论文部分内容阅读
摘要:本文介绍了桌面终端管理系统能够对电力企业的桌面计算机进行精细化管理,及时了解计算机的状况,实现内网流量,以及可疑进程的流量进行实时监控,对病毒、违规外联的监控,软硬件资产管理等功能,有效的控制了桌面终端用户任意接入,恶意病毒和代码轻易传播。桌面终端用户安全防护能力进一步提高,监管力度进一步加强,确保桌面终端安全、稳定运行。
关键词:桌面终端管理系统;信息安全;SGl86工程
Abstract: This paper introduces the desktop managementsystem can fine management of electric power enterprisedesktop computer, timely understanding of the status ofcomputer, network implementation flow, real-time monitoring and flow suspicious process, monitoring of thevirus, illegal external connection, hardware and softwareasset management and other functions, effective control of the desktop user arbitrarily access, malicious virusspread easily and code. Desktop terminal user safety protection to further enhance the capacity, to further strengthen supervision, to ensure the safe and stable operation, desktop terminal.
Keywords: desktop management system; information security; SGl86 project
中图分类号:TN915.08文献标识码:A文章编号:2095-2104(2013)
引言
这些年来,各种病毒的连续性爆发为起点,到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多客户端安全事件在各地网络中频繁发生,让各个单位的信息管理人员头痛不己,同时也带给企业或多或少的损失。以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS、网络互联设备即对交换机、集线器和路由器等的管理,但对计算机终端普遍涉及每个用户,由于其分散性、不被重视、安全手段缺乏的认识,已逐步成为信息交全体系的薄弱环节。2006年4月29日,国家电网公司提出了在全行业实施“SG186工程”的规划。针对“6”个体系中的“信息化安全防护体系”。覆盖公司总部、直属单位及网省公司、地市公司、县公司。国电公司根据这个规划推出了一份标准化指导文件——《国家电网公司桌面终端标准化管理系统指标规范书》,将根据该规范书统一部署总部和网省公司,具体包括设备准入,资产管理,补丁管理,软件管理,安全管理,行为审计等。该规范书详细阐述了国家电网公司的对信息安全防护体系建设的要求,是非常重要的指导性文件。2009年根据省市公司的要求,我公司正式开始运行桌面终端标准化管理系统。
未应用桌面终端管理系统的桌面终端安全状况
我公司桌面计算机数量众多,管理难度很大。计算机缺少安全补丁、系统口令薄弱、感染病毒、被安装木马等情况时有发生。由于难于发现有问题的电脑,难以对这些危险电脑进行定位,一旦问题发生,往往故障排查时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,非常容易导致网络阻塞,从而致使其他止常网络业务无法使用。由于缺乏技术和管理手段,许多管理规定也难以执行,也极大地影响了企业内部网络的安全性。
我公司桌面终端管理系统应用情况
3.1安装客户端
在单位各部门下发客户端注册程序(图1),使每台计算机终端接受管理。根据要求填写指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器,区域管理器将注册信息导入SQL数据库保存,在WEB管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行,该程序以服务方式实时运行,一旦有非法外联或违规设备,就会发送报警数据,同时显示报警信息的功能。我公司按部门名称进行注册,终端注册率达100%,从而达到可以直接通过部门名称进行管理查询它下属的客户端。
3.2制作安全移动存储设备
制作安全移动存储设备,对注册后的专用存储设备分为保密区、交换区、启动区。保密区仅能在授权计算机上使用,在非授权计算机上不可用。交换区通过用户密码认证后在内外网计算机均可使用。用户将通过“交换区”完成内外网之间的数据交互工作。
3.3终端管理
在终端接入管理中,对终端设备的进程、流量、服务、端口、补丁情况、所安装的软件等功能进行实时监控,即实时报警以及实时切断非法计算机同内网的连接。
3.4数据查询
进行本单位终端注册情况的统计、设备资源的统计及设备类型统计,具有设备信息查询、审计数据查询和分发数据查询。特别是设备信息查询,收集了设备所属区域、部门、使用人、IP地址等相关信息。还有硬件变化设备查询,客户端注册时,已经把其硬件信息注册入库,如果客户端硬件有增添或卸载变化,则可通过该查询条件查到,从而避免了企业资产的流失,更好的完善了企业设备资产管理。
