(lián)網(wǎng)，否則將被阻斷。保證了桌面終端的安裝率，防止外部計(jì)算機(jī)私自接入業(yè)務(wù)專網(wǎng)，控制外來(lái)設(shè)備對(duì)業(yè)務(wù)網(wǎng)關(guān)設(shè)備的有害行為。圖3為計(jì)算機(jī)入網(wǎng)審核流程圖。

2.2.2終端注冊(cè)管理

單位各部門終端設(shè)備在接入網(wǎng)絡(luò)前，需要安裝安全客戶端，使每臺(tái)計(jì)算機(jī)接受管理。并將自己的個(gè)人信息提交到服務(wù)器，個(gè)人信息內(nèi)容包含使用人、單位、部門、聯(lián)系電話、設(shè)備類型等，見圖4。系統(tǒng)將所填寫信息和自動(dòng)采集獲得的設(shè)備信息發(fā)送到區(qū)域管理器，區(qū)域管理器將注冊(cè)信息導(dǎo)人SQL數(shù)據(jù)庫(kù)保存，設(shè)置的客戶端參數(shù)策略將由區(qū)域掃描器掃描客戶端后，發(fā)送給客戶端駐留程序保存執(zhí)行，該程序以服務(wù)方式實(shí)時(shí)運(yùn)行，一旦有非法外聯(lián)或違規(guī)設(shè)備，就會(huì)發(fā)送報(bào)警數(shù)據(jù)。對(duì)全市煙草系統(tǒng)辦公區(qū)域的計(jì)算機(jī)進(jìn)行注冊(cè)管理，注冊(cè)情況見圖5，終端注冊(cè)率達(dá)到98.8%。通過(guò)終端入網(wǎng)注冊(cè)，不僅能對(duì)終端進(jìn)行實(shí)名化管理，而且為終端資產(chǎn)信息的收集與終端安全策略的執(zhí)行提供管理依據(jù)。endprint

2.2.3 IT資產(chǎn)管理

系統(tǒng)對(duì)管轄范圍內(nèi)的所有桌面終端進(jìn)行硬件資產(chǎn)管理、軟件資產(chǎn)管理以及資產(chǎn)變更報(bào)警管理。自動(dòng)搜集包括CPU、內(nèi)存、硬盤分區(qū)總和、設(shè)備標(biāo)識(shí)的大小、主板、顯卡、鍵盤、鼠標(biāo)、監(jiān)視器、鍵盤等所有的硬件信息。自動(dòng)發(fā)現(xiàn)并識(shí)別客戶端已安裝的所有軟件信息（包括名稱、版本、安裝時(shí)間等），將相關(guān)數(shù)據(jù)入庫(kù)，檢測(cè)客戶端運(yùn)行軟件信息，管理人員通過(guò)資產(chǎn)編號(hào)、所屬部門、使用人、入網(wǎng)時(shí)間等屬性信息對(duì)資產(chǎn)進(jìn)行管理和信息查詢，并能夠定期輸出資產(chǎn)信息報(bào)表。

圖6、圖7分別為本地應(yīng)用桌面終端安全系統(tǒng)后，輸出的員工終端設(shè)備信息及設(shè)備在線/離線活動(dòng)情況。

2.2.4策略管理

策略中心是桌面終端安全系統(tǒng)的管理控制中心，對(duì)客戶端進(jìn)行策略的制定與下發(fā)，實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)終端的統(tǒng)一安全管理。依照系統(tǒng)“策略中心”中安全準(zhǔn)入管理、行為管理及審計(jì)、基本安全管理、補(bǔ)丁分發(fā)管理、公共策略五個(gè)方面，按需求配置策略。圖8為本地策略的配置與啟用情況。按照行業(yè)要求對(duì)設(shè)備使用人變更、設(shè)備資產(chǎn)變化、終端訪問(wèn)異常、系統(tǒng)流量異常、違規(guī)軟件使用等進(jìn)行相應(yīng)的策略啟用和審計(jì)分析。及時(shí)為企業(yè)員工的終端設(shè)備檢查安全情況，完成終端硬件設(shè)備信息統(tǒng)計(jì)、終端軟件資產(chǎn)統(tǒng)計(jì)、審計(jì)與報(bào)警等項(xiàng)目管理。

2.2.5網(wǎng)絡(luò)安全防護(hù)

一是通過(guò)終端軟件對(duì)設(shè)備網(wǎng)絡(luò)IP地址進(jìn)行鎖定，杜絕經(jīng)常出現(xiàn)的因IP地址沖突導(dǎo)致業(yè)務(wù)停頓的現(xiàn)象發(fā)生，二是從源頭控制計(jì)算機(jī)病毒的傳播途徑，利用桌面客戶端配置計(jì)算機(jī)安全策略，增強(qiáng)計(jì)算機(jī)對(duì)病毒的防護(hù)能力。三是計(jì)算機(jī)遠(yuǎn)程巡檢，對(duì)終端計(jì)算機(jī)定期進(jìn)行掃描，將出現(xiàn)的故障隱患提前匯總至信息中心，技術(shù)人員可通過(guò)遠(yuǎn)程維護(hù)技術(shù)處理計(jì)算機(jī)存在的故障，從而提高計(jì)算機(jī)終端運(yùn)維工作效率，降低運(yùn)維成本。

