xxxx防病毒整体解决方案1112.docx
《xxxx防病毒整体解决方案1112.docx》由会员分享,可在线阅读,更多相关《xxxx防病毒整体解决方案1112.docx(25页珍藏版)》请在冰点文库上搜索。
xxxx防病毒整体解决方案1112
XXXX公司整体防毒
技术方案书
趋势科技网络(中国)有限公司
2022年3月24日
1XXXX公司网络系统分析
1.1XXXX公司网络基本状况
XXXX公司,现有PC约XXX台,业务服务器若干台。
服务器都放在信息中心,公司有自己的Web服务器、文件服务器、邮件服务器等。
Ø公司分别租用了电信XXM的Internet链路,直接接入Internet网络。
XXXX公司的网络拓扑示意图如下:
1.2防毒现状
目前XXXX公司网络系统防毒现状主要表现为如下几点:
1、由于XXXX公司工作的需要,平时和外界联系比较紧密。
邮件是和外界通信的主要手段之一。
这样给一些群发的邮件病毒造成了可乘之机,而且现在病毒的主要传播手段就是通过邮件。
而且还有大量的垃圾邮件也给邮件服务器和客户端造成了很大的困扰。
所以对网关处邮件病毒和垃圾邮件的阻断势在必行;
2、由于各部门分别部署了不同厂商的防毒产品,没有集中统一的管理平台,整个公司防毒系统的一致性很难达到保证,对XXXX公司内部的客户端无法达到一个整体有效的监控,总会有个别电脑由于各种原因没有装防毒软件,这样就给病毒的进入打开了方便之门.造成病毒爆发时不能及时采取有效措施,影响了防毒系统正常功能的发挥,从而造成了很大的损失。
同时针对系统漏洞,缺乏足够的安全措施;
3、桌面计算机的防毒与管理还有待加强,对于未安装的机器或中毒正在发作的机器没有有效的管理措施。
我们的管理员也只有疲于奔命一台台的去做杀毒,寻找专杀工具,安装客户端的防火墙,做系统的恢复。
2趋势科技整体防毒解决方案概述
2.1整体防毒目标
1、在公司的网关处直接进行WEB、WEB邮件防毒,消除病毒从外部网络到XXXX公司内部网络的传播和泛滥;
2、在公司的服务器上部署服务器防毒系统,确保服务器系统的稳定运行;
3、在全公司的所有客户端上部署客户端防毒系统,确保客户端不因为病毒问题而带给管理员极大的工作量;
4、在全公司对上述部署的防毒系统进行集中控管、集中更新,同时在病毒爆发时可以快速部署预防策略,阻断病毒的传播途径,快速消除病毒对整个网络系统的影响。
5、采用原家专家技术支持服务,改善技术、流程与策略、组织三方面存在的不足,采用“三分技术,七分管理”的信息安全管理理念,有效提升企业安全管理水平。
通过将产品与后续增值服务相结合,趋势科技提供全面的解决方案,力求达到如下效果:
Ø通过服务内容,改善网络环境
Ø通过产品部署,加大防护力度
Ø通过实时监控,减小响应周期
2.2整体防毒部署产品
序号
产品系列
功能及安装地点
1
趋势科技防毒墙控管中心
TMCM
功能:
跨广域网控管中心
部署:
建议选择一台独立服务器安装此产品。
TMCM需要安装在Windows2000/2003服务器平台上,建议选择安装MSSQL服务器作为后台数据库。
2
互联网安全网关IWSA
功能:
Web/FTP网关防毒,反间谍软件/反钓鱼
建议部属在Internet出口
保护企业网络不受来自Internet的威胁,并保证所有企业员工按照中心网络管理员的策略来访问Internet,提高员工上网的安全性。
另一方面,通过互联网网关拦截内部感染病毒变种的下载。
3
网络防毒墙NVW2500/NVW1200
功能:
漏洞防御、网络病毒爆发防御、病毒网络包实时处理、远程自动清毒、安全策略贯彻、潜在病毒发作监视
4
网关讯息安全设备
IMSA5000
功能:
网关邮件防毒、关键字过滤、邮件大小过滤等
5
趋势科技防毒墙服务器版
ServerProtect
功能:
保护服务器免受病毒侵扰
安装在现有服务器。
可以运行的平台包括:
WindowsNT4Server、Windows2000Server、Windows2003Server、Linux(RedHat)
