SAV90方案.docx

1、SAV90方案 目录一、 产品定位和功能描述 2二、 产品工作原理、部署和管理方式 21、 产品结构和工作原理 22、 产品部署模式 33、 产品管理模式 5三、 产品的主要技术特点 61、 产品的技术特点 62、 产品管理方式 93、 病毒定义码、扫描引擎和软件修正的升级方式 104、 集成管理（可扩展性） 115、 Symantec AntiVirus 企业版单独的技术特点 12四、 产品主要性能指标参数 13五、 系统最低硬件配置要求 14Symantec 防病毒产品技术白皮书大纲一、 产品定位和功能描述为服务器和工作站提供病毒防护。具有自动的数字免疫系统，能快速、可靠、自动的删除、分析

2、并修复新病毒。集中管理企业范围内的防病毒服务器和客户端.同时，赛门铁克独特的 NAVEX 技术无需重新部署软件即可更新病毒定义和扫描引擎，从而使系统正常运行时间最大化。二、 产品工作原理、部署和管理方式1、 产品结构和工作原理Symantec AntiVirus 企业版由4个主要的部分组成： Symantec系统中心 Symantec AntiVirus 服务器 Symantec AntiVirus 客户端 Symantec AntiVirus 隔离区Symantec系统中心： Symantec System Center (简称SSC)是中央管理控制台。该管理控制台集中管理运行Symante

3、c AntiVirus 企业版的服务器和客户端；可以启动和调度扫描，以及设置实时防护，从而建立并实施病毒防护策略，管理病毒定义文件的更新，控制活动病毒，管理计算机组的病毒防护，以及查看扫描、病毒检测和事件历史记录等功能。Symantec AntiVirus 服务器：管理其他Symantec AntiVirus 企业版的服务器和客户端。Symantec AntiVirus服务器可将配置和病毒定义文件更新分装到Symantec AntiVirus 客户端上，Symantec AntiVirus服务器能将所有被管理的Symantec AntiVirus 客户端分成逻辑的组，以适应为用户定制的策略管理

4、。Symantec AntiVirus 客户端：为运行他的计算机提供病毒防护功能。通过接受Symantec AntiVirus 服务器的管理，自动的获得病毒定义码和扫描引擎的更新以及发送警报到服务器。Symantec AntiVirus 隔离区：可以将所有不可修复的、受病毒感染的文件转向到一个安全的区域，以实现进一步的检测。将病毒从主要的运算环境清除，可以提供更好的防护，并且防止它们在企业内部蔓延。由于能够在提交受宏病毒感染的文件之前就能从其中剥离敏感、专用的数据，它还有助于维护IT的可信性。2、 产品部署模式Symantec系统中心的安装部署:Symantec系统中心控制台已嵌入“Micro

5、soft管理控制台” (MMC)中。MMC随Windows 2000Professional/Server/Advance server/XP一起自动安装。通常Symantec系统中心（SSC）和Symantec AntiVirus 服务器安装在同一台机器上。Symantec AntiVirus 服务器的部署方法：可以选择以下任一一种安装方法来部署Symantec AntiVirus 服务器1. 光盘（CD）进行安装剥。可直接从Symantec AntiVirus企业版光盘安装到受支持的操作系统的计算机。2. “AV 服务器分装”工具。可从Symantec系统中心将服务器安装推送给运行受支持的

6、操作系统的计算机。3. Symantec Packager可创建包含服务器安装的定制安装包，直接推到受支持的操作系统的计算机。4. 基于WEB把创建的安装包通过WEB的方式部署到受支持的操作系统的计算机。Symantec AntiVirus 客户端的部署方法：a) Symantec Packager包部署,推送b) 登录脚本自动安装。c) 从SAV的服务器的客户端安装文件夹运行d) 基于WEB安装。e) 采用光盘直接安装。f) 预先配置的安装包g) 从网站下载安装h) 第三方工具i) NetWare服务器自动安装主要几种部署方式的优缺点1.推送优点：可以直接从Symantec AntiViru

