?信息安全已经成为企业信息发展的重要课题。活动目录的集中管理、策略管理和软件控制可以为用户提供一个安全可靠的工作环境;内网管理的P2P智能控制、IM聊天软件管理等实现了用户上网行为的安全监控。活动目录和内网管理一个是用于“内管”,一个是用于“外控”,是保障局域网安全的左膀右臂。
局域网的内忧与外患
传统的安全防御理念局限在常规的系统漏洞扫描、防火墙策略、病毒查杀等方面,安全网关、防火墙等安全设备多集中部署在网络出口。虽然减小了外网的安全威胁,但忽视了内网的安全隐患。由于企业员工信息安全意识低,企业信息安全管理松散,私装软件、私用代理、违规上网、违规使用移动设备等情形使得局域网安全隐患重重,加之企业局域网络内应用系统多种多样,数据库混杂不一,应用网络交叉相连,工作人员结构复杂,给企业信息安全管理带来了巨大压力。
如果仅仅依靠公司制度来约束职工上网行为,一方面不可能保证所有职工都能自觉遵守,而个别职工的违规行为会给整个网络造成不可挽回的损失,轻者数据丢失,重者导致重要应用系统瘫痪;另一方面,依靠事后考核,无法实现保证网络安全的目的。只有在加固外网防御的同时,加强内网管理,充分利用活动目录的优势,规范职工的上网行为,真正解决企业局域网的内忧外患,才能保证网络的安全。
左膀内管:活动目录
活动目录是将局域网内的用户账户放在域控制器上进行集中管理,并通过用户权限管理实现网络资源的分级控制,在实现方便管理的同时,提高局域网内资源访问的安全性。
通过活动目录域,将企业账户进行集中管理,按照用户职责的不同规划组织单位,对组织单位进行权限分配,未授权用户不能进行越权操作,非法用户不能登录域内的电脑,实现了账户权限的集中管理和安全管理。同时,不同权限的域用户可以继承域控上不同的策略,通过域策略,可以让用户在局域网内任意终端登录时使用自己的桌面,继承管理员授权的应用权限,授权使用管理员指定的软件,访问管理员允许的共享资源等等,实现了脱离计算机的域账户管理,将账户的安全管理脱离计算机的约束,提升到服务器上执行,保证了账户管理的安全性。
针对不同组织单位,通过账户策略、本地策略、软件限制策略,实现对账户安全、本机权限和软件执行权限的控制,软件限制策略可以通过哈希规则、路径规则、证书规则、Internet区域规则四种不同的方式,授权用户对软件的使用。
通过活动目录域的软件指派和分发功能可以方便的进行安全软件的自动安装,并通过组策略实现软件的升级或重新部署,能时刻保证杀毒软件和操作系统的及时更新和实时在线,时刻为计算机提供基础安全保障。
通过文件夹重定向功能,可以将用户的资料数据安全的指向网络的一个安全空间,让技术资料和应用系统真正从物理空间上隔离,不但保证了域用户随时随地的资料访问和安全办公,还能通过域用户实现了安全的访问控制;另一方面,可以保证计算机故障或用户流动造成的数据流失和泄密。
在活动目录域内,可以将存储空间方便的共享给某些授权的域账户,并通过域控将共享存储空间的控制权限指定到特定的账户,通过共享权限和安全权限设置访问级别,还可以通过磁盘限额设置使用空间的大小,由于用户权限控制是完全在域控上进行的,用户访问时,就像访问自己电脑上的一个磁盘,能实现比FTP等软件更方便和安全的资源共享,是数据资料备份和共享的首选方案。
右臂外控:内网管理
内网管理一般通过路由模式或桥接模式将硬件连接到网络出口,并通过内网管理系统进行网络监控。首先要通过内网管理系统将上网账户规划到不同的组织结构,针对不同组织结构进行策略配置。如图1、图2、图3所示。
图1 网络架构部署图
图2 内网管理系统界面
图3 内网管理上网策略列表
内网管理系统可以通过核心文件识别的方式,实现用户的网络准入控制。通过准入控制,可以强制接入网络的计算机安装指定的杀毒软件、升级病毒库、安装系统漏洞补丁等,从而保证接入网络的终端的安全性和可靠性,从源头上防止病毒的传播。
BT、Emule等下载软件以及在线视频软件会占用大量的网络带宽资源。内网管理系统通过应用识别规则可以根据协议、端口、方向、数据包长度匹配、数据包内容匹配等多个条件来检测流量,不仅能很好地识别和管控常用P2P、加密P2P,对不常见和未来将出现的P2P亦能通过规则升级实现管控,能限制指定用户的P2P所占用的带宽,既允许指定用户使用P2P,又不会滥用带宽,充分满足管理的灵活性。
内网管理系统可以随时监控内网用户的互联网行为,随时对文件发送、信息发布、网络言论等进行监控,保证企业的信息资产安全,避免组织遇到法律风险,又满足员工正常上网需求。
QQ、MSN和炒股软件等即时通讯工具占用上班时间降低工作效率,目前很多公司都明文禁止使用这类软件,但是这些软件在设计的时候就加入了突破防火墙的设置,一般网络防火墙很难阻隔它们。内网管理通过应用程序的识别规则轻松封堵各种常用应用程序,硬件网关通过检测数据包中的特征值来识别是否需要阻隔。如果该数据包包含设定的特征值,那么它就不能够被发送或者接收,从而达到有效阻隔的目的。在不方便封堵时,还可以针对特定应用程序进行流量控制的管理。通过特有的聊天内容同步侦听技术可实现对QQ、Skype、MSNShell、飞信等加密聊天内容的监听和记录,帮助企业在开放IM的同时确保聊天内容可审可控。
面对互联网威胁,内网管理系统可以通过内置自动更新的海量URL地址库、结合搜索引擎输入关键字过滤、基于网页正文关键字过滤网页、SSL加密网页识别与过滤、以及基于人工智能的网页智能分析系统,帮助企业彻底避免因为访问非法网页、危险网页而带来的风险。
内网管理系统内置的杀毒引擎对网页、邮件、文件中潜藏的病毒进行彻底查杀,能很好地解决震荡波、冲击波、熊猫烧香等病毒泛滥对企业局域网的可靠性、可用性造成的威胁,为企业营造绿色、安全的网络应用环境。
内网管理系统能很好的通过防火墙规则实现LAN与DMZ区域的安全通讯和危险行为过滤,并能通过控制最大TCP连接数来很好的防止DOS攻击,通过静态ARP设置实现ARP欺骗防护。
“内管”活动目录为网络看家护院,“外控”内网管理为网络保驾护航,彻底解决了网络的内忧和外患,保障局域网安全的可控在控。■
