一、需求分析
1、网络规划
武钢集团运输部的网络拓扑结构是星型快速以太网,采用Cisco的2900做为主交换机,下面使用Switch/Hub做为级联,全部服务器为PC Server,操作系统为微软的NT/2000,且连接在顶级的Cisco交换机上,另外两个独立建筑物,通过光纤模块进行的级联,其它八个车站通电话拨号接入运输部机房的二台3Com RAS1500服务器,二台1500接入服务器共提供16个拨入口,拨入用户通过RAS1500的以太口连接Cisco主交换机,全部联网有计算机200余台,整个网络通过一条光纤与武钢大网连接。由于Internet出口在武钢大网,整个运输部网络可以通过武钢大网接入Internet,但为了安全考虑,运输部通过代理服务器做了限制,只有少许的IP才能上Internet。
运输部网络的IP地址分配采用表态IP,网段号位:A.B.C.x,其中A.B.C.x为保留网段,其中A.B.C.200至A.B.C.2xx为3Com RAS1500接入服务器DHCP专用。
运输部网络中的需要保护的核心服务器为(A.B.C.1)NT 4,该服务即是主域控制器,又提供WWW服务,也是数据库服务器。SQL Server7、DOMINO群件系统、MIS等多个重要系统运行在此服务器。(如下图所示)
2、用户安全需求考虑
目前,武钢运输部的计算机网络软硬件基础建设工作已基本完成,但是还没有采取任何的网络安全保护措施,根据瑞星工程师的实地调研,发现运输部网络面临着很大的危险,众多重要部门的计算机都存在黑客程序、计算机病毒,这样一些重要信息很容易被一些黑客或恶意员工得到,而且下一步武钢运输部的网络要与其它各兄弟单位互联。武钢运输部已经充分认识到安全的重要性,北京瑞星公司通过对武钢运输部网络平台、应用的深入剖析和广泛调研,确定了以下几个需要考虑的安全防护要点:
* 网间隔离
计算机网络的发展就是互联更多的网络,来更利于和各企业及单位通讯。众多企业和个人借助网络平台完成各种工作,因此网络平台或网络服务器也将成为黑客攻击的众矢之的。在利用网络作为通讯的载体的同时,又要保证网络平台相对安全,这是网络互联扣首要考虑的问题。
* 网络病毒的防护
在网络中,计算机病毒的主要传播方式已经从软盘介质感染转到了从网络服务器和互联网邮件感染上来,由于文件共享及邮件传播病毒较之软盘介质传播病毒呈不可预见性、迅速扩散性及日益增多性,使得网络用户单位防不胜防;而网络一旦被病毒侵入并发作,将会对企业数据的安全性和企业自身利益造成严重的危害。因此,有效防止计算机病毒危害,保护好网络资源是计算机网络安全工作的重要环节。
* 网络防范缺乏层次感
在考虑平台整体安全的时候,如果将所有功能区域的安全放在同一水平线上,既浪费了有限的才力、物力、人力,也达不到很好的效果。公司应有选择性的对重要网段重点保护。
* 对系统自身缺陷了解有限
运输部网络中拥有一些重要的服务器供来WWW、FILE、MAIL等服务,对于非安全专业人员来说,很难将每一种系统的缺陷和安全漏洞了解清楚,因此需要借助第三方智能软件帮助用户解决这个安全隐患,并提出相应的安全专家建议。
* 缺少安全监控手段
网间隔离只能起到边界保护的作用,无法抵制网络内部攻击行为。另外攻击行为通常是经过几个步骤逐步实施的,如果能够尽早察觉网络中的可疑操作,防患于未然就能够最大限度的保护网络资源。在网络内部增加安全监控机制可以实现在不影响系统正常运行和不改变系统内核的情况下,完成系统运行情况数据的采集、系统故障预警和告警、部分调整工作的实施并提供分析数据和部分参考解决方案等项功能,做到攻防结合。
* 数据备份和恢复措施不完善
数据是所有应用的核心,网络数据的安全性极为重要,一旦重要的数据被破坏或丢失,会对日常业务造成重大的影响,甚至是难以弥补的损失,运输部的网络主服务器上运行了很多重要数据库,现在没有采取任何数据备份,一旦发生故障,后果是相当严重。
二、网络病毒防护解决方案
根据武钢集团运输部的网络拓扑结构和防病毒要求,在充分考虑可行性的基础上,在整个武钢集团运输部网络防病毒管理架构方面,我们建议采用分级管理、多重防护的管理架构,具体包含以下几个方面的内容:
1、 分级管理、多重防护的管理架构
分级管理、多重防护的管理包含以下几方面的内容:
在运输部局域网的域控制器上安装一个瑞星杀毒软件网络版的系统中心,负责管理运输部局域网中各科室的服务器和工作站。至于通过拨号接入运输部局域网的8个车站,首先我将他们划分为3个区域,将车辆段、配料车站和轧钢车站组成一个区域,称区域1;将矿石车站、武钢车站和炼铁车站组成区域2;炼钢车站和原料车站组成区域3。分别在这3个区域安装一个瑞星杀毒软件网络版的系统中心,分别负责管理各个区域所管辖车站局域网内的计算机。划分3个区域安装3个系统中心,而不是分别在8个车站个安装一个系统中心(共8个系统中心)是在降低成本的同时,提高产品的利用率。
2、 每台计算机上均安装瑞星杀毒软件网络版的客户端或服务器端,并保证每台客户端和服务器端上的均时刻运行瑞星实时监控程序。
3、安装完瑞星杀毒软件网络版后,在管理员控制台中对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。
4、运输部系统中心负责整个运输部局域网内的升级工作。由于在整个运输部局域网内,只有运输部局域网与Internet出口,同时为了安全和管理的方便起见,可以系统中心定期地、自动地到瑞星网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到运输部局域网中各科室的客户端与服务器端,并自动对瑞星杀毒软件网络版进行更新。
同时,与运输部局域网相连8个车站是通过所在区域的各系统中心自动地到运输部局域网的系统中心处获取最新的升级文件,然后自动将最新的升级文件分发到其所辖的客户端与服务器端,并自动对瑞星杀毒软件网络版进行更新。
采取这种升级方式,一方面可以确保运输部整个局域网内的瑞星杀毒软件的更新保持同步,使整个运输部局域网具有最强的防病毒能力。另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而拾取最前的防病毒能力,同时,因为只有运输部局域网才有Internet出口,也便于整个网络地安全管理。
5、 系统中心负责其所辖范围内的所有客户端和服务器端病毒报警日志的集中管理及维护,管理员应定期查看这些病毒报警日志,以及时地、准确地了解整个网络内的病毒发作情况。
武钢网络病毒防护拓扑图和智能升级方式