廣東紅海灣發電有限公司信息中心成立一年多，尤其在管理信息系統硬件和綜合布線項目實施期間，先后經歷了魔波病毒、ARP欺騙、私自開啟DHCP、DLink交換機硬件故障引發網絡風暴等大規模故障，在解決問題的過程里，信息中心人員就如何限制一些非正常上網行為、防治大規模的病毒爆發、如何實施快速有效的服務響應積累一定的經驗。

一、網絡對辦公環境造成的危害

隨著Internet接入的普及和帶寬的增加，一方面員工上網的條件得到改善，另一方面也給企業帶來更高的網絡使用危險性、復雜性和混亂，內部員工的不當操作等使信息維護人員疲于奔命。網絡對辦公環境造成的危害主要表現為：

1. 為給用戶電腦提供正常的標準的辦公環境，安裝操作系統和應用軟件已經耗費了信息中心人員一定的精力和時間，同時又難以限制用戶安裝軟件，導致信息系統管理人員必須花費其50%以上的精力用于維護用戶的PC系統，無法集中精力去開發信息系統的深層次功能，提升信息系統價值。

2. 由于使用者的防范意識普遍偏低，防毒措施往往不到位，一旦發生病毒感染，往往擴散到全網絡，令網絡陷于癱瘓狀態，部分致命的蠕蟲病毒利用TCP/IP協議的各種漏洞，使得木馬、病毒傳播迅速，影響規模大，導致網絡長時間處于帶毒運行而系統管理員無能為力。

3. 部分網站網頁含有惡意代碼，強行在用戶電腦上安裝各種網絡搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢；

4. 個別員工私自安裝從網絡下載安裝的軟件，這些從網絡上下載的軟件安裝包多數附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導致計算機反應緩慢，甚至被遠程控制；有些病毒利用ARP欺騙，影響到整個片區辦公電腦的正常工作；

5. 一些計算機愛好者利用辦公電腦作為學習電腦的工具，私自開啟DHCP服務器，導致辦公電腦不能正常獲取IP，且用戶計算機與應用系統服務器的通訊中斷，影響極壞；

6. 部分員工使用公司計算機上網聊天、聽歌、看電影、打游戲，部分員工全天24小時啟用P2P軟件下載音樂和影視文件，由于flashget、迅雷和BT等軟件并發線程多，導致大量帶寬被部分員工占用，網絡速度緩慢，導致應用軟件系統無法正常開展業務，即便是嚴格的計算機使用管理制度也很難保障企業中的計算機只用于企業業務本身，PC的業務專注性、管控能力不強。

二、網絡行為管理和維護策略

策略1：劃分VLAN。

對全廠辦公樓宇進行了細致的VLAN劃分，防止大規模的病毒爆發和擴散，減少故障影響的范圍。VLAN劃分的基本原則：

集中辦公的樓宇建筑，按辦公樓宇樓層劃分VLAN；

分散辦公的區域，按整棟樓宇和功能區域進行劃分，如運行值班VLAN。

策略2：建立域管理。

建立域控制器，并規定所有辦公電腦必須加入域，接受域控制器的管理，同時嚴格控制用戶的權限。汕尾發電廠的員工帳號只有標準user權限。不允許信息系統管理員泄露域管理員密碼、Landesk管理員密碼和本地管理員密碼。

在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網絡環境中，普通員工只具備標準的user權限，實際上是對該員工辦公環境的非常實際有效的保護。

辦公PC必須嚴格遵守OU命名規則，同時實現實名負責制。指定員工對該PC負責，這不但是固定資產管理的要求，也是網絡安全管理的要求。對PC實施員工實名負責是至關重要的，一旦發現該員工電腦中毒和在廣播病毒包，信息系統管理員能準確定位，迅速做出反應，避免擴大影響。

策略3：PC維護包干到戶。

信息系統管理員在實際工作中可能存在拿本地管理員權限作為人情，這其實是一種自殺行為。任何一個具備管理管理員權限的員工，即使是信息系統管理員，使用Administrator權限上網，稍有不慎，便掉入網絡陷阱。為避免這種情況，對PC維護人員，采取區域包干到戶的管理，同時區域負責人的域用戶帳號具備該區域內所有辦公電腦本地管理員的權限；如果區域負責人他愿意增加本地電腦管理員權限，增加的風險和工作量將由他自己承擔。

