XX企业网络防病毒杀毒项目实施解决方案

XX企业网络防病毒杀毒解决方案TOC\o"1-5"\h\z目录 1\o"CurrentDocument"第一章 企业网络防病毒因考虑的因素 6\o"CurrentDocument"1.1企业防病毒自我评估 6\o"CurrentDocument"1.2企业网络防病毒解决方案考虑的几个因素 7\o"CurrentDocument"第二章赛门铁克企业网络防病毒方案介绍 9\o"CurrentDocument"2.1赛门铁克企业网络防病毒解决方案整体概述 9\o"CurrentDocument"2.2从总体角度来看 完整性和层次性： .1.1..\o"CurrentDocument"2.2.2集中有效的管理： 12..\o"CurrentDocument"2.2.3强制执行的策略： 13..\o"CurrentDocument"2.2.4病毒定义码和扫描引擎的升级、更新： 统一性： 1.4...2.2.6快速和及时性： 1.4...2.2.7持续性： 1.5...2.2.8本地支持： 15...2.2.9强大的技术支持响应中心—赛门铁克防病毒研究中心（SARC）....15\o"CurrentDocument"2.2.10基于Web的客户端安装 1.6.\o"CurrentDocument"2.3从细节来看 16\o"CurrentDocument"第三章XXX电力公司网络防病毒解决方案 18\o"CurrentDocument"3.1XXX公司网络防病毒需求分析 18\o"CurrentDocument"3.2XXX公司内联网网络防病毒总体方案 .19\o"CurrentDocument"XXX公司内联网网络防病毒的管理模式和防病毒策略 19\o"CurrentDocument"XXX公司内联网网络病毒定义码和扫描引擎的更新升级方式 20\o"CurrentDocument"3.3总公司、各分公司局域网网络防病毒解决方案 22\o"CurrentDocument"3.3.1总公司、各分公司局域网网络防病毒的管理模式 223.3.2为总公司、各分公司局域网定义网络防病毒组 22\o"CurrentDocument"3.3.3总公司、各分公司域网网络防病毒结构和防病毒软件安装 23总公司、各分公司局域网网络防病毒结构 23为总公司、各分公司局域网安装防病毒产品 24为总公司、各分公司局域网内服务器端安装防病毒软件 24为总公司、各分公司局域网内客户端安装防病毒软件 253.3.4总公司、各分公司局域网内部病毒定义码和扫描引擎升级方式 .....26\o"CurrentDocument"3.3.5制定相应的管理制度 28..\o"CurrentDocument"附录一.病毒概述 30\o"CurrentDocument"什么是计算机病毒 30\o"CurrentDocument"计算机病毒分类 30\o"CurrentDocument"计算机病毒成长最新动态 31\o"CurrentDocument"附录二.赛门铁克企业网络防病毒解决方案的特点和优势 32\o"CurrentDocument"一.先进的防病毒技术 .3.31.Autoprotect（自动防护） 33.Bloodhound （侦探）启发式扫描技术 33神经网络技术一可检测和修复引导型未知病毒 34宏病毒自动分析修复技术 34..Striker32（打击）技术 34..MVP防止宏病毒技术 35..\o"CurrentDocument"迅速、方便、模块化的升级 35病毒定义码与扫描引擎 35..NAV模块化升级技术（NAVEX） 36LiveUpdate（叠加式实时更新） 38免重新启动式更新 39..\o"CurrentDocument"简单高效的集中管理策略 39\o"CurrentDocument"强大的技术支持响应中心一赛门铁克防病毒研究中心（SARC） 40\o"CurrentDocument"基于WEB的客户端安装 41\o"CurrentDocument"附录三.赛门铁克企业网络防病毒产品介绍 42一、 NORTONANTIVIRUS2.0FORLOTUSNOTES/DOMINOFORAIX,OS/400.0S/390,SOLARIS 42二、 NORTON ANTIVIRUSFOR FIREWALL1.5 47三、 Norton AntiVirusfor Gateway 51四、 NORTON ANTIVIRUSFOR WINDOWSNT 53附录四.赛门铁克防病毒产品用户 55一.银行的主要用户 55二•中国国内的主要客户 57政府机关 5.7.全球大客户 5.8.附录五•赛门铁克公司简 59•赛门铁克公司产品系列 59.公司组织结构 61附录六.赛门铁克标准服务与技术支持 631注册您的赛门铁克产品 632免费升级 63LiveUpdate电子邮件服务 644升级保险 645产品續購 646技术支持 657联机支持 678自动传真回复系统 679对旧版本的支持 6810对终止版本的技术支持 68附录七.培训计划 69第一章企业网络防病毒因考虑的因素1.1企业防病毒自我评估面对来势汹汹的计算机病毒，企业的系统管理员对自己管理的系统安全程度必须有准确的认识和判断，才能设计选择防止病毒破坏的最佳方案，承担系统安全重任。系统管理员应该考虑：哪些计算机正在运行实时性的防毒软件。病毒的定义码有多新？如何更新。哪些计算机没有运行防病毒软件。为什么没有。现有的防病毒软件效果和功能是否能保证系统的安全。过去是否曾遭受病毒的侵害。谁负责处理用户病毒问题。用人工处理一次病毒危机的花费多少。如果企业计算机系统一天不能运行，损失有多少。如果病毒发作，信息系统是否会瘫痪。如果系统瘫痪或重要数据丢失，恢复的难度有多大，费用有多高。其实，对于一台独立的计算机而言，防病毒软件应该是第一个必须安装的应用软件。对于一个网络系统，建立先进的全方位防病毒方案是系统安全的重要保证1.2企业网络防病毒解决方案考虑的几个因素在选择企业网络防毒解决方案时主要应考虑以下几个问题，一个完善的企业网络防病毒解决方案应该是：★一个多层次、全方位的防病毒体系，而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能，也就是说，在网络的每一个层次包括网关一级、群件服务器一级、服务器一级、客户端一级以及各种平台下都应有相应的解决方案。★在这个防病毒体系中应该具有统一的、集中的、智能的和自动化的管理手段和管理工具，包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护等。★采用先进的防病毒技术，能够有效的查杀各种多态病毒和未知病毒★集中和方便地进行病毒定义码和扫描引擎的更新。 尤其是能否及时对扫描引擎更新尤为重要，由于在一个防病毒软件中，主要靠扫描引擎来清除病毒，因此能否方便、快捷地升级扫描引擎直接影响到防病毒体系的防毒能力。