摘 要： 分析了一般企業(yè)的網(wǎng)絡(luò)應(yīng)用及網(wǎng)絡(luò)安全現(xiàn)狀，列舉了企業(yè)網(wǎng)絡(luò)中常見的病毒種類、病毒傳播方式以及企業(yè)防病毒的通常需求?；谄髽I(yè)防病毒解決方案設(shè)計的9個原則，實際采用了防火墻、上網(wǎng)行為管理、三層交換機、郵件防病毒插件、防病毒預(yù)警系統(tǒng)等措施，實踐表明，這些措施對企業(yè)局域網(wǎng)病毒的防范有較好的效果。

關(guān)鍵詞： 網(wǎng)絡(luò)病毒； 病毒防范； 局域網(wǎng)； 企業(yè)網(wǎng)絡(luò)

中圖分類號：TP393.081 文獻標志碼：A 文章編號：1006-8228（2013）07-24-04

0 引言

網(wǎng)絡(luò)病毒的傳播方式各種各樣，有的是由于系統(tǒng)缺陷或軟件漏洞被黑客攻陷，有的則是人們使用了帶病毒的存儲器或訪問了帶病毒的網(wǎng)站。電子郵件也是病毒的極好載體，通過郵件的收發(fā)病毒可被迅速傳播，并且能夠快速地擴散。

對于企業(yè)來說，黑客的入侵、信息的被竊取與被篡改，以及帶病毒信息的傳播，都會危及企業(yè)的信息安全。企業(yè)網(wǎng)絡(luò)管理得好，可以提高企業(yè)的工作和生產(chǎn)效率，否則會影響正常的工作秩序，甚至給企業(yè)帶來重大或致命的損失。

據(jù)國外統(tǒng)計，計算機病毒正在以10種/周的速度遞增，而據(jù)我國公安部的統(tǒng)計，國內(nèi)計算機病毒也正在以4至6種/月的速度遞增[1]。

因此，面對日益增多的計算機病毒和網(wǎng)絡(luò)黑客的入侵，進行有效的預(yù)防和防范，以保護企業(yè)網(wǎng)絡(luò)信息資源十分重要。

1 企業(yè)內(nèi)網(wǎng)防病毒現(xiàn)狀及存在的問題

要建立企業(yè)有效的防病毒安全網(wǎng)絡(luò)系統(tǒng)，首先應(yīng)了解目前企業(yè)的網(wǎng)絡(luò)系統(tǒng)狀況，然后才能根據(jù)企業(yè)信息化發(fā)展的實際需求，做出合理和高性價比的防病毒安全網(wǎng)絡(luò)系統(tǒng)方案。

1.1 企業(yè)網(wǎng)絡(luò)現(xiàn)狀分析

一般企業(yè)雖然都有防火墻作內(nèi)網(wǎng)的網(wǎng)絡(luò)保護，但網(wǎng)絡(luò)的許多新應(yīng)用已經(jīng)拋棄了陳舊的防火墻架構(gòu)，比如聊天、視頻、文件傳輸，這些應(yīng)用程序都需要在Web上運行，黑客之所以攻擊這些目標就是因為這些流量對于防火墻來說是不可見的，并且看起來是類似合法的[2]。

過去的十幾年中，在網(wǎng)絡(luò)安全領(lǐng)域，狀態(tài)防火墻一直是處于第一道防線上。它就像是管理端口和協(xié)議的交通警察，在網(wǎng)絡(luò)工程師制定的成千上萬條規(guī)則的基礎(chǔ)上，為流量采取最恰當?shù)拇胧?。當?shù)筒呗缘姆阑饓υO(shè)備已不能抵擋一些新型網(wǎng)絡(luò)病毒的攻擊時，它的局限性就很明顯了。

1.2 企業(yè)防病毒現(xiàn)狀及問題

在許多企業(yè)中，企業(yè)網(wǎng)絡(luò)只以防火墻設(shè)備來抵抗外來者的入侵和攻擊，員工計算機也只采用單機版的殺毒軟件來保護計算機不被病毒感染，而單靠這幾種簡單措施是不能有效防范網(wǎng)絡(luò)病毒侵襲的。企業(yè)網(wǎng)絡(luò)中存在的病毒類型主要有：

