企业杀毒解决方案.doc

山西京玉发电有限责任公司建立网络安全 解决方案北京数途科技有限公司2008年5月16日目 录(本方案含保密信息，请勿泄露)第 1 章前言4第 2 章山西京玉发电有限责任公司网络防病毒需求分析52.1需求概述52.2防病毒总体技术架构需求分析52.2.1强制性防病毒制度62.2.2服务器防病毒需求62.2.3客户端防病毒需求7第 3 章山西京玉发电有限责任公司网络防病毒体系设计83.1体系设计思想83.1.1实现目标83.1.2设计原则83.2山西京玉发电有限责任公司网络防病毒总体架构93.2.1建立完善的防病毒制度93.2.2防病毒架构下的各业务系统覆盖113.2.3紧急处理措施和对新病毒的响应方式113.3技术管理服务的体系化建设133.3.1技术层面：主动防御133.4端点安全保护Symantec Endpoint Protection173.4.1产品简介173.4.2产品主要优势183.4.3主要功能193.5邮件安全系统Symantec Mail Security193.5.1产品工作原理、部署和管理方式20第 4 章终端安全管理系统体系结构设计224.1管理系统功能组件说明224.2系统管理架构设计234.3病毒定义升级254.3.1防病毒系统初建后第一次升级方案254.3.2正常运维状态下的升级方案254.3.3Symantec病毒定义升级频率264.4网络带宽影响264.5安全管理策略设计274.5.1管理权限策略274.5.2各地市组织结构策略274.5.3备份和数据库维护策略274.5.4安全策略274.6本方案采用产品列表28第 5 章数途科技端点安全服务295.1服务总则295.1.1维护协议295.1.2数途科技服务基本流程305.2服务项目325.2.1服务内容325.2.2现场支援工作流程335.2.3系统培训345.3Symantec厂家技术支持35第 6 章数途科技公司介绍37第 1 章 前言 现在随着电子数字化信息的发展，山西京玉发电有限责任公司企业也成功地进行了数字化建设，但是随着数字化的发展，山西京玉发电有限责任公司的网络安全特别是防病毒安全问题日益严重。目前，山西京玉发电有限责任公司的病毒攻击数量持续上升，病毒本身变得越来越复杂而且更有针对性，这种新型病毒被称为混合型病毒，混合型病毒将传统病毒原理和黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起。而最近对互联网威胁很大的间谍软件和广告软件，给企业不仅造成网络管理的复杂，同时可能会带给企业无法估计得损失。混合型病毒的传播速度非常快，其造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多，混合型病毒的出现使人们意识必须设计一个有效的保护战略来在病毒爆发之前进行遏制。这个保护战略必须是主动式的，而不是等到事件发生后才作出反应，需要针对网络中所有可能的病毒攻击设置对应的防毒软件，建立全方位、多层次的立体防毒系统配置，通过在桌面和企业网络等级集成来提供病毒保护。作为国内互联网安全技术和整体解决方案领域的先驱者，数途科技为个人和企业用户提供了全面的内容和网络安全解决方案。数途科技是病毒防护、互联网安全、电子邮件过滤、数据备份管理和应用容灾等技术的领先供应商。为客户提供了全面的Internet安全性产品、解决方案和服务。数途科技客户群不但包括公司、企业、政府部门以及高等教育机构，同时也为小型企业用户和个人用户提供服务，在业界颇受赞誉。第 2 章 山西京玉发电有限责任公司网络防病毒需求分析2.1 需求概述随着山西京玉发电有限责任公司信息化建设的不断深入完善，以及互联网通讯的广泛应用，各种办公及业务系统已成为业务和日常办公各种信息往来沟通不可或缺的工具。一般而言：企业网络Internet区域安全等级最低，是病毒产生及传播的地方；客户端工作区安全等级较高，主要由外来用户、移动办公用户、桌面用户构成，是病毒感染的主要目标，也是病毒进入山西京玉发电有限责任公司网络的主要载体；核心服务器区安全等级最高，这里有山西京玉发电有限责任公司的关键服务器，是安全防护体系最终保护的目标。山西京玉发电有限责任公司网络病毒防范工作：必须从这三个安全区域（病毒防护的主体）着手，根据他们之间的访问关系施加防护及病毒监控。具体防护工作的描述：针对核心服务器区，严防来自Internet及移动用户的病毒入侵，保护其中的关键服务器，这是防病毒工作的重点；针对客户端工作区，需要部署客户端防病毒产品严防病毒（尤其是具有混合型威胁特征的混合型病毒）的入侵；针对Internet区域，需部署网关级防病毒产品，严防来自该区域的病毒及病毒攻击；针对邮件系统，需要部署邮件病毒防护系统；另外还需要部署必要的辅助手段，以监测网络的异常状况，提前预知病毒事件的发生。2.2 防病毒总体技术架构需求分析为了实现山西京玉发电有限责任公司防病毒的总体目标，遵循山西京玉发电有限责任公司防病毒系统建立原则提出以下的防病毒技术整体架构：整体架构包括了全方位的防病毒产品部署及管理。