摘要:本文结合当前燃气行业工程项目管理单位的网络现状,探讨了燃气企业构建整体防病毒体系的实际意义,并在此基础上提出了基于Symantec防病毒体系的整体防毒架构与具体实施方法。
关键词:燃气项目管理系统;防病毒服务器;二级防毒服务器;硬件防火墙;VLAN
中图分类号:F406.7 文献标识码:A文章编号:1007-9599 (2012) 06-0000-02
一、引言:
目前多数燃气工程管理单位,基于其行业特性,处于多网共存的局面,内部网络结构复杂,管理分散,单位内部既有自己的专用业务内网,其功能主要是在满足日常办公的基础上,为运行燃气工程项目管理系统提供平台,其次,部分机器又连接集团MIS网 ,用以收发集团总公司的相关文件,以及了解总公司的最新动态与精神,最后,还有部分机器连接外网,用于与外单位收发邮件与联系,各网之间没有统一管理,多数情况下,同一台机子既上公司内网,又上外网,还有的情况是同一台机子,不同时段交替访问集团MIS网,公司内网与外网,这种多网共用一台主机的局面,很容易造成病毒与木马传播,感染内部网络中的应用服务器和客户端计算机,对内网的计算机的正常运行造成破坏和干扰,进而影响公司正常业务的顺畅运行。此外,由于集团总部与子公司网络互连,并且进行信息交换,以及公司内部各部门之间的资源共享与传输,也导致了外界病毒入侵渠道的进一步增加,病毒传染的风险的进一步提高。因此,针对这种复杂的网络结构,松散的管理,我们有必要寻找一种更为有效、合理的企业病毒防范方案来代替原有的方式。由此提出了全新的内网病毒防护与网络边界病毒防护相结合的、多网隔离的多层次立体病毒防护架构,对公司内部网络中的计算机提供病毒防护,以防止病毒在公司的内部网络中进行传播,最大限度的避免病毒对公司网络的正常运行造成影响和危害。
二、燃气企业病毒来源与类型:
对于当前燃气行业,企业内部计算机网络所面临的病毒来源主要分为以下几种:1.U盘。随着科技发展,U盘的成本在不断下降,而容量在不断上涨,U盘的使用率大大增加,使其成为病毒选用的常用载体。2.电子邮件。公司邮件系统出于业务需要,会和外部邮件服务器进行邮件传送,很多用户在接收外部邮件后没有对附件进行病毒查杀即直接打开,造成病毒感染。3.即时通讯软件。内部使用即时通讯软件QQ、MSN等,由于用户数量众多,再加上即时通讯软件本身的安全缺陷,例如内建有联系人清单,使得病毒可以方便地获取传播目标,利用这些特性来传播自身,导致其成为病毒的攻击目标。4.互联网。通过浏览网页和下载软件进行传播,当不小心访问了一些黑客站点或恶意网站时,会在访问这些站点的同时或单击其中某些链接或下载软件时,自动在浏览器或系统中安装上木马病毒和其它恶意程序,这些木马病毒程序便可让您的浏览器不定时地访问其站点,或者截获企业的内部信息并发送给他人。
燃气企业内部网络中存在的病毒类型主要有以下几种:(1)引导型;(2)宏病毒;(3)文件型病毒;.(4)蠕虫病毒;.(5)即时通讯病毒;(6)ARP病毒。除此之外,木马软件、还有一些恶意代码和程序也对公司的网络造成影响。
三、燃气企业内网安全现状及存在问题
目前多数燃气工程管理单位的网络安全普遍存在如下问题:
1.多数燃气企业内部,内外网的隔离度不够,网络使用上普遍存在“一机两用”问题,使其成为病毒传播的主要途径。经分析,“一机两用”现象是导致企业内网产生网络病毒的最主要原因。应引起我们的格外重视。2.防火墙的安全策略低,网络病毒很容易绕过防火墙攻击核心网络交换设备,导致整个网络瘫痪。3.核心交换机没有划分VLAN,企业内网广播风暴的风险极高。4.地址采用动态分配,外部电脑很容易接入公司内部网络进行病毒传播和恶意破坏。IP地址采用动态分配,只是分配了地址池,会造成网络广播风暴,只要网络内有一台电脑感染ARP病毒就会造成整个内网的瘫痪。5.管理软件不能很好的对内网感染病毒的机器进行很好隔离,监控。6.对于往来邮件,没有统一规划的防毒策略,很容易出现大量的垃圾邮件以及携带病毒的邮件。7.没有使用统一的网络杀毒软件,很难对内网形成有效的防护,很容易造成网络瘫痪。8.网络病毒往往通过系统漏洞进行攻击,对每台终端的系统漏洞没有一个统一管理。
针对以上问题,我们应采用多层次、立体的整体病毒防护架构。
四、企业病毒整体防护架构:
当前燃气行业相关工程项目管理单位,内部存在三种网络:
