冠群金辰整体安全解决方案0712.doc

冠群金辰整体安全冠群金辰整体安全 解决方案解决方案 北京冠群金辰北京冠群金辰软软件有限公司件有限公司 2007 年年 12 月月 CA JInchen Software Co Ltd 整体安全解决方案 2 目 录 第一章第一章网络安全威胁分析网络安全威胁分析 3 1 1混合型威胁 3 1 2用户的需求 5 1 3安全控制措施 6 第二章第二章安全体系设计安全体系设计 9 2 1网络信息安全策略 9 2 2防治三要素 12 2 3多层次立体防护 14 第三章第三章冠群金辰安全产品说明冠群金辰安全产品说明 16 3 1KILL 网络防病毒系统 16 3 2KILL 过滤网关 防毒墙 19 3 3KILL 邮件安全网关 24 3 4KILL 终端安全管理系统 28 3 5KILL 漏洞扫描器 37 3 6KILL 防火墙 39 3 7KILL 入侵检测系统 41 3 8ETRUST服务器核心防护系统 51 第四章第四章技术支持服务技术支持服务 56 4 1技术服务体系 56 4 2技术支持保证 59 4 3培训服务 60 第五章第五章冠群金辰公司简介冠群金辰公司简介 61 CA JInchen Software Co Ltd 整体安全解决方案 3 第一章第一章 网络安全威胁分析网络安全威胁分析 近年来 随着互联网技术的广泛应用 网络安全事件也层出不穷 以冲击波 Blaster 震荡 波 MyDoom 等为代表的混合型威胁更是通过网络造成全球范围的影响 每当这些安全事件爆发时 成千上万联网的计算机往往受到破坏性攻击 造成的结果是数据破坏 系统异常 网络大面积瘫痪 混合型威胁的危害性极大 影响面极广 涉及企业 政府单位和个人 影响到社会政治 经济 文化生活等各个方面 讨论混合型威胁解决方案对于改善网络信息安全状况是非常有意义的 1 1混合型威胁混合型威胁 混合型威胁并不是某一种特定的威胁 而是指以计算机病毒 蠕虫 特洛伊木马 入侵攻击 以及由这些威胁导致的具有黑客性质的非法入侵行为等 由于网络传播的快速性 利用网络传播的 混合型威胁也更加难以防范 影响的范围也更大 面对混合型威胁 人们虽然采取了以防病毒为主的多种安全控制措施 但往往处理方式单一 收效甚微 我们需要根据混合型威胁的复杂性 采取积极主动的综合防御措施 最大限度地控制安 全风险 1 1 1计算机病毒计算机病毒 人们对计算机病毒已经非常熟悉了 可以说 几乎每个使用过计算机的人 或多或少对 病毒 都有所了解 因为几乎每个人都有过受害的经历 计算机病毒 Virus 实质上是一段程序代码 只不过这段程序代码具有危害作用 并且能够 自我复制 计算机病毒有两个主要特性 破坏性 传染性 它主要通过电子邮件 网络文件下载 网络访问 移动介质 软盘 光盘 U 盘等 形式进行传播 造成数据信息破坏 损毁 篡改 窃 取 系统破坏 损坏 异常 被远程控制 网络异常 网络堵塞 1 1 2蠕虫蠕虫 目前公众乃至业界对计算机蠕虫的理解还不统一 常常将它归类到病毒范畴 虽然从广义上可 以这样理解 但严格来讲 蠕虫 与 病毒 并不一样 区别蠕虫和病毒的意义在于 根据各自 CA JInchen Software Co Ltd 整体安全解决方案 4 不同的特点 有利于采用不同的技术各个击破 随着近年来蠕虫危害的加剧 在概念和技术控制手 段上加以区分就显得更为必要 蠕虫 Worm 除了具备 病毒 的破坏性和传染性之外 还具备另外两个特点 1 利用系 统漏洞进行攻击 2 通过网络广泛传播 蠕虫通过网络传播 造成的危害广泛 迅速 经济损失巨 大 仅 冲击波 蠕虫就导致了全球 30 万 50 万台电脑受到影响 估计的经济损失约为 15 亿 20 亿美元 蠕虫攻击手法多样 往往会导致网络大面积瘫痪 影响网上业务和工作的正常运转 由于蠕虫 利用系统漏洞进行攻击 传统防病毒系统很难进行有效处理 只要漏洞存在 即便进行 查杀 仍然会不断受到攻击 蠕虫是混合型威胁的典型代表 比如冲击波 震荡波 蠕虫王等 它具备病毒的传播特性 可以 种植 木马 使感染机器受到外界黑客控制 可以利用系统漏洞进行入侵 发动拒绝服务攻 击 DoS DDoS 造成网络瘫痪 1 1 3入侵攻击入侵攻击 伴随着网络业务的发展 网络入侵攻击事件也时有发生 黑客通过寻找发现网络漏洞 入侵银 行 电信 政府 企业等等重要用户网络 窃取或篡改数据 破坏系统和网络的正常运行 网络入侵攻击能够得逞的主要原因是网络存在漏洞 安全控制措施不得力所致 1 1 4欺骗欺骗 不法分子除了通过技术行为进行攻击外 还可能通过 欺骗 的手法进行破坏 这也就是通常 所说的 社会工程学 Social Engineering 欺骗 常用的手段有 电子邮件信息欺骗 垃圾邮件 网络程序欺骗下载 假冒网站等形式 近来流行的 网络钓鱼 就属于典型的欺骗手法 钓鱼者 可能制作一个假冒网站 然后通 过发送垃圾邮件等形式引诱人们上当 当受骗者访问其假冒网站 并且输入信用卡帐号 密码等信 息时 犯罪分子随即得手 1 1 5混合型威胁的产生原因混合型威胁的产生原因 混合型威胁的危害很大 那么造成混合型威胁的原因是什么呢 一方面 互联网的大范围普及 电子邮件的广泛应用 为混合型威胁创造了条件 另一方面 网络和系统存在大量漏洞的事实 也 使黑客攻击 蠕虫攻击有机可乘 