扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:广东红海湾发电有限公司生产经营部信息中心苏彤彤
广东红海湾发电有限公司信息中心成立一年多,尤其在管理信息系统硬件和综合布线项目实施期间,先后经历了魔波病毒、ARP欺骗、私自开启DHCP、DLink交换机硬件故障引发网络风暴等大规模故障,在解决问题的过程里,信息中心人员就如何限制一些非正常上网行为、防治大规模的病毒爆发、如何实施快速有效的服务响应积累一定的经验。
一、网络对办公环境造成的危害
随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为:
1.为给用户电脑提供正常的标准的办公环境,安装操作系统和应用软件已经耗费了信息中心人员一定的精力和时间,同时又难以限制用户安装软件,导致信息系统管理人员必须花费其50%以上的精力用于维护用户的PC系统,无法集中精力去开发信息系统的深层次功能,提升信息系统价值。
2.由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行而系统管理员无能为力。
3.部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢;
4.个别员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑大量的资源消耗,导致计算机反应缓慢,甚至被远程控制;有些病毒利用ARP欺骗,影响到整个片区办公电脑的正常工作;
5.一些计算机爱好者利用办公电脑作为学习电脑的工具,私自开启DHCP服务器,导致办公电脑不能正常获取IP,且用户计算机与应用系统服务器的通讯中断,影响极坏;
6.部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24小时启用P2P软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强。
二、网络行为管理和维护策略
策略1:划分VLAN。
对全厂办公楼宇进行了细致的VLAN划分,防止大规模的病毒爆发和扩散,减少故障影响的范围。VLAN划分的基本原则:
集中办公的楼宇建筑,按办公楼宇楼层划分VLAN;
分散办公的区域,按整栋楼宇和功能区域进行划分,如运行值班VLAN。
策略2:建立域管理。
建立域控制器,并规定所有办公电脑必须加入域,接受域控制器的管理,同时严格控制用户的权限。汕尾发电厂的员工帐号只有标准user权限。不允许信息系统管理员泄露域管理员密码、Landesk管理员密码和本地管理员密码。
在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中,普通员工只具备标准的user权限,实际上是对该员工办公环境的非常实际有效的保护。
办公PC必须严格遵守OU命名规则,同时实现实名负责制。指定员工对该PC负责,这不但是固定资产管理的要求,也是网络安全管理的要求。对PC实施员工实名负责是至关重要的,一旦发现该员工电脑中毒和在广播病毒包,信息系统管理员能准确定位,迅速做出反应,避免扩大影响。
策略3:PC维护包干到户。
信息系统管理员在实际工作中可能存在拿本地管理员权限作为人情,这其实是一种自杀行为。任何一个具备管理管理员权限的员工,即使是信息系统管理员,使用Administrator权限上网,稍有不慎,便掉入网络陷阱。为避免这种情况,对PC维护人员,采取区域包干到户的管理,同时区域负责人的域用户帐号具备该区域内所有办公电脑本地管理员的权限;如果区域负责人他愿意增加本地电脑管理员权限,增加的风险和工作量将由他自己承担。
所有办公电脑的本地管理员密码由域控制器负责人掌握、设定或变更。
策略4:在防火墙上只开放常用或业务系统需要的端口,如80、25、21、110、443,其它端口一律封锁,此项措施能有效实施对P2P和BT软件的封锁。
策略5:接入厂区网络的计算机必须接受信息中心的管理。通过DHCP服务器的配合,在DHCP服务器上根据办公电脑网卡的MAC地址固定某些办公电脑的IP,在防火墙上设置相关的策略,允许经信息中心核准的某些IP组可以在本机上直接访问Internet,或某些IP组只能连接局域网的应用服务器,对于不遵守OU命名规则的机器IP和没有经过信息系统管理员授权的机器IP,不允许访问Internet和Intranet,只能单机使用。
策略6:建立WSUS服务器。WSUS(Microsoft Windows Server Update Services)是微软推出的免费的Windows更新管理服务,目前最新版本为2.0.0.2472,除了支持Windows系统(Windows 2000全系列、Windows XP全系列和Windows server 2003全系列)的更新管理外,还可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系统的更新管理,并且在以后,WSUS将实现微软全系列产品的更新管理。
在域服务器上通过组策略设定客户端PC的自动更新服务(内建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系统中的客户端更新组件),默认情况下,它自动通过HTTP/HTTPS协议直接连接到Microsoft Update来下载更新程序,实现客户端计算机的系统更新。
策略7:启用网络准入系统。借助于深信服Sinfor M5400-AC产品的网络准入系统,检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,不允许上网。这样从根本上提高了企业用户计算机的安全性,减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。
策略8:建立备机、无盘系统和终端服务器。
建立终端服务器,主要是为员工快速提供一个标准的正常的办公环境。为保障终端服务器的安全,同时在终端服务器上使用管理员权限运行线程检测程序,一旦发现有绿色版的BT、QQ、Emule、CCproxy等线程运行,检测程序立即终止上述程序继续运行。
通过建立无盘系统,使得员工办公电脑软件系统不能正常运行或硬盘出现故障,通过网卡启动到无盘的winxp系统,并通过远程桌面连接终端服务器进行日常办公,实现快速的维护响应。
建立一定数量的备机,为员工快速提供一个标准的正常的办公电脑。
策略9:使用Landesk进行远程维护,实现快速的维护响应。
策略10:借助于深信服Sinfor M5400-AC产品的网络行为控制功能,对从常规端口过来的数据包进行特征码检测,从而达到彻底封锁BT、QQ、MSN等软件。目前由于处于基建期间,各专业存专工(数量较多)使用QQ和MSN等IM软件的即时文字消息和厂家进行沟通和交流,暂为实施禁止QQ和MSN 等IM软件的即时文字交流。
策略11:借助于深信服Sinfor M5400-AC产品的入侵检测防御系统,使得信息系统管理员可以根据记录进行统计分析,发现有潜在危险的办公计算机,可以有针对性地进行预防性检查。
三、实施效果
实施上述策略后,基本上能为厂区内所有办公电脑(约300台)提供一个正常的健康的办公环境,主要表现在以下方面:
1.网络满足全厂人员在厂区局域网络内办公的需求,接入因特网的速度也比较满意,同时还能满足出差人员通过vpn接入厂区网络进行移动办公的需求;
2.基本杜绝了大规模的病毒爆发;
3.PC专注业务性和管控性加强。
4.很容易查找和定位带病毒运行的计算机,迅速避免带病机器继续运行和扩大影响;
5.系统具备一定主动预防的能力,发现有潜在危险的办公计算机,并进行针对性的预防检查。
6.PC维护方面,大大降低了PC维护的难度、减少了信息中心人员的维护时间和精力,同时由于无盘系统、终端服务器和备机等提供乐及时响应用户、快速提供标准办公环境的能力;
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台