趋势科技校园网安全方案

　　编者按：针对校园网的安全问题，趋势科技提供多种网络安全产品和灵活的组合方式，通过实施其“企业安全防护策略”，能够对校园网络中的核心应用，提供多层次和强有力的保护；适应校园网复杂的应用环境，提供简便易用的防病毒方案。 　　

　　　　反病毒软件（Anti－virus）与计算机病毒的斗争可喻为是“道”与“魔”之间的较量。目前，越来越多的计算机病毒具备了黑客攻击的能力，可以利用系统的漏洞，绕过传统的病毒检查机制进入目标系统，并且在“中毒”的系统中建立有害的服务，搜索网络中的新目标主动发动攻击，导致全网络范围的性能下降。面对这种局面，传统的杀毒软件在这种环境中已经不能满足需求，对抗新的网络病毒必须采取主动的信息安全保障措施，趋势科技的“企业安全防护策略”就是顺应这一形势而诞生的。 　　　

　　全方位的防病毒产品　　

　　　　针对校园网的安全问题，趋势科技提供多种网络安全产品和灵活的组合方式，通过实施其“企业安全防护策略”，能够达到下列目的：对校园网络中的核心应用，提供多层次和强有力的保护；适应校园网复杂的应用环境，提供简便、易用的防病毒解决方案；为校园网渐进式的发展模式，提供适当的产品和部署方式。具体使用的产品包括： 　　

　　　　1、趋势科技在线扫毒服务器（TrendMicro Housecall Server） 　　

　　　　该服务器能够为下列阶段的工作提供解决方案： 　　

　　　　（1）损害调研阶段。通过在校园网络的单一节点部署趋势科技在线扫毒服务器，为整个网络提供了一个全功能的“按需”检测和清除病毒工具，管理员可以选择具有代表性的节点，指导这些节点的使用者调用此服务；接受服务的客户端上所发现的病毒将被清除，同时所有的处理结果将汇总到服务器上，方便管理员对校园网络中出现的病毒类型、分布状况、危害程度做出评估。 　　

　　　　（2）系统运行维护阶段。对于校园网中的漫游用户以及管理员无法到达的节点，在线扫毒服务的“按需”方式能够满足用户的需求。 　　

　　　　2、趋势科技中央管理服务器（Trend－ Micro Control Manager） 　　

　　　　缺乏管理的网络就是不安全的网络。在防病毒方面，为了达到“主动式的信息安全”目标，改变以往在与病毒对抗中被动挨打的劣势，核心的任务是建立跨越整个校园网范围的防病毒管理中心，该管理中心能起到下列作用： 　　

　　　　（1）提供跨广域网的管理能力。防病毒管理要求步调统一，只有在防病毒策略、防毒组件的更新等各个方面保持了高度的一致性，才能够达到将病毒拒之门外的目的。 　

　　　　（2）提供跨平台、跨产品的管理能力。针对校园网应用环境的复杂性，不可能要求管理员熟悉所有应用平台的操作方法并亲自完成各个平台所对应的不同防病毒产品的维护工作，管理中心能够做到代替管理员，控制所有相关的节点。 　　

　　　　3、趋势科技网关防毒墙（TrendMicro InterScan VirusWall） 　　

　　　　在网络边界提供防护，是使防病毒工作变被动为主动、达到事半功倍效果的重要手段。考虑到网关作为整个网络进行数据交换的通道，在此进行的数据过滤必须保证极高的稳定性和执行效率。网关防护能达到的效果如下： 　　

　　　　（1）提供网关级别的病毒防护，使病毒在进入校园网边界时即被过滤掉，从而将防护能力提前到用户接触数据之前。　　

　　　　（2）提供对最终用户透明的工作方式，借助On-the-Fly专利技术，使用户在对外部数据进行访问时，自动完成病毒过滤。 　　

　　　　（3）提供对多种操作系统的支持，包括Windows系列、主流Unix和Linux平台。 　　

　　　　4、趋势科技服务器防毒墙（TrendMicro Server Protect） 　　

　　　　服务器是网络中的核心设备，它支撑校园网中的各种应用正常运行，并保存有大量重要的用户数据，因此，对服务器的保护责任非常重大。服务器防护要达到的效果如下： 　　

　　　　（1）防毒墙的安装、更新等操作不会导致服务器的重新启动，从而保证网络应用的连续性。 　　

　　　　（2）对服务器系统提供实时保护。 　　

　　　　（3）实时监测各种类型的数据，特别是支持广泛的压缩格式，并提供对多重压缩的过滤能力。 　　

　　　　5、趋势科技网络客户端防毒墙（TrendMicro OfficeScan） 　　

　　　　大量的网络终端是最终用户直接进行操作的节点，由于存在各种不同的操作平台、不同的使用习惯、不同的使用目的，对客户端的防护是校园网中最难完成的任务。考虑到网络终端的分布范围非常大，必须提供简便的在线安装方式，解决大批量部署的问题；当客户端部署完毕后，必须提供显示客户端状态的管理控制台，解决实时监控的问题。客户端防毒墙要达到的效果如下： 　　

　　　　（1）防毒墙的安装、更新等操作接受服务器控制，最终用户基本不需要参与；不会导致客户端设备的重新启动，从而保证网络应用的连续性。 　　

　　　　（2）控制台能够监控客户端的实时运行情况，包括防毒服务运行状态、更新状态、查杀病毒状态等。 　　

　　　　（3）管理员能够在网络中任意节点调用控制台，对网络中任意位置客户端的防毒配置进行远程控制，例如调动客户端执行立即扫描操作。 　　

　　　　（4）对于所有防毒策略配置选项，管理员有能力设定许可或禁止客户端进行更改，从而保证全网防病毒策略的高度一致性。 　　

　　　　（5）客户端程序资源占用小，确保应用运行流畅。　　

　　　　（6）全部病毒过滤在后台执行，终端用户无需参与。 　　

　　　　（7）广谱杀毒，能够检测蠕虫、木马、网页病毒等多种恶意代码，并自动进行处置。 　　　　

　　部署校园网防病毒方案　　

　　　　根据学校的实际情况，应将校园网划分出不同的区域，并制定不同级别的安全策略： 　　

　　　　1、核心区：学校的计算中心、办公网、图书馆、各教研科室。对核心区的设备要实施严密的安全防护，统一安装对应级别的防病毒产品，接受统一管理，统一更新，定期执行统一的病毒扫描，杜绝病毒在核心区设备上藏匿。同时严格限制使用者对防毒策略的修改能力，确保防病毒水平的高度一致。 　　

　　　　2、可管理区：电子阅览室、学生机房、教室中的设备等。对可管理区的设备，首先需要结合学校的资产管理，查清设备的部署情况，同时有必要加强巡回检查，通过人力投入和程序的自动执行，提高防护水平。同时可使用趋势科技的在线安全风险检查工具，找出该区域内的变动情况。 　　

　　　　3、不可管理区：学生宿舍、客座教师的设备、临时进入校园网络的设备等。对不可管理区的设备，校园网网络管理员基本无法在其上安装客户端软件，设备安全的维护需要依靠使用者自觉完成。网络管理员有责任为不可管理区的用户提供在线病毒扫描服务，以便在用户需要检查和清除所使用的设备上的病毒时，能够获得必要的技术手段。