不论是利用漏洞方式 还是采用欺骗手段 都有可能造成危害 CA JInchen Software Co Ltd 整体安全解决方案 5 1 1 6混合型威胁的形成过程混合型威胁的形成过程 混合型威胁有各种各样的攻击方式 这里以典型的蠕虫攻击过程进行说明 其形成过程大致可 以归纳为如下步骤 扫描 蠕虫扫描网络 探测网上活动的计算机 攻击 一旦发现网络存在漏洞的计算机 立即自动展开攻击 感染 攻击成功后 受攻击计算机感染蠕虫 继续攻击 受感染对象成为新的传染源 继续对其它联网的计算机展开攻击 通过以上过程 蠕虫攻击速度将呈几何级数增长 很快会导致网络瘫痪 1 1 7几个例子几个例子 近几年在全球范围内爆发了大规模的混合型威胁 我们通过下面表格可以可以了解蠕虫 邮件 病毒的传播方式和危害后果 蠕虫蠕虫时间时间传播方式传播方式危害后果危害后果 莫里斯蠕虫 Moris 1988 Unix 漏洞 网络入侵大面积数据堵塞 死 机 红色代码 CodeRed 2001 IIS 漏洞 网络入侵 DDoS 攻击 网络瘫痪 尼姆达 Nimda 2001 IE 漏洞 CodeRed 后门 邮件DDoS 攻击 蠕虫王 Slammer 2003 SQL 漏洞 扫描端口 远程攻击 网络大面积瘫痪 冲击波 Blaster 2003 Windows RPC 漏洞 远程攻击 系统异常 重启 崩 溃 网络大面积瘫痪 震荡波 Lsass 2004 Windows RPC 漏洞网络大面积瘫痪 邮件病毒邮件病毒时间时间传播方式传播方式危害后果危害后果 美丽杀手 Sircam 1999 电子邮件网络堵塞 文件破坏 求职信 Klez 2001 电子邮件邮件病毒堵塞服务器 Sobig2002 电子邮件大量垃圾邮件 MyDoom2004 电子邮件大量垃圾邮件 网络阻塞 CA JInchen Software Co Ltd 整体安全解决方案 6 1 2用户的需求用户的需求 面对混合型威胁 借助网络开展业务的用户关心哪些安全问题呢 对于企业级用户 有以下四 个方面的问题应该考虑 保护信息和系统安全 保护信息和系统安全 信息化社会中 数据信息及其处理是核心内容 而承载数据信息处理的基础是计算机系统 因 此 必须保障数据信息的机密性 完整性 可用性 防止信息被窃取 篡改 防止系统遭受病毒 蠕虫 黑客的攻击 保障网络和系统资源 保障网络和系统资源 现在是网络化时代 网络担负着网上业务和网络自动化办公的任务 如果网络遭受攻击 导致 堵塞甚至瘫痪 网络业务势必会受到影响 因此 保障网络畅通 避免遭受蠕虫攻击 垃圾邮件泛 滥等网络资源危害事件 是安全保障的另一个目标 节约管理成本 节约管理成本 用户需要网络安全保障 但实际情况是 许多企业级用户既没有配备具有较高安全知识和技能 的人员 也没有足够的时间和精力监控和处理安全事件 结果往往是疲于应付 效果不佳 为了改 变这种情况 应构建合理的安全控制措施 在不要求太多安全知识 技能的前提下 实现有效的安 全防范 改进安全状况 改进安全状况 任何安全措施都不能一劳永逸地保障永久的和绝对的安全 企业级用户采取安全控制措施后 在加强了安全性的同时 还需要了解仍然存在哪些安全风险 根据风险情况制定改进措施 保证安 全控制能力持续不断地改进 1 3安全控制措施安全控制措施 1 3 1防病毒系统防病毒系统 计算机病毒是混合型威胁最广泛的表现形式之一 目前 对于计算机病毒最常见的处理措施是 防病毒系统 防病毒系统能够发现病毒 及时查杀 不论是引导型病毒 内存型病毒 文件型病毒 蠕虫代码 宏病毒 特洛伊木马 还是网页恶意脚本 小程序或 AxtiveX 代码 防病毒系统都能够 进行处理 CA JInchen Software Co Ltd 整体安全解决方案 7 对于防病毒系统 我们是再熟悉不过了 为了找到一个满意的防病毒软件 很多用户还经常换 来换去 但最后发现 最然好的防病毒软件可以解决许多问题 却没有哪个能够彻底解决所有问题 原因在于防病毒系统采用发现后处理的被动防御方法 存在先天不足 是否能够处理某种新的 病毒 取决于发现该病毒的速度 另一个非常重要的原因是 防病毒系统面对蠕虫攻击 目前还缺乏有效的防御手段 我们会发 现 当蠕虫爆发时 防病毒系统的处理效果有限 即便能够查杀 却仍然会不断受到攻击 原因很 简单 就是因为系统存在漏洞 只要漏洞存在 威胁始终存在 对于企业级用户 可以采用防病毒系统应对威胁 但为了更好地进行全面防范 需要采取其它 措施进行补充 1 3 2防火墙防火墙 防火墙应用已经非常普遍 主要用来对网络访问的合法性进行安全控制 原则上只允许符合策 略的网络连接和数据通过 良好的防火墙安全策略可以有效控制黑客的入侵攻击行为 保障内网安 全 但防火墙并不能解决全部安全问题 举例来讲 防火墙所起的作用相当于海关的 身份检查 考虑到效率因素 目前绝大多数防火墙对于携带 包裹 的网络数据内容并不作检查处理 就是说 防火墙主要在网络层进行处理 在应用层不作过多处理 对于混合型威胁这类主要以内容为主的威胁 防火墙所起的作用是有限的 仍然需要新的手段 补充 1 3 3漏洞扫描漏洞扫描 造成安全隐患的一个很重要的原因是因为网络和系统存在漏洞 当漏洞被黑客或蠕虫程序利用 时 安全事件便会发生 我们常常使用漏洞扫描分析系统 及时发现漏洞 采取措施修复漏洞 1 3 