1. 方案背景

根据视频信息了解,网管老克所在的某贸易公司,可能因病毒泛滥等原因,导致各部门计算机使用异常及网络访问速度慢,严重影响了各部门的日常办公。在会议上,各部门现场投诉了老克及所在的IT部门,认为目前计算机使用异常以及网络访问慢等问题均是IT部门管理维护不到位造成的(似乎与计算机使用者无关),最后公司领导决定让网管老克尽快提出解决方案,需要的费用和其他支持由公司解决。作为网管老克,为能提出一个完整的、实用的、可行的解决方案而烦恼。

根据上述信息,我们设计本方案。本方案目标是通过规划一个完整的防病毒体系以及部署其他附加安全技术、管理技术,从根源上解决老克所遇到的上述问题,让公司业务开展所依赖的计算机终端、网络、业务系统等均能以最佳状态运行。 

2. 现状和需求分析

为了能更加清楚了解该贸易公司目前情况下的实际防病毒(以及其他相关内容)需求,如下将该贸易公司会议视频中提到的几点问题进行归纳总结

1) 客服代表提到他们电脑里有病毒,常跳出恶意网站、网址,影响办公;

2) 财务代表提到部门内部没人下载数据,但网络访问速度慢,影响办公;

3) 网管老克提到,已经为这些计算机安装了防病毒软件,但大家要么不升级病毒库,要么就对防病毒软件的病毒告警提示不去理会,最终虽然安装有防病毒软件,但计算机依然遭到病毒感染和破坏;

4) 公司领导提到,为解决上述问题,请老克提出解决方案、预算,由公司一并解决。

上述问题,也是目前国内大多数企业经常遇到的一些问题,造成这些问题的可能原因可以分析总结如下

1) 计算机终端使用人员的防病毒意识和技能较低,无法通过正确的操作方式,使计算机终端免受病毒侵害。而感染病毒的途径包括网络访问感染和终端本地直接感染,主要如下:

a)终端用户使用了带病毒的介质,如U盘等;

b)终端用户访问了带病毒、恶意代码的网站页面;

c)终端用户收到了带病毒的邮件;

d)被局域网内感染病毒的计算机传播感染。

2) 计算机终端部署的防病毒软件,无法自动强制执行病毒库升级和病毒查杀;

3) 由于网络规划不安全,一旦有一两台终端感染病毒,病毒会快速向整个办公网传播,影响局域网内其他终端的网络访问,甚至将病毒传播给整个局域网的计算机终端;

4) 由于互联网出口管理不规范,各部门在办公时间肆意下载、看视频等,大量占用互联网出口带宽,影响其他正常办公应用;

5) IT维护部门权利较低,没能力强制要求各部门计算机使用规范。

上述原因中,包含了员工计算机使用技能、安全意识、网络规划、IT部门管理权限、管理制度等方面内容,这些内容交织在一起,就成为了造成目前该贸易公司计算机病毒、网络访问慢等问题的原因。

所以,要解决上述问题,就需要从整体网络规划(由于本标题限制,本次项目限于简单规划)、防病毒体系建设互联网出口控制管理制度日常安全意识技能培训等方面出发,彻底切断病毒感染途径提高员工安全操作技能和意识(或降低计算机终端病毒防护操作技能要求),最终实现企业局域网的长治久安。 

3. 方案设计

根据上述“现状和需求分析”,如下提出针对性的解决方案。为便于对方案的理解,如下将解决方案划分为技术部分和管理部分分别进行说明。

3.1. 技术部分

如下是规划后的网络拓扑图:

 

【拯救行动第三季】围剿肆虐企业的恶意代码和病毒

整体规划说明:

1) 如上图所示,将办公网划分为若干个安全区域,办公网内部通过交换机划分VLAN,将服务器区、各个部门分别放在不同VLAN内,同时配置各个VLAN间的ACL访问控制列表,关闭常见病毒传播端口;

2)  在互联网接入边界,部署1套安全网关(如图中所示),将对互联网提供服务的互联网服务器区、办公内网以及互联网进行逻辑隔离,同时该网关配备防火墙、***防御(IPS)、防病毒(AV)模块,各模块主要作用如下:

a)   防火墙(FW)模块和***防御(IPS)模块:抵御来自互联网,针对企业内网、业务系统的***、***和破坏,同时IPS模块兼具查杀网站恶意代码、间谍软件的功能等;

b)  防病毒模块(AV);对流经设备的网络流量进行病毒查杀。(例如:当局域网用户访问了互联网某带有病毒的网站页面时,病毒流量在经过设备时,会自动被查杀,使病毒流量不会进入企业局域网。)

