某公司防病毒解决方案.doc

XXXX企业网络防病毒解决方案广州睿洋科技有限公司 目 录第 1 章前言1第 2 章计算机病毒发展和防御动态32.1计算机病毒发展新动向32.2新型病毒传播方式42.3病毒传播带来的威胁52.4企业网络全方位病毒防御策略6第 3 章XXXX企业网络和防病毒现状83.1XXXX企业网络现状83.1.1企业业务和网络现状83.1.2网络现状83.2XXXX企业防病毒系统现状83.3原有防病毒系统存在的不足9第 4 章XXX企业网络防病毒需求分析114.1需求概述114.2防病毒总体技术架构需求分析114.2.1防病毒中央控制台需求124.2.2服务器防病毒需求134.2.3邮件服务器防病毒需求144.2.4客户端防病毒需求164.2.5网关防病毒需求174.2.6防病毒的辅助手段需求18第 5 章XXX企业网络防病毒体系设计205.1体系设计思想205.1.1实现目标205.1.2设计原则205.1.3设计思路215.2XXXX企业网络防病毒总体架构255.2.1二级控制、三级管理架构255.2.2防病毒架构下的各业务系统覆盖265.2.3统一升级，留有备份265.2.4紧急处理措施和对新病毒的响应方式295.3基于整体架构的管理职能具体表现305.3.1客户端信息管理305.3.2客户端扫描管理315.3.3补丁分发管理325.3.4强制安全策略管理375.3.5SESA带来的管理功能增强385.4一级单位防病毒系统的部署435.4.1管理类产品的部署435.4.2工作站及服务器防病毒产品的部署465.4.3邮件防病毒产品的部署525.4.4网关级防病毒产品的部署605.4.5一级单位防病毒系统总体部署实施图例655.5二级单位防病毒系统的部署655.5.1管理类产品的部署655.5.2工作站及服务器防病毒产品的部署665.5.3邮件防病毒产品的部署665.5.4二级单位防病毒系统总体部署实施图例675.6三级单位防病毒系统的部署675.7本方案采用产品列表675.8制定相应的防病毒管理制度6868第 1 章 前言计算机技术的不断发展，信息技术在企业网络中的运用越来越广泛深入，信息安全问题也显得越来越紧迫。自从80年代计算机病毒出现以来，已经有数万种病毒及其变种出现，给计算机安全和数据安全造成了极大的破坏。根据ICSA的统计报道，98% 的企业都曾遇过病毒感染的问题，63% 都曾因为病毒感染而失去文件资料，由ICSA评估每一个受电脑病毒入侵的公司电脑，平均要花约8,366美金，但更大的成本是来自修理时间及人力的费用，据统计，平均每一电脑要花费44小时的到21.7天的工作天才能完全修复。如何保证企业内部网络抵御网络外部的病毒入侵，从而保障系统的安全运行是目前企业系统管理员最为关心的问题。所以，系统安全应该包括强大的计算机病毒防护功能。全球的病毒攻击数量继续上升，病毒本身变得越来越复杂而且更有针对性，这种新型病毒被称为混合型病毒，混合型病毒将传统病毒原理和黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起。而最近对互联网威胁很大的间谍软件和广告软件，给企业不仅造成网络管理的复杂，同时可能会带给企业无法估计得损失。混合型病毒的传播速度非常快，其造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多，混合型病毒的出现使人们意识必须设计一个有效的保护战略来在病毒爆发之前进行遏制。这个保护战略必须是主动式的，而不是等到事件发生后才作出反应，需要针对网络中所有可能的病毒攻击设置对应的防毒软件，建立全方位、多层次的立体防毒系统配置，通过在桌面和企业网络等级集成来提供病毒保护。作为世界互联网安全技术和整体解决方案领域的全球领导厂商，赛门铁克为个人和企业用户提供了全面的内容和网络安全解决方案。赛门铁克是病毒防护、风险管理、互联网安全、电子邮件过滤、远程管理和移动代码侦测等技术的领先供应商。为全世界1亿的客户提供了全面的Internet安全性产品、解决方案和服务。赛门铁克客户群不但包括世界上最大的公司、企业、政府部门以及高等教育机构，同时也为小型企业用户和个人用户提供服务。诺顿品牌领先世界防病毒市场，在业界颇受赞誉。第 2 章 计算机病毒发展和防御动态2.1 计算机病毒发展新动向传统病毒，简单来讲，就是一种可执行的精练的小程序，和生物界的病毒类似，会寻找寄主将自身附着到寄主身上实现传播，例如把自己的病毒代码插入到一个用户文件中，当用户传递此文件时就不知情的将病毒传播出去了，传播到一个新的目标时，病毒执行恶作剧活动或采取毁坏程序、删除文件甚至重新格式化硬盘的破坏行为。传统病毒包括文件型、引导型、多态型、隐藏型、宏病毒等。但是现在，企业网络面临的威胁已经由传统的病毒威胁转化为现在的还包括了蠕虫、木马和恶意代码等与传统病毒截然不同的新类型。这些新类型的威胁业界称之为混合型威胁。混合型威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击。同时，混合型威胁传播速度极快，通常在几个小时甚至几分钟就可以导致整个网络瘫痪。