【文章內(nèi)容簡(jiǎn)介】 的成為病毒散播最方便也最為快速的渠道，因此企業(yè)內(nèi)部郵件服務(wù)器及文件服務(wù)器的防毒就顯得格外重要。5) 個(gè)人計(jì)算機(jī)最后一道關(guān)卡打從第一只計(jì)算機(jī)病毒問(wèn)世以來(lái)，個(gè)人計(jì)算機(jī)一直是病毒的主要傳播媒介，因?yàn)閭€(gè)人計(jì)算機(jī)可和外界的溝通的太頻繁也太廣泛了，從固定式的儲(chǔ)存裝置、Inter 下載到點(diǎn)對(duì)點(diǎn)連接，都是計(jì)算機(jī)病毒得以入侵的渠道。因此，個(gè)人計(jì)算機(jī)端的防毒更也不可省。13 / 536) 建立病毒安全管理機(jī)制在網(wǎng)絡(luò)寬帶時(shí)代不論是企業(yè)甚至個(gè)人，許多計(jì)算機(jī)都已經(jīng)處于“（固接）Always On”的狀態(tài)，面對(duì)未來(lái)可能急劇演變的計(jì)算機(jī)病毒環(huán)境，我們必須更主動(dòng)的做好各項(xiàng)準(zhǔn)備，例如經(jīng)常檢查操作系統(tǒng)及應(yīng)用程序是否有安全性漏洞并更新安全性補(bǔ)丁程序，但更重要的是企業(yè)本身必須建立起一套“防毒政策” ，并且貫徹整個(gè)執(zhí)行面才有辦法做到有效防毒，否則若單純只靠防毒軟件而企業(yè)內(nèi)部人員沒(méi)有足夠的警覺(jué)性，一旦公司內(nèi)部病毒爆發(fā)，而又沒(méi)有一個(gè)有效率的緊急應(yīng)變措施，那可就真的后悔莫及了。7) 制訂病毒事件處理程序在整個(gè)企業(yè)防毒政策中“什么時(shí)間該做什么事”是整個(gè)政策中最重要的一環(huán)，簡(jiǎn)而言之， “事”指的就是處理流程。諸如此類和防毒相關(guān)的處理流程，往往只會(huì)出現(xiàn)在防毒軟件公司。若是企業(yè)內(nèi)部也可以根據(jù)需求設(shè)計(jì)自己的緊急處理程序、網(wǎng)絡(luò)政策（例如不支持公司外部 POP3 電子郵件通訊協(xié)議存取服務(wù)及強(qiáng)制安裝防毒軟件并禁止卸載）及落實(shí)教育訓(xùn)練或?qū)嵤┎欢ㄆ谘萘?xí)來(lái)加強(qiáng)企業(yè)內(nèi)部對(duì)病毒爆發(fā)的警覺(jué)性，并提供內(nèi)部員工面對(duì)病毒感染基本的處理程序（如：1. 立即拔除網(wǎng)絡(luò)線 IT 人員） ，都有助于企業(yè)對(duì)付未來(lái)可能的病毒入侵做好準(zhǔn)備。8) 爭(zhēng)取急救第一時(shí)間“時(shí)間點(diǎn)”和上述的程序有著密切的關(guān)系，現(xiàn)今病毒爆發(fā)的速度都連一秒千里都不足以形容，對(duì)于大型企業(yè)而言，若是遭遇到自動(dòng)發(fā)送電子郵件型態(tài)的病毒 （如愛蟲） ，不用幾個(gè)小時(shí)就可以制造出成千上萬(wàn)帶有病毒的垃圾郵件，所以每一分一秒在病毒爆發(fā)的時(shí)候都是珍貴無(wú)比，定義正確的處理程序以及每個(gè)時(shí)間點(diǎn)（Checkpoint）所必須完成的事（Milestone） ，如此才不致于自亂陣腳，而錯(cuò)失原可阻止災(zāi)害的第一時(shí)間。9) 選擇適當(dāng)?shù)姆蓝净锇?，安全管理事半功倍選擇對(duì)適當(dāng)?shù)姆蓝井a(chǎn)品可以在最短時(shí)間內(nèi)引導(dǎo)企業(yè)做好可能的防護(hù)措施，14 / 53除此之外，防毒軟件公司的技術(shù)服務(wù)人員及顧問(wèn)也是關(guān)鍵。