4网关过滤技术网关过滤技术 为了弥补传统防病毒系统和防火墙的不足 网关过滤技术便应运而生 网关过滤技术 或者称 作过滤网关 是近几年提出并开始逐渐流行的安全技术 它根据混合型威胁的特点 采取综合的过 滤技术 在网关位置实现安全防护 CA JInchen Software Co Ltd 整体安全解决方案 8 据 ICSA 计算机病毒流行性调查结果 电子邮件和互联网已经成为病毒传播的绝对主要途径 我们也已经认知这样的事实 计算机网络已经成为病毒 蠕虫 黑客入侵攻击等混合型威胁的主要 途径 基于以上认识 为了更加有效地控制混合型威胁 可以从引入威胁的最薄弱环节进行控制 并且对威胁的内容进行有效识别处理 采用网关过滤技术 可以在很大程度上克服被动防御的局面 实现积极的主动防御 当采用过 滤网关保护网络时 可以将蠕虫攻击阻挡在外 避免受保护网络因存在漏洞遭到攻击 为打补丁留 下足够的时间 可以在受保护网络内部未部署防病毒系统的情况下起到过滤外来病毒的作用 1 3 5终端安全管理技术终端安全管理技术 有了网络边界安全产品 如 防火墙 安全网关等 还有一些主机安全产品如 病毒防护 主 机加固软件等 但是并不能够形成一个全面的安全防护体系 在传统的安全解决方案中 内网终端 的整体安全防护和管理常常没有得到足够重视 而网络的迅猛发展 网络设备的流动性 各种复杂 网络应用的引入 都会使内网安全呈现漏洞 具体呈现为内网终端的访问控制 内网防病毒软件的 管理一致 操作系统及应用软件的补丁管理等 内网的各种漏洞还源于安全策略的制定与具体执行之间的差距 执行者素养的差别 对网络安 全管理理解的差别都有可能造成管理上的疏漏 这样即使堆砌了一系列网络安全产品 但如果用户 手中的网络安全产品和解决方案都只是针对特定问题的修补而且互相孤立 没有构造一个能彻底解 决网络内共有的安全问题的统一的平台 则用户网络本质上仍然是脆弱的 为了解决上述问题 终端安全管理系统应运而生了 CA JInchen Software Co Ltd 整体安全解决方案 9 第二章第二章 安全体系设计安全体系设计 2 1网络信息安全策略网络信息安全策略 信息安全的目的是要保证信息的完整性 保密性 可用性 可控性 行为的不可否认性 在保 护信息的同时 还要满足对整个信息系统的保护和防御 2 1 1一个基本的计算机安全模型一个基本的计算机安全模型 为了表明一个计算机系统能够保持保密性和完整性 需要一个底层的安全模型 在这个模型的 最低层是实体的概念 实体又能够分为两类 主体和目标 当然 这种结构很类似我们的日常语言 其实 我们的下一个概念就是一个动词 访问 主体访问目标 通过这个简单的句子能够表达出所有计算机安全产品的基础理念 当我们购买 一个安全产品的时候 从考虑这些最基本的定义开始 什么是主体 什么是目标 在主体和目标之 间能够实施什么样的访问控制策略 我们可能有许多问题要问 但是需要首先问这些问题 在不同情况下 一个同样的实体可能既是一个主体又是一个目标 当一个程序访问一个文件 目标 时是一个主体 但是当一个人企图中止这个进程的时候 这个程序就变成了目标 而访问 请求是中止 主体是企图中止这个进程的人 我们现在使用目标 主体和访问权限来表示在计算机系统中发生的事情 就是说 这些名词是 用来说明我们需要采用的安全策略的 现在我们理解了基本的概念 下一步是它们之间的关系是如 何被实施的 安全参考监视器 Anderson 提出 是控制主体试图访问对象 客体 时采取的行为的一个 黑盒子 参考监视器的目的是为了控制主体访问对象的请求 主体访问对象的唯一路径必须要通过 参考监视器 通俗地讲 参考监视器起到了对象的保护作用 安全参考监视器 模型可以由下图 表示 CA JInchen Software Co Ltd 整体安全解决方案 10 实际上 当我们搞清楚了主体和对象后 我们就能够确定要保护的对象 针对不同主体的各种 行为采取保护措施 2 1 2IATF 深层防御策略深层防御策略 IATF 信息保障技术框架 定义了一个 深层防御体系 所谓深层防御就是采用多层次 多 样性的安全措施来保障信息及信息系统的安全 在深层防御策略中 人 技术和操作是三个主要核心因素 要保障信息及信息系统的安全 三 者不可或缺 从技术上讲 深层防御战略体现为在包括主机 网络 系统边界和支撑性基础设施等 多个网络环节之中实现安全控制 CA JInchen Software Co Ltd 整体安全解决方案 11 深层防御战略的含义是多方面的 它试图全面覆盖一个层次化的 多样性的安全保障框架 深 层防御战略的核心目标就是在攻击者成功地破坏了某个保护机制的情况下 其它保护机制依然能够 提供附加的保护 2 1 3信息安全层次划分信息安全层次划分 为简化对安全的分析 我们也常常将信息安全按照三个层次划分 主机安全 网络传输安全 网络边界安全 进行网络安全防护时 应在多层次部署安全产品 实现纵深防御 为保障信息安全 需要在三个层次分别采取安全措施 此外 还经常采用支持性基础设施 使三个安全层次的安全保 障协调工作 主机安全主机安全 主机是银行信息处理的基础 可能涉及到大型机 中型机 小型机 服务器 客户 PC 等 主机安全的对象主要是操作系统 数据库 文件和设备资源 应用系统 主机安全的目标是 保障主机系统的可用性 数据信息的完整性和保密性 