摘 要： 分析了一般企業(yè)的網(wǎng)絡(luò)應(yīng)用及網(wǎng)絡(luò)安全現(xiàn)狀，列舉了企業(yè)網(wǎng)絡(luò)中常見的病毒種類、病毒傳播方式以及企業(yè)防病毒的通常需求?；谄髽I(yè)防病毒解決方案設(shè)計(jì)的9個(gè)原則，實(shí)際采用了防火墻、上網(wǎng)行為管理、三層交換機(jī)、郵件防病毒插件、防病毒預(yù)警系統(tǒng)等措施，實(shí)踐表明，這些措施對(duì)企業(yè)局域網(wǎng)病毒的防范有較好的效果。

關(guān)鍵詞： 網(wǎng)絡(luò)病毒； 病毒防范； 局域網(wǎng)； 企業(yè)網(wǎng)絡(luò)

中圖分類號(hào)：TP393.081 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1006-8228（2013）07-24-04

0 引言

網(wǎng)絡(luò)病毒的傳播方式各種各樣，有的是由于系統(tǒng)缺陷或軟件漏洞被黑客攻陷，有的則是人們使用了帶病毒的存儲(chǔ)器或訪問了帶病毒的網(wǎng)站。電子郵件也是病毒的極好載體，通過郵件的收發(fā)病毒可被迅速傳播，并且能夠快速地?cái)U(kuò)散。

對(duì)于企業(yè)來說，黑客的入侵、信息的被竊取與被篡改，以及帶病毒信息的傳播，都會(huì)危及企業(yè)的信息安全。企業(yè)網(wǎng)絡(luò)管理得好，可以提高企業(yè)的工作和生產(chǎn)效率，否則會(huì)影響正常的工作秩序，甚至給企業(yè)帶來重大或致命的損失。

據(jù)國外統(tǒng)計(jì)，計(jì)算機(jī)病毒正在以10種/周的速度遞增，而據(jù)我國公安部的統(tǒng)計(jì)，國內(nèi)計(jì)算機(jī)病毒也正在以4至6種/月的速度遞增[1]。

因此，面對(duì)日益增多的計(jì)算機(jī)病毒和網(wǎng)絡(luò)黑客的入侵，進(jìn)行有效的預(yù)防和防范，以保護(hù)企業(yè)網(wǎng)絡(luò)信息資源十分重要。

1 企業(yè)內(nèi)網(wǎng)防病毒現(xiàn)狀及存在的問題

要建立企業(yè)有效的防病毒安全網(wǎng)絡(luò)系統(tǒng)，首先應(yīng)了解目前企業(yè)的網(wǎng)絡(luò)系統(tǒng)狀況，然后才能根據(jù)企業(yè)信息化發(fā)展的實(shí)際需求，做出合理和高性價(jià)比的防病毒安全網(wǎng)絡(luò)系統(tǒng)方案。

1.1 企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析

一般企業(yè)雖然都有防火墻作內(nèi)網(wǎng)的網(wǎng)絡(luò)保護(hù)，但網(wǎng)絡(luò)的許多新應(yīng)用已經(jīng)拋棄了陳舊的防火墻架構(gòu)，比如聊天、視頻、文件傳輸，這些應(yīng)用程序都需要在Web上運(yùn)行，黑客之所以攻擊這些目標(biāo)就是因?yàn)檫@些流量對(duì)于防火墻來說是不可見的，并且看起來是類似合法的[2]。

過去的十幾年中，在網(wǎng)絡(luò)安全領(lǐng)域，狀態(tài)防火墻一直是處于第一道防線上。它就像是管理端口和協(xié)議的交通警察，在網(wǎng)絡(luò)工程師制定的成千上萬條規(guī)則的基礎(chǔ)上，為流量采取最恰當(dāng)?shù)拇胧?。?dāng)?shù)筒呗缘姆阑饓υO(shè)備已不能抵擋一些新型網(wǎng)絡(luò)病毒的攻擊時(shí)，它的局限性就很明顯了。

1.2 企業(yè)防病毒現(xiàn)狀及問題

在許多企業(yè)中，企業(yè)網(wǎng)絡(luò)只以防火墻設(shè)備來抵抗外來者的入侵和攻擊，員工計(jì)算機(jī)也只采用單機(jī)版的殺毒軟件來保護(hù)計(jì)算機(jī)不被病毒感染，而單靠這幾種簡單措施是不能有效防范網(wǎng)絡(luò)病毒侵襲的。企業(yè)網(wǎng)絡(luò)中存在的病毒類型主要有：