6
趋势科技防毒墙网络版
OfficeScan
功能:
保护客户机免受病毒侵扰
管理端:
WindowsNT/2000/2003、IISWeb服务器
客户端:
Windows9x
WindowsMe
WindowsNTWorkstation
Windows2000Professional
WindowsXP
7
趋势科技专家职守服务
EOG
功能:
为XXXX公司搭建专署的7*24小时的防病毒监控及响应中心。
部署:
把中心的TMCM注册至趋势的MOC中心,由趋势专职的售后工程师协助XXXX公司进行防毒系统的维护。
内容:
✓7*24小时职守及响应;
✓1天内病毒码、专杀工具制作响应;
✓客制化的专业报表(日报、周报、月报);
✓每月一次的防病毒工作回顾及改善电话会议;
✓防病毒体系增强及改善报告;
✓紧急现场服务;
2.3防毒产品部署
1、在Internet入口防火墙和核心交换机之间分别部署1台IWSA2500,通过对进出内网的HTTP/FTP实时扫描,有效阻断网络病毒、木马、钓鱼、灰色软件等恶意软件的入侵。
2、在邮件服务器出口,部署1台IMSA5000邮件网关防毒墙。
利用主动的病毒和内容扫描避免大量病毒爆发,先进的内容过滤功能维护公司业务的完整性。
垃圾邮件过滤功能可以对附垃圾邮件、滥发邮件和恶作剧邮件。
3、在核心交换机和接入交换机间部署NVW2500(或NVW1200)网络病毒墙。
趋势科技网络病毒墙NVW是一款病毒爆发安全防护设备,它基于网络层进行病毒处理,可以阻挡网络病毒(如冲击波、高波、网络天空等),在病毒爆发前和爆发期间识别高危险性的安全漏洞,在病毒进入网络时隔离和清理包括未受保护的设备在内的感染源,同时对整个网络流量和连接进行监控,可以大幅降低病毒风险和管理人员的工作强度。
趋势科技网络病毒墙具体功能如下:
Ø漏洞防御
Ø网络病毒爆发防御
Ø病毒网络包实时处理
Ø远程自动清毒
Ø安全策略贯彻
Ø潜在病毒发作监视
4、在服务器端部署服务器防护产品ServerProtect(基于NT的服务器部署OSCE客户端产品)。
趋势科技防毒墙服务器版ServerProtect,是TrendMicro趋势科技公司设计用于保护MicrosoftWindows2000和NT服务器/工作站,Linux以及NovellNetWare服务器,同时支持NetworkAppliancefilers,CelerraNAS,MicrosoftSharePoint™2003Environment等存储设备防病毒。
对所支持系统网络上的文件,提供全面性的病毒防护。
ServerProtect是通过集中的主控台进行控制管理防病毒软件,它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。
5、在客户端部署OfficeScan客户端产品,实现桌面层的病毒防护。
2.4服务的考虑
根据趋势科技全球防毒研发暨技术支持中心TrendLabs分析归纳指出,企业信息管理部门目前面临的信息安全管理难题,主要有以下六点:
(1)光靠防毒及其它信息安全软硬件,并不足以对抗网络威胁;
(2)针对漏洞发出的攻击,让人根本来不及反应;
(3)没有人能够24小时全年无休工作。
(除了间谍软件等恶意程序);
(4)缺乏中毒的网络管理日志历史数据,无法拟定正确的防毒策略与管理计划;
(5)员工总是无法从每次病毒灾难中记取教训;
(6)商机与商誉,在网络恢复运作之前,只能眼睁睁地流失;
这些信息安全管理上的难题,往往并非企业中的信息部门人员可以独力解决的。
许多企业将所有的问题归咎于信息部门人员,不但不公平,同时也无法真正解决问题。
信息部门多样而繁杂的工作,以及有限的人力,使得信息安全管理的工作,成为其沉重而无法独力承担的责任。
有时问题出在哪里,不容易察觉,更遑论灾害事前的预防;而有时即使可以找出问题,但种种资源上的限制,如人力不足、工作繁重等,使得问题无法被解决。
