IT外包方案--2--企业防毒-temp.doc

3.2 企业防毒企业面临着来自病毒和恶意代码的不断升级的威胁。恶意代码是一种程序或一段代码，专门用来破坏系统，危害或泄露商业数据，干扰系统的正常运行，传播或执行其它未经授权的操作。防范这类未经授权的代码是组织的总体安全策略的重要组成部分。3.2.1 防病毒软件的应用领域防病毒软件在网络网关和防火墙、服务器以及客户端计算机上，扮演着重要的角色。防病毒软件在下列这几个领域里扮演着重要的角色： 网络网关和防火墙： 防病毒软件可防范来自 Internet 的病毒的扩散。具体包括：全面扫描网络流量，并通过识别表示存在恶意代码的病毒模式，检测出恶意代码。扫描具体的服务，比如：电子邮件（扫描传入的电子邮件，然后转发给内部 Exchange Server，再分发给客户端）。 服务器： 运行在服务器上的防病毒软件能够：防止病毒扩散，或感染其它服务器间。提供其它功能，包括文件共享和 Exchange 邮件存储扫描。提供客户端管理功能。 客户端： 客户端计算机上的防病毒软件可确保该计算机不会扩散病毒或被病毒感染。虽然防病毒解决方案本身可能无法构成企业防范恶意代码的完整的解决方案，但却是企业安全体系结构的重要组成部分。3.2.2 内容范围本章节提供的指导范围包括：用于证明有必要购买防病毒解决方案的信息。了解防病毒解决方案的问题和要求所需的信息。防病毒解决方案的规划和运行流程。防病毒解决方案的设计要求以及可选的主要设计方案。防病毒解决方案的维护和运行流程以及推荐的步骤。前提条件将防火墙解决方案的组件作为某项具体服务（比如：防火墙或电子邮件网关）的一部分实施。但是，在大多数情况下，一般在安装完服务器和客户端操作系统后，再安装防病毒软件和相关组件。在中型 IT 环境中，实施防病毒解决方案的前提条件如下：正确设计的网络基础结构可正常工作的安全 Internet 连接为企业注册适当的 Internet 接入服务及域名。使用环境本章节提供的指导信息可用于在没有防病毒解决方案，或现有的防病毒解决方案无法满足业务要求的中型 IT 环境中，实施防病毒解决方案。本章节提供的指导信息可用于：了解不同类型的防病毒解决方案。选择满足组织特定要求的防病毒解决方案。为在中型 IT 环境中构建和部署所选的防病毒解决方案制订规划。安全地运行和管理防病毒解决方案。初始状态环境许多企业已经在他们的 IT 环境中，部署了某种类型的防病毒解决方案。请参考现有的防病毒解决方案可能存在的下列缺陷：为企业防范恶意代码、间谍软件和广告软件的完整的策略可能尚未就位。防病毒解决方案体系结构可能难以管理和更新。辅助防病毒解决方案的其它安全服务可能尚未就位。最终状态环境在实施完本章节所述的防病毒解决方案体系结构之后，最终状态环境应能提供：一种保护计算机和服务器的一致方法。一种策略性的分层式防病毒解决方案体系结构。 益处防病毒解决方案的益处与组织因病毒、恶意代码、广告软件和间谍软件攻击事件所带来的成本直接相关。缺乏适当的防病毒解决方案会给组织带来直接的财务成本，具体涉及系统和数据损坏、生产力散失、服务终止以及隐私泄露。综合的防病毒解决方案体系结构可提供下列益处：IT 团队的工作量减少： 由于减少了恶意代码、间谍软件和广告软件的威胁，IT 团队花在应对这类事件和排除故障方面的时间减少了。成本降低：因为隔离并迅速遏制了病毒事件，所以减轻了对系统和数据造成的破坏。生产力提高： 用户和 IT 团队用于排除故障、执行恢复和防范恶意代码的时间减少了。服务可用性得到提升： 由于对恶意代码进行了隔离、删除或禁止运行，IT 服务得到了保护，避免使系统和数据受到破坏。3.2.3 建议的解决方案防病毒解决方案设计说明了如何结合独立软件供应商 (ISV) 提供的防病毒软件，在中型 IT 环境中，实施防病毒解决方案体系结构。首先，列出主要的设计元素，说明如何设计解决方案。其次，确定各个解决方案组件在中型 IT 环境中所处的具体位置，以及如何实施解决方案。最后，确保所选的防病毒软件满足环境的基本功能要求。设计元素下表列出了解决方案的设计元素（按功能排序），并就所需的功能进行说明。功能说明网络和网关保护网络防火墙和网关安全性由 Internet Security and Acceleration Server 2004 提供。该软件可提供强大的安全功能。应在 Internet Security and Acceleration (ISA) Server 上，启用以下涉及防病毒的保护功能。针对 HTTP、FTP 和 SMT 应用程序数据的应用程序内容筛选。若无法通过防火墙来扫描内容，则应在防火墙上禁用相关的服务端口。应由 ISA 服务器提供针对即时消息应用程序的内容筛选，或在 ISA 防火墙上封锁用于传输文件的端口。客户端系统和数据保护应在每台连接到组织 IT 网络的客户端计算机上，安装防病毒软件。应对防病毒软件进行配置，以满足防病毒政策的要求。请考虑以下设计元素：应启用实时防病毒保护，以阻止病毒载入内存。实时保护包括针对防止被基于 Microsoft Office 2003 的文件中的病毒感染的支持。