黑龙江八一农垦大学网络安全解决方案

黑龙江八一农垦大学网络安全建设方案保密申明保密申明此份方案包含了来自黑龙江太极电子科技的可靠、权威的信息，这些信息是作为“黑龙江八一农垦大学网络安全建设方案”专用，接受这份方案表示同意对其内容保密并且未经黑龙江太极电子有限公司书面认可，不得复制，泄漏或散布这份方案。如果你不是有意接受者，请注意对这份方案内容的任何形式的泄漏、复制或散布都是被禁止的。黑龙江太极电子有限公司国家保密委涉密网络信息系统集成资质单位黑龙江省保密局涉密网络信息系统集成资质单位黑龙江省公安厅计算机网络安全应急处理中心成员单位二零零五年五月TOC\o"1-5"\h\z\u一．前言 -5-二、安全风险及需求分析 -6-2.1黑龙江八一农垦大学信息系统网络结构 -6-2.2黑龙江八一农垦大学网络面临的威胁 -7-2.2.1网络病毒肆虐 -7-2.2.2网络访问控制不严 -8-2.2.3人为的恶意攻击 -8-2.2.4网络和系统软件的漏洞和“后门” -9-2.3黑龙江八一农垦大学信息系统安全建设目标 -9-2.4安全保护对象 -10-三、网络安全解决方案 -11-3.1方案设计原则 -11-3.2总体设计 -12-3.2.1防止病毒侵害 -13-3.2.2控制非法访问 -14-3.2.3排除故障隐患 -15-3.2.4网络安全评估 -15-3.2.5合理配置系统 -15-3.2.6加强安全培训 -15-四、 安全方案具体实现 -16-4.1网络防病毒系统 -16-4.1.1McAfeeVirusScanEnterprise8.0i -18-创新的防病毒技术 -19-针对PC和服务器增强的集成防护 -20-入侵防护的重要性—缓冲区溢出防护技术 -21-访问保护—全新的高级功能 -21-增强的电子邮件扫描功能 -22-脚本扫描程序（Java脚本和VisualBasic脚本） -23-潜在恶意程序安全防护 -23-对速度的需求 -23-有效防护的关键所在 -24-0强大功能的动力引擎 -24-4.1.2McAfeeePolicyOrchestrator3.5 -24-降低恶意系统和不符合安全要求的系统所造成的风险 -25-降低运行成本和基础架构成本 -26-全天候(24X7)的系统安全监控 -26-强制防护和更新 -27-前瞻性地评估Microsoft补丁的应用情况 -27-快速响应爆发事件 -28-保护移动用户 -28-简化整个企业范围内的管理 -29-集成已有的关键性基础架构 -29-4.1.3GroupShield6.0邮件服务器防护 -30-内嵌邮件系统 -30-多种运行模式 -31-4.1.4黑龙江八一农垦大学网络防病毒部署图 -32-4.2桌面管理解决方案(IPDSMS) -32-4.2.1IPDSMS公司简介 -32-4.2.2产品概述及特点 -33-IPDSMS是提供给IT经理自己使用的工具 -34-IPDSMS集成了系统管理需要的各种功能 -35-IPDSMS特点就是轻便易用，是“瑞士军刀”式的网管软件 -35-IPDSMS良好的可伸缩性能适应复杂、庞大的网络架构 -35-基于浏览器的使用界面方便实用 -35-4.2.3系统功能简介 -36-计算机管理 -36-资产管理 -38-进程管理 -39-软件分发 -40-远程桌面管理 -41-网络访问管理 -41-设备管理 -42-帐号管理 -42-4.2.4实施部署 -42-4.3防火墙（FORTINET） -43-4.3.1美国FORTINET公司简介 -43-4.3.2防火墙放置位置 -43-4.3.3防火墙在网络中的作用和规则 -44-4.3.4产品特点 -49-分区域安全管理的特色 -49-4.3.5其他防火墙产品推荐 -53-4.4网络故障分析系统(Sniffer) -59-4.4.1Sniffer功能介绍(实时监控统计和告警功能) -59-4.4.2七层协议解码功能 -60-4.4.3专家分析系统 -61-4.4.4便携式Sniffer产品介绍 -62-五．黑龙江八一农垦大学网络安全部署拓扑图 -65-六．黑龙江太极电子科技有限公司简介 -66-6.1太极计算机股份有限公司 -66-6.1.1北京太极信息安全技术有限公司 -66-6.1.2黑龙江太极电子科技有限公司 -66-6.2公司资质 -68-6.3公司产品 -78-6.4典型客户 -78-6.5联系方式 -78-修订记录 -79-黑龙江八一农垦大学始建于1958年,十万转业官兵开发建设北大荒的历史大潮中，由原国家副主席、时任农垦部部长的王震将军亲自创办并兼任第一任校长。1973年，学校由农垦部划归黑龙江省管理。

学校原址位于黑龙江省密山市裴德镇境内，在偏远的边疆农村走过了45年的发展历程。经省政府批准，2003年10月学校整体搬迁至大庆市高新区，实现了办学地理位置的战略性迁移，从根本上消除了长期制约学校发展的办学区位劣势。在市场经济的大潮中，黑龙江八一农垦大学将凭借雄厚的办学实力和拼搏进取奋斗精神，夯实基础，已成为一所以农为主，农、工、理、法、管、经、文等多学科协调发展的农业大学。为了更好的开展教学科研工作，黑龙江八一农垦大学在信息化建设方面投入了大量的人力、物力。学校对信息化工作实施了强有力的领导，做了大量卓有成效的工作，校内网络已经基本覆盖了所有的办公楼、学生公寓，在学术交流、信息发布、Internet网应用与服务中广泛采用了计算机技术和网络通信技术，取得了丰硕的成果。随着信息技术的迅猛发展，各项应用业务也迅速展开，但同时也伴随着网络黑客的攻击、病毒的大肆流行，使得构建在网络平台之上的办公系统、网络应用的安全危机日益增大。黑龙江八一农垦大学领导充分认识到网络安全建设的重要性，适时的提出了开展网络安全建设这一正确决策。因为，这一项目的实施既是黑龙江八一农垦大学信息网络的切实需要，又符合全球信息技术现代化的潮流。2.1黑龙江八一农垦大学信息系统网络结构黑龙江八一农垦大学是黑龙江省重点高等院校，随着近年来信息化建设的推进，黑龙江八一农垦大学校园内部已经全面实现了教学、科研的计算机化应用与管理。黑龙江八一农垦大学在校园网建设上最大的特点在于：网络建设起点较高，校园网骨干全部采用光纤连接；校园网信息点覆盖广，校园网要全面覆盖教学、科研、后勤、学生宿舍、图书馆，服务对象广泛；网络结构规范、清晰，网络设备比较先进，便于管理。以下是黑龙江八一农垦大学信息系统的网络拓扑示意图：（黑龙江八一农垦大学现状图）网络基本情况为：网络核心由几台核心交换机（Cisco8016、6509、5516）构成，向下分别连接有若干台二级交换机，校内各单位通过本地部署的三级交换机连接到二级节点上，实现八一农垦校园网的互联互通；核心交换机之间通过1000M光纤相连；八一农垦校园网通过一个对外网络接口上Internet。目前，八一农垦校园网内部的联网计算机接近3000台，随着网络改造和升级以后还将大规模增加。2.2黑龙江八一农垦大学网络面临的威胁黑龙江八一农垦大学未来几年内可能要与教育网接口开放，现在的网络现状是通过校园网的光纤接入互联网、内部各系统间的互联互通等需求的发展，其安全问题不仅仅局限于内部事件了，来自外界的攻击已越来越多，已经成为黑龙江八一农垦大学信息安全不可忽视的威胁来源。但是，未来黑龙江八一农垦大学网上的应用服务不断的增加，网络内部的办公逐渐的从有纸化办公转变为无纸化办公，在以后的工作环境（信息系统平台）；从内部业务应用的角度来看，除大量现存的C/S结构以外，还将出现越来越多的内部B/S结构应用。所以，对于黑龙江八一农垦大学信息系统整体来说，主要问题仍有一大部分是内部安全问题。其所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。