尤其是在病毒爆發(fā)的時(shí)候，如何在第一時(shí)間和防毒軟件公司的技術(shù)服務(wù)人員連系， 取得有效的支持是致勝的關(guān)鍵，一般較好的防毒軟件公司能夠提供比如 Premium Support Program 企業(yè)專屬咨詢服務(wù)，提供 7 天 24 小時(shí)的全天候服務(wù)給有此需求特別的客戶。15 / 53第 6 章 網(wǎng)絡(luò)防病毒架構(gòu)體系建設(shè). 企業(yè)防病毒的要點(diǎn)企業(yè)防病毒架構(gòu)體系建設(shè)，包括了防病毒工具軟件的選擇以及部署的方式。根據(jù)當(dāng)前病毒技術(shù)的特點(diǎn)，中移動(dòng)集團(tuán)的防病毒架構(gòu)的要點(diǎn)為：1) 多層次、覆蓋全面從技術(shù)架構(gòu)方面，防毒一定要實(shí)現(xiàn)全方位、多層次防毒。建議集團(tuán)總部、各省/直轄市公司在建設(shè)防病毒體系結(jié)構(gòu)時(shí)，部署了多層次病毒防線，分別是各種應(yīng)用服務(wù)器防毒（Windows NT/2022, Unix，Linux，NOVELL）和客戶端防毒，保證斬?cái)嗖《究梢詡鞑?、寄生的每一個(gè)節(jié)點(diǎn)，監(jiān)視從外部環(huán)境引入病毒的網(wǎng)絡(luò)途徑，實(shí)現(xiàn)病毒的全面防范。防病毒架構(gòu)應(yīng)該覆蓋：? 客戶端。所有的客戶端系統(tǒng)必須根據(jù)公司統(tǒng)一規(guī)范，安裝客戶端防病毒軟件。? 服務(wù)器。網(wǎng)絡(luò)中的所有服務(wù)器如文件服務(wù)器、應(yīng)用服務(wù)器等等，均需要安裝相應(yīng)的防病毒軟件。 ? 郵件服務(wù)器。電子郵件系統(tǒng)必須安裝為具有清除郵件正文中病毒能力的郵件防病毒系統(tǒng)。? 部署支持 HTTP、FTP、SMTP 通信協(xié)議的網(wǎng)關(guān)防病毒部件，保護(hù)計(jì)算機(jī)用戶免受因互聯(lián)網(wǎng)絡(luò)活動(dòng)的感染病毒。2) 防毒及時(shí)病毒、蠕蟲常常會(huì)利用計(jì)算機(jī)軟件中的已知漏洞。通常，這些利用發(fā)生16 / 53在發(fā)現(xiàn)并宣布漏洞一段時(shí)間后。發(fā)現(xiàn)漏洞和特定威脅利用該漏洞之間的時(shí)間通常稱為“漏洞威脅窗口” 。隨著電子商務(wù)、協(xié)作和控制關(guān)鍵基礎(chǔ)架構(gòu)（如發(fā)電）對(duì)互聯(lián)網(wǎng)依賴的增加，已經(jīng)開始向具有特定目標(biāo)和動(dòng)機(jī)的、更“專業(yè)”的攻擊者演變，從而導(dǎo)致更短的漏洞威脅窗口。攻擊者的資金越充足，就有越多的資源可以用來(lái)發(fā)現(xiàn)新漏洞并快速創(chuàng)建相關(guān)的威脅。這將最終導(dǎo)致在相關(guān)漏洞剛剛出現(xiàn)就創(chuàng)建并發(fā)布對(duì)漏洞的利用，使組織根本沒(méi)有時(shí)間響應(yīng)，這種情況下就出現(xiàn)了“零日”威脅。因此防病毒體系的及時(shí)更新保持有效防御是非常重要。有效的安全極大的取決于防病毒體系能夠及時(shí)進(jìn)行安全工具更新與配置，以及企業(yè)迅速響應(yīng)威脅的能力。針對(duì)大范圍內(nèi)多點(diǎn)產(chǎn)品管理產(chǎn)品更新和配置更改，是一項(xiàng)挑戰(zhàn)性日益增加的任務(wù)。