黑龍江八一農(nóng)墾大學(xué)網(wǎng)絡(luò)安全解決方案

黑龍江八一農(nóng)墾大學(xué)網(wǎng)絡(luò)安全建設(shè)方案保密申明保密申明此份方案包含了來自黑龍江太極電子科技的可靠、權(quán)威的信息，這些信息是作為“黑龍江八一農(nóng)墾大學(xué)網(wǎng)絡(luò)安全建設(shè)方案”專用，接受這份方案表示同意對其內(nèi)容保密并且未經(jīng)黑龍江太極電子有限公司書面認(rèn)可，不得復(fù)制，泄漏或散布這份方案。如果你不是有意接受者，請注意對這份方案內(nèi)容的任何形式的泄漏、復(fù)制或散布都是被禁止的。黑龍江太極電子有限公司國家保密委涉密網(wǎng)絡(luò)信息系統(tǒng)集成資質(zhì)單位黑龍江省保密局涉密網(wǎng)絡(luò)信息系統(tǒng)集成資質(zhì)單位黑龍江省公安廳計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急處理中心成員單位二零零五年五月TOC\o"1-5"\h\z\u一．前言 -5-二、安全風(fēng)險(xiǎn)及需求分析 -6-2.1黑龍江八一農(nóng)墾大學(xué)信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu) -6-2.2黑龍江八一農(nóng)墾大學(xué)網(wǎng)絡(luò)面臨的威脅 -7-2.2.1網(wǎng)絡(luò)病毒肆虐 -7-2.2.2網(wǎng)絡(luò)訪問控制不嚴(yán) -8-2.2.3人為的惡意攻擊 -8-2.2.4網(wǎng)絡(luò)和系統(tǒng)軟件的漏洞和“后門” -9-2.3黑龍江八一農(nóng)墾大學(xué)信息系統(tǒng)安全建設(shè)目標(biāo) -9-2.4安全保護(hù)對象 -10-三、網(wǎng)絡(luò)安全解決方案 -11-3.1方案設(shè)計(jì)原則 -11-3.2總體設(shè)計(jì) -12-3.2.1防止病毒侵害 -13-3.2.2控制非法訪問 -14-3.2.3排除故障隱患 -15-3.2.4網(wǎng)絡(luò)安全評估 -15-3.2.5合理配置系統(tǒng) -15-3.2.6加強(qiáng)安全培訓(xùn) -15-四、 安全方案具體實(shí)現(xiàn) -16-4.1網(wǎng)絡(luò)防病毒系統(tǒng) -16-4.1.1McAfeeVirusScanEnterprise8.0i -18-創(chuàng)新的防病毒技術(shù) -19-針對PC和服務(wù)器增強(qiáng)的集成防護(hù) -20-入侵防護(hù)的重要性—緩沖區(qū)溢出防護(hù)技術(shù) -21-訪問保護(hù)—全新的高級功能 -21-增強(qiáng)的電子郵件掃描功能 -22-腳本掃描程序（Java腳本和VisualBasic腳本） -23-潛在惡意程序安全防護(hù) -23-對速度的需求 -23-有效防護(hù)的關(guān)鍵所在 -24-0強(qiáng)大功能的動(dòng)力引擎 -24-4.1.2McAfeeePolicyOrchestrator3.5 -24-降低惡意系統(tǒng)和不符合安全要求的系統(tǒng)所造成的風(fēng)險(xiǎn) -25-降低運(yùn)行成本和基礎(chǔ)架構(gòu)成本 -26-全天候(24X7)的系統(tǒng)安全監(jiān)控 -26-強(qiáng)制防護(hù)和更新 -27-前瞻性地評估Microsoft補(bǔ)丁的應(yīng)用情況 -27-快速響應(yīng)爆發(fā)事件 -28-保護(hù)移動(dòng)用戶 -28-簡化整個(gè)企業(yè)范圍內(nèi)的管理 -29-集成已有的關(guān)鍵性基礎(chǔ)架構(gòu) -29-4.1.3GroupShield6.0郵件服務(wù)器防護(hù) -30-內(nèi)嵌郵件系統(tǒng) -30-多種運(yùn)行模式 -31-4.1.4黑龍江八一農(nóng)墾大學(xué)網(wǎng)絡(luò)防病毒部署圖 -32-4.2桌面管理解決方案(IPDSMS) -32-4.2.1IPDSMS公司簡介 -32-4.2.2產(chǎn)品概述及特點(diǎn) -33-IPDSMS是提供給IT經(jīng)理自己使用的工具 -34-IPDSMS集成了系統(tǒng)管理需要的各種功能 -35-IPDSMS特點(diǎn)就是輕便易用，是“瑞士軍刀”式的網(wǎng)管軟件 -35-IPDSMS良好的可伸縮性能適應(yīng)復(fù)雜、龐大的網(wǎng)絡(luò)架構(gòu) -35-基于瀏覽器的使用界面方便實(shí)用 -35-4.2.3系統(tǒng)功能簡介 -36-計(jì)算機(jī)管理 -36-資產(chǎn)管理 -38-進(jìn)程管理 -39-軟件分發(fā) -40-遠(yuǎn)程桌面管理 -41-網(wǎng)絡(luò)訪問管理 -41-設(shè)備管理 -42-帳號管理 -42-4.2.4實(shí)施部署 -42-4.3防火墻（FORTINET） -43-4.3.1美國FORTINET公司簡介 -43-4.3.2防火墻放置位置 -43-4.3.3防火墻在網(wǎng)絡(luò)中的作用和規(guī)則 -44-4.3.4產(chǎn)品特點(diǎn) -49-分區(qū)域安全管理的特色 -49-4.3.5其他防火墻產(chǎn)品推薦 -53-4.4網(wǎng)絡(luò)故障分析系統(tǒng)(Sniffer) -59-4.4.1Sniffer功能介紹(實(shí)時(shí)監(jiān)控統(tǒng)計(jì)和告警功能) -59-4.4.2七層協(xié)議解碼功能 -60-4.4.3專家分析系統(tǒng) -61-4.4.4便攜式Sniffer產(chǎn)品介紹 -62-五．黑龍江八一農(nóng)墾大學(xué)網(wǎng)絡(luò)安全部署拓?fù)鋱D -65-六．黑龍江太極電子科技有限公司簡介 -66-6.1太極計(jì)算機(jī)股份有限公司 -66-6.1.1北京太極信息安全技術(shù)有限公司 -66-6.1.2黑龍江太極電子科技有限公司 -66-6.2公司資質(zhì) -68-6.3公司產(chǎn)品 -78-6.4典型客戶 -78-6.5聯(lián)系方式 -78-修訂記錄 -79-黑龍江八一農(nóng)墾大學(xué)始建于1958年,十萬轉(zhuǎn)業(yè)官兵開發(fā)建設(shè)北大荒的歷史大潮中，由原國家副主席、時(shí)任農(nóng)墾部部長的王震將軍親自創(chuàng)辦并兼任第一任校長。1973年，學(xué)校由農(nóng)墾部劃歸黑龍江省管理。

學(xué)校原址位于黑龍江省密山市裴德鎮(zhèn)境內(nèi)，在偏遠(yuǎn)的邊疆農(nóng)村走過了45年的發(fā)展歷程。經(jīng)省政府批準(zhǔn)，2003年10月學(xué)校整體搬遷至大慶市高新區(qū)，實(shí)現(xiàn)了辦學(xué)地理位置的戰(zhàn)略性遷移，從根本上消除了長期制約學(xué)校發(fā)展的辦學(xué)區(qū)位劣勢。在市場經(jīng)濟(jì)的大潮中，黑龍江八一農(nóng)墾大學(xué)將憑借雄厚的辦學(xué)實(shí)力和拼搏進(jìn)取奮斗精神，夯實(shí)基礎(chǔ)，已成為一所以農(nóng)為主，農(nóng)、工、理、法、管、經(jīng)、文等多學(xué)科協(xié)調(diào)發(fā)展的農(nóng)業(yè)大學(xué)。為了更好的開展教學(xué)科研工作，黑龍江八一農(nóng)墾大學(xué)在信息化建設(shè)方面投入了大量的人力、物力。學(xué)校對信息化工作實(shí)施了強(qiáng)有力的領(lǐng)導(dǎo)，做了大量卓有成效的工作，校內(nèi)網(wǎng)絡(luò)已經(jīng)基本覆蓋了所有的辦公樓、學(xué)生公寓，在學(xué)術(shù)交流、信息發(fā)布、Internet網(wǎng)應(yīng)用與服務(wù)中廣泛采用了計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)通信技術(shù)，取得了豐碩的成果。隨著信息技術(shù)的迅猛發(fā)展，各項(xiàng)應(yīng)用業(yè)務(wù)也迅速展開，但同時(shí)也伴隨著網(wǎng)絡(luò)黑客的攻擊、病毒的大肆流行，使得構(gòu)建在網(wǎng)絡(luò)平臺之上的辦公系統(tǒng)、網(wǎng)絡(luò)應(yīng)用的安全危機(jī)日益增大。黑龍江八一農(nóng)墾大學(xué)領(lǐng)導(dǎo)充分認(rèn)識到網(wǎng)絡(luò)安全建設(shè)的重要性，適時(shí)的提出了開展網(wǎng)絡(luò)安全建設(shè)這一正確決策。因?yàn)?，這一項(xiàng)目的實(shí)施既是黑龍江八一農(nóng)墾大學(xué)信息網(wǎng)絡(luò)的切實(shí)需要，又符合全球信息技術(shù)現(xiàn)代化的潮流。2.1黑龍江八一農(nóng)墾大學(xué)信息系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)黑龍江八一農(nóng)墾大學(xué)是黑龍江省重點(diǎn)高等院校，隨著近年來信息化建設(shè)的推進(jìn)，黑龍江八一農(nóng)墾大學(xué)校園內(nèi)部已經(jīng)全面實(shí)現(xiàn)了教學(xué)、科研的計(jì)算機(jī)化應(yīng)用與管理。黑龍江八一農(nóng)墾大學(xué)在校園網(wǎng)建設(shè)上最大的特點(diǎn)在于：網(wǎng)絡(luò)建設(shè)起點(diǎn)較高，校園網(wǎng)骨干全部采用光纖連接；校園網(wǎng)信息點(diǎn)覆蓋廣，校園網(wǎng)要全面覆蓋教學(xué)、科研、后勤、學(xué)生宿舍、圖書館，服務(wù)對象廣泛；網(wǎng)絡(luò)結(jié)構(gòu)規(guī)范、清晰，網(wǎng)絡(luò)設(shè)備比較先進(jìn)，便于管理。以下是黑龍江八一農(nóng)墾大學(xué)信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)涫疽鈭D：（黑龍江八一農(nóng)墾大學(xué)現(xiàn)狀圖）網(wǎng)絡(luò)基本情況為：網(wǎng)絡(luò)核心由幾臺核心交換機(jī)（Cisco8016、6509、5516）構(gòu)成，向下分別連接有若干臺二級交換機(jī)，校內(nèi)各單位通過本地部署的三級交換機(jī)連接到二級節(jié)點(diǎn)上，實(shí)現(xiàn)八一農(nóng)墾校園網(wǎng)的互聯(lián)互通；核心交換機(jī)之間通過1000M光纖相連；八一農(nóng)墾校園網(wǎng)通過一個(gè)對外網(wǎng)絡(luò)接口上Internet。目前，八一農(nóng)墾校園網(wǎng)內(nèi)部的聯(lián)網(wǎng)計(jì)算機(jī)接近3000臺，隨著網(wǎng)絡(luò)改造和升級以后還將大規(guī)模增加。2.2黑龍江八一農(nóng)墾大學(xué)網(wǎng)絡(luò)面臨的威脅黑龍江八一農(nóng)墾大學(xué)未來幾年內(nèi)可能要與教育網(wǎng)接口開放，現(xiàn)在的網(wǎng)絡(luò)現(xiàn)狀是通過校園網(wǎng)的光纖接入互聯(lián)網(wǎng)、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展，其安全問題不僅僅局限于內(nèi)部事件了，來自外界的攻擊已越來越多，已經(jīng)成為黑龍江八一農(nóng)墾大學(xué)信息安全不可忽視的威脅來源。但是，未來黑龍江八一農(nóng)墾大學(xué)網(wǎng)上的應(yīng)用服務(wù)不斷的增加，網(wǎng)絡(luò)內(nèi)部的辦公逐漸的從有紙化辦公轉(zhuǎn)變?yōu)闊o紙化辦公，在以后的工作環(huán)境（信息系統(tǒng)平臺）；從內(nèi)部業(yè)務(wù)應(yīng)用的角度來看，除大量現(xiàn)存的C/S結(jié)構(gòu)以外，還將出現(xiàn)越來越多的內(nèi)部B/S結(jié)構(gòu)應(yīng)用。