防病毒系统方案建议书.doc

防病毒系统 方案建议书 微软 中国 有限公司 2007 年 7 月 防病毒系统方案建议书 微软 中国 有限公司 1 目 录 第 1 章需求概述 3 1 1网络现状 3 1 2防病毒系统现状 4 1 3亟待解决的问题 5 1 2现状分析及网络防病毒系统需求分析 5 第 2 章病毒及垃圾邮件需求分析 7 2 1邮件病毒的危害性 7 2 2邮件病毒发展趋势 8 2 2 1病毒与黑客程序相结合 9 2 2 2蠕虫病毒更加泛滥 9 2 2 3病毒破坏性更大 9 2 2 4病毒传播速度更快 传播渠道更多 9 2 2 5病毒的实时监测更加困难 10 2 2 6病毒传播多样化 10 2 3邮件病毒防治必须具备的功能 11 2 3 1检测能力 11 2 3 2更新和升级 12 2 3 3响应机制 12 2 3 4多级防护体系和安全管理策略 13 2 3 5对系统性能的影响 13 防病毒系统方案建议书 微软 中国 有限公司 2 2 4目前防病毒产品面临的挑战 13 2 4 1系统性能影响大 13 2 4 2防护滞后 14 2 4 3无法实现 7 24 小时实时防护 14 2 4 4蠕虫病毒的防治效果不理想 14 2 5垃圾邮件分析 15 2 6垃圾邮件的危害 16 2 7反垃圾邮件技术 17 2 7 1反垃圾邮件技术的发展历程 17 2 7 2反垃圾邮件技术要点 18 2 8反垃圾邮件的对策 19 第 3 章网络防病毒系统规划建议 21 3 1微软安全产品简介 21 3 2微软安全产品特点和优势 22 3 3防病毒系统规划关键点 23 3 3 1客户端防护规划 23 3 3 2邮件系统防护规划 25 3 4系统规划建议特点 28 第 4 章网络防病毒系统部署方案 29 4 1客户端防病毒系统 29 4 2邮件系统防病毒系统 29 防病毒系统方案建议书 微软 中国 有限公司 3 4 3硬件配置清单 32 4 4软件配置清单 32 第 5 章病毒及垃圾邮件的日常预防 33 第 6 章病毒防治的应急响应 35 6 1病毒事件的发现 35 6 2处理流程 35 6 2 1隔离系统 35 6 2 2保留日志 36 6 2 3确定问题 36 6 2 4清除病毒或蠕虫 37 6 2 5加固系统 37 6 2 6恢复到日常的状态 37 6 2 7事后分析和处理报告 38 6 3大规模病毒爆发事件处理 38 防病毒系统方案建议书 微软 中国 有限公司 4 第 1 章需求概述 本单项工程主要对一期的防病毒系统采取进一步的措施 主要表现为 1 对现有的防病毒系统进行加固和优化 增强主机 邮件系统 终端的防病毒的 能力 2 增强网络防毒能力 抵御网络病毒对内网的攻击 3 屏蔽一切不安 全的设备和人员接入网络 规范用户接入网络的行为 从而铲除网络威胁的源 头 避免事后处理的高额成本 1 1 网络现状 全国 管理信息网是一个三级的网络 由 各省级 管理机构及其 派出机构组成 网络带宽分别为 64K 和 128K 各个省中心都有自己的管理员 维护本省网络和系统的日常运营 全国 管理网络系统由国家 31 个省 区 市 及派出机构等的计算机网络通过 64 128k 帧中继等方式三级广域互连而成 是一个单中心的星型网 其中包括 局域网 国家级超短波监测站 国家 级短波监测站 移动监测车 省级网络等 各级网络都是一个独立的域 管理 自己的域用户 按照国家规定 本网络要求与 Internet 物理上完全断开 但由于管理不严 有些节点与 Internet 有物理连接 另外本网络与外部连结互连有两种方式 一 种是由于行政原因 与信息产业部 信息产业厅等部门局域网连结 一种是项 目单位通过拨号 162 接入等方式连入本网络 局域网主要完成全国 管理计算机网的网络管理 与下级局域网的信 息交换 局域网网络规模相对不大 物理分布集中在距离很近的两个楼 防病毒系统方案建议书 微软 中国 有限公司 5 宇 楼层间垂直走线子系统采用室内多模光纤互联 骨干为千兆以太网 中心 交换机为一台 RS8600 水平走线子系统共有 5 个 分别位于 2 3 5 8 10 五个楼层 可以实现百兆交换到桌面 可提供五百个以上信 息点的接入能力 楼层交换机楼层交换机楼层交换机楼层交换机 中心路由器 Cisco7507 中心路由器 备份 中心交换机1中心交换机2 1 2防病毒系统现状 全国 管理信息系统包括两个独立的网络系统 内网和外网 都是全国 性网络 其中内部网络由国家 31 个省 区 市 及派出机构等的计算机局域 网组成三级广域网 总共有 3000 余台计算机设备 其中包括了 400 余台 Windows 服务器 拥有邮件服务 办公自动化服务 内部 WWW 服务和自身 的业务系统服务 外部网络客户端较少 拥有邮件服务 WWW 服务和其他应 防病毒系统方案建议书 微软 中国 有限公司 6 用服务 2003 年一期工程统一部署了 Symantec antivirus 8 0 网络防病毒产品 对所有客户端和服务器部署了防病毒实时监控 同时对 Exchange 服务器进行 了邮件病毒过滤 病毒防护系统管理结构如下 为树根 统一来管理所有的下级单位 省一级无委为第二级管理中心 地市为第三级管理中心 1 3亟待解决的问题 客户端感染病毒的事件逐渐增多 维护工作量和难度很大 病毒传播行为占用 