企业安全防毒解决方案.doc

广州伊登软件科技有限公司企业安全防毒解决方案Name：SN：SA154-2558Y-255T9-2LASH来源：偶要下载(请您不要去除该信息)原文链接：/soft/llrj/63/9485.html用 户：广州霸王国际公司方案供应商：广州伊登软件科技有限公司日 期：2010年04月23日 目录第一章 前言3第二章 计算机病毒发展和防御动态3n计算机病毒发展新动向3n新型病毒传播方式4n病毒传播带来的威胁5n企业网络全方位病毒防御策略6第三章 企业网络和防病毒现状8企业防病毒系统现状8现有系统安全存在的不足8第四章 霸王国际网络防病毒需求分析9需求概述9防病毒总体技术架构需求分析9第五章 企业网络防病毒体系设计13实现目标13推存安全防毒产品13霸王企业网络防病毒总体架构15霸王企业网络防病毒部署17第六章 端点安全保护Symantec Endpoint Protection19产品简介19产品主要优势20主要功能20主要优势21终端安全管理系统体系结构设计21第七章 售后服务体系23赛门铁克售后服务体系23伊登公司提供的服务内容25第一章 前言计算机技术的不断发展，信息技术在企业网络中的运用越来越广泛深入，信息安全问题也显得越来越紧迫。自从80年代计算机病毒出现以来，已经有数万种病毒及其变种出现，给计算机安全和数据安全造成了极大的破坏。根据ICSA的统计报道，98% 的企业都曾遇过病毒感染的问题，63% 都曾因为病毒感染而失去文件资料，由ICSA评估每一个受电脑病毒入侵的公司电脑，平均要花约8,366美金，但更大的成本是来自修理时间及人力的费用，据统计，平均每一电脑要花费44小时的到21.7天的工作天才能完全修复。如何保证企业内部网络抵御网络外部的病毒入侵，从而保障系统的安全运行是目前企业系统管理员最为关心的问题。所以，系统安全应该包括强大的计算机病毒防护功能。全球的病毒攻击数量继续上升，病毒本身变得越来越复杂而且更有针对性，这种新型病毒被称为混合型病毒，混合型病毒将传统病毒原理和黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起。而最近对互联网威胁很大的间谍软件和广告软件，给企业不仅造成网络管理的复杂，同时可能会带给企业无法估计得损失。混合型病毒的传播速度非常快，其造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多，混合型病毒的出现使人们意识必须设计一个有效的保护战略来在病毒爆发之前进行遏制。这个保护战略必须是主动式的，而不是等到事件发生后才作出反应，需要针对网络中所有可能的病毒攻击设置对应的防毒软件，建立全方位、多层次的立体防毒系统配置，通过在桌面和企业网络等级集成来提供病毒保护。作为世界互联网安全技术和整体解决方案领域的全球领导厂商，赛门铁克为个人和企业用户提供了全面的内容和网络安全解决方案。赛门铁克是病毒防护、风险管理、互联网安全、电子邮件过滤、远程管理和移动代码侦测等技术的领先供应商。为全世界1亿的客户提供了全面的Internet安全性产品、解决方案和服务。赛门铁克客户群不但包括世界上最大的公司、企业、政府部门以及高等教育机构，同时也为小型企业用户和个人用户提供服务。诺顿品牌领先世界防病毒市场，在业界颇受赞誉。第二章 计算机病毒发展和防御动态n 计算机病毒发展新动向传统病毒，简单来讲，就是一种可执行的精练的小程序，和生物界的病毒类似，会寻找寄主将自身附着到寄主身上实现传播，例如把自己的病毒代码插入到一个用户文件中，当用户传递此文件时就不知情的将病毒传播出去了，传播到一个新的目标时，病毒执行恶作剧活动或采取毁坏程序、删除文件甚至重新格式化硬盘的破坏行为。传统病毒包括文件型、引导型、多态型、隐藏型、宏病毒等。但是现在，企业网络面临的威胁已经由传统的病毒威胁转化为现在的还包括了蠕虫、木马和恶意代码等与传统病毒截然不同的新类型。这些新类型的威胁业界称之为混合型威胁。混合型威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击。同时，混合型威胁传播速度极快，通常在几个小时甚至几分钟就可以导致整个网络瘫痪。攻击程序的破坏性更强，受感染的系统通常伴随着木马程序种植除了破坏被感染的机器，在传播过程中会形成DDoS攻击，阻塞网络。混合型威胁的典型代表为红色代码（Code Red）。2001年7月红色代码（Code Red）的出现震撼了整个Internet世界， 不仅仅因为它给广大Internet用户造成了非常巨大的直接经济损失，更可怕的是它将传统病毒原理和传统黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起，形成了最新的混合型威胁，标志了网络威胁发展的新方向。在红色代码（Code Red）的启发和指引下，近几年持续不断出现各种破坏能力强大的混合型威胁，例如：尼姆达（Nimda）、求职信（Klez）、蠕虫王（SQLexp）、妖怪（Bugbear）、 无极大（Sobig）、爱情后门（Lovgate）、冲击波（Blaster）、Slammer、网络天空（Netsky）等等，而这些混合型威胁正是近几年企业所面临的主要威胁。