⑴ 引導(dǎo)型病毒；

⑵ 宏病毒；

⑶ 文件型病毒；

⑷ 蠕蟲病毒；

⑸ 木馬病毒；

⑹ 惡意插件及惡意程序。

這些病毒對企業(yè)員工的計算機造成了極大的影響，嚴重的會使文件、數(shù)據(jù)丟失和系統(tǒng)崩潰。下面就企業(yè)防病毒中主要存在的問題作一分析。

1.2.1 企業(yè)網(wǎng)絡(luò)查殺病毒能力差

一般企業(yè)由于沒有使用統(tǒng)一的網(wǎng)絡(luò)殺毒軟件，所以就很難對企業(yè)內(nèi)網(wǎng)形成有效的防護和監(jiān)管。同時由于計算機使用人員的水平不一，他們對病毒的防范和處置能力也不一樣，一旦等到網(wǎng)絡(luò)管理人員發(fā)現(xiàn)病毒暴發(fā)或蔓延時，病毒實際上已擴散到整個局域網(wǎng)中了。

1.2.2 企業(yè)郵件服務(wù)器受病毒的影響

電子郵件是企業(yè)員工進行信息傳遞最常用的工具之一。

造成電子郵件不安全的原因有：一是包括郵件服務(wù)器在內(nèi)的網(wǎng)絡(luò)安全系統(tǒng)受到攻擊（如利用垃圾郵件、病毒郵件或“釣魚”郵件）；二是電子郵件本身受到攻擊（如盜用發(fā)件人電子郵件賬號、竊取或篡改郵件內(nèi)容）。

郵件服務(wù)器若無防病毒監(jiān)控，則容易出現(xiàn)大量的垃圾郵件。接收一封帶有病毒的電子郵件后，不但該計算機會中病毒，而且當轉(zhuǎn)發(fā)郵件后，病毒還會迅速傳播給其他人，輕則會造成文件打不開，嚴重時計算機中相應(yīng)的文件都會被感染或受損。

1.2.3 計算機系統(tǒng)漏洞管理弱

系統(tǒng)漏洞是指應(yīng)用軟件或操作系統(tǒng)軟件在邏輯設(shè)計上的缺陷或在編寫時產(chǎn)生的錯誤，這種缺陷或錯誤有可能被不法者或電腦黑客所利用，通過植入木馬、病毒等方式來攻擊或控制整個電腦，竊取電腦中的重要資料和信息，甚至破壞整個系統(tǒng)[3]。

網(wǎng)絡(luò)病毒往往通過系統(tǒng)漏洞展開攻擊，企業(yè)若對每臺計算機的系統(tǒng)漏洞沒有一種統(tǒng)一管理，那么這種狀況下引發(fā)的病毒就不能得到很好的監(jiān)控。

2 網(wǎng)絡(luò)病毒分析

計算機病毒是指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)、影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”[4]。它雖然只是一組指令或代碼，但其具有的危害性相當大，它可以具有較強的寄生性、隱蔽性、可傳染性和相當大的破壞力。

此外，在網(wǎng)絡(luò)發(fā)展的同時，病毒也在發(fā)展，現(xiàn)在的病毒已經(jīng)不是傳統(tǒng)意義上的單一病毒了，它們往往是一個病毒載體身兼數(shù)職，其自身就是文件型、木馬型、漏洞型和郵件型的混合體，這樣的病毒危害性更大，查殺起來也更困難。

2.1 網(wǎng)絡(luò)病毒常見種類

木馬病毒 它是一種后門程序，一般會潛伏在操作系統(tǒng)之中，具有較強的隱蔽性。它不會自我繁殖，也不“刻意”地去感染其他文件。它的目的是竊取用戶的資料，以使施種者可以任意毀壞、竊取被種者的文件，如帳號、密碼等，它甚至可以遠程操控被種者的電腦[5]。

蠕蟲病毒 它會利用操作系統(tǒng)和程序的漏洞主動發(fā)起攻擊，每一個蠕蟲都有一個能夠掃描到計算機漏洞的模塊，一旦它發(fā)現(xiàn)了漏洞就會立刻傳播出去，這就是它危害性極大的根本原因[6]。蠕蟲可以在感染一臺計算機后，再通過局域網(wǎng)感染網(wǎng)絡(luò)內(nèi)的所有計算機。被感染后的網(wǎng)絡(luò)會因為蠕蟲發(fā)送的大量數(shù)據(jù)包而使網(wǎng)速異常緩慢，計算機會因為CPU、內(nèi)存占用過高而導(dǎo)致死機。

