桌面安全管理系统

北京石油公司中石化桌面安全系统管理办法（试行）第一条为进一步强化北京石油公司管理信息系统的应用管理工作，规范和加强系统、终端用户计算，确保信息系统运行的安全、稳定、高效，提高系统应用水平，根据“中国石油化工股份有限公司内部控制手册”、“中国石油化工股份有限公司信息化管理办法”和“中国石油化工股份有限公司信息技术项目管理办法”，特制定本管理办法。

第二条本管理办法适用于北京石油公司范围内的所有联网的计算机设备，各有关部门要严格执行本办法，部门领导负责监督本部门执行情况。

第三条北京石油分公司信息网络管理处负责桌面安全系统的运行、维护和管理工作。

岗位设置及职责第四条中石化桌面安全管理系统实行“统一管理，分级负责”的原则，中心设置站点管理员和控制台管理员，区域中心设置控制台操作员。

第五条为保证桌面系统的运行安全，需按照要求设置站点管理员、控制台管理员、控制台管理员。

岗位设置可以兼职。

第六条站点管理员职责：1、保管证书文件及密钥，若有需要时，及时更新Licence文件。

2、协调部署企业BES系统的各组件的安装，调试，配置，保证其正常运行。

3、建立各级控制台管理员及操作员，分配相应权限。

4、对BES硬件、软件的维护，包括服务器的维护，BES系统及数据库的定期备份、维护及系统崩溃后的恢复工作。

第七条控制台管理员岗位职责：1.分配操作员管理权限。

2.调整心跳周期，合理选择并配置中继，调整带宽等，对BES性能进行优化。

3.全局掌握企业内的IT资产信息和控制台操作员的终端维护情况，包括哪些操作员针对哪些安全问题对哪部分机器做了何种操作（打补丁，修补漏洞，安全配置等），以及查看终端机器的安全状态，问题趋势，修复进程等信息，周期性的上报各种资产及终端维护情况报表。

第八条控制台操作员岗位职责：1.针对管理员分配的权限对所管辖的终端机器做维护，包括打补丁，修补漏洞，做安全配置，查看报表等工作。

2.操作需严格按照相应的工作流程进行。

目录1客户需求简述 (3)1.1客户简介 (3)1.2客户IT需求 (3)2平台解决方案 (4)2.1前台解决方案 (4)2.1.1前台方案概述 (4)2.1.2前台方案拓扑 (5)2.1.3前台端末产品选择 (5)2.1.4前台设备管理 (10)2.2解决方案网络需求 (12)2.2.1网络逻辑结构图 (12)2.2.2基础网络带宽需求 (13)2.3解决方案后台需求 (14)2.3.1后台基础构架服务 (14)2.3.2后台应用程序服务 (15)2.3.3用户管理方案策略 (16)2.4解决方案优势 (17)3解决方案产品安装与配置 (19)4竞争优势 (19)4.1经验 (19)4.2人员 (19)4.3理念 (20)4.4服务 (20)1客户需求简述本章介绍客户信息与需求。

1.1客户简介公司为外商独资经营企业，在全省13个地市（区）和89个县（市、区）设有分公司。

母公司有限公司在国内31个省（自治区、直辖市）设立全资子公司，并在香港和纽约上市。

公司主要经营移动话音、数据、IP电话和多媒体业务，并具有计算机互联网国际联网单位经营权和国际出入口局业务经营权。

除提供基本话音业务外，还提供传真、数据、IP 电话等多种增值业务，拥有“全球通”、“神州行”、“动感地带”等著名服务品牌。

1.2客户IT需求公司一直注重IT基础构建的建设与信息化的建设。

在桌面解决办公需求中，根据公司业务需要和未来发展趋势，提出一些桌面解决方案的需求指标与期待。

在IT桌面解决方案中主要需求有：●端末设备硬件符合招标书中硬件指标要求。

●端末设备具备良好的外设兼容性。

●端末设备极低故障率。

●节能、环保、低功耗。

●良好的管理性。

2平台解决方案2.1前台解决方案升腾瘦客户桌面解决方案满足于移动营业厅、前台办公需求，缔造完美客户桌面体验。

2.1.1前台方案概述升腾咨询作为亚太地区最大的瘦客户机与解决方案供应厂商，一直致力于通信行业的桌面解决方案。

关于桌面终端安全管控系统的研究摘要：信息网络安全防护工作涉及的范围极其广泛，从网络架构到边界隔离，从应用系统到数据传输，从服务器到存储介质，都是网络安全重要的一环。

然而管理难度最大、安全防护最薄弱的还是桌面终端设备。

本文分析了桌面终端的安全防护内容，介绍了终端面临的安全管理问题，给出了北信源桌面管控系统的架构，最后详细介绍了该系统在终端管理上的核心功能，希望能够提升桌面终端安全防护能力，保障信息网络安全。

