病毒防范系统解决论文 病毒防护系统_第1页
病毒防范系统解决论文 病毒防护系统_第2页
病毒防范系统解决论文 病毒防护系统_第3页
病毒防范系统解决论文 病毒防护系统_第4页
病毒防范系统解决论文 病毒防护系统_第5页
已阅读5页,还剩27页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、1 病毒防护问题分析随着计算机技术应用的普及,各个企业的运行越来越依赖和离不开计算机,各种业务的运行架构于现代化的网络环境中。保证各种业务系统和工作的正常、可靠和安全地进行是信息系统工作的一个重要话题。由于计算机系统的安全威胁,给企业带来了重大的经济损失,这种损失可分为直接损失和间接损失;直接损失是由此而带来的经济损失,间接损失是由于安全而导致工作效率降低、机密情报数据泄露、系统不正常、修复系统而导致工作无法进行等。间接损失往往是很难以数字来衡量的,而且是巨大的。在所有计算机安全威胁中,计算机病毒是最为严重的,它往往是发生的频率高、损失大、潜伏性强、覆盖面广。计算机病毒直接涉及到每一个计算机使

2、用人员,是每一个使用人员经常会碰到和感到头痛的事。计算机病毒事实上是一种计算机程序,具有可自我复制性、传染性、潜伏性、破坏性等。目前存在的病毒表现有很多特点:病毒种类越来越多、危害性越来越强、传染速度快和感染方式多、发展和增长速度快、病毒传染源多、病毒变种多和速度快。病毒种类可以按不同的标准来分。根据病毒所运行的操作系统环境分,有运行于dos、win3.x、win95、win98、nt workstation、nt服务器、novell和unix操作系统的病毒;按照运行环境有单机病毒、群件环境(如lotus notes和ms exchange等)和服务器下的病毒;按照受感染的载体不同有操作系统病

3、毒、执行文件病毒、宏病毒、activex/java applet病毒等;按照传染方式分软盘病毒、光盘病毒、internet病毒(包括email病毒、http病毒)等;按照病毒的创作过程来分有单一病毒、变体病毒和混合病毒。随着internet技术和信息技术的发展,病毒的种类越来越多,这样对病毒防护系统提出了新的挑战,要求病毒防护系统能适合于各种操作系统、各种运行环境和防护各种类型的病毒。病毒的危害性有各种各样的表现,从cih病毒对主板和硬盘的破坏到bo病毒对主机信息的泄露;从explore病毒对文件系统的破坏到各种宏病毒对文档的破坏和感染;所有这些都只是病毒破坏的一些表现。总体来讲,病毒的破坏有

4、:直接对主板和硬盘破坏;破坏文件系统和文件;浪费和占用系统资源(如cpu和硬盘),导致系统性能、速度降低;泄露主机信息,向外发送主机的相关信息,或者被远程控制端控制和留有后门,随时可以由远程进入和控制;一些善意的病毒往往发送一些问候消息,也有一些病毒开一些玩笑。病毒破坏的表现多种多样,但是结果是一样的,都会直接或间接地破坏系统、浪费资源,从而浪费生产力,降低效率和信息系统的利用率。由于internet技术及信息技术的普及和发展,病毒的传染速度越来越快。在internet发展以前,所有病毒都是通过磁盘的拷贝来传染的,这时病毒的传染速度比较慢,病毒表现出存在一定的国界。但是,internet的发展

5、使的病毒没有国界,5分钟以前在美国发现的病毒,有可能在5分钟之后,就到了国内;依赖于internet,病毒可以通过邮件、http/ftp等实时的方式感染到企业内部。另外,在企业内部的群件系统和办公自动化、工作流系统的使用(如notes、exchange),使的病毒在企业内部的传染速度加快,各个员工在共享信息的同时,有可能共享病毒;同时,在群件环境中,部分机器的防病毒能力弱,会导致整个系统弱的防病毒能力;这样就要求整个企业防病毒系统的防病毒能力的一致性。一个和internet相连的企业,最主要的病毒入口就是internet,主要的传染方式是群件系统;控制internet 入口处的病毒侵入,就抑制

6、了最主要的病毒源;好的群件系统防病毒,将病毒的传染域隔离到孤立的某一台机器,这样病毒的破坏就会控制到最小范围。如图 1所示典型企业的病毒源和传染途径。 图 1 病毒源和传染示意图由于internet的发展和信息共享程度的增强,人们可以从internet上浏览到大量的丰富的信息,其中在internet上有大量的关于病毒的信息,包括:典型病毒的原理解释、病毒源代码、病毒工具库、病毒编写教程等,人们可以很容易从网上得到这些信息,利用这些信息可以产生新的病毒;另外宏语言的发展,简化了病毒编写的复杂性,程序员可以利用各种宏语言编写出具有危害性的宏病毒;java和activex技术的发展,也简化了病毒的编

