黑龍江八一農(nóng)墾大學網(wǎng)絡安全解決方案

黑龍江八一農(nóng)墾大學網(wǎng)絡安全建設方案保密申明保密申明此份方案包含了來自黑龍江太極電子科技的可靠、權(quán)威的信息，這些信息是作為“黑龍江八一農(nóng)墾大學網(wǎng)絡安全建設方案”專用，接受這份方案表示同意對其內(nèi)容保密并且未經(jīng)黑龍江太極電子有限公司書面認可，不得復制，泄漏或散布這份方案。如果你不是有意接受者，請注意對這份方案內(nèi)容的任何形式的泄漏、復制或散布都是被禁止的。黑龍江太極電子有限公司國家保密委涉密網(wǎng)絡信息系統(tǒng)集成資質(zhì)單位黑龍江省保密局涉密網(wǎng)絡信息系統(tǒng)集成資質(zhì)單位黑龍江省公安廳計算機網(wǎng)絡安全應急處理中心成員單位二零零五年五月TOC\o"1-5"\h\z\u一．前言 -5-二、安全風險及需求分析 -6-2.1黑龍江八一農(nóng)墾大學信息系統(tǒng)網(wǎng)絡結(jié)構(gòu) -6-2.2黑龍江八一農(nóng)墾大學網(wǎng)絡面臨的威脅 -7-2.2.1網(wǎng)絡病毒肆虐 -7-2.2.2網(wǎng)絡訪問控制不嚴 -8-2.2.3人為的惡意攻擊 -8-2.2.4網(wǎng)絡和系統(tǒng)軟件的漏洞和“后門” -9-2.3黑龍江八一農(nóng)墾大學信息系統(tǒng)安全建設目標 -9-2.4安全保護對象 -10-三、網(wǎng)絡安全解決方案 -11-3.1方案設計原則 -11-3.2總體設計 -12-3.2.1防止病毒侵害 -13-3.2.2控制非法訪問 -14-3.2.3排除故障隱患 -15-3.2.4網(wǎng)絡安全評估 -15-3.2.5合理配置系統(tǒng) -15-3.2.6加強安全培訓 -15-四、 安全方案具體實現(xiàn) -16-4.1網(wǎng)絡防病毒系統(tǒng) -16-4.1.1McAfeeVirusScanEnterprise8.0i -18-創(chuàng)新的防病毒技術(shù) -19-針對PC和服務器增強的集成防護 -20-入侵防護的重要性—緩沖區(qū)溢出防護技術(shù) -21-訪問保護—全新的高級功能 -21-增強的電子郵件掃描功能 -22-腳本掃描程序（Java腳本和VisualBasic腳本） -23-潛在惡意程序安全防護 -23-對速度的需求 -23-有效防護的關(guān)鍵所在 -24-0強大功能的動力引擎 -24-4.1.2McAfeeePolicyOrchestrator3.5 -24-降低惡意系統(tǒng)和不符合安全要求的系統(tǒng)所造成的風險 -25-降低運行成本和基礎架構(gòu)成本 -26-全天候(24X7)的系統(tǒng)安全監(jiān)控 -26-強制防護和更新 -27-前瞻性地評估Microsoft補丁的應用情況 -27-快速響應爆發(fā)事件 -28-保護移動用戶 -28-簡化整個企業(yè)范圍內(nèi)的管理 -29-集成已有的關(guān)鍵性基礎架構(gòu) -29-4.1.3GroupShield6.0郵件服務器防護 -30-內(nèi)嵌郵件系統(tǒng) -30-多種運行模式 -31-4.1.4黑龍江八一農(nóng)墾大學網(wǎng)絡防病毒部署圖 -32-4.2桌面管理解決方案(IPDSMS) -32-4.2.1IPDSMS公司簡介 -32-4.2.2產(chǎn)品概述及特點 -33-IPDSMS是提供給IT經(jīng)理自己使用的工具 -34-IPDSMS集成了系統(tǒng)管理需要的各種功能 -35-IPDSMS特點就是輕便易用，是“瑞士軍刀”式的網(wǎng)管軟件 -35-IPDSMS良好的可伸縮性能適應復雜、龐大的網(wǎng)絡架構(gòu) -35-基于瀏覽器的使用界面方便實用 -35-4.2.3系統(tǒng)功能簡介 -36-計算機管理 -36-資產(chǎn)管理 -38-進程管理 -39-軟件分發(fā) -40-遠程桌面管理 -41-網(wǎng)絡訪問管理 -41-設備管理 -42-帳號管理 -42-4.2.4實施部署 -42-4.3防火墻（FORTINET） -43-4.3.1美國FORTINET公司簡介 -43-4.3.2防火墻放置位置 -43-4.3.3防火墻在網(wǎng)絡中的作用和規(guī)則 -44-4.3.4產(chǎn)品特點 -49-分區(qū)域安全管理的特色 -49-4.3.5其他防火墻產(chǎn)品推薦 -53-4.4網(wǎng)絡故障分析系統(tǒng)(Sniffer) -59-4.4.1Sniffer功能介紹(實時監(jiān)控統(tǒng)計和告警功能) -59-4.4.2七層協(xié)議解碼功能 -60-4.4.3專家分析系統(tǒng) -61-4.4.4便攜式Sniffer產(chǎn)品介紹 -62-五．黑龍江八一農(nóng)墾大學網(wǎng)絡安全部署拓撲圖 -65-六．黑龍江太極電子科技有限公司簡介 -66-6.1太極計算機股份有限公司 -66-6.1.1北京太極信息安全技術(shù)有限公司 -66-6.1.2黑龍江太極電子科技有限公司 -66-6.2公司資質(zhì) -68-6.3公司產(chǎn)品 -78-6.4典型客戶 -78-6.5聯(lián)系方式 -78-修訂記錄 -79-黑龍江八一農(nóng)墾大學始建于1958年,十萬轉(zhuǎn)業(yè)官兵開發(fā)建設北大荒的歷史大潮中，由原國家副主席、時任農(nóng)墾部部長的王震將軍親自創(chuàng)辦并兼任第一任校長。1973年，學校由農(nóng)墾部劃歸黑龍江省管理。

學校原址位于黑龍江省密山市裴德鎮(zhèn)境內(nèi)，在偏遠的邊疆農(nóng)村走過了45年的發(fā)展歷程。經(jīng)省政府批準，2003年10月學校整體搬遷至大慶市高新區(qū)，實現(xiàn)了辦學地理位置的戰(zhàn)略性遷移，從根本上消除了長期制約學校發(fā)展的辦學區(qū)位劣勢。在市場經(jīng)濟的大潮中，黑龍江八一農(nóng)墾大學將憑借雄厚的辦學實力和拼搏進取奮斗精神，夯實基礎，已成為一所以農(nóng)為主，農(nóng)、工、理、法、管、經(jīng)、文等多學科協(xié)調(diào)發(fā)展的農(nóng)業(yè)大學。為了更好的開展教學科研工作，黑龍江八一農(nóng)墾大學在信息化建設方面投入了大量的人力、物力。學校對信息化工作實施了強有力的領導，做了大量卓有成效的工作，校內(nèi)網(wǎng)絡已經(jīng)基本覆蓋了所有的辦公樓、學生公寓，在學術(shù)交流、信息發(fā)布、Internet網(wǎng)應用與服務中廣泛采用了計算機技術(shù)和網(wǎng)絡通信技術(shù)，取得了豐碩的成果。隨著信息技術(shù)的迅猛發(fā)展，各項應用業(yè)務也迅速展開，但同時也伴隨著網(wǎng)絡黑客的攻擊、病毒的大肆流行，使得構(gòu)建在網(wǎng)絡平臺之上的辦公系統(tǒng)、網(wǎng)絡應用的安全危機日益增大。黑龍江八一農(nóng)墾大學領導充分認識到網(wǎng)絡安全建設的重要性，適時的提出了開展網(wǎng)絡安全建設這一正確決策。因為，這一項目的實施既是黑龍江八一農(nóng)墾大學信息網(wǎng)絡的切實需要，又符合全球信息技術(shù)現(xiàn)代化的潮流。2.1黑龍江八一農(nóng)墾大學信息系統(tǒng)網(wǎng)絡結(jié)構(gòu)黑龍江八一農(nóng)墾大學是黑龍江省重點高等院校，隨著近年來信息化建設的推進，黑龍江八一農(nóng)墾大學校園內(nèi)部已經(jīng)全面實現(xiàn)了教學、科研的計算機化應用與管理。黑龍江八一農(nóng)墾大學在校園網(wǎng)建設上最大的特點在于：網(wǎng)絡建設起點較高，校園網(wǎng)骨干全部采用光纖連接；校園網(wǎng)信息點覆蓋廣，校園網(wǎng)要全面覆蓋教學、科研、后勤、學生宿舍、圖書館，服務對象廣泛；網(wǎng)絡結(jié)構(gòu)規(guī)范、清晰，網(wǎng)絡設備比較先進，便于管理。以下是黑龍江八一農(nóng)墾大學信息系統(tǒng)的網(wǎng)絡拓撲示意圖：（黑龍江八一農(nóng)墾大學現(xiàn)狀圖）網(wǎng)絡基本情況為：網(wǎng)絡核心由幾臺核心交換機（Cisco8016、6509、5516）構(gòu)成，向下分別連接有若干臺二級交換機，校內(nèi)各單位通過本地部署的三級交換機連接到二級節(jié)點上，實現(xiàn)八一農(nóng)墾校園網(wǎng)的互聯(lián)互通；核心交換機之間通過1000M光纖相連；八一農(nóng)墾校園網(wǎng)通過一個對外網(wǎng)絡接口上Internet。目前，八一農(nóng)墾校園網(wǎng)內(nèi)部的聯(lián)網(wǎng)計算機接近3000臺，隨著網(wǎng)絡改造和升級以后還將大規(guī)模增加。2.2黑龍江八一農(nóng)墾大學網(wǎng)絡面臨的威脅黑龍江八一農(nóng)墾大學未來幾年內(nèi)可能要與教育網(wǎng)接口開放，現(xiàn)在的網(wǎng)絡現(xiàn)狀是通過校園網(wǎng)的光纖接入互聯(lián)網(wǎng)、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展，其安全問題不僅僅局限于內(nèi)部事件了，來自外界的攻擊已越來越多，已經(jīng)成為黑龍江八一農(nóng)墾大學信息安全不可忽視的威脅來源。