关键词：桌面终端；信息安全防护；安全管控系统1 桌面终端安全防护的内容已经拥有防火墙、IDS、防病毒系统、网管软件，为什么网络管理和网络安全仍然很麻烦？桌面终端是创建和存放重要数据的源头，多数的攻击事件都是从终端发起的，数据泄露和蠕虫病毒感染等也是因为终端脆弱性引起。

据统计，目前70%以上的管理和安全问题来自终端，桌面终端是信息安全的盲区和企业网络安全的短板。

做好桌面终端的安全防护显得迫切而十分必要。

桌面终端安全防护主要包括的内容：有效进行网络终端资源资产管理；保障网络的物理隔离；监控外来设备的随意接入网络现象；全面、彻底的实现终端的控制与管理；对非正常终端（安全事件源）快速定位，有效阻断；有效监控系统补丁、防病毒软件的安装情况；防止涉密文件泄露；移动存储介质的保护和安全问题。

2 桌面终端面临的安全管理问题桌面终端（安全）管理作为制约网络安全的瓶颈，消耗了绝大部分信息运维人员的精力。

随着网络的不断扩大和应用的不断扩展，客户端管理的矛盾还将日益突出。

终端安全管理主要存在以下问题：（1）日常工作繁琐，急需先进的技术手段提高工作效率。

终端用户大部分缺乏网络安全知识，终端维护工作量庞大，而网络运维人员有限，难以有效地管理数量庞大的客户端设备。

需要先进的管控系统来提升运维效率，如自动统计区域内的IT资产信息，统一配置安全策略，及时下发并安装系统漏洞补丁等。

（2）桌面终端安全防护和管控能力薄弱。

IP地址规划不合理，IP地址未和MAC未按要求绑定，造成终端违规接入网络时，管理员不能及时定位并隔离事故终端。

安全虚拟桌面系统（管理平台）管理员手册朋创天地目录目录 (2)1管理平台界面介绍 (1)2管理平台基本功能与使用方法 (2)2.1管理员登录 (2)2.2用户管理 (2)2.2.1处理注册用户 (2)2.2.2处理注销用户 (3)2.2.3查看已注册用户信息及其桌面信息 (4)2.2.4查看活跃用户信息 (5)2.2.5用户申请桌面审核 (6)2.2.6追加用户个人存储 (7)2.3桌面管理 (8)2.3.1桌面信息查看 (9)2.3.2桌面类型修改 (9)2.4存储管理 (10)2.4.1查看物理存储 (11)2.4.2添加存储 (11)2.5物理机管理 (12)2.6虚拟机管理 (12)2.7虚拟桌面类型管理 (13)2.7.1添加虚拟桌面类型 (13)2.7.2删除虚拟桌面类型 (14)2.8系统管理 (14)2.8.1系统管理员用户管理 (15)2.8.2网关服务器配置 (18)2.8.3系统管理配置 (19)2.8.4系统统计信息 (19)2.8.5内网IP段配置 (20)2.8.6热备管理 (20)2.9防火墙管理 (21)2.9.1防火墙管理 (22)2.9.2防火墙策略管理 (23)2.10审计管理员登录 (24)2.10.1用户日志查看 (24)2.10.2桌面操作日志查看 (24)2.10.3存储操作日志查看 (25)2.10.4物理机操作日志查看 (26)2.10.5虚拟机操作日志查看 (26)2.10.6安全管理日志 (27)1管理平台界面介绍图1-1管理平台登录界面图1-1为安全虚拟桌面系统管理平台V2.1版本管理平台登录界面视图，管理员使用用户名和密码登入管理系统。

图1-2管理平台主界面图1-2 为安全虚拟桌面系统管理平台V2.1版本管理平台主界面视图，其中以黑线标出的部分为目录区，使用这些按钮来选择不同的界面，界面包括用户管理、桌面类型管理、桌面管理、存储管理、物理机管理、虚拟机管理和系统管理等七部分；以红线标出的部分显示用户管理目录下的子菜单，不同的目录下有不同的子菜单。

客户端注册及卸载的方法详见《北信源VRVEDP内网安全管理系统手册》第20页章节2-3-10。

1.注册时提示缺省成功是什么原因？1、客户端注册程序打包未修改ip地址。

2、服务器区域管理器程序未运行，或通信不正常。

3、原系统中系统应用比较混乱，系统资源占用持续100%，客户端程序得不到运行的系统资源。

4、80端口被占用的情况下,桌面系统可能会配臵其它端口实现通讯,例如http://192.168.1.1:8080/vrveis此时如果客户端在注册时提示缺省注册成功,在检查了1所示的内容之后,可以再次检查在打包注册程序时是否将端口号打包写入注册程序.如果有端口号,去掉即可;是否服务器的地址填写的是127.0.0.1或localhost，如果存在，需要更改为实际的服务器的IP地址。

