对某电器厂内网安全情况的分析和解决方案

　　用户简介：

　　某电器厂共有两个厂部，两个厂部网络用光纤连接。信息中心位于总厂，采用DDN专线接入互联网，并设有CISCO PIX防火墙，所有交换机支持智能管理，并划分了VLAN。全厂共有12台服务器，运行了两种操作系统（Windows 2003和Linux），其中2台服务器没有安装应用，但配置相对较老。工程师建立了基于微软活动目录的用户管理中心，邮件系统为Exchange 2003 Sever。

　　内网现况：

　　起初一段时间网络运行情况比较稳定，但随着员工对网络使用技巧的熟悉，网络应用逐渐增多，随之带来的信息泄露、病毒感染情况也越来越多。

　　网络工程师部署了一些简单的安全措施和规定，但效果不很明显，其内容如下：

　　部分客户端安装了单机版防毒软件，由用户自行升级。

　　采用了安装补丁的脚本配置，但需要用户每次登录域后才能分发补丁。

　　员工和外来人员的笔记本电脑需要登记后使用，但未做硬性管理，也就是说只是书面的管理规定。

　　部分电脑安装了安全卫士360，并启用了U盘防毒功能，但效果不明显。

　　公司曾有一名开发部员工将开发图纸泄露给竞争对手，已经由公安机关立案侦查，初步怀疑是由QQ或邮件系统发送出去的，公司现规定所有员工不允许安装即时通信软件，但总有一些年轻人忍受不了寂寞，安装IM软件，被扣工资的事情总有发生。

　　公司规定如果发现病毒后需要将网线拔掉，不能感染其他用户，但部分很多人都不知道什么状态是感染了病毒，这项规定一直没有得到实施。

　　公司邮件服务器经常收到垃圾邮件和病毒邮件的困扰，所以公司要求员工不要打开这些陌生人的邮件，但很多人置若罔闻。

　　有部分住厂里宿舍的员工喜欢研究黑客技术，曾发现他们的计算机安装过窃听软件，另外发现他们有人拿公司服务器练手的情况，教育多次后有所改正。不过很难保证这些小伙子们都不再犯。

　　分厂共有9台交换机，其中部分交换机不能支持VLAN划分，分厂没有网络工程师，只是外聘了一名网管员，网络安全事故发生的频率更多。这使得总部的网络管理员频繁奔波于两个厂部之间，帮助维修分厂处理这些病毒和软件故障。总部的网络管理人员夜不能寐，很想把那两台没有用的老服务器利用起来，他能否睡个安稳觉？

　　问题所在

　　这个电器厂遇到的问题不仅存在于他们一家，很多用户在安全管理方面都存在着类似的问题。我们归纳一下，主要有2个问题：

　　1．缺乏规划

　　电器厂的内网有多种类型的员工，除分为内部员工和外来人员外，在内部员工中还有一些掌握企业重要信息的部门，

　　例如开发部、财务部等，以及技术较好、喜欢研究黑客技术的潜在危险分子。

　　没有将域和访问控制紧密结合、并对各种类型的人进行分类和访问权限划分，是该电器厂应抓紧补救的规划。

　　2．手段单一

　　我们发现，虽然电器厂在发现安全问题后尝试了多种手段，例如安装单机版杀毒软件、启用U盘防毒、甚至出台强制

　　性规定，但依然无法彻底解决各种安全隐患。随着员工对网络的进一步熟悉，令网管员头疼的安全事故将会愈演愈烈。

　　问题在于该厂的安全防范措施不能够药到病除，导致网管翻来覆去的处理同一种类型的安全事故，事倍功半。

　　轻重缓急

　　所有的工作都分为重要的和紧急的，如果长期不做重要的事情，紧急的事件就会接踵而来。拿电器厂来说，由于没有解决我们上面提到的规划，没有及时部署全面、有效的网络安全管理措施，导致经常有一些突发事件出现。

　　具体来说，电器厂应该先针对不同身份的上网人员进行权限划分，给不同的部门和人分配不同级别的网络访问权限。这个可以通过安全设备来实现，并和微软活动目录相互配合。

　　同时，电器厂需要尽快采用完善的网络安全管理手段，毕竟行政上的规定在对计算机和网络的管理时往往无能为力，必须配以合适的网络管理手段才可以治标又治本。同时，网管员可以通过远程访问来分别管理两个厂区的网络，避免两地奔波，在路上浪费过多事件。

　　另外，本着“要事第一”的原则，我们认为电器厂的个别问题可以推迟考虑，例如对服务器的利用。不过，目前电器厂在内容安全上存在问题较多，而内容安全的管理设备多会产生大量的日志。通过把2台服务器作为内容安全设备的日志中心，既利用了现有资源、又实现了新的功能，是一个可以值得考虑的处理方式。

　　毕竟要先解决重要紧急的事情。

　　解决方案

　　深信服科技建议该电器厂考虑部署AC上网行为管理解决方案。上网行为管理包括身份认证、网络准入规则、外发信息管理、Web访问控制、文件传输记录等，囊括了内网用户从拨入Internet到访问Internet中产生的所有相关网络行为。

　　首先针对电器厂的IT规划问题和身份认证问题，AC产品可以很好的解决。AC可以自动搜集局域网中所有活动电脑的IP和MAC地址，包括三层交换机下的用户，并且可以通过和域联动，导入域中现有的用户。网管可以通过将这些IP根据部门和个人进行合理划分，给不同的人分配不同的网络访问权限。

　　AC的网络准入规则可以对内网终端的应用软件进行管理，如果某台PC安装了不符合网管员设定策略的软件，该PC将无法访问网络。这样，目前电器厂面临的部分员工安装窃听软件等行为就可以避免。同时，AC的网络准入规则可以配合补丁分发来实现，如果内网某台PC没有安装杀毒软件、防火墙，或者没有及时对操作系统打不定，AC都可以自动阻拦其对网络的访问，直到该PC符合规定的安全策略。

　　而对于公司存在的泄密问题，AC可以从两方面进行管理。第一，AC可以根据客户需求，封堵所有的软件和应用，这样电器厂就不需要出台各种规定和罚款制度了。第二，对所有的网络外发行为，AC都可以实现审计，包括QQ、MSN、邮件（包括客户端邮件和Web邮件）、FTP等，这样就可以尽量避免个别员工将机密信息泄漏。

　　对于困扰电器厂已久的病毒问题，我们可以在AC上增加网络杀毒模块，通过配合单机版杀毒软件，实现本地和网络的病毒查杀，尽量杜绝员工通过U盘、网络下载、收取病毒邮件带来的隐患。

　　方案点评

　　AC上网行为管理解决方案可以解决电器厂目前的大多数内网安全问题，并可以通过网络准入规则实现对终端的软件管理。为了更完善的管理好网络，我们建议电器厂还要定期对服务器和网络进行安全性扫描和维护，避免出现漏洞，被人所利用。在服务器前可以添加防火墙、SSL VPN等设备，保障服务器群的安全。