网络管理指导书
网络管理指导书之一:使用技术手段规范组织IT管理制度

一、IT管理制度执行中常见的难题

员工A:“谁又改了IP,和我冲突了!”
员工B:“网管,我们这层楼突然都上不了网了,你过来看看怎么回事。”
员工C:“单位老让我们安杀毒软件,害得我电脑慢了许多,我就把它删了。”
员工D:“昨天上班时,我在国外一个有趣的网站看到这条消息,转发到某论坛,点击率很高!”
    IT管理者为了保证计算机网络的正常运行,保护单位计算机及网络设备的安全,为单位制定了IT管理制度。然而,在执行当中却困难重重,像AB四位员工所遇到的情况,CD两位员工的行为,都让IT管理者十分头疼,让组织的IT管理制度形同虚设。下面我们分析一下,传统的IT管理制度在实际执行中常见的问题:

1.用户入网管理制度

  1. 新入网的计算机、需要临时开通上网权限的用户,应到管理员处备案并由管理员分配给网络账号,采用分组管理,并详细登记:用户姓名、部门名称、相应账号名及口令。严禁未登记、未备案的新用户私自入网。
  2. 对于公用区电脑(一机多用),用户使用时必须使用网络管理员配给的私有账号进行认证,离开时必须注销帐户,严禁未按规定认证或者一号多用的情况。帐户持有人有确保账号安全的义务。
  3. 具有域帐户的用户在申请上网权限时,必须按规定使用域认证,未通过认证的用户将不被授予互联网访问权限。

    实际上,由于缺乏有效的技术手段,网管员很难做到真正地做到账号管理,更没有办法规范组织用户的上网认证。未被授权的用户随意接入组织网络,给临时用户开放了访问权限却常常忘记回收,公用电脑随意使用缺乏监管,如上情况往往为组织埋下信息安全隐患。

2.计算机终端安全与联网管理制度

  1. 所有计算机IP地址由网络管理员按照部门分配并固定,禁止私改IP、MAC。计算机使用者需积极配合网络管理员做好防ARP欺骗的工作。
  2. 用户应主动安装单位要求安装的桌面管理软件、单位统一购买的XX品牌杀毒软件,及时升级病毒库并定期查毒(周期为一周或者10天),禁止用户私自卸载桌面管理软件、杀毒软件,或者长期不更新病毒库。
  3. 任何人不得在单位的局域网上制造、传播任何计算机病毒,不得故意引入病毒,不随意安装插件,运行未知的脚本;对于从互联网上下载的邮件、软件安装包等需经过病毒查杀后再打开;不得接受来自不明网友的远程控制请求。
  4. 办公用计算机必须通过单位统一的互联网出口上网,严禁私拉物理路由、使用搜索到的无线AP上网、使用3G网络、使用电话线拨号或使用非法外联线路。
  5. 上班时间,内网用户应自觉关闭P2P等占用带宽的应用,保障业务访问速度。

    实际上,由于缺乏有效的技术手段,员工一方面滥用组织带宽,一方面觉得组织出口太小、网速过慢,或者为了躲避组织管理而私接线路的行为时有发生,而网管却很难发现并控制;内网用户私改IP导致冲突、不愿装杀毒软件却在中毒后疯狂攻击其他电脑和网络设备、随意点击安装恶意插件/脚本导致被监控还浑然不知,如上问题让网管员时常充当救火员的角色,疲于应付种种琐碎状况;由于安全意识和安全防护均不到位,导致内网危险流量横行无阻,管理员只能在发现异常状况后进行补救。

3.信息发布与审核制度

  1. 任何人不得轻信网络上流传的信息,不得浏览违反宪法和法律、行政法规,宣扬封建迷信、色情、赌博、暴力、凶杀、教唆犯罪的网站,不得发布带有侮辱他人或者捏造事实诽谤他人等造成不良影响的信息;
  2. 网络管理员一旦发现有用户在本单位BBS等公告栏传播上述信息,需立即按照国家有关规定,删除上述内容,并保留原始记录,向当地公安机关报告。网络管理员一旦发现有本单位用户在外网BBS、BLOG等传布上述信息,需按照国家有关规定,保留原始记录,向当地公安机关报告。
  3. 任何人不得利用单位邮箱散发垃圾邮件。

    实际上,由于缺乏有效的技术手段,管理员很难对互联网上成千上万导致法律风险的网页进行封堵过滤。对于不良言论的过滤也只是一纸空文,依赖于用户个人自觉,管理员无法做到事前有效封堵,事后及时发现。一旦发生舆论事故,网监等相关部门上门取证时,又往往因缺乏相关记录而不能定位到事件源头。