但是，未來黑龍江八一農(nóng)墾大學網(wǎng)上的應用服務不斷的增加，網(wǎng)絡內(nèi)部的辦公逐漸的從有紙化辦公轉(zhuǎn)變?yōu)闊o紙化辦公，在以后的工作環(huán)境（信息系統(tǒng)平臺）；從內(nèi)部業(yè)務應用的角度來看，除大量現(xiàn)存的C/S結(jié)構(gòu)以外，還將出現(xiàn)越來越多的內(nèi)部B/S結(jié)構(gòu)應用。所以，對于黑龍江八一農(nóng)墾大學信息系統(tǒng)整體來說，主要問題仍有一大部分是內(nèi)部安全問題。其所面臨的威脅大體可分為兩種：一是對網(wǎng)絡中信息的威脅；二是對網(wǎng)絡中設備的威脅。對于黑龍江八一農(nóng)墾大學來說，主要是保護應用系統(tǒng)的安全，其核心在于保護黑龍江八一農(nóng)墾大學核心數(shù)據(jù)的安全，包括數(shù)據(jù)存儲，數(shù)據(jù)傳輸?shù)陌踩?。影響黑龍江八一農(nóng)墾大學網(wǎng)絡安全的因素很多，有些因素可能是有意的，也可能是無意的誤操作；可能是人為的或是非人為的；也有可能是內(nèi)部或外來攻擊者對網(wǎng)絡系統(tǒng)資源的非法使用……歸結(jié)起來，針對黑龍江八一農(nóng)墾大學網(wǎng)絡信息系統(tǒng)安全的威脅主要有幾個大方面：2.2.1網(wǎng)絡病毒肆虐隨著計算機技術(shù)應用的普及，各個部門的運行越來越依賴和離不開計算機，各種工作的運行架構(gòu)于現(xiàn)代化的網(wǎng)絡環(huán)境中。保證各種應用系統(tǒng)工作的正常、可靠和安全地進行是信息系統(tǒng)工作的一個重要話題。在所有計算機安全威脅中，計算機病毒是最為嚴重的，它往往是發(fā)生的頻率高、損失大、潛伏性強、覆蓋面廣。計算機病毒直接涉及到每一個計算機使用人員，是每一個使用人員經(jīng)常會碰到和感到頭痛的事。計算機病毒事實上是一種計算機程序，具有可自我復制性、傳染性、潛伏性、破壞性等。目前存在的病毒表現(xiàn)有很多特點：病毒種類越來越多、主動的攻擊性越來越強、危害性及破壞性越來越強、傳染速度快和感染方式多、發(fā)展和增長速度快、病毒傳染源眾多、病毒變種多和速度快。隨著Internet技術(shù)和信息技術(shù)的發(fā)展，病毒的種類越來越多，這樣對病毒防護系統(tǒng)提出了新的挑戰(zhàn)，要求病毒防護系統(tǒng)能適合于各種操作系統(tǒng)、各種運行環(huán)境和防護各種類型的病毒。病毒的危害性有各種各樣的表現(xiàn)，從CIH病毒對主板和硬盤的破壞到BO病毒對主機信息的泄露；從Explore病毒對文件系統(tǒng)的破壞到各種宏病毒對文檔的破壞和感染；還有從“沖擊波”、“震蕩波”“SoBig”這些網(wǎng)絡蠕蟲病毒中可以觀察出現(xiàn)在的病毒不僅要破壞個體主機，更重要的是讓整個網(wǎng)絡系統(tǒng)陷于癱瘓狀態(tài)，使所有的應用服務無法正常的提供服務，導致?lián)p失嚴重。所有這些都只是病毒破壞的一些表現(xiàn)?？傮w來講，病毒的破壞有：直接對主板和硬盤破壞；破壞文件系統(tǒng)和文件；浪費和占用系統(tǒng)資源(如CPU和硬盤)，導致系統(tǒng)性能、速度降低；泄露主機信息，向外發(fā)送主機的相關(guān)信息，或者被遠程控制端所控制和留有后門，隨時可以由遠程進入和控制；一些善意的病毒往往發(fā)送一些問候消息，也有一些病毒開一些玩笑。病毒破壞的表現(xiàn)多種多樣，但是結(jié)果是一樣的，都會直接或間接地破壞系統(tǒng)、浪費資源，從而浪費生產(chǎn)力，降低效率和信息系統(tǒng)的利用率。2.2.2網(wǎng)絡訪問控制不嚴如安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享信息資源等都會對網(wǎng)絡安全帶來威脅。黑龍江八一農(nóng)墾大學中心主機存在系統(tǒng)漏洞，容易被攻擊者利用后通過黑龍江八一農(nóng)墾大學信息網(wǎng)絡系統(tǒng)入侵到系統(tǒng)主機，并有可能登錄其它重要應用子系統(tǒng)服務器或中心數(shù)據(jù)庫服務器，進而對整個系統(tǒng)造成很大的威脅。2.2.3人為的惡意攻擊這是計算機網(wǎng)絡所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的可用性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成直接的極大的危害，并導致機密數(shù)據(jù)的泄漏和丟失。2.2.4網(wǎng)絡和系統(tǒng)軟件的漏洞和“后門”隨著網(wǎng)絡和操作系統(tǒng)軟件的不斷更新和升級，由于邊界處理不善和質(zhì)量控制差等綜合原因，網(wǎng)絡和系統(tǒng)軟件存在越來越多的缺陷和漏洞，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標和有利條件。當今世界范圍內(nèi)出現(xiàn)大量黑客（如沖擊波病毒，其實是一種黑客程序）攻入校園網(wǎng)絡內(nèi)部的事件，大部分原因是安全控制措施不完善所導致的。另外，軟件的“后門”有些是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設想。同時也存在BO，Netbus等專業(yè)黑客后門程序，一旦通過網(wǎng)絡植入黑龍江八一農(nóng)墾大學系統(tǒng)主機，猶如黑龍江八一農(nóng)墾大學系統(tǒng)的信息庫被開了幾個后門。2.3黑龍江八一農(nóng)墾大學信息系統(tǒng)安全建設目標經(jīng)過與用戶初步交流，借鑒以往大量的工程經(jīng)驗，方案認為黑龍江八一農(nóng)墾大學急需解決的安全問題與其他教育行業(yè)和政府行業(yè)所面臨的安全問題擁有大量的相似之處，但是又具有自己的特點。首先，由于高等院校和科研機構(gòu)之間的學術(shù)交流是相對比較公開的，因此校園網(wǎng)對傳輸信息的機密性沒有迫切的要求，其次校園網(wǎng)是教學和科研信息傳送的平臺和載體，網(wǎng)上運行的應用系統(tǒng)由各自所屬的教研室和主管機構(gòu)負責管理，因此黑龍江八一農(nóng)墾大學信息網(wǎng)絡對其上的應用系統(tǒng)沒有安全管理需求。因此，黑龍江八一農(nóng)墾大學信息系統(tǒng)的安全建設目標集中為：保證網(wǎng)絡的暢通和平穩(wěn)運行；部署網(wǎng)絡防病毒，保護系統(tǒng)網(wǎng)絡不受病毒攻擊；阻斷網(wǎng)絡外部非法攻擊；防止不良信息在校園網(wǎng)內(nèi)的傳播；對于安全事件具有可追溯性；對于終端桌面實現(xiàn)集中管理。具體體現(xiàn)為：實現(xiàn)不同網(wǎng)絡間的隔離措施使用高速防火墻將黑龍江八一農(nóng)墾大學的網(wǎng)絡與INTERNET隔離開，通過制定完善和正確的訪問控制策略，有效保證校園網(wǎng)的內(nèi)部安全；使用網(wǎng)絡防毒軟件將整個網(wǎng)絡保護起來，以確保病毒大規(guī)模爆發(fā)時網(wǎng)絡不會受到影響。建立完善的防病毒措施在黑龍江八一農(nóng)墾大學內(nèi)部，特別是辦公區(qū)的服務器和PC終端，建立完善的防病毒措施，從網(wǎng)絡和主機兩方面解決網(wǎng)絡內(nèi)部的病毒泛濫問題。建立完善的網(wǎng)絡管理平臺使用完善的網(wǎng)絡管理平臺，對全網(wǎng)所有的網(wǎng)絡節(jié)點、網(wǎng)絡設備、操作系統(tǒng)等進行及時有效的安全管理。2.4安全保護對象在此我們只討論有關(guān)信息系統(tǒng)網(wǎng)絡中所涉及的安全保護對象。黑龍江八一農(nóng)墾大學信息系統(tǒng)網(wǎng)絡中的所有重要資源和關(guān)鍵資產(chǎn)都是需要重點保護的對象。從數(shù)據(jù)角度來看，包括：重要的SQL數(shù)據(jù)庫系統(tǒng)。從未來要提供系統(tǒng)關(guān)鍵服務角度來看，包括：OS(WINDOWS2000)，WEB、SMTP、POP3、內(nèi)部文件服務、打印服務等。從主機和服務器硬件角度來看，包括：郵件服務器、數(shù)據(jù)庫服務器、Web服務器、數(shù)據(jù)備份服務器等。從TCP/IP網(wǎng)絡角度來看，包括：核心交換機、防火墻、各部門的網(wǎng)段等。3.1方案設計原則本方案設計應該遵循的各項原則，包括國家信息安全規(guī)定的原則已經(jīng)實際情況下應該遵循的有關(guān)原則。符合國家有關(guān)規(guī)定的原則我國相關(guān)部門已經(jīng)制訂了一系列的關(guān)于信息安全的法律法規(guī)，對安全策略、密碼與安全設備選用、網(wǎng)絡互聯(lián)、安全管理等做出了規(guī)定。本次黑龍江八一農(nóng)墾大學網(wǎng)安全方案設計必須符合這些法律法規(guī)，確保信息安全。整體安全原則黑龍江八一農(nóng)墾大學網(wǎng)信息網(wǎng)絡的信息系統(tǒng)是一個復雜的系統(tǒng)，對安全的需求是任何一種單元技術(shù)都無法解決的。必須從一個完整的安全體系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡的各種實體和各個環(huán)節(jié)，綜合使用各層次的各種安全手段，為信息網(wǎng)絡和業(yè)務系統(tǒng)提供全方位的服務。全網(wǎng)統(tǒng)一原則集中有關(guān)各方的力量和資源，使信息系統(tǒng)設計得更加系統(tǒng)、完善、嚴密；包容現(xiàn)存的和將要改進的信息系統(tǒng)對于安全普遍的、特殊的要求，使體系更趨科學和適用；通盤考慮所有通信分系統(tǒng)的安全互通?？