某市电子政务建设的病毒防治解决方案
来源:中国电子政务网 更新时间:2012-04-15

一.某市信息化建设的现状

  某市是全国信息化建设的示范单位,通过ATM高速接入INTERNET。骨干光纤网基本上都采Cisco4000系列以上的路由器,主要网段都采用Catalyst4600系列的交换机。目前某市下属的148个单位拥有1000台左右的计算机, 1000台计算机大约划分为50个网段,最大的网段拥有100台左右的计算机。目前拥有的50多台服务器以PC Server为主。某市目前已经建成应用广泛的OA系统,基于Lotus Notes5.0以上平台。另外某市也实施了GIS系统和税务系统,并且基于宽带网的优势,架构实现了VOD视频点播系统。

二.某市信息化建设的病毒防治需求

  全区1000多个点仍然采用单机防护为主的方式。全区1000多个点划分为50个左右的网段,大多数采用了金山毒霸标准版等单机防护软件,信息中心对全区不能实现统一的病毒防治管理。基于金山毒霸的反病毒经验,某市的反病毒方案需要满足以下基本几点:
1. 必须能够实现集中式的管理,即可以由信息中心统一管理全区1000台节点的反病毒运行。
2. 必须能够和现有的系统良好的结合,不影响现有的系统正常运行,安装实施也尽可能的减少对现有系统的配置操作。
3. 具有优秀的引擎,对病毒能有效的防护和处理,能够确定病毒的发作源,并且能安全的清除和处
理。
4. 对OFFICE的宏病毒具有较强的处理能力,能最好的配合政务系统的病毒防治。能够对大多数的感染宏病毒的文件进行病毒清除,必须能够较大程度上保证这些文件不出现损坏和乱码的情况。
5. 便于管理和操作,提供先进的管理方式;管理员可以在主控台对全网客户端进行监控和管理,可以直接对客户端下达查毒,杀毒等操作命令。
6. 便于维护,具有很高的稳定性,反病毒体系架构后系统本身应该不出现明显的运行问题,并且提供方便的维护操作。
7. 能够有优秀的病毒响应机制,出现病毒能在12个小时内反应,并且在24个小时内提供解决方案。
8. 能够提供完善高效的后续服务,并且能在5年内保证服务质量。

三.以金山毒霸网络版为核心的病毒防治实施方案

    根据某市目前网络的状况和反病毒的需求,在充分考虑可行性的基础上,金山公司决定以金山毒霸网络版为核心,采用单级管理、多重防护的整体架构,对网络中的邮件、文件等进行全面防护,不给病毒留有任何死角。某市全区1000个点划分为四个反病毒执行区域,每个反病毒执行区配置一台控中心,主控中心均安装在信息中心统一管理。我们的实施方案包含下面8个部分:

  1. 划分反病毒执行区域

  某市全区1000台计算机按照物理连接和网络配置划分为4个反病毒执行区域,每个执行包含250个节点左右,最多不超过300个点。反病毒执行区域的划分需要满足以下几点:
·反病毒执行区域内的任何一台计算机都可以访问到位于某市政府的信息中心
·反病毒执行区内的计算机都能和信息中心实现稳定全天候的网络连接(不要求客户机端全天候开
机,只要求连接具有全天候)
·反病毒执行区内可以分配适当的服务器以负载网络反病毒的控制平衡,区域内的人员针对反病毒的要求基本一致。请参考图1提供的反病毒执行区域的划分,由于反病毒执行区只是一个逻辑的概念,主要是为了维护的方便进行的设置,因此可以根据实际情况进行调整:

 
图1

  2. 部署反病毒执行区控管中心

  某市信息中心需要添加4台PC服务器(附性能指标),这4台PC服务器全部安置在信息中心,由信息中心统一管理。4台服务器上分别安装金山毒霸网络版控管中心,按照划分的反病毒执行区域分别负责管理反病毒执行区域内的各个反病毒终端节点的反病毒运行。服务器的部署请参考


图2

3. 实现普通客户机端的病毒防护
  通过部署的4台控管中心,管理员通过MAIL或者域脚本和远程安装的方式对4个反病毒执行区域的所有客户机端进行安装。这些客户机节点主要是指工作人员使用的工作用机,不包括服务器和诸如Linux、Unix系统。金山毒霸网络版的客户机端具备实时监控和邮件监控,可以防止病毒的传播和感染,并且可以通过多种方式向控管中心报告病毒试图侵入和感染网络的事件。请参见


