企业防病毒体系的探讨.docVIP

企业防病毒体系建设的探讨 已部署了专业的企业版网络防病毒软件，局域网内电脑还是很易中恶意插件、木马等？ 要解答这个问题，我们需首先病毒入侵的主要途径 1.病毒入侵的三种途径：a.互联网传入(包含上网、聊天、邮件等，80%以上的病毒都是由这种方式传入)　b.Usb移动存储设备拷入 c.盗版光盘　　 从近期互联网发展趋势来看，蠕虫、病毒、木马程序、间谍程序及其它恶意程序对企业造成的损失一年比一年严重。随着企业信息化进程的高速发展，电子邮件、OA系统、ERP系统、CRM系统、网络会议等无不依赖稳定而安全的网络环境。然而，病毒传播的速度更胜以往,互联网已多次爆发大规模病毒如“威金蠕虫”、“熊猫烧香”、“金猪”等，多数病毒都进行“加壳”伪装，这增加反病毒软件查弑难度。靠单一的网络防病毒软件已越来越不能应付网络病毒的威胁,何况多数防病毒软件部署在客户端电脑上，也就是说只有病毒到达客户端电脑上，才能被检测和查杀;如果是未知或者新病毒、木马，防病毒软件检测不到，就在后台安装在客户端的电脑上了，并且会随时连接带有病毒和木马网站，下载更多病毒和木马，迅速在局域网内传播。 企业版网络防病毒软件优缺点： 企业版网络防病毒软件，可以对网络上所有客户端电脑进行统一部署、集中管控，全面扫描、深度检测与清除客户端电脑存在的病毒。比较典型的厂家有Symantec、趋势、麦咖啡、比特凡谷、SOPHOS等，但这种软件的部署都有一个共同缺点，病毒必需在客户端电脑的内存或硬盘上驻留，才有可能被检测和清除，而通常由于某些病毒进入客户端电脑的内存同时劫持了操作系统的特定文件，导致大部份的杀毒厂家投鼠忌器，不敢删除病毒。因为如果清除病毒，有时不可避免地要损坏系统文件。这样导致企业局域网的病毒总不能彻底地清除干净。 硬件网关防毒墙 采用硬件网关防毒墙，在企业的网络入口处检测、清除外来病毒。用户访问外部网站、下载、邮件、IM等进入内网的文件，都要先经过网关防毒墙的检测，在病毒还未到达客户端电脑上即被发现并清除，不必担心会损坏客户端电脑的系统文件，因而比在客户端软件杀毒更加主动和彻底。同时由于硬件网关防毒墙部署于企业网络入口处，所谓咽喉要害，截断了病毒80%传入途径。部分客户端电脑中恶意插件和木马后，会不断连接带有病毒和木马网站，下载病毒和木马，而当这些病毒经过硬件网关防毒墙时，就会被发现和清除，无法再次进入企业的内部网络。同时网管人员可根据这些纪录，重点查杀已中病毒的内网电脑。 笔者在实际工作中发现，往往企业版网络防病毒软件控制中心没有显示内网电脑有任何病毒，但客户端电脑时不时运行很慢，内存、CPU资源耗尽，通过架设网关防毒墙后，防毒墙的日志记录到部份客户端电脑在不停访问带病毒的网页、网站。再用F-prot、360安全卫士、木马克星等扫描这部份电脑，通常可以发现诸多恶意软件。 尽量屏蔽高危网站 一般电影/色情/游戏/股票交易类网站容易被挂马和诱导用户安装恶意插件，如果能使用防火墙和上网行为管理等产品做些策略，主动屏蔽这类网站URL，也可让客户端电脑远离病毒传染源，少中病毒。 构造企业立体式防病毒体系 诺顿网络防病毒系统每周三12:00开始，对网络上所有客户端电脑进行全面扫描、检测与清除病毒。 在公司的网络出口处部署了snifferpro网络嗅探工具软件，用于监控整个网络运行。也能及时发现发包量大的中病毒电脑，保证了整个网络的高效与稳定。 通过分析Sonicwall 3060防火墙的日志信息，对处理ARP地址欺骗类型的病毒也有很好的帮助。 主要以1.2种方式检测、清除病毒，相互补充，构成公司立体式防病毒体系;以3.4种方式作为分析、查找病毒的辅助手段，保持网络的稳定。大大增强公司电脑抵御网络病毒的能力。 因此在企业网络入口处部署网关防毒墙产品，尽可能将病毒阻挡于公司网络之外，保证网络稳定。网关防毒墙工作模式如下图 引入目的：1.由于目前OA系统对浏览器的要求较高，浏览器如被病毒破坏后，运行OA系统会经常报错和关闭。 网关防毒墙能将大部份的木马、间谍流氓软件、病毒在进入公司网络前先过滤掉或删除，这对保证OA系统稳定运行和整个网络稳定都有很重要的意义。 网关杀毒产品测试比较表： 产品名称 杀毒引擎 防病毒效果 上网行为管理 垃圾邮件过滤 与公司系统兼容性 WEB管理 参考价格 Sonicwall UTM 卡巴斯基 不明显 不能完全封闭ＱＱ、游戏 不好 兼容性好 支持 1.3万 CP Secure100　 CP自身 好，效果明显 无此功能 不好 兼容性好，但引起不能远程连香港监控设备。 支持 4.5万 深信服ＡＣ5100 F-prot(冰岛) 一般，病毒码升级不及时。 能很好的控制上网行为 不好 兼容性差，开启http杀毒后，不能从外面使用ＯＡ系统；不能收发邮件等问题。 不支持