作者：上虞市电化教育馆 朱华夫来源：《现代教育技术》发表时间：2008-07-04

 一、现状分析
    上虞教育城域网自2000年开通运行以来，网络规模和应用得到了长足发展。日新月异的网络技术影响和改变着学校教学科研和日常管理模式，使我们充分享受到网络带来的快捷和高效。但近年来，上虞教育城域网所面临的安全问题越来越复杂，来自内部的威胁如蠕虫、病毒、间谍软件等安全威胁正在快速增长，网络病毒成为影响教育城域网正常运行的主要因素之一。学校校园网内一旦蠕虫、网络病毒爆发，将占用大量网络资源，部分学校因此时常出现网速过慢或网络不通的现象，这些学校不断发出大量的ICMP数据包，严重消耗有限的互联网带宽资源，从而导致整个教育城域网运行速度缓慢，给教育城域网的正常运行造成极大的影响。
    通过对网络数据进行观察分析和实地调研，笔者发现造成校园网病毒爆发的主要原因有以下几个方面：
    1.绝大部分学校由于种种原因，没有部署专业的网络防病毒软件，部分电脑安装的单机版防杀病毒软件很难起到病毒防治和解决学校几十甚至上百台计算机的病毒防杀工作。加之部分教师对病毒的防范意识不强，造成校园网病毒泛滥情况严重。
    2.单机版防杀病毒软件对感染病毒的计算机定位、查杀、处理困难，特别是学校教师使用的笔记本电脑流动性强，极易感染病毒，一旦感染病毒之后无法判断病毒真正的来源出处，因而不能彻底的铲除病毒的病源。
    3.大部分的学生机房都使用了硬盘保护卡或还原精灵而没有安装防杀病毒软件，部分计算机教师以为这样机器不会受到病毒的侵害。事实上，只要机房中有一台机器染毒，它就会不断的传染给网络中的其他机器，造成巨大的攻击包，导致整个校园网瘫痪。
    4.随着网络的广泛应用，电脑病毒也在不断的进化，现在病毒有相当比例是通过系统漏洞进入网络的。目前不少学校电脑使用的win2000或winxp的系统没能及时打上相关的补丁，给病毒入侵大开后门。
    综上所述，校园网络中只要有少数电脑感染病毒，便会影响整个校园网的正常运行，而校园网病毒泛滥，又会影响城域网内其他的学校的网络正常运行，导致整个城域网运行不正常。如何制定一个城域网范围内统一管理、有效运作的反病毒解决方案已是一个急需解决的实际问题。
    二、需求定位
    上虞教育城域网由一个城域网中心，124个校园网络，12300多台终端组成。网络层次多、结构复杂、应用繁多。我们针对上虞教育城域网现有的网络环境，对网络中所有可能存在的病毒侵入点进行详细的分析，确定由一个城域网总控中心和多个学校分控中心集中对校园网络进行病毒查杀，从而实现城域网的智能、高效和统一的安全管理。为了实现这一管理目标，我们对各杀毒软件供应商提出了几点要求：
    1、所使用的杀毒软件必须适应城域网集中分布式管理管理的需要，支持跨地域跨网段的部署和管理，具有强大、灵活的管理和任务调度手段，能集中实现全网范围内防毒策略的定制、分发和执行。
    2、必须对整个网络实行全方位、多层次的病毒防护，能够全面监控各病毒可能入口，对来自Internet、E-mail或是光盘、软盘、移动存储、网络这些病毒入口，无论是宏病毒、特洛伊木马、黑客程序和有害程序全面进行实时监控。对所有可能存在的病毒的侵入点进行防护，也就是说应该在网络的每一个层次都要进行有效的病毒防护。
    3、必须支持多种安装方式，可以满足在不同的场合下挑选适当的手段。在主要服务器上实现杀毒程序的远程安装，以方便学校网络管理人员更加方便直接地完成杀毒程序的安装管理；允许管理员通过控制台，集中地实现所有节点上防毒软件的监控、配置、查询等管理工作，控制台能实时显示所有节点上防毒软件状态，把网管人员从日益繁重的杀毒和设备维护工作中解脱出来。
    4、杀毒软件必须具备最先进的网页监控功能和邮件监控功能。支持客户端邮件防病毒，同时支持Fox-mail、Outlook、Outlook Express等客户端邮件系统的防病毒。具备查杀未知恶意网页的能力，确保用户在浏览网页时不被恶意网页病毒干扰和破坏；当遇到感染性很强的网页或邮件病毒时，要能够快速有效地将病毒清除，防止网页或邮件病毒对校园网络造成更大的危害。
    5、病毒代码库和病毒扫描引擎的更新每个工作日进行升级，重大病毒疫情爆发时，提供即时升级。支持手动升级、自动升级和定时升级模式，采取增量升级模式，占用网络资源尽量少。
    三、方案实施
    经过慎重的调研与筛选，鉴于在整体网络安全领域的领先地位，成熟的产品与丰富的实施及服务经验，最终选择了北京江民新科技术有限公司作为此次的解决方案提供及实施厂商。上虞市电化教育馆于2007年10月中旬通过政府采购购买了江民2007网络版杀毒软件，免费供城域网内各学校使用。