攻击程序的破坏性更强，受感染的系统通常伴随着木马程序种植除了破坏被感染的机器，在传播过程中会形成DDoS攻击，阻塞网络。混合型威胁的典型代表为红色代码（Code Red）。2001年7月红色代码（Code Red）的出现震撼了整个Internet世界， 不仅仅因为它给广大Internet用户造成了非常巨大的直接经济损失，更可怕的是它将传统病毒原理和传统黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起，形成了最新的混合型威胁，标志了网络威胁发展的新方向。在红色代码（Code Red）的启发和指引下，近几年持续不断出现各种破坏能力强大的混合型威胁，例如：尼姆达（Nimda）、求职信（Klez）、蠕虫王（SQLexp）、妖怪（Bugbear）、 无极大（Sobig）、爱情后门（Lovgate）、冲击波（Blaster）、Slammer、网络天空（Netsky）等等，而这些混合型威胁正是近几年企业所面临的主要威胁。大量的间谍软件和广告软件不仅为企业带来网络管理成本的增加，同时可能会带来无法估计的损失。毫无疑问，包括间谍软件和广告软件在内的混合型威胁已经成为全球互联网和企业网络的首要威胁，危险级别最高的病毒几乎全部属于具有混合型威胁特征的混合型病毒。因此，病毒防范的重点将集中于混合型威胁。2.2 新型病毒传播方式计算机病毒具有自我复制和传播的特点，从计算机病毒的传播机理分析可知，只要是能够进行数据交换的介质，都可能成为计算机病毒传播途径。随着Internet技术的发展和企业网络应用的增多，网络成为病毒的感染、传播的第一途径。病毒传播呈现出如下的途径：1. 互联网浏览。内网用户浏览Internet上的文件和网页，下载资料时，Internet上的大量恶意JAVA ACTIVE病毒和程序，下载文件中包含的各类宏病毒，文件病毒都有可能对内网进行传染。2. 电子邮件。电子邮件已成为许多新型恶意病毒攻击所选择的传输机制。电子邮件可以很容易地传送到几十万人，而恶意代码制造者又可以无须留下自己的计算机，这使得电子邮件成为一种非常有效的传输方式。3. 企业网络互联。一旦为计算机提供了通过网络彼此直接连接的机制，就会为病毒提供另一个传输机制，由于在网络共享上实现的安全性级别很低，因此会产生这样一种环境，其中新型的混合型病毒可以复制到大量与网络连接的计算机上。企业内部内联网以及和协作单位或合作伙伴网络的文件共享传输有可能造成病毒在整个网络中传播。4. 可移动媒体。计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器（至少到当前为止）是文件传输。此机制开始于软盘，然后移动到网络，目前正在寻找新的媒体，例如，通用串行总线 (USB) 设备和火线。感染速度并不像基于网络的病毒那样快，但安全威胁却始终存在，而且难以完全消除，因为系统之间需要交换数据。5. 对等 (P2P) 网络。要实现 P2P 文件传输，用户必须先安装 P2P 应用程序的客户端组件，该应用程序将使用一个可以通过组织防火墙的网络端口，例如，端口 80。应用程序使用此端口通过防火墙，并直接将文件从一台计算机传输到另一台。这些应用程序很容易在 Internet 上获取，并且恶意软件编写者可以直接使用它们提供的传输机制，将受感染的文件传播到客户端硬盘上。6. 即时通讯（Instant Messenger，简称IM）软件 即时通讯软件已经从原来纯娱乐休闲工具变成生活工作的必备利器。无论是老牌的ICQ，还是国内的腾讯QQ，以及微软的MSN Messenger，都是大众关注的焦点。由于用户数量众多，再加上即时通讯软件本身的安全缺陷，导致其成为病毒的攻击目标。在理论上来讲，只要是通过网络进行的行为，就有受到病毒威胁的危险。在信息技术飞速发展的今天，虽然手机病毒、无线病毒都还处于萌芽状态中，但当这些技术开始普及之后，可以预见，一定会有相应平台下的病毒出现。2.3 病毒传播带来的威胁计算机病毒的爆发对企业的安全构成了极大的威胁。尤其近几年混合型病毒所造成的破坏非常巨大。新型病毒的大规模传播，给企业信息资源带来如下威胁：1. 数据损坏或删除。一种最具破坏性的威胁类型应该是损坏或删除数据的恶意代码，它可以使用户计算机上的信息变得无用。这类威胁编写者具有两个选项：第一个选项是将程序设计为快速执行。对于它所感染的计算机而言极具潜在破坏性。另一个选项是驻留在本地系统上（以特洛伊木马的形式）保留一段时间，这样会使恶意软件在破坏之前可能就进行传播。2. 后门。这种类型的威胁允许对计算机进行未经授权的访问。它可能提供完全访问权限，但也可能仅限于某些访问权限，例如，通过计算机上的端口 21 启用文件传输协议 (FTP) 访问。如果攻击可以启用 Telnet，黑客则可以将已感染计算机用作 Telnet 攻击在其他计算机上的临时区域。3. 信息窃取。一种特别令人担心的恶意威胁是窃取信息。如果会损害计算机的安全，则它可能会提供一种将信息传回作恶者的机制。这种情况可以多种形式发生；例如，传输可以自动进行，从而使恶意软件可以很容易地获取本地文件或信息，例如，用户所按的键（以便获取用户名和密码）。另一种机制是在本地机器上提供一种环境，使攻击者可以远程控制该机器，或直接获取对系统上文件的访问权限。