7、s企业版光盘推送Symantec AntiVirus客户端安装。利用此方法，可以在WindowsNT/2000/XP计算机上进行安装，无需向用户授予其计算机的管理权限。Symantec Packager包部署可以同时安装到多个客户端，而不必逐个访问每个工作站，远程安装的一个优点：如果有客户机所属域的管理员权限，那么在安装前用户不用以管理员身份登录到他们自己的计算机，客户端可采用静默的安装，不需要用户操作。缺点：对于WIN98/95的计算机不能实现此安装方法。2登录脚本自动安装。优点：可以利用配置登录脚本让客户端登陆WIN NT或WIN200的域自动安装防病毒的客户端。缺点：网络一定要又域服务器

8、，并且客户端一定要登陆域。3 从服务器安装 优点： 可以从要用作父服务器的Symantec AntiVirus企业版服务器运行防病毒客户端安装包。准备工作：安装Symantec AntiVirus企业版服务器。 缺点：需要用户主动访问服务器来执行安装程序。为确保安装成功，将Symantec AntiVirus企业版服务上的VPHOMEclt-instWIN32共享目录映射到用户本地的网络驱动器。4. 基于WEB安装。优点：用户打开IE浏览器，从内部WEB服务器下载客户端安装包，然后运行它。该选项适用于Windows 98MeXPNT2000计算机。缺点：准备内部Web服务器，确保Web服务器符

9、合最低要求。 5. 采用光盘直接安装。 优点：不会造成网络的流量，。 缺点：交互式的安装；大量的人力消耗。 3、 产品管理模式Symantec系统中心、服务器、客户端三部分的三级管理架构如下图所示：网络各层次的防病毒产品均可以通过赛门铁克控制中心Symantec System Center (SSC)实现统一集中的管理，如防病毒软件的安装、维护、病毒定义码和扫描引擎的更新升级、网络防病毒策略的配置、报警的集中管理、定时调度、隔离、实时扫描和监控等。为了便于维护和管理，安装专用的集中管理服务器，用做病毒的防、控系统中心。这个监控中心的功能包括： 强大、灵活的管理和任务调度手段，允许管理员通过中心

10、控制台，集中地实现全网范围内防毒策略的定制、分发和执行。 允许管理员通过控制台，集中地实现所有节点上防毒软件的监控、配置、查询等管理工作。能够通过控制台看到客户端的病毒版本、查杀毒记录及各种日志信息。 负责病毒扫描引擎和代码库的更新，并能将此扫描引擎和代码库自动提供给各种服务器和工作站。 提供多种软件安装和软件升级的手段，必须提供远程安装客户端、基于WEB的软件安装和手动、定时病毒库版本升级功能，以方便管理，节省劳动成本。 提供远程病毒报警手段，网内任何一台计算机上发现病毒时，杀毒软件自动将病毒信息传递给网络管理员。 灵活的管理方式，可以支持集中和分步式管理，分步式管理可以跨越广域网，跨广域网

11、时需要有效地利用带宽。 支持多级中心管理，各子网可以有单独的控制中心来管理，事项管理任务分担。而有一个控制中心监控整个企业网。 分组管理：管理员可以按照自己的需要对所有的网络终端结点进行任意分组。可将不同物理地点的服务器分组，对于客户端也可根据配置的需要分组，包括设置客户端密码、实时监控客户端配置、统一刷新客户端状态、统一发送广播、查询历史记录等。不同组可以执行不同的防病毒策略。 对于工作站和服务器隔离的可疑病毒样本可以集中到一台服务器上处理，实现集中隔离。三、 产品的主要技术特点1、 产品的技术特点数字免疫系统可以自动提交病毒威胁，并自动为受感染计算机或整个企业提供解决方案。针对未知病毒的防

12、护，Symantec 免费提供扫描和传送 (Scan & Deliver)自动防毒解毒机制，通过Symantec SARC病毒防治中心 (Symantec AntiVirus Research Center)，于最短时间內将文件解毒传回贵公司，过程中无需通过人的联系，所有机制都內建于Symantec AntiVirus 软件自动机制中，同时，同时SARC 传送追踪编号给用户，让用户收到解决方案，SARC 也会利用在过程中输入的信息与用户联络。通过SARC的自动防护机制，赛门铁克给从客户送文件到收到解决方案，最快半个小时之內需要完成。预防未知病毒的专利技术BloodHound放弃传统的病毒码比对