了大量的广域网带宽 产生以上问题的根本原因是 1 客户端的防病毒问题 业务不断扩展和变化使得客户机系统的安全监管越来越困难 客户机在内网和外网环境中交替使用 外来人员自带电脑任意接入网络 新安装的主机在缺少基本安全保障的情况下接入网络 2 病毒自身的变化 病毒自身的发展对防范手段有更高的要求 病毒变化速度越来越快 病毒的危害性越来越大 病毒的自我保护能力越来越强 3 全国 管理信息系统的防病毒软件过于陈旧 防病毒系统方案建议书 微软 中国 有限公司 7 1 2 现状分析及网络防病毒系统需求分析 近年来 病毒攻击的数量和次数 以及病毒攻击的复杂程度一直都在上升 虽然 全国 管理信息系统在一期建设中已经部署了多层次的防病毒软件 从 关键服务器 到邮件服务器 到最终客户端 但是 他们仍然会受到基于网络 攻击的病毒的困扰 例如 SQL Slammer 和冲击波 Blaster 等 如果网络病毒 攻击不能在网络层被侦测的话 现有的病毒防护体系无法被及时侦测或者阻止 的 导致的后果经常是核心交换 路由设备充斥大量无用的数据包 CPU 负载 居高不下 甚至导致终端用户正常网络业务应用受阻等等 面对病毒发展的新 趋势 必须通过技术和管理手段进行防病毒管理体系的加固和优化 目前 防病毒工作存在的问题 1 病毒自身的发展对防范手段有更高的要求 1 病毒变化速度越来越快 2 病毒的危害性越来越大 一旦网内有一台计算机感染病毒 其所在 的整个网段都会受到影响 网络带宽也被大量占用 3 病毒的自我保护能力越来越强 2 客户机在内网和外网环境中交替使用 在外网感染病毒后带入 内网 3 外来人员自带电脑任意接入网络 造成病毒传播 4 新安装的主机在缺少基本安全保障的情况下接入网络 比如没 防病毒系统方案建议书 微软 中国 有限公司 8 有安装防病毒系统 安装了但是特征库更新不及时 没有安装必要的 操作系统补丁 根据 对防病毒产品的相关需求结合防病毒系统现实存在的一系列问 题 归纳中心对防病毒系统有几个方面的需求 客户端病毒防护 防病毒软件自身性能和功能 防病毒软件对网络的管理能力 网关病毒防护 邮件病毒防护 系统及应用补丁产品的性能和管理能力 防病毒系统方案建议书 微软 中国 有限公司 9 第 2 章病毒及垃圾邮件需求分析 随着邮件系统的普及 计算机病毒中的邮件病毒开始大行其道 给社会带 来越来越大的经济损失 垃圾邮件与邮件病毒已经成为互联网时代的两大杀手 而邮件病毒更甚 因为它不但能产生垃圾邮件 而且还能感染电脑 阻塞网络 造成更大的损失 2 1 邮件病毒的危害性 对于大多数个人电脑用户来说 对邮件病毒破坏性的感觉并没有象 CIH 病 毒这样强烈 在大多数人的脑海中的印象中邮件病毒是一种只会发发病毒邮件 的温和的病毒 其实 邮件病毒的破坏要远大于此 首先 邮件病毒会对主干网的流量造成影响 邮件病毒的传播过程是这样 的 病毒会被首先释放到一台病毒种机中 种机中有大量的公开邮件地址 然 后病毒就会通过网络和邮件从一台计算机感染到另一台计算机 由于邮件病毒 在每感染一台计算机后就会搜索一次该计算机的所有 E MAIL 地址 再向这些 地址发送病毒邮件 被感染的计算机不但会向一些未感染病毒的计算机发送病 毒邮件 还会进行邮件互发 从而在全球泛滥的同时大量占用网络带宽资源 使整个主干速度变慢 象 求职信 就是这样的一个病毒 如果邮件病毒又具 备了黑客攻击的手段 那么这种破坏性就更明显了 象 SCO 炸弹 Mydoom 病毒就是这样 他不但会进行邮件传播 还会在某个特定时间 对 SCO 微软等网站发起 DDoS 分布式拒绝服务 攻击 病毒的意图很明显 就是要集结全球所有被感染计算机 然后统一向这两个网站发起攻击 全球范 防病毒系统方案建议书 微软 中国 有限公司 10 围内的超量非法服务请求 不但会使这两个网站瘫痪 还会使整个主干网阻塞 其次 邮件病毒还会对企业和电子邮件服务商造成影响 如果说对主干网 的影响 大家还只是停留在感觉的层次的话 那么邮件病毒对企业和电子邮件 服务商的影响就是实实在在的了 每一个现代化的企业 都会有自己独立的内 部网络和邮件服务器 邮件服务器每秒钟要收发数以万记的邮件 但是一个邮 件服务器的吞吐量和邮件并发数是有限的 当邮件病毒泛滥时 大量的病毒邮 件会随时从外部网络涌入 如果企业内部感染了邮件病毒 那么同时也会有大 量的病毒邮件从内部网络经由邮件服务器而发送到外网 当病毒邮件远远大于 邮件服务器所能承载的最大邮件数时 邮件服务器便会来不及处理邮件请求从 而导致邮件阻塞 严重时还会使邮件服务器系统崩溃 从而拒绝服务 一些互 联网邮件服务商同样也面临着这样的问题 虽然他们的邮件服务器吞吐量很大 但他们接受的是整个互联网的邮件请求 因此在邮件病毒大量泛滥时仍然会产 生邮件阻塞及拒绝服务的情况 有电脑使用经验的用户一定还记得当年求职信 病毒爆发时的情形 在病毒的泛滥高峰期 用户几乎是无法收取任何邮件的 最后 邮件病毒会产生大量的垃圾邮件 阻塞用户信箱 这种危害是普通 用户能亲身感受到的 邮件病毒泛滥时会给用户的邮箱发送大量的病毒邮件 虽然一些邮件服务商采取了一些邮件过滤的技术 如字符串过滤 截取附件等 方法 但是如今的邮件病毒都会采取随机更换邮件标题和内容的方法来躲避过 滤 而一些被截去附件的病毒邮件就成了名符其实的垃圾邮件 一些躲过过滤 