桌面管理系统在供电企业内网的部署和应用.docVIP

桌面管理系统在供电企业内网的部署和应用 　　摘 要：文章分析了供电企业内网桌面终端管理遇到的几个问题。想方设法通过部署实施桌面管理系统项目，实现对桌面终端的安全管理、远程控制、资产管理和审计报警管理等功能，有效提高桌面终端的安全管理水平和IT资产管理的精细化水平。 　　关键词：终端；安全；管理 　　1 网络终端管理面临的问题 　　1.1 终端安全管理问题 　　在终端使用U盘，尤其是外来U盘等移动介质比较容易把计算机病毒带进内网，终端管理员对移动介质的安全使用无法有效管控。有一些办公计算机非法使用违规软件，安装使用与办公无关的软件，管理员无法对软件的安装过程及软件执行所启动的进程进行控制，对于其他不安全的进程以及服务也没办法加以监控。管理员无法快捷知晓单位到底有多少台联网终端，桌面终端是否已经全部安装公司统一版本的防病毒系统，重要补丁的安装率是否已经达到公司的安全管理要求等。 　　1.2 非法外联问题 　　虽然每年都进行全员的信息安全知识培训宣传，但是供电企业依然存在有内网终端用户通过拨号或3G上网卡等形式私自接入外部网络的情况。这种情况等于给黑客开了一个后门，黑客极可能通过该主机进而对内部网络的其他主机进行攻击，直接威胁供电企业信息网络的安全性，更为严重的会导致内部资料的泄露，给单位造成无法逆转的严重损失。 　　1.3 IT资产管理问题 　　对于一个创建国际先进国内领先的电网公司来讲，资产全生命周期管理尤为重要。在信息领域，IT资产的精细化管理将是非常重要的一个组成部分。但是目前IT资产的管理现状是基本上是手工登记资产，资产的变更统计更新不及时，信息管理员不能全面的掌握终端计算机的软硬件资产，对于终端上硬件的变化就无从知晓，可能造成单位硬件资产的流失。 　　1.4 终端维护管理效率问题 　　供电企业内网终端数量庞大，地点分散，个别营业厅地处偏僻，如某供电局19个供电所分布在各个山区乡镇，离市区距离远，现场维护工作非常麻烦，信息运维人员处理一些简单的问题来回都得花一天时间。本来信息班人手就不足，只有三人，到现场处理一个很小的问题花一天时间，终端维护管理效率非常低，同时也造成人力资源的巨大浪费。 　　2 桌面管理系统架构及管理部署 　　为了解决以上内网桌面终端安全管理所遇到的几个问题，公司部署上线了统一桌面管理系统。系统主要由安装在各计算机设备上的客户端（Client）软件和安装在管理服务器上的控制端（Server）软件两部分进行功能处理，供电局不同区域部门将终端信息上报，管理人员通过前台浏览器（Browser）访问后台管理信息数据库（Server）对终端设备情况进行管理，包括策略指定，终端违规行为报警日志分析等。首先终端计算机注册北信源桌面安全管理客户端，将终端信息上报给服务器主程序，北信源服务器主程序就是这里说说的区域管理器，区域管理器将终端信息写入管理信息库及（sql数据库）。管理员通过中央管理配置平台（web管理平台）进行信息查询和指令下达。区域管理器通过对指令的分析处理再下达给客户端。 　　本系统可以进行无限制的多级级联部署，各级网络独立安装相应的管理软件。下级管理节点统一汇总本级的报警信息和统计信息，统一上报管理节点；上级管理节点的管理策略、命令。系统将来可根据实际需要在客户端数量、管理层次和功能扩展上进行无缝平滑扩展。供电企业内部通过系统级联，实现对下级地市服务器的管理。一级就是广东电网有限责任公司，下级是19个地市局。级联之后，各地市供电局可以对自己区域进行单独管理，省公司对下级进行统一的部分强制管理及有效的报警信息筛选。 　　这是客户端、服务器、管理配置平台三者之间的一个关系图（见图1）。 　　3 桌面管理系统实现功能及预计达到的效果 　　3.1 终端安全管理 　　系统实现对移动介质进行注册管理，只有经过桌面系统注册过的移动存储设备才可以在供电企业内网计算机使用，有效防止U盘病毒感染桌面终端。通过检查和审计注册表，防止未授权用户添加、更改、删除注册表相关内容，审计用户访问注册表的操作，如出现违规注册表项时进行客户端提示或上报，有效防止非法使用违规软件。通过本地注册情况统计，可以清晰地看出本地计算机注册数、安装杀毒软件数量、已打重要补丁台数、杀毒软件覆盖率、重要补丁安装率等重要信息安全考核指标，如达不到公司的要求立刻整改。 　　3.2 非法外联行为监控 　　系统提供了通过审计报警违规外联事件检索可以实现非法外联告警功能，可以对所有安装了此系统的桌面终端进行实时监控。监视内网中违规网络连接（私自接入3G网卡等）行为，一旦发现内网计算机接入互联网或者其它网络，客户端立即进行本机报警，并对违规行为做出相应的处理，如关机、断网、锁定等，同时上报到中央控制台，为管理员的安全管理