扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
用户简介:
某电器厂共有两个厂部,两个厂部网络用光纤连接。信息中心位于总厂,采用DDN专线接入互联网,并设有CISCO PIX防火墙,所有交换机支持智能管理,并划分了VLAN。全厂共有12台服务器,运行了两种操作系统(Windows 2003和Linux),其中2台服务器没有安装应用,但配置相对较老。工程师建立了基于微软活动目录的用户管理中心,邮件系统为Exchange 2003 Sever。
内网现况:
起初一段时间网络运行情况比较稳定,但随着员工对网络使用技巧的熟悉,网络应用逐渐增多,随之带来的信息泄露、病毒感染情况也越来越多。
网络工程师部署了一些简单的安全措施和规定,但效果不很明显,其内容如下:
部分客户端安装了单机版防毒软件,由用户自行升级。
采用了安装补丁的脚本配置,但需要用户每次登录域后才能分发补丁。
员工和外来人员的笔记本电脑需要登记后使用,但未做硬性管理,也就是说只是书面的管理规定。
部分电脑安装了安全卫士360,并启用了U盘防毒功能,但效果不明显。
公司曾有一名开发部员工将开发图纸泄露给竞争对手,已经由公安机关立案侦查,初步怀疑是由QQ或邮件系统发送出去的,公司现规定所有员工不允许安装即时通信软件,但总有一些年轻人忍受不了寂寞,安装IM软件,被扣工资的事情总有发生。
公司规定如果发现病毒后需要将网线拔掉,不能感染其他用户,但部分很多人都不知道什么状态是感染了病毒,这项规定一直没有得到实施。
公司邮件服务器经常收到垃圾邮件和病毒邮件的困扰,所以公司要求员工不要打开这些陌生人的邮件,但很多人置若罔闻。
有部分住厂里宿舍的员工喜欢研究黑客技术,曾发现他们的计算机安装过窃听软件,另外发现他们有人拿公司服务器练手的情况,教育多次后有所改正。不过很难保证这些小伙子们都不再犯。
分厂共有9台交换机,其中部分交换机不能支持VLAN划分,分厂没有网络工程师,只是外聘了一名网管员,网络安全事故发生的频率更多。这使得总部的网络管理员频繁奔波于两个厂部之间,帮助维修分厂处理这些病毒和软件故障。总部的网络管理人员夜不能寐,很想把那两台没有用的老服务器利用起来,他能否睡个安稳觉?
问题所在
这个电器厂遇到的问题不仅存在于他们一家,很多用户在安全管理方面都存在着类似的问题。我们归纳一下,主要有2个问题:
1.缺乏规划
电器厂的内网有多种类型的员工,除分为内部员工和外来人员外,在内部员工中还有一些掌握企业重要信息的部门,
例如开发部、财务部等,以及技术较好、喜欢研究黑客技术的潜在危险分子。
没有将域和访问控制紧密结合、并对各种类型的人进行分类和访问权限划分,是该电器厂应抓紧补救的规划。
2.手段单一
我们发现,虽然电器厂在发现安全问题后尝试了多种手段,例如安装单机版杀毒软件、启用U盘防毒、甚至出台强制
性规定,但依然无法彻底解决各种安全隐患。随着员工对网络的进一步熟悉,令网管员头疼的安全事故将会愈演愈烈。
问题在于该厂的安全防范措施不能够药到病除,导致网管翻来覆去的处理同一种类型的安全事故,事倍功半。
轻重缓急
所有的工作都分为重要的和紧急的,如果长期不做重要的事情,紧急的事件就会接踵而来。拿电器厂来说,由于没有解决我们上面提到的规划,没有及时部署全面、有效的网络安全管理措施,导致经常有一些突发事件出现。
具体来说,电器厂应该先针对不同身份的上网人员进行权限划分,给不同的部门和人分配不同级别的网络访问权限。这个可以通过安全设备来实现,并和微软活动目录相互配合。
同时,电器厂需要尽快采用完善的网络安全管理手段,毕竟行政上的规定在对计算机和网络的管理时往往无能为力,必须配以合适的网络管理手段才可以治标又治本。同时,网管员可以通过远程访问来分别管理两个厂区的网络,避免两地奔波,在路上浪费过多事件。
另外,本着“要事第一”的原则,我们认为电器厂的个别问题可以推迟考虑,例如对服务器的利用。不过,目前电器厂在内容安全上存在问题较多,而内容安全的管理设备多会产生大量的日志。通过把2台服务器作为内容安全设备的日志中心,既利用了现有资源、又实现了新的功能,是一个可以值得考虑的处理方式。
毕竟要先解决重要紧急的事情。
解决方案
深信服科技建议该电器厂考虑部署AC上网行为管理解决方案。上网行为管理包括身份认证、网络准入规则、外发信息管理、Web访问控制、文件传输记录等,囊括了内网用户从拨入Internet到访问Internet中产生的所有相关网络行为。
首先针对电器厂的IT规划问题和身份认证问题,AC产品可以很好的解决。AC可以自动搜集局域网中所有活动电脑的IP和MAC地址,包括三层交换机下的用户,并且可以通过和域联动,导入域中现有的用户。网管可以通过将这些IP根据部门和个人进行合理划分,给不同的人分配不同的网络访问权限。
AC的网络准入规则可以对内网终端的应用软件进行管理,如果某台PC安装了不符合网管员设定策略的软件,该PC将无法访问网络。这样,目前电器厂面临的部分员工安装窃听软件等行为就可以避免。同时,AC的网络准入规则可以配合补丁分发来实现,如果内网某台PC没有安装杀毒软件、防火墙,或者没有及时对操作系统打不定,AC都可以自动阻拦其对网络的访问,直到该PC符合规定的安全策略。
而对于公司存在的泄密问题,AC可以从两方面进行管理。第一,AC可以根据客户需求,封堵所有的软件和应用,这样电器厂就不需要出台各种规定和罚款制度了。第二,对所有的网络外发行为,AC都可以实现审计,包括QQ、MSN、邮件(包括客户端邮件和Web邮件)、FTP等,这样就可以尽量避免个别员工将机密信息泄漏。
对于困扰电器厂已久的病毒问题,我们可以在AC上增加网络杀毒模块,通过配合单机版杀毒软件,实现本地和网络的病毒查杀,尽量杜绝员工通过U盘、网络下载、收取病毒邮件带来的隐患。
方案点评
AC上网行为管理解决方案可以解决电器厂目前的大多数内网安全问题,并可以通过网络准入规则实现对终端的软件管理。为了更完善的管理好网络,我们建议电器厂还要定期对服务器和网络进行安全性扫描和维护,避免出现漏洞,被人所利用。在服务器前可以添加防火墙、SSL VPN等设备,保障服务器群的安全。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者