實(shí)施有效的網(wǎng)絡(luò)行為管理11個(gè)策略

申請免費(fèi)試用、咨詢電話：400-8352-114

一、網(wǎng)絡(luò)對(duì)辦公環(huán)境造成的危害

隨著Internet接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給企業(yè)帶來更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂，內(nèi)部員工的不當(dāng)操作等使信息維護(hù)人員疲于奔命。網(wǎng)絡(luò)對(duì)辦公環(huán)境造成的危害主要表現(xiàn)為：

1.為給用戶電腦提供正常的標(biāo)準(zhǔn)的辦公環(huán)境，安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)耗費(fèi)了信息中心人員一定的精力和時(shí)間，同時(shí)又難以限制用戶安裝軟件，導(dǎo)致信息系統(tǒng)管理人員必須花費(fèi)其50%以上的精力用于維護(hù)用戶的PC系統(tǒng)，無法集中精力去開發(fā)信息系統(tǒng)的深層次功能，提升信息系統(tǒng)價(jià)值。

2.由于使用者的防范意識(shí)普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴(kuò)散到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導(dǎo)致網(wǎng)絡(luò)長時(shí)間處于帶毒運(yùn)行而系統(tǒng)管理員無能為力。

3.部分網(wǎng)站網(wǎng)頁含有惡意代碼，強(qiáng)行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢；

4.個(gè)別員工私自安裝從網(wǎng)絡(luò)下載安裝的軟件，這些從網(wǎng)絡(luò)上下載的軟件安裝包多數(shù)附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強(qiáng)行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢，甚至被遠(yuǎn)程控制；有些病毒利用ARP欺騙，影響到整個(gè)片區(qū)辦公電腦的正常工作；

5.一些計(jì)算機(jī)愛好者利用辦公電腦作為學(xué)習(xí)電腦的工具，私自開啟DHCP服務(wù)器，導(dǎo)致辦公電腦不能正常獲取IP，且用戶計(jì)算機(jī)與應(yīng)用系統(tǒng)服務(wù)器的通訊中斷，影響極壞；

6.部分員工使用公司計(jì)算機(jī)上網(wǎng)聊天、聽歌、看電影、打游戲，部分員工全天24小時(shí)啟用P2P軟件下載音樂和影視文件，由于flashget、迅雷和BT等軟件并發(fā)線程多，導(dǎo)致大量帶寬被部分員工占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)，即便是嚴(yán)格的計(jì)算機(jī)使用管理制度也很難保障企業(yè)中的計(jì)算機(jī)只用于企業(yè)業(yè)務(wù)本身，PC的業(yè)務(wù)專注性、管控能力不強(qiáng)。

二、網(wǎng)絡(luò)行為管理和維護(hù)策略

策略1：劃分VLAN。

對(duì)全廠辦公樓宇進(jìn)行了細(xì)致的VLAN劃分，防止大規(guī)模的病毒爆發(fā)和擴(kuò)散，減少故障影響的范圍。VLAN劃分的基本原則：
集中辦公的樓宇建筑，按辦公樓宇樓層劃分VLAN；
分散辦公的區(qū)域，按整棟樓宇和功能區(qū)域進(jìn)行劃分，如運(yùn)行值班VLAN。

策略2：建立域管理。

建立域控制器，并規(guī)定所有辦公電腦必須加入域，接受域控制器的管理，同時(shí)嚴(yán)格控制用戶的權(quán)限。汕尾發(fā)電廠的員工帳號(hào)只有標(biāo)準(zhǔn)user權(quán)限。不允許信息系統(tǒng)管理員泄露域管理員密碼、Landesk管理員密碼和本地管理員密碼。

在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網(wǎng)絡(luò)環(huán)境中，普通員工只具備標(biāo)準(zhǔn)的user權(quán)限，實(shí)際上是對(duì)該員工辦公環(huán)境的非常實(shí)際有效的保護(hù)。