大量的间谍软件和广告软件不仅为企业带来网络管理成本的增加，同时可能会带来无法估计的损失。毫无疑问，包括间谍软件和广告软件在内的混合型威胁已经成为全球互联网和企业网络的首要威胁，危险级别最高的病毒几乎全部属于具有混合型威胁特征的混合型病毒。因此，病毒防范的重点将集中于混合型威胁。n 新型病毒传播方式计算机病毒具有自我复制和传播的特点，从计算机病毒的传播机理分析可知，只要是能够进行数据交换的介质，都可能成为计算机病毒传播途径。随着Internet技术的发展和企业网络应用的增多，网络成为病毒的感染、传播的第一途径。病毒传播呈现出如下的途径：1. 互联网浏览。内网用户浏览Internet上的文件和网页，下载资料时，Internet上的大量恶意JAVA ACTIVE病毒和程序，下载文件中包含的各类宏病毒，文件病毒都有可能对内网进行传染。2. 电子邮件。电子邮件已成为许多新型恶意病毒攻击所选择的传输机制。电子邮件可以很容易地传送到几十万人，而恶意代码制造者又可以无须留下自己的计算机，这使得电子邮件成为一种非常有效的传输方式。3. 企业网络互联。一旦为计算机提供了通过网络彼此直接连接的机制，就会为病毒提供另一个传输机制，由于在网络共享上实现的安全性级别很低，因此会产生这样一种环境，其中新型的混合型病毒可以复制到大量与网络连接的计算机上。企业内部内联网以及和协作单位或合作伙伴网络的文件共享传输有可能造成病毒在整个网络中传播。4. 可移动媒体。计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器（至少到当前为止）是文件传输。此机制开始于软盘，然后移动到网络，目前正在寻找新的媒体，例如，通用串行总线 (USB) 设备和火线。感染速度并不像基于网络的病毒那样快，但安全威胁却始终存在，而且难以完全消除，因为系统之间需要交换数据。5. 对等 (P2P) 网络。要实现 P2P 文件传输，用户必须先安装 P2P 应用程序的客户端组件，该应用程序将使用一个可以通过组织防火墙的网络端口，例如，端口 80。应用程序使用此端口通过防火墙，并直接将文件从一台计算机传输到另一台。这些应用程序很容易在 Internet 上获取，并且恶意软件编写者可以直接使用它们提供的传输机制，将受感染的文件传播到客户端硬盘上。6. 即时通讯（Instant Messenger，简称IM）软件 即时通讯软件已经从原来纯娱乐休闲工具变成生活工作的必备利器。无论是老牌的ICQ，还是国内的腾讯QQ，以及微软的MSN Messenger，都是大众关注的焦点。由于用户数量众多，再加上即时通讯软件本身的安全缺陷，导致其成为病毒的攻击目标。n 病毒传播带来的威胁计算机病毒的爆发对企业的安全构成了极大的威胁。尤其近几年混合型病毒所造成的破坏非常巨大。新型病毒的大规模传播，给企业信息资源带来如下威胁：1. 数据损坏或删除。一种最具破坏性的威胁类型应该是损坏或删除数据的恶意代码，它可以使用户计算机上的信息变得无用。这类威胁编写者具有两个选项：第一个选项是将程序设计为快速执行。对于它所感染的计算机而言极具潜在破坏性。另一个选项是驻留在本地系统上（以特洛伊木马的形式）保留一段时间，这样会使恶意软件在破坏之前可能就进行传播。2. 后门。这种类型的威胁允许对计算机进行未经授权的访问。它可能提供完全访问权限，但也可能仅限于某些访问权限，例如，通过计算机上的端口 21 启用文件传输协议 (FTP) 访问。如果攻击可以启用 Telnet，黑客则可以将已感染计算机用作 Telnet 攻击在其他计算机上的临时区域。3. 信息窃取。一种特别令人担心的恶意威胁是窃取信息。如果会损害计算机的安全，则它可能会提供一种将信息传回作恶者的机制。这种情况可以多种形式发生；例如，传输可以自动进行，从而使恶意软件可以很容易地获取本地文件或信息，例如，用户所按的键（以便获取用户名和密码）。另一种机制是在本地机器上提供一种环境，使攻击者可以远程控制该机器，或直接获取对系统上文件的访问权限。4. 垃圾邮件。邮件服务器承担公司内部所有的邮件交换和外部邮件转发，邮件是新型病毒传播的主要方式，邮件病毒如“I LOVE YOU”“SirCAM”“红色代码”“尼姆达”等类型的病毒存在邮箱中，在客户机邮件发送程序中自动进行垃圾邮件的发送，为企业和客户带来大量的垃圾邮件，而且会造成网络流量过载，极大影响正常通信工作。5. 拒绝服务 (DoS)。可以传递的一种最简单的类型是拒绝服务攻击。DoS 攻击是由攻击者发起的一种计算机化的袭击，它使网络服务超负荷或停止网络服务，如 Web 服务器、文件服务器、邮件服务器等。6. 分布式拒绝服务 (DDoS)。DDoS 攻击是一种拒绝服务攻击，其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标。攻击者使用此方法对目标造成的影响很可能会大于使用单个攻击计算机造成的影响。