1 引 言
　　经过数十年的信息安全建设，国内大型企业的网络及应用系统的安全防护能力已经达到一定水平。但是信息安全故障并没有随着信息安全投入的增加而下降。经过统计发现，内部网络和应用系统发生故障的原因少部分是由于网络设备和应用系统自身的问题所引起，更多的是因为内网的其他安全因素导致，如病毒爆发、资源滥用、恶意接入、用户误操作等。而这些安全因素，大多来源于用户桌面计算机，桌面安全管理已经是各个企业迫在眉睫的安全建设内容。
　　２ 影响桌面安全的因素
　　2.1 企业安全组织体系不健全，专职人员缺失
　　大型企业的业务跨度大，地域分布广。各个二级单位的信息安全水平发展不一。有的二级单位信息部门职工上千名，有的单位却没有独立的信息部门。但所有的二级单位都统一在企业内网中运行，各类统建系统在所有二级单位中运行。对于没有没有独立的信息部门的二级单位 ，更没有负责安全体系建设、运行和管理的专职机构及人员，兼职安全管理员有责无权的现象普遍存在，依据“短板”理论，极易从信息安全力量较弱的单位为突破口，进而影响到整个企业信息安全。特别是信息安全技术的快速发展，信息安全人员需不断提升自身素质，加强业务水平，才能保证桌面安全运行。
　　2.2 企业职工计算机缺乏安全加固手段
　　尽管多数大型企业对桌面计算机的安全加固已经采取了部分安全措施，如安装防病毒软件和个人防火墙软件，甚至部署了漏洞扫描系统定期对桌面计算机进行漏洞扫描，督促用户及时更新操作系统补丁。但是，首先由于企业规模较大，管理者无法保证所有的终端用户都安装了防病毒软件和防火墙软件。其次，即便安装了这些防护软件，用户也常常因为各种原因无法及时更新病毒库。另外，系统漏洞扫描虽然可以获得桌面计算机的补丁缺失情况，但是却缺乏有效的补丁安装手段。所有这些因素，均导致桌面计算机的安全无法得到有效的保障。
　　2.3 企业职工计算机缺少有效的接入控制手段
　　对于大型企业，内网计算机数量众多且分布地域广阔。网络管理人员很难统计内网计算机的确切数量，也无法区分哪些是内网授权使用的计算机，哪些是外来的非授权使用的计算机。这种状况下，很难控制外来人员随意的计算机接入。很容易导致企业内网机密信息的泄漏，往往等泄密事件发生了，却还无法判断到底是哪一个环节出了差错。另外，对于内网授权使用的计算机，任何一台感染了病毒和木马，网络管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机，然后再通过手动的方式断网。对安全强度差的桌面计算机缺乏有效的安全状态检测和内网接入控制，是导致内网安全事件不断发生的重要原因之一。
　　３ 大型企业桌面安全管理建设
　　中国石油信息化建设处于我国大型企业领先地位，在国资委历年信息化评比中都名列前茅，“十一五”期间，将企业信息安全保障体系建设列入信息化整体规划中，并逐步实施，其中桌面安全管理建设是信息安全保障体系建设的重点工作，从组织、管理及技术3个方面进行全面建设。
　　3.1 完善安全组织体系建设
　　中国石油建立三级的终端安全组织架构，分别为石油总部、地区公司、地区二级单位。终端安全组织在每一级设立专门的组织，明确主管领导，确定组织责任，设置相应岗位，配备必要人员。其中集团信息化领导小组是信息系统安全工作的最高决策机构，信息管理部是集团公司信息系统安全的归口管理部门，负责落实信息化工作领导小组的各项决策。企事业单位信息部门负责本单位信息系统安全的管理，并设立信息系统安全管理、审计、技术岗位，包括信息系统安全、应用系统、数据库、操作系统、网络等负责人和管理员，重要岗位设置两名员工互为备份。
　　3.2 强化安全管理体系建设
　　安全管理体系从管理制度、培训教育、运行管理及检查考核4方面进行强化。①管理制度。根据中国石油信息安全的需求，分阶段逐步制定并完善信息系统安全管理的规章制度，加大整个信息安全制度体系的贯彻执行力度，才能使安全防护能力得到不断的提高，整体信息安全才能落到实处。②培训教育。信息安全培训涉及信息安全法律法规、信息安全事件案例等多方面，通过培训一方面提高企业员工的安全意识，使员工自觉约束自我行为，遵守各项信息安全规章制度、标准规范；另一方面及时掌握必要的信息安全技术知识和技能，在实际工作中充分利用技术手段保障信息安全。③运行管理。 通过统一设计、统一平台，统一硬件体系架构，建立中石油桌面运行管理系统。采用三级架构，分别在总部、区域数据中心部署服务器和管理软件，各企事业单位的桌面计算机安装客户端软件，整个运行管理由防病毒子系统、补丁分发子系统、端点准入子系统、电子文档保护子系统、后台管理子系统组成。其中通过端点准入防御系统，只有符合安全要求且通过用户认证的计算机才能接入内部网络使用，防止“危险”、“易感”终端接入网络，控制病毒、蠕虫的蔓延。补丁管理系统与防病毒系统相结合，实时监测和杀除病毒，实现对漏洞、病毒及恶意代码的管理和控制，电子文档保护子系统、后台管理子系统增强系统及电脑文档的安全性。④检查考核。信息管理部门定期进行信息系统安全检查与考核，包括信息系统安全政策与标准的培训与执行情况、重大信息系统安全事件及整改措施落实情况、现有信息系统安全措施的有效性、信息系统安全技术指标的完成情况。各企事业单位信息部门按照本办法和《集团公司信息系统运行维护管理办法》进行信息系统安全自我考核，信息管理部进行综合评价，形成年度考核报告，报信息主管领导。
　　3.3 增强桌面安全技术建设
　　桌面安全技术指物理安全、逻辑安全及运行安全三大模块，通过与企业内控管理进行有机结合，依据《中国石油天然气集团公司信息系统总体控制实施要求》，严格执行相关操作规范，其中物理安全指进入机房的物理安全访问控制机制、设备的物理安全管理、敏感的纸质系统文件管理。逻辑安全包括系统登录身份验证、用户账号及特权用户账户管理、密码管理、用户权限管理、终端合规性管理等。运行安全包括病毒防护及病毒事件的处理、安全系统的备份与恢复、应急事件的处理。
　　４ 结束语
　　随着信息技术应用的不断深入，国内大型企业信息系统集中程度不断提高，业务对信息系统依赖程度的不断加大，迫切需要建立与业务发展和信息化水平相适应的信息安全体系。与此同时，国家发布了一系列相关文件，提出对涉及国家安全、经济命脉、社会稳定的重点行业、企业的关键信息系统实施信息安全等级保护等要求。桌面安全责任也日益增大。只有通过从组织、管理、技术全面建设，才能有效提升桌面计算机抵御安全威胁的能力，提高桌面安全管理水平，达到桌面计算机有防护、有检测、可控制、可审计，建设统一桌面安全管理系统，中石油通过两年的桌面安全建设，取得了良好效果。