现在企业使用了一些单机版本的防病毒软件，由于单机防病毒系统的缺陷：如无法集中管理防病毒工作，客户机配置和防护级别无法统一，无法集中更新病毒代码，管理中人为操作的因素大。在日常防病毒维护中各网络各行其事，分散管理，这样不但加重管理员的管理工作，而且不能实现统一的、集中的管理，易受到各种人为的因素的影响，即使在安装了防病毒软件的情况下也不能确保整个网络的防病毒能力。尤其现在电子邮件是传播病毒的主要途径之一，而还没有针对电子邮件采取防病毒措施。对邮件/附件/JAVA等新病毒的防护无能为力。增加新的用户和管理工作都极为麻烦，而各级单位对计算机的使用和维护水平也不尽相同等等，很难面对当前日益猖獗的数字病毒的威胁。

近年来，随着信息系统自身的飞速发展和具有黑客攻击特征的新类型病毒的大量出现，企业原有的防病毒软件部署已经不能满足企业的需要。近几年的混合型病毒大规模传播给企业造成较大的危害，现有的防病毒体系正面临更严峻的安全挑战，主要存在以下几个方面的不足：

1.      缺少防病毒中央控管系统。

2.      尚未建立完善的安全制度和制定安全培训机制。

3.      缺乏完善的防病毒信息支持体系。

4.      不能全方位防护。

 

随着企业信息化建设的不断深入完善，以及互联网通讯的广泛应用，各种办公及业务系统已成为业务和日常办公各种信息往来沟通不可或缺的工具。

一般而言：企业网络Internet区域安全等级最低，是病毒产生及传播的地方；客户端工作区安全等级较高，主要由外来用户、移动办公用户、桌面用户构成，是病毒感染的主要目标，也是病毒进入企业网络的主要载体；核心服务器区安全等级最高，这里有企业的关键服务器，是安全防护体系最终保护的目标。

企业网络病毒防范工作：必须从这三个安全区域（病毒防护的主体）着手，根据他们之间的访问关系施加防护及病毒监控。

具体防护工作的描述：针对核心服务器区，严防来自Internet及移动用户的病毒入侵，保护其中的关键服务器，这是防病毒工作的重点；针对客户端工作区，需要部署客户端防病毒产品严防病毒（尤其是具有混合型威胁特征的混合型病毒）的入侵；针对Internet区域，需部署网关级防病毒产品，严防来自该区域的病毒及病毒攻击；针对邮件系统，需要部署邮件病毒防护系统；另外还需要部署必要的辅助手段，以监测网络异常状况，提前预知病毒事件发生。

 

 三、防毒系统设计架构

为了实现企业防病毒的总体目标，遵循企业防病毒系统建立原则提出以下的防病毒技术整体架构。

整体架构包括了全方位的防病毒产品部署及管理。在整个网络中，防病毒机制实现一级单位、二级单位、三级单位三级管理，在三级网络中分别部署防病毒服务器，原则上三级单位只部署客户端防病毒产品，由所属的二级分发管理。一级单位设立全网的根服务器，承担着全网的防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作；一级单位和二级单位分别部署一级服务器，作为自己所在局域网络的防病毒管理控制台，一级管理控制台管理一级单位内部所有防病毒产品、二级管理控制台除了管理所在二级单位的防病毒产品外还管理下属所有三级的防病毒服务器；三级单位部署防病毒服务器，接受二级控制台的管理，承担所在三级单位的软件分发、升级和病毒防护策略的分发。实现全网防病毒体系的“两级控制、三级管理”。

在企业防病毒整体架构中，需要部署以下几方面功能组件：

Ø        防病毒集中管理平台 负责产品自动分发、升级、生成病毒报告等。

Ø        服务器防病毒 负责网络中的所有服务器的病毒防护。

Ø        群件防病毒 负责邮件系统病毒防护

Ø        客户端防病毒 全面防护各种类型操作系统的客户端的病毒

Ø        网关防病毒 防护来自Internet的病毒，对从Internet来的流量进行内容过滤

Ø        防病毒的辅助手段 流量监控工具、入侵检测产品防病毒客户端的产品发现、版本监测、病毒易攻击的漏洞扫描等

 

四、体系设计思想与实现目标

通过赛门铁克国际领先的网络病毒防护产品和丰富的企业网络防毒设计经验，为企业网络系统提供一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系，有效抵御各种病毒和混合威胁的攻击。提高企业的病毒防御水平。

根据企业网络系统的现状和系统防毒安全和管理的需要，我们考虑防病毒系统遵循以下几条原则：

1.      技术和产品的成熟性和稳定性。充分考虑防病毒产品本身和技术上的成熟性。网络防病毒产品必须是成熟而且经受大量考验的防病毒产品，在各种操作系统平台和服务器平台上都有相应的病毒防范软件的版本并且能够和操作系统紧密结合。

2.         满足需求为第一。针对企业的具体应用情况，建立满足需求的病毒防护系统。对整个病毒防御体系进行合理建设，尽量满足各种需求。

3.         必须是主动式的，而不是在病毒发生爆发后再作出反应。针对混合型病毒提供主动保护主要处于以下几个原因，主要是混合病毒传播的速度和它们的破坏程度；停机时间造成巨大的成本，需要大量的IT资源来清理病毒。对于混合型病毒必须要提供主动式的防御。

4.         扩展性和可升级性。 可升级能力是衡量防病毒系统是否具有生命力的重要指标。防病毒软件必须不断及时地升级病毒样本文件和引擎，在功能、性能上都在不断采用新的技术，保证系统的向前发展。向用户提供多种病毒特征文件和病毒引擎的方便的升级方式，保证组织机构的防病毒系统在第一时间内得到升级。

5.         可管理性。对于企业这样比较大的组织机构，要管理防病毒软件的分发、升级、配置和支持是一个非常难的事，这就要求提供一个方便管理的平台。防病毒系统必须提供简化管理的工具，可以在几个集中的点上对整个网络中的客户端和服务器进行管理，包括对病毒特征文件和防病毒引擎的分发升级、报警管理和日志分析整理以及病毒处理方式配置等。

6.       易用性。在企业这样的大的组织机构中，大部分的使用人员并非计算机专业人员，而且由于业务繁忙，不可能系统学习每一个工具软件。这就要求客户端的防病毒软件必须简单易用，自动化程度高，最好无须用户干预。防病毒的客户端软件应当能够自动对病毒实时检测、清除和报告，简化使用的复杂度，结合统一的控制台，用户几乎不需要知道有防病毒软件的存在。

如下图所示： images/upload/File/sep.bmp

 

上一篇:ISA Server内网安全解决方案