戚帅帅

【摘要】    内网终端系统决定着内网管理系统以及生产系统的顺利使用，同时也影响着办公系统终端。在现代科学技术发展的推动下，各种类型的网络病毒在信息系统中较为常见，对内网终端平台安全造成了较大威胁，因此通讯运营商就应当加强内网终端安全管理，通过构建安全管理平台贯彻落实全方位安全控制。基于此，本文主要探究通讯运营商内网终端安全管理平台的构建，并针对安全管理平台的设计方案进行探讨，简述内网资源管理等多个模块的内容，以此来提高终端安全管理平台构建的有效性。

【关键词】    通讯运营    内网终端    安全管理    平台设计

一、基本问题分析

当前通讯运营商内网安全面临着诸多安全隐患，因此应当及时优化其管理结构，设计终端安全管理平台。当前主要安全隐患包括以下三个方向：其一，公司内部终端都连接着DCN网，经过省中心认证后，才可进行后续的互联网访问。DCN网具有统一出口的特点，如果DCN网并不属于集团公司，那么则不符合公司的安全运营管理需求，不允许其应用互联网出口功能。[1]其二，诸多办公与非办公终端在应用时，并未采取物理隔离以及逻辑隔离，IP地址存在混用的情况。进而导致办公终端很容易成为网络攻击的跳板，针对企业关键业务造成较为严重的安全威胁，导致企业的运营面临着极大的安全风险。其三，当前DCN網和IP网都没有落实实名制管理，进而导致无法全面追究溯源，使得运维管理难度系数加大，不能满足企业的发展需求。

二、内网终端安全管理平台构建概述

（一）建设目标

通过内网终端安全管理平台的有效构建，各级区域的管理人员都可以利用此管理平台实现对信息的有效管理，通过安全技术手段的应用，实现对计算机风险的评估，快速安装桌面管理以及内网终端补丁，实现全面管理，进而提高企业管理效果，保护信息安全，企业重要的信息内容也不会因为管理平台不完善而泄露，而企业计算机设备也不会受到病毒的侵扰，使得安全管理效果不断增强。

（二）建设要求

根据通信运营商的经营情况完善网络终端管理平台的构建，通过统一化的管理方式，实现对公司部门以及营业厅计算机终端的集中化管理，提高监督效果。在初步设计安全管理平台时，应当结合公司需求，与公司市场部门、客户部门以及信息部门共同测试安全管理效果。终端安全管理平台要能够及时发现终端设备的异常，实现其监控功能，同时自动恢复终端设备数据。结合内网边界安全需求，做好生产内网安全管理，确保其不会受到外网攻击与控制。[2]而企业办公生产网络严格规定不可外联，做好边界保护。

（三）优化网络结构

针对运营商内部应用的办公网，应当与DCN网相隔离。针对OA办公网所需要的功能，通过使用CN2网PE设备和城域网BRAS等设备开通，并实现与DCN网MPLSVPN逻辑隔离，在接上相关网络设备后，也应当进行物理隔离。

通过对网络设备的优化改造，OA办公网应用了新型交换机设备。同时OA办公网也接入了原办公终端的DCN网接入段，从PON端接入具备PON资源的设备。当前OA办公网应用了新型地址段，通过承载网将其与VPN业务实现区分，面对办公室的IP地址需求，选择公网私用方式解决现有问题，在终端设备得到省中心认证后，则可以实现在终端设备上应用OA办公网访问DCN网，实现Nat转换。

在完成整体网络结构优化后，全部办公设备应当由原有DCN网，接入OA办公网，在完成具体认证后，通过二选一的方式访问互联网，在DCN网内只需保留其IT资产，或者网络资产即可，从而有效保障网络使用的安全性。

（四）办公终端安全管理

终端安全管理平台应当强制电脑终端安装桌面安全软件，通过对网络准入控制技术的应用，实现对OA办公网的全面管理。办公终端桌面安全软件包括杀毒软件、弱口令账户、屏幕保护、密码策略设置以及禁止安装软件等多个内容，可实现对终端的全面检查。[3]在检查过程中如果发现不符合安全管理需求的情况，终端安全系统会自动对企业进行警告与修复。

（五）IP地址管理

在加强IP地址管理时，应当从两个方面入手。

首先应当制定完善的IP地址管理制度，明确各级单位使用IP地址的各个环节，如申请、注册、使用、分配、回收等。

其次，构建完善的IP地址管理系统，在生产流程中融入IP地址的生命周期管理，实现对IP地址的全面化、动态化管理，确保管理方式的规范性。而对于OA网络的IP地址，则应当经过系统认证后采取实名制管理，具体管理信息包括认证时间、OA工号等等。而对于DCN网络而言，IP地址的使用则应当先实名，在完成实名注册流程以后，才可以允许用户使用。每一DCN网的IP地址都需要对应到相应的责任人，具体责任信息包括单位部门以及设备等，以此来保障DCN网络使用的安全性。

