1 引言

?

　　计算机在电力企业中有着广泛的应用，是工作中不可缺少的办公设施。随着台式计算机、移动计算机数量的不断增多，管理难度也在增加，虽然有ERP、IMS 等系统进行资产和运维管理，但缺乏有效的技术手段来制约，用户私自变动计算机位置、配置现象时有发生，极大影响了资产调拨、回收、报废等工作的正常开展，容易发生信息安全事件，同时也给运维工作带来困难，因此需要采用有效的管控手段来制约，实现计算机资源的合理利用及有效整合。

?

　　2 计算机管理问题分析

?

　　目前电力企业应用了ERP 资产管理平台、IMS 运维管理、桌面终端安全管理等系统进行计算机资产管理、运维管理及安全管理，但这些系统中计算机信息均为手工录入，计算机分配给用户后，缺乏有效的管控手段来制约，如果用户私自移动计算机安装位置或私自拆卸、更换硬件时，难以及时发现，久而久之则无法保证计算机台帐信息的准确性，给计算机调配、回收、报废、运维等工作带来阻碍。

?

　　在桌面终端安全管理系统中，如果用户调动工作岗位后不变更用户信息，在发生计算机安全事件后，无法准确定位责任人。网络上的计算机，身份很难识别，虽然进行了IP、MAC 捆绑，但是可以通过修改MAC 的方法进行破解。终端计算机不论是否安装了符合要求的防毒软件、系统补丁更新是否及时，都可以正常上网，造成了极大安全隐患，如果网上出现恶性网络病毒，这些计算机都首当其冲，很有可能成为新的病毒源。

?

　　由于接入网络的交换机数量巨大，而捆绑是手工进行，一般只在核心交换机上进行IP、MAC 两者捆绑，凭有限人力无法做到在大量的接入交换机进行MAC、口捆绑，造成计算机位置管理的困难。此外，计算机MAC 地址可任意修改，即使做了MAC 与端口的捆绑，只要更换计算机后，修改新计算机MAC地址即可接入网络。

?

　　3 计算机管理方法介绍

?

　　3.1 资产管理

?

　　对计算机的申请、审批、调拨、回收、报废等进行流程化管理、全过程控制，从用户计算机上收集硬件配置信息、软件配置信息(包括安全配置信息)，通过SNMP 协议从各网络交换机上收集网络流量和位置信息，辅以人工录入的少部分指令性数据，进行综合的分析、比较、判断，并根据计算机和网络管理制度给出结论，最后在一个集中监控界面上给出显而易见的计算机信息;把计算机的具体硬件配置和使用人信息登记在册存在数据库中，实时监控每台计算机的位置和硬件配置，发现非法移动和非法硬件变动及时报警。计算机使用人信息并非由计算机使用人录入，而是由监控中心自动采集录入，且不受硬件变化、系统重新安装的影响。定期与ERP 人力资源数据库对照，找出变更使用人却不更改使用人信息的计算机。

?

　　3.2 安全管理

?

　　实时评估每台个人计算机的安全配置状况，如系统补丁安装情况、防病毒软件的安装情况与病毒定义日期、个人防火墙是否启用等，实时监控个人计算机内的进程，并把这些安全信息定期上报，如果发现潜在的安全风险或可疑的进程，则监控中心会得到通知并提醒用户解决，或根据策略进行自动处理。

?

　　3.3 软件配置管理

?

　　监控计算机操作系统的配置以及组件安装情况，判断计算机必须安装的软件，如果发现系统设置不符合要求，或者缺少软件，则提醒用户，或者自动进行处理。

?

　　3.4 网络接入控制

?

　　当计算机工作位置发生变动时，能迅速反馈信息到监控中心，可以及时采取措施，有效制止设备违规变动事件的发生。能实时监控计算机的硬件配置，如果发生异常变动，则自动从交换机上断开连接。检测个人计算机的网络连接情况，发现使用了第二块网卡或与其他设备连接额外的网络，则自动报警并断开网络。

?

　　3.5 运维管理

?

　　记录每台计算机的维护记录，计算机的新装、检测、维修全过程流程化管理，从而实现运维业务的标准化。

?

　　4 采用的管控技术

?