煽匦栽瓌t采取的技術(shù)手段需要達到安全可控的目的，技術(shù)解決方案涉及的工程實施應具有可控性。標準化與一致性原則網(wǎng)絡安全建設是一個龐大的系統(tǒng)工程，其安全體系的設計必須遵循一系列的標準，這樣才能確保各個分系統(tǒng)的一致性，才能使整個系統(tǒng)安全地互聯(lián)互通、信息共享。需求、風險、成本折衷原則任何信息系統(tǒng)都不能做到絕對的安全，而且真正絕對的安全也是不必要的。鑒于這種情況，在設計信息系統(tǒng)安全時，要在安全需求、安全風險和安全成本之間進行平衡和折衷。過多的安全需求、過低的安全風險追求必將造成安全成本迅速增加和復雜性的增加。因此，在設計整個信息網(wǎng)的安全方案時必須遵守三項要求折衷的原則。實用、高效、可擴展原則安全保障系統(tǒng)所采用的產(chǎn)品，要方便工作、實用高效。同時，隨著IT技術(shù)的不斷發(fā)展，黑龍江八一農(nóng)墾大學網(wǎng)信息系統(tǒng)將會發(fā)生各種變化，信息系統(tǒng)安全設計必須能適應這種變化。在系統(tǒng)實施過程中，系統(tǒng)的結(jié)構(gòu)、配置也會發(fā)生一些變化，系統(tǒng)的安全工程要有一定的靈活性來適應這種變化，比如做到層次性、體系性，既有利于系統(tǒng)的安全，又有利于系統(tǒng)的擴展。系統(tǒng)性、均衡性、綜合性設計原則從全系統(tǒng)出發(fā)，綜合考慮各種安全風險，采取相應的安全措施，并根據(jù)風險的大小，采取不同強度的安全措施，提供具有最優(yōu)的性能價格比的安全解決方案。技術(shù)與管理相結(jié)合原則黑龍江八一農(nóng)墾大學網(wǎng)信息系統(tǒng)的安全建設工程是一個系統(tǒng)工程，單靠技術(shù)或單靠管理都不可能實現(xiàn)。各種安全技術(shù)應該與運行管理機制、人員思想教育和技術(shù)培訓、安全規(guī)章制度建設相結(jié)合，從社會系統(tǒng)工程的角度綜合考慮。投資保護原則黑龍江八一農(nóng)墾大學網(wǎng)目前已經(jīng)采購和使用了一些網(wǎng)絡產(chǎn)品，本方案設計時將充分考慮已有的安全措施進行設計，以達到保護已有投資的目的。為了使黑龍江八一農(nóng)墾大學安全問題得到及時、有效的解決，為未來的網(wǎng)絡建設和信息系統(tǒng)建設鋪平道路，安全方案將嚴格遵循下列國家標準：中華人民共和國計算機信息系統(tǒng)安全保護條例計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定計算機信息系統(tǒng)安全保護等級劃分準則電子計算機機房設計規(guī)范計算站場地技術(shù)條件計算站場地安全要求3.2總體設計具體說來，網(wǎng)絡安全的總體方案從結(jié)構(gòu)上被劃分為物理、網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)和安全管理等六個部分，分別詳細論述八一農(nóng)墾大學安全解決方案，重點討論網(wǎng)絡安全隔離、網(wǎng)絡和主機防病毒、網(wǎng)絡管理、網(wǎng)絡故障診斷等安全要點。依據(jù)安全的邊界理論，我們可以將整個內(nèi)部子網(wǎng)看作是多個子網(wǎng)和子網(wǎng)邊界的組合，子網(wǎng)是一個相對的概念，如果相對整個校園網(wǎng)絡系統(tǒng)來說，黑龍江八一農(nóng)墾大學信息中心、教學樓、其他辦公區(qū)的局域網(wǎng)是不同的子網(wǎng)，校園網(wǎng)和信息中心之間的連接接口可以稱為子網(wǎng)邊界；而相對于黑龍江八一農(nóng)墾大學一個局域網(wǎng)來說，服務器網(wǎng)段可以稱為一個子網(wǎng)，辦公網(wǎng)段也可以稱為一個子網(wǎng)，其對外連接的出口就可以稱為子網(wǎng)邊界。這樣，我們就可以將安全問題分為子網(wǎng)安全和子網(wǎng)邊界安全兩大內(nèi)容進行分析，按照不同的內(nèi)容進行安全體系的設計。由于計算機網(wǎng)絡體系越來越復雜，應用系統(tǒng)越來越多，因此整個網(wǎng)絡的安全存在著較大的威脅。其主要因素有：1、缺乏安全有效的身份驗證和監(jiān)控機制；2、內(nèi)部用戶的惡意攻擊、誤操作；3、黑客的惡意攻擊、竊取、修改信息；4、一些別有用心的人利用搭線竊聽，獲取信息；5、通過網(wǎng)絡傳送的病毒和Internet的電子郵件夾帶的病毒；6、來自Internet的Web瀏覽可能存在的惡意Java/ActiveX控件；7、缺乏有效的手段監(jiān)視、評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性；8、缺乏一套完整的安全策略、監(jiān)控和防范技術(shù)手段。根據(jù)以上分析，我們認為，黑龍江八一農(nóng)墾大學信息中心計算機網(wǎng)絡存在著以下幾個方面的網(wǎng)絡安全問題：數(shù)據(jù)傳輸安全：要確保信息在網(wǎng)絡傳輸過程中不被竊取、竊聽、不感染病毒和非法篡改。邊界安全：是將整校園網(wǎng)作為一個整體進行保護，由于所有對外的連接通道均有可能遭受到外來的非法攻擊，因此必須在外聯(lián)接口部署安全隔離屏障，保證校園網(wǎng)的安全?；A結(jié)構(gòu)安全：對網(wǎng)絡進行全面風險評估，及時發(fā)現(xiàn)網(wǎng)絡配置上的漏洞。管理運行安全：安全管理上漏洞和疏忽才是最大的安全隱患。只有把安全管理制度與安全管理技術(shù)手段結(jié)合起來，網(wǎng)絡的安全性才有保障。防止病毒侵害隨著計算機技術(shù)的不斷發(fā)展，病毒也變得越來越復雜和高級。最近幾年，病毒的花樣層出不窮，如變形病毒和宏病毒。變形病毒每次感染新文件時都會發(fā)生變化，因此顯得神秘莫測。宏病毒是目前病毒種類中發(fā)展最快的，主要感染文檔和文檔模板。幾年前，文檔文件都不含可執(zhí)行代碼，因此不會受病毒的感染，現(xiàn)在，應用軟件，如MicrosoftWord和MicrosoftExecl,已經(jīng)嵌入了宏命令，病毒就可以通過宏語言來感染由這些軟件創(chuàng)建的文檔。由于INTERNET的迅猛發(fā)展，將文件附加在電子郵件中的能力不斷提高以及世界對計算機的依賴程度不斷提高，使得病毒的擴散速度也急驟提高，受感染的范圍越來越廣。目前計算機病毒中約有1/3以上都是通過電子郵件傳播的。利用電子郵件渠道傳播病毒隱蔽性強，經(jīng)常令人防不勝防。在過去的18個月中，世界范圍內(nèi)新發(fā)現(xiàn)的計算機病毒數(shù)量幾乎翻了一番，每個月新發(fā)現(xiàn)的計算機病毒數(shù)量平均從200種上升到500種左右。計算機病毒專家認為，Internet的普及以及一些應用軟件的易破壞性是導致世界新計算機病毒數(shù)量急聚上升的主要原因。據(jù)NCSA調(diào)查，在1994年中，只有約20%的網(wǎng)絡系統(tǒng)受到過病毒的攻擊，但是在1997年中，就有約99.3%的網(wǎng)絡系統(tǒng)受到病毒的攻擊，也就是說幾乎沒有那一家企業(yè)可以逃脫病毒的攻擊。而且感染方式也由主要從軟盤介質(zhì)感染轉(zhuǎn)到了從網(wǎng)絡服務器或INTERNET感染。同樣據(jù)NCSA調(diào)查，在1996年只有21%的病毒是通過電子郵件，服務器或互聯(lián)網(wǎng)下載文件來感染的，但到1997年，這一比例就達到52%。計算機病毒對生產(chǎn)，工作的影響可以稱得上是災難性的。盡管人類已和計算機病毒斗爭了近十年，并已取得了可喜的成績，但是隨著INTERNET/INTRANET和其他局域網(wǎng)，廣域網(wǎng)等計算機技術(shù)的發(fā)展，計算機病毒也會越來越多，傳播范圍也會越來越廣，計算機病毒對網(wǎng)絡系統(tǒng)及個人用戶的破壞性依然會繼續(xù)加大，而防止和排除計算機病毒依然是擺在廣大計算機用戶面前的一個長期的，嚴峻的問題。我們可以預見，只要存在計算機技術(shù)，計算機病毒就不會消失，正所謂“道高一尺，魔高一丈”，而若想真正有效防止計算機病毒的攻擊，使計算機病毒造成的損失降到最低，除了提高防病毒的意識以外，采用行之有效的防病毒方案及其產(chǎn)品也是極其必要的?？刂品欠ㄔL問TCP/IP的靈活設計和INTERNET的普遍應用為網(wǎng)絡黑客技術(shù)的發(fā)展提供了基礎，黑客技術(shù)很容易被別有用心或喜歡炫耀的人們掌握，由此黑客數(shù)量劇增。加之網(wǎng)絡連接點多面廣，客觀上為黑客的入侵提供了較多的切入點。本著經(jīng)濟、高效的原則，有必要將關(guān)鍵主機和關(guān)鍵的網(wǎng)段用防火墻隔離，以實現(xiàn)對系統(tǒng)的訪問控制和安全的集中管理。外部網(wǎng)絡不能直接對內(nèi)部網(wǎng)絡進行訪問，對內(nèi)部資源的訪問需經(jīng)過防火墻的監(jiān)控，并且只能到達指定的訪問目的地。3.2.3排除故障隱患為保證網(wǎng)絡通暢、及時發(fā)現(xiàn)和解決系統(tǒng)及網(wǎng)絡問題，變被動管理為主動管理，可通過對網(wǎng)絡設備和網(wǎng)絡流量的實施監(jiān)控和分析，在系統(tǒng)出現(xiàn)性能抖動或響應時間過長時，就能及時發(fā)現(xiàn)問題，并建議系統(tǒng)管理員采用及時的處理，預防問題的發(fā)生；通過對線路和其他系統(tǒng)進行透視化管理，利用管理系統(tǒng)提供的專家系統(tǒng)對系統(tǒng)的性能進行優(yōu)化，提供整體網(wǎng)絡運行的健康以及趨勢分析。