隨著計算機網絡技術的成熟和發(fā)展,互聯網已成為社會生活、生產中必不可少的工具。但由于網絡應用和服務越來越廣泛深入,網絡安全的控制難度也越來越大。其中部分員工肆意使用互聯網資源對企業(yè)所造成的損失,已經遠遠超出了企業(yè)管理者的預估,因此,強化員工上網行為管理。確保互聯網資源的合理使用已經成為網絡安全維護的必然趨勢。
1 網絡現狀
西山煤電(集團)公司職工總醫(yī)院現有可上網電腦160余臺。劃分在一個獨立的VLAN中,IP地址都是自動獲取。通過H3C ER3100路由器接入移動光纖,經過路由器自帶的軟件接收網絡日志。通過對日志的研究分析,發(fā)現在安全方面存在很多問題:
1)由于這160多臺電腦連接的是互聯網,無法象內網電腦那樣采取軟件管理、網絡配置等多種管理手段,限制其使用某些功能。一些合法用戶,由于某種原因造成無法正常上網,有時會自行修改其IP地址進行上網,導致其它合法用戶IP沖突無法上網。而路由器日志是根據IP記錄上網網址,導致出現安全問題時,無法通過日志定位是哪臺電腦出現問題。
2)用戶沒有經過正常途徑申請和批準。攜帶筆記本電腦,私接路由器或交換機,造成整個網絡路由環(huán)路和客戶端的IP地址無法自動獲取,此種行為無法控制。
3)在互聯網安全方面,HTTP、SMTP、FTP等協議,幾乎每天都面臨不同的安全風險,病毒、蠕蟲、垃圾郵件、木馬程序等惡意行為也在伺機攻擊企業(yè)的網絡系統(tǒng),且管理人員很難定位是哪臺客戶機中了病毒。
4)管理人員無法知道員工在工作時間上網主要是在做什么事情,無法限制員工對非法網站的訪問,從而有效規(guī)避法律風險。
5)隨意使用在線音頻和視頻應用、P2P類下載工具軟件帶來的網絡資源的擁塞,導致在高峰期網絡速度慢。
2 解決問題的對策
2.1加強教育和宣傳
反復在該院宣傳上網安全管理的重要性,使員工理解進行上網安全管理的必要性和重要性,同時使員工理解上網行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀律、提高工作效率、保護醫(yī)院隱私的工具,是行政管理的電子化輔助手段,而不是為了監(jiān)控員工上網,侵犯員工的隱私。
2.2 完善醫(yī)院互聯網管理有關規(guī)定
根據《中華人民共和國計算機信息網絡同際聯網管理暫行規(guī)定》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》等國家有關法律法規(guī)規(guī)定,制訂了《關于加強醫(yī)院網絡管理的規(guī)定》,所有上網科室必須填寫中請表,經相關領導批準后給予開通。
2.3 應用實現一部署網康上網行為管理產品
1)接入模式:該院采用網橋模式。在路由器和心交換機之間安裝了網康上網行為管理產品(N13310),此種模式不需要更改網絡結構和配置。
2)基于用戶策略的控制方式,根據N13310掃描到的lP和MAC地址,根據科室設置,設置相應的用戶組,并給每個用戶設置密碼。設置不同的用戶組,便于管理員根據不同科室的職能和需求,分別設置不同的安全策略。
3)設置認證方式為WEB本地認證。管理人員設定統(tǒng)一的初始口令,把用戶賬號分發(fā)給用戶,保障用戶身份的安全。用戶開機上網時,第一次必須輸入用戶名和密碼。
4)開啟IP和MAC地址綁定功能,防止用戶非法修改IP地址。N13310支持將用戶的lP地址和網卡MAC地址綁定,被綁定的IP地址將不能被別的MAC地址使用,主要是為了防止IP地址被盜用,但并不禁止MAC使用別的IP。通過這樣可以有效解決用戶非法接人和私自修改IP的問題,可以防止有人非法使用可以上網的電腦。