因此,寻求专家的协助,是确实而有效解决信息安全管理问题的最佳途径。
为了让XXXX公司享受直接的厂家服务并建立一套主动/实时的病毒监控与响应机制,使XXXX公司网络具备更高的稳定性及安全性,建议XXXX公司使用趋势科技的EOG专家值守服务——TEMSStandard。
由部署在网络中心的TMCM进行对全网的可疑文件进行监控。
一旦客户端发现可疑文件,客户端会自动把该文件上传至TMCM。
TMCM再将相关的病毒日志上传至趋势科技的MOC中心,在趋势科技全球防毒研发暨技术支持中心TrendLabs的直接支持下,由MOC的安全专家对用户上传的病毒日志采用手工和自动相结合的方式对病毒日志进行解读、分析。
趋势科技专家服务TMESStandard侧重在不间断监控响应和快速上门响应。
通过实时的监控,可以准确地了解客户所面临的问题,并且提前告知并处理。
TEMSStandard提供的服务项目如下表:
序号
服务项目
0.1
防病毒系统安全管理中心运维
0.2
防病毒系统日、周、月报表
1.1
7×24专家在线值守,不间断响应
1.2
7×24病毒问题快速解决
1.3
7×24产品问题快速解决
1.4
综合月度监控汇总报表
1.5
紧急上门问题处理
2.5服务设计
2.5.1TMES服务为曲靖烟草带来的收益
TMES是趋势科技EPS服务体系中的重要组成部分之一。
通过不间断的专家服务和响应,TMES激活了对整个反病毒周期的动态管理机制,使得服务方和客户IT人员在整个周期中都能及时、迅速地发现、接入和处置病毒问题。
Ø[灾情频率]下降66%
Ø[停机时间]下降50%
Ø[影响范围]下降84%
TMES模式直接有效地控制住
通过TMES服务,使用户的网络中病毒事件和病毒带来的损失大幅下降,TMES服务在使用中不断的规范用户的使用行为,不断地补强各种弱点,将让用户所面临的风险逐渐趋于平缓。
2.6防毒子系统设计及部署说明
2.6.1防病毒集中管理控制系统
使用产品:
趋势科技防毒墙控管中心——TMCM。
系统需求:
TMCM服务器:
NTServer4.0/2000server上,MicrosoftIIS3.0或更高版本,50MB硬盘空间来储存软件程序,200MB硬盘空间来储存纪录文件。
TMCM代理程序(Agent):
NTWorkstation或Server3.51或更新版本,20MB硬盘空间来储存软件程序。
浏览器:
NetscapeNavigator3.0或更新版本,或者用MicrosoftInternetExplorer3.02或更新版本。
其它:
TCP/IP网络联机。
通过呼叫器(Pager)来作病毒扩散警报通知,还需要有调制解调器联机。
部署方式:
TMCM管理端安装在信息中心机房NT/2000/2003服务器上,将TMCM代理远程安装在被管理的各个防毒软件上(如网络病毒墙、IMSS/SPS、Scanmail、ServerProtect管理端上、OfficeScan管理端上),实现集中更新与管理。
部署示意图如下图所示:
管理方式:
管理员基于TMCM进行集中管理,各分公司管理员基于产品层面进行本地化管理,管理操作方式是完全基于Web的,可在任何联入网络的计算机上通过浏览器(IE或Netscape)对TMCM服务器进行访问。
功能描述:
Ø通过TMCM可实现对防毒软件的病毒代码、扫描引擎、升级程序、预防策略、垃圾邮件列表的集中分发、管理。
Ø可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控。
并且由于TMCM采用Web管理方式,使得管理人员可以通过任何一台联网的计算机方便地访问TMCM,减轻了管理人员的负担。
Ø可实现对所有防毒软件的集中管理、集中设置、集中维护。
管理人员可以通过TMCM的统一界面管理防毒软件。
Ø可以对被管理的防毒服务器的配置进行复制,保证一台设定好后,可以将相同配置轻松复制给其它多台服务器,保证防毒配置的一致性。
Ø可对整个系统内的病毒入侵情况设置各种消息通报方式,对病毒的爆发进行报警。
