企业内部计算机终端管理系统的应用与论文-JobPlus

　　一直以来，信息网络安全防御概念仅仅局限于网络边界防御，如防火墙、IDS等。但来自网络内部的安全威胁却是网络运维人员真正需要面对的理由。据统计表明，企业信息安全事件大部分来自于企业信息网络内部，因此终端安全将是当前网络安全运维工作重点。由于企业内部网络结构较为复杂，企业内部网络计算机管理是一个综合的理由，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位规范等多个方面的要求性因素，而有限的信息运维人员难以应对数量庞大的客户端事件。

　　桌面终端管理系统正是这样一个集计算机终端接入制约、终端资产信息管理、终端安全审计、非法外联行为监控、系统软件及补丁分发、涉密检查等多功能为一体的确保接入网络的计算机终端信息安全及规范人员操作终端行为的系统。

　　1 系统应用架构

　　计算机桌面终端管理系统可应用于广域网及局域网，同时也支持跨网段、跨地域的内网远程终端管理及未授权移动设备接入检测、内网终端违规外联监控等。主要分为基本架构及扩展架构。

　　（1）基本架构。此种架构可通过一套终端管理系统中的一个区域管理器集中管理所辖区域内的所有终端设备。

　　（2）扩展架构。此种架构适用于多个局域网或跨地域的一个广域网。该架构采用多区域集中管理方式对所属区域内所有终端设备进行集中管理。

　　2 部署与功能

　　计算机桌面终端管理系统总体遵循“集中管理、分级实施”的原则，在企业总部部署一台服务器，统一对所辖地区进行级联管理。系统采用C/S与B/S混合模式，支持分布式部署，为用户提供了计算机终端接入管理、终端远程运维、信息设备资产管理、终端补丁分发管理、终端安全审计、违规外联监控、报警处理、事件报表等功能。该系统由以下8个部分组成：（1）WinPcap：该程序为嗅探驱动，可监听网络上传送的数据；（2）管理信息库：该信息库用于建立桌面终端管理系统的初始化数据，如终端设备属性、报警信息等。同时用以与扫描器扫描到设备最新状态进行对比，根据预先设置的策略要求发出报警信息；（3）系统管理配置中心：该中心用于配置系统区域管理器、终端扫描器、系统安全策略、报警阈值设置及系统维护配置等；（4）区域管理器：用于与管理信息数据库通信，接收终端信息并存入数据库，同时接收系统配置的策略并下发至各终端；（5）主机保护模块：使用较高安全等级的网络配置来防止特定计算机受到IP冲突或恶意攻击；（6）终端注册程序：用于接收系统策略同时发送终端注册信息；（7）补丁下载服务器：用于更新系统补丁；（8）报警中心模块：根据系统设定阈值发出报警信息，包括电子邮件、手机短信等方式。

　　3 工作流程

　　计算机终端管理系统是由安装在终端设备上的客户端程序和安装在服务器上的制约端程序通过前台浏览器访问后台管理信息库进行系统管理的。

　　（1）网络数据采集模块：包括客户端及网络扫描监测端两个采集模块。主要负责采集终端中报警信息、病毒感染等信息。客户端模块通过终端注册程序采集并实施监测终端设备信息，如操作系统信息、软件安装信息、硬件设备信息及违规外联监测等。同时，根据系统配置的策略对终端设备进行审计并上报至服务器。网络扫描监测端自动扫描其所属网段内的终端设备信息变化情况并根据系统设定策略报警，同时还能对未授权入网设备进行阻断；（2）数据存储分析模块：该模块将采集到的终端数据和数据库数据进行比对并分析、处理及存储，根据系统策略对数据进行更新或报警；（3）制约管理、报警模块：该模块统一调度其他模块工作，包括各模块参数配置、网络通讯配置、信息显示、报警显示等。其中，制约管理平台通过调用中心数据库制约系统其他功能模块。包括配置参数值、显示网络设备分类、报警信息、管理区域划分，管理权限分配等。

　　4 日常运维注意事项

　　（1）每日检查系统事件，检查是否存在异常的系统安全事件，设定报警策略以保证对违规行为能够及时发现和处理；（2）每日检查系统组件运转状态，检查区域管理器、网页管理平台是否能够正常运转；（3）定期查看系统策略下发执行状况和报警信息，及时进行策略修订，按网络情况调整策略内容及策略下发区域；（4）定期检查系统管理内容，确定没有异常系统管理用户和保证每个用户的权限合法正常；（5）定期检查系统数据库，根据数据库容量增加速度及时进行数据备份，并对报警信息进行删除和整理；（6）定期检查区域管理器是否正常启动，确保级联数据接收端口和报警数据端口正常开启；（7）定期对管理器的管理范围及扫描范围进行检查，以便对新增设备及时管理。

