校园网络安全与管理解决方案.doc

大学校园网络安全与管理解决方案建议书 大学校园网络安全与管理解决方案建议书微软（中国）有限公司公共事业部 教育行业目 录1应用背景32方案价值33方案具体规划53.1统一的用户管理活动目录与目录整合（AD+MIIS）53.1.1活动目录技术（AD）统一用户管理53.1.2目录整合服务（MIIS）73.2桌面电脑系统安全方案83.2.1电脑系统补丁管理工具SMS 200393.2.2SMS 2003的主要安全管理功能特性93.3对关键服务器、业务系统的运维管理 - MOM 2005103.4加强网络安全防护 ISA 2006113.4.1ISA Server 2006的主要功能特性123.4.2ISA Server 2006在校园信息系统中的部署方案133.4.3ISA Server 2006在校园网络安全应用中的优势总结153.5反垃圾邮件与防病毒 Sybari153.5.1在校园网络中进行反垃圾邮件和防病毒势在必行153.5.2微软在实现反垃圾邮件和防病毒的产品概述163.5.3Sybari软件在防病毒和垃圾邮件中的优势总结174软件清单20- 20 -1 应用背景 信息安全是所有信息系统建设的重要问题之一。在校园网建设中，很多校园网由于系统管理不善，安全保障措施不力，病毒通过系统漏洞，邮件等途径在校园网传播和泛滥，导致校园网成为计算机机病毒滋生和泛滥的温床，给校园网信息系统的应用、管理和维护带来巨大的负面影响。2 方案价值信息安全是微软公司高度重视的领域。近年来，微软公司在信息安全和系统安全方面投入了大量的人力和物力，开发了活动目录、桌面计算机管理、服务器运维管理和网络安全服务器等一系列信息安全管理的软件技术、产品和工具，并得到广泛的应用,包括：管理人员数字身份信息的统一用户管理解决方案，对桌面管理的桌面安全管理解决方案，以及对业务应用进行管理的服务器应用管理解决方案。关于这些产品的详细功能特性、部署方法、应用案例信息，用户可以访问微软的网站获得（/china）。微软提供的校园安全与管理解决方案从整体上，为校园网管理提供了一个全面、立体的防护和管理手段，校园网管理者借助这些操作简单，易学易用的工具，可以确保校园网信息系统安全，稳定和健康的运行，确实保障信息化建设投资发挥其应有的作用。该方案全方位的从四个方面对整个校园网的安全进行管理和维护：1. 统一用户管理：对于一般高校来说，校园网中一般已经有很多基于不同平台、不同开发商、在不同时间开发的各个应用系统，形成一个个的“信息孤岛”。为了解决“信息孤岛”给校园信息化带来的一系列问题，对于用户的统一身份认证和权限管理是一个十分关键的环节。统一用户管理是指将校园内各种人员在信息系统中的数字身份统一管理起来，实现各应用系统的用户身份信息整合，这是实现用户权限管理，应用集成，单点登录的基础。2. 桌面计算机补丁管理在校园网中，往往由于没有及时打上补丁或者进行软件升级而形成大量的安全漏洞，病毒或黑客们通过对漏洞的袭击，可以引发大规模的冲击波、震荡波，甚至造成整个校园网络的瘫痪。所以，微软在校园的安全和管理方案中桌面安全管理的概念，SMS服务器可以实现软件的自动安装与升级。这样，老师和学生不再需要手工下载补丁或更新软件，SMS服务器可以在自动地为校园内的每一台机器进行软件升级或者安装软件补丁。于是极大程度上降低了校园网安全隐患出现的概率。3. 服务器运维管理一般高校中大部分的服务器上都运行着很多关键业务，如邮件系统、数字图书馆系统、一卡通系统等。这些服务器一旦当机，会给学校正常的教学、工作、生活等带来很不利的影响。