所以，對于黑龍江八一農(nóng)墾大學(xué)信息系統(tǒng)整體來說，主要問題仍有一大部分是內(nèi)部安全問題。其所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅。對于黑龍江八一農(nóng)墾大學(xué)來說，主要是保護(hù)應(yīng)用系統(tǒng)的安全，其核心在于保護(hù)黑龍江八一農(nóng)墾大學(xué)核心數(shù)據(jù)的安全，包括數(shù)據(jù)存儲(chǔ)，數(shù)據(jù)傳輸?shù)陌踩Ｓ绊懞邶埥艘晦r(nóng)墾大學(xué)網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的誤操作；可能是人為的或是非人為的；也有可能是內(nèi)部或外來攻擊者對網(wǎng)絡(luò)系統(tǒng)資源的非法使用……歸結(jié)起來，針對黑龍江八一農(nóng)墾大學(xué)網(wǎng)絡(luò)信息系統(tǒng)安全的威脅主要有幾個(gè)大方面：2.2.1網(wǎng)絡(luò)病毒肆虐隨著計(jì)算機(jī)技術(shù)應(yīng)用的普及，各個(gè)部門的運(yùn)行越來越依賴和離不開計(jì)算機(jī)，各種工作的運(yùn)行架構(gòu)于現(xiàn)代化的網(wǎng)絡(luò)環(huán)境中。保證各種應(yīng)用系統(tǒng)工作的正常、可靠和安全地進(jìn)行是信息系統(tǒng)工作的一個(gè)重要話題。在所有計(jì)算機(jī)安全威脅中，計(jì)算機(jī)病毒是最為嚴(yán)重的，它往往是發(fā)生的頻率高、損失大、潛伏性強(qiáng)、覆蓋面廣。計(jì)算機(jī)病毒直接涉及到每一個(gè)計(jì)算機(jī)使用人員，是每一個(gè)使用人員經(jīng)常會(huì)碰到和感到頭痛的事。計(jì)算機(jī)病毒事實(shí)上是一種計(jì)算機(jī)程序，具有可自我復(fù)制性、傳染性、潛伏性、破壞性等。目前存在的病毒表現(xiàn)有很多特點(diǎn)：病毒種類越來越多、主動(dòng)的攻擊性越來越強(qiáng)、危害性及破壞性越來越強(qiáng)、傳染速度快和感染方式多、發(fā)展和增長速度快、病毒傳染源眾多、病毒變種多和速度快。隨著Internet技術(shù)和信息技術(shù)的發(fā)展，病毒的種類越來越多，這樣對病毒防護(hù)系統(tǒng)提出了新的挑戰(zhàn)，要求病毒防護(hù)系統(tǒng)能適合于各種操作系統(tǒng)、各種運(yùn)行環(huán)境和防護(hù)各種類型的病毒。病毒的危害性有各種各樣的表現(xiàn)，從CIH病毒對主板和硬盤的破壞到BO病毒對主機(jī)信息的泄露；從Explore病毒對文件系統(tǒng)的破壞到各種宏病毒對文檔的破壞和感染；還有從“沖擊波”、“震蕩波”“SoBig”這些網(wǎng)絡(luò)蠕蟲病毒中可以觀察出現(xiàn)在的病毒不僅要破壞個(gè)體主機(jī)，更重要的是讓整個(gè)網(wǎng)絡(luò)系統(tǒng)陷于癱瘓狀態(tài)，使所有的應(yīng)用服務(wù)無法正常的提供服務(wù)，導(dǎo)致?lián)p失嚴(yán)重。所有這些都只是病毒破壞的一些表現(xiàn)。總體來講，病毒的破壞有：直接對主板和硬盤破壞；破壞文件系統(tǒng)和文件；浪費(fèi)和占用系統(tǒng)資源(如CPU和硬盤)，導(dǎo)致系統(tǒng)性能、速度降低；泄露主機(jī)信息，向外發(fā)送主機(jī)的相關(guān)信息，或者被遠(yuǎn)程控制端所控制和留有后門，隨時(shí)可以由遠(yuǎn)程進(jìn)入和控制；一些善意的病毒往往發(fā)送一些問候消息，也有一些病毒開一些玩笑。病毒破壞的表現(xiàn)多種多樣，但是結(jié)果是一樣的，都會(huì)直接或間接地破壞系統(tǒng)、浪費(fèi)資源，從而浪費(fèi)生產(chǎn)力，降低效率和信息系統(tǒng)的利用率。2.2.2網(wǎng)絡(luò)訪問控制不嚴(yán)如安全配置不當(dāng)造成的安全漏洞，用戶安全意識不強(qiáng)，用戶口令選擇不慎，用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享信息資源等都會(huì)對網(wǎng)絡(luò)安全帶來威脅。黑龍江八一農(nóng)墾大學(xué)中心主機(jī)存在系統(tǒng)漏洞，容易被攻擊者利用后通過黑龍江八一農(nóng)墾大學(xué)信息網(wǎng)絡(luò)系統(tǒng)入侵到系統(tǒng)主機(jī)，并有可能登錄其它重要應(yīng)用子系統(tǒng)服務(wù)器或中心數(shù)據(jù)庫服務(wù)器，進(jìn)而對整個(gè)系統(tǒng)造成很大的威脅。2.2.3人為的惡意攻擊這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅，黑客的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的可用性和完整性；另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計(jì)算機(jī)網(wǎng)絡(luò)造成直接的極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏和丟失。2.2.4網(wǎng)絡(luò)和系統(tǒng)軟件的漏洞和“后門”隨著網(wǎng)絡(luò)和操作系統(tǒng)軟件的不斷更新和升級，由于邊界處理不善和質(zhì)量控制差等綜合原因，網(wǎng)絡(luò)和系統(tǒng)軟件存在越來越多的缺陷和漏洞，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)和有利條件。當(dāng)今世界范圍內(nèi)出現(xiàn)大量黑客（如沖擊波病毒，其實(shí)是一種黑客程序）攻入校園網(wǎng)絡(luò)內(nèi)部的事件，大部分原因是安全控制措施不完善所導(dǎo)致的。另外，軟件的“后門”有些是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設(shè)想。同時(shí)也存在BO，Netbus等專業(yè)黑客后門程序，一旦通過網(wǎng)絡(luò)植入黑龍江八一農(nóng)墾大學(xué)系統(tǒng)主機(jī)，猶如黑龍江八一農(nóng)墾大學(xué)系統(tǒng)的信息庫被開了幾個(gè)后門。2.3黑龍江八一農(nóng)墾大學(xué)信息系統(tǒng)安全建設(shè)目標(biāo)經(jīng)過與用戶初步交流，借鑒以往大量的工程經(jīng)驗(yàn)，方案認(rèn)為黑龍江八一農(nóng)墾大學(xué)急需解決的安全問題與其他教育行業(yè)和政府行業(yè)所面臨的安全問題擁有大量的相似之處，但是又具有自己的特點(diǎn)。首先，由于高等院校和科研機(jī)構(gòu)之間的學(xué)術(shù)交流是相對比較公開的，因此校園網(wǎng)對傳輸信息的機(jī)密性沒有迫切的要求，其次校園網(wǎng)是教學(xué)和科研信息傳送的平臺和載體，網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)由各自所屬的教研室和主管機(jī)構(gòu)負(fù)責(zé)管理，因此黑龍江八一農(nóng)墾大學(xué)信息網(wǎng)絡(luò)對其上的應(yīng)用系統(tǒng)沒有安全管理需求。因此，黑龍江八一農(nóng)墾大學(xué)信息系統(tǒng)的安全建設(shè)目標(biāo)集中為：保證網(wǎng)絡(luò)的暢通和平穩(wěn)運(yùn)行；部署網(wǎng)絡(luò)防病毒，保護(hù)系統(tǒng)網(wǎng)絡(luò)不受病毒攻擊；阻斷網(wǎng)絡(luò)外部非法攻擊；防止不良信息在校園網(wǎng)內(nèi)的傳播；對于安全事件具有可追溯性；對于終端桌面實(shí)現(xiàn)集中管理。具體體現(xiàn)為：實(shí)現(xiàn)不同網(wǎng)絡(luò)間的隔離措施使用高速防火墻將黑龍江八一農(nóng)墾大學(xué)的網(wǎng)絡(luò)與INTERNET隔離開，通過制定完善和正確的訪問控制策略，有效保證校園網(wǎng)的內(nèi)部安全；使用網(wǎng)絡(luò)防毒軟件將整個(gè)網(wǎng)絡(luò)保護(hù)起來，以確保病毒大規(guī)模爆發(fā)時(shí)網(wǎng)絡(luò)不會(huì)受到影響。建立完善的防病毒措施在黑龍江八一農(nóng)墾大學(xué)內(nèi)部，特別是辦公區(qū)的服務(wù)器和PC終端，建立完善的防病毒措施，從網(wǎng)絡(luò)和主機(jī)兩方面解決網(wǎng)絡(luò)內(nèi)部的病毒泛濫問題。建立完善的網(wǎng)絡(luò)管理平臺使用完善的網(wǎng)絡(luò)管理平臺，對全網(wǎng)所有的網(wǎng)絡(luò)節(jié)點(diǎn)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等進(jìn)行及時(shí)有效的安全管理。2.4安全保護(hù)對象在此我們只討論有關(guān)信息系統(tǒng)網(wǎng)絡(luò)中所涉及的安全保護(hù)對象。黑龍江八一農(nóng)墾大學(xué)信息系統(tǒng)網(wǎng)絡(luò)中的所有重要資源和關(guān)鍵資產(chǎn)都是需要重點(diǎn)保護(hù)的對象。從數(shù)據(jù)角度來看，包括：重要的SQL數(shù)據(jù)庫系統(tǒng)。從未來要提供系統(tǒng)關(guān)鍵服務(wù)角度來看，包括：OS(WINDOWS2000)，WEB、SMTP、POP3、內(nèi)部文件服務(wù)、打印服務(wù)等。從主機(jī)和服務(wù)器硬件角度來看，包括：郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器、Web服務(wù)器、數(shù)據(jù)備份服務(wù)器等。從TCP/IP網(wǎng)絡(luò)角度來看，包括：核心交換機(jī)、防火墻、各部門的網(wǎng)段等。3.1方案設(shè)計(jì)原則本方案設(shè)計(jì)應(yīng)該遵循的各項(xiàng)原則，包括國家信息安全規(guī)定的原則已經(jīng)實(shí)際情況下應(yīng)該遵循的有關(guān)原則。符合國家有關(guān)規(guī)定的原則我國相關(guān)部門已經(jīng)制訂了一系列的關(guān)于信息安全的法律法規(guī)，對安全策略、密碼與安全設(shè)備選用、網(wǎng)絡(luò)互聯(lián)、安全管理等做出了規(guī)定。本次黑龍江八一農(nóng)墾大學(xué)網(wǎng)安全方案設(shè)計(jì)必須符合這些法律法規(guī)，確保信息安全。整體安全原則黑龍江八一農(nóng)墾大學(xué)網(wǎng)信息網(wǎng)絡(luò)的信息系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)，對安全的需求是任何一種單元技術(shù)都無法解決的。必須從一個(gè)完整的安全體系結(jié)構(gòu)出發(fā)，綜合考慮信息網(wǎng)絡(luò)的各種實(shí)體和各個(gè)環(huán)節(jié)，綜合使用各層次的各種安全手段，為信息網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)提供全方位的服務(wù)。全網(wǎng)統(tǒng)一原則集中有關(guān)各方的力量和資源，使信息系統(tǒng)設(shè)計(jì)得更加系統(tǒng)、完善、嚴(yán)密；包容現(xiàn)存的和將要改進(jìn)的信息系統(tǒng)對于安全普遍的、特殊的要求，使體系更趨科學(xué)和適用；通盤考慮所有通信分系統(tǒng)的安全互通。