⑴ 引導(dǎo)型病毒；

⑵ 宏病毒；

⑶ 文件型病毒；

⑷ 蠕蟲病毒；

⑸ 木馬病毒；

⑹ 惡意插件及惡意程序。

這些病毒對(duì)企業(yè)員工的計(jì)算機(jī)造成了極大的影響，嚴(yán)重的會(huì)使文件、數(shù)據(jù)丟失和系統(tǒng)崩潰。下面就企業(yè)防病毒中主要存在的問題作一分析。

1.2.1 企業(yè)網(wǎng)絡(luò)查殺病毒能力差

一般企業(yè)由于沒有使用統(tǒng)一的網(wǎng)絡(luò)殺毒軟件，所以就很難對(duì)企業(yè)內(nèi)網(wǎng)形成有效的防護(hù)和監(jiān)管。同時(shí)由于計(jì)算機(jī)使用人員的水平不一，他們對(duì)病毒的防范和處置能力也不一樣，一旦等到網(wǎng)絡(luò)管理人員發(fā)現(xiàn)病毒暴發(fā)或蔓延時(shí)，病毒實(shí)際上已擴(kuò)散到整個(gè)局域網(wǎng)中了。

1.2.2 企業(yè)郵件服務(wù)器受病毒的影響

電子郵件是企業(yè)員工進(jìn)行信息傳遞最常用的工具之一。

造成電子郵件不安全的原因有：一是包括郵件服務(wù)器在內(nèi)的網(wǎng)絡(luò)安全系統(tǒng)受到攻擊（如利用垃圾郵件、病毒郵件或“釣魚”郵件）；二是電子郵件本身受到攻擊（如盜用發(fā)件人電子郵件賬號(hào)、竊取或篡改郵件內(nèi)容）。

郵件服務(wù)器若無防病毒監(jiān)控，則容易出現(xiàn)大量的垃圾郵件。接收一封帶有病毒的電子郵件后，不但該計(jì)算機(jī)會(huì)中病毒，而且當(dāng)轉(zhuǎn)發(fā)郵件后，病毒還會(huì)迅速傳播給其他人，輕則會(huì)造成文件打不開，嚴(yán)重時(shí)計(jì)算機(jī)中相應(yīng)的文件都會(huì)被感染或受損。

1.2.3 計(jì)算機(jī)系統(tǒng)漏洞管理弱

系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計(jì)上的缺陷或在編寫時(shí)產(chǎn)生的錯(cuò)誤，這種缺陷或錯(cuò)誤有可能被不法者或電腦黑客所利用，通過植入木馬、病毒等方式來攻擊或控制整個(gè)電腦，竊取電腦中的重要資料和信息，甚至破壞整個(gè)系統(tǒng)[3]。

網(wǎng)絡(luò)病毒往往通過系統(tǒng)漏洞展開攻擊，企業(yè)若對(duì)每臺(tái)計(jì)算機(jī)的系統(tǒng)漏洞沒有一種統(tǒng)一管理，那么這種狀況下引發(fā)的病毒就不能得到很好的監(jiān)控。

2 網(wǎng)絡(luò)病毒分析

計(jì)算機(jī)病毒是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)、影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”[4]。它雖然只是一組指令或代碼，但其具有的危害性相當(dāng)大，它可以具有較強(qiáng)的寄生性、隱蔽性、可傳染性和相當(dāng)大的破壞力。

此外，在網(wǎng)絡(luò)發(fā)展的同時(shí)，病毒也在發(fā)展，現(xiàn)在的病毒已經(jīng)不是傳統(tǒng)意義上的單一病毒了，它們往往是一個(gè)病毒載體身兼數(shù)職，其自身就是文件型、木馬型、漏洞型和郵件型的混合體，這樣的病毒危害性更大，查殺起來也更困難。