为了保障这些运行关键业务的服务器7*24小时不间断的正常运行，微软安全与管理解决方案提供了一套运营维护系统，它为系统的健康，正常和稳定地运转提供了一个监控，预警和排错的机制，极大程度降低了运营维护的成本、难度，减少了维护人员的人数和时间，提高了工作效率。4. 网络安全管理校园网给学生和教师的学习和工作带来巨大效益的同时，它带来的一些负面影响也不容忽视。例如学生在校园网内访问一些包含有害信息（黄色，赌博，涉毒，邪教等）的网站；用户访问包含病毒等恶意代码的网页导致病毒进入校园网；垃圾邮件，病毒邮件等通过电子邮件进入校园网，严重影响了校园网的正常运转；以及学生在校园网内滥用一些聊天软件、BT下载等对网络的不当使用行为。微软推出了基于ISA Server2004的“绿色校园网”信息过滤系统，实现了网页内容过滤，邮件过滤，应用程序过滤和用户控制等技术手段，有效地防止了上述现象在校园网内的发生，还给校园网一片洁净的天空。而且ISA的部署非常简单，IT管理员只需在服务器端部署和维护，学校所有的客户端都遵守ISA服务器端所设定的所有规则。5. 防病毒及垃圾邮件近年来，由于计算机应用的普及以及互联网的广泛应用，高校中计算机病毒呈爆炸性增长，导致了多次病毒爆发，这也反映出目前计算机系统和网络应用中的问题，计算机病毒已经成为全球性的安全问题。亚洲地区，特别是中国内地地区，由于高校计算机增长较快，而人们的安全意识相对不够高，因此对计算机病毒的防范相对薄弱，也在近年连续爆发病毒疫情，造成了巨大的损失和严重的破坏。为信息传递和协同环境提供综合、全面的反病毒、内容管理和电子邮件安全解决方案。Antigen 无与伦比的技术使其成为市场上供Microsoft Exchange 和Lotus Domino ，以及Windows SMTP Gateway用户使用的最为可靠、运行最佳的解决方案。Sybari 将Antigen 设计为，全面、彻底地明了Exchange 和Domino及Windows SMTP用户的特有问题。因而，Antigen 知晓如何补充信息传递和协同产品的强势，以及保护其安全性弱点。Antigen 的设计，为群件系统 信息传递和协同工作系统创造了最佳可能、最全面彻底的保护。3 方案具体规划3.1 统一的用户管理活动目录与目录整合（AD+MIIS）在信息与系统安全管理体系中，对于信息和系统用户的身份认证和权限管理是一个非常关键的环节。对于处于“信息孤岛”状态的信息系统而言，用户的身份认证和权限管理是由各个系统自行管理的。随着系统数量的增加，用户需要记忆和使用多个系统的用户名和密码，系统管理员也需要管理同一用户在不同系统中的不同用户身份信息。这种状况往往导致使用、管理、和系统安全方面的许多缺陷和问题。从系统整体架构角度出发，新一代校园网的安全体系需要建立一个集中、统一、独立于各应用系统之外的用户认证和权限管理机制，以实现安全、高效的用户身份和权限管理。从实现的技术手段讲，目前使用最多的技术是目录系统（Directory）。目录系统的实质是一个特殊的数据库，专门用于存放和管理用户认证和权限管理的信息，并允许外部系统通过开放的标准协议（如：LDAP协议）对目录系统进行操作。统一的目录系统是新一代校园网的关键基础设施，是实现用户单点登陆到不同应用系统，统一管理用户身份认证和权限管理的基本条件。由于统一的目录系统涉及整个系统的用户管理和各个应用系统的安全，在建设统一的目录系统是需要由经验丰富的专业技术人员进行仔细规划和设计，以适应校园网建设当前和未来持续发展的需求。同时，考虑到用户信息存放地方与类型的多样性，如：有的存放在目录系统中、有的存放在数据库中、有的存放在文件中，必须有一个目录整合服务的产品来实现对不同地方存放的用户数据进行整合，同时提供用户身份信息的同步。