【正文】 到一個漫游區(qū)，修復(fù)安全狀況，或者受限制的訪問網(wǎng)絡(luò)。一旦安全修復(fù)完成，服務(wù)器會通知交換機(jī)將該 PC 從漫游區(qū)切換到工作的 VLAN 之中。此外，局域網(wǎng)準(zhǔn)入控制服務(wù)器還能與通用的 3A 認(rèn)證服務(wù)器結(jié)合實(shí)現(xiàn)接入用戶身份認(rèn)證，在接入設(shè)備安全性認(rèn)證通過后，局域網(wǎng)準(zhǔn)入控制服務(wù)器將根據(jù)用戶身份認(rèn)證的結(jié)果來動態(tài)分配工作 VLAN。邊界準(zhǔn)入與隔離：高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 28 ~用于控制使用 VPN 和 RAS 撥號接入的遠(yuǎn)程用戶，由于這些遠(yuǎn)程用戶處于網(wǎng)絡(luò)邊界保護(hù)范圍之外，通常暴露在公共網(wǎng)絡(luò)之中，面臨較大的安全風(fēng)險，一旦被病毒或黑客攻陷，就會成為攻擊企業(yè)網(wǎng)絡(luò)的跳板，從而給單位帶來災(zāi)難性的損失。通過在互連網(wǎng)出口位置設(shè)置邊界準(zhǔn)入控制服務(wù)器，能夠驗(yàn)證通過 VPN 隧道聯(lián)入的遠(yuǎn)程用戶主機(jī)上是否運(yùn)行了內(nèi)網(wǎng)安全管理客戶端軟件，并且要求客戶端軟件提交該遠(yuǎn)程主機(jī)的安全檢查報告，當(dāng)遠(yuǎn)程主機(jī)沒有運(yùn)行安全管理客戶端軟件，或者安全檢查結(jié)果不達(dá)標(biāo)的時候，認(rèn)證強(qiáng)制網(wǎng)關(guān)能夠阻止用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，但提供用戶恢復(fù)其安全的綠色通路。補(bǔ)丁管理通過在所有聯(lián)網(wǎng)的 Windows 客戶端上部署補(bǔ)丁管理系統(tǒng)，集中管理客戶端軟件系統(tǒng)補(bǔ)丁的升級、系統(tǒng)配置策略，可以定義終端補(bǔ)丁下載，補(bǔ)丁升級策略以及增強(qiáng)終端系統(tǒng)安全配置策略，并下發(fā)給運(yùn)行于各終端設(shè)備上的代理程序，代理執(zhí)行這些策略，保證終端系統(tǒng)補(bǔ)丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明。為了提高整個網(wǎng)絡(luò)用戶補(bǔ)丁升級的效率，避免由于終端用戶的同時補(bǔ)丁升級給網(wǎng)絡(luò)帶寬帶來的影響，可以在網(wǎng)絡(luò)內(nèi)部搭建補(bǔ)丁升級服務(wù)器，保證終端設(shè)備補(bǔ)丁升級的及時有效。 網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)計 部署網(wǎng)絡(luò)防病毒系統(tǒng)的意義自從 1983 年世界上第一個計算機(jī)病毒出現(xiàn)以來，在不到 20 年的時間里，計算機(jī)病毒已到了無孔不入的地步，有些甚至給我們造成了巨大的破壞。因此病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互連，病毒的傳播途徑和速度大大加快，造成的危害也不斷增加。計算機(jī)病毒可按照其破壞的目標(biāo)分為下列幾種類型：高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 29 ~? 程序型病毒：SCR 的程序文件作為其感染目標(biāo)。由于程序文件的使用范圍極為廣泛，而且格式簡單，容易被病毒附身，因此成為病毒作者最愛下手的目標(biāo)。? 引導(dǎo)型病毒：以硬盤和軟盤的非文件區(qū)域（系統(tǒng)區(qū)域）為感染對象。這些區(qū)域通常是病毒從一臺計算機(jī)傳播到另一臺計算機(jī)最有效的傳播途徑。引導(dǎo)型病毒感染和傳播的成功率很高，往往比程序型病毒高出好幾倍。? 