2.注册时显示ip段没有分配、找不到所属区域？1、在web管理页面中的整体区域ip划分中没有添加该客户端所在的ip范围。

2、在web管理页面中后添加的ip区域范围，没有进行系统维护中的数据重整，可能会出现这种现象。

3.用户下载到的注册程序只有几十到几百KB大（正常的注册程序应在30M左右），是何原因.在安装了杀毒软件的服务器上下载客户端或升级时,容易出现升级包释放的时候被当作病毒删除,从而导致升级程序无法运行.如出现此现象,需将杀毒软件退出再进行升级操作,即可解决;在安装了杀毒软件的注册时,如果出现注册错误,可退出杀毒软件再注册。

4.winxp注册时提示系统文件被替换？内网安全管理客户端需要使用一些系统文件，为保持windows系统的全面兼容性，有一些文件的版本和winxp不同，winxp自带的备份文件恢复功能可自动恢复，有一些oem版winxp安装的时候手动删除了这些备份文件，可能会提示系统文件被替换，，替换过的文件不影响系统的正常使用，只要和客户解释下就可以了。

5.客户端未卸载，web管理平台查询显示客户端卸载？客户端注册时，打开第三方软件防火墙端口，但没有允许以后一直采用本操作。

噢易桌面安全行为管控解决方案武汉噢易云计算股份有限公司目录1 方案简介 (3)2 方案架构 (3)3 解决方案 (3)3.1故障一键报修 (3)3.2外设读写权限的精准管控 (3)3.3严格的应用软件控制 (4)3.4软件资产及硬件资产状态进行统计 (4)3.5应用桌面带宽控制 (4)3.6网络访问策略自定义 (4)3.7数据服务支撑 (4)3.8资源告警，事前预防 (4)4 方案价值 (5)1方案简介噢易桌面安全行为管控解决方案是一种用于保护用户桌面环境安全的系统，提供了行为管控模块、资产管理和告警模块等组件来实现对桌面环境的全面安全管理，以监控、限制和管理用户在桌面环境中的行为，从而提高桌面环境的安全性，并保护医疗的敏感数据和资源免受潜在威胁。

2方案架构3解决方案3.1故障一键报修对于终端和打印机等设备的故障，可以通过实现终端一键报修的功能直接将故障信息发送到管理台，信息科远程即可处理，大大提高报修的效率和准确性。

3.2外设读写权限的精准管控能够对分组桌面或者单个桌面设置策略，能够分别针对U盘/移动硬盘/移动光驱/内置光驱/USB外接设备，单独设置读写/只读/禁用策略3.3严格的应用软件控制根据不同环境对应用的访问限制进行控制，支持应用程序的黑名单或白名单管控3.4软件资产及硬件资产状态进行统计可以统计部署的软件名称，安装的桌面数量，能够统计不同类型的终端的硬件状态，包括终端类型、终端IP/MAC地址、硬件配置信息3.5应用桌面带宽控制设置带宽策略，包括上行流量和下行流量，可设置流量限制生效的时间以及流量限制执行的桌面对象，可以帮助优化网络环境，确保用户在合理的带宽范围内进行工作和数据传输3.6网络访问策略自定义按照分组桌面或者单个桌面分别设置网络访问策略，包括仅禁用外网和禁用全部网络，同时支持设置例外网站3.7数据服务支撑桌面云环境中产生的数据可以包括用户行为数据、资源利用率数据、性能指标数据等，可以预测未来的资源需求、瓶颈情况等，为医院提供更合理的资源分配策略和容量规划。

安装桌面安全管理软件（VRV2.0）安装桌面安全管理软件（VRV 2.0)2019-5-16安装文件下载http://10.64.10.212/virus/tools/DeviceRegist.exe安装时首先需要注册用户信息，使用人填写真实姓名（必须为汉字），计算机所在地填写本单位名称，单位名称选****责任公司，部门名称选**一厂。

桌面安全管理客户端（VRV）安装指南http://10.64.10.212/virus/桌面安全管理客户端（VRV）安装指南.doc 安装 symantec endpoint protection （SEP）中**升级symantec antivirus 10.1.7.7000之后，叫做symantec endpoint protection，简称SEP。

该版symantec(symantec endpoint protection)防病毒软件包括防病毒和间谍软件防护、网络威胁防护、主动威胁防护、SNAC 四大功能，Symantec公司称该软件占用客户端资源比以前更小。

该版symantec 由**公司统一部署，中心服务器在**公司。

公司信息中心准备在全**部署，以后将采取强制措施，不安装该sep的机器不能访问**网的一些资源。

安装的硬件要求是机器的内存要大于256M，各位网络用户请根据自己的机器情况，尽量安装。

安装新版symantec(symantec endpoint protection)注意事项：1、卸载以前版本的symantec2、用户机器的时间不能与正点时间相差24小时3、下载下面的客户端安装即可sep(symantec endpoint protection)**一厂客户端http://10.64.10.212/virus/symentec_sep/setup1.exe系统补丁厂信息中心将定期发布系统补丁升级包，为了你的信息安全，免受病毒的侵害，请及时打补丁升级你的系统。