廣東紅海灣發(fā)電有限公司（汕尾發(fā)電廠）隸屬粵電集團，是廣東省最大的骨干電廠之一。公司的信息中心成立后，尤其在管理信息系統(tǒng)硬件和綜合布線項目實施期間，先后經(jīng)歷了魔波病毒、ARP欺騙、私自開啟DHCP、交換機硬件故障引發(fā)網(wǎng)絡(luò)風(fēng)暴等大規(guī)模故障，在解決問題的過程里，信息中心人員就如何限制一些非正常上網(wǎng)行為、防治大規(guī)模的病毒爆發(fā)、如何實施快速有效的服務(wù)響應(yīng)積累一定的經(jīng)驗。

一、網(wǎng)絡(luò)對辦公環(huán)境造成的危害

隨著Internet接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給企業(yè)的網(wǎng)絡(luò)帶來了更高的危險性、復(fù)雜性和混亂性，再加上內(nèi)部員工的不當(dāng)操作使信息維護人員疲于奔命。網(wǎng)絡(luò)對辦公環(huán)境造成的危害主要表現(xiàn)為：

1.由于使用者的防范意識普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴散到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)，部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，木馬、病毒傳播迅速，影響規(guī)模大，還導(dǎo)致網(wǎng)絡(luò)長時間處于帶毒運行而系統(tǒng)管理員無能為力。

2.部分網(wǎng)站網(wǎng)頁含有惡意代碼，強行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦的資源消耗，導(dǎo)致計算機反應(yīng)緩慢；

3.個別員工私自安裝從網(wǎng)絡(luò)下載的軟件，而這些軟件安裝包多數(shù)附帶各種插件、木馬和病毒，并在安裝過程中，在用戶不知情的情況下強行安裝在辦公電腦上，大大增加了辦公電腦大量的資源消耗，導(dǎo)致計算機反應(yīng)緩慢，甚至被遠程控制；有些病毒利用arp欺騙，影響到整個片區(qū)辦公電腦的正常工作；

4.一些計算機愛好者利用辦公電腦作為學(xué)習(xí)的工具，私自開啟DHCP服務(wù)器，導(dǎo)致辦公電腦不能正常獲取IP，用戶計算機與應(yīng)用系統(tǒng)服務(wù)器的通訊中斷，影響極壞；

5.部分員工使用公司計算機上網(wǎng)聊天、聽歌、看電影、打游戲，少數(shù)員工全天24小時啟用P2P軟件下載音樂和影視文件，由于flashget、迅雷和BT等軟件并發(fā)線程多，導(dǎo)致大量帶寬被部分員工占用，導(dǎo)致網(wǎng)絡(luò)速度緩慢，應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)，即便是嚴格的計算機使用管理制度也很難保障企業(yè)中的計算機只用于企業(yè)業(yè)務(wù)本身，PC的業(yè)務(wù)專注性、管控能力不強。

通過對網(wǎng)絡(luò)內(nèi)現(xiàn)存問題的深入分析，我們和深信服科技的技術(shù)專家進行了溝通，通過購
買M5400-AC，并啟用了相應(yīng)的管理和控制功能，將以上的問題相應(yīng)解決。具體策略如下：

二、網(wǎng)絡(luò)行為管理和維護策略

策略1：啟用用戶身份認證系統(tǒng)。通過深信服M5400-AC的用戶組管理模塊，將內(nèi)網(wǎng)用戶的計算機與MAC地址、IP地址進行綁定。用戶登錄時，如果不符合綁定規(guī)則，將無法正常訪問Internet。

策略2：借助于深信服SINFOR M5400-AC產(chǎn)品的網(wǎng)絡(luò)行為識別功能，對從常規(guī)端口過來的數(shù)據(jù)包進行特征碼檢測，從而達到徹底封鎖QQ、MSN等軟件。目前由于處于基建期間，各專業(yè)專工（數(shù)量較多）使用QQ和MSN等IM軟件和廠家進行溝通和交流，可以對這部分用戶開放QQ和MSN 等IM軟件的權(quán)限，并對其他用戶的IM通訊進行封堵。

策略3：啟用網(wǎng)絡(luò)準入系統(tǒng)。借助于深信服SINFOR M5400-AC產(chǎn)品的網(wǎng)絡(luò)準入系統(tǒng)，識別內(nèi)網(wǎng)用戶的計算機是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的計算機才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計算機，不允許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計算機的安全性，減少了企業(yè)用戶感染蠕蟲、病毒、木馬以及間諜軟件的風(fēng)險。

策略4：啟用P2P流控功能。對PC的權(quán)限進行劃分，某些部門需要經(jīng)常通過P2P下載學(xué)習(xí)資料，則給該部門開放一定的P2P下載權(quán)限。每個員工平均有100Kbps的下載上限。對于其他部門，則將P2P下載和上傳的流量限制在10Kbps以下，避免占用過多的網(wǎng)絡(luò)帶寬，并起到規(guī)范員工的上網(wǎng)行為的效果。

策略5：啟用 M5400-AC的殺毒模塊，對經(jīng)過主干的數(shù)據(jù)進行HTTP、FTP和Mail檢測，直接過濾含病毒的文件和頁面。

策略6：借助于深信服SINFOR M5400-AC產(chǎn)品的入侵識別系統(tǒng)，使得信息系統(tǒng)管理員可以根據(jù)記錄進行統(tǒng)計分析，發(fā)現(xiàn)有潛在危險的辦公計算機，從而有針對性地進行預(yù)防性檢查。

三、實施效果

實施上述策略后，基本上能為廠區(qū)內(nèi)所有辦公電腦提供了一個正常健康的辦公環(huán)境，主要表現(xiàn)在以下方面：

1.網(wǎng)絡(luò)滿足全廠人員在廠區(qū)局域網(wǎng)絡(luò)內(nèi)辦公的需求，接入因特網(wǎng)的速度也比較滿意；
2.基本杜絕了大規(guī)模的病毒爆發(fā)；
3.PC專注業(yè)務(wù)性和管控性加強。
4.很容易查找和定位帶病毒運行的計算機，避免帶病機器繼續(xù)運行和擴大影響；
5.系統(tǒng)具備一定主動識別和預(yù)防的能力，發(fā)現(xiàn)有潛在危險的辦公計算機，并對其進行針對性的預(yù)防檢查。