对于黑龙江八一农垦大学来说，主要是保护应用系统的安全，其核心在于保护黑龙江八一农垦大学核心数据的安全，包括数据存储，数据传输的安全。影响黑龙江八一农垦大学网络安全的因素很多，有些因素可能是有意的，也可能是无意的误操作；可能是人为的或是非人为的；也有可能是内部或外来攻击者对网络系统资源的非法使用……归结起来，针对黑龙江八一农垦大学网络信息系统安全的威胁主要有几个大方面：2.2.1网络病毒肆虐随着计算机技术应用的普及，各个部门的运行越来越依赖和离不开计算机，各种工作的运行架构于现代化的网络环境中。保证各种应用系统工作的正常、可靠和安全地进行是信息系统工作的一个重要话题。在所有计算机安全威胁中，计算机病毒是最为严重的，它往往是发生的频率高、损失大、潜伏性强、覆盖面广。计算机病毒直接涉及到每一个计算机使用人员，是每一个使用人员经常会碰到和感到头痛的事。计算机病毒事实上是一种计算机程序，具有可自我复制性、传染性、潜伏性、破坏性等。目前存在的病毒表现有很多特点：病毒种类越来越多、主动的攻击性越来越强、危害性及破坏性越来越强、传染速度快和感染方式多、发展和增长速度快、病毒传染源众多、病毒变种多和速度快。随着Internet技术和信息技术的发展，病毒的种类越来越多，这样对病毒防护系统提出了新的挑战，要求病毒防护系统能适合于各种操作系统、各种运行环境和防护各种类型的病毒。病毒的危害性有各种各样的表现，从CIH病毒对主板和硬盘的破坏到BO病毒对主机信息的泄露；从Explore病毒对文件系统的破坏到各种宏病毒对文档的破坏和感染；还有从“冲击波”、“震荡波”“SoBig”这些网络蠕虫病毒中可以观察出现在的病毒不仅要破坏个体主机，更重要的是让整个网络系统陷于瘫痪状态，使所有的应用服务无法正常的提供服务，导致损失严重。所有这些都只是病毒破坏的一些表现。总体来讲，病毒的破坏有：直接对主板和硬盘破坏；破坏文件系统和文件；浪费和占用系统资源(如CPU和硬盘)，导致系统性能、速度降低；泄露主机信息，向外发送主机的相关信息，或者被远程控制端所控制和留有后门，随时可以由远程进入和控制；一些善意的病毒往往发送一些问候消息，也有一些病毒开一些玩笑。病毒破坏的表现多种多样，但是结果是一样的，都会直接或间接地破坏系统、浪费资源，从而浪费生产力，降低效率和信息系统的利用率。2.2.2网络访问控制不严如安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享信息资源等都会对网络安全带来威胁。黑龙江八一农垦大学中心主机存在系统漏洞，容易被攻击者利用后通过黑龙江八一农垦大学信息网络系统入侵到系统主机，并有可能登录其它重要应用子系统服务器或中心数据库服务器，进而对整个系统造成很大的威胁。2.2.3人为的恶意攻击这是计算机网络所面临的最大威胁，黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的可用性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害，并导致机密数据的泄漏和丢失。2.2.4网络和系统软件的漏洞和“后门”随着网络和操作系统软件的不断更新和升级，由于边界处理不善和质量控制差等综合原因，网络和系统软件存在越来越多的缺陷和漏洞，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件。当今世界范围内出现大量黑客（如冲击波病毒，其实是一种黑客程序）攻入校园网络内部的事件，大部分原因是安全控制措施不完善所导致的。另外，软件的“后门”有些是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。同时也存在BO，Netbus等专业黑客后门程序，一旦通过网络植入黑龙江八一农垦大学系统主机，犹如黑龙江八一农垦大学系统的信息库被开了几个后门。2.3黑龙江八一农垦大学信息系统安全建设目标经过与用户初步交流，借鉴以往大量的工程经验，方案认为黑龙江八一农垦大学急需解决的安全问题与其他教育行业和政府行业所面临的安全问题拥有大量的相似之处，但是又具有自己的特点。首先，由于高等院校和科研机构之间的学术交流是相对比较公开的，因此校园网对传输信息的机密性没有迫切的要求，其次校园网是教学和科研信息传送的平台和载体，网上运行的应用系统由各自所属的教研室和主管机构负责管理，因此黑龙江八一农垦大学信息网络对其上的应用系统没有安全管理需求。因此，黑龙江八一农垦大学信息系统的安全建设目标集中为：保证网络的畅通和平稳运行；部署网络防病毒，保护系统网络不受病毒攻击；阻断网络外部非法攻击；防止不良信息在校园网内的传播；对于安全事件具有可追溯性；对于终端桌面实现集中管理。具体体现为：实现不同网络间的隔离措施使用高速防火墙将黑龙江八一农垦大学的网络与INTERNET隔离开，通过制定完善和正确的访问控制策略，有效保证校园网的内部安全；使用网络防毒软件将整个网络保护起来，以确保病毒大规模爆发时网络不会受到影响。建立完善的防病毒措施在黑龙江八一农垦大学内部，特别是办公区的服务器和PC终端，建立完善的防病毒措施，从网络和主机两方面解决网络内部的病毒泛滥问题。建立完善的网络管理平台使用完善的网络管理平台，对全网所有的网络节点、网络设备、操作系统等进行及时有效的安全管理。2.4安全保护对象在此我们只讨论有关信息系统网络中所涉及的安全保护对象。黑龙江八一农垦大学信息系统网络中的所有重要资源和关键资产都是需要重点保护的对象。从数据角度来看，包括：重要的SQL数据库系统。从未来要提供系统关键服务角度来看，包括：OS(WINDOWS2000)，WEB、SMTP、POP3、内部文件服务、打印服务等。从主机和服务器硬件角度来看，包括：邮件服务器、数据库服务器、Web服务器、数据备份服务器等。从TCP/IP网络角度来看，包括：核心交换机、防火墙、各部门的网段等。3.1方案设计原则本方案设计应该遵循的各项原则，包括国家信息安全规定的原则已经实际情况下应该遵循的有关原则。符合国家有关规定的原则我国相关部门已经制订了一系列的关于信息安全的法律法规，对安全策略、密码与安全设备选用、网络互联、安全管理等做出了规定。本次黑龙江八一农垦大学网安全方案设计必须符合这些法律法规，确保信息安全。整体安全原则黑龙江八一农垦大学网信息网络的信息系统是一个复杂的系统，对安全的需求是任何一种单元技术都无法解决的。必须从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为信息网络和业务系统提供全方位的服务。全网统一原则集中有关各方的力量和资源，使信息系统设计得更加系统、完善、严密；包容现存的和将要改进的信息系统对于安全普遍的、特殊的要求，使体系更趋科学和适用；通盘考虑所有通信分系统的安全互通。可控性原则采取的技术手段需要达到安全可控的目的，技术解决方案涉及的工程实施应具有可控性。标准化与一致性原则网络安全建设是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，才能使整个系统安全地互联互通、信息共享。需求、风险、成本折衷原则任何信息系统都不能做到绝对的安全，而且真正绝对的安全也是不必要的。鉴于这种情况，在设计信息系统安全时，要在安全需求、安全风险和安全成本之间进行平衡和折衷。过多的安全需求、过低的安全风险追求必将造成安全成本迅速增加和复杂性的增加。因此，在设计整个信息网的安全方案时必须遵守三项要求折衷的原则。实用、高效、可扩展原则安全保障系统所采用的产品，要方便工作、实用高效。同时，随着IT技术的不断发展，黑龙江八一农垦大学网信息系统将会发生各种变化，信息系统安全设计必须能适应这种变化。