★方便、全面、友好的病毒警报和报表系统管理机制★病毒防护自动化服务机制★客户端防病毒策略的强制定义和执行，它可以确保客户端不会因为人为因素而造成防病毒策略的更改、破坏等。★合理的预算规划和低廉的总拥有成本★良好的服务与强大支持★时刻具有最强的防病毒能力★紧急处理能力和对新病毒具有最快的响应速度。由于病毒总是先出现，因此对于这些新出现的病毒，防病毒体系是否具有足够强的紧急处理能力和快速的响应速度，从而确保在新病毒出现时，系统不受其影响，或尽量少地受其影响。第二章赛门铁克企业网络防病毒方案介绍2.1赛门铁克企业网络防病毒解决方案整体概述Symantec提供全方位、多层次的、整体的网络防病毒解决方案 •在网络结构方面：Symantec从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都有相应的防毒软件提供完整的、 全面的防病毒保护，尤其是对电子邮件的防病毒， Symantec具有最全面的解决方案，包括市场上流行的所有邮件系统如：IBMLotusNotes/Domino(on AIX、AS/400、OS/390、SUNSoralis、NT)、MSExchangServer以及其他的基于Unix平台下的邮件系统。在系统平台支持方面：Symantec对各种操作系统提供全面的支持，女口:IBMAIX,Linux,AS/400,OS/390 ，SUNSolaris，Dos,Windows/3x,Windows95/98,Windows NTWorkstation/Server, Windows2000,OS/2,NOVELLNetware,Macintosh 等。在防病毒技术方面：Symantec采用各种先进的反病毒技术，尤其在对付未知病毒和多态病毒方面，采用了各种先进的技术对其进行查杀，女口:启发式侦测技术(BloodhundTM)，神经网络技术，打击技术(Striker32)和防宏病毒技术(MVP)等，因此NAV产品不仅能查、杀各种未知病毒，还能修复被病毒感染的文件。在防病毒软件和防病毒策略管理方面：通过赛门铁克的SSC(SymantecSystemCenter）赛门铁克网络防病毒解决方案企业网络防病毒提供统一的、集中的、智能的、自动化的、强制执行的有效管理方式。在病毒定义码和扫描引擎升级方面： 采用模块化（NAVEX）的升级方式，也就是说，用户每次升级都包括最新的病毒定义码和扫描引擎 •而且各种NAV产品采用的是同一套病毒定义码和扫描引擎，方便用户病毒定义码和扫描引擎的升级，同时计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机•在技术支持和服务方面：Symantec有专门的人员和机构对用户出现的问题和新病毒提供快速及时的响应，并能迅速提供相应的解决方案。对新出现病毒的响应速度：Symantec对新出现的病毒具有最快的响应速度，Symantec在全球有4个防病毒研究中心（SARC），同时会在2000年在中国成立第五个防病毒研究中心，在SARC有专门的系统每时每刻主动在Internet上搜索病毒，同时把搜索来的病毒样本自动送到数字免疫系统中进行分析，产生响应的解决方案，在经过SARC的验证后公布在Symantec的网站上。由于Symantec在获取病毒样本和提出相应的解决方案这个过程全部是自动的，所以我们对新病毒有最快的响应速度，如在今年夏天出现的“爱虫病毒”，Symantec从获取病毒样本到提出相应的解决方案只有40多分钟，同时我们的解决方案会比病毒传播的更快，可以把新病毒造成的危害尽量限制在最小的范围2.2从总体角度来看221完整性和层次性：如上所述，赛门铁克(Symantec)企业网络防病毒解决方案为企业的网络、系统和应用提供全面的病毒防护，总而言之，Symantec对在企业网络中任何可能感染和传播病毒的地方和途径都有相应的防护措施， 同时对已感染病毒的系统进行有效的查杀。赛门铁克企业网络防病毒解决方案中涉及的防病毒产品有：NortonAntiVirusEnterpriseSolution4.0NortonAntiVirus7.0CorporateEditionNortonAntiVirus7.0CorporateEditionforNetWareNorton AntiVirus 2.0forLotusNotes/Domino(on OS/2,WindowsNT,IBMAIX)/(Intel/DECAlpha)NortonAntiVirus2.1forMicrosoftExchange(lntel/DECAlpha)NortonAntiVirus5.0forOS/2NortonAntiVirus6.0forMachintoshNortonAntiVirus5.0forWindowsNT(DECAlpha)NortonAntiVirus4.0forNetWareNortonAntiVirus1.5forFirewallsNortonAntiVirus2.1forGateways(onWindowsNT,Solaris)NortonAntiVirusPlusforTivoliEnterpriseandITDirectorSymantecSystemCenter赛门铁克企业网络防病毒解决方案的层次结构：图 2.1N011onAntiVimsEnteipnseSolution4.0企业网的结构222集中有效的管理：网络各层次的防病毒产品均可以通过赛门铁克控制中心SymantecSystemCenter(SSC)实现统一集中的管理，如防病毒软件的安装、维护、病毒定义码和扫描引擎的更新升级、网络防病毒策略的配置、报警的集中管理、 定时调度、隔离、实时扫描和监控等。其中防火墙、网关以及 MicrosoftExchange防病毒产品，均采用基于 Web的管理方式，因此可以实现远程管理， LotusNotes/Domino 防病毒软件采用基于Notes客户端的管理，如图2.2所示：NortonAiiti\inisEnteipuseSolution4.0企业网的结构图强制执行的策略：系统管理员可以通过SSC(SymantecSystemCenter)强制客户端执行统一设置和制定的网络防病毒策略，客户端不能改动，包括不能卸载防病毒软件。2.2.4病毒定义码和扫描引擎的升级、更新：首先Symantec防病毒产品在病毒定义码升级时采用的是模块化升级技术--NAVEX技术,也就是说在每一次更新病毒定义码的时候，会同时更新NortonAntiVirus 的防病毒引擎，保证用户不需要重新安装新版本程序，通过Internet升级就可以防治新病毒。其次NAVEX技术使Norton防病毒软件的扫描引擎部分模块化，因此不同平台、不同应用下的产品的升级方式非常一致。避免了不同产品需要多种升级方式，或时某些平台可以升级，某些平台还需要等待。