最近,我单位购进了一批电脑设备,在各个部门间实现了联网。但是,随着办公自动化的实施,名目繁多的病毒接踵而来,实在令人头疼。于是,领导给我下达指示:一周内必须让病毒从我单位消失,否则扣你奖金。没办法,谁让我是网络管理员呢,也只能认倒霉了。正在自叹命苦之时,一个在网络公司上班的朋友打电话过来,不等其说话,我张口就问:快给我推荐一个防毒系统。朋友一听,二话没说,当天就给我安了一套AVD软件,效果还真不错。下面我就介绍一下我的心得体会,与广大读者分享。
一、为安全着想
为了摆脱病毒的威胁,企业必须在其系统内部署和实施整体的反病毒体系,将系统内所有的计算机全部武装起来,不给病毒以任何可乘之机。我单位大量使用计算机联网工作,但是所用的计算机软件、操作系统种类非常多,涉及UNIX、OS2、Windows95/98/NT/3.x、Notes和Novell等。为了使自己的内部网络能够远离病毒侵扰,我们需要防病毒软件能够部署在网络内的所有计算机上,在病毒的各个入口点进行防范,同时还要能够迅速升级,不但能够杀毒、防毒,还能在最短的时间内发现新病毒并在它还没有发作前将病毒杀死。作为网络防病毒,还需要一个强大的中央管理控制台,通过它对网络内的计算机进行软件安装和升级,对网络内的防病毒软件的运行情况进行监控,从而可以减轻网络管理员的工作量和随时掌握企业网络内的防病毒情况。NAI-美国网络联盟公司(Network Associates,Inc.)的反病毒产品McAfee全面防病毒体系AVD(McAfee Active Virus Defense)恰好为我单位解决了上述问题。
要解决病毒问题,首先要了解网络病毒的来源和侵入点,再制定专门的解决方案。我们选择的反病毒解决方案是AVD套件(Active Virus Defense),它通过一个集中控制的软件包提供一整套反病毒解决方案。使用AVD后,我们可以在网络的每一个接口抵御病毒和恶意小程序的入侵,有效保护网络中的台式机、服务器和Internet网关安全。
二、AVD软件的部署
1、软盘病毒的防御
AVD解决方案包括一个套装软件Virus Scan,它能够为网络内的台式机提供功能强大的高级桌面反病毒解决方案。在很多情况下,病毒都是通过软盘传入系统的,而Virus Scan可以对Windows3.l、Windows 95/98/2000和Windows NT的内部用户进行包括软盘、引导区、文件分配表和分区表、文件夹、文件和压缩文件等所有的子系统区域的扫描,并能精确清除文件、主引导区、分区表和内存中的病毒;另外,企业内部用户在上互联网进行下载时,难免会有一些恶意Java和ActiveX小程序对台式机造成破坏,而Virus Scan同样可以检测到。
2、服务器病毒的防御
套装软件NetShield为企业提供了基于NT、Netware、UNIX的文件服务器和应用程序服务器的保护。这些服务器位于企业网络的中心节点上,当服务器感染了病毒后,其感染文件就成了病毒感染的源头,对整个网络系统将造成扩散性的破坏。NAI提供的NetShield能够在服务器级别捕捉并清除病毒,安全地保护企业网络中的Netware服务器和Windows NT服务器。
3、邮件传播病毒的防御
群件服务器的反病毒解决方案GroupShield提供了基于Microsoft Exchange和Lotus Notes/Domino的群件服务器的保护。据统计,80%以上的病毒是通过电子邮件进行传播的。针对群件环境中病毒爆炸性扩散的挑战,我们使用了群件服务器的防病毒方案GroupShield,在服务器水平扫描清除受感染文件并有效地防止其散布,成功地保护了内部的E-mail通讯和Lotus Notes软件的应用。
4、互联网病毒防御
另外一个套装软件是Internet网关的反病毒解决方案WebShield。单位的内部网络接人互联网后,在充分享受Internet无穷信息资源和无限网络交流的同时,从网络下载文档却极易感染病毒并通过企业内部网络传输到各个用户终端,直接威胁内部网络的安全。为了彻底断绝Internet病毒入侵内部网络的途径,我们在Internet的出口处安装了WebShield,用来过滤从Internet进人的病毒,控制Internet病毒源。WebShield扫描所有在Internet和内部网之间传送的HTTP、FTP和SMTP的内容,在病毒和破坏性的Java和ActiveX程序攻击用户前就能对其进行有效封杀。
三、实施方案
AVD的核心是防病毒管理系统EPO(ePolicy Orchestrator),它包括管理控制台、管理服务器、病毒软件库等组成部分,可以在网络上远程安装、配置、管理、升级和删除防病毒软件,减少了在庞大的网络中安装和管理防病毒软件的时间,保证网络运行的不间断,实现及时、有效和高效地分发防病毒数据。
1、EPO的安装
首先在一台Windows NT Server主机上安装AVD的管理员控制台软件EPO,这个安装过程很简单,只需要按照系统的提示进行操作即可。然后进行Securecast的安装,它工作于Windows NT平台上。
2、软件库的安装
安装完EPO控制台后,启动EPO管理员控制台,选用EPO管理员控制台的软件安装工具把客户端的软件Virus Scan、NetShield等安装在控制台的软件库中。
3、客户端软件的安装
在EPO的管理员控制台上可以通过网络在所有的客户端上安装防病毒软件Virus Scan或NetShield,不需要到客户端去安装,也不需要客户端用户做任何工作,大大简化了软件的安装工作。
4、防病毒软件的策略制定
在所有的客户端安装完防病毒软件后,接下来的工作就是为客户端的防病毒软件制定策略,主要包括客户端和服务器通信的时间间隔、客户端的病毒代码、扫描引擎、软件版本的升级时间、升级文件的位置以及客户端防病毒软件的扫描策略等。
接下来,防病毒软件对病毒的检测、清除、升级等工作就全部自动完成,同时客户端自动把防病毒软件的工作情况上报给EPO管理员控制台,管理员可以通过EPO管理员控制台来查看当前或过去一段时间单位防病毒运行情况。
四、实施效果
我单位在选用了该防病毒整体解决方案后,通过中央控制台EPO集中分发病毒样本更新数据,保证整个单位内防病毒能力永远是最新的;同时集中收集域管理机器的病毒扫描状态和病毒事件报告,可以一目了然地看到企业内所有机器的防病毒软件的安装、运行情况,保证整个企业防病毒系统的一致性;通过病毒特征样本文件的自动更新,整个企业内的防病毒系统具有动态防御能力,能够防御新发现的病毒和目前未知的病毒,并随着样本文件和引擎的升级,防病毒能力逐步加强。由于所有的维护工作都在管理员控制台上完成,不需要网络管理员到每个客户端去操作,大大简化了系统的维护时间和复杂性,使得网络管理员可以集中精力去做其它的事情。