網(wǎng)絡安全評估一般的操作系統(tǒng)都有身份認證與訪問控制系統(tǒng)，但如何去配置日益復雜的網(wǎng)絡環(huán)境，如用戶認證密碼是否容易被別人獲取破解；系統(tǒng)資源的各個對象的訪問權(quán)限是否設置正確；系統(tǒng)的各種服務是否存在有漏洞等。通過網(wǎng)絡掃描，可以了解網(wǎng)絡的安全配置和運行的應用服務，及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡風險等級，更正網(wǎng)絡系統(tǒng)中的錯誤配置。3.2.5合理配置系統(tǒng)要完成信息中心內(nèi)部網(wǎng)的各種操作，就需要操作系統(tǒng)來協(xié)助我們完成對關(guān)鍵數(shù)據(jù)的存取控制和用戶的認證等工作，所以，操作系統(tǒng)的安全性能是網(wǎng)絡系統(tǒng)的安全基礎。遺憾的是，我們通常所用的操作系統(tǒng)本身并不是非常安全的。這種不安全性有的是先天的，比如Windows的安全性能設計得比較薄弱。但是安全漏洞更多的是由于管理和配置不善導致的。因此，我們的安全措施對于不同的情況應給予不同的策略，比如說對于Windows9x系統(tǒng)，可以利用附加程序增強其安全特性，對于系統(tǒng)的安全漏洞則利用補丁程序來彌補。3.2.6加強安全培訓制定和不斷完善管理制度，對系統(tǒng)管理人員加強培訓，提高安全意識和防范能力。4.1網(wǎng)絡防病毒系統(tǒng)計算機病毒是一種進行自我復制、廣泛傳染、對計算機及其數(shù)據(jù)進行嚴重破壞的計算機程序。由于計算機病毒善于隱藏自身的特點，常常使用戶不知不覺過程中，自己的系統(tǒng)、文件已被感染破壞。許多病毒在大多數(shù)時間里只是傳播并不發(fā)作，而是等待一個特殊的事件來觸發(fā)，也有些病毒每次只攻擊某一設備或破壞文件的某一部分。計算機病毒的這種隱蔽性與隨機性，使用戶防不勝防。更為嚴重的是，層出不窮的新病毒借助網(wǎng)絡和Internet使當今世界的大多數(shù)計算機系統(tǒng)，無論個人還是企業(yè)用戶，都不可避免地受到病毒攻擊。隨著信息網(wǎng)絡規(guī)模不斷擴大和高帶寬Internet多點接入，計算機病毒引發(fā)可能造成損失越大，對信息系統(tǒng)的安全運行影響越大。根據(jù)國際權(quán)威機構(gòu)對美國的調(diào)查表明，98%的企業(yè)遇到過計算機病毒問題，63%被病毒破壞數(shù)據(jù)和系統(tǒng)，病毒給企業(yè)帶來的影響是時間和人力的浪費，重要數(shù)據(jù)文件損失造成觸目驚心的經(jīng)濟損失。企業(yè)系統(tǒng)計算機信息網(wǎng)絡系統(tǒng)已經(jīng)覆蓋了企業(yè)各個生產(chǎn)、經(jīng)營和管理崗位，上網(wǎng)用戶在進行多種數(shù)據(jù)交換時，隨時可能受到病毒的攻擊，隨著企業(yè)和外界網(wǎng)上交流越來越多，通過電子郵件來聯(lián)系業(yè)務，交換數(shù)據(jù)等都可能不知不覺中感染病毒，并在企業(yè)內(nèi)部網(wǎng)絡上不斷擴散。必須在信息網(wǎng)絡整個系統(tǒng)的各個環(huán)節(jié)上嚴加防范，才能有效的防止和控制病毒的侵害。首先，安全系統(tǒng)必須是網(wǎng)絡級產(chǎn)品，既有穩(wěn)健的病毒檢測功能，又具有客戶機、服務器數(shù)據(jù)保護功能，能夠?qū)邶埥艘晦r(nóng)墾大學的網(wǎng)絡安全進行多層次的防御，在整個網(wǎng)絡內(nèi)實施高效率的反病毒措施；其次，安全系統(tǒng)必須具備有效的可管理性，通過強有力的管理策略和能夠迅速執(zhí)行的有效措施，保證整個網(wǎng)絡系統(tǒng)遠離病毒威脅；第三，廠商的實力至關(guān)重要，能夠及時升級防病毒系統(tǒng)，包括升級病毒特征碼文件和病毒掃描引擎，前者決定掃描病毒的數(shù)量和范圍，后者控制病毒掃描和清除方式，無論病毒在何時何地爆發(fā)，總能提供最新的病毒信息和處理策略。針對黑龍江八一農(nóng)墾大學的具體應用需求，我們推薦McAFee公司的McAFee防病毒系統(tǒng)作為黑龍江八一農(nóng)墾大學病毒防護系統(tǒng)。McAFee防病毒系統(tǒng)具有頂尖技術(shù)的病毒掃描引擎、最全的病毒代碼庫、超強的分發(fā)和管理功能，在業(yè)界占據(jù)絕對領先的地位。NetworkAssociates（紐約證券交易所代碼：NET）是一家網(wǎng)絡安全與可用性技術(shù)領域的領先供應商，總部設在美國加利福尼亞的圣克拉拉市。NetworkAssociates有三條產(chǎn)品線。其中McAfeeSecurity產(chǎn)品和在線安全服務在防毒領域全球市場份額中居于領先地位，SnifferTechnologies是全球網(wǎng)絡監(jiān)測和分析領域事實上的權(quán)威。此外，獲獎的MagicSolutions服務臺套件提供了一個基于瀏覽器的環(huán)境，可以借以創(chuàng)建呼叫中心、服務臺、資產(chǎn)、變更和庫存管理應用，從而使互聯(lián)網(wǎng)的功能得以充分發(fā)揮。NetworkAssociates（NAI）還是McA的多數(shù)股持有者（納斯達克代碼：MCAF），McA是可管理的在線安全服務的領先供應商，為消費者和小型企業(yè)提供可管理的在線安全服務。NetworkAssociates的使命是在提供專業(yè)技術(shù)資源的基礎上致力于提高全球業(yè)務網(wǎng)絡的持續(xù)可用性。它將圍繞相關(guān)產(chǎn)品為用戶提供前所未有的客戶支持與服務水準，從而使企業(yè)網(wǎng)絡的核心基礎設施得到可靠的安全保護。NetworkAssociates設立了一個全天候（全球24x7）的客戶支持機構(gòu)為其一流的產(chǎn)品提供支持，其中包括了由世界級的高級安全研究員組成的NAILabs小組以及McAfeeAVERT（反病毒緊急響應與預防小組）。作為一個高級研究機構(gòu)與任務關(guān)鍵型的團隊，它在全球防毒事務領域擁有世界級的聲譽。黑龍江八一農(nóng)墾大學防病毒系統(tǒng)主要由五部分組成：INTERNET病毒防護：主要針對InternetE-mail、InternetDownload(信息下載)等集中進行病毒掃描。對郵件的附件、下載信息進行病毒過濾；服務器病毒防護：對各種服務器進行病毒掃描和清除，集中報警；客戶端病毒防護：針對各種桌面操作系統(tǒng)，進行病毒掃描和清除；單機（包括筆記本電腦）病毒防護；郵件服務器病毒防護：對郵件數(shù)據(jù)庫的病毒掃描和清除。黑龍江八一農(nóng)墾大學防病毒系統(tǒng)主要特點有：EPO是整個防病毒系統(tǒng)的控制中心，可以為客戶端遠程分發(fā)安裝相應的防病毒模塊，并可為之遠程升級病毒特征代碼庫、病毒掃描引擎，配置病毒掃描策略，搜集客戶端的報警信息，實現(xiàn)全網(wǎng)防病毒的統(tǒng)一管理和控制。McaFee整體解決方案：4.1.1McAfeeVirusScanEnterprise8.0i下一代防病毒軟件產(chǎn)品，針對PC和服務器提供創(chuàng)新性的集成入侵防護解決方案惡意代碼不僅是在爆發(fā)時對企業(yè)產(chǎn)生影響，而且今后也會不斷地產(chǎn)生各種問題和隱患。在初始攻擊爆發(fā)后，用戶還要經(jīng)過很長的一段時間才能意識到攻擊的后續(xù)破壞性，它不僅會影響企業(yè)的生產(chǎn)力，而且還會威脅到企業(yè)的凈收益。企業(yè)也逐漸認識到，生存的首要條件就是能夠有效抵御已知的81,000多種病毒和無數(shù)的惡意代碼。而有效抵御的關(guān)鍵就是在攻擊爆發(fā)前前瞻性地對其進行攔截。創(chuàng)新的防病毒技術(shù) McAfee?VirusScan?Enterprise8.0i是創(chuàng)新性的下一代防病毒技術(shù)，能夠為PC和服務器提供全面的保護。它不僅能夠前瞻性地攔截并清除惡意軟件，而且能夠有效地檢測出新的安全風險，從而顯著降低企業(yè)管理爆發(fā)響應的成本。VirusScanEnterprise8.0i防護解決方案突破了傳統(tǒng)防病毒軟件的局限性，它不僅有效縮短了修補漏洞的時間，而且即使在沒有更新的情況下也能夠準確攔截多種威脅。修補漏洞的時間是指從首次發(fā)現(xiàn)惡意軟件開始，到將修補程序部署到網(wǎng)絡中的所有系統(tǒng)上所需要的時間。傳統(tǒng)防病毒軟件往往使大型企業(yè)和中小型企業(yè)處于一種極端薄弱的境地：如今，面對復雜的混合威脅，響應式的防護已遠遠不足以確保企業(yè)的安全了。企業(yè)不能為了等待簽名文件的更新而承受這種漏洞修補時間的存在。訪問訪問防護策略特定于應用程序的緩沖區(qū)溢出防護使用規(guī)則進行端口阻斷使用傳統(tǒng)防病毒產(chǎn)品的響應式防護下一代技術(shù)在沒有更新的情況下提供前瞻性威脅防護使用VirusScanEnterprise8.0i進行前瞻性防護提供零時間防護！針對PC和服務器增強的集成防護VirusScanEnterprise8.0i擴展了對新安全威脅的防護范圍（包括混合威脅以及潛在的惡意程序，例如間諜軟件），從而增強了針對PC和服務器的集成保護。擴展的防護范圍還包括通過規(guī)則和策略對訪問進行保護，以及來自入侵防護和系統(tǒng)防火墻的其它多種集成功能。復雜的混合威脅愈加難以檢測，它們常常能夠騙過傳統(tǒng)的防病毒解決方案。