孟　君

(神华集团信息管理部，北京 100011)



基于互联网+思维的终端安全管理体系的设计与实践* 1

孟君

(神华集团信息管理部，北京 100011)

摘要：大型国企子分公司行业跨度大、地域分布广、管理相对分散、终端数量大，要形成统一、有效的终端管理系统，需要大量的资金和3-5年甚至更长时间的建设。同时由于信息技术发展较快，安全管理理念和攻防技术的发展也正经历着突飞猛进的变化，终端管理系统需要不断地升级。神华集团拥有47家子分公司，20万员工，是煤电路港航煤化工一体的国家大型能源骨干企业。神华集团采用互联+思维模式，在自动发现、自动部署、互联网出口自动识别等方面做了详细的设计与实现，形成一整套适于神华集团的技术先进、适应性强、管理功能丰富的终端安全管理体系，为企业统一终端管理奠定了强大的平台基础，对信息安全建设起到至关重要的作用。

关键词：互联网+；自动发现；自动部署；终端安全管理

0引言

随着互联网技术的快速发展，一代又一代的互联网技术不断迭代更新，速度越来越迅速。对于大型国企来讲，其企业分公司行业跨度大、地域分布广、管理相对分散、人员技术层次差异大，给其信息化建设带来的巨大的挑战[1]。本文通过对神华集团终端安全管理存在问题的分析，结合互联网+思维，在自动发现、自动部署、互联网出口自动识别等方面进行详细的设计和实现，形成了一整套完整的集团终端安全管理体系，便利了企业信息化作业办公，促进企业信息安全建设[4]。

1神华集团开展终端安全管理的难点与问题

神华集团作为大型国企，由于子分公司行业跨度大、地域分布广、管理相对分散，各二级单位网络和终端系统自行建设，在一定程度上影响了集团终端安全管理系统的统一建设和管理，体现出如下管理上和技术上的问题：

终端管控困难：作为大型国有企业，神华集团拥有47家子分公司，共20万职工，各子分公司IT资产自行采购、更换，集团对自各子分公司实际拥有的硬件、软件资产及资产变动掌握不全面；对网络中接入的设备不能及时掌握；对各子分公司IP使用只能控制在规划的B类地址，无法详细跟踪地址使用情况；各子分公司互联网出口众多，无法有效统计和管理。

管理手段缺乏：由于各子分公司IT部门单独建设，管理相对独立。没有一套统一的管理手段在集团层面对各子分公司进行管理，形成统一的管理界面。同时由于缺少管理手段，造成终端管理软件部署率过低，无法达到统一终端管理的目的。

无法统一标准和考核：终端产品种类繁多，如准入、桌面管控、防病毒等等，不同厂商的产品管理上无法统一标准，并且各系统之间数据无法共享，安全管理水平差别较大。不同终端产品管理和安全的防护能力不同，无法形成统一的管理标准，不能进行统一的管理考核，从而使各子分公司终端管理水平参差不齐，存在一定的安全漏洞，对集团统一安全管理造成一定影响。

网络接入设备问题：网络规模较大，网络中外来人员PC、移动设备的随意接入给终端管理带来新的问题；网络中没有统一的网络管理系统很难有效的识别到网络设备的接入情况和IP地址的使用情况。

为了应对以上问题及现状，神华集团基于互联网+思维开展集团统一终端安全管理系统建设，经过多次论证最终确认了技术方案[2，3]。

2整体设计思路

在终端管理系统设计中，采用集团统一管理的集中业务管理模式，将所有管理端全部集中部署在集团总部数据中心，数据集中上报、策略统一推送，对所有的终端进行统一管控。系统策略由集团统一制订、各子分公司指定唯一的管理员，在经过集团报备和批准后，登录到集团统一的管理界面进行本公司系统的运维。

终端管理系统自动进行资产的统计和考核数据汇总，不需二级子分公司单独进行统计。系统由集团统一进行维护，各二级子分公司管理员仅作为系统使用者，不需要对平台本身进行维护，同时集团下发的各种管理任务也在一个系统中，按照统一的标准执行，大大减少了系统的管理成本，提高了管理效率。

采用快速迭代开发技术，在三个月内开发出终端发现系统，通过扫描、扫描数据处理与数据展现，对全集团的IP使用情况、终端安装进度、设备接入情况有了统一的了解。通过先进的DNS牵引、OCX插件强制部署等工具加速产品的安装进度，在半年内部署率达到80%以上。同时在网络传输中使用P2P技术，有效的节省网络带宽，平均可以节省80%以上的网络流量。

同时由于引进的终端安全管理系统采用云引擎、攻防倒置的防护理念，在查杀能力和查杀手段上获得明显的优势和效果。根据实际环境需求，我们在在互联网安全产品的基础上，开发了定制了终端防病毒及安全管理系统(以下简称终端安全管理系统)。

