论文部分内容阅读
王天祺 尚飞宏 李 娜
内蒙古电力(集团)有限责任公司巴彦淖尔电业局信息通信处 内蒙古巴彦淖尔市 015000
【摘 要】通过桌面管控技术的研究与实施,规范了桌面终端入网的工作流程,提高了桌面终端的联网工作效率,提高了桌面及整个网络系统的安全,有效增强了公司的信息安全防护水平。鉴于此,本文对桌面管控技术的信息安全水平提升进行了分析探讨。
【关键词】桌面管控;终端;安全
一、桌面管控管理措施
1、全面签订信息安全责任书和承诺书
为保障公司信息安全,进一步落实安全责任,提高全员信息安全意识,确保员工自觉遵守公司各项信息安全规章制度,某供电公司将信息安全责任书签订工作作为信息安全常态工作开展,逐级签订安全责任书,与所属各单位签订 《区域信息安全责任书》;所属单位与本单位员工签订 《员工信息安全责任书》,签署范围为全体在职人员(包括公司员工、 外聘员工、 农电工);所属单位与本单位信息外网计算机管理相关责任人签订 《信息外网安全责任书》,责任书明确车间信息安全责任、 信息安全目标及员工信息安全注意事项,人员岗位变化或新进员工需随时补签安全责任书;公司与部门、 部门与人员之间签署 《信息安全承诺书》,有效地保障了信息安全。某供电公司同时注重普及员工信息安全常识,强化信息安全意识,以避免出现违规外联、 防病毒软件未运行等信息安全违规行为。同时制作了统一的信息安全屏保和信息安全桌面程序,在屏保界面和办公终端桌面增加了信息安全小知识、 操作注意事项、 信息安全提醒等内容,并设置了屏保启动时间和密码保护等功能。
2、强化内网终端接入流程管理
某供电公司内网桌面终端接入需遵守内网终端接入的标准流程,市公司内网终端接入由申请部门通过协同办公系统签报流程提报申请,由部门领导及公司分管领导审批后转发信通分公司,由网控室分配 IP 地址、 调整终端准入账号并根据需要派发终端,符合入网条件的由运维人员将内网终端入网。市供电公司内网桌面终端接入申请流程如图 1 所示。
二、桌面管控技术措施
1、内网桌面终端防护措施
为了加强信息内网的桌面安全,市公司建立了桌面一体化防护体系,通过统一的准入流程进行终端的统一分配。由信通分公司负责操作系统及应用软件的安装,确保在系统安装完成后进行必要的基础加固,在入网时执行统一的准入策略和北信源策略,并通过入网后的定时检查维护确保桌面终端的信息安全。
2、桌面终端加固措施
内网桌面终端由某供电公司统一安装操作系统和必要的应用软件,加强了桌面终端的基础防护。在安装操作系统后对用户账号与口令安全进行策略设置,禁用 Guest 用户,安装信通分公司统一制作的信息安全屏保程序,部署統一的防病毒软件,并安装必要的应用软件(如 WPS、 准入客户端、 北信源客户端等)。
3、准入控制策略执行
统一准入控制客户端,并由某供电公司统一管理账户,桌面终端接入内网时首先要进行网络接入认证,认证通过后会接收到来自服务器的安全策略。接入内网的桌面终端首先要安装杀毒软件和补丁,若此终端未安装杀毒软件则会自动跳转到指定的 URL 安装杀毒软件;若系统补丁安全检测到不合格,则会提示到指定的 URL 进行补丁升级。通过认证的终端才允许进入正常的工作 VLAN,同时为保证客户端安全可靠运行,服务器会下发多种安全策略,并实时监测终端的运行状况。
4、北信源系统策略执行
