【正文】 端電腦性能很好，電腦運(yùn)行速度快，操作系統(tǒng)及其他軟件運(yùn)行良好。中 客戶端電腦性能普通，操作系統(tǒng)本身運(yùn)行基本良好，運(yùn)行數(shù)據(jù)庫(kù)等特殊軟件時(shí)性能下降。差 客戶端電腦性能很差，操作系統(tǒng)本身運(yùn)行就很慢，感染了病毒，有些工作程序無法運(yùn)行?？蛻舳穗娔X性能狀況表占被調(diào)查客戶端電腦的百分比評(píng)分結(jié)果是否是品牌機(jī)硬件配置情況操作系統(tǒng)運(yùn)行情況是否有大型應(yīng)用軟件是否感染病毒55%好是好好有無35%中是一般一般有無10%差否差差有有、客戶端的安全性通過我們對(duì)140臺(tái)客戶端電腦進(jìn)行調(diào)查，我們發(fā)現(xiàn)客戶端電腦的安全風(fēng)險(xiǎn)主要來自Internet和局域網(wǎng)內(nèi)，因此在此次評(píng)估中主要考察了兩個(gè)方面的內(nèi)容，系統(tǒng)軟件本身的缺陷和病毒的危害。我們通過使用微軟基準(zhǔn)安全分析器 Microsoft Baseline Security Analyzer和Tenable Nessus對(duì)客戶端的140臺(tái)電腦進(jìn)行了安全性的掃描與分析，評(píng)分等級(jí)以Nessus的掃描結(jié)果為基準(zhǔn)。Nessus掃描的評(píng)分等級(jí)： 低 檢查出高風(fēng)險(xiǎn)的系統(tǒng)安全漏洞，Nessus中定義為漏洞 中 檢查出風(fēng)險(xiǎn)程度為中等的系統(tǒng)安全缺陷，Nessus中定義為警告 高 未檢查出系統(tǒng)安全缺陷，Nessus中定義為信息參考下面的餅圖是我們通過Nessus掃描全部140臺(tái)客戶端電腦后，根據(jù)產(chǎn)生的數(shù)據(jù)統(tǒng)計(jì)得出來的結(jié)果。其中表明140臺(tái)客戶端電腦中，有13%的電腦會(huì)受到高威脅的安全漏洞的攻擊；有15%的電腦會(huì)受到中等威脅的安全漏洞的攻擊；有73%的電腦暫時(shí)沒有發(fā)現(xiàn)有威脅的安全漏洞攻擊?？蛻舳穗娔X安全威脅漏洞比率圖我們可以從下面的圖表中明顯地看到microsoftds(445/tcp)這個(gè)端口的安全漏洞是在網(wǎng)絡(luò)中占最高比例的，其次是unknown(6129/tcp)和epmap(135/udp)這兩個(gè)端口的安全漏洞。我們能從下面的圖片中明顯的看出在客戶端網(wǎng)絡(luò)上面運(yùn)行著哪些服務(wù)，哪些服務(wù)是產(chǎn)生問題最多的。 備注：關(guān)于Nessus掃描出來的客戶端電腦的漏洞詳細(xì)信息請(qǐng)參照：附件3Nessus scan 。該文件是由Nessus掃描所有140臺(tái)客戶端電腦系統(tǒng)之后生成的，具體內(nèi)容是分別列出了每個(gè)客戶端電腦系統(tǒng)現(xiàn)在存在的安全漏洞和安全漏洞的具體信息以及解決方案，共2763頁(yè)。另外，客戶端電腦的安全隱患除了操作系統(tǒng)本身的漏洞之外，可能更多的來源于其他的第三方軟件或者病毒。、客戶端電腦的管理及維護(hù)客戶端的管理和維護(hù)存在以下一些問題：Client List很久沒有更新，數(shù)據(jù)非常不完整、不可靠固定資產(chǎn)標(biāo)號(hào)問題：具體到固定資產(chǎn)上面沒有具體明顯的標(biāo)注或者資產(chǎn)編號(hào)，使得無法正常的更新資產(chǎn)變更情況。Client端IBM標(biāo)準(zhǔn)化目前大概達(dá)到45％左右，剩下的，DELL和聯(lián)想的各占一半，極個(gè)別的為組裝電腦。