构建集中式的桌面计算机安全防护体系

余新生

中国石化集团洛阳石油化工工程公司 河南 471003

0 引言

安全威胁在形式上呈多样化，除传统的计算机病毒、黑客攻击及垃圾邮件外，间谍软件、恶意软件、网络钓鱼、网络窃密和网络犯罪等已成为新的威胁，而且危害程度远高于传统的病毒。它们在表现形式上不仅以单一形式出现，还往往以混合形式出现，破坏力更大，目的也从过去单纯的攻击破坏转向网络窃取等犯罪行为。如果不能防范这些安全威胁，造成信息泄露和信息破坏，势必会给企业的信息系统及生产经营带来不利影响甚至重大损失。

1 来自桌面计算机的安全威胁

由于桌面机数量与种类众多，配置杂乱，软硬件、操作系统种类五花八门，使得它们的安全状况极其复杂。用户没有给系统打补丁的概念和习惯，也不知道如何打。未安装杀毒软件或病毒库不升级。用户私自安装、卸载软件。随意改变硬件配置或重装系统，使安全性降低。长期不关机。随意使用移动存储介质。有风险的上网行为。私设上网出口。

2 建立集中式的桌面计算机安全防护体系

来自桌面计算机的安全威胁给企业网络及信息系统带来了很大的安全威胁，没有桌面机的安全就没有整个网络的安全。由于用户水平参差不齐，缺乏专业知识，因此不能指望由用户来对桌面机进行全面的安全防护，企业的信息管理部门必须构建一个集中式的桌面计算机安全管理和防护体系，通过统一的管理平台对所有桌面机统一实施安全防护，包括统一打补丁，统一安装与升级杀毒软件，统一进行安全配置，统一实施安全策略等。

为了描述方便，本文中使用的桌面计算机、客户机、用户终端和用户端计算机等术语含义一样，均指用户的个人计算机。

2.1 统一进行桌面安全管理

桌面计算机状况混乱，地理位置分散，使得信息管理部门对它们的日常维护难度增大，效率降低，无法批量进行安装杀毒软件、打补丁的操作，更难以统计桌面计算机的软硬资产。

建立企业级的桌面安全管理系统是解决这些问题的有效途径。该系统能够对桌面计算机实行统一的管理和保护，包括资产管理、资产分析统计、资产发现、移动设备控制、补丁分发、软件分发、防病毒管理、远程协助、终端操作监管等。系统自动检测收集桌面计算机的软硬件资产信息，生成统计报表资料，减轻管理员日常维护的难度。通过病毒防护和补丁分发，可保证桌面计算机防病毒系统和系统补丁的及时更新。通过软件分发将常用的工具软件自动安装到每台机器，可解决用户不安装规定软件的问题。还可以对移动存储介质进行统一控制，防止由其引起的信息泄露和病毒感染。对实时了解桌面计算机的系统配置、在线情况和运行进程，监控违规行为，限制其执行不相关的软件。可以统一强制关闭客户机系统和电源。

2.2 使用活动目录统一设置安全策略

Windows系统的活动目录(AD)是为了便于对企业网络中各类对象(如用户、计算机)及各类资源(如打印机、文件夹、程序)进行集中管理而建立的。一个AD包含一个或多个域，为了让用户在本地的域控制器上登录以节省时间，需在当地建立一个站点。

管理员可使用组策略(GP)针对特定的计算机或用户进行多种系统管理工作，比如设置账户策略、本地策略和用户权限，分发与删除软件，配置桌面和 IE 浏览器，下载与安装WSUS补丁，制定启动/关机及登录/注销脚本等。

2.3 统一进行网络准入控制

用户计算机端普遍存在着病毒感染、不升级病毒库和系统补丁、安装禁用软件、卸载规定软件、滥用移动存储设备等安全问题。这些计算机若接入网络会造成严重的安全威胁，必须对它们实施入网准入控制。

网络准入系统(或叫端点准入系统)用来保护用户终端的安全、防止非法入侵及控制用户的网络访问行为。系统一般包含端点安全代理、网络接入设备、策略服务器和准入控制等组件。端点安全代理即客户端软件安装在每一台端点计算机上，负责从终端上的安全软件如防病毒软件、操作系统收集安全状态信息，并将其传给网络接入设备，包括路由器、交换机、VPN网关、无线接入点等，它们把端点的安全状态信息传给策略服务器，由它进行评估，确定将采用的接入策略是许可、拒绝、隔离还是限制端点接入网络。

就是说，网络准入系统要依靠各组件与第三方软件之间的联动，对接入网络的终端计算机强制实施统一的安全策略，控制其对网络的访问权限。首先对要接入网络的终端进行用户身份认证，如基于802.1x协议，对连接到交换机端口上的用户或设备进行认证，认证通过后再根据既定的安全策略对终端进行强制安全审计，判断其是否安装了系统补丁、防病毒软件及病毒库更新及规定的软件等，对符合安全标准的端点允许接入，否则限制或拒绝接入，或者让其进入隔离区进行修补，直至完全符合安全策略后才允许其接入。系统对接入的终端进行监视，时刻检查其是否符合安全策略。