的病毒邮件会有很有迷惑性的标题来诱使用户中毒 而一些被截去附件的病毒 防病毒系统方案建议书 微软 中国 有限公司 11 邮件则会变成垃圾邮件来占满用户有限的邮箱空间 使用户无法收取正常的邮 件 2 2 邮件病毒发展趋势 自从 1983 年世界上第一个计算机病毒出现以来 在不到 20 年的时间里 计算机病毒已到了无孔不入的地步 有些甚至给我们造成了巨大的损失 而所 有的计算机病毒 都可能通过邮件的方式进行传播 每当一种新的计算机技术广泛应用的时候 总会有相应的病毒随之出现 例如 随着微软宏技术的应用 宏病毒成了简单而又容易制作的流行病毒之一 配合主板 BIOS 升级技术 出现了第一款可以损坏硬件的 CIH 病毒 随着 Internet 的网络普及 各种蠕虫病毒如美丽莎 爱虫 SirCAM 等疯狂传播 以及后期不断的产生病毒和黑客攻击于一体 通过 80 端口进行传播 红色代 码 CordRED 病毒和 Nimda 病毒 通过利用 SQL Server 漏洞传播的病毒 王 以及通过 RPC 漏洞进行攻击和传播的冲击波病毒 不仅仅对于计算机进行 破坏 同时造成了整个网络的瘫痪 纵观当今的网络时代 病毒的发展呈现出如下趋势 2 2 1 病毒与黑客程序相结合 通过附件中夹带黑客程序 邮件病毒与黑客程序 木马病毒 结合以后的 危害更为严重 病毒的发作往往伴随着用户机密资料的丢失 病毒的传播可能 会具有一定的方向性 按照制作者的要求侵蚀固定的内容 防病毒系统方案建议书 微软 中国 有限公司 12 2 2 2 蠕虫病毒更加泛滥 这类病毒是由受到感染的计算机自动向用户的邮件列表内所有的人员发送 带毒文件 往往在邮件当中附带一些具有欺骗性的话语 由于是熟人发送的邮 件 接受者往往没有戒心 因此 这类病毒传播非常快 只要有一个用户收到 感染 就可以形成一个非常大的传染面 2 2 3 病毒破坏性更大 邮件病毒绝不仅仅以侵占和破坏邮件服务器的为目的 利用邮件服务器作 为整个网络系统的邮件传输枢纽 扩大受感染面积是他们更为危险的动机 木 马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者 如爱虫病 毒 或者采取 DoS 拒绝服务 的攻击 红色代码病毒 一方面可能会导致 本机机密资料的泄露 另一方面会导致一些网络服务的中止 而蠕虫病毒则会 抢占有限的网络资源 造成网络堵塞 如 Nimda 病毒 如有可能 还会破坏 本地资料 如针对 911 恐怖事件的 Vote 病毒 2 2 4 病毒传播速度更快 传播渠道更多 由于网络的普及 使得编写病毒的知识越来越容易获得 同时 各种功能 强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序 用户通过网络甚至可以获得专门编写病毒的工具软件 只需要通过简单的操作 就可以产生破坏性的病毒 防病毒系统方案建议书 微软 中国 有限公司 13 2 2 5 病毒的实时监测更加困难 随着网速的提高 在数据传输时间变短的同时 病毒的传送时间会变的更 加微不足道 如何确保病毒文件在抵达用户邮箱之前将它查出并处理 是当前 针对邮件病毒的防毒产品面临的重要问题 2 2 6 病毒传播多样化 目前绝大多数病毒传播的途径是网络 而网络病毒中 又以邮件传播病毒 最为常见 以下是 Sophos 公司公布的 2004 年 5 月的 10 大流行病毒 图 1 病毒排行列表 表中所列皆为蠕虫病毒 蠕虫病毒是通过邮件系统传播的典型病毒之一 由此可见 对于一个网络系统而言 针对病毒的入侵渠道和病毒集散地 邮件 网关进行防护是最首当其冲的防治策略 防病毒系统方案建议书 微软 中国 有限公司 14 目前市场上的防毒产品根据其部署的架构大致可分为三个层面 即网关 服务器 客户端 邮件网关处于局域网及互联网的出入口 它是处理来往于 互联网及网络间的数据的首要关卡 承担了对即将进入邮件服务器的所有邮件 的病毒监测和垃圾邮件筛选工作 通过在网关处的病毒清除和邮件过滤动作 可大大减轻邮件服务器的负载压力 同时减轻邮件服务器防毒软件的压力 从 而提升邮件服务器的使用性能 对于邮件病毒每一个可能的入口 部署相应的病毒防治软件 实时检测其 中是否有病毒 是构建一个完整有效病毒防治体系的关键 a 网络邮件 群件系统 如果MAIL 服务器未部署防毒软件 一旦 有某个用户感染了病毒 通过邮件方式该病毒将以几何级数在网络 内迅速传播 并且很容易导致邮件系统负荷过大而瘫痪 而仅仅在 客户端级别对受感染的计算机进行隔离清除病毒工作 并不能对整 个系统起到管理和防范的作用 b 内容保护 由于目前邮件系统的使用异常方便 造成了用户很容易 在不经意间将重要的 机密的或是不当的信息通过邮件发出去 另 一方面 来自Internet 上的垃圾邮件也到处都是 导致用户需花 大量的精力和时间去处理 降低了工作效率 因此对往来的邮件内 容进行过滤也很重要 c 集中管理 对于一个大型网络来说 部署的病毒防治系统将十分复 杂和庞大 尤其在各网点在地域上分离的情况下 通过一个监控中 心对整个系统内的病毒防治服务和情况进行管理和维护显得十分重 要 这样就可以大大降低维护人员的数量和维护成本 并且缩短了 防病毒系统方案建议书 微软 中国 有限公司 15 升级 维护系统的响应时间 病毒防治系统的最大特点是需要不断 的升级和更新防毒软件 