2.2 網(wǎng)絡(luò)病毒傳播方式

網(wǎng)絡(luò)病毒是指通過計算機網(wǎng)絡(luò)進行傳播的病毒。它主要是通過網(wǎng)絡(luò)的服務(wù)器訪問、電子郵件收發(fā)，以及FTP文件交換、磁盤文件共享與交換等形式進行傳播。

2.2.1 通過系統(tǒng)漏洞傳播

在Windows操作系統(tǒng)中，漏洞型病毒的傳播最為廣泛。由于Windows操作系統(tǒng)內(nèi)部存在著漏洞，即使用戶沒有運行不安全的軟件或者打開有安全隱患的連接，漏洞型病毒也會利用這些漏洞對計算機發(fā)起攻擊。2004年風(fēng)靡的“沖擊波”和“震蕩波”病毒就是漏洞型病毒的一種，它們造成了全世界大量網(wǎng)絡(luò)計算機的癱瘓，由此也給全世界造成了巨大的經(jīng)濟損失。

2.2.2 通過服務(wù)器傳播

這類病毒是利用一些常見的漏洞來獲得遠程服務(wù)器主機的控制權(quán)，然后，病毒可以隨意傳染至服務(wù)器，再通過服務(wù)器，將病毒傳染至訪問該服務(wù)器的客戶機。還有些病毒可以在局域網(wǎng)內(nèi)搜索FTP，并向上傳送帶病毒文件，然后再利用欺騙手段欺騙用戶下載運行。

2.2.3 通過郵件傳播

郵件型病毒是通過電子郵件傳播的病毒。它一般會隱藏在郵件的附件之中，用偽造虛假的信息，誘騙用戶打開或者下載附件，從而感染病毒。郵件型病毒甚至可以通過瀏覽器的漏洞進行傳播，也就是說，即使用戶僅僅是查看了郵件內(nèi)容，而沒有打開郵件中的病毒附件，病毒也可以入侵計算機。

2.3 企業(yè)內(nèi)網(wǎng)的病毒傳播特點

在企業(yè)局域網(wǎng)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可觸發(fā)性、可執(zhí)行性、可傳播性和破壞性等計算機病毒的共性外，它們還具有一些新的特點[7]。

⑴ 感染速度快：在單機環(huán)境下，病毒只能通過存貯介質(zhì)從一臺計算機帶到另一臺，而在網(wǎng)絡(luò)中，它則可以通過網(wǎng)絡(luò)通訊機制進行迅速擴散。根據(jù)測定，正常使用的網(wǎng)絡(luò)情況下，只要有一臺計算機有病毒，它就可在幾十分鐘內(nèi)將網(wǎng)上的數(shù)百臺計算機全部感染。

⑵ 擴散面廣：由于病毒在網(wǎng)絡(luò)中擴散非常快，擴散范圍很大，它不但能迅速傳染局域網(wǎng)內(nèi)的所有計算機，它還能通過遠程服務(wù)器將病毒在瞬間傳播到千里之外。

⑶ 傳播形式復(fù)雜多樣：計算機病毒在網(wǎng)絡(luò)上一般是通過“工作站—服務(wù)器—工作站”的途徑進行傳播的，但傳播的形式復(fù)雜多樣。

⑷ 難于徹底清除：單機上的計算機病毒有時可通過刪除帶毒文件、低級格式化硬盤等措施將病毒徹底清除，而網(wǎng)絡(luò)中，只要有一臺計算機未能殺毒干凈，就可能使整個網(wǎng)絡(luò)重新被病毒感染，甚至剛剛完成殺毒的一臺計算機，就有可能立刻被網(wǎng)上另一臺帶毒計算機所感染。因此，僅對單臺計算機進行網(wǎng)絡(luò)病毒殺毒并不能徹底解決病毒對整個網(wǎng)絡(luò)的危害。

⑸ 破壞性大：網(wǎng)絡(luò)病毒將直接影響網(wǎng)絡(luò)的運行，輕則降低速度，影響工作效率，重則使網(wǎng)絡(luò)崩潰，破壞服務(wù)器信息，使一個企業(yè)多年的信息化成果毀于一旦。