关于攻击怎样发生根据攻击的不同而不尽相同，但是它们通常都涉及将大量数据发送到特定的机器或网站，使其停止对合法通信的响应（或者无法响应）。这样会完全占用受害站点的可用带宽，并且会有效地使此站点脱机。n 企业网络全方位病毒防御策略 随着新型混合型威胁的大规模传播，一个实用可行的企业级网络防病毒解决方案显然需要一个面向所有网络用户、各级文件服务器、邮件服务器和Internet网关服务器的全方位防毒解决方案。应该在整个网络中，只要有可能感染和传播病毒的地方都应该有相应的解决方案，防止病毒的入侵和传播，确保网络的安全，保证能在本网络中实现多层最大限度的防护能力。1. 系统外部（Internet或外网）的病毒入侵：网关目前病毒进入最多的途径。采用网关部署防病毒的措施。可以保护和Internet、Intranet相联的内部计算机网络免受来自外部病毒的攻击，能断绝来自外网络JAVA，ACTIVEX病毒对内部网的入侵。2. 网络邮件系统：保护系统内的邮件服务器中邮件的安全，避免病毒引起的网络过载情况出现。如果邮件服务器感染了病毒，通过邮件方式该病毒将以几何级数在网络内迅速传播，并且很快会导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署防病毒显得尤为重要。3. 文件服务器： 文件资源共享是网络提供的基本功能，而且大大提高了资源的重复利用率，但是一旦服务器本身感染了病毒，就会对所有的访问者构成威胁。因此文件服务器必须设置防病毒保护。4. 针对客户端：病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性，某个感染病毒的桌面机可能随时会感染其它的机器。因此在网络内对所有的客户机进行防毒控制也很有必要。5. 集中管理：由于混合病毒广泛的感染范围和为抵挡这些病毒所采用的分布式解决方案等因素，需要对网络的所有方面有完全的了解，并能及时作出反应。所选的防病毒方案必须能够提供对网络活动的集中管理，提供详细的报告功能，来检查某些服务器和桌面机，将网络事件与这些组件的状态相关联。第三章 企业网络和防病毒现状企业防病毒系统现状 企业有些PC没安装防毒软件，有些使用了一些单机版本的防病毒软件，由于单机防病毒系统的缺陷：如无法集中管理防病毒工作，客户机配置和防护级别无法统一，无法集中更新病毒代码，管理中人为操作的因素大。在日常防病毒维护中各网络各行其事，分散管理，这样不但加重管理员的管理工作，而且不能实现统一的、集中的管理，易受到各种人为的因素的影响，即使在安装了防病毒软件的情况下也不能确保整个网络的防病毒能力。现有系统安全存在的不足近年来，随着信息系统自身的飞速发展和具有黑客攻击特征的新类型病毒的大量出现，企业在安全上已经不能满足企业的需要。近几年的混合型病毒大规模传播给霸王企业造成较大的危害，现有安全体系正面临更严峻的安全挑战，主要存在以下几个方面的不足： 1. 缺少防病毒中央控管系统。由于网络节点太多，且分布较散，要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过自身安全性很高的方式实现远程异地管理远程防病毒软件，监视该软件的运行状况参数（如防病毒软件病毒库、扫描引擎更新日期，系统配置等）。能实现病毒集中报警，准确定位病毒入侵节点，让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动，协同管理工作。2. 缺少全网病毒代码统一自动更新功能。构建有效病毒防护的关键环节需要保证产品能做到定期升级，网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能，同时具备自动分发功能，能够在单点更新，然后在不需要人为干预的情况下，实现全网所有产品的病毒码更新。3. 尚未建立完善的安全制度和制定安全培训机制。防病毒工作是一项复杂、长期的任务，需要全体人员配合，提高对病毒的警觉和防范意识。防病毒系统需要建立良好的安全规范，以制度严格控制不良行为，另外还得提高全体人员的防范病毒的能力。4. 缺乏完善的防病毒信息支持体系。防病毒厂商长期提供防病毒信息，新病毒预警信息，安全培训等专业的支持，以提高整个网络使用人员的防病毒素质。第四章 霸王国际网络防病毒需求分析需求概述随着霸王企业信息化建设的不断深入完善，以及互联网通讯的广泛应用，各种办公及业务系统已成为业务和日常办公各种信息往来沟通不可或缺的工具。一般而言：企业网络Internet区域安全等级最低，是病毒产生及传播的地方；客户端工作区安全等级较高，主要由外来用户、移动办公用户、桌面用户构成，是病毒感染的主要目标，也是病毒进入霸王企业网络的主要载体；核心服务器区安全等级最高，这里有霸王企业的关键服务器，是安全防护体系最终保护的目标。霸王企业网络病毒防范工作：必须从这三个安全区域（病毒防护的主体）着手，根据他们之间的访问关系施加防护及病毒监控。