2.1 網(wǎng)絡(luò)病毒常見種類

木馬病毒 它是一種后門程序，一般會(huì)潛伏在操作系統(tǒng)之中，具有較強(qiáng)的隱蔽性。它不會(huì)自我繁殖，也不“刻意”地去感染其他文件。它的目的是竊取用戶的資料，以使施種者可以任意毀壞、竊取被種者的文件，如帳號(hào)、密碼等，它甚至可以遠(yuǎn)程操控被種者的電腦[5]。

蠕蟲病毒 它會(huì)利用操作系統(tǒng)和程序的漏洞主動(dòng)發(fā)起攻擊，每一個(gè)蠕蟲都有一個(gè)能夠掃描到計(jì)算機(jī)漏洞的模塊，一旦它發(fā)現(xiàn)了漏洞就會(huì)立刻傳播出去，這就是它危害性極大的根本原因[6]。蠕蟲可以在感染一臺(tái)計(jì)算機(jī)后，再通過局域網(wǎng)感染網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)。被感染后的網(wǎng)絡(luò)會(huì)因?yàn)槿湎x發(fā)送的大量數(shù)據(jù)包而使網(wǎng)速異常緩慢，計(jì)算機(jī)會(huì)因?yàn)镃PU、內(nèi)存占用過高而導(dǎo)致死機(jī)。

2.2 網(wǎng)絡(luò)病毒傳播方式

網(wǎng)絡(luò)病毒是指通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播的病毒。它主要是通過網(wǎng)絡(luò)的服務(wù)器訪問、電子郵件收發(fā)，以及FTP文件交換、磁盤文件共享與交換等形式進(jìn)行傳播。

2.2.1 通過系統(tǒng)漏洞傳播

在Windows操作系統(tǒng)中，漏洞型病毒的傳播最為廣泛。由于Windows操作系統(tǒng)內(nèi)部存在著漏洞，即使用戶沒有運(yùn)行不安全的軟件或者打開有安全隱患的連接，漏洞型病毒也會(huì)利用這些漏洞對(duì)計(jì)算機(jī)發(fā)起攻擊。2004年風(fēng)靡的“沖擊波”和“震蕩波”病毒就是漏洞型病毒的一種，它們?cè)斐闪巳澜绱罅烤W(wǎng)絡(luò)計(jì)算機(jī)的癱瘓，由此也給全世界造成了巨大的經(jīng)濟(jì)損失。

2.2.2 通過服務(wù)器傳播

這類病毒是利用一些常見的漏洞來獲得遠(yuǎn)程服務(wù)器主機(jī)的控制權(quán)，然后，病毒可以隨意傳染至服務(wù)器，再通過服務(wù)器，將病毒傳染至訪問該服務(wù)器的客戶機(jī)。還有些病毒可以在局域網(wǎng)內(nèi)搜索FTP，并向上傳送帶病毒文件，然后再利用欺騙手段欺騙用戶下載運(yùn)行。

2.2.3 通過郵件傳播

郵件型病毒是通過電子郵件傳播的病毒。它一般會(huì)隱藏在郵件的附件之中，用偽造虛假的信息，誘騙用戶打開或者下載附件，從而感染病毒。郵件型病毒甚至可以通過瀏覽器的漏洞進(jìn)行傳播，也就是說，即使用戶僅僅是查看了郵件內(nèi)容，而沒有打開郵件中的病毒附件，病毒也可以入侵計(jì)算機(jī)。

2.3 企業(yè)內(nèi)網(wǎng)的病毒傳播特點(diǎn)

在企業(yè)局域網(wǎng)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可觸發(fā)性、可執(zhí)行性、可傳播性和破壞性等計(jì)算機(jī)病毒的共性外，它們還具有一些新的特點(diǎn)[7]。

⑴ 感染速度快：在單機(jī)環(huán)境下，病毒只能通過存貯介質(zhì)從一臺(tái)計(jì)算機(jī)帶到另一臺(tái)，而在網(wǎng)絡(luò)中，它則可以通過網(wǎng)絡(luò)通訊機(jī)制進(jìn)行迅速擴(kuò)散。根據(jù)測(cè)定，正常使用的網(wǎng)絡(luò)情況下，只要有一臺(tái)計(jì)算機(jī)有病毒，它就可在幾十分鐘內(nèi)將網(wǎng)上的數(shù)百臺(tái)計(jì)算機(jī)全部感染。

