尽管目前的对付各种安全威胁的方法都存在这样或那样的不足,但各类反病毒解决方案的终端产品仍然是所有企业安全策略中最基础的部分之一。这类产品实现了第一线的防御任务,并且对于计算机安全来说,它们的效果是显而易见的。一旦企业选择好了适合自己的反病毒软件产品,接下来要解决的就是如何在企业范围内部署这个产品了。就算这套产品或方案带有详细的部署说明文档或者有所谓的“安装向导”,在一个中型或大型企业(超过一千台终端电脑)或全球多个地点进行产品部署仍然不是一件简单的任务。而这个任务的难度,与企业所选择的反病毒产品无关,不论企业是选择McAfee,Symantec,TrendMicro,F-Secure,ESET,BitDefender,AVG,或其它反病毒厂商的产品。显然,为了能够确保顺利的部署AV产品,制定正确的计划是必不可少的。如果是在小环境内部署,那么简单的计划一下就行了,但是如果像我刚才提到的那种大型环境,这种简单的计划就是不负责任的行为。而下面是我给大家提供的参考步骤,如果有谁所在的企业正要部署新的AV产品,同时规模较大,可以作为参考。
试点阶段
在方案评估阶段,各种可能的备选方案一般都会拿来测试。我们希望能在这个阶段发现方案所存在的各种问题,这样我们就能在方案进行大范围部署(或购买该产品)之前找到解决的办法。这个阶段需要确保的是备选方案在企业各个部门内部都要进行小范围测试,确保来自财务、IT、市场、行政以及其它部门的设备都能正常部署该方案。否则,你可能会在大范围部署产品后,接到各个部门的投诉电话,甚至CFO在参与某个重要会议时也会打电话给你抱怨他电脑上的反病毒软件有毛病,导致PPT播放出现问题。另外,要确保将所有试点过程中出现的问题以及解决或变通的方法记录下来,这个记录将会出现在你大范围部署反病毒产品的规划方案中。
沟通失败
在将新的反病毒产品部署到整个企业范围(包括笔记本、台式机,甚至移动终端)之前,要与企业的桌面技术支持团队和IT服务团队取得沟通,告知他们你将要为全公司的电脑安装新的反病毒软件,以及该行动将在未来几天/几周/或几个月内进行(确保他们知道部署的具体日期)。最好专门指派一个IT人员担任反病毒软件安装项目的沟通和宣传工作。另外还要为所有参与的IT人员进行必要的培训,以便他们能快速解答“用户”所提出的各种疑问。
我还建议大家尽可能在公司内部的公告板或类似区域发布通知,以便所有员工都能够知道即将发生的改变。项目执行过程中的透明性很重要,如果不通知员工就进行部署,将会打来意想不到的混乱甚至怨恨情绪(尤其是新的反病毒软件出现问题后)。制定一个项目计划要有明确的日期,资源分配以及对于任何潜在风险的确认。另外每天花几分钟跟上级汇报一下项目的进行状态,这样做会让你觉得项目的实施过程变得难以想象的顺利。
从基础做起
目前企业的反病毒软件都捆绑了大量的功能(主机入侵预防、主机防火墙、行为监控、系统设备管理等等),而由于其复杂性的增加,部署这一套解决方案并让所有的功能都能正常运转,这个过程可能会引发一系列意想不到的问题。因此,可以首先部署基本的反病毒产品,在这套产品完成部署并稳定运行后,再考虑将各种附加功能添加进来。
决定部署方法
为了顺利的在多个部门或办公场所部署反病毒软件产品,可能需要使用多种不同的方法。幸好,很多企业级的反病毒软件产品都带有多种部署选项。对于拥有高速LAN环境(大部分办公网络拥有10Mbps,100Mbps甚至1Gbps的内部连接速率)的主要办公区域和部门,可以采取从局域网某个服务器上进行的集中控制的远程部署方法。而对于分散在各个地区的分公司,它们只能通过广域网与企业内网相连,而广域网的接入速度肯定不会很高,因此在办公时间占用网络带宽去部署反病毒软件客户端,并不是一个好方法。因此,考虑到各种潜在因素,可能对于那些偏远的小办事处来说,最好的方法就是你创建一个反病毒软件的客户端安装包(大部分企业级反病毒产品方案中都有这样的工具)交给分支机构让他们自行安装。
产品设置
在客户端安装之前,产品的策略(扫描例外、计划扫描、使用选项、更新周期等)都需要先根据企业的需求和实际情况确定下来,避免所有的策略都采用软件的默认设置。在大量部署前对产品设置进行优化,是非常有必要的。
评估网络和架构需求
一定要熟知新的反病毒产品对于网络和架构的需求。这种需求主要是考虑到反病毒软件产品的病毒库升级和终端部署问题。包括此类数据传输的最小网络需求,向各个卫星办公室发送升级数据的网络带宽要求等。通过对比反病毒软件产品的需求和企业目前所拥有的网络条件,你可以预估到网络是否会出现瓶颈,并及早通过各种手段进行预防。
按步骤进行
不要试图在一天内在全公司1500台电脑和服务器上安装好反病毒软件。那种一锤子买卖对于大企业的办公环境是不适用的。你可能需要先从那些使用上处于“低优先级”的电脑入手(比如内网的bbs服务器)。另外要5-10台电脑为一组进行安装(并检查安装后的效果),然后在未来的几天内,以10-20台为一组的速度进行安装和调试。可能需要数天到一周的时间,你才能将整个公司的所有终端设备更新完毕。很多反病毒方案都带有管理工具,可以让你知道全公司有多少台电脑已经成功安装了客户端。对于服务器的更新也是类似的,先从不重要的服务器开始,在非办公时间甚至午夜对于承担关键业务的服务器进行安装。
删除之前的反病毒产品
完全删除以前的反病毒软件客户端也是一个必要的工作,因为不同的反病毒产品可能会争夺系统资源,并在实时监控中出现冲突,导致系统资源浪费或系统响应迟钝。而这个结果是大家都不愿意见到的。不幸的是,成功的删除或卸载企业级的反病毒产品并不是一件容易的事儿。众所周知,很多企业级反病毒软件产品很难完全卸载(尤其是注册表项)。对于支持集中管理的产品,可以通过管理中心进行远程卸载。但是这种远程卸载并不总是顺利,导致我们还需要在终端系统上手动卸载。
由于每个企业的环境不同,各种因素导致任何反病毒软件厂商都无法承诺企业在反病毒软件产品更换过程中不出现任何问题。因此,我希望通过上面给出的一些建议,帮助大家更顺利的完成这项麻烦的工作。
【编辑推荐】