微软为实现统一用户管理提供了活动目录技术与目录整合服务技术(MIIS)：3.1.1 活动目录技术（AD）统一用户管理微软的Windows Server 2003提供了免费的目录服务产品活动目录服务(Active Directory AD)。负责校园网中系统用户数字身份的认证，网络资源管理，应用程序管理，文件和打印管理以及系统配置管理等，实现单一登录，安全认证、用户授权、系统策略和桌面安全管理等方面的功能需求。下图显示了校园内统一用户管理的示意图：图1统一用户管理实现示意图活动目录在校园信息化系统中的主要功能特性有：v 实现统一的用户身份管理部署活动目录后，可以将所有用户的身份信息（用户名、密码、数字证书）统一存放、统一管理。这是实现统一的用户身份认证、“单点登陆”到不同应用系统的基本条件。用户在使用系统的过程中不需繁复地输入帐号和密码。而对于安全级别较高的应用，可以利用活动目录内置的对智能卡技术的支持，加强用户登录验证的控制。v 实现统一的用户权限管理对于简单的应用系统，通常可以使用目录系统进行用户的权限管理。可以使用活动目录的组策略技术（Group Policy）实现不同粒度的用户权限管理，如控制普通用户对桌面系统重要配置参数的修改能力、禁止用户安装不必要的软件等。一般来说，可以将大量用户封装到一个组中，通过对一个组制定策略来对大量用户集中管理。一般情况下子容器继承父容器中所有的组策略。于是可将越普遍的规则设定在越高层的容器中，通过继承的特性让规则作用于之下的所有容器，避免大量规则的重复制定，易于管理。v 实现用户与机器的分离无论用户在校园网使用的是哪一台机器，只要使用同一个账号登录到域中，用户保存的文档和其他应用环境都不会变化，保证用户的工作可以继续。并可以按照用户角色（如老师、学生、家长）等对用户的桌面环境进行定制和自动的更新。一般来说，用户的角色不同，对系统的要求也不一样。我们需要针对不同用户的需要为他们建立不同的界面风格、安装合适的应用程序；同时，当用户的身份发生变化（例如，老师的升职或者调动），可以按照用户新的身份来自动的对用户的桌面进行更新。v 统一管理各种系统的基础支撑目前的主流桌面系统自动安全管理系统都需要目录系统的支持。部署活动目录是实现桌面系统自动安全管理的基础。此外，目录系统也是统一管理打印机、文件服务器等网络资源的核心。v 支持开放的目录标准协议- LDAP微软的活动目录支持开放的目录标准协议- LDAP。不同的应用系统均可以使用LDAP协议访问活动目录的内容，对活动目录进行操作。v 灵活多样的部署方式活动目录支持多种部署方式以满足不同需求，如：集中式部署、分布式部署、多级部署等。下图2为在一般高校的单域活动目录部署图：图2 统一用户身份和权限管理结构图微软活动目录是一个有多年历史、相当成熟的技术，在国内外电子政务建设和大量校园的信息与系统安全建设中得到广泛应用，产生了显著的效益。3.1.2 目录整合服务（MIIS）Microsoft Identity Integration Server-MIIS是微软推出的用于用户信息整合与密码管理的产品，它采用了目录整合的技术，可以集成目录、数据库、将应用程序、电子邮件及操作系统的用户识别信息合而为一。还可整合多种储存机制的识别信息、提供单一的管理接口，提高信息人员的生产力、降低管理成本。在校园目录整合服务中有很大的作用，MIIS具有以下一些功能特性：v 同步不同平台和系统的用户身份信息能够同步校园内部门多种异构平台的目录以及非目录用户数据库的用户身份信息，让客户跨越异构平台更新用户身份信息的流程自动化，同时保有整个校园内部内部数据的完整性及一致性。