防病毒整体技术方案.doc

《防病毒整体技术方案.doc》由会员分享，可在线阅读，更多相关《防病毒整体技术方案.doc（47页珍藏版）》请在三一办公上搜索。

1、 防病毒软件技术方案赛门铁克软件（北京）有限公司2012年 10月目 录第1章恶意代码发展趋势1第2章防病毒系统设计思路32.1基于特征的防病毒技术分析32.2传统的防病毒产品使用效果分析52.3技术服务的体系化建设62.3.1技术层面：主动防御72.3.2服务层面14第3章产品选型推荐163.1SEP 12组件及功能说明16第4章部署方案244.1部署架构244.2管理系统功能组件说明244.3病毒定义升级264.3.1防病毒系统初建后第一次升级方案264.3.2正常运维状态下的升级方案274.3.3Symantec病毒定义升级频率274.4网络带宽影响284.5安全管理策略设计294.5.

2、1管理权限策略294.5.2客户端分组策略294.5.3备份和数据库维护策略294.5.4安全策略304.6服务器的硬件配置需求32第5章实施方案335.1项目工作范围335.2实施计划335.2.1项目里程碑335.2.2项目工作进度计划与安排345.3项目人员安排385.3.1项目组织机构385.3.2项目人员组成385.4变更管理415.4.1项目变更管理控制过程415.4.2项目变更审批流程415.4.3变更评审小组的成员名单425.4.4变更申请表样式435.5项目沟通计划44第6章培训方案46第7章服务方案487.1赛门铁克专业防病毒服务体系487.1.1赛门铁克服务水平阐述487

3、.1.2赛门铁克安全响应中心497.1.3赛门铁克企业客户服务中心497.1.4赛门铁克安全合作服务商507.2赛门铁克专业防病毒服务流程507.2.1基本流程517.2.2客户服务专员的工作流程527.2.3客户服务经理的工作流程527.2.4工程师的工作流程537.2.5紧急事件响应流程54第1章 恶意代码发展趋势终端所面临的安全威胁已不再是传统的病毒，而是更加复杂的恶意代码（广义病毒）。分析恶意代码的发展趋势可以帮助我们更好地构建病毒防护体系，优化现有安全防护体系，从而实现保障终端安全的最终目标。r 前所未见的恶意代码威胁当前，终端安全必需要面对的首要问题是越来越多的恶意代码是未知的，前

4、所未见的。前所未见的威胁之所以剧增，其中一个主要原因是恶意代码系列中出现大量变种。攻击者普遍都在更新当前的恶意代码，以创建新的变种，而不是“从头开始”创建新的恶意代码。一些恶意代码系列（如熊猫烧香、Flamer系列）中的变种数量多如牛毛便是这方面淋漓尽致地再现。恶意代码的编写者创建新变种的方法各式各样，其中包括变形代码进化、更改功能及运行时打包实用程序，以逃避防病毒软件的检测。前几年，蠕虫和病毒（红色代码、冲击波）的大规模爆发表明，恶意代码无需复杂就可以感染大量计算机。如今，关注的焦点逐渐转移到目标性攻击和更狡猾的感染方法上。因此，越来越多的攻击者开始使用复杂的多态技术来逃避检测，为传播助力。

5、多态病毒可以在复制时更改其字节样式，从而逃避采用简单的字符串扫描防病毒技术进行的检测。r 特洛伊木马特洛伊木马是一种不会进行自我复制的程序，但会以某种方式破坏或危害主机的安全性。特洛伊木马看起来可用于某些目的，从而促使用户下载并运行，但它实际上携带了一个破坏性的程序。它们可能伪装成可从各个来源下载的合法应用程序，还可能作为电子邮件附件发送给无防备的用户。根据统计，大部分特洛伊木马是通过恶意网站进行安装的。它们利用浏览器漏洞，这些漏洞允许恶意代码的作者下载并执行特洛伊木马，而很少或无需与用户交互。当用户使用Microsoft Internet Explorer 查看其中的恶意的网络页面时，特洛伊

