一、 概述
该单位为北京市某机关单位,负责专项事务的处理。
二、 网络拓扑

三、 现场情况分析
该单位共有计算机100台左右,是一个小型的网络结构。网内所有的客户端均可以正常访问网络,可以使用U盘等移动存储设备,可以传输和共享资源。局域网内包含一个DMZ区,在此区域内放有多台办公系统服务器。内网用户可以直接访问这些服务器,外网用户访问这些服务器需要通过VPN链接。
通过对用户网络情况分析,发现存在几个问题:
1. 用户IP地址是自动获得的,但是在控制台上没有设置分组信息,查找客户端的时候还需要查询相应文档。一旦发生病毒攻击,无法迅速定位故障客户端,对网络排障造成影响。
2. 用户对于外来计算机管理不严格,外来的计算机插入网线后,就可以进入到内网环境中,一旦此类计算机中携带有病毒,则有可能在局域网中传播。
3. 网络内部分客户端:由于计算机自身配置较低,运行速度较慢,因此未安装杀毒软件。
4. 端口未过滤,特殊端口如:455和139端口都未关闭。
5. 杀毒软件的设置不严格,未设置客户端密码,造成布置全局查杀病毒任务时,客户端可以自行终止查杀任务。
6. 漏洞补丁工具没有使用过,没有开启自动下载补丁和定期修复。
7. 用户对于U盘等可移动存储设备管理不严格,经常出现一台客户端感染病毒后,使用U盘传送文件的过程中,相互感染病毒。
8. 大部分客户端未安装防火墙,造成局域网内出现ARP攻击现象时,无法处理。
四、 方案部署
1. 按照一定的规则命名计算机名,当发现局域网中有病毒攻击时,可以快速定位故障客户端。
2. 对于外来的计算机严格管理,不要让此类用户随意接入到局域网中。
3. 为局域网内所有客户端安装瑞星杀毒软件。
4. 杀毒软件部署:设置客户端密码,制定每天杀毒任务,查杀结果尽量选择清除病毒,无法清除时杀毒病毒文件,并根据内网的病毒情况和用户需求设定主动防御。
5. 使用漏洞管理工具对全网的机器漏洞进行修复,并设置成定时修复系统漏洞,保证系统环境的安全。
6. 建议用户开启移动存储设备查杀功能,插入移动存储设备后,先进行查杀病毒再打开。
7. 为局域网内用户安装瑞星防火墙,并开启ARP绑定功能。