辦公PC必須嚴(yán)格遵守OU命名規(guī)則，同時(shí)實(shí)現(xiàn)實(shí)名負(fù)責(zé)制。指定員工對(duì)該P(yáng)C負(fù)責(zé)，這不但是固定資產(chǎn)管理的要求，也是網(wǎng)絡(luò)安全管理的要求。對(duì)PC實(shí)施員工實(shí)名負(fù)責(zé)是至關(guān)重要的，一旦發(fā)現(xiàn)該員工電腦中毒和在廣播病毒包，信息系統(tǒng)管理員能準(zhǔn)確定位，迅速做出反應(yīng)，避免擴(kuò)大影響。

策略3：PC維護(hù)包干到戶。

信息系統(tǒng)管理員在實(shí)際工作中可能存在拿本地管理員權(quán)限作為人情，這其實(shí)是一種自殺行為。任何一個(gè)具備管理管理員權(quán)限的員工，即使是信息系統(tǒng)管理員，使用Administrator權(quán)限上網(wǎng)，稍有不慎，便掉入網(wǎng)絡(luò)陷阱。為避免這種情況，對(duì)PC維護(hù)人員，采取區(qū)域包干到戶的管理，同時(shí)區(qū)域負(fù)責(zé)人的域用戶帳號(hào)具備該區(qū)域內(nèi)所有辦公電腦本地管理員的權(quán)限；如果區(qū)域負(fù)責(zé)人他愿意增加本地電腦管理員權(quán)限，增加的風(fēng)險(xiǎn)和工作量將由他自己承擔(dān)。所有辦公電腦的本地管理員密碼由域控制器負(fù)責(zé)人掌握、設(shè)定或變更。

策略4：在防火墻上只開放常用或業(yè)務(wù)系統(tǒng)需要的端口，如80、25、21、110、443，其它端口一律封鎖，此項(xiàng)措施能有效實(shí)施對(duì)P2P和BT軟件的封鎖。

策略5：接入廠區(qū)網(wǎng)絡(luò)的計(jì)算機(jī)必須接受信息中心的管理。通過DHCP服務(wù)器的配合，在DHCP服務(wù)器上根據(jù)辦公電腦網(wǎng)卡的MAC地址固定某些辦公電腦的IP，在防火墻上設(shè)置相關(guān)的策略，允許經(jīng)信息中心核準(zhǔn)的某些IP組可以在本機(jī)上直接訪問Internet，或某些IP組只能連接局域網(wǎng)的應(yīng)用服務(wù)器，對(duì)于不遵守OU命名規(guī)則的機(jī)器IP和沒有經(jīng)過信息系統(tǒng)管理員授權(quán)的機(jī)器IP，不允許訪問Internet和Intranet，只能單機(jī)使用。

策略6：建立WSUS服務(wù)器。WSUS（Microsoft? Windows? Server Update Services）是微軟推出的免費(fèi)的Windows更新管理服務(wù)，目前最新版本為2.0.0.2472，除了支持Windows系統(tǒng)（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，還可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系統(tǒng)的更新管理，并且在以后，WSUS將實(shí)現(xiàn)微軟全系列產(chǎn)品的更新管理。

在域服務(wù)器上通過組策略設(shè)定客戶端PC的自動(dòng)更新服務(wù)（內(nèi)建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系統(tǒng)中的客戶端更新組件），默認(rèn)情況下，它自動(dòng)通過HTTP/HTTPS協(xié)議直接連接到Microsoft Update來下載更新程序，實(shí)現(xiàn)客戶端計(jì)算機(jī)的系統(tǒng)更新。

策略7：啟用網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)。借助于深信服Sinfor M5400-AC產(chǎn)品的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，檢查用戶的計(jì)算機(jī)是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的計(jì)算機(jī)才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計(jì)算機(jī)，不允許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計(jì)算機(jī)的安全性，減少了企業(yè)用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風(fēng)險(xiǎn)。

