隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的成熟和發(fā)展,互聯(lián)網(wǎng)已成為社會(huì)生活、生產(chǎn)中必不可少的工具。但由于網(wǎng)絡(luò)應(yīng)用和服務(wù)越來越廣泛深入,網(wǎng)絡(luò)安全的控制難度也越來越大。其中部分員工肆意使用互聯(lián)網(wǎng)資源對(duì)企業(yè)所造成的損失,已經(jīng)遠(yuǎn)遠(yuǎn)超出了企業(yè)管理者的預(yù)估,因此,強(qiáng)化員工上網(wǎng)行為管理。確;ヂ(lián)網(wǎng)資源的合理使用已經(jīng)成為網(wǎng)絡(luò)安全維護(hù)的必然趨勢(shì)。
1 網(wǎng)絡(luò)現(xiàn)狀
西山煤電(集團(tuán))公司職工總醫(yī)院現(xiàn)有可上網(wǎng)電腦160余臺(tái)。劃分在一個(gè)獨(dú)立的VLAN中,IP地址都是自動(dòng)獲取。通過H3C ER3100路由器接入移動(dòng)光纖,經(jīng)過路由器自帶的軟件接收網(wǎng)絡(luò)日志。通過對(duì)日志的研究分析,發(fā)現(xiàn)在安全方面存在很多問題:
1)由于這160多臺(tái)電腦連接的是互聯(lián)網(wǎng),無法象內(nèi)網(wǎng)電腦那樣采取軟件管理、網(wǎng)絡(luò)配置等多種管理手段,限制其使用某些功能。一些合法用戶,由于某種原因造成無法正常上網(wǎng),有時(shí)會(huì)自行修改其IP地址進(jìn)行上網(wǎng),導(dǎo)致其它合法用戶IP沖突無法上網(wǎng)。而路由器日志是根據(jù)IP記錄上網(wǎng)網(wǎng)址,導(dǎo)致出現(xiàn)安全問題時(shí),無法通過日志定位是哪臺(tái)電腦出現(xiàn)問題。
2)用戶沒有經(jīng)過正常途徑申請(qǐng)和批準(zhǔn)。攜帶筆記本電腦,私接路由器或交換機(jī),造成整個(gè)網(wǎng)絡(luò)路由環(huán)路和客戶端的IP地址無法自動(dòng)獲取,此種行為無法控制。
3)在互聯(lián)網(wǎng)安全方面,HTTP、SMTP、FTP等協(xié)議,幾乎每天都面臨不同的安全風(fēng)險(xiǎn),病毒、蠕蟲、垃圾郵件、木馬程序等惡意行為也在伺機(jī)攻擊企業(yè)的網(wǎng)絡(luò)系統(tǒng),且管理人員很難定位是哪臺(tái)客戶機(jī)中了病毒。
4)管理人員無法知道員工在工作時(shí)間上網(wǎng)主要是在做什么事情,無法限制員工對(duì)非法網(wǎng)站的訪問,從而有效規(guī)避法律風(fēng)險(xiǎn)。
5)隨意使用在線音頻和視頻應(yīng)用、P2P類下載工具軟件帶來的網(wǎng)絡(luò)資源的擁塞,導(dǎo)致在高峰期網(wǎng)絡(luò)速度慢。
2 解決問題的對(duì)策
2.1加強(qiáng)教育和宣傳
反復(fù)在該院宣傳上網(wǎng)安全管理的重要性,使員工理解進(jìn)行上網(wǎng)安全管理的必要性和重要性,同時(shí)使員工理解上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀(jì)律、提高工作效率、保護(hù)醫(yī)院隱私的工具,是行政管理的電子化輔助手段,而不是為了監(jiān)控員工上網(wǎng),侵犯員工的隱私。
2.2 完善醫(yī)院互聯(lián)網(wǎng)管理有關(guān)規(guī)定