应将防病毒软件设定为定期扫描文件系统，并且应培训用户如何完成文件扫描。若防病毒软件支持该选项，则将计算机配置为在空闲时，执行文件系统扫描。应将 Instant Messenger 配置为对发送和接收的文件进行病毒扫描。在对安全要求较高的 IT 环境中，应阻止通过 Instant Messenger 传输文件。在允许远程客户端连接到网络之前，应对其进行筛选，以确定其是否符合防病毒政策。服务器系统和数据保护环境中的每台服务器都应在本地运行防病毒软件。应对防病毒软件进行配置，以满足防病毒政策的要求。另外，请考虑以下设计元素：应启用实时防病毒保护。应安排在正常工作时间之后扫描文件系统，以减少用户在性能方面所受的影响。应由访问控制列表来指定和控制一个集中隔离目录，仅向经授权的管理员提供访问权。应正确配置防病毒扫描选项。譬如，在 Active Directory 服务器上，不要扫描包含 Active Directory 数据库和/或日志文件的文件夹。电子邮件 在各个防护层中，提供对电子邮件引入的病毒及其它威胁的防护措施。应提供以下防护层：ISA Server 是 SMTP 流量的网络网关。应在 SMTP 上安装并启用 SMTP 内容筛选服务。应在 Exchange 服务器上提供防病毒软件，以扫描入站和出站电子邮件。应安排在正常工作时间之后，执行邮件存储扫描。在客户端计算机上配置的防病毒软件应在发送或接收电子邮件之前，对其进行扫描。垃圾邮件应由防病毒解决方案提供垃圾邮件防护，包括：应通过对 ISA Server 安装插件，来提供垃圾邮件防护功能。这样有助于通过减少所需处理的不必要的流量，来减轻 Exchange Server 的工作量。应在 Exchange 服务器上运行防垃圾邮件软件。其应与 Exchange Server 2003 现有的防垃圾邮件功能相集成。还应通过用户在 Microsoft Outlook 2003 中启用的自定义规则，在客户端计算机上提供垃圾邮件防护功能。广告软件广告软件防护措施应包括：安装在客户端计算机上的防病毒软件应能检测、清除或阻止广告软件。否则，应在客户端计算机上，安装可检测并清除广告软件的相关软件。应运用 Windows 防火墙、Microsoft Outlook 2003 和 Outlook Express 所提供的功能，阻止 HTML 内容链接。若安全要求较高的话，则可将客户端配置为发送和接收纯文本电子邮件。间谍软件安装在客户端计算机上的防病毒软件应能检测、清除或阻止间谍软件。否则，应在客户端计算机上，安装可检测并清除间谍软件的相关软件。应运用 Windows 防火墙提供的功能，阻止未经授权的应用程序。协作服务保护推荐使用支持对 Windows SharePoint Services 数据存储中的对象进行扫描的防病毒软件。此外，还应配置 Windows SharePoint Services，对下载和上传的文件进行扫描。管理对于给定数量的客户端和服务器，中型 IT 环境需要强大的集中管理功能。所需的管理功能包括：集中部署客户端软件。检测未安装防病毒软件的客户端计算机。集中更新软件及病毒定义。可向客户端、服务器、设备和网络网关，提供报告、监视、通知和统计分析功能的单一管理控制台。该设计有助于减少防病毒解决方案的管理成本。保护病毒定义和防病毒软件的更新，以确保更新程序的完整性。应通过加密连接下载更新，并且所有已下载的文件都应经过软件供应商的代码签名。设计实施有关实施防病毒软件解决方案的建议如下：1.在辅助的基础结构服务器上，安装防病毒解决方案的管理组件。2.允许辅助的基础结构服务器与提供软件定义更新的防病毒厂商的服务器间的网络流量（通过 Internet 传输）。3.在所有台式机和服务器计算机（包括移动设备）上，安装防病毒软件。4.在客户端和服务器计算机（任何合适的地方）上，安装相关软件来防范间谍软件和广告软件。5.在 Exchange Server 2003 上，配置 IMF 以减少垃圾邮件。6.在 ISA Server 上安装应用程序内容筛选插件，以扫描网络流量。中型 IT 环境中的防病毒解决方案实施如下图所示。图 1. 中型 IT 环境中的防病毒解决方案防病毒软件与解决方案组件通过以下过程进行交互：1.从防病毒厂商在 Internet 上的系统，定期更新病毒定义。2.更新病毒定义，并管理客户端计算机。3.更新病毒定义，并管理服务器。功能要求请确保所建议的防病毒解决方案满足环境的基本功能要求。注意：当防病毒软件产品无法满足某个具体的要求时，请评估相关缺陷的影响，并与相应解决方案的优点进行权衡。单个防病毒软件解决方案不可能提供所有推荐的功能。可能需要结合多种产品，来满足一些有限的具体要求。针对所需的功能评估防病毒解决方案时，请参考以下各表提供的功能要求清单。平台、服务或应用程序 防病毒解决方案的兼容性 需要Windows Server 2003, Standard Edition解决方案应兼容此操作系统及其提供的所有服务。是Windows XP（带 SP2）解决方案应兼容此操作系统及其提供的所有服务。