三、内网终端安全管理平台设计

构建内网终端安全管理平台，实现统一管理的主要核心点应当围绕着集中式管理、分级部署而展开，在设计平台时，应当由省中心统一管理，其他地级市以及省二级机构自主完成管理与维护，在平台中出现的报警等多项信息应当上传至省中心。

首先，在构建安全管理平台时，省中心可以独立部署统一管理的中心服务器，控制网络安全，而下属地级市管理单位也应分别部署中心服务器，省中心服务器可以利用级联服务器获取低级服务器信息内容，在派发管理员权限时，也应当由省中心统一管理与派发。省中心在集中管理中具备最高管理权利，能够对下级服务器进行统一管理，制定管理策略。在安装网络终端时，也应当配套安装客户端程序，以此实现对网络终端的全面管理与监督，与此同时，网络系统终端也应当安装相应的补丁服务器以及杀毒软件，并定期对杀毒信息库进行更新，在与互联网相连接时可以进行独立部署，也可以使用管理服务器，以此来实现实时更新系统的相关补丁信息，加强病毒防控。

其次，终端安全管理平台可以利用中心服务器，实现对各客户端的优化配置，如网络补丁下发、入网设备联网状况、流量监控、U盘使用监控、终端软件硬件管理、禁止安装不允许软件以及应用程序安全等等，同时也应当实时监控客户端的各种行为。[5]通过网络终端客户端程序的安装，能够实现对终端各项信息的有效管理，遇到风险时也能够及时报警上报，针对终端设备的异常现象，可以对其管理节点进行断网处理，同时也可以通过远程操作诊断与维护客户端设备。

最后，终端安全管理平台可以通过利用多级级联部署方式，实现各级网络终端独立下载安全管理软件的功能。下级管理节点应当统一汇报各项报警信息以及管理情况;上级管理节点则向下级管理节点下发各项管理策略、病毒库升级文件以及网络补丁。安全管理平台可以通过统计实际客户端数量及管理功能，对安全管理方式进行拓展。

四、系统基本功能

（一）系统首页

系统首页应当为终端安全管理平台的运营提供基本状态信息、配置任务信息以及报警统计信息等多项管理内容，为平台管理人员提供可靠信息，进而第一时间掌握平台安全情况。

（二）终端初始化

系统能够结合安全管理策略对操作系统终端进行配置与定制，并结合不同管理策略选择安装相应的管理软件，以此实现优化配置。系统能够根据计算机类型合理配置相关安装内容，也能够具备终端映像恢复功能，让企业能够通过不同终端设备的映像，简化管理模式。安全管理平台能够实现初始化在线安装，同时也具备基本的备份功能。

（三）接入控制

1.接入控制技术

在应用接入控制技术时，应当结合企业内部的实际情况做好控制工作。针对长期在网的计算机则务必要安装Agent，并且按照网络技术的安全管理规定完成安装，比如企业内合法访问账号及系统补丁。如果与企业安全管理规定并不相符，那么则拒绝网络接入，或者利用网络功能自动隔离电脑设备，并采取安全修复措施。临时接入系统的电脑终端，应当通过Web控件接入。在打开Web浏览器訪问网页过程中，则应当安装IE控件，随后才可进入公司内网访问。比如领导电脑终端等特殊电脑则可以通过配置专用软件或者终端安全设备，实现无管控上网。

2.接入控制功能

接入控制功能应当做好安全检查与评估工作，严格管理各项非法操作，限制违法行为。在使用U盘等功能时，应当接受可信授权，避免出现企业文件外传的行为，同时通过安全审计等方式管理终端行为。针对终端采取集中化管理方式，比如软件开发应用程序管理、资产管理、外联管理等等都更适合集中化管理模式。

3.接入控制策略

接入控制策略决定着网络系统的安全性，首先，安装的Agent应当具备反卸载、禁止非法删除等功能。其次，如果在进行重装操作系统等操作时，存在私自终止Agent的运行或者卸载Agent情况时，通过终端安全管理平台可以及时发现这一行为。按照相关管理规定对其进行处罚或警告，以免再次发生私自卸载的行为。最后，严格管理对NAT网络的私自接入行为。

4.网络安全接入认证功能设计

（1）身份认证

公司内部所有需要入网的设备，都应当采取统一身份认证，包括web认证、IP地址、802.1x、用户名及密码、VLAN信息等等，同时也应当针对U盘、数字证书认证、无缝结合域管理等等。同时也应当根据管理需求提供认证协议，支持LDAP等第三方数据库的检查与认证。为了强化安全管理，在认证过程中也可以采取用户绑定的指纹认证方式。

