內網安全-網絡準入與桌面的管理

◆周 慶

(江陰興澄特種鋼鐵有限公司 江蘇 214400)

內網安全-網絡準入與桌面的管理

◆周 慶

(江陰興澄特種鋼鐵有限公司 江蘇 214400)

本文分析了某公司信息化安全方面的需求和現狀，并通過一個實例——在某公司實施的準入項目，說明網絡準入和桌面管理系統在企業信息化發展中的重要性。

網絡準入；桌面管理；信息安全

0 前言

某公司是全國首批節能先進單位、全國首批兩化融合示范企業。經過多年的投入和發展，某公司的信息化水平已經相對成熟，遠遠走在同行的前列，正日益為企業的生產建設發揮著不可替代的作用。如何保障整個網絡的安全和穩定，正成為某公司 IT管理人員越來越重視的問題。

1 企業現狀

某公司網絡環境情況如下：接入層交換機主要以思科為主；采用固定IP地址；A廠區與B廠區、C廠區使用VPN連接。內網上部署了防火墻、防病毒、入侵檢測、深信服等安全防護設備。

但是由于缺少內網安全管理技術手段，內網管理仍然存在以下問題：

（1）未經授權的網絡接入：總是有人將不是公司的個人設備接入內網，存在一定的泄密隱患。

（2）信息外泄：U盤、移動硬盤甚至手機等直接拷貝方式，極大增加了公司泄密的可能性；

（3）軟件隨意安裝帶來的風險；

（4）資產管理、軟件分發效率低下。

上述問題，大多數都會給網絡安全帶來威脅，存在破壞生產、竊取數據的可能。

2 解決方案

2.1 針對未經授權的網絡接入

首先我們可以來看一下準入系統的工作流程（圖1）。

圖1 準入系統的工作流程

以下是接入的具體步驟：

（1）每一臺終端計算機接入內網首先要從管理員處獲得一個固定的 IP地址，然后每臺內網計算機必須安裝準入客戶端，如果是未安裝準入客戶端的電腦終端接入網絡，其打開瀏覽器訪問任何網頁時，將被重定向到管理員指定的一個頁面，提醒其安裝準入客戶端。不安裝準入客戶端的電腦將無法訪問內部網絡。

（2）每個安裝準入客戶端的計算機均由計算機管理員給與指定賬號和密碼，賬號按部門進行建立并分配到每臺計算機，賬號伴隨每臺計算機的壽命周期，從進廠到它報廢為止。

（3）同一個賬號只能有一臺計算機所擁有，其他計算機使用相同賬號會直接提示非法賬號，無法同時登錄，同時管理員在系統后臺會接收到計算機的準入待放行信息，只有管理員確認并且允許放行的計算機才能夠接入公司內網，并且該放行操作會被系統后臺記錄，以備審查，從而杜絕外部計算機使用公司已放行計算機的IP地址和準入賬號非法接入公司內網。

再次，要防止電腦終端私自、非法卸載準入客戶端或者停止準入客戶端的運行，確保管理策略的執行。

（1）準入客戶端自帶反卸載、反非法中止、非法刪除功能；

（2）如果電腦終端私自卸載準入客戶端（如重新安裝操作系統）或者中止準入客戶端的運行，準入后臺系統可以及時發現這種行為。

2.2 針對信息外泄

（1）移動存儲設備管理

內網使用的U盤等移動存儲設備必須注冊，未注冊的移動存儲設備不能在內網使用。對U盤上的數據進行加密，只有安裝了聯軟客戶端的機器才能識別打開，并且每個加密U盤都有指定的使用人和打開密碼。已注冊的移動存儲設備，綁定到部門或個人、明確責任人、指定移動存儲設備使用范圍。由于公司還有大量安全員和試驗檢測人員需要使用相機現場拍照和用 U盤從離線機器拷貝分析用照片，并使用內部計算機進行編輯，故設置單向導入策略，使部分指定計算機可以使用未注冊的U盤或者相機，實現從未注冊U盤或相機拷貝到內網安裝準入系統計算機上，但是無法將內網文件從安裝準入系統計算機拷貝到未注冊 U盤或相機的操作，既方便了工作，又保證了信息的不外泄。

后臺會對已經安裝準入的機器使用移動存儲設備的情況進行審計，包括哪個人的存儲設備接入到哪一臺計算機上，對存儲設備進行了哪些文件復制、剪切、刪除、創建等操作，對于包含敏感文字的文件的操作進行攔截，并通知后臺管理員。

（2）非法外連管理

對終端的外連端口進行管理，禁止使用藍牙、紅外、無線、3G等外連手段。對不需要移動辦公使用的用戶終端設置策略禁止修改IP地址，限制使用范圍。并且禁止一切代理上網的行為。

在全網配置統一策略，檢測客戶機是否與外網連通，在外網架設一臺專用服務器，負責接收告警信息。一旦終端非法連通外網即時告警，在終端彈出警告信息，并切斷終端的網絡連接。

（4）打印文檔的管理目前已經啟用了文檔打印審計策略（針對工藝人員），對于打印的文件內容、時間、打印人等信息進行審計，并上傳圖片格式的打印內容到指定文件服務器，實現追溯功能。

2.3 針對軟件隨意安裝帶來的風險

（1）對于指定可能對準入軟件和公司其他軟件產生沖突的軟件設置禁止安裝的策略。

（2）為防止個別用戶隨意刪除系統自帶軟件，設置禁止打開系統自帶添加與刪除程序的策略。

（3）由于不少軟件是通過修改注冊表來達到木馬注入和啟動，增加網頁流量的目的，設置禁止隨意使用注冊表編輯器的策略。

（4）針對有員工在上班期間玩游戲的情況，加入禁止指定游戲啟動的策略，提升員工的工作效率。

2.4 針對資產管理、軟件分發等

（1）通過網絡拓撲發現，構建完整的網絡拓撲圖，并且發現網絡中所有的終端設備及終端設備與網絡設備之間的連接關系。能夠統計接入內網的終端數量以及范圍。

（2）統計網絡內終端計算機的類型和數量，并且收集每個終端計算機的使用人、使用部門、軟硬件資產等信息，并且能夠導出成各種類型的報表。

（3）準入后臺軟件分發功能可以讓管理員集中為指定范圍內的設備安裝各種軟件，可以指定到整個公司、單個分廠、某個部門甚至指定的某一個人。

3 結束語

信息安全是現在全世界都面臨的一個巨大的問題和挑戰。雖然網絡準入和桌面管理系統從技術層面可以幫助我們能夠更加快捷、準確地處理部分現有的網絡安全問題，控制員工及外來人員的上網接入及上網行為，但是我們希望公司員工能夠自覺地遵守公司的網絡行為守則，履行公司相關的管理制度，一起努力建設好我們共同的家。