策略8：建立備機(jī)、無盤系統(tǒng)和終端服務(wù)器。建立終端服務(wù)器，主要是為員工快速提供一個(gè)標(biāo)準(zhǔn)的正常的辦公環(huán)境。為保障終端服務(wù)器的安全，同時(shí)在終端服務(wù)器上使用管理員權(quán)限運(yùn)行線程檢測程序，一旦發(fā)現(xiàn)有綠色版的BT、QQ、Emule、CCproxy等線程運(yùn)行，檢測程序立即終止上述程序繼續(xù)運(yùn)行。通過建立無盤系統(tǒng)，使得員工辦公電腦軟件系統(tǒng)不能正常運(yùn)行或硬盤出現(xiàn)故障，通過網(wǎng)卡啟動(dòng)到無盤的winxp系統(tǒng)，并通過遠(yuǎn)程桌面連接終端服務(wù)器進(jìn)行日常辦公，實(shí)現(xiàn)快速的維護(hù)響應(yīng)。

建立一定數(shù)量的備機(jī)，為員工快速提供一個(gè)標(biāo)準(zhǔn)的正常的辦公電腦。

策略9：使用Landesk進(jìn)行遠(yuǎn)程維護(hù)，實(shí)現(xiàn)快速的維護(hù)響應(yīng)。

策略10：借助于深信服Sinfor M5400-AC產(chǎn)品的網(wǎng)絡(luò)行為控制功能，對(duì)從常規(guī)端口過來的數(shù)據(jù)包進(jìn)行特征碼檢測，從而達(dá)到徹底封鎖BT、QQ、MSN等軟件。目前由于處于基建期間，各專業(yè)存專工（數(shù)量較多）使用QQ和MSN等IM軟件的即時(shí)文字消息和廠家進(jìn)行溝通和交流，暫為實(shí)施禁止QQ和MSN 等IM軟件的即時(shí)文字交流。

策略11：借助于深信服Sinfor M5400-AC產(chǎn)品的入侵檢測防御系統(tǒng)，使得信息系統(tǒng)管理員可以根據(jù)記錄進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)有潛在危險(xiǎn)的辦公計(jì)算機(jī)，可以有針對(duì)性地進(jìn)行預(yù)防性檢查。

三、實(shí)施效果

實(shí)施上述策略后，基本上能為廠區(qū)內(nèi)所有辦公電腦（約300臺(tái)）提供一個(gè)正常的健康的辦公環(huán)境，主要表現(xiàn)在以下方面：

1.網(wǎng)絡(luò)滿足全廠人員在廠區(qū)局域網(wǎng)絡(luò)內(nèi)辦公的需求，接入因特網(wǎng)的速度也比較滿意，同時(shí)還能滿足出差人員通過vpn接入廠區(qū)網(wǎng)絡(luò)進(jìn)行移動(dòng)辦公的需求；
2.基本杜絕了大規(guī)模的病毒爆發(fā)；
3.PC專注業(yè)務(wù)性和管控性加強(qiáng)。
4.很容易查找和定位帶病毒運(yùn)行的計(jì)算機(jī)，迅速避免帶病機(jī)器繼續(xù)運(yùn)行和擴(kuò)大影響；
5.系統(tǒng)具備一定主動(dòng)預(yù)防的能力，發(fā)現(xiàn)有潛在危險(xiǎn)的辦公計(jì)算機(jī)，并進(jìn)行針對(duì)性的預(yù)防檢查。
6.PC維護(hù)方面，大大降低了PC維護(hù)的難度、減少了信息中心人員的維護(hù)時(shí)間和精力，同時(shí)由于無盤系統(tǒng)、終端服務(wù)器和備機(jī)等提供樂及時(shí)響應(yīng)用戶、快速提供標(biāo)準(zhǔn)辦公環(huán)境的能力。