Ø可集中获得防毒系统的日志信息。
管理人员可方便地对系统情况进行汇总和分析。
ØTMCM本身具备强大的帐号管理功能,各部门拥有独立的管理账号,可以对自己的区域进行独立管理,整个管理结构可以根据实际需要进行灵活的调整。
ØTMCM具备灾后集中清除及漏洞分析功能,不仅可以进行整个网络的集中病毒扫描工作,还可以针对系统漏洞提供报告,使得整个网络更加强健。
2.6.2网关Web防毒
使用产品:
趋势科技防毒墙Web安全版――――IWSA2500
部署方式:
在本方案中,我们将IWSA采用透明桥模式部署在Internet接入路由器(或防火墙)同核心交换机之间,即插即用,无需改变客户端的设备。
实现对内部用户的Web/FTP访问进行病毒扫描和处理,整个运行示意图如下图所示:
功能描述:
Ø对内部用户的Web访问进行病毒扫描和处理
Ø对内部用户的FTP访问进行病毒扫描和处理
Ø对不良或恶意网站/URL地址进行阻挡和过滤
Ø对恶意文件或文件类型进行阻挡
Ø接受TMCM的集中管理
2.6.3网络防病毒墙NVW2500/NVW1200
使用产品:
趋势科技防毒墙――――NVW2500/NVW1200
部署方式:
在本方案中,我们将NVW2500部署在核心交换机和接入交换机之间。
将NVW1200部署在各县公司的专线网接入路由器和交换机之间。
功能描述:
1.漏洞防御
2.网络病毒爆发防御
3.病毒网络包实时处理
4.远程自动清毒
5.安全策略贯彻
6.潜在病毒发作监视
2.6.4网关讯息安全设备IMSA5000
网关讯息安全设备在网关提供了综合电子邮件防护,集成了防病毒和内容过滤加上可选的垃圾邮件防御解决方案(SPS)来防御垃圾邮件和网络钓鱼。
强大的网关讯息安全设备组合引擎应用了高级启发式功能、统计分析和特征码过滤来防护单个和混合威胁。
产品名称:
趋势科技网关讯息安全设备---------------IMSA5000
产品功能:
网关讯息安全设备可通过SMTP网关保护网络不受病毒感染。
此外,防病毒和eManager™内容过滤提供了智能邮件内容管理,以确保邮件传递系统的完整性。
2.6.5服务器防毒
在XXXX公司内,有大量的应用服务器,这些服务器如果有病毒存在,会极大影响正常服务的提供。
从统计来看,病毒对一台服务器造成破坏的影响力要远远大于单机,所以对服务器的有效保护是整个网络系统平稳运行的关键
。
产品名称:
趋势科技防毒墙服务器版---------------ServerProtect/OfficeScan
产品功能:
捍卫服务器免受病毒、特洛伊木马和其它恶意程序的侵袭,不让其有机会透过文件及数据的分享进而散布到整个企业环境,提供完整的病毒扫描防护功能。
部署方式:
安装在每一台应用服务器上。
升级:
自动升级。
管理模块从Internet自动升级一次后,自动分发给管理的每一台服务器。
2.6.6客户机防毒系统
产品名称:
趋势科技防毒墙网络版------------------OfficeScan
产品功能:
为企业网络提供统一控管,自动更新部署,集中报告的客户端病毒防护
部署方式:
●OfficeScan管理端安装在服务器上
●客户端有如下多种安装方式:
1、登录脚本安装;
2、浏览器安装(将安装链接放在网站上)
3、远程安装;
4、光盘安装;
5、共享安装;
6、生成安装包安装;
7、通过微软SMS安装;
8、硬盘克隆安装
管理:
在任一台客户机上打开浏览器,访问网址http:
//IP_Server/officescan,输入口令就可以管理。
升级:
自动升级。
管理模块从Internet自动升级一次后,自动分发给管理的每一台客户端。
竞争优势:
1.支持防护策略的自动/手动配置
2.集成网络版防火墙
3.集成专杀工具
4.安全的通信机制
5.移动管理界面
6.实时更新病毒日志
7.自动更新
8.灵活的更新代理设置
9.检测为安装防病毒软件的计算机
10.强大的数据库管理
11.灵活的客户端迁移
12.预扫描系统病毒