核心服务器承担着全网的防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作。在山西京玉发电有限责任公司防病毒整体架构中，我们数途科技认为客户有如下方面的需求： 完整的企业安全强制性防病毒制度。 服务器防病毒 负责网络中的所有服务器的病毒防护。 客户端防病毒 全面防护各种类型操作系统的客户端的病毒2.2.1 强制性防病毒制度为了确保网络和系统的正常运转，山西京玉发电有限责任公司必须指定相应的管理制度，我们建议山西京玉发电有限责任公司的防病毒管理制度分为3个层次：1. 相应的MIS人员负责整个网络安全的目常管理及维护。2. 制定相应的机房上机管理制度。3. 强制实施统一的防病毒策略和惩罚制度。2.2.2 服务器防病毒需求文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率，由于文件服务器为网络中所有工作站提供文件资源共享，并且能对信息进行长期有效的存储和保护。因而也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站或服务器上。一旦服务器本身感染了病毒，就会对所有的访问者构成威胁。因此文件服务器需要设置防病毒保护。山西京玉发电有限责任公司各级网络内都有Windows NT/200X Server的平台的服务器，为了能够有效的实施病毒防范，特提出以下需求。服务器防病毒产品需要能够实现以下功能：1 能够对Windows NT/200X Server 提供Winsock层的全面防护；2 服务器防毒产品能够与Windows 200X操作系统中的NTFS5, UDFS和Encryption File System (EFS) 、FAT32文件系统集成；3 对包括间谍软件、广告软件在内的扩展威胁具备良好的检测和清除能力；4 和簇系统相兼容的实时防病毒保护；5 支持WIN NT 、WIN 200X、Unix、OS2等操作系统；6 支持集中管理、远程监控、自动升级、定制安装等功能；7 系统运行效率高、占用资源少，不影响应用系统的正常运行；8 系统能够提供好的安全性、稳定性，确保服务器的安全运行；9 快速检测和清除已知的病毒；10 具有强大防病毒能力和修复能力，能检测和清除来自各种途径的各类病毒、恶意代码和特洛伊木马等黑客程序；发现病毒后，有多种处理方法，支持多种压缩文件格式病毒检测，厂商能够提供几层压缩文件检测；11 对未知可疑行为或代码有一定的监控措施；12 易操作，从最终用户到管理员均可进行病毒防护工作；2.2.3 客户端防病毒需求病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性，某个感染病毒的桌面机可能随时会感染其它的机器，或是被种上了黑客程序而向外传送机密文件。现代网络中的工作站数量具有数百台上千台甚至更多，如果要靠管理人员逐一到每台计算机上安装单机防毒软件，费时费力，同时难以实施统一的防病毒策略，日后的维护和更新工作也十分繁琐，容易造成部分客户端的病毒防护不彻底，成为病毒入侵的突破口。建议加强对移动用户的管理并提高所有客户端的病毒防范能力。具体需求如下：1. 可扫描内存、驱动器、目录、文件和Lotus Notes数据库和邮件系统。在Lotus Notes环境下，数据库和邮件的扫描可以在本地实现；2. 对包括间谍软件、广告软件在内的扩展威胁具备良好的检测和清除能力；3. 支持网络远程自动安装功能； 4. 可以设定集中管理，工作站防毒程序可由统一的管理程序针对所有工作站防毒程序进行集中管理；包括：预约扫描，检测到病毒时采取的行动；5. 能够实时监测网络所有工作站，所有的病毒活动，网络管理同时给予客户端配置的权限； 6. 所有客户端程序在任何时候连接网络时，都可检测病毒库和扫描引擎的升级；7. 检测和清除已知的病毒；8. 具有强大防病毒能力和修复能力，能检测和清除来自各种途径的各类病毒、恶意代码和特洛伊木马等黑客程序；发现病毒后，有多种处理方法，支持多种压缩文件格式病毒检测；9. 易用，从最终用户到管理员均可进行电脑单机的病毒防护工作；10. 兼容系统平台：Windows系列操作系统（中英文）；11. 集中日志管理功能；12. 病毒防治系统运行效率高，占用系统资源少，对原有系统影响小；13. 支持实时防护，并可有效阻挡网络蠕虫的攻击；14. 必须明确客户端防病毒产品对系统的配置最低要求。第 3 章 山西京玉发电有限责任公司网络防病毒体系设计3.1 体系设计思想3.1.1 实现目标通过数途科技国际领先的网络病毒防护产品和丰富的企业网络防毒设计经验，为山西京玉发电有限责任公司网络系统提供一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系，有效抵御各种病毒和混合威胁的攻击。提高山西京玉发电有限责任公司的病毒防御水平，建立一套完善的网络安全体系。3.1.2 设计原则根据山西京玉发电有限责任公司网络系统的现状和系统防毒安全和管理的需要，我们考虑防病毒系统遵循以下几条原则：1. 完善的制度：为了确保网络和系统的正常运转，山西京玉发电有限责任公司必须指定相应的管理制度。