ServerProtect_技术方案.doc

XXXX 防毒项目技术方案 1 XXXXXX 服务器防病毒安全方案服务器防病毒安全方案 趋势科技趋势科技(中国中国)有限公司有限公司 2010 年 12 月 XXXX 防毒项目技术方案 2 目 录 1.重新思考服务器所面临的安全问题重新思考服务器所面临的安全问题3 1.1.成为企业生产运行和业务运转的根本3 1.2.企业应用改变带来的挑战3 1.3.受到不断变化新威胁攻击的挑战3 1.4.法律法规带来的要求4 2.病毒入侵渠道分析病毒入侵渠道分析5 3.防病毒系统建设防病毒系统建设7 3.1.防病毒体系设计思路7 4.服务器版防病毒软件服务器版防病毒软件 SERVERPROTECT 介绍介绍8 4.1.概述：8 4.2.产品功能：8 4.3.部署方式：11 4.4.竞争优势：11 5.服务器防毒服务器防毒 SERVERPROTECT 部署部署13 5.1.部署位置：13 5.2.部署示意图：13 附录附录 1：关于趋势科技：关于趋势科技.14 XXXX 防毒项目技术方案 3 1.1. 重新思考服务器所面临的安全问题重新思考服务器所面临的安全问题 1.1.1.1. 成为企业生产运行和业务运转的根本成为企业生产运行和业务运转的根本 随着信息化和互联网的深入，很难想象脱离了网络，现代企业如何才能进行 正常运转。而服务器所承载的企业核心数据，核心应用甚至企业的核心知识产权 等等，让企业已经无法脱离服务器。 1.2.1.2. 企业应用改变带来的企业应用改变带来的挑战挑战 Web 应用：应用： 80%的具有一定规模的行业用户或者企业用户都有会自己的 Web 网站和基于 Web 的应用。 高应用性要求：高应用性要求： 随着 OA、CRM 等应用系统在企业内的广泛应用，甚至有很多企业的生产网络数 据交换全部实现网络化、信息化，对于服务器应用性要求也越来越高； 业务连续性要求业务连续性要求 针对于服务器防护，多数行业用户或者企业用户要求保证服务器提供 24 小时不间 断的服务，服务不能中断，对于业务连续性的要求越来越高； 以上这些应用给服务器的安全带来了更大的挑战，传统的安全措施已经不能 满足现在 IT 系统，服务器系统的安全要求。 1.3.1.3. 受到不断变化新威胁受到不断变化新威胁攻击的挑战攻击的挑战 从 2000 年至今，互联网的发展日新月异，新的引用层出不穷。从 Web1.0 到 Web2.0，从 2G 网络升级到 3G 网络。互联网接入从笨重的台式机，到轻巧的笔记 本电脑，到现在的上网本和手机终端。随着互联网的发展，人们的工作和生活已 经发生了翻天覆地的变化，与此同时，信息技术的发展也带来了安全威胁的发展。 安全威胁的攻击，从单纯的攻击单台电脑，到攻击局域网，攻击公司网络，到现 XXXX 防毒项目技术方案 4 在整个互联网充斥着各种攻击威胁。 在目前的网络安全大环境下，现有的防病毒安全系统已经无法承载日新月异 的威胁攻击。为了确保企业的业务连续性，避免病毒对企业的数据，应用和网络 带来威胁，必须对企业的安全系统进行结构化的完善，尤其在服务器的安全防护 上，在过去的几年中，大部分企业都存在一定的不足。 1.4.1.4. 法律法规带来的法律法规带来的要求要求 中国信息安全等级保护制度和 C-SOX，以及国外的 PCI, HIPAA, SAS-70, SOX, GLBA 等法律法规，从法律上也要求了企业在内部信息系统上，达到一定的安全等 级和应用一定的安全策略。 XXXX 防毒项目技术方案 5 2.2. 病毒入侵渠道分析病毒入侵渠道分析 目前绝大多数病毒传播的途径是网络。对于一个网络系统而言，针对病毒的 入侵渠道和病毒集散地进行防护是最有效的防治策略。正如一个国家如果只让每 个公民进行自我保护是低效和不可控制的，必须设立专门的海关、警署等机关， 对进入本地的人员进行检查，以便将外来的威胁阻止在本地的入口。因此，对于 每一个病毒可能的入口，部署相应的防病毒软件，实时检测其中是否有病毒，是 构建一个完整有效防病毒体系的关键。 来自系统外部（来自系统外部（Internet 或外网）的病毒入侵：或外网）的病毒入侵： 这是目前病毒进入最多的途 径。因此在与外部连接的网关处进行病毒拦截是效率最高、耗费资源最少的措 施，可以使进入内部系统的病毒数量大为减少。 