可控性原則采取的技術(shù)手段需要達(dá)到安全可控的目的，技術(shù)解決方案涉及的工程實(shí)施應(yīng)具有可控性。標(biāo)準(zhǔn)化與一致性原則網(wǎng)絡(luò)安全建設(shè)是一個(gè)龐大的系統(tǒng)工程，其安全體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確保各個(gè)分系統(tǒng)的一致性，才能使整個(gè)系統(tǒng)安全地互聯(lián)互通、信息共享。需求、風(fēng)險(xiǎn)、成本折衷原則任何信息系統(tǒng)都不能做到絕對的安全，而且真正絕對的安全也是不必要的。鑒于這種情況，在設(shè)計(jì)信息系統(tǒng)安全時(shí)，要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折衷。過多的安全需求、過低的安全風(fēng)險(xiǎn)追求必將造成安全成本迅速增加和復(fù)雜性的增加。因此，在設(shè)計(jì)整個(gè)信息網(wǎng)的安全方案時(shí)必須遵守三項(xiàng)要求折衷的原則。實(shí)用、高效、可擴(kuò)展原則安全保障系統(tǒng)所采用的產(chǎn)品，要方便工作、實(shí)用高效。同時(shí)，隨著IT技術(shù)的不斷發(fā)展，黑龍江八一農(nóng)墾大學(xué)網(wǎng)信息系統(tǒng)將會(huì)發(fā)生各種變化，信息系統(tǒng)安全設(shè)計(jì)必須能適應(yīng)這種變化。在系統(tǒng)實(shí)施過程中，系統(tǒng)的結(jié)構(gòu)、配置也會(huì)發(fā)生一些變化，系統(tǒng)的安全工程要有一定的靈活性來適應(yīng)這種變化，比如做到層次性、體系性，既有利于系統(tǒng)的安全，又有利于系統(tǒng)的擴(kuò)展。系統(tǒng)性、均衡性、綜合性設(shè)計(jì)原則從全系統(tǒng)出發(fā)，綜合考慮各種安全風(fēng)險(xiǎn)，采取相應(yīng)的安全措施，并根據(jù)風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。技術(shù)與管理相結(jié)合原則黑龍江八一農(nóng)墾大學(xué)網(wǎng)信息系統(tǒng)的安全建設(shè)工程是一個(gè)系統(tǒng)工程，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。各種安全技術(shù)應(yīng)該與運(yùn)行管理機(jī)制、人員思想教育和技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合，從社會(huì)系統(tǒng)工程的角度綜合考慮。投資保護(hù)原則黑龍江八一農(nóng)墾大學(xué)網(wǎng)目前已經(jīng)采購和使用了一些網(wǎng)絡(luò)產(chǎn)品，本方案設(shè)計(jì)時(shí)將充分考慮已有的安全措施進(jìn)行設(shè)計(jì)，以達(dá)到保護(hù)已有投資的目的。為了使黑龍江八一農(nóng)墾大學(xué)安全問題得到及時(shí)、有效的解決，為未來的網(wǎng)絡(luò)建設(shè)和信息系統(tǒng)建設(shè)鋪平道路，安全方案將嚴(yán)格遵循下列國家標(biāo)準(zhǔn)：中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范計(jì)算站場地技術(shù)條件計(jì)算站場地安全要求3.2總體設(shè)計(jì)具體說來，網(wǎng)絡(luò)安全的總體方案從結(jié)構(gòu)上被劃分為物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)和安全管理等六個(gè)部分，分別詳細(xì)論述八一農(nóng)墾大學(xué)安全解決方案，重點(diǎn)討論網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)和主機(jī)防病毒、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)故障診斷等安全要點(diǎn)。依據(jù)安全的邊界理論，我們可以將整個(gè)內(nèi)部子網(wǎng)看作是多個(gè)子網(wǎng)和子網(wǎng)邊界的組合，子網(wǎng)是一個(gè)相對的概念，如果相對整個(gè)校園網(wǎng)絡(luò)系統(tǒng)來說，黑龍江八一農(nóng)墾大學(xué)信息中心、教學(xué)樓、其他辦公區(qū)的局域網(wǎng)是不同的子網(wǎng)，校園網(wǎng)和信息中心之間的連接接口可以稱為子網(wǎng)邊界；而相對于黑龍江八一農(nóng)墾大學(xué)一個(gè)局域網(wǎng)來說，服務(wù)器網(wǎng)段可以稱為一個(gè)子網(wǎng)，辦公網(wǎng)段也可以稱為一個(gè)子網(wǎng)，其對外連接的出口就可以稱為子網(wǎng)邊界。這樣，我們就可以將安全問題分為子網(wǎng)安全和子網(wǎng)邊界安全兩大內(nèi)容進(jìn)行分析，按照不同的內(nèi)容進(jìn)行安全體系的設(shè)計(jì)。由于計(jì)算機(jī)網(wǎng)絡(luò)體系越來越復(fù)雜，應(yīng)用系統(tǒng)越來越多，因此整個(gè)網(wǎng)絡(luò)的安全存在著較大的威脅。其主要因素有：1、缺乏安全有效的身份驗(yàn)證和監(jiān)控機(jī)制；2、內(nèi)部用戶的惡意攻擊、誤操作；3、黑客的惡意攻擊、竊取、修改信息；4、一些別有用心的人利用搭線竊聽，獲取信息；5、通過網(wǎng)絡(luò)傳送的病毒和Internet的電子郵件夾帶的病毒；6、來自Internet的Web瀏覽可能存在的惡意Java/ActiveX控件；7、缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性；8、缺乏一套完整的安全策略、監(jiān)控和防范技術(shù)手段。根據(jù)以上分析，我們認(rèn)為，黑龍江八一農(nóng)墾大學(xué)信息中心計(jì)算機(jī)網(wǎng)絡(luò)存在著以下幾個(gè)方面的網(wǎng)絡(luò)安全問題：數(shù)據(jù)傳輸安全：要確保信息在網(wǎng)絡(luò)傳輸過程中不被竊取、竊聽、不感染病毒和非法篡改。邊界安全：是將整校園網(wǎng)作為一個(gè)整體進(jìn)行保護(hù)，由于所有對外的連接通道均有可能遭受到外來的非法攻擊，因此必須在外聯(lián)接口部署安全隔離屏障，保證校園網(wǎng)的安全?；A(chǔ)結(jié)構(gòu)安全：對網(wǎng)絡(luò)進(jìn)行全面風(fēng)險(xiǎn)評估，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)配置上的漏洞。管理運(yùn)行安全：安全管理上漏洞和疏忽才是最大的安全隱患。只有把安全管理制度與安全管理技術(shù)手段結(jié)合起來，網(wǎng)絡(luò)的安全性才有保障。防止病毒侵害隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，病毒也變得越來越復(fù)雜和高級。最近幾年，病毒的花樣層出不窮，如變形病毒和宏病毒。變形病毒每次感染新文件時(shí)都會(huì)發(fā)生變化，因此顯得神秘莫測。宏病毒是目前病毒種類中發(fā)展最快的，主要感染文檔和文檔模板。幾年前，文檔文件都不含可執(zhí)行代碼，因此不會(huì)受病毒的感染，現(xiàn)在，應(yīng)用軟件，如MicrosoftWord和MicrosoftExecl,已經(jīng)嵌入了宏命令，病毒就可以通過宏語言來感染由這些軟件創(chuàng)建的文檔。由于INTERNET的迅猛發(fā)展，將文件附加在電子郵件中的能力不斷提高以及世界對計(jì)算機(jī)的依賴程度不斷提高，使得病毒的擴(kuò)散速度也急驟提高，受感染的范圍越來越廣。目前計(jì)算機(jī)病毒中約有1/3以上都是通過電子郵件傳播的。利用電子郵件渠道傳播病毒隱蔽性強(qiáng)，經(jīng)常令人防不勝防。在過去的18個(gè)月中，世界范圍內(nèi)新發(fā)現(xiàn)的計(jì)算機(jī)病毒數(shù)量幾乎翻了一番，每個(gè)月新發(fā)現(xiàn)的計(jì)算機(jī)病毒數(shù)量平均從200種上升到500種左右。計(jì)算機(jī)病毒專家認(rèn)為，Internet的普及以及一些應(yīng)用軟件的易破壞性是導(dǎo)致世界新計(jì)算機(jī)病毒數(shù)量急聚上升的主要原因。據(jù)NCSA調(diào)查，在1994年中，只有約20%的網(wǎng)絡(luò)系統(tǒng)受到過病毒的攻擊，但是在1997年中，就有約99.3%的網(wǎng)絡(luò)系統(tǒng)受到病毒的攻擊，也就是說幾乎沒有那一家企業(yè)可以逃脫病毒的攻擊。而且感染方式也由主要從軟盤介質(zhì)感染轉(zhuǎn)到了從網(wǎng)絡(luò)服務(wù)器或INTERNET感染。同樣據(jù)NCSA調(diào)查，在1996年只有21%的病毒是通過電子郵件，服務(wù)器或互聯(lián)網(wǎng)下載文件來感染的，但到1997年，這一比例就達(dá)到52%。計(jì)算機(jī)病毒對生產(chǎn)，工作的影響可以稱得上是災(zāi)難性的。盡管人類已和計(jì)算機(jī)病毒斗爭了近十年，并已取得了可喜的成績，但是隨著INTERNET/INTRANET和其他局域網(wǎng)，廣域網(wǎng)等計(jì)算機(jī)技術(shù)的發(fā)展，計(jì)算機(jī)病毒也會(huì)越來越多，傳播范圍也會(huì)越來越廣，計(jì)算機(jī)病毒對網(wǎng)絡(luò)系統(tǒng)及個(gè)人用戶的破壞性依然會(huì)繼續(xù)加大，而防止和排除計(jì)算機(jī)病毒依然是擺在廣大計(jì)算機(jī)用戶面前的一個(gè)長期的，嚴(yán)峻的問題。我們可以預(yù)見，只要存在計(jì)算機(jī)技術(shù)，計(jì)算機(jī)病毒就不會(huì)消失，正所謂“道高一尺，魔高一丈”，而若想真正有效防止計(jì)算機(jī)病毒的攻擊，使計(jì)算機(jī)病毒造成的損失降到最低，除了提高防病毒的意識以外，采用行之有效的防病毒方案及其產(chǎn)品也是極其必要的?？刂品欠ㄔL問TCP/IP的靈活設(shè)計(jì)和INTERNET的普遍應(yīng)用為網(wǎng)絡(luò)黑客技術(shù)的發(fā)展提供了基礎(chǔ)，黑客技術(shù)很容易被別有用心或喜歡炫耀的人們掌握，由此黑客數(shù)量劇增。加之網(wǎng)絡(luò)連接點(diǎn)多面廣，客觀上為黑客的入侵提供了較多的切入點(diǎn)。本著經(jīng)濟(jì)、高效的原則，有必要將關(guān)鍵主機(jī)和關(guān)鍵的網(wǎng)段用防火墻隔離，以實(shí)現(xiàn)對系統(tǒng)的訪問控制和安全的集中管理。外部網(wǎng)絡(luò)不能直接對內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問，對內(nèi)部資源的訪問需經(jīng)過防火墻的監(jiān)控，并且只能到達(dá)指定的訪問目的地。3.2.3排除故障隱患為保證網(wǎng)絡(luò)通暢、及時(shí)發(fā)現(xiàn)和解決系統(tǒng)及網(wǎng)絡(luò)問題，變被動(dòng)管理為主動(dòng)管理，可通過對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)流量的實(shí)施監(jiān)控和分析，在系統(tǒng)出現(xiàn)性能抖動(dòng)或響應(yīng)時(shí)間過長時(shí)，就能及時(shí)發(fā)現(xiàn)問題，并建議系統(tǒng)管理員采用及時(shí)的處理，預(yù)防問題的發(fā)生；通過對線路和其他系統(tǒng)進(jìn)行透視化管理，利用管理系統(tǒng)提供的專家系統(tǒng)對系統(tǒng)的性能進(jìn)行優(yōu)化，提供整體網(wǎng)絡(luò)運(yùn)行的健康以及趨勢分析。