2016 年(第五届)电力安全与信息技术研讨会
446
三、管理公司网络运行环境
公司网络既要满足公司办公需要,又要对员工
的上网行为进行有效的管理。需要对员工
上班期间上网范围进行限制,禁止其浏览某些
网站,限制其网络聊天、上网打游戏和看视频; 而
且不同员工上网限制范围也需要各不相同;需要记
录员工每次的上网时间,在哪些时间上过网;需要
记录员工都访问浏览过哪些网站;需要控制每个员
工的上网带宽,防止其BT过分占用出口带宽资源;
需要记录员工发送的数据,以检查员工有无不良行
为等等。公司选用了深信服上网行为管理设备。
上网管理的需求,怎么解决,怎么方便地解决。
归结起来,企业对员工的上网管理,存 在3个方面
的需求:1)控制员工上网时间长短和允许上网时间
段;2)限制员工的访问网站范 围;3)记录员工的访
问日志和通信数据。落实到技术层面,就是员工电
脑Internet通信的控 制和过滤。
目前上网行为管理产品技术层面主要分为:协
议识别、管理控制和报表分析三部分。我 们选用深
信服上网行为管理设备,对公司网络进行管理,将
公司上网策略分为四个组:公司 领导组、普通员工
组、管理员组、临时用户组,对不同组设置不同的
上网管理策略,实现了 对公司上网行为的优化管
理。图3-3 深信服上网行为管理上网策略显示。
四、公司无线网络安全
首先从IT技术人员出发,提高无线网络安全设
置的知识。
1、选择安全的路由器名字。
如果使用生产厂商的配置软件来完成这一步,
路由器的名字将作为广播点(又叫热点),你或试图
连接至路由器广播区范围之内的无线网络的任何人
都看得见它。这时不要把路由器的品牌名或型号(如
Belkin、Linksys或AppleTalk)作为其名字。那样的
话,黑客很容易找出路由器可能存在的安全漏洞;
同样,不要把你自己的姓名、住址、公司名称或项
目团队等作为路由器的名字,这无疑帮助黑客猜出
你的网络密码。 你可以通过这个办法来确保路由
器名字的安全:名字完全由随机字母和数字或者不
会透露路由器型号或你身份的其他任何字符串组
成。
2、修改用户名和密码。
一般的无线网络都是通过无线路由器或中继器
来访问外部网络。通常这些路由器或中继器设备制
造商为了便于用户设置这些设备建立起无线网络,
都提供了一个管理页面工具。这个页面工具可以用
来设置该设备的网络地址以及帐号等信息,为了保
证只有设备拥有者才能使用这个管理页面工具,该
设备通常也设有登陆界面,只有输入正确的用户名
和密码的用户才能进入管理页面。然而在设备出售
时,制造商给每一个型号的设备提供的默认用户名
和密码都是一样,不幸的是,很多家用户购买这些
设备回来之后,都不会去修改设备的默认的用户名
和密码。这就使得黑客们有机可乘。他们只要通过
简单的扫描工具很容易就能找出这些设备的地址并
尝试用默认的用户名和密码去登陆管理页面,如果
成功则立即取得该路由器的控制权。
3、设置密钥。
黑客攻击电脑只要在无线路由器/中继器的有
效范围内的话,就有很大机会访问到该无线网络,
一旦它能访问该内部网络时,该网络中所有是传输
的数据对他来说都是透明的。如果这些数据都没经
过加密的话,黑客就可以通过一些数据包嗅探工具
来抓包、分析并窥探到其中的隐私。如果开启无线
网络加密,这样即使你在无线网络上传输的数据被
截取了也没那么容易被解读。目前,主流无线路由
器及无线网卡都提供有WEP、WPA/WPA2加密,通常我
们选用能力最强的那种加密技术。同时配置软件提
供了允许远程管理的选项,就要禁用这项功能,以
便没有人能够通过互联网控制路由器设置;另外最
好能做到定期更换密钥,可考虑每个季度更换一次
密钥,这样安全性会大幅度提高。
4、禁止SSID广播。
在无线网络中,各路由设备有个很重要的功能,
那就是服务区标识符广播,即SSID广播。最初,这
打分:
0 星