實施有效的網絡行為管理11個策略

申請免費試用、咨詢電話：400-8352-114

一、網絡對辦公環(huán)境造成的危害

隨著Internet接入的普及和帶寬的增加，一方面員工上網的條件得到改善，另一方面也給企業(yè)帶來更高的網絡使用危險性、復雜性和混亂，內部員工的不當操作等使信息維護人員疲于奔命。網絡對辦公環(huán)境造成的危害主要表現(xiàn)為：

1.為給用戶電腦提供正常的標準的辦公環(huán)境，安裝操作系統(tǒng)和應用軟件已經耗費了信息中心人員一定的精力和時間，同時又難以限制用戶安裝軟件，導致信息系統(tǒng)管理人員必須花費其50%以上的精力用于維護用戶的PC系統(tǒng)，無法集中精力去開發(fā)信息系統(tǒng)的深層次功能，提升信息系統(tǒng)價值。

2.由于使用者的防范意識普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴散到全網絡，令網絡陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導致網絡長時間處于帶毒運行而系統(tǒng)管理員無能為力。

3.部分網站網頁含有惡意代碼，強行在用戶電腦上安裝各種網絡搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢；

4.個別員工私自安裝從網絡下載安裝的軟件，這些從網絡上下載的軟件安裝包多數(shù)附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢，甚至被遠程控制；有些病毒利用ARP欺騙，影響到整個片區(qū)辦公電腦的正常工作；

5.一些計算機愛好者利用辦公電腦作為學習電腦的工具，私自開啟DHCP服務器，導致辦公電腦不能正常獲取IP，且用戶計算機與應用系統(tǒng)服務器的通訊中斷，影響極壞；

6.部分員工使用公司計算機上網聊天、聽歌、看電影、打游戲，部分員工全天24小時啟用P2P軟件下載音樂和影視文件，由于flashget、迅雷和BT等軟件并發(fā)線程多，導致大量帶寬被部分員工占用，網絡速度緩慢，導致應用軟件系統(tǒng)無法正常開展業(yè)務，即便是嚴格的計算機使用管理制度也很難保障企業(yè)中的計算機只用于企業(yè)業(yè)務本身，PC的業(yè)務專注性、管控能力不強。

二、網絡行為管理和維護策略

策略1：劃分VLAN。

對全廠辦公樓宇進行了細致的VLAN劃分，防止大規(guī)模的病毒爆發(fā)和擴散，減少故障影響的范圍。VLAN劃分的基本原則：
集中辦公的樓宇建筑，按辦公樓宇樓層劃分VLAN；
分散辦公的區(qū)域，按整棟樓宇和功能區(qū)域進行劃分，如運行值班VLAN。

策略2：建立域管理。

建立域控制器，并規(guī)定所有辦公電腦必須加入域，接受域控制器的管理，同時嚴格控制用戶的權限。汕尾發(fā)電廠的員工帳號只有標準user權限。不允許信息系統(tǒng)管理員泄露域管理員密碼、Landesk管理員密碼和本地管理員密碼。

在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網絡環(huán)境中，普通員工只具備標準的user權限，實際上是對該員工辦公環(huán)境的非常實際有效的保護。

辦公PC必須嚴格遵守OU命名規(guī)則，同時實現(xiàn)實名負責制。指定員工對該PC負責，這不但是固定資產管理的要求，也是網絡安全管理的要求。對PC實施員工實名負責是至關重要的，一旦發(fā)現(xiàn)該員工電腦中毒和在廣播病毒包，信息系統(tǒng)管理員能準確定位，迅速做出反應，避免擴大影響。

策略3：PC維護包干到戶。

信息系統(tǒng)管理員在實際工作中可能存在拿本地管理員權限作為人情，這其實是一種自殺行為。任何一個具備管理管理員權限的員工，即使是信息系統(tǒng)管理員，使用Administrator權限上網，稍有不慎，便掉入網絡陷阱。為避免這種情況，對PC維護人員，采取區(qū)域包干到戶的管理，同時區(qū)域負責人的域用戶帳號具備該區(qū)域內所有辦公電腦本地管理員的權限；如果區(qū)域負責人他愿意增加本地電腦管理員權限，增加的風險和工作量將由他自己承擔。所有辦公電腦的本地管理員密碼由域控制器負責人掌握、設定或變更。

策略4：在防火墻上只開放常用或業(yè)務系統(tǒng)需要的端口，如80、25、21、110、443，其它端口一律封鎖，此項措施能有效實施對P2P和BT軟件的封鎖。

