赛门铁克企业网络防病毒解决方案

1、.wd.wd.wd.赛门铁克企业网络防病毒解决方案目 录 TOC o 1-6 目录 PAGEREF _Toc492899939 h 1第一章企业网络防病毒因考虑的因素 PAGEREF _Toc492899940 h 31.1 企业防病毒自我评估 PAGEREF _Toc492899941 h 31.2 企业网络防病毒解决方案考虑的几个因素 PAGEREF _Toc492899942 h 3第二章赛门铁克企业网络防病毒方案介绍 PAGEREF _Toc492899943 h 52.1 赛门铁克企业网络防病毒解决方案整体概述 PAGEREF _Toc492899944 h 52.2 从总体角度来看

2、 PAGEREF _Toc492899945 h 62.2.1完整性和层次性： PAGEREF _Toc492899946 h 62.2.2集中有效的管理： PAGEREF _Toc492899947 h 72.2.3强制执行的策略： PAGEREF _Toc492899948 h 82.2.4病毒定义码和扫描引擎的升级、更新： PAGEREF _Toc492899949 h 82.2.5统一性： PAGEREF _Toc492899950 h 92.2.6快速和及时性： PAGEREF _Toc492899951 h 92.2.7持续性： PAGEREF _Toc492899952 h 92

3、.2.8本地支持： PAGEREF _Toc492899953 h 92.2.9强大的技术支持响应中心赛门铁克防病毒研究中心SARC PAGEREF _Toc492899954 h 102.2.10基于Web的客户端安装 PAGEREF _Toc492899955 h 102.3 从细节来看 PAGEREF _Toc492899956 h 11第三章 XXX电力公司网络防病毒解决方案 PAGEREF _Toc492899957 h 1231 XXX公司网络防病毒需求分析 PAGEREF _Toc492899958 h 1232 XXX公司内联网网络防病毒总体方案 PAGEREF _Toc492

4、899959 h 133.2.1 XXX公司内联网网络防病毒的管理模式和防病毒策略 PAGEREF _Toc492899960 h 133.2.2 XXX公司内联网网络病毒定义码和扫描引擎的更新升级方式 PAGEREF _Toc492899961 h 1433 总公司、各分公司局域网网络防病毒解决方案 PAGEREF _Toc492899962 h 153.3.1 总公司、各分公司局域网网络防病毒的管理模式 PAGEREF _Toc492899963 h 153.3.2 为总公司、各分公司局域网定义网络防病毒组 PAGEREF _Toc492899964 h 163.3.3 总公司、各分公司域

5、网网络防病毒构造和防病毒软件安装 PAGEREF _Toc492899965 h 16 总公司、各分公司局域网网络防病毒构造 PAGEREF _Toc492899966 h 16 为总公司、各分公司局域网安装防病毒产品 PAGEREF _Toc492899967 h 171.为总公司、各分公司局域网内服务器端安装防病毒软件 PAGEREF _Toc492899968 h 172.为总公司、各分公司局域网内客户端安装防病毒软件 PAGEREF _Toc492899969 h 183.3.4 总公司、各分公司局域网内部病毒定义码和扫描引擎升级方式 PAGEREF _Toc492899970 h 1

6、93.3.5 制定相应的管理制度 PAGEREF _Toc492899971 h 21附录一. 病毒概述 PAGEREF _Toc492899972 h 23一什么是计算机病毒 PAGEREF _Toc492899973 h 23二计算机病毒分类 PAGEREF _Toc492899974 h 23三计算机病毒成长最新动态 PAGEREF _Toc492899975 h 24附录二. 赛门铁克企业网络防病毒解决方案的特点和优势 PAGEREF _Toc492899976 h 25一. 先进的防病毒技术 PAGEREF _Toc492899977 h 251. Autoprotect (自动防护

7、) PAGEREF _Toc492899978 h 252. Bloodhound侦探启发式扫描技术 PAGEREF _Toc492899979 h 263. 神经网络技术可检测和修复引导型未知病毒 PAGEREF _Toc492899980 h 264. 宏病毒自动分析修复技术 PAGEREF _Toc492899981 h 265. Striker32打击技术 PAGEREF _Toc492899982 h 266. MVP防止宏病毒技术 PAGEREF _Toc492899983 h 27二. 迅速、方便、模块化的升级 PAGEREF _Toc492899984 h 271. 病毒定义码

8、与扫描引擎 PAGEREF _Toc492899985 h 272. NAV 模块化升级技术NAVEX PAGEREF _Toc492899986 h 283. LiveUpdate叠加式实时更新 PAGEREF _Toc492899987 h 294. 免重新启动式更新 PAGEREF _Toc492899988 h 30三. 简单高效的集中管理策略 PAGEREF _Toc492899989 h 30四. 强大的技术支持响应中心赛门铁克防病毒研究中心SARC PAGEREF _Toc492899990 h 31五. 基于Web的客户端安装 PAGEREF _Toc492899991 h 3

