引言：終端運(yùn)維是一項(xiàng)繁瑣而重要的工作，運(yùn)維水平的高低直接關(guān)系到整個(gè)系統(tǒng)運(yùn)行的效果。單位內(nèi)部辦公網(wǎng)使用天擎終端安全管理系統(tǒng)后，實(shí)現(xiàn)了桌面管理高效化、終端安全全面化、運(yùn)維工作規(guī)范化，為內(nèi)部辦公系統(tǒng)高效運(yùn)行奠定了堅(jiān)實(shí)的基礎(chǔ)。

隨著辦公自動(dòng)化日益普及，IT運(yùn)維難度也越來越高。本文以部署使用的天擎終端安全管理系統(tǒng)為例，詳細(xì)介紹如何在單位內(nèi)部網(wǎng)絡(luò)中建立計(jì)算機(jī)終端安全管理防護(hù)體系，以提升運(yùn)維效率。

單位內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)

單位網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，自辦公網(wǎng)投入使用以來，計(jì)算機(jī)終端數(shù)量從最初四百余臺(tái)迅速增長至一千余臺(tái)，隨著終端數(shù)量的增多，在管理和使用上問題越來越多，如果繼續(xù)沿用之前粗放式方式進(jìn)行運(yùn)維管理，就無法保證內(nèi)部辦公網(wǎng)絡(luò)正常高效運(yùn)行。在內(nèi)網(wǎng)中部署天擎終端安全管理系統(tǒng)則很好地解決了此問題。

桌面統(tǒng)一高效管理

1.自動(dòng)升級(jí)

圖1 單位內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)

內(nèi)部辦公網(wǎng)為物理隔離網(wǎng)絡(luò)，禁止與互聯(lián)網(wǎng)進(jìn)行通訊，所以使用天擎隔離升級(jí)代理工具進(jìn)行升級(jí)工作，這樣內(nèi)網(wǎng)中的電腦就無須連接到互聯(lián)網(wǎng)就能完成升級(jí)。服務(wù)器在沒有運(yùn)維管理人員參與的情況下也能對(duì)管理控制臺(tái)軟件、客戶端病毒特征庫、系統(tǒng)應(yīng)用的漏洞補(bǔ)丁進(jìn)行自動(dòng)下載、升級(jí)與安裝。

2.遠(yuǎn)程協(xié)助

由于辦公網(wǎng)終端分布范圍廣，運(yùn)維人員人數(shù)有限，故當(dāng)終端發(fā)生故障或操作困難時(shí)，運(yùn)維人員可以遠(yuǎn)程協(xié)助功能對(duì)終端進(jìn)行故障排查，并指導(dǎo)用戶如何正確使用相關(guān)業(yè)務(wù)系統(tǒng)。由此縮短故障響應(yīng)時(shí)間，提高工作效率。

3.外設(shè)管理

內(nèi)部辦公網(wǎng)絡(luò)涉及敏感數(shù)據(jù)信息，故需要對(duì)主機(jī)所能連接的外部設(shè)備進(jìn)行嚴(yán)格管控。終端安全管理系統(tǒng)能實(shí)現(xiàn)對(duì)USB接口、光驅(qū)等輸入輸出設(shè)備進(jìn)行準(zhǔn)入控制，以此實(shí)現(xiàn)主機(jī)的數(shù)據(jù)安全。

4.審計(jì)管控

終端安全管理系統(tǒng)可以對(duì)文件進(jìn)行審計(jì)與管控，能夠?qū)χ付窂交驍U(kuò)展名文件的讀取、修改、刪除、移動(dòng)等行為進(jìn)行限制及審計(jì)，同時(shí)，對(duì)于終端共享目錄的輸出、讀取及終端用戶對(duì)網(wǎng)絡(luò)文件的訪問也可進(jìn)行詳細(xì)的審計(jì)。另外，系統(tǒng)也可以對(duì)打印進(jìn)行審計(jì)與管控，對(duì)終端的打印動(dòng)作、打印文件信息進(jìn)行審計(jì)，也可禁止使用打印機(jī)或禁止打印某類文件，可有效防止核心數(shù)據(jù)通過紙質(zhì)文件外泄。