2. 完善的策略设置：完善的策略可以更好的解决一些未知的问题。3. 扩展性和可升级性：可升级能力是衡量防病毒系统是否具有生命力的重要指标。防病毒软件必须不断及时地升级病毒样本文件和引擎，在功能、性能上都在不断采用新的技术，保证系统的向前发展。向用户提供多种病毒特征文件和病毒引擎的方便的升级方式，保证组织机构的防病毒系统在第一时间内得到升级。4. 可管理性：对于山西京玉发电有限责任公司这样比较大的组织机构，要管理防病毒软件的分发、升级、配置和支持是一个非常难的事，这就要求提供一个方便管理的平台。防病毒系统必须提供简化管理的工具，可以在几个集中的点上对整个网络中的客户端和服务器进行管理，包括对病毒特征文件和防病毒引擎的分发升级、报警管理和日志分析整理以及病毒处理方式配置等。5. 易用性：在山西京玉发电有限责任公司这样的大的组织机构中，大部分的使用人员并非计算机专业人员，而且由于业务繁忙，不可能系统学习每一个工具软件。这就要求客户端的防病毒软件必须简单易用，自动化程度高，最好无须用户干预。防病毒的客户端软件应当能够自动对病毒实时检测、清除和报告，简化使用的复杂度，结合统一的控制台，用户几乎不需要知道有防病毒软件的存在。3.2 山西京玉发电有限责任公司网络防病毒总体架构 3.2.1 建立完善的防病毒制度没有规矩不成方圆，任何事情都有它相应的规矩。作为一个信息化企业，网络没有相应的管理制度就相当于士兵上战场不知道什么时候进攻什么时候撤退一样。目前根据实际我们了解到的情况，山西京玉发电有限责任公司许多网络安全问题都是由于没有相应的网络防病毒制度造成的，如随便使用u盘，随便上各种网站等等。因此，我们建议客户建立一套完善的强制性的网络防病毒安全制度，考虑到客户的实际情况，以下可以作为客户安全制度的样板：第一节 总则 第一条 为适应山西京玉发电有限责任公司建设发展的需要，确保生产、经营、服务工作顺利进行，特制定防病毒管理制度。 第二条 本制度适用于维护人员和公司内部业务部、财务部等相关部门。机器包含所有接入山西京玉发电有限责任公司网络的计算机。第三条 本制度的执行部门是IT管理部门，直接负责人：（须填写）。第二节 防病毒软件的安装 第四条 首次在计算机上安装防病毒软件时，必须对计算机做一次彻底的病毒扫描。 第六条 山西京玉发电有限责任公司统一使用Symantec杀毒软件，如有特殊需求须经过相应网络人员同意并记录在案。 第七条 对Symantec杀毒软件如何使用: 客户端安装后由相应负责人员统一进行防病毒软件使用教学。第八条 Symantec服务器软件有详细的使用说明，只需在服务器上进行安装，并进行相关设置即可第九条 如果某些应用需要关闭或者禁止杀毒软件，需要经过相关人员同意并记录在案。第十条 Symantec 客户端软件维护人员在安装了后应及时对该软件进行升级，并设置更新病毒库的具体时间原则上每天升级一次。 第三节 预防病毒 第十一条 不打开来历不明的邮件和各种信息。 第十二条 对插入的U盘、光盘和其它介质及对电子邮件和互联网文件做病毒检查。 第十三条 在他人的计算机上使用自己的U盘，应时行病毒检测；同时在自己的计算机上用别人的U盘时也应进行检查。 第十四条 客户端平台的各个服务器应做到专机、专人、专盘、专用。 第十五条 系统管理员对网络内共享存储区域要经常进行病毒扫描，发现异常病毒应及时杀除，不使其扩散。第十六条 定期或不定期地进行磁盘文件备份工作，重要的数据应当定期备份，备份前先要进行查病毒工作。 第十七条 通过设置使计算机启动时直接从硬盘启动。第十八条 对新购置的计算机系统用检测病毒软件检查，证实没有病毒和破坏程序后再使用。 第十九条 新购置的u盘要进行病毒检测和重新格式化，保证无病毒。 第二十条 对新购置的计算机软件在使用前也要进行病毒检测。 第二十一条 禁止从任何不可靠的渠道下载任何软件，对安全下载的软件在安装前先做病毒扫描。 第二十二条 不要用共享的U盘和光盘安装软件，或者复制共享文件。 第二十三条 通过磁盘的写保护功能，划分合适的分区，对重要的分区进行保护。 第二十四条 系统管理员的口令应严格管理，不得随意泄露，定期或不定期的进行更改，保护网络系统不被非法攻击。 第二十五条 系统管理员在任何时候必须保留一张无病毒的系统启动u盘。 第二十六条 病毒主要是从互联网上进行传播，所以为了减少病毒的侵入，客户端维护人员必须取消座席的上网权限。 第二十七条 不泄露系统的密令、密钥。 第四节 防病毒日检、周检、年检，不合乎规范按照100元/次扣除工资。第二十八条 每天对客户端设备（服务器、座席）必须进行基本的病毒检测，发现问题及时解决。 第二十九条 每周定时通过网络对防病毒程序进行病毒库升级，保证病毒程序能查杀较新的病毒。 第三十条 在病毒发作的敏感日期及新病毒公布之日，及时对病毒代码进行升级。 第三十一条 每月对客户端设备（服务器、座席）的相关程序进行检测，以判断程序是否有病毒侵害。 第三十二条 在工程或系统升级时应对各个服务器进行一次彻底的系统病毒查杀工作。 第三十三条 维护使用的U盘要有严格的防病毒措施。 