APP下载

内网安全-网络准入与桌面的管理

2017-10-12◆周

网络安全技术与应用 2017年10期
关键词:存储设备U盘账号

◆周 庆

(江阴兴澄特种钢铁有限公司 江苏 214400)

内网安全-网络准入与桌面的管理

◆周 庆

(江阴兴澄特种钢铁有限公司 江苏 214400)

本文分析了某公司信息化安全方面的需求和现状,并通过一个实例——在某公司实施的准入项目,说明网络准入和桌面管理系统在企业信息化发展中的重要性。

网络准入;桌面管理;信息安全

0 前言

某公司是全国首批节能先进单位、全国首批两化融合示范企业。经过多年的投入和发展,某公司的信息化水平已经相对成熟,远远走在同行的前列,正日益为企业的生产建设发挥着不可替代的作用。如何保障整个网络的安全和稳定,正成为某公司 IT管理人员越来越重视的问题。

1 企业现状

某公司网络环境情况如下:接入层交换机主要以思科为主;采用固定IP地址;A厂区与B厂区、C厂区使用VPN连接。内网上部署了防火墙、防病毒、入侵检测、深信服等安全防护设备。

但是由于缺少内网安全管理技术手段,内网管理仍然存在以下问题:

(1)未经授权的网络接入:总是有人将不是公司的个人设备接入内网,存在一定的泄密隐患。

(2)信息外泄:U盘、移动硬盘甚至手机等直接拷贝方式,极大增加了公司泄密的可能性;

(3)软件随意安装带来的风险;

(4)资产管理、软件分发效率低下。

上述问题,大多数都会给网络安全带来威胁,存在破坏生产、窃取数据的可能。

2 解决方案

2.1 针对未经授权的网络接入

首先我们可以来看一下准入系统的工作流程(图1)。

图1 准入系统的工作流程

以下是接入的具体步骤:

(1)每一台终端计算机接入内网首先要从管理员处获得一个固定的 IP地址,然后每台内网计算机必须安装准入客户端,如果是未安装准入客户端的电脑终端接入网络,其打开浏览器访问任何网页时,将被重定向到管理员指定的一个页面,提醒其安装准入客户端。不安装准入客户端的电脑将无法访问内部网络。

(2)每个安装准入客户端的计算机均由计算机管理员给与指定账号和密码,账号按部门进行建立并分配到每台计算机,账号伴随每台计算机的寿命周期,从进厂到它报废为止。

(3)同一个账号只能有一台计算机所拥有,其他计算机使用相同账号会直接提示非法账号,无法同时登录,同时管理员在系统后台会接收到计算机的准入待放行信息,只有管理员确认并且允许放行的计算机才能够接入公司内网,并且该放行操作会被系统后台记录,以备审查,从而杜绝外部计算机使用公司已放行计算机的IP地址和准入账号非法接入公司内网。

再次,要防止电脑终端私自、非法卸载准入客户端或者停止准入客户端的运行,确保管理策略的执行。

(1)准入客户端自带反卸载、反非法中止、非法删除功能;

(2)如果电脑终端私自卸载准入客户端(如重新安装操作系统)或者中止准入客户端的运行,准入后台系统可以及时发现这种行为。

2.2 针对信息外泄

(1)移动存储设备管理

内网使用的U盘等移动存储设备必须注册,未注册的移动存储设备不能在内网使用。对U盘上的数据进行加密,只有安装了联软客户端的机器才能识别打开,并且每个加密U盘都有指定的使用人和打开密码。已注册的移动存储设备,绑定到部门或个人、明确责任人、指定移动存储设备使用范围。由于公司还有大量安全员和试验检测人员需要使用相机现场拍照和用 U盘从离线机器拷贝分析用照片,并使用内部计算机进行编辑,故设置单向导入策略,使部分指定计算机可以使用未注册的U盘或者相机,实现从未注册U盘或相机拷贝到内网安装准入系统计算机上,但是无法将内网文件从安装准入系统计算机拷贝到未注册 U盘或相机的操作,既方便了工作,又保证了信息的不外泄。

后台会对已经安装准入的机器使用移动存储设备的情况进行审计,包括哪个人的存储设备接入到哪一台计算机上,对存储设备进行了哪些文件复制、剪切、删除、创建等操作,对于包含敏感文字的文件的操作进行拦截,并通知后台管理员。

(2)非法外连管理

对终端的外连端口进行管理,禁止使用蓝牙、红外、无线、3G等外连手段。对不需要移动办公使用的用户终端设置策略禁止修改IP地址,限制使用范围。并且禁止一切代理上网的行为。

在全网配置统一策略,检测客户机是否与外网连通,在外网架设一台专用服务器,负责接收告警信息。一旦终端非法连通外网即时告警,在终端弹出警告信息,并切断终端的网络连接。

(4)打印文档的管理目前已经启用了文档打印审计策略(针对工艺人员),对于打印的文件内容、时间、打印人等信息进行审计,并上传图片格式的打印内容到指定文件服务器,实现追溯功能。

2.3 针对软件随意安装带来的风险

(1)对于指定可能对准入软件和公司其他软件产生冲突的软件设置禁止安装的策略。

(2)为防止个别用户随意删除系统自带软件,设置禁止打开系统自带添加与删除程序的策略。

(3)由于不少软件是通过修改注册表来达到木马注入和启动,增加网页流量的目的,设置禁止随意使用注册表编辑器的策略。

(4)针对有员工在上班期间玩游戏的情况,加入禁止指定游戏启动的策略,提升员工的工作效率。

2.4 针对资产管理、软件分发等

(1)通过网络拓扑发现,构建完整的网络拓扑图,并且发现网络中所有的终端设备及终端设备与网络设备之间的连接关系。能够统计接入内网的终端数量以及范围。

(2)统计网络内终端计算机的类型和数量,并且收集每个终端计算机的使用人、使用部门、软硬件资产等信息,并且能够导出成各种类型的报表。

(3)准入后台软件分发功能可以让管理员集中为指定范围内的设备安装各种软件,可以指定到整个公司、单个分厂、某个部门甚至指定的某一个人。

3 结束语

信息安全是现在全世界都面临的一个巨大的问题和挑战。虽然网络准入和桌面管理系统从技术层面可以帮助我们能够更加快捷、准确地处理部分现有的网络安全问题,控制员工及外来人员的上网接入及上网行为,但是我们希望公司员工能够自觉地遵守公司的网络行为守则,履行公司相关的管理制度,一起努力建设好我们共同的家。

猜你喜欢

存储设备U盘账号
彤彤的聊天账号
施诈计骗走游戏账号
采用U盘文件冗余方案实现TSP系统的可靠装载
自动辨认插口方向的U盘
我国社交媒体账号的对外传播之道——以“人民日报”Facebook账号“特朗普访华”议题报道为例
Windows 7下USB存储设备接入痕迹的证据提取
基于Flash芯片的新型存储设备数据恢复技术研究
Google Play游戏取消账号绑定没有Google账号也能玩
用批处理管理计算机USB设备的使用
U盘“闹肚子”