網(wǎng)絡(luò)安全評估一般的操作系統(tǒng)都有身份認(rèn)證與訪問控制系統(tǒng)，但如何去配置日益復(fù)雜的網(wǎng)絡(luò)環(huán)境，如用戶認(rèn)證密碼是否容易被別人獲取破解；系統(tǒng)資源的各個(gè)對象的訪問權(quán)限是否設(shè)置正確；系統(tǒng)的各種服務(wù)是否存在有漏洞等。通過網(wǎng)絡(luò)掃描，可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級，更正網(wǎng)絡(luò)系統(tǒng)中的錯(cuò)誤配置。3.2.5合理配置系統(tǒng)要完成信息中心內(nèi)部網(wǎng)的各種操作，就需要操作系統(tǒng)來協(xié)助我們完成對關(guān)鍵數(shù)據(jù)的存取控制和用戶的認(rèn)證等工作，所以，操作系統(tǒng)的安全性能是網(wǎng)絡(luò)系統(tǒng)的安全基礎(chǔ)。遺憾的是，我們通常所用的操作系統(tǒng)本身并不是非常安全的。這種不安全性有的是先天的，比如Windows的安全性能設(shè)計(jì)得比較薄弱。但是安全漏洞更多的是由于管理和配置不善導(dǎo)致的。因此，我們的安全措施對于不同的情況應(yīng)給予不同的策略，比如說對于Windows9x系統(tǒng)，可以利用附加程序增強(qiáng)其安全特性，對于系統(tǒng)的安全漏洞則利用補(bǔ)丁程序來彌補(bǔ)。3.2.6加強(qiáng)安全培訓(xùn)制定和不斷完善管理制度，對系統(tǒng)管理人員加強(qiáng)培訓(xùn)，提高安全意識和防范能力。4.1網(wǎng)絡(luò)防病毒系統(tǒng)計(jì)算機(jī)病毒是一種進(jìn)行自我復(fù)制、廣泛傳染、對計(jì)算機(jī)及其數(shù)據(jù)進(jìn)行嚴(yán)重破壞的計(jì)算機(jī)程序。由于計(jì)算機(jī)病毒善于隱藏自身的特點(diǎn)，常常使用戶不知不覺過程中，自己的系統(tǒng)、文件已被感染破壞。許多病毒在大多數(shù)時(shí)間里只是傳播并不發(fā)作，而是等待一個(gè)特殊的事件來觸發(fā)，也有些病毒每次只攻擊某一設(shè)備或破壞文件的某一部分。計(jì)算機(jī)病毒的這種隱蔽性與隨機(jī)性，使用戶防不勝防。更為嚴(yán)重的是，層出不窮的新病毒借助網(wǎng)絡(luò)和Internet使當(dāng)今世界的大多數(shù)計(jì)算機(jī)系統(tǒng)，無論個(gè)人還是企業(yè)用戶，都不可避免地受到病毒攻擊。隨著信息網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大和高帶寬Internet多點(diǎn)接入，計(jì)算機(jī)病毒引發(fā)可能造成損失越大，對信息系統(tǒng)的安全運(yùn)行影響越大。根據(jù)國際權(quán)威機(jī)構(gòu)對美國的調(diào)查表明，98%的企業(yè)遇到過計(jì)算機(jī)病毒問題，63%被病毒破壞數(shù)據(jù)和系統(tǒng)，病毒給企業(yè)帶來的影響是時(shí)間和人力的浪費(fèi)，重要數(shù)據(jù)文件損失造成觸目驚心的經(jīng)濟(jì)損失。企業(yè)系統(tǒng)計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)已經(jīng)覆蓋了企業(yè)各個(gè)生產(chǎn)、經(jīng)營和管理崗位，上網(wǎng)用戶在進(jìn)行多種數(shù)據(jù)交換時(shí)，隨時(shí)可能受到病毒的攻擊，隨著企業(yè)和外界網(wǎng)上交流越來越多，通過電子郵件來聯(lián)系業(yè)務(wù)，交換數(shù)據(jù)等都可能不知不覺中感染病毒，并在企業(yè)內(nèi)部網(wǎng)絡(luò)上不斷擴(kuò)散。必須在信息網(wǎng)絡(luò)整個(gè)系統(tǒng)的各個(gè)環(huán)節(jié)上嚴(yán)加防范，才能有效的防止和控制病毒的侵害。首先，安全系統(tǒng)必須是網(wǎng)絡(luò)級產(chǎn)品，既有穩(wěn)健的病毒檢測功能，又具有客戶機(jī)、服務(wù)器數(shù)據(jù)保護(hù)功能，能夠?qū)邶埥艘晦r(nóng)墾大學(xué)的網(wǎng)絡(luò)安全進(jìn)行多層次的防御，在整個(gè)網(wǎng)絡(luò)內(nèi)實(shí)施高效率的反病毒措施；其次，安全系統(tǒng)必須具備有效的可管理性，通過強(qiáng)有力的管理策略和能夠迅速執(zhí)行的有效措施，保證整個(gè)網(wǎng)絡(luò)系統(tǒng)遠(yuǎn)離病毒威脅；第三，廠商的實(shí)力至關(guān)重要，能夠及時(shí)升級防病毒系統(tǒng)，包括升級病毒特征碼文件和病毒掃描引擎，前者決定掃描病毒的數(shù)量和范圍，后者控制病毒掃描和清除方式，無論病毒在何時(shí)何地爆發(fā)，總能提供最新的病毒信息和處理策略。針對黑龍江八一農(nóng)墾大學(xué)的具體應(yīng)用需求，我們推薦McAFee公司的McAFee防病毒系統(tǒng)作為黑龍江八一農(nóng)墾大學(xué)病毒防護(hù)系統(tǒng)。McAFee防病毒系統(tǒng)具有頂尖技術(shù)的病毒掃描引擎、最全的病毒代碼庫、超強(qiáng)的分發(fā)和管理功能，在業(yè)界占據(jù)絕對領(lǐng)先的地位。NetworkAssociates（紐約證券交易所代碼：NET）是一家網(wǎng)絡(luò)安全與可用性技術(shù)領(lǐng)域的領(lǐng)先供應(yīng)商，總部設(shè)在美國加利福尼亞的圣克拉拉市。NetworkAssociates有三條產(chǎn)品線。其中McAfeeSecurity產(chǎn)品和在線安全服務(wù)在防毒領(lǐng)域全球市場份額中居于領(lǐng)先地位，SnifferTechnologies是全球網(wǎng)絡(luò)監(jiān)測和分析領(lǐng)域事實(shí)上的權(quán)威。此外，獲獎(jiǎng)的MagicSolutions服務(wù)臺套件提供了一個(gè)基于瀏覽器的環(huán)境，可以借以創(chuàng)建呼叫中心、服務(wù)臺、資產(chǎn)、變更和庫存管理應(yīng)用，從而使互聯(lián)網(wǎng)的功能得以充分發(fā)揮。NetworkAssociates（NAI）還是McA的多數(shù)股持有者（納斯達(dá)克代碼：MCAF），McA是可管理的在線安全服務(wù)的領(lǐng)先供應(yīng)商，為消費(fèi)者和小型企業(yè)提供可管理的在線安全服務(wù)。NetworkAssociates的使命是在提供專業(yè)技術(shù)資源的基礎(chǔ)上致力于提高全球業(yè)務(wù)網(wǎng)絡(luò)的持續(xù)可用性。它將圍繞相關(guān)產(chǎn)品為用戶提供前所未有的客戶支持與服務(wù)水準(zhǔn)，從而使企業(yè)網(wǎng)絡(luò)的核心基礎(chǔ)設(shè)施得到可靠的安全保護(hù)。NetworkAssociates設(shè)立了一個(gè)全天候（全球24x7）的客戶支持機(jī)構(gòu)為其一流的產(chǎn)品提供支持，其中包括了由世界級的高級安全研究員組成的NAILabs小組以及McAfeeAVERT（反病毒緊急響應(yīng)與預(yù)防小組）。作為一個(gè)高級研究機(jī)構(gòu)與任務(wù)關(guān)鍵型的團(tuán)隊(duì)，它在全球防毒事務(wù)領(lǐng)域擁有世界級的聲譽(yù)。黑龍江八一農(nóng)墾大學(xué)防病毒系統(tǒng)主要由五部分組成：INTERNET病毒防護(hù)：主要針對InternetE-mail、InternetDownload(信息下載)等集中進(jìn)行病毒掃描。對郵件的附件、下載信息進(jìn)行病毒過濾；服務(wù)器病毒防護(hù)：對各種服務(wù)器進(jìn)行病毒掃描和清除，集中報(bào)警；客戶端病毒防護(hù)：針對各種桌面操作系統(tǒng)，進(jìn)行病毒掃描和清除；單機(jī)（包括筆記本電腦）病毒防護(hù)；郵件服務(wù)器病毒防護(hù)：對郵件數(shù)據(jù)庫的病毒掃描和清除。黑龍江八一農(nóng)墾大學(xué)防病毒系統(tǒng)主要特點(diǎn)有：EPO是整個(gè)防病毒系統(tǒng)的控制中心，可以為客戶端遠(yuǎn)程分發(fā)安裝相應(yīng)的防病毒模塊，并可為之遠(yuǎn)程升級病毒特征代碼庫、病毒掃描引擎，配置病毒掃描策略，搜集客戶端的報(bào)警信息，實(shí)現(xiàn)全網(wǎng)防病毒的統(tǒng)一管理和控制。McaFee整體解決方案：4.1.1McAfeeVirusScanEnterprise8.0i下一代防病毒軟件產(chǎn)品，針對PC和服務(wù)器提供創(chuàng)新性的集成入侵防護(hù)解決方案惡意代碼不僅是在爆發(fā)時(shí)對企業(yè)產(chǎn)生影響，而且今后也會(huì)不斷地產(chǎn)生各種問題和隱患。在初始攻擊爆發(fā)后，用戶還要經(jīng)過很長的一段時(shí)間才能意識到攻擊的后續(xù)破壞性，它不僅會(huì)影響企業(yè)的生產(chǎn)力，而且還會(huì)威脅到企業(yè)的凈收益。企業(yè)也逐漸認(rèn)識到，生存的首要條件就是能夠有效抵御已知的81,000多種病毒和無數(shù)的惡意代碼。而有效抵御的關(guān)鍵就是在攻擊爆發(fā)前前瞻性地對其進(jìn)行攔截。創(chuàng)新的防病毒技術(shù) McAfee?VirusScan?Enterprise8.0i是創(chuàng)新性的下一代防病毒技術(shù)，能夠?yàn)镻C和服務(wù)器提供全面的保護(hù)。它不僅能夠前瞻性地?cái)r截并清除惡意軟件，而且能夠有效地檢測出新的安全風(fēng)險(xiǎn)，從而顯著降低企業(yè)管理爆發(fā)響應(yīng)的成本。VirusScanEnterprise8.0i防護(hù)解決方案突破了傳統(tǒng)防病毒軟件的局限性，它不僅有效縮短了修補(bǔ)漏洞的時(shí)間，而且即使在沒有更新的情況下也能夠準(zhǔn)確攔截多種威脅。修補(bǔ)漏洞的時(shí)間是指從首次發(fā)現(xiàn)惡意軟件開始，到將修補(bǔ)程序部署到網(wǎng)絡(luò)中的所有系統(tǒng)上所需要的時(shí)間。傳統(tǒng)防病毒軟件往往使大型企業(yè)和中小型企業(yè)處于一種極端薄弱的境地：如今，面對復(fù)雜的混合威脅，響應(yīng)式的防護(hù)已遠(yuǎn)遠(yuǎn)不足以確保企業(yè)的安全了。企業(yè)不能為了等待簽名文件的更新而承受這種漏洞修補(bǔ)時(shí)間的存在。訪問訪問防護(hù)策略特定于應(yīng)用程序的緩沖區(qū)溢出防護(hù)使用規(guī)則進(jìn)行端口阻斷使用傳統(tǒng)防病毒產(chǎn)品的響應(yīng)式防護(hù)下一代技術(shù)在沒有更新的情況下提供前瞻性威脅防護(hù)使用VirusScanEnterprise8.0i進(jìn)行前瞻性防護(hù)提供零時(shí)間防護(hù)！針對PC和服務(wù)器增強(qiáng)的集成防護(hù)VirusScanEnterprise8.0i擴(kuò)展了對新安全威脅的防護(hù)范圍（包括混合威脅以及潛在的惡意程序，例如間諜軟件），從而增強(qiáng)了針對PC和服務(wù)器的集成保護(hù)。