防病毒体系的分级管理与实现.docx

防病毒体系的分级管理与实现在现代商业银行中，防病毒管理是一项涉及面广、技术难点多且处理时效性要求高的工作，特别是对大规模防病毒体系来说，更是需要建立一套完整的、分级管理的技术体系和管理体系。中国工商银行（以下简称“工行”）数据中心（上海）安全部承担着分布在全球各地的全行40万台客户端的防病毒管理工作，经过几年的努力，已经建立起一整套有效的防病毒技术架构，在明确病毒软件安装、病毒发生情况监控、病毒事件处理等管理流程的基础上，通过有效的病毒事件处理将病毒事件控制在萌芽状态，为全行安全生产运行提供了技术保障。　　一、建立完整的防病毒技术架构　　要实现分级的防病毒管理体系，首先要建立一套分级的防病毒技术架构，通过防病毒技术架构将防病毒软件覆盖全辖的所有设备，掌握防病毒系统的整体运作情况，对病毒发生情况进行实时监控并及时进行杀毒处理，这是防病毒工作真正落实到位的有效保障。　　构建分级的防病毒技术架构还需要有效地区分各个层级的管理职责，各司其职，提高防病毒管理工作效率。同时，防病毒技术架构还应覆盖各个接入环节，如互联网接入、邮件接入等，将被动防御变为主动防御病毒入侵。　　目前，工行已建立了包括父控制台、子控制台和防病毒服务器的三级防病毒技术架构（见图1）。父控制台由数据中心（上海）负责管理，监控全行子控制台的更新情况和病毒发生情况；子控制台由一级分行负责管理，监控其下属各机构防病毒服务器的更新情况和病毒发生情况；防病毒服务器由二级分行负责管理，监控其下属所有客户端的更新情况和病毒发生情况。　　该技术架构明确了各级机构的防病毒工作职责，为各级机构做好防病毒工作提供了技术保障。通过该技术架构实现的主要功能包括：病毒码的自动更新，在父控制台上访问防病毒公司的官方更新源获得必威体育精装版的病毒码，通过三级防病毒技术架构发布到全行所有客户端，确保病毒码更新的时效性；病毒日志的自动收集，在客户端检测到病毒时，及时将病毒信息向上传送，通过实时监控界面对所辖设备病毒发生情况进行监控。　　此外，在邮件服务器上安装了专用的防病毒软件，对往来邮件进行病毒检测，防止病毒通过邮件传播；在互联网接口上安装了独立的专用防病毒软件，防止在网页浏览或数据下载时感染病毒；在客户端IE浏览器上安装了防病毒专用插件，提示用户该网站是否安全等信息，使用户在上网时免遭钓鱼网站、恶意网站的欺骗及恶意代码的攻击。通过这些专用软件防止病毒进入工行计算机系统，起到了综合防御的作用。　　二、建立分级的防病毒管理体系　　一般认为，信息安全工作是“三分技术、七分管理”，建立了分级的防病毒技术架构只是完成了技术层面的工作，更重要的是要建立职责分明的分级防病毒管理体系。1.明确各个层级中负责防病毒工作的岗位及岗位职责将防病毒工作职责落实到全行各相关单位，使防病毒工作成为各单位的一项常规工作。目前，工行设置了防病毒运行管理岗、防病毒技术管理岗、防病毒运行监控岗和防病毒维护支持岗等4个类型的岗位，并明确了各岗位对应的单位和部门。2.明确员工的防病毒工作要求　　目前，病毒传播途径多，仅依靠专职防病毒管理人员难以做好防病毒管理工作，因此需要明确全行员工的防病毒工作职责，通过全行上下的共同努力，才能使防病毒工作事半功倍。　　总行对员工防病毒相关的工作职责做出了规定，一是接入工行网络的计算机要安装全行统一的防病毒软件，并纳入全行统一的防病毒管理体系；二是员工要根据防病毒预警要求，及时更新系统补丁程序、防病毒软件引擎和病毒码；三是员工发现计算机受到病毒入侵，或发现计算机病毒无法有效清除时，要采取网络隔离措施，并及时报告防病毒维护支持岗统一解决；四是员工如遇到不能自行处理的防病毒软件运行故障问题，要立即报告防病毒管理部门，确保防病毒软件正常运行；五是员工在读取移动存储设备上的数据之前，要在脱网情况下进行病毒扫描。　　3.检查防病毒工作要求的落实情况　　在明确职责和工作要求的同时，要对制度的执行情况进行认真检查，防止防病毒工作存在短板。对防病毒工作的检查主要分为三个方面，一是防病毒相关制度的执行情况；二是防病毒软件的安装情况；三是病毒事件的处理情况。通过这些检查督促各单位做到安装到位、更新及时、监控到位、处理及时。　　以实时监控、报表分析、现场检查、非现场检查、远程巡检等方式相结合检查全行防病毒工作的落实情况，并考核各单位防病毒工作的落实情况，对防病毒软件安装不到位、病毒事件处理不及时的单位进行考核扣分，提高了全行对防病毒工作的重视程度。　　4.明确病毒信息传输的内容和渠道　　建立明确的计算机病毒预警工作流程和通畅的预警传输渠道，确保计算机病毒预警信息传递准确、快捷，由专业部门负责通过国家计算机病毒应急处理中心及防病毒服务商了解病毒预警信息，及时通过邮件及网讯等形式向全行发布中、高度危害的病毒预警信息。通过总行、一级分行、二级