整个校园内部的用户身份数据可自动保持在最新的状态。v 提高用户账户信息的可管理性可以在不同系统及平台之间方便地设置或删除使用者账户及身份信息，如分布区域、电子邮件及安全性群组等账户。例如，当人力资源部门设置新的或删除用户账户时，MIIS可以根据人力资源系统数据库的变更自动同步更新其他系统的用户账户信息，有效地提高信息系统的安全性。v 密码管理功能密码管理功能可让用户或系统管理人员方便地透过Web 接口来重设跨越多重系统的密码，简化跨系统、多系统的用户密码管理流程。将AD与MIIS结合可以实现完整的统一用户管理解决方案，实现用户信息的同步、用户身份管理、以及单点登录等功能，提高校园网的信息安全水平以及教职员工的工作效率。3.2 桌面电脑系统安全方案根据统计，平均每七千行左右的软件程序就可能存在一个缺陷(BUG)，软件缺陷是所有软件产品不可避免的共同问题。实践经验也表明，大量信息安全问题都是由于软件漏洞受到病毒感染和黑客攻击造成的。由于多数校园网内部大量计算机没有及时安装软件补丁，系统漏洞很容易受到病毒感染和黑客攻击，导致信息和网络安全问题。经常可见的情况是，很多社会上大规模爆发的病毒问题平息之后，在校园网内部仍会反复发作，导致校园网瘫痪，服务器宕机和系统崩溃等严重安全事故。使得校园网成为“名负其实”的计算机病毒滋生和泛滥的“温床”。针对上述问题，根据微软多年的实践经验，我们建议校园网采用以下措施来提升Windows计算机的安全水平： 努力实现桌面电脑操作系统的标准化：使用正版操作系统软件，减少操作系统软件的版本种类（最好能够做到操作系统版本的统一），这是实现桌面电脑系统安全管理的基础。 及时安装各种安全补丁软件：包括操作系统、应用系统补丁和防病毒软件。 在校园内部署能够自动安装安全补丁软件的系统和工具：从根本上解决安全补丁安装和软件分发的统一管理问题3.2.1 电脑系统补丁管理工具SMS 2003随着学校的不断发展以及计算机系统的不断扩展，IT管理人员花费越来越多的精力在客户机管理方面，包括：整理软件，硬件清单并归档，防毒软件和应用软件的版本升级，客户端桌面服务，用户权限控制等。当出现问题时，往往不能得到及时的解决。建立一个更可管理且高效率的计算机系统已是势在必行了。使用Microsoft System Management Server 2003来管理现有的计算机系统，可帮助学校IT管理人员更好的进行系统管理。SMS实现软件的自动安装与升级。这样，老师和学生不再需要手工下载补丁或更新软件，SMS服务器可以在自动地为校园内的每一台机器进行软件升级或者安装软件补丁。不仅如此，如果因为网络故障或者其他原因造成软件升级或补丁安装的意外中断，SMS服务器可从客户端反馈回的报表中得知这次服务不成功，下次将会继续对这个客户端进行升级服务，直至服务成功为止。SMS服务器极大地提高校园网的安全性能、方便统一管理。下图3为SMS服务器自动进行软件分发和补丁安装的工作流程图：图3 SMS自动进行软件分发和补丁安装的流程图3.2.2 SMS 2003的主要安全管理功能特性v 定期进行安全漏洞扫描SMS 2003使用微软的安全基础扫描评估工具（MBSA）定时对各系统进行扫描，并对比微软的最新补丁列表，以决定系统是否存在安全漏洞、是否需要安装最新的补丁。部署在管理中心的SMS 2003服务器会根据MSBA的扫描结果生成安全检查报告，发送给系统管理员，以便及时发现安全隐患并采取应对措施。v 自动管理软件的补丁与版本升级微软每月在固定时间会发布最新的系统和应用补丁，SMS可以自动下载最新补丁列表，对桌面系统和其他系统安装新的补丁。