⑵ 擴(kuò)散面廣：由于病毒在網(wǎng)絡(luò)中擴(kuò)散非常快，擴(kuò)散范圍很大，它不但能迅速傳染局域網(wǎng)內(nèi)的所有計(jì)算機(jī)，它還能通過遠(yuǎn)程服務(wù)器將病毒在瞬間傳播到千里之外。

⑶ 傳播形式復(fù)雜多樣：計(jì)算機(jī)病毒在網(wǎng)絡(luò)上一般是通過“工作站—服務(wù)器—工作站”的途徑進(jìn)行傳播的，但傳播的形式復(fù)雜多樣。

⑷ 難于徹底清除：單機(jī)上的計(jì)算機(jī)病毒有時(shí)可通過刪除帶毒文件、低級(jí)格式化硬盤等措施將病毒徹底清除，而網(wǎng)絡(luò)中，只要有一臺(tái)計(jì)算機(jī)未能殺毒干凈，就可能使整個(gè)網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成殺毒的一臺(tái)計(jì)算機(jī)，就有可能立刻被網(wǎng)上另一臺(tái)帶毒計(jì)算機(jī)所感染。因此，僅對(duì)單臺(tái)計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)病毒殺毒并不能徹底解決病毒對(duì)整個(gè)網(wǎng)絡(luò)的危害。

⑸ 破壞性大：網(wǎng)絡(luò)病毒將直接影響網(wǎng)絡(luò)的運(yùn)行，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰，破壞服務(wù)器信息，使一個(gè)企業(yè)多年的信息化成果毀于一旦。

⑹ 潛在性：網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被清除，其潛在的危險(xiǎn)性也是巨大的。根據(jù)統(tǒng)計(jì)，病毒在網(wǎng)絡(luò)上被清除后，85%的網(wǎng)絡(luò)會(huì)在30天內(nèi)被再次感染。

2.3.1 郵件傳播特點(diǎn)

在企業(yè)局域網(wǎng)中，病毒的第一大傳播來源是電子郵件。若企業(yè)郵件系統(tǒng)缺少對(duì)郵件病毒的防范控制，加上很多用戶在接收外部郵件后，沒有對(duì)附件進(jìn)行病毒查殺即直接打開，或在不知情的狀態(tài)下轉(zhuǎn)發(fā)郵件，結(jié)果就會(huì)導(dǎo)致自己和他人的計(jì)算機(jī)被大面積感染。有的郵件病毒還會(huì)自動(dòng)轉(zhuǎn)發(fā)和群發(fā)，也會(huì)造成企業(yè)內(nèi)網(wǎng)計(jì)算機(jī)的集體中毒。

2.3.2 移動(dòng)介質(zhì)傳播特點(diǎn)

目前移動(dòng)硬盤、U盤的成本在不斷下降，而容量卻在不斷增大。它們的大容量和攜帶方便，使得它們的使用頻率大大增加，但隨之而來的是，它們也成了企業(yè)的另一大病毒傳播途徑。

2.3.3 訪問網(wǎng)頁傳播特點(diǎn)

由于現(xiàn)在許多企業(yè)都實(shí)現(xiàn)了辦公計(jì)算機(jī)化和網(wǎng)絡(luò)化，計(jì)算機(jī)訪問互聯(lián)網(wǎng)的頻率也很高。一些網(wǎng)站出于不同的目的，會(huì)在網(wǎng)頁代碼和下載軟件中放入病毒，用戶的計(jì)算機(jī)在訪問時(shí)，由于瀏覽器的安全設(shè)置不完善，會(huì)出現(xiàn)瀏覽器主頁被更改、設(shè)置選項(xiàng)被鎖定等現(xiàn)象。有的病毒進(jìn)入計(jì)算機(jī)后，使得計(jì)算機(jī)速度變得很慢，甚至無法工作。這種形式正逐漸成為企業(yè)的又一主要的病毒來源，并且，隨著時(shí)間的推移，有發(fā)展成為第一大病毒來源的趨勢(shì)。

2.3.4 即時(shí)通訊軟件傳播特點(diǎn)