如果未應(yīng)用更新防病毒，或者未能及時(shí)應(yīng)用，則企業(yè)的關(guān)鍵系統(tǒng)和數(shù)據(jù)就容易受到攻擊。3）統(tǒng)一管理對(duì)于大型企業(yè)來(lái)說(shuō)，沒(méi)有集中管理的防病毒體系是難以有效發(fā)揮作用的防毒體系。建議在中移動(dòng)范圍內(nèi)，根據(jù)實(shí)際的情況，建立局部范圍內(nèi)統(tǒng)一集中的基于網(wǎng)絡(luò)的防病毒架構(gòu)體系。在局部保證了整個(gè)防毒體系集中統(tǒng)一的管理，可以有效的管理防病毒系統(tǒng)中及時(shí)更新，同時(shí)又幫助管理人員可以統(tǒng)一對(duì)整個(gè)防毒系統(tǒng)進(jìn)行管理監(jiān)督，使整個(gè)系統(tǒng)中任何一個(gè)節(jié)點(diǎn)都可以被管理人員隨時(shí)管理，保證整個(gè)防毒系統(tǒng)有效、及時(shí)地?cái)r截病毒。根據(jù)中國(guó)移動(dòng)的情況來(lái)講，應(yīng)以各省或者直轄市為單位，在各省或者直轄市的信息化責(zé)任部門設(shè)立省或者直轄市內(nèi)統(tǒng)一的防病毒管理中心，由專門的防病毒管理人員通過(guò)防病毒中央控制臺(tái)，對(duì)分布在省或者直轄市內(nèi)網(wǎng)絡(luò)中的防病毒部件進(jìn)行統(tǒng)一管理控制。. 集團(tuán)公司在防病毒體系建設(shè)中的地位和作用集團(tuán)公司在防病毒架構(gòu)體系建設(shè)中起到規(guī)范標(biāo)準(zhǔn)化、建設(shè)指導(dǎo)和監(jiān)督者的作用。? 通過(guò)制定中移動(dòng)統(tǒng)一的防病毒架構(gòu)體系建設(shè)規(guī)范，為各省/直轄市的防17 / 53病毒架構(gòu)建設(shè)和改進(jìn)提供了規(guī)范性的指導(dǎo)建議。包括：? 分層次的防病毒體系架構(gòu)；? 各個(gè)層次防病毒工具功能和部署；? 通過(guò)制定中移動(dòng)防病毒的管理制度和管理機(jī)制規(guī)范，指導(dǎo)和規(guī)范各省/直轄市的防病毒管理工作。包括：? 制定公司的防病毒管理策略；? 防病毒運(yùn)維組織架構(gòu)；? 防病毒管理職責(zé)定義；? 監(jiān)督各省/直轄市的防病毒工作，定期以安全審計(jì)檢查的方式監(jiān)督下屬公司的防病毒體系建設(shè)和管理工作是否到位。. 集團(tuán)總部網(wǎng)絡(luò)防病毒體系架構(gòu)建議集團(tuán)總部網(wǎng)絡(luò)防病毒體系架構(gòu)示意圖集團(tuán)總部范圍內(nèi)建立統(tǒng)一的防病毒管理體系，采用分層的管理模式。18 / 53在集團(tuán)總部建立防病毒管理中心，覆蓋總部范圍內(nèi)的各個(gè)部門：? 第一層：集中管理層。成立集團(tuán)總部的統(tǒng)一防病毒管理中心。這個(gè)層次通過(guò)防病毒中央控制臺(tái)統(tǒng)一管理集團(tuán)總部的防病毒事務(wù)，負(fù)責(zé)集團(tuán)總部防病毒架構(gòu)的工作策略配置的制定和分發(fā)。部署防病毒服務(wù)器，負(fù)責(zé)對(duì)各個(gè)部門的桌面工作站或文檔服務(wù)器的防病毒控制。? 第二層：各部門的終端層。這個(gè)層次分布于集團(tuán)總部?jī)?nèi)網(wǎng)的各個(gè)節(jié)點(diǎn)，數(shù)量眾多，通過(guò)防病毒軟件進(jìn)行病毒監(jiān)視和防護(hù)。