内容保护：内容保护：由于目前邮件系统的使用异常方便，造成了用户很容易在不经意间 将重要的、机密的或是不当的信息通过邮件发送出去；另一方面，来自 Internet 上的垃圾邮件也到处都是，导致大量宝贵的带宽消耗在无谓的数据交 换上，用户还需要花费大量的精力和时间去处理垃圾邮件，大大抵消了互联网 给人们带来的工作、生活便利。因此不仅过滤邮件中可能存在的病毒代码，同 时对往来邮件内容进行过滤也变得日益重要起来。 电子邮件：电子邮件：当前的病毒大多具有自行搜索地址簿并发送带毒邮件的特性。当 Internet 出现新病毒的时候，用户将面临大量染毒邮件的攻击，一旦有一只病 毒实例进入网络，将迅速以各种方式感染网络中的其它计算机，并形成难以遏 制的病毒爆发风暴。 系统漏洞：系统漏洞：从目前的统计来看，病毒利用系统或应用程序漏洞进行攻击已成为 网络系统的安全大敌，从 2001 年的红色代码、尼姆达，到 2003 年的蠕虫王、 冲击波，2004 年的震荡波，每一次病毒的泛滥，都对全球网络形成极大的破 坏，虽然它不象传统病毒会破坏文件，但它却可以在短时间内将整个网络系统 瘫痪； 网络共享：网络共享：网络中数以千计的设备中出于管理、应用、测试等多种目的，存在 着大量的网络共享，虽然绝大部分的客户遵循管理规章制度，对网络共享进行 了密码和权限的保护，但是，伴随着病毒传播的隐蔽性加强和对系统漏洞的利 用，共享依然是网络病毒感染的一条主要途径。 XXXX 防毒项目技术方案 6 移动介质：移动介质：随着 U 盘、光盘刻录设备的普及，最终客户进行的海量数据移动 更加辩解，除去存在已久的文件型病毒能够借助该途径进入网络外，新兴的网 络蠕虫类型病毒、黑客代理程序等有害代码，也越来越多地借助该途径进入网 络。 管理策略：管理策略：由于各下属单位网络建设和应用发展的不一致，导致防毒产品、防 毒策略、管理规章都存在很多不统一的地方。这种情况是防病毒工作的大敌， 千里之堤，溃于蚁穴，任何一个节点被突破都会给网络整体性能带来巨大的危 害。例如 Wormdown.AD 病毒，染毒的客户端会不停地发送垃圾数据到网络 上，形成一台机器感染，整个网络瘫痪的恶果。 XXXX 防毒项目技术方案 7 3.3. 防病毒系统建设防病毒系统建设 3.1.3.1. 防病毒体系设计思路防病毒体系设计思路 为了构建一个强壮、有效的防病毒体系，在分析了用户网络架构及相关应用 之后，针对潜在的病毒传播威胁，建议采用结合产品、防御策略、服务为一体的 防病毒体系。 第一层：信息服务器第一层：信息服务器 该层主要用于对服务器病毒防护建立进行纯一的管理平台，查看全网服务器 的病毒日志，进行纯一的病毒清除和病毒代码更新，策略的统一下发，设置终端 计算机退出、卸载等。 第二层：标准服务器第二层：标准服务器 该层主要通过 ServerProtect 建立服务器的病毒防御能力，主要用于防护服 务器完成对病毒的查杀，并向安装在信息服务器的管理中心报告。 第三次：管理控制台第三次：管理控制台 该层主要针对于服务器区域为了便于管理，可以将控制台安装于网络内的随 意客户机上，通过管理控制台连接信息服务器，进行对于全网防病毒服务器的详 细配置工作。 XXXX 防毒项目技术方案 8 4.4. 服务器版防病毒软件服务器版防病毒软件 ServerProtectServerProtect 介绍介绍 4.1.4.1. 概述：概述： 在 XXXX 网络内部，有大量的应用服务提供，这些服务器如果有病毒存在，一 方面会影响正常服务的提供，另一方面对 XXXX 也会造成不好的影响。从统计来看， 病毒对一台服务器造成破坏的影响力要远远大于单机，所以对服务器的有效保护 是整个网络系统平稳运行的关键。 4.2.4.2. 产品功能：产品功能： 三层式架构执行远程管理三层式架构执行远程管理 ServerProtect 通过三层式架构强化整个网络的安全管理。而管理控制台使用 了具有密码保护才可登录的 TCP/IP 通讯协议，来进入 ServerProtect 的信息服 务器。此信息服务器使用远程过程调用 (RPC) 来连结上 Windows NT 的服务器， 而使用序列封包交换 (SPX) 来连结上 Novell NetWare 的服务器。 激活远程服务器的 ServerProtect 安装、升级和解除安装 更新病毒码文件、扫描引擎和修正程序下载 扫描和清除病毒 安装与设定 实时病毒警告通知 病毒事件记录和报告 XXXX 防毒项目技术方案 9 新平台的支持新平台的支持 新增支持 Windows 2008 Server 平台。