擴(kuò)展的防護(hù)范圍還包括通過規(guī)則和策略對訪問進(jìn)行保護(hù)，以及來自入侵防護(hù)和系統(tǒng)防火墻的其它多種集成功能。復(fù)雜的混合威脅愈加難以檢測，它們常常能夠騙過傳統(tǒng)的防病毒解決方案。此外，傳統(tǒng)防病毒軟件對新安全威脅的抵御能力較差，即便應(yīng)用了最新的防病毒簽名，它們面對新出現(xiàn)的比較高級的混合攻擊時(shí)仍會(huì)束手無策，任憑這些攻擊肆意破壞您的系統(tǒng)。因此，傳統(tǒng)防病毒軟件程序是無法有效地抵御這些新的攻擊類型的。VirusScanEnterprise8.0i提供了自動(dòng)化的系統(tǒng)防護(hù)策略和感染跟蹤/攔截報(bào)告功能，在對病毒或攻擊爆發(fā)做出響應(yīng)時(shí)，它能夠顯著降低安全防護(hù)解決方案的總擁有成本。VirusScanEnterprise8.0i不僅能夠自動(dòng)跟蹤并報(bào)告感染源（IP地址），而且能夠攔截系統(tǒng)與感染源的后續(xù)通信。盡早識別并修補(bǔ)感染源就意味著節(jié)省時(shí)間、資源和金錢—或者說確保業(yè)務(wù)的正常運(yùn)轉(zhuǎn)。但是，使用傳統(tǒng)防病毒軟件來定位感染源卻需要耗費(fèi)很長的時(shí)間，不僅導(dǎo)致?lián)碛谐杀揪痈卟幌?，而且還會(huì)降低企業(yè)的生產(chǎn)力，影響企業(yè)的核心業(yè)務(wù)。入侵防護(hù)的重要性—緩沖區(qū)溢出防護(hù)技術(shù)VirusScanEnterprise8.0i在防病毒軟件行業(yè)中率先推出了帶有特定于應(yīng)用程序緩沖區(qū)溢出防護(hù)功能的入侵防護(hù)解決方案。這就使得用戶能夠前瞻性地預(yù)防以Microsoft?應(yīng)用程序和操作系統(tǒng)服務(wù)漏洞為目標(biāo)的緩沖區(qū)溢出攻擊。對操作系統(tǒng)漏洞的攻擊可能導(dǎo)致終端系統(tǒng)的重復(fù)感染，即便應(yīng)用了最新的簽名文件也于事無補(bǔ)。緩沖區(qū)溢出防護(hù)功能可以在此類攻擊（例如Sasser、SQL以及Slammer）感染系統(tǒng)之前先一步對它們進(jìn)行攔截。降低漏洞的暴露程度就意味著您不必在每次發(fā)現(xiàn)新攻擊時(shí)都必須進(jìn)行更新。同樣，終端系統(tǒng)也可能不需要重啟（或多次重啟）來清除感染。防病毒技術(shù)與入侵防護(hù)和防火墻技術(shù)的結(jié)合為用戶提供了一種功能更強(qiáng)、更先進(jìn)的終端系統(tǒng)安全防護(hù)解決方案。由此可見，傳統(tǒng)的響應(yīng)式防病毒解決方案已經(jīng)過時(shí)了。引入入侵防護(hù)功能后，VirusScanEnterprise8.0i就能夠確保關(guān)鍵服務(wù)器和數(shù)據(jù)不會(huì)受到任何影響，從而確保企業(yè)業(yè)務(wù)的順利進(jìn)行。VirusScanEnterprise8.0i不僅是值得您信賴的安全產(chǎn)品，而且也是同行業(yè)中針對PC和服務(wù)器的最先進(jìn)的前瞻性防護(hù)解決方案，它無可比擬的伸縮性能夠充分滿足任何規(guī)模企業(yè)的要求。在病毒或攻擊爆發(fā)時(shí)，企業(yè)的業(yè)務(wù)需要依賴于VirusScanEnterprise8.0i的關(guān)鍵功能所提供的保護(hù)，其中包括：清除內(nèi)存、注冊表和文件，并防止惡意代碼向其它系統(tǒng)擴(kuò)散或傳播。VirusScanEnterprise8.0i還引入了防病毒、入侵防護(hù)以及防火墻等多種功能，能夠有效地抵御已知和未知的攻擊。訪問保護(hù)—全新的高級功能 VirusScanEnterprise8.0i提供了多種全新的高級功能，它們不僅可以抵御常規(guī)的威脅技術(shù)，而且能夠有效地?cái)r截多種新的和未知的惡意軟件文件。這些新功能包括：端口攔截(PortBlocking)、文件名攔截(FileNameBlocking)、文件夾/目錄鎖定(Folder/DirectoryLockdown)、共享鎖定(ShareLockdown)以及感染跟蹤和攔截(InfectionTraceandBlock)。? 端口攔截使得管理員或用戶能夠關(guān)閉（攔截）傳入或傳出網(wǎng)絡(luò)流量的端口。對傳入的網(wǎng)絡(luò)流量進(jìn)行保護(hù)就意味著降低它們暴露給蠕蟲或黑客的幾率和風(fēng)險(xiǎn)。關(guān)閉未被使用的網(wǎng)絡(luò)端口就可以防止攻擊者探測操作系統(tǒng)和應(yīng)用程序中的漏洞? 文件名攔截是一種入侵防護(hù)功能，它允許管理員通過創(chuàng)建一個(gè)或多個(gè)策略來控制系統(tǒng)或網(wǎng)絡(luò)對特定文件或文件組可以執(zhí)行的操作? 文件夾和目錄鎖定也是一種入侵防護(hù)功能，它允許管理員通過創(chuàng)建一個(gè)或多個(gè)策略來控制系統(tǒng)或網(wǎng)絡(luò)能夠?qū)μ囟夸浕蛭募A的內(nèi)容執(zhí)行的操作? 共享鎖定使得管理員能夠通過創(chuàng)建一個(gè)或多個(gè)策略來控制系統(tǒng)或網(wǎng)絡(luò)能夠?qū)蚕韴?zhí)行的操作? 如果某個(gè)終端系統(tǒng)向運(yùn)行著VirusScanEnterprise8.0i的系統(tǒng)發(fā)送了惡意代碼，那么感染跟蹤和報(bào)告功能就可以幫助管理員快速發(fā)現(xiàn)并報(bào)告（跟蹤）該終端系統(tǒng)的IP地址，并自動(dòng)攔截來自該IP地址的后續(xù)通信前瞻性地處理新混合威脅意味著有效減少病毒或攻擊爆發(fā)的情況。攻擊的多種因素都可以通過VirusScanEnterprise8.0i的不同功能得到有效的解決：端口攔截、文件/目錄/共享鎖定以及緩沖區(qū)溢出防護(hù)。管理員可以從此擺脫對傳統(tǒng)產(chǎn)品更新響應(yīng)的依賴。Entercept-下一代主機(jī)IPS增強(qiáng)的電子郵件掃描功能VirusScanEnterprise8.0i新增了針對LotusNotes客戶端系統(tǒng)的電子郵件掃描功能。它能夠掃描LotusNotes客戶端發(fā)送給桌面機(jī)的所有電子郵件（HTML文本和附件）。無論客戶使用哪種電子郵件客戶端，都可以通過單一的配置面板完成配置。VirusScanEnterprise8.0i既支持安裝了Outlook的系統(tǒng)，也支持安裝了LotusNotes客戶端的系統(tǒng)。腳本掃描程序（Java腳本和VisualBasic腳本）腳本掃描程序能夠檢測并防止系統(tǒng)執(zhí)行利用了Java腳本和VBScript腳本的惡意代碼（例如尼姆達(dá)(Nimda)、JS.NoClose以及LoveLetter），從而能夠有效地防止系統(tǒng)感染。腳本掃描程序還能夠阻止惡意代碼通過網(wǎng)站，或者使用Java和VisualBasic腳本功能感染終端系統(tǒng)。潛在惡意程序安全防護(hù)VirusScanEnterprise8.0i使得用戶和管理員能夠從容應(yīng)對某些最常見的潛在惡意軟件程序。VirusScanEnterprise8.0i擴(kuò)展了對新類型惡意代碼的檢測功能，這就意味著它能夠?yàn)槠髽I(yè)的敏感信息和資產(chǎn)提供更有效、更強(qiáng)大的保護(hù)。該產(chǎn)品在初始配置情況下能夠防護(hù)約200種最具危險(xiǎn)性的潛在惡意程序，用戶還可以按照計(jì)劃在潛在惡意程序安全列表中添加新發(fā)現(xiàn)的惡意程序。VirusScanEnterprise8.0i所包含的操作在細(xì)化程度上有了顯著的提升：警告/通知、清除、刪除/移除、移動(dòng)/隔離以及操作提示。VirusScanEnterprise8.0i還允許用戶和管理員根據(jù)企業(yè)的實(shí)際情況來添加、定義或創(chuàng)建惡意程序列表，例如廣告軟件、撥號軟件、惡意玩笑程序、密碼破解程序以及間諜軟件等。潛在惡意程序安全防護(hù)功能可以幫助企業(yè)確保終端系統(tǒng)符合COE的要求，并便于用戶和管理員進(jìn)行控制和管理。對速度的需求目前已知的病毒已有81,000多種，根據(jù)ICSALabs的報(bào)告，病毒數(shù)量正在以每個(gè)月200多種的速度迅速增長，由此可見，威脅的數(shù)量越多，掃描病毒、蠕蟲以及其它惡意代碼時(shí)所面臨的壓力也就越大。到目前為止，病毒掃描速度沒有逐漸減緩甚至停止的主要原因就是硬件性能的不斷提升。與以往的版本相比，VirusScanEnterprise8.0i進(jìn)一步提升了按需掃描的速度。通過使用最先進(jìn)的技術(shù)和基礎(chǔ)架構(gòu)，VirusScanEnterprise8.0i的性能不但沒有下降，反而得到了極大的提升。高風(fēng)險(xiǎn)性應(yīng)用程序，如電子郵件、瀏覽器和Office應(yīng)用程序?qū)⒌玫饺娓邚?qiáng)度的掃描，而備份軟件和數(shù)據(jù)庫則可以劃分到低風(fēng)險(xiǎn)性類別，其要求的掃描強(qiáng)度也相對較小。有效防護(hù)的關(guān)鍵所在抵御威脅僅僅是這場戰(zhàn)爭的一半。確保防護(hù)方案的有效性才能幫助您贏得最終的勝利。有效防護(hù)的關(guān)鍵就在于集中管理和強(qiáng)制執(zhí)行，為此，VirusScanEnterprise8.0i實(shí)現(xiàn)了與多種McAfee管理工具的無縫集成。無論是中小型企業(yè)(SMB)還是大型企業(yè)，McAfee總有一款管理工具能夠適合您的要求。同時(shí)，McAfeeProtectionPilot?(SMB)和McAfeeePolicyOrchestrator?(Enterprise)都能夠幫助VirusScanEnterprise8.0i提供集中的部署功能、策略配置和強(qiáng)制實(shí)施、以及詳細(xì)的報(bào)告功能。這些工具將幫助您全面控制自己的系統(tǒng)，使您的組織能夠有效抵御各種已知的和未知的威脅。0強(qiáng)大功能的動(dòng)力引擎VirusScanEnterprise8.0i采用了經(jīng)用戶驗(yàn)證的、全球知名的McAfee掃描引擎。McAfee惡意軟件防護(hù)掃描引擎提供了對病毒、蠕蟲以及其他惡意代碼攻擊的全面防護(hù)。McAfee針對目前的各種威脅提供了一套全面的“發(fā)現(xiàn)-修補(bǔ)”解決方案，并采用先進(jìn)的啟發(fā)式技術(shù)和多種通用技術(shù)實(shí)現(xiàn)了對新威脅的前瞻性防護(hù)。McAfee惡意軟件防護(hù)掃描引擎所采用的技術(shù)能夠向下搜索全部數(shù)據(jù)，包括壓縮文件、歸檔文件和打包文件，從而能夠發(fā)現(xiàn)隱藏在最深處的威脅。所有這些功能都具有高度的可靠性，不會(huì)出現(xiàn)誤報(bào)問題。4.1.2McAfeeePolicyOrchestrator3.5集中管理您的系統(tǒng)安全網(wǎng)絡(luò)系統(tǒng)必須時(shí)刻警惕各種惡意威脅和攻擊—威脅和攻擊在網(wǎng)絡(luò)中無處不在，它們在不斷地探測網(wǎng)絡(luò)的薄弱環(huán)節(jié)，并伺機(jī)對您的安全防護(hù)系統(tǒng)發(fā)起沖擊。因此，管理員的工作就更像是一種取得“平衡”的任務(wù)。一方面是業(yè)務(wù)的要求—既要管理不斷增加的設(shè)備，又要對不斷增多的移動(dòng)用戶的需求做出響應(yīng)。另一方面是安全性的要求—既要保證系統(tǒng)符合安全性要求，又要對下一代防護(hù)解決方案和產(chǎn)品（用于抵御不斷翻新的威脅）的多個(gè)層級進(jìn)行管理。因此，全面掌控系統(tǒng)的安全性，并對已有的安全部署進(jìn)行增加，就成為了至關(guān)重要的一個(gè)環(huán)節(jié)。從根本上說，這些要求都是持續(xù)的，而且具有同等的重要性。忽視其中的任何一個(gè)都會(huì)使您陷入完全失衡的窘境。