13、方式，改采赛门铁克专利的启发性技术 (Heuristic Technology) 来检测疑似病毒的行为。为赛门铁克防毒软件內建对付未知病毒的标准功能。可检测 95% 的未知宏病毒可检测 90% 的未知引导型病毒 (集成了来自 IBM 的技术)可检测 80% 的未知文件型病毒检测多变形病毒的专利技术赛门铁克的Strike检测多变形病毒的专利技术通过这一技术，Strike可检测最复杂的多变形病毒或自我变异的病毒，这一技术也使得赛门铁克防病毒研究中心(SARC)分析和修复复杂病毒大大加快，比传统的防病毒扫描引擎要快很多。当今多变形病毒用传统的方法非常难于检测是因为多变形病毒自我变异而失去用病毒特征码

14、来识别的方法，Striker 通过创建一个虚拟的计算机，给病毒提供一个虚拟的发作环境来抓获病毒，同时不使病毒对系统造成任何损。一般的防病毒软件对每一个变形病毒采用一个病毒特征码，这样会造成病毒库非常巨大，而且检测效率低，因此对付多变形病毒的Strtike技术不但准确，而且效率高。扩展扫描引擎 NAVEX专利技术，升级简单将扫描引擎从扫描软件中分离出来成为一个可迅速以LiveUpdate 更新的模块，同时所有赛门铁克防毒软件均共用同一个模块，扫描引擎更新后无须重新启动电脑。扩展扫描引擎技术给用户带来的好处： 没有扫描引擎升级的流量 升级完病毒码和引擎，不需要重启系统 平台升级迁移时，不需要重新安

15、装防毒软件，如Office 2000升级到Office XP等。对用户的好处是：只要一次的下载和安装就可以完成病毒定义码和扫描引擎的升级。最短时间內将企业內所有平台之防毒软件，同步更新到最新扫描引擎及病毒定义码，确保用户不受最新病毒的威胁。不用重启机器，因此不会造成用户之不方便，尤其是Server级之机器。扫描引擎与扫毒应用软件分开。集中化隔离功能可以实现集中化病毒管理使得管理人员可以将所有不可修复的、受病毒感染的文件转向到一个集中化的服务器，以实现进一步的检测。将病毒从主要的运算环境清除，可以提供更好的防护，并且防止它们在企业内部蔓延。由于能够在提交受宏病毒感染的文件之前就能从其中剥离敏感、

16、专用的数据，它还有助于维护IT的可信性。LiveUpdate增量在新式更新Liveupdate 可以使用户叠加式更新病毒定义码，Liveupdate Server设置定时对网络内所有Symantec产品所需要之语言、版本，让用户更新时可以一次完成软件、病毒定义码所有更新。LiveUpdate实现在线更新的同时，还是增量式的，每次只下载新增部分，不但提高速度、减少下载时间，还提高稳定性。内部病毒码传输的优化Symantec AntiVirus企业版在内部网络传输病毒定义码所用的病毒定义库文件从原来的3M缩小到80K，服务器到客户端的病毒定义码传输采用多线程的技术，使得多台客户端可同时更新。威胁追

17、踪Symantec Antivirus企业版能够定义威胁来源的客户端，并对定义的对象采取相应的措施，减少向网络内传播的风险。互联网邮件扫描Symantec Antivirus企业版扫描客户端传输的邮件的正文和附件。例如基于Microsoft Outlook, Microsoft Outlook Express, Eudora, and Netscape Mail等。同时队发送邮件进行启发式蠕虫扫描。防止蠕虫通过邮件传播。扩展风险检测检测扩展的非病毒风险，包括蠕虫、木马等。减少潜在的风险对企业网络的威胁。内存扫描检测驻留内存中的病毒，并停止病毒运行的进程。防止驻留内存型病毒攻击。例如Code R

18、ed 和Nimda分布式的流量管理无论是升级病毒定义码还是分发管理参数，多使用分布式的流量管理，控制中心到服务器，服务器可以到下一级服务器，工作站都从本地的服务器获取更新，这样减少远程通讯的网络流量。可建立内部更新站点可在企业网内部建立一个LiveUpdate服务器，减少到Internet的流量，LiveUpdate既可以更新病毒定义码，也可以更新软件本身。自身安全性及其他 记录未授权的登录值变更动作。 当软件遭篡改通知管理员。 可设定自动启动防护功能的时间，防止关闭实时防护而导致的病毒侵害。 控制中心建立在Windows的管理标准之上，使用MMC接口。有些防毒软件的控制中心建立在MS的IIS

