劃定網(wǎng)絡(luò)安全防線

布置好網(wǎng)絡(luò)的安全防線，實(shí)現(xiàn)隨時(shí)隨地對(duì)內(nèi)網(wǎng)所有終端的有效監(jiān)控。

劃定網(wǎng)絡(luò)安全防線，人們通常首先會(huì)想到企業(yè)級(jí)防火墻、郵件網(wǎng)關(guān)、入侵檢測(cè)規(guī)則等，但上述安全措施的實(shí)施對(duì)安全管理員來說并不難，實(shí)際操作中甚至可以請(qǐng)相關(guān)產(chǎn)品的廠商代勞。

在劃定網(wǎng)絡(luò)安全防線過程中，真正困擾安全管理員的難題，是隨時(shí)隨地對(duì)內(nèi)網(wǎng)所有終端的有效監(jiān)控。舉例來說，局域網(wǎng)經(jīng)常會(huì)有新客戶端的加入，這些新客戶端是否都安裝了防火墻、防病毒軟件？它們的防火墻規(guī)則及病毒定義庫(kù)是否及時(shí)與相關(guān)服務(wù)器進(jìn)行了同步？它們的系統(tǒng)安全補(bǔ)丁是否到位？要解決這類問題，就要求我們事先劃定一條安全防線，保證防線內(nèi)的所有終端都能自動(dòng)安裝防火墻、防病毒軟件，并自動(dòng)與相關(guān)服務(wù)器同步，系統(tǒng)補(bǔ)丁自動(dòng)與內(nèi)網(wǎng)SUS（Software Update Service）服務(wù)器同步。這些工作全部可以通過微軟的“零管理”策略來實(shí)現(xiàn)。下面先來談一談劃定網(wǎng)絡(luò)安全防線，實(shí)施網(wǎng)絡(luò)安全零管理的前提條件——規(guī)范化的域建設(shè)。

規(guī)范化的域建設(shè)　　

域的規(guī)?？纱罂尚?，既可以是純正的Windows 2000的DC域，也可是含Windows NT 4.0服務(wù)器的混合域，但所有客戶端必須加入到域中，從而使安全管理員獲取足夠的對(duì)所有客戶端的管理權(quán)限。安全管理員可將加入域的操作權(quán)限放寬，甚至下放至所有授權(quán)用戶，并按照員工花名冊(cè)逐一創(chuàng)建其域用戶賬號(hào)。上一級(jí)安全管理員可將Windows 2000 Professional和Windows XP Professional加入域的方法及所屬網(wǎng)段的IP地址資源一同發(fā)給下一級(jí)安全管理員，并要求其在將客戶端加入域的同時(shí)，逐一建立盡可能詳盡的客戶端技術(shù)文檔，以備將來與通過其他網(wǎng)管工具獲取的同類報(bào)告進(jìn)行校驗(yàn)與互補(bǔ)。

有了上述的域，安全管理員的管理范圍就清晰了，網(wǎng)絡(luò)安全防線也就劃定了。接下來的工作就是具體的布防工作。
　　
布防安全防線

我單位使用的是McAfee公司的ePO產(chǎn)品，它統(tǒng)領(lǐng)幾乎所有McAfee網(wǎng)絡(luò)安全產(chǎn)品，從防火墻、防病毒、郵件網(wǎng)關(guān)、入侵檢測(cè)及其同步升級(jí)，到搜索不接受管理的客戶端的傳感器，還有掃描系統(tǒng)安全補(bǔ)丁缺項(xiàng)的Compliance報(bào)告，等等。安全管理員只須先期通過域，將ePO代理推送至客戶端，接下來的工作全部由ePO自動(dòng)完成。ePO大大減輕了安全管理員的勞動(dòng)強(qiáng)度，還為個(gè)性化管理提供了便利。舉一個(gè)個(gè)性化管理的例子——?jiǎng)?chuàng)建病毒動(dòng)態(tài)報(bào)告：我們可利用ePO數(shù)據(jù)庫(kù)，將各終端的中毒匯總?cè)罩景l(fā)布在動(dòng)態(tài)網(wǎng)頁(yè)上，以警示頻繁中毒者加強(qiáng)自律。

如果我們已購(gòu)置了其他廠商的安全產(chǎn)品，同樣可利用域進(jìn)行統(tǒng)一推送部署，減少企業(yè)的總體擁有成本。我們還可以利用組策略推送SUS客戶端，使之與內(nèi)網(wǎng)SUS服務(wù)器同步，保證所有終端在第一時(shí)間自動(dòng)打上微軟的最新安全補(bǔ)丁。

SMS對(duì)域管理模式的全方位擴(kuò)充

 微軟的Systems Management Server（SMS） 2003被IT專家網(wǎng)（TechTarget）評(píng)為Windows平臺(tái)2004年度企業(yè)級(jí)客戶端管理最佳產(chǎn)品，受到業(yè)界越來越多的關(guān)注。從網(wǎng)管角度來看，其優(yōu)勢(shì)主要還是體現(xiàn)在對(duì)域管理模式的全方位擴(kuò)充。

首先，SMS將全部數(shù)據(jù)存儲(chǔ)在后臺(tái)SQL數(shù)據(jù)庫(kù)中，便于相關(guān)人員動(dòng)態(tài)調(diào)用、動(dòng)態(tài)處理。第二，7種預(yù)置終端發(fā)現(xiàn)方法，幫助安全管理員及時(shí)發(fā)現(xiàn)域外未接受管理者，及早將其“拉入”安全防線，實(shí)施全面管理。該功能對(duì)筆記本類移動(dòng)用戶非常具有實(shí)用價(jià)值。第三，便捷易用的遠(yuǎn)程工具，甚至可清晰地看到客戶端的鼠標(biāo)動(dòng)作，安全管理員無須預(yù)先部署來自客戶端的授權(quán)，即可直接操作客戶端，對(duì)安全措施不到位者實(shí)施強(qiáng)制管理。第四，SMS已包含微軟即將推出的SUS的換代產(chǎn)品WUS的全部功能，支持SQL服務(wù)器、Exchange服務(wù)器、Office產(chǎn)品的補(bǔ)丁升級(jí)。第五，最為使用者稱道的報(bào)告功能。SMS將軟硬件資產(chǎn)詳細(xì)列表及軟件計(jì)量數(shù)據(jù)，按160張預(yù)置報(bào)表，通過Web方式提供給相關(guān)人員。

它們除了為安全管理員提供便利外，還為本單位IT領(lǐng)導(dǎo)提供豐富的、動(dòng)態(tài)的、準(zhǔn)確的決策依據(jù)。比如，微軟已經(jīng)數(shù)度提出要停止對(duì)Windows 98的技術(shù)支持，而且實(shí)際上相關(guān)的技術(shù)支持也已大打折扣。這樣，局域網(wǎng)內(nèi)那些繼續(xù)使用Windows 98操作系統(tǒng)的終端已經(jīng)成為實(shí)際上的安全隱患。SMS報(bào)告可準(zhǔn)確地統(tǒng)計(jì)出這類隱患的數(shù)量，并確切地將其定位，同時(shí)進(jìn)一步列出這些終端的硬件配置，判斷出哪些可直接升級(jí)到Windows 2000 Professional，哪些還需要硬件投入。 

將這個(gè)例子引申一下，再加上前面提到的將客戶端加入域時(shí)，由安全管理員手工完成的客戶端技術(shù)文檔，我們就可以制定出符合本單位實(shí)際需要的《客戶端技術(shù)規(guī)范》，完善我們的域建設(shè)，加強(qiáng)我們的網(wǎng)絡(luò)安全防線。