企业级防病毒解决方案.docx
《企业级防病毒解决方案.docx》由会员分享,可在线阅读,更多相关《企业级防病毒解决方案.docx(27页珍藏版)》请在冰点文库上搜索。
企业级防病毒解决方案
XXX
网络版防病毒安全方案
趋势科技(中国)有限公司
2011年X月
1.XXX信息化建设现状
1.1XXX网络及应用基本情况
XXX业务基本情况和信息化建设现状.
1.2XXX主要安全问题
随着XXX最近几年网络应用的快速发展和具有黑客攻击特征的新类型病毒的大量出现,原有的防毒措施已经不能很好满足XXX网络系统的需要,突出表现在如下几个方面:
1.2.1防病毒软件零散没有统一应用
整个XXX都没有统一部署防病毒软件,各个单位自行建设,没有统一部署和统一管理,桌面计算机的病毒防护能力相对较低。
最终导致病毒、木马软件、间谍软件、僵尸程序等恶意程序经过一机多用,U盘使用,网络共享等方式悄无声息的入侵到网络和计算机中来。
然而,依据信息安全建设的“木桶原理”,一台计算机不安全,就会降低整个企业的信息安全治理水平。
所以,只要还有未部署防病毒软件的不安全计算机存在,XXX的信息安全水平就会受到极大的影响。
1.2.2现有网络版防毒系统功能不够全面
随着新型病毒的不断出现,在网络节点上的病毒防护要求变得越来越高,一方面要求网络版防毒系统对病毒、木马、蠕虫、间谍软件、灰色软件等恶意程序具备综合的防护能力,另一方面要兼具网络层扫描、防火墙、IDS等精细化策略控制。
原有网络版防毒系统由于不能很好满足当前的防护要求,在网络节点防范方面存在着潜在的安全隐患。
此外,现有防病毒系统采用传统的病毒码比对技术,严重依靠单一的病毒码防范机制,导致大量新病毒出现的今天无法有效地抵御威胁,特别是当前大量的恶意站点威胁,计算机用户一不小心就在网络应用中感染木马、间谍程序。
1.2.3现有网络版防毒系统可操控性差
在原网络版防毒系统中,管理人员常常是被动地面对病毒的攻击,无法采取主动性的安全策略实施,来提高整个网络系统的安全防护能力,如没有办法对整个网络节点的安装状况进行随时监控、没有办法对潜在病毒的传播途径进行整体封堵、没有办法对病毒传染源进行及时掌控等。
1.2.4不具备安全策略控制能力
在今天的防毒系统构建中,我们为了保证防毒系统平稳、顺利地运行,就必须对网络节点补丁的部署、防毒系统的安装、防毒系统的更新、是否加入域等节点状态进行必要的监控和控制,在网关层次上拒绝掉不符合安全策略要求的节点的对外访问。
只有这样,才能构建起良性互动的病毒防护安全体系。
1.2.5防毒服务不到位
原先部署的网络版防毒系统,仅仅是产品的部署和应用,然而,安全防护能力是一个动态的过程,今天有效的防御能力并不代表明天还具有同样的水平,必须有相应的项目运维保障。
没有合作伙伴及厂商良好的服务支持,这对安全性要求极高的XXX网络系统来讲是远远不够的,XXX网络系统需要的是专职服务工程师的快速响应和咨询顾问式服务,并在厂商技术人员的指导下构建起XXX的快速防毒应急体系,随时与厂商的防毒应急体系进行互动。
1.3来自互联网的威胁不断激增
据国际权威的第三方监测组织AV-Test统计数据看,当前互联网上已有超过1600万种恶意程序,并且还在不断激增,每小时有1883多种新病毒产生。
根据国家计算机病毒应急处理中心2009年调查的数据,国内病毒感染率自2001年以来一直处于高水平。
感染过计算机病毒的用户比例2001年为73%,2002年为83.98%,2003年增长到85.57%,2008年感染率达到87.50%,2009年略有下降,感染率为70.51%。
信息来源:
2009年8月公安部国家计算机病毒应急处理中心
从病毒传播的方式上看越来越多样化,比如网络浏览、文件下载、收发电子邮件、局域网访问、光盘等存储介质使用。
计算机用户在一不小心,就感染了病毒等恶意程序。
信息来源:
2009年8月公安部国家计算机病毒应急处理中心
2.病毒防治建设要求
基于XXX安全建设现状的分析,以及业界信息安全建设最佳实践,我们提出了下一步病毒防治建设的规划要求。
1)具有良好的防病毒安全策略,且能构成动态自适应防病毒系统
构建一个全面有效的网络防病毒系统,应根据特定的网络环境定制病毒防护策略:
策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。
从宏观角度统筹规划网络安全体系,全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段,能够在病毒爆发生命周期各个阶段对病毒进行有效的控制,将病毒造成的损失降到最低。
