一、网络对办公环境造成的危害
随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。网络对办公环境造成的危害主要表现为:
1.信息系统管理人员必须花费其50%以上的精力用于维护用户的PC系统。
2. 一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态。
3.部分网站网页含有恶意代码,强行在用户电脑上安装各种插件,导致计算机反应缓慢;
4. 个别员工私自安装从网络下载安装的软件,这些软件安装包多数附带各种插件、木马和病毒;有些病毒利用ARP欺骗,影响到整个片区办公电脑的正常工作;
5. 部分员工启用P2P软件,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务。
二、网络行为管理和维护策略
策略1:划分VLAN。对全厂办公楼宇进行了细致的VLAN划分,防止大规模的病毒爆发和扩散,减少故障影响的范围。
策略2:建立域管理。建立域控制器,并规定所有办公电脑必须加入域,接受域控制器的管理,同时严格控制用户的权限。
策略3:PC维护包干到户。对PC维护人员,采取区域包干到户的管理,同时区域负责人的域用户帐号具备该区域内所有办公电脑本地管理员的权限。
策略4:在防火墙上只开放常用或业务系统需要的端口。
策略5:接入厂区网络的计算机必须接受信息中心的管理。
策略6:建立WSUS服务器。在域服务器上通过组策略设定客户端PC的自动更新服务。
策略7:启用网络准入系统。借助于深信服Sinfor M5400-AC产品的网络准入系统,检查用户的计算机是否具备了相应的安全策略。不具备相应安全条件的用户计算机,不允许上网。
策略8:建立备机、无盘系统和终端服务器。
策略9:使用Landesk进行远程维护,实现快速的维护响应。
策略10:借助于深信服Sinfor M5400-AC产品的网络行为控制功能,对从常规端口过来的数据包进行特征码检测。
策略11:借助于深信服Sinfor M5400-AC产品的入侵检测防御系统,使得信息系统管理员可以根据记录进行统计分析。
三、实施效果
实施上述策略后,基本上能为厂区内所有办公电脑(约300台)提供一个正常的健康的办公环境,主要表现在以下方面:
1.网络满足全厂人员在厂区局域网络内办公的需求,同时还能满足出差人员通过VPN接入厂区网络进行移动办公的需求;2.基本杜绝了大规模的病毒爆发;3.PC专注业务性和管控性加强;4.很容易查找和定位带病毒运行的计算机;5.系统具备一定主动预防的能力;6.大大降低了PC维护的难度、减少了信息中心人员的维护时间和精力。