1.集团总部MIS网。2.企业专用内网(运行燃气工程项目管理系统)。3.外网。通过上面分析,我们知道“一机两用”是企业内部病毒的主要传播途径,所以,对于燃气行业相关工程管理单位来说,为了在企业内部杜绝多网之间“一机两用”问题,在网络架构上要采用三网物理隔离的方法来实现,(即集团 MIS网、企业专用内网、外网三网之间物理隔离),同时,对于不同网络相对应的也要采取不同的防病毒策略来组成企业整体防护架构。
1.外网防护架构:
2.集团总部MIS网:
3.企业专用内网
五、企业防病毒体系的部署与实施
1.外网防护体系部署:以外网防毒体系的策略,在网关层架设硬件防火墙,在服务器层部署防病毒服务器,在客户端层部署客户端防病毒软件。
网络安全首先是边界安全即网关安全,解决的办法是在企业网关处加入硬件防火墙。防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。本方案采用的硬件防火墙是思科 CISCO ASA5505-K8。
企业内网用户虽然各自电脑上都装有杀毒软件,但由于其病毒库更新的不及时性,以及防病毒软件选择的不一致性,经常造成局域网内只要一台电脑出现病毒,整个局域网就会受到病毒侵扰,出现这种情况,解决的方法是在服务器层部署防病毒服务器来集中管理。基于此,本方案采用的是 Symantec 防病毒服务器进行部署,其客户端通过一个配置文件指向防病毒服务器,发现病毒后隔离起来并上传到服务器,由服务器调用杀毒引擎杀毒。
Symantec防病毒服务器作用:
(1)作为防病毒软件的控制中心,及时通过INTERNET更新病毒库,并强制局域网中已开机的终端及时更新病毒库软件;(2)记录各个终端的病毒库升级情况;(3)记录局域网中计算机病毒出现的时间、类型以及后续处理措施。
客户端计算机位于在整个网络的最末端,是企业网络中为数最多也是容易遭受到病毒感染的一个环节,也是最大、最难防护的一层,而且并非所有使用者都具有病毒防治的观念,因此在客户端的病毒防护策略,除了必须考虑环境及病毒入侵的防护外,还必须考虑到人为因素及管理因素,在如此复杂的环境中,我们先从病毒可能进行感染的通道防堵。本方案采用的是Symantec客户端防病毒软件进行部署。2.集团公司MIS防护体系部署。集团总部安装 Symantec 总控中心,分公司部署二级 Symantec 防毒服务器,分公司病毒特征码库和病毒扫描引擎不在自行升级,而是通过集团总部总控中心统一升级管理。采用这种升级方式,一方面可以确保整个网络内的病毒定义码和扫描引擎的更新保持同步,同时也避免了各分公司自行到internet升级而带来的不便和安全隐患。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的企业网病毒防护体系。3.公司专用内网防护体系部署。由于公司内网核心任务是运行燃气工程项目管理系统,涉及公司不同部门的众多客户端,所以要部署 Symantec 网络版防病毒软件。此外,为保障工程项目管理系统的顺利运行,还要防范内网 arp攻击。各楼层交换机使用3层交换机,划分vlan,减少广播域,防止arp病毒攻击。4.企业内网防毒策略设计。为了确保网络和系统的正常运转,除了部署相关服务器与杀毒软件外,企业必须制定相应的管理制度。
相关的制度建立如下:(1)在从U盘或光盘复制数据之前必须先用正版杀毒软件进行查杀,确保无毒后方可使用。(2)任何人不得向他人提供含有计算机病毒的文件、软件、媒体。(3)任何人在从INTERNET或INTRANET上复制文件前均应先行杀毒。(4)任何人未经同意,不得使用其他部门的电脑。(5)接到可疑邮件时不要随意打开,以免感染病毒。(6)开机同时应立即运行杀毒软件实时监控程序。(7)各部门所使用的计算机,一旦发现计算机出现病毒现象,应及时报告公司专管人员。(8)送外维修和欲联网的计算机必须经过病毒检测后,方可联入网络。(9)上网人员不得浏览与工作无关的网站,上网下载或以其他方式带入任何未经批准使用的程序,故意制作、传播计算机病毒等破坏性程序。
六、结束语:
本文结合燃气行业网络自身特点,对燃气行业相关企业部署整体防毒体系中所涉及的相关技术与实现方案,进行了详细论述,其有很好的代表性与适用性,可以作为同行业其它企业部署同类系统的参考。