企業(yè)員工對(duì)內(nèi)或?qū)ν饨涣魇褂眉磿r(shí)通訊軟件（QQ等）的比較普遍。由于這種通訊方式傳輸文件的方便性和即時(shí)性，故它的使用率非常高。同時(shí)由于計(jì)算機(jī)上針對(duì)這種方式的防病毒能力不強(qiáng)，故在接收文件的同時(shí)，病毒也容易被帶入計(jì)算機(jī)中，并在局域網(wǎng)中進(jìn)行傳播，目前這種途徑已是企業(yè)的第四大病毒來源。

3 企業(yè)防病毒需求分析

在全球網(wǎng)絡(luò)病毒日益猖獗的今天，企業(yè)采取必要的網(wǎng)絡(luò)安全防范措施是非常重要的，它有利于保障企業(yè)計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)信息的安全，因此也成了企業(yè)局域網(wǎng)建設(shè)必不可少的重要內(nèi)容。

3.1 “加高”防火墻，增強(qiáng)服務(wù)器防病毒能力

在企業(yè)網(wǎng)絡(luò)中，防火墻所起的作用是非常重要的。但是，只有當(dāng)防火墻成為內(nèi)部和外部網(wǎng)絡(luò)之間通信的惟一通道時(shí)，它才可以全面、有效地保護(hù)企業(yè)內(nèi)網(wǎng)不受侵害，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪。

有些企業(yè)雖然已有防火墻設(shè)備，但隨著攻擊變得越來越復(fù)雜，一些陳舊的防火墻設(shè)備也應(yīng)該不斷更新。只有這樣，才能更主動(dòng)地阻止新的威脅。

3.2 提升郵件服務(wù)器防病毒能力

企業(yè)郵件服務(wù)器病毒防范能力薄弱，病毒郵件量、垃圾郵件量越來越多，企業(yè)員工就需要花費(fèi)大量的時(shí)間去接收、識(shí)別、清理郵件，而且一不小心就會(huì)中了郵件帶來的病毒，這些都將嚴(yán)重影響企業(yè)的信息安全和工作效率。

一個(gè)完整的企業(yè)郵箱服務(wù)系統(tǒng)應(yīng)該包含郵件收發(fā)系統(tǒng)、反垃圾郵件系統(tǒng)、反病毒系統(tǒng)和郵件歸檔備份系統(tǒng)，這些是郵件服務(wù)器所必備的，也是企業(yè)需加強(qiáng)和改進(jìn)的[8]。

3.3 提高網(wǎng)絡(luò)殺毒軟件性能

防火墻是一種網(wǎng)絡(luò)隔離控制技術(shù)，它不能有效地防御來自網(wǎng)絡(luò)內(nèi)部的病毒攻擊。當(dāng)企業(yè)內(nèi)網(wǎng)已感染病毒時(shí)，則需要靠殺毒軟件來查殺。故如何及時(shí)有效地防治、控制、清除企業(yè)局域網(wǎng)中的病毒，這也是企業(yè)對(duì)網(wǎng)絡(luò)病毒防范的一個(gè)重點(diǎn)。

安全軟件是主動(dòng)防御系統(tǒng)的一個(gè)發(fā)展方向，它能夠自動(dòng)實(shí)現(xiàn)對(duì)未知威脅的攔截和清除，而不需要用戶去關(guān)注防御的具體細(xì)節(jié)，它還能夠進(jìn)行殺毒軟件的主動(dòng)更新、主動(dòng)漏洞掃描和修復(fù)、以及對(duì)病毒的自動(dòng)處理等。

企業(yè)有一套安全可靠的網(wǎng)絡(luò)版殺毒軟件，就能對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中管理，及時(shí)地掌握網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的病毒監(jiān)測(cè)狀態(tài)，及時(shí)發(fā)現(xiàn)病毒并加以清除。這樣，在實(shí)際工作中既可方便網(wǎng)絡(luò)管理員，又能在最大程度上減少整個(gè)網(wǎng)絡(luò)的安全漏洞。

3.4 加強(qiáng)企業(yè)網(wǎng)絡(luò)管理能力

3.4.1 建立病毒預(yù)警、漏洞管理機(jī)制

病毒傳播途徑主要是網(wǎng)絡(luò)，所以需主動(dòng)地去發(fā)現(xiàn)通過網(wǎng)絡(luò)傳播的惡意病毒代碼，并對(duì)傳播這種代碼的源頭進(jìn)行處理。對(duì)代碼的種類進(jìn)行收集、分析和統(tǒng)計(jì)，借助于網(wǎng)絡(luò)病毒預(yù)警系統(tǒng)掌握病毒疫情分布情況，這樣可以為企業(yè)網(wǎng)絡(luò)管理員提供準(zhǔn)確的病毒疫情，從而保證病毒防治具有針對(duì)性和科學(xué)性，減少盲目性。

