刘佳

摘要：信息化作为当今企业管理模式的重要手段，在烟草行业的发展进程中体现出日益重要的地位。但是随着企业网络的日益庞大，网络安全隐患也非常突出。桌面终端安全系统的出现无疑为企业提供了一种很好的解决方法。该文从企业网桌面终端管理现状出发，对桌面终端安全系统在烟草行业的应用进行了论述，通过系统实施，实现对企业网络终端的规范化管理和策略准入控制，有效提升烟草企业网络安全的管控能力。

关键词：桌面终端安全；网络安全；烟草企业；应用

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）18-0039-03

随着烟草行业信息化工作建设的推进，目前烟草企业的IT系统建设已经具备了相当的规模，具有自己的信息操作平台，业务系统也越来越依赖于IT系统。但由于网络终端分布非常广泛，计算机的操作者使用水平参差不齐，员工对系统的滥用、错误配置以及恶意访问导致业务面临很多现实的安全威胁。网络中部分的系统是完全不受控的，底下用户随意访问互联网上的网站，随时可能感染病毒木马，甚至被黑客控制。这会导致企业易遭受网络攻击，引起机密信息的泄漏，以及其他代价高昂的损失。再者，非合法办公软件及其他软件的使用，不但造成了生产效率的低下，也给企业的形象造成了极差的影响。特别是2017年6月1日实施的《中华人民共和国网络安全法》，更是明确了烟草企业网络安全建设的责任与义务。

因此，本文分析了企业网桌面终端管理的现状，并从桌面终端安全系统的机理出发，结合实际论述系统在烟草企业网络安全管理中的应用及效果。利用桌面终端安全系统的身份认证，补丁管理、安全管理等功能，提高桌面终端的安全管理水平，促进企业IT资产的精细化管理。

1企业桌面终端现状分析

桌面终端设备包括计算机终端、可移动存储介质、计算机外连设备等。当前，在烟草行业的桌面终端管理中仍存在着以下的安全问题。

1.1网络准入管理缺失

随着烟草行业在信息技术下的不断转型升级，企业的计算机数量迅速增加，传统的手工管理方式已无法对终端的资产情况进行动态、准确的统计。信息设备维护及网络管理人员很难掌握每一台计算机的准确位置和使用者，也很难从技术手段上限制外部设备的随意接人和内部人员的IP混用。若外部设备未实现准入控制，将面临窃密和泄密的安全隐患；若内部设备未实现安全验证和接人，就存在传播木马、病毒或后门等隐患。这样往往总在网络安全事件发生后，才逐步查找出错的原因，给企业造成经济、名誉等方面损失。

1.2可移动存储介质使用随意

随着U盘、移动硬盘等移动存储设备应用的日益广泛，人们在工作中使用移动存储介质也越来越频繁，由于对个人的可移动存储介质无法进行统一配发、使用和管理，很容易造成病毒和木马的感染，还有可能会造成信息泄密。对于感染了病毒和木马的计算机，有时候会引起网络故障，甚至网络小范围内的瘫痪；对于信息泄密的计算机，也很难查找泄密路径。对安全强度差的计算机终端缺乏有效的安全状态检测，也是信息技术维护人员需要解决的问题之一。

1.3用户信息安全认知不足

虽然计算机越来越普及，但使用者的信息安全意识仍显得不深不足。在使用计算机时，往往为了图方便、图省事，使用默认的、简单的口令，有些甚至不设置开机口令，最终成为被黑客攻击、信息泄密的对象。此外，企业中一些员工的不规范行为和滥用网络等现象，也造成网络运维成本和工作量的增加，甚至加大网络安全风险，导致网络通信资源和人力成本的浪费。

1.4制度管理机制不完善

目前，对于企业网络安全风险还缺乏强有力的管理流程和控制机制；没有建立故障排查、数据审计和责任追究管理机制，发生安全事件后责任追查比较难；在提高企业的整体信息安全水平方面，缺乏统一部署的终端安全策略；不能自动生成各类报告和报表，为领导决策提供数据依据。

2桌面终端安全系统在烟草网络安全管理中的应用

在深入调研、详细测试的基础上，在烟草企业内实施了功能较为完善的桌面终端安全系统，结合准入控制与终端安全管理，有效解决企业的桌面终端安全问题，提升信息运维部门的工作效率，规范员工操作行为。

2.1桌面终端安全系统的原理

通过技术对比与方案评估，我们采用了内网安全管理及补丁分发系统，以实现对烟草企业终端设备的集中式安全管理，通过软硬件结合的方式，对网络内部所有计算机接入网络进行准入控制，建立桌面电脑的集中式快速安全管理体系。以终端验证和终端安全为基础，通过身份认证、安全域控制等手段，保证接入网络终端的可信程度，并控制可信计算机的访问权限，为企业的终端人网安全管理提供了有力保障，规避由于不可信终端的随意接入而可能引发的企业网络及信息资源违规占用、病毒木马泛滥、资料泄密以及越权访问等安全问题。图1为企业网络准入控制部署原理图，图2为桌面终端安全系统管理流程图。

2.2桌面终端安全信息系统的应用

在烟草系统内部部署了桌面终端安全管理系统，采用准入控制与终端安全相结合、制订安全策略、分级管理的方式对桌面终端实施全面统一的管理策略。

2.2.1计算机入网审核

利用桌面终端软件和网络接入控制系统，通过注册一身份认证一安全检查一安全隔离/入网的统一入网审核流程，对所有接入烟草企业网络内的桌面终端设备进行人网认证。只有通过安全认证的终端设备才可访问内部专网及互联网，否则将被阻断。保证了桌面終端的安装率，防止外部计算机私自接入业务专网，控制外来设备对业务网关设备的有害行为。图3为计算机入网审核流程图。

