第２９卷第４期２０１計算技術(shù)與自動化Ｖ０１．２９，Ｎｏ．４Ｄｅｃ．２０ｌ００年１２月ＣｏｍｐｕｔｉｎｇＴｅｃｈｎｏｌｏｇｙａｎｄＡｕｔｏｍａｔｉｏｎ文章編號：１００３—６１９９（２０１０）０４－－０１

第２９卷第４期

２０１

計算技術(shù)與自動化Ｖ０１．２９，Ｎｏ．４Ｄｅｃ．２

０

ｌ０

０年１２月

ＣｏｍｐｕｔｉｎｇＴｅｃｈｎｏｌｏｇｙａｎｄＡｕｔｏｍａｔｉｏｎ

文章編號：１００３—６１９９（２０１０）０４－－０１３１－－０４

應(yīng)用域管理提高企業(yè)內(nèi)網(wǎng)管理水平

孫

寅，劉宏嶺

（寧夏電力公司石嘴山供電局．寧夏石嘴山７５３０００）

摘要：針對企業(yè)信息內(nèi)網(wǎng)存在的安全臆患進行分析．提出應(yīng)用城管理提高內(nèi)網(wǎng)的集中管控能力，列舉企業(yè)應(yīng)用城管理的優(yōu)勢．重點提出網(wǎng)絡(luò)訪問保護（ＮＡＰ）和網(wǎng)絡(luò)準(zhǔn)入控制功能．結(jié)合本企業(yè)說明實施城管理過程的步驟及注意事項．

關(guān)鍵詞：信息內(nèi)網(wǎng)Ｉ安全Ｉ域管理中圖分類號：ＴＰ３９１

文獻標(biāo)識碼：Ａ

ＡｐｐｌｉｃａｔｉｏｎＤｏｍａｉｎＣｏｎｔｒｏｌｔｏＩｍｐｒｏｖｅＥｎｔｅｒｐｒｉｓｅＬｏａｃａｌ

ＡｒｅａＮｅｔｗｏｒｋ

Ｍａｎａｇｅｍｅｎｔ

Ｌｅｖｅｌ

ＳＵＮＹｉｎ，ＬＩＵＨｏｎｇ－ｌｉｎｇ

（ＮＩＮＧＸＩＡＥｌｅｃｔｒｉｃＰｏｗｅｒＣｏｒｐｏｒａｔｉｏｎＳＨＩＺＨＩＳＨＡＮＰｏｗｅｒＳｕｐｐｌｙＢｕｒｅａｕ．Ｓｈｉｚｕｉ．‘｝ｈａｒｔＡｂｓｔｒａｃｔ：Ｂａｓｅｄ

ｍａｉｎｃｏｎｔｒｏｌ

ｔＯ

ｏｎ

７５３０００，Ｃｈｉｎａ）

ＯＵｔ

ｔｈｅ

ａｎａｌｙｓｉｓ

ｏｆｌｏｃａｌ

ａｒｅａ

ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｉｎｆｏｒｍａｔｉｏｎａｎａｌｙｓｉｓ．ｔｈｅｐａｐｅｒｐｏｉｎｔｓＡｐｐｌｉｃａｔｉｏｎｄｏ—

