社科网首页
您现在的位置是: 首页 > 研究成果
如何划定网络安全防线
作者:李晖 来源:网络世界周报 时间:2005-05-16
原始链接 如何划定网络安全防线 李晖 划定网络安全防线,人们通常首先会想到企业级防火墙、邮件网关、入侵检测规则等,但上述安全措施的实施对网管员来说并不难,实际操作中甚至可以请相关产品的厂商代劳。在划定网络安全防线过程中,真正困扰网管员的难题,是随时随地对内网所有终端的有效监控。举例来说,局域网经常会有新客户端的加入,这些新客户端是否都安装了防火墙、防病毒软件,它们的防火墙规则及病毒定义库是否及时与你的相关服务器进行了同步,它们的系统安全补丁是否到位。要解决这类问题,就要求我们事先划定一条安全防线,保证防线内的所有终端都能自动安装防火墙、防病毒软件,并自动与相关服务器同步,系统补丁自动与内网SUS服务器同步。然而,这些工作全部可以通过微软的“零管理”策略来实现。“零管理”的主要目标虽然是减少企业的总体拥有成本,但网管员也是其最大的受益者。McAfee公司的ePO产品就是实施网络安全零管理的典型范例,关于ePO的情况将在后面介绍。下面先来谈一谈划定网络安全防线,实施网络安全零管理的前提条件——规范化的域建设。 规范化的域建设 许多局域网的最初建网目标只是提供Internet接入服务,这就造成某些网管员在建网初期,域的建设不够规范。比如只是为终端简单地设置一下IP地址、子网掩码、IP网关、DNS,使其能ping通网关,能上网就行。如此简单行事的后果,是网管员放弃了对该客户端的管理权限,让使用该客户端的用户只享受了上网的权利而不承担任何维护网络安全的义务。 域的规模可大可小,既可以是纯正的Windows 2000的DC域,也可是含Windows NT 4.0服务器的混合域,但所有客户端必须加入到域中,从而使网管员获取足够的对所有客户端的管理权限。网管员可将加入域的操作权限放宽,甚至下放至所有授权用户,并按照员工花名册逐一创建其域用户帐号。上一级网管员可将Windows 2000 Professional和Windows XP Professional加入域的方法及所属网段的IP地址资源一同发给下一级网管员,并要求其在将客户端加入域的同时,逐一建立尽可能详尽的客户端技术文档,以备将来与通过其它网管工具获取的同类报告进行校验与互补。 有了上述的域,网管员的管理范围就清晰了,网络安全防线也就划定了。接下来的工作就是具体的布防工作。 安全防线的布防 前面提到的ePO是McAfee公司的网络安全一揽子方案,它统领几乎所有McAfee网络安全产品,从防火墙、防病毒、邮件网关、入侵检测及其同步升级,到搜索不接受管理客户端的传感器(Sensor),还有扫描系统安全补丁缺项的Compliance 报告,等等。网管员只须先期通过域,将ePO代理(Agent)推送至客户端,接下来的工作全部由ePO 自动完成。ePO大大减轻了网管员的劳动强度,还为个性化管理提供了便利。举一个个性化管理的例子——创建病毒动态报告:我们可利用ePO数据库,将各终端的中毒汇总日志发布在动态网页上,以警示频繁中毒者加强自律。 如果我们已购置了其他厂商的安全产品,同样可利用域进行统一推送部署,减少企业的总体拥有成本(TCO) 我们还可以利用组策略推送SUS客户端,使之与内网SUS服务器同步,保证所有终端在第一时间自动打上微软的最新安全补丁。 SMS对域管理模式的全方位扩充 微软的Systems Management Server 2003被IT专家网(TechTarget)评为Windows平台2004年度企业级客户端管理最佳产品,受到业界越来越多的关注。从网管角度来看,其优势主要还是体现在对域管理模式的全方位扩充。 首先,SMS将全部数据存储在后台SQL数据库中,变于相关人员动态调用、动态处理。 第二,引入“后台智能传输服务技术”(BITS),将管理的带宽占用降至最低。 第三,7种预置终端发现方法,帮助网管员及时发现域外未接受管理者,及早将其“拉入”安全防线,实施全面管理。该功能对笔记本类移动用户非常具有实用价值。 第四,便捷易用的远程工具,甚至可清晰地看到到客户端的鼠标动作,网管员无须预先部署及来自客户端的授权,即可直接操作客户端,对安全措施不到位者实施强制管理。 第五,SMS已包含微软即将推出的SUS的换代产品WUS的全部功能,支持SQL服务器、Exchanger服务器、Office产品的补丁升级。 第六,也是最为使用者称道的报告功能。SMS将软硬件资产详细列表及软件计量数据,按160张预置报表,通过WEB方式提供给相关人员。它们除了为网管员提供便利外,还为本单位IT领导提供丰富的、动态的、准确的决策依据。比如,微软已经数度提出要停止对Windows 98的技术支持,而且实际上相关的技术支持也已大打折扣。这样,局域网内那些继续使用Windows 98操作系统的终端已经成为实际上的安全隐患。SMS报告可准确地统计出这类隐患的数量,并确切地将其定位,同时进一步列出这些终端的硬件配置,判断出哪些可直接升级到Windows 2000 Professional,哪些还需要硬件投入。 《SMS报告》截图 将这个例子引申一下,再加上前面提到的将客户端加入域时,由网管员手工完成的客户端技术文档,我们就可以制定出符合本单位实际需要的《客户端技术规范》,完善我们的域建设,完善我们的网络安全防线。>>>>>>
返回列表

中国社科院美国研究所 版权所有@2010 京ICP备05036911号