防病毒整體技術(shù)方案

防病毒軟件技術(shù)方案賽門鐵克軟件（北京）有限公司2012年10月目錄第1章 惡意代碼發(fā)展趨勢 1第2章 防病毒系統(tǒng)設(shè)計思路 32.1 基于特征的防病毒技術(shù)分析 32.2 傳統(tǒng)的防病毒產(chǎn)品使用效果分析 52.3 技術(shù)＋服務(wù)的體系化建設(shè) 62.3.1 技術(shù)層面：主動防御 72.3.2 服務(wù)層面 14第3章 產(chǎn)品選型推薦 163.1 SEP12組件及功能說明 16第4章 部署方案 244.1 部署架構(gòu) 244.2 管理系統(tǒng)功能組件說明 244.3 病毒定義升級 264.3.1 防病毒系統(tǒng)初建后第一次升級方案 264.3.2 正常運維狀態(tài)下的升級方案 274.3.3 Symantec病毒定義升級頻率 274.4 網(wǎng)絡(luò)帶寬影響 284.5 安全管理策略設(shè)計 294.5.1 管理權(quán)限策略 294.5.2 客戶端分組策略 294.5.3 備份和數(shù)據(jù)庫維護(hù)策略 294.5.4 安全策略 304.6 服務(wù)器的硬件配置需求 32第5章 實施方案 335.1 項目工作范圍 335.2 實施計劃 335.2.1 項目里程碑 335.2.2 項目工作進(jìn)度計劃與安排 345.3 項目人員安排 385.3.1 項目組織機(jī)構(gòu) 385.3.2 項目人員組成 385.4 變更管理 415.4.1 項目變更管理控制過程 415.4.2 項目變更審批流程 415.4.3 變更評審小組的成員名單 425.4.4 變更申請表樣式 435.5 項目溝通計劃 44第6章 培訓(xùn)方案 46第7章 服務(wù)方案 487.1 賽門鐵克專業(yè)防病毒服務(wù)體系 487.1.1 賽門鐵克服務(wù)水平闡述 487.1.2 賽門鐵克安全響應(yīng)中心 497.1.3 賽門鐵克企業(yè)客戶服務(wù)中心 497.1.4 賽門鐵克安全合作服務(wù)商 507.2 賽門鐵克專業(yè)防病毒服務(wù)流程 507.2.1 基本流程 517.2.2 客戶服務(wù)專員的工作流程 527.2.3 客戶服務(wù)經(jīng)理的工作流程 527.2.4 工程師的工作流程 537.2.5 緊急事件響應(yīng)流程 54惡意代碼發(fā)展趨勢終端所面臨的安全威脅已不再是傳統(tǒng)的病毒，而是更加復(fù)雜的惡意代碼（廣義病毒）。分析惡意代碼的發(fā)展趨勢可以幫助我們更好地構(gòu)建病毒防護(hù)體系，優(yōu)化現(xiàn)有安全防護(hù)體系，從而實現(xiàn)保障終端安全的最終目標(biāo)。前所未見的惡意代碼威脅當(dāng)前，終端安全必需要面對的首要問題是越來越多的惡意代碼是未知的，前所未見的。前所未見的威脅之所以劇增，其中一個主要原因是惡意代碼系列中出現(xiàn)大量變種。攻擊者普遍都在更新當(dāng)前的惡意代碼，以創(chuàng)建新的變種，而不是“從頭開始”創(chuàng)建新的惡意代碼。一些惡意代碼系列（如熊貓燒香、Flamer系列）中的變種數(shù)量多如牛毛便是這方面淋漓盡致地再現(xiàn)。惡意代碼的編寫者創(chuàng)建新變種的方法各式各樣，其中包括變形代碼進(jìn)化、更改功能及運行時打包實用程序，以逃避防病毒軟件的檢測。前幾年，蠕蟲和病毒（紅色代碼、沖擊波）的大規(guī)模爆發(fā)表明，惡意代碼無需復(fù)雜就可以感染大量計算機(jī)。如今，關(guān)注的焦點逐漸轉(zhuǎn)移到目標(biāo)性攻擊和更狡猾的感染方法上。因此，越來越多的攻擊者開始使用復(fù)雜的多態(tài)技術(shù)來逃避檢測，為傳播助力。多態(tài)病毒可以在復(fù)制時更改其字節(jié)樣式，從而逃避采用簡單的字符串掃描防病毒技術(shù)進(jìn)行的檢測。特洛伊木馬特洛伊木馬是一種不會進(jìn)行自我復(fù)制的程序，但會以某種方式破壞或危害主機(jī)的安全性。特洛伊木馬看起來可用于某些目的，從而促使用戶下載并運行，但它實際上攜帶了一個破壞性的程序。它們可能偽裝成可從各個來源下載的合法應(yīng)用程序，還可能作為電子郵件附件發(fā)送給無防備的用戶。根據(jù)統(tǒng)計，大部分特洛伊木馬是通過惡意網(wǎng)站進(jìn)行安裝的。它們利用瀏覽器漏洞，這些漏洞允許惡意代碼的作者下載并執(zhí)行特洛伊木馬，而很少或無需與用戶交互。