2016 年（第五届）电力安全与信息技术研讨会 446 三、管理公司网络运行环境 公司网络既要满足公司办公需要，又要对员工 的上网行为进行有效的管理。需要对员工 上班期间上网范围进行限制，禁止其浏览某些 网站，限制其网络聊天、上网打游戏和看视频； 而 且不同员工上网限制范围也需要各不相同；需要记 录员工每次的上网时间，在哪些时间上过网；需要 记录员工都访问浏览过哪些网站；需要控制每个员 工的上网带宽，防止其BT过分占用出口带宽资源； 需要记录员工发送的数据，以检查员工有无不良行 为等等。公司选用了深信服上网行为管理设备。 上网管理的需求，怎么解决，怎么方便地解决。 归结起来，企业对员工的上网管理，存 在3个方面 的需求：1)控制员工上网时间长短和允许上网时间 段；2)限制员工的访问网站范 围；3)记录员工的访 问日志和通信数据。落实到技术层面，就是员工电 脑Internet通信的控 制和过滤。 目前上网行为管理产品技术层面主要分为：协 议识别、管理控制和报表分析三部分。我 们选用深 信服上网行为管理设备，对公司网络进行管理，将 公司上网策略分为四个组：公司 领导组、普通员工 组、管理员组、临时用户组，对不同组设置不同的 上网管理策略，实现了 对公司上网行为的优化管 理。图3-3 深信服上网行为管理上网策略显示。 四、公司无线网络安全 首先从IT技术人员出发，提高无线网络安全设 置的知识。 1、选择安全的路由器名字。 如果使用生产厂商的配置软件来完成这一步， 路由器的名字将作为广播点(又叫热点)，你或试图 连接至路由器广播区范围之内的无线网络的任何人 都看得见它。这时不要把路由器的品牌名或型号(如 Belkin、Linksys或AppleTalk)作为其名字。那样的 话，黑客很容易找出路由器可能存在的安全漏洞； 同样，不要把你自己的姓名、住址、公司名称或项 目团队等作为路由器的名字，这无疑帮助黑客猜出 你的网络密码。 你可以通过这个办法来确保路由 器名字的安全：名字完全由随机字母和数字或者不 会透露路由器型号或你身份的其他任何字符串组 成。 2、修改用户名和密码。 一般的无线网络都是通过无线路由器或中继器 来访问外部网络。通常这些路由器或中继器设备制 造商为了便于用户设置这些设备建立起无线网络， 都提供了一个管理页面工具。这个页面工具可以用 来设置该设备的网络地址以及帐号等信息，为了保 证只有设备拥有者才能使用这个管理页面工具，该 设备通常也设有登陆界面，只有输入正确的用户名 和密码的用户才能进入管理页面。然而在设备出售 时，制造商给每一个型号的设备提供的默认用户名 和密码都是一样，不幸的是，很多家用户购买这些 设备回来之后，都不会去修改设备的默认的用户名 和密码。这就使得黑客们有机可乘。他们只要通过 简单的扫描工具很容易就能找出这些设备的地址并 尝试用默认的用户名和密码去登陆管理页面，如果 成功则立即取得该路由器的控制权。 3、设置密钥。 黑客攻击电脑只要在无线路由器/中继器的有 效范围内的话，就有很大机会访问到该无线网络， 一旦它能访问该内部网络时，该网络中所有是传输 的数据对他来说都是透明的。如果这些数据都没经 过加密的话，黑客就可以通过一些数据包嗅探工具 来抓包、分析并窥探到其中的隐私。如果开启无线 网络加密，这样即使你在无线网络上传输的数据被 截取了也没那么容易被解读。目前，主流无线路由 器及无线网卡都提供有WEP、WPA/WPA2加密，通常我 们选用能力最强的那种加密技术。同时配置软件提 供了允许远程管理的选项，就要禁用这项功能，以 便没有人能够通过互联网控制路由器设置；另外最 好能做到定期更换密钥，可考虑每个季度更换一次 密钥，这样安全性会大幅度提高。 4、禁止SSID广播。 在无线网络中，各路由设备有个很重要的功能， 那就是服务区标识符广播，即SSID广播。最初，这