实训机房桌面终端统一安全管控模式探索与应用

王 健，柳广鹏，陈伟杰

（国家电网有限公司技术学院分公司，山东 济南 250002）

0 引言

实训机房是高校、培训机构学生学员学习理论知识与实践实操的公共场所[1]，也是教师与培训师上课、指导实验的重要平台。随着高校教学模式转变与信息化技术不断革新，实训机房在高校中的应用越来越广泛，如很多教学、科研、培训、竞赛、考试等重要项目都要在实训机房里完成。随着实训机房需求量的增大，用于实训机房建设的投入增加。部分高校实训机房最初的网络接入架构不具有较好的扩展性，大部分实训平台需要将实训机房桌面终端直接接入办公网络，对办公网络具有一定的安全威胁。部分高校实训机房采用老旧终端还原方式，无其他防护手段，无法保证终端安全性并且不便于统一管理，存在较大的网络安全隐患[2]。一旦病毒接连爆发，会引起诸多终端安全事件[3]，对实训机房管理终端安全造成严重威胁[4]。

统计数据显示，2019年上半年平均每周约23%的企业发生过终端木马病毒感染事件，83%的企业终端至少存在一个未修复高危漏洞。究其根本存在企业终端操作系统版本较低，安全维护成本较高，不能及时安装补丁等客观因素，结果是企业终端病毒感染频发[5]。在实训网络中，因终端加固普遍缺失并且边界安全防护不到位，若无意间通过U盘等方式传播病毒，将在此类网络中快速扩散，严重威胁网络的安全性。本文从网络安全角度出发，针对实训室机房面临的网络安全问题，建立实训桌面终端统一管控模式，实现了实训桌面终端统一更新病毒库、统一策略分发、软件更新、资产管理、终端审计等功能，减少了实训桌面终端的日常运维工作量，提高了实训桌面终端的安全性和运维效率。

1 实训机房桌面终端网络安全威胁

实训机房网络系统庞大，如不具备较强的安全管控手段，在组织大型培训、考试过程中，会出现终端蓝屏、勒索病毒传播等事件，且传播速度较快，导致培训、考试过程中断，并严重威胁办公网络安全。原实训机房网络拓扑如图1所示。

图1 原实训机房网络拓扑图

由图1可见，实训网络与内部办公网络仅通过防火墙进行隔离，无其他安全监测与防护手段。对于内部办公网络来说，实训网络范围广，人员流动性较大，属于不可信网络。若实训网络出现信息安全事件，将直接影响办公网络安全。实训室网络具体存在的安全隐患有：

1）实训桌面操作系统版本不统一，涉及种类较多，如Win7、Win10、Win XP等，无法有效做好版本控制，安全漏洞无法及时有效进行修复。

2）实训网络并发能力差。部分实训室桌面终端使用HUB互联，对于统一下发策略与软件更新，网络并发能力影响较大。

3）实训室配备老旧硬件还原卡或软件还原卡，这些还原卡只提供传统还原功能，无法增量系统软件、补丁或策略。当需要对终端进行软件与系统更新时，需逐台手动切换每台终端至开放模式，更新完成后再手动切换每台终端至保护模式，工作量较大，缺少统一还原卡控制节点。

4）实训终端部署实训桌面与考试桌面双系统，考试桌面系统采用自动获取IP地址方式接入办公网，实训桌面配置静态私网地址用于培训教学。但实训桌面也可通过手动配置自动获取IP地址方式接入办公网，从而导致非法接入事件的发生。

5）实训桌面终端杀毒软件更新不及时，实训终端的防病毒软件为个人免费版本，无法及时连接互联网进行病毒库更新，若终端遭受恶意攻击和新型病毒感染，无法通过有效手段及时发现与阻断。

6）实训桌面终端无法实现补丁修复，大部分实训桌面系统默认已关闭或删除Windows update服务，无法进行系统补丁修复，导致终端中存在大量未修复漏洞，安全隐患较大。

7）无法实现准入控制、非法外联监测、安全基线核查、补丁管理、病毒查杀、移动存储管理、主机防火墙、终端审计、软件分发、资产管理等功能，不能有效进行统一安全管控。在考试前需人工对每台终端进行病毒查杀、补丁修复与软件安装，工作量较大。

针对上述问题，实训室亟需进行网络安全改造，实现对实训桌面终端准入检查、病毒查杀、补丁安装、安全基线核查等，并实时监控终端运行状态，使实训桌面终端处于较安全状态，提高实训桌面终端安全稳定性，间接保障办公网络的安全稳定。

2 网络安全架构优化与技术应用

实训机房暴露的安全问题具有普遍性，同时又有一定的特殊性。针对每一项具体的安全问题，结合实训机房具体情况，经过反复论证与实践，提出了有效的安全保障措施。

1）统一实训桌面终端操作系统版本，完全弃用Windows XP系统，根据不同实训室的终端硬件配置Win7 sp1旗舰版或Win10专业版，并保持原版操作系统功能及服务。在满足教学培训及考试要求的同时，确保能够统一进行自动化补丁安装、系统安全配置等操作。

