終端安全管理系統提升運維效率

引言：終端運維是一項繁瑣而重要的工作，運維水平的高低直接關系到整個系統運行的效果。單位內部辦公網使用天擎終端安全管理系統后，實現了桌面管理高效化、終端安全全面化、運維工作規范化，為內部辦公系統高效運行奠定了堅實的基礎。

隨著辦公自動化日益普及，IT運維難度也越來越高。本文以部署使用的天擎終端安全管理系統為例，詳細介紹如何在單位內部網絡中建立計算機終端安全管理防護體系，以提升運維效率。

單位內部網絡結構

單位網絡結構如圖1所示，自辦公網投入使用以來，計算機終端數量從最初四百余臺迅速增長至一千余臺，隨著終端數量的增多，在管理和使用上問題越來越多，如果繼續沿用之前粗放式方式進行運維管理，就無法保證內部辦公網絡正常高效運行。在內網中部署天擎終端安全管理系統則很好地解決了此問題。

桌面統一高效管理

1.自動升級

圖1 單位內部網絡結構

內部辦公網為物理隔離網絡，禁止與互聯網進行通訊，所以使用天擎隔離升級代理工具進行升級工作，這樣內網中的電腦就無須連接到互聯網就能完成升級。服務器在沒有運維管理人員參與的情況下也能對管理控制臺軟件、客戶端病毒特征庫、系統應用的漏洞補丁進行自動下載、升級與安裝。

2.遠程協助

由于辦公網終端分布范圍廣，運維人員人數有限，故當終端發生故障或操作困難時，運維人員可以遠程協助功能對終端進行故障排查，并指導用戶如何正確使用相關業務系統。由此縮短故障響應時間，提高工作效率。

3.外設管理

內部辦公網絡涉及敏感數據信息，故需要對主機所能連接的外部設備進行嚴格管控。終端安全管理系統能實現對USB接口、光驅等輸入輸出設備進行準入控制，以此實現主機的數據安全。

4.審計管控

終端安全管理系統可以對文件進行審計與管控，能夠對指定路徑或擴展名文件的讀取、修改、刪除、移動等行為進行限制及審計，同時，對于終端共享目錄的輸出、讀取及終端用戶對網絡文件的訪問也可進行詳細的審計。另外，系統也可以對打印進行審計與管控，對終端的打印動作、打印文件信息進行審計，也可禁止使用打印機或禁止打印某類文件，可有效防止核心數據通過紙質文件外泄。

終端安全統一加固

1.病毒防護

目前，隨著病毒的大量出現，傳統的本地病毒庫查殺方式已經無法滿足對已知病毒的查殺要求。而終端安全管理系統就是基于云查殺檢測引擎，并采用雙病毒檢測引擎與雙病毒特征庫技術。其框架如圖2，這是完全不同的兩套獨立的病毒庫和檢測引擎，能對已知病毒進行有效檢測和查殺。

2.防黑加固

系統能夠對客戶端進行防黑加固功能，以滿足有針對性的監控需求。能夠對終端密碼復雜度、生存期和密碼歷史進行檢查，如不滿足設定條件，系統將提示終端用戶修改；對重點端口進行監控，并支持自定義端口監控與上報；顯示終端開啟的共享目錄并對共享目錄進行管理，監控用戶和用戶組賬號權限變化，同時上報日志。

3.主機安全

圖2 防病毒和惡意代碼功能框架

系統能夠在內網終端之間建立訪問控制機制，杜絕非業務需求下的終端互訪現象，遏制網內主機發起的攻擊：一是基于IP、端口和主機的訪問控制策略，實現同子網或不同子網內終端之間的訪問控制。訪問控制策略在控制中心集中定義，可根據不同分組按需下發，分布式執行，簡潔高效。在不需要對原有網絡設備做任何調整的前提下實現細致的安全域訪問控制管理；二是可禁止終端ping出、ping入，有效遏制內網嗅探行為。

4、安全檢查

根據終端的安全狀況，決定其是否能接入內部網絡之中，最終目的是強制終端落實規定的安全防范措施，進行安全加固工作，隔離具有安全隱患的終端。

終端遠程統一運維

1.分發軟件

終端安全管理系統可以對指定終端強制推送軟件，推送時，可以按照用戶ID、IP地址等條件選擇推送范圍。通過此功能，將以往重復且繁瑣的軟件安裝變成了一項輕松的工作。

2.統計功能

統計當前在線、離線的用戶數量，并提供查詢功能，查詢指定的用戶是否在線，查詢指定的組內在線、離線的用戶數量：一是統計全網在線與離線終端的數量，同時給出這些終端的IP、MAC、主機名、對應的用戶名、用戶所屬的部門等；二是根據時間、部門、用戶名、IP、MAC查詢主機的在線與離線狀態，并可導出成EXCEL格式。

3.定制安裝

管理員可以定制終端安裝包，這樣在終端進行系統部署時，無需進行額外交互操作即可完成安裝。終端也可以通過訪問網頁頁面實現一鍵式安裝。另外，管理員在控制端為終端定制的安裝包，也可以植入終端所需連接的DNS、IP地址、端口信息，并將這些信息寫入安裝包配置文件中的方式植入到安裝包中，從而簡化終端的配置過程，實現一鍵式安裝。