　　5 功能扩展倡议

　　计算机终端管理系统自运转以来大大提高了企业内部安全运转水平，减轻运维人员工作负担，但部分功能仍有待改善。

　　5.1 增加终端准入制约功能

　　目前桌管系统接入机制为终端接入信息内网后，由桌管扫描器对

常规网段进行扫描，发现不符合安全策略（如未安装杀毒软件、存在弱口令、未注册桌管客户端等）的终端后再对其进行技术处理（如对其进行阻断等）。此种接入机制存在风险漏洞。倡议增加终端准入制约功能，在终端接入信息内网之前对其进行安全策略检查，符合接入规范后再开通其访问网络资源权限。

　　5.2 优化违规外联报警机制，细化违规外联报警信息

　　违规外联事件已作为各企业信息系统安全运转指标列入考核范围，但仍存在误报或上报信息不详细无法判断违规外联事件产生理由的情况。倡议对违规外联机制进行优化，并针对违规外联事件的类型给出更详细的违规外联事件类型描述，如报警信息提示使用3G卡拨号外联，或是接入外网网线外联等。

　　5.3 增加阻止违规外联事件发生的技术措施。

　　现有违规外联功能仅限于外联事件发生后，系统对其进行阻断和报警。倡议扩展系统功能，在违规外联事件即将发生前进行阻断。目前终端违规外联途径统计包括3G上网卡、智能手机、无线网卡、IE 、物理线路等方式。针对外联渠道、方式不同，倡议增加如下对应技术措施进行限制：

　　5.4 优化弱口令上报机制

　　目前运转的桌面系统弱口令处理机制是开机检测，检测到系统账户存在弱口令后上报，每次重启均检测和上报，产生大量冗余数据。倡议优化弱口令上报机制，改为每天上报一次。倡议终端弱口令数量每日的值以每日最小值进行计算，例如上午发现弱口令，下午已经整改，不统计为弱口令。

　　6 结束语

　　计算机终端管理系统自运转以来，达到了统一企业内部计算机终端运维流程，规范了终端标准化配置，提高了终端用户安全防护能力，提升了终端运转维护自动化程度，提高了桌面终端服务水平，减轻了信息运维人员的工作负担，降低了计算机终端安全风险和隐患，为企业内部信息系统安全运转提供了有力的支撑。