宏病毒：以具有宏功能的數(shù)據(jù)文件為感染對象。Microsoft Word或 Excel 文檔和模板文件極容易遭受攻擊。由于被感染文件通常會通過網(wǎng)絡(luò)共享，或者放到 Inter 站點(diǎn)供大家下載，因此宏病毒的傳播速度相當(dāng)驚人。? 特洛伊木馬型的程序：由于它們并不會自我復(fù)制，常常不被歸類成病毒。但它們表面上看起來好象有某種用途或可以提供娛樂效果的程序。這種外表會鼓舞人們?nèi)?zhí)行它，實(shí)事上和古代戰(zhàn)役中的特洛伊木馬相似，其真正目的很可能恰好與外表相反，會對文件造成破壞，或在計算機(jī)中植入病毒?，F(xiàn)在，BOBO 病毒及其變形就是一種特洛伊木馬型的惡意程序，其最大壞處就是潛入計算機(jī)，竊取用戶的合法帳戶名和口令，使網(wǎng)絡(luò)入侵者侵入用戶網(wǎng)絡(luò)。? 惡意網(wǎng)站。通過惡意代碼和 IE 漏洞侵害用戶，偷偷下載和運(yùn)行帶有木馬的程序。病毒入侵渠道分析：對于病毒可通過網(wǎng)絡(luò)等多種情況進(jìn)行入侵，需要針對每個可能入侵的途徑進(jìn)行防護(hù)。? 來自系統(tǒng)外部（Inter 或外網(wǎng)）的病毒入侵： 這是目前病毒進(jìn)入最多的途徑。因此在與外部連接的網(wǎng)關(guān)處進(jìn)行病毒攔截是效率最高，耗費(fèi)資源最少的措施?？梢允惯M(jìn)入內(nèi)部系統(tǒng)的病毒數(shù)量大為減少。但很明顯，它只能阻擋進(jìn)出網(wǎng)關(guān)病毒的入侵。高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 30 ~? 網(wǎng)絡(luò)郵件/群件系統(tǒng)： 如果網(wǎng)絡(luò)內(nèi)采用了自己的郵件 /群件系統(tǒng)實(shí)施辦公和信息自動化，那么一旦有某個用戶感染了病毒，通過郵件方式該病毒將以幾何級數(shù)在網(wǎng)絡(luò)內(nèi)迅速傳播，并且很容易導(dǎo)致郵件系統(tǒng)負(fù)荷過大而癱瘓。因此在郵件系統(tǒng)上部署防病毒也顯得尤為重要。? 文件服務(wù)器：文件資源共享是網(wǎng)絡(luò)提供的基本功能。文件服務(wù)器大大提高了資源的重復(fù)利用率，并且能對信息進(jìn)行長期有效的存儲和保護(hù)。但是一旦服務(wù)器本身感染了病毒，就會對所有的訪問者構(gòu)成威脅。因此文件服務(wù)器也需要設(shè)置防病毒保護(hù)。? 最終用戶：病毒最后的入侵途徑就是最終的桌面用戶。由于網(wǎng)絡(luò)共享的便利性，某個感染病毒的桌面機(jī)可能隨時會感染其它的機(jī)器，或是被種上了黑客程序而向外傳送機(jī)密文件（如“SirCam”病毒） 。因此在網(wǎng)絡(luò)內(nèi)對所有的客戶機(jī)進(jìn)行防毒控制也很有必要。隨著網(wǎng)絡(luò)的飛速發(fā)展，單機(jī)版的防病毒軟件面臨著集中管理、智能更新等多方面的問題，已經(jīng)不能滿足當(dāng)今大規(guī)模、分布式的企業(yè)級的應(yīng)用環(huán)境，病毒防護(hù)也已經(jīng)步入到了一個網(wǎng)絡(luò)化、多方位防護(hù)的階段。網(wǎng)絡(luò)防病毒系統(tǒng)基于策略集中管理的方式，使得移動、分布式的企業(yè)級病毒防護(hù)不再困難，而且應(yīng)提供病毒定義的實(shí)時自動更新功能，所有操作都應(yīng)對終端用戶透明，不需用戶的干預(yù)，使用戶在不知不覺中將病毒拒之門外。 網(wǎng)絡(luò)防病毒系統(tǒng)部署原則針對校園網(wǎng)絡(luò)的防病毒需求，為建設(shè)一個整體防病毒系統(tǒng)，將貫徹以下四點(diǎn)整體防毒的基本原則：? 防毒一定要實(shí)現(xiàn)全方位、多層次防毒。在本方案中，我們部署了多層次病毒防線，分別是服務(wù)器、客戶端防毒、網(wǎng)關(guān)防毒，保證斬斷病毒可以傳播、寄生的每一個節(jié)點(diǎn)，實(shí)現(xiàn)病毒的全面防范；? 