4. 垃圾邮件。邮件服务器承担公司内部所有的邮件交换和外部邮件转发，邮件是新型病毒传播的主要方式，邮件病毒如“I LOVE YOU”“SirCAM”“红色代码”“尼姆达”等类型的病毒存在邮箱中，在客户机邮件发送程序中自动进行垃圾邮件的发送，为企业和客户带来大量的垃圾邮件，而且会造成网络流量过载，极大影响正常通信工作。5. 拒绝服务 (DoS)。可以传递的一种最简单的类型是拒绝服务攻击。DoS 攻击是由攻击者发起的一种计算机化的袭击，它使网络服务超负荷或停止网络服务，如 Web 服务器、文件服务器、邮件服务器等。6. 分布式拒绝服务 (DDoS)。DDoS 攻击是一种拒绝服务攻击，其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标。攻击者使用此方法对目标造成的影响很可能会大于使用单个攻击计算机造成的影响。关于攻击怎样发生根据攻击的不同而不尽相同，但是它们通常都涉及将大量数据发送到特定的机器或网站，使其停止对合法通信的响应（或者无法响应）。这样会完全占用受害站点的可用带宽，并且会有效地使此站点脱机。2.4 企业网络全方位病毒防御策略 随着新型混合型威胁的大规模传播，一个实用可行的企业级网络防病毒解决方案显然需要一个面向所有网络用户、各级文件服务器、邮件服务器和Internet网关服务器的全方位防毒解决方案。应该在整个网络中，只要有可能感染和传播病毒的地方都应该有相应的解决方案，防止病毒的入侵和传播，确保网络的安全，保证能在本网络中实现多层最大限度的防护能力。1. 系统外部（Internet或外网）的病毒入侵：网关目前病毒进入最多的途径。采用网关部署防病毒的措施。可以保护和Internet、Intranet相联的内部计算机网络免受来自外部病毒的攻击，能断绝来自外网络JAVA，ACTIVEX病毒对内部网的入侵。2. 网络邮件系统：保护系统内的邮件服务器中邮件的安全，避免病毒引起的网络过载情况出现。如果邮件服务器感染了病毒，通过邮件方式该病毒将以几何级数在网络内迅速传播，并且很快会导致邮件系统负荷过大而瘫痪。因此在邮件系统上部署防病毒显得尤为重要。3. 文件服务器： 文件资源共享是网络提供的基本功能，而且大大提高了资源的重复利用率，但是一旦服务器本身感染了病毒，就会对所有的访问者构成威胁。因此文件服务器必须设置防病毒保护。4. 针对客户端：病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性，某个感染病毒的桌面机可能随时会感染其它的机器。因此在网络内对所有的客户机进行防毒控制也很有必要。5. 集中管理：由于混合病毒广泛的感染范围和为抵挡这些病毒所采用的分布式解决方案等因素，需要对网络的所有方面有完全的了解，并能及时作出反应。所选的防病毒方案必须能够提供对网络活动的集中管理，提供详细的报告功能，来检查某些服务器和桌面机，将网络事件与这些组件的状态相关联。第 3 章 XXXX企业网络和防病毒现状3.1 XXXX企业网络现状3.1.1 企业业务和网络现状根据企业规模，用户业务系统特性，描述该段，如果企业业务系统众多，需要对各系统分开描述。3.1.2 网络现状 请根据具体用户的情况，建议要获得用户实际网络拓扑，对用户的网络结构和应用进行描述，对于多层次的网络结构，分开描述各层次的网络状况，用户的网络每个层次的描述主要包括以下几个方面的内容：1. 用户网络架构，是不是多极，总体和每级管理的客户端有多少。2. 网络的连接情况、是否有Internet出口、有多少个Internet出口、通过什么方式互联，带宽是多少。3. 系统状况：1） 是否有邮件服务器，邮件服务器采用什么系统，在什么平台（如，Domino Notes, Exchange Server, iPlanet等）。如果系统很多。可以建立下级目录详细描述。2） 桌面和服务器系统有什么。（如Windows 9X/2000/XP等）3.2 XXXX企业防病毒系统现状 为解决病毒对正常办公系统带来的影响，XXXX企业先后使用了一些单机版本的防病毒软件，由于单机防病毒系统的缺陷：如无法集中管理防病毒工作，客户机配置和防护级别无法统一，无法集中更新病毒代码，管理中人为操作的因素大。在日常防病毒维护中各网络各行其事，分散管理，这样不但加重管理员的管理工作，而且不能实现统一的、集中的管理，易受到各种人为的因素的影响，即使在安装了防病毒软件的情况下也不能确保整个网络的防病毒能力。尤其现在电子邮件是传播病毒的主要途径之一，而XXXX还没有针对电子邮件采取防病毒措施。对邮件/附件/JAVA等新病毒的防护无能为力。增加新的用户和管理工作都极为麻烦，而各级单位对计算机的使用和维护水平也不尽相同等等，很难面对当前日益猖獗的数字病毒的威胁。3.3 原有防病毒系统存在的不足近年来，随着信息系统自身的飞速发展和具有黑客攻击特征的新类型病毒的大量出现，XXXX企业原有的防病毒软件部署已经不能满足XXXX企业的需要。近几年的混合型病毒大规模传播给XXXX企业造成较大的危害，现有的防病毒体系正面临更严峻的安全挑战，主要存在以下几个方面的不足： 1. 缺少防病毒中央控管系统。