桌面安全系统助力石化企业计算机终端管理

[摘 要]随着信息网络技术在中国石化的广泛应用，内网计算机终端管理作为一个综合的系统问题已经成为整个信息网络安全的薄弱环节，它涉及管理计算机本身、计算机应用、计算机操作者、计算机使用规范等多个方面。合理部署一套计算机桌面终端管理系统，从网络介入认证，防病毒软件管理，系统补丁分发，系统账号安全策略管理等多方面加强网内计算机终端安全，对整个信息网络系统预防泄露安全事件发生有着重要意义。

[关键词]桌面终端；安全策略；信息安全

一直以来，安全防御理念局限在常规的网关级别[防火墙等]、网络边界[漏洞扫描、安全审计、防病毒、IDS]等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。但是在实际情况下，来自网络内部的安全威胁却是多数网络管理人员真正需要面对的问题。据统计结果表明，80%的安全事件来自于网络内部，而只有20%的安全事件来自于外部。2003年以来，以SQL蠕虫、“冲击波”“震荡波”“熊猫烧香”等病毒的连续性爆发为起点，到计算机文件泄密、服务器系统瘫痪等诸多安全事件在各网络中的发生，表明只要解决网络内部的安全问题，才可以排除局域网中最大的安全隐患。

中石化内网是中石化系统信息化建设的重要基础设施，覆盖面较广，涉及的计算机种类和数量众多。同时，ERP、办公自动化OA系统、电子邮件等多种重要的业务系统在内网平台上运行。随着应用系统的不断增加，网络中病毒传播造成的风险也不断暴露出来，由单个计算机的病毒引起的损害可能传播到其他系统和主机上从而引起网络瘫痪，造成重大损失。因此，如何利用有效技术手段及时、持续、稳定地安全管理终端计算机是所有网络管理人员和信息部门亟需解决的问题。目前网络管理工作量最大的是客户端终端安全部分，对网络的正常运转威胁最大的也同样是客户端安全管理。

由于大型网络一般结构较为复杂，用户水平参差不齐，而网络管理人员编制有限，往往难以面对数量庞大的客户端安全事件。BES桌面管理系统正是这样一个集计算机终端的安全管理、漏洞管理、资产管理、电源管理、安全策略管理等多方面功能为一体的确保接入网络的计算机终端信息安全的系统。它可与防火墙、杀毒软件等软硬件系统联动，形成完整的网络和系统安全管理体系，可提高内部网络和计算机信息安全，并减轻运维人员的工作量，确保企业经营管理工作的正常运行。

1 系统组成与结构

BES桌面系统由下面几个主要部件构成。

1.1 BES Clients

也被称作Agents， 安装在每台你希望管理的计算机上。它们通过获取Fixlet信息来检测系统的漏洞情况。BES Client可以通过BES Server获得BES Console下发的修补漏洞的动作指示。在绝大多数情况下，BES Client在后台静默运行，不需要最终用户的干预。当然，BES也允许管理员为最终用户提供下发动作的屏幕提示，要求用户进行互动操作。

它是若干个交互服务的集合，包括应用服务、Web Server和一个DB Server，这些服务是BES系统的核心。它们协调每台计算机的信息流向，并把结果保存在BES数据库内。BES Server组件在后台运行，不需要管理员的直接干预。BES Server还包含了一个内置的Web Reports报表模块，允许授权用户通过Web Browser来查看所有的计算机、漏洞、动作等信息。

1.3 BES Relay

可增加系统的工作效率。Relay避免了网络中每台计算机都直接与BES Server相连，从而减轻BES Server的工作负担。几百到几千台BES Clients可以通过与BES Relay相连获得更新软件下载，只需要一个与BES Server的请求连接就可以了。BES Relay也可以连接到其他的Relay，进一步增加了工作效率。一个BES Relay不需要是一台专用的计算机DD可以安装在任何装有BES Client的Windows XP、 Windows

