摘 要 本文介绍的终端安全防护技术即桌面安全管理技术，它集成了终端运维、终端加固、终端审计控制技术，实现了对所有网络终端的安全管理和准入控制，保证了合法授权用户进入网络、拒绝非法无授权用户进入网络或拷贝数据。该方案以安全策略为核心，以客户端策略遵从性为强制为手段，从控制网络单体入手，通过多方手段相结合，从而加强用户终端的主动防御能力，实现保障整体网络的安全性。

　　【关键词】终端运维 终端加固 终端审计

　　随着烟草信息化的不断进步和发展，单位网络结构日趋复杂，公司对各部门、各县局的管理比较困难。在网络中各个节点均可能造成病毒传播、非法接入和违规操作等问题，内网安全风险日益凸显；各节点随意连接互联网，随意接入一些不良网站，造成网络中大量木马、病毒的传播，带来安全隐患；内部ARP欺骗现象严重，网络故障无法准确定位，公司敏感信息被非法泄漏等，都严重影响了公司业务的发展。因此，急需建立同具有自身特点相适应的计算机终端安全防护体系。建立在计算机终端安全策略、安全技术和安全措施，保证系统安全、稳定、高效运行，建立一套计算机终端信息安全管理体系。
　　1 终端管理技术
　　终端安全管理技术是以终端安全管理为核心出发点，从终端用户身份认证、数据防泄漏、防破坏、主机安全审计、安全综合管理（防病毒）、桌面管理应用多个角度构建一套完整的终端安全防护体系，通过技术手段全面贯彻落实用户的安全管理策略。
　　2 终端安全防护体系架构
　　终端防护系统由安全中心服务器、终端引擎、终端准入控制、第三方服务器组成。
　　2.1 安全中心服务器
　　安全中心服务器主要职能就是安全策略的制定与维护和所有终端数据的展示。具体表现在对所有终端进行集中监控、授权、卸载；各种日志报表的展示、查询、汇总生成。
　　2.2 终端引擎
　　终端引擎是在终端计算机解析、执行安全策略并上报各类日志的功能组件，主要完成终端身份认证、移动存储设备管理、安全审计、桌面管理等功能。
　　2.3 第三方服务器
　　第三方服务器主要包含操作系统补丁服务器、网络版防病毒软件病毒库更新及控制服务器和身份认证服务器。操作系统补丁更新服务器提供补丁查询、更新功能，网络版防病毒软件病毒库更新及控制服务器提供防病毒软件的病毒库更新，病毒查杀频率及次数，身份认证服务器提供对终端用户身份进行认证的功能。
　　3 终端安全防护系统的实现与应用
　　通过技术对比与方案评估，我们采用了绿盟公司的终端管理系统Datasheet来实现公司网络的全面的终端防护及准入控制。
　　3.1 部署方案
　　在公司核心机房的一台DELL机架式服务器部署管理控制台和数据库。各县区局没有部署二级服务器，全区统一一个总控中心。
　　3.2 终端防护系统在张烟应用的策略
　　3.1.1 终端入网监测
　　通过实时计算机扫描可发现所有当前在线计算机，通过总控中心的计算机注册信息的同步，可区分合法设备和非法设备。对于非法设备，采取入网阻断措施。
　　3.1.2 防病毒软件管理
　　通过防病毒软件信息收集和状态监测功能，检查计算机是否安装防病毒软件，对于未安装的计算机，进行警示告警。
　　3.1.3 网络流量监测
　　对终端计算机的网络通讯流量的审计、控制和统计。对于流量异常的计算机进行重点监控，必要时作断网处理。
　　3.1.4 移动存储介质管理
　　终端管理系统把移动存储介质分为三个安全级别，从低到高依次为：外部、内部普通和内部专用移动存储介质。终端管理系统系统实现精细化管理，通过安全策略控制移动存储介质的使用，实现终端计算机、终端用户和移动存储介质三者之间的绑定。
　　3.1.5 终端安全管理
　　终端管理系统采用主动防御技术，在设备底层实现防ARP病毒的功能，阻断各种类型的ARP病毒破坏行为，保证终端计算机不受ARP病毒的干扰与攻击。保证公司网络通讯的正常稳定。
　　4 终端安全防护技术的应用效果
　　4.1 提高了防病毒软件的部署率
　　通过终端安全系统实施和应用，强制卡巴斯基防病毒系统部署到位；通过卡巴斯基防病毒系统实现公司网络终端防病毒功能。主要是对计算机终端上的防病毒软件安装、运行、病毒库更新情况进行监测。不符合条件的立即中断系统应用，在病毒库更新到指定周期或者指定版本的情况下，系统应用阻断可以自动解除。经过统计，联网计算机终端安装防病毒软件达到了100%。
　　4.2 提高了终端计算机的管理效率，保证了公司网络的健康平稳运行
　　终端管理系统对终端计算机的管理可以非常严格。尤其是在对网络内计算机进行准入控制的时候， 进行终端计算机主机健康检查，只有符合健康要求的计算机才允许进行下一步的身份认证，否则直接拒绝入网。严格的健康检查可以有效地防止感染病毒木马或有安全漏洞的终端计算机连入网络。从而保证网络的健康平稳运行。
　　4.3 加强了移动存储介质管理
　　通过终端管理系统可以非常方便的看到移动存储介质的使用，尤其是在对移动存储介质进行准入控制的时候，可以通过管理控制端看到违规移动存储介质的违规情况，还可以通过查看日志，了解网络中移动存储介质的使用情况。
　　4.4 杜绝了网络违规外联，提高了网络的安全性
　　终端管理系统通过控制外接设备使用和终端计算机的拨号行为实时监测和阻断终端计算机的MODEM拨号、ADSL拨号、网关上网、代理上网等行为。从而拒绝了非法外联等行为，保证了公司网络的安全性。
　　5 结束语
　　终端管理系统成为和软硬件防火墙、防病毒软件一样当前企业进行信息化安全建设时不可或缺的一个重要组成部分。终端管理软件的使用，把信息安全管理从网络层、交换层延伸到了终端计算机，信捷职称论文写作发表网，使网络安全手段得到更大的提高和加强。我公司信息中心通过使用终端管理系统的安全策略和移动存储介质管理等功能，有效的控制了网络中病毒、木马的传播途径，提高了操作系统和应用软件漏洞补丁安装概率和响应时间，真正意义上保证了终端安全。总之，终端管理系统安装于部署，提高了公司网络内的终端计算机的安全，减轻了信息中心运维人员的工作量，保证了公司网络健康平稳运行。