[讨论]局域网内部管理行为应该如何控制？

    前段时间，有一位兄抛出了一个问题，是关于企业的内部网络管理的，且来看看：

    1、公司的新产品图纸终稿还未确认，竞争对手根据设计初稿已经批量上市；

    2、90%以上的员工打着工作便利的旗号，在网上炒股、看新闻、看短片、打游戏,找工作，发简历；

    3、光盘刻录，U盘拷贝，外部计算机的接入，造成重要数据流失；
     4、还有老板关心的财务问题等等。所有的这些因为内部人员网络行为问题，已经困扰IT人员那根脆弱的神经。
大家针对这个问题，仁者见仁，智者见智，也来探讨一下。矛与盾的关系，道与魔的斗争，何时见分晓。。。。
    对于这个问题，各个做IT 的兄弟们还是深有感触，也都出了不少点子，且与大家分享：

   =====================
   
上内网管理软件（全网控制员工上网行为）
上加密软件
制定有效的制度

不过做了这些好象还有漏洞，人情漏洞也是蛮大的

======================= 

对于网络管理，我觉的数据安全可能会从几个层面来管理吧。。
 
  1、机房的日常维护与管理条例
 
  2、服务器日常维护与管理条例
 
  3、网络安全及攻击预防
 
  4、客户端计算机安全条例
 
  5、计算机操作员的操作规范
 
  6、计算机网络行为监控与激励机制
   
   这个好像有个叫法，叫：上网行为管理的。

=========================

1\对于技术图纸这块,用PDM系统,把所有技术数据统一纳入服务器管理;

=========================

身有体会，人情漏洞大！同时还有点就是温州这边的跳槽现象也不大好控制，就算你管理上的疏忽，员工拷贝图纸 一套 两套？三套？那也只是就这个范围，但是鉴于目前温州的跳槽来说，你员工走出公司了，人家图纸记在脑袋里 你保密措施做的再好又怎么样呢！一个人跳槽所带走的东西是远远大于那一套俩套==的图纸数量的！
 
感觉 HW 提的几点基本上已经比较全面了，很多时候好的东西还得需要管理到位和高层支持！个人想补充一点就是：
 
数据安全中的“数据的备份机制”也不能落下！现在很多企业 由于管理上的疏忽造成硬件损坏=其他原因引起的数据丢失 情况也比较严重！
 
还有楼下提到U盘病毒 其实可以自己做相应的处理对策，比如对U盘病毒类掌握好他的特性，关闭所有驱动器自动运行，所有公司U盘不管是私人还是公司的，插入公司电脑前必须统一经过信息部门做autorun。inf 补丁免疫处理== ！当然要做到完全100%杜绝是不大可能的，但是这类病毒只要你及时掌握好病毒的动态和特性！及时自己做好相应免疫对策基本上是不用当心这类问题的！

==============================

网络安全不是小事,内部控制自然是重点.目前已经成熟的控制方式有:
(1)关闭USB口;
(2)网络环境加密软件;
(3)文件服务器集中管理文件,本地机器禁止存放一切公司文档;
(4)电子文档外发专人管理,一般在行政部门文员兼.

彻底做,麻烦少.和一些人进行交流,可行.

================================

JJ提的几点意见,是很有道理,其实操作中确实还有技术上问题:
1 网络环境加密的软件,用的成熟的没有,虽然有一部分企业在使用这些软件,其实软件本身就有很多问题,最担心的大量的数据被这些加密软件损失,软件厂商也回天无力,我测试过两个,也看了几个他们认为成功的案例,都存在一些问题,稳定性让人担忧;
2  集中打印方式虽然好,但对于办公环境分散的企业,操作起来难度较高;
3 域管理模式下,禁用USB接口,设定权限是很好的做好,但对于设计部门有一些问题,如设计部门的软件版本特多,CAD就有R14,2000,2002,2004,2007等多个版本,安装授权,很是头痛,且要跟不同的供应商和客户对接;
4 文件集中管理,对带宽的要求比较高,好的作法是无盘网,但图形设计软件容量特大,占用带宽很高,如果都下载到本地,很有下载和上传过程中占用带宽的问题.
当然,我尽会找问题,这样也可以这些方案可行性,更完善一些.

==================================

看见这个讨论我提一下，我在原来企业的时候的管理方式：
USB口：USB口使用专门开模制作的一种封口模块，安装、拆卸模块时需要拆主板才可以完成；
机箱封闭：一样使用封机模块，一次性使用，无法回收，拆卸需要破坏模块；
文件管理：文件存储与远程FTP服务器上，机器只开放C盘，尺寸为10～20G，行政人员15G左右XP系统、10G 2000系统，技术人员大一点，本机存不了多少东西就会主动上传服务器，另外定期回收机器“维护”告知用户，我们直接删除机器里全部资料，他们就会乖乖的上传服务器；
文件传递：内网文件传递使用OA，文件外发、接收使用OA的审批流程，需要各个部门相关领导审批以后服务器自动外发；
打印机管理：购买专用的打印服务器，打印机通过打印服务器连接网络实现网络打印，表面上是方便使用，实际上每条打印信息都在服务器上有记录（打印监控王），打印机放在资料室或办公室内，没有安放在敞开式办公区域内，由专人保管看护（资料员、部门经理）；
文件加密：没有做过，由于USB端口被封，一切文件外传全部通过OA审批流程，USB口只有信息部的一台机器可以开放，传入传出均由那台机器的操作人员负责，并登记，所以加密就没什么需要了。