一些電腦的CPU、內(nèi)存等等硬件配置太低，已經(jīng)不適應(yīng)現(xiàn)在的工作環(huán)境了。病毒感染。有一小部分的用戶擁有Local Administrator permission。有個(gè)別人使用北京的Proxy Server :8010。操作系統(tǒng)標(biāo)準(zhǔn)化不高。Shared printer有時(shí)候經(jīng)常有問題，打印機(jī)作為client端本地打印機(jī)然后share給大家的做法很不專業(yè)。操作系統(tǒng)如果是windows xp sp2的話，絕大多數(shù)的firewall都被關(guān)閉了。部分軟件之間的兼容性有些問題，造成了非法關(guān)閉或者死機(jī)。打印服務(wù)、性能及指標(biāo)現(xiàn)在的辦公環(huán)境中打印機(jī)的使用是靠共享本地打印機(jī)來實(shí)現(xiàn)的。就是在一個(gè)客戶端上面安裝打印機(jī)，然后共享出來大家使用。在有域的環(huán)境下這樣的做法是不對(duì)的，應(yīng)該充分利用域中的資源，在域中共享文件及打印機(jī)。、管理及維護(hù)辦公環(huán)境內(nèi)的打印機(jī)沒有進(jìn)行統(tǒng)一的管理和維護(hù)。本地打印機(jī)使得管理和維護(hù)大大挺高的難度和成本。沒有相關(guān)的文檔和要求，不確定當(dāng)前的打印機(jī)狀態(tài)是否能夠滿足打印需要或者是大大的浪費(fèi)了打印機(jī)資源，造成浪費(fèi)。應(yīng)該按照辦公的實(shí)際情況來編寫打印機(jī)管理文檔，并且按照文檔要求執(zhí)行。數(shù)據(jù)安全、容錯(cuò)現(xiàn)在關(guān)于數(shù)據(jù)容錯(cuò)方面的問題主要在于服務(wù)器方面。服務(wù)器的硬盤沒有做磁盤陣列RAID，沒有使用雙路電源系統(tǒng)，沒有啟用雙網(wǎng)絡(luò)連接。這些統(tǒng)統(tǒng)不符合容錯(cuò)的要求，不能達(dá)到有效的容錯(cuò)目的，不能保證數(shù)據(jù)的安全。、備份備份的主要問題是磁帶的容量不足，性能偏低。需要備份的數(shù)據(jù)遠(yuǎn)遠(yuǎn)超出了磁帶的容量，并且需要多次更換磁帶，降低了效率。備份沒有通過Agent來實(shí)現(xiàn)，每次備份的時(shí)候都需要人工來參與，既降低了效率而且浪費(fèi)人力資源，應(yīng)該是用軟件的備份代理，建立好正確的備份計(jì)劃，然后開始備份工作?，F(xiàn)在有的備份工作還需要通過網(wǎng)絡(luò)，并且數(shù)據(jù)存取量在100MB以上，影響和占用了網(wǎng)絡(luò)資源。體系結(jié)構(gòu)、活動(dòng)目錄服務(wù) 對(duì)于AD服務(wù)來說，目前主要存在以下問題：a) DNS域名為單標(biāo)簽域名，會(huì)影響服務(wù)器上的DNS紀(jì)錄注冊(cè)及更新，微軟已經(jīng)不推薦使用。b) DNS服務(wù)器和服務(wù)器上IP地址配置不匹配，服務(wù)器不能通過基本的DCDiag配置檢查。c) 域中只有一臺(tái)域控制器，一旦出現(xiàn)問題，會(huì)影響網(wǎng)絡(luò)中所有用戶的正常使用。d) AD的設(shè)計(jì)存在不合理之處，命名不太規(guī)范。e) 域管理組中成員太多。f) 域用戶在客戶端的本地權(quán)限偏高，且為通過組策略進(jìn)行限制。g) 有很多資源通過客戶機(jī)直接共享，不方便管理。 下面的屏幕截圖是我們用命令dcdiag在域控制器上診斷活動(dòng)目錄時(shí)產(chǎn)生的錯(cuò)誤信息： 對(duì)于域控制器來說，整個(gè)活動(dòng)目錄的穩(wěn)定運(yùn)行是事關(guān)重要的事情，正確配置的AD服務(wù)器通過DCDIAG和NETDIAG等工具檢查時(shí)，不應(yīng)該出現(xiàn)報(bào)錯(cuò)。