2.2.2终端注册管理

单位各部门终端设备在接入网络前，需要安装安全客户端，使每台计算机接受管理。并将自己的个人信息提交到服务器，个人信息内容包含使用人、单位、部门、联系电话、设备类型等，见图4。系统将所填写信息和自动采集获得的设备信息发送到区域管理器，区域管理器将注册信息导人SQL数据库保存，设置的客户端参数策略将由区域扫描器扫描客户端后，发送给客户端驻留程序保存执行，该程序以服务方式实时运行，一旦有非法外联或违规设备，就会发送报警数据。对全市烟草系统办公区域的计算机进行注册管理，注册情况见图5，终端注册率达到98.8%。通过终端入网注册，不仅能对终端进行实名化管理，而且为终端资产信息的收集与终端安全策略的执行提供管理依据。endprint

2.2.3 IT资产管理

系统对管辖范围内的所有桌面终端进行硬件资产管理、软件资产管理以及资产变更报警管理。自动搜集包括CPU、内存、硬盘分区总和、设备标识的大小、主板、显卡、键盘、鼠标、监视器、键盘等所有的硬件信息。自动发现并识别客户端已安装的所有软件信息（包括名称、版本、安装时间等），将相关数据入库，检测客户端运行软件信息，管理人员通过资产编号、所属部门、使用人、入网时间等属性信息对资产进行管理和信息查询，并能够定期输出资产信息报表。

图6、图7分别为本地应用桌面终端安全系统后，输出的员工终端设备信息及设备在线/离线活动情况。

2.2.4策略管理

策略中心是桌面终端安全系统的管理控制中心，对客户端进行策略的制定与下发，实现对企业网络终端的统一安全管理。依照系统“策略中心”中安全准入管理、行为管理及审计、基本安全管理、补丁分发管理、公共策略五个方面，按需求配置策略。图8为本地策略的配置与启用情况。按照行业要求对设备使用人变更、设备资产变化、终端访问异常、系统流量异常、违规软件使用等进行相应的策略启用和审计分析。及时为企业员工的终端设备检查安全情况，完成终端硬件设备信息统计、终端软件资产统计、审计与报警等项目管理。

2.2.5网络安全防护

一是通过终端软件对设备网络IP地址进行锁定，杜绝经常出现的因IP地址冲突导致业务停顿的现象发生，二是从源头控制计算机病毒的传播途径，利用桌面客户端配置计算机安全策略，增强计算机对病毒的防护能力。三是计算机远程巡检，对终端计算机定期进行扫描，将出现的故障隐患提前汇总至信息中心，技术人员可通过远程维护技术处理计算机存在的故障，从而提高计算机终端运维工作效率，降低运维成本。

2.2.6网络行为审计及舆情监控

利用桌面终端安全系统可以监控联网计算机的上网行为信息，对所有网络访问操作进行记录，杜绝从单位互联网出口发出的各种违法、违规信息。上网行为的审计信息包括：何时、那个终端、哪个用户、通过哪个程序访问网络、具体的网络行为、是否被终止、是否离线访问。通过白名单和黑名单，审计和控制web网站的访问，可以禁止终端用户访问一些非法web网站。

同时还可对敏感舆情进行策略控制，一旦发现所管理的终端设备IP地址发生更改、非法外联、探头被卸载、流量异常等情况，系统立即进行本机报警，并对违规行为做出相应的处理，同时上报到中央控制台，为管理员的安全管理提供重要数据信息。图9为本地24小时内网络违规行为报警数据。

3应用效果

自桌面终端安全信息项目实施以来，全面提升了烟草企业网络安全的管控能力，效果明显。

一是为网络系统构建了一个完整的客户端安全防护体系。从内部通过策略管理、入网设备认证管理、IT资产管理、行为审计等手段，完成对员工客户端的安全标准化管理；从外部对企业网络边界的完整性进行有效监控（即网络隔离度监控），减少风险隐患，为下一步构建烟草企业网络边界安全防护体系打下基础。

二是通过详细的数据报表分析功能为企业智能决策提供技术支持。使企业信息资产管理及报表统计从原来的手工模式变为现在的集中自动信息收集模式，保证了信息管理的时效性，提高了资源分配和使用的合理性，提升了西安烟草信息化服务的整体水平，为建立网络安全管理工作的长效机制提供数据保障。

三是改变了被动管理的模式。增强管理员对问题的主动发现和远程维护能力，降低运营维护和管理的成本，缩短了设备故障的处理时间，提高全局工作效率和质量。

四是加强员工的网络安全意识。系统在终端注册、终端身份认证、终端安全检查的时候都进行相应的原因提示。通过入网提示普及计算机网络安全知识，让员工意识到安全入网的重要性，加强对网络安全知識的了解，从而形成良好的计算机使用习惯，有效延长终端设备的使用寿命，节约资源成本。

4结束语

结合准入控制的桌面终端安全系统在烟草企业顺利的部署与应用，对企业内分散的终端设备形成一个有效的统一的监管手段，使桌面终端由被动管理向标准化、信息化、精细化管理转变，全面提升烟草企业网络安全管控能力。今后我们将进一步加强信息系统管理员培训，加强计算机终端入网管理和网络行为规范，充分发挥系统各项功能，保障企业整体网络安全。积极适应新形势下对信息网络安全的新要求，居安思危，常抓不懈，为烟草行业的网络安全建设做出贡献。endprint