我們知道���,一般而言����,內(nèi)部網(wǎng)絡(luò)連接Internet區(qū)域安全等級(jí)最低�,是病毒產(chǎn)生及傳播的地方����;而客戶端工作區(qū)安全等級(jí)較高���,客戶端主要由外來(lái)用戶、移動(dòng)辦公用戶�����、桌面用戶構(gòu)成����,是病毒感染的主要目標(biāo),也是病毒進(jìn)入醫(yī)院網(wǎng)絡(luò)的主要載體����;核心服務(wù)器區(qū)安全等級(jí)最高,其中包括了醫(yī)院的業(yè)務(wù)服務(wù)器�����,這是安全防護(hù)體系最終保護(hù)的目標(biāo)�。因此,根據(jù)網(wǎng)絡(luò)現(xiàn)狀以及安全體系存在的問(wèn)題���,該醫(yī)院網(wǎng)絡(luò)病毒防范工作必須從這三個(gè)安全區(qū)域著手��,根據(jù)它們之間的訪問(wèn)關(guān)系施加防護(hù)及病毒監(jiān)控����。
具體來(lái)說(shuō),針對(duì)核心服務(wù)器區(qū)要嚴(yán)防來(lái)自Internet及移動(dòng)用戶的病毒入侵���,保護(hù)其中的關(guān)鍵服務(wù)器�,這是防病毒工作的重點(diǎn)���;針對(duì)客戶端工作區(qū),需要部署客戶端防病毒產(chǎn)品嚴(yán)防病毒(尤其是具有混合型威脅特征的混合型病毒)的入侵��;針對(duì)Internet區(qū)域���,部署網(wǎng)關(guān)級(jí)防病毒產(chǎn)品���,嚴(yán)防來(lái)自該區(qū)域的病毒及病毒攻擊;針對(duì)郵件系統(tǒng)����,需要部署郵件病毒防護(hù)系統(tǒng);另外還需要部署必要的輔助手段���,以監(jiān)測(cè)網(wǎng)絡(luò)的異常狀況����,提前預(yù)知病毒事件的發(fā)生。
業(yè)務(wù)關(guān)鍵應(yīng)用向IT提要求
據(jù)介紹�����,煙臺(tái)這所醫(yī)院原來(lái)使用的是內(nèi)外網(wǎng)物理隔離的網(wǎng)絡(luò)結(jié)構(gòu)�,通過(guò)千兆以太網(wǎng)通向Internet網(wǎng),病房?jī)?nèi)部用千兆以太網(wǎng)互聯(lián)形成一個(gè)與Internet物理隔離的內(nèi)部網(wǎng)絡(luò)環(huán)境��。醫(yī)院新的網(wǎng)絡(luò)改造結(jié)束后�����,把所有科室的計(jì)算機(jī)都和服務(wù)器連在一起�����,都可以通過(guò)服務(wù)器連接上互聯(lián)網(wǎng)���。同時(shí)使用了郵件服務(wù)器系統(tǒng)��,共有12臺(tái)業(yè)務(wù)和郵件服務(wù)器��,500多個(gè)客戶端���,并通過(guò)千兆以太網(wǎng)相連���,是標(biāo)準(zhǔn)的客戶端/服務(wù)器架構(gòu)。但在網(wǎng)絡(luò)安全方面����,并沒(méi)有做太多的投入,只是簡(jiǎn)單地在全院網(wǎng)絡(luò)出口的位置架設(shè)了一臺(tái)防火墻���,以起到保護(hù)醫(yī)院服務(wù)器免受黑客攻擊的目的。但防火墻能夠阻擋大多數(shù)來(lái)自互聯(lián)網(wǎng)的攻擊�,卻無(wú)法阻止來(lái)自內(nèi)部和外部的蠕蟲(chóng)、病毒傳播��。因此�,建立一套防病毒系統(tǒng)則顯得更為重要。防火墻與防病毒系統(tǒng)在保護(hù)網(wǎng)絡(luò)安全方面可以互為補(bǔ)充����,以“無(wú)縫結(jié)合”地實(shí)現(xiàn)了阻止網(wǎng)絡(luò)大規(guī)模病毒爆發(fā)的可能。
