诚邀代理商 | 员工论坛 | 联系我们
首 页 关于我们 新闻中心 产品中心 核心业务 成功案例 服务专区 在线留言
成功案例
successful cases
中国农行银行内蒙分行防病毒项目

 

1、项目背景
内蒙农业银行系统局域网内配置有服务器、PC机等计算机,使用的操作系统有Windows 98/NT/2000/XPUnix等。此外还使用了大量的服务器软件和办公软件、电子邮件服务器等通用应用软件。
银行网络的服务器放在信息中心,有自己的Web服务器、文件服务器、邮件服务器和大量的客户机。在信息中心的网关处有一台防火墙实现对信息的访问控制,所有客户机通过防火墙然后访问Internet
网络逻辑拓扑图如下:

2、防毒需求分析
       
随着银行系统信息化建设的进一步发展,新系统的开展,病毒入侵、传播的渠道大大增加,病毒防御的任务更加艰巨,以往分散的、各自为政的单一层次的防病毒产品已经难以满足网络防病毒现状的要求,只有建立起覆盖全网的、立体的、集中控制的防病毒网, 并对其实施行之有效的组织管理,才能达到防控目的。
为有效防范病毒的入侵、传播和对系统的破坏,需要引入一套先进完善的防病毒产品,实现对银行信息系统全方位、多层次的整体防护,以及病毒防御系统的集中管理与分级防护。
1 防病毒产品应当能够针对银行信息系统网络构造和应用环境的实际情况,对桌面客户端、服务器、群件及网关进行全方位、多层次的整体防护。
2 防病毒产品应当能够在全网范围内实现防病毒的分级集中控制和管理,以便形成全网统一的、连续的、有效的防病毒策略和机制。
3 防病毒产品应当能够在全网范围内实现病毒扫描引擎和病毒特征码的自动更新。
4 防病毒产品应当能够支持多平台、多协议和多种文件类型的病毒查杀,具有较高的稳定性、安全性和效率。
5 产品应有较强的扩展能力和升级能力。
3
、病毒威胁分析
           
外部银行与Internet相连。银行外网也有与Internet相连的电脑,虽然有防火墙等安全防护设备,仍会受到来自外部IP数据包为载体的潜在病毒的威胁,特别是网络蠕虫病毒的入侵;
           
内部局域网中的各种应用服务器、客户机都会受到病毒的传播,病毒的攻击方式多种多样,有通过局域网传播、传统介质(光盘、软盘等)传播等等,一旦受到感染,便会迅速传播,会给日常的工作和生产带来极大的威胁,会极大降低员工工作效率和提高管理人员的工作量;
           
邮件服务器电子邮件已成为病毒传播的最大载体,任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施,极易受到攻击,并会导致病毒在内部网络中快速传播。其实邮件服务器本身不会受到邮件病毒的破坏,只是转发染毒邮件至客户信箱中,但是当客户机染毒并产生几何数量级的信件时,邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降,直至当机。同时,垃圾邮件的问题也成为每一个管理人员不得不面对的难题;
          
带宽消耗高速传播和具有网络攻击能力的病毒,能占用有限的网络带宽,导致网络瘫痪。CodeRed、蠕虫王、冲击波、震荡波等病毒就是典型导致网络瘫痪的病毒,能导致网络交换机、路由器、服务器严重过载瘫痪,影响正常业务开展;
          
信息被窃网络病毒在发作后常常在造成直接破坏的同时,还会释放后门程序,一旦重要服务器中毒,就有可能带来机密信息的泄漏,如果机密信息被恶意者获取,将可能给以后工作造成预想不到的严重后果;
         
间接损失病毒造成的间接损失可能更大,病毒造成的事故可能直接导致整个网络系统不能正常办公,后续工作不能顺利开展,有可能造成经济、社会、政治等各方面的极大损失及不利影响。
4
、整体防毒设计思想
1)构建控管中心集中管理架构:,保证了整个防毒产品可以从管理系统中及时得到更新,同时又使得系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被系统管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒;在方案设计中,我们在内蒙农行构建防毒控管中心,实现集中管理
2)构建全方位、多层次的防毒体系:在方案设计中,我们结合银行的实际网络防毒需求,构建了多层次病毒防线,分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范;
3)构建高效的网关防毒子系统:在方案设计中,我们将网关防毒作为最重要的一道防线来构建,一方面消除外来邮件SMTPPOP3病毒的威胁,另一方面消除通过HTTPFTP等应用的病毒风险,同时对邮件中的关键字、垃圾邮件进行阻挡,有效阻断病毒最主要传播途径;
4)构建高效的网络层防毒子系统:在方案中,我们将网络病毒的防范作为最重要的防范对象,通过在网络接口和重要安全区域部署网络病毒墙,在网络层全面消除外来病毒的威胁,使得网络病毒不能再肆意传播,同时结合病毒所利用的传播途径,对整个安全策略进行贯彻;
5)构建覆盖病毒发作生命周期的控制体系:当一个恶性病毒入侵时,防毒系统不仅仅使用病毒代码来防范病毒,而是具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理,特别是对那些利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。防毒系统在病毒代码到来之前,就可以通过网关可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来的又没有扩散的途径。在清除与修复阶段又可以对这些病毒高效清除,快速恢复系统至正常状态;
6)服务是整体防毒系统中极为重要的一环:防病毒系统建立起来之后,能不能对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求厂商要有全球化的防毒体系为基础,另一方面也要求厂商能有精良的本地化技术人员作依托,不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快速的分析和方案提供。
5
、整体防毒部署示意图

6、整体防毒达到的效果
1)在整个网络的网关处进行网络层病毒包扫描,及时清除蠕虫病毒攻击包,同时对控制病毒传播途径,对未安装防毒软件或未安装补丁的网络节点进行访问控制;
2)对整个网络节点的脆弱性进行评估,及时阻挡不符合安全策略的节点的访问;
3)对进出网关的邮件进行全面防毒扫描,发现病毒即时进行处理,并且给出系统管理员即时的通知信息。
4)采用数据库比对技术和智能性判断技术,对进出网关的邮件进行垃圾邮件过滤,在网关处将垃圾邮件有效删除掉。
5)对进出网关的Web访问、FTP访问行全面防毒扫描,发现病毒即时进行处理,并且给出系统管理员即时的通知信息,同时对不良网站和URL地址进行过滤,阻挡恶意类型文件;
6)对整个网络内的应用服务器进行全面防护,斩断病毒在服务器内的寄生及传播;
7)对所有的客户机进行全面防护,彻底消除病毒对客户机的破坏,保证所有员工都有一个干净、安全的工作平台;
8)所有防毒软件的升级、防毒策略的制定,通过控管系统集中实现,一方面保证所有防毒软件得到即时更新,另一方面保证整个防毒策略的一致。同时生成整个网络统一的病毒报告日志,便于系统管理人员即时对病毒发现情况进行掌握,制定更加有效的网络平台安全使用策略。
 

关于我们 产品中心 核心业务 成功案例 服务专区 诚邀代理商 在线留言 员工论坛
北京2019香港数码挂牌i科技发展有限公司 版权所有
电话:010-51262699 传真:010-51262699转8008 备案号:京ICP备04000001号 网站制作海大科技