桌面工作站和文檔服務(wù)器接受中心防病毒服務(wù)器的直接管理。? 邊界層：網(wǎng)關(guān)防病毒。這個(gè)層次分布于集團(tuán)網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過(guò)濾服務(wù)器、Web 防病毒過(guò)濾服務(wù)器、FTP防病毒過(guò)濾服務(wù)器。這些邊界防病毒過(guò)濾服務(wù)器接受集團(tuán)總部防病毒管理中心的統(tǒng)一管理。. 集團(tuán)總部中心集中管理層在集團(tuán)總部?jī)?nèi)部部署統(tǒng)一的防病毒控制臺(tái)和一級(jí)病毒服務(wù)器，建議在監(jiān)控中心部署。功能是對(duì)集團(tuán)總部?jī)?nèi)的服務(wù)器、客戶端、郵件服務(wù)、互聯(lián)網(wǎng)訪問(wèn)服務(wù)進(jìn)行統(tǒng)一的防病毒管理和監(jiān)控。部署一級(jí)病毒服務(wù)器，管理集團(tuán)辦公網(wǎng)防病毒系統(tǒng)，一級(jí)病毒服務(wù)器負(fù)責(zé)防病毒系統(tǒng)的工作策略的制定，更新病毒代碼、掃描引擎，并且分發(fā)到下屬各個(gè)部門的防病毒客戶端。此外需要部署防病毒控制臺(tái)，使得安全管理員能夠?qū)瘓F(tuán)內(nèi)部范圍內(nèi)防病毒狀況進(jìn)行統(tǒng)一監(jiān)控，包括病毒報(bào)警和匯總統(tǒng)計(jì)，可以根據(jù) IP 地址分布定義相應(yīng)的報(bào)表實(shí)現(xiàn)。. 終端層第二層是在集團(tuán)總部移動(dòng)范圍內(nèi)的防病毒客戶端，建議所有的工作站、個(gè)人計(jì)算機(jī)以及服務(wù)器統(tǒng)一安裝防病毒客戶端軟件。防病毒客戶端軟件按照下發(fā)的工作策略對(duì)工作站、個(gè)人計(jì)算機(jī)和服務(wù)器進(jìn)行防病毒保護(hù)，包括定期病毒掃描、文件系統(tǒng)實(shí)時(shí)保護(hù)，并且向上級(jí)的病毒服務(wù)器報(bào)告病毒事19 / 53件。. 邊界層在集團(tuán)總部統(tǒng)一網(wǎng)絡(luò)出入接口，部署邊界防病毒過(guò)濾服務(wù)器。建議集團(tuán)總部根據(jù)實(shí)際情況，統(tǒng)一規(guī)整外部網(wǎng)絡(luò)的接入點(diǎn)，包括互聯(lián)網(wǎng)接入點(diǎn)、第三方合作單位網(wǎng)絡(luò)接入點(diǎn)。在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過(guò)濾服務(wù)器、Web 與 FTP 防病毒過(guò)濾服務(wù)器。這些邊界防病毒過(guò)濾服務(wù)器接受集團(tuán)總部中心的統(tǒng)一管理，包括工作策略配置、病毒特征和掃描引擎更新、病毒監(jiān)控。. 各省/直轄市網(wǎng)絡(luò)防病毒體系架構(gòu)建議各省/直轄市網(wǎng)絡(luò)防病毒體系架構(gòu)示意圖20 / 53各省/直轄市建立統(tǒng)一的防病毒管理體系，采用分層的管理模式。以各省或直轄市總部為中心，覆蓋下屬各個(gè)地市，分為三層結(jié)構(gòu)：? 第一層：集中管理層。成立統(tǒng)一防病毒管理中心。這個(gè)層次通過(guò)中央控制臺(tái)統(tǒng)一管理企業(yè)的防病毒事務(wù)，負(fù)責(zé)省防病毒架構(gòu)的工作策略配置的制定和分發(fā)。? 