大型的企业集团通常拥有较多的下属公司、部门及驻外的分支机构,网络的建立为其经营管理提供了一个便捷的信息化平台。然而面对越来越猖獗的病毒威胁,企业网络却又处处显现出安全的脆弱性——网络堵塞瘫痪、数据损毁、机密泄漏。大型企业网络需要有效的反病毒控制,需要全网的防护。但面对诸多跨地域机构的计算机网络系统,如何实现反病毒管理控制的低成本,同时又实现网络反病毒安全策略的统一部署和实时生效,这是摆在每个企业网络管理者面前的一道难题,由此我们提出了反病毒的跨地域控制策略。
反病毒跨地域控制需面对的基本问题:
1.什么样的体系结构适于反病毒跨地域控制?
目前大型企业网络一般都包括企业广域网(Enterprise WAN) 和企业局域网(Enterprise LAN),企业总部通过广域网连接到各分支机构的局域网。对于这种跨地域网络, B/S反病毒体系具备较强的适应性、能够灵活控制。首先因为它为异种机、异种网的联机、联网、统一服务提供了最现实的开放性基础,能够很好的适应企业网络的跨地域复杂特性,对于利用internet连接的企业广域网这种优势更见明显。其次,由于控制台基于web接口,管理员不用必须在特定管理节点(如网络中心机房主机)进行操作,利用控制台的移动性可以实现灵活控制。
2.采取何种管理机制更为有效?
反病毒跨地域控制对管理机制提出了更高要求。因为无法亲临现场确认,管理的可靠性应放在首位。对此,管理系统应能及时反馈远程网络的安全状态和指令实施结果,即通过主动搜集结合反馈确认的方式来保证可靠性。其次,需要能统一控制的中央节点。远程控制实质是企业全网反病毒的一个方面,拥有中央控制节点能够实现对各跨地域分支机构反病毒工作的统一控制,使网管员能够把握整体局势。同时,有必要在各受控子网增设下级管理节点,通过授权的方式实现本地管理,提供灵活性。
3.反病毒策略的配置
在反病毒跨地域控制中,对策略配置的要求可概括为“集中制定、针对性配置、实时生效”。对于跨地域机构的网络可以设置专门的系统中心,同时下属多个分组。系统中心的建立可以实现策略统一制定,通过“组”的细分可以实现策略针对性部署。反病毒策略的配置需要实时生效,以第一时间更新防护措施。
4.如何实现跨地域反病毒系统升级?
反病毒系统需要及时升级更新,而在跨地域升级控制时需考虑如下方面:internet带宽限制、升级的效率和可靠性。解决办法是在分支机构的网络中建立独立升级服务器,升级服务器通过internet下载更新程序,这相当于以代理的形式实现了网络单出口升级,减少了带宽占用。这样作的另一个好处是升级可控,管理员只需通过合理部署升级服务器就能控制升级数据流的路线,同时也使负载得到了均衡。
