背景
网络发展到今天,已经成为人们生活的一部分,信息查询、网上购物、网上银行等业务,网络给人们带来了诸多方便,但随之而来的就是安全问题,病毒、黑客、网络诱骗、不法分子盗取有用价值,安全问题已经使人们倍受关注。
我中心负责的业务支撑系统是河南移动公司最重要的生产网络之一,一万四千多台终端和几百台服务器承载着全省客户前台办理业务、充值、查询以及后台管理等重要工作,已经演变成了一个小规模的互联网,其安全水平与互联网紧密相连,如此庞大一个网络,业务系统长期稳定安全地运行,是业务支撑网能够提供优质服务的保障,在终端上部署了防病毒系统、网络上部署了防火墙、入侵检测等安全设备之后,最近我中心又正在部署4A统一安全管理平台,由于之前的BOSS2.0系统是C/S结构,升级到BOSS3.0之后虽然使用了B/S结构,但是用IP地址直接访问服务器的,这样有个弊端就是如果将来服务器需要迁移,要通知分公司更新服务器的地址,工作量大并且IP地址也不容易记忆,所以自4A系统开始,业务支撑网启用域名服务,终端使用域名访问业务服务器。
在之前没有启用域名服务的前提下,如今启用,一万多台终端统一添加DNS,这项工作工作量大且简单,而BOSS终端分布在全省星罗棋布,乃至乡镇营业厅,要花费大量的时间完成这项工作,而且人为操作容易遗漏。
思路
我中心业务支撑网内自2008年8月统一部署Symantec Endpoint Protection和Symantec Network Access Control 11.0,由河南金盾计算机安全技术有限公司做技术支持,我们现在已经使用了禁用USB的存储设备、禁用注册表、密码最长使用60天等策略。
SNAC可以将文件推送给客户端执行,而通过操作系统的NETSH命令可以更改网卡的相关配置,如果通过SNAC可以实现对客户端统一添加DNS这一需求,工作量将大大减少,带着这个想法,我中心安全管理员联系了金盾公司的工程师,工程师立即和厂家相关人员进行沟通。河南金盾工程师和厂家技术人员沟通后表示之前从未有过如此操作,此操作属于产品技术上的空白。河南金盾的工程师表示愿意配合我们进行此项测试,并于当天晚上到现场进行测试。
过程
经过我们的多次测试,测试终于达到了预期的效果。测试得出的结果是通过主机完整性策略可以实现,但是只能更改网卡名称是"本地连接"的终端,之后再通过测试继续完善,可以通过循环先判断网卡的名称,然后再改之,随之而来的问题就是每次主机完整性检查都会添加DNS服务器,如何通过判断如果已经添加了需要的DNS就不再添加,是个问题,通过查找相关资料,在注册表里保存着DNS服务器的信息,每个网卡都不一样,在注册表里保存的位置也有所不同,我们测试了使用通配符"*"的方法可行,至此,已经完全满足了我中心的需求。
效果
SNAC可以修改终端的DNS这一工作,减少了终端管理员的工作量,降低了遗漏率、错误率,还可以通过日志信息收集到哪些终端的DNS没有设置,及时通知管理员设置,另外,也为我中心省下了不少人力资源,提前了4A的工期。
后期还可以设置终端信任站点、WSUS客户端等工作,最大的挖掘SEP的潜能。
技术的提高,业务的增加,需求的多样化激发了SNAC的潜能;工程师勇于创新的精神和扎实的技术又让SNAC迸发出光芒,优秀的SNAC不负众望的实现了所有工程师的期望,又让人们认识到SNAC的另一种方便的功能,同时填补了SNAC技术上的另一个空白。