组策略在企业反病毒管理中的应用

发布时间：2004.10.08 14:04     来源：赛迪网-中国计算机报    作者：麦炳

现代企业越来越依赖于信息化的经营管理，而日益猖獗的病毒却时常威胁着企业的信息安全。为此，网络管理员耗费了大量精力在反病毒工作中，但是他们却时常遭遇这样的尴尬：精心制定的反病毒措施一方面不能满足某些部门的安全需求，而另一方面对其他部门意义不大，甚至于成为这些部门网络系统性能的瓶颈。其实出现这种情况的原因很简单，企业不同的部门机构或网络中不同子环境的安全需求都有差异，有针对性的反病毒部署才是上策。对此，企业反病毒有必要引入能够实现细分化、针对性的管理方式，而“组策略”的应用无疑能够满足这方面的需求。 　　什么是反病毒管理“组策略” 　　说到这一点，很多人就会想到微软Windows活动目录中的组策略，然而我们这里讲的并不是这个概念。反病毒管理的“组策略”其实是一种对企业防毒体系众多节点（或终端）进行管理的方式，它首先强调的是受管理对象的差异性，即有针对性的反病毒部署；其次，统筹的理念也在其中得以体现，即对具有相同安全需求或相同系统环境的受管理对象进行统一管理。通俗地说，就是将反病毒体系中的客户端、服务器端等各节点进行分门归类、分而治之。 　　分组原则 　　企业拥有众多的部门机构、同时企业网络又有比较复杂的结构环境，如何将这两方面的反病毒需求完善地结合起来，是分组的基本原则，对此，可以做如下细分： 　　按域（或工作组）分组 针对目前企业网络多采用Windows操作系统，而各机构的网络多以域或工作组的形式组成，这种分组方式具有代表性。 　　按部门分组 一般来说，单个部门的安全需求比较统一，比较容易实现反病毒的同步配置。 　　按操作系统分组 不同的操作系统都有其系统特性，而一种操作系统的多个版本也有系统环境差异。比如，Windows98/Me就和基于NT的Windows操作系统的漏洞有很大差异，将装有不同版本的计算机分别成组显然更有利于管理。 　　根据Internet应用划分 对互联网的访问是企业网络系统受病毒感染的主要原因之一，可以将用户对Internet的应用作为反病毒分组划分的一个原则。比如对“可以无限制连接到Internet”、“可以上网浏览网页”、“只能收发Email”、“完全不存在任何Internet应用”四种用户类型群进行组的划分。 　　根据用户的工作性质划分 用户的工作性质很大程度上决定了其对反病毒需求的特点，比如开发人员可能要建立合适的开发环境，需要有更大自主管理权；而财务部门有企业的机要信息数据，需要更完善和严密的防护。 　　组内反病毒配置原则 　　组内相关安全措施的配置是企业反病毒“组策略”的另一个重要方面，我们一般从如下几方面考虑： 　　查杀病毒需求 根据组内系统环境的特点、易受感染的病毒种类设置具体查杀策略。 　　病毒防火墙及邮件防火墙的控制 根据在企业网络中的位置和Internet的应用不同，各组内计算机需要配置对病毒和邮件防火墙进行特定配置。 　　任务调度 一般来说，大多数用户都不会自己设置反病毒的任务调度，而作为反病毒工作可靠性的保证，有必要对这种任务调度进行针对性设置。