| 出版日期:2002-10-21 总期号:1161 本年期号:78 |
|
 |
建行“病”没了
McAfee AVD防毒套件立体化防护 李冬 针对建行“统一管理,分级维护;集中监控,多重防护”的总体目标,美国网络联盟公司在总行Internet的统一出口处安装了Internet网关病毒防护系统e500,过滤从Internet来的病毒;在服务器上安装Netshield服务器防病毒软件,清除服务器及其应用系统的病毒;在Notes服务器上安装GroupShield防病毒软件,保护内部邮件系统;在桌面端安装桌面端防病毒产品VirusScan,保护桌面不受病毒侵害;在企业内部安装、建立防病毒软件管理系统,最终形成一个立体的、统一完整的企业网病毒防护体系。 随着电子商务和金融业务电子化的发展,网络及应用系统已成为金融机构日常经营管理的基础平台。从某种意义上说,防范计算机病毒对网络系统的危害就是在防范经营风险。 为了最大限度地防范病毒危害,中国建设银行针对企业网的网络构造和应用环境,引进美国网络联盟公司的主动性病毒防御套件McAfee AVD及网关防病毒解决方案McAfee e500,建立了全方位、统一完整的企业网络防病毒体系,从桌面客户端、服务器、群件和网关上进行全方位、多层次的整体防护,有效保护了整个中国建行企业网,使其远离各种病毒攻击。 防病毒系统应用需求 伴随着业务的发展,中国建行选用IBM公司的Domino/Notes群件系统,基于Internet技术,建设完成了自己的全国性网络系统。建行内部网由总行、一级行、二级行组成三级网络架构,全行有3万多台个人用机,几千台各种服务器,电子邮件系统、信贷管理系统、人力资源系统、办公自动化系统等多个系统陆续投入运行。 为了能高效率防御病毒威胁,中国建行针对辖区范围广、计算机软件及操作系统种类多、网络结构复杂的特点,在部署企业网防病毒系统时,提出了“统一管理,分级维护;集中监控,多重防护”的总体目标要求。 全方位、多层次的整体防护 为了最大限度地防范病毒危害,有效分散风险,在建立企业网防病毒体系时,必须针对建行内部网的网络构造和应用环境,从客户端、服务器、群件及网关上进行全方位、多层次的整体防护。 制度管理与技术防护相结合 在建立计算机病毒防护系统的同时,需运用管理手段建立起企业内部病毒防治和运行管理的工作体系。通过有效的管理来确保防病毒系统的高效运行,使计算机病毒防治工作制度化。 采用最成熟的产品 鉴于建行企业网安全运行的重要性,防病毒方案设计应充分考虑防病毒产品技术上的成熟性,尽量选择大公司的成熟产品,如有在大银行、大企业长期稳定运行的成功案例,并具有我国公安部颁发的销售许可证。 
建行多层次防病毒体系拓扑图 先进性和可扩展性相结合 作为一个动态的发展过程,今天的防病毒系统必须具备充分的扩展能力,能接受明天病毒的挑战。在建立企业网防病毒系统时,要充分考虑系统采用技术的先进性和可扩展性,易于更新、扩充和升级,以确保系统的旺盛生命力。 先进性和可扩展性相结合 由于企业网防病毒工作涉及面广,日常运行维护量大,防病毒方案应便于工程实施、方便运行管理、简化用户操作。 充分利用现有资源 防病毒方案应充分考虑利用企业的现有资源,保护既有投资,尽量减少额外开销。同时,防病毒产品应与现有系统完全兼容,不能对现有系统软硬件提出太多的限制,更不能影响其正常运行。 安全与性能负载均衡 防病毒系统应针对病毒设防的各个层面,考虑病毒产品对系统和网络资源的占用情况。通过优化结构、灵活配置来达到安全与性能的负载均衡,在性能上使其对企业内的网络应用和最终用户的影响降至最低。 NAI方案全面满足需求 针对应用需求,在对防病毒系统进行严格评估之后,中国建行选择了美国网络联盟整体防病毒解决方案McAfee AVD。McAfee AVD是一个整体防病毒套件,具体包括: 针对桌面客户端的防病毒产品VirusScan支持多种操作系统,能对广大的用户群提供支持,同时集成功能强大的辅助技术,可自动保护系统免于崩溃和数据的意外丢失。 