一、需求分析

　　1、網絡規劃

　　武鋼集團運輸部的網絡拓撲結構是星型快速以太網，采用Cisco的2900做為主交換機，下面使用Switch/Hub做為級聯，全部服務器為PC Server，操作系統為微軟的NT/2000，且連接在頂級的Cisco交換機上，另外兩個獨立建筑物，通過光纖模塊進行的級聯，其它八個車站通電話撥號接入運輸部機房的二臺3Com RAS1500服務器，二臺1500接入服務器共提供16個撥入口，撥入用戶通過RAS1500的以太口連接Cisco主交換機，全部聯網有計算機200余臺，整個網絡通過一條光纖與武鋼大網連接。由于Internet出口在武鋼大網，整個運輸部網絡可以通過武鋼大網接入Internet，但為了安全考慮，運輸部通過代理服務器做了限制，只有少許的IP才能上Internet。

　　運輸部網絡的IP地址分配采用表態IP，網段號位:A.B.C.x，其中A.B.C.x為保留網段，其中A.B.C.200至A.B.C.2xx為3Com RAS1500接入服務器DHCP專用。

　　運輸部網絡中的需要保護的核心服務器為(A.B.C.1)NT 4，該服務即是主域控制器，又提供WWW服務，也是數據庫服務器。SQL Server7、DOMINO群件系統、MIS等多個重要系統運行在此服務器。(如下圖所示)

　　2、用戶安全需求考慮

　　目前，武鋼運輸部的計算機網絡軟硬件基礎建設工作已基本完成，但是還沒有采取任何的網絡安全保護措施，根據瑞星工程師的實地調研，發現運輸部網絡面臨著很大的危險，眾多重要部門的計算機都存在黑客程序、計算機病毒，這樣一些重要信息很容易被一些黑客或惡意員工得到，而且下一步武鋼運輸部的網絡要與其它各兄弟單位互聯。武鋼運輸部已經充分認識到安全的重要性，北京瑞星公司通過對武鋼運輸部網絡平臺、應用的深入剖析和廣泛調研，確定了以下幾個需要考慮的安全防護要點:

　　* 網間隔離

　　計算機網絡的發展就是互聯更多的網絡，來更利于和各企業及單位通訊。眾多企業和個人借助網絡平臺完成各種工作，因此網絡平臺或網絡服務器也將成為黑客攻擊的眾矢之的。在利用網絡作為通訊的載體的同時，又要保證網絡平臺相對安全，這是網絡互聯扣首要考慮的問題。

　　* 網絡病毒的防護

　　在網絡中，計算機病毒的主要傳播方式已經從軟盤介質感染轉到了從網絡服務器和互聯網郵件感染上來，由于文件共享及郵件傳播病毒較之軟盤介質傳播病毒呈不可預見性、迅速擴散性及日益增多性，使得網絡用戶單位防不勝防;而網絡一旦被病毒侵入并發作，將會對企業數據的安全性和企業自身利益造成嚴重的危害。因此，有效防止計算機病毒危害，保護好網絡資源是計算機網絡安全工作的重要環節。

　　* 網絡防范缺乏層次感

　　在考慮平臺整體安全的時候，如果將所有功能區域的安全放在同一水平線上，既浪費了有限的才力、物力、人力，也達不到很好的效果。公司應有選擇性的對重要網段重點保護。

　　* 對系統自身缺陷了解有限

　　運輸部網絡中擁有一些重要的服務器供來WWW、FILE、MAIL等服務，對于非安全專業人員來說，很難將每一種系統的缺陷和安全漏洞了解清楚，因此需要借助第三方智能軟件幫助用戶解決這個安全隱患，并提出相應的安全專家建議。

　　* 缺少安全監控手段

　　網間隔離只能起到邊界保護的作用，無法抵制網絡內部攻擊行為。另外攻擊行為通常是經過幾個步驟逐步實施的，如果能夠盡早察覺網絡中的可疑操作，防患于未然就能夠最大限度的保護網絡資源。在網絡內部增加安全監控機制可以實現在不影響系統正常運行和不改變系統內核的情況下，完成系統運行情況數據的采集、系統故障預警和告警、部分調整工作的實施并提供分析數據和部分參考解決方案等項功能，做到攻防結合。

　　* 數據備份和恢復措施不完善

　　數據是所有應用的核心，網絡數據的安全性極為重要，一旦重要的數據被破壞或丟失，會對日常業務造成重大的影響，甚至是難以彌補的損失，運輸部的網絡主服務器上運行了很多重要數據庫，現在沒有采取任何數據備份，一旦發生故障，后果是相當嚴重。
　二、網絡病毒防護解決方案

　　根據武鋼集團運輸部的網絡拓撲結構和防病毒要求，在充分考慮可行性的基礎上，在整個武鋼集團運輸部網絡防病毒管理架構方面，我們建議采用分級管理、多重防護的管理架構，具體包含以下幾個方面的內容:

　　1、 分級管理、多重防護的管理架構

　　分級管理、多重防護的管理包含以下幾方面的內容:

　　在運輸部局域網的域控制器上安裝一個瑞星殺毒軟件網絡版的系統中心，負責管理運輸部局域網中各科室的服務器和工作站。至于通過撥號接入運輸部局域網的8個車站，首先我將他們劃分為3個區域，將車輛段、配料車站和軋鋼車站組成一個區域，稱區域1;將礦石車站、武鋼車站和煉鐵車站組成區域2;煉鋼車站和原料車站組成區域3。分別在這3個區域安裝一個瑞星殺毒軟件網絡版的系統中心，分別負責管理各個區域所管轄車站局域網內的計算機。劃分3個區域安裝3個系統中心，而不是分別在8個車站個安裝一個系統中心(共8個系統中心)是在降低成本的同時，提高產品的利用率。

　　2、 每臺計算機上均安裝瑞星殺毒軟件網絡版的客戶端或服務器端，并保證每臺客戶端和服務器端上的均時刻運行瑞星實時監控程序。

　　3、安裝完瑞星殺毒軟件網絡版后，在管理員控制臺中對網絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機的查殺毒。

　　4、運輸部系統中心負責整個運輸部局域網內的升級工作。由于在整個運輸部局域網內，只有運輸部局域網與Internet出口，同時為了安全和管理的方便起見，可以系統中心定期地、自動地到瑞星網站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等)，然后自動將最新的升級文件分發到運輸部局域網中各科室的客戶端與服務器端，并自動對瑞星殺毒軟件網絡版進行更新。

　　同時，與運輸部局域網相連8個車站是通過所在區域的各系統中心自動地到運輸部局域網的系統中心處獲取最新的升級文件，然后自動將最新的升級文件分發到其所轄的客戶端與服務器端，并自動對瑞星殺毒軟件網絡版進行更新。

　　采取這種升級方式，一方面可以確保運輸部整個局域網內的瑞星殺毒軟件的更新保持同步，使整個運輸部局域網具有最強的防病毒能力。另一方面，由于整個網絡的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網絡中因為沒有及時升級為最新的病毒定義碼和掃描引擎而拾取最前的防病毒能力，同時，因為只有運輸部局域網才有Internet出口，也便于整個網絡地安全管理。

　　5、 系統中心負責其所轄范圍內的所有客戶端和服務器端病毒報警日志的集中管理及維護，管理員應定期查看這些病毒報警日志，以及時地、準確地了解整個網絡內的病毒發作情況。

　　武鋼網絡病毒防護拓撲圖和智能升級方式