6、木马便会通过浏览器中的多客户端漏洞安装在用户的系统中。然后，特洛伊木马会记录某些网站的身份验证资料，并将其发送给远程攻击者。许多新出现的特洛伊木马还会从受感染的系统中窃取特定的消息，如网上银行密码。r 广告软件/流氓软件终端用户遭遇的广告软件/流氓软件的几率越来越高，广告软件可执行多种操作，其中包括显示弹出式广告、将用户重引导至色情网站、修改浏览器设置，如默认主页设置以及监视用户的上网活动以显示目标广告。其影响范围包括单纯的用户骚扰、隐私权侵犯等。Adware 的影响因其固有的特点而难以量化。但这并不意味着它们不是安全问题。最严重的影响可能是大范围破坏个别最终用户系统的完整性。包括：性能下降、

7、浏览器故障、系统频繁死机等。r 混合型威胁混合型威胁可以利用多种方法和技术进行传播。它们不但能利用漏洞，而且综合了各类恶意代码（病毒、蠕虫和特洛伊木马程序）的特点，从而可以在无需或仅需很少人工干预的情况下，短时间内感染大量系统，迅速造成大范围的破坏。混合型威胁常用的多传播机制使其可以用灵活多变的方式避开组织的安全措施。它们可以同时使系统资源超负荷并耗尽网络带宽。第2章 防病毒系统设计思路2.1 基于特征的防病毒技术分析长期以来，应对混合型威胁（混合型病毒）的传统做法是，一旦混合型病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延

8、。这种方式曾一度相当有效，但近年来特别是近年来多次影响XXX的冲击波、Slammer、Netsky、熊猫烧香、Flamer等病毒，已经体现这种基于特征的被动式病毒响应方式效果不佳了。这一方面因为病毒的快速发展，另一方面更因为传统防病毒技术采取被动跟踪的方式来进行病毒防护。但是，这种被动的病毒响应方式越来越力不从心。如下图所示，Symantec公司统计了近十几年来病毒爆发速度和特征响应速度，并对近年的发展趋势做了比较。附图1. 混合型病毒感染与病毒特征响应对比图该图以计算机病毒/混合威胁的复制速度（蓝色线条，自左上至右下）来显示这些威胁的演变，以响应速度（红色线条，自左下至右上）来显示病毒技术的

9、发展。横轴以年为单位，时间范围是从 1990 年至 2005 年。纵轴实际上显示两种不同的时间规定（都采用左边纵轴的时间比例来显示）。左边纵轴（蓝色文本）显示恶意病毒达到“感染”状态所用的时间，在该状态下，恶意病毒已经感染了相当多有漏洞的计算机。右边纵轴显示提供描述病毒的特征所用的时间。分析上图的最后一部分可知，对于现在出现的几分钟甚至几秒钟之内就可发作的超速混合威胁而言，其传播速度和实现完全感染相关主机的速度比人工或自动化系统生成和部署病毒特征的速度快得多时，在这样情况下，原有的基于病毒特征的模式已经效果甚微，因为到那时每次混合型病毒的爆发，由于特征响应方式的滞后而让将付出沉重的代价（最近的

10、冲击波、震荡波的例子已经初步证明了这一点），而这是绝对不能接受的。2.2 传统的防病毒产品使用效果分析传统的单一的防病毒产品在应对新的终端安全威胁时效果往往不佳，其根本原因在于：r 基于特征的病毒定义滞后性虽然防病毒技术不断发展，出现了类似启发式扫描、智能检测等新的技术，但是目前防病毒产品还是以基于特征的病毒扫描方式为主要手段。也即一种新的病毒出现后，防病毒厂商通过各种方式收集到病毒的样本，经过自动地或者专家分析获取病毒特征码，随即发布新的病毒定义供用户下载更新。而用户通过手动或周期地自动更新获取新的病毒定义以后，才可以有效地防御这种新的病毒。显然，基于特征的病毒定义更新存在着滞后性，这种滞后

11、表现在：病毒定义滞后于新病毒的出现，当前的病毒快速、大量变种的特性加剧了这种滞后性所带来的危害。用户的病毒定义滞后于厂商的病毒定义。这是由于用户往往使用周期自动更新的方式，甚至由于种种原因部分用户的病毒定义不能正常升级，这些都会导致与最新的病毒定义的时间差。r 区域性恶意代码增加了样本收集的难度特洛伊木马等恶意代码当前的一个重要特征是具有很强的目标性和区域性。特洛伊木马往往以特定用户和群体为目标。某一种特洛伊木马可能只是针对某个地区的某类型用户。由于特洛伊木马的目标性强，因此这些攻击只是发送给较小的用户群，从而使其看上去并不显眼，并且不太可能提交给防病毒供应商进行分析。而如果防病毒厂商不能及时