在北信源桌面系统中启用 “硬件设备控制”策略,禁止使用调制解调器、 红外设备、 蓝牙设备;启用“进程执行监控” 策略;禁用无线网卡设备;启用 “协议防火墙策略”,只允许桌面终端访问内网地址;启用 “IP 与 MAC 绑定” 策略,禁用冗余网卡,禁止修改IP 与网关,以防发生违规外联事件;执行 “文件内容检查” 、 “终端涉密检查” 、 “文件动态监控”,确保敏感信息检查执行率及保密检测系统安装率指标水平。
5、杜绝信息敏感字措施
通过上网行为审计系统与防火墙联动,控制邮箱敏感字,包含敏感字的邮件将被丢弃,确保不发送含敏感字的邮件。通过内网保密检测系统敏感信息检查执行率查询,可及时查找与定位不符合要求的桌面终端并进行处理,确保该指标达到 100%,有效杜绝信息敏感字。
6、常态化的安全检查与维护措施
定期利用漏洞扫描设备进行全网扫描,对扫描出的漏洞及问题及时进行整改;基线扫描设备发现终端不符合基线要求的,通过北信源桌面终端程序下发统一的符合基线要求的策略,确保桌面终端符合基线安全要求;网控室专值值班人员检查准入控制和桌面系统的各类指标,发现异常及时处理,以提升信息安全水平。
三、桌面安全管控培训
某供电公司开展了特色信息安全大讲堂活动,宣贯桌面管控,提升信息安全意识。根据省公司班组要求,结合信息专业工作实际,优化组织实施,拓展培训模式,加强专业指导。同时以多种方式进行信息安全宣贯,讲解信息安全相关识,在培训学习中提高运维与信息安全技能。技术培训大讲堂遵循 “选、 抽、 评、 考”流程,内容紧扣信息安全核心业务,以 “上讲堂” 促 “学业务” 。事故分析大讲堂则选择信息安全事件,针对事件根源详细分析原因,结合运维现状分析潜在问题,讨论制定整改方案和措施,适用于对各种信息安全事件进行分析、 学习和制定防范措施。
加大信息安全培训力度,做到信息安全培训常态化,可使全员意识上和行动上知行合一,确保安全管控措施到位,不发生信息安全事件。通过安全培训,使全员掌握信息安全的基本要求和桌面管控安全知识,提高安全意识,杜绝违规外联。通过信息安全大讲堂等多种形式的安全培训,某供电公司对桌面管控等信息安全相关内容开展了重点培训,提高了全员的技术水平和技能素质,为保证信息安全提供了技术支撑。
四、桌面云系统搭建方案
1、桌面云的系统层次
根据企业应用情况,可以将桌面虚拟化系统部署分为五层:桌面设备层,应用发布层,虚拟平台层,虚拟桌面管理层,后端存储层。桌面设备层:接入本系统的桌面层设备,包括维护瘦客户端及营业厅瘦客户端。其中,营业厅瘦客户端不包含在本期工程投资范围内。虚拟桌面管理层:对瘦客户端进行统一管理,实现身份认证、准入管理、软件管理、资产管理、桌面安全策略、文档安全等功能。应用发布层:负责承担所有瘦客户端的发布任务,安装各种应用,供用户调用,用户可以通过应用发布系统访问各种业务应用。
2、桌面云系统的业务逻辑
第一,瘦客户端服务器通过虚拟桌面管理层实现终端和虚拟机的连接控制及策略设置;第二,虚拟机服务器将后台的物理服务器虚拟化为多个虚拟机,并提供操作系统环境,供瘦客户端使用;第三,应用发布系统将后台应用发布出来提供给瘦客户端,并对应用的访问制定相应策略。
结束语
今后供电公司将继续深入研究桌面管控及信息安全管理的典型经验和做法,完善桌面安全管理,加强县公司安全防护,夯实桌面管控的基础,进一步提升信息安全防护水平,以适应未来信息安全的更高要求。
参考文献:
[1]许敏. 基于云计算的医院信息技术平台的构建与研究[D].厦门大学,2014.
[2]刘辉舟. 供电企业内网终端主动式安全防御体系建设[J]. 计算机安全,2014.
