我們知道����,一般而言,內(nèi)部網(wǎng)絡(luò)連接Internet區(qū)域安全等級最低����,是病毒產(chǎn)生及傳播的地方;而客戶端工作區(qū)安全等級較高��,客戶端主要由外來用戶�����、移動辦公用戶、桌面用戶構(gòu)成�,是病毒感染的主要目標,也是病毒進入醫(yī)院網(wǎng)絡(luò)的主要載體���;核心服務(wù)器區(qū)安全等級最高����,其中包括了醫(yī)院的業(yè)務(wù)服務(wù)器�,這是安全防護體系最終保護的目標。因此��,根據(jù)網(wǎng)絡(luò)現(xiàn)狀以及安全體系存在的問題�,該醫(yī)院網(wǎng)絡(luò)病毒防范工作必須從這三個安全區(qū)域著手,根據(jù)它們之間的訪問關(guān)系施加防護及病毒監(jiān)控�����。
具體來說���,針對核心服務(wù)器區(qū)要嚴防來自Internet及移動用戶的病毒入侵��,保護其中的關(guān)鍵服務(wù)器�,這是防病毒工作的重點����;針對客戶端工作區(qū)���,需要部署客戶端防病毒產(chǎn)品嚴防病毒(尤其是具有混合型威脅特征的混合型病毒)的入侵;針對Internet區(qū)域����,部署網(wǎng)關(guān)級防病毒產(chǎn)品,嚴防來自該區(qū)域的病毒及病毒攻擊�����;針對郵件系統(tǒng)����,需要部署郵件病毒防護系統(tǒng)��;另外還需要部署必要的輔助手段����,以監(jiān)測網(wǎng)絡(luò)的異常狀況,提前預知病毒事件的發(fā)生����。
業(yè)務(wù)關(guān)鍵應(yīng)用向IT提要求
據(jù)介紹,煙臺這所醫(yī)院原來使用的是內(nèi)外網(wǎng)物理隔離的網(wǎng)絡(luò)結(jié)構(gòu),通過千兆以太網(wǎng)通向Internet網(wǎng)�����,病房內(nèi)部用千兆以太網(wǎng)互聯(lián)形成一個與Internet物理隔離的內(nèi)部網(wǎng)絡(luò)環(huán)境��。醫(yī)院新的網(wǎng)絡(luò)改造結(jié)束后�,把所有科室的計算機都和服務(wù)器連在一起,都可以通過服務(wù)器連接上互聯(lián)網(wǎng)���。同時使用了郵件服務(wù)器系統(tǒng)�,共有12臺業(yè)務(wù)和郵件服務(wù)器�,500多個客戶端,并通過千兆以太網(wǎng)相連���,是標準的客戶端/服務(wù)器架構(gòu)��。但在網(wǎng)絡(luò)安全方面�,并沒有做太多的投入��,只是簡單地在全院網(wǎng)絡(luò)出口的位置架設(shè)了一臺防火墻����,以起到保護醫(yī)院服務(wù)器免受黑客攻擊的目的����。但防火墻能夠阻擋大多數(shù)來自互聯(lián)網(wǎng)的攻擊�����,卻無法阻止來自內(nèi)部和外部的蠕蟲�、病毒傳播。因此����,建立一套防病毒系統(tǒng)則顯得更為重要。防火墻與防病毒系統(tǒng)在保護網(wǎng)絡(luò)安全方面可以互為補充���,以“無縫結(jié)合”地實現(xiàn)了阻止網(wǎng)絡(luò)大規(guī)模病毒爆發(fā)的可能。
但由于該醫(yī)院網(wǎng)絡(luò)節(jié)點多����,結(jié)構(gòu)比較復雜,重點在門診和病房的防病毒需求��,因此����,要著重要保護這兩塊區(qū)域的網(wǎng)絡(luò)安全���。
架構(gòu)“兩級控制 三級管理”體系
為了實現(xiàn)網(wǎng)絡(luò)防病毒的總體目標,醫(yī)院其提出了網(wǎng)絡(luò)防病毒整體架構(gòu):整體架構(gòu)包括了全方位的防病毒產(chǎn)品部署及管理�,實現(xiàn)全網(wǎng)防病毒體系的“兩級控制、三級管理”�����。
在整個網(wǎng)絡(luò)中�����,防病毒機制實現(xiàn)一級單位����、二級單位、三級單位三級管理���,在三級網(wǎng)絡(luò)中分別部署防病毒服務(wù)器�,原則上三級單位只部署客戶端防病毒產(chǎn)品���,由所屬的二級分發(fā)管理�����。