12、获得最新的病毒样本，也就失去了对这些木马的防护能力。r 单纯的防病毒技术无法应对混合型威胁混合型威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击。越来越多的病毒会自动攻击操作系统或者特定的应用软件的漏洞，在漏洞未修复（未安装补丁）的情况下，会造成病毒反复感染，纯粹的防病毒不足以应付这些新型的病毒事件。r 复杂的病毒查杀技术与性能需求新型的恶意代码采取了更多的反检测和清除的技术，包括前文描述的多态病毒以及高级的Rootkit技术。与传统的恶意代码相比，检测复杂多态病毒和Rootkit对技术的要求更高

13、。涉及复杂的加密逻辑和统计分析过程，以及代码模拟和数据驱动引擎的设计。因此，这需要经验丰富的分析师来开发检测和移除技术。同时，防护时也需要占用更多的终端系统资源。实际测试包括很多用户实际环境中，防病毒软件通常占用内存50M60M左右，对于一些老的机器（内存小于256M）会影响系统性能。部分终端用户往往在安全和性能的抉择中放弃安全，这也导致了防病毒体系整体运行效果不佳。2.3 技术服务的体系化建设实践证明，完整有效的终端安全解决方案包括技术、管理和服务三个方面内容。防病毒技术的部署和实施是“实现用户个人的广义病毒和攻击的防护”的主要力量。传统的病毒防护方案往往以技术为主，但是仅仅依靠技术是有其局

14、限性，因此指望一套防病毒软件解决所有的病毒问题是不现实的；同时，对于中保协这样的大型企业，防病毒的管理性要求甚至比查杀病毒的能力显得更为重要，如果不能做到全网防病毒的统一管理，再强的防病毒软件也不能发挥应有作用。此外，我们重点提出“服务”的根本原因是基于一个判断：即没有任何防病毒厂家能够做到对所有已知病毒和未知病毒的快速准确查杀。服务是产品的一种补充。因此，厂家提供的产品服务的组合才能在根本上保证病毒防护的可靠性。以下分别予以详细阐述：2.3.1 技术层面：主动防御从以上对新的恶意软件发展趋势和传统的病毒防护产品的特性分析，不难看出，传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。一旦病毒

15、爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种被动的防护方式无法应对新的恶意软件的发展。因此，必须从“主动防御”这一观点出发，建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。相对于被动式病毒响应技术而言，主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。“主动防御”主要体现在以下几个方面：r 信誉度技术r Symantec 会从其数百万用户的全球社区及其全球情报网中收集有关文件的信息。所收集的信息形成 Symantec 承载的一个信誉数据库。Symantec 产品利用该信息保护

16、客户端计算机，使其免受新威胁、目标威胁和变异威胁的侵害。该数据有时称为“在云端”，因为它未驻留在客户端计算机上。客户端计算机通过请求或查询信誉数据库，可以避免传统的基于特征码的防病毒技术带来的病毒检测的滞后性，做到基于Symantec全球防病毒云计算网络的病毒和恶意软件防护。r Symantec 使用一项称为“智能扫描”的技术来确定每个文件的风险级别或“安全等级”。智能扫描通过检查文件及其上下文的以下特征来确定文件的安全等级：r 文件的源r 文件的新旧程度r 文件在社区中的常用程度r 其他安全衡量标准，如文件可能与恶意软件的关联程度r Symantec Endpoint Protection

17、12.1 中的扫描功能利用智能扫描做出有关文件和应用程序的决策。rr 基于应用程序的防火墙技术个人防火墙能够按程序或者通讯特征，阻止/容许任何端口和协议进出。利用个人防火墙技术，一方面可以防止病毒利用漏洞渗透进入终端，另一方面，更为重要的是，可以有效地阻断病毒传播路径。以去年大规模爆发的Spybot病毒为例，该病毒利用了多个微软系统漏洞和应用软件漏洞，企业可以在终端补丁尚未完全安装完毕的情况下，通过集中关闭这些存在漏洞的服务端口，阻止病毒进入存在漏洞的终端。再以Arp木马为例。正常的Arp请求和响应包是由ndisiuo.sys驱动发出，而arp病毒或者其他arp攻击通常是利用其他的系统驱动伪造