7、写,增加了病毒的种类。目前,每月都会有300种新的病毒出现。病毒的飞速发展要求防病毒系统也要相应地发展,病毒和防病毒是一个动态的发展过程;对于构建防病毒系统,自升级能力是一个重要的指标;只有自我加强的防病毒系统才能保证对新出现病毒的免疫。另外,一个企业内防病毒系统的一致性和完整性是避免病毒防御系统漏洞的重要的一个方面。 在大的企业里,为了保证防病毒系统的一致性、完整性和自升级能力,必须有一个完善的病毒防护管理体系,负责病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个企业范围内病毒防护体系的一致性和完整性。nai是全球反病毒解决方案的领导者,它提供了一套现成的解决方案,

8、即mcafee active virus defense 套件(简称avd)。作为全面管理和维护网络安全方案的重要组件,avd在一个集中控制的软件包里为您提供一套反病毒解决方案,使企业范围的防病毒管理成为现实。具体说,avd可以在每个进入点抵御病毒和恶意小程序的入侵,保护网络中的pc机、服务器和internet网关。同时它也是一个功能强大的管理工具,可以自动进行文件更新,使管理和服务作业合理化,并可用来从控制中心管理企业范围的反病毒安全机制,生成详尽的病毒情况报告。avd的目标是:从桌面到整个企业系统,优化系统性能、解决及预防问题、处理管理事物和执行正常的管理工作、保护公司资产免受攻击和危害、

9、降低企业成本并提高用户和企业生产率。2 方案设计原则和特点2.1 方案设计原则1. 技术和产品的成熟性充分考虑防病毒产品本身和技术上的成熟性。选择在国际上广泛使用的产品和技术,具有一定的参照性。nai的mcafee avd正是成熟而且经受大量考验的防病毒产品,在国际上很多企业在使用。2. 满足需求为第一针对 某某的具体应用情况,建立满足需求的病毒防护系统。3. 高可用性的企业级管理结构 由于计算机及网络技术的发展,现代化的网络计算环境日趋复杂,既有大量服务器与桌面pc组成的局域网络,又有各层机构互相连接的远程环境,这就要求在这种环境中使用的反病毒管理方案必须具有很高的可用性,包括对大量客户的支

10、持、对网络带宽的合理使用、支持多种多样的网络环境等。nai的avd产品采用了最新的epo管理模型,支持单点管理多达100000的用户数量,真正做到高可用性的企业级管理结构。4. 先进性由于防病毒领域是一个动态的发展过程,必须要求今天的防病毒系统能接受明天病毒的挑战,nai的avd采用了独特的启发式技术,可以检测病毒变体和未知病毒,在下一代产品中,新的专利技术可以让用户自动地分离新的病毒。5. 扩展性和可升级性可升级能力是衡量防病毒系统是否具有生命力的重要指标。avd实现机制将病毒样本文件和引擎分离,并从internet上直接向用户推送新的病毒样本文件,保证企业的防病毒系统和nai公司保持一致。

11、同时,avd的管理能力和所包含的组件在功能、性能上都在向前发展。6. 易用性在一个大的企业,计算机使用人员层次差别非常大,而且大部分的使用人员并非计算机专业人员,这就要求每一个工具,都必须简单易用,自动化程度高,最好无须用户干预。而avd中的virusscan自动对病毒实时检测、清除和报告,简化了使用的复杂度。7. 与其他企业级软件的整合性企业运算环境中使用了大量企业级软件,多种软件是否能够很好的协同工作对整个企业的网络管理非常重要。nai的avd与microsoft sms,ibm tivoli等网管平台充分兼容,能够充分保障用户投资,保障用户利益。8. 跨平台和操作系统 防病毒软件基本要覆

12、盖已有各种机器和操作系统,在某某有microsoft win 3.1/win 95/98/nt/2000等产品、os2、各种unix、novell等。这些机器都可能是潜在的病毒传染源,nai的avd产品能够很好的覆盖这些所有的操作系统,做出最佳最及时的防护。2.2 病毒防护系统的特点2.2.1 多层次、多入口的立体病毒防范体系随着分布式网络计算、文档驻留宏、群件等新技术的出现以及internet 的广泛采用,网络的脆弱性成倍增加,保护计算机网络已不再是简单的在客户机上安装桌面病毒扫描程序就可以解决的问题了,建立一套完善多级的病毒防护系统非常必要。avd提供了桌面、服务器和internet网关的

13、单一集成的防病毒系统 ,对所有潜在的病毒进入点实行全面保护。2.2.2 完善的管理体系中央控制台集中配置与管理模式,使企业更加高效,更易管理。简化了管理人员的负担,同时保证企业防病毒系统的一致性。 nai的avd中的epo(epolicy orchestrator)彻底改变了过去企业级的反病毒软件只有病毒库与策略更新而缺乏管理的情况,把所有用户计算机的管理、反病毒软件的安装与卸载、反病毒更新与策略和病毒疫情的报告全部有序的组织在epo console 界面之中。管理员通过合理运用epo ,就能够彻底把病毒抵御于整个网络之外。2.2.3 100的病毒检测率包括多达47,000多种的病毒样本特征库