SMS2003支持服务器端设定规则向指定的被管理的系统实施“精确”的补丁安装，也可以对被管理的系统进行配置，定期从服务器下载新的补丁并自动安装。v 全面细致的硬件、软件资产管理SMS 2003提供了信息收集功能，可以使管理员能够及时、准确地获得系统所有设备的硬件、软件信息，高效地进行系统安全管理。3.3 对关键服务器、业务系统的运维管理 - MOM 2005校园网体系包括众多的关键业务应用系统。如何保证这些关键系统的安全、高效、可靠运行是高校IT部门面临的一大挑战。微软的Operation Management Server 2005（MOM 2005）是专门用于对这些关键应用系统服务器进行集中、实时、自动监控，并在出现异常情况时根据设定的预案采取对应的故障处理措施。MOM 2005提供的主要功能特性有：v 集中的服务器和应用软件运维监控MOM 2005图形化的系统监控与管理操作界面，提供操作系统、关键业务系统、服务运行状态(事件、运行状态、故障等)的快速监控管理手段。状态视图包括： 各设备名称、详细的硬件配置、软件安装信息； 全网系统升级状态信息； 以列表形式展现各操作系统、关键业务系统、服务运行状态； 以系统总体拓扑结构形式展现各操作系统、关键业务系统、服务运行状态； 对具体事件、故障提供快速的跟踪、展现机制； 并联结对应的专家系统以提供技术支持； 根据不同的应用特性对系统设备进行分组监控；v 高效、多种形式的故障自动处理当故障或特定事件出现时，MOM 2005会通过电子邮件、短信、即时消息等形式把故障信息传送给指定的负责人，或根据预案规则自动触发并执行脚本、批处理命令等；以实现、报警、以至自动处理/修复机制。v 系统运维知识专家库MOM 2005提供完整的系统运维知识专家库。并可将系统运行过程中产生的故障问题进行积累，将其升华为经验和知识，不断自我完善为整个系统的运维知识专家系统。3.4 加强网络安全防护 ISA 2006随着因特网技术和校园信息化应用的发展，数字化校园应用不只是局限于校园内部，还需要通过因特网与校外应用进行信息交换。校园网给学生和教师的学习和工作带来巨大效益的同时，它带来的一些负面影响也不容忽视。例如学生在校园网内访问一些包含有害信息（黄色，赌博，涉毒，邪教等）的网站；用户访问包含病毒等恶意代码的网页导致病毒进入校园网；垃圾邮件，病毒邮件等通过电子邮件进入校园网，严重影响了校园网的正常运转；以及学生在校园网内滥用一些聊天软件等对网络的不当使用行为。学校急需一个“绿色卫士”来保证校园网的健康，安全运转并被正确使用。教育系统的各级信息化部门都有责任“净化网络空间，实现绿色上网”。在网络层安全方面，微软提供了网络层应用的安全工具 - Internet Security & Acceleration Server 2004（ISA 2006），可用于进一步提升系统的网络安全水平。ISA 2006提供了网页过滤、邮件过滤、应用程序过滤和用户控制、等多种网络信息内容安全的功能（如下图4所示）。同时，ISA Server 2006还是一个应用层的防火墙服务器，可以防止黑客，病毒，恶意行为入侵信息网络，形成对于网络硬件防火墙安全功能的补充和增强。此外，ISA Server 2006提供了Web缓存功能，可以提高网络的带宽利用率，在不增加网络出口带宽的情况下，提高用户上网的速度，改善用户上网的体验。图4 ISA Server 2006体系架构图3.4.1 ISA Server 2006的主要功能特性1. 