第二層：分布層。部署二層防病毒服務(wù)器。這個(gè)層次具有多個(gè)分布在不同地市部門的防病毒服務(wù)器，負(fù)責(zé)局域網(wǎng)內(nèi)桌面工作站或者文檔服務(wù)器的防病毒控制。防病毒服務(wù)器接受第一層的防病毒管理中心的統(tǒng)一管理控制。? 第三層：終端層。這個(gè)層次分布于網(wǎng)絡(luò)的各個(gè)節(jié)點(diǎn)，數(shù)量眾多，通過(guò)防病毒軟件進(jìn)行病毒監(jiān)視和防護(hù)。桌面工作站和文檔服務(wù)器接受二層防病毒服務(wù)器的直接管理。? 邊界層：網(wǎng)關(guān)防病毒。這個(gè)層次分布于網(wǎng)絡(luò)出入接口，在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過(guò)濾服務(wù)器、Web 防病毒過(guò)濾服務(wù)器、FTP 防病毒過(guò)濾服務(wù)器。這些邊界防病毒過(guò)濾服務(wù)器接受省/直轄市中心的統(tǒng)一管理。. 省中心集中管理層最高層部署統(tǒng)管全省/直轄市的防病毒控制臺(tái)和一級(jí)病毒服務(wù)器，建議在各省移動(dòng)中心部署。功能是對(duì)本省/直轄市內(nèi)的服務(wù)器、客戶端、郵件服務(wù)、互聯(lián)網(wǎng)訪問(wèn)服務(wù)進(jìn)行統(tǒng)一的防病毒管理和監(jiān)控。各省/直轄市根據(jù)需要部署一級(jí)病毒服務(wù)器，分別管理辦公網(wǎng)、承載網(wǎng)、業(yè)務(wù)網(wǎng)的防病毒系統(tǒng)。一級(jí)病毒服務(wù)器負(fù)責(zé)防病毒系統(tǒng)的工作策略的制定，更新病毒代碼、掃描引擎，并且分發(fā)到二級(jí)病毒服務(wù)器。此外需要部署防病毒控制臺(tái)，使得安全管理員能夠?qū)κ?直轄市范圍內(nèi)防病毒狀況進(jìn)行統(tǒng)一監(jiān)控，包括病毒報(bào)警和匯總統(tǒng)計(jì)，可以根據(jù)各個(gè)地市不同的 IP 地址分布定義相應(yīng)的報(bào)表實(shí)現(xiàn)。21 / 53. 地市分布層第二層則根據(jù)實(shí)際情況在下屬地市部署二級(jí)病毒服務(wù)器，建議根據(jù)客戶端密集情況選擇適當(dāng)?shù)牡厥羞M(jìn)行部署。這個(gè)層次的功能是擴(kuò)展最高層的防病毒安全策略和病毒特征、掃描引擎的更新，收集下層防病毒客戶端的狀態(tài)和病毒告警。二級(jí)病毒服務(wù)器負(fù)責(zé)將一級(jí)病毒服務(wù)器傳達(dá)的工作策略和程序更新，分發(fā)到下屬的防病毒客戶端。此層次視具體情況而設(shè)定，如某地市客戶端密集，則需要設(shè)置多臺(tái)二級(jí)服務(wù)器；如客戶端很少，可以和其他地市共用同一個(gè)二級(jí)服務(wù)器。. 終端層第三層是在省/直轄市移動(dòng)范圍內(nèi)的防病毒客戶端，建議所有的工作站、個(gè)人計(jì)算機(jī)以及服務(wù)器統(tǒng)一安裝防病毒客戶端軟件。防病毒客戶端軟件按照下發(fā)的工作策略對(duì)工作站、個(gè)人計(jì)算機(jī)和服務(wù)器進(jìn)行防病毒保護(hù)，包括定期病毒掃描、文件系統(tǒng)實(shí)時(shí)保護(hù)，并且向上級(jí)的病毒服務(wù)器報(bào)告病毒事件。. 