具体防护工作的描述：针对核心服务器区，严防来自Internet及移动用户的病毒入侵，保护其中的关键服务器，这是防病毒工作的重点；针对客户端工作区，需要部署客户端防病毒产品严防病毒（尤其是具有混合型威胁特征的混合型病毒）的入侵；针对Internet区域，需部署网关级防病毒产品，严防来自该区域的病毒及病毒攻击；针对邮件系统，需要部署邮件病毒防护系统；另外还需要部署必要的辅助手段，以监测网络的异常状况，提前预知病毒事件的发生。防病毒总体技术架构需求分析为了实现霸王企业防病毒的总体目标，遵循霸王企业防病毒系统建立原则提出以下的防病毒技术整体架构：整体架构包括了全方位的防病毒产品部署及管理。在整个网络中，防病毒机制实现总部布署一台SEPM控管中心，承担防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作，公司桌面PC统一由总部SEPM管理的模式。在霸王企业防病毒整体架构中，需要部署以下几方面功能组件： 防病毒集中管理平台 负责产品自动分发、升级、生成病毒报告等。 服务器防病毒 负责网络中的所有服务器的病毒防护。 客户端防病毒 全面防护各种类型操作系统的客户端的病毒下面分别对防病毒体系对以上几方面功能组件的需求进行具体描述：防病毒中央控制台需求具体需求如下：1 要求可以提供病毒集中管理工具。允许系统管理员控制网络中的防病毒产品，系统管理员更可从单一主控台进行配置、监视防毒程序及产品维护工作、制定病毒扫描调度及代码下发等策略；2 集中控制台自身必须具备很强的安全性，能够实现通过用户验证和数字证书认证实现对服务器和客户端的管理。3 通过防病毒管理平台可以自动发现整个网络中所有客户端防病毒软件的安装情况，可以找出哪些客户端安装了防病毒软件，哪些客户端没有安装防病毒软件，以及安装的是什么版本的防病毒软件等相关信息，便于管理员及时掌握整个网络中防病毒软件的运行情况，要生成相应的客户端防病毒产品情况报表； 4 配置简便，网络拓展发生变化时不需做较大改动；5 要有病毒报警功能，发现病毒后，能自动通过多种方式通知安全管理人员，要求厂商提供报警渠道和方式；6 可向管辖范围内部署的所有防毒产品自动分发产品升级代码，具有客户端分组管理功能；7 可生成详细病毒活动报告并及时、准确追踪病毒来源；8 对防病毒产品的病毒日志进行统计，并可以生成详细的分析报告，可以根据用户需求定制生成各种类型的中文报表；9 提供与第三方产品的通用接口；10 对感染病毒的计算机中央控制台能够进行自动隔离处理；11 中央控制台能否管理所有的同版本中、西文防病毒软件产品；12 能够定制对客户端分发引擎和病毒代码分发的策略；13 必须明确中央管理控制台最多可管理的客户端的数量；14 必须明确管理控制台对系统的配置最低要求服务器防病毒需求文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率，由于文件服务器为网络中所有工作站提供文件资源共享，并且能对信息进行长期有效的存储和保护。因而也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站或服务器上。一旦服务器本身感染了病毒，就会对所有的访问者构成威胁。因此文件服务器需要设置防病毒保护。霸王企业各级网络内都有Windows NT/200X Server的平台的服务器，为了能够有效的实施病毒防范，特提出以下需求。服务器防病毒产品需要能够实现以下功能：1 能够对Windows NT/200X Server 提供Winsock层的全面防护；2 服务器防毒产品能够与Windows 200X操作系统中的NTFS5, UDFS和Encryption File System (EFS) 、FAT32文件系统集成；3 对包括间谍软件、广告软件在内的扩展威胁具备良好的检测和清除能力；4 和簇系统相兼容的实时防病毒保护；5 支持WIN NT 、WIN 200X、Unix、OS2等操作系统；6 支持集中管理、远程监控、自动升级、定制安装等功能；7 系统运行效率高、占用资源少，不影响应用系统的正常运行，要求厂商提供服务器防病毒产品对系统资源占用的相关材料，并做出承诺；8 系统能够提供好的安全性、稳定性，确保服务器的安全运行；9 快速检测和清除已知的病毒；10 具有强大防病毒能力和修复能力，能检测和清除来自各种途径的各类病毒、恶意代码和特洛伊木马等黑客程序；发现病毒后，有多种处理方法，支持多种压缩文件格式病毒检测，厂商能够提供几层压缩文件检测；11 对未知可疑行为或代码有一定的监控措施；12 易操作，从最终用户到管理员均可进行病毒防护工作；13 对用户的误操作要有一定的防范措施；14 必须明确服务器防病毒产品对系统的配置最低要求；客户端防病毒需求病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性，某个感染病毒的桌面机可能随时会感染其它的机器，或是被种上了黑客程序而向外传送机密文件。现代网络中的工作站数量具有数百台上千台甚至更多，如果要靠管理人员逐一到每台计算机上安装单机防毒软件，费时费力，同时难以实施统一的防病毒策略，日后的维护和更新工作也十分繁琐，容易造成部分客户端的病毒防护不彻底，成为病毒入侵的突破口。