对主机访问的可控 性 以及对操作的审计 不可否认性 保护主机安全的主要技术手段有 操作系统核心保护 身份鉴别技术 计算机病毒防护等 网络传输安全网络传输安全 网络的目的是为了实现数据信息传输和共享 提供远程资源访问控制 网络传输面临着黑客 网络蠕虫病毒传播等诸多威胁 CA JInchen Software Co Ltd 整体安全解决方案 12 网络安全的对象有 网络设备 网络服务 网上传输的信息 网络安全的目标是 保障网络正常运转 合法的访问控制 网络传输信息不被破坏 篡改 丢 失和窃取 保护网络传输安全的主要技术手段有 入侵检测 网络分析 防火墙 信息传输加密 VPN 虚拟专用网 网络漏洞分析 网络边界安全网络边界安全 网络边界安全保护关注的是如何对进出网络边界的数据流进行有效的控制与监视 防止非法访 问 网络边界安全对象 边界网络设备 路由器 交换机 进出网络的数据信息 网络内部资源 对网络边界实施保护的目标是 保护内部网络不被外部攻击和破坏 控制内部向外扩散不适合 的信息和访问 保护网络边界安全的主要技术有 物理隔离技术 网闸 物理隔离卡等 防火墙 入侵检测 网关过滤技术等 2 1 4安全服务安全服务 伴随着网络技术的发展 安全技术也在随之不断发展 但技术并不能解决所有的问题 还需要 有人来参与 安全服务的目标就是要使企业或机关管理者以及执行者清楚地了解自身网络和系统信息存在的 各种安全问题 针对面临的安全风险 制定出明确的解决措施并加以实施 规避安全风险 安全服务应由具备安全服务资质的公司和人员实施 主要内容一般包括 安全需求分析 资产 等级划分 资产安全风险评估 策略评估和制定 加固方案制定和实施 安全培训 安全事件通知 和紧急响应 2 2防治三要素防治三要素 以病毒 蠕虫为代表的混合型威胁 由于其具备破坏性 传染性的特征 与自然界生物病毒的 特性极为相似 我们知道 生物病毒防治有三个要素 切断传播途径 发现传染源 保护易感人群 CA JInchen Software Co Ltd 整体安全解决方案 13 传染源 威胁 通过传播途径 网络 电子邮件等 影响易感人群 计算机系统 当易感人 群受感染后 成为新的传染源 对周围继续产生不良影响 与应对生物病毒的方式一样 应对混合型威胁可以借鉴其防治原则 切断传播途径切断传播途径 网络边界是引入安全风险的主要传播途径 可以在网络边界部署防火墙 对网络访问的合法性 进行有效控制 部署过滤网关 对病毒 蠕虫 垃圾邮件等内容进行过滤 KILL 防火墙能够适应各种复杂环境的网络保护 KILL 过滤网关在业界拥有众多成功案例 据 权威机构分析报告 2004 年冠群金辰公司的 KILL 过滤网关在安全网关市场中的占有率是第一位 KSG 除了可以有效地实现电子邮件病毒过滤 内容过滤 垃圾邮件过滤外 更重要的是可以 实现蠕虫过滤 过滤静态蠕虫扩散 阻断蠕虫动态攻击 KSG 独有的抗蠕虫攻击技术 Anti Worm 能够全方位抵御所有已知蠕虫病毒的攻击和传播 可以阻断后门程序 DoS DDoS 等动态 入侵攻击行为 此外 KSG 也支持非透明 Router 模式 旁路并联 方式的接入 这种情况下 主要用于对用户自身的邮件系统进行病毒过滤 监控传染源监控传染源 在网络内部 存在来自内部或外部的非法网络流量 系统也存在许多可能被利用的漏洞 可以 采用网络入侵检测系统进行攻击检测 采用漏洞扫描进行漏洞分析 在网络环境和主机环境对混合型威胁进行全面识别 识别后进行报警和隔离处理 采用网络入 侵检测技术在网络位置监控入侵行为和网络病毒 采用网络防病毒系统在识别受感染目标 进行实 时监控处理 冠群金辰软件有限公司的 KILL 入侵检测系统 利用内建的用于防止破坏的预防功能 监控网 络流量 实时检测可疑的网络活动和入侵攻击 它还拥有防止资源滥用能力 比如动态 URL 限制 凭借自身强大的网络检测 分析 报告和管理能力 快速定位病毒源 为网络安全提供可靠的保障 KILL 入侵检测系统部署在用户网络的主干链路中 通过实时捕捉 分析网络中的数据流 实时检 测网络流量中的病毒 提供了广泛的监视 入侵和攻击检测 非法 URL 检测和阻塞报警记录 并 同时检查流动的数据中是否含有病毒 准确定位病毒的传播源 然后通过 KILL 网络防病毒系统对 病毒传播源所在计算机进行清毒工作 为网络安全提供了可靠的保障 CA JInchen Software Co Ltd 整体安全解决方案 14 保护易感人群保护易感人群 这里的 易感人群 主要指各种计算机系统主机 对保护对象应采取治疗和防疫相结合的办法 采用防病毒系统 反间谍软件进行查杀 治疗 采用漏洞扫描系统进行漏洞状况检查 采用终端 安全管理系统对网络客户端进行安全保护和安全策略集中实施 采用服务器保护系统 加固主机 提升安全性 下面主要介绍冠群金辰公司的 KILL 终端安全管理系统和 KILL 网络防病毒系统网络 防病毒软件的特点和应用 2 3多层次立体防护多层次立体防护 根据 IATF 信息保障技术框架 的纵深防御理论 可以从计算机主机 网络和网络边界分别 建立综合防御体系 在网络边界 切断传播途径 在网络范围 监控传染源 对计算机系统 保护 易感人群 为实现多层次综合保护 我们应合理构建安全体系架构 慎重选择安全产品 既要达到有效控 制安全风险的目的 又要节约投资 