18、arp数据包发出。因此，通过在防火墙规则中设定，只允许ndisiuo.sys对外发送Arp数据包（协议号0x806），其他的全部禁止。从而，在没有最新的病毒定义的前提下对病毒进行阻断和有效防护。统一部署防火墙不仅可以解决以上这些安全问题，同时可以成为企业执行安全策略的有力工具，实现一些企业的安全策略的部署，如突发病毒爆发时，统一开放关闭防火墙相应端口。r 具备通用漏洞阻截技术的入侵防护通用漏洞利用阻截技术的思想是：正如只有形状正确的钥匙才能打开锁一样，只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究，便可以立即了解到能够打开这把锁的钥匙必需具备的特征甚至不需要

19、查看实际的钥匙。类似地，当新漏洞发布时，研究人员可以总结该漏洞的“形状”特征。也就是说，可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征，就可以检测并阻截具有该明显“形状”的任何攻击（例如蠕虫）。以冲击波蠕虫被阻截为例进行说明。当2003年 7 月 Microsoft RPC 漏洞被公布时，赛门铁克运用通用漏洞利用研究技术，制作了该漏洞的通用特征。大约在一个月之后，出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。Symantec由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波蠕虫并立即阻止它。在前文对恶意软件的发展趋势中，我们分析了木马、流氓软件的一个

20、最主要的传播方式是利用IE浏览器的漏洞，当用户浏览这些恶意站点时，利用IE的漏洞，攻击者可以在用户终端上悄悄安装木马、广告/流氓软件等。尽管恶意软件的变种数量庞大，但实际上，恶意软件安装过程中利用的IE漏洞种类并不多。赛门铁克运用通用漏洞利用研究技术，提前制作这些漏洞的通用特征。恶意软件若想利用这些漏洞进行安装，必须具备特定的形状，而赛门铁克编写的特征可以提前检测到该形状，从而对其进行阻截，避免了恶意软件安装到用户终端上，从而根本无需捕获该病毒样本然后再匆忙响应。r 应用程序控制技术通过应用程序行为控制，在系统中实时监控各种程序行为，一旦出现与预定的恶意行为相同的行为就立即进行阻截。以熊猫烧香

21、为例，如果采用被动防护技术，必须对捕获每一个变种的样本，才能编写适当的病毒定义。但是，该病毒的传播和发作具有非常明显的行为特征。熊猫烧香最主要的传播方式是通过U盘传播，其原理是利用操作系统在打开U盘或者移动硬盘时，会根据根目录下的autorun.inf文件，自动执行病毒程序。SEP系统防护技术可以禁止对根目录下的autorun.inf的读写权限，特别的，当已感染病毒的终端试图往移动设备上写该文件时，可以终止该病毒进程并报告管理员。再以电子邮件的行为阻截技术应用为例进行说明。首先，我们知道基于电子邮件的蠕虫的典型操作：典型的电子邮件计算机蠕虫的工作原理是，新建一封电子邮件，附加上其（蠕虫）本身的

22、副本，然后将该消息发送到电子邮件服务器，以便转发到其他的目标计算机。那么，当使用了带行为阻截技术的赛门铁克防病毒软件之后，防病毒软件将监视计算机上的所有外发电子邮件。每当发送电子邮件时，防病毒软件都要检查该邮件是否邮件有附件。如果该电子邮件有附件，则将对附件进行解码，并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。常见的电子邮件程序，如 Outlook，可以发送文件附件，但绝不会在邮件中附加一份自身程序的可执行文件副本！只有蠕虫才会在电子邮件中发送自己的副本。因此，如果检测到电子邮件附件与计算机上的发送程序非常相似时，防病毒软件将终止此次传输，从而中断蠕虫的生命周期。此项技术非常有效

23、，根本无需捕获蠕虫样本然后再匆忙响应，带此项技术的赛门铁克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫，包括最近的 Sobig 、Novarg和MyDoom。此外，基于行为的恶意软件阻截技术，还可以锁定IE设置、注册表、系统目录，当木马或者流氓软件试图更改这些设置时会被禁止。从而，即使用户下载了未知的恶意软件，也无法在终端上正常安装和作用。基于行为的防护技术非常有效，根本无需捕获恶意软件样本然后再匆忙响应，利用此项技术可以成功的在零时间阻截主流的蠕虫病毒，包括熊猫烧香、威金等。由于采用了集中的策略部署和控制，无须最终用户的干预，因此不需要用户具备高深的病毒防护技术。同时，基于行