9、2附录三. 赛门铁克企业网络防病毒产品介绍 PAGEREF _Toc492899992 h 33一、Norton AntiVirus 2.0 for Lotus Notes/Domino for AIX, OS/400.OS/390,Solaris PAGEREF _Toc492899993 h 33二、Norton AntiVirus for FireWall 1.5 PAGEREF _Toc492899994 h 36三、Norton AntiVirus for Gateway PAGEREF _Toc492899995 h 39四、Norton AntiVirus for Windows

10、 NT PAGEREF _Toc492899996 h 41附录四.赛门铁克防病毒产品用户 PAGEREF _Toc492899997 h 43一.银行的主要用户 PAGEREF _Toc492899998 h 43二.中国国内的主要客户 PAGEREF _Toc492899999 h 441. 政府机关 PAGEREF _Toc492900000 h 442.全球大客户 PAGEREF _Toc492900001 h 44附录五.赛门铁克公司简 PAGEREF _Toc492900002 h 451赛门铁克公司产品系列 PAGEREF _Toc492900003 h 452公司组织构造 PA

11、GEREF _Toc492900004 h 46附录六.赛门铁克标准服务与技术支持 PAGEREF _Toc492900005 h 481 注册您的赛门铁克产品 PAGEREF _Toc492900006 h 482 免费升级 PAGEREF _Toc492900007 h 483 LiveUpdate电子邮件服务 PAGEREF _Toc492900008 h 484 升级保险 PAGEREF _Toc492900009 h 485 产品續購 PAGEREF _Toc492900010 h 496 技术支持 PAGEREF _Toc492900011 h 497 联机支持 PAGEREF _

12、Toc492900012 h 508自动 回复系统 PAGEREF _Toc492900013 h 509 对旧版本的支持 PAGEREF _Toc492900014 h 5110 对终止版本的技术支持 PAGEREF _Toc492900015 h 51附录七.培训方案 PAGEREF _Toc492900016 h 52第一章 企业网络防病毒因考虑的因素1.1 企业防病毒自我评估面对来势汹汹的计算机病毒，企业的系统管理员对自己管理的系统安全程度必须有准确的认识和判断，才能设计选择防止病毒破坏的最正确方案，承当系统安全重任。系统管理员应该考虑：1.哪些计算机正在运行实时性的防毒软件。2.病毒

13、的定义码有多新若何更新。3.哪些计算机没有运行防病毒软件。为什么没有。4.现有的防病毒软件效果和功能是否能保证系统的安全。5.过去是否曾遭受病毒的侵害。6.谁负责处理用户病毒问题。7.用人工处理一次病毒危机的花费多少。8.如果企业计算机系统一天不能运行，损失有多少。9.如果病毒发作，信息系统是否会瘫痪。10.如果系统瘫痪或重要数据丧失，恢复的难度有多大，费用有多高。其实，对于一台独立的计算机而言，防病毒软件应该是第一个必须安装的应用软件。对于一个网络系统，建设先进的全方位防病毒方案是系统安全的重要保证。1.2 企业网络防病毒解决方案考虑的几个因素在选择企业网络防毒解决方案时主要应考虑以下几个问

14、题，一个完善的企业网络防病毒解决方案应该是:一个多层次、全方位的防病毒体系，而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能，也就是说，在网络的每一个层次包括网关一级、群件服务器一级、服务器一级、客户端一级以及各种平台下都应有相应的解决方案。在这个防病毒体系中应该具有统一的、集中的、智能的和自动化的管理手段和管理工具，包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护等。 采用先进的防病毒技术，能够有效的查杀各种多态病毒和未知病毒集中和方便地进展病毒定义码和扫描引擎的更新。尤其是能否及时对扫描引擎更新尤为重要，由于在一个防病毒软件中，主要靠扫描引擎来去除

15、病毒，因此能否方便、快捷地升级扫描引擎直接影响到防病毒体系的防毒能力。 方便、全面、友好的病毒警报和报表系统管理机制病毒防护自动化服务机制客户端防病毒策略的强制定义和执行，它可以确保客户端不会因为人为因素而造成防病毒策略的更改、破坏等。合理的预算规划和低廉的总拥有成本良好的服务与强大支持时刻具有最强的防病毒能力紧急处理能力和对新病毒具有最快的响应速度。由于病毒总是先出现，因此对于这些新出现的病毒，防病毒体系是否具有足够强的紧急处理能力和快速的响应速度，从而确保在新病毒出现时，系统不受其影响，或尽量少地受其影响。第二章 赛门铁克企业网络防病毒方案介绍2.1 赛门铁克企业网络防病毒解决方案整体概述

16、Symantec提供全方位、多层次的、整体的网络防病毒解决方案.在网络构造方面：Symantec从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都有相应的防毒软件提供完整的、全面的防病毒保护，尤其是对电子邮件的防病毒，Symantec 具有最全面的解决方案，包括市场上流行的所有邮件系统如：IBM Lotus Notes/Domino(on AIX、AS/400、OS/390、SUN Soralis、NT)、MS Exchang Server以及其他的基于Unix平台下的邮件系统。在系统平台支持方面：Symantec对各种操作系统提供全面的支持，如：IBM AIX, Linux,