由于网络节点太多，且分布较散，要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过自身安全性很高的方式实现远程异地管理远程防病毒软件，监视该软件的运行状况参数（如防病毒软件病毒库、扫描引擎更新日期，系统配置等）。能实现病毒集中报警，准确定位病毒入侵节点，让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动，协同管理工作。2. 缺少全网病毒代码统一自动更新功能。构建有效病毒防护的关键环节需要保证产品能做到定期升级，网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能，同时具备自动分发功能，能够在单点更新，然后在不需要人为干预的情况下，实现全网所有产品的病毒码更新。3. 尚未建立完善的安全制度和制定安全培训机制。防病毒工作是一项复杂、长期的任务，需要全体人员配合，提高对病毒的警觉和防范意识。防病毒系统需要建立良好的安全规范，以制度严格控制不良行为，另外还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件，应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。4. 缺乏完善的防病毒信息支持体系。防病毒厂商长期提供防病毒信息，新病毒预警信息，安全培训等专业的支持，以提高整个网络使用人员的防病毒素质。5. 不能全方位防护。网络中关键部位缺少防护，防病毒产品不能全方位部署，在Internet出口等进出网络的关键部位没有部署相关的防病毒模块，也没有制定相关的防护措施，来自Internet的病毒可以毫无阻碍地进入XXXX企业网络；在电子邮件网关上，目前很多病毒通过邮件上压缩的附件方式进入内联网，而XXXX企业在邮件网关上目前也没有部署相关防病毒插件。第 4 章 XXX企业网络防病毒需求分析4.1 需求概述随着XXXX企业信息化建设的不断深入完善，以及互联网通讯的广泛应用，各种办公及业务系统已成为业务和日常办公各种信息往来沟通不可或缺的工具。请根据用户网络环境划分需要病毒防御的重点区域，一般而言：企业网络Internet区域安全等级最低，是病毒产生及传播的地方；客户端工作区安全等级较高，主要由外来用户、移动办公用户、桌面用户构成，是病毒感染的主要目标，也是病毒进入XXXX企业网络的主要载体；核心服务器区安全等级最高，这里有XXXX企业的关键服务器，是安全防护体系最终保护的目标。XXXX企业网络病毒防范工作：必须从这三个安全区域（病毒防护的主体）着手，根据他们之间的访问关系施加防护及病毒监控。具体防护工作的描述：针对核心服务器区，严防来自Internet及移动用户的病毒入侵，保护其中的关键服务器，这是防病毒工作的重点；针对客户端工作区，需要部署客户端防病毒产品严防病毒（尤其是具有混合型威胁特征的混合型病毒）的入侵；针对Internet区域，需部署网关级防病毒产品，严防来自该区域的病毒及病毒攻击；针对邮件系统，需要部署邮件病毒防护系统；另外还需要部署必要的辅助手段，以监测网络的异常状况，提前预知病毒事件的发生。4.2 防病毒总体技术架构需求分析为了实现XXXX企业防病毒的总体目标，遵循XXXX企业防病毒系统建立原则提出以下的防病毒技术整体架构：整体架构包括了全方位的防病毒产品部署及管理。在整个网络中，防病毒机制实现一级单位、二级单位、三级单位三级管理，在三级网络中分别部署防病毒服务器，原则上三级单位只部署客户端防病毒产品，由所属的二级分发管理。一级单位设立全网的根服务器，承担着全网的防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作；一级单位和二级单位分别部署一级服务器，作为自己所在局域网络的防病毒管理控制台，一级管理控制台管理一级单位内部所有防病毒产品、二级管理控制台除了管理所在二级单位的防病毒产品外还管理下属所有三级的防病毒服务器；三级单位部署防病毒服务器，接受二级控制台的管理，承担所在三级单位的软件分发、升级和病毒防护策略的分发。实现全网防病毒体系的“两级控制、三级管理”。在XXXX企业防病毒整体架构中，需要部署以下几方面功能组件： 防病毒集中管理平台 负责产品自动分发、升级、生成病毒报告等。 服务器防病毒 负责网络中的所有服务器的病毒防护。 群件防病毒 负责邮件系统病毒防护 客户端防病毒 全面防护各种类型操作系统的客户端的病毒 网关防病毒 防护来自Internet的病毒，对从Internet来的流量进行内容过滤 防病毒的辅助手段 流量监控工具、入侵检测产品防病毒客户端的产品发现、版本监测、病毒易攻击的漏洞扫描等下面分别对防病毒体系对以上几方面功能组件的需求进行具体描述：4.2.1 防病毒中央控制台需求在一级单位和二级单位需要有集中的管理控制台，用来统一管理网关防病毒产品、邮件防病毒产品、服务器防毒产品和工作站防毒产品。要求具有软件分发、代码升级、报表生成、报警响应及远程管理等功能，支持分级管理，具有友好的用户界面及良好的扩展性；可以根据用户具体需求进行二次开发。具体需求如下：1 要求可以提供病毒集中管理工具。