内蒙古电力(集团)有限责任公司巴彦淖尔电业局信息通信处 内蒙古巴彦淖尔市 015000
【摘 要】通过桌面管控技术的研究与实施,规范了桌面终端入网的工作流程,提高了桌面终端的联网工作效率,提高了桌面及整个网络系统的安全,有效增强了公司的信息安全防护水平。鉴于此,本文对桌面管控技术的信息安全水平提升进行了分析探讨。
【关键词】桌面管控;终端;安全
一、桌面管控管理措施
1、全面签订信息安全责任书和承诺书
为保障公司信息安全,进一步落实安全责任,提高全员信息安全意识,确保员工自觉遵守公司各项信息安全规章制度,某供电公司将信息安全责任书签订工作作为信息安全常态工作开展,逐级签订安全责任书,与所属各单位签订 《区域信息安全责任书》;所属单位与本单位员工签订 《员工信息安全责任书》,签署范围为全体在职人员(包括公司员工、 外聘员工、 农电工);所属单位与本单位信息外网计算机管理相关责任人签订 《信息外网安全责任书》,责任书明确车间信息安全责任、 信息安全目标及员工信息安全注意事项,人员岗位变化或新进员工需随时补签安全责任书;公司与部门、 部门与人员之间签署 《信息安全承诺书》,有效地保障了信息安全。某供电公司同时注重普及员工信息安全常识,强化信息安全意识,以避免出现违规外联、 防病毒软件未运行等信息安全违规行为。同时制作了统一的信息安全屏保和信息安全桌面程序,在屏保界面和办公终端桌面增加了信息安全小知识、 操作注意事项、 信息安全提醒等内容,并设置了屏保启动时间和密码保护等功能。
2、强化内网终端接入流程管理
某供电公司内网桌面终端接入需遵守内网终端接入的标准流程,市公司内网终端接入由申请部门通过协同办公系统签报流程提报申请,由部门领导及公司分管领导审批后转发信通分公司,由网控室分配 IP 地址、 调整终端准入账号并根据需要派发终端,符合入网条件的由运维人员将内网终端入网。市供电公司内网桌面终端接入申请流程如图 1 所示。
二、桌面管控技术措施
1、内网桌面终端防护措施
为了加强信息内网的桌面安全,市公司建立了桌面一体化防护体系,通过统一的准入流程进行终端的统一分配。由信通分公司负责操作系统及应用软件的安装,确保在系统安装完成后进行必要的基础加固,在入网时执行统一的准入策略和北信源策略,并通过入网后的定时检查维护确保桌面终端的信息安全。
2、桌面终端加固措施
内网桌面终端由某供电公司统一安装操作系统和必要的应用软件,加强了桌面终端的基础防护。在安装操作系统后对用户账号与口令安全进行策略设置,禁用 Guest 用户,安装信通分公司统一制作的信息安全屏保程序,部署統一的防病毒软件,并安装必要的应用软件(如 WPS、 准入客户端、 北信源客户端等)。
3、准入控制策略执行
统一准入控制客户端,并由某供电公司统一管理账户,桌面终端接入内网时首先要进行网络接入认证,认证通过后会接收到来自服务器的安全策略。接入内网的桌面终端首先要安装杀毒软件和补丁,若此终端未安装杀毒软件则会自动跳转到指定的 URL 安装杀毒软件;若系统补丁安全检测到不合格,则会提示到指定的 URL 进行补丁升级。通过认证的终端才允许进入正常的工作 VLAN,同时为保证客户端安全可靠运行,服务器会下发多种安全策略,并实时监测终端的运行状况。
4、北信源系统策略执行
