大型企业桌面安全管理建设

1、关于大型企业桌面平安管理建设探究摘要 桌面平安是各个大型企业纳入重点纳入建设的信息平安内容，本文通过对影响桌面平安的因素进行分析，以中石油为例，通过组织体系、平安管理体系及桌面平安技术三方面建设，全面进行桌面平安建设，强化桌面平安管理，取得了良好效果，供其他单位借鉴。关键词 桌面平安；大型企业；中国石油1 引 言经过数十年的信息平安建设，国内大型企业的网络及应用系统的平安防护能力已经达到肯定水平。但是信息平安故障并没有随着信息平安投入的增加而下降。经过统计发现，内部网络和应用系统发生故障的缘由少部分是由于网络设备和应用系统自身的问题所引起，更多的是由于内网的其他平安因素导致，如病毒爆发、资源滥

2、用、恶意接入、用户误操作等。而这些平安因素，大多来源于用户桌面计算机，桌面平安管理已经是各个企业迫在眉睫的平安建设内容。 影响桌面平安的因素2.1 企业平安组织体系不健全，专职人员缺失大型企业的业务跨度大，地域分布广。各个二级单位的信息平安水平进展不一。有的二级单位信息部门职工上千名，有的单位却没有独立的信息部门。但全部的二级单位都统一在企业内网中运行，各类统建系统在全部二级单位中运行。对于没有没有独立的信息部门的二级单位 ，更没有负责平安体系建设、运行和管理的专职机构及人员，兼职平安管理员有责无权的现象普遍存在，依据“短板”理论，极易从信息平安力气较弱的单位为突破口，进而影响到整个企业信息平

3、安。特别是信息平安技术的快速进展，信息平安人员需不断提升自身素养，加强业务水平，才能保证桌面平安运行。2.2 企业职工计算机缺乏平安加固手段尽管多数大型企业对桌面计算机的平安加固已经实行了部分平安措施，如安装防病毒软件和个人防火墙软件，甚至部署了漏洞扫描系统定期对桌面计算机进行漏洞扫描，督促用户准时更新操作系统补丁。但是，首先由于企业规模较大，管理者无法保证全部的终端用户都安装了防病毒软件和防火墙软件。其次，即便安装了这些防护软件，用户也常常由于各种缘由无法准时更新病毒库。另外，系统漏洞扫描虽然可以获得桌面计算机的补丁缺失情况，但是却缺乏有效的补丁安装手段。全部这些因素，均导致桌面计算机的平安

4、无法得到有效的保障。2.3 企业职工计算机缺少有效的接入掌握手段对于大型企业，内网计算机数量众多且分布地域宽阔。网络管理人员很难统计内网计算机的精确数量，也无法区分哪些是内网授权使用的计算机，哪些是外来的非授权使用的计算机。这种状况下，很难掌握外来人员任意的计算机接入。很容易导致企业内网机密信息的泄漏，往往等泄密大事发生了，却还无法推断到底是哪一个环节出了差错。另外，对于内网授权使用的计算机，任何一台感染了病毒和木马，网络管理人员也无法准时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能推断和定位该计算机，然后再通过手动的方式断网。对平安强度差的桌面计算机缺乏有效的平安状态检测和内

5、网接入掌握，是导致内网平安大事不断发生的重要缘由之一。 大型企业桌面平安管理建设中国石油信息化建设处于我国大型企业领先地位，在国资委历年信息化评比中都名列前茅，“十一五”期间，将企业信息平安保障体系建设列入信息化整体规划中，并逐步实施，其中桌面平安管理建设是信息平安保障体系建设的重点工作，从组织、管理及技术3个方面进行全面建设。3.1 完善平安组织体系建设中国石油建立三级的终端平安组织架构，分别为石油总部、地区公司、地区二级单位。终端平安组织在每一级设立专门的组织，明确主管领导，确定组织责任，设置相应岗位，配备必要人员。其中集团信息化领导小组是信息系统平安工作的最高决策机构，信息管理部是集团公

6、司信息系统平安的归口管理部门，负责落实信息化工作领导小组的各项决策。企事业单位信息部门负责本单位信息系统平安的管理，并设立信息系统平安管理、审计、技术岗位，包括信息系统平安、应用系统、数据库、操作系统、网络等负责人和管理员，重要岗位设置两名员工互为备份。3.2 强化平安管理体系建设平安管理体系从管理制度、培训训练、运行管理及检查考核4方面进行强化。管理制度。依据中国石油信息平安的需求，分阶段逐步制定并完善信息系统平安管理的规章制度，加大整个信息平安制度体系的贯彻执行力度，才能使平安防护能力得到不断的提高，整体信息平安才能落到实处。培训训练。信息平安培训涉及信息平安法律法规、信息平安大事案例等多

7、方面，通过培训一方面提高企业员工的平安意识，使员工自觉约束自我行为，遵守各项信息平安规章制度、标准规范；另一方面准时掌握必要的信息平安技术知识和技能，在实际工作中充分利用技术手段保障信息平安。运行管理。 通过统一设计、统一平台，统一硬件体系架构，建立中石油桌面运行管理系统。接受三级架构，分别在总部、区域数据中心部署服务器和管理软件，各企事业单位的桌面计算机安装客户端软件，整个运行管理由防病毒子系统、补丁分发子系统、端点准入子系统、电子文档保护子系统、后台管理子系统组成。其中通过端点准入防御系统，只有符合平安要求且通过用户认证的计算机才能接入内部网络使用，防止“危险”、“易感”终端接入网络，掌握

8、病毒、蠕虫的集中。补丁管理系统与防病毒系统相结合，实时监测和杀除病毒，实现对漏洞、病毒及恶意代码的管理和掌握，电子文档保护子系统、后台管理子系统增强系统及电脑文档的平安性。检查考核。信息管理部门定期进行信息系统平安检查与考核，包括信息系统平安政策与标准的培训与执行情况、重大信息系统平安大事及整改措施落实情况、现有信息系统平安措施的有效性、信息系统平安技术指标的完成情况。各企事业单位信息部门依据本方法和集团公司信息系统运行维护管理方法进行信息系统平安自我考核，信息管理部进行综合评价，形成年度考核报告，报信息主管领导。3.3 增强桌面平安技术建设桌面平安技术指物理平安、规律平安及运行平安三大模块，

9、通过与企业内控管理进行有机结合，依据中国石油天然气集团公司信息系统总体掌握实施要求，严格执行相关操作规范，其中物理平安指进入机房的物理平安访问掌握机制、设备的物理平安管理、敏感的纸质系统文件管理。规律平安包括系统登录身份验证、用户账号及特权用户账户管理、密码管理、用户权限管理、终端合规性管理等。运行平安包括病毒防护及病毒大事的处理、平安系统的备份与恢复、应急大事的处理。 结束语随着信息技术应用的不断深化，国内大型企业信息系统集中程度不断提高，业务对信息系统依靠程度的不断加大，迫切需要建立与业务进展和信息化水平相适应的信息平安体系。与此同时，国家发布了一系列相关文件，提出对涉及国家平安、经济命脉、社会稳定的重点行业、企业的关键信息系统实施信息平安等级保护等要求。桌面平安责任也日益增大。只有通过从组织、管理、技术全面建设，才能有效提升桌面计算机抵挡平安威胁的能力，提高桌面平安管理水平，达到桌面计