过滤功能：ISA最重要的功能之一，防止学生上网访问一些不良网站，主要包括： 网页过滤功能：集成合作伙伴提供的网站过滤插件，每日更新黑名单网址数据库； 应用程序过滤功能：通过定义一些常用应用程序的签名信息来过滤用户使用某些特定应用，如聊天、游戏等； 垃圾邮件过滤功能：ISA服务器执行SMTP 邮件的检测，阻止危险代码和不想要的电子邮件进入网络。2. 缓存功能：ISA 服务器部署为正向缓存服务器，并配置学校、教委的ISA服务器实现级联，这种配置及部署方案可以使客户端更快地访问所请求的内容。启用缓存后，可以配置缓存规则，即确定是存储指定站点中的内容，还是从 ISA 服务器缓存中检索该内容。缓存规则应用于所请求的站点，而与源网络无关。此外，在启用了缓存的情况下，还可以配置内容下载任务，提前主动缓存所需内容。3. 控制功能：通过配置防火墙策略规则，可以根据需要控制用户访问Internet的权限。可以在系统里定义不同的用户群，如学生、教师等，然后为不同的用户群设定不同的上网权限，如上网地点、上网时间等。4. 安全功能：所有网络管理员共同关心的安全问题都与攻击有关，在ISA服务器上可以通过配置入侵检测筛选器来检测各种特定的攻击: DNS 入侵。发生了主机名溢出、长度溢出或区域复制攻击。 DNS 区域复制入侵。发生了区域复制攻击。 检测到入侵。外部用户曾尝试入侵。 POP 入侵。检测到 POP 缓冲区溢出。 Windows 带外攻击 (WinNuke) Land 攻击 循环 Ping 攻击 IP 半扫描攻击 UDP 炸弹攻击 端口扫描攻击 另外，网络上蠕虫病毒的攻击也是令网络管理员很头痛的问题，ISA 服务器可以检查应用程序层的命令和数据。通过状态筛选机制来阻止传递攻击代码。ISA 服务器监控状态应用程序层筛选器检查超文本传输协议 (HTTP) 命令和数据，并阻止数据包传递到网络中，这阻止了外围攻击。这一功能是传统的防火墙设备所无法实现的。5. 监控功能：可以通过Web界面，实现对绿色校园网系统进行监控。监控信息包括： 服务器的服务健康状态，如ISA防火墙服务、网站过滤器服务，数据引擎服务等； 当前在线用户数，用户连接状态等； 当前被过滤或阻挡的网站访问信息； 系统各种告警和错误信息； 系统运行性能状况，显示服务器的性能信息，如可用磁盘、CPU利用率、可用内存、网络利用率等。6. 报表功能：系统可以根据日志文件收集的Internet访问数据生成报表，可以按照每天、每周、每月或每年的重复周期来生成报表。报表可以提供以下多种统计数据： 用户访问Internet的情况。 被过滤或拒绝访问的情况 用户最常用的协议和应用程序。 按应用程序、协议和方向分类的总体 Internet 使用情况。 试图违反网络安全的操作情况。3.4.2 ISA Server 2006在校园信息系统中的部署方案 各学校自有Internet出口，区教委可以通过部署本方案实现对区内各学校的网络建设和使用起到指导，监督和管理的功能。具体部署方式如下图所示：图5 单个校园部署模式图6. 教育城域网部署模式在每个学校及区教委的网络出口处均部署ISA服务器，对于自有Internet出口的学校，将通过Internet连接到区教委网络中心，自动下载信息过滤规则和网络访问策略。网站黑白名单和访问控制策略由市教委、区教委、学校自上而下统一管理和维护；网络访问统计报表则自下而上进行收集和上报。3.4.3 ISA Server 2006在校园网络安全应用中的优势总结基于微软ISA Server 2006(Internet Security & Accelerator Server 2004)开发的“绿色校园网”解决方案不仅是一个信息过滤系统，同时还能给各学校提供垃圾邮件过滤，应用程序过滤和用户上网控制等多方面的功能，除此之外，ISA Server还是一款优秀的应用层防火墙和Web缓存服务器，可以加强校园网络的安全性和加快用户访问因特网的速度。