17、 AS/400, OS/390，SUN Solaris，Dos, Windows/3x, Windows 95/98, Windows NT Workstation/Server, Windows 2000,OS/2, NOVELL Netware, Macintosh等。在防病毒技术方面：Symantec采用各种先进的反病毒技术，尤其在对付未知病毒和多态病毒方面，采用了各种先进的技术对其进展查杀，如：启发式侦测技术Bloodhund TM,神经网络技术，打击技术Striker32和防宏病毒技术MVP等，因此NAV产品不仅能查、杀各种未知病毒，还能修复被病毒感染的文件。在防病毒软件和防病毒策略

18、管理方面：通过赛门铁克的SSCSymantec System Center赛门铁克网络防病毒解决方案企业网络防病毒提供统一的、集中的、智能的、自动化的、强制执行的有效管理方式。在病毒定义码和扫描引擎升级方面：采用模块化NAVEX的升级方式，也就是说，用户每次升级都包括最新的病毒定义码和扫描引擎.而且各种NAV产品采用的是同一套病毒定义码和扫描引擎，方便用户病毒定义码和扫描引擎的升级，同时计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机.在技术支持和服务方面：Symantec有专门的人员和机构对用户出现的问题和新病毒提供快速及时的响应，并能迅速提供相应的解决方案。对新出现病毒的响应速

19、度：Symantec对新出现的病毒具有最快的响应速度，Symantec 在全球有4个防病毒研究中心SARC，同时会在2000年在中国成立第五个防病毒研究中心，在SARC有专门的系统每时每刻主动在Internet上搜索病毒，同时把搜索来的病毒样本自动送到数字免疫系统中进展分析，产生响应的解决方案，在经过SARC的验证后公布在Symantec的网站上。由于Symantec在获取病毒样本和提出相应的解决方案这个过程全部是自动的，所以我们对新病毒有最快的响应速度，如在今年夏天出现的“爱虫病毒，Symantec 从获取病毒样本到提出相应的解决方案只有40多分钟，同时我们的解决方案会比病毒传播的更快，可以

20、把新病毒造成的危害尽量限制在最小的范围。2.2 从总体角度来看2.2.1完整性和层次性：如上所述，赛门铁克Symantec企业网络防病毒解决方案为企业的网络、系统和应用提供全面的病毒防护，总而言之，Symantec对在企业网络中任何可能感染和传播病毒的地方和途径都有相应的防护措施，同时对已感染病毒的系统进展有效的查杀。赛门铁克企业网络防病毒解决方案中涉及的防病毒产品有：Norton AntiVirus Enterprise Solution 4.0 Norton AntiVirus 7.0 Corporate Edition Norton AntiVirus 7.0 Corporate Edi

21、tion for NetWare Norton AntiVirus 2.0 for Lotus Notes/Domino(on OS/2, Windows NT, IBM AIX)/(Intel/DEC Alpha)Norton AntiVirus 2.1 for Microsoft Exchange(Intel/DEC Alpha) Norton AntiVirus 5.0 for OS/2 Norton AntiVirus 6.0 for MachintoshNorton AntiVirus 5.0 for Windows NT(DEC Alpha)Norton AntiVirus 4.0

22、 for NetWare Norton AntiVirus 1.5 for Firewalls Norton AntiVirus 2.1 for Gateways (on Windows NT, Solaris)Norton AntiVirus Plus for Tivoli Enterprise and IT Director Symantec System Center赛门铁克企业网络防病毒解决方案的层次构造：图集中有效的管理：网络各层次的防病毒产品均可以通过赛门铁克控制中心Symantec System Center (SSC)实现统一集中的管理，如防病毒软件的安装、维护

23、、病毒定义码和扫描引擎的更新升级、网络防病毒策略的配置、报警的集中管理、定时调度、隔离、实时扫描和监控等。其中防火墙、网关以及Microsoft Exchange防病毒产品，均采用基于Web的管理方式，因此可以实现远程管理，Lotus Notes/Domino 防病毒软件采用基于Notes客户端的管理，如图2.2所示:图强制执行的策略：系统管理员可以通过SSC(Symantec System Center)强制客户端执行统一设置和制定的网络防病毒策略，客户端不能改动，包括不能卸载防病毒软件。2.2.4病毒定义码和扫描引擎的升级、更新：首先Symantec防病毒产品在病毒定义码升

24、级时采用的是模块化升级技术- NAVEX技术,也就是说在每一次更新病毒定义码的时候，会同时更新NortonAntiVirus的防病毒引擎, 保证用户不需要重新安装新版本程序，通过Internet升级就可以防治新病毒。其次NAVEX技术使Norton防病毒软件的扫描引擎局部模块化，因此不同平台、不同应用下的产品的升级方式非常一致。防止了不同产品需要多种升级方式，或时某些平台可以升级，某些平台还需要等待。同样也使网络上多平台多设备的升级简单迅速。通过Symantec 的Liveupdate 可以实现叠加式更新，可以自动为用户更新最新的局部而不是全部覆盖，大大降低了用户的下载时间和系统开销，每次升级