在系统实施过程中，系统的结构、配置也会发生一些变化，系统的安全工程要有一定的灵活性来适应这种变化，比如做到层次性、体系性，既有利于系统的安全，又有利于系统的扩展。系统性、均衡性、综合性设计原则从全系统出发，综合考虑各种安全风险，采取相应的安全措施，并根据风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。技术与管理相结合原则黑龙江八一农垦大学网信息系统的安全建设工程是一个系统工程，单靠技术或单靠管理都不可能实现。各种安全技术应该与运行管理机制、人员思想教育和技术培训、安全规章制度建设相结合，从社会系统工程的角度综合考虑。投资保护原则黑龙江八一农垦大学网目前已经采购和使用了一些网络产品，本方案设计时将充分考虑已有的安全措施进行设计，以达到保护已有投资的目的。为了使黑龙江八一农垦大学安全问题得到及时、有效的解决，为未来的网络建设和信息系统建设铺平道路，安全方案将严格遵循下列国家标准：中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网安全保护管理办法计算机信息系统国际联网保密管理规定计算机信息系统安全保护等级划分准则电子计算机机房设计规范计算站场地技术条件计算站场地安全要求3.2总体设计具体说来，网络安全的总体方案从结构上被划分为物理、网络、系统、应用、数据和安全管理等六个部分，分别详细论述八一农垦大学安全解决方案，重点讨论网络安全隔离、网络和主机防病毒、网络管理、网络故障诊断等安全要点。依据安全的边界理论，我们可以将整个内部子网看作是多个子网和子网边界的组合，子网是一个相对的概念，如果相对整个校园网络系统来说，黑龙江八一农垦大学信息中心、教学楼、其他办公区的局域网是不同的子网，校园网和信息中心之间的连接接口可以称为子网边界；而相对于黑龙江八一农垦大学一个局域网来说，服务器网段可以称为一个子网，办公网段也可以称为一个子网，其对外连接的出口就可以称为子网边界。这样，我们就可以将安全问题分为子网安全和子网边界安全两大内容进行分析，按照不同的内容进行安全体系的设计。由于计算机网络体系越来越复杂，应用系统越来越多，因此整个网络的安全存在着较大的威胁。其主要因素有：1、缺乏安全有效的身份验证和监控机制；2、内部用户的恶意攻击、误操作；3、黑客的恶意攻击、窃取、修改信息；4、一些别有用心的人利用搭线窃听，获取信息；5、通过网络传送的病毒和Internet的电子邮件夹带的病毒；6、来自Internet的Web浏览可能存在的恶意Java/ActiveX控件；7、缺乏有效的手段监视、评估网络系统和操作系统的安全性；8、缺乏一套完整的安全策略、监控和防范技术手段。根据以上分析，我们认为，黑龙江八一农垦大学信息中心计算机网络存在着以下几个方面的网络安全问题：数据传输安全：要确保信息在网络传输过程中不被窃取、窃听、不感染病毒和非法篡改。边界安全：是将整校园网作为一个整体进行保护，由于所有对外的连接通道均有可能遭受到外来的非法攻击，因此必须在外联接口部署安全隔离屏障，保证校园网的安全。基础结构安全：对网络进行全面风险评估，及时发现网络配置上的漏洞。管理运行安全：安全管理上漏洞和疏忽才是最大的安全隐患。只有把安全管理制度与安全管理技术手段结合起来，网络的安全性才有保障。防止病毒侵害随着计算机技术的不断发展，病毒也变得越来越复杂和高级。最近几年，病毒的花样层出不穷，如变形病毒和宏病毒。变形病毒每次感染新文件时都会发生变化，因此显得神秘莫测。宏病毒是目前病毒种类中发展最快的，主要感染文档和文档模板。几年前，文档文件都不含可执行代码，因此不会受病毒的感染，现在，应用软件，如MicrosoftWord和MicrosoftExecl,已经嵌入了宏命令，病毒就可以通过宏语言来感染由这些软件创建的文档。由于INTERNET的迅猛发展，将文件附加在电子邮件中的能力不断提高以及世界对计算机的依赖程度不断提高，使得病毒的扩散速度也急骤提高，受感染的范围越来越广。目前计算机病毒中约有1/3以上都是通过电子邮件传播的。利用电子邮件渠道传播病毒隐蔽性强，经常令人防不胜防。在过去的18个月中，世界范围内新发现的计算机病毒数量几乎翻了一番，每个月新发现的计算机病毒数量平均从200种上升到500种左右。计算机病毒专家认为，Internet的普及以及一些应用软件的易破坏性是导致世界新计算机病毒数量急聚上升的主要原因。据NCSA调查，在1994年中，只有约20%的网络系统受到过病毒的攻击，但是在1997年中，就有约99.3%的网络系统受到病毒的攻击，也就是说几乎没有那一家企业可以逃脱病毒的攻击。而且感染方式也由主要从软盘介质感染转到了从网络服务器或INTERNET感染。同样据NCSA调查，在1996年只有21%的病毒是通过电子邮件，服务器或互联网下载文件来感染的，但到1997年，这一比例就达到52%。计算机病毒对生产，工作的影响可以称得上是灾难性的。尽管人类已和计算机病毒斗争了近十年，并已取得了可喜的成绩，但是随着INTERNET/INTRANET和其他局域网，广域网等计算机技术的发展，计算机病毒也会越来越多，传播范围也会越来越广，计算机病毒对网络系统及个人用户的破坏性依然会继续加大，而防止和排除计算机病毒依然是摆在广大计算机用户面前的一个长期的，严峻的问题。我们可以预见，只要存在计算机技术，计算机病毒就不会消失，正所谓“道高一尺，魔高一丈”，而若想真正有效防止计算机病毒的攻击，使计算机病毒造成的损失降到最低，除了提高防病毒的意识以外，采用行之有效的防病毒方案及其产品也是极其必要的。控制非法访问TCP/IP的灵活设计和INTERNET的普遍应用为网络黑客技术的发展提供了基础，黑客技术很容易被别有用心或喜欢炫耀的人们掌握，由此黑客数量剧增。加之网络连接点多面广，客观上为黑客的入侵提供了较多的切入点。本着经济、高效的原则，有必要将关键主机和关键的网段用防火墙隔离，以实现对系统的访问控制和安全的集中管理。外部网络不能直接对内部网络进行访问，对内部资源的访问需经过防火墙的监控，并且只能到达指定的访问目的地。3.2.3排除故障隐患为保证网络通畅、及时发现和解决系统及网络问题，变被动管理为主动管理，可通过对网络设备和网络流量的实施监控和分析，在系统出现性能抖动或响应时间过长时，就能及时发现问题，并建议系统管理员采用及时的处理，预防问题的发生；通过对线路和其他系统进行透视化管理，利用管理系统提供的专家系统对系统的性能进行优化，提供整体网络运行的健康以及趋势分析。网络安全评估一般的操作系统都有身份认证与访问控制系统，但如何去配置日益复杂的网络环境，如用户认证密码是否容易被别人获取破解；系统资源的各个对象的访问权限是否设置正确；系统的各种服务是否存在有漏洞等。通过网络扫描，可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级，更正网络系统中的错误配置。3.2.5合理配置系统要完成信息中心内部网的各种操作，就需要操作系统来协助我们完成对关键数据的存取控制和用户的认证等工作，所以，操作系统的安全性能是网络系统的安全基础。遗憾的是，我们通常所用的操作系统本身并不是非常安全的。这种不安全性有的是先天的，比如Windows的安全性能设计得比较薄弱。但是安全漏洞更多的是由于管理和配置不善导致的。因此，我们的安全措施对于不同的情况应给予不同的策略，比如说对于Windows9x系统，可以利用附加程序增强其安全特性，对于系统的安全漏洞则利用补丁程序来弥补。3.2.6加强安全培训制定和不断完善管理制度，对系统管理人员加强培训，提高安全意识和防范能力。4.1网络防病毒系统计算机病毒是一种进行自我复制、广泛传染、对计算机及其数据进行严重破坏的计算机程序。