3) 在全网部署网络版防病毒软件,在办公网服务器区部署网络版防病毒软件的集中升级和管理服务器(如图中-A所示),为全网各办公终端安装网络版防病毒软件终端部分(如图中-B所示)。为提升与边界网关形成立体防毒的效果,要求网络版防病毒软件和安全网关的防病毒模块异构,不采用同一品牌产品,杀毒引擎建议分别采用国外和国内品牌,达到异构查毒效果;

4) 在安全网关和核心交换机之间,部署1套上网行为管理系统(如图中所示),对内部办公终端使用互联网情况进行管理和控制,避免非办公流量影响正常办公带宽使用。

以上网络核心链路上,在必要的情况下,可将核心交换机、安全网关等设备采用双机热备方式部署。

系统安全策略配置说明:

1) 对于部署在网络边界的安全网关,在防病毒策略配置方面,重点对蠕虫、***、间谍软件、网页病毒和邮件病毒等进行查杀;

2) 对于网络版防病毒软件的策略,主要建议如下几点:

a)要求终端用户无权卸载防病毒软件客户端程序;

b)防病毒软件终端程序发现病毒后,自动执行查杀,无需终端用户干预;

c)防病毒软件终端程序,自动将终端用户的病毒感染情况、病毒查杀结果向防病毒软件管理服务器汇报,防病毒软件服务能自动根据汇报情况,生成周报、月报等统计数据;

d) 防病毒软件终端自动定期连接防病毒服务器,进行病毒库升级;

e)防病毒服务器需要定期远程集中控制所有终端进行病毒查杀;

f)防病毒服务器自动连接互联网进行病毒库升级。

3) 上网行为管理系统的安全策略,建议配置单个终端的最高可使用带宽,同时限制终端对恶意网站、含有病毒网站的访问,并自动形成流量报告,提供给管理员对网络使用情况进行统计,及时发现严重违规行为并进行处理。

其他方面,还可通过禁止终端计算机随意使用U盘等工具,降低通过U盘感染病毒的几率,可作为后期项目考虑。另外,对于操作系统是否有必要经常的更新升级,这是个需要深入分析、考虑的问题,部分操作系统补丁会修补系统漏洞,也可能会带来应用以及其他问题甚至影响系统使用,需结合该客户日常应用加以分析并决定是否进行补丁升级。

 

3.2. 管理部分

此处提到的管理部分,主要是如下几个方面:

1) 适当提升IT部门的权利,使该部门有权利制止(或处罚)可能危害公司业务系统、网络、计算机终端使用并影响日常办公的计算机操作和网络使用行为;

2) IT部门还应兼顾提升企业员工IT技能和安全意识的职责,定期为企业员工开展相关培训,而企业员工应该像对待自己本职工作那样对待这些学习;

3) IT部门定期统计防病毒系统报表(病毒感染、感染原因等)、上网行为流量报表,并向全部门公布,实现透明监督、自我约束;

4) 设置必要的管理制度,量化计算机终端使用流程,以及对违规操作的处罚办法;

5) 设置必要的应急维护流程,对待突发网络安全事件的处理。

 

4. 推荐的产品规划

以下仅做简单说明:

产品类别

说明

防病毒类

网络版防病毒软件,终端集中病毒防御和管理

安全网关(配备防病毒模块),互联网边界网络病毒流量过滤,直接对病毒进行查杀,无效终端干预

上网行为管理类

互联网访问行为管理系统,降低非办公流量对互联网带宽占用,减少局域网终端访问恶意网站的几率

其他方面(管理类)

管理制度完善
员工IT技能和安全意识培训等

 

5. 效果说明

业界常说三分技术七分管理,所以本方案综合了管理与技术两个部分。管理制度保障技术的有效执行,技术保障管理制度的落实,互相促进。本方案总的效果简单描述如下:

1) 网络结构的调整和VLAN划分,有效解决了病毒全网传播(特别是类似arp病毒等)等问题,从网络层面减低了安全风险;

2) 边界安全网关(特别是病毒模块)和网络版防病毒软件的部署,从单机到网络边界实现了全方位防毒,构建了立体防病毒体系,阻断了企业局域网用户感染病毒的途径;

3) 上网行为管理系统的部署,有效解决了互联网带宽被非办公流量占用的问题,同时由于控制了局域网用户对互联网恶意网站的访问,从而也进一步降低了局域网计算机终端感染病毒的几率;

4) IT部门权限的提升,可以使相关计算机防病毒和使用制度得以有效实施,避免办公计算机终端滥用,影响日常办公;

5) 企业计算机终端使用用户的日常IT技能和安全意识培训,有效提升了终端用户的防病毒意识和处理能力。

 

本方案是一个针对性比较强的整体方案,在解决该公司的实际问题的前提下,同时从宏观角度为其提供一个可扩展、可延续的解决措施,使该贸易公司IT系统的日常运维健康、有序,促进公司业务发展。