组策略在企业反病毒管理中的应用

 
 
发布时间:2004.10.08 14:04     来源:赛迪网-中国计算机报    作者:麦炳

  现代企业越来越依赖于信息化的经营管理,而日益猖獗的病毒却时常威胁着企业的信息安全。为此,网络管理员耗费了大量精力在反病毒工作中,但是他们却时常遭遇这样的尴尬:精心制定的反病毒措施一方面不能满足某些部门的安全需求,而另一方面对其他部门意义不大,甚至于成为这些部门网络系统性能的瓶颈。其实出现这种情况的原因很简单,企业不同的部门机构或网络中不同子环境的安全需求都有差异,有针对性的反病毒部署才是上策。对此,企业反病毒有必要引入能够实现细分化、针对性的管理方式,而“组策略”的应用无疑能够满足这方面的需求。

  什么是反病毒管理“组策略”
  说到这一点,很多人就会想到微软Windows活动目录中的组策略,然而我们这里讲的并不是这个概念。反病毒管理的“组策略”其实是一种对企业防毒体系众多节点(或终端)进行管理的方式,它首先强调的是受管理对象的差异性,即有针对性的反病毒部署;其次,统筹的理念也在其中得以体现,即对具有相同安全需求或相同系统环境的受管理对象进行统一管理。通俗地说,就是将反病毒体系中的客户端、服务器端等各节点进行分门归类、分而治之。

  分组原则
  企业拥有众多的部门机构、同时企业网络又有比较复杂的结构环境,如何将这两方面的反病毒需求完善地结合起来,是分组的基本原则,对此,可以做如下细分:
  按域(或工作组)分组 针对目前企业网络多采用Windows操作系统,而各机构的网络多以域或工作组的形式组成,这种分组方式具有代表性。
  按部门分组 一般来说,单个部门的安全需求比较统一,比较容易实现反病毒的同步配置。
  按操作系统分组 不同的操作系统都有其系统特性,而一种操作系统的多个版本也有系统环境差异。比如,Windows98/Me就和基于NT的Windows操作系统的漏洞有很大差异,将装有不同版本的计算机分别成组显然更有利于管理。
  根据Internet应用划分 对互联网的访问是企业网络系统受病毒感染的主要原因之一,可以将用户对Internet的应用作为反病毒分组划分的一个原则。比如对“可以无限制连接到Internet”、“可以上网浏览网页”、“只能收发Email”、“完全不存在任何Internet应用”四种用户类型群进行组的划分。
  根据用户的工作性质划分 用户的工作性质很大程度上决定了其对反病毒需求的特点,比如开发人员可能要建立合适的开发环境,需要有更大自主管理权;而财务部门有企业的机要信息数据,需要更完善和严密的防护。

  组内反病毒配置原则
  组内相关安全措施的配置是企业反病毒“组策略”的另一个重要方面,我们一般从如下几方面考虑:
  查杀病毒需求 根据组内系统环境的特点、易受感染的病毒种类设置具体查杀策略。
  病毒防火墙及邮件防火墙的控制 根据在企业网络中的位置和Internet的应用不同,各组内计算机需要配置对病毒和邮件防火墙进行特定配置。
  任务调度 一般来说,大多数用户都不会自己设置反病毒的任务调度,而作为反病毒工作可靠性的保证,有必要对这种任务调度进行针对性设置。

 

你可能感兴趣的:(组策略在企业反病毒管理中的应用)