内网安全-网络准入与桌面的管理

2017-10-12◆周庆

网络安全技术与应用 2017年10期

关键词：存储设备U盘账号

◆周庆

(江阴兴澄特种钢铁有限公司江苏 214400)

内网安全-网络准入与桌面的管理

◆周庆

(江阴兴澄特种钢铁有限公司江苏 214400)

本文分析了某公司信息化安全方面的需求和现状，并通过一个实例——在某公司实施的准入项目，说明网络准入和桌面管理系统在企业信息化发展中的重要性。

网络准入；桌面管理；信息安全

0 前言

某公司是全国首批节能先进单位、全国首批两化融合示范企业。经过多年的投入和发展，某公司的信息化水平已经相对成熟，远远走在同行的前列，正日益为企业的生产建设发挥着不可替代的作用。如何保障整个网络的安全和稳定，正成为某公司 IT管理人员越来越重视的问题。

1 企业现状

某公司网络环境情况如下：接入层交换机主要以思科为主；采用固定IP地址；A厂区与B厂区、C厂区使用VPN连接。内网上部署了防火墙、防病毒、入侵检测、深信服等安全防护设备。

但是由于缺少内网安全管理技术手段，内网管理仍然存在以下问题：

（1）未经授权的网络接入：总是有人将不是公司的个人设备接入内网，存在一定的泄密隐患。

（2）信息外泄：U盘、移动硬盘甚至手机等直接拷贝方式，极大增加了公司泄密的可能性；

（3）软件随意安装带来的风险；

（4）资产管理、软件分发效率低下。

上述问题，大多数都会给网络安全带来威胁，存在破坏生产、窃取数据的可能。

2 解决方案

2.1 针对未经授权的网络接入

首先我们可以来看一下准入系统的工作流程（图1）。

图1 准入系统的工作流程

以下是接入的具体步骤：

（1）每一台终端计算机接入内网首先要从管理员处获得一个固定的 IP地址，然后每台内网计算机必须安装准入客户端，如果是未安装准入客户端的电脑终端接入网络，其打开浏览器访问任何网页时，将被重定向到管理员指定的一个页面，提醒其安装准入客户端。不安装准入客户端的电脑将无法访问内部网络。

（2）每个安装准入客户端的计算机均由计算机管理员给与指定账号和密码，账号按部门进行建立并分配到每台计算机，账号伴随每台计算机的寿命周期，从进厂到它报废为止。

（3）同一个账号只能有一台计算机所拥有，其他计算机使用相同账号会直接提示非法账号，无法同时登录，同时管理员在系统后台会接收到计算机的准入待放行信息，只有管理员确认并且允许放行的计算机才能够接入公司内网，并且该放行操作会被系统后台记录，以备审查，从而杜绝外部计算机使用公司已放行计算机的IP地址和准入账号非法接入公司内网。

再次，要防止电脑终端私自、非法卸载准入客户端或者停止准入客户端的运行，确保管理策略的执行。

（1）准入客户端自带反卸载、反非法中止、非法删除功能；

（2）如果电脑终端私自卸载准入客户端（如重新安装操作系统）或者中止准入客户端的运行，准入后台系统可以及时发现这种行为。

2.2 针对信息外泄

（1）移动存储设备管理

内网使用的U盘等移动存储设备必须注册，未注册的移动存储设备不能在内网使用。对U盘上的数据进行加密，只有安装了联软客户端的机器才能识别打开，并且每个加密U盘都有指定的使用人和打开密码。已注册的移动存储设备，绑定到部门或个人、明确责任人、指定移动存储设备使用范围。由于公司还有大量安全员和试验检测人员需要使用相机现场拍照和用 U盘从离线机器拷贝分析用照片，并使用内部计算机进行编辑，故设置单向导入策略，使部分指定计算机可以使用未注册的U盘或者相机，实现从未注册U盘或相机拷贝到内网安装准入系统计算机上，但是无法将内网文件从安装准入系统计算机拷贝到未注册 U盘或相机的操作，既方便了工作，又保证了信息的不外泄。

后台会对已经安装准入的机器使用移动存储设备的情况进行审计，包括哪个人的存储设备接入到哪一台计算机上，对存储设备进行了哪些文件复制、剪切、删除、创建等操作，对于包含敏感文字的文件的操作进行拦截，并通知后台管理员。

（2）非法外连管理

对终端的外连端口进行管理，禁止使用蓝牙、红外、无线、3G等外连手段。对不需要移动办公使用的用户终端设置策略禁止修改IP地址，限制使用范围。并且禁止一切代理上网的行为。

在全网配置统一策略，检测客户机是否与外网连通，在外网架设一台专用服务器，负责接收告警信息。一旦终端非法连通外网即时告警，在终端弹出警告信息，并切断终端的网络连接。

（4）打印文档的管理目前已经启用了文档打印审计策略（针对工艺人员），对于打印的文件内容、时间、打印人等信息进行审计，并上传图片格式的打印内容到指定文件服务器，实现追溯功能。