同样也使网络上多平台多设备的升级简单迅速。3.通过Symantec的Liveupdate可以实现叠加式更新，可以自动为用户更新最新的部分而不是全部覆盖，大大降低了用户的下载时间和系统开销，每次升级的网络流量只有几百K。LiveUpdate支持专线接入、拨号上网和代理服务器的方式，同时可以在局域网设置LiveUpdate服务器，局域网内其他服务器和客户端都可以至V这台LiveUpdate服务器来获取最新的病毒定义码和扫描引擎，这样可以减少广域网的流量，减轻管理员的工作。服务器和客户端在更新病毒定义码和扫描引擎后不需要重新启动计算机。对于移动用户可以通过Symantec的Defination Updater实现病毒定义码和扫描引擎的自动更新。可以建立内部LiveUpdateServer，在局域网中所有的防病毒服务器、客户端都可以到内部的LiveUpdateServer进行病毒定义码和扫描引擎的更新，既可以方便管理员的管理工作、又可以减少由于下载病毒定义码引起的网络带宽占用。2.2.5统一性：企业可以为整个网络防病毒规划、建立及实施统一的防病毒策略，在客户端强制执行，而客户端不能更改任何防病毒策略的设置，除非得到管理员的许可。2.2.6快速和及时性：赛门铁克全球防病毒研究中心（美国、欧洲、日本、澳洲、中国）可以为全球用户提供服务。利用独家的数字免疫技术和病毒搜寻技术，研究中心一年365天、每天24小时在全球范围内搜索新病毒。利用扫描传送和自动化响应技术，研究中心可以接受全球用户提交的可疑文件，并快速响应用户的问题。227持续性：赛门铁克已经在中国成立了独资公司，包括售前、售后、本地化等相关部门可以为用户提供长期有效和及时的服务。服务方式见附件《赛门铁克标准服务与支持》。2.2.8本地支持：赛门铁克在国内设有支持响应中心。提供的产品在Windows95/98/NT/2000工作站，WindowsNT/2000 服务器，LotusNotes/DominoServerforNT,MicrosoftExchangeforNT 和SSC全部汉化，为简体中文版。2.2.9强大的技术支持响应中心一赛门铁克防病毒研究中心(SARC)防病毒方案必须在最短的时间里，以最快的速度产生新的病毒定义与扫描引擎，处理变化中的病毒。赛门铁克建立了全球最大的防病毒研究中心 (SARC)，在SARC,有全球计算机防病毒最具权威的专家队伍在不停的工作。专家们不间断地在世界范围内主动搜索，或收到来自用户的病毒样本。SARC能够立即开发病毒定义和修复方法，以便在网络遭病毒侵害之前，发现病毒并消除其危害。如果用户的计算机曾经受到病毒感染或感染未知病毒，SARC的技术人员将为用户开发修复途径并迅速发送给用户，同时在升级网站为全球用户提供升级。在与 IBM公司结成全球防病毒联盟之后，SYMANTEC采用数字免疫系统来对抗未来的病毒，它将给全球用户提供最快、最强大的防病毒能力，对一个新的病毒样本，只需要几分钟的破解时间，使得赛门铁克对病毒有最快的响应速度。SARC分支机构遍及美国、澳大利亚、日本和荷兰，专注于在病毒危害用户的系统和文件之前，不间断地进行识别和抵消处理。 SARC可以：提供有关计算机病毒发作方面的迅速、全球性的响应通过超前的研究和开发技术，最大限度地降低来自病毒的威胁通过环球网和BBS向广大计算机用户提供新病毒的定义和特征，针对用户遇到的种种问题，在病毒检测和清除方面提供快速反馈，并尽快取得防护措施。赛门铁克公司即将建立赛门铁克中国防病毒研究中心。赛门铁克公司已经确立了在防病毒软件市场和技术上的绝对领先优势，因此选择赛门铁克产品建立企业全方位多平台网络防毒杀毒体系，不仅可以确保系统安全运行，也最大限度地保证了用户的投资。今年赛门铁克公司在中国的天津成立了全球的第五个防病毒研究中心2210基于Web的客户端安装客户端的安装除了可以采用登录脚本、共享目录、静默包方式以外，还可以采用基于Web的方式进行安装，这样就可以大大地简化和方便客户端的安装实施。2.3从细节来看可以对宏病毒、混和型病毒、特洛伊木马型病毒、移动代码（恶意的Java,VB,ActiveX控件）及各类压缩文件进行有效的病毒查杀，并修复文件。采用Bloodhound和神经网络检测技术对付未知宏病毒和引导型病毒。采用Strike32处理多态病毒。在发现新病毒时可以实行隔离，提交赛门铁克全球防病毒研究中心，由赛门铁克全球防病毒研究中心快速提供解决方案。具有灵活多样的多种查毒策略及实时监控的技术，可以根据实际情况调节实时监控的力度。赛门铁克管理中心可以实现层次式管理结构， 建立以服务器为中心的集中管理模式，在统一的管理界面跨广域网进行管理。具有网络节点自动检测功能。可以根据需要对于不同的域和工作组设置不同的扫描策略。对于病毒事件可以在事件管理器接受集中报警， 并在本地保留详细的日志，内容包括何时、何地发现病毒，病毒名称，处理方式等。可以集中管理移动用户，并为他们升级。可以实现客户端的防病毒软件的安装和病毒定义码的更新升级自动化。具有公安部的认证许可和国外权威机构ICSA和Check-Mark的认证。NortonAntivirus是全球第一品牌的防病毒软件，全球市场占有率第一位，一直被专业机构和杂志评为最好的防病毒解决方案，包括NortonAntivirus企业版被SecureComputing评为2000年最佳企业防病毒解决方案。赛门铁克防病毒软件已经解决了丫2K问题。（具体请详见附录《赛门铁克通过丫2K问题产品名细表》）第三章XXX电力公司网络防病毒解决方案3.1XXX公司网络防病毒需求分析在XXX电力公司网络中感染和传播病毒的途径主要有以下几种方式：☆在局域网内部：通过软盘、盗版光盘可能感染病毒同时在局域网内部传播。☆在局域网外部：从Internet上，通过E-mail的形式把病毒带入内部网络，同时当内部人员上网和下载文件时也可能通过 HTTP、FTP流量把病毒和恶意的移动代码带入内部网络。因此在XXX公司的网络防病毒方案中，我们应该考虑在整个网络中只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段， 也就是说应针对外网和内网两个方面考虑防病毒措施，主要从以下两个方面考虑：1、在网关一级主要考虑对电子邮件、网上收发邮件、以及进入和送出的HTTP和FTP流量的病毒防护。XXX公司邮件系统采用NetscapeMassagerServer,防火墙采用CheckPointFirewall14.0，因此我们可以在：☆防火墙一级安装赛门铁克的NortonAntiVirusforFirewall 对出入防火墙的HTTP、FTP流量进行病毒查杀，把HTTP、FTP中携带的病毒阻隔在局域网之外。☆在邮件服务器一级，采用赛门铁克的NortonAntiVirus forGateWay，对过往邮件服务器的所有邮件进行防病毒扫描。把邮件中携带的病毒阻隔在局域网之外。

