企业在建立信息安全防护体系时，往往会面临患者就医时同样的矛盾：究竟是选择“刮骨疗毒”还是“固本培元”？

鱼与熊掌皆所欲

   对于中铁快运企业网络（以下简称中铁网络）的信息化部门来说，保证信息网络的安全畅通，早已不仅仅是信息部门自己的事。从某种程度上来看，保护好物流企业的信息系统，也就是保护了企业未来的核心竞争力。

   在新安全威胁的挑战面前，原有的“临时抓药”的方式显露出越来越严重的不足：首先，要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。其次，整个网络体系缺少全网病毒代码统一自动更新功能。第三，防病毒工作是一项复杂、长期的任务。最后，由于网络中关键部位缺少防护，而中铁企业在邮件网关上目前也没有部署相关防病毒插件。

   中铁快运信息化部门的负责人表示：选择最专业和最知名的厂商，不仅是为了选择更好的技术或更好的产品，更重要的是，通过前一段时间应用杀毒软件让他们认识到，安全产品不同于普通IT产品，真正的价值并不在于产品本身，而是随后的专业化服务与应急响应。面对这种最直接的挑战，赛门铁克提出了以Symantec Client Security产品为核心的解决方案，该方案结合了集成化防护、先进的主动防御技术和各种安全功能，使包括远程用户在内的联网客户端免受攻击，同时也减轻了协同运作上的问题。

“主动”的架构配方

   在管理方面，SCS可以通过统一的管理平台管理所有的安全策略（包括AV、IDS、客户端防火墙的策略）。让管理人员不再疲于应对。所有这些，使得SCS成为应对目前混合式威胁不断蔓延的最佳“对症良药”。

   那么，中铁网络的信息系统应该怎样“固本培元”呢？赛门铁克的技术人员和用户进行了深入讨论，在详细了解了用户业务应用特点与需求之后，开出了“二级控制，三级管理”的架构配方，重新进行了防病毒系统的整体设计。

   具体来看，在新的网络防病毒体系中，防病毒机制实现一级单位、二级单位、三级单位三级管理，在三级网络中分别部署防病毒服务器，原则上三级单位只部署客户端防病毒产品，由所属的二级分发管理。

   一级单位设立全网的根服务器，承担着全网的防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作。二级管理控制台除了管理所在二级单位的防病毒产品外还管理下属所有三级的防病毒服务器；三级单位部署防病毒服务器，接受二级控制台的管理，承担所在三级单位的软件分发、升级和病毒防护策略的分发。其中两级控制主要体现在：一级控制台承担全网的防病毒产品升级、防护策略制定、报警管理、病毒统计报表生成等工作，一级单位具备接管二级单位防病毒管理工作的能力。三级管理主要体现在：一级管理、二级管理和三级管理分别负责本地局域网络的防病毒系统日常维护工作。

   有了这样一套完整易用的端点安全防护体系，不仅令中铁网络在频发的病毒威胁面前安然无惧，更为其在未来以信息化为主的业务竞争创造了致胜先机。