25、的网络流量只有几百。LiveUpdate 支持专线接入、拨号上网和代理服务器的方式，同时可以在局域网设置LiveUpdate 服务器，局域网内其他服务器和客户端都可以到这台LiveUpdate服务器来获取最新的病毒定义码和扫描引擎，这样可以减少广域网的流量，减轻管理员的工作。服务器和客户端在更新病毒定义码和扫描引擎后不需要重新启动计算机。对于移动用户可以通过Symantec 的Defination Updater实现病毒定义码和扫描引擎的自动更新。可以建设内部LiveUpdate Server，在局域网中所有的防病毒服务器、客户端都可以到内部的LiveUpdate Server进展病毒定义码和

26、扫描引擎的更新，既可以方便管理员的管理工作、又可以减少由于下载病毒定义码引起的网络带宽占用。2.2.5统一性：企业可以为整个网络防病毒规划、建设及实施统一的防病毒策略，在客户端强制执行，而客户端不能更改任何防病毒策略的设置，除非得到管理员的许可。2.2.6快速和及时性：赛门铁克全球防病毒研究中心美国、欧洲、日本、澳洲、中国可以为全球用户提供服务。利用独家的数字免疫技术和病毒搜寻技术，研究中心一年365天、每天24小时在全球范围内搜索新病毒。利用扫描传送和自动化响应技术，研究中心可以承受全球用户提交的可疑文件，并快速响应用户的问题。2.2.7持续性：赛门铁克已经在中国成立了独资公司，包括售前、售

27、后、本地化等相关部门可以为用户提供长期有效和及时的服务。服务方式见附件?赛门铁克标准服务与支持?。2.2.8本地支持：赛门铁克在国内设有支持响应中心。提供的产品在Windows 95/98/NT/2000工作站，Windows NT/2000服务器，Lotus Notes/Domino Serverfor NT，Microsoft Exchangefor NT和SSC全部汉化，为简体中文版。2.2.9强大的技术支持响应中心赛门铁克防病毒研究中心SARC防病毒方案必须在最短的时间里，以最快的速度产生新的病毒定义与扫描引擎，处理变化中的病毒。赛门铁克建设了全球最大的防病毒研究中心(SARC)，在S

28、ARC,有全球计算机防病毒最具权威的专家队伍在不停的工作。专家们不连续地在世界范围内主动搜索，或收到来自用户的病毒样本。SARC能够立即开发病毒定义和修复方法，以便在网络遭病毒侵害之前，发现病毒并消除其危害。如果用户的计算机曾经受到病毒感染或感染未知病毒，SARC的技术人员将为用户开发修复途径并迅速发送给用户，同时在升级网站为全球用户提供升级。在与IBM公司结成全球防病毒联盟之后，SYMANTEC采用数字免疫系统来对抗未来的病毒，它将给全球用户提供最快、最强大的防病毒能力，对一个新的病毒样本，只需要几分钟的破解时间，使得赛门铁克对病毒有最快的响应速度。SARC分支机构普及美国、澳大利亚、日本和

29、荷兰，专注于在病毒危害用户的系统和文件之前，不连续地进展识别和抵消处理。SARC可以：提供有关计算机病毒发作方面的迅速、全球性的响应通过超前的研究和开发技术，最大限度地降低来自病毒的威胁通过环球网和BBS向广阔计算机用户提供新病毒的定义和特征，针对用户遇到的种种问题，在病毒检测和去除方面提供快速反响，并尽快取得防护措施。赛门铁克公司即将建设赛门铁克中国防病毒研究中心。赛门铁克公司已经确立了在防病毒软件市场和技术上的绝对领先优势，因此选择赛门铁克产品建设企业全方位多平台网络防毒杀毒体系，不仅可以确保系统安全运行，也最大限度地保证了用户的投资。今年赛门铁克公司在中国的天津成立了全球的第五个防病毒研

30、究中心2.2.10基于Web的客户端安装客户端的安装除了可以采用登录脚本、共享目录、静默包方式以外，还可以采用基于Web的方式进展安装，这样就可以大大地简化和方便客户端的安装实施。2.3 从细节来看可以对宏病毒、混和型病毒、特洛伊木马型病毒、移动代码恶意的Java, VB, ActiveX控件及各类压缩文件进展有效的病毒查杀，并修复文件。采用Bloodhound和神经网络检测技术对付未知宏病毒和引导型病毒。采用Strike32处理多态病毒。在发现新病毒时可以实行隔离，提交赛门铁克全球防病毒研究中心，由赛门铁克全球防病毒研究中心快速提供解决方案。具有灵活多样的多种查毒策略及实时监控的技术，可以根

31、据实际情况调节实时监控的力度。赛门铁克管理中心可以实现层次式管理构造，建设以服务器为中心的集中管理模式，在统一的管理界面跨广域网进展管理。具有网络节点自动检测功能。可以根据需要对于不同的域和工作组设置不同的扫描策略。对于病毒事件可以在事件管理器承受集中报警，并在本地保存详细的日志，内容包括何时、何地发现病毒，病毒名称，处理方式等。可以集中管理移动用户，并为他们升级。可以实现客户端的防病毒软件的安装和病毒定义码的更新升级自动化。具有公安部的认证许可和国外权威机构ICSA和Check-Mark的认证。Norton Antivirus是全球第一品牌的防病毒软件，全球市场占有率第一位，一直被专业机构和