此外，傳統(tǒng)防病毒軟件對新安全威脅的抵御能力較差，即便應用了最新的防病毒簽名，它們面對新出現(xiàn)的比較高級的混合攻擊時仍會束手無策，任憑這些攻擊肆意破壞您的系統(tǒng)。因此，傳統(tǒng)防病毒軟件程序是無法有效地抵御這些新的攻擊類型的。VirusScanEnterprise8.0i提供了自動化的系統(tǒng)防護策略和感染跟蹤/攔截報告功能，在對病毒或攻擊爆發(fā)做出響應時，它能夠顯著降低安全防護解決方案的總擁有成本。VirusScanEnterprise8.0i不僅能夠自動跟蹤并報告感染源（IP地址），而且能夠攔截系統(tǒng)與感染源的后續(xù)通信。盡早識別并修補感染源就意味著節(jié)省時間、資源和金錢—或者說確保業(yè)務的正常運轉(zhuǎn)。但是，使用傳統(tǒng)防病毒軟件來定位感染源卻需要耗費很長的時間，不僅導致?lián)碛谐杀揪痈卟幌拢疫€會降低企業(yè)的生產(chǎn)力，影響企業(yè)的核心業(yè)務。入侵防護的重要性—緩沖區(qū)溢出防護技術(shù)VirusScanEnterprise8.0i在防病毒軟件行業(yè)中率先推出了帶有特定于應用程序緩沖區(qū)溢出防護功能的入侵防護解決方案。這就使得用戶能夠前瞻性地預防以Microsoft?應用程序和操作系統(tǒng)服務漏洞為目標的緩沖區(qū)溢出攻擊。對操作系統(tǒng)漏洞的攻擊可能導致終端系統(tǒng)的重復感染，即便應用了最新的簽名文件也于事無補。緩沖區(qū)溢出防護功能可以在此類攻擊（例如Sasser、SQL以及Slammer）感染系統(tǒng)之前先一步對它們進行攔截。降低漏洞的暴露程度就意味著您不必在每次發(fā)現(xiàn)新攻擊時都必須進行更新。同樣，終端系統(tǒng)也可能不需要重啟（或多次重啟）來清除感染。防病毒技術(shù)與入侵防護和防火墻技術(shù)的結(jié)合為用戶提供了一種功能更強、更先進的終端系統(tǒng)安全防護解決方案。由此可見，傳統(tǒng)的響應式防病毒解決方案已經(jīng)過時了。引入入侵防護功能后，VirusScanEnterprise8.0i就能夠確保關(guān)鍵服務器和數(shù)據(jù)不會受到任何影響，從而確保企業(yè)業(yè)務的順利進行。VirusScanEnterprise8.0i不僅是值得您信賴的安全產(chǎn)品，而且也是同行業(yè)中針對PC和服務器的最先進的前瞻性防護解決方案，它無可比擬的伸縮性能夠充分滿足任何規(guī)模企業(yè)的要求。在病毒或攻擊爆發(fā)時，企業(yè)的業(yè)務需要依賴于VirusScanEnterprise8.0i的關(guān)鍵功能所提供的保護，其中包括：清除內(nèi)存、注冊表和文件，并防止惡意代碼向其它系統(tǒng)擴散或傳播。VirusScanEnterprise8.0i還引入了防病毒、入侵防護以及防火墻等多種功能，能夠有效地抵御已知和未知的攻擊。訪問保護—全新的高級功能 VirusScanEnterprise8.0i提供了多種全新的高級功能，它們不僅可以抵御常規(guī)的威脅技術(shù)，而且能夠有效地攔截多種新的和未知的惡意軟件文件。這些新功能包括：端口攔截(PortBlocking)、文件名攔截(FileNameBlocking)、文件夾/目錄鎖定(Folder/DirectoryLockdown)、共享鎖定(ShareLockdown)以及感染跟蹤和攔截(InfectionTraceandBlock)。? 端口攔截使得管理員或用戶能夠關(guān)閉（攔截）傳入或傳出網(wǎng)絡流量的端口。對傳入的網(wǎng)絡流量進行保護就意味著降低它們暴露給蠕蟲或黑客的幾率和風險。關(guān)閉未被使用的網(wǎng)絡端口就可以防止攻擊者探測操作系統(tǒng)和應用程序中的漏洞? 文件名攔截是一種入侵防護功能，它允許管理員通過創(chuàng)建一個或多個策略來控制系統(tǒng)或網(wǎng)絡對特定文件或文件組可以執(zhí)行的操作? 文件夾和目錄鎖定也是一種入侵防護功能，它允許管理員通過創(chuàng)建一個或多個策略來控制系統(tǒng)或網(wǎng)絡能夠?qū)μ囟夸浕蛭募A的內(nèi)容執(zhí)行的操作? 共享鎖定使得管理員能夠通過創(chuàng)建一個或多個策略來控制系統(tǒng)或網(wǎng)絡能夠?qū)蚕韴?zhí)行的操作? 如果某個終端系統(tǒng)向運行著VirusScanEnterprise8.0i的系統(tǒng)發(fā)送了惡意代碼，那么感染跟蹤和報告功能就可以幫助管理員快速發(fā)現(xiàn)并報告（跟蹤）該終端系統(tǒng)的IP地址，并自動攔截來自該IP地址的后續(xù)通信前瞻性地處理新混合威脅意味著有效減少病毒或攻擊爆發(fā)的情況。攻擊的多種因素都可以通過VirusScanEnterprise8.0i的不同功能得到有效的解決：端口攔截、文件/目錄/共享鎖定以及緩沖區(qū)溢出防護。管理員可以從此擺脫對傳統(tǒng)產(chǎn)品更新響應的依賴。Entercept-下一代主機IPS增強的電子郵件掃描功能VirusScanEnterprise8.0i新增了針對LotusNotes客戶端系統(tǒng)的電子郵件掃描功能。它能夠掃描LotusNotes客戶端發(fā)送給桌面機的所有電子郵件（HTML文本和附件）。無論客戶使用哪種電子郵件客戶端，都可以通過單一的配置面板完成配置。VirusScanEnterprise8.0i既支持安裝了Outlook的系統(tǒng)，也支持安裝了LotusNotes客戶端的系統(tǒng)。腳本掃描程序（Java腳本和VisualBasic腳本）腳本掃描程序能夠檢測并防止系統(tǒng)執(zhí)行利用了Java腳本和VBScript腳本的惡意代碼（例如尼姆達(Nimda)、JS.NoClose以及LoveLetter），從而能夠有效地防止系統(tǒng)感染。腳本掃描程序還能夠阻止惡意代碼通過網(wǎng)站，或者使用Java和VisualBasic腳本功能感染終端系統(tǒng)。潛在惡意程序安全防護VirusScanEnterprise8.0i使得用戶和管理員能夠從容應對某些最常見的潛在惡意軟件程序。VirusScanEnterprise8.0i擴展了對新類型惡意代碼的檢測功能，這就意味著它能夠為企業(yè)的敏感信息和資產(chǎn)提供更有效、更強大的保護。該產(chǎn)品在初始配置情況下能夠防護約200種最具危險性的潛在惡意程序，用戶還可以按照計劃在潛在惡意程序安全列表中添加新發(fā)現(xiàn)的惡意程序。VirusScanEnterprise8.0i所包含的操作在細化程度上有了顯著的提升：警告/通知、清除、刪除/移除、移動/隔離以及操作提示。VirusScanEnterprise8.0i還允許用戶和管理員根據(jù)企業(yè)的實際情況來添加、定義或創(chuàng)建惡意程序列表，例如廣告軟件、撥號軟件、惡意玩笑程序、密碼破解程序以及間諜軟件等。潛在惡意程序安全防護功能可以幫助企業(yè)確保終端系統(tǒng)符合COE的要求，并便于用戶和管理員進行控制和管理。對速度的需求目前已知的病毒已有81,000多種，根據(jù)ICSALabs的報告，病毒數(shù)量正在以每個月200多種的速度迅速增長，由此可見，威脅的數(shù)量越多，掃描病毒、蠕蟲以及其它惡意代碼時所面臨的壓力也就越大。到目前為止，病毒掃描速度沒有逐漸減緩甚至停止的主要原因就是硬件性能的不斷提升。與以往的版本相比，VirusScanEnterprise8.0i進一步提升了按需掃描的速度。通過使用最先進的技術(shù)和基礎架構(gòu)，VirusScanEnterprise8.0i的性能不但沒有下降，反而得到了極大的提升。高風險性應用程序，如電子郵件、瀏覽器和Office應用程序?qū)⒌玫饺娓邚姸鹊膾呙?，而備份軟件和?shù)據(jù)庫則可以劃分到低風險性類別，其要求的掃描強度也相對較小。有效防護的關(guān)鍵所在抵御威脅僅僅是這場戰(zhàn)爭的一半。確保防護方案的有效性才能幫助您贏得最終的勝利。有效防護的關(guān)鍵就在于集中管理和強制執(zhí)行，為此，VirusScanEnterprise8.0i實現(xiàn)了與多種McAfee管理工具的無縫集成。無論是中小型企業(yè)(SMB)還是大型企業(yè)，McAfee總有一款管理工具能夠適合您的要求。同時，McAfeeProtectionPilot?(SMB)和McAfeeePolicyOrchestrator?(Enterprise)都能夠幫助VirusScanEnterprise8.0i提供集中的部署功能、策略配置和強制實施、以及詳細的報告功能。這些工具將幫助您全面控制自己的系統(tǒng)，使您的組織能夠有效抵御各種已知的和未知的威脅。0強大功能的動力引擎VirusScanEnterprise8.0i采用了經(jīng)用戶驗證的、全球知名的McAfee掃描引擎。McAfee惡意軟件防護掃描引擎提供了對病毒、蠕蟲以及其他惡意代碼攻擊的全面防護。McAfee針對目前的各種威脅提供了一套全面的“發(fā)現(xiàn)-修補”解決方案，并采用先進的啟發(fā)式技術(shù)和多種通用技術(shù)實現(xiàn)了對新威脅的前瞻性防護。McAfee惡意軟件防護掃描引擎所采用的技術(shù)能夠向下搜索全部數(shù)據(jù)，包括壓縮文件、歸檔文件和打包文件，從而能夠發(fā)現(xiàn)隱藏在最深處的威脅。所有這些功能都具有高度的可靠性，不會出現(xiàn)誤報問題。4.1.2McAfeeePolicyOrchestrator3.5集中管理您的系統(tǒng)安全網(wǎng)絡系統(tǒng)必須時刻警惕各種惡意威脅和攻擊—威脅和攻擊在網(wǎng)絡中無處不在，它們在不斷地探測網(wǎng)絡的薄弱環(huán)節(jié)，并伺機對您的安全防護系統(tǒng)發(fā)起沖擊。