⑹ 潛在性：網(wǎng)絡(luò)一旦感染了病毒，即使病毒已被清除，其潛在的危險性也是巨大的。根據(jù)統(tǒng)計，病毒在網(wǎng)絡(luò)上被清除后，85%的網(wǎng)絡(luò)會在30天內(nèi)被再次感染。

2.3.1 郵件傳播特點

在企業(yè)局域網(wǎng)中，病毒的第一大傳播來源是電子郵件。若企業(yè)郵件系統(tǒng)缺少對郵件病毒的防范控制，加上很多用戶在接收外部郵件后，沒有對附件進行病毒查殺即直接打開，或在不知情的狀態(tài)下轉(zhuǎn)發(fā)郵件，結(jié)果就會導(dǎo)致自己和他人的計算機被大面積感染。有的郵件病毒還會自動轉(zhuǎn)發(fā)和群發(fā)，也會造成企業(yè)內(nèi)網(wǎng)計算機的集體中毒。

2.3.2 移動介質(zhì)傳播特點

目前移動硬盤、U盤的成本在不斷下降，而容量卻在不斷增大。它們的大容量和攜帶方便，使得它們的使用頻率大大增加，但隨之而來的是，它們也成了企業(yè)的另一大病毒傳播途徑。

2.3.3 訪問網(wǎng)頁傳播特點

由于現(xiàn)在許多企業(yè)都實現(xiàn)了辦公計算機化和網(wǎng)絡(luò)化，計算機訪問互聯(lián)網(wǎng)的頻率也很高。一些網(wǎng)站出于不同的目的，會在網(wǎng)頁代碼和下載軟件中放入病毒，用戶的計算機在訪問時，由于瀏覽器的安全設(shè)置不完善，會出現(xiàn)瀏覽器主頁被更改、設(shè)置選項被鎖定等現(xiàn)象。有的病毒進入計算機后，使得計算機速度變得很慢，甚至無法工作。這種形式正逐漸成為企業(yè)的又一主要的病毒來源，并且，隨著時間的推移，有發(fā)展成為第一大病毒來源的趨勢。

2.3.4 即時通訊軟件傳播特點

企業(yè)員工對內(nèi)或?qū)ν饨涣魇褂眉磿r通訊軟件（QQ等）的比較普遍。由于這種通訊方式傳輸文件的方便性和即時性，故它的使用率非常高。同時由于計算機上針對這種方式的防病毒能力不強，故在接收文件的同時，病毒也容易被帶入計算機中，并在局域網(wǎng)中進行傳播，目前這種途徑已是企業(yè)的第四大病毒來源。

3 企業(yè)防病毒需求分析

在全球網(wǎng)絡(luò)病毒日益猖獗的今天，企業(yè)采取必要的網(wǎng)絡(luò)安全防范措施是非常重要的，它有利于保障企業(yè)計算機系統(tǒng)和數(shù)據(jù)信息的安全，因此也成了企業(yè)局域網(wǎng)建設(shè)必不可少的重要內(nèi)容。

3.1 “加高”防火墻，增強服務(wù)器防病毒能力

在企業(yè)網(wǎng)絡(luò)中，防火墻所起的作用是非常重要的。但是，只有當防火墻成為內(nèi)部和外部網(wǎng)絡(luò)之間通信的惟一通道時，它才可以全面、有效地保護企業(yè)內(nèi)網(wǎng)不受侵害，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪。

有些企業(yè)雖然已有防火墻設(shè)備，但隨著攻擊變得越來越復(fù)雜，一些陳舊的防火墻設(shè)備也應(yīng)該不斷更新。只有這樣，才能更主動地阻止新的威脅。

3.2 提升郵件服務(wù)器防病毒能力

企業(yè)郵件服務(wù)器病毒防范能力薄弱，病毒郵件量、垃圾郵件量越來越多，企業(yè)員工就需要花費大量的時間去接收、識別、清理郵件，而且一不小心就會中了郵件帶來的病毒，這些都將嚴重影響企業(yè)的信息安全和工作效率。

一個完整的企業(yè)郵箱服務(wù)系統(tǒng)應(yīng)該包含郵件收發(fā)系統(tǒng)、反垃圾郵件系統(tǒng)、反病毒系統(tǒng)和郵件歸檔備份系統(tǒng)，這些是郵件服務(wù)器所必備的，也是企業(yè)需加強和改進的[8]。