14、加上获奖产品hunter扫描引擎使得avd及其组件在vsum、 virus bulletin 、secure computing 、ncsa等多所独立测试机构的重复检测中获得100测试率,启发式技术迅速检测新病毒。2.2.4 独特的病毒更新技术当更新信息从实验室发布时,nai惊人的企业“推送”(securecast)技术立即将其送达系统管理员。通过自动更新(autoupdate),桌面pc和服务器按计划从指定的中央服务器上提取更新信息使自己保持为更新状态。在发生紧急病毒疫情时,管理员可以通过采用最新的epolicy orchestrator直接把病毒更新信息发布到所有用户,避免因为自动更新策略

15、引起的更新不及时。avd的强大的病毒更新技术还体现在对反病毒引擎的自动更新上:如今的病毒技术日趋复杂,每天都有数十种新的病毒被制造出来,一些采用新颖原理的病毒无法通过仅仅升级病毒库来进行检测与清楚。nai的avd提供了病毒检测与清除引擎软件核心模块的自动升级,真正做到彻底保护整个企业环境。2.2.5 与notes/exchange等群件系统紧密结合notes防病毒和notes数据库无缝地集成到一起,notes防病毒的控制通过notes 应用程序来完成,所有隔离出来的病毒都存放到notes数据库中,可以用数据库的操作方式来对病毒感染进行统计、分析和报告。同时avd groupshield也能无缝

16、整合到exchange,通过exchange administration console能够进行对全部用户邮件的防病毒管理控制。2.2.6 动态的防病毒系统通过病毒特征样本文件的自动更新,整个企业内的防病毒系统具有动态防御能力,能够防御新发现的病毒和目前未知的病毒。随着样本文件和引擎的升级,防病毒能力逐步加强。2.3 建立防病毒系统主要考虑内容l 控制传染源l 控制传染途径l 简化企业防病毒体系的管理l 防病毒软件的集中分发和维护l 病毒事件的集中管理和报警l 预防胜于杀毒l 防病毒的自动化l 考虑明天的防病毒体系-升级能力l 如何考虑性能的折中3 防病毒系统总体方案3.1 某某病毒防护系统

17、的组成根据某某的网络结构和对病毒来源的分析,某某病毒防护系统由四部分组成:l internet网关级病毒防护:主要针对通过internet出口的流量,进行病毒扫描,对邮件的附件进行病毒过滤;l 服务器病毒防护:对各种服务器进行病毒扫描和清除,集中报警;l notes服务器病毒防护:对notes服务器、notes数据库等的病毒扫描和清除,和notes管理无缝地集成到一起;l 桌面病毒防护:针对各种桌面操作系统,进行病毒扫描和清除;3.2 所选产品介绍nai公司的avd套件包含了企业防病毒所需的所有组件模块,它由以下几部分组成:l 桌面防病毒产品virusscan;l 服务器防病毒产品netshi

18、eld和groupshield;l 网关防病毒产品webshield;l 企业防病毒系统网络管理中心epo(epolicy orchestrator);l internet上升级数据推送产品securecast和backweb;avd目前支持的平台如下所示。有英文和中文版本。产品平台virusscan95/98/nt/2000/3.x/mac/os2/dosnetshield2000/nt/novell/os2/unixgroupshieldnotes4.5或更高版本和exchangewindows nt, sp3epont服务器和nt工作站securecastnt/95/98webshiel

19、dfor firewall:solarissmtp:nt和solarisproxy:sun solaris3.2.1 桌面保护产品(1) 简述在防病毒策略的注意力大部分集中在保护服务器和网关上的同时,nai注意到50的病毒仍是通过软盘进入企业网络的。avd中的virusscan为所有的桌面计算机提供所能获得的、最为全面的跨平台病毒保护。virusscan还集成了一些功能强大的辅助技术,可以自动地保护系统免于崩溃和数据的意外丢失。 主要功能:l 实时病毒扫描和清除;l 定时/按命令扫描和清除;l 电子邮件病毒扫描;l activex/java恶意程序的扫描与过滤;l word/excel宏病毒的

20、扫描与清除;l internet下载扫描;l internet访问控制和过滤;l 压缩文件支持;l 设置保护;l 启发式扫描;l 企业网管理;l 配置帮助;l 自动更新;l 自动升级病毒库与病毒检测引擎;l 告警和报告;(2) virusscan virusscan是全球桌面病毒保护领域内的领先产品,可以杀灭超过47,000多种的病毒。其主要功能为:a 扫描所有子系统区域(包括软盘、引导区、文件分配表和分区表、文件夹、文件和压缩文件)以提供广泛的安全保护。b 精确清除文件、系统引导区、分区表和内存中的病毒。c 实时扫描技术可在磁盘访问、文件复制、文件创建、文件重命名、程序执行、系统启动和关闭时

