科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道对某电器厂内网安全情况的分析和解决方案

对某电器厂内网安全情况的分析和解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

AC上网行为管理解决方案可以解决电器厂目前的大多数内网安全问题,并可以通过网络准入规则实现对终端的软件管理。

作者:Arade 来源:51CTO.com   2008年9月25日

关键字: 内网安全 过滤防护 内容过滤

  • 评论
  • 分享微博
  • 分享邮件

  用户简介:

  某电器厂共有两个厂部,两个厂部网络用光纤连接。信息中心位于总厂,采用DDN专线接入互联网,并设有CISCO PIX防火墙,所有交换机支持智能管理,并划分了VLAN。全厂共有12台服务器,运行了两种操作系统(Windows 2003和Linux),其中2台服务器没有安装应用,但配置相对较老。工程师建立了基于微软活动目录的用户管理中心,邮件系统为Exchange 2003 Sever。

  内网现况:

  起初一段时间网络运行情况比较稳定,但随着员工对网络使用技巧的熟悉,网络应用逐渐增多,随之带来的信息泄露、病毒感染情况也越来越多。

  网络工程师部署了一些简单的安全措施和规定,但效果不很明显,其内容如下:

  部分客户端安装了单机版防毒软件,由用户自行升级。

  采用了安装补丁的脚本配置,但需要用户每次登录域后才能分发补丁。

  员工和外来人员的笔记本电脑需要登记后使用,但未做硬性管理,也就是说只是书面的管理规定。

  部分电脑安装了安全卫士360,并启用了U盘防毒功能,但效果不明显。

  公司曾有一名开发部员工将开发图纸泄露给竞争对手,已经由公安机关立案侦查,初步怀疑是由QQ或邮件系统发送出去的,公司现规定所有员工不允许安装即时通信软件,但总有一些年轻人忍受不了寂寞,安装IM软件,被扣工资的事情总有发生。

  公司规定如果发现病毒后需要将网线拔掉,不能感染其他用户,但部分很多人都不知道什么状态是感染了病毒,这项规定一直没有得到实施。

  公司邮件服务器经常收到垃圾邮件和病毒邮件的困扰,所以公司要求员工不要打开这些陌生人的邮件,但很多人置若罔闻。

  有部分住厂里宿舍的员工喜欢研究黑客技术,曾发现他们的计算机安装过窃听软件,另外发现他们有人拿公司服务器练手的情况,教育多次后有所改正。不过很难保证这些小伙子们都不再犯。

  分厂共有9台交换机,其中部分交换机不能支持VLAN划分,分厂没有网络工程师,只是外聘了一名网管员,网络安全事故发生的频率更多。这使得总部的网络管理员频繁奔波于两个厂部之间,帮助维修分厂处理这些病毒和软件故障。总部的网络管理人员夜不能寐,很想把那两台没有用的老服务器利用起来,他能否睡个安稳觉?

  问题所在

  这个电器厂遇到的问题不仅存在于他们一家,很多用户在安全管理方面都存在着类似的问题。我们归纳一下,主要有2个问题:

  1.缺乏规划

  电器厂的内网有多种类型的员工,除分为内部员工和外来人员外,在内部员工中还有一些掌握企业重要信息的部门,

  例如开发部、财务部等,以及技术较好、喜欢研究黑客技术的潜在危险分子。

  没有将域和访问控制紧密结合、并对各种类型的人进行分类和访问权限划分,是该电器厂应抓紧补救的规划。

  2.手段单一

  我们发现,虽然电器厂在发现安全问题后尝试了多种手段,例如安装单机版杀毒软件、启用U盘防毒、甚至出台强制

  性规定,但依然无法彻底解决各种安全隐患。随着员工对网络的进一步熟悉,令网管员头疼的安全事故将会愈演愈烈。

  问题在于该厂的安全防范措施不能够药到病除,导致网管翻来覆去的处理同一种类型的安全事故,事倍功半。

  轻重缓急

  所有的工作都分为重要的和紧急的,如果长期不做重要的事情,紧急的事件就会接踵而来。拿电器厂来说,由于没有解决我们上面提到的规划,没有及时部署全面、有效的网络安全管理措施,导致经常有一些突发事件出现。

  具体来说,电器厂应该先针对不同身份的上网人员进行权限划分,给不同的部门和人分配不同级别的网络访问权限。这个可以通过安全设备来实现,并和微软活动目录相互配合。

  同时,电器厂需要尽快采用完善的网络安全管理手段,毕竟行政上的规定在对计算机和网络的管理时往往无能为力,必须配以合适的网络管理手段才可以治标又治本。同时,网管员可以通过远程访问来分别管理两个厂区的网络,避免两地奔波,在路上浪费过多事件。

  另外,本着“要事第一”的原则,我们认为电器厂的个别问题可以推迟考虑,例如对服务器的利用。不过,目前电器厂在内容安全上存在问题较多,而内容安全的管理设备多会产生大量的日志。通过把2台服务器作为内容安全设备的日志中心,既利用了现有资源、又实现了新的功能,是一个可以值得考虑的处理方式。

  毕竟要先解决重要紧急的事情。

  解决方案

  深信服科技建议该电器厂考虑部署AC上网行为管理解决方案。上网行为管理包括身份认证、网络准入规则、外发信息管理、Web访问控制、文件传输记录等,囊括了内网用户从拨入Internet到访问Internet中产生的所有相关网络行为。

  首先针对电器厂的IT规划问题和身份认证问题,AC产品可以很好的解决。AC可以自动搜集局域网中所有活动电脑的IP和MAC地址,包括三层交换机下的用户,并且可以通过和域联动,导入域中现有的用户。网管可以通过将这些IP根据部门和个人进行合理划分,给不同的人分配不同的网络访问权限。

  AC的网络准入规则可以对内网终端的应用软件进行管理,如果某台PC安装了不符合网管员设定策略的软件,该PC将无法访问网络。这样,目前电器厂面临的部分员工安装窃听软件等行为就可以避免。同时,AC的网络准入规则可以配合补丁分发来实现,如果内网某台PC没有安装杀毒软件、防火墙,或者没有及时对操作系统打不定,AC都可以自动阻拦其对网络的访问,直到该PC符合规定的安全策略。

  而对于公司存在的泄密问题,AC可以从两方面进行管理。第一,AC可以根据客户需求,封堵所有的软件和应用,这样电器厂就不需要出台各种规定和罚款制度了。第二,对所有的网络外发行为,AC都可以实现审计,包括QQ、MSN、邮件(包括客户端邮件和Web邮件)、FTP等,这样就可以尽量避免个别员工将机密信息泄漏。

  对于困扰电器厂已久的病毒问题,我们可以在AC上增加网络杀毒模块,通过配合单机版杀毒软件,实现本地和网络的病毒查杀,尽量杜绝员工通过U盘、网络下载、收取病毒邮件带来的隐患。

  方案点评

  AC上网行为管理解决方案可以解决电器厂目前的大多数内网安全问题,并可以通过网络准入规则实现对终端的软件管理。为了更完善的管理好网络,我们建议电器厂还要定期对服务器和网络进行安全性扫描和维护,避免出现漏洞,被人所利用。在服务器前可以添加防火墙、SSL VPN等设备,保障服务器群的安全。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章