2、在服务器系统的防病毒保护上，根据XXX公司内联网的具体情况，我们主要考虑针对WindowsNT和NetWare服务器的防病毒保护，安装Norton AntiVirus forWindows NT和NortonAntiVirusforNetware，保护系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发的文件等免受病毒的感染。3、在客户端一级，根据XXX公司的具体情况，和客户端的操作系统类型，分别安装NortonAntiVirusforDos ，Windows3x/95/98/NT/2000 ，实现对系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发文件的病毒防护。3.2XXX公司内联网网络防病毒总体方案3.2.1XXX公司内联网网络防病毒的管理模式和防病毒策略根据XXX公司的网络结构和具体要求，在整个网络防病毒管理方面，我们建议采取相对集中和分布式管理的方式，也就是说，在整个 XXX公司内联网络中建立分级管理机制，采用分布式管理和集中管理相结合的管理模式，同时采用■口□口1S£/X\pH—■IttH■口□口1S£/X\pH—■IttH统一的防病毒策略和防病毒管理制度。这种管理方式在一般情况下总公司、分公司各自管理自己的局域网，但是，总公司可以在需要的时候参与分公司的管理，同时在总公司和各分公司可以根据具体情况， 分组设置防病毒管理模式，实现灵活的、高效率的、集中式管理，请参看图3.1o图3.1322XXX公司内联网网络病毒定义码和扫描引擎的更新升级方式1.一方面可以让总公司、各分公司的SSC系统管理中心各自到赛门铁克网站更新、升级病毒定义码和扫描引擎。这种方式有个明显的缺点是总公司和各分公司要重复下载相同的病毒定义码和扫描引擎，浪费广域网网络带宽，同时网络防病毒的能力会受各分公司管理员水平、工作态度和防病毒意识等各方面因素的影响，不易于确保各分公司在任何时刻都具有最强的防病毒能力。如图3.2所示：