所有辦公電腦的本地管理員密碼由域控制器負責人掌握、設定或變更。

策略4：在防火墻上只開放常用或業務系統需要的端口，如80、25、21、110、443，其它端口一律封鎖，此項措施能有效實施對P2P和BT軟件的封鎖。

策略5：接入廠區網絡的計算機必須接受信息中心的管理。通過DHCP服務器的配合，在DHCP服務器上根據辦公電腦網卡的MAC地址固定某些辦公電腦的IP，在防火墻上設置相關的策略，允許經信息中心核準的某些IP組可以在本機上直接訪問Internet，或某些IP組只能連接局域網的應用服務器，對于不遵守OU命名規則的機器IP和沒有經過信息系統管理員授權的機器IP，不允許訪問Internet和Intranet，只能單機使用。

策略6：建立WSUS服務器。WSUS（Microsoft® Windows™ Server Update Services）是微軟推出的免費的Windows更新管理服務，目前最新版本為2.0.0.2472，除了支持Windows系統（Windows 2000全系列、Windows XP全系列和Windows server 2003全系列）的更新管理外，還可以支持SQL Server、Exchange 2000/2003、Office XP/2003等系統的更新管理，并且在以后，WSUS將實現微軟全系列產品的更新管理。

在域服務器上通過組策略設定客戶端PC的自動更新服務（內建于Windows 2000 SP3以上版本、Windows XP、Windows server 2003操作系統中的客戶端更新組件），默認情況下，它自動通過HTTP/HTTPS協議直接連接到Microsoft Update來下載更新程序，實現客戶端計算機的系統更新。

策略7：啟用網絡準入系統。借助于深信服Sinfor M5400-AC產品的網絡準入系統，檢查用戶的計算機是否具備了相應的安全策略。只有符合相應的安全策略的計算機才允許訪問外部網絡，不具備相應安全條件的用戶計算機，不允許上網。這樣從根本上提高了企業用戶計算機的安全性，減少了企業用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風險。

策略8：建立備機、無盤系統和終端服務器。

建立終端服務器，主要是為員工快速提供一個標準的正常的辦公環境。為保障終端服務器的安全，同時在終端服務器上使用管理員權限運行線程檢測程序，一旦發現有綠色版的BT、QQ、Emule、CCproxy等線程運行，檢測程序立即終止上述程序繼續運行。

通過建立無盤系統，使得員工辦公電腦軟件系統不能正常運行或硬盤出現故障，通過網卡啟動到無盤的winxp系統，并通過遠程桌面連接終端服務器進行日常辦公，實現快速的維護響應。

建立一定數量的備機，為員工快速提供一個標準的正常的辦公電腦。

策略9：使用Landesk進行遠程維護，實現快速的維護響應。

策略10：借助于深信服Sinfor M5400-AC產品的網絡行為控制功能，對從常規端口過來的數據包進行特征碼檢測，從而達到徹底封鎖BT、QQ、MSN等軟件。目前由于處于基建期間，各專業存專工（數量較多）使用QQ和MSN等IM軟件的即時文字消息和廠家進行溝通和交流，暫為實施禁止QQ和MSN 等IM軟件的即時文字交流。

策略11：借助于深信服Sinfor M5400-AC產品的入侵檢測防御系統，使得信息系統管理員可以根據記錄進行統計分析，發現有潛在危險的辦公計算機，可以有針對性地進行預防性檢查。

三、實施效果

實施上述策略后，基本上能為廠區內所有辦公電腦（約300臺）提供一個正常的健康的辦公環境，主要表現在以下方面：

1. 網絡滿足全廠人員在廠區局域網絡內辦公的需求，接入因特網的速度也比較滿意，同時還能滿足出差人員通過vpn接入廠區網絡進行移動辦公的需求；

2. 基本杜絕了大規模的病毒爆發；

3. PC專注業務性和管控性加強。

4. 很容易查找和定位帶病毒運行的計算機，迅速避免帶病機器繼續運行和擴大影響；

5. 系統具備一定主動預防的能力，發現有潛在危險的辦公計算機，并進行針對性的預防檢查。

6. PC維護方面，大大降低了PC維護的難度、減少了信息中心人員的維護時間和精力，同時由于無盤系統、終端服務器和備機等提供樂及時響應用戶、快速提供標準辦公環境的能力；