終端安全統(tǒng)一加固

1.病毒防護(hù)

目前，隨著病毒的大量出現(xiàn)，傳統(tǒng)的本地病毒庫查殺方式已經(jīng)無法滿足對(duì)已知病毒的查殺要求。而終端安全管理系統(tǒng)就是基于云查殺檢測引擎，并采用雙病毒檢測引擎與雙病毒特征庫技術(shù)。其框架如圖2，這是完全不同的兩套獨(dú)立的病毒庫和檢測引擎，能對(duì)已知病毒進(jìn)行有效檢測和查殺。

2.防黑加固

系統(tǒng)能夠?qū)蛻舳诉M(jìn)行防黑加固功能，以滿足有針對(duì)性的監(jiān)控需求。能夠?qū)K端密碼復(fù)雜度、生存期和密碼歷史進(jìn)行檢查，如不滿足設(shè)定條件，系統(tǒng)將提示終端用戶修改；對(duì)重點(diǎn)端口進(jìn)行監(jiān)控，并支持自定義端口監(jiān)控與上報(bào)；顯示終端開啟的共享目錄并對(duì)共享目錄進(jìn)行管理，監(jiān)控用戶和用戶組賬號(hào)權(quán)限變化，同時(shí)上報(bào)日志。

3.主機(jī)安全

圖2 防病毒和惡意代碼功能框架

系統(tǒng)能夠在內(nèi)網(wǎng)終端之間建立訪問控制機(jī)制，杜絕非業(yè)務(wù)需求下的終端互訪現(xiàn)象，遏制網(wǎng)內(nèi)主機(jī)發(fā)起的攻擊：一是基于IP、端口和主機(jī)的訪問控制策略，實(shí)現(xiàn)同子網(wǎng)或不同子網(wǎng)內(nèi)終端之間的訪問控制。訪問控制策略在控制中心集中定義，可根據(jù)不同分組按需下發(fā)，分布式執(zhí)行，簡潔高效。在不需要對(duì)原有網(wǎng)絡(luò)設(shè)備做任何調(diào)整的前提下實(shí)現(xiàn)細(xì)致的安全域訪問控制管理；二是可禁止終端ping出、ping入，有效遏制內(nèi)網(wǎng)嗅探行為。

4、安全檢查

根據(jù)終端的安全狀況，決定其是否能接入內(nèi)部網(wǎng)絡(luò)之中，最終目的是強(qiáng)制終端落實(shí)規(guī)定的安全防范措施，進(jìn)行安全加固工作，隔離具有安全隱患的終端。

終端遠(yuǎn)程統(tǒng)一運(yùn)維

1.分發(fā)軟件

終端安全管理系統(tǒng)可以對(duì)指定終端強(qiáng)制推送軟件，推送時(shí)，可以按照用戶ID、IP地址等條件選擇推送范圍。通過此功能，將以往重復(fù)且繁瑣的軟件安裝變成了一項(xiàng)輕松的工作。

2.統(tǒng)計(jì)功能

統(tǒng)計(jì)當(dāng)前在線、離線的用戶數(shù)量，并提供查詢功能，查詢指定的用戶是否在線，查詢指定的組內(nèi)在線、離線的用戶數(shù)量：一是統(tǒng)計(jì)全網(wǎng)在線與離線終端的數(shù)量，同時(shí)給出這些終端的IP、MAC、主機(jī)名、對(duì)應(yīng)的用戶名、用戶所屬的部門等；二是根據(jù)時(shí)間、部門、用戶名、IP、MAC查詢主機(jī)的在線與離線狀態(tài)，并可導(dǎo)出成EXCEL格式。

3.定制安裝

管理員可以定制終端安裝包，這樣在終端進(jìn)行系統(tǒng)部署時(shí)，無需進(jìn)行額外交互操作即可完成安裝。終端也可以通過訪問網(wǎng)頁頁面實(shí)現(xiàn)一鍵式安裝。另外，管理員在控制端為終端定制的安裝包，也可以植入終端所需連接的DNS、IP地址、端口信息，并將這些信息寫入安裝包配置文件中的方式植入到安裝包中，從而簡化終端的配置過程，實(shí)現(xiàn)一鍵式安裝。