摘要

本文结合中央广播电视总台终端管理及准入项目的实施，详细介绍了终端管理及准入系统的系统架构、主要功能和部署实施过程。通过项目的建设，初步实现了总台各办公区终端的一体化、标准化、精准化管理。

目前中央广播电视总台（以下简称总台）基础网络已覆盖了各个办公区，实现了各址业务数据的安全可靠交互。总台光华路、复兴路、复兴门、鲁谷等各办公区共计1万余台通用办公终端（主要指用于通用办公业务的计算机终端和打印机等附属外部设备，以下简称办公终端）已完成从原网络系统向总台基础网络的迁移。为进一步提升总台办公终端的标准化、精准化管理水平，需要对总台各办公区办公终端实行统一管理、统一入网、统一运维，最终建立总台一体化终端综合管理模式。

一、项目目标

经过项目建设，为总台建立起一套覆盖光华路、复兴路、复兴门、鲁谷等多个办公区及音像资料馆、影视之家等外围办公点的计算机网络准入及终端管理系统。通过网络准入控制、终端安全检测管理、终端配置信息管理等技术，有效解决终端接入安全、标准化安全管控等问题，提升终端安全管控能力，实现对总台办公终端的精准化、标准化管理，确保总台办公终端的可信、可管、可控、可溯。

二、系统架构

1. 总体架构

结合总台4个办公区（光华路、复兴路、复兴门、鲁谷）的整体情况，由于各办公区域内办公终端数量众多，总台终端管理及准入系统整体部署采用“分级、分权管理”模式，系统可为总台各办公区的运维工程师分配管理辖区内办公终端的相关权限，实现各办公区的灵活管理；系统部署时，充分利用总台虚机资源，实现虚机与实体硬件服务器配合安装与建设。

如图1所示，整体方案中包含一级系统与二级系统，一级系统部署在光华路办公区，负责本办公区内的终端管理、终端资产信息收集与展示、网络准入控制的全方位管理。二级系统部署在光华路办公区、复兴路办公区（覆盖复兴路、复兴门、音像资料馆）、鲁谷办公区三址，分别负责各自办公区办公终端的策略管理及准入认证工作，可定时将各自办公区的终端信息统计汇总到一级系统。

2. 各办公区内部署

下面仅以鲁谷办公区为例，说明总台每个办公区内的二级系统建设情况。

如图2所示，根据总台基础网络内部安全区域划分，对于桌管服务器、准入服务器和终端分别在鲁谷办公区不同的网络分区进行部署，以满足不同安全区域内的差异化运维需求与合规管理要求。

其中桌管服务器是整个系统的核心，主要实现终端安全管理、资产管理、安全策略配置、非法外联等功能；Radius认证服务器主要通过与支持802.1X协议的接入交换机联动实现对终端的准入控制。为保证系统的高可用性，桌管服务器和准入服务器均配置主备两台，任何一台故障都不会影响对整个办公区的终端准入和终端安全管理。其他各办公区内桌管服务器也采用主备模式进行部署，准入服务器根据同一办公区内的不同区域划分进行分散部署，确保一个管理分区准入出现故障，不会影响到整个办公区上网业务。

三、功能设计

1. 网络准入认证

如图3所示，两台Radius准入认证服务器做双机热备冗余，其中一台故障另一台可以继续提供认证服务，Radius认证服务器开机后会自动从数据库中读取控制策略，然后写入到内存中，并且保持策略实时同步，通过认证的用户也会将认证信息写入到客户端主机内存中，所以当数据库故障或认证源故障时，不会直接影响终端认证。如果两台主备Radius认证服务器同时故障，均无法提供认证服务时，可直接触发网络交换机自动逃生，确保不会影响终端网络的使用，提高准入高可靠性。

对于外来终端或不合规的非安全设备（未安装指定杀毒软件或感染病毒、木马的终端），可对其进行强制安全隔离，限制其可访问的网络资源，直到存在问题修复为止。

2. 终端资产管理

终端资产管理模块提供统一的设备管理页面，对全网办公终端设备实现统一管理。可以主动采集所有终端的软硬件详细配置信息建立资产基线，清楚了解台内资产配置，自动、及时反映资产变化。其中，自动采集的硬件配置信息包括：主板信息、内存信息、CPU信息、网卡信息、硬盘信息、光驱信息及其他各种外设信息等。自动采集的软件信息包括软件名称、版本、厂商、安装日期、操作系统名称、SP版本。当终端用户的硬件与软件发生变化时，系统会自动记录变化信息并及时通知相关运维工程师，支持批量导入、手工录入资产编号、用户、价值、物理位置等详细信息。

3. 设备自动发现与快速定位

设备自动发现与快速定位模块支持设备快速定位，运维工程师可依据CMDB（配置管理数据库）相关的部门名称、用户名、设备名、IP、MAC、交换机名称、交换机地址、交换机端口等关键字查询到资产的详细信息，快速定位设备的物理位置、连接关系，以及是否在线、运行状况等，提高运维工作效率。

4. 软件黑白名单

黑名单将指定软件定义为非法软件，其余都是合法软件，出现在黑名单中的软件包与软件直接禁止安装与使用。白名单则反之，将指定软件与软件包定义为合法软件，除此之外的其余非系统软件都是非法软件。在白名单定义方式中，自动过滤掉Windows系统软件和桌面助手客户端。考虑目前总台办公终端使用状况，为了满足用户体验，终端主要采用黑名单机制在，对于部分用户有严格管理需要的可启用白名单策略。

5. 软件分发

软件分发模块支持将软件安装包、脚本、文件等分发到终端上，为了适应多种多样的网络环境和使用需求，软件分发可以灵活配置分发的客户端环境、分发时间、执行时间、执行方式、分发条件、安装检测条件，并且对于大文件的分发，考虑到带宽消耗的问题，可以使用智能中继方式解决，节省文件下载过程中消耗过多的带宽，提高软件远程推送效率。