允许系统管理员控制网络中的防病毒产品，系统管理员更可从单一主控台进行配置、监视防毒程序及产品维护工作、制定病毒扫描调度及代码下发等策略；2 集中控制台自身必须具备很强的安全性，能够实现通过用户验证和数字证书认证实现对服务器和客户端的管理。3 通过防病毒管理平台可以自动发现整个网络中所有客户端防病毒软件的安装情况，可以找出哪些客户端安装了防病毒软件，哪些客户端没有安装防病毒软件，以及安装的是什么版本的防病毒软件等相关信息，便于管理员及时掌握整个网络中防病毒软件的运行情况，要生成相应的客户端防病毒产品情况报表； 4 配置简便，网络拓展发生变化时不需做较大改动；5 要有病毒报警功能，发现病毒后，能自动通过多种方式通知安全管理人员，要求厂商提供报警渠道和方式；6 可向管辖范围内部署的所有防毒产品自动分发产品升级代码，具有客户端分组管理功能；7 可生成详细病毒活动报告并及时、准确追踪病毒来源；8 对防病毒产品的病毒日志进行统计，并可以生成详细的分析报告，可以根据用户需求定制生成各种类型的中文报表；9 提供与第三方产品的通用接口；10 对感染病毒的计算机中央控制台能够进行自动隔离处理；11 中央控制台能否管理所有的同版本中、西文防病毒软件产品；12 能够定制对客户端分发引擎和病毒代码分发的策略；13 必须明确中央管理控制台最多可管理的客户端的数量；14 必须明确管理控制台对系统的配置最低要求4.2.2 服务器防病毒需求文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率，由于文件服务器为网络中所有工作站提供文件资源共享，并且能对信息进行长期有效的存储和保护。因而也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站或服务器上。一旦服务器本身感染了病毒，就会对所有的访问者构成威胁。因此文件服务器需要设置防病毒保护。XXXX企业各级网络内都有Windows NT/200X Server的平台的服务器，为了能够有效的实施病毒防范，特提出以下需求。服务器防病毒产品需要能够实现以下功能：1 能够对Windows NT/200X Server 提供Winsock层的全面防护；2 服务器防毒产品能够与Windows 200X操作系统中的NTFS5, UDFS和Encryption File System (EFS) 、FAT32文件系统集成；3 对包括间谍软件、广告软件在内的扩展威胁具备良好的检测和清除能力；4 和簇系统相兼容的实时防病毒保护；5 支持WIN NT 、WIN 200X、Unix、OS2等操作系统；6 支持集中管理、远程监控、自动升级、定制安装等功能；7 系统运行效率高、占用资源少，不影响应用系统的正常运行，要求厂商提供服务器防病毒产品对系统资源占用的相关材料，并做出承诺；8 系统能够提供好的安全性、稳定性，确保服务器的安全运行；9 快速检测和清除已知的病毒；10 具有强大防病毒能力和修复能力，能检测和清除来自各种途径的各类病毒、恶意代码和特洛伊木马等黑客程序；发现病毒后，有多种处理方法，支持多种压缩文件格式病毒检测，厂商能够提供几层压缩文件检测；11 对未知可疑行为或代码有一定的监控措施；12 易操作，从最终用户到管理员均可进行病毒防护工作；13 对用户的误操作要有一定的防范措施；14 必须明确服务器防病毒产品对系统的配置最低要求；4.2.3 邮件服务器防病毒需求 随着企业内部电子邮件应用日益普及，电子邮件已成为病毒传播的最大载体，任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施，极易受到攻击，并会导致病毒在企业内部网中快速传播。其实邮件服务器本身不会受到邮件病毒的破坏，只是转发染毒邮件至客户信箱中，但是当客户机染毒并产生几何数量级的信件时，邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降，直至当机。Exchange邮件服务器防病毒具体需求如下：1. 包含防垃圾邮件、内容过滤和防病毒等广泛的解决方案；2. 具备良好的防垃圾邮件的功能；3. 要求能自动检测和清除病毒，防护快速传播的宏病毒，保护Exchange服务器受到病毒的威胁；4. 要能够支持Microsoft Exchange 2000 和 Microsoft的病毒扫描接口 API 2.0以及Microsoft Exchange 2003 和 Microsoft的病毒扫描接口 API 2.5和和新的垃圾邮件分类方法Spam Confidence Layer (SCL)；5. 能自动过滤不适当的附件名、扩展名或内容，减少Exchange服务器的流量，提高效率；6. 电子邮件防病毒产品要求支持常用的压缩文档格式和电子邮件编码格式；7. 远程安装和中心管理以及报警能支持多台Exchange服务器，减少管理负担；8. 用新的零管理模式设置使管理和配置时间最小化；9. 提供主动的爆发通知功能，使在病毒被识别和得到病毒定义码之前管理员能迅速响应和处理；Domino邮件服务器防病毒具体需求如下：1. 电子邮件防病毒产品要求支持常用的压缩文档格式和电子邮件编码格 式；2. 