张鸿久　王少杰

摘要：桌面安全管理系统运用了安全管理信息技术来提高安全管理水平，它充分利用了现有的先进的网络管理工具，强化网络计算机终端的控制，实现实时的安全监控系统，同时能够同其它网络安全设备进行安全集成，使内部网络成为高速、安全的办公网络系统。

关键词：桌面管理；策略管理；信息安全；桌面安全管理

中图分类号：TP315

文献标识码：A

文章编号：1006－8937(2009)16－0114－02

1系统研究现状

常规安全防御往往局限在网关级别、网络边界(防火墙、漏洞扫描、防病毒、IDS)等方面的防御，重要的安全设施均集在于机房或网络入口处，在这些设备的严密监控下，大大减少了来自网络外部的安全威胁。而对于来自网络内部的计算机终端的安全威胁却忽视了，99.9％管理和安全问题来自于终端。在企业的内部网络管理中，终端安全威胁随时随地都可能影响着网络的正常运行。如：ip地址滥用、终端随意接入、防范内部重要数据外泄、内网终端加固工作繁琐、难以做到安全策略的统一等。

2结构层次分析

客户端桌面安全管理软件——“客户端桌面安全管理”强化了对网络计算机终端的控制，对计算机终端的管理，提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能，并能够同其它网络安全设备进行安全集成。

①使用“统一策略管理中心”，按需求加载策略。客户端桌面安全管理系统采用统一策略管理中心实现对内部网络终端的统一安全管理。我单位按国网的要求对设备资产变化、设备使用人变更、终端访问异常、系统流量异常、违规软件使用、系统运行异常等进行审计分析。及时为客户端打操作系统补丁，检查防病毒情况，严禁桌面终端违规外联、非注册桌面终端违规。完成终端硬件设备信息统计、终端软件资产统计终端。

②终端接人管理。在终端接人管理中，对非法外联行为监控、阻止。网络交换机联接、终端带入带出网络、网络地址规划与管理。系统提供实时监控的强大功能，即实时报警以及实时切断非法计算机同内网的连接，流程如图1。

③桌面安全。对单位内计算机进行密码安全、权限安全、桌面流量管理、终端统一防火墙、终端安全等级管理、杀毒软件识别与统计。提高计算机自身的安全防火水平。有效防范不安全因素对内部网络构成的威胁，真正做到内部网络的完全安全管理。

④隔离病毒源，保证网络畅通。开启桌面标准化管理系统阻断功能，发现电脑设备流量异常后执行该动作，然后检查计算机是否中了木马、受病毒感染、及时将受病毒感染的机器与网络隔离，阻断病毒源，避免病毒大规模爆发，保证网络正常运行。

⑤完备的查询和报表功能。系统可将报警信息、报警处置信息、网络终端信息、级联统计信息、日志信息等分类进行查询，提供多种报表。

系统具备独有的“组态报表”查询功能，能够以数据库中存在的任何字段为查询条件，并可将多种不同条件进行组合，以查询所需要的数据。

⑥移动存储设备认证功能。移动存储设备认证管理作用是为移动存储设备配置认证信息，并将认证信息写入到该存储设备中，并与策略中的配置信息相验证，以达到对移动设备的审计与管理功能。

⑦硬件变化设备查询。客户端注册时，已经把其硬件信息注册入库，如果客户端硬件有变化(增添或卸载)，则可通过该查询条件查到，从而避免了企业资产的流失。

3系统应用

3.1区域划分与配置

区域划分：单击系统首页面左侧“策略中心”的“区域划分与配置”，对网络中的客户端进行区域划分管理，按照提示依次添加区域、增加区域IP管理范围、分配区域管理器、分配区域扫描器，并完成系统组件运行参数配置。

区域描述配置：填写好一些必要的与区域相关的信息。

本区域IP划分：根据用户实际需要在下图所示的文章框中填入需要管辖的IP地址。

下级区域划分：在已有区域页面中点击“增加下级区域”按钮进行下级区域添加，如生技部下属铸造车间、组装车间等。

组件添加：对于网络规模大的管理，可以设置多个区域管理器对网络进行管理，不同的区域管理器共同使用一个数据库去管理不同范围的网络，并且，每个区域管理器下属可以使用多个区域扫描器，管理员根据管理需要设置区域管理器和扫描器。