由于计算机病毒善于隐藏自身的特点，常常使用户不知不觉过程中，自己的系统、文件已被感染破坏。许多病毒在大多数时间里只是传播并不发作，而是等待一个特殊的事件来触发，也有些病毒每次只攻击某一设备或破坏文件的某一部分。计算机病毒的这种隐蔽性与随机性，使用户防不胜防。更为严重的是，层出不穷的新病毒借助网络和Internet使当今世界的大多数计算机系统，无论个人还是企业用户，都不可避免地受到病毒攻击。随着信息网络规模不断扩大和高带宽Internet多点接入，计算机病毒引发可能造成损失越大，对信息系统的安全运行影响越大。根据国际权威机构对美国的调查表明，98%的企业遇到过计算机病毒问题，63%被病毒破坏数据和系统，病毒给企业带来的影响是时间和人力的浪费，重要数据文件损失造成触目惊心的经济损失。企业系统计算机信息网络系统已经覆盖了企业各个生产、经营和管理岗位，上网用户在进行多种数据交换时，随时可能受到病毒的攻击，随着企业和外界网上交流越来越多，通过电子邮件来联系业务，交换数据等都可能不知不觉中感染病毒，并在企业内部网络上不断扩散。必须在信息网络整个系统的各个环节上严加防范，才能有效的防止和控制病毒的侵害。首先，安全系统必须是网络级产品，既有稳健的病毒检测功能，又具有客户机、服务器数据保护功能，能够对黑龙江八一农垦大学的网络安全进行多层次的防御，在整个网络内实施高效率的反病毒措施；其次，安全系统必须具备有效的可管理性，通过强有力的管理策略和能够迅速执行的有效措施，保证整个网络系统远离病毒威胁；第三，厂商的实力至关重要，能够及时升级防病毒系统，包括升级病毒特征码文件和病毒扫描引擎，前者决定扫描病毒的数量和范围，后者控制病毒扫描和清除方式，无论病毒在何时何地爆发，总能提供最新的病毒信息和处理策略。针对黑龙江八一农垦大学的具体应用需求，我们推荐McAFee公司的McAFee防病毒系统作为黑龙江八一农垦大学病毒防护系统。McAFee防病毒系统具有顶尖技术的病毒扫描引擎、最全的病毒代码库、超强的分发和管理功能，在业界占据绝对领先的地位。NetworkAssociates（纽约证券交易所代码：NET）是一家网络安全与可用性技术领域的领先供应商，总部设在美国加利福尼亚的圣克拉拉市。NetworkAssociates有三条产品线。其中McAfeeSecurity产品和在线安全服务在防毒领域全球市场份额中居于领先地位，SnifferTechnologies是全球网络监测和分析领域事实上的权威。此外，获奖的MagicSolutions服务台套件提供了一个基于浏览器的环境，可以借以创建呼叫中心、服务台、资产、变更和库存管理应用，从而使互联网的功能得以充分发挥。NetworkAssociates（NAI）还是McA的多数股持有者（纳斯达克代码：MCAF），McA是可管理的在线安全服务的领先供应商，为消费者和小型企业提供可管理的在线安全服务。NetworkAssociates的使命是在提供专业技术资源的基础上致力于提高全球业务网络的持续可用性。它将围绕相关产品为用户提供前所未有的客户支持与服务水准，从而使企业网络的核心基础设施得到可靠的安全保护。NetworkAssociates设立了一个全天候（全球24x7）的客户支持机构为其一流的产品提供支持，其中包括了由世界级的高级安全研究员组成的NAILabs小组以及McAfeeAVERT（反病毒紧急响应与预防小组）。作为一个高级研究机构与任务关键型的团队，它在全球防毒事务领域拥有世界级的声誉。黑龙江八一农垦大学防病毒系统主要由五部分组成：INTERNET病毒防护：主要针对InternetE-mail、InternetDownload(信息下载)等集中进行病毒扫描。对邮件的附件、下载信息进行病毒过滤；服务器病毒防护：对各种服务器进行病毒扫描和清除，集中报警；客户端病毒防护：针对各种桌面操作系统，进行病毒扫描和清除；单机（包括笔记本电脑）病毒防护；邮件服务器病毒防护：对邮件数据库的病毒扫描和清除。黑龙江八一农垦大学防病毒系统主要特点有：EPO是整个防病毒系统的控制中心，可以为客户端远程分发安装相应的防病毒模块，并可为之远程升级病毒特征代码库、病毒扫描引擎，配置病毒扫描策略，搜集客户端的报警信息，实现全网防病毒的统一管理和控制。McaFee整体解决方案：4.1.1McAfeeVirusScanEnterprise8.0i下一代防病毒软件产品，针对PC和服务器提供创新性的集成入侵防护解决方案恶意代码不仅是在爆发时对企业产生影响，而且今后也会不断地产生各种问题和隐患。在初始攻击爆发后，用户还要经过很长的一段时间才能意识到攻击的后续破坏性，它不仅会影响企业的生产力，而且还会威胁到企业的净收益。企业也逐渐认识到，生存的首要条件就是能够有效抵御已知的81,000多种病毒和无数的恶意代码。而有效抵御的关键就是在攻击爆发前前瞻性地对其进行拦截。创新的防病毒技术 McAfee®VirusScan®Enterprise8.0i是创新性的下一代防病毒技术，能够为PC和服务器提供全面的保护。它不仅能够前瞻性地拦截并清除恶意软件，而且能够有效地检测出新的安全风险，从而显著降低企业管理爆发响应的成本。VirusScanEnterprise8.0i防护解决方案突破了传统防病毒软件的局限性，它不仅有效缩短了修补漏洞的时间，而且即使在没有更新的情况下也能够准确拦截多种威胁。修补漏洞的时间是指从首次发现恶意软件开始，到将修补程序部署到网络中的所有系统上所需要的时间。传统防病毒软件往往使大型企业和中小型企业处于一种极端薄弱的境地：如今，面对复杂的混合威胁，响应式的防护已远远不足以确保企业的安全了。企业不能为了等待签名文件的更新而承受这种漏洞修补时间的存在。访问访问防护策略特定于应用程序的缓冲区溢出防护使用规则进行端口阻断使用传统防病毒产品的响应式防护下一代技术在没有更新的情况下提供前瞻性威胁防护使用VirusScanEnterprise8.0i进行前瞻性防护提供零时间防护！针对PC和服务器增强的集成防护VirusScanEnterprise8.0i扩展了对新安全威胁的防护范围（包括混合威胁以及潜在的恶意程序，例如间谍软件），从而增强了针对PC和服务器的集成保护。扩展的防护范围还包括通过规则和策略对访问进行保护，以及来自入侵防护和系统防火墙的其它多种集成功能。复杂的混合威胁愈加难以检测，它们常常能够骗过传统的防病毒解决方案。此外，传统防病毒软件对新安全威胁的抵御能力较差，即便应用了最新的防病毒签名，它们面对新出现的比较高级的混合攻击时仍会束手无策，任凭这些攻击肆意破坏您的系统。因此，传统防病毒软件程序是无法有效地抵御这些新的攻击类型的。VirusScanEnterprise8.0i提供了自动化的系统防护策略和感染跟踪/拦截报告功能，在对病毒或攻击爆发做出响应时，它能够显著降低安全防护解决方案的总拥有成本。VirusScanEnterprise8.0i不仅能够自动跟踪并报告感染源（IP地址），而且能够拦截系统与感染源的后续通信。尽早识别并修补感染源就意味着节省时间、资源和金钱—或者说确保业务的正常运转。但是，使用传统防病毒软件来定位感染源却需要耗费很长的时间，不仅导致拥有成本居高不下，而且还会降低企业的生产力，影响企业的核心业务。入侵防护的重要性—缓冲区溢出防护技术VirusScanEnterprise8.0i在防病毒软件行业中率先推出了带有特定于应用程序缓冲区溢出防护功能的入侵防护解决方案。这就使得用户能够前瞻性地预防以Microsoft®应用程序和操作系统服务漏洞为目标的缓冲区溢出攻击。对操作系统漏洞的攻击可能导致终端系统的重复感染，即便应用了最新的签名文件也于事无补。缓冲区溢出防护功能可以在此类攻击（例如Sasser、SQL以及Slammer）感染系统之前先一步对它们进行拦截。