以应对新产生的各类病毒 因此各点的病 毒防治软件集中进行升级行动也是有效病毒防治的重要一环 2 3 邮件病毒防治必须具备的功能 2 3 1 检测能力 病毒防治的恶意代码检测技术必须具有检测已知的和未知的蠕虫和特洛伊 木马病毒的能力 通过对 SMTP 数据流的实时监控 检测和删除所发现的任何 病毒 并能自动下载 下载新的病毒库从而能包括需要扫描的所有病毒的特征 病毒检测能力 a 保证对进出SMTP 的邮件数据进行100 的数据扫描和处理 对置 于其后的邮件系统进行最大程度的防护 b 7 24 小时的防护机制 c 工具是否包含恶意代码 d 实时病毒扫描 SMTP 堆栈 e 按需病毒扫描 f 多态性病毒的不同应对 g 病毒驻留在加密消息或压缩文件中的检查 h 病毒以不同的语言书写 如JAVA ActiveX VB 等 i 特洛伊木马和蠕虫病毒 防病毒系统方案建议书 微软 中国 有限公司 16 2 3 2 更新和升级 保持对病毒和恶意代码威胁的有效防御不仅仅包括在给定的时间执行全面 检测这一能力 平均每月有 300 多种新的病毒被发现 防毒保护应当能定时更 新 当新的病毒被发现后 相应的处理方法应被开发出来并更新保护 并且这 一自动更新应该是静态完成 客户端为不可见的 病毒防治系统应该通过集中管理框架 可靠地完成自动更新 更新和升级 的功能需求有 a 能够进行版本升级 b 定期升级 c 升级迅速 2 3 3 响应机制 响应机制的功能需求包括 a 服务器级别隔离 b 控制台级别隔离 c 基于网络的支持响应服务 d 向系统管理员告警 e 向发送者或接受者报警 防病毒系统方案建议书 微软 中国 有限公司 17 2 3 4 多级防护体系和安全管理策略 由于整个体系中邮件服务器众多 造成了管理上的困难和投入的增加 多 级单位的网络互联 需要控制大规模的病毒爆发事件 把病毒的影响控制在很 小的范围内 另外由于文件的传输和电子邮件的传输也没有统一的控制 所以 造成病毒多种的途径的传播 主要表现在以下几个方面 a 系统内部数据传输频繁 为病毒传播创造了条件 b 管理人员不够了解系统内病毒活动的情况 不能即使采取控制措施 c 网络互联互通 一旦大规模爆发蠕虫病毒 将会造成网络系统的瘫痪 d 没有统一病毒库升级途径 2 3 5 对系统性能的影响 a 可对群发邮件进行单一扫描从而减少对系统的影响 b 具备防止其他可对系统造成不必要影响的机制 2 4 目前防病毒产品面临的挑战 2 4 1 系统性能影响大 由于邮件服务器本身承载的任务复杂 需消耗的系统资源及网络带宽已经 很多 因此作为第三方防病毒软件不仅仅应与其在功能上保持良好兼容性之外 对现有系统的性能冲击越小越好 目前防病毒产品的扫描机制分为两类 硬盘扫描与内存扫描 硬盘扫描的 防病毒系统方案建议书 微软 中国 有限公司 18 方法为允许所有邮件进入服务器 再对其进行扫描操作 因其直接对硬盘进行 读写操作 因此扫描速度慢 且对具有自启动功能的病毒无防范能力 相较而言 将扫描点提前到内存中将大大缓解防毒软件对系统资源与网络 带宽的影响 但目前部分内存扫描产品并未做到真正意义上的内存扫描 而是 在内存中生成一个临时文件夹 将文件存入 然后再实施扫描 因此不可避免 要求相当大的内存空间 2 4 2 防护滞后 将扫描点放在服务器中进行扫描的方法 不能防止带有病毒的文件进入邮 件服务器最为重要也是最为脆弱的关键应用 而目前越来越多的高度智能化的 病毒程序一旦进入服务器存储单元 就会以极快地速度进行自我复制和转发病 毒等破坏行为 因此传统防病毒软件提供的保护不可避免地具有滞后性 2 4 3 无法实现 7 24 小时实时防护 防毒引擎查杀病毒的能力直接决定了该防毒软件的性能 尤其是为服务器 而设计的防病毒软件 更应确保对服务器 100 不间断的防护 但目前大多服 务器版的防病毒软件采用单一引擎扫描机制 当唯一的引擎进行升级时 实时 监控进程停止 此时服务器处于毫无防护的状态下 使各种病毒有了可乘之机 防病毒系统方案建议书 微软 中国 有限公司 19 2 4 4 蠕虫病毒的防治效果不理想 蠕虫是一种通过网络传播的恶性病毒 它具有病毒的一些共性 如传播性 隐蔽性 破坏性等等 同时具有自己的一些特征 如不利用文件寄生 有的只 存在于内存中 对网络造成拒绝服务 以及和黑客技术相结合等等 在产生的 破坏性上 蠕虫病毒也不是普通病毒所能比拟的 网络的发展使得蠕虫可以在 短短的时间内蔓延整个网络 造成网络瘫痪 而目前防病毒产品对蠕虫病毒大 多采用的处理方法与传统病毒类似 即在存储单元中先对其进行修复 如果修 复无效则删除附件 但蠕虫病毒的特殊性决定了一旦允许其写入硬盘 将极大 增强其自我繁衍的能力 且它产生的数据垃圾无法进行修复 所以这种处理方 法的结果必然是扫描引擎不断对无价值文件进行读写硬盘的操作 并将删除了 附件的邮件正文发送给收件人 间接制造了大量垃圾邮件 2 5 垃圾邮件分析 自从互联网普及以来 电子邮件逐渐成为人们生活中便捷的通信手段之一 然而 随之产生的垃圾邮件像瘟疫一样蔓延 污染网络环境 占用大量传输 存储和运算资源 影响了网络的正常运行 业内人士分析 一旦垃圾邮件占到 互联网总数据流量的三分之一以上 将会造成巨大的存储需求 甚至对信息安 全系统的有效性构成威胁 对垃圾邮件的定义至今还没有一个比较明确的描述 然而它们的诸多表征 