網(wǎng)關(guān)防毒是整體防毒的首要防線。在本方案中，我們將網(wǎng)關(guān)防毒作為最重要的一道防線來部署，全面消除外來病毒的威脅，使得病毒不能再從外網(wǎng)傳播進(jìn)來，對內(nèi)部網(wǎng)絡(luò)資源和系統(tǒng)資源造成消耗。同時，網(wǎng)關(guān)防毒這道防高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 31 ~線上還具備內(nèi)容過濾功能，全面防范垃圾郵件的侵?jǐn)_以及內(nèi)部機(jī)密數(shù)據(jù)的外泄，在整個防毒系統(tǒng)中起到事半功倍的效果。? 沒有集中管理的防毒系統(tǒng)是無效的防毒系統(tǒng)。在本方案中，我們構(gòu)建了跨子網(wǎng)的集中管理系統(tǒng)，保證了整個防毒產(chǎn)品可以從管理系統(tǒng)中及時得到更新，同時又使得管理人員可以在任何時間、任何地點(diǎn)通過瀏覽器對整個防毒系統(tǒng)進(jìn)行管理，使整個系統(tǒng)中任何一個節(jié)點(diǎn)都可以被管理人員隨時管理，保證整個防毒系統(tǒng)有效、及時地攔截病毒。? 服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán)。防病毒系統(tǒng)建立起來之后，能不能對病毒進(jìn)行有效的防范，與病毒廠商能否提供及時、全面的服務(wù)有著極為重要的關(guān)系。這一方面要求廠商要有全球化的防毒體系為基礎(chǔ)，另一方面也要求廠商能有足夠的本地化技術(shù)人員作依托，不管是對系統(tǒng)使用中出現(xiàn)的問題，還是用戶發(fā)現(xiàn)的可疑文件，都能進(jìn)行快速的分析和方案提供。本方案中選擇的防病毒廠商卡巴斯基作為網(wǎng)絡(luò)防毒及互聯(lián)網(wǎng)安全與服務(wù)的領(lǐng)導(dǎo)廠商，可以全面滿足多層次的服務(wù)要求。 網(wǎng)絡(luò)防病毒系統(tǒng)署方式建議在校園網(wǎng)絡(luò)系統(tǒng)中所有可能的病毒攻擊點(diǎn)或通道中部署全方位的病毒防范系統(tǒng)，包括在整個網(wǎng)絡(luò)中的所有 WINDOWS 服務(wù)器和客戶端計算機(jī)上部署相應(yīng)平臺的網(wǎng)絡(luò)版防病毒軟件，針對郵件服務(wù)器部署郵件防病毒系統(tǒng)，并配置防病毒系統(tǒng)管理中心對所有主機(jī)上的防病毒軟件進(jìn)行集中管理、監(jiān)控、統(tǒng)一升級、集中查殺毒。 具體的部署如下：在黃委機(jī)關(guān)電子政務(wù)內(nèi)網(wǎng)單位所有 Windows 服務(wù)器上部署相應(yīng)平臺的網(wǎng)絡(luò)版防毒軟件，確保服務(wù)器系統(tǒng)不會成為病毒駐留的平臺，提高整個服務(wù)器系統(tǒng)的高可靠性。在黃委機(jī)關(guān)電子政務(wù)內(nèi)網(wǎng)單位所有 Windows 客戶端上部署相應(yīng)平臺的網(wǎng)絡(luò)版防毒軟件，一方面增強(qiáng)客戶端的防毒能力，另一方面保證客戶端不為因?yàn)椴《締栴}而帶給管理員極大的工作量。高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 32 ~網(wǎng)絡(luò)版防病毒系統(tǒng)采用集中和分布相結(jié)合的管理模式：? 服務(wù)器區(qū)域中設(shè)置一臺防病毒中央管理服務(wù)器，提供集中的策略制定和下發(fā)，管理所有服務(wù)器和客戶端防病毒系統(tǒng)；? 單位內(nèi)部運(yùn)行管理區(qū)域中設(shè)置一臺防病毒二級管理服務(wù)器，管理單位內(nèi)部的所有服務(wù)器和客戶端防病毒系統(tǒng)，以及與上級管理中心進(jìn)行通信；網(wǎng)絡(luò)版防病毒系統(tǒng)升級方式如下：? 防病毒中央管理服務(wù)器（同時作為中央升級服務(wù)器）定期從互聯(lián)網(wǎng)進(jìn)行升級；? 