19、上，IIS本身有许多漏洞，而且容易被攻击会造成不安全的因素。赛门铁克的防毒控制中心用微软的Windows管理标准，同时也防止这些安全漏洞。 系统方面做了加强，防止各种因人为疏忽因素导致的安全问题，如实时防护关闭后会自动打开。有些病毒、蠕虫和木马专门针对防病毒软件，在一些用户或管理员疏忽地情况下，有可能防病毒软件被更改用，用木马代替，在这种情况下系统会通知管理员。2、 产品管理方式可采用集中管理和分级管理的管理方式 统一管理、集中监控：主要指的是由总公司进行集中监管，包括：1、 由总公司根据各分公司的具体情况统一制定相应的防病毒策略和实施计划。2、 总公司负责全网的病毒定义码、扫描引引擎和软件修

20、正的升级工作，并将升级文件自动逐级分发至各分公司的防病毒服务器。3、 总公司负责各分公司被隔离文件的提交和返回相应的病毒定义码和扫描引擎。4、 总公司或分公司可以通过广域网对下级的病毒管理服务器进行集中监控和管理，在必要时上级的病毒管理服务器可以直接管理下级公司的病毒管理服务器。 分级管理、分级维护：主要指的是根据公司现有的网络构架和管理体制，设立总公司、和下级分公司二级管理中心。各级管理中心负责本地病毒防护系统的实施和维护工作，由人总公司来进行集中监管，包括：1 各分公司负责自己局域网防病毒软件的安装。2 配置和实施各总公司制定的防病毒策略。3 监控自己局域网防病毒状态；各分公司分别负责自己

21、局域网防病毒状态的监控 和对病毒事件做出相应的响应。4 日志文件的维护。5 报警维护。3、 病毒定义码、扫描引擎和软件修正的升级方式首先升级总部防病毒服务器的病毒定义码、扫描引擎和软件修正。根据实际情况可以配置总部防病毒毒服务器自动或手动通过Internet到赛门铁克网站升级最新的病毒定义码和扫描引擎。其他分公司网络的防病毒服务器到总部的防病毒服务器进行病毒定义码、扫描引擎和软件修正的更新、升级，同时作为备份如果条件允许，这些网络的防病毒服务器也可以自己通过Internet到赛门铁克网站进行升级。如下图所示，采用这种升级方式，一方面可以确保整个网络内的病毒定义码和扫描引擎的更新基本保持同步。另

22、一方面，由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成，就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力，同时也避免了各机构自行到Internet升级而带来的不便和安全隐患。 病毒定义码、扫描引擎和软件修正的升级方式有下列特点： 病毒更新采用三层结构，总中心作为发起方通过INTERNET实现总中心病毒特征库码的网上更新； 网络中心可采用推技术定时作为发起方，实现对本地各防病毒客体病毒特征码库的更新；防病毒客体可采用拉技术作为发起方，通过局域网与分中心建立连接，实现病毒特征码库的更新； 病毒特征码库和病毒扫描引擎不用分开升

23、级，可以通过网络同时一次升级； 病毒特征码库更新的频率平均每星期一次；应急更新可手动到symantec 网站下载，其更新频率为从星期一到星期五每天都有更新。 对于网络内部所有机器病毒特征码库更新，可自动即时的由系统自动完成，无须人员手动干预； 病毒特征码库更新后，立即作用，无须对系统作重新配置与调整。4、 集成管理（可扩展性）可扩展的集成安全管理可由赛门铁克的安全管理控制中心SESA集中管理赛门铁克防毒软件的事件，SESA是一个整体安全的管理架构，可管理防病毒、防火墙、入侵检测、风险评估等各种安全产品，它通过如下的结构管理各种安全产品，实现企业的整体安全视图。采用SESA管理防病毒除了可以生成

24、统一的报表、各种报告之外，还可以在将来其他安全产品部署后纳入到SESA的管理之中，并且实现各种安全事件的关联。SESA管理界面如下图：5、 Symantec AntiVirus 企业版9.0单独的技术特点数字免疫系统可以自动提交病毒威胁，并自动为受感染计算机或整个企业提供解决方案。预防未知病毒的专利技术BloodHound放弃传统的病毒码比对方式，改采赛门铁克专利的启发性技术 (Heuristic Technology) 来检测疑似病毒的行为。为诺顿防毒软件內建对付未知病毒的标准功能。扩展扫描引擎 NAVEX专利技术，升级简单将扫描引擎从扫描软件中分离出来成为一个可迅速以 LiveUpdate