2.4 统一分发补丁

客户机不及时安装补丁就不能保证系统安全。大部分用户可能不会打补丁，或打不完整，所以打补丁应整体解决。设立WSUS服务器为本地计算机提供统一升级服务，让服务器每日自动与微软的更新服务器同步，下载最新补丁。针对客户机应把相关组策略设置为自动从本地 WSUS服务器获取更新并安装，不要配置为手动安装，因为这样会被用户忽略。客户机自动与服务器通信，下载新补丁并在后台安装。

根据网络规模可以设立多台 WSUS服务器。为避免WSUS下载的补丁与客户机上某些应用软件发生冲突，建议在提供客户机安装之前针对所有客户机的应用环境进行测试。

通过企业的桌面安全管理系统也可以强制客户机安装补丁，效果上还要优于WSUS方式，因为后者不具有强制性。

2.5 统一防治病毒

网络环境应使用网络版防病毒软件构建集中式的病毒防护体系，对桌面系统实行统一的防病毒策略控制和病毒库升级。

根据网络大小与计算机分布情况选择建立分层的病毒防护体系。第一层是控制中心，在总部设立一台或数台防病毒服务器，负责总部客户机(及下属区域中心防病毒服务器)的病毒库文件升级和防病毒策略制定。必要时建立第二层区域中心，设立一台防病毒服务器，从中心防病毒服务器接受病毒库信息和防护策略，为本区域客户端服务。最后一层是客户端，在各客户机安装防病毒客户端，受防病毒服务器的统一管理。

中心防病毒服务器每日进行病毒库的更新，更新方式有自动更新和手动更新两种。下层区域中心的防病毒服务器既可采取这两种方式更新，也可从上一层的防病毒服务器更新。客户机更新一般通过防病毒服务器进行，笔记本计算机应允许手动更新。

2.6 统一管理上网行为

从如下方面对用户的上网行为实行严格管理和审计：(1)过滤网页，根据URL分类和关键字阻止访问非法和不良网页，封锁或限制访问影响工作效率、占用带宽的网站。(2)控制网络应用，对即时通信(如QQ、MSN等)、视频、游戏、炒股等应用进行识别、控制、封锁或限制访问。(3)管理流量带宽，封堵或限制占用带宽的应用，特别是P2P下载(BT、迅雷等)和网络视频。(4)控制http、ftp上下载文件。(5)审计SMTP电子邮件或webmail邮件防止机密外泄。(6)审计与控制聊天和论坛发帖内容。(7)实时监控上网行为，如在线用户、网络流量、带宽占用、访问网页、发送的电子邮件等。

许多网络应用为了突破封锁，服务器采取多个IP地址、可变端口、内容加密传输等方式，使用传统手段已很难识别，必须借助专业的上网行为管理设备来进行识别。

2.7 统一使用代理服务器上网

代理服务器被认为是防火墙的一种，也可以担负一些内容过滤、访问限制以及管理用户控制用户浏览权限的任务。传统的代理服务器仅支持http、ftp服务，不支持P2P、IM等应用，所以用来限制上网行为更为便利。不过，随着不少的应用如QQ、迅雷和网络视频等纷纷支持80端口传输，代理服务器也就无力限制了。

对上网用户进行严格的身份认证，建议把用户名、IP地址、MAC地址三者捆绑，有效防止盗用IP地址的行为。

2.8 统一控制网络流量与带宽

在企业的因特网出口、广域网出口甚至内网的带宽瓶颈处，P2P流量会挤占带宽，影响正常业务的传输。在这些地方必须控制网络流量，精细地识别各种应用，进行带宽管理。在线路两端同时实施流量控制效果最佳，或者在分支机构一端实施。

2.9 统一反垃圾邮件

垃圾邮件占电子邮件总量的一半以上，其中不乏病毒和不良信息。传统的依靠关键字过滤、邮件地址和IP地址阻止、RBL黑名单过滤等技术已经对付不了当前的垃圾邮件，因此有必要在网络边界部署专业的反垃圾邮件网关，智能化地识别垃圾邮件，且准确率高，误判率低。

3 结束语

在企业网络中对桌面计算机实行集中式的安全防护，做到统一策略、统一部署、统一管理，克服各自为政、漏洞百出的混乱局面，是理想的解决方案。当然，这些防护措施离不开其它防护措施的配合，如网络边界安全防护、容灾备份以及运维管理等，充分利用路由器、交换机、防火墙、入侵检测/入侵防御、防病毒网关、VPN网关、日志审计等网络设施开展协同工作，才能形成强有力的全方位安全防御体系。

[1]张桂新.桌面安全管理在油田企业中的应用[J].石油仪器.2008.

[2]侯志刚.端点准入系统在网络中的应用[J].炼油与化工.2009.