- 低成本,高安全的企业无毒网络使用环境
-
发布时间:2010-10-15 11:03:37
发布时间:2010-10-15 11:03:37
每年八月是病毒横行的月份。在 MIS 人员为使用者计算机中毒频传而疲于奔命的八月份,硕琦科技内部使用者与系统管理者却能安享方便安全的网络环境,甚至已近两年保持企业内部计算机零中毒纪录!本文将依硕琦科技身体力行的经验,与企业用户及经销伙伴共同深入探讨如何以最经济有效的方式,自 IT 环境管理制度着手,打造无毒安全的 IT 使用环境。 首先,「计算机病毒」实为恶性攻击的应用程序,恶性应用程序得以进入计算机并在系统中完成安装、执行并进而破坏计算机系统,即是为计算机中毒; 一部开放对外联络管道的计算机方即有遭受病毒攻击的风险,因此早期计算机病毒传播多因磁盘片传递数据而起,现今计算机病毒则多以电子邮件与网络为传播管道。若要建立最有效的企业计算机防毒策略,不妨从以下事项循序着手:先杜绝企业网络以外的联外管道,以及禁止系统安装任何未经系统管理者准许的应用程序,再于网络联外管道的唯一出入口设立防护机制。 第一步 确立封闭型的企业内部计算机网络架构 第二步 分级权限机制 有效管理计算机网络使用行为 使用者账号与管理者账号分级机制 若遭受病毒感染 第一时间应采隔离措施 如此快速有效能防堵病毒散播并清除病毒的方式,实则有赖系统管理者与使用者共同建立数据备份机制,以及观察网络通讯联机的良好习惯: (1) 若未使用网络资源但桌面右下方网络使用灯号始终保持闪灯状态,使用者应实时通报系统管理者,因为该情况极可能是因计算机中毒且病毒正利用您的计算机与网络进行恶性攻击。 (2) 使用者平时养成定时将数据储存于网络硬盘备份的习惯,数据为企业最珍贵的资源;一旦使用者计算机出现中毒现象,重新安装操作系统将可完全杀毒。 第三步 守备唯一出入管道 经济有效 滴水不漏 综上所述,妥善守备企业计算机唯一联外管道,看紧 Mail/File/Ftp server 与 Proxy 代理服务器,一同对出入的邮件与档案进行病毒扫描,可更细密地保障企业用户的安全。 第四步 异质操作系统与多功能服务器 强化服务器端安全
企业内部一般使用者计算机不加装光驱与软盘机,仅财务部门与设计部门等常需安装专业程序的部门中,择单部计算机加装光驱,且安装软件时需经系统管理者同意;企业内部信息交流共享则以网络芳邻、档案共享、档案服务器、电子邮件等方式进行,使企业内部的计算机系统架构呈现封闭易管理的状态。
使用 Windows XP/ NTFS 档案系统
硕琦科技建议您为客户端计算机采用 Windows XP 为操作系统。因 Windows XP 将硬盘档案系统定义为 NTFS(NT File System),相较于 Windows 95/ 98 的 FAT32 档案管理系统,安全保障程度更高,因为在 NTFS 档案系统架构下,不同身份等级的登入者享有不同的硬盘使用权限。一般使用者(非系统管理者)仅能有限制地使用硬盘资源,如于利用程序编写档案、于特定目录下新增数据夹,无法使软件程序得到授权而于操作系统内成功地安装、执行;管理者账号才有权限可安装应用程序。(若个人计算机原使用系统为 Windows 2000 ,以升级方式安装为 XP 操作系统时,必需手动更改相关设定,始能将硬盘规划为 NTFS 形式)
在登入计算机使用习惯上,需建立使用账号区分层级的制度,分为使用者账号与系统管理者账号;平时使用计算机以使用者账号登入,如需安装软件方以管理者账号登入。因此若使用者账号即为管理者账号,使用者平日登入计算机若遭病毒感染,则病毒程序将得以成功安装,进而遂行其破坏行为;若在使用者账号与管理者账号分级模式下,平日以使用者账号登入使用,此时若遭病毒感染则病毒程序则无法执行。
由于多种病毒模式皆含自身 SMTP Engine ,因此遭受病毒感染的计算机多出现遭病毒作为滥发邮件服务器的病症, 身居各大防毒软件公司传染程度统计排行榜首位的 Sobig.f 即为一例。因此,在第一时间,防止病毒传播危及系统内其它计算机的方式即是拔除网络线,中断联外管道。接下来应重新安装操作系统, 以便将中毒计算机中的病毒程序杀除干净。
上述制度落实后,服务器即成为对外网络连系唯一管道,因此,于服务器端安装病毒搜寻引擎,并设定为自动实时更新以保持最佳状况,即为最有效的方式。且从成本因素考虑,防毒软件计费方式以服务器加装病毒扫描引擎的方式较为经济,且多台使用者计算机不时同时联机向同一个数据库更新病毒码,不仅耗费计算机效能,亦浪费企业宝贵的频宽资源。硕琦科技也提醒您,若贵公司系统使用者常自Internet 下载数据,亦需启用 Proxy 代理服务器,如此一来所有 Http Request 动作皆需要经过快取代理服务器。
此外,硕琦科技也建议企业用户针对服务器/ 使用者计算机采用相异的操作系统。绝大多数个人计算机采用 Windows 操作系统, 若是服务器亦使用 Windows 操作系统 ,则极容易因病毒攻击而同时瘫痪服务器与使用者计算机,因此服务器宜使用与 Windows 异质的Unix 或 Linux 操作系统。在预算许可时,企业亦应建置能依指定条件扫描附加档案的邮件服务器,配合服务器端加装防毒软件,可实时更新病毒码,并将含病毒附加档案先行阻隔,确保原信件不夹带病毒后将原信件内文放行,邮件服务器即能既是使命必达的邮局,亦能确保您所下载的邮件安全无虞。