但由于該醫(yī)院網(wǎng)絡(luò)節(jié)點(diǎn)多���,結(jié)構(gòu)比較復(fù)雜�����,重點(diǎn)在門診和病房的防病毒需求����,因此,要著重要保護(hù)這兩塊區(qū)域的網(wǎng)絡(luò)安全��。
架構(gòu)“兩級(jí)控制 三級(jí)管理”體系
為了實(shí)現(xiàn)網(wǎng)絡(luò)防病毒的總體目標(biāo)����,醫(yī)院其提出了網(wǎng)絡(luò)防病毒整體架構(gòu):整體架構(gòu)包括了全方位的防病毒產(chǎn)品部署及管理,實(shí)現(xiàn)全網(wǎng)防病毒體系的“兩級(jí)控制����、三級(jí)管理”。
在整個(gè)網(wǎng)絡(luò)中��,防病毒機(jī)制實(shí)現(xiàn)一級(jí)單位���、二級(jí)單位�、三級(jí)單位三級(jí)管理,在三級(jí)網(wǎng)絡(luò)中分別部署防病毒服務(wù)器��,原則上三級(jí)單位只部署客戶端防病毒產(chǎn)品��,由所屬的二級(jí)分發(fā)管理��。
一級(jí)單位設(shè)立全網(wǎng)的主一級(jí)防病毒管理服務(wù)器�����,承擔(dān)著全網(wǎng)的防病毒產(chǎn)品升級(jí)��、防護(hù)策略制訂�����、報(bào)警管理����、病毒統(tǒng)計(jì)報(bào)表生成等工作�;同時(shí)一級(jí)單位的主一級(jí)服務(wù)器也作為自己所在局域網(wǎng)的一級(jí)服務(wù)器,管理本局域網(wǎng)內(nèi)的所有客戶端����。各二級(jí)單位分別部署各自的一級(jí)服務(wù)器,作為自己所在局域網(wǎng)絡(luò)的防病毒管理服務(wù)器,它除了管理所在二級(jí)單位的防病毒產(chǎn)品外還管理下屬所有三級(jí)的防病毒服務(wù)器�����;三級(jí)單位部署防病毒服務(wù)器���,接受二級(jí)單位防病毒服務(wù)器的管理��,承擔(dān)所在三級(jí)單位的軟件分發(fā)�、升級(jí)和病毒防護(hù)策略的分發(fā)���。
因此�,在本院防病毒整體架構(gòu)中����,該醫(yī)院部署了以下幾方面功能組件:
- 防病毒集中管理服務(wù)器 負(fù)責(zé)防病毒策略指定、產(chǎn)品自動(dòng)分發(fā)��、升級(jí)�、生成病毒報(bào)告、日志查看等����。
- 群件防病毒 負(fù)責(zé)郵件系統(tǒng)病毒防護(hù)
- 客戶端防病毒 全面防護(hù)各種類型操作系統(tǒng)的客戶端的病毒
- 網(wǎng)關(guān)防病毒 防護(hù)來(lái)自Internet的病毒���,對(duì)從Internet來(lái)的流量進(jìn)行內(nèi)容過(guò)濾
賽門鐵克“兩級(jí)控制、三級(jí)管理”示意圖
選擇供應(yīng)商看重七特性部署賽門鐵克網(wǎng)絡(luò)病毒防護(hù)解決方案
該醫(yī)院在選擇網(wǎng)絡(luò)防病毒系統(tǒng)及其供應(yīng)商時(shí)��,考慮了其7個(gè)方面的特性���。首先是�����,充分考慮技術(shù)和產(chǎn)品的成熟性和穩(wěn)定性��。網(wǎng)絡(luò)防病毒產(chǎn)品必須是成熟而且經(jīng)受大量考驗(yàn)����,在各種操作系統(tǒng)平臺(tái)和服務(wù)器平臺(tái)上都有相應(yīng)的病毒防護(hù)軟件的版本并且能夠和操作系統(tǒng)緊密結(jié)合��;第二是能全面滿足病毒防御體系的各種需求����;第三是能提供主動(dòng)式的防護(hù),而不是在病毒爆發(fā)后再做出反應(yīng);第四是系統(tǒng)必須具有可擴(kuò)展性和可升級(jí)性。 可升級(jí)能力是衡量防病毒系統(tǒng)是否具有生命力的重要指標(biāo)���。