因此，管理員的工作就更像是一種取得“平衡”的任務。一方面是業(yè)務的要求—既要管理不斷增加的設備，又要對不斷增多的移動用戶的需求做出響應。另一方面是安全性的要求—既要保證系統(tǒng)符合安全性要求，又要對下一代防護解決方案和產(chǎn)品（用于抵御不斷翻新的威脅）的多個層級進行管理。因此，全面掌控系統(tǒng)的安全性，并對已有的安全部署進行增加，就成為了至關(guān)重要的一個環(huán)節(jié)。從根本上說，這些要求都是持續(xù)的，而且具有同等的重要性。忽視其中的任何一個都會使您陷入完全失衡的窘境。McAfee?ePolicyOrchestrator?3.5(ePO?)是一款在行業(yè)中居領先地位的系統(tǒng)安全管理解決方案—它為企業(yè)提供了一種協(xié)同的、前瞻性的防護手段，能夠幫助企業(yè)有效抵御各種惡意威脅和攻擊。ePO3.5是McAfee系統(tǒng)防護解決方案的核心，管理員可以通過它來降低惡意系統(tǒng)或不符合安全要求的系統(tǒng)所造成的風險、保持防護體系的最新狀態(tài)、配置并強制實施防護策略、并通過一個真正企業(yè)級的、可伸縮的中央控制臺對系統(tǒng)的安全狀態(tài)進行全天候（24X7）的監(jiān)控。降低惡意系統(tǒng)和不符合安全要求的系統(tǒng)所造成的風險對于所有的安全防護團隊來說，減少易受攻擊的漏洞數(shù)量應該是優(yōu)先級最高的一項工作。一個缺乏合理防護管理的未知系統(tǒng)會給整個網(wǎng)絡帶來嚴重的威脅—未知威脅的不斷重復感染、新漏洞的出現(xiàn)、潛在的威脅攻擊目標或者傳播點都是這些惡意系統(tǒng)所表現(xiàn)出來的病征和風險。因此，了解連接到該網(wǎng)絡的所有系統(tǒng)對于確保企業(yè)安全性來說是至關(guān)重要的。有時，惡意系統(tǒng)的問題還會被其它因素進一步惡化，例如，在絕大多數(shù)網(wǎng)絡中，接入網(wǎng)絡的唯一要求就是物理連接。承包商、外包員工、會議室的訪客或者一些已被遺忘的系統(tǒng)都有同等的機會連接到企業(yè)網(wǎng)絡，而且會在不經(jīng)意之間對網(wǎng)絡的完整性和可用性構(gòu)成嚴重的威脅。ePO3.5能夠通過一種獨特的方法來降低惡意系統(tǒng)或不符合安全要求的系統(tǒng)所造成的風險。通過分布式傳感器，ePO3.5能夠被動式地監(jiān)控網(wǎng)絡中任何一個基于局域網(wǎng)的連接，快速判斷出這些連接當前是否由ePO3.5進行管理，并能夠向沒有被ePO3.5管理的惡意系統(tǒng)提供多種基于策略的響應。通過快速識別未經(jīng)管理的系統(tǒng)，管理員就可以極大地提升系統(tǒng)的安全性，并減少惡意系統(tǒng)和不符合安全要求的系統(tǒng)所存在的漏洞。ePolicyOrchestratorePolicyOrchestratorRogueSensorRogueSensorRogueSensor檢測到3個不兼容系統(tǒng)!!降低運行成本和基礎架構(gòu)成本ePO3.5將幫助您整合現(xiàn)有的安全供應商，與您的網(wǎng)絡和安全基礎架構(gòu)集成，并通過對系統(tǒng)安全性進行集中管理來降低您的運行成本。全天候(24X7)的系統(tǒng)安全監(jiān)控ePO3.5的集成通知服務和圖形報表提供了全天候的安全可視性，使用戶可以有效地監(jiān)控系統(tǒng)的安全性、評估安全策略的狀態(tài)并發(fā)現(xiàn)網(wǎng)絡中的薄弱環(huán)節(jié)?？焖?、前瞻性的信息對于安全專家來說是至關(guān)重要的，尤其是對安全一致性和威脅活動進行監(jiān)控時。ePO3.5針對安全一致性、威脅活動以及惡意系統(tǒng)提供了集成的警報和通知功能。由管理員定義的閥值將確保重要的警報能夠通過電子郵件、SMS、文本尋呼機或SNMP陷阱發(fā)送給指定的負責人員。這些警報主要針對對威脅活動、防病毒一致性水平以及惡意系統(tǒng)的檢測。ePO3.5提供了四十多種預定義報告，涵蓋范圍非常廣泛。利用這些報告，用戶可以輕松定位不符合安全要求的系統(tǒng)、跟蹤突發(fā)問題的來源或確定安全策略的有效性。您可以隨時獲取各種信息，包括僅有一頁的安全報告摘要以及有關(guān)病毒策略和活動、桌面機防火墻策略、系統(tǒng)漏洞、垃圾郵件和內(nèi)容過濾策略的詳細信息。此外，您還可以通過自定義報告來滿足自己的特定需求。管理員可從多種可打印、可導出的報表形式中任意選擇，其中包括三維條形圖、餅圖、折線圖以及表格。ePO3.5集成了BusinessObjects?CrystalReports技術(shù)和Microsoft?MSDE/SQLServer，在操作的簡便性和強大的功能之間實現(xiàn)了完美的平衡，能夠滿足任何規(guī)模企業(yè)的要求。強制防護和更新前瞻性管理安全策略遇到的一個最大的問題就是如何確保所有的系統(tǒng)都獲得了最新的保護。ePO3.5通過自動強制實施策略確保了整個企業(yè)都能夠符合安全性的要求，既防止了某些系統(tǒng)得不到及時更新，又有效地避免了最終用戶修改設置或禁用某些關(guān)鍵性的防護。ePO3.5是有效管理更新過程的中心。管理員可以指定更新間隔（按計劃更新），或者指定按系統(tǒng)、用戶組或其它方式進行更新。分布式數(shù)據(jù)庫的智能化設計無需服務器參與更新操作，所有更新都在整個網(wǎng)絡范圍內(nèi)實施，從而降低了網(wǎng)絡流量并提高了性能。此外，ePO3.5具有最全面的更新部署能力，能夠有效地部署McAfee的所有DAT、引擎、服務包、修補文件以及補丁文件。前瞻性地評估Microsoft補丁的應用情況借助于ePO3.5，您可以簡單直觀地采取前瞻性措施來減少系統(tǒng)漏洞，并對補丁文件的部署效率進行評估。SystemComplianceProfiler(SCP)是ePO3.5的一個組件，它使得安全專家能夠快速評估整個企業(yè)內(nèi)系統(tǒng)安全的實施情況，包括重要的Microsoft安全補丁的部署情況。這種配置是基于規(guī)則的，而且可以由管理員或通過從McAfee下載的模板進行自定義設置，配置過程會在系統(tǒng)中搜索特定的文件、服務、注冊表項或特定的Microsoft補丁引用信息。此外，您還可以通過補丁指紋（使用MD5哈希碼）來確保Microsoft安全補丁的絕對完整性，并防止補丁偽造。安全一致性的重要性級別可由管理員來設定，并可以通過詳細的、圖形化的一致性報告進行監(jiān)控。ePolicyePolicyOrchestratorSecurityBulletinMS04-025兼容不兼容!快速響應爆發(fā)事件ePO3.5是對爆發(fā)事件做出有效響應的關(guān)鍵所在，它使得管理員能夠針對威脅定制出特定的響應措施。面對緊急情況，您可能需要立即更新所有的機器，此時，服務器就會命令所有的代理立即更新，并在整個網(wǎng)絡中使更新立即生效。除此以外，爆發(fā)事件還可能要求您更改系統(tǒng)防火墻的策略，或者僅對網(wǎng)關(guān)策略進行修改或更新。ePO3.5使您能夠做出快速響應，并可以集中處理當前的任務。ExpressGlobalUpdating確保了快速的企業(yè)更新（一小時內(nèi)最多可更新50,000個系統(tǒng)），并能夠通過ePO3.5強大的報表功能對所有的更新進行驗證。通過全局網(wǎng)絡對更新進行分發(fā)不僅提升了帶寬的使用效率，而且大大提高了對新威脅和突發(fā)威脅的響應能力。保護移動用戶有了ePO3.5，對移動員工的管理再也不會是令安全團隊撓頭的問題了。即使膝上型電腦沒有連接到網(wǎng)絡，通過強制實施策略以及在連接到Internet時進行更新，ePO3.5也可以有效地管理您無法管理的基礎架構(gòu)。由于移動用戶和遠程用戶要求更高的靈活性，ePO3.5可以從最近的數(shù)據(jù)庫中以最有效利用帶寬資源的方式為他們提供更新，并允許延遲更新和重新開始更新。借助于ePO3.5，您的遠程用戶和移動用戶就能夠得到與局域網(wǎng)用戶同樣完善的保護，您也可以同樣簡單地對他們進行管理。簡化整個企業(yè)范圍內(nèi)的管理ePO3.5的設計兼顧了企業(yè)級的擴展性能，可以通過每臺服務器管理多達250,000個用戶，并可以輕松地使用遠程控制臺從任何位置進行操作，從而大大節(jié)省了企業(yè)的硬件和管理成本。這些策略覆蓋了惡意威脅防護的每一個層面，包括更新頻率、個人防火墻設置、補丁評估、要掃描的文件類型以及啟發(fā)式掃描設置，可設置于每一臺計算機或每個組，并可完全由管理員進行定義。所有這些都可以被強制實施，從而確保對用戶的妥善保護。您需要以多種語言管理企業(yè)的安全防護？沒問題！您既要管理傳統(tǒng)防病毒產(chǎn)品，又要管理最新的安全應用程序？簡單！您需要不同管理員負責管理網(wǎng)絡的不同部分？別擔心！您有Windows?服務器、Linux服務器和NetWare文件服務器？容易！想與MicrosoftActiveDirectory進行集成？沒問題！想增加系統(tǒng)防火墻和入侵預防？還是沒問題！ePO3.5能夠幫助您輕松解決所有這些問題。集成已有的關(guān)鍵性基礎架構(gòu)ePO3.5在設計之初就考慮了管理的效率問題，它能夠很好地利用您在MicrosoftActiveDirectory(AD)做出的投入，不僅簡化了變更控制，而且確保了整個企業(yè)內(nèi)目錄的一致性。與MicrosoftAD的集成使得用戶能夠按照計劃將系統(tǒng)從AD目錄導入到ePO3.5目錄，此外，如果需要的話，您還可以在ePO3.5目錄中創(chuàng)建出完全相同的AD組鏡像。