左膀右臂 內(nèi)管外控
發(fā)布時(shí)間:2016-09-27 來(lái)源:華電濰坊發(fā)電有限公司
?信息安全已經(jīng)成為企業(yè)信息發(fā)展的重要課題。活動(dòng)目錄的集中管理���、策略管理和軟件控制可以為用戶提供一個(gè)安全可靠的工作環(huán)境�;內(nèi)網(wǎng)管理的P2P智能控制、IM聊天軟件管理等實(shí)現(xiàn)了用戶上網(wǎng)行為的安全監(jiān)控�����?��;顒?dòng)目錄和內(nèi)網(wǎng)管理一個(gè)是用于“內(nèi)管”��,一個(gè)是用于“外控”��,是保障局域網(wǎng)安全的左膀右臂����。
傳統(tǒng)的安全防御理念局限在常規(guī)的系統(tǒng)漏洞掃描�、防火墻策略����、病毒查殺等方面���,安全網(wǎng)關(guān)、防火墻等安全設(shè)備多集中部署在網(wǎng)絡(luò)出口����。雖然減小了外網(wǎng)的安全威脅,但忽視了內(nèi)網(wǎng)的安全隱患�����。由于企業(yè)員工信息安全意識(shí)低�����,企業(yè)信息安全管理松散����,私裝軟件、私用代理�����、違規(guī)上網(wǎng)�����、違規(guī)使用移動(dòng)設(shè)備等情形使得局域網(wǎng)安全隱患重重,加之企業(yè)局域網(wǎng)絡(luò)內(nèi)應(yīng)用系統(tǒng)多種多樣����,數(shù)據(jù)庫(kù)混雜不一,應(yīng)用網(wǎng)絡(luò)交叉相連��,工作人員結(jié)構(gòu)復(fù)雜�����,給企業(yè)信息安全管理帶來(lái)了巨大壓力��。
如果僅僅依靠公司制度來(lái)約束職工上網(wǎng)行為,一方面不可能保證所有職工都能自覺遵守,而個(gè)別職工的違規(guī)行為會(huì)給整個(gè)網(wǎng)絡(luò)造成不可挽回的損失�����,輕者數(shù)據(jù)丟失�����,重者導(dǎo)致重要應(yīng)用系統(tǒng)癱瘓��;另一方面,依靠事后考核�����,無(wú)法實(shí)現(xiàn)保證網(wǎng)絡(luò)安全的目的。只有在加固外網(wǎng)防御的同時(shí)��,加強(qiáng)內(nèi)網(wǎng)管理�,充分利用活動(dòng)目錄的優(yōu)勢(shì),規(guī)范職工的上網(wǎng)行為��,真正解決企業(yè)局域網(wǎng)的內(nèi)憂外患����,才能保證網(wǎng)絡(luò)的安全。
活動(dòng)目錄是將局域網(wǎng)內(nèi)的用戶賬戶放在域控制器上進(jìn)行集中管理��,并通過(guò)用戶權(quán)限管理實(shí)現(xiàn)網(wǎng)絡(luò)資源的分級(jí)控制�����,在實(shí)現(xiàn)方便管理的同時(shí)�,提高局域網(wǎng)內(nèi)資源訪問的安全性。
通過(guò)活動(dòng)目錄域��,將企業(yè)賬戶進(jìn)行集中管理����,按照用戶職責(zé)的不同規(guī)劃組織單位��,對(duì)組織單位進(jìn)行權(quán)限分配���,未授權(quán)用戶不能進(jìn)行越權(quán)操作,非法用戶不能登錄域內(nèi)的電腦���,實(shí)現(xiàn)了賬戶權(quán)限的集中管理和安全管理���。同時(shí),不同權(quán)限的域用戶可以繼承域控上不同的策略�,通過(guò)域策略,可以讓用戶在局域網(wǎng)內(nèi)任意終端登錄時(shí)使用自己的桌面�,繼承管理員授權(quán)的應(yīng)用權(quán)限,授權(quán)使用管理員指定的軟件�����,訪問管理員允許的共享資源等等��,實(shí)現(xiàn)了脫離計(jì)算機(jī)的域賬戶管理�����,將賬戶的安全管理脫離計(jì)算機(jī)的約束,提升到服務(wù)器上執(zhí)行����,保證了賬戶管理的安全性�。
