时尚杂志社是《时尚》杂志社是国家旅游局主管、中国旅游协会主办的中央级大刊。公司现有员工400多人的的企业规模。
时尚杂志社网络的服务器都放在公司信息中心,公司有自己的Web服务器、文件服务器、邮件服务器和大量的客户机。在时尚杂志社总公司信息中心,有一台防火墙实现对信息的访问控制,所有客户机通过路由器接专线访问Internet。
由于杂志社的工作性质,公司需要经常和全国和世界上各地的分社或记者联系,联系方式主要通过e-mail。而且,要经常和外地的记者进行大量文件、图片等信息的交流。鉴于此种情况,就给社内的信息安全造成了很大的威胁。每天,从internet上会有大量的病毒,最新的病毒都会传入公司内部。给公司的日常工作造成了巨大的影响。
《时尚》的要求就是通过层层的安全的防护,能够把病毒挡在杂志社的外边。而且,要对社内的任意一台染毒的电脑,要很快的隔离出来,并且很快的把病毒控制住。对客户的要求,我们在给客户售前方案书中推荐了趋势科技的OfficeScan、ServerProtect、IMSS,TMCM、NVW。一共五种防毒模块。其中Office Scan和Server Protect是桌面版产品,主要对进入社内的病毒进行查杀。IMSS是针对邮件病毒的防毒产品,由于对社内病毒的主要入侵途径就是邮件,所以对邮件的防护就是最根本的手段。NVW是主要作用就是可以对内部的染毒客户端进行隔离,并且及时的报告给防毒服务器。同时,还可以对未打补丁的电脑可以隔离,对未装防毒软件的电脑可以隔离,对旧病毒码的电脑也可以隔离。同时,NVW需要TMCM这个中央控制管理软件进行管理,在TMCM上还有OPS、DCS、VA来和NVW进行连动的工作。
和客户推荐了产品模块后,就开始对产品的试用。OS和SP我们装了两个部门。由于,整个社内已经存在有大量的病毒,所以只用桌面版的产品,而且在小范围内也没有看到太明显的效果。所以,我们建议对所有客户端全部部署。我们的目的就是想先在内部把病毒控制住,然后在从源头上解决。但是,由于客户端比较多,而且客户的意思先看小范围的效果。所以,内部的控制效果一般,但是我们给客户也解释了原因。
接着我们就从源头上解决。我们提出试用IMSS.由于客户的邮件服务器需要验证,所以不能应用windows平台下的IMSS,因为windows平台下的IMSS是不支持验证,所以就必须要用linux平台下的IMSS,只有linux平台下的IMSS才支持验证。在趋势科技的售前工程师徐学龙工程师的帮助下,把linux平台下的IMSS搭建了起来。IMSS用了两层的结构,没有安装postfix,直接在internet上接收邮件,然后扫描病毒和垃圾邮件后,再把邮件传给邮件服务器。邮件服务器再送到客户端。通过添加高优先级的mx记录,来使得邮件会先经过IMSS,这些都是很成熟的技术。所以这些都设置完以后,IMSS可以正常的工作起来了。病毒和垃圾得到了处理。但是经过一段时间的测试,在客户端还会有些邮件会绕过IMSS,也就是不是通过查DNS来转发的,而是直接发到邮件服务器中。这个问题经过和徐工讨论,我们决定把发布到internet上的邮件服务器的记录删除掉,这样就不会在投到服务器上了。果真,删除掉记录后,问题就解决了。
