隨著社會信息化程度的不斷提高，企業(yè)的信息化進程也在加速，然而，信息化在給企業(yè)帶來效益的同時也給企業(yè)的信息安全和經(jīng)營管理帶來了一些負面影響，如信息泄密、員工利用計算機從事與業(yè)務(wù)無關(guān)的活動等等，因此，企業(yè)在制定各種信息安全規(guī)章制度的同時，也迫切需要通過技術(shù)手段來防范各種安全漏洞、規(guī)范員工的計算機操作行為，于是，為滿足企業(yè)需求的桌面安全管理系統(tǒng)(也稱之為內(nèi)網(wǎng)安全管理系統(tǒng))便應(yīng)運而生。筆者所工作的單位曾經(jīng)先后使用過三種桌面安全系統(tǒng)，因而對于桌面安全系統(tǒng)有較多的體驗，本文根據(jù)筆者的經(jīng)驗，談?wù)勗谧烂姘踩�系統(tǒng)使用方面的體會。

　　一、桌面安全系統(tǒng)的功能

　　目前，市面上的桌面安全系統(tǒng)有很多，較為知名的系統(tǒng)有VRV、LanSecs，Topdesk以及D-Securer等，這些系統(tǒng)從大的方面看功能比較接近，通常都具有以下功能：

　　1.網(wǎng)絡(luò)管理：對客戶端的IP地址和計算機名進行管理；非法接入報警與阻斷；違規(guī)外聯(lián)報警與阻斷。

　　2.行為審計：對客戶端的文件操作、文檔打印、共享設(shè)置、移動介質(zhì)存儲、黑白名單、注冊表、賬戶密碼強度、病毒庫版本等進行審計，一些系統(tǒng)還提供對客戶端的即時通訊、郵件收發(fā)和網(wǎng)站訪問行為的審計，甚至對客戶端的屏幕進行截屏。

　　3.應(yīng)用服務(wù)：遠程協(xié)助；補丁升級；軟件分發(fā)；文件加密。

　　4.資產(chǎn)管理：對客戶端的軟硬件資源進行統(tǒng)計、監(jiān)控和預(yù)警。

　　隨著功能的不斷豐富，桌面安全系統(tǒng)的已經(jīng)成為集網(wǎng)絡(luò)管理、上網(wǎng)行為管理和資源管理等諸多功能為一身的綜合性安全系統(tǒng)。

　　二、桌面安全系統(tǒng)的組織架構(gòu)

　　對于中小規(guī)模的計算機網(wǎng)絡(luò)，其桌面安全系統(tǒng)的組織架構(gòu)較為簡單，不須分級管理，然而對于擁有幾千個甚至幾十萬個網(wǎng)絡(luò)節(jié)點的大規(guī)模和超大規(guī)模的計算機網(wǎng)絡(luò)，則需要實行分級管理，不同級別的管理員擁有不同的管理權(quán)限，最高級別的管理員可以查詢?nèi)�網(wǎng)的各種信息，并制定全局性的安全策略，低級別的管理員只能查詢本單位的信息，并制定僅適用于本單位的安全策略。

　　三、桌面安全系統(tǒng)的部署方式

　　目前，幾乎所有的桌面安全系統(tǒng)都是采取客戶端/服務(wù)器方式部署，在網(wǎng)絡(luò)內(nèi)的每一臺計算機上安裝客戶端軟件，計算機在安裝了客戶端軟件后，系統(tǒng)自動將客戶端的網(wǎng)絡(luò)參數(shù)和軟硬件信息上傳至服務(wù)器，并定時與服務(wù)器進行信息交換。通常在一個網(wǎng)段內(nèi)，系統(tǒng)會自動或由人工設(shè)定一臺或多臺計算機作為該網(wǎng)段的“探針”(也有稱之為“警察”或者“種子”的)。“探針”負責(zé)對本網(wǎng)段內(nèi)的計算機進行掃描檢查，一旦發(fā)現(xiàn)非法入侵者，便向服務(wù)器發(fā)出警報，同時向入侵者發(fā)起阻斷攻擊，除此之外， “探針”還可以擔(dān)負補丁中轉(zhuǎn)分發(fā)的功能。

　　四、桌面安全系統(tǒng)的關(guān)鍵技術(shù)

　　對于企業(yè)的信息化工作，企業(yè)負責(zé)人最為關(guān)心的是要保證企業(yè)的信息安全，因此，桌面安全系統(tǒng)必須能夠做到事前防止非法接入，事后能夠進行追溯。從技術(shù)角度分析，事后追溯比較容易實現(xiàn)，事前防范的難度較大。目前，實現(xiàn)非法接人阻斷的方式通常有兩種，一是“硬阻斷” ，即將桌面安全系統(tǒng)與交換機實現(xiàn)聯(lián)動，當(dāng)發(fā)現(xiàn)本網(wǎng)段內(nèi)有非法接入的計算機時，立即通知交換機將所連接的端口關(guān)閉，通常凡是支持802.1x協(xié)議的智能交換機都可以實現(xiàn)這個功能。二是“軟阻斷” ，桌面安全系統(tǒng)通過“探針”對非法接人者進行ARP“廣播”欺騙攻擊。方式一的阻斷效果較好，但是，它要求網(wǎng)內(nèi)的所有交換機都支持802.1x協(xié)議，對于小規(guī)模的的計算機網(wǎng)絡(luò)，由于投資不大，比較容易實現(xiàn)，但是，對于規(guī)模較大的企業(yè)網(wǎng)絡(luò)而言，將原有的普通交換機升級為智能交換機，需要投入巨額的改造資金，實現(xiàn)起來難度較大。方式二不需要另外的投資，但是，由于這種方式是通過“廣播”來實現(xiàn)的，“廣播”少的時候不起作用，“廣播”多的時候又會造成網(wǎng)絡(luò)阻塞，另外，如果入侵者采取了反ARP攻擊的措施，也不會起到阻斷的效果。