32、杂志评为最好的防病毒解决方案，包括Norton Antivirus企业版被Secure Computing评为2000年最正确企业防病毒解决方案。赛门铁克防病毒软件已经解决了Y2K问题。具体请详见附录?赛门铁克通过Y2K问题产品名细表?第三章 XXX电力公司网络防病毒解决方案31 XXX公司网络防病毒需求分析在XXX电力公司网络中感染和传播病毒的途径主要有以下几种方式：在局域网内部：通过软盘、盗版光盘可能感染病毒同时在局域网内部传播。在局域网外部：从Internet上，通过E-mail的形式把病毒带入内部网络，同时当内部人员上网和下载文件时也可能通过 、FTP流量把病毒和恶意的移动代码带入内部

33、网络。因此在XXX公司的网络防病毒方案中，我们应该考虑在整个网络中只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段，也就是说应针对外网和内网两个方面考虑防病毒措施，主要从以下两个方面考虑：在网关一级主要考虑对电子邮件、网上收发邮件、以及进入和送出的 和FTP流量的病毒防护。XXX公司邮件系统采用Netscape Massager Server,防火墙采用CheckPoint Firewall14.0，因此我们可以在：防火墙一级安装赛门铁克的Norton AntiVirus for Firewall对出入防火墙的 、FTP流量进展病毒查杀，把 、FTP中携带的病毒阻隔在局域网之外。在邮件

34、服务器一级，采用赛门铁克的Norton AntiVirus for GateWay，对过往邮件服务器的所有邮件进展防病毒扫描。把邮件中携带的病毒阻隔在局域网之外。在服务器系统的防病毒保护上，根据XXX公司内联网的具体情况，我们主要考虑针对Windows NT和NetWare服务器的防病毒保护，安装Norton AntiVirus for Windows NT和Norton AntiVirus for Netware，保护系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发的文件等免受病毒的感染。在客户端一级，根据XXX公司的具体情况，和客户端的操作系统类型，分别安装Norton AntiVir

35、us for Dos，Windows 3x/95/98/NT/2000，实现对系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发文件的病毒防护。32 XXX公司内联网网络防病毒总体方案3.2.1XXX公司内联网网络防病毒的管理模式和防病毒策略根据XXX公司的网络构造和具体要求，在整个网络防病毒管理方面，我们建议采取相对集中和分布式管理的方式，也就是说，在整个XXX公司内联网络中建设分级管理机制,采用分布式管理和集中管理相结合的管理模式，同时采用统一的防病毒策略和防病毒管理制度。这种管理方式在一般情况下总公司、分公司各自管理自己的局域网，但是，总公司可以在需要的时候参与分公司的管理，同时在总公

36、司和各分公司可以根据具体情况，分组设置防病毒管理模式，实现灵活的、高效率的、集中式管理，请参看图3.1。图 XXX公司内联网网络病毒定义码和扫描引擎的更新升级方式一方面可以让总公司、各分公司的SSC系统管理中心各自到赛门铁克网站更新、升级病毒定义码和扫描引擎。这种方式有个明显的缺点是总公司和各分公司要重复下载一样的病毒定义码和扫描引擎，浪费广域网网络带宽，同时网络防病毒的能力会受各分公司管理员水平、工作态度和防病毒意识等各方面因素的影响，不易于确保各分公司在任何时刻都具有最强的防病毒能力。如图3.2所示：图3.2另一方面可以由总公司进展统一进展病毒定义码和扫描引擎的更新、升级。

37、也就是说， 总公司的SSC有权限管理各分公司的一级服务器而且只管理其一级服务器，同时总公司的防病毒一级服务器可以定期地、自动到Symantec网站上更新最新的病毒定义码和扫描引擎，各分公司的一级服务器到总公司的防病毒一级服务器对各分公司来说是主一级服务器进展病毒定义码和扫描引擎的更新、升级，我们建议采用这种升级方式，这样，一方面可以确保总公司和其它分公司的病毒定义码和扫描引擎的更新 根本保持同步，使整个XXX公司内联网都具有最强的防病毒能力。另一方面，由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成，就可以防止由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描

38、引擎而失去最强的防病毒能力。如图3.3所示：图3.333 总公司、各分公司局域网网络防病毒解决方案3.3.1总公司、各分公司局域网网络防病毒的管理模式在赛门铁克企业网络防病毒体系中，通过赛门铁克系统控制中心SSC对整个网络的防病毒产品和策略进展统一、集中的、智能的管理。为了实现统一的防病毒管理和尽量少地影响网络和计算机性能，在总公司和各分公司局域网中，我们建议采用统一防病毒策略和分布式管理的方式，也就是说，在整个XXX公司内联网系统我们制定并采用统一的防病毒策略，同时总公司、各分公司各自管理自己的局域网如果需要，总公司也可以管理各分公司局域网 ，请参考图3.1。3.3.2为总公司、各分公司局域

