随着服务单位工作效率和服务水平的提高，我们在很多地方都会接触到自助终端设备，如银行的ATM机和叫号机，医院的叫号机和检查结果打印机等等。这些自助终端设备因某种特定应用而存在，是一类有专用功能的计算机，是银行、医院等单位电子化业务的重要载体和补充。因此，对该类设备的安全运维尤为重要。

自助终端运维现状分析

在长期的实际运维中，发现自助终端的运维现状主要存在以下问题：

（1）很多自助终端的前置管理监控系统偏重于业务的监控，缺乏对自助设备本身的管理。如无法查看自助设备的软硬件信息和进程信息，无法设置软件黑名单等。

（2）自助终端的主机目前只是物理防护，不能杜绝或监控到内部员工和第三方运维人员通过移动存储介质（U盘等）拷贝机密信息的内容和行为。一旦发生泄密，很可能导致资金损失、客户信息泄密或者影响系统正常运行。

（3）虽然很多自助终端的监控系统可以自动收集故障设备的底层日志或者电子日志，但是某些更新文件的替换或某些可以通过远程处理的简单工作，却需要到现场解决，增加了处理故障的时间、浪费了运维成本、大幅降低了故障处理效率，特别是对各级管理员的工作造成很大的负担。

自助终端的安全防范措施

针对自助终端运维的现状，采用半岛在线,半岛在线（中国）提供的终端安全管理系统，可以完美解决这些问题。下面我们将对如何做好自助终端安全运维做详细介绍。

第一、划定安全防护标准线

（1）内网安全管理软件可以自动收集自助终端上的软硬件信息，形成资产报表。发生变更后可以实时通知管理员。管理员根据变更报表及时掌握自助终端的安全状态。

（2）可以设置软件白名单，只允许特定软件进程运行，自动阻止其他软件运行。

（3）对于未按照要求安装的设备，可以设置软件分发策略，自动安装特定软件。

第二、非授权外联和文件读写操作审计策略

（1）设置“禁止主机上的多余的通讯端口”的非授权外联策略，特别是“禁止非注册移动存储介质”的使用。对于注册移动存储介质保证只能在一定范围（如一个部门、一个IP等等）的终端上使用。这也正符合银监会对银行自助终端的安全防护要求，同时策略可以灵活修改。

（2）设置“本地磁盘数据拷贝到已经注册的存储介质上，需要审计”的读写操作审计策略，保证可以管理员可以在控制台的报表中，及时监控该类行为，以确保拷贝行为和内容的合法、合规。

第三、远程协助

在管理控制台直接对故障自助终端做远程协助，包括远程操作、传输更新文件、更新各类驱动等。同时，我们通过监控远程协助的行为解决了其安全风险问题：管理后台自动生成远程协作的日志或银行堡垒机录制远程协助的视频。

以上主要是从功能上来解决实际运维中的问题，接下来，我们从几个特色功能来看看联软是如何提升其易用性和用户体验的。

自动绑定IP和MAC，且限定只能访问自己需要访问的服务器

改变了管理员需要手动在网络设备上将IP和MAC绑定的现状，现在可实现自动绑定，由管理员放行，能有效避免因工作出现疏忽而忘记手动绑定的情况发生。另一方面，根据IP地址或者设备所属，只能访问特定资源，对服务器形成一种无形的保护，而且管理员不再需要头疼去做访问控制列表的配置和管理了，解放网络管理员的工作，提高该类工作的效率，同时自动形成运维记录。

各类综合报表，可以供各级管理员日常汇报工作提供数据基础

通过查询综合报表功能，可以查询管理员所需要的各类终端相关的信息。如设备位置、IP地址使用情况、各网点设备数量等等。

安全管理助手占用资源少，宽带占用低

安全管理助手占用内存在20M以内，而且在远程协助过程中系统会根据带宽情况，自动调节图片的质量等。

在自助终端上公告信息栏，可以查询到各类设备的维护人员

用户通过查询公告信息栏，可以避免“出现问题不知道找谁”的尴尬境地。管理员也可以通过公告信息栏发布一些用户须知。