产品功能是否满足需要 性能是否达到要求都是需要考虑的因 素 在下面描述的安全控制措施中 我们提供几种实际应用效果不错的产品 供借鉴参考 网络边界控制 可以采用 KILL 过滤网关 KSG V KSG M 实现对蠕虫 病毒 垃圾邮件 敏感信息等混合型威胁的综合过滤 采用 KILL 防火墙 对网络访问的合法性进行全面检查 网络检查 可以采用 KILL 入侵监测系统 有效识别网络入侵攻击行为 非法网络活动 以及 网络流量病毒 采用 KILL 漏洞扫描器检查发现系统存在漏洞 根据提供的补救办法弥补漏洞 主机保护 可以采用 KILL 网络防病毒系统网络防病毒系统和 KILL 终端安全管理系统对主机 进行防护 进行网络化管理 防止病毒感染和传播 采用 eTrust 服务器保护系统 加固操作系统 提升其安全性 图示如下 CA JInchen Software Co Ltd 整体安全解决方案 15 当然 并不是所有的技术措施都是必需的 用户应该根据自身的实际安全风险状况和资金情况 有选择地进行安全防护 既要全面防御 又要突出重点 通过以上方式的积极综合防御措施 我们有理由相信 面对混合型威胁 我们有能力全面保护 网络信息的安全 为信息化发展真正起到保驾护航的作用 CA JInchen Software Co Ltd 整体安全解决方案 16 第三章第三章 冠群金辰安全产品说明冠群金辰安全产品说明 3 1KILL 网络防病毒系统网络防病毒系统 3 1 1产品概述产品概述 KILL 网络防病毒系统 简称 KILL 是冠群金辰公司的企业级网络防病毒软件 可全面查杀 病毒 蠕虫 木马 间谍软件等恶意代码 KILL 通过积极防御的保护措施和强大的管理特性 能够在恶意代码进入网络前及时阻止并删除它们 从而减少系统异常 数据损坏或失窃带来的风 险 保障业务连续性 KILL 同步支持 Windows 系统的各个版本 含 64 位 全球首款通过西海岸实验室 Vista 兼容 认证 并且连年获得病毒公告牌 VB100 西海岸实验室 ICSA 实验室等机构检测认证 是国际 领先的防病毒产品 冠群金辰的 KILL 网络防病毒系统 采用自主知识产权的防病毒引擎 依托美国 CA 公司 CA JInchen Software Co Ltd 整体安全解决方案 17 强大的技术背景和国内雄厚的研发服务实力 在十几年的发展中 赢得了广大用户的普遍信任 其产品在政府 电信 金融 税务等各个领域都有着广泛的成功应用 3 1 2功能特性功能特性 防病毒特性防病毒特性 综合探测扫描综合探测扫描 KILL 提供高级的探测扫描技术 通过扫描文件 引导区 内存 注册表 常见位置或用户 选择位置 将扫描结果与特征库进行匹配 而且还可通过识别可疑活动的 启发式高级分析技术 进行检测和处理 一旦检测到恶意代码 可疑活动或企图逃避检测的病毒变种 立即进行隔离或 清除 并将受感染系统还原到安全状态 检测多种形式恶意代码检测多种形式恶意代码 KILL 可以全面检测处理病毒 蠕虫 木马 恶意网页代码 Java Applet ActiveX Cookie 电子邮件 宏病毒 指定扩展名 压缩格式等多种形式的恶意代码 当安装 KILL 增强版时 包 含 PestPatrol 防间谍软件 还可以全面检测间谍软件 单步阻断病毒单步阻断病毒 KILL 提供单步阻断病毒功能 当发现病毒时 允许立即隔离异常网络 避免可能出现的新 病毒爆发事件 通过将特定文件扩展名添加到 阻止扩展名 清单 在检测到潜在病毒的情况下 所有对这些文件的访问将被拒绝 实时监视实时监视 KILL 实时监控系统在后台运行 当运行程序 读 写文件 移动介质访问 Internet 访问或下 载 网络服务 电子邮件传递时 实时进行扫描分析 扫描对象可选择 双向监控传入 传出文件 压缩格式文件 特定扩展名文件等 为达到安全高效扫描 还可筛选 排除扫描进程 排除扫描目录 阻止 或免除阻止 扫描扩展名列表 KILL 采用特征码匹配 启发式探测扫描等方法 发现病毒后 提供仅报告 删除文件 重 命名 隔离文件 可后续进行删除 还原工作 隔离受感染机器 指定时间段内不能访问该服 务器 删除宏病毒 修复文件 修复引导区 修复注册表和系统文件等响应动作 人工扫描人工扫描 CA JInchen Software Co Ltd 整体安全解决方案 18 通过人工扫描 可实现对计算机系统和文件目录的完全扫描 清理可能隐藏的病毒 执行人 工扫描时 选择可访问的目录或排除某些目录 扫描对象可以是 所有文件 仅扫描指定扩展名 排除扫描指定扩展名 压缩格式文件等 人工扫描的技术和处理策略与 实时扫描 相同 作业调度作业调度 作业调度 有时也称作 排定扫描 作业调度 首先要定义调度策略 除了设定扫描目 录 位置 扫描对象 处理策略外 还包括 排定扫描的时间 年月日 时分秒 重复频率 月 日 时 分 CPU 使用级别 其中 CPU 利用率与 CPU 资源的可用性相关 例如 可以对排定在正常工作时间段发生 的扫描选择 低 级别 这时的资源大部分被其它最需要资源的任务占用 有害程序扫描活动不 应再耗用资源 对于排定在夜晚或周末发生的扫描 这时资源需求一般比较低 更适宜采用 正常 或 高 CPU 使用级别 扫描技术和处理策略与 实时扫描 相同 该选项只适用于 Windows 环境 邮件服务器扫描邮件服务器扫描 