趨勢

網絡技術的發展正在改變人們的生活，但在人們享受其帶來的巨大的進步與利益同時，潛伏著的巨大的安全威脅也隨之而來。在我國，隨著金字工程、政府網、電子商務、電子政務、軍事信息化等國家信息化建設的發展，網絡已經成為了國家的重要基礎設施，而這些關鍵行業的信息化建設也不可避免的面臨著信息安全威脅的挑戰。

需求

中國儲備糧管理總公司是國有大型企業，目前下屬14個分公司及194個直屬糧食儲備庫（以下簡稱直屬庫）。在信息化迅速發展的形勢下，中國儲備糧管理總公司正在積極地進行網絡信息系統的建設，計劃建設一個包含總公司、分公司和直屬庫的多級計算機網絡系統。該系統劃分為總公司主控中心為一級網絡結構，分公司網絡管理系統為二級網絡結構和直屬庫網絡管理系統為三級網絡結構。在中國儲備糧管理總公司網絡系統的設計中，對系統的高可靠性、可用性、性能和互聯都做了充分的考慮。目前網絡已經完成了總公司的核心網絡主控中心建設及分公司與總公司內部廣域網建設，總公司和各分公司之間采用DDN或撥號等方式進行互連。

由于中國儲備糧管理總公司計算機網絡系統的內容涉及國家安全，某些數據屬機密，在網絡安全的考慮上，更應該完整而細致。為了進一步提高網絡安全性，達到建設一個完整、安全和高效的信息系統的目標，網絡安全問題已經成為了急需解決的問題。因此，中國儲備糧管理總公司決定搭建一套專門的網絡和信息安全管理系統。經過慎重的調研與篩選，鑒于在整體網絡安全領域的領先地位，成熟的產品與豐富的實施及服務經驗，最終選擇了北京冠群金辰軟件有限公司作為此次的解決方案提供及實施廠商。

把脈

在信息安全管理系統搭建之前，考慮到中國儲備糧管理總公司目前已經在網絡安全設計上采取了一些比較初步的措施，并且顧及到其進行整體網絡建設的步驟與保護投資等問題，冠群金辰首先對其網絡中的存在安全問題及隱患進行了細致的分析，以保證提供方案的針對性與高效性：

首先，中國儲備糧管理總公司現在的業務系統大多是基于客戶/服務器模式和Internet/Intranet網絡計算模式的分布式應用，用戶、程序和數據可能分布在世界的各個角落。在這樣一個分布式應用的環境中，中國儲備糧管理總公司的數據庫服務器、電子郵件服務器、WWW服務器、文件服務器、應用服務器等等每一個都是一個供人出入的“門戶”，只要有一個“門戶”沒有完全保護好－忘了上鎖或不很牢固，“黑客”就會通過這道門進入系統，竊取或破壞所有系統資源。

其次，目前中國儲備糧管理總公司的網絡主要采用TCP/IP作為網絡通訊協議，主要服務器為Windows NT操作系統。眾所周知，TCP/IP是以開放性著稱的。系統之間易于互聯和共享信息的設計思路貫穿與系統的方方面面，對訪問控制、用戶驗證授權、實時和事后審計等安全內容考慮較少，只實現了基本安全控制功能，實現時還存在一些這樣那樣的漏洞。實際上，從TCP/IP的網絡層，人們很難區分合法信息流和入侵數據，DoS(Denial of Services，拒絕服務)就是其中明顯的例子。

再次，在中國儲備糧管理總公司中存在著多種應用，包括WWW、郵件系統、數據庫系統等等。這些系統都存一些安全問題。從應用系統（軟件）情況看，目前大多數直屬庫建設了糧情檢測系統，使用單機處理財務、統計、人事和文檔等工作。近期將應用統計、財務、倉儲、人事等獨立的小型數據庫軟件。利用HTTP服務器的一些漏洞，特別是在大量使用服務器腳本的系統上，利用這些可執行的腳本程序，入侵者可以很容易的獲得系統的控制權。同時，中國儲備糧管理總公司的數據庫系統也存在很多安全問題。如何保證和加強數據庫系統的安全性和保密性對于中國儲備糧管理總公司的正常、安全運行至關重要。

此外，雖然中國儲備糧管理總公司當前也對安全問題也做了一定的考慮，并設計了防火墻系統，但是鑒于當前IT系統安全性的嚴重狀況，這些考慮還是比較樸素和初步的，并沒有形成一套完整的防護體系。