39、网定义网络防病毒组防病毒的组是为了方便管理而设置的一组计算机，包括服务器和工作站，与NT的域和工作组无关，与用户无关，可以按建筑楼、部门或按楼层分组。根据分组，设定病毒定义码和扫描引擎的更新策略。根据XXX公司局域网的具体构造，我们建议如下：总公司、各分公司各自建设一个或多个防病毒组，各自管理自己局域网的网络防病毒，总公司可以在需要的时候参与各分公司的管理，参考图3.2所示。3.3.3总公司、各分公司域网网络防病毒构造和防病毒软件安装总公司、各分公司局域网网络防病毒构造根据3.1.2XXX公司内联网防病毒需求分析可知，如果要对XXX公司内联网、各分公司局域网网实施全面的网络防病毒，应该在整个网

40、络中只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段，请参看图3.4。图3.4由上图可以看出，局域网病毒的防护主要从两方面考虑，一方面在网关一级主要对出入局域网的 、FTP和电子邮件SMTP流量进展病毒查杀，主要安装赛门铁克的Norton Antivirus for Firewall ， Norton Antivirus for GateWay。 另一方面，在局域网内部，针对服务器和客户端进展防病毒保护，主要在服务器和客户端安装相应的防病毒软件，同时由一台或多台防病毒服务器通过赛门铁克系统控制中心SSC进展统一、集中、智能的防病毒管理。为总公司、各分公司局域网安装防病毒产品1.为总公司

41、、各分公司局域网内服务器端安装防病毒软件服务器端防病毒软件的安装包括：Norton Antivirus for Firewalls、Norton Antivirus for Gateway、Norton Antivirus for Notes/Domino on AIX/NT、Norton Antivirus for NetWare 以及防病毒服务器NAV SERVERNorton Antivirus for NT和SSCSymantec System Center。 安装防病毒服务器和系统管理中心SSCSymantec System Center在局域网内选择1到2台NT服务器作为总公司或各

42、分公司的防病毒服务器，同时安装Norton 防病毒服务器软件和系统管理中心，在局域网内所有跟防病毒有关的事件和任务如：客户端的安装、配置、病毒定义码和扫描引擎的升级、定时调度、警报管理、实时扫描、实时监控等都可以通过赛门铁克系统管理中心进展管理参看图3.5。 安装Norton AntiVirus for FireWall 1.5由用户提供一台Windows NT Server用于安装Norton AntiVirus for FireWall ，对出入局域网的 、FTP流量进展病毒扫描。 安装Norton AntiVirus for Gateways由用户提供一台Windows NT Serve

43、r用于安装Norton AntiVirus for Gateways。 安装Norton AntiVirus for Lotus Notes on AIX/NT Version 2.0把Norton AntiVirus for Lotus Notes 安装在运行Lotous Notes/Domino的计算机上，对出入Notes服务器的邮件进展病毒扫描。安装Norton AntiVirus for Novell NetWare在Novell Netware服务器计算机中安装Norton AntiVirus for Novell Netware，可以通过SSC进展防病毒软件的分发。2.为总公司、各

44、分公司局域网内客户端安装防病毒软件在赛门铁克网络防病毒解决方案中，客户端防病毒软件的安装有5种方式，包括： 登录脚本：装一台域控制器PDC，然后在PDC上安装SSC，建设一个用户NAVSETUP,在用户的配置文件属性中，设置登录脚本VPLOGON.BAT。客户端使用该用户登录到PDC域中自动运行VPLOGON.BAT，客户端将自动安装防病毒软件。共享目录：用户只需要在网上邻居找到控制中心共享的VPLOGON共享名下的VPLOGON.BAT，运行此文件也可自动安装。生成静默安装包：可在控制中心，利用PACKAGE.EXE生成一个自解压安装包约19M，工作站运行此安装包，即可无需应答完成安装。 采

45、用CD 直接到客户端安装：按提示一步一步应答。 基于Web 的客户端安装。如果在总公司、各分公司局域网中划分有VLAN，那么在安装客户端防病毒软件之前，应该在网络层和防病毒服务器做适当的设置：首先为防病毒服务器安装一块支持VLAN802.1Q标记的网卡,可以采用3C980C-TXM，它支持64个VLAN。然后为为该网卡安装相应的驱动程序，包括VLAN驱动程序，同时给这个网卡设置多个IP地址，每个IP地址分别属于局域网中的VLAN，注意不要和其他的IP地址冲突。当经过以上的设置后，属于不同VLAN中的客户端就可以登录到防病毒服务器来自动安装客户端软件。3.3.4总公司、各分公司局域网内部病毒定义

46、码和扫描引擎升级方式对于局域网内部病毒定义码的升级，主要有两种方式：在总公司、各分公司局域网内部，我们可以建设内部病毒定义码和扫描引擎升级服务器LiveUpdater Server，由这台升级服务器到上一级或赛门铁克网站自动更新最新的病毒定义码和扫描引擎，局域网内部其他服务器和客户端如：Norton AntiVirus for Lotus Notes on NT/AIX、Norton AntiVirus for NetWare、Norton AntiVirus for Firewalls、Norton AntiVirus for Windows95/98等都到这台升级服务器上更新升级最新的病毒