一直以来，信息网络安全防御概念仅仅局限于网络边界防御，如防火墙、IDS等。但来自网络内部的安全威胁却是网络运维人员真正需要面对的理由。据统计表明，企业信息安全事件大部分来自于企业信息网络内部，因此终端安全将是当前网络安全运维工作重点。由于企业内部网络结构较为复杂，企业内部网络计算机管理是一个综合的理由，涉及管理计算机本身、计算机应用、计算机操作者、计算机使用单位规范等多个方面的要求性因素，而有限的信息运维人员难以应对数量庞大的客户端事件。　　桌面终端管理系统正是这样一个集计算机终端接入制约、终端资产信息管理、终端安全审计、非法外联行为监控、系统软件及补丁分发、涉密检查等多功能为一体的确保接入网络的计算机终端信息安全及规范人员操作终端行为的系统。　　1 系统应用架构　　计算机桌面终端管理系统可应用于广域网及局域网，同时也支持跨网段、跨地域的内网远程终端管理及未授权移动设备接入检测、内网终端违规外联监控等。主要分为基本架构及扩展架构。　　（1）基本架构。此种架构可通过一套终端管理系统中的一个区域管理器集中管理所辖区域内的所有终端设备。　　（2）扩展架构。此种架构适用于多个局域网或跨地域的一个广域网。该架构采用多区域集中管理方式对所属区域内所有终端设备进行集中管理。　　2 部署与功能　　计算机桌面终端管理系统总体遵循“集中管理、分级实施”的原则，在企业总部部署一台服务器，统一对所辖地区进行级联管理。系统采用C/S与B/S混合模式，支持分布式部署，为用户提供了计算机终端接入管理、终端远程运维、信息设备资产管理、终端补丁分发管理、终端安全审计、违规外联监控、报警处理、事件报表等功能。该系统由以下8个部分组成：（1）WinPcap：该程序为嗅探驱动，可监听网络上传送的数据；（2）管理信息库：该信息库用于建立桌面终端管理系统的初始化数据，如终端设备属性、报警信息等。同时用以与扫描器扫描到设备最新状态进行对比，根据预先设置的策略要求发出报警信息；（3）系统管理配置中心：该中心用于配置系统区域管理器、终端扫描器、系统安全策略、报警阈值设置及系统维护配置等；（4）区域管理器：用于与管理信息数据库通信，接收终端信息并存入数据库，同时接收系统配置的策略并下发至各终端；（5）主机保护模块：使用较高安全等级的网络配置来防止特定计算机受到IP冲突或恶意攻击；（6）终端注册程序：用于接收系统策略同时发送终端注册信息；（7）补丁下载服务器：用于更新系统补丁；（8）报警中心模块：根据系统设定阈值发出报警信息，包括电子邮件、手机短信等方式。　　3 工作流程　　计算机终端管理系统是由安装在终端设备上的客户端程序和安装在服务器上的制约端程序通过前台浏览器访问后台管理信息库进行系统管理的。　　（1）网络数据采集模块：包括客户端及网络扫描监测端两个采集模块。主要负责采集终端中报警信息、病毒感染等信息。客户端模块通过终端注册程序采集并实施监测终端设备信息，如操作系统信息、软件安装信息、硬件设备信息及违规外联监测等。同时，根据系统配置的策略对终端设备进行审计并上报至服务器。网络扫描监测端自动扫描其所属网段内的终端设备信息变化情况并根据系统设定策略报警，同时还能对未授权入网设备进行阻断；（2）数据存储分析模块：该模块将采集到的终端数据和数据库数据进行比对并分析、处理及存储，根据系统策略对数据进行更新或报警；（3） 制约管理、报警模块：该模块统一调度其他模块工作，包括各模块参数配置、网络通讯配置、信息显示、报警显示等。其中， 制约管理平台通过调用中心数据库制约系统其他功能模块。包括配置参数值、显示网络设备分类、报警信息、管理区域划分，管理权限分配等。　　4 日常运维注意事项　　（1）每日检查系统事件，检查是否存在异常的系统安全事件，设定报警策略以保证对违规行为能够及时发现和处理；（2）每日检查系统组件运转状态，检查区域管理器、网页管理平台是否能够正常运转；（3）定期查看系统策略下发执行状况和报警信息，及时进行策略修订，按网络情况调整策略内容及策略下发区域；（4）定期检查系统管理内容，确定没有异常系统管理用户和保证每个用户的权限合法正常；（5）定期检查系统数据库，根据数据库容量增加速度及时进行数据备份，并对报警信息进行删除和整理；（6）定期检查区域管理器是否正常启动，确保级联数据接收端口和报警数据端口正常开启；（7）定期对管理器的管理范围及扫描范围进行检查，以便对新增设备及时管理。　　5 功能扩展倡议　　计算机终端管理系统自运转以来大大提高了企业内部安全运转水平，减轻运维人员工作负担，但部分功能仍有待改善。　　5.1 增加终端准入制约功能　　目前桌管系统接入机制为终端接入信息内网后，由桌管扫描器对常规网段进行扫描，发现不符合安全策略（如未安装杀毒软件、存在弱口令、未注册桌管客户端等）的终端后再对其进行技术处理（如对其进行阻断等）。此种接入机制存在风险漏洞。倡议增加终端准入制约功能，在终端接入信息内网之前对其进行安全策略检查，符合接入规范后再开通其访问网络资源权限。　　5.2 优化违规外联报警机制，细化违规外联报警信息　　违规外联事件已作为各企业信息系统安全运转指标列入考核范围，但仍存在误报或上报信息不详细无法判断违规外联事件产生理由的情况。倡议对违规外联机制进行优化，并针对违规外联事件的类型给出更详细的违规外联事件类型描述，如报警信息提示使用3G卡拨号外联，或是接入外网网线外联等。　　5.3 增加阻止违规外联事件发生的技术措施。　　现有违规外联功能仅限于外联事件发生后，系统对其进行阻断和报警。倡议扩展系统功能，在违规外联事件即将发生前进行阻断。目前终端违规外联途径统计包括3G上网卡、智能手机、无线网卡、IE 、物理线路等方式。针对外联渠道、方式不同，倡议增加如下对应技术措施进行限制：　　5.4 优化弱口令上报机制　　目前运转的桌面系统弱口令处理机制是开机检测，检测到系统账户存在弱口令后上报，每次重启均检测和上报，产生大量冗余数据。倡议优化弱口令上报机制，改为每天上报一次。倡议终端弱口令数量每日的值以每日最小值进行计算，例如上午发现弱口令，下午已经整改，不统计为弱口令。　　6 结束语　　计算机终端管理系统自运转以来，达到了统一企业内部计算机终端运维流程，规范了终端标准化配置，提高了终端用户安全防护能力，提升了终端运转维护自动化程度，提高了桌面终端服务水平，减轻了信息运维人员的工作负担，降低了计算机终端安全风险和隐患，为企业内部信息系统安全运转提供了有力的支撑。

关于我们

法律声明

帮助中心

商务合作

相关文章

关于我们

法律声明

帮助中心

商务合作