守倉

根據中國儲備糧管理總公司網絡系統中存在的安全需求，冠群金辰軟件公司針對其網絡系統架構的特點，提出了構建從邊界防護、傳輸層防護，到核心主機防護的深層防御體系的解決方案，以確保其網絡系統的安全。根據中國儲備糧管理總公司的建設進度安排，首期將主要部署網絡防病毒體系。

中國儲備糧管理總公司企業網絡系統是建立在總公司、分公司、各直屬庫等基礎上的多級分布式網絡系統，其網絡構成包括Unix\NT服務器、郵件服務器、Windows95/98等聯網客戶機等，其多級網絡模擬結構圖如下：

因為病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣，因此在構建企業網絡防病毒系統時，可以通過KILL建立完整的防病毒體系，實施“層層設防、集中控制、以防為主、防殺結合”的防病毒策略。根據中國儲備糧管理總公司的網絡結構，冠群金辰公司將其病毒防護體系的部署重點分為了以下幾個方面：PC機防護、實時保護文件/數據庫服務器、實時防護郵件服務器、實時Internet網關的防護、在關鍵網段部署eTrust入侵檢測、保護核心數據安全。具體的架構及產品在網絡中的部署分布如下：

在防毒體系的設計中，冠群金辰公司在中國儲備糧管理北京總公司安裝了一臺KILL反病毒管理服務器作為全國網絡防毒安全管理中心。在各級分公司各安裝了一臺KILL反病毒管理服務器作為二級防毒安全管理中心。在中國儲備糧管理總公司全國194個直屬庫中， 則可根據規模和實際管理需要， 安裝KILL反病毒管理服務器作為第三級網絡防毒安全管理中心，并在各地相應的管理員工作站上安裝管理員客戶端。管理員可以直接通過管理員客戶端登錄到管理服務器進行遠程策略配置分發等管理工作。在網絡中其他服務器和客戶端上分別安裝客戶端產品， 客戶端所有的查殺病毒配置都可以從管理服務器分發獲得。這樣在整個企業網中就形成了一個三級集中管理結構:第一級：北京總部的管理服務器負責總部網絡防毒策略的制定分發和信息收集， 同時負責二級管理服務器群的策略制定。 總部服務器負責從冠群金辰網站上下載病毒庫和殺毒引擎升級代碼， 向總部網絡和二級管理中心提供升級服務。

總公司管理員視圖

第二級：二級管理服務器負責各分公司網絡和直屬庫的防毒策略制定和分發， 同時負責向下屬的沒有設置管理中心的直屬庫分發安全策略和升級代碼。

分公司管理員視圖

第三級：三級管理服務器負責自己網絡的客戶端的安全策略的制定和分發。

直屬庫管理員視圖

根據需要，上級管理員可以直接登錄到下級管理控制中心進行安全策略檢查和配置。

通過這樣的部署，可以幫助中國儲備糧管理總公司在網絡中所有可能感染和傳播病毒的地方均采取相應的防范手段，從而形成一個完整的網絡防毒體系。此外，該防毒體系的策略設置是通過中央管理臺集中設置的。管理員可以集中制定適用于網絡的所有防毒策略， 然后分別部署到各個組中去， KILL的集中管理功能可以使管理員能夠通過一臺管理服務器完成對網絡中的所有機器的集中配置，在客戶端實現零管理。

無憂

防毒體系采用了全平臺統一的殺毒界面，所有操作采用微軟資源管理器風格，操作簡單易用。具備安裝后不需要重新啟動，自動實時升級不需要用戶干預和重新啟動等特性。最大程度上降低了用戶對客戶端的手工操作。此外，充分考慮到在中國儲備糧管理總公司這樣一個大的企業網絡中存在各種不同的操作平臺和應用系統，接入網絡的計算機設備也多種多樣，KILL防病毒產品對全平臺的支持和對資源的極少占用的特點可以使用戶在最大程度上保持自己原有的配置不變，而且版本的向下兼容與集成管理能夠在最大限度上保護用戶已有的投資。

目前，該防毒體系已經在中國儲備糧管理總公司投入使用，從各個環節增強了其網絡系統對于病毒的免疫力，從而為有效的確保了中國儲備糧管理總公司信息系統的高可靠性、可用性及高性能。