发现病毒时可自动加以清除，自动发送使用者定制的报警信息给寄件人、收件人及防病毒系统管理员，将病毒阻截在邮件系统之外；3. 能够对进出邮件服务器的邮件进行双向过滤，避免邮件服务器成为病毒传播源；4. 具备良好的防垃圾邮件功能；5. 实时扫描并清除Notes资料库中的病毒；6. 在资料库复制过程中，实时扫描并清除所有被修正过的数据中的病毒；7. 与本地Notes服务器的工作模组一致；8. 可以在Notes Domino服务器上扫描Web传输通道；9. 按需扫描Notes数据库并清除染毒文件中的病毒；10. 有详尽的Notes格式病毒活动记录，可追踪病毒来源；11. 侦测并清除已知所有病毒，对可疑行为能够预警；12. 兼容群件系统平台：UNIX各个平台、Windows NT/200X；13. 能够根据关键字/标题行对邮件进行内容过滤，以及对于附件进行过滤。4.2.4 客户端防病毒需求病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性，某个感染病毒的桌面机可能随时会感染其它的机器，或是被种上了黑客程序而向外传送机密文件。现代网络中的工作站数量具有数百台上千台甚至更多，如果要靠管理人员逐一到每台计算机上安装单机防毒软件，费时费力，同时难以实施统一的防病毒策略，日后的维护和更新工作也十分繁琐，容易造成部分客户端的病毒防护不彻底，成为病毒入侵的突破口。建议加强对移动用户的管理并提高所有客户端的病毒防范能力。具体需求如下：1. 可扫描内存、驱动器、目录、文件和Lotus Notes数据库和邮件系统。在Lotus Notes环境下，数据库和邮件的扫描可以在本地实现；2. 对包括间谍软件、广告软件在内的扩展威胁具备良好的检测和清除能力；3. 支持网络远程自动安装功能； 4. 可以设定集中管理，工作站防毒程序可由统一的管理程序针对所有工作站防毒程序进行集中管理；包括：预约扫描，检测到病毒时采取的行动；5. 能够实时监测网络所有工作站，所有的病毒活动，网络管理同时给予客户端配置的权限； 6. 所有客户端程序在任何时候连接网络时，都可检测病毒库和扫描引擎的升级；7. 检测和清除已知的病毒；8. 具有强大防病毒能力和修复能力，能检测和清除来自各种途径的各类病毒、恶意代码和特洛伊木马等黑客程序；发现病毒后，有多种处理方法，支持多种压缩文件格式病毒检测；9. 易用，从最终用户到管理员均可进行电脑单机的病毒防护工作；10. 兼容系统平台：Windows系列操作系统（中英文）；11. 集中日志管理功能；12. 病毒防治系统运行效率高，占用系统资源少，对原有系统影响小，要求厂商提供客户端防病毒产品对系统资源占用的相关材料，并做出承诺；13. 支持实时防护，并可有效阻挡网络蠕虫的攻击；14. 必须明确客户端防病毒产品对系统的配置最低要求4.2.5 网关防病毒需求随着互联网和邮件系统的普遍使用，造成了用户很容易在不经意间将重要的、机密的或是不当的信息通过邮件发送或接受；另一方面，来自Internet上的垃圾邮件也到处都是，导致用户需花大量的精力和时间去处理，降低了工作效率。如果等病毒已经进入局域网后再作剿杀，显然为时已晚。因此，通过网关把病毒拒绝在网络之外是最好的解决办法。可以防止将网络内部受到感染的病毒文件传到其它的网络当中，使得各个网络能够互相独立。要求网关防毒产品部署简便；能够为经过防火墙的数据流量检测并清除病毒。所有来自Internet进入网络的数据先经防火墙安全规则过滤，规则允许的数据交给网关防病毒组件。 具体需求如下：1. 可实时扫描进出SMTP服务器的邮件及其附加文档，FTP及HTTP传输通道的病毒；2. 即时扫描并清除隐藏于FTP传输文档中的病毒；3. 即时扫描并清除HTTP下载文档中的病毒；4. 可侦测并清除已知病毒，可以对可疑网络行为进行报警；5. 具有完整的实时监视功能； 6. 可对压缩文档进行病毒扫描，可以识别多种压缩格式，包括多层压缩文档，格式包括ARJ、MS CAB、LZH、Pkzip、Pklite、Lzexe、MS Compress、MIME及UUEnooding等；7. 防病毒管理员可定制病毒发现警示信息并可以通过E_mail、短信等方式发送；8. 提供虚拟病毒服务并分析和清除未知病毒；9. 可以定制黑名单； 10. 对网络效率不能有明显影响；11. 必须明确网关防病毒产品对系统的配置最低要求（针对软件产品）；4.2.6 防病毒的辅助手段需求1、流量监控网络流量异常监控分析工具，及时发现网内的可疑流量，迅速定位可疑主机。2、入侵监测在网络中关键地点部署网络入侵检测工具，及时发现源自病毒的网络攻击事件并予以防护、向管理员发出告警。3、漏洞扫描系统漏洞扫描工具，扫描网内客户端易被病毒攻击的漏洞，对未安装补丁程序的机器发出告警。4、客户端扫描：通过对客户端作有针对性的扫描，自动发现整个网络中所有客户端防病毒软件的安装情况，找出哪些客户端安装了防病毒软件，哪些客户端没有安装防病毒软件，以及安装的是什么版本的防病毒软件等相关信息，便于管理员及时掌握整个网络中防病毒软件的运行情况。此功能最好集成在防病毒中央控制台中。5、系统补丁分发工具客户端的安全漏洞的消除依赖于系统补丁的安装，因此还需要部署系统补丁的自动分发工具。