21、捕获病毒。d 按需扫描可由用户自主选择,扫描位于文件、驱动器和软盘内的已知病毒。e. 阻止黑客利用java、activex小程序攻击、损坏和窃取用户的系统或资源。f. 检测和防止通过电子邮件贴件发送给用户的病毒(检测率达到100),包括检测word和excel中的宏病毒。g. 根据用户需求,拒绝某些特定web站点的访问。 viruscan可以和目前最流行的浏览器如netscape 3.x、4.x;ie4.x、5.x兼容,具有友好的用户图形界面和自动更新病毒样本文件的功能。 3.2.2 netshield服务器保护套件(1) 简述一台桌面pc感染病毒会造成一些麻烦,但若是一台服务器感染病毒,损失

22、就会多几倍以上。被感染的服务器文件成为病毒感染的源头,会迅速从桌面发展到整个网络的病毒爆发,尤其象microsoft exchange 或lotus notes这样的群件更会加快病毒的传播速度。网络病毒感染造成的员工劳动损失、数据丢失带来的成本增加以及清除病毒感染需要的费用是惊人的。因此,提供基于服务器的病毒保护已成为当务之急。nai作为企业网络安全专家的首选公司,提供了基于全球领先的反病毒技术的netshield套件。它从一个直观的控制台保护整个企业的文件、应用程序和群件服务器。netshield支持nt、netware、unix 、lotus notes、microsoft exchang

23、e等多种服务器的保护,可以方便地从本地服务器或工作站监测、配置和执行远程服务。集中化管理可以实现对警告传送的控制、问题票卷的生成和活动日志的自主选择。netshield套件提供了所能获得的最为全面的基于服务器的病毒防护。 服务器保护产品的平台支持:平台版本语言win nt 4.0,2000netshield 英文novell 4.x 5.xnetshield英文solarisnetshield英文aixnetshield英文ncrnetshield英文服务器保护产品的主要功能l 实时病毒扫描和清除;l 定时/按命令扫描和清除;l 压缩文件支持;l 启发式扫描;l 管理;l 事件查看;l 配置帮

24、助;l 报警和报告;l 性能优化;l 自动更新;l 自动升级;(2) netshield 高效、实时的检测发送给或来自于服务器的病毒感染文件,以避免它在整个网络中扩散。同时可以按需要选择立刻或定时检测,扫描贮留在文件服务器中的病毒。一旦发现,则根据管理员的需求,记录日志、删除、隔离或摈弃在防火墙以外。 netshield具有管理简便(本地监控)、检测率优异、自动保护、响应快速的特点。(3) groupshield基于microsoft exchange 和 lotus notes 群件服务器的防病毒保护解决方案。现在世界上最肆虐的iloveyou病毒和lifestages病毒都是通过电子邮件进

25、行传播,很多企业的邮件系统和办公自动化系统因为网络里拥塞了大量带有这类病毒的邮件而停止响应,而邮件用户则被困扰在大量莫名其妙的邮件中,正常的工作无法继续,因此在email服务器上建立防护与过滤病毒的屏障是十分必须和紧迫的。如同netshield 一样,groupshield 提供了强大的管理功能,控制所有文件、应用程序并执行远程服务、安装与配置。强大的集中警告功能可以通过电子邮件、打印机、寻呼机、dmi警告或网络消息,传送各种上下文相关的病毒警告给消息的寄件人、收件人和系统管理员。利用可选的snmp警告功能,可以自动地在流行的桌面帮助应用程序生成问题票卷。一旦发现病毒,可以在本地或远程的事件日

26、志里记录活动日志,或将它们保存在专门的病毒日志中。群件病毒保护支持的平台和语言:平台版本语言lotus notes 4.x 5.xgroupshield 4.5英文exchange 5.xgroupshield 4.5英文3.2.3 网关保护套件(1) 概述据国际计算机安全委员会(icsa)统计,去年企业用户感染的病毒中,有超过20的病毒与从internet上下载文件有关。此外还有26的病毒是通过电子邮件附件进入企业网络的。internet大大加快了病毒在世界范围内的传播速度并使很多公司陷于瘫痪。avd 在internet 网关上对任何一个可能的病毒进入点提供全面的病毒保护。(2) websh

27、ield smtp 该产品扫描所有入站和出站的电子邮件。webshield smtp可以支持各类电子邮件系统,例如unix上频繁使用的sendmail , qmail, netscape mail server等,可以对所有email进行病毒过滤。除了强大的反病毒功能之外,webshield smtp还提供了对内容的过滤,可以制定一些规则把包含一些不适合在企业内流转的email过滤。(3) webshield proxy 该产品为http、ftp等多个internet协议在内的通信提供病毒保护,同时扫描有恶意的java和 activex 小程序。webshield proxy 和 window

