用戶簡(jiǎn)介：

某電器廠共有兩個(gè)廠部，兩個(gè)廠部網(wǎng)絡(luò)用光纖連接。信息中心位于總廠，采用DDN專線接入互聯(lián)網(wǎng)，并設(shè)有CISCO PIX防火墻，所有交換機(jī)支持智能管理，并劃分了VLAN。全廠共有12臺(tái)服務(wù)器，運(yùn)行了兩種操作系統(tǒng)（Windows 2003和Linux），其中2臺(tái)服務(wù)器沒有安裝應(yīng)用，但配置相對(duì)較老。工程師建立了基于微軟活動(dòng)目錄的用戶管理中心，郵件系統(tǒng)為Exchange 2003 Sever。

內(nèi)網(wǎng)現(xiàn)況：

起初一段時(shí)間網(wǎng)絡(luò)運(yùn)行情況比較穩(wěn)定，但隨著員工對(duì)網(wǎng)絡(luò)使用技巧的熟悉，網(wǎng)絡(luò)應(yīng)用逐漸增多，隨之帶來的信息泄露、病毒感染情況也越來越多。

網(wǎng)絡(luò)工程師部署了一些簡(jiǎn)單的安全措施和規(guī)定，但效果不很明顯，其內(nèi)容如下：

部分客戶端安裝了單機(jī)版防毒軟件，由用戶自行升級(jí)。

采用了安裝補(bǔ)丁的腳本配置，但需要用戶每次登錄域后才能分發(fā)補(bǔ)丁。

員工和外來人員的筆記本電腦需要登記后使用，但未做硬性管理，也就是說只是書面的管理規(guī)定。

部分電腦安裝了安全衛(wèi)士360，并啟用了U盤防毒功能，但效果不明顯。

公司曾有一名開發(fā)部員工將開發(fā)圖紙泄露給競(jìng)爭(zhēng)對(duì)手，已經(jīng)由公安機(jī)關(guān)立案?jìng)刹椋醪綉岩墒怯蒕Q或郵件系統(tǒng)發(fā)送出去的，公司現(xiàn)規(guī)定所有員工不允許安裝即時(shí)通信軟件，但總有一些年輕人忍受不了寂寞，安裝IM軟件，被扣工資的事情總有發(fā)生。

公司規(guī)定如果發(fā)現(xiàn)病毒后需要將網(wǎng)線拔掉，不能感染其他用戶，但部分很多人都不知道什么狀態(tài)是感染了病毒，這項(xiàng)規(guī)定一直沒有得到實(shí)施。

公司郵件服務(wù)器經(jīng)常收到垃圾郵件和病毒郵件的困擾，所以公司要求員工不要打開這些陌生人的郵件，但很多人置若罔聞。

有部分住廠里宿舍的員工喜歡研究黑客技術(shù)，曾發(fā)現(xiàn)他們的計(jì)算機(jī)安裝過竊聽軟件，另外發(fā)現(xiàn)他們有人拿公司服務(wù)器練手的情況，教育多次后有所改正。不過很難保證這些小伙子們都不再犯。

分廠共有9臺(tái)交換機(jī)，其中部分交換機(jī)不能支持VLAN劃分，分廠沒有網(wǎng)絡(luò)工程師，只是外聘了一名網(wǎng)管員，網(wǎng)絡(luò)安全事故發(fā)生的頻率更多。這使得總部的網(wǎng)絡(luò)管理員頻繁奔波于兩個(gè)廠部之間，幫助維修分廠處理這些病毒和軟件故障。總部的網(wǎng)絡(luò)管理人員夜不能寐，很想把那兩臺(tái)沒有用的老服務(wù)器利用起來，他能否睡個(gè)安穩(wěn)覺？

問題所在

這個(gè)電器廠遇到的問題不僅存在于他們一家，很多用戶在安全管理方面都存在著類似的問題。我們歸納一下，主要有2個(gè)問題：

1．缺乏規(guī)劃

電器廠的內(nèi)網(wǎng)有多種類型的員工，除分為內(nèi)部員工和外來人員外，在內(nèi)部員工中還有一些掌握企業(yè)重要信息的部門，

例如開發(fā)部、財(cái)務(wù)部等，以及技術(shù)較好、喜歡研究黑客技術(shù)的潛在危險(xiǎn)分子。

沒有將域和訪問控制緊密結(jié)合、并對(duì)各種類型的人進(jìn)行分類和訪問權(quán)限劃分，是該電器廠應(yīng)抓緊補(bǔ)救的規(guī)劃。

2．手段單一

我們發(fā)現(xiàn)，雖然電器廠在發(fā)現(xiàn)安全問題后嘗試了多種手段，例如安裝單機(jī)版殺毒軟件、啟用U盤防毒、甚至出臺(tái)強(qiáng)制

性規(guī)定，但依然無法徹底解決各種安全隱患。隨著員工對(duì)網(wǎng)絡(luò)的進(jìn)一步熟悉，令網(wǎng)管員頭疼的安全事故將會(huì)愈演愈烈。

問題在于該廠的安全防范措施不能夠藥到病除，導(dǎo)致網(wǎng)管翻來覆去的處理同一種類型的安全事故，事倍功半。

輕重緩急

所有的工作都分為重要的和緊急的，如果長期不做重要的事情，緊急的事件就會(huì)接踵而來。拿電器廠來說，由于沒有解決我們上面提到的規(guī)劃，沒有及時(shí)部署全面、有效的網(wǎng)絡(luò)安全管理措施，導(dǎo)致經(jīng)常有一些突發(fā)事件出現(xiàn)。