第五节 系统感染病毒时的异常现象：请及时与相关人员联络第三十四条 文件的大小和日期是否变化。 第三十五条 系统启动速度是否比平常慢。 第三十六条 系统运行速度异常慢。 第三十七条 打印、显示有异常现象。 第三十八条 有特殊文件自动生成。 第三十九条 磁盘空间自动产生坏簇或磁盘空间无故减少。 第四十条 系统文件无故丢失。 第四十一条 系统异常死机的次数增加。 3.2.2 防病毒架构下的各业务系统覆盖对山西京玉发电有限责任公司各业务系统的防病毒部署进行详细的描述（合同签订完毕后由售后工程师提供）。3.2.3 紧急处理措施和对新病毒的响应方式1.防病毒厂家的相应方式:当各网络中某个或某些客户端发现有新病毒出现，而防病毒软件无法清除时，客户端会通过隔离技术首先在本地把被感染的文件隔离，首先保证病毒不会发作，同时在本地做备份（取决于管理员的设置），然后再做一份拷贝，自动传送到局域网内的隔离区服务器，提交给赛门铁克中国公司，由赛门铁克中国公司负责提交。会根据当时的病毒定义码情况在几秒钟、几分钟、几十分钟、几小时或48小时内返回针对该病毒的解决方案，当返回相应的病毒定义码和扫描引擎后，可以通过预先的设置，把最新的病毒定义码和扫描引擎自动安装到全行的所有防病毒服务器和发现病毒的那台计算机上，同时也可以安装到指定的几台或一台防病毒服务器上。也可以拨打电话：800 810 3992，具体请参考图： 2.数途科技响应模式:当各网络中某个或某些客户端发现有新病毒出现，而防病毒软件无法清除时，如果需要，可以直接联络数途科技响应人员进行客户服务工作，或者直接发送病毒截图和描述至，会有专业的技术工程师帮您提供相应的解决方案，数途科技处理问题流程：用户问题销售工程师问题记录问题判断/分析用户一般性问题技术支持部门重大非产品问题分析问题/提出解决方案解决问题技术部门确认产品问题提交厂家支持解决问题3.3 技术管理服务的体系化建设实践证明，完整有效的终端安全解决方案包括技术、管理和服务三个方面内容。防病毒技术的部署和实施是“实现用户个人的广义病毒和攻击的防护”的主要力量。传统的病毒防护方案往往以技术为主，但是仅仅依靠技术是有其局限性，因此指望一套防病毒软件解决所有的病毒问题是不现实的；同时，对于XXX这样的大型企业，防病毒的管理性要求甚至比查杀病毒的能力显得更为重要，如果不能做到全网防病毒的统一管理，再强的防病毒软件也不能发挥应有作用。此外，我们重点提出“服务”的根本原因是基于一个判断：即没有任何防病毒厂家能够做到对所有已知病毒和未知病毒的快速准确查杀。服务是产品的一种补充。3.3.1 技术层面：主动防御从以上对新的恶意软件发展趋势和传统的病毒防护产品的特性分析，不难看出，传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。一旦病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种被动的防护方式无法应对新的恶意软件的发展。因此，必须从“主动防御”这一观点出发，建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。相对于被动式病毒响应技术而言，主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。“主动防御”主要体现在以下几个方面：利用其他的系统驱动伪造arp数据包发出。因此，通过在防火墙规则中设定，只允许ndisiuo.sys对外发送Arp数据包（协议号0x806），其他的全部禁止。从而，在没有最新的病毒定义的前提下对病毒进行阻断和有效防护。统一部署防火墙不仅可以解决以上这些安全问题，同时可以成为企业执行安全策略的有力工具，实现一些企业的安全策略的部署，如突发病毒爆发时，统一开放关闭防火墙相应端口。r 具备通用漏洞阻截技术的入侵防护通用漏洞利用阻截技术的思想是：正如只有形状正确的钥匙才能打开锁一样，只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究，便可以立即了解到能够打开这把锁的钥匙必需具备的特征甚至不需要查看实际的钥匙。类似地，当新漏洞发布时，研究人员可以总结该漏洞的“形状”特征。也就是说，可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征，就可以检测并阻截具有该明显“形状”的任何攻击（例如蠕虫）。以冲击波蠕虫被阻截为例进行说明。当2003年 7 月 Microsoft RPC 漏洞被公布时，赛门铁克运用通用漏洞利用研究技术，制作了该漏洞的通用特征。大约在一个月之后，出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。Symantec由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波蠕虫并立即阻止它。在前文对恶意软件的发展趋势中，我们分析了木马、流氓软件的一个最主要的传播方式是利用IE浏览器的漏洞，当用户浏览这些恶意站点时，利用IE的漏洞，攻击者可以在用户终端上悄悄安装木马、广告/流氓软件等。