13.定位病毒源头病毒
14.POP3病毒邮件的查杀
15.支持多种WebServer
16.支持CISCONAC
2.7趋势科技专家值守服务(EOG)简介
Ø网络和信息安全的挑战
病毒和恶意代码(malware)不断演变和滋长,在金钱利益的驱使下,定点式攻击的木马和僵尸网络、隐秘的内核利用和蠕虫传播、钓鱼和域欺骗、间谍软件、乃至流氓软件等等,各类威胁越来越阴险和狡诈。
企业和个人一旦连入网络,就随时面临着遭遇未知威胁的风险,不但随时带来直接的业务中断损失,还进一步潜藏着信息泄漏、财产偷盗、违规和法律纠纷等更大的问题。
病毒的隐秘潜入,利用合法身份进行内部攻击的模式,造成企业和组织无论加上多少层防火墙、设置多么复杂的密码规则和访问控制,都无法达到理想的防护效果。
技术往往是把双刃剑,黑客不但本身是信息安全技术的高手,通常还是最早开始利用安全技术的人群。
他们大量使用安全技术或利用安全漏洞,让自己的攻击愈发隐秘,创造出越来越复杂的混合模式攻击。
很明显,单纯依靠静态的安全防护技术,面对病毒攻击力只能是越来越不从心。
唯有在人员、流程、技术等各方面同时加以管理和控制,并引入动态的实时监控机制,才能有效地应对时刻可能发生的未知威胁和攻击。
ØIT管理人员面临的风险?
如何在确保病毒风险可控的前提下,尽量发挥信息网络的生产力,成为IT管理人员每日面对的问题。
废除或大幅限制信息网络的使用当然是因噎废食,而对抗病毒带来的业务中断及资产损失又需要耗费太多的精力,并且往往只能等待灾难降临时才仓促应对,IT人员似乎始终陷入在无法直接显示业务绩效的灾难处置工作当中。
在日常的反病毒工作中,IT人员往往发现自己处于孤立无援的境地:
•
终端使用者永远教不会,永远不知道防备和正确操作!
•反病毒系统只能防护已知问题,对新病毒攻击还是一筹莫展?
•没有人和资源来7×24看着网络,随时应对可能爆发的安全问题!
•传统防病毒效能太滞后,智能防病毒天天误报,如何解决速度vs精度之间的矛盾?
•谁可以帮助来根据不同的情境动态调教反病毒系统的设定和策略?
•需要专业的安全报告表明KPI和ROI情况。
如何让老板理解投资于此的价值?
•需要大量人力和时间来清理和恢复被感染的系统,谁能帮忙?
Ø趋势科技的全新策略
趋势科技网络安全专家服务-TMES,专门针对病毒威胁的演化和特性,提出了反病毒所需的完整生命周期,并对应整个周期提出了完整的反恶意软件的“十项全能”服务体系。
目标是帮助企业在反病毒过程中,无论是安全风险、损失,还是成本投入,都进入到可控的、平缓的范围之内。
2.7.1服务具体内容
1.提供的报告
报告名称:
前10个疑似病毒
发送间隔:
每天
备注:
疑似病毒,简单的说就是指趋势产品检测到该程序有潜在威胁性,或者该程序有危害到您系统的可能性。
另外,疑似病毒还可能是已知病毒的变种。
趋势的疑似病毒分:
PossibleVirus和以GEN后缀结尾的病毒。
其中PossibleVirus是指趋势产品检测该程序有危害性的,会威胁到您系统安全的。
另外,以GEN后缀结尾的疑似病毒。
趋势将GEN定义为通用检测的意思,即GeneralDetection。
通常这个病毒具有该类病毒的特性,也可能是变种。
举例来讲:
检测到WORM_RBOT.GEN这个病毒,该病毒程序具有WORM_RBOT病毒的特性,有可能是变种的病毒程序。
报告名称:
概要
发送间隔:
每天/每月
备注:
1、如果贵公司只安装了InterScan,提供如下报告:
前10个受感染的电子邮件发件人报表
2、如果贵公司只安装了SMEX/SMLN,提供如下报告:
前10个受感染的电子邮件发件人报表;前10个邮件内容过滤违例报表
3、如果贵公司只安装了NVW,提供如下报告:
概要;排名前10的网络病毒;前10个邮件内容过滤违例报表
2.实时报警提醒
项目
名称
描述
关键性能指标
离线率指数
当产品离线率达到某个比例,触发通知事件
网络病毒特征码过期率指数
当网络病毒特征码过期率达到某个比例,触发通知事件.
