宋国红
摘 要:2010年,山西空管分局建设了生产信息化系统,通过计算机网络实现了各部门之间的公文流转、信息共享,为部门管理提供了快速、便捷的无纸化办公方式。目前,山西空管分局生产信息化系统网络中拥有约110台办公电脑终端。这些设备在提高办公效率的同时,也存在着维护、监管和网络信息安全等方面的问题。桌面终端管理系统为维护人员提供了一个实时监控的平台。主要阐述了桌面管理系统的功能及其在设备日常维护工作中的应用,以提高维护工作的效率,保障网络信息安全。
关键词:桌面终端管理系统;信息化系统;客户端;远程控制
中图分类号:R197.324 文献标识码:A DOI:10.15913/j.cnki.kjycx.2015.22.007
山西空管分局于2010年接入生产信息化系统,实现了自动化办公。起初,为了防止病毒侵入、信息泄露等网络安全问题,山西空管分局制定了一系列完善的办公电脑管理制度,监控和维护工作全权由维护人员负责。这样,不仅导致维护人员的工作量大、效率低,还存在管理漏洞和风险。引入桌面终端管理系统后,实现了对客户端的实时管控,从技术层面给维护工作带来了很大的帮助。下面将着重介绍如何利用桌面管理系统来保障生产信息化系统的正常运行。
1 生产信息化系统介绍
山西空管分局生产信息化系统将H3C7503核心交换机作为系统的核心节点,连接了生产信息系统、桌面终端管理系统、档案系统、电子值班系统、杀毒系统、准入系统等6个服务器;通过H3C3600、H3C3100、H3C5100等网络交换机和PCM设备连接了分布在6个不同地理位置、包括各个部门的近110台办公电脑;通过MSR3020路由器接入华北空管局生产信息网,实现与上级部门的信息传递和共享。生产信息化系统的网络结构如图1所示。
图1 生产信息化系统网络结构图
为了保证网络安全,生产信息化网络中采用了专门的网络通道技术、物理隔离技术、安全网段划分、安全防护设施(例如防火墙、入侵检测、漏洞扫描)等手段,而这些手段的应用就依赖于桌面终端管理系统。通过桌面终端管理系统,可以实时、便捷地监控所有接入的电脑,及时发现终端设备的系统漏洞,控制移动存储设备接入内网,防范内网设备违规进入外网,同时还可以统一管理终端设备,在保障网络安全的同时,提高维护人员的工作效率。
2 桌面终端管理系统的安装和使用
2.1 桌面终端管理系统介绍
桌面终端标准化管理系统是一个实时的安全监控系统,被广泛应用于局域网、广域网的构架,跨网段、跨地域的内网远程客户端管理及非法移动设备接入检测、网内计算机违规联网监视、网络安全隔离度监控等领域,提供了防火墙、IDS、防病毒系统、专业网管软件所不能提供的防护功能。
桌面终端标准化管理系统由WinPcap程序、SQL Server管理信息库、Web中央管理配置平台、区域管理器、客户端注册程序、补丁下载服务器、管理器主机保护模块、报警中心模块8个部分组成,由安装在各计算机设备上的客户端软件和安装在管理服务器上的控制端软件两部分进行功能处理,并通过前台浏览器访问后台管理信息数据库进行系统管理。桌面终端标准化管理系统的工作流程如图2所示。
图2 桌面终端标准化管理系统的工作流程
2.2 客户端的安装和注册
山西空管分局的每台办公电脑在接入生产信息化系统之前,都要先通过业务部门的入网审核,分配IP地址,然后进行病毒查杀。安装完成应用软件后,登录http://10.5.32.6/vrveis桌面终端管理系统界面,点击“工具下载”安装用户注册器。桌面终端管理系统界面如图3所示,客户端下载界面如图4所示。
图3 桌面终端管理系统界面
图4 桌面终端管理系统客户端下载界面
注册器安装完成后,对办公电脑进行注册认证。桌面终端
管理系统自动将注册信息和系统自动采集获得的设备信息导入SQL数据库保存,同时将桌面终端管理系统中的客户端参数策略发送给客户端驻留程序保存执行。
在注册成功以后,注册程序自动收集和上报的信息包括使用人、部门名称、联系电话、IP地址、MAC地址、设备型号和主板信息等。
这里要说明的是桌面管理系统的首次安装需由系统维护人员完成,只有注册之后的电脑才会处于桌面系统的管理和监控之下。一旦某个客户端的信息被改变,桌面系统就会发送报警数据。
2.3 策略管理