尽管恶意软件的变种数量庞大，但实际上，恶意软件安装过程中利用的IE漏洞种类并不多。赛门铁克运用通用漏洞利用研究技术，提前制作这些漏洞的通用特征。恶意软件若想利用这些漏洞进行安装，必须具备特定的形状，而赛门铁克编写的特征可以提前检测到该形状，从而对其进行阻截，避免了恶意软件安装到用户终端上，从而根本无需捕获该病毒样本然后再匆忙响应。r 应用程序控制技术通过应用程序行为控制，在系统中实时监控各种程序行为，一旦出现与预定的恶意行为相同的行为就立即进行阻截。以熊猫烧香为例，如果采用被动防护技术，必须对捕获每一个变种的样本，才能编写适当的病毒定义。但是，该病毒的传播和发作具有非常明显的行为特征。熊猫烧香最主要的传播方式是通过U盘传播，其原理是利用操作系统在打开U盘或者移动硬盘时，会根据根目录下的autorun.inf文件，自动执行病毒程序。SEP系统防护技术可以禁止对根目录下的autorun.inf的读写权限，特别的，当已感染病毒的终端试图往移动设备上写该文件时，可以终止该病毒进程并报告管理员。再以电子邮件的行为阻截技术应用为例进行说明。首先，我们知道基于电子邮件的蠕虫的典型操作：典型的电子邮件计算机蠕虫的工作原理是，新建一封电子邮件，附加上其（蠕虫）本身的副本，然后将该消息发送到电子邮件服务器，以便转发到其他的目标计算机。那么，当使用了带行为阻截技术的赛门铁克防病毒软件之后，防病毒软件将监视计算机上的所有外发电子邮件。每当发送电子邮件时，防病毒软件都要检查该邮件是否邮件有附件。如果该电子邮件有附件，则将对附件进行解码，并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。常见的电子邮件程序，如 Outlook，可以发送文件附件，但绝不会在邮件中附加一份自身程序的可执行文件副本！只有蠕虫才会在电子邮件中发送自己的副本。因此，如果检测到电子邮件附件与计算机上的发送程序非常相似时，防病毒软件将终止此次传输，从而中断蠕虫的生命周期。此项技术非常有效，根本无需捕获蠕虫样本然后再匆忙响应，带此项技术的赛门铁克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫，包括最近的 Sobig 、Novarg和MyDoom。此外，基于行为的恶意软件阻截技术，还可以锁定IE设置、注册表、系统目录，当木马或者流氓软件试图更改这些设置时会被禁止。从而，即使用户下载了未知的恶意软件，也无法在终端上正常安装和作用。基于行为的防护技术非常有效，根本无需捕获恶意软件样本然后再匆忙响应，利用此项技术可以成功的在零时间阻截主流的蠕虫病毒，包括熊猫烧香、威金等。由于采用了集中的策略部署和控制，无须最终用户的干预，因此不需要用户具备高深的病毒防护技术。同时，基于行为规则的防护技术非常适合于主机系统环境，主机系统应用单一并且管理专业，采用行为规则的防护是对传统防病毒技术的一个很好的补充。r 前瞻性威胁扫描Proactive Threat Scan是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。Proactive Threat Scan 基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的 IPS 仅检测它们认为的“不良行为”。所以，它们经常会将可接受的应用程序行为识别为威胁并将它们关闭，严重影响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。不过，Proactive Threat Scan 会同时记录应用程序的正常行为和不良行为，提供更加准确的威胁检测，可显著减少误报的数量。前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。r 终端系统加固事实上，确保终端安全的一个必须的基础条件时终端自身的安全加固，包括补丁安装、口令强度等。显然，口令为空、缺少必要的安全补丁的终端，即使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个网络安全不至由于个别软件系统的漏洞而受到危害，必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。建议集中管理企业网络终端的补丁升级、系统配置策略，可以定义终端补丁下载，补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理，代理执行这些策略，保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。r 基于特征的病毒防护技术最后，传统的病毒防护技术仅仅作为主动防御的的一个必要补充，防御已知的病毒，对于已经感染病毒机器进行自动的清除和恢复操作。综上所述，单纯的防病毒产品都仅仅实现了基于特征的病毒防护功能，必须依靠其他的主动防御技术，才能有效地应对当前的恶意代码威胁。