2)部署针对不同操作系统平台及应用防病毒软件
在XXX的网络体系中,各类操作系统平台有大量应用,如Windows2000/2003/Vista/2008/Windows7系统,此外还分布有大量应用系统,如邮件系统,数据库系统等。
要求防病毒系统能够覆盖到各个操作系统平台的计算机的保护。
3)全网病毒代码统一自动更新功能
构建有效病毒防护的关键环节需要保证产品能做到定期升级,网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能,同时具备自动分发功能,能够在单点更新,然后在不需要人为干预的情况下,实现全网所有产品的病毒码更新。
3.防病毒系统建设
3.1防病毒体系设计思路
为了构建一个强壮、有效的防病毒体系,在分析了用户网络架构及相关应用之后,针对潜在的病毒传播威胁,建议采用结合产品、防御策略、服务为一体的防病毒体系。
第一层:
产品管理层(officescan)
该层主要用于对officescan服务器端进行统一的管理,查看全网计算机的病毒日志,进行统一的病毒清除和病毒代码更新,策略的统一下发,设置终端计算机退出、卸载密码等。
第二层:
产品客户端层
位于防护体系的第三层次,由客户端防护产品OfficeScan客户端构成,主要用于防护客户机,完成对病毒的查杀,并向安装在专用防病毒服务器的OfficeScan管理中心报告,并进行集中管理。
3.2网络防病毒部署架构
总体安全部署示意图如下:
防毒墙网络版(OfficeScan)系统,对全网的OfficeScan客户端进行监控和管理,其中包括统一安全策略部署、病毒码/反病毒引擎的升级、集中日志管理等。
3.3网络版防病毒软件OfficeScan简介
概述:
趋势科技的OfficeScan网络版防病毒产品将管理,配置与部署的功能集中到服务器端(Officescan服务器端)。
透过Officescan服务器端的Web接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设置全公司的防毒策略(每一台计算机都安装了Officescan客户端防病毒软件),并且也能迅速响应各种紧急事件。
产品主要功能:
桌面虚拟化特别优化
∙自动识别客户端运行环境于物理终端或虚拟终端,从而提供更好的防护目标
∙通过设置将桌面虚拟器的扫描和特征码的更新作业排程,防止发生网络、CPU和存储器冲突
∙利用初始母版和白名单技术,记录扫描内容,从而缩短虚拟桌面的扫描时间
文件信誉技术(FRT)
∙用户访问某文件前将自动在云端查询该文件的最新安全等级,并阻止用户对低安全等级文件的访问
∙病毒代码部署时间从原有的数小时甚至数天,缩短至几秒
∙不论是否与企业网络连接,都可为终端提供零时差防护
∙文件病毒代码移至云端,对终端性能和资源占用节省40%
Web信誉技术(WRT)
∙防御基于Web的恶意软件、数据窃取、生产力损失和信誉损害
∙对数以百万计的Web站点进行动态评级,确定其安全性
∙不论使用何种连接类型以及网络连接方案,都可以提供实时防护
∙私有云技术完成本地服务器同步并提升Web性能和隐私性
数字资产控制(数据保护模块)
数字资产控制可保护组织的数字资产免遭意外或故意泄露,数字资产控制允许您执行以下操作:
∙确定要保护的数字资产
∙创建用于限制或阻止通过常用传输通道(如电子邮件和外部设备)传输数字资产的策略
∙按照已建立的隐私标准强制执行合规
卓越的恶件防护
∙针对病毒(Virus)、特洛伊木马病毒(Trojan)、蠕虫(Worm)、间谍软件(Spyware)和新变种病毒提供强大防护
∙以全新的技术侦测并清除活动和隐藏中的Rootkits
∙新设备控制技术可依照企业的规定安全地处理可移动媒介
∙对客户机的POP3电子邮件以及Outlook文件夹进行威胁扫描,保护终端邮箱
虚拟补丁技术(入侵防护模块插件)
∙安装补丁之前保护终端免受漏洞攻击
∙提供零日防护,尤其针对无法轻易安装补丁的终端
∙比传统补丁更快速、更容易地部署
扩展的平台支持
∙与您的Microsoft基础架构精准的结合,提供向WindowsServer2008的安全移植
∙支持虚拟化环境和CitrixTerminal服务器,实现高效的资源利用
∙通过Windows安全中心简化管理
∙支持Windows®EmbeddedPOSReady2009;Windows®EmbeddedEnterprise(Windows7、Vista和XP版本)
易于管理
