微点主动防御软件网络版解决方案.doc

微点主动防御软件网络版企业网解决方案北京东方微点信息技术有限责任公司目 录一、企业网络的现状分析31.1 企业网络的结构特点31.2 企业所面临的安全问题3二、企业网络防病毒需求分析42.1 企业防护病毒技术概述42.2 复杂的多层次病毒防治52.3 多级管理模式5三、微点主动防御软件网络版解决方案53.1 主动防御技术53.2 主动防御体系结构53.3 微点主动防御软件网络版介绍63.4 微点主动防御软件版部署结构图6四、微点主动防御软件网络版功能8五、微点主动防御软件技术特点9一、企业网络的现状分析随着计算机技术的发展，网络在现代企业中的应用已变得十分普及。保证企业的网络系统安全，防范来自非法入侵者的攻击，对企业日常办公和业务应用是至关重要的。信息网络技术的高速发展，为企业带来了成本降低、效率提高、业务开拓和形象提升等诸多好处，在感受网络所带来优点的同时，企业也面临着病毒、黑客等网络负面因素带来的困扰。所以，建立完备的安全防护体系，确保企业系统信息网络得以正常运转，以保护企业的信息资源不受侵害。在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。1.1 企业网络的结构特点u 网络结构的复杂性：一个大型的企业网络，往往由分布在广泛地域的分支机构所属的众多局域网组成，各个网络之间的连接可能包括专线、VPN、拔号以及宽带接入等多种互联方式。u 数据流的多样性：如今的企业网的业务数据流种类繁多，不但包括企业内部生产链的数据业务，还包括对外提供的WWW、MAIL、FTP等业务数据流，与合作伙伴、供应商之间的供应链业务数据流，以及向客户提供服务的CRM等等数据流。不同的业务数据流，其信息的敏感程度也各不相同，对安全的需要也不尽相同。数据的敏感性：随着商业竞争的不断加剧，如何保护自己的信息资源特别是客户信息、产品信息及技术资料的敏感性显得尤为重要。速度：在时间就是金钱，效率就是生命的今天，提高企业的竞争力与生产效率，就必须使自己的信息系统在保证安全的情况下实现快速地信息流通。1.2 企业所面临的安全问题1.外网安全黑客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁2.内网安全最新调查显示，在受调查的企业中60%以上的员工利用网络处理私人事务。对网络的不正当使用，降低了生产率、阻碍电脑网络、消耗企业网络资源、并引入病毒和间谍，或者使得不法员工可以通过网络泄漏企业机密。3.内部网络、内外网络之间的连接安全随着企业的发展壮大，逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全，既要保证信息的及时共享，又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。各地机构与总部之间的网络连接安全直接影响企业的高效运作。二、企业网络防病毒需求分析随着数字技术及Internet技术的日益发展，病毒技术也在不断发展提高。它们的传播途径越来越广，传播速度越来越快，造成的危害越来越大，几乎到了令人防不胜防的地步。很多企业在建立了一个完整的网络平台之后，急需一个切实可行的防病毒解决方案，来确保整个企业的业务数据不受到病毒的破坏，日常工作不受病毒的侵扰。2.1 企业防护病毒技术概述病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。我们将病毒传播的途径分为： (1) 通过FTP，电子邮件传播。 (2) 通过移动设备等传播。 (3) 通过Web游览传播，主要是恶意的Java控件网站（比如被挂了木马的网页）。 (4) 通过群件系统传播。病毒趋利性编写目的的转变，导致病毒的特性也发生了变化，近几年的病毒制造者越来越多地以获取经济利益为目的，他们改变以往的病毒编写方式，研究各种网络平台系统和网络应用的流程，甚至躲过杀毒软件的查杀、防御技术，寻找各种漏洞进行攻击。他们更加注重攻击“策略”和传播、入侵流程，通过各种手段躲避杀毒软件的追杀和安全防护措施，以达到获取经济利益的目的。