3.4 端点安全保护Symantec Endpoint Protection3.4.1 产品简介Symantec Endpoint Protection 将 Symantec AntiVirus与高级威胁防御功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如 rootkit、零日攻击和不断变化的间谍软件。Symantec Endpoint Protection 不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。这种多层方法可以显著降低风险，同时能够充分保护企业资产，从而使企业高枕无忧。它是一款功能全面的产品，只要您需要，即可立即为您提供所需的所有功能。无论攻击是由恶意的内部人员发起，还是来自于外部，端点都会受到充分保护。Symantec Endpoint Protection 不仅可以增强防护，而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。Symantec Endpoint Protection 易于实施和部署。赛门铁克还提供广泛的咨询、技术培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理，并帮助您实现投资的全部价值。对于希望外包安全监控和管理的企业来说，赛门铁克还提供托管安全服务，以提供实时安全防护。3.4.2 产品主要优势r 安全全面的防护 集成一流的技术，可以在安全威胁渗透到网络之前将其阻止，即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。主动防护 全新的主动威胁扫描使用独特的赛门铁克技术为未知应用程序的良好行为和不良行为评分，从而无需创建基于规则的配置即可增强检测能力并减少误报。业界最佳的威胁趋势情报 赛门铁克的防护机制使用业界领先的赛门铁克全球情报网络，可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施，并且可以帮助您防御不断变化的攻击，从而使您高枕无忧。r 简单单一代理，单一控制台 通过一个直观用户界面和基于 Web 的图形报告将全面的安全技术集成到单一代理和集中的管理控制台中。能够在整个企业中设置并实施安全策略，以保护您的重要资产。添加 SymantecNetwork Access Control 支持时，可以简化管理、降低系统资源使用率，并且无需其它代理。通过购买许可证可以在代理和管理控制台上自动启用 Symantec Network Access Control 功能。易于部署 由于它只需要一个代理和管理控制台，并且可以利用企业现有的安全和 IT 投资进行操作，因此，Symantec Endpoint Protection 易于实施和部署。对于希望外包安全监控和管理的企业，赛门铁克提供托管安全服务，以提供实时安全防护。降低拥有成本 Symantec Endpoint Protection 通过降低管理开销以及管理多个端点安全产品引发的成本，提供了较低的总体拥有成本。这种保障端点安全的统一方法不仅简化了管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。r 无缝易于安装、配置和管理 Symantec Endpoint Protection使您可以轻松启用、禁用和配置所需的技术，以适应您的环境。Symantec Network Access Control 就绪 每个端点都会进入“Symantec Network Access Control 就绪”状态，从而无需部署其它网络访问控制端点代理软件。利用现有安全技术和 IT 投资 可以与其它领先防病毒供应商、防火墙、IPS 技术和网络访问控制基础架构协作。还可以与领先的软件部署工具、补丁管理工具和安全信息管理工具协作。3.4.3 主要功能防病毒和反间谍软件 提供了无可匹敌的一流恶意软件防护能力，包括市场领先的防病毒防护、增强的间谍软件防护、新 rootkit 防护、减少内存使用率和全新的动态性能调整，以保持用户的工作效率。网络威胁防护 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。主动威胁防护 针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。单个代理和单个管理控制台 在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制（需要购买赛门铁克网络访问控制许可证） 通过单个管理控制台即可进行全面管理。3.5 邮件安全系统Symantec Mail SecuritySymantec Mail Security for Microsoft Exchange 结合了内容过滤、防垃圾邮件和业界领先的防病毒技术提供广泛的、集成的邮件安全解决方案，利用自动扫描和修复能力，它用最少的管理提供高性能的病毒防护，改进的内容过滤以及集成的防垃圾邮件功能防止不需要的内容来自网络的任何地方，同时防止机密信息外泻。