3.3 提高網(wǎng)絡(luò)殺毒軟件性能

防火墻是一種網(wǎng)絡(luò)隔離控制技術(shù)，它不能有效地防御來自網(wǎng)絡(luò)內(nèi)部的病毒攻擊。當企業(yè)內(nèi)網(wǎng)已感染病毒時，則需要靠殺毒軟件來查殺。故如何及時有效地防治、控制、清除企業(yè)局域網(wǎng)中的病毒，這也是企業(yè)對網(wǎng)絡(luò)病毒防范的一個重點。

安全軟件是主動防御系統(tǒng)的一個發(fā)展方向，它能夠自動實現(xiàn)對未知威脅的攔截和清除，而不需要用戶去關(guān)注防御的具體細節(jié)，它還能夠進行殺毒軟件的主動更新、主動漏洞掃描和修復(fù)、以及對病毒的自動處理等。

企業(yè)有一套安全可靠的網(wǎng)絡(luò)版殺毒軟件，就能對整個網(wǎng)絡(luò)進行集中管理，及時地掌握網(wǎng)絡(luò)中各個節(jié)點的病毒監(jiān)測狀態(tài)，及時發(fā)現(xiàn)病毒并加以清除。這樣，在實際工作中既可方便網(wǎng)絡(luò)管理員，又能在最大程度上減少整個網(wǎng)絡(luò)的安全漏洞。

3.4 加強企業(yè)網(wǎng)絡(luò)管理能力

3.4.1 建立病毒預(yù)警、漏洞管理機制

病毒傳播途徑主要是網(wǎng)絡(luò)，所以需主動地去發(fā)現(xiàn)通過網(wǎng)絡(luò)傳播的惡意病毒代碼，并對傳播這種代碼的源頭進行處理。對代碼的種類進行收集、分析和統(tǒng)計，借助于網(wǎng)絡(luò)病毒預(yù)警系統(tǒng)掌握病毒疫情分布情況，這樣可以為企業(yè)網(wǎng)絡(luò)管理員提供準確的病毒疫情，從而保證病毒防治具有針對性和科學(xué)性，減少盲目性。

針對漏洞型病毒，最根本的辦法就是安裝補丁以消除漏洞，因此，補丁管理也需要十分及時。如果補丁管理工作晚于病毒的攻擊，那么企業(yè)就有可能因此而遭受傷害。

值得指出的是，在實際的企業(yè)局域網(wǎng)中，計算機配置的檔次高低各異，操作系統(tǒng)和應(yīng)用軟件千差萬別，網(wǎng)絡(luò)管理員要想同時對幾十甚至幾百臺計算機及時快速地打上新補丁幾乎是不可能的，因此，建立一整套的病毒預(yù)警體系和漏洞管理機制是十分必要的。

3.4.2 阻斷網(wǎng)絡(luò)資源濫用

在對企業(yè)的調(diào)查中發(fā)現(xiàn)，員工的上網(wǎng)速度變慢，其原因除了計算機感染病毒和外部攻擊外，也有一部分是由于員工自身不良的上網(wǎng)行為，如上班時經(jīng)常瀏覽跟工作無關(guān)的網(wǎng)站，占用了大量的網(wǎng)絡(luò)帶寬，嚴重影響了整個網(wǎng)絡(luò)的運行。同時，不良的上網(wǎng)行為也增加了病毒的侵入機會，可能造成企業(yè)網(wǎng)絡(luò)病毒感染率的上升。所以對企業(yè)員工的上網(wǎng)行為也需要通過阻斷這種網(wǎng)絡(luò)資源的濫用來加強管理。

3.5 提高企業(yè)員工防病毒能力

雖然很多企業(yè)都有一套較完整的計算機防病毒管理制度，但有的員工防病毒意識仍然不強，有的制度形同虛設(shè)。針對這種情況，企業(yè)應(yīng)著重加強對員工計算機防病毒意識的教育，培養(yǎng)員工使用計算機的良好習(xí)慣，自覺地在使用外來移動介質(zhì)（U盤、移動硬盤等）之前進行檢查，不輕易使用網(wǎng)上下載的軟件。另外，在企業(yè)局域網(wǎng)中使用的軟件，也應(yīng)做到統(tǒng)一規(guī)范管理，企業(yè)還應(yīng)加強對員工使用權(quán)限的管理，嚴格做到一人一權(quán)限。

