摘 要 本文介紹的終端安全防護(hù)技術(shù)即桌面安全管理技術(shù)，它集成了終端運(yùn)維、終端加固、終端審計(jì)控制技術(shù)，實(shí)現(xiàn)了對(duì)所有網(wǎng)絡(luò)終端的安全管理和準(zhǔn)入控制，保證了合法授權(quán)用戶進(jìn)入網(wǎng)絡(luò)、拒絕非法無授權(quán)用戶進(jìn)入網(wǎng)絡(luò)或拷貝數(shù)據(jù)。該方案以安全策略為核心，以客戶端策略遵從性為強(qiáng)制為手段，從控制網(wǎng)絡(luò)單體入手，通過多方手段相結(jié)合，從而加強(qiáng)用戶終端的主動(dòng)防御能力，實(shí)現(xiàn)保障整體網(wǎng)絡(luò)的安全性。

　　【關(guān)鍵詞】終端運(yùn)維 終端加固 終端審計(jì)

　　隨著煙草信息化的不斷進(jìn)步和發(fā)展，單位網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，公司對(duì)各部門、各縣局的管理比較困難。在網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)均可能造成病毒傳播、非法接入和違規(guī)操作等問題，內(nèi)網(wǎng)安全風(fēng)險(xiǎn)日益凸顯；各節(jié)點(diǎn)隨意連接互聯(lián)網(wǎng)，隨意接入一些不良網(wǎng)站，造成網(wǎng)絡(luò)中大量木馬、病毒的傳播，帶來安全隱患；內(nèi)部ARP欺騙現(xiàn)象嚴(yán)重，網(wǎng)絡(luò)故障無法準(zhǔn)確定位，公司敏感信息被非法泄漏等，都嚴(yán)重影響了公司業(yè)務(wù)的發(fā)展。因此，急需建立同具有自身特點(diǎn)相適應(yīng)的計(jì)算機(jī)終端安全防護(hù)體系。建立在計(jì)算機(jī)終端安全策略、安全技術(shù)和安全措施，保證系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，建立一套計(jì)算機(jī)終端信息安全管理體系。
　　1 終端管理技術(shù)
　　終端安全管理技術(shù)是以終端安全管理為核心出發(fā)點(diǎn)，從終端用戶身份認(rèn)證、數(shù)據(jù)防泄漏、防破壞、主機(jī)安全審計(jì)、安全綜合管理（防病毒）、桌面管理應(yīng)用多個(gè)角度構(gòu)建一套完整的終端安全防護(hù)體系，通過技術(shù)手段全面貫徹落實(shí)用戶的安全管理策略。
　　2 終端安全防護(hù)體系架構(gòu)
　　終端防護(hù)系統(tǒng)由安全中心服務(wù)器、終端引擎、終端準(zhǔn)入控制、第三方服務(wù)器組成。
　　2.1 安全中心服務(wù)器
　　安全中心服務(wù)器主要職能就是安全策略的制定與維護(hù)和所有終端數(shù)據(jù)的展示。具體表現(xiàn)在對(duì)所有終端進(jìn)行集中監(jiān)控、授權(quán)、卸載；各種日志報(bào)表的展示、查詢、匯總生成。
　　2.2 終端引擎
　　終端引擎是在終端計(jì)算機(jī)解析、執(zhí)行安全策略并上報(bào)各類日志的功能組件，主要完成終端身份認(rèn)證、移動(dòng)存儲(chǔ)設(shè)備管理、安全審計(jì)、桌面管理等功能。
　　2.3 第三方服務(wù)器
　　第三方服務(wù)器主要包含操作系統(tǒng)補(bǔ)丁服務(wù)器、網(wǎng)絡(luò)版防病毒軟件病毒庫更新及控制服務(wù)器和身份認(rèn)證服務(wù)器。操作系統(tǒng)補(bǔ)丁更新服務(wù)器提供補(bǔ)丁查詢、更新功能，網(wǎng)絡(luò)版防病毒軟件病毒庫更新及控制服務(wù)器提供防病毒軟件的病毒庫更新，病毒查殺頻率及次數(shù)，身份認(rèn)證服務(wù)器提供對(duì)終端用戶身份進(jìn)行認(rèn)證的功能。
　　3 終端安全防護(hù)系統(tǒng)的實(shí)現(xiàn)與應(yīng)用
　　通過技術(shù)對(duì)比與方案評(píng)估，我們采用了綠盟公司的終端管理系統(tǒng)Datasheet來實(shí)現(xiàn)公司網(wǎng)絡(luò)的全面的終端防護(hù)及準(zhǔn)入控制。
　　3.1 部署方案
　　在公司核心機(jī)房的一臺(tái)DELL機(jī)架式服務(wù)器部署管理控制臺(tái)和數(shù)據(jù)庫。各縣區(qū)局沒有部署二級(jí)服務(wù)器，全區(qū)統(tǒng)一一個(gè)總控中心。
　　3.2 終端防護(hù)系統(tǒng)在張煙應(yīng)用的策略
　　3.1.1 終端入網(wǎng)監(jiān)測
　　通過實(shí)時(shí)計(jì)算機(jī)掃描可發(fā)現(xiàn)所有當(dāng)前在線計(jì)算機(jī)，通過總控中心的計(jì)算機(jī)注冊(cè)信息的同步，可區(qū)分合法設(shè)備和非法設(shè)備。對(duì)于非法設(shè)備，采取入網(wǎng)阻斷措施。
　　3.1.2 防病毒軟件管理
　　通過防病毒軟件信息收集和狀態(tài)監(jiān)測功能，檢查計(jì)算機(jī)是否安裝防病毒軟件，對(duì)于未安裝的計(jì)算機(jī)，進(jìn)行警示告警。