28、s nt 上的 microsoft proxy server一起运行,通过任何一个标准的 web 浏览器操作的html控制台对其进行远程管理。3.2.4 企业反病毒管理控制中心epo(epolicy orchestrator)epo(epolicy orchestrator)是nai的最新技术的体现,是企业级的反病毒系统管理控制手段。epo实现了企业内单点管理的方式,其采用ldap目录结构,可以支持多达十万个用户,满足企业环境的需要。epo代表了企业反病毒软件系统从分发中心到管理中心的飞跃, epo能够在网络上远程安装、配置、管理、升级和删除防病毒软件,通过推拉(push/pull)的先进技术

29、集中地升级网络上的防病毒软件、集中地报警检测到的病毒攻击来保护网络免受病毒破坏,还能够分组进行反病毒数据更新策略管理。epo还提供一个供企业决策的分析报告系统,可以通过这个报告系统掌握企业内病毒防护的总体情况,了解反病毒机制应用的效果。epo基于tcp/ip网络通讯协议,可以应用到非常复杂的大型网络之中。利用它,在大型网络中,减少安装和管理防病毒软件的时间,保证网络和业务运行的不间断,实现及时、有效和高效的企业范围内防病毒软件的分发,并维持整个企业防病毒软件策略和安装的一致性。epo目前能管理和分发的防病毒软件有: virusscan:支持windows 95/98、windows 3.x、w

30、indows nt/2000; netshield:支持windows nt/2000;epo管理防病毒软件时,维护一个软件库。软件库中包括各种不同版本、不同语种、不同操作系统的防病毒软件,控制台将软件库中的防病毒软件分发到需要此软件的用户的计算机中。epo由下列组件组成:管理控制台(epolicy orchestrator console):配置、管理和安装防病毒软件到防病毒域中的主机,应用、修改病毒扫描策略、产生整个防病毒的报告。管理服务器(epolicy orchestrator server):协调病毒扫描调度、接收报警;管理代理(epolicy orchestrator agent)

31、:通过调度启动病毒扫描,向管理服务器发送病毒报警;这些组件集成到一起提供防病毒域中机器的管理,每个组件都可以通过控制台来管理和配置。epo的功能:企业级管理:l 通过控制台配置和安装网络中任一计算机的防病毒软件;l 在console统一制定扫描或者病毒库与引擎更新策略,保持网络反病毒机制的一致性。l 可以针对不同部门引用不同的更新扫描策略,具有很高的灵活性。l 管理服务器协调扫描调度、接收报警;l 管理代理提供95/98或nt/2000客户端安装;l 同一软件库中,不同语种的防病毒软件共存,可以任选所需的语种版本;l 软件安装报告及时了解整个网络中反病毒软件安装范围与进度。l 病毒扫描报告给出

32、指定机器在一定时间内病毒报警的次数;l 灵活的扫描调度;自动分发管理:l 大规模、快速分发防病毒软件到网络中的任一主机;l 增强的批处理安装,使桌面用户、笔记本用户在登录时启动软件升级过程,快速软件安装和升级;l 通过软件库连结,实现软件库之间的软件分发,减少广域网wan的流量;及时检测和通知:l 按访问(on-access)病毒扫描,提供在文件访问、建立、拷贝、更名、运行、磁盘访问、系统启动和系统关机时对已知和未知病毒的实时识别;l 按需(on-demand)病毒扫描,提供对已知的引导区、文件、宏、加密、变体病毒等在文件、驱动器和磁盘感染的检测;l 病毒管理提供集中的病毒通知,通知方式有:数

33、字寻呼、smtp邮件、snmp消息、dmi报警、声音报警、网络广播、程序执行和nt事件记录;生成报告 通过 avi 引擎可以针对病毒清除情况,病毒检测周期,子网计算机地址等数十项指标进行多维的统计并生成相应的报告。 生成二/三维的图形示例,具有很好的友好性。 生成历史记录进行不同阶段的比对,以便发现和挖掘问题。计算机信息收集工具 收集安装了反病毒软件的计算机的系统信息,以便顺利排除故障。3.2.5 internet上病毒样本数据推送securecastsecurecast是nai公司独特的internet上数据推送技术,它将最新的病毒特征样本文件、病毒相关的消息和更新后的avd软件主动推送到企

34、业的主机上,从而保证一旦有新的病毒发现或有新的病毒消息,企业的防病毒系统和nai公司的最新病毒研究成果保持一致,使企业的防病毒系统保持最新的防病毒能力,保证病毒防护系统的动态抵御能力。对于防病毒系统,保证系统对不断的升级能力是非常重要的,nai公司的产品就是利用securecast实现这一点的。securecast安装在windows nt平台。backweb是nai公司另一个internet/intranet推送工具,可以把最新的病毒库更新信息和新病毒警告等推送给pc 用户。backweb可以被安装在windows 95/98/nt/2000平台。总体结构某某辖域范围广,所用计算机软件、及操