針對(duì)不同組織單位,通過(guò)賬戶策略����、本地策略、軟件限制策略����,實(shí)現(xiàn)對(duì)賬戶安全、本機(jī)權(quán)限和軟件執(zhí)行權(quán)限的控制���,軟件限制策略可以通過(guò)哈希規(guī)則���、路徑規(guī)則、證書規(guī)則�、Internet區(qū)域規(guī)則四種不同的方式,授權(quán)用戶對(duì)軟件的使用��。
通過(guò)活動(dòng)目錄域的軟件指派和分發(fā)功能可以方便的進(jìn)行安全軟件的自動(dòng)安裝����,并通過(guò)組策略實(shí)現(xiàn)軟件的升級(jí)或重新部署����,能時(shí)刻保證殺毒軟件和操作系統(tǒng)的及時(shí)更新和實(shí)時(shí)在線����,時(shí)刻為計(jì)算機(jī)提供基礎(chǔ)安全保障。
通過(guò)文件夾重定向功能����,可以將用戶的資料數(shù)據(jù)安全的指向網(wǎng)絡(luò)的一個(gè)安全空間,讓技術(shù)資料和應(yīng)用系統(tǒng)真正從物理空間上隔離�����,不但保證了域用戶隨時(shí)隨地的資料訪問和安全辦公����,還能通過(guò)域用戶實(shí)現(xiàn)了安全的訪問控制;另一方面�����,可以保證計(jì)算機(jī)故障或用戶流動(dòng)造成的數(shù)據(jù)流失和泄密�。
在活動(dòng)目錄域內(nèi)�����,可以將存儲(chǔ)空間方便的共享給某些授權(quán)的域賬戶���,并通過(guò)域控將共享存儲(chǔ)空間的控制權(quán)限指定到特定的賬戶�,通過(guò)共享權(quán)限和安全權(quán)限設(shè)置訪問級(jí)別,還可以通過(guò)磁盤限額設(shè)置使用空間的大小���,由于用戶權(quán)限控制是完全在域控上進(jìn)行的����,用戶訪問時(shí)��,就像訪問自己電腦上的一個(gè)磁盤��,能實(shí)現(xiàn)比FTP等軟件更方便和安全的資源共享�����,是數(shù)據(jù)資料備份和共享的首選方案���。
內(nèi)網(wǎng)管理一般通過(guò)路由模式或橋接模式將硬件連接到網(wǎng)絡(luò)出口�,并通過(guò)內(nèi)網(wǎng)管理系統(tǒng)進(jìn)行網(wǎng)絡(luò)監(jiān)控。首先要通過(guò)內(nèi)網(wǎng)管理系統(tǒng)將上網(wǎng)賬戶規(guī)劃到不同的組織結(jié)構(gòu)����,針對(duì)不同組織結(jié)構(gòu)進(jìn)行策略配置。如圖1����、圖2、圖3所示���。
圖1 網(wǎng)絡(luò)架構(gòu)部署圖
圖2 內(nèi)網(wǎng)管理系統(tǒng)界面
圖3 內(nèi)網(wǎng)管理上網(wǎng)策略列表
內(nèi)網(wǎng)管理系統(tǒng)可以通過(guò)核心文件識(shí)別的方式�,實(shí)現(xiàn)用戶的網(wǎng)絡(luò)準(zhǔn)入控制�。通過(guò)準(zhǔn)入控制,可以強(qiáng)制接入網(wǎng)絡(luò)的計(jì)算機(jī)安裝指定的殺毒軟件�����、升級(jí)病毒庫(kù)���、安裝系統(tǒng)漏洞補(bǔ)丁等�,從而保證接入網(wǎng)絡(luò)的終端的安全性和可靠性�,從源頭上防止病毒的傳播。
BT���、Emule等下載軟件以及在線視頻軟件會(huì)占用大量的網(wǎng)絡(luò)帶寬資源��。內(nèi)網(wǎng)管理系統(tǒng)通過(guò)應(yīng)用識(shí)別規(guī)則可以根據(jù)協(xié)議�、端口、方向���、數(shù)據(jù)包長(zhǎng)度匹配��、數(shù)據(jù)包內(nèi)容匹配等多個(gè)條件來(lái)檢測(cè)流量����,不僅能很好地識(shí)別和管控常用P2P���、加密P2P,對(duì)不常見和未來(lái)將出現(xiàn)的P2P亦能通過(guò)規(guī)則升級(jí)實(shí)現(xiàn)管控����,能限制指定用戶的P2P所占用的帶寬,既允許指定用戶使用P2P���,又不會(huì)濫用帶寬��,充分滿足管理的靈活性�����。
