企业防病毒策略如何做到面面俱到
病毒问题是一个网络离散问题,即病毒的可控程度随着网络规模的变大而趋于无法控制的状态。整个互联网就像公海一样,连通全世界,传播能力强的病毒一旦进入了互联网,瞬间就会传遍世界的每个角落,给个人与企业带来威胁。只要我们分析清楚了整个网络面临的安全风险,就可以很好地对其进行管理。那么在这个与狼共舞的时代,我们应当如何防范呢?
病毒如洪水猛兽,因此要善于疏导与分流。实际上,经过病毒和防病毒技术的长期较量和病毒不断的变化,防病毒体系目前趋向于立体化,任何单一的防病毒产品技术、防火墙技术、入侵检测技术、物理隔离技术、VLAN、访问控制技术以及新出现的防毒墙、入侵防护技术等都不能全面有效地对付病毒。防治病毒,需要各种技术综合利用,共同发力。企业网络的安全防护也要因此分为三个层次,才能做到面面俱到。
桌面安全即企业网络中员工使用的安全,这是最基本的安全,也恰恰是企业网络最难控制的“神经末梢”。对于普通员工来说,他们可能不知道网段的概念,甚至不了解网络,但是他们每天至少有8个小时的时间都在使用电脑,一旦主机受到病毒的感染,轻则占用系统资源,影响工作,重则使用户电脑崩溃,无法工作。
另一方面,一旦企业网络中一台终端感染了病毒,就会形成链式反应,影响整个企业网。而事实上,一些上网条件比较好的企业,员工可以不受限制地上网,由于员工计算机操作水平的良莠不齐,对安全的重视程度也大相径庭,在这种情况下,员工的电脑是很容易感染上一些如QQ病毒、MSN病毒、木马、网络蠕虫等病毒,而员工的电脑也就成了整个企业网络安全中的那块短板。
一般企业要想维持网络的正常运转,都要配置不同的服务器,而且随着企业规模的增大,服务器的种类与数量也会不断增多。服务器是一组能够高强度执行单一功能的设备,负责整个网络的某一项事务的集中处理。比如邮件服务器,企业所有邮件的流出与流入都要经过邮件服务器的处理。一旦恶性邮件蠕虫病毒爆发,将会迅速耗尽邮件服务器的资源,使企业无法进行正常的邮件投递。而一旦这些邮件中的病毒被用户误运行,病毒就会在企业内部来回震荡,最终造成一场企业灾难。
网关是每个企业网络的门户,是通往互联网的惟一途径,如果在网关处控制得不好,病毒就会任意长驱直入,很快就会在内部网络进行蔓延,最终导致整个网络瘫痪。
我们对安全问题进行了分层分析,那么只要分层部署,对症下药,就可以很好地提高整个网络的安全系数。
对于桌面安全来说,目前只有杀毒软件这一种产品可以选择。杀毒软件是随着病毒一路走来的,随着病毒的发展也在不断完善,如今已经成为电脑安全防护的首选品牌。
不过,对于杀毒软件,用户也面临着选择,即选择单机版还是网络版。这两种版本使用的是一套反病毒引擎,因此病毒查杀能力是一样的,惟一的区别在于网络版集成一个网络管理模块,可以将整个网络的反病毒工作统一起来完成,这样的好处在于软件的安装、升级、维护都由被称为“控管中心”的模块统一完成,而这个控管中心只需要一个人在远程操作,就能够轻松完成全网所有节点的反病毒工作,确保整个网络内不留安全死角。所以,我们推荐使用网络版软件。
但是目前还是有许多中小企业选择单机版的软件来进行主机保护,这一方面是由于网络版的价格很高,是按照模块数收费的,而其中服务器模块与控管中心是必备模块,价格上又占了大头儿。当一个企业内部电脑数量很少时,那么平均每台电脑分摊下来的成本将会很高,一般都会是单机软件的数倍,因此,中小企业往往因此采取用单机版做整体主机保护的方式。
另一方面,网络版杀毒软件由于技术实现和自身体系的问题,往往会占用大量的系统资源。比如,在网络版进行大规模的全网扫毒和全网升级时,电脑往往无法再做其他消耗资源的操作,这都是企业抱怨网络版杀毒软件的因素。另外,如今单机版软件都具备了自动升级的功能,该功能方便了用户使用,也使许多企业产生了麻痹心理,甚至减缓了企业接受网络版杀毒软件的进程。更何况,部分网络版杀毒软件并未实现自身与单机版应有的差别,仍存在着自动化程度低、不能进行全网统一杀毒、软件升级不及时、远程管理能力弱等缺陷,并不具备真正的网络防守实力。
对于服务器安全,一般的情况下是配备防病毒模块,用户同样也有两种选择:一种是选配网络版杀毒软件附属的服务器管理模块,一种是选配专一的反病毒插件。
目前遭受病毒攻击最严重的服务器当属邮件服务器了。一些网管往往会采取限制邮件附件大小、过滤邮件标题和内容等方法来对一些垃圾邮件、病毒邮件进行过滤,但是这种做法只能在病毒大面积泛滥时对网络流量起到一定的减压作用,当遇到那些随时变换邮件标题和内容的病毒来说,就不再有效了,而且,这种简单的过滤方式还会影响到一些正常邮件的传递。
在这种情况下,可以购买网络版杀毒软件中的服务器反病毒模块,当该模块工作时就可以对服务器的病毒进行过滤了,不过这种反病毒模块是通用型的,并没有针对一些特殊的应用进行优化,因此效率方面不如一些专用的反病毒插件高。
反病毒插件是一种专门针对特殊应用进行开发的反病毒模块,由于考虑到了某些应用的特殊性,因此执行效率很高,如Exchange反病毒插件产品等。对服务器应用要求较高的企业或者专门提供服务器服务的企业,如邮件提供商,可以选用这类插件产品。
对于网关安全来说,我们可以选择防火墙或者防毒墙。防火墙是对网络数据流连接的合法性进行分析,虽然能够阻止一些病毒的攻击,但它是一种粗放型的解决方式,对那种从正常电脑上发送过来的病毒数据流是无能为力的,因为它无法识别合法数据包中是否存在非法病毒这一情况。而防毒墙则是为了解决防火墙天生的防毒缺陷而产生的一种安全设备,可以将数据流还原成文件,从而进行文件的查毒工作,对病毒的界定则更准确,更可靠。
随着技术的发展,防火墙与防毒墙有融合的趋势,有些防火墙产品还具有病毒检测的功能,而另一些声称是防毒墙产品的也往往具有一般防火墙的网络管理功能。
不过防火墙虽然工作有些“粗糙”,但是往往具有更大的网络吞吐量。而防毒墙虽然控制粒度更细,但是由于要对网络协议进行解析还原,因此用防毒墙过滤有时会影响网络的正常流量。而且,它们都基于直路处理,在很多时候,为了防病毒就会将一些不是病毒的数据拦在门外,而且,只要是基于直路的设备,或多或少地都会影响网络的效率。另外,防毒墙和防火墙都只能对即将进入网络的数据进行“盘查”,一旦有害数据进入内部网络,这两种设备也就无能为力了。
Tags:
作者:风未起时评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论