35、作系统种类多,涉及各种unix、os2、windows 95/98/nt/3.x、notes和novell等。nai的avd覆盖了某某的防病毒需求,根据某某的防病毒需求、网络结构和nai avd的特征,我们构建一个多层次、多入口的立体病毒防护体系。如图 2所示图 2 立体病毒防范示意图病毒防护系统考虑internet网关邮件病毒过滤、服务器病毒防范和传染控制、各种桌面的病毒防护、防病毒系统管理和防病毒系统的升级。整个病毒防护系统的层次和防范体系如下图所示。在总的internet统一出口处,安装internet网关病毒防护系统,过滤从internet来的病毒,控制internet病毒源。该部分由

36、webshield e-ppliance100实现。在网管vlan中安装防病毒网管、管理服务器、报警管理,对其它vlan的计算机进行管理,同时在notes服务器上安装防病毒软件groupshield for notes。各分支机构安装防病毒网管、管理服务器、报警管理,同时在notes服务器上安装防病毒软件groupshield for notes。总部和各分支机构组建防病毒域和防病毒软件库。总部和分支机构的防病毒软件库构成层次关系,使各分支机构本地的防病毒软件升级在本地完成,减少广域网的流量;分支机构的软件库及其病毒升级数据由总部得到,并不需要都从internet上得到。总部和各分支机构的管理

37、服务器和网管负责所辖范围的防病毒软件的配置、安装和事件管理,整个防病毒系统由分层的自治域组成,同时又构成上下级层次关系。各级行负责自己所辖域的防病毒软件的分发、管理、配置、安装和升级数据的提供,集中收集所辖域的病毒报警事件,汇总病毒扫描报告和状态,维护所辖域防病毒软件的一致性和动态防御能力。防病毒解决方案的总体结构3.3 notes防病毒系统3.3.1 环境notes作为某某办公自动化的基础软件平台,在某某办公自动化系统的构建中起着举足轻重的作用。也就是说,为了建立某某办公自动化系统的防病毒体系,需要首先进行notes结构分析,以建立以notes为核心的信息传递平台的防病毒体系。与传统的事务处

38、理不同,基于群件的办公自动化系统关注的是“用户桌面办公前端”作业,也就是工作流。相对于后端的事务处理,前端作业没有固定的处理模式和处理方法,甚至没有固定的数据范围和结构。lotus domino/notes 是一个结合了企业级电子邮件、分布式复合文档数据库和快速应用开发平台三位一体的群件系统。对上,lotus domino/notes可以集成各种不同的应用(如一些桌面办公软件和电子邮件系统);对下,它又可以屏蔽不同操作系统和网络通讯协议的不同特征给应用带来的不便。总体来说,domino/notes应该属于一类中间件产品。作为一个出色的网络和通讯产品,lotus domino/notes产品的定

39、位是在网络平台以上的,甚至包括了一些应用,所以它应处在会话层一直到应用层这一部分。总部的oa系统中,总部和各分支机构都各设有一台群件/邮件服务器,一台备份群件/邮件服务器,一台传真服务器,一台notes document imaging。同时,总部还配备了一台notes服务器,用于整个notes域与internet的smtp电子邮件通讯。3.3.2 产品利用nai的groupshield for notes来解决notes的防病毒,groupshield for notes是专门针对notes数据库的强大的群件防病毒解决方案,它具有如下特点:l 连续监控和保护notes网络免受notes邮件所

40、携带的病毒和恶意程序的攻击;它实时地检测和隔离通过notes网络的病毒;l groupshield for notes允许主动对notes网络进行病毒扫描,可以检测所有已知病毒、notes程序攻击和未知的病毒变体;当检测到时,可以清除、记录、隔离带病毒的附件,避免扩散到其他notes应用和notes邮件;l notes的病毒隔离区是notes数据库,它是所有检测到病毒的仓库;notes管理员可以从数据库中分析、跟踪新的或未知病毒源,简化notes环境的病毒检测; groupshield 分为两个部分,服务器部分作为一个notes应用运行在notes服务器内,管理端产品作为一个客户端产品运行在n

41、otes 客户端。 可以配置groupshield for notes扫描所有notes 数据库访问或部分支机构为;同样,它可以扫描所有附件或指定类型的附件。病毒扫描可以按on-demand或予设的任务计划来进行。groupshield 采用nai最新的病毒扫描引擎,对boot区病毒、文件病毒、宏病毒、变形病毒、木马程序等进行高效扫描(47000种以上已知病毒),支持对压缩文件的实时扫描(.zip, .cab, uuencode, lzexe, lha/lzh, pklite),同时针对未知病毒支持启发式扫描。 当发现病毒时,可以清除病毒、拷贝感染文件到病毒隔离区、删除感染文件。groupsh

42、ield可以通知用户病毒感染,进行病毒数据和自身的升级。实时病毒扫描原理如图所示:图notes实时病毒扫描 通常的notes server转发邮件如上图右边所示,外部或内部的邮件进入notes server的mailbox以后传递给server中的邮件转发器router,router判断后,将内部邮件发往内部的邮箱,将外部邮件发往outbox,然后发往其它notes服务器或internet。 在安装上groupshield(for notes)后,形成了notesnwall server,如上图左边框所示,所有的邮件通过groupshield的组件nwall进行病毒的检测和清除,邮件的流程发生