一級單位設(shè)立全網(wǎng)的主一級防病毒管理服務(wù)器�,承擔著全網(wǎng)的防病毒產(chǎn)品升級、防護策略制訂�、報警管理、病毒統(tǒng)計報表生成等工作��;同時一級單位的主一級服務(wù)器也作為自己所在局域網(wǎng)的一級服務(wù)器��,管理本局域網(wǎng)內(nèi)的所有客戶端��。各二級單位分別部署各自的一級服務(wù)器���,作為自己所在局域網(wǎng)絡(luò)的防病毒管理服務(wù)器����,它除了管理所在二級單位的防病毒產(chǎn)品外還管理下屬所有三級的防病毒服務(wù)器��;三級單位部署防病毒服務(wù)器���,接受二級單位防病毒服務(wù)器的管理,承擔所在三級單位的軟件分發(fā)���、升級和病毒防護策略的分發(fā)����。
因此,在本院防病毒整體架構(gòu)中����,該醫(yī)院部署了以下幾方面功能組件:
- 防病毒集中管理服務(wù)器 負責防病毒策略指定、產(chǎn)品自動分發(fā)�、升級、生成病毒報告����、日志查看等。
- 群件防病毒 負責郵件系統(tǒng)病毒防護
- 客戶端防病毒 全面防護各種類型操作系統(tǒng)的客戶端的病毒
- 網(wǎng)關(guān)防病毒 防護來自Internet的病毒���,對從Internet來的流量進行內(nèi)容過濾
賽門鐵克“兩級控制��、三級管理”示意圖
選擇供應(yīng)商看重七特性部署賽門鐵克網(wǎng)絡(luò)病毒防護解決方案
該醫(yī)院在選擇網(wǎng)絡(luò)防病毒系統(tǒng)及其供應(yīng)商時�����,考慮了其7個方面的特性�。首先是���,充分考慮技術(shù)和產(chǎn)品的成熟性和穩(wěn)定性�。網(wǎng)絡(luò)防病毒產(chǎn)品必須是成熟而且經(jīng)受大量考驗,在各種操作系統(tǒng)平臺和服務(wù)器平臺上都有相應(yīng)的病毒防護軟件的版本并且能夠和操作系統(tǒng)緊密結(jié)合��;第二是能全面滿足病毒防御體系的各種需求���;第三是能提供主動式的防護���,而不是在病毒爆發(fā)后再做出反應(yīng);第四是系統(tǒng)必須具有可擴展性和可升級性����。 可升級能力是衡量防病毒系統(tǒng)是否具有生命力的重要指標。防病毒軟件必須不斷及時地升級病毒樣本文件和引擎��,在功能��、性能上不斷采用新的技術(shù)�����,保證系統(tǒng)的向前發(fā)展���。向用戶提供多種病毒特征文件和病毒引擎的方便的升級方式,保證組織機構(gòu)的防病毒系統(tǒng)在第一時間內(nèi)得到升級����;第五是可管理性�。對于醫(yī)院這樣比較大的網(wǎng)絡(luò)結(jié)構(gòu)����,要管理防病毒軟件的分發(fā)、升級�����、配置和支持是一個非常難的事����,這就要求提供一個方便管理的平臺。防病毒系統(tǒng)必須提供簡化管理的工具�,可以在幾個集中的點上對整個網(wǎng)絡(luò)中的客戶端和服務(wù)器進行管理,包括對病毒特征文件和防病毒引擎的分發(fā)升級��、報警管理和日志分析整理以及病毒處理方式配置等�;第七是易用性。由于院方的網(wǎng)管人員比較少�����,平時工作繁忙,無法單獨指定人員來負責這套方案的每天維護�����,所以要通過使用防病毒解決方案能夠最大限度地降低網(wǎng)管人員的工作量���。通過這套系統(tǒng)����,網(wǎng)管人員只需要在一臺控制服務(wù)器上簡單操作就可以實現(xiàn)對全網(wǎng)客戶端和服務(wù)器的管理��、制定防病毒策略���,同時也可以很好地實現(xiàn)防病毒系統(tǒng)的預防未知病毒���、檢測多變型病毒等功能;通過集中化隔離功能可以實現(xiàn)集中化病毒管理���,使得管理人員可以將所有不可修復的�、受病毒感染的文件轉(zhuǎn)向到一個集中化的服務(wù)器����,以實現(xiàn)進一步的檢測���。
在考量了各不同供應(yīng)商的解決方案之后�����,該醫(yī)院選擇了賽門鐵克的網(wǎng)絡(luò)病毒防護產(chǎn)品���。具體而言����,在醫(yī)院部署實施的產(chǎn)品主要有:管理類產(chǎn)品�、客戶端及服務(wù)器防病毒產(chǎn)品,郵件防病毒產(chǎn)品���。其中����,管理類產(chǎn)品即賽門鐵克系統(tǒng)中心(SSC)��。SSC是賽門鐵克防病毒系統(tǒng)的控制中心���,通過SSC可對網(wǎng)絡(luò)中的客戶端和服務(wù)器防病毒產(chǎn)品進行統(tǒng)一管理�����。