根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)同際聯(lián)網(wǎng)管理暫行規(guī)定》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等國(guó)家有關(guān)法律法規(guī)規(guī)定,制訂了《關(guān)于加強(qiáng)醫(yī)院網(wǎng)絡(luò)管理的規(guī)定》,所有上網(wǎng)科室必須填寫中請(qǐng)表,經(jīng)相關(guān)領(lǐng)導(dǎo)批準(zhǔn)后給予開通。
2.3 應(yīng)用實(shí)現(xiàn)一部署網(wǎng)康上網(wǎng)行為管理產(chǎn)品
1)接入模式:該院采用網(wǎng)橋模式。在路由器和心交換機(jī)之間安裝了網(wǎng)康上網(wǎng)行為管理產(chǎn)品(N13310),此種模式不需要更改網(wǎng)絡(luò)結(jié)構(gòu)和配置。
2)基于用戶策略的控制方式,根據(jù)N13310掃描到的lP和MAC地址,根據(jù)科室設(shè)置,設(shè)置相應(yīng)的用戶組,并給每個(gè)用戶設(shè)置密碼。設(shè)置不同的用戶組,便于管理員根據(jù)不同科室的職能和需求,分別設(shè)置不同的安全策略。
3)設(shè)置認(rèn)證方式為WEB本地認(rèn)證。管理人員設(shè)定統(tǒng)一的初始口令,把用戶賬號(hào)分發(fā)給用戶,保障用戶身份的安全。用戶開機(jī)上網(wǎng)時(shí),第一次必須輸入用戶名和密碼。
4)開啟IP和MAC地址綁定功能,防止用戶非法修改IP地址。N13310支持將用戶的lP地址和網(wǎng)卡MAC地址綁定,被綁定的IP地址將不能被別的MAC地址使用,主要是為了防止IP地址被盜用,但并不禁止MAC使用別的IP。通過這樣可以有效解決用戶非法接人和私自修改IP的問題,可以防止有人非法使用可以上網(wǎng)的電腦。
5)N13310提供了豐富的查詢和統(tǒng)計(jì)功能,安裝運(yùn)行一段時(shí)間后可以明顯看出,在該院日前網(wǎng)絡(luò)流量中,迅雷、BT等P2P下載工具及風(fēng)行、PPLV等流媒體下載占據(jù)了主要的流量。經(jīng)過分析,上傳流量明顯高于下載流量,這很不正常,只能說明P2P類工具占據(jù)了網(wǎng)絡(luò)的主要流量。針對(duì)以上現(xiàn)象,該院在策略管理一策略設(shè)置中作了相應(yīng)設(shè)置,新建應(yīng)娟策略控制,阻止對(duì)游戲、股票、P2P工具、網(wǎng)絡(luò)電視、QQ等的訪問。N13310內(nèi)置了全面的應(yīng)用協(xié)議控制數(shù)據(jù)庫,具有深度內(nèi)容檢測(cè)(Del)技術(shù),精確識(shí)別各種應(yīng)用的協(xié)議特征。針對(duì)未知的P2P協(xié)議的下載軟件、未知的股票等應(yīng)用軟件、甚至一些特殊應(yīng)用(比如走80端口的web迅雷),都可以做到封堵。由于院辦、人事科等職能科室需要使用MSN或QQ與其他單位聯(lián)系,所以部分科室未封MSN和QQ應(yīng)用。
6)在策略管理設(shè)置中對(duì)網(wǎng)頁瀏覽進(jìn)行限制,封堵對(duì)各種違法、違規(guī)及木馬病毒等網(wǎng)頁的瀏覽。N13310擁有全球最大的中文網(wǎng)頁過濾數(shù)據(jù)庫,可以精確過濾不良信息。根據(jù)日志中的訪問顯示,可以進(jìn)一步自定義需要封堵的網(wǎng)站。
7)在策略管理中進(jìn)行網(wǎng)頁策略搜索的設(shè)置,通過設(shè)置控制方式、搜索類別、關(guān)鍵字等,實(shí)現(xiàn)對(duì)用戶對(duì)搜索引擎使用的控制,如篆止搜索敏感文字,禁止員工在上班時(shí)間搜索視頻等。