ｏｎ

ｉｍｐｒｏｖｅｔｈｅｅｎｔｅｒｐｒｉｓｅｍａｎａｇｅｍｅｎｔｌｅｖｅｌ

ａｃｃｅｓｓ

ｏｆｓａｆｅｔｙｍａｎａｇｅｍｅｎｔｏｆｔｈｅｌｏｃａｌ

ｃｏｎｔｒ０１．Ｉｔｓｕｇｇｅｓｔｓ

ｓｔｅｐｓ

ａｒｅａ

ｎｅｔｗｏｒｋ．Ａｒｔｉｃｌｅｔｈｅ

ｐｒｏ－

ｐｏｓｅｄｎｅｔｗｏｒｋ

ｐｒｏｔｅｃｔｉｏｎ（ＮＡＰ）ａｎｄｎｅｔｗｏｒｋ

ａｃｃｅｓｓ

ａｎｄ

ｐｏｎｔｓｏｆａｔｔｅｎｔｉｏｎｄｕｒｉｎｇｔｈｅｉｍｐｌｅ—

ｍｅｎｔａｔｉｏｎｏｆｄｏｍａｉｎｃｏｎｔｒ０１．

Ｋｅｙｗｏｒｄｓ：ｎｅｔｗｏｒｋ‘ｓａｆｅｔｌｄｏｍａｉｎｃｏｎｔｒｏｌ

１

前言２信息內(nèi)網(wǎng)存在的安全隱患

２．１對網(wǎng)內(nèi)計算機的權(quán)限沒有進行控制

由于對網(wǎng)內(nèi)計算機的權(quán)限沒有控制，導(dǎo)致職工可以自己安裝操作系統(tǒng)，可以任意刪除防病毒系統(tǒng)、移動介質(zhì)及桌面管理系統(tǒng)和３６０安全衛(wèi)士等信息安全必備的安全防護軟件。

用戶安裝、運行未經(jīng)過安全檢測的軟件，這些軟件可能存在病毒和木馬，對網(wǎng)絡(luò)安全運行和信息泄密帶來隱患。

用戶設(shè)置空口令或弱口令，不開啟防火墻。設(shè)置硬盤或文件夾共享，開啟遠程控制，開啟Ｇｕｅｓｔ賬戶等等不規(guī)范行為，將會使計算機很容易感染病毒或被遠程控制而導(dǎo)致信息泄密。

隨著“ＳＧｌ８６”工程的順利實施，建立在一體化平臺上的八大業(yè)務(wù)系統(tǒng)及ＥＲＰ系統(tǒng)陸續(xù)上線，系統(tǒng)已覆蓋到電力系統(tǒng)的全部業(yè)務(wù)領(lǐng)域，寧夏電力公司已正逐步向信息化企業(yè)邁進。為保證各業(yè)務(wù)系統(tǒng)的安全運行，六大保障體系也相繼建成。其中安全防護體系的建立保障了網(wǎng)絡(luò)安全、數(shù)據(jù)安全和系統(tǒng)安全。但存在的問題是在網(wǎng)絡(luò)安全保障體系建設(shè)中，我們應(yīng)用了防火墻、入侵檢測、物理隔離裝置等手段，目的是對與我們聯(lián)網(wǎng)的其他企業(yè)及因特網(wǎng)進行防御，但卻忽視了企業(yè)內(nèi)部網(wǎng)絡(luò)的防御。２００８年的網(wǎng)絡(luò)安全數(shù)據(jù)統(tǒng)計表明，７０％的網(wǎng)絡(luò)安全問題來自于信息內(nèi)網(wǎng)。

收稿日期：２０１０—０８－－２５

作者簡介：孫寅（１９７４一）．男．寧夏石噴山人．工程師．研究方向?企業(yè)信息系統(tǒng)的開發(fā)與建設(shè)（Ｅ－－ｍａｉｌ：ｂｃｌｚｉ＠ｓｏｈｕ．ｃｏｍ）?劉宏嶺

（１９８‘一）。男。寧夏石噴山人．助理工程師，研究方向?企業(yè)倌息系統(tǒng)的處理和運維．

萬方數(shù)據(jù)

計算技術(shù)與自動化２０］０年１２月

２．２

內(nèi)網(wǎng)安全防范缺乏有效的措施

網(wǎng)絡(luò)規(guī)模越來越大，網(wǎng)絡(luò)終端數(shù)量也越來越

多，而終端全部都是基于工作組的模式，管理員無法對計算機終端進行集中管理，終端系統(tǒng)安全策略只能逐臺制定，既費時有費力。

內(nèi)部網(wǎng)絡(luò)終端缺乏網(wǎng)絡(luò)用戶識別、準(zhǔn)人機制。任何人員在信息內(nèi)網(wǎng)只要將計算機插入網(wǎng)線，就可以進入內(nèi)部網(wǎng)絡(luò)各個區(qū)域，其中沒有任何身份的認證和安全措施，如知道相關(guān)應(yīng)用系統(tǒng)的帳號及密碼，就可以訪問相關(guān)的應(yīng)用數(shù)據(jù)，對整個網(wǎng)絡(luò)和應(yīng)用造成很大的安全威脅。

