| 出版日期:2004-09-27 总期号:1351 本年期号:72 |
|
 |
组策略在企业反病毒管理中的应用
金山毒霸防病毒技术及策略论坛 现代企业越来越依赖于信息化的经营管理,而日益猖獗的病毒却时常威胁着企业的信息安全。为此,网络管理员耗费了大量精力在反病毒工作中,但是他们却时常遭遇这样的尴尬:精心制定的反病毒措施一方面不能满足某些部门的安全需求,而另一方面对其他部门意义不大,甚至于成为这些部门网络系统性能的瓶颈。其实出现这种情况的原因很简单,企业不同的部门机构或网络中不同子环境的安全需求都有差异,有针对性的反病毒部署才是上策。对此,企业反病毒有必要引入能够实现细分化、针对性的管理方式,而“组策略”的应用无疑能够满足这方面的需求。 什么是反病毒管理 “组策略” 说到这一点,很多人就会想到微软Windows活动目录中的组策略,然而我们这里讲的并不是这个概念。反病毒管理的“组策略”其实是一种对企业防毒体系众多节点(或终端)进行管理的方式,它首先强调的是受管理对象的差异性,即有针对性的反病毒部署;其次,统筹的理念也在其中得以体现,即对具有相同安全需求或相同系统环境的受管理对象进行统一管理。通俗地说,就是将反病毒体系中的客户端、服务器端等各节点进行分门归类、分而治之。 分组原则 企业拥有众多的部门机构、同时企业网络又有比较复杂的结构环境,如何将这两方面的反病毒需求完善地结合起来,是分组的基本原则,对此,可以做如下细分: 按域(或工作组)分组 针对目前企业网络多采用Windows操作系统,而各机构的网络多以域或工作组的形式组成,这种分组方式具有代表性。 按部门分组 一般来说,单个部门的安全需求比较统一,比较容易实现反病毒的同步配置。 按操作系统分组 不同的操作系统都有其系统特性,而一种操作系统的多个版本也有系统环境差异。比如,Windows98/Me就和基于NT的Windows操作系统的漏洞有很大差异,将装有不同版本的计算机分别成组显然更有利于管理。 根据Internet应用划分 对互联网的访问是企业网络系统受病毒感染的主要原因之一,可以将用户对Internet的应用作为反病毒分组划分的一个原则。比如对“可以无限制连接到Internet”、“可以上网浏览网页”、“只能收发Email”、“完全不存在任何Internet应用”四种用户类型群进行组的划分。 根据用户的工作性质划分 用户的工作性质很大程度上决定了其对反病毒需求的特点,比如开发人员可能要建立合适的开发环境,需要有更大自主管理权;而财务部门有企业的机要信息数据,需要更完善和严密的防护。 组内反病毒配置原则 组内相关安全措施的配置是企业反病毒“组策略”的另一个重要方面,我们一般从如下几方面考虑: 查杀病毒需求 根据组内系统环境的特点、易受感染的病毒种类设置具体查杀策略。 病毒防火墙及邮件防火墙的控制 根据在企业网络中的位置和Internet的应用不同,各组内计算机需要配置对病毒和邮件防火墙进行特定配置。 任务调度 一般来说,大多数用户都不会自己设置反病毒的任务调度,而作为反病毒工作可靠性的保证,有必要对这种任务调度进行针对性设置。 金山毒霸网络版 组策略介绍 金山毒霸网络版针对企业网络环境复杂、部门机构众多并且对反病毒需求存在差异性的特点,在统一管理的前提下以“组策略”实现管理细化。用户可根据需求按部门、用户工作性质、操作系统等划分标准自定义分组,并且针对不同的组实施不同病毒防护策略。同时,金山毒霸网络版实现了各组反病毒的准确定位。由于网络内各个组的管理和配置相对独立,网络管理员能够通过管理中心对特定组发出指令,避免了对整个网络其它部分的影响。通过组策略的应用,金山毒霸网络版真正实现了构建一个有效的、可管理的病毒防御体系的目标。 
金山毒霸网络版组策略应用示意图 |
||||||||||||||||||||||||||||||
