中国信息官CIO精英 前沿视野 经验之谈 职业发展 信息官杂谈 | 产品资讯笔记本 商用电脑 服务器 办公 网络设备 存储设备 软件 显示设备 其他

您当前的位置: 首页 > 资料库 > 解决方案 〉企业内网安全建设浅谈

企业内网安全建设浅谈

2012-08-03 09:11:32

    3.3.4客户端反卸载功能


    终端计算机客户端代理具有自我保护功能,可以防止客户端用户随意卸载、停止代理或者删除代理的安装目录下文件。管理员必须有卸载口令才能对客户端进行卸载操作,而且卸载口令可以动态变化并下发到终端上。


    即使终端客户通过格式化系统盘并重装操作系统来卸载客户端,系统也可以通过与网络准入控制功能的联动来实现对该终端的强制控制,当终端再次接入内网后,网络准入控制系统会自动把该终端划到访客区中,该终端必须重新安装客户端来实现进入网络。


    3.3.5终端安全策略管理


    系统可以对客户端操作系统漏洞进行扫描,包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示,提醒用户自己机器存在的安全漏洞,并且也会通知管理员。


    系统可以设置双向防火墙策略来限制客户端的网络访问。包括可以设定客户端向外提供的网络服务、客户端可以访问的网络服务。通过黑名单、白名单的方式来制定终端的网络访问控制策略。


    系统可以通过白名单、黑名单方式定义违禁软件,这些违禁软件被运行时可以产生告警事件通知管理员,或者直接禁止违禁软件的使用。


    利用网络行为审计功能实现终端用户上网行为审计和控制,包括:通过白名单和黑名单,审计和控制Web网站的访问,可以禁止终端用户访问一些非法Web网站;通过白名单和黑名单,审计和控制通过POP3和SMTP服务器收发邮件,可以禁止终端用户通过外部邮箱收发邮件;对文件拷贝进行审计和控制;对MSN、QQ等聊天软件的使用进行审计和控制,可以禁止某个时间段内使用这些聊天工具;对BT、电驴等P2P软件的使用进行审计和控制,可以禁止这些P2P软件的使用。


    3.3.6网络异常监控


    系统客户端能够自动抵御ARP网关欺骗和DHCP欺骗,能够实现自动识别,并选用正确的网关MAC。当发现ARP网关欺骗时,能够自动向管理员报警。因为网络结构调整或者网络设备升级原因而更换网关设备时,无需更改终端的配置,终端能够自动适应,选择新的网关MAC地址。


    3.3.7终端行为审计与控制


    系统可以实现局域网内终端计算机的个人行为审计,包括:U盘控制功能,实现U盘的读写控制;定义终端设备能够通过哪些POP3和SMTP服务器收发邮件,禁止通过哪些POP3和SMTP服务器收发邮件,哪些需要进行审计;通过Web访问控制,可以限制桌面终端用户通过WebMail方式外传文件,从而防止文件非法外传;能够对桌面终端用户使用MSN/QQ等进行监控和管理,禁止其通过QQ/MSN外传文件,也能够防止桌面终端用户通过文件共享和FTP等的方式外传文件,从而保证了企业的核心机密数据不被泄漏。


    另外,补丁分发、软件分发等功能较为简单,就不再详细描述。


    4 结束语


    随着信息技术的不断发展和进步,内网安全的管理也在不断的发展。从最初的资产管理、补丁分发,到准入控制、设备加密、行为审计,再到数据防泄漏、透明加密,随着技术的进步和内网安全理念的不断深入发展,内网安全的建设也越来越全面,越来越成熟。


    目前,内网安全管理已经进入了整体防泄漏时代。准入控制和加密不能解决所有的问题,单纯的行为审计也没有任何意义。我们只有从企业信息安全管理的全局视角出发,对信息安全进行全方位、多角度的设计,统筹规划、统一安排,全面整合利用准入控制、网络监控、安全审计、权限管理、透明加密等多种手段,根据企业局域网内安全等级的不同,涉密级别的不同,部署级别不同、力度不一的梯度式防护系统,将管理、技术、审计、人员进行有机的结合,在企业内部构建一个立体化的整体安全网络,才能实现真正意义上的内网安全

(责编:fanwei)

投稿邮箱:cio114@foxmail.com