∙自动清除用户端的恶意软件,包括隐藏或被锁定的程序和系统登陆资料
∙与微软ActiveDirectory轻松集成,同步检索终端信息并依据策略提供报告
∙支持原生64位和32位运算,性能最优化
∙可通过单一Web介面主控台集中管理
3.4详细部署介绍
3.4.1网络版系统需求
3.4.1.1防毒墙网络版服务器
带有2GHz双处理器和2GB内存的防毒墙网络版服务器通常可以管理3000到5000个客户端。
带有3GHz双处理器和4GB内存的防毒墙网络版服务器通常可以管理5000到8000个客户端。
1、操作系统
Windows2003
-带有ServicePack2的WindowsServer™2003(Standard、Enterprise和Datacenter版)或更高版本,32位和64位版本
-带有ServicePack2的WindowsServer2003R2(Standard、Enterprise和Datacenter版)或更高版本,32位和64位版本
-WindowsServer2003R2,32位和64位版本
-MicrosoftClusterServer2003
Windows2008
-带有ServicePack1的WindowsServer2008(Standard、Enterprise、Datacenter和Web版)或更高版本,32位和64位版本
-MicrosoftClusterServer2008
-如果Windows2008在服务器核心或Hyper-V™环境中运行,则无法安装防毒墙网络版。
防毒墙网络版支持在以下虚拟化应用程序中托管的来宾Windows2000/2003/2008操作系统中安装服务器:
-VMware™ESX™/ESXiServer3.5(服务器版)
-VMwareServer1.0.3或更高版本(服务器版)
-VMwareWorkstation和WorkstationACEEdition6.0
-也可以将服务器安装到带有ServicePack1的MicrosoftVirtualServer2005R2上托管的来宾Windows2000和2003(32位)操作系统上。
2、硬件(Windows2008)
处理器
-至少1GHzIntel™Pentium™或同等x86处理器以及1.4GHzx64处理器;建议使用2GHz处理器
-至少1.86GHzIntelCore2Duo™(如果安装集成型云安全服务器)
-AMD™64和Intel64处理器体系结构
内存
-最低要求是512MB,建议使用2GB
-最低要求是1GB(如果安装集成型云安全服务器)
可用磁盘空间
-最低要求是2.8GB(如果本地安装防毒墙网络版服务器、防毒墙网络版客户端、策略服务器forCisco™NAC和集成型云安全服务器)
-最低要求是3.2GB(如果远程安装防毒墙网络版服务器、防毒墙网络版客户端和集成型云安全服务器)
其他
-千兆网络接口卡(NIC)
-在颜色为256或更高时,支持分辨率800x600的显示器
3、硬件(适用于所有其他平台)
处理器
-800MHzIntelPentium或同等处理器
-至少1.86GHzIntelCore2Duo™(如果安装集成型云安全服务器)
内存
-最低要求是512MB,建议使用1GB
-最低要求是1GB(如果安装集成型云安全服务器)
可用磁盘空间
-最低要求是2.8GB(如果本地安装防毒墙网络版服务器、防毒墙网络版客户端、策略服务器forCiscoNAC和集成型云安全服务器)
-最低要求是3.2GB(如果远程安装防毒墙网络版服务器、防毒墙网络版客户端和集成型云安全服务器)
其他
-千兆网络接口卡(NIC)
-在颜色为256或更高时,支持分辨率800x600的显示器
4、Web服务器
-MicrosoftInternetInformationServer(IIS)
⏹在Windows2000上:
版本5.0
⏹在WindowsServer2003上:
版本6.0
⏹在WindowsServer2008上:
版本7.0
-Apache™Webserver2.0.x
-可访问服务器计算机的管理员或域管理员权限
-对于安装在服务器计算机上的Microsoft网络,允许“文件和打印机共享”
-如果计划在安装防毒墙网络版服务器的同一台计算机上安装CiscoTrustAgent(CTA),则不要在WindowsServer2003x64版上安装防毒墙网络版服务器。
3.4.1.2防毒墙网络版客户端
∙Windows®7
1GHzIntel™Pentium™、2GHzIntel™x64处理器、2GHzAMDx64处理器;1GB内存;1G可用磁盘空间