电子邮件 策略指定 KILL 保护 Lotus Notes 或 Microsoft Exchange 电子邮件服务器 这些策略仅适用于 Windows 平台下的 KILL for Notes 或 KILL for Exchange Notes 选件与 KILL 集成以扫描文档和电子邮件文件附件 可以自动检测到已感染 Lotus Notes 附件 发现感染时 此选项还通过主机消息传送系统通知用户 Exchange 选件与 KILL 集成以扫描附加到电子邮件消息和文件夹的文档 使用此选件 可 以自动修复已感染的 Microsoft Exchange 附件 Exchange 选件扫描所有通过该服务器的邮件 内容自动更新内容自动更新 KILL 控制台使您可以自动下载产品更新和特征码文件的内容更新 收集这些更新的下载方 法是 HTTP 下载策略包括 更新服务器列表 按顺序查找可达的升级服务器进行下载 更新频 率 更新时间 更新频率 立即下载 更新内容 需要更新的组件 重新分发组件等 KILL 自动实时更新引擎和特征码文件 程序模块 补丁程序 提供最新安全保护 更新过 程只传输 MicroDAT 文件的增量部分 少于 100KB 可实现快速升级与分发 占用极小的网络 带宽 当用户内部升级服务器暂时失效时 客户端自动查找下一个预先制定的服务器进行升级 CA JInchen Software Co Ltd 整体安全解决方案 19 防间谍软件特性防间谍软件特性 提示 本节仅适用于 KILL 网络防病毒系统 增强版 功能 特指 PestPatrol 防间谍软件 全面预防间谍软件全面预防间谍软件 与病毒不同的是 间谍软件 例如后门黑客工具 讨厌的广告软件等 可能导致更多安全问 题 间谍软件制造者的目的非常明确 就是通过网络隐蔽地窃取有价值信息和敏感信息 当安装 KILL 增强版时 通过扫描文件 内存 注册表 常见位置或用户选择目录 可以全 面检测和清除隐藏的间谍软件 预防有价数据和敏感信息失窃 避免系统和网络访问速度变慢 这些间谍软件包括后门黑客工具 击键记录器 代理 下载器 广告软件 浏览器劫持等 PestPatrol 拥有业界最全面的间谍软件库 具有国际领先水平 实时扫描 人工扫描 调度扫描实时扫描 人工扫描 调度扫描 PestPatrol 防间谍软件主动监视系统活动 在间谍软件运行前截获并清除 保护您的信息安 全 系统除了可以自动实时进行监视外 您还可以通过人工扫描和调度时间扫描的方式进行完全 扫描 三种扫描方式与前述 KILL 防病毒特性 的对应内容一致 与与 KILL 共享的集中管理共享的集中管理 PestPatrol 通过基于 Web 的中央控制台进行管理 管理员可以强制扫描 更新策略 浏览日 志和查看报告 PestPatrol 可与 KILL 共享同一个管理控制台和升级服务器 具有共同的系统兼容 性 管理功能和日志和报表功能 可以实现高效的集中管理 内容自动更新内容自动更新 KILL 控制台使您可以自动下载 PestPatrol 防间谍软件产品更新和特征码文件的内容更新 更新方式与 KILL 防病毒软件完全一致 管理特性管理特性 易于安装部署易于安装部署 KILL 控制台允许您从一个中心位置远程管理网络中运行 KILL 代理的计算机 KILL 管理 中心可以自动识别网络内的系统列表以及是否安装了 KILL 防病毒软件 以此识别潜在的风险 KILL 支持本地安装 登录脚本安装 远程工具推送安装 无人值守安装 软件分发安装等 方式 便于大规模部署实施 大幅提高工作效率 本地安装 在客户端逐个进行本地光盘 或文件 安装 适合小规模部署 CA JInchen Software Co Ltd 整体安全解决方案 20 登录脚本安装 使用登录脚本将客户端指向提供安装软件包的服务器 然后从该服务器运 行软件包 远程安装 管理员通过 KILL 远程安装实用工具 实现远程推送安装 无人值守安装 管理员通过配置安装文件 在不需用户交互操作的情况下安装 KILL 软件分发 安装时可通过 CA Unicenter Software Delivery 和微软 SMS 进行分发 支持多层管理模式支持多层管理模式 根据客户端数量和网络状况 您可以选择适合于局域网的客户端 控制台的二级管理模式 也可以构建适合于跨地区 跨国界的多级分布式管理模式 KILL 网络防病毒系统可在任意位置安装 重分发服务器 以此实现程序模块和特征库内容 的逐级分发 可任意指定 策略代理服务器 以此实现策略的逐级分发 例如 从总部到分支 机构 再到子分支机构的逐级分发管理 这种分层管理方式降低了网络流量 提高了网络管理效 率 集中集中 Web 管理管理 通过基于 Web 方式的控制台 您可以部署和升级每个节点软件 强制扫描和更新安全策略 查看日志和报告 KILL 既可独立安装部署 也可以和 Pestpatrol 防间谍软件共享同一个控制台和 代理软件 实现无缝集成的统一管理 通过基于 web 的界面 您可从任意计算机或在安装 KILL 服务器的计算机上打开控制台 CA JInchen Software Co Ltd 整体安全解决方案 21 策略锁定策略锁定 KILL 的策略类型包括 实时扫描策略 作业调度策略 特征码分发策略 病毒样本提交策 略 电子邮件处理策略等 