供电企业办公终端的安全管理

时间：2021-02-09 14:28:33 信息安全毕业论文我要投稿

供电企业办公终端的安全管理

　　供电企业办公终端的安全管理

　　摘要：本文通过对供电企业办公终端接入公司网络而引起的各类信息违规情况进行分析，得出了一套有效地规避违规的计算机入网操作流程，以解决计算机入网的管理难题。

　　同时，作者将技术和管理有机的融合起来，依靠技术协助终端入网的安全管理，为终端运维管控提出了新的解决思路。

　　关键词：信息标准化流程应用

　　0 引言

　　随着互联网技术的不断发展，网络安全问题不断发生，供电企业对信息安全要求也不断提高，国网公司为此统一部署了桌面终端管理系统，用以对接入公司网络内的计算机进行安全方面的监控和审计，以提升终端的安全防护能力。

　　本文重点针对预入网的计算机，做到把好入网终端安全加固关，进而逐步提升入网终端的安全防护能力，有效降低了终端弱口令、防病毒软件、系统补丁等方面的违规问题发生。

　　1 办公计算机接入管理现状及存在的问题

　　新购计算机(或重新安装操作系统的计算机)接入公司网络时，由于桌面终端管理系统可有效阻止未注册计算机正常访问网络，因此用户为了保证网络畅通，会首先完成桌面终端程序注册安装，这样往往会引发信息违规告警上报，尤其是弱口令及防病毒软件不合规告警，对公司终端安全管理工作带来不便。

　　弱口令的产生与操作系统有很大的关系，由于公司业务应用系统的适用性，目前办公网内绝大部分终端还是使用Windows XP操作系统，在Windows XP下，如果建立了一个新的非受限者用户(计算机管理员)，下次登录计算机时，将不会出现Administrator超级用户的登录入口了,只有切换到安全模式下，这个帐号才会在登录界面时被看到[1]。

　　因此用户往往会忘记设置Administrator的口令，这就会触发弱口令违规上报。

　　为了避免这个情况的发生，需要计算机在接入前将所有系统帐号均设置强口令，但是，由于“一键还原”技术的普及应用，部分用户在计算机出现运行变慢的情况下，会采取一键还原系统来解决，这就导致终端弱口令违规，同样，防病毒软件违规也与终端用户随意安装操作系统有一定的关系。

　　同时，在运维过程中发现，现在市面上销售有的盗版操作系统存在无法正常升级操作系统补丁的情况，即便手动安装补丁包也无法顺利成功。

　　安装有这样的系统的终端即便注册接入公司办公网络，也会因为存在大量系统漏洞而容易被病毒、木马、恶意脚本、黑客所利用[2]，从而严重影响终端使用及公司网络的安全和畅通。

　　另外，计算机入网前要做好应用程序的检测管理，避免发生应用程序对办公网络的冲击，例如，暴风影音曾爆发0day软件漏洞，若公司网内存在大量暴风影音程序，将会发生域名解析故障而导致网络中断，影响办公业务的正常运行。

　　因此，在办公终端操作系统的安全加固方面需要加强管理。

　　2 标准化注册管理介绍

　　通过上面情况的分析发现，这些违规现象都是计算机接入办公网络前因没有进行必要的系统加固造成的。

　　随着公司员工计算机水平的提高，具有自行安装操作系统能力的人员不断增多，这种由于计算机入网而引起的终端违规现象也是当前终端安全运维工作中牛皮癣，因此需要我们加强终端入网标准化注册流程的`管理。

　　通过对桌面终端管控系统的研究发现，在通常情况下，当计算机安装桌面终端管控客户端软件时，会触发完成计算机环境的安全检查，并将数据上传至桌面终端管控后台服务器，若客户端没有进行杀毒软件安装，没有设置帐号口令，就会发生安全策略违规告警。

　　因此，规范的入网设置流程，可有效避免信息违规现象发生。

　　以下是本公司入网管理办法的入网设置流程：

　　①首先，用户填写《内网终端接入申请表》。

　　②确认预接入的计算机未连接网络。

　　③完成操作系统版本确认。

　　通过计算机桌面“我的电脑”右键属性，查看计算机操作系统版本是否合格。

　　④完成应用程序清理。

　　通过“控制面板”-“添加删除程序”进行互联网应用程序、游戏软件、炒股软件及娱乐软件的卸载。

　　要求所有接入内网的计算机不允许存在非办公用应用程序。

　　⑤完成操作系统补丁加固。

　　按照查看计算机操作系统版本的方法查看当前系统补丁版本。

　　要求Windows XP必须安装SP3或以上的补丁集。

　　⑥完成所有系统帐号的密码加固。

　　对系统所有帐号进行密码设置，要求密码长度大于8位，且必须为字母、数字及符号的混合字串。

　　⑦完成计算机名称的更改。

　　要求计算机名格式：“公司名简称”+“-”+“单位简称(不超过两位中文字符)”+“使用人姓名”。

　　⑧完成防病毒软件安装。

　　要求办公计算机必须安装公司统一配发的趋势企业版杀毒软件。

　　⑨连接网络，完成桌面终端管理客户端注册及安装。

　　按预先申请的内网地址信息完成计算机网络配置，将网线接入预先申请的公司信息内网端口上，使计算机可正常访问公司网站。

　　要求所有接入公司内网的办公计算机终端必须进行桌面终端的注册，并要求所注册信息必须真实。

　　⑩流程完毕。

　　3　终端标准化管理工作的创新

　　为了进一步规范终端标准化管理，落实公司计算机入网设置流程规定，避免基层终端用户习惯性操作违规，降低基层终端运维人员的操作难度，为此，作者自主研发了一套终端标准化注册程序，实现计算机入网前对系统进行关键加固项检查，以技术手段为管理工作提供保障。

　　标准化注册程序是以运城供电公司计算机入网设置流程为依据，其主要功能实现了，通过技术手段在计算机注册入网前，对计算机名称是否规范、是否安装非办公软件、防病毒软件是否规范、操作系统补丁是否合格、系统是否存在弱口令等方面进行检查，若存在不合格项，则阻止该计算机注册并提示用户进行整改，从而借助桌面终端管理系统实现了阻止未经过系统加固的计算机接入办公网络。

　　图1是标准化注册程序工作流程图。

　　通过在公司办公网内试运行标准化注册程序，公司终端运行指标得到显著提升，通过观察，自2012年3月开始至今，公司终端弱口令违规数量逐月降低，防病毒软件安装情况得到极大的改善，表1是运城公司2月至5月的终端违规统计说明。

　　4 结语

　　终端安全是信息系统安全的根源，是网络中最薄弱的环节，只有全面消除网内终端的隐患，不断提高终端用户信息安全意识，不断提升终端安全管控技术水平，以技术助管理，才能高效可靠地完成终端信息安全管理工作。

　　计算机入网管理的规范化，在办公内外网络隔离的情况下，可有效避免给公司内网引入病毒、木马、恶意脚本及黑客的攻击，同时，也减轻了基层终端运维人员日常工作量，降低了运维人员技术要求。

　　相信随着标准化管理注册程序的进一步推广，实现入网终端零个弱口令，操作系统百分百完成安全加固的目标，为公司信息系统安全运行提供有力的保障。

　　参考文献：

　　[1]曹天杰等编著.计算机系统安全.北京:高等教育出版社，2003.9.

　　[2]徐茂智.信息安全概论.北京:人民邮电出版社，2007.8.

　　[3]牟晓东.0Day漏洞，你有么?.电脑知识与技术，2012年03期.

【供电企业办公终端的安全管理】相关文章：

供电企业营销管理02-12