2）改造实训室内部网络，撤除HUB，统一将实训室桌面终端接入本实训室网络交换机，实现终端策略与数据快速分发。

3）更换实训桌面终端老旧软硬件还原卡，统一使用新版硬件还原卡。只需将新版还原卡插入终端主机，并配置操作系统驱动，即可实现一次部署、多次使用。新版还原卡提供统一管控功能，不仅可以实现操作系统增量还原功能，还可以实现计算机名按序设置及操作系统IP统一设置。还原卡主控端提供对被控端的统一控制，包括统一切换保护模式与开放模式，统一唤醒、关机、重启，封禁U盘，广播教学等，符合实训室管理与教学要求，为建立实训桌面终端管理流程提供技术支持。

4）部署内网安全风险管理与审计系统（以下简称“管控系统”），实训桌面终端系统中安装管理客户端，形成C/S架构部署，对实训桌面终端实现准入控制、非法外联监测、安全基线核查、补丁管理、病毒查杀、移动存储管理、主机防火墙、终端审计、软件分发、资产管理等功能。

对已安装管理客户端的实训桌面终端进行注册，采用树形组织与部门结构，有效进行资产管理。管控系统服务器端配置安全基线核查策略，若实训终端存在未安装必需软件、系统密码强度不符合要求、未安装必要补丁等情况，或出现实训桌面系统设置为自动获取IP地址，但未进行桌面终端注册的情况，管控系统根据安全基线策略及软件安装准入策略，配合各实训室网络交换机802.1x准入协议自动禁止其接入网络，确保不发生“带病入网”和非法接入事件。管控系统准入认证过程如图2所示。

图2 管控系统准入认证过程

5）管控系统可以对移动存储设备进行授权及审计，只允许授权设备接入实训桌面终端，可最大程度杜绝移动设备病毒传播。管理客户端具备防病毒软件及主机防火墙的功能，并可通过服务器端进行病毒库更新。若终端发生恶意攻击、病毒感染等事件，管理客户端可自动进行查杀与阻断，并回传数据到服务器，及时告警，后台管理员可快速进行处置。

6）管控系统具备补丁的下发安装功能。服务器端自动汇总实训桌面终端缺失补丁详细信息，后台管理员只需在服务器中导入相应补丁，并配置相应的下发策略。在实训桌面终端开机并连接到管控系统的情况下，自动进行补丁安装，可在短时间内完成桌面终端加固。

7）新版还原卡与管控系统相互配合。使用还原卡主控端统一打开实训终端开放模式，利用管控系统服务器端下发策略进行客户端病毒查杀、病毒库更新、补丁修复等工作，完成后再利用还原卡主控端统一打开实训终端保护模式，将已加固完成的操作系统进行保存，增加实训终端的可控性与安全性，减少实训终端运维管理的工作量。

通过部署安全风险管理与审计系统、完善实训桌面操作系统功能、配置增量还原卡、提高网络并发能力等具体举措，形成完整的实训桌面终端加固方案，实现实训桌面终端高效运维的工作流程，大大提高实训桌面的安全性和运维效率。

3 实训机房桌面终端统一安全管控模式应用成效

通过实训桌面终端统一安全管控模式探索与应用，实现实训桌面终端统一更新病毒库、统一策略分发、软件更新、资产管理、终端审计等功能，提升了安全防护水平，减少了IT运维工作的投入，全面实现信息化技术监管。安全加固后的实训机房网络拓扑如图3所示。

图3 安全加固后实训机房网络拓扑图

由图3可见，实训机房经过安全加固后，主要有以下成效：

1）网络边界安全。在实训网络与办公网络边界添加入侵防御（IPS）设备，监测进入办公网络的流量，拦截恶意流量，进一步提高边界安全性。

2）实训桌面终端安全性。实训桌面终端使用原版微软系统，可杜绝系统自带流氓软件，新版还原卡与管控系统相互配合，对实训桌面终端进行设备准入检查、病毒查杀、补丁安装、安全基线核查等。实时监控终端运行状态，使实训终端保持较安全状态，提高实训终端的安全性，间接保障办公网络的安全稳定。

3）实训桌面终端运维管理。病毒查杀、补丁安装等工作由服务器下发策略，客户端自动执行。实训机房桌面终端也可由每个实训机房的主控端进行统一控制，无需对每台实训终端进行操作，减少运维操作工作量，提高运维效率。

4）提高培训教学效率。实训桌面终端教师机安装新版还原卡主控端，主控端提供电子教室、文件共享、远程控制等功能，可直接用于培训教学，无需使用其他破解版电子教室软件，提高培训教学效率。

4 结语

本文探索实训桌面终端网络安全管理模式，建设实训桌面终端统一安全管控平台，制定实训桌面终端网络安全提升管理办法，实现了实训终端资产信息、安全配置和用户行为的集中化、统一化、主动化管理，达到了对实训终端统一安全管理、统一安全策略和统一安全审计的效果。该模式不仅提高了实训桌面终端运维效率，而且降低了实训终端接入办公网络存在的各种安全风险。面对日益增多的高级可持续威胁攻击（APT）及0day漏洞攻击，安全防护体系由静态向动态、由被动向主动的转变将是下一步研究的方向。