防病毒軟件必須不斷及時(shí)地升級(jí)病毒樣本文件和引擎��,在功能���、性能上不斷采用新的技術(shù)�,保證系統(tǒng)的向前發(fā)展��。向用戶提供多種病毒特征文件和病毒引擎的方便的升級(jí)方式�,保證組織機(jī)構(gòu)的防病毒系統(tǒng)在第一時(shí)間內(nèi)得到升級(jí);第五是可管理性����。對(duì)于醫(yī)院這樣比較大的網(wǎng)絡(luò)結(jié)構(gòu),要管理防病毒軟件的分發(fā)����、升級(jí)、配置和支持是一個(gè)非常難的事�����,這就要求提供一個(gè)方便管理的平臺(tái)��。防病毒系統(tǒng)必須提供簡(jiǎn)化管理的工具�,可以在幾個(gè)集中的點(diǎn)上對(duì)整個(gè)網(wǎng)絡(luò)中的客戶端和服務(wù)器進(jìn)行管理����,包括對(duì)病毒特征文件和防病毒引擎的分發(fā)升級(jí)���、報(bào)警管理和日志分析整理以及病毒處理方式配置等�;第七是易用性�����。由于院方的網(wǎng)管人員比較少��,平時(shí)工作繁忙����,無(wú)法單獨(dú)指定人員來(lái)負(fù)責(zé)這套方案的每天維護(hù),所以要通過(guò)使用防病毒解決方案能夠最大限度地降低網(wǎng)管人員的工作量��。通過(guò)這套系統(tǒng)�,網(wǎng)管人員只需要在一臺(tái)控制服務(wù)器上簡(jiǎn)單操作就可以實(shí)現(xiàn)對(duì)全網(wǎng)客戶端和服務(wù)器的管理、制定防病毒策略�,同時(shí)也可以很好地實(shí)現(xiàn)防病毒系統(tǒng)的預(yù)防未知病毒、檢測(cè)多變型病毒等功能���;通過(guò)集中化隔離功能可以實(shí)現(xiàn)集中化病毒管理��,使得管理人員可以將所有不可修復(fù)的��、受病毒感染的文件轉(zhuǎn)向到一個(gè)集中化的服務(wù)器���,以實(shí)現(xiàn)進(jìn)一步的檢測(cè)。
在考量了各不同供應(yīng)商的解決方案之后���,該醫(yī)院選擇了賽門鐵克的網(wǎng)絡(luò)病毒防護(hù)產(chǎn)品���。具體而言,在醫(yī)院部署實(shí)施的產(chǎn)品主要有:管理類產(chǎn)品����、客戶端及服務(wù)器防病毒產(chǎn)品,郵件防病毒產(chǎn)品���。其中����,管理類產(chǎn)品即賽門鐵克系統(tǒng)中心(SSC)�����。SSC是賽門鐵克防病毒系統(tǒng)的控制中心,通過(guò)SSC可對(duì)網(wǎng)絡(luò)中的客戶端和服務(wù)器防病毒產(chǎn)品進(jìn)行統(tǒng)一管理���。
第二�����,客戶端及服務(wù)器防病毒產(chǎn)品即賽門鐵克企業(yè)版防病毒軟件(Symantec AntiVirus)��。它具有數(shù)字免疫��、預(yù)防未知病毒的專利技術(shù)BloodHound��、檢測(cè)多變形病毒的專利技術(shù)��、擴(kuò)展掃描引擎NAVEX專利技術(shù)�、集中化隔離功能�、LiveUpdate增量在線更新、內(nèi)部病毒碼傳輸?shù)膬?yōu)化�����、威脅追蹤����、互聯(lián)網(wǎng)郵件掃描等功能���。