4 企業(yè)防病毒策略

為了企業(yè)局域網(wǎng)的安全，在做企業(yè)防病毒策略方案時，應(yīng)遵循國際上的一些標準和我國對計算機病毒防治的管理辦法，并充分利用企業(yè)原有的防病毒系統(tǒng)，以減少整個防病毒系統(tǒng)的設(shè)計風(fēng)險和實施風(fēng)險。

4.1 企業(yè)計算機網(wǎng)絡(luò)安全原則

國際上對計算機網(wǎng)絡(luò)的信息安全管理系統(tǒng)制定有相應(yīng)的標準，我國2000年發(fā)布施行的《計算機病毒防治管理辦法》也對計算機病毒防治管理作了詳細的規(guī)定，這些標準和辦法都是在綜合考慮各種因素后制定的，因而具有一定的可實施性、可擴展性和完備性與均衡性，它們都遵循著網(wǎng)絡(luò)安全的基本原則。

網(wǎng)絡(luò)安全防范體系在整體設(shè)計過程中應(yīng)遵循以下9項原則[9]：

⑴ 網(wǎng)絡(luò)信息安全的木桶原則；

⑵ 網(wǎng)絡(luò)信息安全的整體性原則；

⑶ 安全性評價與平衡原則；

⑷ 標準化與一致性原則；

⑸ 技術(shù)與管理相結(jié)合原則；

⑹ 統(tǒng)籌規(guī)劃，分步實施原則；

⑺ 等級性原則；

⑻ 動態(tài)發(fā)展原則；

⑼ 易操作性原則。

4.2 企業(yè)局域網(wǎng)防病毒安全策略

企業(yè)防病毒安全體系可采用多層次防范，通過防火墻、服務(wù)器防護、防毒預(yù)警和殺病毒軟件等一系列的管理和監(jiān)控，使企業(yè)的防病毒系統(tǒng)更具有科學(xué)性和合理性。

企業(yè)防病毒安全系統(tǒng)可采用下列產(chǎn)品來實現(xiàn)：防火墻、上網(wǎng)行為管理、三層交換機、郵件服務(wù)器防病毒插件（含反垃圾軟件）、防病毒預(yù)警系統(tǒng)和網(wǎng)絡(luò)版殺毒系統(tǒng)。

5 企業(yè)防病毒策略的實施

5.1 防火墻、上網(wǎng)行為管理的布署

防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障。我們在做方案時考慮到了以下幾點：

⑴ 防火墻的架構(gòu)采用硬件體系；

⑵ 防火墻要求的并發(fā)會話數(shù)量；

⑶ 外部訪問的類型和范圍要求；

⑷ 需要的VPN（虛擬專用網(wǎng)）協(xié)議數(shù)量和類型；

⑸ 喜歡的管理用戶界面。

我們在實踐中選用了新一代的防火墻設(shè)備，它不但具有基礎(chǔ)的網(wǎng)絡(luò)安全功能，而且還可以針對一個入侵行為中的各種技術(shù)手段，進行統(tǒng)一的檢測和防護。

我們選用的上網(wǎng)行為管理設(shè)備，能夠很好地對局域網(wǎng)內(nèi)每臺計算機的上網(wǎng)行為進行精準識別，對用戶的流量、P2P下載等進行策略設(shè)置，方便地實現(xiàn)上網(wǎng)權(quán)限的靈活分配，有效防止了企業(yè)有限帶寬的資源濫用，保障了企業(yè)OA、ERP等系統(tǒng)的應(yīng)用能獲得足夠的帶寬支持。同時該設(shè)備還可防御DOS攻擊、ARP欺騙等惡意威脅，并具有網(wǎng)關(guān)殺毒功能，阻擋病毒進入局域網(wǎng)。

5.2 三層交換機布署

三層交換機在企業(yè)網(wǎng)絡(luò)設(shè)備中起到了“中流砥柱”的作用，若一個網(wǎng)絡(luò)中，幾百臺計算機都在一個子網(wǎng)中，就會毫無安全可言，同時也會因為無法分割廣播域而無法隔離廣播風(fēng)暴。