ePolicyOrchestratorePolicyOrchestratorMSActiveDirectoryFullMirroring4.1.3GroupShield6.0郵件服務器防護內(nèi)嵌郵件系統(tǒng)郵件病毒防護系統(tǒng)將保證病毒不能通過的電子郵件傳播，并且不能進入郵件數(shù)據(jù)庫；保證從Internet發(fā)來的電子郵件不能攜帶病毒進入郵件服務器。在郵件服務器上安裝GroupShield在每臺郵件服務器上安裝GroupShield?？墒紫葘︵]件服務器進行完全掃描，然后設定GroupShield定期（非工作時間對服務器進行掃描）。GroupShield的主要特征可參考服務器病毒防護體系中的說明。多種運行模式整個防病毒系統(tǒng)除了管理工作以外的就是對病毒的掃描和清除。病毒掃描程序的運行分為四種方式：訪問時觸發(fā)掃描(On-Access)：當系統(tǒng)在讀、寫、執(zhí)行文件、拷貝、磁盤訪問、系統(tǒng)關(guān)機、系統(tǒng)啟動等時自動觸發(fā)運行病毒掃描程序，掃描文件系統(tǒng)和操作系統(tǒng)，一旦發(fā)現(xiàn)病毒，給出報警；這是對系統(tǒng)的實時檢測；按要求掃描(On-Demand)：按照用戶要求，在指定的時間內(nèi)自動掃描系統(tǒng)、文件系統(tǒng)、磁盤；手工掃描(Scan)：手工啟動病毒掃描程序，對系統(tǒng)進行掃描；屏幕保護方式掃描(ScreenSaver)：當系統(tǒng)在空閑時，觸發(fā)屏幕保護程序，自動開始對系統(tǒng)進行掃描；四種方式互相補充，構(gòu)成對病毒掃描頻率的互補。On-access掃描，保證對系統(tǒng)、文件系統(tǒng)的每次都正常進行，避免由于文件系統(tǒng)的操作，感染病毒。但是On-access并不能覆蓋所有的文件系統(tǒng)，使有潛伏的病毒難以發(fā)現(xiàn)，這時用On-Demand掃描定時對整個系統(tǒng)或部分掃描，這種掃描一般頻率比較低，和高頻率的On-access掃描構(gòu)成互補。這兩種方式都是自動運行的。手工掃描作為一種補充手段可以徹底地對系統(tǒng)進行完全的掃描，也可以對有嫌疑的文件目錄進行掃描，然后將病毒清除掉。屏幕保護方式掃描，利用系統(tǒng)的空閑時間，時刻讀系統(tǒng)進行防病毒保護。各種掃描方式都有詳細的日志信息，供管理人員進行病毒審計使用；同時，根據(jù)報警策略，給出相應的報警方式和結(jié)構(gòu)。4.1.4黑龍江八一農(nóng)墾大學網(wǎng)絡防病毒部署圖4.2桌面管理解決方案(IPDSMS)4.2.1IPDSMS公司簡介上海創(chuàng)多軟件有限公司是2002年成立的軟件企業(yè)，公司由前微軟（中國）有限公司的大區(qū)經(jīng)理、前微軟（中國）有限公司的高級技術(shù)顧問、IBM（中國）有限公司資深渠道市場經(jīng)理等多名已經(jīng)從事IT技術(shù)與市場的資深專家投資成立。

公司業(yè)務定位是以服務大眾化企業(yè)IT應用和需求為出發(fā)點，運用成熟穩(wěn)定的軟件技術(shù)和行業(yè)經(jīng)驗，向用戶提供輕便、實用、性價比高、實施容易、見效快的軟件產(chǎn)品。

公司目前分上?？偛亢捅本┦袌鲞\營中心兩大機構(gòu)，其中上?？偛控撠煯a(chǎn)品研究與開發(fā)，及華東華南區(qū)域市場的開拓與發(fā)展；北京運營中心負責華北區(qū)市場的開拓與發(fā)展。公司計劃將會在廣東，西南，東北，西北等地開設辦事機構(gòu)，以服務當?shù)氐那篮献骰锇楹涂蛻簟?/p>

IPDSMS作為一個貫穿“輕便”、“簡潔”思路的系統(tǒng)工具軟件產(chǎn)品，產(chǎn)品直接體現(xiàn)以人為本的設計理念。簡單化設計是國際上被廣泛認可的設計理念，IPDSMS將IT管理業(yè)務中那些最繁雜的事務進行整理，形成了具有明確針對性的功能模塊，滿足IT經(jīng)理對批量化作業(yè)、PC系統(tǒng)管理規(guī)范性、系統(tǒng)穩(wěn)定性管控等各層次要求。4.2.2產(chǎn)品概述及特點IT基礎設施及應用系統(tǒng)的工作穩(wěn)定性對企業(yè)經(jīng)營生產(chǎn)活動至關(guān)重要。計算機系統(tǒng)管理的目標之一就是要確保企業(yè)計算機系統(tǒng)運行的穩(wěn)定性和可靠性。如果出現(xiàn)嚴重問題，其后果完全可以設想成一個城市大面積停電一樣，使整個企業(yè)生產(chǎn)經(jīng)營活動陷入混亂。實施全面、及時、有效和系統(tǒng)化管理是計算機信息系統(tǒng)運行可靠性的有力保證。而運用工具化的管理軟件是IT經(jīng)理掌握全局、運籌帷幄的重要手段之一。長期以來，計算機應用迅速普及，單位內(nèi)部PC擁有量不斷增加，而IT經(jīng)理面對這幾十成百甚至上千的PC，卻沒有一套有效的輔助性管理工具，依然沿用傳統(tǒng)的手工作業(yè)模式。軟硬件統(tǒng)計只能靠手工逐臺登記，沒有全局觀，有時侯還需要拆開機箱。即使有人調(diào)換、安裝及卸載根本無從了解。因此，對PC軟硬件環(huán)境缺乏透明度和可把握度。PC在使用者手中，運行什么軟件已經(jīng)無法約束，而出了問題肯定是IT管理者的事情，不停地重新Ghost是很正常的事情。對于互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡資源訪問等，只能依賴網(wǎng)關(guān)或網(wǎng)絡配置有限的能力，無法對PC的網(wǎng)絡行為進行約束，有的為了搶占資源，私自改動IP，造成地址沖突。對于日常重復性最大的批量作業(yè)，如操作系統(tǒng)安全補丁及大范圍軟件安裝升級等工作，只能逐臺進行，耗時耗力。PC出現(xiàn)故障，不論故障大小，電話支持不能徹底解決問題，只好親赴現(xiàn)場，常常為一個三分鐘可以搞定的問題浪費大量時間，也無法保證快速響應。因此，IT管理人員為了確保計算機系統(tǒng)穩(wěn)定運行需要付出成倍的工作量。而采用工具化、智能化的管理工具，能夠極大地提高管理效率和質(zhì)量，降低工作壓力，達到事半功倍的效果。IPDSMS就是針對目前系統(tǒng)管理的種種問題和挑戰(zhàn)推出的網(wǎng)絡管理軟件。它從企業(yè)IT管理的五大普遍性需求出發(fā)，形成了資產(chǎn)管理、進程管理、軟件分發(fā)、遠程桌面管理及網(wǎng)絡行為管理等具有明確針對性的功能架構(gòu)。IPDSMS系統(tǒng)管理套件經(jīng)過了深入分析提煉，著眼于IT日常事務，最大程度地輔助管理者締造一個穩(wěn)定、可靠、高效、規(guī)范的計算機應用環(huán)境，使計算機100%為單位的經(jīng)營和生產(chǎn)服務。與其他的網(wǎng)管軟件不同，IPDSMS以網(wǎng)絡中的計算機桌面管理為重點，從靜態(tài)的資產(chǎn)管理到動態(tài)的行為管理，從事前的策略指定到出現(xiàn)問題的遠程維護，作到了一套軟件，解決相關(guān)的各個問題。IPDSMSIPDSMS系統(tǒng)管理套件資產(chǎn)管理進程管理軟件分發(fā)網(wǎng)絡訪問管理遠程桌面管理可以用以下幾點概括IPDSMS的特點：IPDSMS是提供給IT經(jīng)理自己使用的工具企業(yè)中隨著業(yè)務系統(tǒng)的推進，購買了各種各樣的硬件、各種各樣的軟件。但是作為網(wǎng)絡管理的基礎設施，IT經(jīng)理一直沒有一套很好的工具，能幫助自己規(guī)范網(wǎng)絡管理工作。IPDSMS是一套面向企事業(yè)IT經(jīng)理的專業(yè)管理工具，能提供計算機資產(chǎn)管理、進程控制、軟件分發(fā)、遠程桌面管理等多項功能。IPDSMS是一套高性價比的軟件系統(tǒng)并提供了IT經(jīng)理最經(jīng)常使用的功能，其設計目標就是幫助IT經(jīng)理處理一些重復瑣碎的工作，而讓IT經(jīng)理有更多時間和經(jīng)歷處理高層次應用的問題。IPDSMS集成了系統(tǒng)管理需要的各種功能為了加強網(wǎng)絡管理，IT經(jīng)理會使用各種各樣的軟件來幫助自己。使用EXCEL來記錄資產(chǎn)信息，使用SUS進行軟件分發(fā),pcanywhere進行遠程桌面管理，使用一些共享軟件進行網(wǎng)絡管理。這些軟件用在網(wǎng)絡管理的各個環(huán)節(jié)，零零散散的發(fā)揮作用。IPDSMS集成了網(wǎng)絡管理所需要的各種功能，作為一個整體為網(wǎng)絡管理人員提供了一個完整的解決方案。IT