包括支持 Windows 2000、Windows 2003 大部分版本、Windows 2003 R2、Windows 2008 和 Windows 2008 R2 服务器 支持 64 位的硬件平台 支持 VMWare ESX/ESXi 3.5 服务器, 支持 Vmware Vsphere 4 支持在主机服务器和客户端虚拟机上的 Windows 2008 Server(带 Hyper-V） 上 运行 ServerProtect 内建完整的说明功能内建完整的说明功能 ServerProtect 的说明功能提供许多病毒相关问题的解决方案，而在线病毒 百科全书也提供了数千种常见病毒的详细说明。 实时扫瞄实时扫瞄 ServerProtect 同时使用病毒行为模式分析和病毒码比对技术，侦测并清除 “in the wild“ 的已知计算机病毒。ServerProtect 也结合了 MacroTrap (趋势宏 XXXX 防毒项目技术方案 10 病毒扫描引擎)，来侦测并清除宏病毒。ServerProtect 可支持扫描下列压缩档的 文件包括：ARJ、Diet、LZEXE、LZH、PKLITE、PKZIP 和 Microsoft Compress， 它也可以支持编码 UUENCODE 及 MIME 等编码格式文件并进行扫描工作 。 工作管理导向工作管理导向(Task-Oriented)作业作业 ServerProtect 使用工作管理导向(Task-oriented)的方式来选择所需要的功 能。使用者可以建立他们自己的功能项目，这些功能选项包括：立即扫描、更新、 打印记录、输出记录、清除记录、执行统计和设定实时扫描等。许多例行的防毒 工作项目可储存为单一的工作项目，以改善防毒管理的工作效率。 智能型处理行动智能型处理行动 ServerProtect 的智能型处理行动(ActiveAction)能针对不同类型病毒，设定 不同的处理行动，如特洛依型病毒或蠕虫就直接采取删除动作，增加扫描的效能。 智能型扫描服务智能型扫描服务 ServerProtect 的智能型扫描(IntelliScan)功能是以文件真正内容格式 (True file type)作扫描，且支持 OLE 文件的扫描，增加侦测病毒的准确性。 病毒事件的通知病毒事件的通知 如果一套防毒软件无法警告管理者，在他们网络上病毒潜藏的严重情况，这 就没有发挥防毒软件应有的功能。ServerProtect 会发布通知来警告下列的情况： 发现病毒感染文件、变更功能设定、卸载防毒软件、试图修改重要目录写保护或 尚未更新已过时的病毒码。消息可经由短信、打印机、Internet 电子邮件、SNMP 通知或写入到 Windows NT 事件记录文件来传送。 病毒活动记录报告病毒活动记录报告 ServerProtect 完整的病毒活动记录报告能够追踪和管理大量的防毒工作， 其中包含有病毒感染文件的发现、病毒码和程序更新、病毒警讯、疑似中毒文件 的移送检查、扫描时间记录和重要目录写保护的修改。 病毒码更新病毒码更新 病毒扫描引擎只有在更新最新防毒组件后，才有 100%防毒的功效。 ServerProtect 可设定自动下载最新的病毒码和扫描引擎，然后再将它们分配到 XXXX 防毒项目技术方案 11 指定的服务器上。新病毒码的传递使用了智能型递增更新方式，也就是说一个服 务器只需要下载之前版本所新增的新病毒码即可。如此高效能的病毒码更新方法 节省了下载时间和保障网络带宽的畅通。 目录或文件写保护功能目录或文件写保护功能 ServerProtect 可设定特定目录或文件不被病毒写入，更加一层 Windows 服 务器的安全性。 趋势趋势 TSC 系统病毒清除程序系统病毒清除程序 ServerProtect 含有 TSC 系统病毒清除程序，能针对内存或系统注册表作扫描， 以侦测残存于系统内的病毒，并回复被病毒修改过的系统注册表于原始值。 集中式局域网管理集中式局域网管理 ServerProtect 提供单一的管理控制台，将 Windows NT 和 Novell NetWare 服务器及局域网的管理工作化繁为简。而 ServerProtect 管理控制程序，可以让 管理者在同一局域网中同时设定不同的文件服务器，并且从所有的服务器汇总出 病毒活动记录报告。 