　　除了阻斷方式外，跨平臺應(yīng)用也是目前桌面安全系統(tǒng)中的一項關(guān)鍵技術(shù)，桌面安全系統(tǒng)不僅要兼容用戶量最大的各種Windows版本，而且還要支持各種版本的UNIX平臺和LINUX平臺，目前，多數(shù)系統(tǒng)僅支持Windows平臺，支持多平臺的桌面安全系統(tǒng)并不多見。

　　五、桌面安全系統(tǒng)存在的問題

　　首先， 目前市場上的桌面安全系統(tǒng)在安裝部署階段都是在用戶計算機上執(zhí)行安裝程序，系統(tǒng)通過安裝程序采集用戶端的信息。根據(jù)實踐經(jīng)驗，由于管理上的不到位，或者用戶出于抵觸心理，在此過程中系統(tǒng)采集到的信息有很多都是不準確的，如果事后讓管理員一一進行核實更正，理論上這么做是可行的，實際上不僅費時費力，而且對于一個大型網(wǎng)絡(luò)也是不現(xiàn)實的。比較科學(xué)合理地解決的辦法就是對部署方式和安裝程序進行改進，即在安裝部署之前，對網(wǎng)內(nèi)所有計算機的IP地址和計算機名進行統(tǒng)一規(guī)范，并將這些信息提前導(dǎo)人到系統(tǒng)的數(shù)據(jù)庫中，安裝程序執(zhí)行時，首先要把用戶計算機的IP地址和計算機名與事先導(dǎo)入系統(tǒng)中的數(shù)據(jù)進行比較驗證，若不匹配則不能繼續(xù)執(zhí)行。筆者所在單位的實踐證明，這是一種比較有效的部署方式，既保證了網(wǎng)內(nèi)計算機網(wǎng)絡(luò)參數(shù)的規(guī)范性，又實現(xiàn)了入網(wǎng)計算機的實名化管理。

　　其次，從人性角度思考，企業(yè)員工都不希望“被”管束，為了規(guī)避監(jiān)管，員工會想方設(shè)法卸載已經(jīng)安裝了的客戶端軟件，當(dāng)客戶端軟件被卸載后，由于系統(tǒng)中已經(jīng)保存了該計算機的IP地址和MAC地址，用戶也未更改IP地址，此時，網(wǎng)絡(luò)中的“探針”并不會將該計算機認定為“非法”，于是，這臺計算機便成為一臺可以不受管束的“馬甲”計算機。因此，如何有效識別和限制此類“馬甲”是桌面安全系統(tǒng)需要解決的另一個難題。從網(wǎng)絡(luò)傳輸?shù)臋C理和網(wǎng)絡(luò)結(jié)構(gòu)兩方面看，目前單靠桌面安全系統(tǒng)本身尚無法從根本上解決這個問題，一般都是通過與第三方網(wǎng)關(guān)產(chǎn)品(如Sep11)相結(jié)合的方式來實現(xiàn)防卸載功能，但這電只能做到限制“馬甲”通過網(wǎng)關(guān)，并不能限制它在網(wǎng)絡(luò)內(nèi)部的其它行為。

　　第三，目前多數(shù)系統(tǒng)可以對網(wǎng)絡(luò)用戶按行政隸屬關(guān)系進行管理，但是不能對用戶的權(quán)限和安全策略進行分組管理或者管理功能較弱，這是目前各桌面安全系統(tǒng)普遍存在的缺陷。在現(xiàn)實中，對于大型企業(yè)，其內(nèi)部的情況千差萬別，非常復(fù)雜，一個用戶可能同時具有多重屬性，并非非此即彼，因此，用戶組的權(quán)限和策略設(shè)置功能有待進一步完善和提高。

　　第四，人性化設(shè)置。企業(yè)實施桌面安全系統(tǒng)的目的就是想實現(xiàn)對所有入網(wǎng)設(shè)備的精細管理，希望每一臺設(shè)備都安裝上系統(tǒng)的客戶端軟件，但是，在實際工作中，出于工作需要或者特殊原因(比如配置過低、與某些應(yīng)用軟件沖突、網(wǎng)絡(luò)打印機等)，一些設(shè)備不能或者無法安裝客戶端軟件，因此，系統(tǒng)應(yīng)當(dāng)引入“特權(quán)IP”的概念，允許個別設(shè)備在沒有安裝客戶端軟件的情況下不受系統(tǒng)的干擾，能夠在網(wǎng)絡(luò)內(nèi)部正常工作。

　　第五，法律問題。前文提到一些桌面安全系統(tǒng)可以對客戶端的即時通訊、郵件收發(fā)、網(wǎng)站訪問進行審計，還具有遠程協(xié)助和截屏功能。 實際工作中，這些功能往往會在用戶中引起很強烈的抵觸反感情緒，企業(yè)方出于安全和管理的需要，可以要求在員工使用的計算機上安裝桌面安全系統(tǒng)，但是，系統(tǒng)所具有的功能應(yīng)事先向員工說明，否則有可能引起不必要的法律糾紛。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：企業(yè)桌面安全系統(tǒng)應(yīng)用與研究

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10839310399.html