3终端安全管理系统技术介绍

在终端安全管理系统里面，结合互联网+思路，我们实现了终端all in one技术、终端自动发现技术、客户端自动安装技术、互联网出口自动发现技术、核心数据资产积累等内容。

3.1终端all in one技术

在集团互联网+思维的启发下，经过详细的市场调研，最终确定了采用终端all in one技术，即通过自身的技术整合能力，将杀毒、管控、补丁、准入等多项功能结合到终端软件中。通过采用all in one技术，不仅有效解决现阶段的难点，同时也迎合长期发展的需要。

3.2终端自动发现技术

基于互联网+思维，在原终端安全管理系统基础上定制开发了终端自动发现功能模块，目的是通过此模块，集团总部可以了解各子分公司的终端总数、终端防病毒产品安装率以及网络使用等企业IT基础数据，进而发现某些安全漏洞以及网络使用不规范的问题，促进子分公司解决，进一步规范网络使用，提高终端和网络的安全水平。

在终端自动发现技术中，终端管理系统攻克了以下技术难题：

1)全网扫描发现：根据实际网络情况，独创了一套‘种子扫描’技术，即在部署了终端管理系统的网段中，每个网段挑选若干台扫描种子作为扫描的发起者(种子机)，通过后台配置，用户可以根据自己的实际情况，设置扫描频率、扫描方式、种子数量等，种子机在接到策略之后，按照任务定时发起扫描，并将数据汇总到特定的服务器进行统计。种子扫描的方式，在保证稳定性、准确定、实时性的同时，大大降低的对于网络资源的占用，保证了发现数据的实时准确且不影响用户网内其他应用。

2)NAT网段发现：众所周知，传统的网络扫描方式，对于NAT这种子网是无法穿透到其内部。集团因历史原因，导致网内NAT子网的情况较为常见，在这种情况下，终端管理系统采用的种子扫描机制即可解决这一问题，突破了传统网络扫描从外到内的惯性思维，终端管理系统的终端扫描机制采用从内到外的扫描方式进行，在NAT子网内部由种子机发起扫描，并能够将NAT内部的情况扫描之后汇总并上报，由服务器进行统计。在此扫描机制下，所有的NAT子网均能得到完整的扫描。

3)NAT网内终端归属划分：NAT网是一种不符合集团标准的IP使用情况，为了区别NAT网络及终端的真正归属，终端管理系统引入了通讯IP这一概念，即除了本机拿到的IP地址以外，还需考虑其连接服务器的通讯IP，一般NAT网内的终端，本机多为192.168.X.X的IP，此类终端的通讯IP是其NAT网的IP地址，这个地址多为集团标准的10.X.X.X地址，在本机IP不能分组的情况下，终端管理系统会采用通讯IP对其进行分组，提高了NAT网络归属划分的准确性。

4)移动设备发现：终端发现模块同样支持对于网内移动设备的扫描，当手机、PAD等移动设备接入网络时，终端发现模块同样可以扫描到设备的IP地址、MAC地址等信息，将其汇总后上传服务器，管理员可以通过分析MAC地址查看哪些是移动设备，进而了解自己网内移动设备的接入情况。

5)终端发现数据过滤：在扫描数据中，由于终端发现模块会将移动设备、网络设备、办公设备等非PC终端一起扫描上来，造成数据误差。针对这种情况，终端管理系统结合IEEE(美国电气和电子工程师协会)发布的MAC前缀厂商注册信息，实现了MAC过滤功能，系统可以通过MAC前缀直接批量过滤掉一些非PC厂商的MAC，同时可以通过完整MAC过滤，精确过滤某台非PC终端，大大的提高了终端扫描的准确性。下图是改进之后各类终端设备扫描的结果。

图1　终端设备分类及比例

3.3客户端自动安装技术

在全集团进行推广安装终端安全管理系统客户端时，面临最大的障碍就是客户端量大，安装周期长，神华集团再次围绕互联网+的思路，找到了一系列的自动安装技术，并在全集团范围内证实，这一系列技术均达到较为理想的效果。

1) DNS牵引：在互联网+思维的指导下，已安装个人版的客户端特性，集团利用内部DNS服务器将个人版终端的升级请求重定向，并将请求指向到安装服务器上，终端连接到该服务器之后即可完成到企业版客户端的切换，整个过程无需人工干预，均为后台静默完成，由于已有的个人版客户端覆盖率较高，理论上来说，安装了个人版客户端的用户均会被强制安装为企业版客户端。经过DNS牵引技术部署的终端总数将近25 000台，极大的减少了人员的投入，缩短产品部署消耗时间。