策略5：接入廠區(qū)網絡的計算機必須接受信息中心的管理。通過DHCP服務器的配合，在DHCP服務器上根據(jù)辦公電腦網卡的MAC地址固定某些辦公電腦的IP，在防火墻上設置相關的策略，允許經信息中心核準的某些IP組可以在本機上直接訪問Internet，或某些IP組只能連接局域網的應用服務器，對于不遵守OU命名規(guī)則的機器IP和沒有經過信息系統(tǒng)管理員授權的機器IP，不允許訪問Internet和Intranet，只能單機使用。

策略6：建立WSUS服務器。WSUS（Microsoft? Windows? Server Update Services）是微軟推出的免費的Windows更新管理服務，目前最新版本為2.0.0.2472，除了支持Windows系統(tǒng)（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，還可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系統(tǒng)的更新管理，并且在以后，WSUS將實現(xiàn)微軟全系列產品的更新管理。

在域服務器上通過組策略設定客戶端PC的自動更新服務（內建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系統(tǒng)中的客戶端更新組件），默認情況下，它自動通過HTTP/HTTPS協(xié)議直接連接到Microsoft Update來下載更新程序，實現(xiàn)客戶端計算機的系統(tǒng)更新。

策略7：啟用網絡準入系統(tǒng)。借助于深信服Sinfor M5400-AC產品的網絡準入系統(tǒng)，檢查用戶的計算機是否具備了相應的安全策略。只有符合相應的安全策略的計算機才允許訪問外部網絡，不具備相應安全條件的用戶計算機，不允許上網。這樣從根本上提高了企業(yè)用戶計算機的安全性，減少了企業(yè)用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風險。

策略8：建立備機、無盤系統(tǒng)和終端服務器。建立終端服務器，主要是為員工快速提供一個標準的正常的辦公環(huán)境。為保障終端服務器的安全，同時在終端服務器上使用管理員權限運行線程檢測程序，一旦發(fā)現(xiàn)有綠色版的BT、QQ、Emule、CCproxy等線程運行，檢測程序立即終止上述程序繼續(xù)運行。通過建立無盤系統(tǒng)，使得員工辦公電腦軟件系統(tǒng)不能正常運行或硬盤出現(xiàn)故障，通過網卡啟動到無盤的winxp系統(tǒng)，并通過遠程桌面連接終端服務器進行日常辦公，實現(xiàn)快速的維護響應。

建立一定數(shù)量的備機，為員工快速提供一個標準的正常的辦公電腦。

策略9：使用Landesk進行遠程維護，實現(xiàn)快速的維護響應。

策略10：借助于深信服Sinfor M5400-AC產品的網絡行為控制功能，對從常規(guī)端口過來的數(shù)據(jù)包進行特征碼檢測，從而達到徹底封鎖BT、QQ、MSN等軟件。目前由于處于基建期間，各專業(yè)存專工（數(shù)量較多）使用QQ和MSN等IM軟件的即時文字消息和廠家進行溝通和交流，暫為實施禁止QQ和MSN 等IM軟件的即時文字交流。

策略11：借助于深信服Sinfor M5400-AC產品的入侵檢測防御系統(tǒng)，使得信息系統(tǒng)管理員可以根據(jù)記錄進行統(tǒng)計分析，發(fā)現(xiàn)有潛在危險的辦公計算機，可以有針對性地進行預防性檢查。

三、實施效果

實施上述策略后，基本上能為廠區(qū)內所有辦公電腦（約300臺）提供一個正常的健康的辦公環(huán)境，主要表現(xiàn)在以下方面：

1.網絡滿足全廠人員在廠區(qū)局域網絡內辦公的需求，接入因特網的速度也比較滿意，同時還能滿足出差人員通過vpn接入廠區(qū)網絡進行移動辦公的需求；
2.基本杜絕了大規(guī)模的病毒爆發(fā)；
3.PC專注業(yè)務性和管控性加強。
4.很容易查找和定位帶病毒運行的計算機，迅速避免帶病機器繼續(xù)運行和擴大影響；
5.系統(tǒng)具備一定主動預防的能力，發(fā)現(xiàn)有潛在危險的辦公計算機，并進行針對性的預防檢查。
6.PC維護方面，大大降低了PC維護的難度、減少了信息中心人員的維護時間和精力，同時由于無盤系統(tǒng)、終端服務器和備機等提供樂及時響應用戶、快速提供標準辦公環(huán)境的能力。