建议加强对移动用户的管理并提高所有客户端的病毒防范能力。具体需求如下：1) 可扫描内存、驱动器、目录、文件和Lotus Notes数据库和邮件系统。在Lotus Notes环境下，数据库和邮件的扫描可以在本地实现；2) 对包括间谍软件、广告软件在内的扩展威胁具备良好的检测和清除能力；3) 可以设定集中管理，工作站防毒程序可由统一的管理程序针对所有工作站防毒程序进行集中管理；包括：预约扫描，检测到病毒时采取的行动；4) 能够实时监测网络所有工作站，所有的病毒活动，网络管理同时给予客户端配置的权限； 5) 所有客户端程序在任何时候连接网络时，都可检测病毒库和扫描引擎的升级；6) 具有强大防病毒能力和修复能力，能检测和清除来自各种途径的各类病毒、恶意代码和特洛伊木马等黑客程序；发现病毒后，有多种处理方法，支持多种压缩文件格式病毒检测。检测和清除已知的病毒；7) 易用，从最终用户到管理员均可进行电脑单机的病毒防护工作；8) 集中日志管理功能/支持网络远程自动安装功能；9) 病毒防治系统运行效率高，占用系统资源少，对原有系统影响小，要求厂商提供客户端防病毒产品对系统资源占用的相关材料，并做出承诺；10) 支持实时防护，并可有效阻挡网络蠕虫的攻击；防病毒的辅助手段需求1) 流量监控网络流量异常监控分析工具，及时发现网内的可疑流量，迅速定位可疑主机。2) 入侵监测在网络中关键地点部署网络入侵检测工具，及时发现源自病毒的网络攻击事件并予以防护、向管理员发出告警。3) 漏洞扫描系统漏洞扫描工具，扫描网内客户端易被病毒攻击的漏洞，对未安装补丁程序的机器发出告警。4) 客户端扫描：通过对客户端作有针对性的扫描，自动发现整个网络中所有客户端防病毒软件的安装情况，找出哪些客户端安装了防病毒软件，哪些客户端没有安装防病毒软件，以及安装的是什么版本的防病毒软件等相关信息，便于管理员及时掌握整个网络中防病毒软件的运行情况。此功能最好集成在防病毒中央控制台中。5) 系统补丁分发工具客户端的安全漏洞的消除依赖于系统补丁的安装，因此还需要部署系统补丁的自动分发工具。要求补丁分发工具能够根据客户端操作系统的版本分发相应的补丁程序。为了便于防病毒系统的管理，上述防病毒辅助产品要能够集成到防病毒中央控制台中。第五章 企业网络防病毒体系设计实现目标通过赛门铁克国际领先的网络病毒防护产品和丰富的企业网络防毒设计经验，为霸王企业网络系统提供一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系，有效抵御各种病毒和混合威胁的攻击。提高霸王企业的病毒防御水平。推存安全防毒产品根据霸王企业网络系统的现状和系统防毒安全和管理的需要，我公司再结合选择防病毒系统遵循的以下几个原则及产品自身的优势，建议用Symantec Endpoint Protection 11.0产品。n 选择防病毒系统遵循的以下几个原则：1) 技术和产品的成熟性和稳定性。充分考虑防病毒产品本身和技术上的成熟性。网络防病毒产品必须是成熟而且经受大量考验的防病毒产品，在各种操作系统平台和服务器平台上都有相应的病毒防范软件的版本并且能够和操作系统紧密结合。2) 满足需求为第一。针对企业的具体应用情况，建立满足需求的病毒防护系统。对整个病毒防御体系进行合理建设，尽量满足各种需求。3) 必须是主动式的，而不是在病毒发生爆发后再作出反应。针对混合型病毒提供主动保护主要处于以下几个原因，主要是混合病毒传播的速度和它们的破坏程度；停机时间造成巨大的成本，需要大量的IT资源来清理病毒。对于混合型病毒必须要提供主动式的防御。4) 扩展性和可升级性。可升级能力是衡量防病毒系统是否具有生命力的重要指标。防病毒软件必须不断及时地升级病毒样本文件和引擎，在功能、性能上都在不断采用新的技术，保证系统的向前发展。向用户提供多种病毒特征文件和病毒引擎的方便的升级方式，保证组织机构的防病毒系统在第一时间内得到升级。5) 可管理性。对于霸王企业这样比较大的组织机构，要管理防病毒软件的分发、升级、配置和支持是一个非常难的事，这就要求提供一个方便管理的平台。防病毒系统必须提供简化管理的工具，可以在几个集中的点上对整个网络中的客户端和服务器进行管理，包括对病毒特征文件和防病毒引擎的分发升级、报警管理和日志分析整理以及病毒处理方式配置等。6) 易用性。在霸王企业这样的大的组织机构中，大部分的使用人员并非计算机专业人员，而且由于业务繁忙，不可能系统学习每一个工具软件。这就要求客户端的防病毒软件必须简单易用，自动化程度高，最好无须用户干预。防病毒的客户端软件应当能够自动对病毒实时检测、清除和报告，简化使用的复杂度，结合统一的控制台，用户几乎不需要知道有防病毒软件的存在。