2) OCX插件：在未安装个人版客户端的终端上，无法实现强制牵引安装，如何有效指引用户手动安装，成为亟待解决的难题。在针对该问题上，神华集团提出了基于用户电脑使用习惯的部署方式。神华集团现有的统一身份管理平台(B/S架构)，在用户开启电脑之后，多数用户会打开并登陆该系统，因此神华集团联合厂商开发了基于该办公系统的OCX插件，用户在打开该页面时，会提示用户有插件需要安装，用户点击安装之后即可自动安装终端管理系统客户端。但是该推广方式受限于用户对该系统的使用频度。从整体部署结果统计得出，利用OCX插件推广部署的客户端在9 000台左右。

3)准入重定向安装：对于以上两种方式均不使用的终端，神华集团采取了一种强制安装手段，即利用准入设备，终端未安装企业版客户端的情况下，其访问互联网时会将访问请求重定向至产品部署页面，实现入网管理。结果统计得出，利用该技术部署的客户端总数在13 000台左右。

4)手动部署：在各别偏远的子分公司采用邮件、电话通知的方式部署了6 000台左右的终端。

通过全方位多角度的自动安装技术，基本实现了全集团内部快速安装终端安全管理系统客户端。各类自动安装比例如下：

图2　终端自动安装技术分类及比例

3.4互联网出口自动发现技术

按照国资委相关要求，神华集团的互联网出口需要整合在10个以内，以便于出口统一管控及安全防护。但由于神华集团体系庞大，各子分公司在各地均存在自己的互联网出口，在全集团做互联网出口调研时，子分公司填报的互联网出口信息也无法确定是否准确、完整，此时，神华集团围绕终端管理系统及互联网技术展开探索。终端管理系统客户端作为一个平台，在全集团大范围终端部署之后，可以为全集团提供平台支撑，在集团做互联网出口发现时，终端管理系统即发挥了技术平台的作用，发现和识别了集团广域网内的多个互联网出口。

1)终端管理系统云端探测：首先，在集团DMZ区搭建一台外网服务器，该服务器对所有终端可见，通过向神华集团所有终端管理系统终端下发一个任务，让终端去该服务器上报自己的信息，上报信息包括：终端IP、MAC、互联网出口IP等内容，该服务器对所有终端上报的信息进行存储。

2)探测数据处理：服务器上的信息需要经过加工，归属分配，出口确认等工作。在下发探测任务24小时之后，对上报信息按照各子分公司进行分配，将探测到的互联网出口地址去重，当有30个不同的终端使用相同的出口进行互联网通信时，我们认为可能存在一个互联网出口，根据最后一次探测结果显示，神华集团47家子分公司共计存在互联网出口200余个。

图3　互联网出口发现技术架构

4实施效果

4.1三个月实现全集团终端统计

根据计划3个月内实现集团内终端总数的统计，针对于这一要求，终端发现模块应运而生，在方案制定、实地调研、开发、小范围测试、大范围测试、全集团推广这几步骤后，终端发现功能在3个月内进行了上线实施，运行一段时间之后将收集的数据进行汇总查看可用性，根据问题再次进行产品更新，最终上线一套高效自动的终端统计系统。这一开发效率充分的体现了互联网+思维相较于传统观念在效率上的优势，从方案定型到产品上线只用了3个月的时间。

4.2六个月实现全集团终端快速安装

在完成终端统计之后，下一步就要进行终端的实施部署。针对于集团内部47家子分公司的不同情况，集团总部提供了多种自动部署方案，包括OCX插件、DNS牵引、准入控制、WEB页面安装等，各子公司可以根据实际情况采用一种或者多种部署方式，快速完成自己网内终端的部署，经过一系列的工作，在6个月的时间内，集团各家子分公司均已实施了适应自己实际情况的终端自动化部署方案，并已稳定运行。

图4　终端部署趋势

4.3九个月实现全集团终端自动化考核

终端安全方面，安装率是直接影响整个安全体系的一个重要方面，只有不留死角的将安全软件全部覆盖到每个终端，才能保证整个安全体系不会发生“千里之堤毁于蚁穴”的事件。

针对该问题，集团采取了对各子分公司终端管理系统的安装率进行考核排名的方式，进行终端安装的推广，该方式大大提高了各子分公司对于此项目的重视以及对于安装率提高的积极性，快速的提高了终端的覆盖率。