內(nèi)網(wǎng)管理系統(tǒng)可以隨時(shí)監(jiān)控內(nèi)網(wǎng)用戶的互聯(lián)網(wǎng)行為�����,隨時(shí)對(duì)文件發(fā)送�����、信息發(fā)布�、網(wǎng)絡(luò)言論等進(jìn)行監(jiān)控,保證企業(yè)的信息資產(chǎn)安全�����,避免組織遇到法律風(fēng)險(xiǎn)����,又滿足員工正常上網(wǎng)需求。
QQ�、MSN和炒股軟件等即時(shí)通訊工具占用上班時(shí)間降低工作效率,目前很多公司都明文禁止使用這類軟件���,但是這些軟件在設(shè)計(jì)的時(shí)候就加入了突破防火墻的設(shè)置��,一般網(wǎng)絡(luò)防火墻很難阻隔它們��。內(nèi)網(wǎng)管理通過(guò)應(yīng)用程序的識(shí)別規(guī)則輕松封堵各種常用應(yīng)用程序��,硬件網(wǎng)關(guān)通過(guò)檢測(cè)數(shù)據(jù)包中的特征值來(lái)識(shí)別是否需要阻隔��。如果該數(shù)據(jù)包包含設(shè)定的特征值�,那么它就不能夠被發(fā)送或者接收,從而達(dá)到有效阻隔的目的���。在不方便封堵時(shí)����,還可以針對(duì)特定應(yīng)用程序進(jìn)行流量控制的管理���。通過(guò)特有的聊天內(nèi)容同步偵聽技術(shù)可實(shí)現(xiàn)對(duì)QQ、Skype�、MSNShell、飛信等加密聊天內(nèi)容的監(jiān)聽和記錄���,幫助企業(yè)在開放IM的同時(shí)確保聊天內(nèi)容可審可控�。
面對(duì)互聯(lián)網(wǎng)威脅�,內(nèi)網(wǎng)管理系統(tǒng)可以通過(guò)內(nèi)置自動(dòng)更新的海量URL地址庫(kù)����、結(jié)合搜索引擎輸入關(guān)鍵字過(guò)濾�、基于網(wǎng)頁(yè)正文關(guān)鍵字過(guò)濾網(wǎng)頁(yè)、SSL加密網(wǎng)頁(yè)識(shí)別與過(guò)濾����、以及基于人工智能的網(wǎng)頁(yè)智能分析系統(tǒng),幫助企業(yè)徹底避免因?yàn)樵L問非法網(wǎng)頁(yè)�����、危險(xiǎn)網(wǎng)頁(yè)而帶來(lái)的風(fēng)險(xiǎn)����。
內(nèi)網(wǎng)管理系統(tǒng)內(nèi)置的殺毒引擎對(duì)網(wǎng)頁(yè)、郵件�����、文件中潛藏的病毒進(jìn)行徹底查殺���,能很好地解決震蕩波�����、沖擊波���、熊貓燒香等病毒泛濫對(duì)企業(yè)局域網(wǎng)的可靠性�、可用性造成的威脅�����,為企業(yè)營(yíng)造綠色���、安全的網(wǎng)絡(luò)應(yīng)用環(huán)境��。
內(nèi)網(wǎng)管理系統(tǒng)能很好的通過(guò)防火墻規(guī)則實(shí)現(xiàn)LAN與DMZ區(qū)域的安全通訊和危險(xiǎn)行為過(guò)濾�,并能通過(guò)控制最大TCP連接數(shù)來(lái)很好的防止DOS攻擊�,通過(guò)靜態(tài)ARP設(shè)置實(shí)現(xiàn)ARP欺騙防護(hù)。
“內(nèi)管”活動(dòng)目錄為網(wǎng)絡(luò)看家護(hù)院��,“外控”內(nèi)網(wǎng)管理為網(wǎng)絡(luò)保駕護(hù)航��,徹底解決了網(wǎng)絡(luò)的內(nèi)憂和外患����,保障局域網(wǎng)安全的可控在控�。■
關(guān)鍵詞:
電力新聞