經(jīng)理再不要煩惱用什么工具去解決什么問題了。而且隨著網(wǎng)絡管理的需要,IPDSMS在不斷的擴展中，將會為網(wǎng)絡管理提供越來越強大的技術(shù)保障。IPDSMS特點就是輕便易用，是“瑞士軍刀”式的網(wǎng)管軟件IPDSMS最突出的一個特點就是輕便性（LightWeight），系統(tǒng)采用IE作為管理界面，IT經(jīng)理可以隨時隨地實施管理，使IT經(jīng)理快速掌握系統(tǒng)，省去復雜的調(diào)試和閱讀厚厚的手冊。降低了軟件的總體使用成本。IPDSMS作為IT管理的一個助手，在提供實用功能的基礎上，最大程度地降低產(chǎn)品使用及實施的復雜度，使產(chǎn)品在實用的同時，也更加易用，同時考慮到對用戶計算機及網(wǎng)絡資源可能產(chǎn)生消耗，系統(tǒng)采用了完全事件觸發(fā)模式（Event-Driven）的基礎架構(gòu)，使其正常情況對資源消耗降到最低。IPDSMS良好的可伸縮性能適應復雜、龐大的網(wǎng)絡架構(gòu)IPDSMS良好的系統(tǒng)架構(gòu)支持它能夠適應各種網(wǎng)絡結(jié)構(gòu)和訪問需求。小到幾個點十幾個點的網(wǎng)絡，達到幾千個點的企業(yè)級網(wǎng)絡，IPDSMS都能提供管理能力和短的響應時間。IPDSMS在各種類型企業(yè)實施的效果也證明了它良好的伸縮性?；跒g覽器的使用界面方便實用由于采用B/S架構(gòu)的設計模式，使得IPDSMS的使用也簡單。不需要要在使用的管理計算機上安裝任何軟件，使用瀏覽器就可以進行管理和維護工作，甚至能進行遠程控制管理。終端PC終端PC終端PC被管理終端PCTCP/IPIPD服務器IISWeb服務ISAPI網(wǎng)絡內(nèi)PC的IE/Netscape/Opera等瀏覽器HTTP/SSL 4.2.3系統(tǒng)功能簡介IPDSMS作為網(wǎng)絡管理人員的”利器”,從系統(tǒng)的安裝、配置，到系統(tǒng)的界面、功能安排都體現(xiàn)了“傻瓜”、“簡單”的設計原則。力求使用者能在最短的時間內(nèi)找到需要的功能，最簡單、直接的方式實現(xiàn)所想達到的目的。IPDSMS系統(tǒng)包括六大模塊，分別是：資產(chǎn)管理進程管理軟件分發(fā)遠程桌面管理網(wǎng)絡訪問管理設備管理計算機管理隨著單位的規(guī)模不同，單位的計算機也會從十幾臺到幾千臺不等。需要一個統(tǒng)一的編號能進行計算記識別和管理。通過IPDSMS的管理，可以對計算機實物進行統(tǒng)一管理，自動編號、自動記錄計算機的硬件、軟件配置情況和變動情況。IPDSMS具有自動網(wǎng)絡掃描功能。通過高效率的掃描引擎，搜索網(wǎng)絡內(nèi)計算機列表。并且查看分辨網(wǎng)絡中的所有計算機。一旦被識別進入數(shù)據(jù)庫中，通過唯一的硬件標識對計算機的行為進行記錄。即使重新安裝代理軟件、重新安裝操作系統(tǒng)也能保留識別標示。計算機編號管理在網(wǎng)絡內(nèi)計算機被納入IPDSMS的管理后，IPDSMS會自動對計算機進行編號管理。這個編號也可以根據(jù)單位自己的業(yè)務需要進行編碼。比如可以根據(jù)使用人員或者部門的名稱編號，也可以根據(jù)計算機的資產(chǎn)管理編碼進行編號。這樣可以擴展計算機的管理模式，方便管理員的管理工作。在線計算機列表通過實時的在線列表功能，可以列出網(wǎng)絡內(nèi)計算機的在線情況和不在線計算機的情況。同時還可以查看計算機安裝IPDSMS客戶端的情況。這樣可以方便的統(tǒng)計哪些機器還沒有安裝客戶端，沒有納入IPDSMS的管理。分組管理單位的計算機管理可以是按照部門進行管理，也可以按照單位職位的差別進行管理。IPDSMS提供按組的模式進行管理。通過分組可以統(tǒng)一進行策略的制定和管理。在分組確定后，將相關(guān)的計算機加入到分組當中就可以了。資產(chǎn)管理資產(chǎn)管理包括兩部分，硬件資產(chǎn)和軟件資產(chǎn)。硬件資產(chǎn)的管理是傳統(tǒng)意義上的資產(chǎn)管理，包括硬件型號、配置、變化等等。大多數(shù)企業(yè)在軟件內(nèi)部開發(fā)或外部采購投入巨資，但卻缺少或者沒有在對這些軟件進行有效管理。由此而產(chǎn)生的復雜的IT架構(gòu)，不規(guī)范的軟件應用，過高的維護成本，以及潛在的安全隱患使企業(yè)越來越頭疼。而如果實施軟件資產(chǎn)管理解決方案，就可通過掌控軟件使用的整個生命周期來戰(zhàn)略性的部署企業(yè)IT架構(gòu)，并通過制定一系列有效的管理措施，配合系統(tǒng)管理的使用，從而合理控制軟件購置的支出，真正提升軟件資產(chǎn)的利用率與整體效益。網(wǎng)絡計算機信息自動匯總通過IPDSMS的智能代理，可以自動把網(wǎng)絡內(nèi)計算機的信息自動上傳到服務器數(shù)據(jù)庫中。通過自動匯總的方式，免除了管理員需要逐臺登記的繁重工作，增強了信息的準確性和時效性。計算機硬件資產(chǎn)管理在硬件資產(chǎn)管理中，可以查詢到網(wǎng)絡中每臺計算機的硬件配置。包括計算機名稱、計算機編號、IP地址、Mac地址、以及

CPU類型、硬盤類型、內(nèi)存大小、顯卡型號等常用的信息。計算機軟件資產(chǎn)管理計算機軟件資產(chǎn)管理可以查詢到網(wǎng)絡中計算機的軟件安裝情況，并對安裝的數(shù)量進行匯總。從基本的操作系統(tǒng)情況、應用軟件安裝情況到系統(tǒng)補丁安裝情況、驅(qū)動程序安裝情況。軟件資產(chǎn)管理中匯總了最全、最新的計算機軟件安裝信息。有了軟件資產(chǎn)管理，管理人員再也不用擔心不知道是不是所有機器都安裝了要求安裝的軟件，不用擔心是不是有人私下安裝了游戲卻不知道，不用擔心是不是安裝的正版軟件數(shù)量超過了License授權(quán)數(shù)量了。計算機變動情況報表管理員需要掌握每天網(wǎng)絡里面的計算機都發(fā)生了什么變化，包括硬件配置變更、安裝或者卸載軟件的情況。IPDSMS提供的計算機變動情況表可以及時的反應這方面的變化。變動表中，可以看到變動機器的機器名稱、編號、IP地址、Mac地址、變動明細情況以及變動的日期。有了變動表，管理員再也不用擔心面對的是一個“黑盒子”了。進程管理進程管理是計算機行為管理的一大組成部分。通過進程管理，可以規(guī)范PC的內(nèi)在行為。規(guī)定用戶可以做什么，不可以做什么。IPDSMS對進程的管理是通過對進程進行分類，分成合法運行的程序以及不允許運行的進程兩大類。然后設定白名單和黑名單。如果在辦公環(huán)境中要求比較嚴格，只允許計算機運行預先規(guī)定的幾種軟件，可以使用白名單。這樣如果計算機試圖運行規(guī)定之外的軟件，會被自動切斷運行的途徑，保證預定的策略得到執(zhí)行。比如規(guī)定辦公室只能運行Office、ERP等幾種和辦公有關(guān)的軟件，其他的一律為不允許使用的軟件，可以把這些軟件放到白名單中。如果辦公環(huán)境要求比較寬松，只是要求不允許運行幾種違反規(guī)定的軟件，可以使用黑名單功能。比如單位規(guī)定聊天類軟件QQ,MSN不允許使用，其他都是可以的，可以使用黑名單功能。進程分組管理進程分組管理是為了減輕管理人員的工作量而設定的“貼心”功能。由于進程的數(shù)量可能很多，如果直接對這些進程進行管理、設定策略會很繁瑣。所以IPDSMS引入進程組的概念。通過將類似的軟件分組或者將需要統(tǒng)一管理的軟件分組可以減輕維護量。比如將Word,Excel,Powerpoint,Access分為Office組，在設定策略的時候可以賦予用戶Office組運行權(quán)限就可以了。以后增加了別的Office辦公軟件，只需要將該軟件添加到Office組中就可以了。計算機行為策略設定計算機行為策略就是指白名單和黑名單的設定。在白名單中，可以查看、修改某個工作組被允許運行的進程組是哪些。在黑名單中，可以查看指定某個工作組被禁止使用哪個進程組，甚至某臺計算機不允許運行哪個進程組、哪個程序。計算機行為監(jiān)控與管理在設定了白名單或者黑名單的基礎上，IPDSMS對網(wǎng)絡中的計算機進行監(jiān)控和管理。如果用戶試圖運行合法權(quán)限以外的軟件，系統(tǒng)會發(fā)出信息警告并且殺掉非法的進程。通過這種方式，實現(xiàn)了行為管理的控制。軟件分發(fā)以前軟件分發(fā)是一項很艱巨的任務。每次當有新的應用、補丁或者驅(qū)動程序，IT部門就需要花費整個周末的時間，在幾百臺機器上安裝這些新的軟件。根據(jù)被安裝的軟件的大小，這樣的工作通常會用掉整個周末。由于整個周末的加班，到了星期一全部都顯得筋疲力盡，而這還不是全部，很快就會被用戶的電話包圍，因為他們不理解那些新的軟件。現(xiàn)在通過IPDSMS的軟件分發(fā)功能，這些工作已經(jīng)完全自動化了。大到幾百兆的辦公軟件、小到幾十K的補丁程序都可以通過軟件分發(fā)完成。支持多種分發(fā)任務、分發(fā)格式IPDSMS的軟件分發(fā)通過分發(fā)任務的方式來實現(xiàn)。原來的復雜的分發(fā)情況被簡化為通過設置和選項來設定分發(fā)的過程。系統(tǒng)提供了指定分發(fā)時間、分發(fā)時段、分發(fā)持續(xù)時間、分發(fā)連續(xù)執(zhí)行天數(shù)、操作系統(tǒng)選擇等分發(fā)參數(shù)。同時，系統(tǒng)支持MSI格式、普通安裝程序、

可執(zhí)行文件格式、數(shù)據(jù)文件格式等多種分發(fā)的文件格式。大部分的軟件分發(fā)任務都可以通過IPDSMS完成。其中，對MSI格式的完美支持使的分發(fā)任務異常簡單。遠程喚醒分發(fā)任務對于晚上統(tǒng)一軟件安裝的情況，如果計算機的網(wǎng)卡支持遠程喚醒，還可以進行遠程喚醒安裝軟件。這樣軟件分發(fā)的工作不受時間限制和上班時間的限制。分發(fā)任務結(jié)果統(tǒng)計在安裝結(jié)束后還可以設定進行結(jié)果統(tǒng)計。通過分發(fā)任務統(tǒng)計表可以隨時看到每個軟件任務的安裝情況和結(jié)果，有多少計算機、多少比率的計算機進行了軟件分發(fā)工作，成功的有多少。給管理員的下一步工作提供參考。遠程桌面管理管理員的時間相當一部分花在東奔西走解決一些瑣碎的問題上。IPDSMS的遠程桌面管理可以把管理員從這種工作模式中解放出來，不必親赴現(xiàn)場處理PC發(fā)生的故障，只需要通過遠程技術(shù)支持，通過遠程操作用戶的計算機，幫助用戶解決他們碰到的問題。可控制遠程用戶管理可以進行遠程桌面管理的計算機都在一個統(tǒng)一的界面中羅列出來。通過列表管理員可