| 出版日期:2005-06-06 总期号:663 本年期号:21 |
|
 |
剿毒,其实没那么难
董丽凤 企业规模扩大了,越来越多的企业开始建立各地的分支机构。为了更好地管理这些分支机构,并实现同步办公、协调工作,企业建立了不同级别的局域网络。这样,大量的信息通过各级网络实现了沟通、传递、整合。但是,在带来工作便利的同时,一个更大的问题也摆在了这些企业的面前,那就是面对如此复杂、庞大的网络,如何保障它的安全呢? 安全,成了每时每刻困扰企业的难题。防火墙、杀毒软件、监控软件,只要与安全沾边的,统统拿来,即便如此,各级网管员也仍旧处于杀毒、奔波的状态中。企业需要更为智能化的杀毒平台、管理平台。企业级的网络版杀毒软件因为其独特的统一管理平台、不同区域的剿毒功能,而日渐为用户青睐。 日前,瑞星科技成功为湖南省建行部署了广域宽带网络分级杀毒解决方案,记者就此与设计该方案的技术专家进行了交流。 各网独立需要统一管理 据介绍,湖南省建行系统网络是在光纤网络的基础上建成的一个宽带局域网,整个网络约有10000台计算机和服务器,该网络为湖南建行系统提供电子数据交换、文件数据传输、网上办公等服务。 根据行政区县的不同,湖南省建行把整个网络按照行政结构分为:建设银行省分行虚拟局域网、各个地州市建设银行支行虚拟局域网、各个区县建设银行支行虚拟局域网、各个营业网点虚拟局域网。 同时,按照业务类型的不同,湖南省建行又把各个行政区域网络分为:银行业务网络,占整个网络的30%,其中90%为Unix服务器;办公网络,占整个网络的60%以上;清算网络,约10~20台;语音网络,约10~20台;视频网络,约10~20台。以上后四个网络主要为Windows操作系统的计算机和服务器。 按照规定,这些局域网络互相独立,不能相互访问(如图1所示)。 在这样的前提条件下,湖南省建行要求整个网络的防病毒系统能够支持现有的全部应用软件系统,支持硬件及网络平台,能够实现统一平台集中管理,防病毒系统能够记录攻击网络的所有病毒信息,并能够对网络进行整体的病毒防护以及病毒剿灭。更为重要的是,不能因为实施杀毒软件系统,而给整个网络系统带来新的安全威胁。 为了满足如此多的要求,同时又符合各虚拟局域网的相互独立,必须具备统一平台管理的功能。瑞星科技的技术专家对此专门设计了多级网络杀毒结构,以分别满足不同虚拟局域网络平台用户的需求。 在整个网络的整体防病毒解决方案中,构建了集中统一管理与分级管理相结合的管理系统,以保障整个防毒产品可以从管理系统中得到及时的更新,同时又可以使各级管理人员能够在任何时间、任何地点通过管理控制台,对整个防毒系统进行管理,使整个系统中的任何一个节点都可以被管理人员随时管理,以保障整个系统有效、及时地拦截病毒。 分级部署解决多平台难题 据瑞星科技的专家介绍,在湖南省建行的整个系统中,办公网络和业务网络的规模较大,分别有约6000台和3000台以上计算机,需要按照行政结构设置二级结构,即省行设置一级管理中心服务器,省行和各个地州市办公网和业务网设置二级管理中心服务器。按照这样的划分方式,要彻底解决网络安全,就必须在各个虚拟局域网络之内部署独立的防病毒体系。 按这个设计方案,在整个系统中,各个二级中心隶属于一级中心管理。与此同时,各二级中心又能够统一管理各自下属平台区域的计算机和服务器。这样,每个二级系统中心需要管理大约600台计算机和服务器。 其它应用虚拟局域网则分别独立设置一个系统管理中心服务器,放置在省行,以分别管理各自局域网内的计算机和服务器。 按照这样的分级管理规则,二级系统中心管理各个地州市的办公网络和业务网络,同时汇总来自下属各个支行的信息,并将其汇报给上一级的省级系统管理中心。 一级系统中心的确立 按照分级管理的思路,瑞星科技首先确立了省分行信息中心作为网络防病毒的一级管理中心,也就是一级系统中心,主要负责对整个网络防病毒系统的管理、监督工作,管理上采用中心负责制。也就是说,一级中心只负责对所有二级中心进行管理,但并不负责对二级中心客户端和服务器的直接管理。