区域管理器：该区域管理器作为系统策略控制及数据接收处理的中心，其具有控制完成系统相关动作行为处理的功能。

扫描器阻断管理：对没有注册的机器自动阻断联网，可设置持续阻断时间。(注：使用已注册设备向未注册设备进行ARP欺骗达到阻断效果)

3.2注册部门配置与管理

该功能是在没有或由于网络IP规划凌乱而不方便划分区域的情况下，按部门名称进行注册。从而达到可以直接通过部门名称进行管理查询它下属的客户端。

3.3设备接入管理

当扫描器发现有外来设备接人本网络时，通过选中“没有注册则阻断联网”复选框便可阻断该设备接入本网达到控制外来设备接入的效果。

3.4策略管理中心

策略中心是桌面系统的管理控制中心，对客户端进行策略的制定与下发。

①策略创建和分发。在“策略管理中心”中左边的策略主菜单中点击需要制定的策略，在右边的“新建策略名”中输入相应的策略名称后，单击“创建”按钮创建策略。

下发策略，指定策略的执行对象，通过单击“对象”按钮后，按界面的提示完成对象的分配。(注：可灵活控制策略的执行对象，如只分发到一个部门并不是全网都执行此策略)如图2所示。

②策略的高级设置。策略的高级设置用于客户端程序对策略的执行高级设置，包括策略的状态、策略的存活时间、策略的执行触发条件、策略的无效时间、策略的应用范围。

③系统策略设定。硬件资源管理包括：控制硬件外部设备的使用，有效控制启用或禁用如光驱、软驱、移动存储设备、USB接口、打印机接口、调制解调器、串行口、并行口、1394控制器、红外设备、蓝牙设备、PCMCIA卡、冗余硬盘、磁带机、冗余SCSI设备等输入输出设备；进程及软件监控：监控已安装的软件、监控正在运行的进程，分别配置违规处理措施。在“进程名”中输入需控制的进程名称，然后设置好“控制状态”后，单击“添加控制”按钮即可完成禁止运行或必须运行进程的效果；软件分发策略：普通文件分发的具体操作：点击“浏览”选择需要分发的文件，然后单击“开始上传”按钮，待上传完毕后，即可在“文件名”处的下拉框中选择欲分发的文件(也可以一次上传多个文件)，最后单击“保存策略”按钮，待依次指定对象和启用策略后，该策略则开始生效。文件完全分发到客户端需依照文件大小决定；补丁分发策略：包括补丁自动分发和人工选择补丁分发，补丁自动分发是策略发送到客户端后，客户端注册程序统一执行补丁策略自动安装无需人为操作；人工选择补丁分发：此功能根据人工选择特定的补丁下发给客户端用户。

4结论

4.1使用后的效果

①桌面安全管理系统，为网络系统构建了一个完整的客户端防护体系；②从外部对用户的网络边界的完整性进行有效监控(即网络隔离度监控)；③从内部通过补丁管理，防病毒软件管理，入网设备联网状况管理，软件安装状况管理，客户硬件状况管理等手段，完成对网络客户端的全面监控和管理；④为网络建设一个完善的客户端防护体系，从根本上解决了网络客户端安全管理的问题；⑤有效地减少了网管人员的劳动强度，缩短了故障处理时间；⑥添加桌面安全管理系统使我厂的网络安全进一步强化，在全厂实现了终端到终端的全面管理和控制；⑦在计算机管理上，用该软件在所有的计算机上把MAC地址与IP地址进行绑定，使非法计算机无法进入网络，杜绝了内网人员使用未经授权的u盘，避免u盘病毒传人的危险，关闭了可能存在的安全隐患。

4.2结语

桌面安全管理系统是继软硬件防火墙之后又一强大的安全防护管理软件。这一产品的合理使用，把网络管理的概念由过去的路由交换层延伸到了终端，使网络安全得到更大的加强与巩固。我单位网络中心使用桌面系统的封闭端口和终止服务等功能，有效的控制了大部分病毒传播途径，缩短了补丁发布和漏洞公布之间的响应时间，真正意义上保证了终端安全，也成为应急响应和临时变通安全方案的重要工具。总之，桌面安全管理系统与防火墙、杀毒软件、等系统联动，提高了内网的计算机信息安全，减轻了运维人员的工作，保证网络的畅通，更加确保了设计生产工作的正常运行。