針對(duì)漏洞型病毒，最根本的辦法就是安裝補(bǔ)丁以消除漏洞，因此，補(bǔ)丁管理也需要十分及時(shí)。如果補(bǔ)丁管理工作晚于病毒的攻擊，那么企業(yè)就有可能因此而遭受傷害。

值得指出的是，在實(shí)際的企業(yè)局域網(wǎng)中，計(jì)算機(jī)配置的檔次高低各異，操作系統(tǒng)和應(yīng)用軟件千差萬別，網(wǎng)絡(luò)管理員要想同時(shí)對(duì)幾十甚至幾百臺(tái)計(jì)算機(jī)及時(shí)快速地打上新補(bǔ)丁幾乎是不可能的，因此，建立一整套的病毒預(yù)警體系和漏洞管理機(jī)制是十分必要的。

3.4.2 阻斷網(wǎng)絡(luò)資源濫用

在對(duì)企業(yè)的調(diào)查中發(fā)現(xiàn)，員工的上網(wǎng)速度變慢，其原因除了計(jì)算機(jī)感染病毒和外部攻擊外，也有一部分是由于員工自身不良的上網(wǎng)行為，如上班時(shí)經(jīng)常瀏覽跟工作無關(guān)的網(wǎng)站，占用了大量的網(wǎng)絡(luò)帶寬，嚴(yán)重影響了整個(gè)網(wǎng)絡(luò)的運(yùn)行。同時(shí)，不良的上網(wǎng)行為也增加了病毒的侵入機(jī)會(huì)，可能造成企業(yè)網(wǎng)絡(luò)病毒感染率的上升。所以對(duì)企業(yè)員工的上網(wǎng)行為也需要通過阻斷這種網(wǎng)絡(luò)資源的濫用來加強(qiáng)管理。

3.5 提高企業(yè)員工防病毒能力

雖然很多企業(yè)都有一套較完整的計(jì)算機(jī)防病毒管理制度，但有的員工防病毒意識(shí)仍然不強(qiáng)，有的制度形同虛設(shè)。針對(duì)這種情況，企業(yè)應(yīng)著重加強(qiáng)對(duì)員工計(jì)算機(jī)防病毒意識(shí)的教育，培養(yǎng)員工使用計(jì)算機(jī)的良好習(xí)慣，自覺地在使用外來移動(dòng)介質(zhì)（U盤、移動(dòng)硬盤等）之前進(jìn)行檢查，不輕易使用網(wǎng)上下載的軟件。另外，在企業(yè)局域網(wǎng)中使用的軟件，也應(yīng)做到統(tǒng)一規(guī)范管理，企業(yè)還應(yīng)加強(qiáng)對(duì)員工使用權(quán)限的管理，嚴(yán)格做到一人一權(quán)限。

4 企業(yè)防病毒策略

為了企業(yè)局域網(wǎng)的安全，在做企業(yè)防病毒策略方案時(shí)，應(yīng)遵循國際上的一些標(biāo)準(zhǔn)和我國對(duì)計(jì)算機(jī)病毒防治的管理辦法，并充分利用企業(yè)原有的防病毒系統(tǒng)，以減少整個(gè)防病毒系統(tǒng)的設(shè)計(jì)風(fēng)險(xiǎn)和實(shí)施風(fēng)險(xiǎn)。

4.1 企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全原則

國際上對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的信息安全管理系統(tǒng)制定有相應(yīng)的標(biāo)準(zhǔn)，我國2000年發(fā)布施行的《計(jì)算機(jī)病毒防治管理辦法》也對(duì)計(jì)算機(jī)病毒防治管理作了詳細(xì)的規(guī)定，這些標(biāo)準(zhǔn)和辦法都是在綜合考慮各種因素后制定的，因而具有一定的可實(shí)施性、可擴(kuò)展性和完備性與均衡性，它們都遵循著網(wǎng)絡(luò)安全的基本原則。

