一、用户背景
大连冷冻股份有限公司是大连冰山集团有限公司属下的核心企业,具有60多年的历史,是中国最大的工业制冷设备生产企业和中国最大的制冷成套设备出口厂商。
二、系统总体要求和解决方法
1. 系统要求:
(1)实施网络系统改造,提高企业网络系统运行的稳定性,保证企业各种设计信息的安全性,避免图纸、文档的丢失和外泄。
(2)通过软件或安全手段对客户端的计算机加以保护,记录用户对客户端计算机中关键目录和文件的操作,使企业有手段对用户在客户端计算机的使用情况进行追踪,防范外来计算机的侵入而造成破坏。
(3)通过网络的改造,使管理者更加便于对网络中的服务器、客户端、登陆用户的权限以及应用软件的安装进行全面的监控和管理。
2.解决方法:
(1)在新购买的服务器上安装Windows 2000 Server操作系统,将网络中约150台客户端计算机的操作系统全部升级为Windows 2000 Professional。
(2)调整网络登陆权限,客户端用户只拥有域用户帐号,没有本机的管理员权限,对操作系统产生的日志文件没有修改的权利;同时,在服务器端为所有用户帐号制定安全策略和审核策略。
(3)限制网络用户只能在唯一指定的计算机上登录,在客户端计算机创建关键目录和文件的操作日志和打印日志,可以记录所有用户对文件的浏览、复制、删除、修改、打印等操作。
(4)在服务器端的操作系统制定安全策略和审核策略,安装监控软件,系统管理员可以快速查询、分析到有问题的记录,并追查到相关的计算机。
三、系统改造需要完成的功能及策略
1.防止内部文件通过计算机的外部设备而流失
(1)将客户端的软盘控制器禁用
(2)将客户端的USB控制器禁用
(3)为防止其他设备接入系统将客户端的并口、串口等禁用
2.建立网络内部人员访问的安全审核
(1)在策略中禁止本地的超级用户登陆,防止用户自己任意修改计算机的设置及安装软件。
(2)禁止用户自己建立共享文件夹,防止用户之间随便拷贝文件,降低文件流失的可能性。
(3)为了统一管理域用户中的共享目录,统一在服务器上为每个人上建立共享目录,并控制其操作权限。这样当用户A希望共享得到用户B的文件时,按以下过程操作:A要通知B后,B将A想要的文件拷贝到A的共享目录下。这样做的优点是,任何人不会在对方不知情的情况下获得对方的文件,并且管理员容易统一管理所有的共享目录。
3.防范外部计算机的侵入
(1)限制网络用户只能在唯一指定的计算机上登录,网络用户名与计算机名唯一对应,避免网络用户通过别人的计算机在网络中进行非法操作。
(2)限制每台机器的IP地址和MAC地址(每个网卡有唯一的MAC地址)绑定在一起,这样可以防止外来计算机侵入网络。通过上两步的设定可以达到用户名、计算机名、IP地址、MAC地址一一对应起来。
(3)在服务器上安装Network Inspector软件。Network Inspector会记录网络中计算机的变化情况(IP地址的变化、Mac地址的变化,机器名的变化等),为事后的检查提供依据。
(4)在服务器管理中建立登陆日志,记录所有网络用户登陆的过程。
4.有效记录客户端操作情况
(1)对每个人的共享文件夹建立安全审核,可以记录网上任何人对共享文件夹的访问。
(2)在客户端计算机上建立全面的日志文件,记录使用者操作计算机的使用情况。
5.在各台打印服务器的打印机上建立安全审核日志,记录每次发生的打印过程,有效记录打印、绘图状况。
四、大冷网络改造后的结构图
改造后的网络结构如下图所示。在保留原域控制器(DOMAIN域)的情况下,将所有客户端转移到DLDATA域下。原有的DOMAIN域服务器用于绘图仪服务器和应用软件的网络许可效验,同时在此服务器上安装Veritas软件。
新建的DLDATA域采用Windows 2000作为网络平台,其中服务器端安装的操作系统为Windows 2000 Server,客户端安装的操作系统为Windows 2000 Professional。利用Windows 2000 Server提供的网络安全配置方案建立符合要求的网络环境。
在新的域中还有若干组内的打印服务器,这些服务器主要负责办公文档和图纸草稿的打印。组内的计算机也要通过DLDATA域服务器的验证,才能对这些打印服务器进行访问。
此外,域内还有笔记本计算机可以接入,这些笔记本计算机所受限制较小,但是可以向台式机一样访问网络资源。
大冷网络结构示意图
网络环境改造后,网络系统运行正常,日常工作正常。目前服务器端通过设定的安全策略能够有效的管理、控制域中的用户和计算机;通过操作系统本身的功能能够实时监测到域中计算机的设备工作状态,能够统一管理客户端设备的启(停)用,从而达到了厂内资料从硬件设备流失的可能性。通过将客户端的操作系统升级,工作环境及各种应用软件的运行变得更加稳定,便于网络管理员的统一管理。
