監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

實(shí)施有效的網(wǎng)絡(luò)行為管理11個(gè)策略

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來(lái)源:泛普軟件

一、網(wǎng)絡(luò)對(duì)辦公環(huán)境造成的危害

隨著Internet接入的普及和帶寬的增加,一方面員工上網(wǎng)的條件得到改善,另一方面也給企業(yè)帶來(lái)更高的網(wǎng)絡(luò)使用危險(xiǎn)性、復(fù)雜性和混亂,內(nèi)部員工的不當(dāng)操作等使信息維護(hù)人員疲于奔命。網(wǎng)絡(luò)對(duì)辦公環(huán)境造成的危害主要表現(xiàn)為:

1.為給用戶電腦提供正常的標(biāo)準(zhǔn)的辦公環(huán)境,安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)耗費(fèi)了信息中心人員一定的精力和時(shí)間,同時(shí)又難以限制用戶安裝軟件,導(dǎo)致信息系統(tǒng)管理人員必須花費(fèi)其50%以上的精力用于維護(hù)用戶的PC系統(tǒng),無(wú)法集中精力去開(kāi)發(fā)信息系統(tǒng)的深層次功能,提升信息系統(tǒng)價(jià)值。

2.由于使用者的防范意識(shí)普遍偏低,防毒措施往往不到位,一旦發(fā)生病毒感染,往往擴(kuò)散到全網(wǎng)絡(luò),令網(wǎng)絡(luò)陷于癱瘓狀態(tài),部分致命的蠕蟲(chóng)病毒利用TCP/IP協(xié)議的各種漏洞,使得木馬、病毒傳播迅速,影響規(guī)模大,導(dǎo)致網(wǎng)絡(luò)長(zhǎng)時(shí)間處于帶毒運(yùn)行而系統(tǒng)管理員無(wú)能為力。

3.部分網(wǎng)站網(wǎng)頁(yè)含有惡意代碼,強(qiáng)行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件或中文域名插件等,增加了辦公電腦大量的資源消耗,導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢;

4.個(gè)別員工私自安裝從網(wǎng)絡(luò)下載安裝的軟件,這些從網(wǎng)絡(luò)上下載的軟件安裝包多數(shù)附帶各種插件、木馬和病毒,并在安裝過(guò)程中用戶不知情的情況下強(qiáng)行安裝在辦公電腦上,增加了辦公電腦大量的資源消耗,導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢,甚至被遠(yuǎn)程控制;有些病毒利用ARP欺騙,影響到整個(gè)片區(qū)辦公電腦的正常工作;

5.一些計(jì)算機(jī)愛(ài)好者利用辦公電腦作為學(xué)習(xí)電腦的工具,私自開(kāi)啟DHCP服務(wù)器,導(dǎo)致辦公電腦不能正常獲取IP,且用戶計(jì)算機(jī)與應(yīng)用系統(tǒng)服務(wù)器的通訊中斷,影響極壞;

6.部分員工使用公司計(jì)算機(jī)上網(wǎng)聊天、聽(tīng)歌、看電影、打游戲,部分員工全天24小時(shí)啟用P2P軟件下載音樂(lè)和影視文件,由于flashget、迅雷和BT等軟件并發(fā)線程多,導(dǎo)致大量帶寬被部分員工占用,網(wǎng)絡(luò)速度緩慢,導(dǎo)致應(yīng)用軟件系統(tǒng)無(wú)法正常開(kāi)展業(yè)務(wù),即便是嚴(yán)格的計(jì)算機(jī)使用管理制度也很難保障企業(yè)中的計(jì)算機(jī)只用于企業(yè)業(yè)務(wù)本身,PC的業(yè)務(wù)專注性、管控能力不強(qiáng)。

二、網(wǎng)絡(luò)行為管理和維護(hù)策略

策略1:劃分VLAN。

對(duì)全廠辦公樓宇進(jìn)行了細(xì)致的VLAN劃分,防止大規(guī)模的病毒爆發(fā)和擴(kuò)散,減少故障影響的范圍。VLAN劃分的基本原則:
集中辦公的樓宇建筑,按辦公樓宇樓層劃分VLAN;
分散辦公的區(qū)域,按整棟樓宇和功能區(qū)域進(jìn)行劃分,如運(yùn)行值班VLAN。

策略2:建立域管理。

建立域控制器,并規(guī)定所有辦公電腦必須加入域,接受域控制器的管理,同時(shí)嚴(yán)格控制用戶的權(quán)限。汕尾發(fā)電廠的員工帳號(hào)只有標(biāo)準(zhǔn)user權(quán)限。不允許信息系統(tǒng)管理員泄露域管理員密碼、Landesk管理員密碼和本地管理員密碼。