降低漏洞的暴露程度就意味着您不必在每次发现新攻击时都必须进行更新。同样，终端系统也可能不需要重启（或多次重启）来清除感染。防病毒技术与入侵防护和防火墙技术的结合为用户提供了一种功能更强、更先进的终端系统安全防护解决方案。由此可见，传统的响应式防病毒解决方案已经过时了。引入入侵防护功能后，VirusScanEnterprise8.0i就能够确保关键服务器和数据不会受到任何影响，从而确保企业业务的顺利进行。VirusScanEnterprise8.0i不仅是值得您信赖的安全产品，而且也是同行业中针对PC和服务器的最先进的前瞻性防护解决方案，它无可比拟的伸缩性能够充分满足任何规模企业的要求。在病毒或攻击爆发时，企业的业务需要依赖于VirusScanEnterprise8.0i的关键功能所提供的保护，其中包括：清除内存、注册表和文件，并防止恶意代码向其它系统扩散或传播。VirusScanEnterprise8.0i还引入了防病毒、入侵防护以及防火墙等多种功能，能够有效地抵御已知和未知的攻击。访问保护—全新的高级功能 VirusScanEnterprise8.0i提供了多种全新的高级功能，它们不仅可以抵御常规的威胁技术，而且能够有效地拦截多种新的和未知的恶意软件文件。这些新功能包括：端口拦截(PortBlocking)、文件名拦截(FileNameBlocking)、文件夹/目录锁定(Folder/DirectoryLockdown)、共享锁定(ShareLockdown)以及感染跟踪和拦截(InfectionTraceandBlock)。• 端口拦截使得管理员或用户能够关闭（拦截）传入或传出网络流量的端口。对传入的网络流量进行保护就意味着降低它们暴露给蠕虫或黑客的几率和风险。关闭未被使用的网络端口就可以防止攻击者探测操作系统和应用程序中的漏洞• 文件名拦截是一种入侵防护功能，它允许管理员通过创建一个或多个策略来控制系统或网络对特定文件或文件组可以执行的操作• 文件夹和目录锁定也是一种入侵防护功能，它允许管理员通过创建一个或多个策略来控制系统或网络能够对特定目录或文件夹的内容执行的操作• 共享锁定使得管理员能够通过创建一个或多个策略来控制系统或网络能够对共享执行的操作• 如果某个终端系统向运行着VirusScanEnterprise8.0i的系统发送了恶意代码，那么感染跟踪和报告功能就可以帮助管理员快速发现并报告（跟踪）该终端系统的IP地址，并自动拦截来自该IP地址的后续通信前瞻性地处理新混合威胁意味着有效减少病毒或攻击爆发的情况。攻击的多种因素都可以通过VirusScanEnterprise8.0i的不同功能得到有效的解决：端口拦截、文件/目录/共享锁定以及缓冲区溢出防护。管理员可以从此摆脱对传统产品更新响应的依赖。Entercept-下一代主机IPS增强的电子邮件扫描功能VirusScanEnterprise8.0i新增了针对LotusNotes客户端系统的电子邮件扫描功能。它能够扫描LotusNotes客户端发送给桌面机的所有电子邮件（HTML文本和附件）。无论客户使用哪种电子邮件客户端，都可以通过单一的配置面板完成配置。VirusScanEnterprise8.0i既支持安装了Outlook的系统，也支持安装了LotusNotes客户端的系统。脚本扫描程序（Java脚本和VisualBasic脚本）脚本扫描程序能够检测并防止系统执行利用了Java脚本和VBScript脚本的恶意代码（例如尼姆达(Nimda)、JS.NoClose以及LoveLetter），从而能够有效地防止系统感染。脚本扫描程序还能够阻止恶意代码通过网站，或者使用Java和VisualBasic脚本功能感染终端系统。潜在恶意程序安全防护VirusScanEnterprise8.0i使得用户和管理员能够从容应对某些最常见的潜在恶意软件程序。VirusScanEnterprise8.0i扩展了对新类型恶意代码的检测功能，这就意味着它能够为企业的敏感信息和资产提供更有效、更强大的保护。该产品在初始配置情况下能够防护约200种最具危险性的潜在恶意程序，用户还可以按照计划在潜在恶意程序安全列表中添加新发现的恶意程序。VirusScanEnterprise8.0i所包含的操作在细化程度上有了显著的提升：警告/通知、清除、删除/移除、移动/隔离以及操作提示。VirusScanEnterprise8.0i还允许用户和管理员根据企业的实际情况来添加、定义或创建恶意程序列表，例如广告软件、拨号软件、恶意玩笑程序、密码破解程序以及间谍软件等。潜在恶意程序安全防护功能可以帮助企业确保终端系统符合COE的要求，并便于用户和管理员进行控制和管理。对速度的需求目前已知的病毒已有81,000多种，根据ICSALabs的报告，病毒数量正在以每个月200多种的速度迅速增长，由此可见，威胁的数量越多，扫描病毒、蠕虫以及其它恶意代码时所面临的压力也就越大。到目前为止，病毒扫描速度没有逐渐减缓甚至停止的主要原因就是硬件性能的不断提升。与以往的版本相比，VirusScanEnterprise8.0i进一步提升了按需扫描的速度。通过使用最先进的技术和基础架构，VirusScanEnterprise8.0i的性能不但没有下降，反而得到了极大的提升。高风险性应用程序，如电子邮件、浏览器和Office应用程序将得到全面高强度的扫描，而备份软件和数据库则可以划分到低风险性类别，其要求的扫描强度也相对较小。有效防护的关键所在抵御威胁仅仅是这场战争的一半。确保防护方案的有效性才能帮助您赢得最终的胜利。有效防护的关键就在于集中管理和强制执行，为此，VirusScanEnterprise8.0i实现了与多种McAfee管理工具的无缝集成。无论是中小型企业(SMB)还是大型企业，McAfee总有一款管理工具能够适合您的要求。同时，McAfeeProtectionPilot™(SMB)和McAfeeePolicyOrchestrator®(Enterprise)都能够帮助VirusScanEnterprise8.0i提供集中的部署功能、策略配置和强制实施、以及详细的报告功能。这些工具将帮助您全面控制自己的系统，使您的组织能够有效抵御各种已知的和未知的威胁。0强大功能的动力引擎VirusScanEnterprise8.0i采用了经用户验证的、全球知名的McAfee扫描引擎。McAfee恶意软件防护扫描引擎提供了对病毒、蠕虫以及其他恶意代码攻击的全面防护。McAfee针对目前的各种威胁提供了一套全面的“发现-修补”解决方案，并采用先进的启发式技术和多种通用技术实现了对新威胁的前瞻性防护。McAfee恶意软件防护扫描引擎所采用的技术能够向下搜索全部数据，包括压缩文件、归档文件和打包文件，从而能够发现隐藏在最深处的威胁。所有这些功能都具有高度的可靠性，不会出现误报问题。4.1.2McAfeeePolicyOrchestrator3.5集中管理您的系统安全网络系统必须时刻警惕各种恶意威胁和攻击—威胁和攻击在网络中无处不在，它们在不断地探测网络的薄弱环节，并伺机对您的安全防护系统发起冲击。因此，管理员的工作就更像是一种取得“平衡”的任务。一方面是业务的要求—既要管理不断增加的设备，又要对不断增多的移动用户的需求做出响应。另一方面是安全性的要求—既要保证系统符合安全性要求，又要对下一代防护解决方案和产品（用于抵御不断翻新的威胁）的多个层级进行管理。因此，全面掌控系统的安全性，并对已有的安全部署进行增加，就成为了至关重要的一个环节。从根本上说，这些要求都是持续的，而且具有同等的重要性。忽视其中的任何一个都会使您陷入完全失衡的窘境。McAfee®ePolicyOrchestrator®3.5(ePO™)是一款在行业中居领先地位的系统安全管理解决方案—它为企业提供了一种协同的、前瞻性的防护手段，能够帮助企业有效抵御各种恶意威胁和攻击。