4.3.4.3. 部署方式：部署方式： 在整个网络其中一台服务器上安装管理模块、防毒模块和控制台，然后通过 控制台对其它服务器进行远程安装和管理。通过单一控制台对所有服务器进行更 新、管理、维护。同时管理模块从控管中心获得升级后，自动分发给管理的每一 台服务器。 4.4.4.4. 竞争优势：竞争优势： 自动获得预防策略，有效控制病毒扩散 可集中分发病毒清除工具，免除手动清除烦恼 从单一管理主控程序来管理多网段服务器 透过三层式管理架构强化整个网络的安全管理 有集中隔离工具,可以将感染病毒档案集中隔离到一台服务器 有病毒追踪工具,当有病毒通过网络共享扩散时,可以侦测到感染病毒的机 器 XXXX 防毒项目技术方案 12 可以实现远程集中安装、扫描、更新、管理 软件安装时可对病毒进行预处理，安装后不需要重新启动 强大、完善的日志管理功能 安装简单、产品成熟、运行稳定、高效防毒 XXXX 防毒项目技术方案 13 5.5. 服务器防毒服务器防毒 ServerProtectServerProtect 部署部署 5.1.5.1. 部署位置：部署位置： 在防毒专用服务器上安装管理端、防毒端和控制台，在其它机器上远程安装 防毒端。 5.2.5.2. 部署示意图：部署示意图： XXXX 防毒项目技术方案 14 附录附录 1 1：关于趋势科技：关于趋势科技 趋势科技简介趋势科技简介 趋势科技（Trend Micro Incorporated）是互联网内容安全领域的全球领导者， 致力于保证企业和个人用户数据信息交流的安全性。作为开拓者和行业领导者， 趋势科技一直在推进集成威胁管理技术来保护运行连续性、个人信息以及财产不 会受到恶意软件、垃圾邮件、数据泄漏和最新网络威胁的影响。趋势科技位于全 球各地的威胁情报专家为其各种形式的灵活解决方案提供全天候的支持。 趋势科技云安全（Smart Protection Network）是一种下一代云客户端内 容安全架构，旨在保护客户免受网络威胁的影响，同时降低对网络和系统的影响 以及对传统的特征码文件下载的依赖。借助提供领先内容安全解决方案的内部专 业技能以及来自客户环境的实时反馈，趋势科技云安全把来自多个地址的信息关 联起来，实现全面的网络威胁保护。趋势科技云安全可以用在现场或托管网络、 讯息以及端点安全解决方案中，保护公司和终端用户免受网络威胁的影响，这些 网络威胁会破坏信息，严重损害公司或个人的信誉。 趋势科技在把创新思想成功转化为尖端科技方面享有盛誉，Gartner Group 连 续四年把趋势科技评定为最具创新能力的防毒管理供应商。IDC 数据表明，趋势 科技在全球服务器架构防毒解决方案居领导地位，在整体服务器防毒软件市场、 群组防毒软件市场、网关防毒软件市场的占有率均高居全球第一位。 趋势科技在中国趋势科技在中国 2001 年 7 月趋势科技正式进军中国市场，在上海、北京、广州等地设立分支 机构，以“用创新服务用户的需要”为宗旨，为中国各行业的用户提供高品质的 产品与服务。迄今为止，趋势科技在中国大陆已有接近 500 名员工，其中在南京 XXXX 防毒项目技术方案 15 建立的研发中心超过 300 人，保证了最快速的产品及技术更新和本地化支持，包 括 IWSA, IMSA, ScanMail, ServerProtect 等趋势科技拳头产品主要有中国研发 中心负责。 2003 年趋势科技与国家计算机防病毒应急中心达成协议，趋势科技将在国家 计算机防病毒应急中心设立“趋势科技*中国防病毒研发暨技术支持中心国家防 病毒应急中心联合实验室”(TrendLabs China)，便于双方能够进行广泛的技术交 流，促进中国的网络安全事业的发展，协助国应中心打击网络安全犯罪和更好地 服务于趋势科技在国内的广大用户。趋势科技中国实验室将充分利用总部位于菲 律宾的趋势科技全球防毒研发暨技术支持中心TrendLabs 的丰富资源， TrendLabs 是全球唯一一家通过 ISO9002 认证的防毒机构，由 400 多位资深安全 专家组成，能够为趋势科技全球用户提供 7*24 小时不间断的专业防毒服务。 TrendLabs China 在天津的正式成立，必将对 TrendLabs 更好地为中国用户服务 起到积极的促进作用。 目前，趋势科技已成为在中国投资最大的跨国信息安全软件公司，并衷心希望 长期服务于中国的信息安全基础设施建设。 趋势科技网络安全软件及服务