在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網(wǎng)絡(luò)環(huán)境中,普通員工只具備標(biāo)準(zhǔn)的user權(quán)限,實(shí)際上是對(duì)該員工辦公環(huán)境的非常實(shí)際有效的保護(hù)。

辦公PC必須嚴(yán)格遵守OU命名規(guī)則,同時(shí)實(shí)現(xiàn)實(shí)名負(fù)責(zé)制。指定員工對(duì)該P(yáng)C負(fù)責(zé),這不但是固定資產(chǎn)管理的要求,也是網(wǎng)絡(luò)安全管理的要求。對(duì)PC實(shí)施員工實(shí)名負(fù)責(zé)是至關(guān)重要的,一旦發(fā)現(xiàn)該員工電腦中毒和在廣播病毒包,信息系統(tǒng)管理員能準(zhǔn)確定位,迅速做出反應(yīng),避免擴(kuò)大影響。

策略3:PC維護(hù)包干到戶。

信息系統(tǒng)管理員在實(shí)際工作中可能存在拿本地管理員權(quán)限作為人情,這其實(shí)是一種自殺行為。任何一個(gè)具備管理管理員權(quán)限的員工,即使是信息系統(tǒng)管理員,使用Administrator權(quán)限上網(wǎng),稍有不慎,便掉入網(wǎng)絡(luò)陷阱。為避免這種情況,對(duì)PC維護(hù)人員,采取區(qū)域包干到戶的管理,同時(shí)區(qū)域負(fù)責(zé)人的域用戶帳號(hào)具備該區(qū)域內(nèi)所有辦公電腦本地管理員的權(quán)限;如果區(qū)域負(fù)責(zé)人他愿意增加本地電腦管理員權(quán)限,增加的風(fēng)險(xiǎn)和工作量將由他自己承擔(dān)。所有辦公電腦的本地管理員密碼由域控制器負(fù)責(zé)人掌握、設(shè)定或變更。

策略4:在防火墻上只開(kāi)放常用或業(yè)務(wù)系統(tǒng)需要的端口,如80、25、21、110、443,其它端口一律封鎖,此項(xiàng)措施能有效實(shí)施對(duì)P2P和BT軟件的封鎖。

策略5:接入廠區(qū)網(wǎng)絡(luò)的計(jì)算機(jī)必須接受信息中心的管理。通過(guò)DHCP服務(wù)器的配合,在DHCP服務(wù)器上根據(jù)辦公電腦網(wǎng)卡的MAC地址固定某些辦公電腦的IP,在防火墻上設(shè)置相關(guān)的策略,允許經(jīng)信息中心核準(zhǔn)的某些IP組可以在本機(jī)上直接訪問(wèn)Internet,或某些IP組只能連接局域網(wǎng)的應(yīng)用服務(wù)器,對(duì)于不遵守OU命名規(guī)則的機(jī)器IP和沒(méi)有經(jīng)過(guò)信息系統(tǒng)管理員授權(quán)的機(jī)器IP,不允許訪問(wèn)Internet和Intranet,只能單機(jī)使用。

策略6:建立WSUS服務(wù)器。WSUS(Microsoft? Windows? Server Update Services)是微軟推出的免費(fèi)的Windows更新管理服務(wù),目前最新版本為2.0.0.2472,除了支持Windows系統(tǒng)(Windows 2000全系列、Windows XP全系列和Windows server 2003全系列)的更新管理外,還可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系統(tǒng)的更新管理,并且在以后,WSUS將實(shí)現(xiàn)微軟全系列產(chǎn)品的更新管理。

在域服務(wù)器上通過(guò)組策略設(shè)定客戶端PC的自動(dòng)更新服務(wù)(內(nèi)建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系統(tǒng)中的客戶端更新組件),默認(rèn)情況下,它自動(dòng)通過(guò)HTTP/HTTPS協(xié)議直接連接到Microsoft Update來(lái)下載更新程序,實(shí)現(xiàn)客戶端計(jì)算機(jī)的系統(tǒng)更新。

策略7:?jiǎn)⒂镁W(wǎng)絡(luò)準(zhǔn)入系統(tǒng)。借助于深信服Sinfor M5400-AC產(chǎn)品的網(wǎng)絡(luò)準(zhǔn)入系統(tǒng),檢查用戶的計(jì)算機(jī)是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的計(jì)算機(jī)才允許訪問(wèn)外部網(wǎng)絡(luò),不具備相應(yīng)安全條件的用戶計(jì)算機(jī),不允許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計(jì)算機(jī)的安全性,減少了企業(yè)用戶遭受蠕蟲(chóng)、病毒、木馬以及間諜軟件的風(fēng)險(xiǎn)。