go□□□o□□□□p■二」.->-1图go□□□o□□□□p■二」.->-1图3.22.另一方面可以由总公司进行统一进行病毒定义码和扫描引擎的更新、升级。也就是说，总公司的SSC有权限管理各分公司的一级服务器（而且只管理，同时总公司的防病毒一级服务器可以定期地、自动到网站上更新最新的病毒定义码和扫描引擎，各分公司的一级服务u一 >器到总公司的防病毒一级服务器（对各分公司来说是主一级服务器）进行病!! ■ i升■级，我们1^11^1|!、■■j毒定义码和扫描引擎的更新、E\jS^3SB方面可以确保总公司和其它分公司的后定义码和扫描引擎j皆议采公司内联网都具有最强的防病毒I.IIE网络因11式，这样,升■级，我们1^11^1|!、■■j毒定义码和扫描引擎的更新、E\jS^3SB方面可以确保总公司和其它分公司的后定义码和扫描引擎j皆议采公司内联网都具有最强的防病毒I.IIE网络因11式，这样,新基本保，由b更新最新的病毒f=i■r^-|>rgs■f■]I■S/a\a-自动完成就图3.33.3总公司、各分公司局域网网络防病毒解决方案3.3.1总公司、各分公司局域网网络防病毒的管理模式在赛门铁克企业网络防病毒体系中， 通过赛门铁克系统控制中心（SSC）对整个网络的防病毒产品和策略进行统一、集中的、智能的管理。 为了实现统一的防病毒管理和尽量少地影响网络和计算机性能，在总公司和各分公司局域网中，我们建议采用统一防病毒策略和分布式管理的方式，也就是说，在整个 XXX公司内联网系统我们制定并采用统一的防病毒策略， 同时总公司、各分公司各自管理自己的局域网（如果需要，总公司也可以管理各分公司局域网 ），请参考图3.1o3.3.2为总公司、各分公司局域网定义网络防病毒组防病毒的组是为了方便管理而设置的一组计算机，包括服务器和工作站，与NT的域和工作组无关，与用户无关，可以按建筑楼、部门或按楼层分组。根据分组，设定病毒定义码和扫描引擎的更新策略。根据 XXX公司局域网的具体结构，我们建议如下：总公司、各分公司各自建立一个或多个防病毒组，各自管理自己局域网的网络防病毒，总公司可以在需要的时候参与各分公司的管理，参考图 3.2所示。