∙Windows®2008
1GHzIntel™Pentium™、Intel™x64处理器、1.4GHzAMDx64处理器;1GB内存;350MB可用磁盘空间
∙Windows®Vista®
800MHzIntel™Pentium、Intel™ x64处理器、AMDx64处理器;1GB内存;350MB可用磁盘空间
∙Windows®XP和2003
300MHzIntel™Pentium™、Intel™ x64处理器、AMDx64处理器;256MB内存;350MB可用磁盘空间
∙Windows®EmbeddedPOSReady2009
300MHzIntelTMPentiumTM处理器或等效处理器;256MB内存;350MB磁盘空间
∙Windows®EmbeddedEnterprise(Windows7、Vista和XP版本)
300MHzIntelTMPentiumTM处理器或等效处理器;256MB内存;350MB磁盘空间
∙虚拟化
MicrosoftVirtualServer2005R2SP1;VMwareTMvSphere4;VMwareESXiServer4;VMwareServer2.0;VMwareWorkstation和WorkstationACEEdition7;VMwareView4;CitrixXenAppServer5;CitrixXenDesktop4;CitrixReceiver1.2
3.4.1.3打开Web控制台
从网络上具有下列资源的任何计算机打开Web控制台:
-300MHzIntel™Pentium™处理器或同等处理器
-128MB内存
-至少30MB的可用磁盘空间
-在颜色为256或更高时,支持分辨率800x600的显示器
-MicrosoftInternetExplorer™6.0或更高版本
3.4.2网络版部署方式
-OfficeScan管理端安装在服务器上
-客户端支持如下多种安装方式:
1.登录脚本安装
2.浏览器安装(将安装链接放在网站上)
3.远程安装
4.扫描安装
5.光盘安装
6.通知安装
7.共享安装
8.生成安装包安装
9.通过微软SMS安装
10.硬盘克隆安装
3.4.3网络版管理方式
在任一台客户机上打开浏览器,访问网址http:
//IP_Server:
4343/officescan,输入口令就可以管理,管理支持HTTPS,如下图所示:
3.4.4网络版升级方式
自动升级,增量分发,如果服务器端不能上网,可通过部署趋势科技更新复制服务器实现集中更新,客户端更新同时支持三种更新方式:
1.主动分发:
管理端从Internet自动升级一次后,自动按增量分发至被管理的每一台在线客户端,非在线客户端一旦接入网络,即可立即;
2.“拉”方式更新:
可以配置客户端自行从服务器端通过“拉”的方式获得更新,这种情况适合NAT环境;
3.自行上Internet更新:
被管理客户机可以直接上Internet获得更新,支持移动办公的防护要求。
3.5趋势Officescan产品优势
●趋势科技:
全球网络防病毒领导厂商产品,有较高的产品知名度;
●趋势科技:
具有全球性病毒检测能力,具有对网络版防病毒软件、防病毒网关、网络层安全网关产品的集中控管能力;
●综合性的防护能力:
采用业界最先进的云安全技术——网页信誉技术(WRT)和文件信誉技术(FRT),在云端提供快速、实时的安全状态查找功能。
最防护海量病毒有效手段。
它使计算机免受病毒,特洛伊,蠕虫和现在的间谍软件的攻击,同时具备防火墙和入侵检测的能力;
●降低资源消耗:
减少针对新出现的威胁提供防护所需的总体时间。
减少在特征码更新期间占用的网络带宽。
大多数特征码定义更新只需要传送到云端,而不是许多端点。
减少整个公司范围内特征码部署所涉及的成本和开销。
降低端点上的内核内存占用。
内存占用随时间的推移以最低限度增加。
●对桌面虚拟化平台的全面支持:
自动识别客户端运行环境于物理终端或虚拟终端,从而提供更好的防护目标;支持业界通用的Vmware和Citrix的虚拟桌面平台
●技术架构:
控管中心采用B/S架构进行管理;
●多种安装方式:
智能安装、远程安装、WEB安装、服务器远程推送安装等方式以及脚本登录安装等;
●支持防护策略的自动/手动配置:
有效控制病毒扩散(通过主控服务器,在设定的时间段内,关闭所有客户机的共享文件,特定端口,保护文件或文件夹不被病毒修改);
●综合性的防护能力:
免受病毒,特洛伊,蠕虫和现在的间谍软件的攻击,同时具备防火墙和入侵检测的能力;
