内网管控很必要
每个企业都有数量不等的应用系统需要开发、安装、调试和维护,如果采用外包服务方式,就会有大量的外部项目开发组进驻企业,其中绝大部分开发组和技术支持组都会有访问企业数据中心服务器区内的应用系统的需求。没有或者不完善的接入管控将会扩大外部人员的访问权限,最坏的情况就是外部接入计算机可以访问到企业所有的服务器和数据。失控的外部开发人员接入是企业内部网络中最薄弱的一环,企业数据安全不能仅仅依靠双方签定的保密协议。所以,更严格的外部开发人员接入管控可以提高应用系统和数据的安全等级。
外部接入要设限
虽然很多企业的内部网络用户(员工)的接入管控已经做到接入交换机的端口与接入设备的MAC和IP地址进行绑定,但不是所有管理员都能对每个接入的用户(组)制定访问控制策略。这样,外部开发组就能与企业内部员工获得同样多的访问权限。
对于没有做接入管控的外部开发组,一旦有接入内部网络的需求并获得批准,其可以访问服务器的数量与企业最高管理层一样多,惟一能阻止他们获得数据访问的权限就仅剩下用户名和密码。对于IT专业的开发者,接管整台服务器并不比试探或截取密码更难。
失控的外部开发人员接入还会产生更严重的后果:接入计算机的病毒传入内部网络;对内部网络不正常广播或攻击引起网络阻塞;越权访问重要应用系统(如财务系统);非法的数据复制及外泄;如果接入计算机同时又联入互联网,黑客还可以通过接管该计算机对内部网络及服务器进行攻击。
对于开发组的网络结构和需求,基本可以分为以下几类:
- 开发组内部组成独立的局域网;
- 在独立局域网中设置服务器区,安装开发及调试服务器;
- 开发及调试服务器上线后,需要接入企业数据中心机房;
- 该局域网中部分用户需要访问企业数据中心其他系统的服务器(如做数据交换接口的调试)等。
接入管控必须做到在满足外部开发组需求的同时,保证企业数据中心的安全。
仅通过技术手段管控是否足够?一个最基本的事实是,批准人根本就不认识外部开发人员。所以,对于外部开发人员接入企业内部网络的管控,不仅要从技术方面做控制策略,还要通过制度和过程管理等多个方面进行综合管控,才能达到预期效果。
接入管控流程
外部开发人员接入内部网络必须是一个完整的管控流程,流程必须涵盖外部开发人员、开发组负责人、项目负责人、信息主管部门负责人和操作人员的关系和责任,明确网络结构、网络接入的方法和访问控制策略。
管控工作流程包括:
(一)接入内部网络的开发组网络
1.申请:对于要接入内部网络的开发组局域网,需由该项目负责人提出申请。申请表包含有该开发组需要访问的服务器和端口。
2.审查:使用网络区域的信息部门负责人批准。
3.批准:企业信息中心负责人批准。
4.实施:由当地信息部门的网络管理员开通相应的权限。
(二)使用企业内部网络的外部开发人员
1.申请:每个要使用企业内部网络的外部开发人员必须提交上网申请表并签字。
2.证明:申请人所在公司负责该项目的项目经理或项目负责人签字。
3.担保:该项目的甲方项目经理或负责人签字担保;担保人需承担对申请人作上网前的安全培训。
4.批准:使用网络区域的信息部门负责人批准。
5.实施:由当地信息部门的网络管理员开通相应的权限,并向申请人发放用户名和密码。
基本管控策略
最基本的管控策略包括对接入设备、接入过程和访问策略三个方面的控制。
其中,接入设备通常是开发用计算机和应用系统服务器。首先,每个开发组应该有一个独立的办公区域,保证计算机设备的安全。项目开发实施单位都为开发工程师配备了笔记本电脑,但工程师通常用它来上网或收发邮件。为防止企业内部数据、程序代码及技术资料被非法拷贝外泄,企业值得为每个开发组配备专用的开发计算机。开发计算机应安装桌面及外设控制,关闭USB接口和CD-R,避免内部数据的非法复制和外泄。对于导入数据的操作,需要制定统一的数据录入策略:在数据介质安全性检查通过后,由专用计算机导入开发系统。还可以通过建立域控制器提高管控的等级,为每个开发者建立账号,这样不仅可以提高开发用计算机的利用率,还可以实施更细致的接入控制策略。当然,接入网络时的设备健康检查仍然不可或缺。设备接入过程控制主要是防止未经许可的设备通过开发局域网接入企业内部网络。在开发组的办公区域内建设开发环境用的专用局域网,使用独立的交换机。每台开发用计算机和开发及测试服务器的MAC和IP与接入交换机端口绑定,把不同的开发组的连接端口设置成独立的VLAN。每个VLAN采用私网IP地址,这样不仅可以节约内部IP地址,而且避免外部人员了解企业内部的网络地址结构,也方便安全设备的策略设置。对于VLAN内部或与其他开发组互访的VLAN,可以在交换机设置策略。
所有外部开发环境用的局域网通过防火墙做NAPT后接入企业内部网络。对于开发和测试服务器在企业数据中心的项目,防火墙对允许访问的服务器作IP地址和端口的访问控制策略,以防止访问权限的失控。
对于预算充裕的企业,可以加入设备接入健康检查、NAC、DLP等,还可以为每个开发工程师发放身份卡和内部证书,实现更加灵活和可靠的管控。
项目完成后,还应该要求将桌面、日志、行为审计、交换机和防火墙策略等数据刻盘,所有的申请表存档保存。
这样,一个完整的接入管控才真正完成。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
数据如何提升业务?
Michael Koukounas, 作为全球评分和分析方面的领导者,Equifax公司的高级副总裁,在最近举行的2013年Kodak Alaris全球研讨会上,就如何建立一个强大的数据分析战略,提供了一些参考。
-
真实数据决策信息化价值
企业信息化应用系统只有在对合乎要求的数据进行处理的基础上,才能提供企业所需的管理数据供决策参考。
-
同意签署云服务协议前需要问的10个问题
您有多少次是在没有仔细阅读用小字体撰写的法律条款的情况下就点击“确认”来订购云供应商的服务了?请不要再这样做了。
-
数据中心的数据必须优化
数据是企业数据中心的重要资产,获取并维护高质量数据,对高效的IT和业务运营至关重要。面对复杂度不断增加的业务数据,如何才能全面保证数据质量?