網(wǎng)絡(luò)安全防范體系在整體設(shè)計(jì)過程中應(yīng)遵循以下9項(xiàng)原則[9]：

⑴ 網(wǎng)絡(luò)信息安全的木桶原則；

⑵ 網(wǎng)絡(luò)信息安全的整體性原則；

⑶ 安全性評(píng)價(jià)與平衡原則；

⑷ 標(biāo)準(zhǔn)化與一致性原則；

⑸ 技術(shù)與管理相結(jié)合原則；

⑹ 統(tǒng)籌規(guī)劃，分步實(shí)施原則；

⑺ 等級(jí)性原則；

⑻ 動(dòng)態(tài)發(fā)展原則；

⑼ 易操作性原則。

4.2 企業(yè)局域網(wǎng)防病毒安全策略

企業(yè)防病毒安全體系可采用多層次防范，通過防火墻、服務(wù)器防護(hù)、防毒預(yù)警和殺病毒軟件等一系列的管理和監(jiān)控，使企業(yè)的防病毒系統(tǒng)更具有科學(xué)性和合理性。

企業(yè)防病毒安全系統(tǒng)可采用下列產(chǎn)品來實(shí)現(xiàn)：防火墻、上網(wǎng)行為管理、三層交換機(jī)、郵件服務(wù)器防病毒插件（含反垃圾軟件）、防病毒預(yù)警系統(tǒng)和網(wǎng)絡(luò)版殺毒系統(tǒng)。

5 企業(yè)防病毒策略的實(shí)施

5.1 防火墻、上網(wǎng)行為管理的布署

防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障。我們?cè)谧龇桨笗r(shí)考慮到了以下幾點(diǎn)：

⑴ 防火墻的架構(gòu)采用硬件體系；

⑵ 防火墻要求的并發(fā)會(huì)話數(shù)量；

⑶ 外部訪問的類型和范圍要求；

⑷ 需要的VPN（虛擬專用網(wǎng)）協(xié)議數(shù)量和類型；

⑸ 喜歡的管理用戶界面。

我們?cè)趯?shí)踐中選用了新一代的防火墻設(shè)備，它不但具有基礎(chǔ)的網(wǎng)絡(luò)安全功能，而且還可以針對(duì)一個(gè)入侵行為中的各種技術(shù)手段，進(jìn)行統(tǒng)一的檢測(cè)和防護(hù)。

我們選用的上網(wǎng)行為管理設(shè)備，能夠很好地對(duì)局域網(wǎng)內(nèi)每臺(tái)計(jì)算機(jī)的上網(wǎng)行為進(jìn)行精準(zhǔn)識(shí)別，對(duì)用戶的流量、P2P下載等進(jìn)行策略設(shè)置，方便地實(shí)現(xiàn)上網(wǎng)權(quán)限的靈活分配，有效防止了企業(yè)有限帶寬的資源濫用，保障了企業(yè)OA、ERP等系統(tǒng)的應(yīng)用能獲得足夠的帶寬支持。同時(shí)該設(shè)備還可防御DOS攻擊、ARP欺騙等惡意威脅，并具有網(wǎng)關(guān)殺毒功能，阻擋病毒進(jìn)入局域網(wǎng)。

5.2 三層交換機(jī)布署

三層交換機(jī)在企業(yè)網(wǎng)絡(luò)設(shè)備中起到了“中流砥柱”的作用，若一個(gè)網(wǎng)絡(luò)中，幾百臺(tái)計(jì)算機(jī)都在一個(gè)子網(wǎng)中，就會(huì)毫無安全可言，同時(shí)也會(huì)因?yàn)闊o法分割廣播域而無法隔離廣播風(fēng)暴。

為了避免在交換機(jī)上進(jìn)行廣播所引起的廣播風(fēng)暴，我們將三層交換機(jī)設(shè)備在局域網(wǎng)中作VLAN劃分，考慮到企業(yè)局域網(wǎng)安全和應(yīng)用的需要，對(duì)不需要上外網(wǎng)的網(wǎng)段進(jìn)行禁用外網(wǎng)的設(shè)置，以保證網(wǎng)絡(luò)的安全。