333总公司、各分公司域网网络防病毒结构和防病毒软件安装总公司、各分公司局域网网络防病毒结构根据3.1.2XXX公司内联网防病毒需求分析可知，如果要对 XXX公司内联网、各分公司局域网网实施全面的网络防病毒， 应该在整个网络中只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段，请参看图 3.4o赛门铁克网络防病毒解决方案棒动用戶BT辭务軒££工柞组AndiWwtierL&uscm.ADC,WbuhwNT,Splaw.as.>^o、o曲鈔飢os?a如和3时Anti'ifauffmrNTNdituiAiMWnuffoir棒动用戶BT辭务軒££工柞组AndiWwtierL&uscm.ADC,WbuhwNT,Splaw.as.>^o、o曲鈔飢os?a如和3时Anti'ifauffmrNTNdituiAiMWnuffoirGid切iycn^A^nLdcwiNT,SVNSfJiiuNeuronAiii^ifanuf£dt:XSrwtlliNeri^nArti^iiruffDr曲工曲IM皿财应mbiidw脂彝番菖■他乔齐耳FTP匿务耳Domf/sg朋静珮ChinaNel^ntsrnetFT：；甲迟:廿冏审粘眄埠刖爵帀（NAVSmrer.SSC1!P^T^Sfi RtdiisGMRS曲）00 叭集43P-15&工柞组