由于DNS配置的為題，域控制其DJGCNCD1甚至不能通過DCDIAG初始設(shè)置。DNS服務(wù)簡(jiǎn)單的說是用來在域中解析主機(jī)與IP的服務(wù)，它跟活動(dòng)目錄緊密地結(jié)合，也是一個(gè)很重要的服務(wù)。我們通過使用命令nslookup和在DNS管理中看到，由于DNS服務(wù)器指向錯(cuò)誤和單標(biāo)簽域名的影響，在DNS的正向搜索區(qū)域中，DNS紀(jì)錄不能自動(dòng)注冊(cè)和更新，使得在域中很多的解析工作無法進(jìn)行，導(dǎo)致計(jì)算機(jī)之間的通信受阻。下圖為我們?cè)谟蚩刂破髦惺褂妹頽slookup來診斷DNS的情況時(shí)，出現(xiàn)的錯(cuò)誤信息：我們通過系統(tǒng)日志查看器也能看出AD服務(wù)中各個(gè)部分出現(xiàn)的問題，甚至出現(xiàn)了機(jī)器賬號(hào)名重復(fù)的告警，這反映出AD中的數(shù)據(jù)已經(jīng)出現(xiàn)了紊亂。、網(wǎng)絡(luò)結(jié)構(gòu)本地網(wǎng)絡(luò)網(wǎng)絡(luò)中沒有劃分子網(wǎng)，服務(wù)器和客戶端及關(guān)鍵業(yè)務(wù)部門都在同一個(gè)網(wǎng)絡(luò)中，極容易受到本地網(wǎng)絡(luò)上安全問題的影響。四、結(jié)論及改進(jìn)建議結(jié)論綜合以上所述，可以看出目前系統(tǒng)存在著比較嚴(yán)重的問題，主要的問題如下：1．網(wǎng)絡(luò)中大部分計(jì)算機(jī)的補(bǔ)丁都沒有得到及時(shí)的更新，存在大量的系統(tǒng)漏洞。2．AD的設(shè)置存在較多問題，DNS的配置不正確。3．關(guān)鍵服務(wù)器沒有容錯(cuò)配置。4．備份設(shè)備的容量不足，并且沒有使用Agent來備份Domino和SQL數(shù)據(jù)庫(kù)。5．網(wǎng)絡(luò)中的共享資源尤其是打印機(jī)，大部分都通過所連接的計(jì)算機(jī)進(jìn)行共享，無法保證可用性且難以管理。6．大部分的計(jì)算機(jī)中都安裝了非標(biāo)準(zhǔn)的軟件，除帶來潛在的安全威脅外，還存在授權(quán)問題。7．計(jì)算機(jī)的管理基本上沒有文檔。8．用戶賬號(hào)的設(shè)置存在一定的隨意性。改進(jìn)建議：1． 使用WSUS等補(bǔ)丁管理工具管理操作系統(tǒng)及Office的升級(jí)，使操作系統(tǒng)本身的安全漏洞降至最低程度。2． 修正AD配置中存在的問題，主要為DNS服務(wù)配置的問題，AD中所有計(jì)算機(jī)的DNS都應(yīng)指向域控制器。3． 所有服務(wù)器都應(yīng)該有容錯(cuò)配置，除硬盤外，還應(yīng)連接雙路供電和連接。4． 盡量去除計(jì)算機(jī)上的非標(biāo)準(zhǔn)軟件。5． 更新磁帶機(jī)，并且使用Agent來備份Domino和SQL服務(wù)器中的數(shù)據(jù)。6． 通過TCP/IP協(xié)議直接連接打印機(jī)，以降低對(duì)計(jì)算機(jī)性能的影響并提高打印機(jī)可用性。7． 規(guī)范帳號(hào)管理，去除不必要的有管理員權(quán)限的賬號(hào)，并且清楚系統(tǒng)中的死帳號(hào)。8． 定期對(duì)服務(wù)器的運(yùn)行進(jìn)行檢查，以保證系統(tǒng)運(yùn)行在良好狀態(tài)。9． 完善文檔。第 29 頁(yè) 共 29 頁(yè)