47、定义码和扫描引擎。具体请参看图3.6。图3.6由防病毒服务器到上一级或赛门铁克网站自动更新最新的病毒定义码和扫描引擎，局域网内部属于这台服务器的客户端都到这台服务器上更新、升级最新的病毒定义码和扫描引擎，其他服务器如：Norton AntiVirus for Lotus Notes on NT/AIX、Norton AntiVirus for NetWare、Norton AntiVirus for Firewalls、Norton AntiVirus for Windows95/98等各自分别到赛门铁克网站获取最新的病毒定义码和扫描引擎，具体请参看图3.7。3.3.5制定相应的管理制度为了确

48、保网络和系统的正常运转，企业必须指定相应的管理制度，如：配备相应的MIS人员负责整个网络安全的目常管理及维护。制定相应的机房上机管理制度。强制实施统一的防病毒策略。及时更新升级最新的病毒定义码。一般情况下每星期应该更新一次病毒定义码和扫描引擎，在特别情况下如有新病毒出现时可能需要每天更新病毒定义码和扫描引擎。因此，管理员最好经常浏览Symantec的网站，查看有关最新病毒和有关病毒定义码和扫描引擎的最新动态。如果发现隔离区有不能清楚的病毒时，要及时把其提交到赛门铁克的防病毒研究中心SARC，以尽快得到相应的病毒定义码和扫描引擎。不要随意使用盗版软件和盗版光盘。附录一. 病毒概述一什么是计算机病

49、毒计算机病毒，简单来讲，其实就是一种可执行的计算机程序。和生物界的病毒类似，会寻找寄主将自身附着到寄主身上。除了自我复制外，某些病毒被设计成为具有毁坏程序、删除文件甚至重新格式化硬盘的能力。在网络中，病毒对计算机的安全构成极大威胁：与网络黑客内外配合，窃取用户口令及帐号等变化多端的方式，使企业网络无时无刻不面对病毒困扰。这也就是必须使计算机具备预防、检查和去除病毒能力的 根本所在。病毒最成功之处在于其传播能力，传播能力越强，存在的机率就越大。当计算机病毒附着或感染某个文件或系统中的某个局部之后，就会传播给临近的工程。如果计算机病毒刚好将自己附着到一般用户经常使用的工程，或所附着的工程处在一个文

50、件共享非常频繁的环境中，将助长病毒以最快的速度向四处蔓延。因此企业的网络环境，Internet环境是病毒传播、存在的最快最好的温床。病毒感染周期计算机病毒的整个生命过程可大致分为三个阶段：感染、检测和复原。在感染阶段，病毒会感染计算机上的文件。在检测阶段，那么利用一些方法找出病毒并加以隔离。到了复原的阶段，那么将病毒去除。二计算机病毒分类计算机病毒可按照其破坏的目标分为以下几种类型：程序型病毒：通常以文件扩展名为 /.EXE/.SYS/.DLL/.OVL或.SCR的程序文件作为其感染目标。由于程序文件的使用范围极为广泛，而且格式简单，容易被病毒附身，因此成为病毒作者最爱下手的目标。引导型病毒：

51、以硬盘和软盘的非文件区域系统区域为感染对象。这些区域通常是病毒从一台计算机传播到另一台计算机最有效的传播途径。引导型病毒感染和传播的成功率很高，往往比程序型病毒高出好几倍。宏病毒：以具有宏功能的数据文件为感染对象。Microsoft Word或Excel文档和模板文件极容易遭受攻击。由于被感染文件通常会通过网络共享，或者放到Internet站点供大家下载，因此宏病毒的传播速度相当惊人。特洛伊木马型的程序：由于它们并不会自我复制，常常不被归类成病毒。但它们外表上看起来好象有某种用途或可以提供娱乐效果的程序。这种外表会鼓舞人们去执行它，实事上和古代战役中的特洛伊木马相似，其真正目的很可能恰好与外表

52、相反，会对文件造成破坏，或在计算机中植入病毒。现在，BOBO病毒及其变形就是一种特洛伊木马型的恶意程序，其最大害处就是潜入计算机，窃取用户的合法帐户名和口令，使网络入侵者侵入用户网络。有危害的移动编码：浏览Internet网页是动态下载的程序代码。此类代码不归类为病毒，但和病毒一样对数据和系统造成危害。三计算机病毒成长最新动态根据美国国家安全协会(International Computer Security Associate，简称ICSA)的统计报道，98% 的企业都曾遇过病毒感染的问题，63% 都曾因为病毒感染而失去文件资料，由ICSA评估每一个受电脑病毒入侵的公司电脑，平均要花约美金8

53、,366美金，但更大的成本是来自修理时间及人力的费用，据统计，平均每一电脑要花费44小时的到21.7天的工作天才能完全修复，因此电脑防毒战是没有固定日期的战争，同时，也是一场不眠不休的长期抗战。自1987年以来，全世界目前已有超过47000多种电脑病毒，从早期的病毒(文件型，引导型，变种，隐藏型和宏病毒)，到特洛伊木马型(Trojan Horses)，恶作剧型(Hoaxes)，恶意的 Active X 与 Java applets 恶意破坏型程序，电脑病毒层出不穷。而其中以1999年四月造成全球企业电脑严重受损的最新Word 宏病毒梅莉莎97M.Mailissa及最新恶意破坏型(malicio