要求补丁分发工具能够根据客户端操作系统的版本分发相应的补丁程序。为了便于防病毒系统的管理，上述防病毒辅助产品要能够集成到防病毒中央控制台中。第 5 章 XXX企业网络防病毒体系设计5.1 体系设计思想5.1.1 实现目标通过赛门铁克国际领先的网络病毒防护产品和丰富的企业网络防毒设计经验，为XXXX企业网络系统提供一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系，有效抵御各种病毒和混合威胁的攻击。提高XXXX企业的病毒防御水平。5.1.2 设计原则根据XXXX企业网络系统的现状和系统防毒安全和管理的需要，我们考虑防病毒系统遵循以下几条原则：1. 技术和产品的成熟性和稳定性。充分考虑防病毒产品本身和技术上的成熟性。网络防病毒产品必须是成熟而且经受大量考验的防病毒产品，在各种操作系统平台和服务器平台上都有相应的病毒防范软件的版本并且能够和操作系统紧密结合。2. 满足需求为第一。针对企业的具体应用情况，建立满足需求的病毒防护系统。对整个病毒防御体系进行合理建设，尽量满足各种需求。3. 必须是主动式的，而不是在病毒发生爆发后再作出反应。针对混合型病毒提供主动保护主要处于以下几个原因，主要是混合病毒传播的速度和它们的破坏程度；停机时间造成巨大的成本，需要大量的IT资源来清理病毒。对于混合型病毒必须要提供主动式的防御。4. 扩展性和可升级性。可升级能力是衡量防病毒系统是否具有生命力的重要指标。防病毒软件必须不断及时地升级病毒样本文件和引擎，在功能、性能上都在不断采用新的技术，保证系统的向前发展。向用户提供多种病毒特征文件和病毒引擎的方便的升级方式，保证组织机构的防病毒系统在第一时间内得到升级。5. 可管理性。对于XXXX企业这样比较大的组织机构，要管理防病毒软件的分发、升级、配置和支持是一个非常难的事，这就要求提供一个方便管理的平台。防病毒系统必须提供简化管理的工具，可以在几个集中的点上对整个网络中的客户端和服务器进行管理，包括对病毒特征文件和防病毒引擎的分发升级、报警管理和日志分析整理以及病毒处理方式配置等。6. 易用性。在XXXX企业这样的大的组织机构中，大部分的使用人员并非计算机专业人员，而且由于业务繁忙，不可能系统学习每一个工具软件。这就要求客户端的防病毒软件必须简单易用，自动化程度高，最好无须用户干预。防病毒的客户端软件应当能够自动对病毒实时检测、清除和报告，简化使用的复杂度，结合统一的控制台，用户几乎不需要知道有防病毒软件的存在。5.1.3 设计思路长期以来，应对混合型威胁（混合型病毒）的传统做法是，一旦混合型病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种方式曾一度相当有效，但近年来特别是近两年多次影响的冲击波、Slammer、Netsky等病毒，已经体现这种基于特征的被动式病毒响应方式效果不佳了。这一方面因为病毒的快速发展，另一方面更因为传统防病毒技术采取被动跟踪的方式来进行病毒防护。但是，这种被动的病毒响应方式越来越力不从心。如下图所示，Symantec公司统计了近十几年来病毒爆发速度和特征响应速度，并对近年的发展趋势做了比较。图5.1 混合型病毒感染与病毒特征响应对比图 该图以计算机病毒/混合威胁的复制速度（蓝色线条，自左上至右下）来显示这些威胁的演变，以响应速度（红色线条，自左下至右上）来显示病毒技术的发展。横轴以年为单位，时间范围是从 1990 年至 2005 年。纵轴实际上显示两种不同的时间规定（都采用左边纵轴的时间比例来显示）。左边纵轴（蓝色文本）显示恶意病毒达到“感染”状态所用的时间，在该状态下，恶意病毒已经感染了相当多有漏洞的计算机。右边纵轴显示提供描述病毒的特征所用的时间。分析上图的最后一部分可知，对于在不久的将来很可能出现的几分钟甚至几秒钟之内就可发作的超速混合威胁而言，其传播速度和实现完全感染相关主机的速度比人工或自动化系统生成和部署病毒特征的速度快得多时，在这样情况下，原有的基于病毒特征的模式已经效果甚微，因为到那时每次混合型病毒的爆发，由于特征响应方式的滞后而让XXXX企业将付出沉重的代价（最近的冲击波、震荡波的例子已经初步证明了这一点），而这是绝对不能接受的。因此，本方案借鉴最新的安全思想，从“主动防御、主动反应”这一观点出发，协助XXXX企业建立一个覆盖全网的、可伸缩、抗打击的防病毒网络。主动式反应的XXXX企业防病毒系统主要体现在以下几个方面： XXXX企业防病毒系统中全面采用主动式反应技术 相对于被动式病毒响应技术而言，主动式反应技术可在最新的混合型病毒没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。下面是Symantec采用主动式反应技术的两个例子： 赛门铁克的通用漏洞利用阻截技术 通用漏洞利用阻截技术的思想是：正如只有形状正确的钥匙才能打开锁一样，只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究，便可以立即了解到能够打开这把锁的钥匙必需具备的特征甚至不需要查看实际的钥匙。类似地，当新漏洞发布时，研究人员可以总结该漏洞的“形状”特征。