Symantec Mail Security for Microsoft Exchange由赛门铁克安全响应中心支持世界领先的研究和响应机构。3.5.1 产品工作原理、部署和管理方式对于发送到 Microsoft Exchange 服务器上的邮箱和公用文件夹中的消息正文和附件， Symantec Mail Security for Microsoft Exchange 会进行扫描。当您执行标准扫描时，Symantec Mail Security for Microsoft Exchange 会分解文件，并使用已知病毒特征的病毒定义文件对它们进行病毒扫描。Symantec Mail Security for Microsoft Exchange 还会使用 Symantec Bloodhound 启发式技术来对不存在已知定义的病毒进行扫描。Bloodhound启发式技术会寻找自我复制这样的异常文件行为，以发现可能受感染的文件。当您创建过滤子策略并将其应用于扫描作业时，您指定的项目将与消息内容、特征和属性进行比较。 属性包括发件人、主题、附件文件名称和附件文件大小。Symantec Mail Security for Exchange 的工作原理结构图如下：产品部署模式直接安装在MS Exchange Server 上，支持Exchange 2000 with SP3以上及Exchange 2003。可通过IE浏览器管理单台服务器，也可以通过多服务器控制台同时管理多台Exchange服务器，当通过多服务器控制台管理时，可以很容易将配置同时发送到多台服务器上。多服务器控制台使用MMC接口。第 4 章 终端安全管理系统体系结构设计4.1 管理系统功能组件说明终端安全管理系统包括三部分组件：r 策略管理服务器策略服务器实现所有安全策略、准入控制规则的管理、设定和监控，是整个终端安全标准化管理的核心。通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全管理，提供集中软件更新、策略更新、报告等功能。策略管理服务器可以完成以下任务： l 终端分组与权限管理；根据地理位置、业务属性等条件对终端进行分组管理，对于不同的组可以制定专门的组管理员，并进行权限控制。l 策略管理与发布；策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木马防护策略、恶意脚本防护策略、电子邮件防护策略（包括outlook、lotus以及internet邮件）、广告软件防护策略、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机完整性策略等l 安全内容更新下发安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等l 日志收集和报表呈现可以生成日报/周报/月报，报告种类包括：风险报表（以服务器组、父服务器、客户端组、计算机、IP、用户名为条件识别感染源、当前环境下高风险列表、按类型划分的安全风险）、计算机状态报表（内容定义分发、产品版本列表、未接受管理客户端列表）、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报表、系统报表、安全遵从性报表。l 终端代理安装包的维护和升级；r 终端代理（包括终端保护代理和准入控制代理）终端安全管理系统需要在所有的终端上部署安全代理软件，安全代理是整个企业网络安全策略的执行者，它安装在网络中的每一台终端计算机上。安全代理实现端点保护和准入控制功能。端点保护功能包括：l 防病毒和反间谍软件 提供病毒防护、间谍软件防护、rootkit 防护。l 网络威胁防护 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。l 主动威胁防护 针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。4.2 系统管理架构设计系统架构的设计取决与管理方式、终端数量及分布、网络带宽等条件。推荐终端安全管理平台采用“统一控制，二级管理”架构，这样的架构与现有行政管理模式相匹配益于提高管理效率，同时又能体现 “统一规划，分级集中管理”的思想，让各地市分担省公司的运行维护负担。终端接入控制平台按照两级架构设计，省公司地市如下图：在省公司设立全省范围的终端接入控制平台中心，制定并下发统一的全网管理策略。这些策略主要以策略模版库的形式提供。这些策略通过同步与复制的机制，在一二级服务器间保持一致。二级管理平台上策略的变更也都会同步回一级控制平台，在一级管理平台上可以预览任何一个二级甚至三级服务器上的策略应用情况。复制就是不同地点或站点间的服务器系统通过特别拷贝来共享数据的过程。终端接入控制平台的策略同步复制在逻辑上和微软域策略的同步复制类似，它并非简单的数据库间复制关系，它内部包含有周全的防止策略冲突的处理。通过策略复制与同步，不同地点的用户都工作在本地的副本之上，然后同步他们之间的变更。