一、網(wǎng)絡(luò)對辦公環(huán)境造成的危害

隨著Internet接入的普及和帶寬的增加，一方面員工上網(wǎng)的條件得到改善，另一方面也給企業(yè)帶來更高的網(wǎng)絡(luò)使用危險性、復(fù)雜性和混亂。

1.信息系統(tǒng)治理人員必須花費其50%以上的精力用于維護用戶的PC系統(tǒng)。

2. 一旦發(fā)生病毒感染，往往擴散到全網(wǎng)絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)。

3.部分網(wǎng)站網(wǎng)頁含有惡意代碼，強行在用戶電腦上安裝各種插件，導(dǎo)致計算機反應(yīng)緩慢；

4. 個別員工私自安裝從網(wǎng)絡(luò)下載安裝的軟件，這些軟件安裝包多數(shù)附帶各種插件、木馬和病毒；有些病毒利用ARP欺騙，影響到整個片區(qū)辦公電腦的正常工作；

5. 部分員工啟用P2P軟件，導(dǎo)致大量帶寬被部分員工占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)。

二、網(wǎng)絡(luò)行為治理和維護策略

策略1：劃分VLAN。對全廠辦公樓宇進行了細致的VLAN劃分，防止大規(guī)模的病毒爆發(fā)和擴散，減少故障影響的范圍。

策略2：建立域治理。建立域控制器，并規(guī)定所有辦公電腦必須加入域，接受域控制器的治理，同時嚴格控制用戶的權(quán)限。

策略3：PC維護包干到戶。對PC維護人員，采取區(qū)域包干到戶的治理，同時區(qū)域負責(zé)人的域用戶帳號具備該區(qū)域內(nèi)所有辦公電腦本地治理員的權(quán)限。

策略4：在防火墻上只開放常用或業(yè)務(wù)系統(tǒng)需要的端口。

策略5：接入廠區(qū)網(wǎng)絡(luò)的計算機必須接受信息中心的治理。

策略6：建立WSUS服務(wù)器。在域服務(wù)器上通過組策略設(shè)定客戶端PC的自動更新服務(wù)。

策略7：啟用網(wǎng)絡(luò)準入系統(tǒng)。借助于深信服Sinfor M5400-AC產(chǎn)品的網(wǎng)絡(luò)準入系統(tǒng)，檢查用戶的計算機是否具備了相應(yīng)的安全策略。不具備相應(yīng)安全條件的用戶計算機，不答應(yīng)上網(wǎng)。

策略8：建立備機、無盤系統(tǒng)和終端服務(wù)器。

策略9：使用Landesk進行遠程維護，實現(xiàn)快速的維護響應(yīng)。

策略10：借助于深信服Sinfor M5400-AC產(chǎn)品的網(wǎng)絡(luò)行為控制功能，對從常規(guī)端口過來的數(shù)據(jù)包進行特征碼檢測。

策略11：借助于深信服Sinfor M5400-AC產(chǎn)品的入侵檢測防御系統(tǒng)，使得信息系統(tǒng)治理員可以根據(jù)記錄進行統(tǒng)計分析。

三、實施效果

實施上述策略后，基本上能為廠區(qū)內(nèi)所有辦公電腦（約300臺）提供一個正常的健康的辦公環(huán)境，主要表現(xiàn)在以下方面：

1.網(wǎng)絡(luò)滿足全廠人員在廠區(qū)局域網(wǎng)絡(luò)內(nèi)辦公的需求，同時還能滿足出差人員通過vpn接入廠區(qū)網(wǎng)絡(luò)進行移動辦公的需求；2.基本杜絕了大規(guī)模的病毒爆發(fā)；3.PC專注業(yè)務(wù)性和管控性加強；4.很輕易查找和定位帶病毒運行的計算機；5.系統(tǒng)具備一定主動預(yù)防的能力；6.大大降低了PC維護的難度、減少了信息中心人員的維護時間和精力。