n Symantec Endpoint Protection 11.0产品的优势：SEP11.0与SEP SBE 12.0的功能对比Protection TechnologySEP SBE SEPEndpoint SecurityAntivirus / Antispyware防病毒/反间谍Desktop Firewall桌面防火墙Intrusion Prevention入侵防护Generic Exploit Blocking一般漏洞禁止功能Device & Application Control设备与应用程序控制Antivirus for Macintosh Antivirus for Linux Antivirus for Windows MobileNetwork Access Control Self Enforcement网络准入控制SEP11.0与SEP SBE 12.0的用户端支持对比Protection TechnologySEP SBE SEP客户端支持数量不超过 250不限SEP11.0与SEP SBE 12.0的扩展性对比SEP11.0双SEP SBE12.0的扩展性更灵活，SEP SBE12.0许可证到期无法更新病毒库，而SEP11.0在技术上不受限制综合以上原因，推荐用户选用SEP11.0产品来架构防毒安全体系。霸王企业网络防病毒总体架构 n 系统中心架构系统架构的设计取决与管理方式、终端数量及分布、网络带宽等条件。建议终端安全管理平台采用“统一控制”架构，这样的架构与现有行政管理模式相匹配益于提高管理效率。 “统一控制”体现在通过一个统一控制台管理所有服务的功能，SEP管理员可通过整体方法来管理端点安全。根据霸王企业网络现状，霸王全网防病毒系统采用“一级控制，分级管理”架构。企业的全网防病毒系统整体架构如下图所示:架构解读：1. 在公司内部的IT信息中心机房用一台服务器来安装SEP的控制中心即SEPM。控制台承担全网的防病毒产品升级、防护策略制定、报警管理、病毒统计报表生成等工作。2. 公司的PC安装SEP的客户端软件，接受SEPM的管理。“分级管理”主要体现在权限设置也可以自主在管辖范围内进行管理策略的扩展和定制。实现方式如下：在对不同部门进行分组，并对不同的部门组制定不同的安全策略。通过系统内置的继承体系，不同的子组能够从同一父组中继承相同的安全策略，从而提高策略制定的便利性。同时，可以为部门管理员分配适当的权限，如是否允许部门管理员修改继承的策略，限制其只可以查看本部门的报告，仅能管理本部门的客户端等细致的权限。如下图所示：n 病毒定义升级防病毒系统初建后第一次升级方案防病毒系统在建设完成后第一次升级占用带宽较大，一般需要升级10M20M左右的软件更新和病毒定义升级，如果在广域链路上进行并发更新容易造成链路拥塞，在这种情况下可考虑采用以下办法予以避免：根据实施时间，针对评审中心定制软件安装包，包含当前最新的病毒定义；或者防病毒服务器安装完成后立即手动升级其病毒定义库；原则上不允许客户端进行手动的防病毒定义升级（移动PC除外）。n 正常运维状态下的升级方案防病毒系统经过初次升级进入到日常运维状态，后期的防病毒定义更新包一般很小（150Kbytes200Kbytes不等），在运维状态下自动化的病毒定义更新是非常必要的。在运维状态下自动化的病毒定义更新是非常必要的。首先升级评审中心的数据中心防病毒服务器的病毒定义码、扫描引擎、特征库（漏洞特征库和攻击特征库）和安全规则（防火墙策略）。通过Internet到防病毒产品提供商网站升级最新的病毒定义码和扫描引擎。各下属客户端分别到中心的网络防病毒服务器升级病毒定义码、扫描引擎、特征库和安全规则。正常情况下升级周期为每天一次，时间设定为凌晨，避免升级流量对广域网络带宽的影响；当有突发的病毒事件或严重级别的病毒威胁，可实时升级病毒定义并下发。采用这种升级方式，一方面可以确保评审中心整个网络内的病毒定义码和扫描引擎的更新基本保持同步。另一方面，由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成，就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力，同时也避免了各终端自行到Internet升级而带来的不便和安全隐患。Symantec病毒定义升级频率缺省情况下，赛门铁克公司每日在官方网站上发布可供防病毒系统自动更新的病毒定义码（正常状态下每日一次更新；对于高危险性病毒爆发的情况，每日会更新多次）。网络带宽影响服务器与客户端之间策略通信流量，取决于管理员配置的操作系统保护策略的复杂程度，一个正常的策略文件在20K 80K之间变化，加密压缩后实际传输大校在5K10K左右。以500台终端（一个地市的终端通常少于500台）为例，在一次心跳时间（一小时）内发生的实际流量为 10K* 500 = 5M，每秒服务器的策略下载流量为5M/(3600s) = 1.4 Kbyte，需要占用带宽为11.2Kbps。事实上，策略更新仅在策略发生变化时发起，平时带宽占用可以忽略不计。服务器和客户端之间的日志流量，默认设置的客户端日志大小限制为512K，每次上传的日志都是自上一次和服务器通讯后发生过的日志。一般客户端一天（工作时间）发生的日志量是20条-200条（视网络中安全事件发生的频率而变化），我们以每心跳时间内发生200条日志这个极限来计算。