已经得到了业界人士的广泛的认可 不久前 中国互联网协会也公布了对 垃 圾邮件 的正式定义 1 收件人事先没有提出要求或者同意接收的广告 电子 防病毒系统方案建议书 微软 中国 有限公司 20 刊物 各种形式的宣传品等宣传性质的电子邮件 2 收件人无法拒收的电子邮 件 3 隐藏发件人身份 地址 标题等信息的电子邮件 4 含有虚假的信息源 发件人 路由等信息的电子邮件 垃圾邮件的内容形形色色 主要包括广告 色情 政治言论 病毒传 播等几种类型 其中 携带病毒的垃圾邮件直接威胁着整个网络系统的安全 广告大约占据所有垃圾邮件的 70 左右 从技术上分析 垃圾邮件可以分为以 下四种 1 信件头部包含垃圾邮件的特征 国外许多国家和地区都有限制垃圾邮件的立法 所以很多国外的广告发送 程序都被强制加上标识符 例如邮件的发送程序使用 CDmail 那么在邮件头 部就会出现 X mailer CDmail 的字样 不过在我国发送垃圾邮件还没有这一 限制 2 邮件内容包含垃圾邮件特征 邮件内容中含有 sex site 等字样 3 使用 Open Relay 主机发送的垃圾邮件 由于系统管理员的疏忽 很多邮件服务器都是 Open Relay 的 这样就允 许任何人通过该 SMTP 服务器向任何地址发送垃圾邮件 4 无论头部还是内容都无法提取特征 防病毒系统方案建议书 微软 中国 有限公司 21 那些不含有标识的发送垃圾邮件的软件 可以直接连接 给 所有 用户发送垃圾邮件 人们很难将这样的垃圾邮件从正常的邮件中 分离出来 2 6 垃圾邮件的危害 47 一项最新调查显示垃圾邮件已成为互联网用户的最大烦恼 垃圾邮 件的病毒率高达 47 1500 亿 2003 年 中国的邮件服务器共收到 1500 亿封垃圾邮件 尽管 其中 60 到 80 被服务器过滤掉 但至少有 470 亿封最终流入用户的信箱 48 亿 2003 年我国处理垃圾邮件浪费的 GDP 高达 48 亿元人民币 874 美元 垃圾邮件给美国企业造成的损失落实到每位职员身上折合约为 874 美元 1 85 封 我国网民平均每天收到邮件 7 05 封 其中 1 85 封为垃圾邮件 每人每天用在处理垃圾邮件的时间为 3 65 分钟 50 一篇报告称垃圾电子邮件失去了控制 到 2003 年年中 全部电子 邮件中将有 50 是垃圾邮件 星期四 英国一家网络供应商研究发现 星期四是垃圾邮件制造者特别钟 爱的日子 防病毒系统方案建议书 微软 中国 有限公司 22 89 亿美元 美国企业每年由于垃圾邮件要 89 亿美元的损失 欧洲企业的 损失为 25 亿美元 美国和欧洲的 ISP 的损失为 5 亿美元 2 7 反垃圾邮件技术 2 7 1 反垃圾邮件技术的发展历程 回顾反垃圾邮件技术的发展历程 可以将其分为三个阶段 触发阶段 1993 年 1997 年 1994 年 12 月 spam 一词开始用于 表示垃圾邮件 1995 年 10 月 国际上开始为垃圾邮件设定专门的邮件帐户 abuse domain 用于收集 讨论垃圾邮件 同时开始利用 黑名单 把一 些已知的发送垃圾邮件 IP 或邮件地址列入其中 用来过滤垃圾邮件 技术实施 反垃圾邮件工作 推进阶段 1997 年 1999 年 1997 年 5 月 国际上成立了 CAUCE Coalition Against Unsolicited Commercial E mail 组织 主要从 倡议立法的角度出发 力图唤醒有志者共同参与 一起抵制垃圾邮件 1998 年 4 月 Internet 协会 ISOC 针对垃圾邮件问题召开了专项会议 讨论有效的 实施垃圾邮件过滤方式等等 在这一阶段中 许多国际组织和服务单位例如 MAPS SPANHAUS ORBS SPAMCOP 也相继成立 对垃圾邮件问题 尤 其是对 ISP 提出了很多建议和解决方案 尤其重要的是 1998 年我国成立了 第一家开展垃圾邮件与反垃圾邮件技术研究单位 中国教育与科研网紧急响应 小组 CCERT 他们积极地与国际组织接触并建立联系 成为这一阶段我 国接受和处理国际投诉的主要窗口 防病毒系统方案建议书 微软 中国 有限公司 23 发展阶段 1999 年 2002 年 1999 年 2 月 RFC2502 Anti Spam Recommendations for SMTO MTAs 的正式发布标志着反垃圾邮件技 术研究的蓬勃发展 许多国际知名大学和研究机构都组织人员开始了反垃圾邮 件技术的研究 随着反垃圾邮件理发和建立统一标准等工作的推进 这一研究 领域更是吸引了许多从事交叉学科研究的技术人员的关注 机器学习 神经网 络和遗传算法等先进的研究经验都被引入到这一领域 这一阶段的研究成果成 为近几年国内外开发反垃圾邮件产品的主要技术依据 2 7 2 反垃圾邮件技术要点 垃圾邮件是用专门的邮址搜索软件和邮件群发软件来完成网上邮址收集和 邮件散发的 一个邮址搜索软件每次可以搜索到几万个至十几万个有用邮址 一个邮件群发软件每天可以发送百万封同样或不同内容的垃圾邮件 在宽带日 益普及的情况下 只要懂得如何发送电子邮件 人们在家里也可以轻而易举得 制造出大批垃圾邮件来 对于这种自动化的垃圾邮件制造方式 人工手段删除 垃圾邮件显得无能为力 必须借助一定的技术手段对付批量的垃圾邮件 反垃圾邮件技术主要包括 垃圾邮件过滤技术 