策略8:建立備機(jī)、無(wú)盤系統(tǒng)和終端服務(wù)器。建立終端服務(wù)器,主要是為員工快速提供一個(gè)標(biāo)準(zhǔn)的正常的辦公環(huán)境。為保障終端服務(wù)器的安全,同時(shí)在終端服務(wù)器上使用管理員權(quán)限運(yùn)行線程檢測(cè)程序,一旦發(fā)現(xiàn)有綠色版的BT、QQ、Emule、CCproxy等線程運(yùn)行,檢測(cè)程序立即終止上述程序繼續(xù)運(yùn)行。通過(guò)建立無(wú)盤系統(tǒng),使得員工辦公電腦軟件系統(tǒng)不能正常運(yùn)行或硬盤出現(xiàn)故障,通過(guò)網(wǎng)卡啟動(dòng)到無(wú)盤的winxp系統(tǒng),并通過(guò)遠(yuǎn)程桌面連接終端服務(wù)器進(jìn)行日常辦公,實(shí)現(xiàn)快速的維護(hù)響應(yīng)。

建立一定數(shù)量的備機(jī),為員工快速提供一個(gè)標(biāo)準(zhǔn)的正常的辦公電腦。

策略9:使用Landesk進(jìn)行遠(yuǎn)程維護(hù),實(shí)現(xiàn)快速的維護(hù)響應(yīng)。

策略10:借助于深信服Sinfor M5400-AC產(chǎn)品的網(wǎng)絡(luò)行為控制功能,對(duì)從常規(guī)端口過(guò)來(lái)的數(shù)據(jù)包進(jìn)行特征碼檢測(cè),從而達(dá)到徹底封鎖BT、QQ、MSN等軟件。目前由于處于基建期間,各專業(yè)存專工(數(shù)量較多)使用QQ和MSN等IM軟件的即時(shí)文字消息和廠家進(jìn)行溝通和交流,暫為實(shí)施禁止QQ和MSN 等IM軟件的即時(shí)文字交流。

策略11:借助于深信服Sinfor M5400-AC產(chǎn)品的入侵檢測(cè)防御系統(tǒng),使得信息系統(tǒng)管理員可以根據(jù)記錄進(jìn)行統(tǒng)計(jì)分析,發(fā)現(xiàn)有潛在危險(xiǎn)的辦公計(jì)算機(jī),可以有針對(duì)性地進(jìn)行預(yù)防性檢查。

三、實(shí)施效果

實(shí)施上述策略后,基本上能為廠區(qū)內(nèi)所有辦公電腦(約300臺(tái))提供一個(gè)正常的健康的辦公環(huán)境,主要表現(xiàn)在以下方面:

1.網(wǎng)絡(luò)滿足全廠人員在廠區(qū)局域網(wǎng)絡(luò)內(nèi)辦公的需求,接入因特網(wǎng)的速度也比較滿意,同時(shí)還能滿足出差人員通過(guò)vpn接入廠區(qū)網(wǎng)絡(luò)進(jìn)行移動(dòng)辦公的需求;
2.基本杜絕了大規(guī)模的病毒爆發(fā);
3.PC專注業(yè)務(wù)性和管控性加強(qiáng)。
4.很容易查找和定位帶病毒運(yùn)行的計(jì)算機(jī),迅速避免帶病機(jī)器繼續(xù)運(yùn)行和擴(kuò)大影響;
5.系統(tǒng)具備一定主動(dòng)預(yù)防的能力,發(fā)現(xiàn)有潛在危險(xiǎn)的辦公計(jì)算機(jī),并進(jìn)行針對(duì)性的預(yù)防檢查。
6.PC維護(hù)方面,大大降低了PC維護(hù)的難度、減少了信息中心人員的維護(hù)時(shí)間和精力,同時(shí)由于無(wú)盤系統(tǒng)、終端服務(wù)器和備機(jī)等提供樂(lè)及時(shí)響應(yīng)用戶、快速提供標(biāo)準(zhǔn)辦公環(huán)境的能力。

 

發(fā)布:2007-04-22 09:22    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普西安OA快博其他應(yīng)用

西安OA軟件 西安OA新聞動(dòng)態(tài) 西安OA信息化 西安OA快博 西安OA行業(yè)資訊 西安軟件開(kāi)發(fā)公司 西安門禁系統(tǒng) 西安物業(yè)管理軟件 西安倉(cāng)庫(kù)管理軟件 西安餐飲管理軟件 西安網(wǎng)站建設(shè)公司