200条日志压缩后的大小大概在20K左右，每次心跳发生时服务器收到的流量大小为 500用户 * 20K = 10M，每秒流量为 10M/（3600s）= 2.8byte，需要占用带宽为22Kbps，对于现有网络带宽影响很小。霸王企业网络防病毒部署1先安装SEPM控制台安装SEPM控制台的先决条件l 点击安装SYMANTEC ENDPOINT PROTECTION MANAGER ，此时会弹出要先安装好IIS及一些环境 安装IIS 包括里面的一些ASP.NET CGI安装SEPMl 配置SEPM配置登录控制台的帐号admin的密码等信息安装SEP的客户端可以把客户端的安装包导出来，在公司PC机上安装，也可以在SEPM推送安装。根据企业内部环境做出决定。第六章 端点安全保护Symantec Endpoint Protection产品简介Symantec Endpoint Protection 将与高级威胁防御功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如 rootkit、零日攻击和不断变化的间谍软件。Symantec Endpoint Protection 不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。这种多层方法可以显著降低风险，同时能够充分保护企业资产，从而使企业高枕无忧。它是一款功能全面的产品，只要您需要，即可立即为您提供所需的所有功能。无论攻击是由恶意的内部人员发起，还是来自于外部，端点都会受到充分保护。Symantec Endpoint Protection 不仅可以增强防护，而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。Symantec Endpoint Protection 易于实施和部署。赛门铁克还提供广泛的咨询、技术培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理，并帮助您实现投资的全部价值。对于希望外包安全监控和管理的企业来说，赛门铁克还提供托管安全服务，以提供实时安全防护。产品主要优势安全全面的防护 集成一流的技术，可以在安全威胁渗透到网络之前将其阻止，即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。主动防护 全新的主动威胁扫描使用独特的赛门铁克技术为未知应用程序的良好行为和不良行为评分，从而无需创建基于规则的配置即可增强检测能力并减少误报。业界最佳的威胁趋势情报 赛门铁克的防护机制使用业界领先的赛门铁克全球情报网络，可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施，并且可以帮助您防御不断变化的攻击，从而使您高枕无忧。简单单一代理，单一控制台 通过一个直观用户界面和基于 Web 的图形报告将全面的安全技术集成到单一代理和集中的管理控制台中。能够在整个企业中设置并实施安全策略，以保护您的重要资产。添加 SymantecNetwork Access Control 支持时，可以简化管理、降低系统资源使用率，并且无需其它代理。通过购买许可证可以在代理和管理控制台上自动启用 Symantec Network Access Control 功能。易于部署 由于它只需要一个代理和管理控制台，并且可以利用企业现有的安全和 IT 投资进行操作，因此，Symantec Endpoint Protection 易于实施和部署。对于希望外包安全监控和管理的企业，赛门铁克提供托管安全服务，以提供实时安全防护。降低拥有成本 Symantec Endpoint Protection 通过降低管理开销以及管理多个端点安全产品引发的成本，提供了较低的总体拥有成本。这种保障端点安全的统一方法不仅简化了管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。无缝易于安装、配置和管理 Symantec Endpoint Protection使您可以轻松启用、禁用和配置所需的技术，以适应您的环境。利用现有安全技术和 IT 投资 可以与其它领先防病毒供应商、防火墙、IPS 技术和网络访问控制基础架构协作。还可以与领先的软件部署工具、补丁管理工具和安全信息管理工具协作。主要功能 防病毒和反间谍软件 提供了无可匹敌的一流恶意软件防护能力，包括市场领先的防病毒防护、增强的间谍软件防护、新 rootkit 防护、减少内存使用率和全新的动态性能调整，以保持用户的工作效率。 网络威胁防护 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。 主动威胁防护 针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。 