5.3 郵件服務(wù)器防病毒的布署

為了更有效地防范病毒郵件，我們?cè)卩]件服務(wù)器軟件中增加垃圾郵件過濾和封鎖以及反病毒插件，使郵件到達(dá)郵件服務(wù)器時(shí)便對(duì)郵件的正文和附件進(jìn)行病毒掃描，一旦發(fā)現(xiàn)問題，就拒絕接收該郵件，這樣，在郵件處理的最初就能截?cái)嗖《镜脑搭^。

通過配置安全選項(xiàng)，極大地提高了員工的郵件安全，保障了郵件用戶最小限度地遭受惡意宣傳郵件、垃圾郵件、病毒郵件的騷擾和攻擊，同時(shí)也減輕了管理員防治病毒的工作壓力。

5.4 防病毒預(yù)警系統(tǒng)和網(wǎng)絡(luò)殺毒軟件布署

企業(yè)局域網(wǎng)安裝網(wǎng)絡(luò)版防病毒軟件系統(tǒng)，通過服務(wù)器就可實(shí)現(xiàn)對(duì)所有局域網(wǎng)終端電腦進(jìn)行病毒查殺及系統(tǒng)軟件的補(bǔ)丁安裝。

使用網(wǎng)絡(luò)版防病毒軟件，網(wǎng)絡(luò)管理員可以通過聯(lián)網(wǎng)的任意一臺(tái)計(jì)算機(jī)，對(duì)一個(gè)客戶端、一個(gè)工作組或整個(gè)局域網(wǎng)進(jìn)行各種日常操作。同時(shí)，客戶端在發(fā)現(xiàn)病毒后，也會(huì)將相關(guān)信息上報(bào)至中心服務(wù)器，以使管理員能在第一時(shí)間掌握局域網(wǎng)內(nèi)的病毒發(fā)生情況并加以處理。

6 結(jié)束語

我們的局域網(wǎng)防病毒解決方案，實(shí)施效果良好，局域網(wǎng)內(nèi)的病毒大大減少，企業(yè)的帶寬得到了合理分配和使用，企業(yè)信息化管理系統(tǒng)在使用中的網(wǎng)速提升較為明顯，網(wǎng)絡(luò)管理員了解和控制整個(gè)內(nèi)網(wǎng)中的病毒情況也變得更為方便、及時(shí)和準(zhǔn)確，企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)信息也變得更為安全了。

企業(yè)防病毒工作是一項(xiàng)需要長期堅(jiān)持和全體員工共同參與的系統(tǒng)工程，是以技術(shù)為基礎(chǔ)，制度為規(guī)范的工作，企業(yè)必須嚴(yán)格執(zhí)行有關(guān)計(jì)算機(jī)病毒防治的規(guī)章制度，才能使企業(yè)防病毒工作做得更扎實(shí)、有效。

參考文獻(xiàn)：

[1] 陳立新.計(jì)算機(jī)病毒防治百事通[M].清華大學(xué)出版社，2000.

[2] IT專家網(wǎng).下一代防火墻何時(shí)會(huì)替換現(xiàn)有防火墻？[OL].（2010-10-01）.〔2013-03-28〕.http：//security.ctocio.com.cn/402/11570902.shtml

[3] 百度百科.系統(tǒng)漏洞[OL].〔2013-03-28〕.http：//baike.baidu.com/view/600475.htm

[4] 中華人民共和國國務(wù)院. 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 [EB/OL].（1994-02-18）.〔2013-03-28〕.http：//www.mps.gov.cn/n16/n1282/n3493/n3778/n492863/493042.html

[5] 百度百科.木馬病毒[OL].〔2013-03-28〕. http：//baike.baidu.com/view/16873.htm

[6] 百度百科.蠕蟲病毒[OL].〔2013-03-28〕. http：//baike.baidu.com/view/226576.htm

[7] 姜文超.企業(yè)內(nèi)網(wǎng)防毒策略設(shè)計(jì)與實(shí)現(xiàn)[D].大連交通大學(xué)，2009：1-52

[8] 汪余宏.企業(yè)郵箱構(gòu)建的新背景與MDaemon應(yīng)用實(shí)踐[J].計(jì)算機(jī)時(shí)代，2012.5：67-70

[9] 武駿，程秀權(quán)，于曉蕓，等.網(wǎng)絡(luò)信息安全防范體系以及設(shè)計(jì)原則[OL].（2005-02-21）.〔2013-03-28〕. http：//www.yesky.com/296/1912796.shtml