立is戢客尸端支娄Neii（>]iAntiiWui

forUD扎®Wdowi3xa*5/客尸端支娄Neii（>]iAntiiWui

forUD扎®Wdowi3xa*5/学泗血（KidjD3也Muhinhfh0$OS/2.MtJundTih.OS图3.4由上图可以看出，局域网病毒的防护主要从两方面考虑，一方面在网关一级主要对出入局域网的HTTP、FTP和电子邮件（SMTP）流量进行病毒查杀，主要安装赛门铁克的NortonAntivirusforFirewall，NortonAntivirusforGateWay。另一方面，在局域网内部，针对服务器和客户端进行防病毒保护，主要在服务器和客户端安装相应的防病毒软件，同时由一台或多台防病毒服务器通过赛门铁克系统控制中心(SSC)进行统一、集中、智能的防病毒管理。3.332 为总公司、各分公司局域网安装防病毒产品为总公司、各分公司局域网内服务器端安装防病毒软件服务器端防病毒软件的安装包括：NortonAntivirusforFirewalls、NortonAntivirusforGateway、NortonAntivirusforNotes/DominoonAIX/NT 、NortonAntivirusforNetWare 以及防病毒服务器(NAVSERVER)NortonAntivirusforNT和SSC(SymantecSystemCenter)。☆安装防病毒服务器和系统管理中心 SSC(SymantecSystemCenter)在局域网内选择1到2台NT服务器作为总公司或各分公司的防病毒服务器，同时安装Norton防病毒服务器软件和系统管理中心， 在局域网内所有跟防病毒有关的事件和任务如：客户端的安装、配置、病毒定义码和扫描引擎的升级、定时调度、警报管理、实时扫描、实时监控等都可以通过赛门铁克系统管理中心进行管理参看图3.5。☆安装NortonAntiVirusforFireWall1.5由用户提供一台WindowsNTServer用于安装NortonAntiVirusforFireWall，对出入局域网的HTTP、FTP流量进行病毒扫描。☆安装NortonAntiVirusforGateways由用户提供一台WindowsNTServer用于安装NortonAntiVirusforGateways。☆安装NortonAntiVirusforLotusNotesonAIX/NTVersion2.0把Norton AntiVirus forLotusNotes安装在运行LotousNotes/Domino 的计算机上，对出入Notes服务器的邮件进行病毒扫描。☆安装NortonAntiVirusforNovellNetWare在NovellNetware服务器计算机中安装 NortonAntiVirusforNovellNetware，可以通过SSC进行防病毒软件的分发。为总公司、各分公司局域网内客户端安装防病毒软件在赛门铁克网络防病毒解决方案中，客户端防病毒软件的安装有 5种方式，包括：☆登录脚本：装一台域控制器PDC，然后在PDC上安装SSC，建立一个用户NAVSETUP,在用户的配置文件属性中，设置登录脚本VPLOGON.BAT。客户端使用该用户登录到PDC域中自动运行VPLOGON.BAT，客户端将自动安装防病毒软件。☆共享目录：用户只需要在网上邻居找到控制中心共享的 VPLOGON共享名下的VPLOGON.BAT，运行此文件也可自动安装。☆生成静默安装包：可在控制中心，利用PACKAGE.EXE生成一个自解压安装包（约19M），工作站运行此安装包，即可无需应答完成安装。☆采用CD直接到客户端安装：按提示一步一步应答。☆基于Web的客户端安装。如果在总公司、各分公司局域网中划分有VLAN，那么在安装客户端防病毒软件之前，应该在网络层和防病毒服务器做适当的设置：首先为防病毒服务器安装一块支持 VLAN（802.1Q标记）的网卡,可以采用3C980C-TXM，它支持64个VLAN。然后为为该网卡安装相应的驱动程序， 包括VLAN驱动程序，同时给这个网卡设置多个IP地址，每个IP地址分别属于局域网中的VLAN，注意不要和其他的IP地址冲突。当经过以上的设置后，属于不同VLAN中的客户端就可以登录到防病毒服务器来自动安装客户端软件。3.3.4总公司、各分公司局域网内部病毒定义码和扫描引擎升级方式对于局域网内部病毒定义码的升级，主要有两种方式：☆ 在总公司、各分公司局域网内部，我们可以建立内部病毒定义码和扫描引擎升级服务器一LiveUpdaterServer，由这台升级服务器到上一级或赛门铁克网站自动更新最新的病毒定义码和扫描引擎，局域网内部其他服务器和客户端如： NortonAntiVirusforLotusNotesonNT/AIX、NortonAntiVirusforNetWare、NortonAntiVirusforFirewalls、NortonAntiVirusforWindows95/98 等都到这台升级服务器上更新升级最新的病毒定义码和扫描引擎。具体请参看图 3.6

Symantec网站Server可以宜期自动到赛

门铁克网站上欷取最新病Symantec网站艾他服务器和

客户端封LiveUpdate

Server荻取垠

新的病遂定文码和扫描引舉IBMotesanAIS/NTWortonAntiVirusfar-防病毒服务審 IIIII£系统管理申淮（SSC）川IL~rLiveUpdateServer其他的囱病毒眼务器III艾他服务器和

客户端封LiveUpdate

Server荻取垠

新的病遂定文码和扫描引舉IBMotesanAIS/NTWortonAntiVirusfar-防病毒服务審 IIIII£系统管理申淮（SSC）川IL~rLiveUpdateServer其他的囱病毒眼务器IIIHortonAntiVirusforFiretai1客尸端 客尸端 客尸端客户端□t 图3.6☆ 由防病毒服务器到上一级或赛门铁克网站自动更新最新的病毒定义码和扫描引擎，局域网内部属于这台服务器的客户端都到这台服务器上更新、升级最新的病毒定义码和扫描引擎，其他服务器如： NortonAntiVirusforLotusNotesonNT/AIX、Norton AntiVirus forNetWare、NortonAntiVirusforFirewalls、NortonAntiVirusforWindows95/98 等各自分别到赛门铁克网站获取最新的病毒定义码和扫描引擎，具体请参看图3.7