防病毒二級管理服務(wù)器（同時作為二級升級服務(wù)器）從中央升級服務(wù)器獲得升級包；? 所有服務(wù)器和客戶端防病毒系統(tǒng)從防病毒中央升級服務(wù)器獲得升級包；? 所有服務(wù)器和客戶端防病毒系統(tǒng)從防病毒二級升級服務(wù)器獲得升級包；? 為了節(jié)省廣域網(wǎng)帶寬，防病毒系統(tǒng)提供一種特殊的升級機(jī)制，確保每個局域網(wǎng)中只要有一臺防病毒客戶端獲得了最新的升級包，其它的防病毒客戶端就可以通過點(diǎn)對點(diǎn)方式從這臺計算機(jī)上獲得升級包，而不需要通過廣域網(wǎng)上聯(lián)到升級服務(wù)器上進(jìn)行更新。針對郵件服務(wù)器的郵件病毒查殺由郵件過濾網(wǎng)關(guān)系統(tǒng)提供。網(wǎng)絡(luò)版防病毒與網(wǎng)關(guān)防病毒需采用不同廠商的病毒檢測引擎和病毒庫，并且在不同位置的安全網(wǎng)關(guān)/防病毒網(wǎng)關(guān)設(shè)備上也分別采用不同廠商的病毒檢測引擎和病毒庫，以便使校園網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的病毒防護(hù)能力得到多重保障。 整體防毒系統(tǒng)所達(dá)到的效果1. 在校園網(wǎng)絡(luò)平臺上構(gòu)建起“多級控管”的基礎(chǔ)架構(gòu)，保證了整個網(wǎng)絡(luò)防毒策略的一致性和防毒系統(tǒng)的有效性；2. 整個網(wǎng)絡(luò)防毒系統(tǒng)的升級、防毒策略的制定、監(jiān)控等，都通過高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 33 ~控管系統(tǒng)集中實(shí)現(xiàn)，一方面保證所有防毒子系統(tǒng)得到即時更新，另一方面保證整個防毒策略的一致。同時生成整個網(wǎng)絡(luò)統(tǒng)一的病毒報告日志，便于系統(tǒng)管理人員即時對病毒發(fā)現(xiàn)情況進(jìn)行掌握，制定更加有效的網(wǎng)絡(luò)平臺安全使用策略。3. 對網(wǎng)絡(luò)內(nèi)的所有客戶機(jī)（Windows NT/2022/XP 和 Windows 95/98/Me）進(jìn)行全面防護(hù)，徹底消除病毒和惡意代碼（包括文件型病毒、宏病毒以及惡意 Java 小程序和 ActiveX 控件等）對客戶機(jī)的破壞，保證所有工作人員都有一個干凈、安全的工作平臺。并通過提供單一控制臺使管理員可以配置、監(jiān)控和維護(hù)客戶端的防毒病措施，改進(jìn)并簡化了企業(yè)防病毒策略的管理。4. 對網(wǎng)絡(luò)應(yīng)用服務(wù)器（Windows/Linux 平臺）進(jìn)行全面防護(hù)，斬斷病毒在服務(wù)器內(nèi)的寄生及傳播。 漏洞掃描子系統(tǒng)設(shè)計 漏洞掃描部署方案推薦采用漏洞掃描設(shè)備，來實(shí)現(xiàn)對整體網(wǎng)絡(luò)平臺內(nèi)網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端和安全設(shè)備的掃描，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全隱患，并根據(jù)安全隱患給出解決方案，方便網(wǎng)絡(luò)管理人員進(jìn)行補(bǔ)救，將安全隱患修補(bǔ)在被攻擊者利用之前。 漏洞掃描的作用隱患掃描漏洞掃描是做好安全防護(hù)的第一步，其作用是在黑客攻擊之前，找出網(wǎng)絡(luò)中存在的漏洞，防患于未然。掃描器作為自動化的網(wǎng)絡(luò)安全風(fēng)險評估工具，側(cè)重發(fā)生安全事故前這一階段。通過模擬黑客的進(jìn)攻方法，對被檢系統(tǒng)進(jìn)行攻擊性的安全漏洞和隱患掃描，提交風(fēng)險評估報告，并提供相應(yīng)的整改措施。