第三,郵件防病毒產(chǎn)品即Symantec Mail Security for Exchange���,包含反垃圾郵件、內(nèi)容過(guò)濾和業(yè)界領(lǐng)先的防病毒等廣泛的解決方案��;能自動(dòng)檢測(cè)和清除病毒����,控制宏病毒的快速傳播,保護(hù)Exchange服務(wù)器遠(yuǎn)離病毒的威脅�;從賽門鐵克安全響應(yīng)中心自動(dòng)更新病毒定義碼到最新病毒庫(kù);支持Microsoft Exchange 2000和Microsoft的病毒掃描接口API 2.0以及Microsoft Exchange 2003和Microsoft的病毒掃描接口API 2.5和和新的垃圾郵件分類方法Spam Confidence Layer (SCL)�����;能自動(dòng)過(guò)濾不適當(dāng)?shù)母郊?��、擴(kuò)展名或內(nèi)容����,大大減少Exchange服務(wù)器上垃圾郵件的流量���,提高效率�;能遠(yuǎn)程安裝、集中管理和報(bào)警����,支持多臺(tái)Exchange服務(wù)器,減少管理負(fù)擔(dān)����;并且用新的零管理模式設(shè)置使管理和配置時(shí)間最小化;也能提供主動(dòng)的爆發(fā)通知功能��,使在病毒被識(shí)別和得到病毒定義碼之前管理員能迅速響應(yīng)和處理��。
實(shí)施安全管理建立完善的網(wǎng)絡(luò)安全管理體系
自從有了互聯(lián)網(wǎng)���,網(wǎng)絡(luò)安全就是一個(gè)永遠(yuǎn)不會(huì)過(guò)時(shí)的話題���,任何企業(yè),任何單位只要有了計(jì)算機(jī)網(wǎng)絡(luò)��,就必定有網(wǎng)絡(luò)安全的問(wèn)題��,一般來(lái)說(shuō),企業(yè)網(wǎng)絡(luò)的Internet區(qū)域�����、客戶端��、服務(wù)器這三個(gè)區(qū)域是病毒產(chǎn)生和傳播的地方�,各個(gè)企業(yè)可以根據(jù)企業(yè)本身的規(guī)模大小、業(yè)務(wù)應(yīng)用情況和重點(diǎn)關(guān)心的區(qū)域來(lái)進(jìn)行有計(jì)劃�、分步驟的實(shí)施。
另外����,安全是“三分技術(shù)����,七分管理”。再好的系統(tǒng)要能正常發(fā)揮作用����,都離不開(kāi)合理的管理制度。因此�,該醫(yī)院也制定了相應(yīng)的管理制度。內(nèi)容包括���,第一���,配備相應(yīng)的MIS人員負(fù)責(zé)整個(gè)網(wǎng)絡(luò)安全的目常管理及維護(hù)����;第二����,制定相應(yīng)的機(jī)房上機(jī)管理制度;第三�,強(qiáng)制實(shí)施統(tǒng)一的防病毒策略;第四��,及時(shí)更新升級(jí)最新病毒定義碼����。一般情況下每星期應(yīng)該至少更新一次病毒定義碼和掃描引擎,在特別情況下如有新病毒出現(xiàn)時(shí)可能需要每天更新病毒定義碼和掃描引擎�����。因此�����,管理員最好經(jīng)常瀏覽Symantec的網(wǎng)站,查看有關(guān)最新發(fā)現(xiàn)的漏洞���、威脅動(dòng)態(tài)�����;第五����,如果發(fā)現(xiàn)隔離區(qū)有不清楚的病毒時(shí)��,要及時(shí)提交到賽門鐵克防病毒研究中心(SARC)��,以盡快得到相應(yīng)的病毒定義碼和掃描引擎�����。第六����,不要隨意使用盜版軟件和光盤����。
醫(yī)院有關(guān)負(fù)責(zé)人相信����,在嚴(yán)格遵從管理制度的前提下���,有效地應(yīng)用網(wǎng)絡(luò)防病毒系統(tǒng)���,將能使醫(yī)院的安全系數(shù)大大增加。 醫(yī)院信息科柳主任高興地說(shuō):“通過(guò)實(shí)施賽門鐵克防病毒產(chǎn)品��,醫(yī)院的網(wǎng)絡(luò)系統(tǒng)得到了很好的保護(hù)����,有效的控制了計(jì)算機(jī)病毒在網(wǎng)絡(luò)中的傳播,也阻止了垃圾郵件和病毒郵件在網(wǎng)內(nèi)的傳播�����,大大加強(qiáng)了我院計(jì)算機(jī)網(wǎng)絡(luò)的安全強(qiáng)度�。”