管理员可以定义各种策略细节 当管理员锁定策略时 可以禁止任何 客户端修改组织的策略 保证全网防病毒策略一致性 此外 策略可以集中分发 也可通过多个 策略代理服务器实现层次化分发 保障策略分发效率 自动发现子网自动发现子网 KILL 控制台具备自动发现子网内所有客户端计算机的能力 可发现计算机的基本信息 是 否安装了 KILL 客户端代理 所安装 KILL 代理的版本情况等 便于管理员进行管理 CA JInchen Software Co Ltd 整体安全解决方案 22 发现 的方法可选择 自由选择 广播方式发现最小 IP 地址 由该计算机收集子网客户端信息并向服务器报告 指定选择 指定 IP 地址 由该计算机收集子网客户端信息并向服务器报告 偏好选择 指定 IP 向服务器报告 当该 IP 计算机不接收轮询时 采用自由选择方式 逐个轮询 服务器逐个轮询所有客户端计算机 组织树组织树 管理结构管理结构 组织 树是对您的网络的分层表示 使用该树可向需要相同防护设置的计算机组应用策略 使用 组织 选项卡 可以创建具有容器 称为分支 的 组织 树 这些分支通常组织 为可以镜像网络中计算机的物理位置 树的组织结构非常灵活 通常按部门 职能 用户类型或 适合业务需要的任何其他安排元素将计算机分类 创建 组织 树后 可以创建策略并将策略分配给树和其分支 如果一个策略放置在树顶 则 所有计算机可继承该策略 当策略放置在树的各个分支时 仅该分支内的计算机可继承这些策略 电告总部电告总部 电告总部 功能使客户端计算机向指定的 KILL 服务器报告信息 它提供了反向发现或 自我介绍 功能 这种方法使您可以管理到那些不能 正常 发现的计算机 例如 远程计算 机 使用 VPN 的计算机等 在客户端代理程序与控制台之间的通讯是由代理主动启动的 这样 代理 就可以通过 电告总部 的方式主动报告自己的状态 并且可以及时获取安全策略和配置的变更 报警通知报警通知 CA JInchen Software Co Ltd 整体安全解决方案 23 当您的环境中检测到新的威胁事件时 会自动发送报警通知 该事件可选择 本地报警管理 器 事件日志 转发到其它计算机 报警管理器 是一种集中式管理组件 将运行 KILL 产品的客户端计算机和服务器所生 成的报警发送到其它目标 例如 可以将报警发送到管理员电子邮箱 NT 事件日志 SNMP 陷 阱 CA Audit CA Security Command Center CA Unicenter 这使您可以对报警快速做出响应 日志和统计报告日志和统计报告 KILL 完整记录病毒扫描日志 内容包括 时间 文件名 状态 感染名称 感染类型 感 染对象 检测方法 引擎 用户等 KILL 管理控制台还提供近百种不同类型的分析报告 各种 报告可 开箱即用 以易于阅读的图文格式显示威胁信息 报告形式包括 客户端计算机信息 计算机名 IP MAC 产品版本等 安装部署 KILL 的状况 已安装 未安装 安装情况 排定作业报告 管理的计算机报告 特征码状况报告 服务器负载报告 策略负载报告 分类统计报告 按病毒 按间谍软件 按计算机 按用户 邮件选件报告 Top10 前 10 种病毒分类报告 前 10 种间谍软件分类报告 CA JInchen Software Co Ltd 整体安全解决方案 24 兼容性与适应性兼容性与适应性 支持广泛的系统平台支持广泛的系统平台 KILL 同步支持微软不同的 Windows 版本 此外 KILL 还支持 64 位 Windows Intel AMD Microsoft Exchange Lotus Notes 等 KILL 防病毒软件是全球收款通 过 West Coast 认证的兼容 Vista 的防病毒产品 支持 Microsoft Vista 支持思科支持思科 NAC 和微软和微软 NAP KILL 支持思科的 NAC 网络准入控制 和微软的 NAP 网络访问保护 能够精确发现应 用于思科 NAC 或微软 NAP 网络中的 KILL 产品 可满足用户使用思科或微软产品的准入许可策 略 性能保障性能保障 最小资源占用最小资源占用 基于与微软公司源代码级的合作关系 KILL 防病毒软件合理调度 Windows 系统资源 将病 毒查杀过程对 CPU 和内存资源的消耗降到最低 有效保证工作效率 良好的性能良好的性能 KILL 服务器可支持大约 20 个并发管理用户 单个 KILL 服务器可管理大约 10 万个客户 端 自安全性自安全性 自我安全保护自我安全保护 KILL 采用授权管理方式 保证策略不会被其他用户随意修改 管理用户可拥有对策略的完 全或部分访问权限 特征码升级具有容错 校验功能 在网络传输不稳定情况下 如果发现升级 过程有误 可自动重新下载升级文件 无需用户干预 安全通讯安全通讯 KILL 使用 Microsoft Windows 支持的 IPSec 标准保护 KILL 服务器和 KILL 代理客户端之间 的通讯 实现加密形式的安全通讯 CA JInchen Software Co Ltd 整体安全解决方案 25 资质与认证资质与认证 KILL 连续多年获取了 Virus Bulletin 病毒公告牌 VB 100 奖项 还获得了 West Coast Labs 西海岸实验室 Checkmark Anti