与此同时，病毒还修改杀毒软件设置，默认忽略（不查杀）查出的病毒，修改系统时间让杀毒软件过期，造成该软件无法正常使用，病毒损坏杀毒软件的配置文件，另外自身的隐蔽性增强，更加不易被杀毒软件发现。针对当前的病毒现状和特点，企业病毒防护的主要技术如下： (1) 阻止病毒的传播在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。 (2) 检查和主动清除内网和外网入侵的病毒使用防病毒软件定期检查和清除病毒，能够主动防御外部攻击，能够防杀未知木马、病毒，对未知木马、病毒要能够实现自主识别（无需用户参与判断）、明确报出（明确报出是否是未知木马、病毒，而不是含糊不清的危险提示）、自动清除。 (3) 不依赖病毒数据库的升级企业网络杀毒要不依靠病毒特征码扫描病毒，不需要频繁升级病毒数据库，管理工作要方便、快捷、高效。2.2 复杂的多层次病毒防治在企业中，重要的数据往往保存在位于整个网络中心结点的文件服务器上，这也是病毒攻击的首要目标。为保护这些数据，网络管理员必须在网络的多个层次上设置全面保护措施。 有效的多层保护措施必须具备四个特性： 集成性：所有的保护措施必须在逻辑上是统一的和相互配合的。 单点管理：作为一个集成的解决方案，最基本的一条是必须有一个安全管理的聚焦点。 自动化：系统需要有能自动更新病毒特征码数据库和其它相关信息的功能。 多层分布：这个解决方案应该是多层次的，适当的防毒部件在适当的位置分发出去，最大限度地发挥作用，而又不会影响网络负担。防毒软件应该安装在服务器工作站和邮件系统上。 2.3 多级管理模式企业经营，管理最重要，尤其对于有庞大网络的企业，简便易操作的管理模式就显得更加重要了。因此创建分级管理模式，有利于内部网络的统一高效管理，将信息安全的管理权限分为多个级别，实现了网络信息安全高效、简易的管理要求。三、微点主动防御软件网络版解决方案3.1 主动防御技术 根据当前网络病毒现状和特点：主动防御是基于程序行为自主分析判断的实时防护技术，不以病毒的特征码作为判断病毒的依据，而是从最原始的病毒定义出发，直接将程序的行为作为判断病毒的依据。主动防御是用软件自动实现了反病毒专家分析判断病毒的过程，有效解决了杀毒软件无法防杀未知病毒和木马的弊端，在反病毒与病毒的对抗中，实现了从杀毒软件的被动防御到主动防病毒和木马的提升。3.2 主动防御体系结构主动防御体系结构主要由实时监控系统、反病毒专家分析判断系统、恶意程序处理系统三大系统组成。通俗地讲，反病毒专家具有分析判断程序是否是木马、病毒的能力，具有为计算机提供安全保护的能力。主动防御就是用软件实现了反病毒专家分析判断病毒的过程。主动防御的体系结构就好比具有很强反扒能力的警察，实时监控系统就是警察的眼睛，负责监控周围的环境和人的一举一动；反病毒专家分析判断系统就好比警察的大脑，负责将眼睛看到的环境和人的一举一动并结合自己判断盗窃者的经验进行分析判断；恶意程序处理系统就好比警察的手和脚，根据反病毒专家分析判断系统的通知做出相应的处理动作。3.3 微点主动防御软件网络版介绍微点主动防御软件通过智能化终端防护，分布式部署，中央集权与分级管理和监控，实现对企业网络未知木马和新病毒的实时主动防御，解决了传统杀毒软件网络防病毒产品滞后于病毒的弊端，成功为企业构建主动防御网络，使企业的网络病毒防护更主动，管理更轻松。面对现有杀毒软件无法应对不断出现的未知木马和新病毒的威胁，根据企业网络的结构特点及面临的安全隐患，东方微点通过实施“构建安全主动防御网络”策略，能够达到下列目的： 智能型安全防护终端，对未知木马和新病毒，能够自主识别、明确报出、自动清除； 适应企业网络复杂的网络环境，多种安装部署方式； 强大的全网管理功能，完善的监控与报警事件处理； 突发事件应急处理机制，有效防止病毒在网络内传播。3.4 微点主动防御软件版部署结构图微点主动防御软件网络版由管理中心服务器、网络通讯代理、客户端三部分组成。管理中心管理中心是整个网络版的控制中心，部署在网络的最中心位置，包括管理控制台服务器、文件缓存服务器、日志服务器组成。对于中小企业网络，三种服务器可以集中到一台服务器部署，也可以分别在三台服务器部署。