天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

外部开发人员接入更需管控 保密协议还不够

2009-11-26IT专家网IT专家网
60654">

  内网管控很必要

  每个企业都有数量不等的应用系统需要开发、安装、调试和维护,如果采用外包服务方式,就会有大量的外部项目开发组进驻企业,其中绝大部分开发组和技术支持组都会有访问企业数据中心服务器区内的应用系统的需求。没有或者不完善的接入管控将会扩大外部人员的访问权限,最坏的情况就是外部接入计算机可以访问到企业所有的服务器和数据。失控的外部开发人员接入是企业内部网络中最薄弱的一环,企业数据安全不能仅仅依靠双方签定的保密协议。所以,更严格的外部开发人员接入管控可以提高应用系统和数据的安全等级。

  外部接入要设限

  虽然很多企业的内部网络用户(员工)的接入管控已经做到接入交换机的端口与接入设备的 MAC和IP地址进行绑定,但不是所有管理员都能对每个接入的用户(组)制定访问控制策略。这样,外部开发组就能与企业内部员工获得同样多的访问权限。

  对于没有做接入管控的外部开发组,一旦有接入内部网络的需求并获得批准,其可以访问服务器的数量与企业最高管理层一样多,惟一能阻止他们获得数据访问的权限就仅剩下用户名和密码。对于IT专业的开发者,接管整台服务器并不比试探或截取密码更难。

  失控的外部开发人员接入还会产生更严重的后果: 接入计算机的病毒传入内部网络; 对内部网络不正常广播或攻击引起网络阻塞; 越权访问重要应用系统(如财务系统); 非法的数据复制及外泄; 如果接入计算机同时又联入互联网,黑客还可以通过接管该计算机对内部网络及服务器进行攻击。

  对于开发组的网络结构和需求,基本可以分为以下几类:

  ● 开发组内部组成独立的局网;

  ● 在独立局域网中设置服务器区,安装开发及调试服务器;

  ● 开发及调试服务器上线后,需要接入企业数据中心机房;

  ● 该局域网中部分用户需要访问企业数据中心其他系统的服务器(如做数据交换接口的调试)等。

  接入管控必须做到在满足外部开发组需求的同时,保证企业数据中心的安全。

  仅通过技术手段管控是否足够?一个最基本的事实是,批准人根本就不认识外部开发人员。所以,对于外部开发人员接入企业内部网络的管控,不仅要从技术方面做控制策略,还要通过制度和过程管理等多个方面进行综合管控,才能达到预期效果。

  接入管控流程

  外部开发人员接入内部网络必须是一个完整的管控流程,流程必须涵盖外部开发人员、开发组负责人、项目负责人、信息主管部门负责人和操作人员的关系和责任,明确网络结构、网络接入的方法和访问控制策略。

  管控工作流程包括:

  (一)接入内部网络的开发组网络

  1. 申请: 对于要接入内部网络的开发组局域网,需由该项目负责人提出申请。申请表包含有该开发组需要访问的服务器和端口。

  2. 审查: 使用网络区域的信息部门负责人批准。

  3. 批准: 企业信息中心负责人批准。

  4. 实施: 由当地信息部门的网络管理员开通相应的权限。

  (二)使用企业内部网络的外部开发人员

  1. 申请: 每个要使用企业内部网络的外部开发人员必须提交上网申请表并签字。

  2. 证明: 申请人所在公司负责该项目的项目经理或项目负责人签字。

  3. 担保: 该项目的甲方项目经理或负责人签字担保; 担保人需承担对申请人作上网前的安全培训。

  4. 批准: 使用网络区域的信息部门负责人批准。

  5. 实施: 由当地信息部门的网络管理员开通相应的权限,并向申请人发放用户名和密码。

  基本管控策略

  最基本的管控策略包括对接入设备、接入过程和访问策略三个方面的控制。

  其中,接入设备通常是开发用计算机和应用系统服务器。首先,每个开发组应该有一个独立的办公区域,保证计算机设备的安全。项目开发实施单位都为开发工程师配备了笔记本电脑,但工程师通常用它来上网或收发邮件。为防止企业内部数据、程序代码及技术资料被非法拷贝外泄,企业值得为每个开发组配备专用的开发计算机。开发计算机应安装桌面及外设控制,关闭USB接口和CD-R,避免内部数据的非法复制和外泄。对于导入数据的操作,需要制定统一的数据录入策略: 在数据介质安全性检查通过后,由专用计算机导入开发系统。还可以通过建立域控制器提高管控的等级,为每个开发者建立账号,这样不仅可以提高开发用计算机的利用率,还可以实施更细致的接入控制策略。当然,接入网络时的设备健康检查仍然不可或缺。设备接入过程控制主要是防止未经许可的设备通过开发局域网接入企业内部网络。在开发组的办公区域内建设开发环境用的专用局域网,使用独立的交换机。每台开发用计算机和开发及测试服务器的 MAC 和 IP 与接入交换机端口绑定,把不同的开发组的连接端口设置成独立的VLAN。每个 VLAN 采用私网 IP 地址,这样不仅可以节约内部 IP 地址,而且避免外部人员了解企业内部的网络地址结构,也方便安全设备的策略设置。对于 VLAN 内部或与其他开发组互访的 VLAN,可以在交换机设置策略。

  所有外部开发环境用的局域网通过防火墙做 NAPT 后接入企业内部网络。对于开发和测试服务器在企业数据中心的项目,防火墙对允许访问的服务器作 IP 地址和端口的访问控制策略,以防止访问权限的失控。

  对于预算充裕的企业,可以加入设备接入健康检查、NAC、DLP等,还可以为每个开发工程师发放身份卡和内部证书,实现更加灵活和可靠的管控。

  项目完成后,还应该要求将桌面、日志、行为审计、交换机和防火墙策略等数据刻盘,所有的申请表存档保存。

  这样,一个完整的接入管控才真正完成。

本文来源:IT专家网 作者:IT专家网

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行