Virus Level 1 Anti Virus Level 2 Trojan 认证 以及 ICSA Labs 国际计算机安全协会实验室 100 检测和清除 in the wild 病毒认证 PestPatrol 防间谍软件还获得了 West Coast Labs 西海岸实验室 Checkmark Anti Spyware 检测能 力认证 3 1 3系统组成及运行环境系统组成及运行环境 产品分类及组件产品分类及组件 选件选件组件组件部署位置部署位置作用作用 基础型基础型 KILL 防病毒软件 KILL 代理Windows 客户端检测处理病毒 KILL 服务器管理控制台管理 重新分发服务器任意位置 支持多级分布式结构 特征库 软件模块更新 Windows 选件 远程安装实用工具管理控制台远程安装 Exchange 选件Exchange 插件MS Exchange 邮件服务器邮件服务器防病毒 Lotus Notes 选件Notes 插件Lotus Notes Domino 服务器邮件服务器防病毒 增强型增强型 KILL 防病毒软件 PestPatrol 防间谍软件 KILL 代理Windows 客户端检测处理病毒 PestPatrol 代理Windows 客户端检测处理间谍软件 KILL 服务器管理控制台管理 重新分发服务器任意位置 支持多级分布式结构 特征库 软件模块更新 Windows 选件 远程安装实用工具管理控制台远程安装 CA JInchen Software Co Ltd 整体安全解决方案 26 系统要求系统要求 KILL 客户端计算机客户端计算机 Pentium 150 MHz 以上 64MB 硬盘空间 512MB 内存 Windows NT 4 0 SP6A Windows 2000 Windows Server 2003 32 位 64 位 Intel AMD Windows XP Professional 32 位 64 位 Intel AMD Windows Vista 32 位 KILL 管理服务器管理服务器 Pentium 4 2 6GHz 以上 10GB 硬盘空间 1GB 内存 Windows NT 4 0 SP6A 以上 Windows 2000 Server Windows 2003 Server Windows XP Professional 不推荐 Windows 2000 Workstation 不推荐 Windows Vista 群件系统群件系统 Microsoft Exchange 2000 2003 Lotus Notes Domino 4 6 2 以上 注 因 Windows XP 和 Windows 2000 Workstation 不能超过 10 个并发连接的限制 不建议采 用这两种平台作服务器 对大型组织的服务器没有硬性要求 一个基准是 每 30000 个客户端需要约 2GB 内存和 40GB 磁盘空间 用户规模考虑用户规模考虑 规模定性规模定性客户端数量客户端数量配置建议配置建议 小规模 500 多数情况下 小组织位于一个地方 网络带宽为 100M 应有一台专用服务器充当 KILL 服务器 至少还有另外一台服务器充当 KILL 策略代理服务器和内容重分发服务器 报警管理器应在 KILL 服务器上 中规模500 5000 可能有一个地点或多个地点 一些组织甚至超出国界 建议使用一个 KILL 服务器 CA JInchen Software Co Ltd 整体安全解决方案 27 其它策略代理服务器和重新分发服务器分布在各个地区本地 以在一个集中 的位置维护数据 这可确对组织中的数据有更好的整体视图和管理 大规模 5000 全国性公司或跨国公司 企业内有各种事业部 它们都有自己的广域网 WAN 建议确定将网络中心或中间位置作为执行区域性分发策略和更新的节点 可以将一个或多个服务器确定为重新分发的点 用于本地或靠近网络中心位 置的客户端 而不是与中央数据中心通讯 以确保网络通讯效率 3 1 4典型部署典型部署 局域网部署局域网部署 Windows 应用环境应用环境 Windows 是防病毒系统应用最为广泛的场景 此种环境下 部署 KILL 防病毒系统非常简单 首先 准备一台专门的 PC 或服务器安装 KILL 服务器 包括 KILL 服务器 重分发服务器 如果计划执行远程安装 还需要安装 远程安装实用工具 然后 在所有 Windows 客户端分 别安装 KILL 代理 通过适当配置后即可投入工作 Windows 环境下对 KILL 的安装部署图示如下 群件系统 群件系统 Exchange Notes 应用环境 应用环境 KILL 防病毒系统还支持 MS Exchange 或 Lotus Notes Domino 系统 此种环境下 安装相应 的 KILL 插件后即可对邮件服务器进行实时的病毒查杀 MS Exchange 环境下对 KILL 的安装部署图示如下 同样适用于 Lotus Notes Domino 系统 CA JInchen Software Co Ltd 整体安全解决方案 28 远程分布式部署远程分布式部署 对于大型分级部署 需设立多个 KILL 服务器 并且应安装一个或多个重新分发服务器 重 新分发服务器可从冠群金辰公司内容更新服务器上查找更新 并将它们提供给其它客户端计