终端自动检测接入控制理工具的研发

姜蒙娜、刘建戈、张鹏宇、李锦狄、李茂

国网淮安供电公司 223002

摘要：在互联网+时代，随着计算机网络的不断发展，公司内部构建网络、使用计算机越来越普遍，终端设备越来越多，也相应出现了一系列管理问题，网络也面临着很大的威胁。因此加强终端的安全管理，是提升公司信息网络安全防护能力的重中之重。本文围绕终端管理现状进行分析研究开发终端自动检测接入控制管理工具，能够实现弱口令的自动检测、终端接入智能管控、对计算机终端及应用系统的自动化运维等功能，提高终端维护的工作效率。

关键词：终端；自动检测；智能管控

引言

在终端及应用系统的安全管理工作中，淮安公司使用自动检测接入控制管理工具对淮安公司所有终端设备进行监控管理，目标是消除弱口令等安全隐患、确保桌面注册率达百分之百、以及对终端设备上下线实时管控。经过系统的管控，效果显著，为淮安公司终端设备的安全使用和管理提供了有力的保障。

1.1 管理工具的理念

将终端设备的安全管理纳入公司安全生产管理体系，遵循“可管可控、精准防护、可视可信、智能防御”的总体安全策略，加强终端及应用软件系统全方位、全过程、自动化的安全运维管理。严格按照“四不放过”、“即发现即处理，有隐患必治理”的原则，做到终端的可控、能控、在控，实时发现隐患，及时远程处理，提高终端安全运维效率，切实提高淮安公司设备与网络安全的防护水平。

1.2管理工具的范围和目标

目前淮安公司内网终端设备一共12225台，设备类型分别是终端设备、应用服务器、安全设备以及其他特殊用途设备，主要分布在本部、两区、四县。终端数量庞大，分布广泛，硬件配置差异大，市县公司运维人员又存在结构性缺员现象，没有专职终端运维人员，在终端安全运维管理上存在运维力量不足及技术水平良莠不齐现象。因此，淮安公司根据此类现象研发了终端自动检测接入控制管理工具，开展统一运维管理，做到终端与网络自动化运维，从而减轻运维人员负担，提高运维管理效率。

1.3管理工具对应的指标提升情况

终端自动检测接入控制管理工具投入使用后，淮安每台计算机终端都能被安全管理，桌面注册率和防病毒软件安装率均达到100%，无弱口令，无违规外联，并且能够满足省公司终端安全运维的其他要求；每台计算机终端都能实现安全加固，有效降低内部网络各类安全风险，提高内部网络业务持续能力；每台交换机端口处严格控制计算机终端的接入，达到智能管控的效果；终端集中管理，使得各终端得到实时的可管、可控、可审，让管理员通过平台及时了解各终端的配置及运行状况；实现系统自动执行相关运维任务，帮助管理员大幅减少维护成本，提高运维效率；实现终端信息自动采集与核对，完善资产台帐信息及定位用户和机器的信息。

近两年，淮安公司通过管理工具不但实现了对所有终端的安全管理，而且实现了对所有交换机的安全管控，保证了信息内网运行的可靠性、稳定性、安全性。

2 管理工具的功能

2.1 管理工具的功能展示

管理工具的目前所有功能项，都在工作台菜单栏一一陈列，如下图1所示。

图1 管理工具工作台菜单栏

2.2系统概览

管理工具将全网所有终端分别按照数量、设备类型、使用年数进行分类汇总，还可查看各单位各部门终端的数量、设备类型、使用年数等情况。

图 2 终端占比图

2.3 IP管控功能

在管控功能主界面，可以实现对IP的绑定解绑操作、跳转至设备台账、扫描终端信息、图形展示终端上下线情况、显示网段来源、显示网段配置等。

2.4设备台账功能

在设备台账功能界面，可查看、修改、导入导出所有终端设备台账，将终端设备划分为当前投入设备、不入网设备、退役设备，可实时定位用户和设备信息，大大提高了终端台账的完善率和准确率

2.5 交换机功能

在交换机功能模块，管理员不但可对全网交换机重新生成拓扑，而且可手工发现新交换机，并对其管理IP使用SNMP协议测试。

该管理工具不仅强化了对计算机终端的控制，还强化了交换机等网络设备的防护功能，对它们管理的盲区进行监控，成为一个实时的安全监控系统，并能够同其它网络安全设备或网络安全系统进行安全集成和报警联动。

2.6网段配置功能

管理员可以一键设置ARP绑定，实现网段自动绑定解绑；管理员还可以一键设置DHCP服务，实现网段内自动分配IP地址；最终实现了自动化运维目标。用自动化管理工具、替代重复性的常规运维操作，提高运维人员的生产效率，减少人为失误和日常运维工作的压力，节约终端运维的人力资源。

3 评估与改进

3.1管理工具的评估方法

通过管理工具的使用，大幅度降低了终端运维成本，提高了运维生产效率，很好的保障了信息内网安全稳定运行，具备典型性，可全省推广使用。

3.2今后的改进方向或对策

在今后的工作中，我们将主要从以下几个方面进行改进：

（1）加强办公区设备间巡视工作，详细检查设备间内的交换机等网络设备的运行情况，包括温湿度、线缆走向、标签标示等，并对不规范的地方进行整改，使其达到国网公司机房安全管理的标准。

（2）强化终端设备和网络运行的培训，覆盖全体运维人员，提升全员终端和网络运行维护水平。

（3）加强机房和设备间出入管理，对机房建筑采取门禁、值守等措施，防止非法进入。加强机房和设备间登记管理，外来人员进入机房应由相关管理人员全程陪同，相关操作有审计和监控。

（4）深化网络安全监测手段。建立实时监测与威胁情报分析体系，健全网络安全统一监测机制，落实网络安全监测预警、指标发布及深化治理工作。

4 结束语

随着信息内网的不断扩大，终端数量不断增多，我们面对的信息网络越来越繁杂。按照省公司统一部署，公司信息网络实施内外网隔离，划清内外网边界，任何一台设备都可能导致某网段乃至全网的故障，因此亟需进一步加强终端设备的控制和管理，而如何有效地控制终端设备接入成为终端管理的重点、难点工作。目前我们采用终端自动检测控制管理工具并配套相关的规章制度对终端进行管理和控制。

通过近两年的终端自动检测控制管理工具的运行使用，解决了终端违规外联、病毒入侵、台账准确率低等问题，收到了良好的应用效果。同时结合实际情况又进一步改进了终端运维管理流程，提高运维规范化、标准化水平，优化运维体系建设。

参 考 文 献

[1]《国家电网公司网络与信息系统安全管理办法》.国网（信息/2）401-2018.北京:国家电网公司,2018.

[2]王润石,徐永纯,张鹏程. 论终端运维的重要性[J]. 电子技术与软件工程,2016,(08):179.

[3]冯登国.计算机通信网络安全. 北京,清华大学出版社.2001.

[4]雷雪. 基于C/S模式的远程监控系统设计与实现[D].北京邮电大学,2011.

[5]张杰. 基于SNMP的网络管理系统的研究与实现[D].东华大学,2008.