第二�����,客戶端及服務(wù)器防病毒產(chǎn)品即賽門鐵克企業(yè)版防病毒軟件(Symantec AntiVirus)�����。它具有數(shù)字免疫�、預防未知病毒的專利技術(shù)BloodHound、檢測多變形病毒的專利技術(shù)�����、擴展掃描引擎NAVEX專利技術(shù)����、集中化隔離功能、LiveUpdate增量在線更新�����、內(nèi)部病毒碼傳輸?shù)膬?yōu)化�����、威脅追蹤、互聯(lián)網(wǎng)郵件掃描等功能��。
第三��,郵件防病毒產(chǎn)品即Symantec Mail Security for Exchange�����,包含反垃圾郵件�����、內(nèi)容過濾和業(yè)界領(lǐng)先的防病毒等廣泛的解決方案���;能自動檢測和清除病毒,控制宏病毒的快速傳播���,保護Exchange服務(wù)器遠離病毒的威脅�;從賽門鐵克安全響應(yīng)中心自動更新病毒定義碼到最新病毒庫����;支持Microsoft Exchange 2000和Microsoft的病毒掃描接口API 2.0以及Microsoft Exchange 2003和Microsoft的病毒掃描接口API 2.5和和新的垃圾郵件分類方法Spam Confidence Layer (SCL)���;能自動過濾不適當?shù)母郊U展名或內(nèi)容�,大大減少Exchange服務(wù)器上垃圾郵件的流量,提高效率�����;能遠程安裝�、集中管理和報警,支持多臺Exchange服務(wù)器����,減少管理負擔;并且用新的零管理模式設(shè)置使管理和配置時間最小化�����;也能提供主動的爆發(fā)通知功能�����,使在病毒被識別和得到病毒定義碼之前管理員能迅速響應(yīng)和處理�����。
實施安全管理建立完善的網(wǎng)絡(luò)安全管理體系
自從有了互聯(lián)網(wǎng),網(wǎng)絡(luò)安全就是一個永遠不會過時的話題�����,任何企業(yè)�,任何單位只要有了計算機網(wǎng)絡(luò),就必定有網(wǎng)絡(luò)安全的問題���,一般來說,企業(yè)網(wǎng)絡(luò)的Internet區(qū)域�、客戶端、服務(wù)器這三個區(qū)域是病毒產(chǎn)生和傳播的地方��,各個企業(yè)可以根據(jù)企業(yè)本身的規(guī)模大小��、業(yè)務(wù)應(yīng)用情況和重點關(guān)心的區(qū)域來進行有計劃��、分步驟的實施�。
另外,安全是“三分技術(shù)��,七分管理”�。再好的系統(tǒng)要能正常發(fā)揮作用,都離不開合理的管理制度���。因此��,該醫(yī)院也制定了相應(yīng)的管理制度�����。內(nèi)容包括����,第一,配備相應(yīng)的MIS人員負責整個網(wǎng)絡(luò)安全的目常管理及維護���;第二���,制定相應(yīng)的機房上機管理制度;第三�����,強制實施統(tǒng)一的防病毒策略���;第四�,及時更新升級最新病毒定義碼。一般情況下每星期應(yīng)該至少更新一次病毒定義碼和掃描引擎���,在特別情況下如有新病毒出現(xiàn)時可能需要每天更新病毒定義碼和掃描引擎���。因此,管理員最好經(jīng)常瀏覽Symantec的網(wǎng)站����,查看有關(guān)最新發(fā)現(xiàn)的漏洞、威脅動態(tài)��;第五����,如果發(fā)現(xiàn)隔離區(qū)有不清楚的病毒時���,要及時提交到賽門鐵克防病毒研究中心(SARC)���,以盡快得到相應(yīng)的病毒定義碼和掃描引擎。第六��,不要隨意使用盜版軟件和光盤�。
醫(yī)院有關(guān)負責人相信,在嚴格遵從管理制度的前提下,有效地應(yīng)用網(wǎng)絡(luò)防病毒系統(tǒng)���,將能使醫(yī)院的安全系數(shù)大大增加�。 醫(yī)院信息科柳主任高興地說:“通過實施賽門鐵克防病毒產(chǎn)品��,醫(yī)院的網(wǎng)絡(luò)系統(tǒng)得到了很好的保護�����,有效的控制了計算機病毒在網(wǎng)絡(luò)中的傳播����,也阻止了垃圾郵件和病毒郵件在網(wǎng)內(nèi)的傳播,大大加強了我院計算機網(wǎng)絡(luò)的安全強度��?���!?/P>