先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞，防患于未然。預(yù)防性的安全檢查最大限度地暴露了現(xiàn)存網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患，配合行之有效的整改措施，可以將網(wǎng)絡(luò)系統(tǒng)的運(yùn)高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 34 ~行風(fēng)險降至最低。針對國際互聯(lián)網(wǎng)上網(wǎng)絡(luò)系統(tǒng)中存在的主要弱點(diǎn)和漏洞，漏洞掃描系統(tǒng)集成了十幾大類實(shí)踐性方法，能全方位，多側(cè)面的對網(wǎng)絡(luò)安全隱患進(jìn)行掃描分析，基本上覆蓋了目前網(wǎng)絡(luò)和操作系統(tǒng)存在的主要弱點(diǎn)和漏洞，具有強(qiáng)大的掃描分析能力。在網(wǎng)絡(luò)漏洞檢測中，漏洞掃描系統(tǒng)將漏洞主要分為下列類別： 攻擊測試 攻擊測試 測試 測試 測試 問題測試 測試 測試 測試安全管理漏洞掃描系統(tǒng)將所發(fā)現(xiàn)的隱患和漏洞依照風(fēng)險等級進(jìn)行分類，向用戶發(fā)出不同的警告提示，提交風(fēng)險評估報告，并給出詳細(xì)的解決辦法。系統(tǒng)對可掃描IP 地址進(jìn)行了嚴(yán)格地限定， 能有效地防止系統(tǒng)被濫用和盜用。策略管理漏洞掃描系統(tǒng)針對不同用戶的需求，對掃描項(xiàng)進(jìn)行合理的組合，更快、更有效地幫助不同用戶構(gòu)建自己專用的安全策略。系統(tǒng)中預(yù)裝了多種常見的策略，您可以根據(jù)不同的安全需求，選取或自定義不同的掃描策略，對相應(yīng)的設(shè)備進(jìn)行掃描分析。統(tǒng)計分析漏洞掃描系統(tǒng)采用報表和圖形的形式對掃描結(jié)果進(jìn)行分析，可以方便直觀地對用戶進(jìn)行安全性能評估和檢查。漏洞掃描系統(tǒng)不僅能發(fā)現(xiàn)系統(tǒng)存在的弱點(diǎn)和漏洞，還能給用戶提出修補(bǔ)這些弱點(diǎn)和漏洞的建議和措施，能給用戶建議保證系統(tǒng)安全的安全策略，最大限度地保證用戶信息系統(tǒng)的安全。高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案 ~ 35 ~ 網(wǎng)絡(luò)運(yùn)維監(jiān)控設(shè)計 系統(tǒng)平臺構(gòu)成本技術(shù)方案在充分考慮到***企業(yè)的發(fā)展現(xiàn)狀，摩卡軟件提出采用MochaKoolPoint 產(chǎn)品來實(shí)現(xiàn)此次 IT 監(jiān)控系統(tǒng)的建設(shè)目標(biāo)。摩卡軟件公司一直致力于 IT 運(yùn)維監(jiān)控產(chǎn)品的研發(fā)和運(yùn)用，擁有 10 多年的IT 運(yùn)維管理經(jīng)驗(yàn)，其自主研發(fā)了國內(nèi)首創(chuàng)的基于 ITIL 的業(yè)務(wù)服務(wù)管理平臺。Mocha KoolPoint 是其拳頭產(chǎn)品，它針對信息中心的 IT 支持和管理部門，基于ITIL（IT Infrastructure Library）的 IT 服務(wù)管理思想，整合了系統(tǒng)監(jiān)控、應(yīng)用監(jiān)控、網(wǎng)絡(luò)監(jiān)控、可視化監(jiān)控（Mocha VM） 、ITIL 式報表和門戶等多種技術(shù)手段，幫助用戶解決 IT 支持與管理過程中的難題，提高 IT 服務(wù)水平和工作效率的解決方案。本方案采用 Mocha KoolPoint 產(chǎn)品以下功能模塊：? 主機(jī)監(jiān)控? 網(wǎng)絡(luò)監(jiān)控? 應(yīng)用系統(tǒng)監(jiān)控? 報告報表管理? 統(tǒng)一報警（郵件、手機(jī)短信、Mocha Alert）Mocha