25、 更新的模块，同时所有赛门铁克防毒软件均共用同一个模块，扫描引擎更新后无须重新启动电脑。后台基于“Microsoft管理控制台” (MMC)的Symantec系统中心控制台四、 产品主要性能指标参数Symantec AntiVirus 企业版服务占用很少的系统资源, 安装Symantec AntiVirus 9.0 企业版有以下服务:Symantec AntiVirus 企业版服务器服务服务名称二进制名称说明Symantec Antivirus serverRtvscan.exe主要的Symantec AntiVirus企业版服务,大多数与Symantec AntiVirus企业版服务相关的任

26、务都在此服务中执行.DefwatchDefwatch.exe监视是否有新病毒定义发布的服务.当收到新的病毒定义时,启动对隔离区文件的扫描.Intel PDSpds.exePing 搜索服务.允许在该计算机上发生Symantec AntiVirus企业版服务搜索服务.Symantec AntiVirus 企业版客户端服务服务名称二进制名称说明Symantec Antivirus ClientRtvscan.exe主要的Symantec AntiVirus企业版服务,大多数与Symantec AntiVirus企业版服务相关的任务都在此服务中执行.DefwatchDefwatch.exe监视是否有

27、新病毒定义发布的服务.当收到新的病毒定义时,启动对隔离区文件的扫描.Symantec AntiVirus 系统中心服务服务名称二进制名称说明Symantec System Center Discovery ServiceNsctop.exe搜索服务用于在网络上查找Symantec AntiVirus企业版服务器,搜索服务还为控制台提供对象.Alert Management System服务服务名称二进制名称说明Intel Alert HandlerHandlrsvc.exeAMS Alert Handler服务.提供警报操作,如消息框,寻呼,电子邮件等等.Intel Alert Origina

28、torlao.exeAMS Alert Originator服务.实现在该计算机上接受警报.可从本地计算机上接受警报,也可以从远程计算机上接受警报.Intel File TransferXfr.exe文件传输服务.为AMS提供文件传输功能.Intel PDSpds.exePing 搜索服务.允许在该计算机上发生Symantec AntiVirus企业版服务搜索服务.五、 系统最低硬件配置要求Symantec AntiVirus Corporate Edition 9.0 Windows 32-位客户端 操作系统Windows 98, Windows 98 SE, Windows Millenn

29、ium EditionWindows NT 4.0 Workstation, Server, and Terminal Server Edition with Service Pack 6aWindows 2000 Professional, Server, Advanced ServerWindows XP Home, ProfessionalWindows Server 2003 Web, Standard, Enterprise, and Datacenter Editions. 55MB内存 32MB硬盘空间 Microsoft Internet Explorer 4.01或以上浏览器

30、. Windows 64-位客户端 Intel Itanium2处理器 操作系统 Windows XP 64-位 Edition Version 2003Windows Server 2003 Enterprise and Datacenter 64-Bit Editions 最低64MB内存 最少70MB的硬盘空间 NetWare Servers Intel 奔腾处理器 (推荐Pentium II以上) 操作系统 NetWare 5.x, 6 SP1 15 MB 内存 （高于标准NetWare 内存需求），用于Symantec AntiVirus NLM 116 MB磁盘空间 （70 MB磁

31、盘空间用于SAVCE服务器文件，46 MB 磁盘空间用于SAVCE客户磁盘镜像） 20 MB 磁盘空间用于AMS2服务器文件（如果您选择安装AMS2 服务器） Symantec 系统管理中心 36MB 磁盘空间 32 MB 内存 Windows NT 4.0 Workstation 和带Service Pack 6a的服务器， Windows 2000 Professional、服务器、高级服务器、Windows XP Professional，Windows 2003 WEB、标准版、企业版、Datacenter版。 Internet Explorer 5.5 SP2 Microsoft 管理控制面板1.2版。如果 MMC没有安装好，您可能需要 3 MB空余的磁盘空间（在安装时为10 MB） Intel 奔腾处理器（推荐采用奔腾II