對正常接入的終端沒有進行健康性的檢查和指導(dǎo)用戶進行修復(fù)，以及不能對達不到安全要求的終端及時發(fā)現(xiàn)并采取隔離措施。只有該終端破壞范圍擴大了，造成一定的后果，才采取補救措施。即信息安全不能達到“能控”、“在控”狀態(tài)。

３域管理模式的優(yōu)勢

活動目錄（ＡｃｔｉｖｅＤｉｒｅｃｔｏｒｙ）是在Ｗｉｎｄｏｗｓ

Ｓｅｒｖｅｒ版上應(yīng)用的目錄服務(wù)。它能夠存儲網(wǎng)絡(luò)上關(guān)于對象的信息，使管理員和用戶能很容易找到這些信息，即提供了一個邏輯的、有層次的目錄信息資源進行管理的標(biāo)準(zhǔn)方式，為企業(yè)信息化的實施打要合理規(guī)劃分配好域內(nèi)用戶的操作權(quán)限．在分Ｕｓｅｒｓ用戶Ｕｓｅｒｓ用戶組對系統(tǒng)的操作權(quán)限很在日常工作中．經(jīng)常會碰到給客戶端安裝各種萬方數(shù)據(jù)

序。需要注意的是，活動目錄中默認只能安裝ＭＳＩ格式的安裝包。對于其他格式的安裝軟件可以通過制作ＺＡＰ文件或第三方軟件將其打包成ＭＳＩ格式再進行軟件發(fā)布?？梢酝ㄟ^這種方式強制向用戶分發(fā)防病毒系統(tǒng)軟件，并且控制用戶不能刪除防病毒系統(tǒng)軟件。還可以通過在內(nèi)部網(wǎng)絡(luò)中配置ＷＳＵＳ服務(wù)，強制用戶打補丁。

３．３應(yīng)用計算機安全策略配置，提高系統(tǒng)安全性

計算機的安全策略包括賬戶策略、本地策略、密碼策略、公鑰策略、ＩＰｓｅｃ策略、事件日志、受限制的組、系統(tǒng)服務(wù)、注冊表、文件系統(tǒng)等。要集中管理好用戶賬號，為特定的用戶或組指派一定范圍的管理任務(wù)，使其能控制設(shè)定本地資源。同時做好軟件限制策略，控制可以在客戶端計算機上運行的程序。通過組策略的設(shè)定，強制糾正用戶的一些不規(guī)范行為，如：通過設(shè)置安全策略提示用戶修改空口令或弱口令，強制開啟防火墻，關(guān)閉計算機的默認共享，關(guān)閉Ｇｕｅｓｔ賬戶等。

３．４批量修改用戶計算機管理員密碼。限制本地

功能

腳本是使用一種特定的描述性語言，編輯腳本并將其應(yīng)用到開機、關(guān)機、登錄、注銷過程中可以實現(xiàn)在多種狀態(tài)下對客戶端進行一般組策略無法實現(xiàn)的控制管理?？蓱?yīng)用開機腳本批量修改域計算機本地管理員（Ａｄｍｉｎｉｓｔｒａｔｏｒ）密碼?？梢园阉杂騼?nèi)的計算機本地管理員密碼全部修改，由域管理員掌握。各用戶使用自己的工號和密碼登陸系統(tǒng)，管理員根據(jù)用戶的工作需要開通必要的權(quán)限，用戶企業(yè)的安全醫(yī)生一ＮＡＰ網(wǎng)絡(luò)訪問保護ＮＡＰ（Ｎｅｔｗｏｒｋ

ＡｃｃｅｓｓＰｒｏｔｅｃ—

Ｓｅｒｖｅｒ２００８操作系統(tǒng)中內(nèi)置的

建立了基于Ｗｉｎｄｏｗｓ域的信息管理系統(tǒng)后，組織結(jié)構(gòu)?；顒幽夸浄?wù)是網(wǎng)絡(luò)操作系統(tǒng)對網(wǎng)絡(luò)下了良好基礎(chǔ)?；顒幽夸浲ㄟ^域控制器（ＤｏｍａｉｎＣｏｎｔｒｏｌｅｒ）對所轄的組織結(jié)構(gòu)、工作組、用戶進行管理，即域用戶管理模式。域管理模式有以下優(yōu)勢：

