隨著服務單位工作效率和服務水平的提高，我們在很多地方都會接觸到自助終端設備，如銀行的ATM機和叫號機，醫(yī)院的叫號機和檢查結果打印機等等。這些自助終端設備因某種特定應用而存在，是一類有專用功能的計算機，是銀行、醫(yī)院等單位電子化業(yè)務的重要載體和補充。因此，對該類設備的安全運維尤為重要。

自助終端運維現(xiàn)狀分析

在長期的實際運維中，發(fā)現(xiàn)自助終端的運維現(xiàn)狀主要存在以下問題：

（1）很多自助終端的前置管理監(jiān)控系統(tǒng)偏重于業(yè)務的監(jiān)控，缺乏對自助設備本身的管理。如無法查看自助設備的軟硬件信息和進程信息，無法設置軟件黑名單等。

（2）自助終端的主機目前只是物理防護，不能杜絕或監(jiān)控到內(nèi)部員工和第三方運維人員通過移動存儲介質(zhì)（U盤等）拷貝機密信息的內(nèi)容和行為。一旦發(fā)生泄密，很可能導致資金損失、客戶信息泄密或者影響系統(tǒng)正常運行。

（3）雖然很多自助終端的監(jiān)控系統(tǒng)可以自動收集故障設備的底層日志或者電子日志，但是某些更新文件的替換或某些可以通過遠程處理的簡單工作，卻需要到現(xiàn)場解決，增加了處理故障的時間、浪費了運維成本、大幅降低了故障處理效率，特別是對各級管理員的工作造成很大的負擔。

自助終端的安全防范措施

針對自助終端運維的現(xiàn)狀，采用聯(lián)軟科技提供的終端安全管理系統(tǒng)，可以完美解決這些問題。下面我們將對如何做好自助終端安全運維做詳細介紹。

第一、劃定安全防護標準線

（1）內(nèi)網(wǎng)安全管理軟件可以自動收集自助終端上的軟硬件信息，形成資產(chǎn)報表。發(fā)生變更后可以實時通知管理員。管理員根據(jù)變更報表及時掌握自助終端的安全狀態(tài)。

（2）可以設置軟件白名單，只允許特定軟件進程運行，自動阻止其他軟件運行。

（3）對于未按照要求安裝的設備，可以設置軟件分發(fā)策略，自動安裝特定軟件。

第二、非授權外聯(lián)和文件讀寫操作審計策略

（1）設置“禁止主機上的多余的通訊端口”的非授權外聯(lián)策略，特別是“禁止非注冊移動存儲介質(zhì)”的使用。對于注冊移動存儲介質(zhì)保證只能在一定范圍（如一個部門、一個IP等等）的終端上使用。這也正符合銀監(jiān)會對銀行自助終端的安全防護要求，同時策略可以靈活修改。

（2）設置“本地磁盤數(shù)據(jù)拷貝到已經(jīng)注冊的存儲介質(zhì)上，需要審計”的讀寫操作審計策略，保證可以管理員可以在控制臺的報表中，及時監(jiān)控該類行為，以確保拷貝行為和內(nèi)容的合法、合規(guī)。

第三、遠程協(xié)助

在管理控制臺直接對故障自助終端做遠程協(xié)助，包括遠程操作、傳輸更新文件、更新各類驅動等。同時，我們通過監(jiān)控遠程協(xié)助的行為解決了其安全風險問題：管理后臺自動生成遠程協(xié)作的日志或銀行堡壘機錄制遠程協(xié)助的視頻。

以上主要是從功能上來解決實際運維中的問題，接下來，我們從幾個特色功能來看看聯(lián)軟是如何提升其易用性和用戶體驗的。

自動綁定IP和MAC，且限定只能訪問自己需要訪問的服務器

改變了管理員需要手動在網(wǎng)絡設備上將IP和MAC綁定的現(xiàn)狀，現(xiàn)在可實現(xiàn)自動綁定，由管理員放行，能有效避免因工作出現(xiàn)疏忽而忘記手動綁定的情況發(fā)生。另一方面，根據(jù)IP地址或者設備所屬，只能訪問特定資源，對服務器形成一種無形的保護，而且管理員不再需要頭疼去做訪問控制列表的配置和管理了，解放網(wǎng)絡管理員的工作，提高該類工作的效率，同時自動形成運維記錄。

各類綜合報表，可以供各級管理員日常匯報工作提供數(shù)據(jù)基礎

通過查詢綜合報表功能，可以查詢管理員所需要的各類終端相關的信息。如設備位置、IP地址使用情況、各網(wǎng)點設備數(shù)量等等。

安全管理助手占用資源少，寬帶占用低

安全管理助手占用內(nèi)存在20M以內(nèi)，而且在遠程協(xié)助過程中系統(tǒng)會根據(jù)帶寬情況，自動調(diào)節(jié)圖片的質(zhì)量等。

在自助終端上公告信息欄，可以查詢到各類設備的維護人員

用戶通過查詢公告信息欄，可以避免“出現(xiàn)問題不知道找誰”的尷尬境地。管理員也可以通過公告信息欄發(fā)布一些用戶須知。