同时,一级中心负责省级杀毒软件系统的统一管理和监督。 二级系统中心的确立 按照各级行政区域局域网的划分,瑞星科技又在各级地县建立多个二级系统中心,主要负责地县级局域网络的防病毒系统的管理、监督工作。 在二级子系统中心的建设中,每个系统中心负责管理一定数量的客户端和服务器,二级系统中心的划分可以按子网网段划分,也可以按计算机数量划分。每个二级系统中心配置一台专用服务器作为二级系统中心的管理者,以实现本中心客户端和服务器的防病毒管理,并将本中心内病毒爆发情况的统计信息上报给一级系统中心的管理者。 这样,在确立了两级式查杀毒网络系统之后,在二级系统中心上建立一个与一级系统中心能够相互沟通的通信平台,以及时把下一级虚拟局域网的所有问题反馈给上一级网络。 在整个系统搭建完成之后,由一级系统中心的统一管理平台实现对整个网络系统的集中管理,以及对全网客户端、服务器进行“智能升级”、“远程报警”、“统一策略配置”、“分布查杀”等病毒防护措施。这样,湖南省建行统一的、便于管理的病毒防护体系就搭建完成了(如图2、3、4所示)。 地域广、平台多仍有不足 采用两级系统中心搭建的分级系统平台,很好地实现了统一的中央平台管理功能。但是由于地域广,二级子平台较多,所以系统对于下一级的客户端、服务器很难直接管理,就需要二级系统平台对下级的客户端、服务器进行统一管理。同时,对于升级、防毒日志的建立等来讲,也存在一定的难度。 但是,就整个网络系统来讲,由于具备统一的对外平台,因此对于整个网络的入口来讲,能够很好的阻击病毒的入侵。同时,在整个网络的建设过程中,不需要重新增加或设置原有的网络系统及设备,不会给原有系统带来风险。 
图1 湖南省建行网络整体划分结构示意图 
图2 湖南建行计算机网络办公网防病毒示意图 
图3 湖南建行计算机网络业务网防病毒示意图 
图4 湖南建行计算机网络办公外虚拟局域网防病毒示意图 严防杀毒软件泄密 用户购买杀毒软件是为了保护自己网络内部的数据业务安全。但是,作为杀毒软件,从技术角度来看,本身却存在很大的安全隐患。 从技术上讲,任何杀毒软件都可以做到在任何时候、任何地点,只要该产品用户的网络连上了Internet,就可以轻易的窃走用户计算机网络系统中他想要的任何数据,这可能是大部分用户从来都没有考虑过的。 杀毒软件可以预留后门或恶意代码程序,驻留在已经安装杀病毒软件的计算机中,在用户进行的如下两种经常性操作中,杀毒软件可能已经泄漏了用户的秘密。 一是升级。杀病毒软件必须经常性升级,在升级时,用户会将自己的计算机网络与杀毒软件厂家的服务器相连接。在这种情况下,杀毒软件厂商可能会将用户计算机网络上的重要数据,通过Internet秘密地传输到自己的计算机上。 二是报送未知病毒文件。杀毒软件在发现不确定的未知病毒文件时,如果计算机直接与网络相连,则杀毒软件一般会自动将含未知病毒的文件传送到杀毒软件商家,如果该含病毒的文件是涉密文件,则可能造成泄密事件。 也许用户会觉得不可思议,或觉得从来都不可能发生这样的事情。其实,这种泄密在技术上是完全能够实现的。 杀毒软件可能泄密,也是我国一直致力于发展和在国家关键部门推荐使用自主知识产权的产品的一个重要原因。因此,在我国的政府招标法中,也曾经明确规定,网络安全产品的采购,原则上推荐使用国内自有知识产权的产品。在国与国之间出现重大利益冲突时,只有真正采用了国内自主产权的产品才能真正有效避免国家机密泄露。如选择红旗Linux操作系统或方舟Inside CPU,以及我国一贯支持的自主知识产权的软件系统等。 从另外一个原因来讲,软件本身的构架、某些产品的管理是建立在第三方平台上面的,就是说必须依赖某个平台,那么该平台的所有漏洞和弱点都将继承到该软件上面,无形中可能给网络的安全带来新的隐患,削弱了原有网络的安全性。 因此,在选择杀毒软件时,应该尽量选择企业自己独立开发的、不存在后门程序的产品。(文/北京瑞星科技股份有限公司 产品推广经理 史王禹) |
||||||||||||||||||||