３．１合理地分配域用戶權(quán)限

配用戶權(quán)限時，遵循最低權(quán)限原則。如，對于域內(nèi)的普通用戶，都可將其添加到Ｄｏｍａｉｎ組中。Ｄｏｍａｉｎ低，它不能添加、刪除硬件設(shè)備，不能安裝、卸載應(yīng)用程序，不能設(shè)置共享，不能啟動或停止系統(tǒng)服務(wù)。不能修改系統(tǒng)目錄和注冊表，甚至不能修改系統(tǒng)時間，只能運行一些已安裝的應(yīng)用程序和進行基本的文件操作。這樣，可以大大降低用戶由于誤操作對系統(tǒng)或網(wǎng)絡(luò)的影響，加強了網(wǎng)絡(luò)的安全性和易管理性。

３．２自動分發(fā)應(yīng)用軟件

應(yīng)用軟件的工作。應(yīng)用組策略中的軟件自動安裝功能可以方便地實現(xiàn)多臺客戶端統(tǒng)一安裝應(yīng)用程

對自己的計算機的使用權(quán)限受到安全限制，以降低用戶對計算機系統(tǒng)所造成有意的或無意的破壞。

３．５

ｔｉｏｎ）是Ｗｉｎｄｏｗｓ安全策略執(zhí)行平臺。通過使用ＮＡＰ網(wǎng)絡(luò)訪問保護技術(shù)，可以對客戶端的健康狀態(tài)進行實時地監(jiān)控，對于不滿足要求的客戶端及時進行強制性的補救工作，保證企業(yè)內(nèi)部的所有設(shè)備均按照管理員定制的健康條件正常運轉(zhuǎn)。ＮＡＰ如同企業(yè)內(nèi)部的一位專職醫(yī)生，時刻檢查企業(yè)內(nèi)部每一臺機器的健康狀態(tài)。

３．６網(wǎng)絡(luò)準(zhǔn)入控制

即可實現(xiàn)通過Ｗｉｎｄｏｗｓ域部署安全策略和管理用戶訪問權(quán)限。然而，基于Ｗｉｎｄｏｗｓ的權(quán)限控制只能作用到應(yīng)用層，而無法實現(xiàn)對用戶的物理訪問權(quán)

第２９卷第４期孫寅等。應(yīng)用域臀理提高企業(yè)內(nèi)網(wǎng)竹理水平

限的控制。如，用戶如果不登陸域服務(wù)器，仍然使用工作組模式登陸系統(tǒng)，此時域服務(wù)器上的軟件無法派送到客戶端，安全策略也無法強制應(yīng)用到客戶端，而相反用戶卻可以獲得網(wǎng)內(nèi)的訪問權(quán)，即非法用戶仍然可以訪問網(wǎng)絡(luò)資源。需要解決的問題就是必須強制用戶登陸到域服務(wù)器進行合法認證，獲得準(zhǔn)許后方可接人信息內(nèi)網(wǎng)，網(wǎng)絡(luò)準(zhǔn)人控制技術(shù)因此而產(chǎn)生。

準(zhǔn)入控制系統(tǒng)與接人層交換機實現(xiàn)互動，對接入網(wǎng)絡(luò)的客戶端進行驗證，驗證通過后才可接入網(wǎng)絡(luò)。準(zhǔn)人控制系統(tǒng)與防病毒系統(tǒng)、ＷＳＵＳ補丁服務(wù)器、桌面管理等系統(tǒng)緊密配合，對已通過認證的用戶終端進行安全檢查，強制用戶終端進行防病毒、操作系統(tǒng)補丁等企業(yè)定義的安全策略檢查，防止不符合企業(yè)安全策略的終端接人網(wǎng)絡(luò)，降低病毒、木馬等安全威脅在企業(yè)擴散的風(fēng)險。從而提高了網(wǎng)絡(luò)的安全性和保密性。

４域管理規(guī)劃及實施

４．１規(guī)劃企業(yè)域的結(jié)構(gòu)

