一、需求分析

　　1、網(wǎng)絡(luò)規(guī)劃

　　武鋼集團(tuán)運(yùn)輸部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是星型快速以太網(wǎng)，采用Cisco的2900做為主交換機(jī)，下面使用Switch/Hub做為級聯(lián)，全部服務(wù)器為PC Server，操作系統(tǒng)為微軟的NT/2000，且連接在頂級的Cisco交換機(jī)上，另外兩個獨(dú)立建筑物，通過光纖模塊進(jìn)行的級聯(lián)，其它八個車站通電話撥號接入運(yùn)輸部機(jī)房的二臺3Com RAS1500服務(wù)器，二臺1500接入服務(wù)器共提供16個撥入口，撥入用戶通過RAS1500的以太口連接Cisco主交換機(jī)，全部聯(lián)網(wǎng)有計(jì)算機(jī)200余臺，整個網(wǎng)絡(luò)通過一條光纖與武鋼大網(wǎng)連接。由于Internet出口在武鋼大網(wǎng)，整個運(yùn)輸部網(wǎng)絡(luò)可以通過武鋼大網(wǎng)接入Internet，但為了安全考慮，運(yùn)輸部通過代理服務(wù)器做了限制，只有少許的IP才能上Internet。

　　運(yùn)輸部網(wǎng)絡(luò)的IP地址分配采用表態(tài)IP，網(wǎng)段號位:A.B.C.x，其中A.B.C.x為保留網(wǎng)段，其中A.B.C.200至A.B.C.2xx為3Com RAS1500接入服務(wù)器DHCP專用。

　　運(yùn)輸部網(wǎng)絡(luò)中的需要保護(hù)的核心服務(wù)器為(A.B.C.1)NT 4，該服務(wù)即是主域控制器，又提供WWW服務(wù)，也是數(shù)據(jù)庫服務(wù)器。SQL Server7、DOMINO群件系統(tǒng)、MIS等多個重要系統(tǒng)運(yùn)行在此服務(wù)器。(如下圖所示)

　　2、用戶安全需求考慮

　　目前，武鋼運(yùn)輸部的計(jì)算機(jī)網(wǎng)絡(luò)軟硬件基礎(chǔ)建設(shè)工作已基本完成，但是還沒有采取任何的網(wǎng)絡(luò)安全保護(hù)措施，根據(jù)瑞星工程師的實(shí)地調(diào)研，發(fā)現(xiàn)運(yùn)輸部網(wǎng)絡(luò)面臨著很大的危險，眾多重要部門的計(jì)算機(jī)都存在黑客程序、計(jì)算機(jī)病毒，這樣一些重要信息很容易被一些黑客或惡意員工得到，而且下一步武鋼運(yùn)輸部的網(wǎng)絡(luò)要與其它各兄弟單位互聯(lián)。武鋼運(yùn)輸部已經(jīng)充分認(rèn)識到安全的重要性，北京瑞星公司通過對武鋼運(yùn)輸部網(wǎng)絡(luò)平臺、應(yīng)用的深入剖析和廣泛調(diào)研，確定了以下幾個需要考慮的安全防護(hù)要點(diǎn):

　　* 網(wǎng)間隔離

　　計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展就是互聯(lián)更多的網(wǎng)絡(luò)，來更利于和各企業(yè)及單位通訊。眾多企業(yè)和個人借助網(wǎng)絡(luò)平臺完成各種工作，因此網(wǎng)絡(luò)平臺或網(wǎng)絡(luò)服務(wù)器也將成為黑客攻擊的眾矢之的。在利用網(wǎng)絡(luò)作為通訊的載體的同時，又要保證網(wǎng)絡(luò)平臺相對安全，這是網(wǎng)絡(luò)互聯(lián)扣首要考慮的問題。

　　* 網(wǎng)絡(luò)病毒的防護(hù)

　　在網(wǎng)絡(luò)中，計(jì)算機(jī)病毒的主要傳播方式已經(jīng)從軟盤介質(zhì)感染轉(zhuǎn)到了從網(wǎng)絡(luò)服務(wù)器和互聯(lián)網(wǎng)郵件感染上來，由于文件共享及郵件傳播病毒較之軟盤介質(zhì)傳播病毒呈不可預(yù)見性、迅速擴(kuò)散性及日益增多性，使得網(wǎng)絡(luò)用戶單位防不勝防;而網(wǎng)絡(luò)一旦被病毒侵入并發(fā)作，將會對企業(yè)數(shù)據(jù)的安全性和企業(yè)自身利益造成嚴(yán)重的危害。因此，有效防止計(jì)算機(jī)病毒危害，保護(hù)好網(wǎng)絡(luò)資源是計(jì)算機(jī)網(wǎng)絡(luò)安全工作的重要環(huán)節(jié)。

　　* 網(wǎng)絡(luò)防范缺乏層次感

　　在考慮平臺整體安全的時候，如果將所有功能區(qū)域的安全放在同一水平線上，既浪費(fèi)了有限的才力、物力、人力，也達(dá)不到很好的效果。公司應(yīng)有選擇性的對重要網(wǎng)段重點(diǎn)保護(hù)。

　　* 對系統(tǒng)自身缺陷了解有限

　　運(yùn)輸部網(wǎng)絡(luò)中擁有一些重要的服務(wù)器供來WWW、FILE、MAIL等服務(wù)，對于非安全專業(yè)人員來說，很難將每一種系統(tǒng)的缺陷和安全漏洞了解清楚，因此需要借助第三方智能軟件幫助用戶解決這個安全隱患，并提出相應(yīng)的安全專家建議。