3.5策略中心
使州“策略管理中心”,按需求加载策略。客户端桌面安全管理系统采用策略管理中心实现对内部网络终端的统一安全管理。
我公司目前IP的分配是按照IP分配方法手动设置IP地址,但是有的同事经常会自己修改IP地址,为了防止擅自修改IP地址,防止通过电话机和ADSL,设置IP,连接外网,导致违规外联现象的出现,在桌面终端系统中下发策略隐藏网络连接。
3.5.1注销动态链接库文件法
在Windows 2000/XP/2003 Server操作系统中,有三个动态链接库文件(Netcfgx.dll、Netshell.dll和Netman.dll)与网络功能有关。只要将这三个文件注销,就能屏蔽“网络连接”窗口,也就能禁止通过“本地连接属性”对话框修改IP地址。
在记事本中填写,regsvr32 Netcfgx.dll /u regsvr32 Netshell.dll /uregsvr32 Netman.dll /u然后另存为unregnet.bat文件。
注意:命令中的regsvr32與Netcfgx.dll之间,Netcfgx.dll与/u之间,均需用空格间隔开。
然后再桌面终端系统中——策略中心——策略管理中心——软件分发策略——普通文件分发——创建新策略。
这样,在注册的机器上会自动运行该策略,无论是单击“网上邻居”右键菜单中的“属性”,还是双击“控制面板”窗口中的“网络连接”图标,都无法打开“网络连接”窗口,这样就无法通过“本地连接属性”对话框来修改IP地址了。
如果以后工作中要恢复修改IP地址的功能,只要将上述命令中的“/u”参数删除,然后另存为.bat文件重新执行一遍,重启电脑就行了。
regsvr32 Netcfgx.dll /u regsvr32 Netshell.dll /uregsvr32 Netman.dll /u
regsvr32 Netcfgx.dllregsvr32 Netshell.dll regsvr32 Netman.dll
结论
桌面终端安全管理系统在我公司全面启用后,为网络系统构建了一个完整的客户端防护体系,通过补丁管理,防病毒软件管理,入网设备联网状况管理,软件安装状况管理,客户硬件状况管理等手段完成,对网络客户端的全面监控和管理。为网络建设一个完善的客户端防护体系,从根本上解决了网络客户端安全管理的问题,有效地减少了网管人员的劳动强度,缩短了故障处理时间。添加桌面安全管理系统使我公司的网络安全进一步强化,在全公司实现了终端到终端的全面管理和控制。在移动存储管理上,使内网人员未经安全授权的U盘无法使用,避免u盘病毒传入的危险,关闭了可能存在的安全隐患。
结束语
桌面终端管理系统在电力企业内的成功部署,不仅对于企业内部分散的计算机管理形式形成了一个有效的统一的监管手段,也解决了信息运维人员对IT资产的综合管理问题,使得资产管理及报表统计从原来的手工模式变为现在的集中自动信息收集模式,同时也提高了企业整体IT网络安全,有效预防病毒和恶意软件的攻击,保障了我公司信息网络的安全运行。
关键词:桌面终端管理系统;信息安全;SGl86工程
Abstract: This paper introduces the desktop managementsystem can fine management of electric power enterprisedesktop computer, timely understanding of the status ofcomputer, network implementation flow, real-time monitoring and flow suspicious process, monitoring of thevirus, illegal external connection, hardware and softwareasset management and other functions, effective control of the desktop user arbitrarily access, malicious virusspread easily and code. Desktop terminal user safety protection to further enhance the capacity, to further strengthen supervision, to ensure the safe and stable operation, desktop terminal.
Keywords: desktop management system; information security; SGl86 project
中图分类号:TN915.08文献标识码:A文章编号:2095-2104(2013)
引言
这些年来,各种病毒的连续性爆发为起点,到计算机文件泄密、硬件资产丢失、服务器系统瘫痪等诸多客户端安全事件在各地网络中频繁发生,让各个单位的信息管理人员头痛不己,同时也带给企业或多或少的损失。以往提起信息安全,人们更多地把注意力集中在防火墙、防病毒、IDS、网络互联设备即对交换机、集线器和路由器等的管理,但对计算机终端普遍涉及每个用户,由于其分散性、不被重视、安全手段缺乏的认识,已逐步成为信息交全体系的薄弱环节。2006年4月29日,国家电网公司提出了在全行业实施“SG186工程”的规划。针对“6”个体系中的“信息化安全防护体系”。覆盖公司总部、直属单位及网省公司、地市公司、县公司。国电公司根据这个规划推出了一份标准化指导文件——《国家电网公司桌面终端标准化管理系统指标规范书》,将根据该规范书统一部署总部和网省公司,具体包括设备准入,资产管理,补丁管理,软件管理,安全管理,行为审计等。该规范书详细阐述了国家电网公司的对信息安全防护体系建设的要求,是非常重要的指导性文件。2009年根据省市公司的要求,我公司正式开始运行桌面终端标准化管理系统。