43、了变化:外部进来的邮件先通过notesnwall server的router将对内的邮件发到inbox,再发往nwall进行病毒的检测和清除,再发到notes server的mailbox,出去的邮件也先到nwall然后再到mailbox,再到notesnwall server的router进行分发。这样,就在notes server上形成一道屏障,检测并拦截病毒。groupshield 使用多线程技术和可设定的cpu优先级管理,以提供目前最高效的实时病毒扫描和清除。groupshield for notes有三种安装方式:l 标准安装l 安装到多分区服务器l 远程安装groupshield

44、for notes的所有配置操作都通过主控制台来完成,主控制台作为notes的一个应用程序,是groupshield for notes的主要控制和访问界面。groupshield for notes的病毒扫描分三种操作:l on-access monitor:自动扫描notes数据库记录;可以指定对notes网络中的邮件及附件、数据库读、数据写;l on-demand task:按照予设的任务来进行病毒扫描;用户可以设定多个任务,完成不同的扫描任务;l 按命令即时扫描,对指定的notes数据库进行扫描;groupshield 除了支持以上扫描、清除、处理功能外,还提供强大的系统管理功能:(1

45、) 集中配置和管理。从一个notes客户端可进行服务器参数设置,启动扫描命令,设定定期扫描计划。(2) 集中管理多台groupshield 的扫描和工作报告。groupshield 的报告内容包含病毒事件的时间、病毒名称、感染文件或数据库、机器、发件人和收件人。告警方式支持nai的alert manager(9种告警方式,如电子邮件、notes邮件、snmp、pager等)(3) 按病毒、时间等设定的日志过滤功能使管理员能够分析、跟踪相关的病毒感染事件。(4) 集中控制病毒特征和软件的定期更新和升级。(5) 远程安装。groupshield for notes包含丰富的统计和报告功能:l 服务

46、器状态:给出groupshield的活动信息;l 扫描状态:给出最近扫描的信息;l 统计信息:给出已扫描文件的统计信息;groupshield for notes在扫描病毒时,可以设定可占用的cpu资源,可用的cpu资源分为5个不同的等级。同时groupshield可以实现增量扫描,只扫描上次扫描以来存储的文档,这样提高病毒的扫描效率。groupshield for notes具有集中日志记录和病毒告警功能,病毒告警可以email到指定的email帐号,管理员可以看到所有范围的病毒事件。groupshield for notes的自动升级有以下三种方式:l 本地服务器;l 远程计算机;l no

47、tes数据库;3.3.3 部署方式 notes 病毒防护系统将保证病毒不同通过notes的电子邮件传播,并且不能进入notes数据库;保证从internet发来的电子邮件不能携带病毒进入notes服务器。同时,notes病毒防护体系还将保证运行notes服务器的nt服务器不接受和发送病毒。 在nt服务器上安装 netshield 在每台nt服务器上安装netshield,为了提高系统工作效率,可首先对nt服务器进行扫描,然后设定 netshield 定期(非工作时间对服务器进行扫描),平时将实时病毒扫描功能屏蔽。netshield的主要特征可参考服务器病毒防护体系中的说明。3.3

48、.3.2 在notes服务器上安装groupshieldnotes服务器上的groupshield 作为notes的服务器应用,实时监视往来邮件的数据。一旦发现邮件中包含病毒,将实时清除病毒,并通知网管员、发件人和收件人。groupshield 将配置为实时监视对设定的notes数据的修改操作,一旦发现写入notes数据库的文件包含病毒,将实时清除病毒并告警。总部和各分支机构的所有notes服务器将全部安装groupshield,安装方法可选择:(1) 本地安装。(2) 远程安装。3.3.4 管理模式groupshield支持灵活的管理模式。通过设置适当的权限,总部可对整个notes域内的所有

49、groupshield server 进行管理。总部的管理工作包含:(1) 缺省配置管理。(2) 定时扫描管理。(3) 自动升级管理。(4) 报告和事件分析。(5) 远程启动扫描。总部可同时对本行的groupshield 进行全面管理。也可对各分支机构groupshield 进行管理。3.4 防病毒系统的运行整个防病毒系统除了管理工作以外的就是对病毒的扫描和清除。病毒扫描程序的运行分为四种方式:l 访问时触发扫描(on-access):当系统在读、写、执行文件、拷贝、磁盘访问、系统关机、系统启动等时自动触发运行病毒扫描程序,扫描文件系统和操作系统,一旦发现病毒,给出报警;这是对系统的实时检测;

50、l 按要求扫描(on-demand):按照用户要求,在指定的时间内自动扫描系统、文件系统、磁盘;l 手工扫描(scan):手工启动病毒扫描程序,对系统进行扫描;l 屏幕保护方式扫描(screensaver):当系统在空闲时,触发屏幕保护程序,自动开始对系统进行扫描; 四种方式互相补充,构成对病毒扫描频率的互补。on-access扫描,保证对系统、文件系统的每次都正常进行,避免由于文件系统的操作,感染病毒。但是on-access并不能覆盖所有的文件系统,使的潜伏的病毒难以发现,这时用on-demand扫描定时对整个系统或部分扫描,这种扫描一般频率比较低,和高频率的on-access扫描构成互补。

