防病毒体系的分级管理与实现

防病毒体系的分级管理与实现

防病毒体系的分级管理与实现

在现代商业银行中，防病毒管理是一项涉及面广、技术难点多且处理时效性要求高的工作，特别是对大规模防病毒体系来说，更是需要建立一套完整的、分级管理的技术体系和管理体系。中国工商银行（以下简称“工行”）数据中心（上海）安全部承担着分布在全球各地的全行40万台客户端的防病毒管理工作，经过几年的努力，已经建立起一整套有效的防病毒技术架构，在明确病毒软件安装、病毒发生情况监控、病毒事件处理等管理流程的基础上，经过有效的病毒事件处理将病毒事件控制在萌芽状态，为全行安全生产运行提供了技术保障。

一、建立完整的防病毒技术架构

要实现分级的防病毒管理体系，首先要建立一套分级的防病毒技术架构，经过防病毒技术架构将防病毒软件覆盖全辖的所有设备，掌握防病毒系统的整体运作情况，对病毒发生情况进行实时监控并及时进行杀毒处理，这是防病毒工作真正落实到位的有效保障。

构建分级的防病毒技术架构还需要有效地区分各个层级的管理职责，各司其职，提高防病毒管理工作效率。同时，防病毒技术

架构还应覆盖各个接入环节，如互联网接入、邮件接入等，将被动防御变为主动防御病毒入侵。

当前，工行已建立了包括父控制台、子控制台和防病毒服务器的三级防病毒技术架构（见图1）。父控制台由数据中心（上海）负责管理，监控全行子控制台的更新情况和病毒发生情况；子控制台由一级分行负责管理，监控其下属各机构防病毒服务器

的更新情况和病毒发生情况；防病毒服务器由二级分行负责管理，监控其下属所有客户端的更新情况和病毒发生情况。

该技术架构明确了各级机构的防病毒工作职责，为各级机构做好防病毒工作提供了技术保障。经过该技术架构实现的主要功能包括：病毒码的自动更新，在父控制台上访问防病毒公司的官方更新源获得最新的病毒码，经过三级防病毒技术架构发布到全行所有客户端，确保病毒码更新的时效性；病毒日志的自动收集，在客户端检测到病毒时，及时将病毒信息向上传送，经过实时监控界面对所辖设备病毒发生情况进行监控。

另外，在邮件服务器上安装了专用的防病毒软件，对往来邮件进行病毒检测，防止病毒经过邮件传播；在互联网接口上安装了独立的专用防病毒软件，防止在网页浏览或数据下载时感染病毒；在客户端IE浏览器上安装了防病毒专用插件，提示用户该网站是否安全等信息，使用户在上网时免遭钓鱼网站、恶意网站的欺骗及恶意代码的攻击。经过这些专用软件防止病毒进入工行计算机系统，起到了综合防御的作用。

二、建立分级的防病毒管理体系

一般认为，信息安全工作是“三分技术、七分管理”，建立了分级的防病毒技术架构只是完成了技术层面的工作，更重要的是要建立职责分明的分级防病毒管理体系。

1.明确各个层级中负责防病毒工作的岗位及岗位职责

将防病毒工作职责落实到全行各相关单位，使防病毒工作成为各单位的一项常规工作。当前，工行设置了防病毒运行管理岗、防病毒技术管理岗、防病毒运行监控岗和防病毒维护支持岗等4个类型的岗位，并明确了各岗位对应的单位和部门。

2.明确员工的防病毒工作要求

当前，病毒传播途径多，仅依靠专职防病毒管理人员难以做好防病毒管理工作，因此需要明确全行员工的防病毒工作职责，经过全行上下的共同努力，才能使防病毒工作事半功倍。

总行对员工防病毒相关的工作职责做出了规定，一是接入工行网络的计算机要安装全行统一的防病毒软件，并纳入全行统一的防病毒管理体系；二是员工要根据防病毒预警要求，及时更新系统补丁程序、防病毒软件引擎和病毒码；三是员工发现计算机受到病毒入侵，或发现计算机病毒无法有效清除时，要采取网络隔离措施，并及时报告防病毒维护支持岗统一解决；四是员工如遇到不能自行处理的防病毒软件运行故障问题，要立即报告防病毒管理部门，确保防病毒软件正常运行；五是员工在读取移动存储设备上的数据之前，要在脱网情况下进行病毒扫描。

3.检查防病毒工作要求的落实情况

在明确职责和工作要求的同时，要对制度的执行情况进行认真检查，防止防病毒工作存在短板。对防病毒工作的检查主要分为三个方面，一是防病毒相关制度的执行情况；二是防病毒软件的安装情况；三是病毒事件的处理情况。经过这些检查督促各单位做到安装到位、更新及时、监控到位、处理及时。

以实时监控、报表分析、现场检查、非现场检查、远程巡检等方式相结合检查全行防病毒工作的落实情况，并考核各单位防病