应用域管理提高企业内网管理水平
第29卷第4期201计算技术与自动化V01.29,No.4Dec.20l00年12月ComputingTechnologyandAutomation文章编号:1003—6199(2010)04--01
第29卷第4期
201
计算技术与自动化V01.29,No.4Dec.2
0
l0
0年12月
ComputingTechnologyandAutomation
文章编号:1003—6199(2010)04--0131--04
应用域管理提高企业内网管理水平
孙
寅,刘宏岭
(宁夏电力公司石嘴山供电局.宁夏石嘴山753000)
摘要:针对企业信息内网存在的安全臆患进行分析.提出应用城管理提高内网的集中管控能力,列举企业应用城管理的优势.重点提出网络访问保护(NAP)和网络准入控制功能.结合本企业说明实施城管理过程的步骤及注意事项.
关键词:信息内网I安全I域管理中图分类号:TP391
文献标识码:A
ApplicationDomainControltoImproveEnterpriseLoacal
AreaNetwork
Management
Level
SUNYin,LIUHong-ling
(NINGXIAElectricPowerCorporationSHIZHISHANPowerSupplyBureau.Shizui.‘}hartAbstract:Based
maincontrol
tO
on
753000,China)
OUt
the
analysis
oflocal
area
networksecurityinformationanalysis.thepaperpointsApplicationdo—
on
improvetheenterprisemanagementlevel
access
ofsafetymanagementofthelocal
contr01.Itsuggests
steps
area
network.Articlethe
pro-
posednetwork
protection(NAP)andnetwork
access
and
pontsofattentionduringtheimple—
mentationofdomaincontr01.
Keywords:network‘safetldomaincontrol
1
前言2信息内网存在的安全隐患
2.1对网内计算机的权限没有进行控制
由于对网内计算机的权限没有控制,导致职工可以自己安装操作系统,可以任意删除防病毒系统、移动介质及桌面管理系统和360安全卫士等信息安全必备的安全防护软件。
用户安装、运行未经过安全检测的软件,这些软件可能存在病毒和木马,对网络安全运行和信息泄密带来隐患。
用户设置空口令或弱口令,不开启防火墙。设置硬盘或文件夹共享,开启远程控制,开启Guest账户等等不规范行为,将会使计算机很容易感染病毒或被远程控制而导致信息泄密。
随着“SGl86”工程的顺利实施,建立在一体化平台上的八大业务系统及ERP系统陆续上线,系统已覆盖到电力系统的全部业务领域,宁夏电力公司已正逐步向信息化企业迈进。为保证各业务系统的安全运行,六大保障体系也相继建成。其中安全防护体系的建立保障了网络安全、数据安全和系统安全。但存在的问题是在网络安全保障体系建设中,我们应用了防火墙、入侵检测、物理隔离装置等手段,目的是对与我们联网的其他企业及因特网进行防御,但却忽视了企业内部网络的防御。2008年的网络安全数据统计表明,70%的网络安全问题来自于信息内网。
收稿日期:2010—08--25
作者简介:孙寅(1974一).男.宁夏石喷山人.工程师.研究方向・企业信息系统的开发与建设(E--mail:bclzi@sohu.com)・刘宏岭
(198‘一)。男。宁夏石喷山人.助理工程师,研究方向・企业倌息系统的处理和运维.
万方数据
,计算技术与自动化20]0年12月
2.2
内网安全防范缺乏有效的措施
网络规模越来越大,网络终端数量也越来越
多,而终端全部都是基于工作组的模式,管理员无法对计算机终端进行集中管理,终端系统安全策略只能逐台制定,既费时有费力。
内部网络终端缺乏网络用户识别、准人机制。任何人员在信息内网只要将计算机插入网线,就可以进入内部网络各个区域,其中没有任何身份的认证和安全措施,如知道相关应用系统的帐号及密码,就可以访问相关的应用数据,对整个网络和应用造成很大的安全威胁。
对正常接入的终端没有进行健康性的检查和指导用户进行修复,以及不能对达不到安全要求的终端及时发现并采取隔离措施。只有该终端破坏范围扩大了,造成一定的后果,才采取补救措施。即信息安全不能达到“能控”、“在控”状态。
3域管理模式的优势
活动目录(ActiveDirectory)是在Windows