同时，控制台还提供应用软件商城功能，如图4所示，用户可通过桌面助手内的软件商城下载常用办公软件和工具，为用户提供更便捷的软件下载服务。

6. 终端运行检查

终端管理后台将安全策略分发给桌面助手，由桌面助手依据策略内容对终端进行安全检查、安全控制、安全审计，实现对终端的集中管控。系统提供了多种安全检查手段，可针对终端下发定制检查任务，终端用户也可以主动触发系统自检，对终端进行全面安全评估。结合总台实际情况，此次主要是对办公终端是否安装终端桌面助手、指定防病毒软件、病毒库版本、关键系统补丁（永恒之蓝漏洞补丁）、关键进程（重要的系统服务）进行入网前检查，如未通过安全检查则自动进入到修复VLAN进行相应修复。

7. 远程管理

远程管理模块主要提供设备查询、设备信息维护、设备分类、设备操作、远程协助、终端控制、助手控制等功能，支持远程修改终端IP地址、终端名称、远程关机、终端桌面控制等。终端运维工程师可根据用户发起的远程服务请求，提供点对点远程协助服务。

8. 非法外连行为的监管

非法外连管理模块实现对终端常见的数据通道如红外、蓝牙、软驱、串行接口、并行接口、1394接口、PCMCIA接口、外联Internet设备、自建Wi-Fi热点、无线以太网卡、智能设备连接、光驱等，进行灵活的、严格的、有效的管控，实时发现违规操作进行通知并阻止或审计，从技术角度上提供了保证终端数据安全性和可靠性的方法，同时结合高效的管理制度，可实现对终端数据及数据通道的控制效率和管理质量。

9. 综合报表

综合报表模块支持数据报表统计展示功能，通过信息统计方便终端运维人员对相关信息进行对比、分析。报表涵盖所有的终端安全策略及审计信息，并支持查询、统计、多种形式展示、导出、打印等。系统可以展示报表的内容如下：软件安装信息报表、非法外连接入报表、主机资产报表、交换机端口报表、CPU配置报表、硬盘配置报表、软件分发执行信息报表、网络异常审计报表、上网审计报表、终端流量统计报表、准入审计报表、设备长时间离线报表、非法卸载软件报表、设备在线时长报表、软件使用时长报表等。

四、部署实施

1. 系统测试阶段

2020年12月中旬至2021年3月中旬期间，项目组在不影响用户使用情况下，使用测试环境进行远程联软客户端安装、LANDesk卸载、防病毒软件替换、准入切换、入网安全检查、终端管理策略等测试。对于准入测试，重点针对三款台内主要的品牌交换机分别进行准入测试，测试身份认证信息正确的用户是否可以正常接入网络，身份认证信息错误的用户是否拒绝接入网络，符合安全条件的终端是否可以正常接入网络，以及Radius认证服务器故障后终端是否可以正常逃生，打印机等哑终端加入免检设备后是否可以正常接入网络。

2. 系统搭建阶段

2021年3月中旬至2021年3月下旬期间，主要完成覆盖总台4个办公区服务器的搭建并形成级联模式，包括在光华路数据中心机房完成一级服务器、二级服务器（桌管、准入认证）以及补丁服务器搭建及测试工作；在复兴路办公区（含复兴门、音像资料馆）网络中心机房完成二级服务器搭建及测试；在鲁谷办公区网络中心机房完成二级服务器搭建和测试。在此基础上，同步完成各办公区服务器网络联通，以及一二级系统间的系统联调工作。

3. 试点部署阶段

2021年3月底至2021年4月中旬期间，按照“先试点后推广，先试用后上线”的原则，分两步开展试点部署。首先完成终端桌面助手在网络运行部相关办公室的部署，并完成准入开启，之后完成技术局内部各办公室终端的桌面助手安装及准入开启工作。整个试点部署期间，终端桌面助手测试运行稳定，无离线脱机情况出现；终端网络准入功能测试稳定，未出现终端掉线断网情况发生。

4. 全面部署阶段

从2021年4月中旬开始进入全台全面部署阶段，按照从上到下、分区部署的方式，推动终端桌面管理助手在光华路、复兴路、复兴门、鲁谷办公区的全面部署，主要涉及总台各办公区办公计算机终端的联软终端管理软件客户端安装、LANDesk终端管理软件客户端卸载、防病毒软件替换、计算机系统配置更改等工作，以及所涉办公区整体部署系统环境的联调。软件部署以“对用户影响最小”为原则，采用网络远程静默方式，用户可正常使用办公终端进行日常办公。截至2021年5月31日，总台所有办公终端均已完成助手安装及准入开启工作，同时相关的总台终端管理策略也全部开启。

5. 运行保障阶段

在全面部署完成之后，项目组制定完成《总台终端管理系统应急预案》和《总台通用办公终端使用规范》，从技术和编播两方面提升终端管理水平和安全保障能力，并开展针对各办公区的终端及网络运维人员技术培训，增强不同岗位应对终端运行突发事件的应急协同处置能力。

五、结束语

通过终端管理及准入项目的实施，为总台建立起一体化终端管理系统，实现对各办公区原有终端管理系统的有效整合。项目从终端管理及准入的实际需求出发，以终端网络准入为开端，配合入网安全检查，从系统设计、测试、搭建到部署实施为期六个月，初步为总台构筑起一套全方位的终端安全防护体系，保证总台多区域、多地点办公终端运行环境安全可靠，进一步提升总台办公终端抵御安全威胁的能力，为下一步构建总台统一高效的终端运维管理体系奠定基础。