寧夏電力公司根據(jù)國家電網(wǎng)公司注冊的域名以及為下屬網(wǎng)省公司下達的域名規(guī)劃企業(yè)域結(jié)構(gòu)。寧夏電力公司作為森林域，域名為ｎｘ．ｓｇｃｃ．ｃｏｍ．ｃｎ；下屬地市局作為子域建立在林域的基礎(chǔ)之上，如石嘴山供電局的域名分配為ＳＺＳ．ｎｘ．ｓｇｃｃ．ｔｏｍ．ｃａ。整個域結(jié)構(gòu)的規(guī)劃層次分明，林域控制器具有最高權(quán)限，可以管理寧夏電力公司本部和各下屬地市局及直屬單位，子域控制器可管理本單位的用戶。域控制器與ＤＮＳ緊密結(jié)合，對域內(nèi)的各臺主機的域名進行解析。

田ｌ

企業(yè)城的結(jié)構(gòu)圖

域控制器必須考慮雙機冗余備份，以提高域管理系統(tǒng)的可靠性。林域控制器尤為重要，甚至要設(shè)計為多臺服務(wù)器組成的集群。４．２進一步規(guī)劃組織單位

為了便于管理，可以參照單位的行政組織機構(gòu)

萬方數(shù)據(jù)

在活動目錄中劃分了組織單位（Ｏｒｇａｎｉｚａｔｉｏｎ

Ｕ—

ｎｉｔｓ，０Ｕ），將相應(yīng)的賬號和組歸類劃人組織單位，這樣就能按部門來設(shè)定組策略。如，供電局可以按照部門劃分出生產(chǎn)技術(shù)部、市場營銷部等０Ｕ。利用組和ｏＵ來管理用戶能夠減輕許多活動目錄管理的負擔(dān)。

圖２用戶圖

４．３建立用戶

建立用戶賬號并分配該用戶隸屬的權(quán)限組。

由于寧夏電力公司已經(jīng)建立了一體化平臺，以建立了較完善的員工信息庫?？墒褂茫危铮觯澹欤炷夸浄?wù)將系統(tǒng)中的組織機構(gòu)、人員信息和系統(tǒng)登錄賬號、密碼安全映射到Ｗｉｎｄｏｗｓ活動目錄中。使得域用戶名和現(xiàn)有Ｎｏｖｅｌｌ目錄系統(tǒng)中的用戶名統(tǒng)一起來。只用一套用戶名和密碼，即可登錄域。同時減少了賬號錄入的工作量。

４．４設(shè)置安全策略

４．４．１按照規(guī)劃分配域用戶權(quán)限４．４．２配置需要自動分發(fā)的應(yīng)用軟件

４．４．３應(yīng)用ＮＡＰ功能，實時處理內(nèi)網(wǎng)安全問題４．４．４配置網(wǎng)絡(luò)準(zhǔn)入控制

４．４．５

應(yīng)用計算機安全策略配置，提高系統(tǒng)安

全性

組策略是域管理實現(xiàn)對用戶安全管理的控制中心，該管理中心功能非常強大，配置也比較復(fù)雜，配置過程中應(yīng)先進行測試，再進行策略下發(fā)。下面舉例說明通過組策略的配置可以實現(xiàn)的一些功能。１）通過組策略的設(shè)定，強制糾正用戶的一些不規(guī)范行為，這些行為很可能導(dǎo)致計算機感染病毒，或被