也就是说，可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征，就可以检测并阻截具有该明显“形状”的任何攻击（例如蠕虫）。参见下图。图5.2 漏洞特征和相符攻击特征 以冲击波蠕虫被Symantec Client Security（本方案中推荐使用的Symantec 网络版防病毒产品，也称SCS）阻截为例进行说明。当2003年 7 月 Microsoft RPC 漏洞被公布时，赛门铁克运用通用漏洞利用研究技术，制作了该漏洞的通用特征。大约在一个月之后，出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。Symantec Client Security由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波蠕虫并立即阻止它。实际上，在编写漏洞特征时根本没有人看到过冲击波蠕虫。简而言之，冲击波蠕虫若想侵入 RPC 系统，必须具备特定的形状，而赛门铁克编写的特征可以提前检测到该形状，从而对其进行阻截，根本无需捕获该病毒样本然后再匆忙响应。 赛门铁克的行为阻截技术 行为阻截的思想就是：在系统中实时监控各种程序行为，一旦出现与预定的恶意行为相同的行为就立即进行阻截。以电子邮件的行为阻截技术应用为例进行说明。首先，我们知道基于电子邮件的蠕虫的典型操作：典型的电子邮件计算机蠕虫的工作原理是，新建一封电子邮件，附加上其（蠕虫）本身的副本，然后将该消息发送到电子邮件服务器，以便转发到其他的目标计算机。那么，当使用了带行为阻截技术的赛门铁克防病毒软件之后，防病毒软件将监视计算机上的所有外发电子邮件。每当发送电子邮件时，防病毒软件都要检查该邮件是否邮件有附件。如果该电子邮件有附件，则将对附件进行解码，并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。常见的电子邮件程序，如 Outlook，可以发送文件附件，但绝不会在邮件中附加一份自身程序的可执行文件副本！只有蠕虫才会在电子邮件中发送自己的副本。因此，如果检测到电子邮件附件与计算机上的发送程序非常相似时，防病毒软件将终止此次传输，从而中断蠕虫的生命周期。此项技术非常有效，根本无需捕获蠕虫样本然后再匆忙响应，带此项技术的赛门铁克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫，包括最近的 Sobig 、Novarg和MyDoom。 智能型防病毒系统架构，提高全网协同防护和作战能力通过为XXXX企业设计智能的病毒防护架构，优化全系统内病毒事件的全面监控，及早发现，及时通报，快速处理等环节，缩短响应时间，有效降低病毒可能造成的损失。智能型防病毒系统架构主要表现在： 具备在任何地点、任何时间对全网进行统一管理、统一监控的能力 具备全网病毒事件收集、分析、报告和响应能力 具备客户端、服务器系统补丁分发管理能力 具备突发病毒事件的快速响应能力。 具备大规模扩展和新技术兼容能力（如能在防病毒系统中兼容入侵检测系统）通过为XXX企业构建主动式反应的防病毒系统，可使XXXX企业从容面对不断恶化的网络环境，避免混合型威胁的侵扰。我们将在此思想指导下，首先对XXXX企业进行防病毒系统的整体架构设计、在此整体架构基础上来实现重要的管理职能，然后在一级单位、二级单位、三级单位进行防病毒系统的快速部署，并从强健防病毒系统的角度考虑，提出一些可对病毒进行宏观调控和监测的办法以提高全网病毒的防御能力。5.2 XXXX企业网络防病毒总体架构 5.2.1 二级控制、三级管理架构根据XXXX企业网络现状，XXXX全网防病毒系统采用“二级控制，三级管理”架构。XXX企业的全网防病毒系统整体架构如下图所示:按照实际防病毒架构做图示两级控制主要体现在： 一级控制台承担全网的防病毒产品升级、防护策略制定、报警管理、病毒统计报表生成等工作，一级单位具备接管二级单位防病毒管理工作的能力。一级单位负责二级单位被隔离文件的提交和返回相应的病毒定义码和扫描引擎。一级单位具备通过二级单位广域网的病毒管理服务器进行集中监控和管理的能力，在必要时可以直接管理二级单位的病毒管理服务器。 二级控制台承担的防病产品升级工作，除了管理所在二级的防病毒产品外还管理下属三级单位的防病毒服务器。 三级管理主要体现在： 一级管理、二级管理和三级管理分别负责本地局域网络的防病毒系统日常维护工作。同时进行网络防病毒状态的监控和对病毒事件做出相应的响应。根据职能设定的不同，还可包括日志文件的维护，报表管理和报警管理等职能。Symantec公司依据行业工程经验，在为XXXX企业构建“二级控制，三级管理”架构时，提供完善的技术保障，以保证全网防病毒系统得以高效运转。上述图示实现了XXXX企业客户端防病毒和服务器防病毒的二级控制，三级管理架构体系。但为了增强管理力度，实现基于角色的用户管理，同时提高全网防病毒系统的事件管理、报表分析和报警能力并为将来部署其它安全产品留有扩展空间，建议在上述体系基础上再部署Symantec的安全统一管理平台Symantec Enterprise Securit