邮件服务器的安全管理和 培植技术以及对简单邮件通信协议 SMTP 的改进研究等 2 7 2 1启发式过滤技术 过滤技术是目前反垃圾邮件用到的主要技术 防病毒系统方案建议书 微软 中国 有限公司 24 其一 利用域名地址 IP 或域名 黑白名单 进行的邮件限制或过滤 典 型应用诸如 结合 DNS 的实时黑名单 RBL 过滤 用户自定义邮件白通道加 严整的过滤方法等 其二 基于数据挖掘技术进行的邮件过滤研究 利用文本分类与统计算法 进行垃圾邮件检测 比较有代表性的是贝叶斯过滤器 它是以自学习 自适应 和极高的准确率占据了过滤器这个领域的主导地位 其他研究包括 基于记忆 信息 基于事件特征描述信息进行数据挖掘的垃圾邮件检测方法 其三 基于垃圾邮件的特征分析 规则提取的规则匹配过滤方法 电子邮 件通常具有几个重要特征 标准电子邮件地址 包括收发件人邮箱名 收发人 邮箱服务器 IP 地址或域名 主题 信件内容 包括正文 关键字 附件 等 相关字段 这些特征是过滤技术判断 分析 统计和提取的依据 目前的防垃 圾邮件系统主要是通过启发式过滤技术来实现 启发式过滤技术主要是对邮件进行来源过滤和内容过滤 对于上文中提到 的第一 第三种垃圾邮件 启发式过滤技术可以根据其来源特征进行过滤 这 种方式可以在邮件完全提交之前就进行阻断 能有效保护网络资源 内容过滤 就是对邮件正文进行内容匹配 能够有效防止第二种垃圾邮件 对于那些一时 无法识别和处理的特殊垃圾邮件 比如第四种垃圾邮件还需要技术人员通过人 工方式进行处理 从原理来看 提取邮件特征 获得关键词是启发式过滤技术的关键 一般 网站和大型企业通常会设立专门垃圾邮件用户投诉信箱 技术人员可以从这些 防病毒系统方案建议书 微软 中国 有限公司 25 躲过反垃圾邮件软件处理 直接到达用户信箱而被用户送来的垃圾邮件中 摘 取关键词进行分析过滤 或是统计垃圾邮件的相关特征 输入反垃圾邮件引擎 使升级后的反垃圾邮件软件能够拒收这些邮件 为了及时获得有效特征 有些 网站和大型用户还设立了专门的 诱饵邮箱 只要有垃圾邮件进入自己的网 站 这个诱饵邮箱就会自动截获 供专门技术人员参考 2 7 2 2合作式扫描技术 除了启发式过滤技术外 合作式过滤技术也逐渐引起人们的重视 该技术 主要通过对邮件进行签名来防止垃圾邮件 通过分布在各地的防垃圾邮件代理 对垃圾邮件进行实时的判断和签名 利用各个防垃圾邮件网关的协同工作减少 垃圾邮件的危害 2 8 反垃圾邮件的对策 防止垃圾邮件 人们可以从网关 服务器端和客户端四方面入手 1 基于服务器的软件 这些软件通常运行于邮件服务器或是一台单独的机器 上 它们检查邮件头和发送的信息并且阻止那些无效信息 众多基于服务器的 过滤软件都参考了一个众所周知的垃圾邮件制造者或策源地的列表 并最终把 来自这些地方的信息筛除 最流行的列表是在邮件滥用预防系统 MAPS Mail Abuse Prevention Systems 中有个黑洞列表 Blackhole List MAPS 可以删除其 DNS 列表中的垃圾邮件制造者的服务 提供商的地址 来阻止垃圾邮件对后端系统的干扰 这种过滤产品可以在信息 通过之前 根据 MAPS 的域名服务器来检查入境信息的头信息 查看基于服务 防病毒系统方案建议书 微软 中国 有限公司 26 器的垃圾过滤软件的列表 2 硬件网关 如果用户有大量邮件需要接收 这 些用户可以采用一种基于硬件的邮件过滤网关 它比基于软件的网关产品更有 优势的地方是能够处理更大量信息 这种设备安置在路由器和服务器之间 以 过滤垃圾信息 有些硬件邮件过滤网关可以扫描发出的邮件 有些只能扫描进 入的邮件 它们的过滤规则各不相同 通常是根据内容或者行为制定 部分设 备还可以扫描病毒 3 客户端 客户端是防垃圾邮件的最后一道防线 用户可以采用客户过滤软件 在客户端的过滤方法中 人们可利用一些常见的电子邮件客户端工具的分拣和 过滤功能来设定规则 把接收下来的电子邮件进行检查和匹配 从发件地址 主题 正文内容中的关键词 对那些符合垃圾邮件特征的电子邮件 执行自动 删除操作 或者加装某些客户端工具 利用邮件下载协议 POP3 或 IMAP4 的一些特定指令先下载邮件的头部信息进行垃圾邮件的判断和识别 这样客户 端就不需要将电子邮件完全下载才能进行识别和处理了 像反病毒一样 反垃圾邮件需要每一位用户的共同参与和积极配合 具体 来说 企业用户可以选择一些防垃圾邮件的软件来保护自己的邮件系统 对于 电信用户 大容量电子邮件系统 部署防垃圾邮件系统可能会对邮件的正常 传输产生一定影响 在部署系统之前 这部分用户最好对系统的稳定性和性能 进行充分的测试和估算 并要保证一定的性能冗余 对于个人用户来说 要注 意将自己的邮件地址在最小范围内散发 不要将邮箱注册到某些声誉不高的 ICP ISP 不要购买通过垃圾邮件发布广告的商品 使用客户端防垃圾邮件软件 在收到垃圾邮件时 向相关组织报告垃圾邮件的信息 以便向垃圾邮件规则库 中提交更多的匹配模式 防病毒系统方案建议书 微软 中国 有限公司 27 防病毒系统方案建议书 微软 中国 有限公司 28 第 3 章网络防病毒系统规划建议 针对以上对 现状和需求的分析 我们建议利用微软公司的 Forefront Security 为核心来部署实施 的网络防病毒系统 采用网络防病 