引言

    隨著科技的進步，目前大部分公司日常辦公桌面終端主要是各類臺式計算機和筆記本電腦 按照公司信息保密的要求，內部業務辦公系統網絡(內網)和能夠與互聯網相連的辦公網絡(外網)必須物理分離。在應用上外網主要為公司提供與外界進行信息交流的平臺，而內網主要承擔生產辦公系統的內部數據交換 兩套網絡管理上有共性也有區別：外網主要是確保運行安全、暢通：而內網更加注重信息的安全性。確保業務數據安全，尤其關鍵業務數據不能泄漏。

    雖然公司內部有內外網分離的種種管理制度，但并不能從根本上解決用戶終端的內外網絡混用問題 仍然有部分辦公人員同時混用兩個網絡，大大增加了辦公網絡受蠕蟲病毒攻擊、黑客攻擊或泄漏重要信息的風險桌面終端管理系統不僅從技術上解決桌面終端。

    安全管理問題，保障辦公內外網絡的安全、穩定運行，還從信息管理角度解決了桌面終端計算機綜合統計管理的問題，從而減少信息維護人員的工作，提高自動化水平和數據準確度。

1系統結構

    桌面終端管理系統采用分級部署、多級管理、級聯監控的運行方式。在各地分公司分別部署后，可以獨立運行，同時也可以由上級公司系統級聯，將數據信息向上匯報，由上級公司統一監控管理，形成多級級聯的方式。系統結構如圖1所示。

    圖1 系統結構

2功能

    系統采用C／S模式，需要架設系統管理服務器，并在每臺桌面終端部署終端管理程序，實現全部管理功能。終端管理程序可以根據需要采用強制安裝的方式。

    2．1軟、硬件資產管理

    2．1．1硬件資產統計功能

    系統可自動探測并上報桌面終端計算機的硬件配置情況，提供對全網內終端硬件配置信息的統計和對某一終端硬件變更信息的審計功能。

    用戶可能會隨意拆卸終端計算機的硬件，這會給計算機的管理帶來混亂，甚至可能造成硬件資產的流失 系統能夠全面監視終端硬件設備變更情況(In硬盤、內存容量的變化)，及時生成報警信息并保存變更日志。

    2．1．2硬件設備管理功能

    系統可以對終端計算機的接口進行有針對性的控制，如啟用或禁用軟驅、光驅、USB接口、串口、并口、紅外接口等，并對所有外設訪問行為進行審計系統自動發現網絡中的計算機，并為每臺計算機建立檔案。檔案內容可以包括靜態信息和動態信息(如硬件變更情況)。

    2．1．3軟件資產的統計及審計

    系統可以自動收集安裝在每臺計算機上的每種應用程序信息，包括安裝的操作系統種類、版本號以及當前補丁情況、客戶機安裝的軟件等信息和驅動程序情況，進行匯總管理，并及時檢測軟件信息變化情況：可以根據條件查詢統計終端安裝的軟件信息：系統還可以實現對軟件安裝進行黑白名單控制，即根據策略設定禁止安裝的軟件和必須安裝的軟件。

    2．2終端準入管理

    為了實現禁止終端計算機未經許可接入網絡，系統進行終端準入管理。主要基于兩種模式控制終端計算機的準入：

    (1)所有連接網絡的終端設備必須注冊安裝桌面終端管理系統客戶端程序，即保證所有接入網絡的終端都是可控的，這樣才更能保證網絡整體的安全性 對未注冊的終端設備，系統采用超常規的ARP阻斷技術和網關重定向技術，使其無法正常網絡通信。這種方法與常規的封交換機端El模式相比更具可靠性和實用性

    (2)系統還提供了802．1x認證功能，對于安裝了桌面終端管理系統客戶端程序的終端計算機，通過合法的口令驗證，才能接入辦公網絡。但是這種方式要求網絡交換機必須支持802．1x協議。

    對于通過注冊認證的終端計算機，系統還可以做安全健康性檢查，如入網計算機是否安裝運行規定的防病毒軟件、是否安裝指定的微軟重要系統漏洞補丁等。只有通過該項安全檢查的終端才可正常入網，否則該終端將限制為僅允許與安全認證服務器通信，并自動完善加固安全級別，自動完成健康入網。

    2．3補丁分發功能

    桌面終端管理系統支持補丁自動分發功能，通過建立補丁升級服務器，從互聯網上自動識別然后采用增量技術下載更新的補丁，分類導入到系統補丁庫中，然后在指定時間和指定網絡范圍內以不同方式(如推、拉)分發補丁。當系統監測到有客戶端未打補丁時，可對漏打補丁客戶端進行推送補丁。

    系統的補丁查詢統計功能，可以對網絡范圍內的計算機終端的補丁安裝狀況進行查詢，根據相應的查詢條件。能快速了解全網絡補丁的安裝狀況、系統的薄弱環節，以促進補丁及時安裝。

    2．4防病毒管理

    桌面終端管理系統可以統一監控網絡內的防病毒軟件安裝情況和使用狀態，了解網絡中的病毒軟件安裝狀況，必要時可通過文件分發等技術強制為客戶端安裝防病毒程序，以保證整體網絡的安全。

    2．5非法聯網管理

    雖然大型公司網絡規劃上分為內、外網兩套網絡，但在實際工作中經常有如下違規現象發生，對網絡安全和內網業務數據造成嚴重威脅：

    (1)內網計算機連接到外網 內部重要業務數據有可能通過外網泄漏到互聯網上，造成嚴重的后果。

    (2)外網計算機接入內網。由于外網計算機感染病毒的幾率遠遠大于內網計算機，一旦隨意接入到內網的計算機感染病毒，該病毒有可能在內網中大面積爆發。

    桌面終端管理系統可以監控內網計算機網絡信息，及時發現其中的互聯網內容，無論通過撥號聯網、無線網絡(GPRS、CDMA)、藍牙，紅外或直接使用外網網線接入到internet，都可以在10s內迅速發現做出處理，同時把相應違規信息記錄。處理方式包括：彈出提示警告；斷開網絡，重啟計算機后恢復：斷開網絡，由管理員手動恢復。通過終端準入和非法聯網管理相結合的方式，可以從根本上消除內網外聯的問題。

3結語

    桌面終端管理系統實現了對桌面終端網絡訪問控制。系統還具備軟硬件資產管理、安全審計、補丁分發、接入控制等功能，大大提高了信息安全防范水平。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：大型公司內網與外網混用解決方案

本文網址：http://www.guhuozai8.cn/html/consultation/1083943597.html