具體來說，電器廠應(yīng)該先針對(duì)不同身份的上網(wǎng)人員進(jìn)行權(quán)限劃分，給不同的部門和人分配不同級(jí)別的網(wǎng)絡(luò)訪問權(quán)限。這個(gè)可以通過安全設(shè)備來實(shí)現(xiàn)，并和微軟活動(dòng)目錄相互配合。

同時(shí)，電器廠需要盡快采用完善的網(wǎng)絡(luò)安全管理手段，畢竟行政上的規(guī)定在對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的管理時(shí)往往無能為力，必須配以合適的網(wǎng)絡(luò)管理手段才可以治標(biāo)又治本。同時(shí)，網(wǎng)管員可以通過遠(yuǎn)程訪問來分別管理兩個(gè)廠區(qū)的網(wǎng)絡(luò)，避免兩地奔波，在路上浪費(fèi)過多事件。

另外，本著“要事第一”的原則，我們認(rèn)為電器廠的個(gè)別問題可以推遲考慮，例如對(duì)服務(wù)器的利用。不過，目前電器廠在內(nèi)容安全上存在問題較多，而內(nèi)容安全的管理設(shè)備多會(huì)產(chǎn)生大量的日志。通過把2臺(tái)服務(wù)器作為內(nèi)容安全設(shè)備的日志中心，既利用了現(xiàn)有資源、又實(shí)現(xiàn)了新的功能，是一個(gè)可以值得考慮的處理方式。

畢竟要先解決重要緊急的事情。

解決方案

深信服科技建議該電器廠考慮部署AC上網(wǎng)行為管理解決方案。上網(wǎng)行為管理包括身份認(rèn)證、網(wǎng)絡(luò)準(zhǔn)入規(guī)則、外發(fā)信息管理、Web訪問控制、文件傳輸記錄等，囊括了內(nèi)網(wǎng)用戶從撥入Internet到訪問Internet中產(chǎn)生的所有相關(guān)網(wǎng)絡(luò)行為。

首先針對(duì)電器廠的IT規(guī)劃問題和身份認(rèn)證問題，AC產(chǎn)品可以很好的解決。AC可以自動(dòng)搜集局域網(wǎng)中所有活動(dòng)電腦的IP和MAC地址，包括三層交換機(jī)下的用戶，并且可以通過和域聯(lián)動(dòng)，導(dǎo)入域中現(xiàn)有的用戶。網(wǎng)管可以通過將這些IP根據(jù)部門和個(gè)人進(jìn)行合理劃分，給不同的人分配不同的網(wǎng)絡(luò)訪問權(quán)限。

AC的網(wǎng)絡(luò)準(zhǔn)入規(guī)則可以對(duì)內(nèi)網(wǎng)終端的應(yīng)用軟件進(jìn)行管理，如果某臺(tái)PC安裝了不符合網(wǎng)管員設(shè)定策略的軟件，該P(yáng)C將無法訪問網(wǎng)絡(luò)。這樣，目前電器廠面臨的部分員工安裝竊聽軟件等行為就可以避免。同時(shí)，AC的網(wǎng)絡(luò)準(zhǔn)入規(guī)則可以配合補(bǔ)丁分發(fā)來實(shí)現(xiàn)，如果內(nèi)網(wǎng)某臺(tái)PC沒有安裝殺毒軟件、防火墻，或者沒有及時(shí)對(duì)操作系統(tǒng)打不定，AC都可以自動(dòng)阻攔其對(duì)網(wǎng)絡(luò)的訪問，直到該P(yáng)C符合規(guī)定的安全策略。

而對(duì)于公司存在的泄密問題，AC可以從兩方面進(jìn)行管理。第一，AC可以根據(jù)客戶需求，封堵所有的軟件和應(yīng)用，這樣電器廠就不需要出臺(tái)各種規(guī)定和罰款制度了。第二，對(duì)所有的網(wǎng)絡(luò)外發(fā)行為，AC都可以實(shí)現(xiàn)審計(jì)，包括QQ、MSN、郵件（包括客戶端郵件和Web郵件）、FTP等，這樣就可以盡量避免個(gè)別員工將機(jī)密信息泄漏。

對(duì)于困擾電器廠已久的病毒問題，我們可以在AC上增加網(wǎng)絡(luò)殺毒模塊，通過配合單機(jī)版殺毒軟件，實(shí)現(xiàn)本地和網(wǎng)絡(luò)的病毒查殺，盡量杜絕員工通過U盤、網(wǎng)絡(luò)下載、收取病毒郵件帶來的隱患。

方案點(diǎn)評(píng)

AC上網(wǎng)行為管理解決方案可以解決電器廠目前的大多數(shù)內(nèi)網(wǎng)安全問題，并可以通過網(wǎng)絡(luò)準(zhǔn)入規(guī)則實(shí)現(xiàn)對(duì)終端的軟件管理。為了更完善的管理好網(wǎng)絡(luò)，我們建議電器廠還要定期對(duì)服務(wù)器和網(wǎng)絡(luò)進(jìn)行安全性掃描和維護(hù)，避免出現(xiàn)漏洞，被人所利用。在服務(wù)器前可以添加防火墻、SSL VPN等設(shè)備，保障服務(wù)器群的安全。