科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道中小型企业如何保证用户权限策略

中小型企业如何保证用户权限策略

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

在一个大型企业的环境下,一般都会倾向于使用一个复杂(而昂贵)的控制,以防止用户误用或滥用公司的电脑和网络。但是中小型企业可能既没有这个预算,也没有相关的IT专家来实施这种控制。

作者:ZDNet China 2007年4月20日

关键字: Web安全 防病毒 恶意软件 HOW TO 安全管理

  • 评论
  • 分享微博
  • 分享邮件

在一个大型企业的环境下,一般都会倾向于使用一个复杂(而昂贵)的控制,以防止用户误用或滥用公司的电脑和网络。但是中小型企业可能既没有这个预算,也没有相关的IT专家来实施这种控制。虽然如此,设法了解你的用户们正在做什么,对你来说依旧是非常重要的。实际上,对SMB来说,这一点可能会更加重要,因为他们往往缺乏类似责任保险这样的防护措施,从而不能很好的避免自己遭受任性用户可能引起的损失。

你的用户权限策略之所以存在,主要是为了保护公司的最佳利益。但是就今天的互联商业世界而言,对这些策略的违反所导致的早已不仅仅是某个员工的生产力丧失,浪费工作时间那么简单了。他们浏览未经许可的网站,使用明令禁止的软件(比如聊天软件或者P2P下载软件),安装游戏以及进行其他等等可能导致整个网络都陷入重大安全风险的活动。而如果这样的安全破坏最终导致了未经许可的人员接触到了客户/消费者数据,那么整个公司都将面临法律诉讼的风险,甚至还会遭遇政府调查或者犯罪指控——如果你的企业隶属于一个管制行业,比如保健行业,或者金融服务行业的话。

仅仅躺在有关的法律身上睡大觉是绝对不行的,虽然这些法律规定了“雇员可以使用公司电脑做什么,不能做什么;以及雇员可以使用自己的笔记本电脑,手持设备,以及连到公司网络的家庭电脑,或者通过远程连接能做什么,不能做什么”。在知晓法律的同时,建立一个技术性的强制机制,以确保这些规则得到实施也是非常重要的。让我们来看看中小企业到底可以采取哪些方案来保证用户按照指定的方向前进。

监视和控制网页浏览

网页是一个非常好的信息来源,可以非常有效的帮助雇员完成他们的工作。但是如果员工们使用公司电脑看了不该看的网站,那么同时它也就变成了一个潜在的巨大麻烦。这些可能性非常明显:

◆如果公司电脑上显示了色情网站,或者相关色情图片被下载并随后被其他雇员看到的话,公司将因为“性骚扰”而被控“造成敌意工作环境”。

◆如果未成年人色情图片被浏览或者下载到公司电脑上的话,则不仅会导致公司被立案调查,还将导致涉案电脑被没收,一个或多个相关人员被逮捕,以及相当负面的公司新闻出现在各大媒体之上。

◆许多问题网站,包括色情网站,音乐下载网站,黑客网站以及盗版网站等,常常还附带有很多恶意内容,会传染病毒或者其他恶意软件到雇员的电脑中,并窃取雇员的相关信息。这种方式感染的病毒可能会在整个公司网络中四处传染,甚至会感染整个本地网络,或者会将被感染的系统变成一个针对本地网络的攻击入口,或者将感染系统转变成为一个“傀儡”,从而用于攻击其他网络。

对网页不加限制的浏览所造成的危险,相对有限。但是如果你不完全去掉网页存取的话,你又该如何解决上述问题呢?下面是一些解决方案:

◆许多防火墙拥有监控用户浏览网页的能力,这样你就可以看到何人何时浏览了何网站。

◆网页内容过滤软件,比如Websense(www.websense.com)以及SurfControl (www.surfcontrol.com),可以基于一系列的恶意网站策略报告,利用IP地址,域名,以及关键词来生成恶意网站列表,并根据列表对相关网站进行拦截。

◆浏览器也可以被配置为不允许下载可执行文件,阻止Active X控件,阻止Java以及其他活动性技术,从而帮助阻止那些没有被过滤软件所拦截的网站发动的“强迫性下载”。系统管理员可以在Windows电脑上使用组策略来实施浏览器的安全设定,并阻止用户修改上述相关设置。

保持电子邮件“干净”

恶意软件可以通过电子邮件的附件被发送进入网络(或者发送出去)。系统管理员可以配置邮件服务器以及邮件客户端,以禁止特定的文件类型,阻止超过指定文件大小尺寸的附件,或者干脆阻止全部的附件。Exchange Server本身并不能做到这一点,但是有很多第三方插件,比如Mail Essentials for Exchange,可以帮助你做到这一点。Outlook以及Outlook Web Access支持阻挡邮件附件,并可以通过编辑注册表来完成对它们的配置。

反病毒软件(服务器端或者客户端)可以帮助对付那些会在网络上四处传播肆虐的病毒。

和电子邮件相关的担忧不仅仅是集中在病毒或者附件上面。还有更多的问题可能会出在员工收发不适当的信件方面,或者出在泄露公司有关信息方面。在这种情况下,Mail Essentials以及其他解决方案可以通过对主题以及邮件内容进行特定关键词的扫描,从而阻止有关公司秘密的相关电子邮件发出。

阻止安装和使用被禁止的软件

在一个Windows网络上,系统管理员可以阻止用户安装或者运行特殊的软件程序(或者限制他们仅能运行有限的指定程序)。可以通过组策略,或者通过编辑注册表来达到这个目的。

而Windows Server 2003以及Windows XP/Vista,则提供了一个叫做软件限制策略的功能,系统管理员可以通过使用它,从而获得控制已安装程序运行的能力。

总结

在一个互联网连通的企业世界之中,建立一个用户权限策略,以控制用户可以在网络上做什么,以及不可以在网络上做什么是非常重要的。你不应当去期望用户会自觉遵守这些规则——实际上,你应当在条件允许时,使用技术性强制机制。防止用户浏览某些暧昧甚至危险的网页,阻止他们收发某些包含不正当内容,甚至带有危险附件的电子邮件,以及阻止他们安装或运行一些未经许可的软件,将可以有效的保护企业免于违反版权法,或遭受罪案调查,以及其他对企业的负面影响,以及防止因为进行与企业无关的活动而造成的大量工作时间消耗。

(责任编辑:陈毅东

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章