其他展务器可以定掘自动至蠅门铁克刚站上菠飙巖新病毒放码和扫孵摩Symantec网站□ffortonAntiVirusMotesanAlX/NT□I9朋，域网国耕的防官毎啟畀曙可叹NortonAntiVirusfor/加口口v. 恢克网站上衣眼肠txchange 屋折嶄碎定丈期/和扫后引率/客户端=替户端客尸端体他的覘病瞳服务器其他展务器可以定掘自动至蠅门铁克刚站上菠飙巖新病毒放码和扫孵摩Symantec网站□ffortonAntiVirusMotesanAlX/NT□I9朋，域网国耕的防官毎啟畀曙可叹NortonAntiVirusfor/加口口v. 恢克网站上衣眼肠txchange 屋折嶄碎定丈期/和扫后引率/客户端=替户端客尸端体他的覘病瞳服务器厉臂服务器系统该理中心(SSC)Xj.LivtUpSiitnServer口 5MortonAntiVirus

forFirewall客户端335制定相应的管理制度为了确保网络和系统的正常运转，企业必须指定相应的管理制度，如：配备相应的MIS人员负责整个网络安全的目常管理及维护。制定相应的机房上机管理制度。强制实施统一的防病毒策略。及时更新升级最新的病毒定义码。一般情况下每星期应该更新一次病毒定义码和扫描引擎，在特别情况下如有新病毒出现时可能需要每天更新病毒定义码和扫描引擎。因此，管理员最好经常浏览Symantec的网站,查看有关最新病毒和有关病毒定义码和扫描引擎的最新动态。如果发现隔离区有不能清楚的病毒时，要及时把其提交到赛门铁克的防病毒研究中心（SARC）,以尽快得到相应的病毒定义码和扫描引擎。不要随意使用盗版软件和盗版光盘。附录一.病毒概述什么是计算机病毒计算机病毒，简单来讲，其实就是一种可执行的计算机程序。和生物界的病毒类似，会寻找寄主将自身附着到寄主身上。除了自我复制外，某些病毒被设计成为具有毁坏程序、删除文件甚至重新格式化硬盘的能力。在网络中，病毒对计算机的安全构成极大威胁：与网络黑客内外配合，窃取用户口令及帐号等变化多端的方式，使企业网络无时无刻不面对病毒困扰。这也就是必须使计算机具备预防、检查和清除病毒能力的根本所在。病毒最成功之处在于其传播能力，传播能力越强，生存的机率就越大。当计算机病毒附着或感染某个文件或系统中的某个部分之后， 就会传播给临近的项目。如果计算机病毒刚好将自己附着到一般用户经常使用的项目， 或所附着的项目处在一个文件共享非常频繁的环境中，将助长病毒以最快的速度向四处蔓延。因此企业的网络环境，Internet环境是病毒传播、生存的最快最好的温床。病毒感染周期计算机病毒的整个生命过程可大致分为三个阶段：感染、检测和还原。在感染阶段，病毒会感染计算机上的文件。在检测阶段，则利用一些方法找出病毒并加以隔离。至厅还原的阶段，贝U将病毒清除。计算机病毒分类计算机病毒可按照其破坏的目标分为下列几种类型：*程序型病毒：通常以文件扩展名为.COM/.EXE/.SYS/.DLL/.OVL或.SCR的程序文件作为其感染目标。由于程序文件的使用范围极为广泛，而且格式简单,容易被病毒附身，因此成为病毒作者最爱下手的目标。*引导型病毒：以硬盘和软盘的非文件区域(系统区域)为感染对象。这些区域通常是病毒从一台计算机传播到另一台计算机最有效的传播途径。引导型病毒感染和传播的成功率很高，往往比程序型病毒高出好几倍。*宏病毒：以具有宏功能的数据文件为感染对象。 MicrosoftWord或Excel文档和模板文件极容易遭受攻击。由于被感染文件通常会通过网络共享，或者放到Internet站点供大家下载，因此宏病毒的传播速度相当惊人。•特洛伊木马型的程序：由于它们并不会自我复制，常常不被归类成病毒。但它们表面上看起来好象有某种用途或可以提供娱乐效果的程序。这种外表会鼓舞人们去执行它，实事上和古代战役中的特洛伊木马相似，其真正目的很可能恰好与外表相反，会对文件造成破坏，或在计算机中植入病毒。现在，BOBO病毒及其变形就是一种特洛伊木马型的恶意程序，其最大坏处就是潜入计算机，窃取用户的合法帐户名和口令，使网络入侵者侵入用户网络。•有危害的移动编码：浏览Internet网页是动态下载的程序代码。此类代码不归类为病毒，但和病毒一样对数据和系统造成危害。计算机病毒成长最新动态根据美国国家安全协会(InternationalComputerSecurityAssociate ，简称ICSA)的统计报道，98%的企业都曾遇过病毒感染的问题，63%都曾因为病毒感染而失去文件资料，由ICSA评估每一个受电脑病毒入侵的公司电脑，平均要花约美金8,366美金，但更大的成本是来自修理时间及人力的费用，据统计，平均每一电脑要花费44小时的到21.7天的工作天才能完全修复，因此电脑防毒战是没有固定日期的战争，同时，也是一场不眠不休的长期抗战自1987年以来，全世界目前已有超过47000多种电脑病毒，从早期的病毒(文件型，引导型，变种，隐藏型和宏病毒)，到特洛伊木马型(TrojanHorses)，恶作剧型(Hoaxes)，恶意的ActiveX与Javaapplets恶意破坏型程序，电脑病毒层出不穷。而其中以1999年四月造成全球企业电脑严重受损的最新 Word宏病毒梅莉莎97M.Mailissa及最新恶意破坏型(malicious)程序，及1999年六月最新的探险虫Worm.ExploreZip，最为严重!短短数天之间，就传遍全球，造成严重破坏。主要原因是早期电脑病毒以附著方式并以电脑中的文件为感染对象，通常执行文件时才会感染电脑中其他文件， 但是最新的电脑虫却是一个完整程序， 以PC为感染对象，因此，会主动找找透过IP直接感染其他文件，短短时间內，就造成企业瘫痪，因此，防毒软件的自动化机制，才能有效解决问题 ！附录二.赛门铁克企业网络防病毒解决方案的特点和优势赛门铁克企业网络防病毒方案的技术特点和优势主要集中表现在以下几个方面：•先进的防病毒技术*迅速、方便、模块化的升级*简单高效的集中管理策略和工具*强大的技术支持和响应中心*基于Web的客户端安装先进的防病毒技术Symantec的NortonAntiVirus是目前世界上市场占有率最高的防病毒产品,在检测技术、扫描速度、文档修复、软件功能等多方面综合评测中得分最高，多年来屡获计算机行业国际性大奖，被评为技术最好的防病毒产品。赛门铁克公司研究开发出许多独有的防杀病毒技术，这些技术保证了NortonAntivirus 给用户的计算机以最安全的防护功能。1.Autoprotect（ 自动防护）NortonAntiVirus 的自动防护功能可以不间断地提供对病毒的监视，同时在病毒被检测出后立即显示一条警告信息。根据对自动防护选项的设置，此动作将显示相应的感染条目。具体的选项包括：RepairAutomatically（自动修复）DeleteAutomatically（自动删除）DenyAccess（拒绝访问）NotifyOnly（仅发出通知）QuarantineAutomatically（自动隔离）QuarantineIf Unrepairable （如果无法修复则隔离）。2.Bloodhound （侦探）启发式扫描技术在传统的病毒码比对方式的基础上，赛门铁克防病毒研究中心（SARC）的专业研究人员已经开发了两种类型的启发式扫描技术（HeuristicTechnology）来监视疑似病毒的行为。第一种，Bloodhound（侦探）技术，可检测和处理高达80%的新型和未知可执行文件病毒。第二种， BloodhoundMacro （宏侦探）技术，检测并处理90%以上的新型和未知宏病毒。这些统计数据随计算机病毒增长速度的变化而略有不同。但肯定的是， Bloodhound技术可以真实地改变用户面对未知病毒威胁所处的不利地位。由于它只深入检测满足严格先决条件的程序和文档，从而 Bloodhound只需非常小的基本开支。在大多数情况下， Bloodhound可以在百万分之一秒内判定文件或文档是否被病毒感染。一旦作出判定，将立即跳到下一个文件。神经网络技术一可检测和修复引导型未知病毒在Bloodhound 技术上，进一步解决了对未知引导型病毒的检测和修复。 通过此技术，NortonAntiVirus可监测到90%以上的未知引导型病毒。宏病毒自动分析修复技术改变以往的靠人工来修复未知病毒的方式，而采用自动分析并修复病毒的方式。NortonAntiVirus的用户可使用扫描和传送技术 （Sean&Deliver），在最短的时间内获得处理未知病毒的引擎和定义码。Striker32（打击）技术Striker（打击）技术可以搜索出具有多种变形、最复杂和难以检测的计算机病毒。如加密病毒，一种包含了混杂病毒体和译码例程的多态性病毒，它首先获取对计算机的控制，然后解开病毒体。然而，这种多态性病毒还可以通过增加一个变化引擎来随机产生译码例程，这样在每次感染新程序时都会产生一个新的病毒变种。为此，没有任何一种多态性病毒是完全一致的。Striker每次扫一个新程序文件时，它都将把文件调入一个自包含的虚拟计算机。使此程序在虚拟计算机上执行，就象在真实的计算机上运行一样。在“虚拟PC”内部，真实的计算机将不会被感染，多态性病毒只是自行运行并解密。随后Striker在系统上的其他文件被破坏之前扫描、检测并处理此病毒。Striker32技术是Striker技术的发展，可以真正解决目前针对Windows95/98/NT/2000 等32位操作系统的变形病毒。6.MVP防止宏病毒技术通过禁止运行未审定的Word或Excel宏从而绝对保证宏病毒不能够进入系统。二.迅速、方便、模块化的升级1.病毒定义码与扫描引擎由于病毒制作技术的发展，只靠病毒定义不能处理所有的病毒，必须配合对应的扫描引擎。因此迅速地将病毒定义和扫描引擎、新的防病毒技术分布到网络中的每一个设备、每一种平台上，是响应当前突发性恶意病毒的唯一方法， 否则防病毒软件的防护功能就会变得毫无价值。事实上现代防病毒产品与计算机病毒的对抗，体现的是速度的对抗，在突发性恶意病毒到达用户网络之前使网络拥有防护能力，是最强的防护。因此，全面、迅速、方便的升级是企业降低维护成本，减轻管理员的维护力度的重要保证， 也是企业在选择网络防病毒解决方案中需要考虑的重要因素之一。赛门铁克公司采用NAVEX和LiveUpdate技术使用户可以非常轻松迅速地获得最新的病毒定义和扫描引擎。尤其是NAVEX的独特技术，可以保证用户不需要重新安装新版本程序，通过Internet升级就可以防治新病毒，避免了为应付更复杂的病毒不得不让用户每年多次重新安装产品。2.NAV模块化升级技术（NAVEX）NAVEX是一种突破性的全新技术，它存在于所有 NAV产品中，通过它,Symantec可以对来自新型病毒的威胁快速、轻松地作出反应，同时应付自如。早期的防病毒产品由于病毒少，所以每发现