二、深信服AC保障IT制度的有效实施

1.新用户入网管理技术

a.丰富的身份认证方式

    管理必须以识别为基础。SANGFOR AC支持设备本地认证、和第三方认证(包括LDAP、AD、Radius、POP3、PROXY等),USB-key认证。丰富的用户识别方式方便组织的使用。管理员还可选择绑定IP/MAC认证,根据组织结构IP段划分好相应组,AC自动将用户置于组内。
    设备操作路径:登陆设备—>上网行为管理—>认证选项设置;
    登陆设备—>上网行为管理—>组织结构—>用户信息编辑

b.强制认证功能

    多人共用一台电脑,如果缺乏有效的认证手段,一旦发生安全事故,将无法定位到真正责任人,SANGFOR AC支持强制认证:用户上网打开浏览器时,定向到认证界面,用户必须通过认证后方可上网,一旦关闭该页面,则自动注销认证。管理员可使用AC设定,检测到用户在规定时间内没有产生互联网流量时,自动注销用户。
    AC强制认证功能有效避免公用电脑成为安全盲点,即使多人共用一台电脑,也能有效识别当前使用者的身份,使上网轨迹有据可循。

c.AD域单点登陆

    AC可强制指定用户、指定IP段的用户必须使用AD登录。
    单点登录技术(Single Sign On, SSO)内网用户采用域账号登陆操作系统后,自动通过AC认证,避免重复输入帐号信息以简化操作,且合作伙伴等第三方人员接入机构内网后将自动禁止访问Internet,进一步降低机构信息资产外泄的风险。此外,AC亦支持POP3、PROXY单点登录,内网用户只需收发一下Email、或触发PROXY服务器的认证后,将自动通过AC认证,极大的方便了用户的使用。
    设备操作路径:登陆设备—>上网行为管理—>认证选项设置;

d.临时权限开放

    当有第三方人员需要接入组织网络,或者需要为临时组成的项目组分配互联网访问权限时,网络管理员可以使用AC为用户建立临时账号,分配定时访问权限。一旦到期则帐户、权限自动失效,既做到了临时权限的灵活开放,又保障了权限到期后的回收管理。
    设备操作路径:登陆设备—>上网行为管理—>组织结构—>新增用户
    登陆设备—>上网行为管理—>上网策略对


e.有限权限开放

    为了避免未通过有效认证的用户随意拥有互联网访问权限,管理员可以使用AC加以控制,如配置:A.未通过认证的用户没有互联网访问权限;B.未通过认证的用户仅获得管理员允许的基本互联网访问权限。
    设备操作路径:登陆设备—>上网行为管理—>认证选项设置

2.计算机终端安全保障与联网管理技术

a.禁用组织外上网线路非法外联(6月发布)

    如今,组织的IT部门已经成为企业运营保障中极为重要的一环,其中信息安全性更是重中之重,尤其是对于一些重要信息系统,比如财务系统、销售系统以及研发部门的内部代码保密性更是对数据安全性提出了更高的要求。同时,企业IT系统的访问环境也趋于复杂,大量的访问来自于企业外部的非控制网络,由此带来了一系列数据安全风险。
    由终端产生的数据风险越来越受到大家的关注。很多时候,因为企业环境的特殊性,导致了一些用户能够通过其他网络来访问外部资源。如何能够将这种信息泄露的风险规避至最低成为了企业IT部门开始思考的问题。
    禁止组织外上网线路非法外联,主要提供了一种检测并阻断终端是否能够通过非组织网访问外部网络的功能,通过这个功能,终端通过其他网络泄露信息的可能性将大大降低。

b.IP/MAC绑定

    AC支持基于源IP段的用户绑定IP、MAC、IP/MAC功能,帮助管理员有效管理组织IP规划。
    设备操作路径:登陆设备—>上网行为管理—>认证选项设置;
    登陆设备—>上网行为管理—>组织结构—>用户信息编辑;

c.防ARP欺骗

    ARP欺骗会导致整个子网用户无法访问外部网络资源,如何有效防控ARP欺骗是目前用户和业界的难题之一。AC支持网关防ARP欺骗和终端防ARP欺骗(需配合准入插件使用),保证终端用户安全和保障网络可用性。
    设备操作路径:登陆设备—>防火墙—>ARP欺骗防护

d.终端安全级别检查与提醒

    AC的网络准入规则(Network Admission Rules, NAR)通过对客户端的评估来实现网络访问控制,并更好的维护网络安全防线。NAR的设计意义在于三个方面:
1. 仅靠网络边缘的外围设备已经无法保证安全性。
2. 边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏。
3. 客户端的安全级别往往难以保证:使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等,删除桌面管理软件,都成为局域网安全中的“短板”。
    鉴于此,AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护。AC网络准入规则定期检测端点主机是否遵从管理者设定的安全策略,如操作系统版本和补丁安装情况、杀毒/防火墙软件及更新情况、系统进程、硬盘文件、注册表等,定期执行管理员设定的脚本。不能满预设要求的接入端点,禁止其访问互联网或仅提交报告、提醒用户。
    设备操作路径:1.登陆设备—>对象设置—>准入规则设置
    2.上网行为管理—>上网策略对象—>上网策略对象设置—>准入系统