54、us)程序，及1999年六月最新的探险虫Worm.ExploreZip，最为严重!短短数天之间，就传遍全球，造成严重破坏。主要原因是早期电脑病毒以附著方式并以电脑中的文件为感染对象，通常执行文件时才会感染电脑中其他文件，但是最新的电脑虫却是一个完整程序，以PC为感染对象，因此，会主动找找透过IP直接感染其他文件，短短时间內，就造成企业瘫痪，因此，防毒软件的自动化机制，才能有效解决问题!附录二. 赛门铁克企业网络防病毒解决方案的特点和优势 赛门铁克企业网络防病毒方案的技术特点和优势主要集中表现在以下几个方面:先进的防病毒技术迅速、方便、模块化的升级简单高效的集中管理策略和工具强大的技术支持和响应

55、中心基于Web的客户端安装一.先进的防病毒技术Symantec的NortonAntiVirus是目前世界上市场占有率最高的防病毒产品，在检测技术、扫描速度、文档修复、软件功能等多方面综合评测中得分最高，多年来屡获计算机行业国际性大奖，被评为技术最好的防病毒产品。赛门铁克公司研究开发出许多独有的防杀病毒技术，这些技术保证了NortonAntivirus给用户的计算机以最安全的防护功能。1. Autoprotect (自动防护)NortonAntiVirus的自动防护功能可以不连续地提供对病毒的监视，同时在病毒被检测出后立即显示一条警告信息。根据对自动防护选项的设置，此动作将显示相应的感染条目。具

56、体的选项包括：RepairAutomatically自动修复Delete Automatically自动删除Deny Access拒绝访问Notify Only仅发出通知Quarantine Automatically自动隔离Quarantine IfUnrepairable如果无法修复那么隔离。2. Bloodhound侦探启发式扫描技术在传统的病毒码比对方式的根基上，赛门铁克防病毒研究中心SARC的专业研究人员已经开发了两种类型的启发式扫描技术(Heuristic Technology)来监视疑似病毒的行为。第一种，Bloodhound侦探技术，可检测和处理高达80%的新型和未知可执行文件

57、病毒。第二种，BloodhoundMacro宏侦探技术，检测并处理90%以上的新型和未知宏病毒。这些统计数据随计算机病毒增长速度的变化而略有不同。但肯定的是，Bloodhound技术可以真实地改变用户面对未知病毒威胁所处的不利地位。由于它只深入检测满足严格先决条件的程序和文档，从而Bloodhound只需非常小的 根本开支。在大多数情况下，Bloodhound可以在百万分之一秒内判定文件或文档是否被病毒感染。一旦作出判定，将立即跳到下一个文件。3. 神经网络技术可检测和修复引导型未知病毒在Bloodhound 技术上，进一步解决了对未知引导型病毒的检测和修复。通过此技术，Norton Anti

58、Virus可监测到90%以上的未知引导型病毒。4. 宏病毒自动分析修复技术改变以往的靠人工来修复未知病毒的方式，而采用自动分析并修复病毒的方式。Norton AntiVirus 的用户可使用扫描和传送技术 (Scan & Deliver)，在最短的时间内获得处理未知病毒的引擎和定义码。5. Striker32打击技术Striker打击技术可以搜索出具有多种变形、最复杂和难以检测的计算机病毒。如加密病毒，一种包含了混杂病毒体和译码例程的多态性病毒，它首先获取对计算机的控制，然后解开病毒体。然而，这种多态性病毒还可以通过增加一个变化引擎来随机产生译码例程，这样在每次感染新程序时都会产生一个新的病毒

59、变种。为此，没有任何一种多态性病毒是完全一致的。Striker每次扫一个新程序文件时，它都将把文件调入一个自包含的虚拟计算机。使此程序在虚拟计算机上执行，就象在真实的计算机上运行一样。在“虚拟PC内部，真实的计算机将不会被感染，多态性病毒只是自行运行并解密。随后Striker在系统上的其他文件被破坏之前扫描、检测并处理此病毒。Striker32技术是Striker技术的开展，可以真正解决目前针对Windows95/98/NT/2000等32位操作系统的变形病毒。6. MVP防止宏病毒技术通过制止运行未审定的Word或Excel宏从而绝对保证宏病毒不能够进入系统。二.迅速、方便、模块化的升级1.

60、 病毒定义码与扫描引擎由于病毒制作技术的开展，只靠病毒定义不能处理所有的病毒，必须配合对应的扫描引擎。因此迅速地将病毒定义和扫描引擎、新的防病毒技术分布到网络中的每一个设备、每一种平台上，是响应当前突发性恶意病毒的唯一方法，否那么防病毒软件的防护功能就会变得毫无价值。事实上现代防病毒产品与计算机病毒的对抗，表达的是速度的对抗，在突发性恶意病毒到达用户网络之前使网络拥有防护能力，是最强的防护。因此,全面、迅速、方便的升级是企业降低维护成本，减轻管理员的维护力度的重要保证，也是企业在选择网络防病毒解决方案中需要考虑的重要因素之一。赛门铁克公司采用NAVEX和LiveUpdate技术使用户可以非常轻