24、为规则的防护技术非常适合于主机系统环境，主机系统应用单一并且管理专业，采用行为规则的防护是对传统防病毒技术的一个很好的补充。r 前瞻性威胁扫描Proactive Threat Scan是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。Proactive Threat Scan 基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的 IPS 仅检测它们认为的“不良行为”。所以，它们经常会将可接受的应用程序行为识别为威胁并将它们关闭，严重影响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。不过，Proactive Threat Scan 会同时记录应用

25、程序的正常行为和不良行为，提供更加准确的威胁检测，可显著减少误报的数量。前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。r 终端系统加固事实上，确保终端安全的一个必须的基础条件时终端自身的安全加固，包括补丁安装、口令强度等。显然，口令为空、缺少必要的安全补丁的终端，即使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个网络安全不至由于个别软件系统的漏洞而受到危害，必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。建议集中管理企业网络终端的补丁升级、系统配置策略，可以定义终端补丁下载，

26、补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理，代理执行这些策略，保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。r 针对虚拟化和云设计随着虚拟化和云技术的不断应用和发展，防病毒软件需要适合在虚拟化河运平台下的终端防护，包含以下功能：r 针对 VMware、Citrix 和 Microsoft 虚拟环境而优化 r 易于管理的物理和虚拟客户端 r 最大限度提高了在虚拟化和云平台下性能

27、和密度，同时丝毫不会影响安全性 r 在虚拟化河运平台下最出色的性能和安全性 r 基于特征的病毒防护技术最后，传统的病毒防护技术仅仅作为主动防御的的一个必要补充，防御已知的病毒，对于已经感染病毒机器进行自动的清除和恢复操作。综上所述，单纯的防病毒产品都仅仅实现了基于特征的病毒防护功能，必须依靠其他的主动防御技术，才能有效地应对当前的恶意代码威胁。2.3.2 服务层面企业通过建立网络防病毒体系来防止病毒入侵，即是一个动态的技术对抗过程，也是一个防守方和攻击方的人员较量过程。在现实的网络环境里，由于攻击方在大多数情况下掌握着主动权，因此部署防病毒产品只是建立了对抗攻击的基础，还不能达到真正意义上的安

28、全，最重要的是对产品进行有效的管理和正确的策略配置，并且时时刻刻关注网络安全的最新动态，根据各种变化及时调整安全策略，加固系统。只有结合和采用防病毒安全服务，才能使企业的防病毒体系以及整体安全达到一个新的高度。防病毒厂商提供的服务主要包括以下两个方面：r 病毒预警服务病毒预警服务为XXX对于新病毒的提前预警、通知和防范的标准流程，该流程为管理员提供必要的信息和预警，以便在病毒到达企业之前或病毒尚未泛滥之前部署对策并成功抵制攻击，减少病毒事件的数量，降低病毒事件的影响。r 突发病毒应急响应服务当用户发现一种未知病毒的传播导致网络服务瘫痪，而现有防病毒客户端对此无能无能为力，或者当病毒客户端发现病

29、毒但既不能隔离也不能有效删除时候，就需要防病毒服务能够帮用户解决这些问题。而且，用户需要的是一个时限范围内的解决。用户可以通过提交病毒样本或要求直接上门服务的方式，请防病毒厂家协助解决这些问题，避免病毒在用户的大规模扩散。第3章 产品选型推荐根据以上防病毒系统设计思路，我们推荐采用Symantec Endpoint Protection12.1终端防护软件。3.1 SEP 12组件及功能说明SEP 12主要功能模块如下：（1）防病毒和反间谍软件防病毒和反间谍软件解决方案一般采用基于扫描的传统技术，来识别端点设备上的病毒、蠕虫、特洛伊木马、间谍软件和其它恶意软件。典型的防病毒和反间谍软件解决方案

