广东红海湾发电有限公司(汕尾发电厂)隶属粤电集团,是广东省最大的骨干电厂之一。公司的信息中心成立后,尤其在管理信息系统硬件和综合布线项目实施期间,先后经历了魔波病毒、ARP欺骗、私自开启DHCP、交换机硬件故障引发网络风暴等大规模故障,在解决问题的过程里,信息中心人员就如何限制一些非正常上网行为、防治大规模的病毒爆发、如何实施快速有效的服务响应积累一定的经验。
一、网络对办公环境造成的危害
随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改善,另一方面也给企业的网络带来了更高的危险性、复杂性和混乱性,再加上内部员工的不当操作使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为:
1.由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞,木马、病毒传播迅速,影响规模大,还导致网络长时间处于带毒运行而系统管理员无能为力。
2.部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑的资源消耗,导致计算机反应缓慢;
3.个别员工私自安装从网络下载的软件,而这些软件安装包多数附带各种插件、木马和病毒,并在安装过程中,在用户不知情的情况下强行安装在办公电脑上,大大增加了办公电脑大量的资源消耗,导致计算机反应缓慢,甚至被远程控制;有些病毒利用arp欺骗,影响到整个片区办公电脑的正常工作;
4.一些计算机爱好者利用办公电脑作为学习的工具,私自开启DHCP服务器,导致办公电脑不能正常获取IP,用户计算机与应用系统服务器的通讯中断,影响极坏;
5.部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,少数员工全天24小时启用P2P软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,导致网络速度缓慢,应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强。
通过对网络内现存问题的深入分析,我们和深信服科技的技术专家进行了沟通,通过购
买M5400-AC,并启用了相应的管理和控制功能,将以上的问题相应解决。具体策略如下:
二、网络行为管理和维护策略
策略1:启用用户身份认证系统。通过深信服M5400-AC的用户组管理模块,将内网用户的计算机与MAC地址、IP地址进行绑定。用户登录时,如果不符合绑定规则,将无法正常访问Internet。
策略2:借助于深信服SINFOR M5400-AC产品的网络行为识别功能,对从常规端口过来的数据包进行特征码检测,从而达到彻底封锁QQ、MSN等软件。目前由于处于基建期间,各专业专工(数量较多)使用QQ和MSN等IM软件和厂家进行沟通和交流,可以对这部分用户开放QQ和MSN 等IM软件的权限,并对其他用户的IM通讯进行封堵。
策略3:启用网络准入系统。借助于深信服SINFOR M5400-AC产品的网络准入系统,识别内网用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,不允许上网。这样从根本上提高了企业用户计算机的安全性,减少了企业用户感染蠕虫、病毒、木马以及间谍软件的风险。
策略4:启用P2P流控功能。对PC的权限进行划分,某些部门需要经常通过P2P下载学习资料,则给该部门开放一定的P2P下载权限。每个员工平均有100Kbps的下载上限。对于其他部门,则将P2P下载和上传的流量限制在10Kbps以下,避免占用过多的网络带宽,并起到规范员工的上网行为的效果。
策略5:启用 M5400-AC的杀毒模块,对经过主干的数据进行HTTP、FTP和Mail检测,直接过滤含病毒的文件和页面。
策略6:借助于深信服SINFOR M5400-AC产品的入侵识别系统,使得信息系统管理员可以根据记录进行统计分析,发现有潜在危险的办公计算机,从而有针对性地进行预防性检查。
三、实施效果
实施上述策略后,基本上能为厂区内所有办公电脑提供了一个正常健康的办公环境,主要表现在以下方面:
1.网络满足全厂人员在厂区局域网络内办公的需求,接入因特网的速度也比较满意;
2.基本杜绝了大规模的病毒爆发;
3.PC专注业务性和管控性加强。
4.很容易查找和定位带病毒运行的计算机,避免带病机器继续运行和扩大影响;
5.系统具备一定主动识别和预防的能力,发现有潜在危险的办公计算机,并对其进行针对性的预防检查。
