用戶簡介：

某電器廠共有兩個廠部，兩個廠部網絡用光纖連接。信息中心位于總廠，采用DDN專線接入互聯網，并設有CISCO PIX防火墻，所有交換機支持智能管理，并劃分了VLAN。全廠共有12臺服務器，運行了兩種操作系統（Windows 2003和Linux），其中2臺服務器沒有安裝應用，但配置相對較老。工程師建立了基于微軟活動目錄的用戶管理中心，郵件系統為Exchange 2003 Sever。

內網現況：

起初一段時間網絡運行情況比較穩定，但隨著員工對網絡使用技巧的熟悉，網絡應用逐漸增多，隨之帶來的信息泄露、病毒感染情況也越來越多。

網絡工程師部署了一些簡單的安全措施和規定，但效果不很明顯，其內容如下：

部分客戶端安裝了單機版防毒軟件，由用戶自行升級。

采用了安裝補丁的腳本配置，但需要用戶每次登錄域后才能分發補丁。

員工和外來人員的筆記本電腦需要登記后使用，但未做硬性管理，也就是說只是書面的管理規定。

部分電腦安裝了安全衛士360，并啟用了U盤防毒功能，但效果不明顯。

公司曾有一名開發部員工將開發圖紙泄露給競爭對手，已經由公安機關立案偵查，初步懷疑是由QQ或郵件系統發送出去的，公司現規定所有員工不允許安裝即時通信軟件，但總有一些年輕人忍受不了寂寞，安裝IM軟件，被扣工資的事情總有發生。

公司規定如果發現病毒后需要將網線拔掉，不能感染其他用戶，但部分很多人都不知道什么狀態是感染了病毒，這項規定一直沒有得到實施。

公司郵件服務器經常收到垃圾郵件和病毒郵件的困擾，所以公司要求員工不要打開這些陌生人的郵件，但很多人置若罔聞。

有部分住廠里宿舍的員工喜歡研究黑客技術，曾發現他們的計算機安裝過竊聽軟件，另外發現他們有人拿公司服務器練手的情況，教育多次后有所改正。不過很難保證這些小伙子們都不再犯。

分廠共有9臺交換機，其中部分交換機不能支持VLAN劃分，分廠沒有網絡工程師，只是外聘了一名網管員，網絡安全事故發生的頻率更多。這使得總部的網絡管理員頻繁奔波于兩個廠部之間，幫助維修分廠處理這些病毒和軟件故障。總部的網絡管理人員夜不能寐，很想把那兩臺沒有用的老服務器利用起來，他能否睡個安穩覺？

問題所在

這個電器廠遇到的問題不僅存在于他們一家，很多用戶在安全管理方面都存在著類似的問題。我們歸納一下，主要有2個問題：

1．缺乏規劃

電器廠的內網有多種類型的員工，除分為內部員工和外來人員外，在內部員工中還有一些掌握企業重要信息的部門，

例如開發部、財務部等，以及技術較好、喜歡研究黑客技術的潛在危險分子。

沒有將域和訪問控制緊密結合、并對各種類型的人進行分類和訪問權限劃分，是該電器廠應抓緊補救的規劃。

2．手段單一

我們發現，雖然電器廠在發現安全問題后嘗試了多種手段，例如安裝單機版殺毒軟件、啟用U盤防毒、甚至出臺強制

性規定，但依然無法徹底解決各種安全隱患。隨著員工對網絡的進一步熟悉，令網管員頭疼的安全事故將會愈演愈烈。

問題在于該廠的安全防范措施不能夠藥到病除，導致網管翻來覆去的處理同一種類型的安全事故，事倍功半。

輕重緩急

所有的工作都分為重要的和緊急的，如果長期不做重要的事情，緊急的事件就會接踵而來。拿電器廠來說，由于沒有解決我們上面提到的規劃，沒有及時部署全面、有效的網絡安全管理措施，導致經常有一些突發事件出現。

具體來說，電器廠應該先針對不同身份的上網人員進行權限劃分，給不同的部門和人分配不同級別的網絡訪問權限。這個可以通過安全設備來實現，并和微軟活動目錄相互配合。

同時，電器廠需要盡快采用完善的網絡安全管理手段，畢竟行政上的規定在對計算機和網絡的管理時往往無能為力，必須配以合適的網絡管理手段才可以治標又治本。同時，網管員可以通過遠程訪問來分別管理兩個廠區的網絡，避免兩地奔波，在路上浪費過多事件。

另外，本著“要事第一”的原則，我們認為電器廠的個別問題可以推遲考慮，例如對服務器的利用。不過，目前電器廠在內容安全上存在問題較多，而內容安全的管理設備多會產生大量的日志。通過把2臺服務器作為內容安全設備的日志中心，既利用了現有資源、又實現了新的功能，是一個可以值得考慮的處理方式。

畢竟要先解決重要緊急的事情。

解決方案

深信服科技建議該電器廠考慮部署AC上網行為管理解決方案。上網行為管理包括身份認證、網絡準入規則、外發信息管理、Web訪問控制、文件傳輸記錄等，囊括了內網用戶從撥入Internet到訪問Internet中產生的所有相關網絡行為。

首先針對電器廠的IT規劃問題和身份認證問題，AC產品可以很好的解決。AC可以自動搜集局域網中所有活動電腦的IP和MAC地址，包括三層交換機下的用戶，并且可以通過和域聯動，導入域中現有的用戶。網管可以通過將這些IP根據部門和個人進行合理劃分，給不同的人分配不同的網絡訪問權限。

AC的網絡準入規則可以對內網終端的應用軟件進行管理，如果某臺PC安裝了不符合網管員設定策略的軟件，該PC將無法訪問網絡。這樣，目前電器廠面臨的部分員工安裝竊聽軟件等行為就可以避免。同時，AC的網絡準入規則可以配合補丁分發來實現，如果內網某臺PC沒有安裝殺毒軟件、防火墻，或者沒有及時對操作系統打不定，AC都可以自動阻攔其對網絡的訪問，直到該PC符合規定的安全策略。

而對于公司存在的泄密問題，AC可以從兩方面進行管理。第一，AC可以根據客戶需求，封堵所有的軟件和應用，這樣電器廠就不需要出臺各種規定和罰款制度了。第二，對所有的網絡外發行為，AC都可以實現審計，包括QQ、MSN、郵件（包括客戶端郵件和Web郵件）、FTP等，這樣就可以盡量避免個別員工將機密信息泄漏。

對于困擾電器廠已久的病毒問題，我們可以在AC上增加網絡殺毒模塊，通過配合單機版殺毒軟件，實現本地和網絡的病毒查殺，盡量杜絕員工通過U盤、網絡下載、收取病毒郵件帶來的隱患。

方案點評

AC上網行為管理解決方案可以解決電器廠目前的大多數內網安全問題，并可以通過網絡準入規則實現對終端的軟件管理。為了更完善的管理好網絡，我們建議電器廠還要定期對服務器和網絡進行安全性掃描和維護，避免出現漏洞，被人所利用。在服務器前可以添加防火墻、SSL VPN等設備，保障服務器群的安全。