ePO3.5是McAfee系统防护解决方案的核心，管理员可以通过它来降低恶意系统或不符合安全要求的系统所造成的风险、保持防护体系的最新状态、配置并强制实施防护策略、并通过一个真正企业级的、可伸缩的中央控制台对系统的安全状态进行全天候（24X7）的监控。降低恶意系统和不符合安全要求的系统所造成的风险对于所有的安全防护团队来说，减少易受攻击的漏洞数量应该是优先级最高的一项工作。一个缺乏合理防护管理的未知系统会给整个网络带来严重的威胁—未知威胁的不断重复感染、新漏洞的出现、潜在的威胁攻击目标或者传播点都是这些恶意系统所表现出来的病征和风险。因此，了解连接到该网络的所有系统对于确保企业安全性来说是至关重要的。有时，恶意系统的问题还会被其它因素进一步恶化，例如，在绝大多数网络中，接入网络的唯一要求就是物理连接。承包商、外包员工、会议室的访客或者一些已被遗忘的系统都有同等的机会连接到企业网络，而且会在不经意之间对网络的完整性和可用性构成严重的威胁。ePO3.5能够通过一种独特的方法来降低恶意系统或不符合安全要求的系统所造成的风险。通过分布式传感器，ePO3.5能够被动式地监控网络中任何一个基于局域网的连接，快速判断出这些连接当前是否由ePO3.5进行管理，并能够向没有被ePO3.5管理的恶意系统提供多种基于策略的响应。通过快速识别未经管理的系统，管理员就可以极大地提升系统的安全性，并减少恶意系统和不符合安全要求的系统所存在的漏洞。ePolicyOrchestratorePolicyOrchestratorRogueSensorRogueSensorRogueSensor检测到3个不兼容系统!!降低运行成本和基础架构成本ePO3.5将帮助您整合现有的安全供应商，与您的网络和安全基础架构集成，并通过对系统安全性进行集中管理来降低您的运行成本。全天候(24X7)的系统安全监控ePO3.5的集成通知服务和图形报表提供了全天候的安全可视性，使用户可以有效地监控系统的安全性、评估安全策略的状态并发现网络中的薄弱环节。快速、前瞻性的信息对于安全专家来说是至关重要的，尤其是对安全一致性和威胁活动进行监控时。ePO3.5针对安全一致性、威胁活动以及恶意系统提供了集成的警报和通知功能。由管理员定义的阀值将确保重要的警报能够通过电子邮件、SMS、文本寻呼机或SNMP陷阱发送给指定的负责人员。这些警报主要针对对威胁活动、防病毒一致性水平以及恶意系统的检测。ePO3.5提供了四十多种预定义报告，涵盖范围非常广泛。利用这些报告，用户可以轻松定位不符合安全要求的系统、跟踪突发问题的来源或确定安全策略的有效性。您可以随时获取各种信息，包括仅有一页的安全报告摘要以及有关病毒策略和活动、桌面机防火墙策略、系统漏洞、垃圾邮件和内容过滤策略的详细信息。此外，您还可以通过自定义报告来满足自己的特定需求。管理员可从多种可打印、可导出的报表形式中任意选择，其中包括三维条形图、饼图、折线图以及表格。ePO3.5集成了BusinessObjects®CrystalReports技术和Microsoft®MSDE/SQLServer，在操作的简便性和强大的功能之间实现了完美的平衡，能够满足任何规模企业的要求。强制防护和更新前瞻性管理安全策略遇到的一个最大的问题就是如何确保所有的系统都获得了最新的保护。ePO3.5通过自动强制实施策略确保了整个企业都能够符合安全性的要求，既防止了某些系统得不到及时更新，又有效地避免了最终用户修改设置或禁用某些关键性的防护。ePO3.5是有效管理更新过程的中心。管理员可以指定更新间隔（按计划更新），或者指定按系统、用户组或其它方式进行更新。分布式数据库的智能化设计无需服务器参与更新操作，所有更新都在整个网络范围内实施，从而降低了网络流量并提高了性能。此外，ePO3.5具有最全面的更新部署能力，能够有效地部署McAfee的所有DAT、引擎、服务包、修补文件以及补丁文件。前瞻性地评估Microsoft补丁的应用情况借助于ePO3.5，您可以简单直观地采取前瞻性措施来减少系统漏洞，并对补丁文件的部署效率进行评估。SystemComplianceProfiler(SCP)是ePO3.5的一个组件，它使得安全专家能够快速评估整个企业内系统安全的实施情况，包括重要的Microsoft安全补丁的部署情况。这种配置是基于规则的，而且可以由管理员或通过从McAfee下载的模板进行自定义设置，配置过程会在系统中搜索特定的文件、服务、注册表项或特定的Microsoft补丁引用信息。此外，您还可以通过补丁指纹（使用MD5哈希码）来确保Microsoft安全补丁的绝对完整性，并防止补丁伪造。安全一致性的重要性级别可由管理员来设定，并可以通过详细的、图形化的一致性报告进行监控。ePolicyePolicyOrchestratorSecurityBulletinMS04-025兼容不兼容!快速响应爆发事件ePO3.5是对爆发事件做出有效响应的关键所在，它使得管理员能够针对威胁定制出特定的响应措施。面对紧急情况，您可能需要立即更新所有的机器，此时，服务器就会命令所有的代理立即更新，并在整个网络中使更新立即生效。除此以外，爆发事件还可能要求您更改系统防火墙的策略，或者仅对网关策略进行修改或更新。ePO3.5使您能够做出快速响应，并可以集中处理当前的任务。ExpressGlobalUpdating确保了快速的企业更新（一小时内最多可更新50,000个系统），并能够通过ePO3.5强大的报表功能对所有的更新进行验证。通过全局网络对更新进行分发不仅提升了带宽的使用效率，而且大大提高了对新威胁和突发威胁的响应能力。保护移动用户有了ePO3.5，对移动员工的管理再也不会是令安全团队挠头的问题了。即使膝上型电脑没有连接到网络，通过强制实施策略以及在连接到Internet时进行更新，ePO3.5也可以有效地管理您无法管理的基础架构。由于移动用户和远程用户要求更高的灵活性，ePO3.5可以从最近的数据库中以最有效利用带宽资源的方式为他们提供更新，并允许延迟更新和重新开始更新。借助于ePO3.5，您的远程用户和移动用户就能够得到与局域网用户同样完善的保护，您也可以同样简单地对他们进行管理。简化整个企业范围内的管理ePO3.5的设计兼顾了企业级的扩展性能，可以通过每台服务器管理多达250,000个用户，并可以轻松地使用远程控制台从任何位置进行操作，从而大大节省了企业的硬件和管理成本。这些策略覆盖了恶意威胁防护的每一个层面，包括更新频率、个人防火墙设置、补丁评估、要扫描的文件类型以及启发式扫描设置，可设置于每一台计算机或每个组，并可完全由管理员进行定义。所有这些都可以被强制实施，从而确保对用户的妥善保护。您需要以多种语言管理企业的安全防护？没问题！您既要管理传统防病毒产品，又要管理最新的安全应用程序？简单！您需要不同管理员负责管理网络的不同部分？别担心！您有Windows®服务器、Linux服务器和NetWare文件服务器？容易！想与MicrosoftActiveDirectory进行集成？没问题！想增加系统防火墙和入侵预防？还是没问题！ePO3.5能够帮助您轻松解决所有这些问题。集成已有的关键性基础架构ePO3.5在设计之初就考虑了管理的效率问题，它能够很好地利用您在MicrosoftActiveDirectory(AD)做出的投入，不仅简化了变更控制，而且确保了整个企业内目录的一致性。与MicrosoftAD的集成使得用户能够按照计划将系统从AD目录导入到ePO3.5目录，此外，如果需要的话，您还可以在ePO3.5目录中创建出完全相同的AD组镜像。