7、或Windows Server 2003 计算机上。一旦你安装了BES Relay，你网络中的BES Clients会自动发现它们并与它们连接。

1.4 BES Console

将BES各个部件连接起来，为网络中所有的计算机提供了系统级的全局视图，同时也包括它们存在的漏洞问题和修补方法。BES Console允许授权用户快速、简单的将修补方法分发到每台计算机中；同时，不对网络中其他的计算机带来任何影响。BES Console可以运行在任何能与BES Server进行网络通讯的Windows XP，Windows 7或Windows Server 2003 计算机中。

各下属单位计算机终端数量及网络带宽各有不同。在安装BES系统时，需充分考虑各种条件，在窄带连接的局域网中设置一台中继，在高带宽大型网络中，每500～1 000台计算机也要设置一台中继。同其他网络情况的实施一样，建议在中心机房设置一台顶级中继（Top Relay），以减轻BES Server的压力。

省公司部署一台BES服务器，一台顶级中继。各分公司公司部署一台BES中继（利用现有的文件、打印等服务器），中继手工指向顶级中级。

2 系统功能介绍与应用

2.1 补丁管理

利用基线功能，每月将通过FIXLET消息的形式发布的最新的微软补丁添加到分类的系统补丁基线中。管理员每月将基线执行为动作，将这些补丁静默的分发到各个客户端，客户端用户在没有任何感觉的情况下就完成了漏洞的修复，从而有效的减少了感染病毒的情况，保证了客户端的正常运行。 2.2 软件分发

实现保证应用软件以可靠和高效的方式分发、安装和维护，自动实现企业级大规模的应用软件分发和安装，优化网络效率，大幅减少分发操作消耗的网络带宽等功能。

2.3 资产管理

可以利用桌面安全系统查看终端配置情况，可以对品牌、CPU、内存、硬盘、终端类型、操作系统、IP地址、MAC地址等信息等进行统计筛选，并通过报表功能进行统计。对公司中使用年限较长、配置较低的计算机，逐步更换淘汰，为设备更新提供参考。

2.4 电源管理

利用BES系统中的电源管理模块，跟踪客户端的电源设置信息，通过电源配置向导，可以对计算机使用电源进行管理，电源管理模块可以对用户计算机进行休眠、关机、待机、重启等操作，以节省企业用电量。

2.5 安全管理

通过账户策略分析监控客户端中相关的安全设置信息，如账户密码最长有效期、密码最小长度、密码复杂性要求等，启用此策略后可以有效防范终端桌面不设密码或者弱口令等现象的存在；禁止自动运行功能，在默认情况下，计算机启用自动运行功能，插入计算机的可移动介质将会自动运行，从而将病毒或木马传入到计算机中，使用FIXLET消息对系统自动运行功能进行禁止；禁止使用移动存储设备、无线设备。BES系统可以对客户机的硬件进行分析，管理员可以禁止客户使用移动存储设备、无线网卡等，以保证企业网络的安全性。

2.6 为其他系统提供支持

桌面安全管理系统提供了丰富的信息和动作的支持功能，它可以为其他系统提供丰富的计算机信息和必要的动作执行支持。系统的自定义功能可以人为的通过定义新的关联要求和动作，来提取所需的计算机信息并执行一定的动作。整个过程都是在后台完成，使得对用户的影响降到最低。对网络设置未能达到要求的计算机，启动服务下发设置脚本，替代人员的部分操作。除此之外，还为计算机设备管理系统提供原始的数据信息，缩短开发周期、降低工作强度。

3 结语与展望

桌面安全管理系统把网络管理的概念从路由交换层延伸至了终端，使网络安全得到加强和巩固，其作用非常明显。计算机终端的安全管理是整个信息安全体系的一个重要环节，也是一个不断发展、完善的过程。计算机的终端管理已经成为每个网络工作者必须及时正视与面对的问题。随着对信息网络计算机终端安全管理认识的不断深入和桌面系统功能的日益完善，桌面安全管理系统一定会在信息安全防护与管理中发挥更大的作用。