毒系统 既能满足 在业务 应用 信息和基础设施建设方面的现状 也 能满足 在对管理方面对网络防病毒系统的要求 实现面向 最终用户 的 易于管理维护 高可靠性和安全的电子网络防病毒系统 3 1 微软安全产品简介 当今的安全市场十分复杂和零散 系统管理员面临种种挑战 现有安全产 品存在较差的互操作性 每种产品单独的管理控制台 以及普遍缺少统一的活 动报告和分析等不足 简而言之 现有的安全解决方案和产品仍很难部署 使 用和管理网络保护 而且相关费用又十分高昂 随着安全性对商业解决方案成 功与否的作用日益突出 这些不足就显得越发严重 面临日益严重的信息安全问题 微软公司推出了自有品牌 Forefront 为基 础的安全解决方案 能帮助企业 包括政府 用户完成从网络边界到服务器到 客户端的全面保护 目前应用服务器端包含了 Forfront Security for SharePoint 提供对门户的保护 Forefront Security for Office Communications Server 提供了对即时消息系统的保护 Forefront Security for Exchange 提供了对邮件服务器 协作平台的保护 在客户端 Forefront Client Security 提供了对操作系统 如 Windows XP 的保护 其中除了具 备反病毒能力外 Forefront for Exchange 还提供了对木马程序 垃圾邮件的 防病毒系统方案建议书 微软 中国 有限公司 29 灭杀功能 Forefront 软件脱胎于在系统安全领域里早已成名的产品 如服务器端的 Sybari 通过公司并购和产品整合形成了一个完整的 端到端 深层次 多方 位的有效保护 同其他厂商不同的是 微软 Forefront 提供了一个多病毒扫描 引擎的解决方案 可以提供多达 个不同的扫描引擎 默认提供 个 从而消 除了以往单一厂商的不足之处 微软产品的良好集成 提供了对用户认证基础 平台 活动目录 AD 系统管理软件 SMS 数据库 SQL Server 等微软 其他软件平台的一致性和完整性 微软软件的易管理性 使得部署 报告 和 数据分析变得容易和简单 大大降低了使用错误的可能性 在整个安全解决方 案中 业已成熟的 ISA Internet Security Accelerator 是另一个重要的组成 部分 它可以提供对网络边界的保护 防火墙 VPN 接入服务 代理服务器 和 Web 缓存 Proxy and Web Cache 等多种功能 因此微软 Forefront 解决 方案能最全面地提供对企业 包括政府 信息资源的有效防护 3 2 微软安全产品特点和优势 Microsoft Forefront 商业安全产品系列有助于为您的网络基础架构的安 全提供更强的保护和控制 Microsoft Forefront 产品彼此之间能够轻松地集 成 同贵企业的 IT 基础架构轻松的集成 也能通过共用的第三方解决方案互 为补充 从而激活了端点到端点的 深入防御的安全解决方案 简化的管理 报告 分析和部署使您可以更有效地保护贵企业的信息资源 并保护对应用系 统和服务器的安全访问 利用 Microsoft 技术指南支持的高响应性保护 防病毒系统方案建议书 微软 中国 有限公司 30 Microsoft Forefront 帮助您信心百倍地面对不断变化的威胁和增长的商业需 求 Forefront 是 Microsoft 用以向企业客户提供端点到端点的安全保障策略 的主要组成部分 这种理念始于操作系统 随着 Windows XP SP2 和 Windows Server 2003 SP1 的发布 极大地减少了弱点 而即将发布的 Windows Vista and Windows Longhorn Server 关注的是强大的安全性 通过提供更多的安全层 旨在保护信息和控制对企业关键信息和资源的访问 Forefront 安全产品提高了这些操作系统的安全性 利用强健的数字使用权管 理 进一步增强这种信息安全性 即便未经授权的使用者获得了这些文档 也 能确保文档安全和符合策略 Microsoft 的安全产品通过强大的身份管理架构被紧密的结合在一起 这 种管理架构细致划分了细化和控制 而广泛的管理和报告功能进一步激活的这 种控制能力 这些管理和报告功能收集 分析和报告事件 并提供建立和执行 安全最佳实践的工具 最终 Microsoft 提供了一系列技术和产业方面的指导 帮助企业正确和有效地设置安全产品 3 3 防病毒系统规划关键点 3 3 1 客户端防护规划 Microsoft Forefront Client Security 为企业台式机 便携式计算机 和服务器操作系统提供易于管理和控制的统一恶意软件保护 通过集中的管理 来实现简化的管理以及提供对威胁和漏洞的可见性管理 Microsoft Forefront 防病毒系统方案建议书 微软 中国 有限公司 31 Client Security 更高效地保护企业客户端的安全 3 3 1 1 统一的保护 Microsoft Forefront Client Security 交付统一的保护来抵御当前和新出 现的恶意软件 使您能够对企业系统受到针对广泛威胁的更好保护感到自信 通过单个代理 Microsoft Forefront