在终端接入控制平台上，策略复制还可以将一个管理服务器上的变更同步到另一个数据库上，实现冗余备份。通过策略复制，终端接入控制平台能够支持多级管理，以及无限的终端数量扩展能力，从而满足XXX终端节点规模不断扩大的需求。“统一控制”体现在通过一个统一控制台管理所有服务的功能，省中心管理员可通过整体方法来管理端点安全。“分级管理”主要体现在地市管理平台根据省中心的权限设置也可以自主在管辖范围内进行管理策略的扩展和定制。实现方式如下：在对不同地市用户用户进行分组，并对不同的地市组制定不同的安全策略。通过系统内置的继承体系，不同的子组能够从同一父组中继承相同的安全策略，从而提高策略制定的便利性。同时，可以为各地市管理员分配适当的权限，如是否允许地市管理员修改继承的策略，限制其只可以查看本地市的报告，仅能管理本地市州的客户端等细致的权限。如下图所示：4.3 病毒定义升级4.3.1 防病毒系统初建后第一次升级方案防病毒系统在建设完成后第一次升级占用带宽较大，一般需要升级10M20M左右的软件更新和病毒定义升级，如果在广域链路上进行并发更新容易造成链路拥塞，在这种情况下可考虑采用以下办法予以避免：l 根据实施时间，针对XXX定制软件安装包，包含当前最新的病毒定义；或者防病毒服务器安装完成后立即手动升级其病毒定义库；l 二级防病毒服务器可以通过从防病毒产品提供商网站上获取手动更新包的方式进行更新；l 原则上不允许客户端进行手动的防病毒定义升级。4.3.2 正常运维状态下的升级方案防病毒系统经过初次升级进入到日常运维状态，后期的防病毒定义更新包一般很小（150Kbytes200Kbytes不等），在运维状态下自动化的病毒定义更新是非常必要的。在运维状态下自动化的病毒定义更新是非常必要的，建议在XXX网络内采用二级服务器升级的结构，即l 首先升级XXX数据中心一级防病毒服务器的病毒定义码、扫描引擎、特征库（漏洞特征库和攻击特征库）和安全规则（防火墙策略）。通过Internet到防病毒产品提供商网站升级最新的病毒定义码和扫描引擎。l 各下属企业级防病毒服务器分别到中心的网络防病毒服务器升级病毒定义码、扫描引擎、特征库和安全规则。l 正常情况下升级周期为每天一次，时间设定为凌晨，避免升级流量对广域网络带宽的影响；当有突发的病毒事件或严重级别的病毒威胁，可实时升级病毒定义并下发。采用这种升级方式，一方面可以确保XXX整个网络内的病毒定义码和扫描引擎的更新基本保持同步。另一方面，由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成，就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力，同时也避免了各下属单位自行到Internet升级而带来的不便和安全隐患。4.3.3 Symantec病毒定义升级频率缺省情况下，赛门铁克公司每日在官方网站上发布可供防病毒系统自动更新的病毒定义码（正常状态下每日一次更新；对于高危险性病毒爆发的情况，每日会更新多次）。4.4 网络带宽影响服务器与客户端之间策略通信流量，取决于管理员配置的操作系统保护策略的复杂程度，一个正常的策略文件在20K 80K之间变化，加密压缩后实际传输大校在5K10K左右。以500台终端（一个地市的终端通常少于500台）为例，在一次心跳时间（一小时）内发生的实际流量为 10K* 500 = 5M，每秒服务器的策略下载流量为5M/(3600s) = 1.4 Kbyte，需要占用带宽为11.2Kbps。事实上，策略更新仅在策略发生变化时发起，平时带宽占用可以忽略不计。服务器和客户端之间的日志流量，默认设置的客户端日志大小限制为512K，每次上传的日志都是自上一次和服务器通讯后发生过的日志。一般客户端一天（工作时间）发生的日志量是20条-200条（视网络中安全事件发生的频率而变化），我们以每心跳时间内发生200条日志这个极限来计算。200条日志压缩后的大小大概在20K左右，每次心跳发生时服务器收到的流量大小为 500用户 * 20K = 10M，每秒流量为 10M/（3600s）= 2.8byte，需要占用带宽为22Kbps，对于现有网络带宽影响很小。服务器和客户端的安全内容更新数据量比较大，虽然采用了增量更新技术，每次更新的数据报仍然在200K左右。对与区县的终端，可以利用管理系统“组升级”方式进行更新，减轻对广域网带宽的影响。这种方式下，策略服务器上可以设定终端从指定的临近的“组升级”终端上进行病毒定义等安全内容更新下载操作。即当区县一台终端获得内容更新后，其他的终端无需再到地市二级服务器进行更新，只需要从那台已经更新的终端上下载内容更新即可。4.5 安全管理策略设计4.5.1 管理权限策略 根据XXX的实际情况，为每个地市创建一个域管理员帐号。省中心除了拥有自己的域管理员帐号以外，还拥有能够管理全局的ADMIN帐号。系统的常见维护操作，如策略备份与恢复、站点重装等只需要有服务器操作系统管理员帐号即可，不需要全局的ADMIN帐号。4.5.2 各地市组织结构策略在计算机全局组下，默认只有临时组，另外创建四个新组，分别为特权组、隔