大型的企業集團通常擁有較多的下屬公司、部門及駐外的分支機構,網絡的建立為其經營管理提供了一個便捷的信息化平台。然而面對越來越猖獗的病毒威脅,企業網絡卻又處處顯現出安全的脆弱性——網絡堵塞癱瘓、數據損毀、機密洩漏。大型企業網絡需要有效的反病毒控制,需要全網的防護。但面對諸多跨地域機構的計算機網絡系統,如何實現反病毒管理控制的低成本,同時又實現網絡反病毒安全策略的統一部署和實時生效,這是擺在每個企業網絡管理者面前的一道難題,由此我們提出了反病毒的跨地域控制策略。
反病毒跨地域控制需面對的基本問題:
1.什麼樣的體系結構適於反病毒跨地域控制?
目前大型企業網絡一般都包括企業廣域網(Enterprise WAN) 和企業局域網(Enterprise LAN),企業總部通過廣域網連接到各分支機構的局域網。對於這種跨地域網絡, B/S反病毒體系具備較強的適應性、能夠靈活控制。首先因為它為異種機、異種網的聯機、聯網、統一服務提供了最現實的開放性基礎,能夠很好的適應企業網絡的跨地域復雜特性,對於利用internet連接的企業廣域網這種優勢更見明顯。其次,由於控制台基於web接口,管理員不用必須在特定管理節點(如網絡中心機房主機)進行操作,利用控制台的移動性可以實現靈活控制。
2.采取何種管理機制更為有效?
反病毒跨地域控制對管理機制提出了更高要求。因為無法親臨現場確認,管理的可靠性應放在首位。對此,管理系統應能及時反饋遠程網絡的安全狀態和指令實施結果,即通過主動搜集結合反饋確認的方式來保證可靠性。其次,需要能統一控制的中央節點。遠程控制實質是企業全網反病毒的一個方面,擁有中央控制節點能夠實現對各跨地域分支機構反病毒工作的統一控制,使網管員能夠把握整體局勢。同時,有必要在各受控子網增設下級管理節點,通過授權的方式實現本地管理,提供靈活性。
3.反病毒策略的配置
在反病毒跨地域控制中,對策略配置的要求可概括為“集中制定、針對性配置、實時生效”。對於跨地域機構的網絡可以設置專門的系統中心,同時下屬多個分組。系統中心的建立可以實現策略統一制定,通過“組”的細分可以實現策略針對性部署。反病毒策略的配置需要實時生效,以第一時間更新防護措施。
4.如何實現跨地域反病毒系統升級?
反病毒系統需要及時升級更新,而在跨地域升級控制時需考慮如下方面:internet帶寬限制、升級的效率和可靠性。解決辦法是在分支機構的網絡中建立獨立升級服務器,升級服務器通過internet下載更新程序,這相當於以代理的形式實現了網絡單出口升級,減少了帶寬占用。這樣作的另一個好處是升級可控,管理員只需通過合理部署升級服務器就能控制升級數據流的路線,同時也使負載得到了均衡。