　　利用盘锦供电公司信息专业人员自主研发的USB Key 数字证书技术(专利号：201210145733)，来作为计算机硬件身份的标识，为计算机管控的技术核心，每台受管计算机均配发数字证书，网络交换机开通SNMP 服务，配合独立的监控程序，辅助管理人员及运维人员进行计算机管理。包括以下几个方面：

?

　　4.1 硬件身份识别

?

　　在USB Key 数字证书中，含有系列号、MD5 加密密钥或数字证书私钥(由USB Key 类型决定)，密钥由管理中心在颁发USB Key 时随机生成后写入，该密钥同时保存在加密数据库中，无法从USB Key 中读取，加密运算在USB Key 中进行。在颁发USB Key 的同时由信息管理人员登记使用人信息，使用人信息与USB Key 的系列号绑定，因此无论计算机硬件怎样变化，软件如何重新安装，计算机使用人信息都不需要重新登记。USB Key 可看作是计算机入网许可证硬件。

?

　　4.2 硬件信息收集

?

　　USB Key 数字证书具有硬件信息自动收集能力，尤其是各部件的硬件系列号，是判断硬件变化的主要依据。收集计算机硬件信息后，使用USB Key 进行加密，然后传输到监控中心服务器，没有合法的USB Key，即使是高端黑客，也无法向服务器发送假冒的硬件信息。服务器每次收到硬件信息，在通过身份认证后，与数据库中该计算机的硬件信息进行比较，发现不同之处即进行报警，如果不同之处过多即可判定为该计算机被整体更换。

?

　　4.3 网络信息收集

?

　　通过使用SNMP 协议从网络交换机中收集各计算机对网络的使用情况，检查各种绑定措施的实施情况。可判断出每个接入端口出现的各个MAC 地址是否合法，MAC 与端口绑定是否存在漏绑、错绑情况;可判断出三层交换机中IP 与MAC 绑定是否存在错绑、漏绑情况。

?

　　4.4 数字证书拒绝安装和强行卸载判断

?

　　数字证书拒绝安装和强行卸载，是指不按照要求安装数字证书，或者通过停止进程、重新安装操作系统等手段，清除已安装在计算机上的数字证书，企图逃避监管。可以通过一种认证方法来判断此种情况，及时准确地找出这些企图逃避监管的计算机。

?

　　4.5 网络交换机自动控制

?

　　可根据数据库内容和管理策略，自动向交换机发送各类捆绑指令;根据报警信息和分析结论，自动向交换机发送IP 封停或开通指令;对于没有使用的交换机空闲端口，自动发送禁用端口指令。交换机控制通过SSH 协议进行，而非通过SNMP进行，具有很高的安全性;通过交换机的用户权限控制机制，可限制程序自动发送的指令类型。

?

　　5 实践成效分析

?

　　通过在盘锦供电公司信息内网和信息外网计算机上分别进行实施与应用，成效显著，体现在四个方面：

?

　　5.1 计算机台账准确性提高

?

　　计算机硬件、软件信息自动采集，减少了操作失误概率，ERP 资产管理平台、IMS 台账中相关计算机的硬件信息、使用人信息、位置信息等数据准确率达到100%。

?

　　5.2 利于资产整合

?

　　避免资产流失任何违规的硬件变化都会被及时发现和制止，流程化的管理方式能实时监控计算机使用年限、性能、配置等情况，确保资源得到有效整合并充分利用。

?

　　5.3 安全性整体提高

?

　　提高了主机安全和网络安全，可以有效减少信息系统安全事故的发生，避免由于信息系统安全事件影响企业生产经营活动。

?

　　5.4 增加定位的准确性和权威性

?

　　对外监控普通用户对计算机和网络的使用情况，对内监督运维人员的工作情况，当发生计算机违规事件时能够准确定位计算机位置、相关责任人，监测数据具有权威性，能够达到作为惩处依据的级别。

?

　　6 结语

?

　　本文分析了计算机管理中普遍存在的问题，提出了计算机资产管理及运维管理的基本思路，辅以相对应的技术措施，可以解决在应用ERP、IMS、桌面终端安全等系统过程中出现的计算机管理不稳定因素，希望能够促进桌面终端管理质量的提升，最终实现计算机资产的可控、能控和在控。