8)在策略管理中設(shè)置合理的網(wǎng)絡(luò)流量改置,對(duì)于圖書館等需要大量下載資料的部門,不設(shè)置流量限制,而其余部門僅需要瀏覽網(wǎng)頁查找資料,設(shè)置較小的流量。
9)在策略管理一時(shí)間對(duì)象中進(jìn)行上網(wǎng)時(shí)間的設(shè)置,對(duì)丁機(jī)關(guān)職能科室,設(shè)置周一到周五早上7:30—19:30為工作時(shí)間(已對(duì)下班時(shí)間適當(dāng)?shù)难娱L(zhǎng)),在其余時(shí)問禁止上網(wǎng)。而臨床科室由于有值班人員,考慮到具體情況,未設(shè)置時(shí)間限制。
10)在策略管理一審計(jì)策略設(shè)置中設(shè)置合適的審計(jì)策略。N13310可以對(duì)QQ、MSN通等常用的聊天工具,以及對(duì)郵件收發(fā)、論壇發(fā)帖、FTP、TELNET、HTTPS等容易泄密、影響網(wǎng)絡(luò)安全的行為進(jìn)行審計(jì)和管控。結(jié)合該院具體情況,上互聯(lián)網(wǎng)的電腦在一個(gè)單獨(dú)的VLAN中,與內(nèi)部網(wǎng)絡(luò)隔離,敏感資料外泄可能性很小,且考慮到保護(hù)員工隱私,因此,在審計(jì)策略設(shè)置中未作郵件發(fā)送及接收審計(jì)、QQ/MSN審計(jì),而是設(shè)置FTP審計(jì)、HTTPS審計(jì)、TELNET審計(jì)、發(fā)帖審計(jì),尤其是重點(diǎn)關(guān)注發(fā)帖審計(jì),防止員工擅自發(fā)布不良言論,規(guī)避法律風(fēng)險(xiǎn),在出現(xiàn)問題時(shí)有據(jù)可查。
11)在策略管理一防護(hù)設(shè)置一全局設(shè)置中,開啟ARP報(bào)警,當(dāng)局域網(wǎng)內(nèi)發(fā)生ARP攻擊時(shí)可以及時(shí)得到反饋,并能確定發(fā)出ARP攻擊的主機(jī)。
12)根據(jù)N13310提供的查詢和統(tǒng)計(jì)功能,審查每天的網(wǎng)絡(luò)訪問情況,帶寬資源的利用情況、策略的審計(jì)結(jié)果。為網(wǎng)絡(luò)管理員的決策和管理提供重要的數(shù)據(jù)依據(jù),并以此為依據(jù)進(jìn)行其他控制策略的微調(diào)。
3 運(yùn)行效果
部署N13310一段時(shí)間后,取得了較好的效果。網(wǎng)絡(luò)運(yùn)行越來越穩(wěn)定,上網(wǎng)速率較以前有明顯的改善。在統(tǒng)計(jì)表中可以看到,P2P應(yīng)用和流媒體下載基本消失,醫(yī)學(xué)類網(wǎng)站瀏覽、搜索等成為最常見的應(yīng)用,工作效率有了很大的提高?傊,上網(wǎng)行為管理有利于網(wǎng)絡(luò)管理者及時(shí)了解網(wǎng)絡(luò)運(yùn)行情況,并肘網(wǎng)絡(luò)整體狀況做出基本分析,發(fā)現(xiàn)造成網(wǎng)絡(luò)異常的原因,并進(jìn)行快速故障定位。并能監(jiān)督、控制、引導(dǎo)用戶正確使用網(wǎng)絡(luò)。較好地解決了在安全和暢通的前提下,充分利用網(wǎng)絡(luò)資源的問題。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:淺談上網(wǎng)行為管理在企業(yè)中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/news/1051559867.html