    1.分级管理
    为了实现整个城域网的智能、高效和统一的安全管理。我们确定利用江民2007网络版杀毒软件提供的先进的分布式技术进行分级管理，整个防病毒体系分为三个相互关联的子系统：总控中心、分控中心、客户端系统。
    总控中心作为一级防毒安全管理中心安装在城域网网管中心，负责各校园网分控中心防毒策略的制定分发和信息收集，负责从江民网站上下载病毒库和杀毒引擎升级代码，向城域网内的各分控中心提供升级服务。
    分控中心作为二级防毒安全管理中心安装在在各校园网网管中心，负责校园网内的客户端的安全策略的制定分发和信息收集，负责从城域网总控中心上下载病毒库和杀毒引擎升级代码，向校园网内的客户端提供升级服务。
    客户端系统(服务器端/工作站端)承担服务器/工作站上病毒的实时监控、检测和清除，自动向分控中心报告病毒监测情况，以及自动进行升级的任务。
    通过上述的部署，控制中心和客户端结构清晰明了，管理维护方便。网络管理员只要拥有管理员口令，就可以通过IE浏览器，实现对整个网络上所有计算机的集中管理，清楚地掌握整个网络环境中各个节点的病毒状态，各个子系统协同工作，共同完成对整个网络的病毒防护工作，最大限度地完成对病毒的全面查杀。
    2.远程部署
    上虞教育城域网管理局属于复杂的大型网络系统，拥有12300多个客户端，如果让管理员按照传统的软件安装方式一台一台地进行安装，将意味着巨大的工作量。根据这种现状，我们选择了江民杀毒软件网络版提供的“通过WEB页面安装”模式进行全网部署：
    各校先对全体教师进行江民2007网络版杀毒软安装使用的培训工作，然后再由各用户统一登录到本校分控中心的登录页面，单击［安装KV网络版客户端］，客户端便会自动从控制中心下载最新的客户端安装程序，根据操作提示用户可自行安装客户端程序。
    在全部完成客户端的安装工作后，学校管理员通过登录分控中心管理页面，就可以实现对全网内的客户端进行集中配置，在客户端实现零管理，不但减轻了管理员的工作负担，同时也极大的提高了管理员的工作效率。
    3.全方位监控
    江民2007网络版杀毒软件提供了强大的远程控制功能，利用KV网络版的分级、分组管理功能，管理员可以在控制中心，对多个网段进行统一管理，通过控制中心管理页面对网络中所有安装了客户端的计算机进行远程杀毒、查毒、设置、升级操作。分控中心除了对网络中的计算机进行日常的管理与控制外，它还实时地记录着KV网络版防护体系内每台计算机上的病毒监控、查杀病毒和升级等信息。这样管理员对于任何安装了江民杀毒软件网络版的计算机状态都一目了然，随时对各个病毒侵入口监测有无异常情况出现。管理员还能够随时启动(关闭)单个(多个)服务器端(客户端计算机)上的实时监控，确保整个网络上的每台计算机都处于最佳的防护状态，同时也能保证全网随时处于高效运行之中，充分地实现了对全网的客户端和服务器的24小时不间断的查杀毒准备。
    4.灵活升级
    随着网络的广泛应用，电脑病毒也在不断的进化，没有一款杀毒软件杀毒可以一劳永逸，要想真正地将病毒拒之门外，及时系统补漏和病毒库升级最有效的防毒办法之一。
    针对上虞教育城域网络结构特点，总控中心服务器接入互联网，自动通过江民升级网站进行在线升级，主动及时地更新病毒库；各分控中心通过城域网总控中心升级，当分控中心升级完成后，所属内网客户端会自动从内网系统中心进行升级，完全不需要用户参与。对于当前没有开机的计算机，将在下一次开机时进行升级，这样就保证了全网内的计算机上的江民杀毒软件网络版时刻都是最新的，而且版本时刻保持一致，并且完全杜绝了由于版本不一致而可能造成的安全漏洞和安全隐患。
    通过江民产品自带的全网漏洞扫描和补丁分发管理功能，管理员及时了解掌握网络中各主机的系统漏洞，病毒能及时分发漏洞补丁，预防各种网络蠕虫病毒的传播和感染，彻底截断蠕虫病毒的传播途径。
    四、效果分析
    江民网络版杀毒软件的多级管理模式、远程安装、全方位防毒监控、多种升级方式等技术能很好地满足了上虞教育城域网的整体防病毒需求。通过部署江民杀毒软件网络版，网络管理员可以随时随地管理和监控网络内的防病毒状况，以便及时响应，调整相应的防病毒策略，抑制病毒传播与危害，维护网络的正常运行，大大减轻了管理员的防病毒管理压力，提高了工作效率，得到了学校网管老师的好评；自从部署了网络版江民防病毒软件以后，上虞教育城域网整个校园网络已经杜绝了目前所有病毒的滋生和破坏，没有发生过由于病毒发作而引起的事故。