30、会在系统中搜索与已知威胁的特点（或称威胁特征）匹配的文件，从而检测这些威胁。在检测到威胁后，该解决方案会对其进行补救，通常是删除或控制威胁。多年来，该方法在针对已知威胁保护端点时一直非常有效。虽然该方法不足以防御未知威胁和零日威胁，但它仍然是整体端点安全中的基本要素。Symantec从2011年7月份发布的Symantec Endpoint Protection 12.1版本开始，把原本在个人版诺顿防病毒软件使用成熟的信誉度技术和主动式防御技术增加到企业版 Symantec Endpoint Protection产品之中，做到了真正的基于Symantec全球云计算网络的病毒和恶意软件检测。该技

31、术不仅是传统的基于特征码的防病毒技术的一个重要补充，随着使用者数目的增多和信誉度数据库的不断丰富完善，正在成为Symantec的主要的病毒和恶意软件检测技术。由于整个行业日益重视端点安全，所以防病毒和反间谍软件市场中最近新出现了各种产品。在这些第一代和第二代解决方案中，虽然有许多产品可以提供一定程度的防护，但它们往往无法提供全面防护。许多技术仅在一种操作系统上工作。其它技术缺少与防火墙、设备控制和入侵防御等其它基本端点安全技术互操作的功能。无论是从质量还是级别来看，Symantec Endpoint Protection 提供的防护都远远超越了竞争对手的产品。与第一代打包解决方案相比，Syma

32、ntec Endpoint Protection提供更高级别的实时防护，而且赛门铁克的表现比许多老牌安全解决方案提供商更胜一筹。例如，赛门铁克是 1999 年以来唯一连续获得40多项VB100奖的供应商。在Gartner评比中，Symantec Endpoint Protection始终位列领导者象限的领先地位。另外，Symantec Endpoint Protection由赛门铁克全球情报网络提供支持，该集成式服务为客户提供了必需的情报，让他们能够降低安全风险、提高法规遵从性并改善整体安全状况。赛门铁克全球情报服务提供了对全球、行业和本地最新威胁与攻击的洞察，以便企业可以主动响应新出现的威胁

33、。通过将威胁预警和赛门铁克托管安全服务完美结合，赛门铁克全球情报服务可以对整个企业中的恶意活动进行实时分析，从而帮助企业保护关键信息资产。（2）主动威胁防护技术虽然基于特征和信誉度的文件扫描和网络扫描技术覆盖了主要的必备保护领域，但仍然需要并非基于特征或信誉度的技术，来防御隐蔽攻击使用的不断增多的未知威胁。这类技术被称为主动威胁防护技术。Symantec Endpoint Protection包括Proactive Threat Scan，它是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。它具有独特的主机入侵防御功能，让企业有能力针对未知或零日威胁保护自己。Proacti

34、ve Threat Scan 基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的 IPS 仅检测它们认为的“不良行为”。所以，它们经常会将可接受的应用程序行为识别为威胁并将它们关闭，严重影响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。不过，Proactive Threat Scan 会同时记录应用程序的正常行为和不良行为，提供更加准确的威胁检测，可显著减少误报的数量。所以，Symantec Endpoint Protection让企业能够检测到任何基于特征的技术都检测不到的未知威胁。（3）网络威胁防护端点上的网络威胁防护对于防御混合型威胁和阻止爆发至关重要。为

35、保证有效性，绝不能仅仅依赖防火墙。网络威胁防护应包含多种先进防护技术，包括入侵防御以及先进的网络通信控制功能。过去，安全专家争论的焦点是：是否需要在企业网络边界本身或个别台式机上部署防火墙。由于目前的威胁极为复杂，而且移动办公人员已经扩展到企业计算基础架构的边界以外，所以端点已成为漏洞利用和攻击的主要目标。威胁通常首先感染网络边界以外的一台笔记本电脑，之后，在这台笔记本电脑连接到内部网络时，该威胁就会传播到其它端点。可以利用端点防火墙，不仅阻止内部网络攻击入侵连接到网络的任何端点，甚至阻止这些威胁离开最初感染的端点。 Symantec Endpoint Protection端点安全代理结合最佳

36、的防火墙解决方案，兼备原赛门铁克客户端防火墙与Sygate防火墙的功能。其中包括：基于规则的防火墙引擎预定义的防病毒、反间谍软件和个人防火墙检查按应用程序、主机、服务和时间触发的防火墙规则全面TCP/IP支持（TCP、UDP、ICMP、Raw IP Protocol）用于允许或禁止网络协议支持的选项，包括以太网、令牌环、IPX/SPX、AppleTalk 和 NetBEUI阻止VMware和WinPcap等协议驱动程序的功能特定于适配器的规则检查加密和明文网络通信的功能数据包和数据流入侵防御系统(IPS)阻止、自定义IPS特征阻止以及一般漏洞利用禁止实现主动威胁防御网络准入控制的自我实施（4）