McAfee?ePolicyOrchestrator?3.5(ePO?)是一款在行業(yè)中居領(lǐng)先地位的系統(tǒng)安全管理解決方案—它為企業(yè)提供了一種協(xié)同的、前瞻性的防護(hù)手段，能夠幫助企業(yè)有效抵御各種惡意威脅和攻擊。ePO3.5是McAfee系統(tǒng)防護(hù)解決方案的核心，管理員可以通過它來降低惡意系統(tǒng)或不符合安全要求的系統(tǒng)所造成的風(fēng)險(xiǎn)、保持防護(hù)體系的最新狀態(tài)、配置并強(qiáng)制實(shí)施防護(hù)策略、并通過一個(gè)真正企業(yè)級的、可伸縮的中央控制臺對系統(tǒng)的安全狀態(tài)進(jìn)行全天候（24X7）的監(jiān)控。降低惡意系統(tǒng)和不符合安全要求的系統(tǒng)所造成的風(fēng)險(xiǎn)對于所有的安全防護(hù)團(tuán)隊(duì)來說，減少易受攻擊的漏洞數(shù)量應(yīng)該是優(yōu)先級最高的一項(xiàng)工作。一個(gè)缺乏合理防護(hù)管理的未知系統(tǒng)會(huì)給整個(gè)網(wǎng)絡(luò)帶來嚴(yán)重的威脅—未知威脅的不斷重復(fù)感染、新漏洞的出現(xiàn)、潛在的威脅攻擊目標(biāo)或者傳播點(diǎn)都是這些惡意系統(tǒng)所表現(xiàn)出來的病征和風(fēng)險(xiǎn)。因此，了解連接到該網(wǎng)絡(luò)的所有系統(tǒng)對于確保企業(yè)安全性來說是至關(guān)重要的。有時(shí)，惡意系統(tǒng)的問題還會(huì)被其它因素進(jìn)一步惡化，例如，在絕大多數(shù)網(wǎng)絡(luò)中，接入網(wǎng)絡(luò)的唯一要求就是物理連接。承包商、外包員工、會(huì)議室的訪客或者一些已被遺忘的系統(tǒng)都有同等的機(jī)會(huì)連接到企業(yè)網(wǎng)絡(luò)，而且會(huì)在不經(jīng)意之間對網(wǎng)絡(luò)的完整性和可用性構(gòu)成嚴(yán)重的威脅。ePO3.5能夠通過一種獨(dú)特的方法來降低惡意系統(tǒng)或不符合安全要求的系統(tǒng)所造成的風(fēng)險(xiǎn)。通過分布式傳感器，ePO3.5能夠被動(dòng)式地監(jiān)控網(wǎng)絡(luò)中任何一個(gè)基于局域網(wǎng)的連接，快速判斷出這些連接當(dāng)前是否由ePO3.5進(jìn)行管理，并能夠向沒有被ePO3.5管理的惡意系統(tǒng)提供多種基于策略的響應(yīng)。通過快速識別未經(jīng)管理的系統(tǒng)，管理員就可以極大地提升系統(tǒng)的安全性，并減少惡意系統(tǒng)和不符合安全要求的系統(tǒng)所存在的漏洞。ePolicyOrchestratorePolicyOrchestratorRogueSensorRogueSensorRogueSensor檢測到3個(gè)不兼容系統(tǒng)!!降低運(yùn)行成本和基礎(chǔ)架構(gòu)成本ePO3.5將幫助您整合現(xiàn)有的安全供應(yīng)商，與您的網(wǎng)絡(luò)和安全基礎(chǔ)架構(gòu)集成，并通過對系統(tǒng)安全性進(jìn)行集中管理來降低您的運(yùn)行成本。全天候(24X7)的系統(tǒng)安全監(jiān)控ePO3.5的集成通知服務(wù)和圖形報(bào)表提供了全天候的安全可視性，使用戶可以有效地監(jiān)控系統(tǒng)的安全性、評估安全策略的狀態(tài)并發(fā)現(xiàn)網(wǎng)絡(luò)中的薄弱環(huán)節(jié)。快速、前瞻性的信息對于安全專家來說是至關(guān)重要的，尤其是對安全一致性和威脅活動(dòng)進(jìn)行監(jiān)控時(shí)。ePO3.5針對安全一致性、威脅活動(dòng)以及惡意系統(tǒng)提供了集成的警報(bào)和通知功能。由管理員定義的閥值將確保重要的警報(bào)能夠通過電子郵件、SMS、文本尋呼機(jī)或SNMP陷阱發(fā)送給指定的負(fù)責(zé)人員。這些警報(bào)主要針對對威脅活動(dòng)、防病毒一致性水平以及惡意系統(tǒng)的檢測。ePO3.5提供了四十多種預(yù)定義報(bào)告，涵蓋范圍非常廣泛。利用這些報(bào)告，用戶可以輕松定位不符合安全要求的系統(tǒng)、跟蹤突發(fā)問題的來源或確定安全策略的有效性。您可以隨時(shí)獲取各種信息，包括僅有一頁的安全報(bào)告摘要以及有關(guān)病毒策略和活動(dòng)、桌面機(jī)防火墻策略、系統(tǒng)漏洞、垃圾郵件和內(nèi)容過濾策略的詳細(xì)信息。此外，您還可以通過自定義報(bào)告來滿足自己的特定需求。管理員可從多種可打印、可導(dǎo)出的報(bào)表形式中任意選擇，其中包括三維條形圖、餅圖、折線圖以及表格。ePO3.5集成了BusinessObjects?CrystalReports技術(shù)和Microsoft?MSDE/SQLServer，在操作的簡便性和強(qiáng)大的功能之間實(shí)現(xiàn)了完美的平衡，能夠滿足任何規(guī)模企業(yè)的要求。強(qiáng)制防護(hù)和更新前瞻性管理安全策略遇到的一個(gè)最大的問題就是如何確保所有的系統(tǒng)都獲得了最新的保護(hù)。ePO3.5通過自動(dòng)強(qiáng)制實(shí)施策略確保了整個(gè)企業(yè)都能夠符合安全性的要求，既防止了某些系統(tǒng)得不到及時(shí)更新，又有效地避免了最終用戶修改設(shè)置或禁用某些關(guān)鍵性的防護(hù)。ePO3.5是有效管理更新過程的中心。管理員可以指定更新間隔（按計(jì)劃更新），或者指定按系統(tǒng)、用戶組或其它方式進(jìn)行更新。分布式數(shù)據(jù)庫的智能化設(shè)計(jì)無需服務(wù)器參與更新操作，所有更新都在整個(gè)網(wǎng)絡(luò)范圍內(nèi)實(shí)施，從而降低了網(wǎng)絡(luò)流量并提高了性能。此外，ePO3.5具有最全面的更新部署能力，能夠有效地部署McAfee的所有DAT、引擎、服務(wù)包、修補(bǔ)文件以及補(bǔ)丁文件。前瞻性地評估Microsoft補(bǔ)丁的應(yīng)用情況借助于ePO3.5，您可以簡單直觀地采取前瞻性措施來減少系統(tǒng)漏洞，并對補(bǔ)丁文件的部署效率進(jìn)行評估。SystemComplianceProfiler(SCP)是ePO3.5的一個(gè)組件，它使得安全專家能夠快速評估整個(gè)企業(yè)內(nèi)系統(tǒng)安全的實(shí)施情況，包括重要的Microsoft安全補(bǔ)丁的部署情況。這種配置是基于規(guī)則的，而且可以由管理員或通過從McAfee下載的模板進(jìn)行自定義設(shè)置，配置過程會(huì)在系統(tǒng)中搜索特定的文件、服務(wù)、注冊表項(xiàng)或特定的Microsoft補(bǔ)丁引用信息。此外，您還可以通過補(bǔ)丁指紋（使用MD5哈希碼）來確保Microsoft安全補(bǔ)丁的絕對完整性，并防止補(bǔ)丁偽造。安全一致性的重要性級別可由管理員來設(shè)定，并可以通過詳細(xì)的、圖形化的一致性報(bào)告進(jìn)行監(jiān)控。ePolicyePolicyOrchestratorSecurityBulletinMS04-025兼容不兼容!快速響應(yīng)爆發(fā)事件ePO3.5是對爆發(fā)事件做出有效響應(yīng)的關(guān)鍵所在，它使得管理員能夠針對威脅定制出特定的響應(yīng)措施。面對緊急情況，您可能需要立即更新所有的機(jī)器，此時(shí)，服務(wù)器就會(huì)命令所有的代理立即更新，并在整個(gè)網(wǎng)絡(luò)中使更新立即生效。除此以外，爆發(fā)事件還可能要求您更改系統(tǒng)防火墻的策略，或者僅對網(wǎng)關(guān)策略進(jìn)行修改或更新。ePO3.5使您能夠做出快速響應(yīng)，并可以集中處理當(dāng)前的任務(wù)。ExpressGlobalUpdating確保了快速的企業(yè)更新（一小時(shí)內(nèi)最多可更新50,000個(gè)系統(tǒng)），并能夠通過ePO3.5強(qiáng)大的報(bào)表功能對所有的更新進(jìn)行驗(yàn)證。通過全局網(wǎng)絡(luò)對更新進(jìn)行分發(fā)不僅提升了帶寬的使用效率，而且大大提高了對新威脅和突發(fā)威脅的響應(yīng)能力。保護(hù)移動(dòng)用戶有了ePO3.5，對移動(dòng)員工的管理再也不會(huì)是令安全團(tuán)隊(duì)撓頭的問題了。即使膝上型電腦沒有連接到網(wǎng)絡(luò)，通過強(qiáng)制實(shí)施策略以及在連接到Internet時(shí)進(jìn)行更新，ePO3.5也可以有效地管理您無法管理的基礎(chǔ)架構(gòu)。由于移動(dòng)用戶和遠(yuǎn)程用戶要求更高的靈活性，ePO3.5可以從最近的數(shù)據(jù)庫中以最有效利用帶寬資源的方式為他們提供更新，并允許延遲更新和重新開始更新。借助于ePO3.5，您的遠(yuǎn)程用戶和移動(dòng)用戶就能夠得到與局域網(wǎng)用戶同樣完善的保護(hù)，您也可以同樣簡單地對他們進(jìn)行管理。簡化整個(gè)企業(yè)范圍內(nèi)的管理ePO3.5的設(shè)計(jì)兼顧了企業(yè)級的擴(kuò)展性能，可以通過每臺服務(wù)器管理多達(dá)250,000個(gè)用戶，并可以輕松地使用遠(yuǎn)程控制臺從任何位置進(jìn)行操作，從而大大節(jié)省了企業(yè)的硬件和管理成本。這些策略覆蓋了惡意威脅防護(hù)的每一個(gè)層面，包括更新頻率、個(gè)人防火墻設(shè)置、補(bǔ)丁評估、要掃描的文件類型以及啟發(fā)式掃描設(shè)置，可設(shè)置于每一臺計(jì)算機(jī)或每個(gè)組，并可完全由管理員進(jìn)行定義。所有這些都可以被強(qiáng)制實(shí)施，從而確保對用戶的妥善保護(hù)。您需要以多種語言管理企業(yè)的安全防護(hù)？沒問題！您既要管理傳統(tǒng)防病毒產(chǎn)品，又要管理最新的安全應(yīng)用程序？簡單！您需要不同管理員負(fù)責(zé)管理網(wǎng)絡(luò)的不同部分？別擔(dān)心！您有Windows?服務(wù)器、Linux服務(wù)器和NetWare文件服務(wù)器？容易！想與MicrosoftActiveDirectory進(jìn)行集成？沒問題！想增加系統(tǒng)防火墻和入侵預(yù)防？還是沒問題！ePO3.5能夠幫助您輕松解決所有這些問題。集成已有的關(guān)鍵性基礎(chǔ)架構(gòu)ePO3.5在設(shè)計(jì)之初就考慮了管理的效率問題，它能夠很好地利用您在MicrosoftActiveDirectory(AD)做出的投入，不僅簡化了變更控制，而且確保了整個(gè)企業(yè)內(nèi)目錄的一致性。與MicrosoftAD的集成使得用戶能夠按照計(jì)劃將系統(tǒng)從AD目錄導(dǎo)入到ePO3.5目錄，此外，如果需要的話，您還可以在ePO3.5目錄中創(chuàng)建出完全相同的AD組鏡像。ePolicyOrchestratorePolicyOrchestratorMSActiveDirectoryFullMirroring4.1.3GroupShield6.0郵件服務(wù)器防護(hù)內(nèi)嵌郵件系統(tǒng)郵件病毒防護(hù)系統(tǒng)將保證病毒不能通過的電子郵件傳播，并且不能進(jìn)入郵件數(shù)據(jù)庫；保證從Internet發(fā)來的電子郵件不能攜帶病毒進(jìn)入郵件服務(wù)器。在郵件服務(wù)器上安裝GroupShield在每臺郵件服務(wù)器上安裝GroupShield?？墒紫葘︵]件服務(wù)器進(jìn)行完全掃描，然后設(shè)定GroupShield定期（非工作時(shí)間對服務(wù)器進(jìn)行掃描）。GroupShield的主要特征可參考服務(wù)器病毒防護(hù)體系中的說明。