Client Security 提供了对间谍软件 rootkit 和其它新出现的威胁以及诸如病毒和蠕虫等传统攻击的实时检测和删 除 Microsoft Forefront Client Security 的统一保护功能交付了 全世界已经有数百万人使用的保护技术 Forefront Client Security 采用已经在诸如 Windows Live OneCare Windows Defender 和 Windows Live Safety Center 等产品 中使用的非常成功的相同 Microsoft 保护技术 有效的威胁响应 凭借 24 7 的全球安全研究组织为后盾 Forefront Client Security 通过 对多种数据源的自动化分析来提供有效的响应 Microsoft 的高级安全分析受 到多种数据源的支持 包括 Dr Watson Hotmail Microsoft Exchange Hosted Services Microsoft 的保护技术 Web Crawler 社区 提交和行业协作 作为全面安全解决方案一部分的深度防御 Forefront Client Security 与诸如 Microsoft Forefront Security Microsoft Internet Security Acceleration ISA Server 和 防病毒系统方案建议书 微软 中国 有限公司 32 Microsoft Exchange Hosted Services 等其它安全解决方案结合使用时 可 以交付深度防御 3 3 1 2 简化的管理 Microsoft Forefront Client Security 通过集中的管理提供简化的管理 因此您可以更高效地保护您的企业 使用单个控制台实现简化的客户端安全管 理 Microsoft Forefront Client Security 节省了时间 降低了复杂性 使用 与在其它 Microsoft 工具中找到的界面相似的熟悉界面 该控制台可同时用于 在本地和远程访问所有管理功能 包括配置 签名更新 报告和警报 Microsoft Forefront Client Security 的简化管理功能使您能够 定义单个策略来管理客户端保护代理设置 Forefront Client Security 通过单个策略来为一台或多台受保护计算机配 置反间谍软件 反病毒和状态评估技术 从而帮助提高效率 创建的新策略具 有能容易地根据环境需要而定制的预配置设置 策略还包括警报级别设置 可 容易地配置这些设置以指定不同的受保护计算机组所生成的警报和事件数量 策略可以通过 Active Directory 或熟悉的现有软件分发系统来部署 更快地部署签名和软件 Forefront Client Security 允许更快地将签名和软件部署到台式机 便携 式计算机和服务器操作系统 该产品能够使用任何软件分发系统来进行签名或 软件部署 还通过 Windows Server Update Services WSUS Update Assistant 提供了优化的签名分发 Forefront Client Security 代理软件旨在 部署为单个客户端包 其中包括所有保护和管理功能 防病毒系统方案建议书 微软 中国 有限公司 33 与现有基础结构集成 Forefront Client Security 通过与现有的基础结构软件集成 帮助您获得 对客户端安全性的更大控制 Forefront Client Security 事件和报告系统使用 Microsoft SQL Server 并且可以使用 Active Directory 组策略或任何其它 软件分发系统来部署客户端设置 3 3 1 3 关键可见性和控制 Microsoft Forefront Client Security 生成富有洞察力的优先化报告 因 此您拥有对恶意威胁的可见性和控制力 当前安全状态的单个仪表板快照可帮 助您了解何处需要采取行动 Microsoft Forefront Client Security 的关键可见性和控制功能使您能够 查看富有洞察力的报告 Forefront Client Security 现在通过易于使用的富有洞察力的报告 帮助 您优先安排时间并将重点放在最重要的方面 Forefront Client Security 报告 使您能够检查实时数据和新出现的趋势 每个报告都具有超链接 以使您能够 直接连接到关键信息 随时了解最新状态评估扫描和安全警报 Forefront Client Security 提供必要的工具来针对整个企业中的重要威胁 和潜在漏洞 状态评估扫描帮助您确定哪些由 Forefront Client Security 管理 的计算机需要修补程序或配置得不够安全 当威胁在环境中出现时 安全警报 帮助向您发出通知 防病毒系统方案建议书 微软 中国 有限公司 34 3 3 2 邮件系统防护规划 在 Exchange 中 病毒可存在于电子邮件的文件附件 电子邮件正文和公 共文件夹张贴中 但是传统反病毒技术无法监控或扫描 Exchange 数据库或 SMTP 堆栈的内容 Exchange 环境需要反病毒解决方案 要求这些解决方案 能够通过实时扫描所有邮件来防止病毒传播 同时只对服务器性能或邮件