37、入侵防御对解决基于漏洞的网络威胁具有重要作用，对于使用一般特征并基于漏洞的入侵更是如此。基于漏洞的入侵防御系统可使用一个一般特征，阻止攻击漏洞的数百种潜在漏洞利用，在网络层遏止攻击，使其根本无法感染端点。虽然传统IPS解决方案能够检测到特定的已知漏洞利用，但他们不足以针对构成当前威胁主流的多种漏洞攻击变种来保护公布的软件漏洞。根据互联网安全威胁报告(ISTR Vol XI)，操作系统或应用程序提供商平均需要47天才能发布公布漏洞的补丁程序。在推出补丁程序之前利用这些漏洞进行的攻击通常称为前所未见的攻击或零日攻击。在检测到第一次漏洞攻击之后的几小时，IPS供应商会发布特征，以防御利用特定漏洞的进

38、一步攻击。这些反应性方法会让老练的攻击者拥有大量攻击机会。在发布漏洞特征之前发起的第一轮漏洞利用会让企业承受极为惨重的损失。即使已经发布了漏洞利用特征，这些方法对多态或自我突变的漏洞利用变种也是毫无招架能力。另外，这些基于漏洞利用的反应性方法无法防御尚未发现、尚未报告或未知的威胁，例如，通常检测不到以特定公司为目标的隐蔽漏洞利用。为应对前所未见的突变威胁，需要基于漏洞的 IPS 形式的更主动方法。虽然基于漏洞利用的特征只能检测到特定漏洞利用，但基于漏洞的特征会在更高级别运行，不仅检测到利用一种漏洞的特定攻击，而且能够检测到试图攻击该漏洞的所有漏洞利用。Symantec Endpoint Pro

39、tection包括：一般漏洞利用禁止 (GEB)，即使用一般特征、基于漏洞的 IPS 技术。当操作系统或应用程序供应商公布可能导致企业面临严重风险的新漏洞时，赛门铁克的工程师会研究该漏洞的特点，并根据研究结果总结并发布一般特征。由此可帮助在出现漏洞利用之前保护企业。基于漏洞的入侵防御非常有效，因为一个漏洞定义不仅能防御一种威胁，而且可防御数百种甚至数千种威胁（参见下表）。因为这种防御会查找漏洞特点和行为，所以可防御多种威胁，甚至可防御未知威胁或尚未开发的威胁。基于漏洞的保护还可用于防御以特定行业或企业为目标的漏洞利用。有目标的攻击通常比较隐蔽，因为它们的目标是在窃取机密信息时不会被发现，之后还

40、要清除它们自己在系统中留下的痕迹。所以，无法总结出这些有目标漏洞利用的特征，因为企业无法在它们造成破坏之前了解它们。基于漏洞的防护可以识别有目标攻击试图利用的漏洞的高级特征，所以可检测并阻止漏洞利用。Symantec Endpoint Protection中的端点安全代理在网络层结合基于漏洞的防护，可阻止前所未见的漏洞利用或其变种进入并感染端点。因为它们没有机会感染端点，所以不会造成损害，也不需要对其进行补救。Symantec Endpoint Protection还让管理员有能力创建自定义的入侵防御特征。所以，他们可以定义基于规则的特征，根据他们的特有环境和自定义应用程序的需要而进行量身定制

41、。可以将特征创建为可阻止一些特定操作或更复杂的操作。如果使用 Symantec Endpoint Protection，将无需等待操作系统或应用程序供应商创建已知漏洞的补丁程序，所以管理员可以对端点安全和防护提供全面的主动性控制。（5）设备和应用程序控制Symantec Endpoint Protection结合了设备和应用程序控制功能，让管理员能够拒绝被认为存在高风险的特定设备和应用程序活动，使企业能够根据用户位置禁止特定的操作。设备控制技术让管理员能够决定并控制允许哪些设备连接端点。例如，它可以锁定端点，禁止便携硬盘、CD刻录机、打印机或其它USB设备连接到系统，以防止将机密信息从系统 复

