企业安全规范，为熊猫病毒打预防针 推荐

在网络上熊猫病毒肆虐的时候，偶的公司的客户公司的客户电脑（绕口令？）没有一台发生中熊猫病毒的情况发生(嘘~~~真是万幸）。这还得多亏当初我在对他们的安全保护上下的工夫啊。

虽然不同的企业公司，因业务范围的不同而在电脑使用上会有所不同，比如，广告公司在电脑使用上倾向于图象设计、视频设计等软件应用上。贸易公司在电脑使用上倾向于电子邮件。其余部分可以总结为多数使用办公软件。但是在安全保护设计上，往往都是互通互同的。

在当初的项目设计上，首先提出的是架设网关防火墙，在得到客户老板的允许操作下，首选ISA作为防火墙，封堵外网到内网的一切访问（反正内部没有服务对外）开设策略，只允许HTTP、HTTPS、POP3、SMTP等几个常用协议连接外网，然后，限制客户端下载.mp3、.exe 、.rmvb、.torrent、.rar等文件类型下载（一句话，根本就不让下载）如果有需要上网下载的用户，需要向公司管理员申请。然后，管理员再找我给开设对应的用户下载。

当然，一开始将防火墙架设成功后，会有段用户磨合期(就像谈恋爱样！得有段互相看不顺眼的时间段）。这段时间，我也几乎是天天待在客户现场解决各种各样问题（事实证明，无论事前想的多周到，还会有许多小问题出现的。）

网关上的安全保护，只是长征路上的一小步。继续走下去。

客户端保护上，我采用了user组的方式。将客户端电脑全部改为本地user组（或是域成员）。修改本地管理员密码。我个人觉得设置user组（或域成员）是有必要的，用户的电脑使用权限将受到许多限制，如：用户没有权限安装软件（也要向管理员申请）。当然，前提是将客户必须用到的软件都预先装好。此方式最好能用域控的方式，因为，好管理。比如，可以通过域管理器分发补丁包哦。可以通过组策略来统一限制客户端的使用哦。（偶就曾经偷偷设置服务器组策略限制客户公司的PLMM使用MSN，然后再以晚上请客为条件帮她解决~~~：））

修改用户登陆模式只能治标不治本。下面的步骤才是重点。

通过我们公司老板的极力推荐~~~每个客户公司都或多或少的拿出一点钱来，配置了台文件服务器，充当整个公司的文件共享中心，所以，这种情况下，就可以很好的结合user组的权限，限制用户自己设置共享文件夹（许多病毒、木马都是走共享端口传染的），然后，通过在客户端架设网络防火墙封堵局域网之间的任何访问（打印机连在文件服务器上）。这样，病毒就不能通过端口扩散了。网络防火墙我选择了天网的。

为了安全起见，客户端架设病毒防火墙是一定要的，而且，这还是重中之重。软件防火墙我选择卡巴斯基，启用定时杀毒功能（一般都设在中午休息时间），设置保护密码（防止用户自己取消保护）。

事实证明，病毒的扩散，往往都是因用户的电脑随意使用和公司网络管理不规范造成的。只要预防措施做好了。像威金、熊猫烧香等病毒发作的可能性会大大降低。当然，以上我只是大概总结了下，具体的实施过程还是比较漫长和烦琐的。虽然，没什么技术含量，不过，确实是对付病毒的一个可行性办法。
在整个网络系统架设好后，后期的用户培训工作也同样重要，跟用户说明此做法的用途及以后遇到一些简单问题的自我处理办法。再写些略带“恐吓”性的警示说明，基本上，以后的维护都是解决电脑小故障了~~~