图3

4. 实现普通服务器端的病毒防护
  针对某市网络内散布在各个反病毒执行区域内的文件服务器,域服务器,DNS服务器和FTP服务器,部署安装金山毒霸网络版的服务器端。如果性能要求不是十分必然,推荐安装金山毒霸网络版的客户机端,金山毒霸网络版客户机端具备针对服务器进行防护的功能,能够承担服务器反病毒的要求,并且可以降低企业的采购成本,节约资源。针对 LINUX和UNIX,由于金山毒霸网络版目前还不能提供专门的服务器防护,因此在服务器端不做配置,但是由于金山毒霸网络版的客户机端本身具备完善的监控和过滤功能,因此针对某市网络中少量的 LINUX和UNIX主机流过的文件,完全可以实现在客户端进行的保护。即针对 LINUX和UNIX流入流出的文件,金山毒霸网络版实行的是单重防护请参见


图4

5. 实现邮件服务器端的病毒防护
  某市目前实现内部MAIL和外部MAIL两套MAIL机制,内部MAIL主要走 OA流程,基于Lotus Notes
实现;外部MAIL主要是基于Socix的MDNA Server,采用专用MAIL服务器实现。针对这两套系统我们采用两种方案实现:针对 Notes的邮件系统,这是我们最关键的病毒防护点。安装金山毒霸提供的ForLotus挂件,该挂件可以在OA服务器上对所有进出的邮件进行过滤,确保到达工作人员邮件客户端(如OE、Outlook、Foxmail、Notes)的邮件处于无毒的安全状态。部署Lotus挂件不需要添加服务器,只需要安装在OA服务器上即可,参见下


图5

  针对Socix的邮件防护,由于采用的是专用MAIL系统,金山毒霸网络版目前不能提供插件防护,因此只能考虑进行引擎嵌入式开发;该方式周期长,且需要软件开发商的二次开发,我们并不推荐。因为在金山毒霸网络版的客户机端已经具备了客户端邮件防护的功能,增加服务器防护只是进行第二重防护。
6. 实现OA系统的文档防护
  金山毒霸网络版的客户机端和服务器端具备独立的宏病毒防护功能,可以有效的解决OA系统内部文件流传的安全性,保障办公的效率和正常运转。参见图6的文档保护流程:

 
图6


7. 实现统一的管理和维护
  金山毒霸网络版的方案实施后,管理主要集中在信息中心的4台控管中心, 4台控管中心均采用独立管理和配置的机制,具备较高的稳定性,容易辨别和分析问题。信息中心可以分配3位工程师负责控制其中的几台控管中心,控管中心首次配置完毕后一般不需要再进行特别的维护, 可以充分降低工程师的劳动量。工程师主要通过 WEB 界面维护控管中心,可以实现远程的管理操作,并且基于IE设置,体现移动式管理的架构体系。


图7


8. 部署快捷高效的升级机制
  金山毒霸网络版的升级将主要通过4台控管中心集中操作,4台控管中心独自实行升级,升级完毕后将自动完成各个反病毒执行区的统一升级工作,如果升级出现失败,金山毒霸网络版将提供回滚升级,保证升级的有效性,不间断反病毒体系的正常工作。金山毒霸网络版采用的是命令分发的方式对反病毒区域的各个终端进行升级,可以大大减轻内部网因为统一升级造成的网络拥塞。


图8

四. 以金山毒霸网络版为核心实施方案的优点
  由本公司提供的解决方案虽然增加了4台服务器的成本,但是在整个网络的可维护性、安全性上都具有较高的优越性。其主要优点有:

  1. 与原有的系统没有任何冲突,具备较高的独立性和兼容性。安装实施过程中很少的影响原系统的正常工作。
  2. 很好的实现了集中式管理和操作的要求,由于4台控管中心都存放于信息中心,信息中心可以方便对全区的网络进行反病毒的管理。全区其他计算机不需要做硬件上的改动和配置,所有的反病毒操作都可以交由信息中心进行管理,其他区域不在需要做安全方面的投资。
  3. 具备优秀的反病毒能力,该方案的实施中对大部分系统都进行的是双重过滤,即在服务器和客户机端双重过滤,基于优秀的引擎可以有效防止病毒的侵入和破坏。
  4. 方便管理和实施,金山毒霸网络版采用的B/S模式,提供的多种安装方式,可以快速有效的实现安装和管理。
  5. 具备较高的稳定性,金山毒霸网络版能够防范的范围内都可以良好的运行,正常运行过程中很少产生系统本身的错误,即使产生这种错误,也可以根据整个区域的划分和架构实现错误的定位。
  6. 快速可靠的升级机制,快速的响应和解决时间。金山毒霸网络版本身的升级机制可以保证升级的正常进行,并且具有容错性。如果出现最新的病毒,并且造成感染,金山毒霸网络版将在24小时内反应解决,升级完毕后利用方案的区域划分架构和网络版的多点监控功能,快速的定位病毒源,有效的清除病毒。