42、制到其中。禁止设备连接的功能还可以帮助防止端点受来自上述设备以及其它设备的病毒感染。应用程序控制技术让管理员能够按照用户和其它应用程序，控制对特定流程、文件和文件夹的访问。它提供应用程序分析、流程控制、文件和注册表访问控制、模块和DLL控制。如果管理员希望限制被认为可疑或存在高风险的某些活动，则可以使用该高级功能。（6）支持网络准入控制Symantec Endpoint Protection中的端点安全代理支持网络准入控制，这意味着该代理已集成网络准入控制技术，而且通过购买Symantec Network Access Control许可证就可以轻松启用该技术。所以，在部署Symantec E

43、ndpoint Protection后，无需在端点设备上部署其它代理软件即可实施网络准入控制通过购买附加许可证启用网络准入控制之后，它会控制对公司网络的访问、实施端点安全策略并与现有网络基础架构轻松集成。不管端点以何种方式与网络相连，Symantec Network Access Control都能够发现并评估端点遵从状态、设置适当的网络访问权限、提供自动补救功能，并持续监视端点以了解遵从状态是否发生了变化。另外，为了简化并优化管理，管理员为Symantec Endpoint Protection和Symantec Network Access Control使用同一管理控制台管理所有功能。第

44、4章 部署方案4.1 部署架构（1） 在总公司网内部署2台SEP管理服务器（以下简称SEPM），一台Liveupdate Administrator（以下简称LUA）服务器，分别用于：SEP管理服务器管理总公司所属的SEP客户端；2台SEPM服务器其中一台为主管理服务器，包含SQL Server 管理数据库； 另外一台为备用管理服务器，起到负载均衡的作用；LUA服务器用于病毒定义的更新，总公司LUA服务器将为总公司SEP服务器与各省级分公司LUA服务器提供病毒定义的更新；（2）如果有分级部署的必要，在各分公司网内部署一台SEP管理服务器与一台LUA服务器，分别用于：SEP管理服务器管理各省级分

45、公司SEP客户端；LUA服务器用于为各省级分公司SEP管理服务器与各地市级分公司SEP管理服务器提供病毒定义的更新；4.2 管理系统功能组件说明防病毒软件管理系统包括两部分组件：r 策略管理服务器策略服务器实现所有安全策略、准入控制规则的管理、设定和监控，是整个终端安全标准化管理的核心。通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全管理，提供集中软件更新、策略更新、报告等功能。策略管理服务器可以完成以下任务： l 终端分组与权限管理；l 根据地理位置、业务属性

46、等条件对终端进行分组管理，对于不同的组可以制定专门的组管理员，并进行权限控制。l 策略管理与发布；l 策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木马防护策略、恶意脚本防护策略、电子邮件防护策略（包括outlook、lotus以及internet邮件）、广告软件防护策略、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机完整性策略等l 安全内容更新下发l 安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等l 日志收集和报表呈现l 可以生成日报/周报/月报，报告种类包括：风险报表（以服务器组、父服务器、客户端组、计算机、I

47、P、用户名为条件识别感染源、当前环境下高风险列表、按类型划分的安全风险）、计算机状态报表（内容定义分发、产品版本列表、未接受管理客户端列表）、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报表、系统报表、安全遵从性报表。l 强制服务器管理和策略下发l 对于交换机强制服务器和网关强制设备进行统一的管理和策略定义。l 终端代理安装包的维护和升级；r 终端客户端终端安全管理系统需要在所有的终端上部署安全代理软件，安全代理是整个企业网络安全策略的执行者，它安装在网络中的每一台终端计算机上。安全代理实现端点保护和准入控制功能。端点保护功能包括：l 防病毒和反间谍软件 提供病毒防护、间谍软件防护

48、、rootkit 防护。l 网络威胁防护 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (GEB)，该功能可以在恶意软件进入系统前将其阻止在外。l 主动威胁防护 针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。4.3 病毒定义升级4.3.1 防病毒系统初建后第一次升级方案防病毒系统在建设完成后第一次升级占用带宽较大，一般需要升级100M200M左右的软件更新和病毒定义升级，如果在广域链路上进行并发更新容易造成链路拥塞，在这种情况下可考虑采用以下办法予以避免：l 根据实施时间，针对山西农信定制软件安装包，包含当前最新的病毒定义；或者防病毒服务器安装完成后立即手动升级其病毒定义