　　* 缺少安全監(jiān)控手段

　　網(wǎng)間隔離只能起到邊界保護(hù)的作用，無法抵制網(wǎng)絡(luò)內(nèi)部攻擊行為。另外攻擊行為通常是經(jīng)過幾個步驟逐步實(shí)施的，如果能夠盡早察覺網(wǎng)絡(luò)中的可疑操作，防患于未然就能夠最大限度的保護(hù)網(wǎng)絡(luò)資源。在網(wǎng)絡(luò)內(nèi)部增加安全監(jiān)控機(jī)制可以實(shí)現(xiàn)在不影響系統(tǒng)正常運(yùn)行和不改變系統(tǒng)內(nèi)核的情況下，完成系統(tǒng)運(yùn)行情況數(shù)據(jù)的采集、系統(tǒng)故障預(yù)警和告警、部分調(diào)整工作的實(shí)施并提供分析數(shù)據(jù)和部分參考解決方案等項(xiàng)功能，做到攻防結(jié)合。

　　* 數(shù)據(jù)備份和恢復(fù)措施不完善

　　數(shù)據(jù)是所有應(yīng)用的核心，網(wǎng)絡(luò)數(shù)據(jù)的安全性極為重要，一旦重要的數(shù)據(jù)被破壞或丟失，會對日常業(yè)務(wù)造成重大的影響，甚至是難以彌補(bǔ)的損失，運(yùn)輸部的網(wǎng)絡(luò)主服務(wù)器上運(yùn)行了很多重要數(shù)據(jù)庫，現(xiàn)在沒有采取任何數(shù)據(jù)備份，一旦發(fā)生故障，后果是相當(dāng)嚴(yán)重。
　二、網(wǎng)絡(luò)病毒防護(hù)解決方案

　　根據(jù)武鋼集團(tuán)運(yùn)輸部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和防病毒要求，在充分考慮可行性的基礎(chǔ)上，在整個武鋼集團(tuán)運(yùn)輸部網(wǎng)絡(luò)防病毒管理架構(gòu)方面，我們建議采用分級管理、多重防護(hù)的管理架構(gòu)，具體包含以下幾個方面的內(nèi)容:

　　1、 分級管理、多重防護(hù)的管理架構(gòu)

　　分級管理、多重防護(hù)的管理包含以下幾方面的內(nèi)容:

　　在運(yùn)輸部局域網(wǎng)的域控制器上安裝一個瑞星殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心，負(fù)責(zé)管理運(yùn)輸部局域網(wǎng)中各科室的服務(wù)器和工作站。至于通過撥號接入運(yùn)輸部局域網(wǎng)的8個車站，首先我將他們劃分為3個區(qū)域，將車輛段、配料車站和軋鋼車站組成一個區(qū)域，稱區(qū)域1;將礦石車站、武鋼車站和煉鐵車站組成區(qū)域2;煉鋼車站和原料車站組成區(qū)域3。分別在這3個區(qū)域安裝一個瑞星殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心，分別負(fù)責(zé)管理各個區(qū)域所管轄車站局域網(wǎng)內(nèi)的計(jì)算機(jī)。劃分3個區(qū)域安裝3個系統(tǒng)中心，而不是分別在8個車站個安裝一個系統(tǒng)中心(共8個系統(tǒng)中心)是在降低成本的同時，提高產(chǎn)品的利用率。

　　2、 每臺計(jì)算機(jī)上均安裝瑞星殺毒軟件網(wǎng)絡(luò)版的客戶端或服務(wù)器端，并保證每臺客戶端和服務(wù)器端上的均時刻運(yùn)行瑞星實(shí)時監(jiān)控程序。

　　3、安裝完瑞星殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺中對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機(jī)的查殺毒。

　　4、運(yùn)輸部系統(tǒng)中心負(fù)責(zé)整個運(yùn)輸部局域網(wǎng)內(nèi)的升級工作。由于在整個運(yùn)輸部局域網(wǎng)內(nèi)，只有運(yùn)輸部局域網(wǎng)與Internet出口，同時為了安全和管理的方便起見，可以系統(tǒng)中心定期地、自動地到瑞星網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動將最新的升級文件分發(fā)到運(yùn)輸部局域網(wǎng)中各科室的客戶端與服務(wù)器端，并自動對瑞星殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。

　　同時，與運(yùn)輸部局域網(wǎng)相連8個車站是通過所在區(qū)域的各系統(tǒng)中心自動地到運(yùn)輸部局域網(wǎng)的系統(tǒng)中心處獲取最新的升級文件，然后自動將最新的升級文件分發(fā)到其所轄的客戶端與服務(wù)器端，并自動對瑞星殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。

　　采取這種升級方式，一方面可以確保運(yùn)輸部整個局域網(wǎng)內(nèi)的瑞星殺毒軟件的更新保持同步，使整個運(yùn)輸部局域網(wǎng)具有最強(qiáng)的防病毒能力。另一方面，由于整個網(wǎng)絡(luò)的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中因?yàn)闆]有及時升級為最新的病毒定義碼和掃描引擎而拾取最前的防病毒能力，同時，因?yàn)橹挥羞\(yùn)輸部局域網(wǎng)才有Internet出口，也便于整個網(wǎng)絡(luò)地安全管理。

　　5、 系統(tǒng)中心負(fù)責(zé)其所轄范圍內(nèi)的所有客戶端和服務(wù)器端病毒報(bào)警日志的集中管理及維護(hù)，管理員應(yīng)定期查看這些病毒報(bào)警日志，以及時地、準(zhǔn)確地了解整個網(wǎng)絡(luò)內(nèi)的病毒發(fā)作情況。

　　武鋼網(wǎng)絡(luò)病毒防護(hù)拓?fù)鋱D和智能升級方式