多種運(yùn)行模式整個(gè)防病毒系統(tǒng)除了管理工作以外的就是對病毒的掃描和清除。病毒掃描程序的運(yùn)行分為四種方式：訪問時(shí)觸發(fā)掃描(On-Access)：當(dāng)系統(tǒng)在讀、寫、執(zhí)行文件、拷貝、磁盤訪問、系統(tǒng)關(guān)機(jī)、系統(tǒng)啟動(dòng)等時(shí)自動(dòng)觸發(fā)運(yùn)行病毒掃描程序，掃描文件系統(tǒng)和操作系統(tǒng)，一旦發(fā)現(xiàn)病毒，給出報(bào)警；這是對系統(tǒng)的實(shí)時(shí)檢測；按要求掃描(On-Demand)：按照用戶要求，在指定的時(shí)間內(nèi)自動(dòng)掃描系統(tǒng)、文件系統(tǒng)、磁盤；手工掃描(Scan)：手工啟動(dòng)病毒掃描程序，對系統(tǒng)進(jìn)行掃描；屏幕保護(hù)方式掃描(ScreenSaver)：當(dāng)系統(tǒng)在空閑時(shí)，觸發(fā)屏幕保護(hù)程序，自動(dòng)開始對系統(tǒng)進(jìn)行掃描；四種方式互相補(bǔ)充，構(gòu)成對病毒掃描頻率的互補(bǔ)。On-access掃描，保證對系統(tǒng)、文件系統(tǒng)的每次都正常進(jìn)行，避免由于文件系統(tǒng)的操作，感染病毒。但是On-access并不能覆蓋所有的文件系統(tǒng)，使有潛伏的病毒難以發(fā)現(xiàn)，這時(shí)用On-Demand掃描定時(shí)對整個(gè)系統(tǒng)或部分掃描，這種掃描一般頻率比較低，和高頻率的On-access掃描構(gòu)成互補(bǔ)。這兩種方式都是自動(dòng)運(yùn)行的。手工掃描作為一種補(bǔ)充手段可以徹底地對系統(tǒng)進(jìn)行完全的掃描，也可以對有嫌疑的文件目錄進(jìn)行掃描，然后將病毒清除掉。屏幕保護(hù)方式掃描，利用系統(tǒng)的空閑時(shí)間，時(shí)刻讀系統(tǒng)進(jìn)行防病毒保護(hù)。各種掃描方式都有詳細(xì)的日志信息，供管理人員進(jìn)行病毒審計(jì)使用；同時(shí)，根據(jù)報(bào)警策略，給出相應(yīng)的報(bào)警方式和結(jié)構(gòu)。4.1.4黑龍江八一農(nóng)墾大學(xué)網(wǎng)絡(luò)防病毒部署圖4.2桌面管理解決方案(IPDSMS)4.2.1IPDSMS公司簡介上海創(chuàng)多軟件有限公司是2002年成立的軟件企業(yè)，公司由前微軟（中國）有限公司的大區(qū)經(jīng)理、前微軟（中國）有限公司的高級技術(shù)顧問、IBM（中國）有限公司資深渠道市場經(jīng)理等多名已經(jīng)從事IT技術(shù)與市場的資深專家投資成立。

公司業(yè)務(wù)定位是以服務(wù)大眾化企業(yè)IT應(yīng)用和需求為出發(fā)點(diǎn)，運(yùn)用成熟穩(wěn)定的軟件技術(shù)和行業(yè)經(jīng)驗(yàn)，向用戶提供輕便、實(shí)用、性價(jià)比高、實(shí)施容易、見效快的軟件產(chǎn)品。

公司目前分上?？偛亢捅本┦袌鲞\(yùn)營中心兩大機(jī)構(gòu)，其中上海總部負(fù)責(zé)產(chǎn)品研究與開發(fā)，及華東華南區(qū)域市場的開拓與發(fā)展；北京運(yùn)營中心負(fù)責(zé)華北區(qū)市場的開拓與發(fā)展。公司計(jì)劃將會(huì)在廣東，西南，東北，西北等地開設(shè)辦事機(jī)構(gòu)，以服務(wù)當(dāng)?shù)氐那篮献骰锇楹涂蛻簟?/p>

IPDSMS作為一個(gè)貫穿“輕便”、“簡潔”思路的系統(tǒng)工具軟件產(chǎn)品，產(chǎn)品直接體現(xiàn)以人為本的設(shè)計(jì)理念。簡單化設(shè)計(jì)是國際上被廣泛認(rèn)可的設(shè)計(jì)理念，IPDSMS將IT管理業(yè)務(wù)中那些最繁雜的事務(wù)進(jìn)行整理，形成了具有明確針對性的功能模塊，滿足IT經(jīng)理對批量化作業(yè)、PC系統(tǒng)管理規(guī)范性、系統(tǒng)穩(wěn)定性管控等各層次要求。4.2.2產(chǎn)品概述及特點(diǎn)IT基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)的工作穩(wěn)定性對企業(yè)經(jīng)營生產(chǎn)活動(dòng)至關(guān)重要。計(jì)算機(jī)系統(tǒng)管理的目標(biāo)之一就是要確保企業(yè)計(jì)算機(jī)系統(tǒng)運(yùn)行的穩(wěn)定性和可靠性。如果出現(xiàn)嚴(yán)重問題，其后果完全可以設(shè)想成一個(gè)城市大面積停電一樣，使整個(gè)企業(yè)生產(chǎn)經(jīng)營活動(dòng)陷入混亂。實(shí)施全面、及時(shí)、有效和系統(tǒng)化管理是計(jì)算機(jī)信息系統(tǒng)運(yùn)行可靠性的有力保證。而運(yùn)用工具化的管理軟件是IT經(jīng)理掌握全局、運(yùn)籌帷幄的重要手段之一。長期以來，計(jì)算機(jī)應(yīng)用迅速普及，單位內(nèi)部PC擁有量不斷增加，而IT經(jīng)理面對這幾十成百甚至上千的PC，卻沒有一套有效的輔助性管理工具，依然沿用傳統(tǒng)的手工作業(yè)模式。軟硬件統(tǒng)計(jì)只能靠手工逐臺登記，沒有全局觀，有時(shí)侯還需要拆開機(jī)箱。即使有人調(diào)換、安裝及卸載根本無從了解。因此，對PC軟硬件環(huán)境缺乏透明度和可把握度。PC在使用者手中，運(yùn)行什么軟件已經(jīng)無法約束，而出了問題肯定是IT管理者的事情，不停地重新Ghost是很正常的事情。對于互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)資源訪問等，只能依賴網(wǎng)關(guān)或網(wǎng)絡(luò)配置有限的能力，無法對PC的網(wǎng)絡(luò)行為進(jìn)行約束，有的為了搶占資源，私自改動(dòng)IP，造成地址沖突。對于日常重復(fù)性最大的批量作業(yè)，如操作系統(tǒng)安全補(bǔ)丁及大范圍軟件安裝升級等工作，只能逐臺進(jìn)行，耗時(shí)耗力。PC出現(xiàn)故障，不論故障大小，電話支持不能徹底解決問題，只好親赴現(xiàn)場，常常為一個(gè)三分鐘可以搞定的問題浪費(fèi)大量時(shí)間，也無法保證快速響應(yīng)。因此，IT管理人員為了確保計(jì)算機(jī)系統(tǒng)穩(wěn)定運(yùn)行需要付出成倍的工作量。而采用工具化、智能化的管理工具，能夠極大地提高管理效率和質(zhì)量，降低工作壓力，達(dá)到事半功倍的效果。IPDSMS就是針對目前系統(tǒng)管理的種種問題和挑戰(zhàn)推出的網(wǎng)絡(luò)管理軟件。它從企業(yè)IT管理的五大普遍性需求出發(fā)，形成了資產(chǎn)管理、進(jìn)程管理、軟件分發(fā)、遠(yuǎn)程桌面管理及網(wǎng)絡(luò)行為管理等具有明確針對性的功能架構(gòu)。IPDSMS系統(tǒng)管理套件經(jīng)過了深入分析提煉，著眼于IT日常事務(wù)，最大程度地輔助管理者締造一個(gè)穩(wěn)定、可靠、高效、規(guī)范的計(jì)算機(jī)應(yīng)用環(huán)境，使計(jì)算機(jī)100%為單位的經(jīng)營和生產(chǎn)服務(wù)。與其他的網(wǎng)管軟件不同，IPDSMS以網(wǎng)絡(luò)中的計(jì)算機(jī)桌面管理為重點(diǎn)，從靜態(tài)的資產(chǎn)管理到動(dòng)態(tài)的行為管理，從事前的策略指定到出現(xiàn)問題的遠(yuǎn)程維護(hù)，作到了一套軟件，解決相關(guān)的各個(gè)問題。IPDSMSIPDSMS系統(tǒng)管理套件資產(chǎn)管理進(jìn)程管理軟件分發(fā)網(wǎng)絡(luò)訪問管理遠(yuǎn)程桌面管理可以用以下幾點(diǎn)概括IPDSMS的特點(diǎn)：IPDSMS是提供給IT經(jīng)理自己使用的工具企業(yè)中隨著業(yè)務(wù)系統(tǒng)的推進(jìn)，購買了各種各樣的硬件、各種各樣的軟件。但是作為網(wǎng)絡(luò)管理的基礎(chǔ)設(shè)施，IT經(jīng)理一直沒有一套很好的工具，能幫助自己規(guī)范網(wǎng)絡(luò)管理工作。IPDSMS是一套面向企事業(yè)IT經(jīng)理的專業(yè)管理工具，能提供計(jì)算機(jī)資產(chǎn)管理、進(jìn)程控制、軟件分發(fā)、遠(yuǎn)程桌面管理等多項(xiàng)功能。IPDSMS是一套高性價(jià)比的軟件系統(tǒng)并提供了IT經(jīng)理最經(jīng)常使用的功能，其設(shè)計(jì)目標(biāo)就是幫助IT經(jīng)理處理一些重復(fù)瑣碎的工作，而讓IT經(jīng)理有更多時(shí)間和經(jīng)歷處理高層次應(yīng)用的問題。IPDSMS集成了系統(tǒng)管理需要的各種功能為了加強(qiáng)網(wǎng)絡(luò)管理，IT經(jīng)理會(huì)使用各種各樣的軟件來幫助自己。使用EXCEL來記錄資產(chǎn)信息，使用SUS進(jìn)行軟件分發(fā),pcanywhere進(jìn)行遠(yuǎn)程桌面管理，使用一些共享軟件進(jìn)行網(wǎng)絡(luò)管理。這些軟件用在網(wǎng)絡(luò)管理的各個(gè)環(huán)節(jié)，零零散散的發(fā)揮作用。IPDSMS集成了網(wǎng)絡(luò)管理所需要的各種功能，作為一個(gè)整體為網(wǎng)絡(luò)管理人員提供了一個(gè)完整的解決方案。IT

經(jīng)理再不要煩惱用什么工具去解決什么問題了。而且隨著網(wǎng)絡(luò)管理的需要,IPDSMS在不斷的擴(kuò)展中，將會(huì)為網(wǎng)絡(luò)管理提供越來越強(qiáng)大的技術(shù)保障。IPDSMS特點(diǎn)就是輕便易用，是“瑞士軍刀”式的網(wǎng)管軟件IPDSMS最突出的一個(gè)特點(diǎn)就是輕便性（LightWeight），系統(tǒng)采用IE作為管理界面，IT經(jīng)理可以隨時(shí)隨地實(shí)施管理，使IT經(jīng)理快速掌握系統(tǒng)，省去復(fù)雜的調(diào)試和閱讀厚厚的手冊。降低了軟件的總體使用成本。IPDSMS作為IT管理的一個(gè)助手，在提供實(shí)用功能的基礎(chǔ)上，最大程度地降低產(chǎn)品使用及實(shí)施的復(fù)雜度，使產(chǎn)品在實(shí)用的同時(shí)，也更加易用，同時(shí)考慮到對用戶計(jì)算機(jī)及網(wǎng)絡(luò)資源可能產(chǎn)生消耗，系統(tǒng)采用了完全事件觸發(fā)模式（Event-Driven）的基礎(chǔ)架構(gòu)，使其正常情況對資源消耗降到最低。IPDSMS良好的可伸縮性能適應(yīng)復(fù)雜、龐大的網(wǎng)絡(luò)架構(gòu)IPDSMS良好的系統(tǒng)架構(gòu)支持它能夠適應(yīng)各種網(wǎng)絡(luò)結(jié)構(gòu)和訪問需求。小到幾個(gè)點(diǎn)十幾個(gè)點(diǎn)的網(wǎng)絡(luò)，達(dá)到幾千個(gè)點(diǎn)的企業(yè)級網(wǎng)絡(luò)，IPDSMS都能提供管理能力和短的響應(yīng)時(shí)間。IPDSMS在各種類型企業(yè)實(shí)施的效果也證明了它良好的伸縮性。基于瀏覽器的使用界面方便實(shí)用由于采用B/S架構(gòu)的設(shè)計(jì)模式，使得IPDSMS的使用也簡單。不需要要在使用的管理計(jì)算機(jī)上安裝任何軟件，使用瀏覽器就可以進(jìn)行管理和維護(hù)工作，甚至能進(jìn)行遠(yuǎn)程控制管理。