论文关键词:局域网 信息安全 策略 部署
论文摘要:通过介绍如何设置安全策略、规范,引导用户安全使用办公电脑,在提升工作效率的同时也能保证其安全性。
由于电脑和网络的日趋普及,单位的日常业务日趋办公自动化,在提高工作效率的同时,越来越多的电脑以及网络化也使得信息安全性受到更大威胁。
目前气象部门的网络现状分为两个网段:172段和192段。192段为内部局域网,只能在本单位互联;172段为广西气象宽带网,可以在区内互联,日常的业务报文、资料、办公应用(notes)等都是通过此网段来完成。
市级仅有一到两位网络管理员管理全局网络,而县级则无专职网络管理员。
1网络办公环境潜在的威胁
随着internet接人的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给单位带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。网络办公环境潜在的威胁主要表现为:
(1)为给用户电脑提供正常的标准的办公环境,安装操作系统和应用软件已经耗费了管理人员一定的精力和时间,同时又难以限制用户安装软件,导致管理人员必须花费其50%以上的精力用于维护用户的pc系统,无法集中精力去开发信息系统的深层次功能,提升信息系统价值。
(2)由于使用者的防范意识普遍偏低,防毒措施往往不到位,在局域网共享,包括默认共享(无意),文件共享(有意)的情况下,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用tcp/ip协议的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行,反复发作,使维护人员为此疲于奔命,却无法有效根除。
(3)部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,有些网络软件附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑大量的资源消耗,导致计算机反应缓慢,甚至被远程控制。
(4)部分员工使用计算机上网聊天、听歌、看电影、打游戏,全天24h启用p2p软件下载音乐和影视文件,由于f lash get、迅雷和bt等软件并发线程多,导致大量带宽被占用,网络速度缓慢,以至于应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障网络中的计算机只用于本单位业务本身,pc的业务专注性、管控能力不强。
2安全部署方案
针对以上这些因素,我们可以通过统一定义客户端机器的安全策略、规范,引导用户安全使用办公电脑。
2.1建立域管理
(1)建立域控制器,并规定所有办公电脑必须加入域,接受域控制器的管理,同时严格控制用户的权限。如限制员工帐号只有标准user权限。在如今各种流氓插件、广告插件、木马和病毒霸道横行的网络环境中,普通员工只具备标准的power,user权限,实际上是对办公环境有效的保护。
办公pc实现实名负责制,指定员工对该pc负责,这不但是固定资产管理的要求,也是网络安全管理的要求。对pc实施员工实名负责是至关重要的,一旦发现该员工的电脑中毒和在广播病毒包,网络管理员能准确定位,迅速做出反应,避免扩大影响。
(2)在防火墙上只开放常用或业务系统需要的端口,如80,25,21,110,443等,其它端口一律封锁,有效实施对p2p和bt软件的封锁。
(3)接人网络的计算机必须接受统一管理。通过在防火墙上设置相关的策略,允许经核准的某些ip组可以在本机上直接访问internet,或某些ip组只能连接局域网的应用服务器,对于不遵守命名规则的机器ip和没有经过网络管理员授权的机器ip,不允许访问internet和intranet,只能单机使用。
(4)建立防病毒服务器(比如诺顿、瑞星等),通过防病毒及时更新计算机的病毒库,增强整体的病毒抵御能力,及时消灭网内病毒。
(5)启用组策略。检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,不允许上网。这样从根本上提高了单位用户计算机的安全性,减少了用户遭受蠕虫、病毒、木马以及间谍软件的风险。
(6)借助于人侵检测防御系统,使得管理员可以根据记录进行统计分析,发现有潜在危险的办公计算机,可以有针对性地进行预防性检查。
2.2文件服务器的要求
(1)每个用户都能存取删除自己所拥有的文件。
(2)每个使用者都要有自己的帐户,并且对特定文件夹的访问需要形成日志保存下来供管理员查看。
(3)保证用户存放在服务器上的文件不携带病毒和其它有危害性的代码。
(4)每个用户只能在服务器上存放一定大小,类型的文件,而不是无限大的文件,并且当存放文件到特定警戒线的时候能通知管理员。
(5)文件服务器的安全保证:文件服务器主要是保存各种单位私密文件,所以其安全性主要是考虑服务器上保存的文件的安全性,文件服务器本身做磁盘冗余,这样即使服务器有一个硬盘损坏也不会导致文件丢失,另外还可通过异地备份将文件服务器上文件保存一份到其他服务器上,这样即使文件服务器遭遇灾难性的损坏我们的文件也不会丢失。
2.3综合安全优化
(1)所有用户初始权限为power user能正常访问本地所有资源,受限安装软件,禁止用户修改注册表,禁止修改tcp/ip,禁止修改计算机设置。
(2)停掉guest帐号。
(3)修改管理员帐号和创建陷阱帐号。
(4)删除默认共享。
(5)禁用ipc连接,重新设置远程可访问的注册表路径。
(6)关闭不需要的端口。
(7)关闭不需要的服务。
(8)锁住注册表。
(9)运行防病毒软件。
(10)备份。
(11)监视服务器性能:通过实时和日志方式来监视服务器性能。
2.4逐步完善各类相应的管理制度
(1)针对用户对计算机的操作使用,管理及保护,如常用操作系统的安装说明、常用病毒及网络安全设置步骤、病毒的防御措施、不得进行哪些相关的操作及网络访问等等进行阐述和明文规定;
(2)核心网络设置管理:针对网络设备、服务器等设置及管理做的详细阐述;
(3)编写it岗位说明书,规范it管理人员的日常必要维护事项及操作方法,比如设备盘点登记表、设备健康卡,日常维护记录表、工作日志、设备申购表、报废表等。