企业网络管理与终端用户病毒防治策略

　　摘要：随着网络在数据传输、集中、共享等方面的作用越来越大，为了确保网络系统安全运行，保证数据、软硬件系统的正常运转，企业网络管理就显得及其重要；另外终端用户的病毒防治对整个企业网络的安全也起到了举足起重的作用。
　　关键词：企业网络；终端；安全；病毒防治
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)14-3270-02
　　网络安全的管理是为了保护企业网络用户资源与设备以及网络系统本身，对于企业的这些资源访问最多的就是终端用户，那么对于整个企业网络而言访问的用户的定义必须划定清楚。
　　1 对用户使用个人电脑的定义
　　用户的个人办公电脑，包括工作站和笔记本，是用户日常工作的平台，同时也是用户进入内部各系统的终端工具，所以对个人电脑的使用企业需做以下定义：
　　1）个人电脑只能处理自己工作相关的内容，不得用于个人事务和与工作无关内容的处理；
　　2）个人电脑需软件由企业统一安装，任何情况下个人电脑不准其他无关的软件；如果因工作需要，用户必须取得管理员授权；
　　3）除特殊用户外，严格界定用户在个人电脑上的权限；用户不得以任何方式改变个人的权限，也不得尝试解除管理员在个人电脑上已经锁定的内容；
　　4）个人电脑的所有数据都是企业资产，企业在不取得用户的许可下对内容可以做任何处置；
　　5）对于笔记本，不得以任何方式接入企业内部未经审核网络，用户在外部办公时只允许在取得VPN的验证后进入企业内部网络；对于VPN的使用需要注意以下几点：保护VPN帐号和密码的安全性、VPN密码的修改和客户端VPN站点的信息必须由管理员设置完成。
　　2 对用户使用邮件系统的定义
　　邮件系统是企业内部进行联系、外部进行商业处理的主要途径，作为使用邮件系统的内部用户必须定义以下事项：
　　1）不得使用企业邮件系统处理任何和工作无关的内容；
　　2）不得将企业的邮件地址在无关的论坛或网站上进行登记；
　　3）为防止邮箱空间阻塞，无法继续接收邮件，需及时清理自己的个人邮箱，邮箱容量必须限定；
　　4）除发送多用户的通知情况外，用户应尽少使用群发功能，以减轻系统的负担；
　　5）当发送邮件需要带附件时，用户必须将附件进行压缩后发送，附件的大小必须限制；
　　6）邮件是病毒传播的主要的路径，当收到未知发送者发送的邮件时不准打开，特别是带有附件的邮件，请将这些邮件直接删除；
　　7）企业对系统的客户端接入软件必须统一规定，其他客户端的接入软件将被禁止；
　　8）漫游用户在使用前必须经过VPN的验证，否则将无法连接到邮件服务器。
　　3 用户接入INTERNET的定义
　　Internet是企业用户查找资料和商业处理的主要途径．所以用户在通过代理服务器和防火墙后可以接入Internet。但接入Internet时必须做如下定义：
　　1）用户端的接入软件被限制为IE，用户被限制安装其他浏览器；
　　2）用户的浏览内容在到达用户前被内部防火墙及病毒防护系统过滤；
　　3）客户端IE的设置被管理员锁定，在任何情况之下客户端不得解除这些锁定；
　　4）客户端的浏览内容不得有非法内容，企业原则上不对这些内容做过滤，但浏览的记录会在日志中存在；
　　5）客户端下载的资料必须限定，可能携带病毒的下载必须屏蔽，文档性资料的下载大小必须限制，超过此大小的文件的下载将被拒绝；因工作需要的下载需经过管理员的允许；
　　6）用户不得在浏览Internet时安装外部网站提供的任何软件。
　　4 企业终端的病毒防治
　　各种病毒必将对企业网络系统资源构成很大威胁， 影响企业网络的顺利运行。因此， 病毒的防治就显得尤为重要。目前病毒除了网络进行传染外另一个主要的传播途径就是移动存储设备，在使用移动存储设备之前进行扫描和查杀，也可把病毒拒绝在外。但系统默认U盘插入后是自动启动的，U盘里的病毒也就自动运行。那么首先要把U盘的自动播放关掉：打开“开始→运行”，在对话框中输入“gpedit.msc”命令，在出现“组策略”窗口中依次选择“计算机配置→管理模板→系统”，双击“关闭自动播放”，在“设置”选项卡中选“已启用”选项，然后在“关闭自动播放”框中选择“所有驱动器”；或者是使用优化大师，在系统优化-系统安全优化下有个禁止光盘U盘等所有磁盘自动运行。
　　自动播放关掉了还不行，因为双击、右击打开或资源管理器时，病毒还是会运行的。现在的病毒激活方式不会涉及DOS环境下，所以可以用系统自带命令提示符打开U盘：左下角“开始”-->“运行”-->输入“Cmd”命令（进入DOS命令模式）-->键入“G:”(举例G盘为U盘的盘符)-->键入“start.”也可以保存个批处理每次用他打开：
　　g:
　　attrib g:\\autorun.inf -a -h -s
　　del g:\\autorun.inf
　　start g:
　　exit
　　把这5行保存为文本文档，然后把后缀名TXT改成BAT即可。这样打开U盘的时候会先删掉autorun.inf文件然后再打开，病毒就不会运行了。现在打开U盘后看看到底有没有病毒，注意，查之前设置一下，工具-文件夹选项-查看-找到隐藏受保护的系统文件把勾点掉-下面点显示所有文件和文件夹-再下面-隐藏一直文件类型的扩展名把勾去掉。这时候再看U盘哪个是不明应用程序（.exe/.com）就删除它。还有特别是AutoRun.inf一定要删除。
　　网络的安全管理和移动存储设备的使用都做好以后，如何判断终端是否中毒，可从以下几项进行判断：
　　1）检查任务管理器：观察任务管理器中是否有异样进程，主要针对不熟悉的进程，如果是不单独存在的病毒，依附于其它进程来占用系统资源，需要查看各进程占用CPU和内存的情况来发现病毒，有的进程占用内存也比较隐蔽，但是CPU的占用一定很大；
　　2）检查启动项：启动项中除输入法、杀毒软件和自己设置启动的一些外，特别是名字比较奇怪的就是需要认真检查的，根据命令项可以查到该文件所在的位置，找到可执行文件以后，查看该文件的属性，正常文件都具有自己的版本号，公司主要也是微软公司，还可以根据位置项可以查出其在注册表中的位置，检查该文件是否正常；
　　3）检查注册表：有些病毒是通过修改注册表中的加载配置和启动来加载或自动启动的，这类病毒主要是木马程序，基本上是在以下几个地方:
　　HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion
　　HKEY_CLASSES_ROOT\xtfile\\shell\\open\\command
　　HKEY_LOCAL_MACHINE\\Software\\CLASSES\xtfile\\shell\\open\\command 等；
　　4）检查磁盘空间：有些病毒文件一般内