Server版上应用的目录服务。它能够存储网络上关于对象的信息,使管理员和用户能很容易找到这些信息,即提供了一个逻辑的、有层次的目录信息资源进行管理的标准方式,为企业信息化的实施打要合理规划分配好域内用户的操作权限.在分Users用户Users用户组对系统的操作权限很在日常工作中.经常会碰到给客户端安装各种万方数据
序。需要注意的是,活动目录中默认只能安装MSI格式的安装包。对于其他格式的安装软件可以通过制作ZAP文件或第三方软件将其打包成MSI格式再进行软件发布。可以通过这种方式强制向用户分发防病毒系统软件,并且控制用户不能删除防病毒系统软件。还可以通过在内部网络中配置WSUS服务,强制用户打补丁。
3.3应用计算机安全策略配置,提高系统安全性
计算机的安全策略包括账户策略、本地策略、密码策略、公钥策略、IPsec策略、事件日志、受限制的组、系统服务、注册表、文件系统等。要集中管理好用户账号,为特定的用户或组指派一定范围的管理任务,使其能控制设定本地资源。同时做好软件限制策略,控制可以在客户端计算机上运行的程序。通过组策略的设定,强制纠正用户的一些不规范行为,如:通过设置安全策略提示用户修改空口令或弱口令,强制开启防火墙,关闭计算机的默认共享,关闭Guest账户等。
3.4批量修改用户计算机管理员密码。限制本地
功能
脚本是使用一种特定的描述性语言,编辑脚本并将其应用到开机、关机、登录、注销过程中可以实现在多种状态下对客户端进行一般组策略无法实现的控制管理。可应用开机脚本批量修改域计算机本地管理员(Administrator)密码。可以把所以域内的计算机本地管理员密码全部修改,由域管理员掌握。各用户使用自己的工号和密码登陆系统,管理员根据用户的工作需要开通必要的权限,用户企业的安全医生一NAP网络访问保护NAP(Network
AccessProtec—
Server2008操作系统中内置的
建立了基于Windows域的信息管理系统后,组织结构。活动目录服务是网络操作系统对网络下了良好基础。活动目录通过域控制器(DomainControler)对所辖的组织结构、工作组、用户进行管理,即域用户管理模式。域管理模式有以下优势:
3.1合理地分配域用户权限
配用户权限时,遵循最低权限原则。如,对于域内的普通用户,都可将其添加到Domain组中。Domain低,它不能添加、删除硬件设备,不能安装、卸载应用程序,不能设置共享,不能启动或停止系统服务。不能修改系统目录和注册表,甚至不能修改系统时间,只能运行一些已安装的应用程序和进行基本的文件操作。这样,可以大大降低用户由于误操作对系统或网络的影响,加强了网络的安全性和易管理性。
3.2自动分发应用软件
应用软件的工作。应用组策略中的软件自动安装功能可以方便地实现多台客户端统一安装应用程
对自己的计算机的使用权限受到安全限制,以降低用户对计算机系统所造成有意的或无意的破坏。
3.5
tion)是Windows安全策略执行平台。通过使用NAP网络访问保护技术,可以对客户端的健康状态进行实时地监控,对于不满足要求的客户端及时进行强制性的补救工作,保证企业内部的所有设备均按照管理员定制的健康条件正常运转。NAP如同企业内部的一位专职医生,时刻检查企业内部每一台机器的健康状态。
3.6网络准入控制
即可实现通过Windows域部署安全策略和管理用户访问权限。然而,基于Windows的权限控制只能作用到应用层,而无法实现对用户的物理访问权
,第29卷第4期孙寅等。应用域臀理提高企业内网竹理水平
限的控制。如,用户如果不登陆域服务器,仍然使用工作组模式登陆系统,此时域服务器上的软件无法派送到客户端,安全策略也无法强制应用到客户端,而相反用户却可以获得网内的访问权,即非法用户仍然可以访问网络资源。需要解决的问题就是必须强制用户登陆到域服务器进行合法认证,获得准许后方可接人信息内网,网络准人控制技术因此而产生。
准入控制系统与接人层交换机实现互动,对接入网络的客户端进行验证,验证通过后才可接入网络。准人控制系统与防病毒系统、WSUS补丁服务器、桌面管理等系统紧密配合,对已通过认证的用户终端进行安全检查,强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查,防止不符合企业安全策略的终端接人网络,降低病毒、木马等安全威胁在企业扩散的风险。从而提高了网络的安全性和保密性。
4域管理规划及实施
4.1规划企业域的结构
宁夏电力公司根据国家电网公司注册的域名以及为下属网省公司下达的域名规划企业域结构。宁夏电力公司作为森林域,域名为nx.sgcc.com.cn;下属地市局作为子域建立在林域的基础之上,如石嘴山供电局的域名分配为SZS.nx.sgcc.tom.ca。整个域结构的规划层次分明,林域控制器具有最高权限,可以管理宁夏电力公司本部和各下属地市局及直属单位,子域控制器可管理本单位的用户。域控制器与DNS紧密结合,对域内的各台主机的域名进行解析。