遠程控制而導(dǎo)致信息泄密。例如：

（１）對設(shè)置空口令或弱口令用戶強制修改口令（２）強制開啟客戶端防火墻（３）關(guān)閉硬盤或文件夾共享功能（４）對部分用戶關(guān)閉遠程控制

（５）關(guān)閉Ｇｕｅｓｔ賬戶開啟功能等等不規(guī)范行為。

計算技術(shù)與自動化２０１０年１２月

２）通過組策略的設(shè)定，提高運維管理工作的效率。

例如：

（Ｉ）批量設(shè)置默認主頁為一體化平臺主頁（２）批量設(shè)定各應(yīng)用系統(tǒng)的受信任站點，下載并啟用各插件

（３）批量設(shè)置ＩＥ瀏覽器等常用軟件的安全選項，使其達到規(guī)定的安全級別

３）通過組策略的設(shè)定，定制用戶使用環(huán)境。例如：

（１）定制用戶計算機的桌面主題，屏幕保護等，使其統(tǒng)一顯示宣傳公司企業(yè)文化的內(nèi)容。

（２）定制用戶計算機“本地安全策略”選項，提高網(wǎng)內(nèi)個體的安全運行水平。

（３）定制用戶計算機“服務(wù)”選項，使得各項安全防護系統(tǒng)更好地發(fā)揮作用。

以上工作以往由各單位運維人員給各臺計算機設(shè)置，費時費力，而應(yīng)用域管理后，即可就能完成全公司計算機的設(shè)置，且用戶不能隨意修改。４．５域管理實施過程中存在的問題４．５．１操作系統(tǒng)存在的問題

＞家庭版操作系統(tǒng)（ｗｉｎｄｏｗｓ

ｘｐ、ｖｉｓｔａ、ｗｉｎ７

等）不支持域管理、ＮＡＰ和８０２．１Ｘ協(xié)議。

＞簡易版操作系統(tǒng)部分無法正常加入域，或加人域后存在不穩(wěn)定現(xiàn)象。

＞部分盜版操作系統(tǒng)加人域后出現(xiàn)不穩(wěn)定現(xiàn)象。

＞硬盤ｆａｔ３２格式不支持權(quán)限管理功能。

建議：

萬方數(shù)據(jù)

＞在企業(yè)今后的計算機采購時應(yīng)注明操作系統(tǒng)必須是企業(yè)版（ｐｒｏｆｅｓｓｉｏｎａｌ），不能是家庭版

（ｈｏｍｅ）。

＞預(yù)置的磁盤分區(qū)為ＮＴＦＳ格式。４．５．２接入層交換機問題：

＞接人層交換機必須支持ＡＡＡ認證和８０２．１ｘ功能，否則不能開啟準(zhǔn)人控制功能。

建議：

＞在采購交換機時應(yīng)選擇必須支持ＡＡＡ認結(jié)束語

通過應(yīng)用域管理可從技術(shù)方面加強內(nèi)網(wǎng)的管出不窮，我們只有不斷地創(chuàng)新，不斷地引進新的安版杜．

Ｓｅｒｖｅｒ

２００８

服務(wù)器配置與管理［Ｍ］．北京。海洋出版杜．

證和８０２．１ｘ功能的交換機。

理，控制非法用戶和不健康終端的接入，使得部分安全隱患提前得到控制，實現(xiàn)安全管理防患于未然。隨著信息技術(shù)的應(yīng)用，內(nèi)網(wǎng)的威脅和隱患也層全管理技術(shù)，才能使信息安全得到進一步的加強，使得各信息系統(tǒng)更好地服務(wù)于企業(yè)。

５

［１］劉曉輝．網(wǎng)絡(luò)服務(wù)搭建、配置與管ＨＥＭ］．北京?電子工業(yè)出

［２］黃驍．崔冬，熊德偉．輕松傲網(wǎng)管——Ｗｉｎｄｏｗｓ參考文獻

應(yīng)用域管理提高企業(yè)內(nèi)網(wǎng)管理水平

作者：

作者單位：

刊名：

英文刊名：

年，卷(期)：孫寅， 劉宏嶺， SUN Yin， LIU Hong-ling寧夏電力公司石嘴山供電局,寧夏,石嘴山,753000計算技術(shù)與自動化COMPUTING TECHNOLOGY AND AUTOMATION2010,29(4)

參考文獻(4條)

1. 黃驍;崔冬;熊德偉 輕松做網(wǎng)管--Windows Server 2008服務(wù)器配置與管理

2. 劉曉輝 網(wǎng)絡(luò)服務(wù)搭建、配置與管理

3. 劉曉輝 網(wǎng)絡(luò)服務(wù)搭建、配置與管理

4. 黃驍. 崔冬. 熊德偉 輕松做網(wǎng)管--Windows Server 2008服務(wù)器配置與管理

本文鏈接：http://d.g.wanfangdata.com.cn/Periodical_jsjsyzdh201004033.aspx