（2）接入设备的安全性检查

对于安全管理系统应当对入网终端进行细致化检测，了解其安全状态，同时也应当针对病毒软件版本、非法外联、异常流量、补丁漏洞、非法代理、敏感操作等多种行为进行实时检测。安全检查也应当符合相应要求：第一，市场上所使用的金山毒霸、norton、卡巴斯基、瑞星、360杀毒等软件应当被安全管理平台所支持。第二，能够支持细致化检测项目的管理，如：桌面属性、资产、系统设置项、注册表项、外设管理等等。第三，通过ARP阻断公司内未进行注册的IP或MAC终端系统，并提供阻断配置。第四，合理控制特定用户对公司特定业务信息的访问权限。第五，控制特定终端及终端群接入特定网络资源的情况。第六，合理过滤业务资源发的内容，实现实时监控。

（3）接入设备的安全修复

在进行安全检查时，如果设备没有通过，则应当为其提供统一安全修复，充分发挥安全管理平台系统的修复功能以及自定义功能，逐步降低对外部厂商的需求与依赖，实现对产品的全面管理，保障产品的综合效能。在进行安全修复过程中，应当为其提供引导界面，提高其人性化水平，从而保障每一终端设备都能够符合安全管理需求。

5.资产登记与分级管理功能设计

（1）资产登记系统设计

针对系统资产采取分级管理方式，通过灵活的资产分组管理形式实现对不同资产的针对性管理。同时系统要定向管理相应资产信息，如：软件资产统计、计算机IP地址、MC地址生产商、硬件设备、信息操作系统、日常维修、IP范操作系统类别、资产配置、操作系统语言等等。同时在设计终端安全管理平台时，也应当使其支持多级管理形式，根据不同区域不同部门采取相应的管理办法，同时也应当给予不同区域的系统管理员权限，实现精细化权限管理，进而保障用户具有不同的管理权限及功能权限。同时系统管理员与系统审计员之间应当进行两权分离，操作员所涉及的操作日志以及变更日志，审计员可以按照工作标准对其审核，而系统面只显示机器设备运行情况及管理策略即可。除此之外，安全管理平台也应当具备自动探测功能，检查终端硬件使用情况。

（2）硬件设备禁用功能设计

安全管理平台应当给予硬件设备相应的禁用功能，比如外部设备的使用、打印机、USB接口、红外接口、启用或禁用光驱等等，尤其是对于USB存储设备以及软驱及光驱，只可为其提供禁用、只读状态，而终端安全管理平台可以对所有的访问行为进行综合统计，完成全面审计。同时安全管理平台也应当具备信息汇总功能，服务器系统应当根据收集到的动态或静态信息进行汇总与归档。具有手工修改设备信息的功能，使得管理人员在操作系统时能够通过手工录入等方式，实现对网络终端信息的管理，尤其是对于未出现的终端，则可以完善其不完整档案。具体管理策略可以结合实际使用时间进行下发。

（3）设备资产管理功能设计

为了维护企业固定资产，防止用户随意拆卸终端设备情况的发生，因此安全管理平台应具备自动探测硬件的功能。比如终端计算机名称型号、内存、MAC大小、硬盘品牌、设备编号以及CPU型号等等。所有设备数据都应当上报至中心管理平台，自动形成报表信息，已录入相关数据，针对设备变化情况完成报警。

6.外联安全监控功能设计

外联安全监控功能需要系统及时发现计算机通过离线等多种方式接入互联网的行为，如VPN拨号、网卡、无线拨号、modem等等，同时也应当监控设备违规接入网络的行为。安全管理平台应当精准记录设备的非法上网情况，如上网时间、客户端地址、IP地址等等，并记录设备非法上网的计算机名称、上网方式等信息。安全管理平台应当具备多级报警功能，确保报警信息可以通过内网本级报警的级联方式上传到上级管理中心。此外，安全管理平台应当将对管辖范围内设备的信息进行整合，并以数据库的形式向上级管理中心上报，以此来实现对数据信息的实时查询。而系统也应当在自身的管辖权限内，通过跨越网段的方式，对违规联网的设备采取阻断处理。

五、结束语

综上所述，通讯运营商加强终端设备网络安全管理具有重要作用，不仅能够实现对企业信息的有效管控，降低经营风险;同时也能够实现公司管理方式的精细化管理，提高企业安全管理水平，为公司稳定发展奠定良好基础，发挥出网络安全管理平台的作用。

参  考  文  献

[1]康雅萍，陈熠，白浩.基于多域网络环境的终端安全管理体系的研究[J].长江信息通信，2021，34（6）：127-129.

[2]关天文. 计算机终端安全管理研究[J].今日财富（中国知识产权）， 2021，（5）：129-130.

[3]叶水勇. 移动智能终端安全防护的探究[J].国网技术学院学报， 2020，23（3）：24-27.