桌面终端安全工作的现状及应对措施

桌面终端安全工作的现状及应对措施

王挺

【摘 要】随着技术的发展和桌面终端数量的增加，如何对桌面终端进行有效管理

成为业界日益突出的问题。本文对桌面终端安全管理现状和存在的问题进行了分析，

并提出加大培训力度、制定部署规范、加大测试力度、加强监督检查等对策。

【期刊名称】《金融科技时代》

【年(卷),期】2016(000)009

【总页数】3页(P56-57,61)

【关键词】桌面终端;终端安全;独立系统

【作 者】王挺

【作者单位】中国农业银行广东省分行

【正文语种】中 文

桌面终端是指企事业单位用于办公和生产运行的计算机终端以及移动存储介质等。

随着信息化建设的快速发展，桌面终端数量越来越庞大，终端上部署的应用系统和

存储的数据也是越来越多，终端与外界交互也越来越频繁，终端的管理直接影响企

业内部的网络安全和数据安全。因此，如何对终端进行有效的管理，保证企业网络

安全和数据安全成为重要课题。

近年来，大部分企事业单位对桌面终端安全工作的重视程度不断提高，建立了各种

功能独立的桌面终端管理系统，对桌面终端进行了有效的防护，但随着技术的进步

和企业内部桌面终端数量的增加，目前的桌面终端管理工作已出现多种不足，笔者

根据自身在中国农业银行广东省分行（以下简称“农行广东分行”）桌面管理工作

的经验，分析了当前的桌面终端安全管理现状和存在的问题，并提出相应的对策建

议。

桌面终端安全管理包括桌面管理、病毒查杀和防护、移动存储介质管控、补纯音乐背景音乐 丁分发、

非法外联、软件资产管理等，其中补丁分发、非法外联、软件资产管理、桌面管理

已经集中在目前的桌面管理系统中，病毒查杀和防护、移动存储管理系统则是各自

独立运行的系统，部分属于非国产产品。桌面终端管理系统是三级架构，总体做顶

层设计和日常统计监控，省行部署服务器、做系统推广和运维，基层行和部分厂商

负责桌面终端管理客户端的安装和简单运维，系统架构如图1所示。

（一）安全管理员少，工作压力大

随着银行业金融机构各类系统集中度不断提高，各地级市行科技人员及专职安全管

理员人数也随之减少。但各类设备多，数量往往以万计，一旦出现异常，往往需要

现场支持，造成基层行工作压力加大。

（二）各类设备众多，不利统一管理

1. 终端数量庞大，维护工作量大

前台终端数量大，首次安装和日常维护需要大量人力物力，基层工作人员维护工作

量大。同时，由于每台服务器对外服务能力有限，前台终端数量庞大，加上各类设

备策略的差异性，导致后台带无字的成语 服务器增多，后台技术人员维护量加大；同时服务器多

反过来又导致客户端版本呈现多样性，客户端太多版本也给基层工作带来不便。

2. 终端类型多，维护水平低

各类终端由不同厂商生产，在银行内部分属不同部门管理，各厂商技术人员维护水

平参差不齐、人员变动频繁，加之各部门对厂商的管理要求也不一致，导致各类终

端在新上线期间或者人员变化时期常出现异常情况，维护水平低。以农行广东分行

为例，据不完全统计网点，各类终端设备有十几种，涉及设备厂商二十多家。

3. 终端用途多，管理策略复杂

终端用途不同，终端管理策略存在差异化，导致管理策略的复杂性，不利于统一管

理，也增加了测试工作量。

（三）产品存在缺陷，增加维护压力

一是目前使用的桌面管理系统由于历史原因，部分产品为非国产产品，研发均在国

外，快乐的除夕 一旦存在缺陷，所需修补时间往往较长，无形中增加了维护成本。如目前使用

的桌面管理系统，终端安全软件安装完毕后启用网络准入策略，常常出现网络不予

接入的现象，由于研发在国外，改进产品缺陷特别困难。二是部署在终端上的部分

应用程序，由于上线前测试不充分，上线后与终端安全软件冲突，一般都是出现异

常情况才发现问题，往往需要回退变更，解决问题的过程往往较长。

（四）系统各自独立，不利事后监管

由于桌面管理系统、防病毒系统、移动存储管理系统各自独立运行，终端安全软件

安装后，服务器上的注册信息存在很大差异，服务器上显示的终端数量不同。尽管

现有的桌面终端管理系统引入了802.1 X协议网络准入技术，由于基层技中国民国 术人员

在实施过程中将部分设备通过绑定MAC地址完成准入设置，导致安全管理员很难

掌握3个终端安全软件实际的安装情况，不利于事后督导。如移动存储管理系统

会把超过一段时间未登录的客户端信息删除，导致客户端统计数据丢失。桌面管理

系统则会出现冗余数据，同一个终端重新安装客户端时，原注册信息依然存在。

（一）加大培训力度，提升技能

一是利用好行内外培训平台，鼓励技术人员参加培训，包括网络安全、保密培训、

等级保护、安全意识教育等，提高安全管理员技术水平和信息安全风险意识。二是

撰写性的成语 简化的安装手册和维护指南，让用户自助解决问题，减少基层安全管理员的工

作压力。

（二）制定部署规范，统一管理

一是针对设备类型多、厂商多、维护人员素质参差不齐的问题，制定统一的安全软

件鸡尾酒杯 部署技术规范，明确管理要求。二是加强沟通，做好联动，一方面是做好内部的

沟通，确保基层行、业务部门和技术部门之间沟通渠道畅通，及时解决各类故障；

另一方面是做好内外部的沟通，使厂商按照省行制定的技术规范进行开发、测试和

维护，保障系统稳定正常运行。三是加强管理制度建设，用制度来保障各项信息安

全工作要求得到落实。

（三）加大测试力度，确保兼容

一是加强安全产品升级上线前的测试工作，尽量覆盖行内所有操作系统版本以及常

用应用系统，以防上线后出现不兼容的情况。二是要求其他系统应小孩咳嗽偏方 用程序投产上线

前在安装安全软件的环境下进行充分测试，以防出现上线后被安全软件当作病毒或

者其它不兼容的情况。三是各类系统推广过程都需要稳步推进，试点后再逐步推广，

避免造成不良后果。

（四）加强监督检查，确保落实

一是用好技术监测工具，在后台制定好的策略，用技术手段强制基层执行。二是用

好管理手段，充分利用考核机制，通过考核促使基层行严格按照要求实施。三是现

场检查，在调查中发现问题并督导落实，同时收集执行过程中常见的问题，集中协

助解决。

（五）整合独立系统，统一平台

国产桌面终端安全统一平台同时涵盖防病毒、补丁分发、数据安全、软件管理、网

络准入控制等功能，具有如下优点。一是通过部署桌面终端安全统一平台，减少服

务器数量，从而减少维护成本和系文竹繁殖 统资源。二是减化客户端版本，方便基层维护。

三是全面启用国产化安全软件，逐步取代现有的安全产品，这也是我国金融业信息

化建设的必经之路。