局域网内部管理行为应该如何控制?

前段时间,有一位兄抛出了一个问题,是关于企业的内部网络管理的,且来看看:

1、公司的新产品图纸终稿还未确认,竞争对手根据设计初稿已经批量上市;

2、90%以上的员工打着工作便利的旗号,在网上炒股、看新闻、看短片、打游戏,找工作,发简历;

3、光盘刻录,U盘拷贝,外部计算机的接入,造成重要数据流失;
4、还有老板关心的财务问题等等。所有的这些因为内部人员网络行为问题,已经困扰IT人员那根脆弱的神经。
大家针对这个问题,仁者见仁,智者见智,也来探讨一下。矛与盾的关系,道与魔的斗争,何时见分晓。。。。
对于这个问题,各个做IT 的兄弟们还是深有感触,也都出了不少点子,且与大家分享:

=====================

上内网管理软件(全网控制员工上网行为)
上加密软件
制定有效的制度

不过做了这些好象还有漏洞,人情漏洞也是蛮大的

=======================

对于网络管理,我觉的数据安全可能会从几个层面来管理吧。。

1、机房的日常维护与管理条例

2、服务器日常维护与管理条例

3、网络安全及攻击预防

4、客户端计算机安全条例

5、计算机操作员的操作规范

6、计算机网络行为监控与激励机制

这个好像有个叫法,叫:上网行为管理的。

=========================

1/对于技术图纸这块,用PDM系统,把所有技术数据统一纳入服务器管理;

=========================

身有体会,人情漏洞大!同时还有点就是温州这边的跳槽现象也不大好控制,就算你管理上的疏忽,员工拷贝图纸 一套 两套?三套?那也只是就这个范围,但是鉴于目前温州的跳槽来说,你员工走出公司了,人家图纸记在脑袋里 你保密措施做的再好又怎么样呢!一个人跳槽所带走的东西是远远大于那一套俩套==的图纸数量的!

感觉 HW 提的几点基本上已经比较全面了,很多时候好的东西还得需要管理到位和高层支持!个人想补充一点就是:

数据安全中的“数据的备份机制”也不能落下!现在很多企业 由于管理上的疏忽造成硬件损坏=其他原因引起的数据丢失 情况也比较严重!

还有楼下提到U盘病毒 其实可以自己做相应的处理对策,比如对U盘病毒类掌握好他的特性,关闭所有驱动器自动运行,所有公司U盘不管是私人还是公司的,插入公司电脑前必须统一经过信息部门做autorun。inf 补丁免疫处理== !当然要做到完全100%杜绝是不大可能的,但是这类病毒只要你及时掌握好病毒的动态和特性!及时自己做好相应免疫对策基本上是不用当心这类问题的!

==============================

网络安全不是小事,内部控制自然是重点.目前已经成熟的控制方式有:
(1)关闭USB口;
(2)网络环境加密软件;
(3)文件服务器集中管理文件,本地机器禁止存放一切公司文档;
(4)电子文档外发专人管理,一般在行政部门文员兼.

彻底做,麻烦少.和一些人进行交流,可行.

================================

JJ提的几点意见,是很有道理,其实操作中确实还有技术上问题:
1 网络环境加密的软件,用的成熟的没有,虽然有一部分企业在使用这些软件,其实软件本身就有很多问题,最担心的大量的数据被这些加密软件损失,软件厂商也回天无力,我测试过两个,也看了几个他们认为成功的案例,都存在一些问题,稳定性让人担忧;
2 集中打印方式虽然好,但对于办公环境分散的企业,操作起来难度较高;
3 域管理模式下,禁用USB接口,设定权限是很好的做好,但对于设计部门有一些问题,如设计部门的软件版本特多,CAD就有R14,2000,2002,2004,2007等多个版本,安装授权,很是头痛,且要跟不同的供应商和客户对接;
4 文件集中管理,对带宽的要求比较高,好的作法是无盘网,但图形设计软件容量特大,占用带宽很高,如果都下载到本地,很有下载和上传过程中占用带宽的问题.
当然,我尽会找问题,这样也可以这些方案可行性,更完善一些.

==================================

看见这个讨论我提一下,我在原来企业的时候的管理方式:
USB口:USB口使用专门开模制作的一种封口模块,安装、拆卸模块时需要拆主板才可以完成;
机箱封闭:一样使用封机模块,一次性使用,无法回收,拆卸需要破坏模块;
文件管理:文件存储与远程FTP服务器上,机器只开放C盘,尺寸为10~20G,行政人员15G左右XP系统、10G 2000系统,技术人员大一点,本机存不了多少东西就会主动上传服务器,另外定期回收机器“维护”告知用户,我们直接删除机器里全部资料,他们就会乖乖的上传服务器;
文件传递:内网文件传递使用OA,文件外发、接收使用OA的审批流程,需要各个部门相关领导审批以后服务器自动外发;
打印机管理:购买专用的打印服务器,打印机通过打印服务器连接网络实现网络打印,表面上是方便使用,实际上每条打印信息都在服务器上有记录(打印监控王),打印机放在资料室或办公室内,没有安放在敞开式办公区域内,由专人保管看护(资料员、部门经理);
文件加密:没有做过,由于USB端口被封,一切文件外传全部通过OA审批流程,USB口只有信息部的一台机器可以开放,传入传出均由那台机器的操作人员负责,并登记,所以加密就没什么需要了。

你可能感兴趣的:(局域网)