浅析供电企业办公终端安全管理.docVIP

浅析供电企业办公终端安全管理 　　摘要：本文通过对供电企业办公终端接入公司网络而引起的各类信息违规情况进行分析，得出了一套有效地规避违规的计算机入网操作流程，以解决计算机入网的管理难题。同时，作者将技术和管理有机的融合起来，依靠技术协助终端入网的安全管理，为终端运维管控提出了新的解决思路。 　　关键词：信息 标准化 流程 应用 　　0 引言 　　随着互联网技术的不断发展，网络安全问题不断发生，供电企业对信息安全要求也不断提高，国网公司为此统一部署了桌面终端管理系统，用以对接入公司网络内的计算机进行安全方面的监控和审计，以提升终端的安全防护能力。本文重点针对预入网的计算机，做到把好入网终端安全加固关，进而逐步提升入网终端的安全防护能力，有效降低了终端弱口令、防病毒软件、系统补丁等方面的违规问题发生。 　　1 办公计算机接入管理现状及存在的问题 　　新购计算机（或重新安装操作系统的计算机）接入公司网络时，由于桌面终端管理系统可有效阻止未注册计算机正常访问网络，因此用户为了保证网络畅通，会首先完成桌面终端程序注册安装，这样往往会引发信息违规告警上报，尤其是弱口令及防病毒软件不合规告警，对公司终端安全管理工作带来不便。 　　弱口令的产生与操作系统有很大的关系，由于公司业务应用系统的适用性，目前办公网内绝大部分终端还是使用Windows XP操作系统，在Windows XP下，如果建立了一个新的非受限者用户（计算机管理员），下次登录计算机时，将不会出现Administrator超级用户的登录入口了,只有切换到安全模式下，这个帐号才会在登录界面时被看到[1]。因此用户往往会忘记设置Administrator的口令，这就会触发弱口令违规上报。为了避免这个情况的发生，需要计算机在接入前将所有系统帐号均设置强口令，但是，由于“一键还原”技术的普及应用，部分用户在计算机出现运行变慢的情况下，会采取一键还原系统来解决，这就导致终端弱口令违规，同样，防病毒软件违规也与终端用户随意安装操作系统有一定的关系。 　　同时，在运维过程中发现，现在市面上销售有的盗版操作系统存在无法正常升级操作系统补丁的情况，即便手动安装补丁包也无法顺利成功。安装有这样的系统的终端即便注册接入公司办公网络，也会因为存在大量系统漏洞而容易被病毒、木马、恶意脚本、黑客所利用[2]，从而严重影响终端使用及公司网络的安全和畅通。另外，计算机入网前要做好应用程序的检测管理，避免发生应用程序对办公网络的冲击，例如，暴风影音曾爆发0day软件漏洞，若公司网内存在大量暴风影音程序，将会发生域名解析故障而导致网络中断，影响办公业务的正常运行。因此，在办公终端操作系统的安全加固方面需要加强管理。 　　2 标准化注册管理介绍 　　通过上面情况的分析发现，这些违规现象都是计算机接入办公网络前因没有进行必要的系统加固造成的。随着公司员工计算机水平的提高，具有自行安装操作系统能力的人员不断增多，这种由于计算机入网而引起的终端违规现象也是当前终端安全运维工作中牛皮癣，因此需要我们加强终端入网标准化注册流程的管理。 　　通过对桌面终端管控系统的研究发现，在通常情况下，当计算机安装桌面终端管控客户端软件时，会触发完成计算机环境的安全检查，并将数据上传至桌面终端管控后台服务器，若客户端没有进行杀毒软件安装，没有设置帐号口令，就会发生安全策略违规告警。因此，规范的入网设置流程，可有效避免信息违规现象发生。 　　以下是本公司入网管理办法的入网设置流程： 　　①首先，用户填写《内网终端接入申请表》。 　　②确认预接入的计算机未连接网络。 　　③完成操作系统版本确认。通过计算机桌面“我的电脑”右键属性，查看计算机操作系统版本是否合格。 　　④完成应用程序清理。通过“控制面板”-“添加删除程序”进行互联网应用程序、游戏软件、炒股软件及娱乐软件的卸载。要求所有接入内网的计算机不允许存在非办公用应用程序。 　　⑤完成操作系统补丁加固。按照查看计算机操作系统版本的方法查看当前系统补丁版本。要求Windows XP必须安装SP3或以上的补丁集。 　　⑥完成所有系统帐号的密码加固。对系统所有帐号进行密码设置，要求密码长度大于8位，且必须为字母、数字及符号的混合字串。 　　⑦完成计算机名称的更改。要求计算机名格式：“公司名简称”+“-”+“单位简称（不超过两位中文字符）”+“使用人姓名”。 　　⑧完成防病毒软件安装。要求办公计算机必须安装公司统一配发的趋势企业版杀毒软件。 　　⑨连接网络，完成桌面终端管理客户端注册及安装。按预先申请的内网地址信息完成计算机网络配置，将网线接入预先申请的公司信息内网端口上，使计算机可正常访问公司网站。要求所有接入公司内网的办公计算机终端必须进行桌面终端的注册，并要求所注册信息必须真实。 　　⑩流程完