田l
企业城的结构图
域控制器必须考虑双机冗余备份,以提高域管理系统的可靠性。林域控制器尤为重要,甚至要设计为多台服务器组成的集群。4.2进一步规划组织单位
为了便于管理,可以参照单位的行政组织机构
万方数据
在活动目录中划分了组织单位(Organization
U—
nits,0U),将相应的账号和组归类划人组织单位,这样就能按部门来设定组策略。如,供电局可以按照部门划分出生产技术部、市场营销部等0U。利用组和oU来管理用户能够减轻许多活动目录管理的负担。
图2用户图
4.3建立用户
建立用户账号并分配该用户隶属的权限组。
由于宁夏电力公司已经建立了一体化平台,以建立了较完善的员工信息库。可使用Novell目录服务将系统中的组织机构、人员信息和系统登录账号、密码安全映射到Windows活动目录中。使得域用户名和现有Novell目录系统中的用户名统一起来。只用一套用户名和密码,即可登录域。同时减少了账号录入的工作量。
4.4设置安全策略
4.4.1按照规划分配域用户权限4.4.2配置需要自动分发的应用软件
4.4.3应用NAP功能,实时处理内网安全问题4.4.4配置网络准入控制
4.4.5
应用计算机安全策略配置,提高系统安
全性
组策略是域管理实现对用户安全管理的控制中心,该管理中心功能非常强大,配置也比较复杂,配置过程中应先进行测试,再进行策略下发。下面举例说明通过组策略的配置可以实现的一些功能。1)通过组策略的设定,强制纠正用户的一些不规范行为,这些行为很可能导致计算机感染病毒,或被
远程控制而导致信息泄密。例如:
(1)对设置空口令或弱口令用户强制修改口令(2)强制开启客户端防火墙(3)关闭硬盘或文件夹共享功能(4)对部分用户关闭远程控制
(5)关闭Guest账户开启功能等等不规范行为。
,计算技术与自动化2010年12月
2)通过组策略的设定,提高运维管理工作的效率。
例如:
(I)批量设置默认主页为一体化平台主页(2)批量设定各应用系统的受信任站点,下载并启用各插件
(3)批量设置IE浏览器等常用软件的安全选项,使其达到规定的安全级别
3)通过组策略的设定,定制用户使用环境。例如:
(1)定制用户计算机的桌面主题,屏幕保护等,使其统一显示宣传公司企业文化的内容。
(2)定制用户计算机“本地安全策略”选项,提高网内个体的安全运行水平。
(3)定制用户计算机“服务”选项,使得各项安全防护系统更好地发挥作用。
以上工作以往由各单位运维人员给各台计算机设置,费时费力,而应用域管理后,即可就能完成全公司计算机的设置,且用户不能随意修改。4.5域管理实施过程中存在的问题4.5.1操作系统存在的问题
>家庭版操作系统(windows
xp、vista、win7
等)不支持域管理、NAP和802.1X协议。
>简易版操作系统部分无法正常加入域,或加人域后存在不稳定现象。
>部分盗版操作系统加人域后出现不稳定现象。
>硬盘fat32格式不支持权限管理功能。
建议:
万方数据
>在企业今后的计算机采购时应注明操作系统必须是企业版(professional),不能是家庭版
(home)。
>预置的磁盘分区为NTFS格式。4.5.2接入层交换机问题:
>接人层交换机必须支持AAA认证和802.1x功能,否则不能开启准人控制功能。
建议:
>在采购交换机时应选择必须支持AAA认结束语
通过应用域管理可从技术方面加强内网的管出不穷,我们只有不断地创新,不断地引进新的安版杜.
Server
2008
服务器配置与管理[M].北京。海洋出版杜.
证和802.1x功能的交换机。
理,控制非法用户和不健康终端的接入,使得部分安全隐患提前得到控制,实现安全管理防患于未然。随着信息技术的应用,内网的威胁和隐患也层全管理技术,才能使信息安全得到进一步的加强,使得各信息系统更好地服务于企业。
5
[1]刘晓辉.网络服务搭建、配置与管HEM].北京・电子工业出
[2]黄骁.崔冬,熊德伟.轻松傲网管——Windows参考文献
,
应用域管理提高企业内网管理水平
作者:
作者单位:
刊名:
英文刊名:
年,卷(期):孙寅, 刘宏岭, SUN Yin, LIU Hong-ling宁夏电力公司石嘴山供电局,宁夏,石嘴山,753000计算技术与自动化COMPUTING TECHNOLOGY AND AUTOMATION2010,29(4)
参考文献(4条)
1. 黄骁;崔冬;熊德伟 轻松做网管--Windows Server 2008服务器配置与管理
2. 刘晓辉 网络服务搭建、配置与管理
3. 刘晓辉 网络服务搭建、配置与管理
4. 黄骁. 崔冬. 熊德伟 轻松做网管--Windows Server 2008服务器配置与管理
本文链接:http://d.g.wanfangdata.com.cn/Periodical_jsjsyzdh201004033.aspx