病毒码过期率指数
当病毒码过期达到某个比例,触发通知事件.
防毒墙网络版客户机病毒码过期率指数
当防毒墙网络版客户机的病毒码过期达到一定比例,触发通知事件.
防毒墙服务器版标准服务器病毒码过期率指数
当防毒墙服务器版标准服务器病毒码过期达到一定比例,触发通知事件.
间谍软件特征码过期率指数
当间谍软件特征码过期达到某个比例,触发通知事件.
感染等级指数
当机器感染病毒数量达到一定的值,触发通知事件.
内部病毒爆发指数
当感染单一病毒的计算机达到或超过一定的数量,可以认为是一次病毒爆发,触发通知事件。
网络病毒爆发指数
当感染单一网络病毒的计算机达到或超过一定的数量,可以认为是一次网络病毒爆发,触发通知事件。
扫描引擎过期率指数
当产品的扫描引擎过期达到某个比例时,触发通知事件.
损害清除模板过期率指数
当损害清除模板过期达到某个比例,触发通知事件.损害清除模板是用来清除最新病毒的工具.
网络病毒爆发规则过期率指数
当网络病毒爆发规则过期达到某个比例,触发通知事件.通过病毒爆发规则控制产品行为来减低病毒的传播和与之带来的危害。
爆发规则需部署到产品来防御最新病毒.
特定病毒指数
当用户指定的病毒检测到的数量到某个等级后,触发通知事件.
特定网络病毒指数
当用户指定的特定网络病毒检测到的数量到某个等级后,触发通知事件.
网络病毒攻击指数
当检测到来自同一个IP地址的网络病毒攻击的次数达到一定的数量,触发通知事件.
产品
TMCM启动
TMIC代理检测到TMCM启动。
TMCM停止
TMIC代理检测到TMCM停止。
TMIC代理启动
TMIC开始与对应的TMCM通信。
TMIC代理停止
TMIC无法与对应的TMCM通信。
可疑病毒事件
针对通过网络共享或漏洞传播的病毒。
如果处理措施失败的,则进行通知
3.上线流程说明
填写客户档案
1请填写附录中的客户档案。
2选择对应的MOC(监测运行中心)。
地区
名称
上海
趋势科技MOC中心
北京
北京神州泰岳MOC中心
上海
上海电信MOC中心
天津
国家计算机病毒应急响应中心
3将客户档案回复给相应的MOC工作中心。
安装TMIC代理
1详细步骤参考附录中的安装步骤。
请在安装前确认网络连通状况。
确认服务开始
1MOC发送服务启动通知函
2服务开始
3附件:
WEB安全威胁及解决方案介绍
3.1技术+服务,Web威胁不来犯
Web威胁犯罪者趋于低调,它们刻意隐匿行踪,不会四处散播,但危害却不容小觑,因为系统挂了,顶多重新安装,但机密数据损失却无法重来。
令IT部门战战兢兢的是,使用传统防毒技术很难侦测得到Web威胁,在某些案例中,传统的解除安装或系统清除方法根本无济于事,比如使用Rootkit取代系统文件,通常必须采取全面还原的方式,重新安装操作系统、应用程序以及使用者数据,
升级会员 