桌面终端安全管控系统在企业的应用与创新

彭聪+刘婉澜+刘冰

摘 要 本文介绍了桌面终端安全管控系统的要求、功能及在企业应用的举措，突出了桌面终端管理系统在企业信息化建设及信息安全防护体系中的重要作用。

关键词 桌面终端 安全管控系统 信息安全防护

中图分类号：TP393 文献标识码：A

0 引言

随着公司管理的桌面终端数量的增多，同时人员体系复杂，终端部署位置分散，会导致信息安全风险的提高。传统单一、分散的终端管理模式已不能适应新形势下的管理需求，不能实现有效且安全的桌面终端管控，对桌面终端的故障处理也不能在公司层面统一监控和调度管理。

为了全面提升桌面安全防护水平，在桌面终端的日常管理措施中，可加强桌面接入流程管理，全面签订安全责任书和安全承诺书，加强信息安全考核管理，同时加大培训力度，提高全体员工的桌面安全管理意识。在技术层面，可通过桌面安全管控实现对桌面终端、注册用户、IP 地址、介质访问控制（Media Access Control，MAC）地址、交换机物理端口等的统一匹配管理，确保桌面终端安全，提高企业的安全防护能力，从而提高办公效率和经济效益。

1 桌面管控系统的要求及功能

1.1 桌面管控系统的要求

非法接入与违规外联是公司网络安全的重大威胁，为此应确保不发生非法接入、违规外联，确保桌面终端数据信息的完整、可用以及机密性，防止病毒、木马及黑客攻击等各类威胁而导致的信息被破坏、系统不可用、服务中断，以及由此引起的安全事件。保障桌面终端安全，一方面可通过各类途径提高使用人员的信息安全防范意识和防护水平，另一方面可通过技术手段加强对桌面终端的安全防护能力，以此杜绝可能出现的安全隐患。

1.2 桌面管控系统的功能

桌面终端管理系统功能范畴包括桌面终端计算机资产管理、软件管理、补丁管理、安全管理。其中，资产管理主要针对桌面终端详细的软、硬件资产现状及变更等进行管理；软件管理包括软件分发、配置管理、远程控制和软件计量等；补丁管理包括防病毒软件和系统的补丁更新及报警管理等；安全管理包括对病毒防范、安全准入、非法外联、安全评估、用户行为进行管理等，从而支持对桌面终端完整的全生命周期管理。

2 桌面管控系统的实施

桌面终端管控系统在用户接入网络前，通过统一管理的安全策略检查终端的安全健康状态，对不符合安全标准的用户进行“隔离”并强制用户进行病毒升级、系统补丁安装等操作，在保障用户终端具备自防御能力并安全接入的前提下，可以通过动态分配网络权限，从而提高网络的整体安全水平。

3 企业桌面安全管控系统的应用举措

3.1 桌面终端安全防护

对终端进行统一分配，由专业部门负责操作系统及应用软件的安装，确保在系统安装完成后进行必要的安全加固。在入网时执行统一的准入策略和桌面管理系统安全策略，并通过入网后的定时检查与维护确保桌面终端的信息安全。部署统一的防病毒软件，并安装必要的应用软件。对未注册和未安装防病毒的设备强制下线，以确保内外网桌面终端注册率及防病毒软件安装率。内外网桌面终端入网后，由专业人员在接入交换机上进行IP-MAC-端口-责任人绑定，并将交换机上未使用的端口关闭，以防止非法接入。

3.2 桌面终端安全准入

部署安全准入网关实现信息内网终端的准入管理。桌面终端接入信息内网时首先要进行安全准入检测，首先检测是否在桌面管理系统中注册，若无注册则自动跳转到指定的URL 安装注册软件，接着检测是否安装杀毒软件和补丁，若此终端未安装杀毒软件则自动跳转到指定的URL 安装杀毒软件；若系统补丁安全检测到不合格，则提示到指定的URL进行补丁升级。安全准入网关还可以通过弱口令检测、默认共享检测等安全策略共同确保信息内网接入终端的安全可靠运行。

3.3 杜绝信息敏感字

通过上网行为审计系统与防火墙联动，控制邮箱敏感字，包含敏感字的邮件将被丢弃，确保不发送含敏感字的邮件。通过内网保密检测系统敏感信息检查执行率查询，可及时查找与定位不符合要求的桌面终端并进行处理，确保该指标达到100%，有效杜绝信息敏感字。

3.4 外网桌面终端防护

对外网终端实施准入控制，对未注册和未安装防病毒的设备强制下线，对含有敏感字的文档进行告警提醒，以确保外网桌面终端注册率及防病毒软件安装率。

3.5 桌面管理系统安全策略

在桌面管理系统中启用基准策略。“主机安全策略”，启用用户密码策略，强制桌面终端系统口令符合复杂度要求，以防发生弱口令事件；“接入认证策略”，启用补丁与杀毒软件认证，确保内网终端防病毒软件实时监控率；“硬件设备控制”策略，禁止使用调制解调器、红外设备、蓝牙设备；启用“进程执行监控”策略；禁用无线网卡设备；启用“协议防火墙策略”，只允许桌面终端访问内网地址；启用“IP 与MAC 绑定”策略，禁用冗余网卡，禁止修改IP 与网关，以防发生违规外联事件；执行“文件内容检查”、“终端涉密检查”、“文件动态监控”，确保敏感信息检查执行率及保密检测系统安装率。

3.6 常态化开展安全检查与运维

定期利用漏洞扫描设备进行全网扫描，对扫描出的漏洞及问题及时进行整改；基线扫描设备发现终端不符合基线要求的，通过桌面终端程序下发统一的符合基线要求的策略，确保桌面终端符合基线安全要求；信息运检班值班人员每日实时监测准入桌面管理系统和IMS系统的各类指标，发现异常及时处理，以提升信息安全水平。

參考文献

[1] 马之力，张驯，崔阿军等.电网企业网络准入体系设计及应用[J].电力信息与通信技术，2015，13（5）：127-129.