行业垂直门户网站

设为首页 | 加入收藏

您当前的位置:北极星电力软件网 > 技术文章 > 正文

浅析企业内网安全建设(3)

3.3.5终端安全策略管理

系统可以对客户端操作系统漏洞进行扫描,包括是否存在弱口令账号、是否启用Guest账号、账号口令是否很长时间没有修改、是否存在已知的黑客程序、是否安装了违禁软件、是否未安装必须安装的软件如防病毒软件、是否启用违禁进程等。所有这些漏洞信息都会在客户端按如下界面显示,提醒用户自己机器存在的安全漏洞,并且也会通知管理员。

系统可以设置双向防火墙策略来限制客户端的网络访问。包括可以设定客户端向外提供的网络服务、客户端可以访问的网络服务。通过黑名单、白名单的方式来制定终端的网络访问控制策略。

系统可以通过白名单、黑名单方式定义违禁软件,这些违禁软件被运行时可以产生告警事件通知管理员,或者直接禁止违禁软件的使用。

利用网络行为审计功能实现终端用户上网行为审计和控制,包括:通过白名单和黑名单,审计和控制Web网站的访问,可以禁止终端用户访问一些非法Web网站;通过白名单和黑名单,审计和控制通过POP3和SMTP服务器收发邮件,可以禁止终端用户通过外部邮箱收发邮件;对文件拷贝进行审计和控制;对MSN、QQ等聊天软件的使用进行审计和控制,可以禁止某个时间段内使用这些聊天工具;对BT、电驴等P2P软件的使用进行审计和控制,可以禁止这些P2P软件的使用。

3.3.6网络异常监控

系统客户端能够自动抵御ARP网关欺骗和DHCP欺骗,能够实现自动识别,并选用正确的网关MAC。当发现ARP网关欺骗时,能够自动向管理员报警。因为网络结构调整或者网络设备升级原因而更换网关设备时,无需更改终端的配置,终端能够自动适应,选择新的网关MAC地址。

3.3.7终端行为审计与控制

系统可以实现局域网内终端计算机的个人行为审计,包括:U盘控制功能,实现U盘的读写控制;定义终端设备能够通过哪些POP3和SMTP服务器收发邮件,禁止通过哪些POP3和SMTP服务器收发邮件,哪些需要进行审计;通过Web访问控制,可以限制桌面终端用户通过WebMail方式外传文件,从而防止文件非法外传;能够对桌面终端用户使用MSN/QQ等进行监控和管理,禁止其通过QQ/MSN外传文件,也能够防止桌面终端用户通过文件共享和FTP等的方式外传文件,从而保证了企业的核心机密数据不被泄漏。

另外,补丁分发、软件分发等功能较为简单,就不再详细描述。

4 结束语

随着信息技术的不断发展和进步,内网安全的管理也在不断的发展。从最初的资产管理、补丁分发,到准入控制、设备加密、行为审计,再到数据防泄漏、透明加密,随着技术的进步和内网安全理念的不断深入发展,内网安全的建设也越来越全面,越来越成熟。

目前,内网安全管理已经进入了整体防泄漏时代。准入控制和加密不能解决所有的问题,单纯的行为审计也没有任何意义。我们只有从企业信息安全管理的全局视角出发,对信息安全进行全方位、多角度的设计,统筹规划、统一安排,全面整合利用准入控制、网络监控、安全审计、权限管理、透明加密等多种手段,根据企业局域网内安全等级的不同,涉密级别的不同,部署级别不同、力度不一的梯度式防护系统,将管理、技术、审计、人员进行有机的结合,在企业内部构建一个立体化的整体安全网络,才能实现真正意义上的内网安全。

来源:CIO时代
投稿联系:陈小姐  010-52898473 13693626116   QQ: 1831213786
MSN:huonet012@hotmail.com   邮箱:chenchen#bjxmail.com(请将#换成@)
《浅析企业内网安全建设 - 北极星电力软件网》的相关文章
最新新闻
相关专题