策略管理就是,制订整体安全策略后督促全网执行,禁止移动存储设备随意接入内网。以往,为了防止病毒侵入网络系统和信息泄露,山西空管分局在制度上严禁生产信息化办公电脑随意接入存储设备,例如移动硬盘、U盘等,并用封条封闭电脑USB口。尽管这样,仍然无法禁止用户私自开启封条接入存储设备复制数据,导致极大的安全隐患。而桌面终端管理系统的策略管理可以从技术上解决这一问题。
山西空管分局制定的策略包括关闭USB口策略、开放USB口策略和临时开放USB口策略。用户注册后自动启用关闭USB口策略;对经过审核、可使用移动存储设备的用户下发开放USB口策略;对于工作需要临时接入移动存储设备的用户,在业务主管部门审核同意后启用临时开放USB口策略,同时提供专用移动存储设备进行操作。这样从制度和技术两个层面实现了终端用户的网络信息安全管理。
2.4 阻断违规接入管理
阻断违规接入管理可以控制由外来设备接入内网而造成的安全威胁,如图5所示。在接入控制设置中勾选“没有注册则阻断联网” 便可阻断未注册设备连接生产信息化系统,同时在设置中还可以启用IP和MAC地址的绑定进行检查,保证每个IP地址用户的唯一性。
图5 阻断违规设置界面
之前在没有接入桌面终端管理系统时,任何一台电脑都有可能接入到网络中,仅依靠制度上的监管存在很大的漏洞,维护人员需要定期现场检查办公电脑的使用情况。另外,还可能存在多个电脑通过一个IP进入网络中,给网络管理带来了很大的难度,而阻断违规接入管理可以很好地解决类似问题。
2.5 数据查询
山西空管分局的约110台办公电脑分布在办公楼、航管楼、塔台、后服、车队等各个地方。在以往的网络信息安全检查中,要耗费大量的人力和时间逐个检查每台电脑,并记录检查结果。不仅如此,还可能因人为原因而造成漏检,导致采集数据不准确。
桌面终端管理系统通过注册自动采集设备信息,为维护人员提供数据查询功能。查询内容包括计算机所属区域、部门、使用人、设备IP、MAC、注册、重新注册、信任、保护、阻断、开机、杀毒软件、杀毒厂商等。同时,桌面终端管理系统还为维护人员提供了统计数据功能,例如本地注册情况统计,可查询拥有的客户端总数、注册情况、注册率、在线设备、安装杀毒软件的数量;本地设备资源统计,可查询客户端所安装的操作系统类型、各个操作系统所安装的设备台数及其所占比例等。
维护人员需要注意的是,如果注册后需要更换电脑或重装系统时,必须卸载桌面系统的客户端,完成更换和系统安装后重新注册;否则会造成同一IP查询出现更新前和更新后的两条信息,造成信息混乱。如果查询出现重复信息,首先要确定原因,然后根据注册时间人工删除不正确的信息,保证信息的唯一性和正确性。
维护人员还可以将查询的数据转换成Word文档作为设备资料保存,为之后的工作提供便利。
2.6 报警管理
图6 报警数据显示界面
桌面终端管理系统可实时监控客户端,一旦发现注册信息和策略有异常,就会自动生成报警数据提示维护人员。报警内容包括阻断、IP与MAC绑定变化、违规外联、设备变化、流量异常、探头卸载侵入、病毒、违规上网等。
报警数据显示界面如图6所示。维护人员通过每天定时查看报警数据,就可以及时发现网络中存在的问题,尤其是非法外联、流量异常和病毒侵入等,为运行维护中的故障处理提供了技术支持,能够帮助维护人员快速锁定有问题的客户端,从而尽快处理。
2.7 终端管理
桌面终端管理系统能够对网络中的客户终端信息进行点对点式的控制、管理,只需要在终端管理界面中输入终端的IP地址,就可以远程访问该IP地址的终端,对该终端进行操作。终端管理界面如图7所示。
图7 终端管理界面
维护人员不仅可以远程检查终端的进程、服务、软件、端口、系统漏洞、安全日志、共享资源、策略等项目,还可以远程点对点地实时发送消息,提供全盘杀毒或制订某一目录的杀毒程序,修改客户端计算机的名称、IP和DNS等网络配置,断开和恢复客户端联网,卸载客户端探头,重启或关闭客户端计算机。在维护过程中,通过远程访问,就可以为终端用户提供与现场一样的服务。需要注意的是,维护人员首先要与用户沟通,达成一致意见后才可维护,避免造成资料丢失等问题,影响用户的工作。
3 结束语
自山西空管分局使用信息化系统以来,维护人员从网络安全的角度出发,制订了整体安全策略,并结合制度,利用桌面终端管理系统从技术上实现了对办公电脑设备的统一管理,实现了对内网设备违规进入外网、移动设备随意接入内网等行为的防范。桌面终端管理系统的功能还有待进一步开发,因为在维护过程中,桌面终端管理系统无法监控WIN7系统用户。对于这种情况,目前的解决方法是更换操作系统。而面对未来的发展趋势,这将是应用开发的一个新课题。
〔编辑:王霞〕