為了避免在交換機上進行廣播所引起的廣播風(fēng)暴，我們將三層交換機設(shè)備在局域網(wǎng)中作VLAN劃分，考慮到企業(yè)局域網(wǎng)安全和應(yīng)用的需要，對不需要上外網(wǎng)的網(wǎng)段進行禁用外網(wǎng)的設(shè)置，以保證網(wǎng)絡(luò)的安全。

5.3 郵件服務(wù)器防病毒的布署

為了更有效地防范病毒郵件，我們在郵件服務(wù)器軟件中增加垃圾郵件過濾和封鎖以及反病毒插件，使郵件到達郵件服務(wù)器時便對郵件的正文和附件進行病毒掃描，一旦發(fā)現(xiàn)問題，就拒絕接收該郵件，這樣，在郵件處理的最初就能截斷病毒的源頭。

通過配置安全選項，極大地提高了員工的郵件安全，保障了郵件用戶最小限度地遭受惡意宣傳郵件、垃圾郵件、病毒郵件的騷擾和攻擊，同時也減輕了管理員防治病毒的工作壓力。

5.4 防病毒預(yù)警系統(tǒng)和網(wǎng)絡(luò)殺毒軟件布署

企業(yè)局域網(wǎng)安裝網(wǎng)絡(luò)版防病毒軟件系統(tǒng)，通過服務(wù)器就可實現(xiàn)對所有局域網(wǎng)終端電腦進行病毒查殺及系統(tǒng)軟件的補丁安裝。

使用網(wǎng)絡(luò)版防病毒軟件，網(wǎng)絡(luò)管理員可以通過聯(lián)網(wǎng)的任意一臺計算機，對一個客戶端、一個工作組或整個局域網(wǎng)進行各種日常操作。同時，客戶端在發(fā)現(xiàn)病毒后，也會將相關(guān)信息上報至中心服務(wù)器，以使管理員能在第一時間掌握局域網(wǎng)內(nèi)的病毒發(fā)生情況并加以處理。

6 結(jié)束語

我們的局域網(wǎng)防病毒解決方案，實施效果良好，局域網(wǎng)內(nèi)的病毒大大減少，企業(yè)的帶寬得到了合理分配和使用，企業(yè)信息化管理系統(tǒng)在使用中的網(wǎng)速提升較為明顯，網(wǎng)絡(luò)管理員了解和控制整個內(nèi)網(wǎng)中的病毒情況也變得更為方便、及時和準確，企業(yè)的網(wǎng)絡(luò)數(shù)據(jù)信息也變得更為安全了。

企業(yè)防病毒工作是一項需要長期堅持和全體員工共同參與的系統(tǒng)工程，是以技術(shù)為基礎(chǔ)，制度為規(guī)范的工作，企業(yè)必須嚴格執(zhí)行有關(guān)計算機病毒防治的規(guī)章制度，才能使企業(yè)防病毒工作做得更扎實、有效。

參考文獻：

[1] 陳立新.計算機病毒防治百事通[M].清華大學(xué)出版社，2000.

[2] IT專家網(wǎng).下一代防火墻何時會替換現(xiàn)有防火墻？[OL].（2010-10-01）.〔2013-03-28〕.http：//security.ctocio.com.cn/402/11570902.shtml

[3] 百度百科.系統(tǒng)漏洞[OL].〔2013-03-28〕.http：//baike.baidu.com/view/600475.htm

[4] 中華人民共和國國務(wù)院. 中華人民共和國計算機信息系統(tǒng)安全保護條例 [EB/OL].（1994-02-18）.〔2013-03-28〕.http：//www.mps.gov.cn/n16/n1282/n3493/n3778/n492863/493042.html

[5] 百度百科.木馬病毒[OL].〔2013-03-28〕. http：//baike.baidu.com/view/16873.htm

[6] 百度百科.蠕蟲病毒[OL].〔2013-03-28〕. http：//baike.baidu.com/view/226576.htm

[7] 姜文超.企業(yè)內(nèi)網(wǎng)防毒策略設(shè)計與實現(xiàn)[D].大連交通大學(xué)，2009：1-52

[8] 汪余宏.企業(yè)郵箱構(gòu)建的新背景與MDaemon應(yīng)用實踐[J].計算機時代，2012.5：67-70

[9] 武駿，程秀權(quán)，于曉蕓，等.網(wǎng)絡(luò)信息安全防范體系以及設(shè)計原則[OL].（2005-02-21）.〔2013-03-28〕. http：//www.yesky.com/296/1912796.shtml