　　3.1.3 網(wǎng)絡(luò)流量監(jiān)測
　　對(duì)終端計(jì)算機(jī)的網(wǎng)絡(luò)通訊流量的審計(jì)、控制和統(tǒng)計(jì)。對(duì)于流量異常的計(jì)算機(jī)進(jìn)行重點(diǎn)監(jiān)控，必要時(shí)作斷網(wǎng)處理。
　　3.1.4 移動(dòng)存儲(chǔ)介質(zhì)管理
　　終端管理系統(tǒng)把移動(dòng)存儲(chǔ)介質(zhì)分為三個(gè)安全級(jí)別，從低到高依次為：外部、內(nèi)部普通和內(nèi)部專用移動(dòng)存儲(chǔ)介質(zhì)。終端管理系統(tǒng)系統(tǒng)實(shí)現(xiàn)精細(xì)化管理，通過安全策略控制移動(dòng)存儲(chǔ)介質(zhì)的使用，實(shí)現(xiàn)終端計(jì)算機(jī)、終端用戶和移動(dòng)存儲(chǔ)介質(zhì)三者之間的綁定。
　　3.1.5 終端安全管理
　　終端管理系統(tǒng)采用主動(dòng)防御技術(shù)，在設(shè)備底層實(shí)現(xiàn)防ARP病毒的功能，，阻斷各種類型的ARP病毒破壞行為，保證終端計(jì)算機(jī)不受ARP病毒的干擾與攻擊。保證公司網(wǎng)絡(luò)通訊的正常穩(wěn)定。
　　4 終端安全防護(hù)技術(shù)的應(yīng)用效果
　　4.1 提高了防病毒軟件的部署率
　　通過終端安全系統(tǒng)實(shí)施和應(yīng)用，強(qiáng)制卡巴斯基防病毒系統(tǒng)部署到位；通過卡巴斯基防病毒系統(tǒng)實(shí)現(xiàn)公司網(wǎng)絡(luò)終端防病毒功能。主要是對(duì)計(jì)算機(jī)終端上的防病毒軟件安裝、運(yùn)行、病毒庫更新情況進(jìn)行監(jiān)測。不符合條件的立即中斷系統(tǒng)應(yīng)用，在病毒庫更新到指定周期或者指定版本的情況下，系統(tǒng)應(yīng)用阻斷可以自動(dòng)解除。經(jīng)過統(tǒng)計(jì)，聯(lián)網(wǎng)計(jì)算機(jī)終端安裝防病毒軟件達(dá)到了100%。
　　4.2 提高了終端計(jì)算機(jī)的管理效率，保證了公司網(wǎng)絡(luò)的健康平穩(wěn)運(yùn)行
　　終端管理系統(tǒng)對(duì)終端計(jì)算機(jī)的管理可以非常嚴(yán)格。尤其是在對(duì)網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)進(jìn)行準(zhǔn)入控制的時(shí)候， 進(jìn)行終端計(jì)算機(jī)主機(jī)健康檢查，只有符合健康要求的計(jì)算機(jī)才允許進(jìn)行下一步的身份認(rèn)證，否則直接拒絕入網(wǎng)。嚴(yán)格的健康檢查可以有效地防止感染病毒木馬或有安全漏洞的終端計(jì)算機(jī)連入網(wǎng)絡(luò)。從而保證網(wǎng)絡(luò)的健康平穩(wěn)運(yùn)行。
　　4.3 加強(qiáng)了移動(dòng)存儲(chǔ)介質(zhì)管理
　　通過終端管理系統(tǒng)可以非常方便的看到移動(dòng)存儲(chǔ)介質(zhì)的使用，尤其是在對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行準(zhǔn)入控制的時(shí)候，可以通過管理控制端看到違規(guī)移動(dòng)存儲(chǔ)介質(zhì)的違規(guī)情況，還可以通過查看日志，了解網(wǎng)絡(luò)中移動(dòng)存儲(chǔ)介質(zhì)的使用情況。
　　4.4 杜絕了網(wǎng)絡(luò)違規(guī)外聯(lián)，提高了網(wǎng)絡(luò)的安全性
　　終端管理系統(tǒng)通過控制外接設(shè)備使用和終端計(jì)算機(jī)的撥號(hào)行為實(shí)時(shí)監(jiān)測和阻斷終端計(jì)算機(jī)的MODEM撥號(hào)、ADSL撥號(hào)、網(wǎng)關(guān)上網(wǎng)、代理上網(wǎng)等行為。從而拒絕了非法外聯(lián)等行為，保證了公司網(wǎng)絡(luò)的安全性。
　　5 結(jié)束語
　　終端管理系統(tǒng)成為和軟硬件防火墻、防病毒軟件一樣當(dāng)前企業(yè)進(jìn)行信息化安全建設(shè)時(shí)不可或缺的一個(gè)重要組成部分。終端管理軟件的使用，把信息安全管理從網(wǎng)絡(luò)層、交換層延伸到了終端計(jì)算機(jī)，使網(wǎng)絡(luò)安全手段得到更大的提高和加強(qiáng)。我公司信息中心通過使用終端管理系統(tǒng)的安全策略和移動(dòng)存儲(chǔ)介質(zhì)管理等功能，有效的控制了網(wǎng)絡(luò)中病毒、木馬的傳播途徑，提高了操作系統(tǒng)和應(yīng)用軟件漏洞補(bǔ)丁安裝概率和響應(yīng)時(shí)間，真正意義上保證了終端安全�？傊�，終端管理系統(tǒng)安裝于部署，提高了公司網(wǎng)絡(luò)內(nèi)的終端計(jì)算機(jī)的安全，減輕了信息中心運(yùn)維人員的工作量，保證了公司網(wǎng)絡(luò)健康平穩(wěn)運(yùn)行。