2.2.6網(wǎng)絡(luò)行為審計(jì)及輿情監(jiān)控

利用桌面終端安全系統(tǒng)可以監(jiān)控聯(lián)網(wǎng)計(jì)算機(jī)的上網(wǎng)行為信息，對(duì)所有網(wǎng)絡(luò)訪問(wèn)操作進(jìn)行記錄，杜絕從單位互聯(lián)網(wǎng)出口發(fā)出的各種違法、違規(guī)信息。上網(wǎng)行為的審計(jì)信息包括：何時(shí)、那個(gè)終端、哪個(gè)用戶、通過(guò)哪個(gè)程序訪問(wèn)網(wǎng)絡(luò)、具體的網(wǎng)絡(luò)行為、是否被終止、是否離線訪問(wèn)。通過(guò)白名單和黑名單，審計(jì)和控制web網(wǎng)站的訪問(wèn)，可以禁止終端用戶訪問(wèn)一些非法web網(wǎng)站。

同時(shí)還可對(duì)敏感輿情進(jìn)行策略控制，一旦發(fā)現(xiàn)所管理的終端設(shè)備IP地址發(fā)生更改、非法外聯(lián)、探頭被卸載、流量異常等情況，系統(tǒng)立即進(jìn)行本機(jī)報(bào)警，并對(duì)違規(guī)行為做出相應(yīng)的處理，同時(shí)上報(bào)到中央控制臺(tái)，為管理員的安全管理提供重要數(shù)據(jù)信息。圖9為本地24小時(shí)內(nèi)網(wǎng)絡(luò)違規(guī)行為報(bào)警數(shù)據(jù)。

3應(yīng)用效果

自桌面終端安全信息項(xiàng)目實(shí)施以來(lái)，全面提升了煙草企業(yè)網(wǎng)絡(luò)安全的管控能力，效果明顯。

一是為網(wǎng)絡(luò)系統(tǒng)構(gòu)建了一個(gè)完整的客戶端安全防護(hù)體系。從內(nèi)部通過(guò)策略管理、入網(wǎng)設(shè)備認(rèn)證管理、IT資產(chǎn)管理、行為審計(jì)等手段，完成對(duì)員工客戶端的安全標(biāo)準(zhǔn)化管理；從外部對(duì)企業(yè)網(wǎng)絡(luò)邊界的完整性進(jìn)行有效監(jiān)控（即網(wǎng)絡(luò)隔離度監(jiān)控），減少風(fēng)險(xiǎn)隱患，為下一步構(gòu)建煙草企業(yè)網(wǎng)絡(luò)邊界安全防護(hù)體系打下基礎(chǔ)。

二是通過(guò)詳細(xì)的數(shù)據(jù)報(bào)表分析功能為企業(yè)智能決策提供技術(shù)支持。使企業(yè)信息資產(chǎn)管理及報(bào)表統(tǒng)計(jì)從原來(lái)的手工模式變?yōu)楝F(xiàn)在的集中自動(dòng)信息收集模式，保證了信息管理的時(shí)效性，提高了資源分配和使用的合理性，提升了西安煙草信息化服務(wù)的整體水平，為建立網(wǎng)絡(luò)安全管理工作的長(zhǎng)效機(jī)制提供數(shù)據(jù)保障。

三是改變了被動(dòng)管理的模式。增強(qiáng)管理員對(duì)問(wèn)題的主動(dòng)發(fā)現(xiàn)和遠(yuǎn)程維護(hù)能力，降低運(yùn)營(yíng)維護(hù)和管理的成本，縮短了設(shè)備故障的處理時(shí)間，提高全局工作效率和質(zhì)量。

四是加強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)。系統(tǒng)在終端注冊(cè)、終端身份認(rèn)證、終端安全檢查的時(shí)候都進(jìn)行相應(yīng)的原因提示。通過(guò)入網(wǎng)提示普及計(jì)算機(jī)網(wǎng)絡(luò)安全知識(shí)，讓員工意識(shí)到安全入網(wǎng)的重要性，加強(qiáng)對(duì)網(wǎng)絡(luò)安全知識(shí)的了解，從而形成良好的計(jì)算機(jī)使用習(xí)慣，有效延長(zhǎng)終端設(shè)備的使用壽命，節(jié)約資源成本。

4結(jié)束語(yǔ)

結(jié)合準(zhǔn)入控制的桌面終端安全系統(tǒng)在煙草企業(yè)順利的部署與應(yīng)用，對(duì)企業(yè)內(nèi)分散的終端設(shè)備形成一個(gè)有效的統(tǒng)一的監(jiān)管手段，使桌面終端由被動(dòng)管理向標(biāo)準(zhǔn)化、信息化、精細(xì)化管理轉(zhuǎn)變，全面提升煙草企業(yè)網(wǎng)絡(luò)安全管控能力。今后我們將進(jìn)一步加強(qiáng)信息系統(tǒng)管理員培訓(xùn)，加強(qiáng)計(jì)算機(jī)終端入網(wǎng)管理和網(wǎng)絡(luò)行為規(guī)范，充分發(fā)揮系統(tǒng)各項(xiàng)功能，保障企業(yè)整體網(wǎng)絡(luò)安全。積極適應(yīng)新形勢(shì)下對(duì)信息網(wǎng)絡(luò)安全的新要求，居安思危，常抓不懈，為煙草行業(yè)的網(wǎng)絡(luò)安全建設(shè)做出貢獻(xiàn)。endprint