由于ISA Server具有灵活，开放的借口，本方案的经过扩展后，还能为老师教学，学生上网起到辅助教学和护航的作用。比如老师上课时，把一个班级的同学分成几个小组讨论研究不同的课题，学生要查询不同的资料，校园网信息过滤系统就像一个分流机器，大量的不同信息从总入口进入，不健康的被折回无法打开，健康的内容再分流到各个教育资源库的类别中，以供不同课题的学生们查用。老师还可以浏览学生上过网站的记录，协助学校理解与分析学生上网情况。ISA服务器提供灵活强大的扩展性，合作伙伴可以开发功能更加丰富的过滤插件来加强信息过滤。也可以基于ISA的Internet访问日志开发统计分析应用，让老师，学校，教委更好地了解上网的情况，对学生做出更好的教育和引导。ISA服务器还提供发布功能和虚拟网络（VPN）功能，可以把校园网内部的应用服务器安全地发布到Internet，让学生和家长在家就可以安全地访问校园网的信息，加强沟通，提高学习效率。3.5 反垃圾邮件与防病毒 Sybari3.5.1 在校园网络中进行反垃圾邮件和防病毒势在必行随着邮件系统的普及，计算机病毒中的邮件病毒开始大行其道，给社会带来越来越大的经济损失，垃圾邮件与邮件病毒已经成为互联网时代的两大杀手，而邮件病毒更甚，因为它不但能产生垃圾邮件，而且还能感染电脑、阻塞网络，造成更大的损失：1. 首先，邮件病毒会对主干网的流量造成影响。邮件病毒的传播过程是这样的，病毒会被首先释放到一台病毒种机中，种机中有大量的公开邮件地址，然后病毒就会通过网络和邮件从一台计算机感染到另一台计算机，由于邮件病毒在每感染一台计算机后就会搜索一次该计算机的所有E-MAIL地址，再向这些地址发送病毒邮件，被感染的计算机不但会向一些未感染病毒的计算机发送病毒邮件，还会进行邮件互发2. 其次，邮件病毒还会对学校和电子邮件服务商造成影响。大部分的高校目前都会有自己独立的内部网络和邮件服务器，邮件服务器每秒钟要收发数以万记的邮件，但是一个邮件服务器的吞吐量和邮件并发数是有限的，当邮件病毒泛滥时，大量的病毒邮件会随时从外部网络涌入，如果学校内部感染了邮件病毒，那么同时也会有大量的病毒邮件从内部网络经由邮件服务器而发送到外网，当病毒邮件远远大于邮件服务器所能承载的最大邮件数时，邮件服务器便会来不及处理邮件请求从而导致邮件阻塞，严重时还会使邮件服务器系统崩溃，从而拒绝服务。一些互联网邮件服务商同样也面临着这样的问题，虽然他们的邮件服务器吞吐量很大，但他们接受的是整个互联网的邮件请求，因此在邮件病毒大量泛滥时仍然会产生邮件阻塞及拒绝服务的情况。有电脑使用经验的用户一定还记得当年求职信病毒爆发时的情形，在病毒的泛滥高峰期，用户几乎是无法收取任何邮件的。3. 最后，邮件病毒会产生大量的垃圾邮件，阻塞用户信箱。这种危害是普通用户能亲身感受到的，邮件病毒泛滥时会给用户的邮箱发送大量的病毒邮件，虽然一些邮件服务商采取了一些邮件过滤的技术，如字符串过滤，截取附件等方法，但是如今的邮件病毒都会采取随机更换邮件标题和内容的方法来躲避过滤，而一些被截去附件的病毒邮件就成了名符其实的垃圾邮件。一些躲过过滤的病毒邮件会有很有迷惑性的标题来诱使用户中毒，而一些被截去附件的病毒邮件则会变成垃圾邮件来占满用户有限的邮箱空间，使用户无法收取正常的邮件。