网络防病毒系统规划

计算机病毒形式及传播途径日趋多样化，网络防病毒工作已不再是简单的单台计算机病毒的检测及清除，需要建立多层次的、立体的病毒防护体系，而且要具备完善的管理系统来设置和维护病毒防护策略。这里的多层次病毒防护体系是指在企业的每台客户端计算机上安装防病毒系统，在服务器上安装基于服务器的防病毒系统，在Internet网关安装基于Internet网关的防病毒系统。对企业来说，防止病毒的攻击并不是保护某一台服务器或客户端计算机，而是从客户端计算机到服务器到网关以至于每台不同业务应用服务器的全面保护，这样才能保证整个网络不受计算机病毒的侵害。

一、防病毒系统总体规划

防病毒系统不仅是检测和清除病毒，还应加强对病毒的防护工作，在网络中不仅要部署被动防御体系（防病毒系统）还要采用主动防御机制（防火墙、安全策略、漏洞修复等），将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统，保证不出现防病毒漏洞。因此，远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。

在跨区域的广域网内，要保证整个广域网安全无毒，首先要保证每一个局域网的安全无毒。也就是说，一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的企业网病毒防护体系。

1.构建控管中心集中管理架构
保证网络中的所有客户端计算机、服务器可以从管理系统中及时得到更新，同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被系统管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。

2.构建全方位、多层次的防毒体系
结合企业实际网络防毒需求，构建了多层次病毒防线，分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面布控。

3.构建高效的网关防毒子系统
网关防毒是最重要的一道防线，一方面消除外来邮件SMTP、POP3病毒的威胁，另一方面消除通过HTTP、FTP等应用的病毒风险，同时对邮件中的关键字、垃圾邮件进行阻挡，有效阻断病毒最主要传播途径。

4.构建高效的网络层防毒子系统
企业中网络病毒的防范是最重要的防范工作，通过在网络接口和重要安全区域部署网络病毒系统，在网络层全面消除外来病毒的威胁，使得网络病毒不再肆意传播，同时结合病毒所利用的传播途径，结合安全策略进行主动防御。

5.构建覆盖病毒发作生命周期的控制体系
当一个恶性病毒入侵时，防毒系统不仅仅使用病毒代码来防范病毒，而是具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理，特别是对利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。防毒系统在病毒代码到来之前，可以通过网关可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制，使得新病毒未进来的进不来、进来后又没有扩散的途径。在清除与修复阶段又可以对发现的病毒高效清除，快速恢复系统至正常状态。

6.病毒防护能力
防病毒能力要强、产品稳定、操作系统兼容性好、占用系统资源少、不影响应用程序的正常运行，减少误报的几率。

7.系统服务
系统服务是整体防毒系统中极为重要的一环。防病毒体系建立起来之后，能否对病毒进行有效的防范，与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求软件提供商要有全球化的防毒体系为基础，另一方面也要求厂商能有精良的本地化技术人员作依托，不管是对系统使用中出现的问题，还是用户发现的可疑文件，都能进行快速的分析和方案提供。如果有新病毒爆发及其它网络安全事件，需要防病毒厂商具有较强的应急处理能力及售后服务保障，并且做出具体、详细的应急处理机制计划表和完善的售后服务保障体系。

二、防病毒系统具体需求

在选择防病毒系统时，首先要考虑到整体性。企业级防病毒系统解决方案针对一个特定的网络环境，涉及不同的软硬件设备。与此同时，病毒的来源也远比单机环境复杂得多。因此所选择的防病毒系统不仅要能保护文件服务，同时也要对邮件服务器、客户端计算机、网关等所有设备进保护。同时，必须支持电子邮件、FTP文件、网页、软盘、光盘、U盘移动设备等所有可能带来病毒的信息源进行监控和病毒拦截。

1.病毒查杀能力
病毒查杀能力是最容易引起用户注意的产品参数，可查杀病毒的种数固然是多多益善，但也要关注对实际流行病毒的查杀能力。因为用户是要用它查杀可能染上的病毒，有些病毒虽然曾流行过，但却是今后不会再遇上的。例如使用系统漏洞泛滥的病毒，当系统补丁成功更新后，该类病毒将不再生效。

[1]