在北信源桌面系统中启用 “硬件设备控制”策略,禁止使用调制解调器、 红外设备、 蓝牙设备;启用“进程执行监控” 策略;禁用无线网卡设备;启用 “协议防火墙策略”,只允许桌面终端访问内网地址;启用 “IP 与 MAC 绑定” 策略,禁用冗余网卡,禁止修改IP 与网关,以防发生违规外联事件;执行 “文件内容检查” 、 “终端涉密检查” 、 “文件动态监控”,确保敏感信息检查执行率及保密检测系统安装率指标水平。
5、杜绝信息敏感字措施
通过上网行为审计系统与防火墙联动,控制邮箱敏感字,包含敏感字的邮件将被丢弃,确保不发送含敏感字的邮件。通过内网保密检测系统敏感信息检查执行率查询,可及时查找与定位不符合要求的桌面终端并进行处理,确保该指标达到 100%,有效杜绝信息敏感字。
6、常态化的安全检查与维护措施
定期利用漏洞扫描设备进行全网扫描,对扫描出的漏洞及问题及时进行整改;基线扫描设备发现终端不符合基线要求的,通过北信源桌面终端程序下发统一的符合基线要求的策略,确保桌面终端符合基线安全要求;网控室专值值班人员检查准入控制和桌面系统的各类指标,发现异常及时处理,以提升信息安全水平。
三、桌面安全管控培训
某供电公司开展了特色信息安全大讲堂活动,宣贯桌面管控,提升信息安全意识。根据省公司班组要求,结合信息专业工作实际,优化组织实施,拓展培训模式,加强专业指导。同时以多种方式进行信息安全宣贯,讲解信息安全相关识,在培训学习中提高运维与信息安全技能。技术培训大讲堂遵循 “选、 抽、 评、 考”流程,内容紧扣信息安全核心业务,以 “上讲堂” 促 “学业务” 。事故分析大讲堂则选择信息安全事件,针对事件根源详细分析原因,结合运维现状分析潜在问题,讨论制定整改方案和措施,适用于对各种信息安全事件进行分析、 学习和制定防范措施。
加大信息安全培训力度,做到信息安全培训常态化,可使全员意识上和行动上知行合一,确保安全管控措施到位,不发生信息安全事件。通过安全培训,使全员掌握信息安全的基本要求和桌面管控安全知识,提高安全意识,杜绝违规外联。通过信息安全大讲堂等多种形式的安全培训,某供电公司对桌面管控等信息安全相关内容开展了重点培训,提高了全员的技术水平和技能素质,为保证信息安全提供了技术支撑。
四、桌面云系统搭建方案
1、桌面云的系统层次
根据企业应用情况,可以将桌面虚拟化系统部署分为五层:桌面设备层,应用发布层,虚拟平台层,虚拟桌面管理层,后端存储层。桌面设备层:接入本系统的桌面层设备,包括维护瘦客户端及营业厅瘦客户端。其中,营业厅瘦客户端不包含在本期工程投资范围内。虚拟桌面管理层:对瘦客户端进行统一管理,实现身份认证、准入管理、软件管理、资产管理、桌面安全策略、文档安全等功能。应用发布层:负责承担所有瘦客户端的发布任务,安装各种应用,供用户调用,用户可以通过应用发布系统访问各种业务应用。
2、桌面云系统的业务逻辑
第一,瘦客户端服务器通过虚拟桌面管理层实现终端和虚拟机的连接控制及策略设置;第二,虚拟机服务器将后台的物理服务器虚拟化为多个虚拟机,并提供操作系统环境,供瘦客户端使用;第三,应用发布系统将后台应用发布出来提供给瘦客户端,并对应用的访问制定相应策略。
结束语
今后供电公司将继续深入研究桌面管控及信息安全管理的典型经验和做法,完善桌面安全管理,加强县公司安全防护,夯实桌面管控的基础,进一步提升信息安全防护水平,以适应未来信息安全的更高要求。
参考文献:
[1]许敏. 基于云计算的医院信息技术平台的构建与研究[D].厦门大学,2014.
[2]刘辉舟. 供电企业内网终端主动式安全防御体系建设[J]. 计算机安全,2014.