    (6月发布的AC准入控制版本中,对于终端安全检测将会做得更细致,如杀毒软件检测,增加相关内置规则库,处理操作分为提示、执行远程应用程序、禁止上网三种,其中提示又分为客户端提示和网页提示。这些操作可以任意组合并在客户端计算机违反上面定义的规则后执行。)

e.网关杀毒

    对于安全意识和安全防护都不到位的用户,一旦打开网友发来的有毒链接、带毒邮件,可能就导致终端中毒。AC网关杀毒主要用于对经过AC的数据进行病毒查杀,保护内网计算机的安全。AC硬件网关能针对HTTP,FTP,POP3和SMTP这四种常用协议进行查杀病毒,在病毒到达客户端之前就查杀处理,内置了冰岛著名杀毒厂商F-PROT的杀毒引擎,具有病毒识别率高和查杀效率高的特点,且病毒库跟F-PROT的病毒库保持同步的更新,一般更新周期为1-2天。
    设备操作路径:登陆设备—>安全功能扩展—>网关杀毒

f.危险插件与脚本过滤

    恶意插件可以使得用户的浏览器无法正常工作,甚至监视用户的上网行为,盗取用户的个人信息,而通过浏览器自动安装ActiveX控件是恶意插件传播的主要手段之一。AC通过过滤不当 ActiveX控件,防止不被信任的插件安装到内网机器当中,从而起到保护内网安全的作用。


    用户误闯不良网站会使终端染上形形色色的病毒、木马,而这些危害绝大部分都是危险脚本引起的,AC通过对内网用户访问的网页脚本进行特征识别,保护内网安全。
    设备操作路径:上网行为管理—>上网策略对象—>上网策略对象设置—>网页过滤

g.危险流量识别

    内网终端难免仍会感染各种威胁,且为了隐藏自己此类威胁往往将外发流量和行为伪装到TCP 21、80、443、25、110等端口中,这将轻易穿透组织防火墙的管控。
借助深度内容检测技术,AC能够深入数据包应用层数据字段,识别哪些数据包是真正的网页访问行为、哪些是伪装成HTTP协议的非法危险流量,伪装成FTP、Email等行为的木马、间谍软件、黑客远程控制、肉鸡等行为,异常的端口扫描行为,进行拦截控制,并向管理员发起邮件告警。
    设备操作路径:上网行为管理—>上网策略对象—>上网策略对象设置—>危险行为识别

h.局域网访问控制(6月发布)

    移动用户能够从家里或公共热点连接互联网,并在无意中感染病毒并将其带进企业环境,进而感染网络。AC的局域网访问控制功能可为访问网络资源的终端设备提供足够保护,以防御网络安全威胁。
    AC的局域网访问控制功能通过准入控件,能够将网络中存在潜在危险的用户隔离出来,形成一个隔离区,拒绝隔离区中的PC与正常通过安全策略检测的用户通讯,从而有效的限制了病毒、蠕虫和间谍软件等损害网络安全。

3.信息发布控制与审核技术

a.URL过滤与智能识别

    AC内置海量预分类URL地址库,有效过滤常见40多类网址,包含了暴力、色情、反动等法律明文禁止访问的网页。
    针对解决静态URL库不足以应对新增网页的问题,AC融合中科院人工智能的“网页智能识别”技术,根据语义、网址、正文、代码等特征实现网页自动识别与归类,全面管控反动、色情等各类网页,即使此类网页使用SSL加密,AC同样可以识别和过滤。
    设备操作路径:1.登陆设备—>对象设置—>URL组设置
    2.上网行为管理—>上网策略对象—>上网策略对象设置—>网页过滤

b.发帖关键字过滤与实时监控提醒

    BBS等公共信息平台为公众提供了很好的交流分享途径,但是频频发生的违法发帖、不文明发帖行为让组织面临法律和舆论风险。AC支持基于关键字(可自行设定)的发帖过滤,一旦匹配到含有设定关键字的发帖信息,AC将自动拦截并发送提醒邮件给管理员,防患于未燃。(该功能也适用于邮件)

    设备操作路径:1.登陆设备—>对象设置—>关键字设置

  1. 上网行为管理—>上网策略对象—>上网策略对象设置—>网页过滤
  2. 上网行为管理—>高级配置—>告警配置

c.看帖不能发帖功能

    粗暴式的封堵策略往往遭遇用户的阻力,AC的“看贴不准发帖”能帮助管理员实现对论坛博客的灵活管理,除了封堵和放行两个控制方式之外,还可以实现允许用户浏览网页内容(看帖)但无法上传信息(发帖)的功能。
    设备操作路径:登陆设备—>上网行为管理—>上网策略对象—>上网策略对象设置—>网页过滤—>URL过滤—>高级过滤

d.日志审计、关键字定位、热帖报表

    AC可记录访问的网址、网页标题、网页正文内容,及明文/密文外发帖子内容等,可基于用户身份、上网行为、内容等实现差异化审计,确保网络违法违规事件发生后能定位到直接责任人。
    一旦发生了违法事件,AC的多关键字定位功能能帮助管理员在海量的网页浏览、发帖信息中,迅速地定位到相关日志和责任人。
如果在特殊时期,公安机关对网络舆论有监管要求时,网络管理员可以使用AC定制定期发送的报表,统计网络热帖信息,发帖关键字信息等,使管理员对内网用户的网络舆论导向一目了然。
    操作路径:登陆数据中心—>日志查询—>上网行为查询