●支持防护策略的自动/手动配置:
有效控制病毒扩散(通过主控服务器,在设定的时间段内,关闭所有客户机的共享文件,特定端口,保护文件或文件夹不被病毒修改);
●集成网络版防火墙:
通过Officescan服务器端统一配置和管理每个计算上安装的网络版网络墙;
●防火墙策略应用程序的备用服务器:
客户计算机可能无法连接到防毒墙网络版服务器,但仍可连接到您指定的备用防毒墙网络版服务器上,以提供防火墙策略更新。
●集成专杀工具:
病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码可以自动更新,完全摆脱传统防病毒软件需要独立使用专杀工具,并且每一个病毒都有特定的专杀工具,造成数量巨大;
●防御间谍软件和其他类型的灰色软件:
防毒墙网络版可以帮助保护您的计算机远离被趋势科技视为灰色软件的各种威胁和损害,包括众所周知的类型-间谍软件;
●临界间谍软件/灰色软件例外列表:
防毒墙网络版可能将特定类型的文件识别为灰色软件,尽管您计算机上合法的应用程序可能需要使用这些文件。
为防止防毒墙网络版将这些文件识别为灰色软件,可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表。
●实时更新病毒日志:
方便而简单的配置管理与实时报告;
●支持CiscoNAC2.0版:
随着CiscoTrustAgent的升级,防毒墙网络版客户机可以继续将防病毒信息发送到CiscoNAC2.0版系统中的访问控制服务器(4.0版)和策略服务器。
并且同时支持CiscoNAC1.0版;
●自动更新:
先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动;支持客户端自行上互联网更新防毒组件;
●灵活的更新代理设置:
通过设定网络中任意计算机做为病毒码更新源,将其它计算机指定到该计算机更新,以节省网络带宽。
对低带宽网络环境特别有效;
●检测为安装防病毒软件的计算机:
支持网段扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞;
●强大的数据库管理:
支持将纪录数据导入SQL服务器方便数据分析与管理;
●灵活的客户端迁移:
支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装;
●定位病毒源头病毒:
客户机的排行榜功能,帮助网管了解毒源、善后处理、报告领导。
3.6权威评测报告
2010年10月,AV-Test.org对分别来自Symantec、McAfee、Microsoft、Sophos和趋势科技的五款市场主要的企业端点解决方案执行了端点安全基准评测。
AV-Test.org在开放式环境下测试真实发生的零日攻击,方法是追踪包含与自身关联的恶意软件的恶意URL。
该评测在所有厂商的平台上同时进行,确保评测进行期间对各方绝对公平。
将产品配置为在多个不同等级阻止或检测威胁,以便展现每个厂商防御这些威胁的最大能力。
在这些评测中,趋势科技以明显优势拔得头筹,初始威胁阻止率超过97%,1小时之后为99%,比第二名高出整整16%。
趋势科技还证明了其在源头(即URL)处阻止这些威胁方面的明显优势,可以在该层阻止超过84%的威胁。
下图表明,基于阻止的威胁数量,趋势科技防毒墙网络版在总体防护方面在这些主要厂商中排名第一。
4.趋势科技标准服务
标准服务是趋势科技对在服务期内的用户提供的一种远程的非现场服务,包括软件版本升级、电话咨询、email咨询、手机短信预警、邮寄等多种服务内容。
4.1服务对象
XXXX管理员和所有普通用户。
4.2服务提供者
趋势科技售后服务中心工程师。
4.3服务提供方式
电话、邮件、手机短信、邮寄等。
4.4服务内容
一、技术支持部分
1.访问趋势科技中文网站获得针对产品和防病毒问题的自助服务。
网站:
FTP:
ftp:
//
2.产品技术支持服务
通过E-mail或传真、免费热线电话方式,获得免费技术支持服务。
3.病毒问题支持服务
通过E-mail或传真、免费热线电话方式,获得免费支持服务。
4.技术支持邮箱:
**********************.cn;
5.热线电话:
800-8208839;
6.服务时间︰周一至周五(国定节假日除外)9:
00-12:
00;13:
00-17:
30
二、自动升级服务
1.在有效服务期内,客户所使用的产品的安全组件可免费合法进行自动或手工升级。
升级会员 