3.5.2 微软在实现反垃圾邮件和防病毒的产品概述由于微软产品在世界范围内的广泛应用，微软的消息与协作服务器(Exchange Server 2003 & Live Communication Server 2003 & SharePoint Portal Server 2003)以及服务器操作系统(Windows Server 2003)在校园网上也有大量应用，为了给用户提供一个安全稳定的应用环境，防止黑客、恶作剧者和病毒制造者利用或攻击这些服务器，微软公司在2005年收购了信息安全领域的领导厂商Sybari公司，为用户提供了全面的消息协作系统病毒防护软件Antigen和高效的反垃圾邮件解决方案和高效的反垃圾邮件解决方案Advanced Spam manager和Advanced Spam defense，帮助校园网保护消息及协作服务器，使其免受病毒，蠕虫及垃圾邮件的冲击。Antigen分为for Exchange/for SharePoint/for LCS/for SMTP Gateway等多个版本，应用独特的多引擎技术，能够检测通过Exchange和Windows Server SMTP网关传送的邮件及其附件，以及发往SharePoint文件数据库的文件和用户在即时消息中互传的文件，发现并删除其中包含的病毒，防止病毒通过这些系统进行传播和感染其他系统。Antigen通过集成整合多家业界主流病毒实验室提供的病毒签名文件，并自动升级，实现对最新威胁的防护，并可帮助用户减少开支。Advanced Spam Manager安装在Exchange服务器或者Windows Server SMTP 网关服务器上，集成具备多种内容过滤技术的引擎，并通过频繁的升级，帮助减少垃圾邮件。Advanced Spam Defense是可以独立安装的反垃圾邮件解决方案，它集成了实时签名搜寻及多种内容过滤技术，减少垃圾邮件通过其他邮件服务器进行传播。通过部署Antigen和Advanced Spam Manager/Defense，能够与校园网基础架构无缝融合，利用多层防护技术，实现对最新病毒，蠕虫及垃圾邮件威胁的防护，减少因病毒及蠕虫冲击校园网所造成的损失，提高校园网的协作能力和利用率。图7. ISA + Sybari 对微软服务器的更好防护3.5.3 Sybari软件在防病毒和垃圾邮件中的优势总结1. 全线支持Windows 2000 Server以上所有版本：与一般服务器端防病毒软件不同，Antigen for SMTP对任何Windows 2000 Server以上的操作平台做全线支持，所有操作系统版本无需不同的Antigen版本匹配。因此当生产环境中的操作系统升级时，无需更换Antigen。2. 高性能的内存扫描：目前防病毒软件采用的技术存在着防护滞后、大量占用网络及系统资源，效率偏低等问题。而真正意义上的实现内存扫描，是解决这一系列问题的关键所在。 内存扫描技术： Antigen通过监控SMTP，在内存中对通过SMTP网关的所有信息，进行病毒扫描及垃圾邮件判断。Antigen独特的内存中扫描功能，大大减少了传统防病毒软件中的引擎大量重复无意义的扫描工作，提高了服务器和网络性能；且真正实现了在内存中处理病毒事件，缩短了引擎单个处理染毒文件的时间。 信任扫描：动态改进实际部署中的性能和可扩展性。可置信的扫描可实现-由一个服务器（或客户机）进行的扫描受信于另一服务器（或客户机），从而避免环境中多余的、CPU密集型扫描。若不同域上的服务器都部署了Antigen，可将这些域互相设置为信任域，从而避免同一个文件被Antigen的同一机制重复扫描的情况。在大型机构中，局域网内部邮件占日常邮件的绝大多数，其重复扫描的工作量非常之大，启用信任扫描，可很大程度上减轻各服务器出入站的扫描任务。 前置防护：与传统扫描技术相比，Antigen在邮件未抵达邮箱之前，在内存中