劃定網(wǎng)絡(luò)安全防線

布置好網(wǎng)絡(luò)的安全防線，實現(xiàn)隨時隨地對內(nèi)網(wǎng)所有終端的有效監(jiān)控。

劃定網(wǎng)絡(luò)安全防線，人們通常首先會想到企業(yè)級防火墻、郵件網(wǎng)關(guān)、入侵檢測規(guī)則等，但上述安全措施的實施對安全管理員來說并不難，實際操作中甚至可以請相關(guān)產(chǎn)品的廠商代勞。

在劃定網(wǎng)絡(luò)安全防線過程中，真正困擾安全管理員的難題，是隨時隨地對內(nèi)網(wǎng)所有終端的有效監(jiān)控。舉例來說，局域網(wǎng)經(jīng)常會有新客戶端的加入，這些新客戶端是否都安裝了防火墻、防病毒軟件？它們的防火墻規(guī)則及病毒定義庫是否及時與相關(guān)服務(wù)器進行了同步？它們的系統(tǒng)安全補丁是否到位？要解決這類問題，就要求我們事先劃定一條安全防線，保證防線內(nèi)的所有終端都能自動安裝防火墻、防病毒軟件，并自動與相關(guān)服務(wù)器同步，系統(tǒng)補丁自動與內(nèi)網(wǎng)SUS（Software Update Service）服務(wù)器同步。這些工作全部可以通過微軟的“零管理”策略來實現(xiàn)。下面先來談一談劃定網(wǎng)絡(luò)安全防線，實施網(wǎng)絡(luò)安全零管理的前提條件——規(guī)范化的域建設(shè)。

規(guī)范化的域建設(shè)　　

域的規(guī)?？纱罂尚?，既可以是純正的Windows 2000的DC域，也可是含Windows NT 4.0服務(wù)器的混合域，但所有客戶端必須加入到域中，從而使安全管理員獲取足夠的對所有客戶端的管理權(quán)限。安全管理員可將加入域的操作權(quán)限放寬，甚至下放至所有授權(quán)用戶，并按照員工花名冊逐一創(chuàng)建其域用戶賬號。上一級安全管理員可將Windows 2000 Professional和Windows XP Professional加入域的方法及所屬網(wǎng)段的IP地址資源一同發(fā)給下一級安全管理員，并要求其在將客戶端加入域的同時，逐一建立盡可能詳盡的客戶端技術(shù)文檔，以備將來與通過其他網(wǎng)管工具獲取的同類報告進行校驗與互補。

有了上述的域，安全管理員的管理范圍就清晰了，網(wǎng)絡(luò)安全防線也就劃定了。接下來的工作就是具體的布防工作。
　　
布防安全防線

我單位使用的是McAfee公司的ePO產(chǎn)品，它統(tǒng)領(lǐng)幾乎所有McAfee網(wǎng)絡(luò)安全產(chǎn)品，從防火墻、防病毒、郵件網(wǎng)關(guān)、入侵檢測及其同步升級，到搜索不接受管理的客戶端的傳感器，還有掃描系統(tǒng)安全補丁缺項的Compliance報告，等等。安全管理員只須先期通過域，將ePO代理推送至客戶端，接下來的工作全部由ePO自動完成。ePO大大減輕了安全管理員的勞動強度，還為個性化管理提供了便利。舉一個個性化管理的例子——創(chuàng)建病毒動態(tài)報告：我們可利用ePO數(shù)據(jù)庫，將各終端的中毒匯總?cè)罩景l(fā)布在動態(tài)網(wǎng)頁上，以警示頻繁中毒者加強自律。

如果我們已購置了其他廠商的安全產(chǎn)品，同樣可利用域進行統(tǒng)一推送部署，減少企業(yè)的總體擁有成本。我們還可以利用組策略推送SUS客戶端，使之與內(nèi)網(wǎng)SUS服務(wù)器同步，保證所有終端在第一時間自動打上微軟的最新安全補丁。

SMS對域管理模式的全方位擴充

 微軟的Systems Management Server（SMS） 2003被IT專家網(wǎng)（TechTarget）評為Windows平臺2004年度企業(yè)級客戶端管理最佳產(chǎn)品，受到業(yè)界越來越多的關(guān)注。從網(wǎng)管角度來看，其優(yōu)勢主要還是體現(xiàn)在對域管理模式的全方位擴充。

首先，SMS將全部數(shù)據(jù)存儲在后臺SQL數(shù)據(jù)庫中，便于相關(guān)人員動態(tài)調(diào)用、動態(tài)處理。第二，7種預(yù)置終端發(fā)現(xiàn)方法，幫助安全管理員及時發(fā)現(xiàn)域外未接受管理者，及早將其“拉入”安全防線，實施全面管理。該功能對筆記本類移動用戶非常具有實用價值。第三，便捷易用的遠(yuǎn)程工具，甚至可清晰地看到客戶端的鼠標(biāo)動作，安全管理員無須預(yù)先部署來自客戶端的授權(quán)，即可直接操作客戶端，對安全措施不到位者實施強制管理。第四，SMS已包含微軟即將推出的SUS的換代產(chǎn)品WUS的全部功能，支持SQL服務(wù)器、Exchange服務(wù)器、Office產(chǎn)品的補丁升級。第五，最為使用者稱道的報告功能。SMS將軟硬件資產(chǎn)詳細(xì)列表及軟件計量數(shù)據(jù)，按160張預(yù)置報表，通過Web方式提供給相關(guān)人員。

它們除了為安全管理員提供便利外，還為本單位IT領(lǐng)導(dǎo)提供豐富的、動態(tài)的、準(zhǔn)確的決策依據(jù)。比如，微軟已經(jīng)數(shù)度提出要停止對Windows 98的技術(shù)支持，而且實際上相關(guān)的技術(shù)支持也已大打折扣。這樣，局域網(wǎng)內(nèi)那些繼續(xù)使用Windows 98操作系統(tǒng)的終端已經(jīng)成為實際上的安全隱患。SMS報告可準(zhǔn)確地統(tǒng)計出這類隱患的數(shù)量，并確切地將其定位，同時進一步列出這些終端的硬件配置，判斷出哪些可直接升級到Windows 2000 Professional，哪些還需要硬件投入。 

將這個例子引申一下，再加上前面提到的將客戶端加入域時，由安全管理員手工完成的客戶端技術(shù)文檔，我們就可以制定出符合本單位實際需要的《客戶端技術(shù)規(guī)范》，完善我們的域建設(shè)，加強我們的網(wǎng)絡(luò)安全防線。