是Windows SharePoint Services解决方案应兼容此服务，不得与此服务提供的功能相冲突。是Microsoft Exchange Server 2003解决方案应兼容此服务，不得与此服务提供的功能相冲突。是Software Update Services解决方案应兼容此服务，不得与此服务提供的功能相冲突。是Microsoft Internet Security and Acceleration Server 解决方案应兼容此服务，不得与此服务提供的功能相冲突。是表 1. 平台与应用程序兼容性清单网络网关和防火墙支持防病毒解决方案 需要在硬件防火墙中提供防病毒支持作为操作系统的一部分，对硬件防火墙设备提供防病毒功能。否作为独立的 SMTP 网关提供垃圾邮件拦截功能 在独立的 SMTP 网关（部署在连接到 Internet 的服务器上）中，提供垃圾邮件拦截功能。否作为独立的 SMTP 网关提供病毒扫描功能在独立的 SMTP 网关（部署在连接到 Internet 的服务器上）中，提供病毒扫描功能。否表 2. 网络网关与防火墙支持清单Windows Server 2003防病毒解决方案 需要集成针对 Windows Server 2003 设计，并集成服务器功能。是代理支持经优化的 Windows Server 2003 代理（较低的内存和处理器开销）。是文件扫描引擎经优化的文件存储病毒扫描。是监视在识别病毒后，提供实时通知。是报告和统计提供自定义的报告界面，允许管理员指定并生成统计数据。是自动更新可设定自动更新在管理员不参与的情况下自动执行。是表 3. Windows Server 2003 清单Windows XP Professional防病毒解决方案 需要集成针对 Windows XP Professional（带 SP2）设计，并集成客户端功能。是代理经优化的 Windows XP 代理。是实时文件保护提供实时的双向文档扫描，防止受感染的文件载入应用程序。是防垃圾邮件在 Microsoft Outlook 2003 和 Microsoft Outlook Express 中，删除垃圾邮件。否防火墙功能提供主机防火墙功能，来管理 cookies，阻止脚本，封锁 TCP/UDP 端口，并阻止应用程序安装程序。否电子邮件通过扫描附件，提供实时的电子邮件客户端保护。是Instant Messenger通过 Instant Messenger，对发送和接收的文件提供实时扫描。是计划的文件保护对文件系统启用病毒扫描计划。是广告软件检测到广告软件应用程序后，加以阻止、清除，或通知用户。是间谍软件检测到间谍软件应用程序后，加以阻止、清除，或通知用户。是监视在识别攻击后，提供实时通知。是报告和统计提供自定义的报告界面，允许管理员指定并生成统计数据。是自动更新可设定自动更新在管理员不参与的情况下自动执行。是表 7. Windows XP Professional 清单Internet Security and Acceleration Server 防病毒解决方案 需要集成针对 Internet Security and Acceleration Server 设计，并通过集成，实现完全兼容性。支持 ISA Server 执行的筛选器规则。是HTTP 内容筛选对文件、脚本、ActiveX 控件和通过 HTTP 传输的小程序，提供内容筛选和病毒扫描。是Instant Messenger 内容筛选对通过 Instant Messenger 传输的文件，提供内容筛选和病毒扫描。是防垃圾邮件功能提供垃圾邮件筛选服务。是SMTP 内容筛选 对电子邮件及其附件，提供内容筛选和病毒扫描。是FTP 内容筛选提供 FTP 内容筛选和防病毒服务。是监视在识别攻击后，提供实时通知。是报告和统计提供自定义的报告界面，允许管理员指定并生成统计数据。是自动更新可设定自动更新在管理员不参与的情况下自动执行。是本节提供了有关在中型 IT 环境中，部署防病毒解决方案的指导信息。请在构建防病毒解决方案之前，收集所有必要的信息信息。您需要一份综合的列表，列出您在环境中使用的所有系统和应用程序，以便在所需的目标上安装有关软件。客户端 防病毒解决方案的集中管理组件应能发现环境中的所有客户端设备，并自动安装代理软件。服务器防病毒解决方案的集中管理组件应能发现环境中的所有服务器，并自动安装代理软件。 Active Directory 服务器在 Active Directory 服务器上部署防病毒解决方案之前，确保软件可兼容，并在测试环境中对配置进行了全面的测试。Exchange 服务器 需要一个专门针对 Exchange Server 2003 设计的代理。确保防病毒软件不会直接扫描 Exchange 文件，并按照供应商的软件使用说明，正确安装并配置了防病毒软件。在生产服务器上应用之前，应该先在非生产环境中，对用于防病毒的 Exchange 代理软件进行全面的测试。网络运用应用程序内容筛选的病毒扫描非常重要。配置防病毒软件以便：扫描传入和传出的电子邮件流量。识别传入