未应用桌面终端管理系统的桌面终端安全状况
我公司桌面计算机数量众多,管理难度很大。计算机缺少安全补丁、系统口令薄弱、感染病毒、被安装木马等情况时有发生。由于难于发现有问题的电脑,难以对这些危险电脑进行定位,一旦问题发生,往往故障排查时间非常长。如果同时有多台计算机感染网络病毒或者进行非法操作,非常容易导致网络阻塞,从而致使其他止常网络业务无法使用。由于缺乏技术和管理手段,许多管理规定也难以执行,也极大地影响了企业内部网络的安全性。
我公司桌面终端管理系统应用情况
3.1安装客户端
在单位各部门下发客户端注册程序(图1),使每台计算机终端接受管理。根据要求填写指定信息,系统自动将所添加信息和系统自动采集获得的设备信息发送到区域管理器,区域管理器将注册信息导入SQL数据库保存,在WEB管理平台中设置的客户端参数策略将由区域扫描器扫描客户端后,发送给客户端驻留程序保存执行,该程序以服务方式实时运行,一旦有非法外联或违规设备,就会发送报警数据,同时显示报警信息的功能。我公司按部门名称进行注册,终端注册率达100%,从而达到可以直接通过部门名称进行管理查询它下属的客户端。
3.2制作安全移动存储设备
制作安全移动存储设备,对注册后的专用存储设备分为保密区、交换区、启动区。保密区仅能在授权计算机上使用,在非授权计算机上不可用。交换区通过用户密码认证后在内外网计算机均可使用。用户将通过“交换区”完成内外网之间的数据交互工作。
3.3终端管理
在终端接入管理中,对终端设备的进程、流量、服务、端口、补丁情况、所安装的软件等功能进行实时监控,即实时报警以及实时切断非法计算机同内网的连接。
3.4数据查询
进行本单位终端注册情况的统计、设备资源的统计及设备类型统计,具有设备信息查询、审计数据查询和分发数据查询。特别是设备信息查询,收集了设备所属区域、部门、使用人、IP地址等相关信息。还有硬件变化设备查询,客户端注册时,已经把其硬件信息注册入库,如果客户端硬件有增添或卸载变化,则可通过该查询条件查到,从而避免了企业资产的流失,更好的完善了企业设备资产管理。
3.5策略中心
使州“策略管理中心”,按需求加载策略。客户端桌面安全管理系统采用策略管理中心实现对内部网络终端的统一安全管理。
我公司目前IP的分配是按照IP分配方法手动设置IP地址,但是有的同事经常会自己修改IP地址,为了防止擅自修改IP地址,防止通过电话机和ADSL,设置IP,连接外网,导致违规外联现象的出现,在桌面终端系统中下发策略隐藏网络连接。
3.5.1注销动态链接库文件法
在Windows 2000/XP/2003 Server操作系统中,有三个动态链接库文件(Netcfgx.dll、Netshell.dll和Netman.dll)与网络功能有关。只要将这三个文件注销,就能屏蔽“网络连接”窗口,也就能禁止通过“本地连接属性”对话框修改IP地址。
在记事本中填写,regsvr32 Netcfgx.dll /u regsvr32 Netshell.dll /uregsvr32 Netman.dll /u然后另存为unregnet.bat文件。
注意:命令中的regsvr32與Netcfgx.dll之间,Netcfgx.dll与/u之间,均需用空格间隔开。
然后再桌面终端系统中——策略中心——策略管理中心——软件分发策略——普通文件分发——创建新策略。
这样,在注册的机器上会自动运行该策略,无论是单击“网上邻居”右键菜单中的“属性”,还是双击“控制面板”窗口中的“网络连接”图标,都无法打开“网络连接”窗口,这样就无法通过“本地连接属性”对话框来修改IP地址了。
如果以后工作中要恢复修改IP地址的功能,只要将上述命令中的“/u”参数删除,然后另存为.bat文件重新执行一遍,重启电脑就行了。
regsvr32 Netcfgx.dll /u regsvr32 Netshell.dll /uregsvr32 Netman.dll /u
regsvr32 Netcfgx.dllregsvr32 Netshell.dll regsvr32 Netman.dll
结论
桌面终端安全管理系统在我公司全面启用后,为网络系统构建了一个完整的客户端防护体系,通过补丁管理,防病毒软件管理,入网设备联网状况管理,软件安装状况管理,客户硬件状况管理等手段完成,对网络客户端的全面监控和管理。为网络建设一个完善的客户端防护体系,从根本上解决了网络客户端安全管理的问题,有效地减少了网管人员的劳动强度,缩短了故障处理时间。添加桌面安全管理系统使我公司的网络安全进一步强化,在全公司实现了终端到终端的全面管理和控制。在移动存储管理上,使内网人员未经安全授权的U盘无法使用,避免u盘病毒传入的危险,关闭了可能存在的安全隐患。
结束语
桌面终端管理系统在电力企业内的成功部署,不仅对于企业内部分散的计算机管理形式形成了一个有效的统一的监管手段,也解决了信息运维人员对IT资产的综合管理问题,使得资产管理及报表统计从原来的手工模式变为现在的集中自动信息收集模式,同时也提高了企业整体IT网络安全,有效预防病毒和恶意软件的攻击,保障了我公司信息网络的安全运行。