邊界層在省/直轄市統(tǒng)一網(wǎng)絡(luò)出入接口，部署邊界防病毒過(guò)濾服務(wù)器。建議各省/直轄市根據(jù)實(shí)際情況，統(tǒng)一規(guī)整外部網(wǎng)絡(luò)的接入點(diǎn)，包括互聯(lián)網(wǎng)接入點(diǎn)、第三方組織網(wǎng)絡(luò)接入點(diǎn)。在這些外部網(wǎng)絡(luò)接入點(diǎn)部署郵件防病毒過(guò)濾服務(wù)器、Web 與 FTP 防病毒過(guò)濾服務(wù)器。這些邊界防病毒過(guò)濾服務(wù)器接受省/直轄市中心的統(tǒng)一管理，包括工作策略配置、病毒特征和掃描引擎更新、病毒監(jiān)控。22 / 53. 防病毒工具功能要求與部署建議. 中心防病毒控制臺(tái)與管理服務(wù)器功能要求實(shí)現(xiàn)統(tǒng)一集中的管理，如防病毒軟件的安裝、維護(hù)、病毒定義碼和掃描引擎的更新升級(jí)、網(wǎng)絡(luò)防病毒策略的配置、報(bào)警的集中管理、定時(shí)調(diào)度、隔離、實(shí)時(shí)掃描和監(jiān)控等。? 強(qiáng)大、靈活的管理和任務(wù)調(diào)度手段，允許管理員通過(guò)中心控制臺(tái)，集中地實(shí)現(xiàn)全網(wǎng)范圍內(nèi)防毒策略的定制、分發(fā)和執(zhí)行。? 允許管理員通過(guò)控制臺(tái)，集中地實(shí)現(xiàn)所有節(jié)點(diǎn)上防毒軟件的監(jiān)控、配置、查詢等管理工作。能夠通過(guò)控制臺(tái)看到客戶端的病毒版本、查殺毒記錄及各種日志信息。? 負(fù)責(zé)病毒掃描引擎和代碼庫(kù)的更新，并能將此掃描引擎和代碼庫(kù)自動(dòng)提供給各種服務(wù)器和工作站。? 提供多種軟件安裝和軟件升級(jí)的手段，必須提供遠(yuǎn)程安裝客戶端、基于WEB 的軟件安裝和手動(dòng)、定時(shí)病毒庫(kù)版本升級(jí)功能，以方便管理，節(jié)省勞動(dòng)成本。? 提供遠(yuǎn)程病毒報(bào)警手段，網(wǎng)內(nèi)任何一臺(tái)計(jì)算機(jī)上發(fā)現(xiàn)病毒時(shí)，殺毒軟件自動(dòng)將病毒信息傳遞給網(wǎng)絡(luò)管理員。? 靈活的管理方式，可以支持集中和分步式管理，分步式管理可以跨越廣域網(wǎng)，跨廣域網(wǎng)時(shí)需要有效地利用帶寬。? 支持多級(jí)中心管理，各子網(wǎng)可以有單獨(dú)的控制中心來(lái)管理，事項(xiàng)管理任務(wù)分擔(dān)。而有一個(gè)控制中心進(jìn)行整體監(jiān)控。? 分組管理：管理員可以按照自己的需要對(duì)所有的網(wǎng)絡(luò)終端結(jié)點(diǎn)進(jìn)行任意分組?？蓪⒉煌锢淼攸c(diǎn)的服務(wù)器分組，對(duì)于客戶端也可根據(jù)配置的需要分組，包括設(shè)置客戶端密碼、實(shí)時(shí)監(jiān)控客戶端配置、統(tǒng)一刷新客戶端狀態(tài)、統(tǒng)一發(fā)送廣播、查詢歷史記錄等。不同組可以執(zhí)行不同的防病毒23 / 53策略。? 對(duì)于工作站和服務(wù)器隔離的可疑病毒樣本可以集中到一臺(tái)服務(wù)器上處理，實(shí)現(xiàn)集中隔離。部署建議? 中心防病毒控制臺(tái)和一級(jí)服務(wù)器部署于集團(tuán)總部、各省或者直轄市的計(jì)算中心內(nèi)；? 二級(jí)服務(wù)器部署在地市的計(jì)算中心內(nèi)；? 根據(jù)各省/直轄市公