51、这两种方式都是自动运行的。手工扫描作为一种补充手段可以彻底地对系统进行完全的扫描,也可以对有嫌疑的文件目录进行扫描,然后将病毒清除掉。屏幕保护方式扫描,利用系统的空闲时间,时刻读系统进行防病毒保护。各种扫描方式都有详细的日志信息,供管理人员进行病毒审计使用;同时,根据报警策略,给出相应的报警方式和结构。3.5 防病毒系统的管理结构 和某某的网络结构相对应,防病毒系统的管理也构成层次型的结构,如图 3所示。防病毒系统是按照防病毒组来管理的。防病毒域是由一组机器组成,通过防病毒管理控制台对域中机器进行集中的防病毒软件安装、配置、扫描调度、告警报告产生;并维护一个防病毒软件库,防病毒软件库中包含了管

52、理控制台可以分发、配置、安装等的防病毒软件的不同版本、语种和平台。利用管理控制台,在一个集中的界面下,对所辖防病毒域的机器安装防病毒域软件、卸载防病毒软件、配置和修改防病毒软件,这些所有操作简化了最终用户使用防病毒软件的复杂性,同时使管理对所辖范围的病毒感染情况和反病毒情况有一个集中的了解,利用这些数据再制定所辖组的防病毒策略。图 3 防病毒的管理结构病毒管理控制台和被管理的机器的关系如图 4所示。图 4 管理服务器和域成员之间的关系3.6 internet网关的防病毒体系3.6.1 产品概述nai 为internet 网关提供了三种产品,以适应不同的网络和应用环境。三种产品均为实时扫描、清除

53、和告警系统,并且支持多种压缩文件格式。 websheild for firewall websheild for firewall 使用internet的内容向量协议(cvp),支持主要的防火墙产品(如gauntlet, checkpoint等)。webshield for firewall 能够实时扫描通过http, ftp, smtp的数据流传播的病毒。webshield for firewall 运行在solaris 平台上,可通过远端的java 软件进行有效管理。websheild for proxywebshield for proxy 专门为microsoft proxy serv

54、er 设计,主要用于中小企业的网络防毒体系。webshield for proxy 能够实时扫描通过http, ftp, smtp 的数据流传播的病毒。webshield for proxy 运行在microsoft windows nt 4.0平台上。webshield for smtpwebshield for smtp 是为internet 电子邮件设计的实时病毒防护系统,能够透明地接入网络。nai公司现推出新型webshield for smtp产品,webshield e-ppliance100系列产品。webshield e-ppliance100除了能够实现实时扫描47000种以

55、上的各种病毒外,还提供了增强的邮件管理功能:(1) 限制邮件地址,可阻止指定域邮件不可送达(双向)(2) 限制最大邮件长度。(3) 阻止mail spam。(4) 按关键字记录和过滤邮件。webshield e-ppliance100的最突出特征在于:(1) 多线程设计基础上的高吞吐量,支持1000/hour 以上的电子邮件传输。(2) 易于部署,仅需修改域名服务系统(dns)中的mx记录。(3) 增加系统安全,通过部署webshield e-ppliance100 可隔离电子邮件服务器与外部邮件服务器的直接通讯。3.6.2 某某的internet服务病毒防护体系某某目前在总部集中出口到int

56、ernet,某某的internet服务病毒防护体系需要实时扫描通过ftp、http和smtp的病毒传输。针对目前的应用情况,并考虑未来发展,我们考虑推荐以下方案:使用两台webshield e-ppliance100服务器,作为总部电子邮件的前置服务器,实时对smtp数据进行扫描过滤。原因如下:(1) 通过电子邮件是目前最快的病毒传播途径(主要是宏病毒)。(2) 增加webshield smtp对系统的改动很小。(3) webshield smtp除了可以访病毒外,还能够抵御通过电子邮件进行的攻击,如限制邮件大小、阻止指定的邮件通讯、防mail-spam、隔离邮件服务器等。(4) webshi

57、eld smtp 能够记录敏感邮件(邮件头和内容),用户可指定监控的关键字。(5) 使用两台webshield e-ppliance100服务器可以增加电子邮件系统的可靠性。3.6.3 涉及到分支机构的部署l 各分支机构目前不能够与internet直接通讯。l 各分支机构之间除办公系统外的电子邮件均使用 smtp。l ftp均在行内进行。l 行内电子邮件系统是目前除了notes外传播病毒的主要途径(主要是宏病毒) ,因此,各分支机构可考虑部署一台webshield e-ppliance100服务器。3.6.4 配置示意和工作原理在internet 病毒防护体系中使用的主要产品为webshield smtp和webshield firewall。webshield 利用ietf的域名服务中的mx记录,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论