随着计算机网络技术的成熟和发展,互联网已成为社会生活、生产中必不可少的工具。但由于网络应用和服务越来越广泛深入,网络安全的控制难度也越来越大。其中部分员工肆意使用互联网资源对企业所造成的损失,已经远远超出了企业管理者的预估,因此,强化员工上网行为管理。确保互联网资源的合理使用已经成为网络安全维护的必然趋势。
1 网络现状
西山煤电(集团)公司职工总医院现有可上网电脑160余台。划分在一个独立的VLAN中,IP地址都是自动获取。通过H3C ER3100路由器接入移动光纤,经过路由器自带的软件接收网络日志。通过对日志的研究分析,发现在安全方面存在很多问题:
1)由于这160多台电脑连接的是互联网,无法象内网电脑那样采取软件管理、网络配置等多种管理手段,限制其使用某些功能。一些合法用户,由于某种原因造成无法正常上网,有时会自行修改其IP地址进行上网,导致其它合法用户IP冲突无法上网。而路由器日志是根据IP记录上网网址,导致出现安全问题时,无法通过日志定位是哪台电脑出现问题。
2)用户没有经过正常途径申请和批准。携带笔记本电脑,私接路由器或交换机,造成整个网络路由环路和客户端的IP地址无法自动获取,此种行为无法控制。
3)在互联网安全方面,HTTP、SMTP、FTP等协议,几乎每天都面临不同的安全风险,病毒、蠕虫、垃圾邮件、木马程序等恶意行为也在伺机攻击企业的网络系统,且管理人员很难定位是哪台客户机中了病毒。
4)管理人员无法知道员工在工作时间上网主要是在做什么事情,无法限制员工对非法网站的访问,从而有效规避法律风险。
5)随意使用在线音频和视频应用、P2P类下载工具软件带来的网络资源的拥塞,导致在高峰期网络速度慢。
2 解决问题的对策
2.1加强教育和宣传
反复在该院宣传上网安全管理的重要性,使员工理解进行上网安全管理的必要性和重要性,同时使员工理解上网行为管理是一种约束和规范企业员工遵守工作纪律、提高工作效率、保护医院隐私的工具,是行政管理的电子化辅助手段,而不是为了监控员工上网,侵犯员工的隐私。
2.2 完善医院互联网管理有关规定
根据《中华人民共和国计算机信息网络同际联网管理暂行规定》、《中华人民共和国计算机信息系统安全保护条例》等国家有关法律法规规定,制订了《关于加强医院网络管理的规定》,所有上网科室必须填写中请表,经相关领导批准后给予开通。
2.3 应用实现一部署网康上网行为管理产品
1)接入模式:该院采用网桥模式。在路由器和心交换机之间安装了网康上网行为管理产品(N13310),此种模式不需要更改网络结构和配置。
2)基于用户策略的控制方式,根据N13310扫描到的lP和MAC地址,根据科室设置,设置相应的用户组,并给每个用户设置密码。设置不同的用户组,便于管理员根据不同科室的职能和需求,分别设置不同的安全策略。
3)设置认证方式为WEB本地认证。管理人员设定统一的初始口令,把用户账号分发给用户,保障用户身份的安全。用户开机上网时,第一次必须输入用户名和密码。
4)开启IP和MAC地址绑定功能,防止用户非法修改IP地址。N13310支持将用户的lP地址和网卡MAC地址绑定,被绑定的IP地址将不能被别的MAC地址使用,主要是为了防止IP地址被盗用,但并不禁止MAC使用别的IP。通过这样可以有效解决用户非法接人和私自修改IP的问题,可以防止有人非法使用可以上网的电脑。
5)N13310提供了丰富的查询和统计功能,安装运行一段时间后可以明显看出,在该院日前网络流量中,迅雷、BT等P2P下载工具及风行、PPLV等流媒体下载占据了主要的流量。经过分析,上传流量明显高于下载流量,这很不正常,只能说明P2P类工具占据了网络的主要流量。针对以上现象,该院在策略管理一策略设置中作了相应设置,新建应娟策略控制,阻止对游戏、股票、P2P工具、网络电视、QQ等的访问。N13310内置了全面的应用协议控制数据库,具有深度内容检测(Del)技术,精确识别各种应用的协议特征。针对未知的P2P协议的下载软件、未知的股票等应用软件、甚至一些特殊应用(比如走80端口的web迅雷),都可以做到封堵。由于院办、人事科等职能科室需要使用MSN或QQ与其他单位联系,所以部分科室未封MSN和QQ应用。
6)在策略管理设置中对网页浏览进行限制,封堵对各种违法、违规及木马病毒等网页的浏览。N13310拥有全球最大的中文网页过滤数据库,可以精确过滤不良信息。根据日志中的访问显示,可以进一步自定义需要封堵的网站。
7)在策略管理中进行网页策略搜索的设置,通过设置控制方式、搜索类别、关键字等,实现对用户对搜索引擎使用的控制,如篆止搜索敏感文字,禁止员工在上班时间搜索视频等。
8)在策略管理中设置合理的网络流量改置,对于图书馆等需要大量下载资料的部门,不设置流量限制,而其余部门仅需要浏览网页查找资料,设置较小的流量。
9)在策略管理一时间对象中进行上网时间的设置,对丁机关职能科室,设置周一到周五早上7:30—19:30为工作时间(已对下班时间适当的延长),在其余时问禁止上网。而临床科室由于有值班人员,考虑到具体情况,未设置时间限制。
10)在策略管理一审计策略设置中设置合适的审计策略。N13310可以对QQ、MSN通等常用的聊天工具,以及对邮件收发、论坛发帖、FTP、TELNET、HTTPS等容易泄密、影响网络安全的行为进行审计和管控。结合该院具体情况,上互联网的电脑在一个单独的VLAN中,与内部网络隔离,敏感资料外泄可能性很小,且考虑到保护员工隐私,因此,在审计策略设置中未作邮件发送及接收审计、QQ/MSN审计,而是设置FTP审计、HTTPS审计、TELNET审计、发帖审计,尤其是重点关注发帖审计,防止员工擅自发布不良言论,规避法律风险,在出现问题时有据可查。
11)在策略管理一防护设置一全局设置中,开启ARP报警,当局域网内发生ARP攻击时可以及时得到反馈,并能确定发出ARP攻击的主机。
12)根据N13310提供的查询和统计功能,审查每天的网络访问情况,带宽资源的利用情况、策略的审计结果。为网络管理员的决策和管理提供重要的数据依据,并以此为依据进行其他控制策略的微调。
3 运行效果
部署N13310一段时间后,取得了较好的效果。网络运行越来越稳定,上网速率较以前有明显的改善。在统计表中可以看到,P2P应用和流媒体下载基本消失,医学类网站浏览、搜索等成为最常见的应用,工作效率有了很大的提高。总之,上网行为管理有利于网络管理者及时了解网络运行情况,并肘网络整体状况做出基本分析,发现造成网络异常的原因,并进行快速故障定位。并能监督、控制、引导用户正确使用网络。较好地解决了在安全和畅通的前提下,充分利用网络资源的问题。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:浅谈上网行为管理在企业中的应用
本文网址:http://www.toberp.com/html/news/1051559867.html