针对服务器的防病毒产品NetShield支持Novell、Win NT/2000和NetApp等多种操作系统,从直观的控制台保护整个企业的文件、应用程序和群件服务器,方便地从本地服务器或工作站监测、配置和执行远程服务。 GroupShield for Domino/Exchange 传统的反病毒产品不能对专有数据库内部及群件环境中使用的通信进行扫描,但群件服务器级的病毒防护功能对企业防止病毒的扩散十分重要。应用McAfee高级扫描技术的GroupShield,能有效防止病毒在信息传递过程中发作,有效查杀扩散到网络其他部分的病毒。 ePolicy Orchestrator(ePO) 提供企业内集中的防病毒软件管理、策略制定和分发、软件安装、产品配置、集中防病毒事件报告等功能。 SecureCast 作为网络联盟独特的Internet数据推送技术,SecureCast将病毒特征样本文件和病毒相关的消息主动推送到企业主机上,保证一旦有新病毒发现或有新病毒消息,企业的防病毒系统和NAI公司的最新病毒研究成果保持一致,使企业的防病毒系统保持最新的防病毒能力,保证病毒防护系统的动态抵御能力。 上述产品构成了全面的企业级防病毒体系架构,能帮助建行建立一个可操作和运行的防病毒系统,对桌面、文件服务器、群件服务器和互联网网关进行多层次的主动防御。 建行防病毒系统优势 多重病毒防护体系 在总行Internet的统一出口处,安装Internet网关病毒防护系统e500,过滤从Internet来的病毒,控制Internet病毒源。在服务器上安装Netshield服务器防病毒软件,清除服务器及其应用系统的病毒,切断病毒在内部的传播路径。在Notes服务器上安装GroupShield防病毒软件,保护内部邮件系统。在桌面端安装桌面端防病毒产品VirusScan,保护桌面不受病毒侵害。防病毒管理系统,在企业内部安装、建立防病毒软件管理系统,对所有客户端防病毒软件进行统一管理。 这样,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、统一完整的企业网病毒防护体系。 统一管理,分级维护 在建行企业网防病毒体系的总体结构中,整个防病毒系统分为总行、一级行、二级行三个层次,每一层次都部署ePO服务器,构成上、下级关系,上级行有查看、监控下级行的权限,从而实现集中监控、分级维护的策略。 ePO服务器对本部范围内的客户端、服务器、群件系统的防病毒情况进行全面集中的监控和管理,包括防病毒策略的集中配置、管理,防病毒系统的信息收集,病毒的感染、处理、爆发情况的统计,防病毒软件的部署情况,病毒定义码的更新及扫描引擎的升级等,并对下级行的ePO管理服务器进行集中监控。利用集中管理的方式,建行能在全行范围内部署升级体系,维护统一的升级策略,实现全行病毒定义码、扫描引擎的统一自动更新和升级。 高效率的升级体系 在总行建立全行的升级服务器,定期、自动地接受NAI病毒升级站点ftp.nai.com的最新的病毒定义码和扫描引擎;安装SecureCast ,接收从BackWeb推送来的数据;负责向McAfee反病毒紧急响应小组AVERT提交下级行提交上来的病毒样本,并根据AVERT的建议,采取相应的措施。一级行负责分发、管理、配置、安装和升级辖区内的防病毒软件,集中收集辖区内的病毒报警事件,及时向总行提交下级行提交上来的病毒样本,并根据总行的决定,采取相应的措施,比如是否进行病毒定义码的紧急更新等。二级行的升级依此类推。从而形成高效率的升级体系。 管理简单 效果显著 通过使用美国网络联盟的整体防病毒解决方案,建行成功部署了防病毒系统,切断了电子邮件、网络访问、移动介质等所有病毒传播途径和消除了发作机会,从而降低了因病毒引起的资料损失、性能损失、人工损失。能够简化防病毒体系的管理,从而节省了操作成本,及时获得了病毒告警和事件报告,能容易地扩展升级并迁移到新的防病毒技术。 建行自从去年上半年利用McAfee AVD部署全行的防病毒系统以来,成功抵御了包括红色代码、Nimda、求职信等病毒的攻击,确保了网络系统的正常运行。 |
||||||||||||||||||||||||