5)N13310提供了豐富的查詢和統(tǒng)計功能,安裝運行一段時間后可以明顯看出,在該院日前網絡流量中,迅雷、BT等P2P下載工具及風行、PPLV等流媒體下載占據了主要的流量。經過分析,上傳流量明顯高于下載流量,這很不正常,只能說明P2P類工具占據了網絡的主要流量。針對以上現象,該院在策略管理一策略設置中作了相應設置,新建應娟策略控制,阻止對游戲、股票、P2P工具、網絡電視、QQ等的訪問。N13310內置了全面的應用協議控制數據庫,具有深度內容檢測(Del)技術,精確識別各種應用的協議特征。針對未知的P2P協議的下載軟件、未知的股票等應用軟件、甚至一些特殊應用(比如走80端口的web迅雷),都可以做到封堵。由于院辦、人事科等職能科室需要使用MSN或QQ與其他單位聯系,所以部分科室未封MSN和QQ應用。
6)在策略管理設置中對網頁瀏覽進行限制,封堵對各種違法、違規(guī)及木馬病毒等網頁的瀏覽。N13310擁有全球最大的中文網頁過濾數據庫,可以精確過濾不良信息。根據日志中的訪問顯示,可以進一步自定義需要封堵的網站。
7)在策略管理中進行網頁策略搜索的設置,通過設置控制方式、搜索類別、關鍵字等,實現對用戶對搜索引擎使用的控制,如篆止搜索敏感文字,禁止員工在上班時間搜索視頻等。
8)在策略管理中設置合理的網絡流量改置,對于圖書館等需要大量下載資料的部門,不設置流量限制,而其余部門僅需要瀏覽網頁查找資料,設置較小的流量。
9)在策略管理一時間對象中進行上網時間的設置,對丁機關職能科室,設置周一到周五早上7:30—19:30為工作時間(已對下班時間適當的延長),在其余時問禁止上網。而臨床科室由于有值班人員,考慮到具體情況,未設置時間限制。
10)在策略管理一審計策略設置中設置合適的審計策略。N13310可以對QQ、MSN通等常用的聊天工具,以及對郵件收發(fā)、論壇發(fā)帖、FTP、TELNET、HTTPS等容易泄密、影響網絡安全的行為進行審計和管控。結合該院具體情況,上互聯網的電腦在一個單獨的VLAN中,與內部網絡隔離,敏感資料外泄可能性很小,且考慮到保護員工隱私,因此,在審計策略設置中未作郵件發(fā)送及接收審計、QQ/MSN審計,而是設置FTP審計、HTTPS審計、TELNET審計、發(fā)帖審計,尤其是重點關注發(fā)帖審計,防止員工擅自發(fā)布不良言論,規(guī)避法律風險,在出現問題時有據可查。
11)在策略管理一防護設置一全局設置中,開啟ARP報警,當局域網內發(fā)生ARP攻擊時可以及時得到反饋,并能確定發(fā)出ARP攻擊的主機。
12)根據N13310提供的查詢和統(tǒng)計功能,審查每天的網絡訪問情況,帶寬資源的利用情況、策略的審計結果。為網絡管理員的決策和管理提供重要的數據依據,并以此為依據進行其他控制策略的微調。
3 運行效果
部署N13310一段時間后,取得了較好的效果。網絡運行越來越穩(wěn)定,上網速率較以前有明顯的改善。在統(tǒng)計表中可以看到,P2P應用和流媒體下載基本消失,醫(yī)學類網站瀏覽、搜索等成為最常見的應用,工作效率有了很大的提高。總之,上網行為管理有利于網絡管理者及時了解網絡運行情況,并肘網絡整體狀況做出基本分析,發(fā)現造成網絡異常的原因,并進行快速故障定位。并能監(jiān)督、控制、引導用戶正確使用網絡。較好地解決了在安全和暢通的前提下,充分利用網絡資源的問題。
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.guhuozai8.cn/
本文標題:淺談上網行為管理在企業(yè)中的應用
相關文章