終端PC終端PC終端PC被管理終端PCTCP/IPIPD服務(wù)器IISWeb服務(wù)ISAPI網(wǎng)絡(luò)內(nèi)PC的IE/Netscape/Opera等瀏覽器HTTP/SSL 4.2.3系統(tǒng)功能簡介IPDSMS作為網(wǎng)絡(luò)管理人員的”利器”,從系統(tǒng)的安裝、配置，到系統(tǒng)的界面、功能安排都體現(xiàn)了“傻瓜”、“簡單”的設(shè)計(jì)原則。力求使用者能在最短的時(shí)間內(nèi)找到需要的功能，最簡單、直接的方式實(shí)現(xiàn)所想達(dá)到的目的。IPDSMS系統(tǒng)包括六大模塊，分別是：資產(chǎn)管理進(jìn)程管理軟件分發(fā)遠(yuǎn)程桌面管理網(wǎng)絡(luò)訪問管理設(shè)備管理計(jì)算機(jī)管理隨著單位的規(guī)模不同，單位的計(jì)算機(jī)也會(huì)從十幾臺到幾千臺不等。需要一個(gè)統(tǒng)一的編號能進(jìn)行計(jì)算記識別和管理。通過IPDSMS的管理，可以對計(jì)算機(jī)實(shí)物進(jìn)行統(tǒng)一管理，自動(dòng)編號、自動(dòng)記錄計(jì)算機(jī)的硬件、軟件配置情況和變動(dòng)情況。IPDSMS具有自動(dòng)網(wǎng)絡(luò)掃描功能。通過高效率的掃描引擎，搜索網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)列表。并且查看分辨網(wǎng)絡(luò)中的所有計(jì)算機(jī)。一旦被識別進(jìn)入數(shù)據(jù)庫中，通過唯一的硬件標(biāo)識對計(jì)算機(jī)的行為進(jìn)行記錄。即使重新安裝代理軟件、重新安裝操作系統(tǒng)也能保留識別標(biāo)示。計(jì)算機(jī)編號管理在網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)被納入IPDSMS的管理后，IPDSMS會(huì)自動(dòng)對計(jì)算機(jī)進(jìn)行編號管理。這個(gè)編號也可以根據(jù)單位自己的業(yè)務(wù)需要進(jìn)行編碼。比如可以根據(jù)使用人員或者部門的名稱編號，也可以根據(jù)計(jì)算機(jī)的資產(chǎn)管理編碼進(jìn)行編號。這樣可以擴(kuò)展計(jì)算機(jī)的管理模式，方便管理員的管理工作。在線計(jì)算機(jī)列表通過實(shí)時(shí)的在線列表功能，可以列出網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)的在線情況和不在線計(jì)算機(jī)的情況。同時(shí)還可以查看計(jì)算機(jī)安裝IPDSMS客戶端的情況。這樣可以方便的統(tǒng)計(jì)哪些機(jī)器還沒有安裝客戶端，沒有納入IPDSMS的管理。分組管理單位的計(jì)算機(jī)管理可以是按照部門進(jìn)行管理，也可以按照單位職位的差別進(jìn)行管理。IPDSMS提供按組的模式進(jìn)行管理。通過分組可以統(tǒng)一進(jìn)行策略的制定和管理。在分組確定后，將相關(guān)的計(jì)算機(jī)加入到分組當(dāng)中就可以了。資產(chǎn)管理資產(chǎn)管理包括兩部分，硬件資產(chǎn)和軟件資產(chǎn)。硬件資產(chǎn)的管理是傳統(tǒng)意義上的資產(chǎn)管理，包括硬件型號、配置、變化等等。大多數(shù)企業(yè)在軟件內(nèi)部開發(fā)或外部采購?fù)度刖拶Y，但卻缺少或者沒有在對這些軟件進(jìn)行有效管理。由此而產(chǎn)生的復(fù)雜的IT架構(gòu)，不規(guī)范的軟件應(yīng)用，過高的維護(hù)成本，以及潛在的安全隱患使企業(yè)越來越頭疼。而如果實(shí)施軟件資產(chǎn)管理解決方案，就可通過掌控軟件使用的整個(gè)生命周期來戰(zhàn)略性的部署企業(yè)IT架構(gòu)，并通過制定一系列有效的管理措施，配合系統(tǒng)管理的使用，從而合理控制軟件購置的支出，真正提升軟件資產(chǎn)的利用率與整體效益。網(wǎng)絡(luò)計(jì)算機(jī)信息自動(dòng)匯總通過IPDSMS的智能代理，可以自動(dòng)把網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)的信息自動(dòng)上傳到服務(wù)器數(shù)據(jù)庫中。通過自動(dòng)匯總的方式，免除了管理員需要逐臺登記的繁重工作，增強(qiáng)了信息的準(zhǔn)確性和時(shí)效性。計(jì)算機(jī)硬件資產(chǎn)管理在硬件資產(chǎn)管理中，可以查詢到網(wǎng)絡(luò)中每臺計(jì)算機(jī)的硬件配置。包括計(jì)算機(jī)名稱、計(jì)算機(jī)編號、IP地址、Mac地址、以及

CPU類型、硬盤類型、內(nèi)存大小、顯卡型號等常用的信息。計(jì)算機(jī)軟件資產(chǎn)管理計(jì)算機(jī)軟件資產(chǎn)管理可以查詢到網(wǎng)絡(luò)中計(jì)算機(jī)的軟件安裝情況，并對安裝的數(shù)量進(jìn)行匯總。從基本的操作系統(tǒng)情況、應(yīng)用軟件安裝情況到系統(tǒng)補(bǔ)丁安裝情況、驅(qū)動(dòng)程序安裝情況。軟件資產(chǎn)管理中匯總了最全、最新的計(jì)算機(jī)軟件安裝信息。有了軟件資產(chǎn)管理，管理人員再也不用擔(dān)心不知道是不是所有機(jī)器都安裝了要求安裝的軟件，不用擔(dān)心是不是有人私下安裝了游戲卻不知道，不用擔(dān)心是不是安裝的正版軟件數(shù)量超過了License授權(quán)數(shù)量了。計(jì)算機(jī)變動(dòng)情況報(bào)表管理員需要掌握每天網(wǎng)絡(luò)里面的計(jì)算機(jī)都發(fā)生了什么變化，包括硬件配置變更、安裝或者卸載軟件的情況。IPDSMS提供的計(jì)算機(jī)變動(dòng)情況表可以及時(shí)的反應(yīng)這方面的變化。變動(dòng)表中，可以看到變動(dòng)機(jī)器的機(jī)器名稱、編號、IP地址、Mac地址、變動(dòng)明細(xì)情況以及變動(dòng)的日期。有了變動(dòng)表，管理員再也不用擔(dān)心面對的是一個(gè)“黑盒子”了。進(jìn)程管理進(jìn)程管理是計(jì)算機(jī)行為管理的一大組成部分。通過進(jìn)程管理，可以規(guī)范PC的內(nèi)在行為。規(guī)定用戶可以做什么，不可以做什么。IPDSMS對進(jìn)程的管理是通過對進(jìn)程進(jìn)行分類，分成合法運(yùn)行的程序以及不允許運(yùn)行的進(jìn)程兩大類。然后設(shè)定白名單和黑名單。如果在辦公環(huán)境中要求比較嚴(yán)格，只允許計(jì)算機(jī)運(yùn)行預(yù)先規(guī)定的幾種軟件，可以使用白名單。這樣如果計(jì)算機(jī)試圖運(yùn)行規(guī)定之外的軟件，會(huì)被自動(dòng)切斷運(yùn)行的途徑，保證預(yù)定的策略得到執(zhí)行。比如規(guī)定辦公室只能運(yùn)行Office、ERP等幾種和辦公有關(guān)的軟件，其他的一律為不允許使用的軟件，可以把這些軟件放到白名單中。如果辦公環(huán)境要求比較寬松，只是要求不允許運(yùn)行幾種違反規(guī)定的軟件，可以使用黑名單功能。比如單位規(guī)定聊天類軟件QQ,MSN不允許使用，其他都是可以的，可以使用黑名單功能。進(jìn)程分組管理進(jìn)程分組管理是為了減輕管理人員的工作量而設(shè)定的“貼心”功能。由于進(jìn)程的數(shù)量可能很多，如果直接對這些進(jìn)程進(jìn)行管理、設(shè)定策略會(huì)很繁瑣。所以IPDSMS引入進(jìn)程組的概念。通過將類似的軟件分組或者將需要統(tǒng)一管理的軟件分組可以減輕維護(hù)量。比如將Word,Excel,Powerpoint,Access分為Office組，在設(shè)定策略的時(shí)候可以賦予用戶Office組運(yùn)行權(quán)限就可以了。以后增加了別的Office辦公軟件，只需要將該軟件添加到Office組中就可以了。計(jì)算機(jī)行為策略設(shè)定計(jì)算機(jī)行為策略就是指白名單和黑名單的設(shè)定。在白名單中，可以查看、修改某個(gè)工作組被允許運(yùn)行的進(jìn)程組是哪些。在黑名單中，可以查看指定某個(gè)工作組被禁止使用哪個(gè)進(jìn)程組，甚至某臺計(jì)算機(jī)不允許運(yùn)行哪個(gè)進(jìn)程組、哪個(gè)程序。計(jì)算機(jī)行為監(jiān)控與管理在設(shè)定了白名單或者黑名單的基礎(chǔ)上，IPDSMS對網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行監(jiān)控和管理。如果用戶試圖運(yùn)行合法權(quán)限以外的軟件，系統(tǒng)會(huì)發(fā)出信息警告并且殺掉非法的進(jìn)程。通過這種方式，實(shí)現(xiàn)了行為管理的控制。軟件分發(fā)以前軟件分發(fā)是一項(xiàng)很艱巨的任務(wù)。每次當(dāng)有新的應(yīng)用、補(bǔ)丁或者驅(qū)動(dòng)程序，IT部門就需要花費(fèi)整個(gè)周末的時(shí)間，在幾百臺機(jī)器上安裝這些新的軟件。根據(jù)被安裝的軟件的大小，這樣的工作通常會(huì)用掉整個(gè)周末。由于整個(gè)周末的加班，到了星期一全部都顯得筋疲力盡，而這還不是全部，很快就會(huì)被用戶的電話包圍，因?yàn)樗麄儾焕斫饽切┬碌能浖，F(xiàn)在通過IPDSMS的軟件分發(fā)功能，這些工作已經(jīng)完全自動(dòng)化了。大到幾百兆的辦公軟件、小到幾十K的補(bǔ)丁程序都可以通過軟件分發(fā)完成。支持多種分發(fā)任務(wù)、分發(fā)格式IPDSMS的軟件分發(fā)通過分發(fā)任務(wù)的方式來實(shí)現(xiàn)。原來的復(fù)雜的分發(fā)情況被簡化為通過設(shè)置和選項(xiàng)來設(shè)定分發(fā)的過程。系統(tǒng)提供了指定分發(fā)時(shí)間、分發(fā)時(shí)段、分發(fā)持續(xù)時(shí)間、分發(fā)連續(xù)執(zhí)行天數(shù)、操作系統(tǒng)選擇等分發(fā)參數(shù)。同時(shí)，系統(tǒng)支持MSI格式、普通安裝程序、

可執(zhí)行文件格式、數(shù)據(jù)文件格式等多種分發(fā)的文件格式。大部分的軟件分發(fā)任務(wù)都可以通過IPDSMS完成。其中，對MSI格式的完美支持使的分發(fā)任務(wù)異常簡單。遠(yuǎn)程喚醒分發(fā)任務(wù)對于晚上統(tǒng)一軟件安裝的情況，如果計(jì)算機(jī)的網(wǎng)卡支持遠(yuǎn)程喚醒，還可以進(jìn)行遠(yuǎn)程喚醒安裝軟件。這樣軟件分發(fā)的工作不受時(shí)間限制和上班時(shí)間的限制。分發(fā)任務(wù)結(jié)果統(tǒng)計(jì)在安裝結(jié)束后還可以設(shè)定進(jìn)行結(jié)果統(tǒng)計(jì)。通過分發(fā)任務(wù)統(tǒng)計(jì)表可以隨時(shí)看到每個(gè)軟件任務(wù)的安裝情況和結(jié)果，有多少計(jì)算機(jī)、多少比率的計(jì)算機(jī)進(jìn)行了軟件分發(fā)工作，成功的有多少。給管理員的下一步工作提供參考。遠(yuǎn)程桌面管理管理員的時(shí)間相當(dāng)一部分花在東奔西走解決一些瑣碎的問題上。IPDSMS的遠(yuǎn)程桌面管理可以把管理員從這種工作模式中解放出來，不必親赴現(xiàn)場處理PC發(fā)生的故障，只需要通過遠(yuǎn)程技術(shù)支持，通過遠(yuǎn)程操作用戶的計(jì)算機(jī)，幫助用戶解決他們碰到的問題?？煽刂七h(yuǎn)程用戶管理可以進(jìn)行遠(yuǎn)程桌面管理的計(jì)算機(jī)都在一個(gè)統(tǒng)一的界面中羅列出來。通過列表管理員可