ePolicyOrchestratorePolicyOrchestratorMSActiveDirectoryFullMirroring4.1.3GroupShield6.0邮件服务器防护内嵌邮件系统邮件病毒防护系统将保证病毒不能通过的电子邮件传播，并且不能进入邮件数据库；保证从Internet发来的电子邮件不能携带病毒进入邮件服务器。在邮件服务器上安装GroupShield在每台邮件服务器上安装GroupShield。可首先对邮件服务器进行完全扫描，然后设定GroupShield定期（非工作时间对服务器进行扫描）。GroupShield的主要特征可参考服务器病毒防护体系中的说明。多种运行模式整个防病毒系统除了管理工作以外的就是对病毒的扫描和清除。病毒扫描程序的运行分为四种方式：访问时触发扫描(On-Access)：当系统在读、写、执行文件、拷贝、磁盘访问、系统关机、系统启动等时自动触发运行病毒扫描程序，扫描文件系统和操作系统，一旦发现病毒，给出报警；这是对系统的实时检测；按要求扫描(On-Demand)：按照用户要求，在指定的时间内自动扫描系统、文件系统、磁盘；手工扫描(Scan)：手工启动病毒扫描程序，对系统进行扫描；屏幕保护方式扫描(ScreenSaver)：当系统在空闲时，触发屏幕保护程序，自动开始对系统进行扫描；四种方式互相补充，构成对病毒扫描频率的互补。On-access扫描，保证对系统、文件系统的每次都正常进行，避免由于文件系统的操作，感染病毒。但是On-access并不能覆盖所有的文件系统，使有潜伏的病毒难以发现，这时用On-Demand扫描定时对整个系统或部分扫描，这种扫描一般频率比较低，和高频率的On-access扫描构成互补。这两种方式都是自动运行的。手工扫描作为一种补充手段可以彻底地对系统进行完全的扫描，也可以对有嫌疑的文件目录进行扫描，然后将病毒清除掉。屏幕保护方式扫描，利用系统的空闲时间，时刻读系统进行防病毒保护。各种扫描方式都有详细的日志信息，供管理人员进行病毒审计使用；同时，根据报警策略，给出相应的报警方式和结构。4.1.4黑龙江八一农垦大学网络防病毒部署图4.2桌面管理解决方案(IPDSMS)4.2.1IPDSMS公司简介上海创多软件有限公司是2002年成立的软件企业，公司由前微软（中国）有限公司的大区经理、前微软（中国）有限公司的高级技术顾问、IBM（中国）有限公司资深渠道市场经理等多名已经从事IT技术与市场的资深专家投资成立。

公司业务定位是以服务大众化企业IT应用和需求为出发点，运用成熟稳定的软件技术和行业经验，向用户提供轻便、实用、性价比高、实施容易、见效快的软件产品。

公司目前分上海总部和北京市场运营中心两大机构，其中上海总部负责产品研究与开发，及华东华南区域市场的开拓与发展；北京运营中心负责华北区市场的开拓与发展。公司计划将会在广东，西南，东北，西北等地开设办事机构，以服务当地的渠道合作伙伴和客户。

IPDSMS作为一个贯穿“轻便”、“简洁”思路的系统工具软件产品，产品直接体现以人为本的设计理念。简单化设计是国际上被广泛认可的设计理念，IPDSMS将IT管理业务中那些最繁杂的事务进行整理，形成了具有明确针对性的功能模块，满足IT经理对批量化作业、PC系统管理规范性、系统稳定性管控等各层次要求。4.2.2产品概述及特点IT基础设施及应用系统的工作稳定性对企业经营生产活动至关重要。计算机系统管理的目标之一就是要确保企业计算机系统运行的稳定性和可靠性。如果出现严重问题，其后果完全可以设想成一个城市大面积停电一样，使整个企业生产经营活动陷入混乱。实施全面、及时、有效和系统化管理是计算机信息系统运行可靠性的有力保证。而运用工具化的管理软件是IT经理掌握全局、运筹帷幄的重要手段之一。长期以来，计算机应用迅速普及，单位内部PC拥有量不断增加，而IT经理面对这几十成百甚至上千的PC，却没有一套有效的辅助性管理工具，依然沿用传统的手工作业模式。软硬件统计只能靠手工逐台登记，没有全局观，有时侯还需要拆开机箱。即使有人调换、安装及卸载根本无从了解。因此，对PC软硬件环境缺乏透明度和可把握度。PC在使用者手中，运行什么软件已经无法约束，而出了问题肯定是IT管理者的事情，不停地重新Ghost是很正常的事情。对于互联网及内部网络资源访问等，只能依赖网关或网络配置有限的能力，无法对PC的网络行为进行约束，有的为了抢占资源，私自改动IP，造成地址冲突。对于日常重复性最大的批量作业，如操作系统安全补丁及大范围软件安装升级等工作，只能逐台进行，耗时耗力。PC出现故障，不论故障大小，电话支持不能彻底解决问题，只好亲赴现场，常常为一个三分钟可以搞定的问题浪费大量时间，也无法保证快速响应。因此，IT管理人员为了确保计算机系统稳定运行需要付出成倍的工作量。而采用工具化、智能化的管理工具，能够极大地提高管理效率和质量，降低工作压力，达到事半功倍的效果。IPDSMS就是针对目前系统管理的种种问题和挑战推出的网络管理软件。它从企业IT管理的五大普遍性需求出发，形成了资产管理、进程管理、软件分发、远程桌面管理及网络行为管理等具有明确针对性的功能架构。IPDSMS系统管理套件经过了深入分析提炼，着眼于IT日常事务，最大程度地辅助管理者缔造一个稳定、可靠、高效、规范的计算机应用环境，使计算机100%为单位的经营和生产服务。与其他的网管软件不同，IPDSMS以网络中的计算机桌面管理为重点，从静态的资产管理到动态的行为管理，从事前的策略指定到出现问题的远程维护，作到了一套软件，解决相关的各个问题。IPDSMSIPDSMS系统管理套件资产管理进程管理软件分发网络访问管理远程桌面管理可以用以下几点概括IPDSMS的特点：IPDSMS是提供给IT经理自己使用的工具企业中随着业务系统的推进，购买了各种各样的硬件、各种各样的软件。但是作为网络管理的基础设施，IT经理一直没有一套很好的工具，能帮助自己规范网络管理工作。IPDSMS是一套面向企事业IT经理的专业管理工具，能提供计算机资产管理、进程控制、软件分发、远程桌面管理等多项功能。IPDSMS是一套高性价比的软件系统并提供了IT经理最经常使用的功能，其设计目标就是帮助IT经理处理一些重复琐碎的工作，而让IT经理有更多时间和经历处理高层次应用的问题。IPDSMS集成了系统管理需要的各种功能为了加强网络管理，IT经理会使用各种各样的软件来帮助自己。使用EXCEL来记录资产信息，使用SUS进行软件分发,pcanywhere进行远程桌面管理，使用一些共享软件进行网络管理。这些软件用在网络管理的各个环节，零零散散的发挥作用。IPDSMS集成了网络管理所需要的各种功能，作为一个整体为网络管理人员提供了一个完整的解决方案。IT