1) 管理控制台服务器管理控制台服务器是整个网络版的管理中心，管理员通过控制台或者移动控制台的管理，负责对全网客户端的通讯、策略存储与分发，以及文件缓存服务器和日志服务器的通讯与管理。2) 文件缓存服务器文件缓存服务器负责提供升级文件、补丁文件和经加密和压缩处理后的未知病毒样本等文件缓存服务、并与上级文件缓存服务器交换文件。3) 日志服务器日志服务器负责全网日志的存储和统计。通讯代理中心通讯代理中心负责管理中心与通讯代理中心服务器所管辖终端之间的通讯服务，减少通讯代理中心服务器所管辖的终端全部直接与管理中心通讯所带来的网络带宽资源。对于大型企业网络来说，网络结构非常复杂，部门存在不同地域、不同网段部署和管理，可以采用在不同网段内分别部署通讯代理服务器客户端客户端部署微点主动防御软件，负责本机的安全防护、接受管理中心的管理、上报安全日志。四、微点主动防御软件网络版功能微点主动防御软件网络版是国际上率先采用 “监控并举、动态防护”的主动防御技术体系，并依据主动防御技术研制开发成功第三代反病毒软件，同时为业界首款依据程序行为分析判断为主特征码为辅的全面的系统安全防护软件，彻底颠覆了传统杀毒软件采用病毒特征码识别病毒的反病毒理念，通过主动防御技术能够自主分析判断病毒，实现了对未知木马和新病毒的自主识别、明确报出和自动清除，主动防杀未知木马和新病毒99%以上，解决了杀毒软件无法防杀层出不穷的未知木马和新病毒的弊端。 智能型安全防护终端，主动防杀各类未知木马和新病毒采用主动防御技术，依据程序行为能够自主分析判断未知木马和新病毒，实现了对未知木马和新病毒的主动防御，解决了杀毒软件即使频繁升级也无法防范不断出现的未知木马和新病毒的弊端，同时减轻了管理员的工作。 对未知木马和新病毒实现自主识别、明确报出、自动清除对未知木马和新病毒能够自主识别、明确报出、自动清除。无需用户参与判断。 病毒特征码的自动提取，并全网自动分发采用病毒特征码自动提取技术，实现对未知木马和新病毒特征码的自动提取。当某一终端拦截未知木马和新病毒后，将会自动提取该程序特征码并更新本地特征库，同时将提取的特征码提交到中心服务器，管理中心服务器自动分发到全网终端，解决了传统杀毒软件样本提交、特征分析、软件升级的漫长过程，真正做到特征码“零”响应。 主动防御黑客利用未修补的系统漏洞的攻击入侵即使在windows系统漏洞未进行修复的情况下，依然能够对黑客利用系统漏洞进行的溢出攻击和入侵做到有效检测、拦截，并同步准确记录远程计算机的IP地址，协助用户迅速准确锁定攻击源，并能够提供攻击计算机准确的地理位置，实现攻击源的全球定位。结合终端实名制管理更能够准确定位计算机的使用者和位置。 智能防火墙阻击网络入侵全网终端部署智能防火墙，通过配置统一安全防护策略，实现全网防御网络入侵，提高网络安全防护能力。智能防火墙不同于其它的传统防火墙，无需每个进程访问网络都要询问用户是否放行，可智能判定正常程序并自动采取相应的放行机制，有效解决了传统防火墙技术对任何程序访问网络都必须报警询问用户是否放行，给用户带来巨大的困惑，不仅降低软件的应用性，甚至由于误判造成更大的网络危害。五、微点主动防御软件技术特点1、创立动态仿真反病毒专家系统：对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。2、自动准确判定新病毒：分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口（api）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性，实现自动诊断新病毒，明确报告诊断结论；有效克服当前安全技术大多依据单一动作，频繁询问是否允许修改注册表或访问网络，给用户带来困惑以及用户因难以自行判断，导致误判、造成危害产生或正常程序无法运行的缺陷。3、程序行为监控并举：在全面监视程序运行的同时，自主分析程序行为，发现新病毒后，自动阻止病毒行为并终止病毒程序运行，自动清除病毒，并自动修复注册表。4、自动提取特征值实现多重防护：在采用动态仿真技术的同时，有效克服特征值扫描技术滞后于病毒出现的缺陷，发现新病毒后自动提