单个代理和单个管理控制台 在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制（需要购买赛门铁克网络访问控制许可证） 通过单个管理控制台即可进行全面管理。主要优势部署 SEP 的企业可以切身体验到众多优势。其中包括： 减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传播 通过对访问企业网络的不受管理的端点和受管理的端点加强控制，降低风险 为最终用户提供更高的网络可用性，并减少服务中断的情况 企业级集中管理架构将总拥有成本降至最低终端安全管理系统体系结构设计 策略管理服务器策略服务器实现所有安全策略、准入控制规则的管理、设定和监控，是整个终端安全标准化管理的核心。通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全管理，提供集中软件更新、策略更新、报告等功能。策略管理服务器可以完成以下任务： 终端分组与权限管理；根据地理位置、业务属性等条件对终端进行分组管理，对于不同的组可以制定专门的组管理员，并进行权限控制。策略管理与发布；策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木马防护策略、恶意脚本防护策略、电子邮件防护策略（包括outlook、lotus以及internet邮件）、广告软件防护策略、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机完整性策略等安全内容更新下发安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等日志收集和报表呈现可以生成日报/周报/月报，报告种类包括：风险报表（以服务器组、父服务器、客户端组、计算机、IP、用户名为条件识别感染源、当前环境下高风险列表、按类型划分的安全风险）、计算机状态报表（内容定义分发、产品版本列表、未接受管理客户端列表）、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报表、系统报表、安全遵从性报表。强制服务器管理和策略下发对于交换机强制服务器和网关强制设备进行统一的管理和策略定义。终端代理安装包的维护和升级； 终端代理终端安全管理系统需要在所有的终端上部署安全代理软件，安全代理是整个企业网络安全策略的执行者，它安装在网络中每一台终端计算机上。安全代理实现端点保护和准入控制功能。端点保护功能包括：防病毒和反间谍软件 提供病毒防护、间谍软件防护、rootkit 防护。网络威胁防护 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。主动威胁防护 针对不可见的威胁提供防护。包括不依赖特征的主动威胁扫描。端点准入控制功能包括：安全策略防病毒策略防病毒管理服务器的病毒定义码更新时间规划防病毒客户端的病毒定义码更新时间规划防病毒客户端的实时防护设置，配置病毒检测的类型、操作处理方式、警报方式防病毒客户端的日志记录时间设置防病毒客户端的隔离区参数设置防病毒客户端的篡改选项设置防病毒客户端的调度扫描设置，包括扫描的类型和对病毒的处理方式防火墙策略在该策略库中做了2个策略模版分别为：隔离区策略、 内网限制策略。在这些策略模版中包括以下几个策略：受限的应用程序：禁用一些与工作无关的应用程序运行。恶意程序黑名单：禁用一些严重的病毒、木马、恶意程序禁止拨号和无线网络连接：防止非法外连互联网网址屏蔽策略：杜绝与公网IP的通讯操作系统防护策略/设备禁用示例 /USB存储设备只读/防止USB木马 22 地址:广州市天河区天河路490号壬丰大厦1015室电话：020-3888 8686 传真广州伊登软件科技有限公司第七章 售后服务体系赛门铁克售后服务体系标准服务1) 注册注册您的赛门铁克产品请填好产品包装内的注册卡传真到赛门铁克北京办事处，并将其保留好，以备将来使用。然后在安装过程中，通过调制解调器完成注册工作。传真：8610-851869282) 免费升级如果您采用企业使用许可权的方式购买了赛门铁克Norton AntiVirus产品，您同时也获得了赛门铁克公司提供的一年期免费升级保险服务。升级保险服务是指在保险期内，用户可以获得病毒定义更新及扫描引擎更新，同时，只要赛门铁克发布该产品的新版本(不论多少个新版本)，用户只需要购买新产品的介质，就可以免费获得的产品升级服务。 目前赛门铁克公司为全球用户提供每周一次的病毒定义和扫描引擎的升级服务。3) LiveUpdate电子邮件服务您可以在下列网站注册，以便接收“LiveUpdate电子邮件”“Symantec Antivirus 研究中心电子新闻信件”：/avcenter/newsletter.html每当有更新以供下载时，赛门铁克就会发送电子邮件给已注册的用户，提示用户执行LiveUpdate。4) 升级保险为保证用户系统具有最新防病毒技术和病毒定义，购买赛门铁克产品的用户应该每年购买产品升级保险，以便在每年升级保险期满后继续获