经理再不要烦恼用什么工具去解决什么问题了。而且随着网络管理的需要,IPDSMS在不断的扩展中，将会为网络管理提供越来越强大的技术保障。IPDSMS特点就是轻便易用，是“瑞士军刀”式的网管软件IPDSMS最突出的一个特点就是轻便性（LightWeight），系统采用IE作为管理界面，IT经理可以随时随地实施管理，使IT经理快速掌握系统，省去复杂的调试和阅读厚厚的手册。降低了软件的总体使用成本。IPDSMS作为IT管理的一个助手，在提供实用功能的基础上，最大程度地降低产品使用及实施的复杂度，使产品在实用的同时，也更加易用，同时考虑到对用户计算机及网络资源可能产生消耗，系统采用了完全事件触发模式（Event-Driven）的基础架构，使其正常情况对资源消耗降到最低。IPDSMS良好的可伸缩性能适应复杂、庞大的网络架构IPDSMS良好的系统架构支持它能够适应各种网络结构和访问需求。小到几个点十几个点的网络，达到几千个点的企业级网络，IPDSMS都能提供管理能力和短的响应时间。IPDSMS在各种类型企业实施的效果也证明了它良好的伸缩性。基于浏览器的使用界面方便实用由于采用B/S架构的设计模式，使得IPDSMS的使用也简单。不需要要在使用的管理计算机上安装任何软件，使用浏览器就可以进行管理和维护工作，甚至能进行远程控制管理。终端PC终端PC终端PC被管理终端PCTCP/IPIPD服务器IISWeb服务ISAPI网络内PC的IE/Netscape/Opera等浏览器HTTP/SSL 4.2.3系统功能简介IPDSMS作为网络管理人员的”利器”,从系统的安装、配置，到系统的界面、功能安排都体现了“傻瓜”、“简单”的设计原则。力求使用者能在最短的时间内找到需要的功能，最简单、直接的方式实现所想达到的目的。IPDSMS系统包括六大模块，分别是：资产管理进程管理软件分发远程桌面管理网络访问管理设备管理计算机管理随着单位的规模不同，单位的计算机也会从十几台到几千台不等。需要一个统一的编号能进行计算记识别和管理。通过IPDSMS的管理，可以对计算机实物进行统一管理，自动编号、自动记录计算机的硬件、软件配置情况和变动情况。IPDSMS具有自动网络扫描功能。通过高效率的扫描引擎，搜索网络内计算机列表。并且查看分辨网络中的所有计算机。一旦被识别进入数据库中，通过唯一的硬件标识对计算机的行为进行记录。即使重新安装代理软件、重新安装操作系统也能保留识别标示。计算机编号管理在网络内计算机被纳入IPDSMS的管理后，IPDSMS会自动对计算机进行编号管理。这个编号也可以根据单位自己的业务需要进行编码。比如可以根据使用人员或者部门的名称编号，也可以根据计算机的资产管理编码进行编号。这样可以扩展计算机的管理模式，方便管理员的管理工作。在线计算机列表通过实时的在线列表功能，可以列出网络内计算机的在线情况和不在线计算机的情况。同时还可以查看计算机安装IPDSMS客户端的情况。这样可以方便的统计哪些机器还没有安装客户端，没有纳入IPDSMS的管理。分组管理单位的计算机管理可以是按照部门进行管理，也可以按照单位职位的差别进行管理。IPDSMS提供按组的模式进行管理。通过分组可以统一进行策略的制定和管理。在分组确定后，将相关的计算机加入到分组当中就可以了。资产管理资产管理包括两部分，硬件资产和软件资产。硬件资产的管理是传统意义上的资产管理，包括硬件型号、配置、变化等等。大多数企业在软件内部开发或外部采购投入巨资，但却缺少或者没有在对这些软件进行有效管理。由此而产生的复杂的IT架构，不规范的软件应用，过高的维护成本，以及潜在的安全隐患使企业越来越头疼。而如果实施软件资产管理解决方案，就可通过掌控软件使用的整个生命周期来战略性的部署企业IT架构，并通过制定一系列有效的管理措施，配合系统管理的使用，从而合理控制软件购置的支出，真正提升软件资产的利用率与整体效益。网络计算机信息自动汇总通过IPDSMS的智能代理，可以自动把网络内计算机的信息自动上传到服务器数据库中。通过自动汇总的方式，免除了管理员需要逐台登记的繁重工作，增强了信息的准确性和时效性。计算机硬件资产管理在硬件资产管理中，可以查询到网络中每台计算机的硬件配置。包括计算机名称、计算机编号、IP地址、Mac地址、以及

CPU类型、硬盘类型、内存大小、显卡型号等常用的信息。计算机软件资产管理计算机软件资产管理可以查询到网络中计算机的软件安装情况，并对安装的数量进行汇总。从基本的操作系统情况、应用软件安装情况到系统补丁安装情况、驱动程序安装情况。软件资产管理中汇总了最全、最新的计算机软件安装信息。有了软件资产管理，管理人员再也不用担心不知道是不是所有机器都安装了要求安装的软件，不用担心是不是有人私下安装了游戏却不知道，不用担心是不是安装的正版软件数量超过了License授权数量了。计算机变动情况报表管理员需要掌握每天网络里面的计算机都发生了什么变化，包括硬件配置变更、安装或者卸载软件的情况。IPDSMS提供的计算机变动情况表可以及时的反应这方面的变化。变动表中，可以看到变动机器的机器名称、编号、IP地址、Mac地址、变动明细情况以及变动的日期。有了变动表，管理员再也不用担心面对的是一个“黑盒子”了。进程管理进程管理是计算机行为管理的一大组成部分。通过进程管理，可以规范PC的内在行为。规定用户可以做什么，不可以做什么。IPDSMS对进程的管理是通过对进程进行分类，分成合法运行的程序以及不允许运行的进程两大类。然后设定白名单和黑名单。如果在办公环境中要求比较严格，只允许计算机运行预先规定的几种软件，可以使用白名单。这样如果计算机试图运行规定之外的软件，会被自动切断运行的途径，保证预定的策略得到执行。比如规定办公室只能运行Office、ERP等几种和办公有关的软件，其他的一律为不允许使用的软件，可以把这些软件放到白名单中。如果办公环境要求比较宽松，只是要求不允许运行几种违反规定的软件，可以使用黑名单功能。比如单位规定聊天类软件QQ,MSN不允许使用，其他都是可以的，可以使用黑名单功能。进程分组管理进程分组管理是为了减轻管理人员的工作量而设定的“贴心”功能。由于进程的数量可能很多，如果直接对这些进程进行管理、设定策略会很繁琐。所以IPDSMS引入进程组的概念。通过将类似的软件分组或者将需要统一管理的软件分组可以减轻维护量。比如将Word,Excel,Powerpoint,Access分为Office组，在设定策略的时候可以赋予用户Office组运行权限就可以了。以后增加了别的Office办公软件，只需要将该软件添加到Office组中就可以了。计算机行为策略设定计算机行为策略就是指白名单和黑名单的设定。在白名单中，可以查看、修改某个工作组被允许运行的进程组是哪些。在黑名单中，可以查看指定某个工作组被禁止使用哪个进程组，甚至某台计算机不允许运行哪个进程组、哪个程序。计算机行为监控与管理在设定了白名单或者黑名单的基础上，IPDSMS对网络中的计算机进行监控和管理。如果用户试图运行合法权限以外的软件，系统会发出信息警告并且杀掉非法的进程。通过这种方式，实现了行为管理的控制。软件分发以前软件分发是一项很艰巨的任务。每次当有新的应用、补丁或者驱动程序，IT部门就需要花费整个周末的时间，在几百台机器上安装这些新的软件。根据被安装的软件的大小，这样的工作通常会用掉整个周末。由于整个周末的加班，到了星期一全部都显得筋疲力尽，而这还不是全部，很快就会被用户的电话包围，因为他们不理解那些新的软件。现在通过IPDSMS的软件分发功能，这些工作已经完全自动化了。大到几百兆的办公软件、小到几十K的补丁程序都可以通过软件分发完成。支持多种分发任务、分发格式IPDSMS的软件分发通过分发任务的方式来实现。原来的复杂的分发情况被简化为通过设置和选项来设定分发的过程。系统提供了指定分发时间、分发时段、分发持续时间、分发连续执行天数、操作系统选择等分发参数。同时，系统支持MSI格式、普通安装程序、

可执行文件格式、数据文件格式等多种分发的文件格式。大部分的软件分发任务都可以通过IPDSMS完成。其中，对MSI格式的完美支持使的分发任务异常简单。远程唤醒分发任务对于晚上统一软件安装的情况，如果计算机的网卡支持远程唤醒，还可以进行远程唤醒安装软件。这样软件分发的工作不受时间限制和上班时间的限制。分发任务结果统计在安装结束后还可以设定进行结果统计。通过分发任务统计表可以随时看到每个软件任务的安装情况和结果，有多少计算机、多少比率的计算机进行了软件分发工作，成功的有多少。给管理员的下一步工作提供参考。远程桌面管理管理员的时间相当一部分花在东奔西走解决一些琐碎的问题上。IPDSMS的远程桌面管理可以把管理员从这种工作模式中解放出来，不必亲赴现场处理PC发生的故障，只需要通过远程技术支持，通过远程操作用户的计算机，帮助用户解决他们碰到的问题。可控制远程用户管理可以进行远程桌面管理的计算机都在一个统一的界面中罗列出来。通过列表管理员可