但是经过两个月的使用后,问题又出现了。客户发到新浪、163等的邮件,对方根本都收不到,而且又没有把邮件退回来。这个问题真是很奇怪,因为没有退信,你也就无法找到问题的原因。所以也就无从下手。就在这个时候,我们公司另外一个客户也说是和《时尚》一个问题,它也用的是IMSS,但是windows平台下的。也把邮件服务器外网的记录删除掉了。但是这个客户说出了事情的原因。这是因为客户outlook原来的收信和发信服务器都是设置的邮件服务器的地址,所以现在客户发信还是用邮件服务器。但是我们删除了邮件服务器的MX记录。这时,一些大的网站的邮件服务器为了防止垃圾邮件的产生,都会对发来的电子邮件做一个反向地址查询,也就是看是否有这个邮件服务器在网上。但我们已经删除了它的地址。所以反向查询出错,也就出现了邮件被拒收的问题。查到了问题的原因,我们解决的办法可以有两种。一种就是更改客户的outlook下的发信服务器的地址为IMSS的地址即可。但这种办法在时尚杂志社不行。因为,这里的IMSS 没有为 linux装postfix,也就没有mta,就没有发邮件的功能。所以,在时尚我们只能用别的办法解决。只有先把邮件服务器的mx记录加上,但是这样又会有垃圾邮件了。但是客户有边缘防火墙呀,我们在防火墙上把25端口给封掉不就行了。对,按着这个办法,问题迎刃而解了。
NVW没有测试,直接在实施时候,装了两台。分别装在了核心交换机下面,工作组交换机的上边。在注册到TMCM的开始阶段,有些问题。主要是时间同步的问题。在lcd上显示和TMCM同步时间出错。只要把TMCM上的windows time关掉,然后运行Trendmicro time服务就可以解决时间同步的问题了。设置完以后,然后先重新启动TMCM所在的电脑。然后在重起NVW,这样NVW就可以注册到TMCM上了。一般不会出现问题。注册上后,设置好策略和更新设置,然后和va,dcs连动工作的效果还是不错的。一直运行到现在,没出现过大的问题。策略基本上运行还很正常,但偶尔也会出现在个别机器上策略失效的情况。在两台win98的电脑上,还出现过装了防毒软件客户端,但还是被隔离的情况。不过只是个别情况。
最后部署的是officescan6.5客户端,我们是一个一个部门的部署,主要通过的是打包安装的方法。相对Office scan 的问题会少些。安装的过程也很顺利。全部部署完成后,然后通过最新的病毒码,已经可以把病毒控制在一定范围内了。Officescan6.5新的功能就是集成了客户端的防火墙,这个功能经过我们测试还是相当好用的。它集成在Office scan内部,可以通过在控制台上统一设置安全策略,然后部署到客户端去。就像边缘防火墙一样设置策略。但是我们的防火墙是针对客户机的。而且分三个级别,全允许,允许内到外但不允许外到内,内到外和外到内都不允许。我们设置的第二个级别,这也是常用的一个级别。但我们实施的是第三个策略。就是不允许外到内的和内到外的。然后在底下排除常用的一些外到内的应用就可以了。经过测试,这个防火墙还可以把bt防住,看来做的是不错呀。它还可以针对不同的客户端发放不同的策略。这个我们也应用了。对一部分客户,例如管理员组的给较大的权利,可以随便对外访问。而对其他的职员,要十分限制对外界的访问。虽然,可以允许给客户权限来自己设置策略,但我们还是不给他们这个权限的。客户对防火墙的这个功能还是十分赞赏的。
在Office scan下的dcs,损害清除的功能。自从我测试和实施以来,还没有看到这个功能的作用。也就是看不到dcs可以清除到的木马和间谍软件、恶意代码,所以趋势的这个功能我也不知道真正的作用有多大。
经过层层的部署,在最外层的IMSS+SPS挡住了大部分的邮件病毒和垃圾邮件。NVW挡住了通过它的网络层病毒,并且远程查杀客户端的病毒,还有通过策略的安全防护。对未装防毒客户端的客户,没有打微软补丁的客户都能起到有效的隔离作用。在内部,桌面的office scan对每个终端客户机做到了完全的防护,加上内置的防火墙。还有效的抵御了间谍软件,木马程序等黑客软件对本地主机的攻击。最后,TMCM统一管理了所有的产品。
实施完成后的几个月里,客户那边的病毒已经被控制在很小的范围内,也没有病毒大面积爆发了。所以客户对趋势科技的产品表示十分满意。