同时，神华集团将未安装客户端明细提供各子分公司管理员查看确认，各级管理员可以通过此系统对于网内终端的部署情况实时了解，并结合管理手段，将终端安装率达到100%。

4.4核心数据资产积累

在终端管理系统产品推广部署的同时，集团积累了大量数据资产，为神华集团进一步完善、提高信息化建设和管水平提供了极为重要的决策支持。积累的主要数据资产如下：

1)网段使用信息：将集团44个B类网段地址准确的确认到4 500个C段地址，同时梳理不规则网段(不在集团规划之内)使用情况。

2)PC设备统计：累计发现各类终端达十万余个。

3)非PC设备统计：对网络中扫描到非PC设备按照MAC地址进行厂商核对，确认100多厂商30 000多个非PC设备。

4)移动设备接入统计：对接入网内的移动终端，例如手机、Pad等，按照品牌进行统计，共计约25 000台。

5)NAT网段发现：发现办公网内存在NAT网络373个，分属于33家子分公司。

6)软件安装库：可按照不同子分公司针对不同软件安装数量进行统计，为集团软件正版化提供数据支撑。

7)硬件资产库：终端硬件资产库，为集团设备更新、替换提供数据支撑。

5管理制度及运行考评建设

系统建设完成后，神华集团统一制订和下发了《神华集团计算机病毒防护管理办法》，作为终端统一安全管理的要求，在制度上规定了凡接入到神华集团内网的计算机均要求安装神华统一终端防病毒及安全管理系统及终端管理软件，并明确了集团及各子分公司的管理职责。同时发布了神华集团终端安全管理基线，集团统一发布了终端管理的考核指标，包括安装率、平均体检分数和健康率，作为对集团各子分公司的考核项，统一纳入到集团IT使用水平考核评价系统，对各子分公司从客户端的部署安装到实际使用水平进行了考核，促进了各子分公司对该系统的建设和使用，从而提高了终端管理的整体水平。

6结语

通过9个月的终端防病毒及安全管理系统的建设和推广，神华集团实现了全集团10万台终端的统一安全管理，并建立了统一管理制度、统一管理平台、统一监督考核的现代化管理方式，在大幅节约整体终端安全防护费用的同时，极大地提高了神华集团终端安全防护水平，创造了大型企业快速全面部署终端安全防护体系的典范，为神华集团进一步加强网络IP管理、统一互联网出口管理、及资产管理提供了宝贵的实践经验和技术支撑。

参考文献：

[1]吴吉义, 李文娟, 黄剑平等. 移动互联网研究综述[J]. 中国科学:信息科学, 2015,45(01): 45-69.

WU, J. Y., W. J. LI, H. J. PING, et al. Key Techniques for Mobile Internet: a Survey[J]. Science China Information Sciences, 2015, 45(01)：45-69.

[2]韩超. 移动互联网安全支撑—终端用户信息保护系统的设计及实现[D]. 北京：北京邮电大学, 2014.

HAN C, Supporting Mobile Internet Security: Design and Deploy a Terminal User Information security system[D]. Beijing :Beijing University of Posts and Telecommunications, 2014.

[3]段丹. 网络终端安全接入控制技术研究[D].长安大学, 2015.

DUAN, Dan. A Research on Network Terminal Access Control Security[D].Chang′an University, 2015.

[4]余颖. 发电企业信息安全保障体系建设[C]//2013电力行业信息化年会, 中国北京, 2013.

YU Ying. Power Generation Enterprise Information Security System Construction[C].Electric-Power Industry Informationization Annual Meeting,2013.

Terminal Security Management System based on Internet+Thinking

MENG Jun

(Shenhua Group Corporation Limited,Beijing 100011,China)

Abstract：In mega state-owned enterprises, the building of Terminal Security Management System needs massive funds and long periods due to diversified and widespread business, combined with huge amounts of different branches. Another challenge is continuous upgrading of the system, which is driven by rapidly evolutions of management philosophy and security technology. Shenghua Group (01088.HK, 601088.CN) is a typical mega state-owned energy enterprise, which contains 47 branches and 200,000 employees distributed in the whole industrial chain of the energy industry including coal, electricity, railway, port, shipping and coal chemical. The Shenghua Group successfully coped with the challenges by introducing "Internet Plus" think pattern to the building of the Terminal Security Management System. Therefore, a system with leading edge technologies, strong adaptabilities and rich management functions was formed, by detailed design and practice in automation of detection, deployment and identification internet ports. The finished system is now playing a crucial role in information safe of the group, while forming a powerful platform for unified management of all the terminals in the Shenghua Group.

Key words：Internet plus; automatic detection; automatic deployment; terminal security management

doi:10.3969/j.issn.1002-0802.2016.05.020

* 收稿日期：2015-12-20；修回日期：2016-03-28Received date:2015-12-20；Revised date：2016-03-28

中图分类号：TP393

文献标志码：A

文章编号：1002-0802(2016)05-0613-06

作者简介：

孟君(1972—)，男，高级工程师，硕士研究生，主要研究方向为IT管控和技术提升研究，IT基础设施规划、建设和信息系统运行维护管理、信息安全规划和研究。