當(dāng)用戶使用MicrosoftInternetExplorer查看其中的惡意的網(wǎng)絡(luò)頁面時，特洛伊木馬便會通過瀏覽器中的多客戶端漏洞安裝在用戶的系統(tǒng)中。然后，特洛伊木馬會記錄某些網(wǎng)站的身份驗證資料，并將其發(fā)送給遠(yuǎn)程攻擊者。許多新出現(xiàn)的特洛伊木馬還會從受感染的系統(tǒng)中竊取特定的消息，如網(wǎng)上銀行密碼。廣告軟件/流氓軟件終端用戶遭遇的廣告軟件/流氓軟件的幾率越來越高，廣告軟件可執(zhí)行多種操作，其中包括顯示彈出式廣告、將用戶重引導(dǎo)至色情網(wǎng)站、修改瀏覽器設(shè)置，如默認(rèn)主頁設(shè)置以及監(jiān)視用戶的上網(wǎng)活動以顯示目標(biāo)廣告。其影響范圍包括單純的用戶騷擾、隱私權(quán)侵犯等。Adware的影響因其固有的特點而難以量化。但這并不意味著它們不是安全問題。最嚴(yán)重的影響可能是大范圍破壞個別最終用戶系統(tǒng)的完整性。包括：性能下降、瀏覽器故障、系統(tǒng)頻繁死機(jī)等?；旌闲屯{混合型威脅可以利用多種方法和技術(shù)進(jìn)行傳播。它們不但能利用漏洞，而且綜合了各類惡意代碼（病毒、蠕蟲和特洛伊木馬程序）的特點，從而可以在無需或僅需很少人工干預(yù)的情況下，短時間內(nèi)感染大量系統(tǒng)，迅速造成大范圍的破壞。混合型威脅常用的多傳播機(jī)制使其可以用靈活多變的方式避開組織的安全措施。它們可以同時使系統(tǒng)資源超負(fù)荷并耗盡網(wǎng)絡(luò)帶寬。防病毒系統(tǒng)設(shè)計思路基于特征的防病毒技術(shù)分析長期以來，應(yīng)對混合型威脅（混合型病毒）的傳統(tǒng)做法是，一旦混合型病毒爆發(fā)，盡快捕獲樣本，再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速清除病毒并阻截該威脅的蔓延。這種方式曾一度相當(dāng)有效，但近年來――特別是近年來多次影響XXX的沖擊波、Slammer、Netsky、熊貓燒香、Flamer等病毒，已經(jīng)體現(xiàn)這種基于特征的被動式病毒響應(yīng)方式效果不佳了。這一方面因為病毒的快速發(fā)展，另一方面更因為傳統(tǒng)防病毒技術(shù)采取被動跟蹤的方式來進(jìn)行病毒防護(hù)。但是，這種被動的病毒響應(yīng)方式越來越力不從心。如下圖所示，Symantec公司統(tǒng)計了近十幾年來病毒爆發(fā)速度和特征響應(yīng)速度，并對近年的發(fā)展趨勢做了比較?；旌闲筒《靖腥九c病毒特征響應(yīng)對比圖該圖以計算機(jī)病毒/混合威脅的復(fù)制速度（藍(lán)色線條，自左上至右下）來顯示這些威脅的演變，以響應(yīng)速度（紅色線條，自左下至右上）來顯示病毒技術(shù)的發(fā)展。橫軸以年為單位，時間范圍是從1990年至2005年。縱軸實際上顯示兩種不同的時間規(guī)定（都采用左邊縱軸的時間比例來顯示）。左邊縱軸（藍(lán)色文本）顯示惡意病毒達(dá)到“感染”狀態(tài)所用的時間，在該狀態(tài)下，惡意病毒已經(jīng)感染了相當(dāng)多有漏洞的計算機(jī)。右邊縱軸顯示提供描述病毒的特征所用的時間。分析上圖的最后一部分可知，對于現(xiàn)在出現(xiàn)的幾分鐘甚至幾秒鐘之內(nèi)就可發(fā)作的超速混合威脅而言，其傳播速度和實現(xiàn)完全感染相關(guān)主機(jī)的速度比人工或自動化系統(tǒng)生成和部署病毒特征的速度快得多時，在這樣情況下，原有的基于病毒特征的模式已經(jīng)效果甚微，因為到那時每次混合型病毒的爆發(fā)，由于特征響應(yīng)方式的滯后而讓將付出沉重的代價（最近的沖擊波、震蕩波的例子已經(jīng)初步證明了這一點），而這是絕對不能接受的。傳統(tǒng)的防病毒產(chǎn)品使用效果分析傳統(tǒng)的單一的防病毒產(chǎn)品在應(yīng)對新的終端安全威脅時效果往往不佳，其根本原因在于：基于特征的病毒定義滯后性雖然防病毒技術(shù)不斷發(fā)展，出現(xiàn)了類似啟發(fā)式掃描、智能檢測等新的技術(shù)，但是目前防病毒產(chǎn)品還是以基于特征的病毒掃描方式為主要手段。也即一種新的病毒出現(xiàn)后，防病毒廠商通過各種方式收集到病毒的樣本，經(jīng)過自動地或者專家分析獲取病毒特征碼，隨即發(fā)布新的病毒定義供用戶下載更新。而用戶通過手動或周期地自動更新獲取新的病毒定義以后，才可以有效地防御這種新的病毒。顯然，基于特征的病毒定義更新存在著滯后性，這種滯后表現(xiàn)在：病毒定義滯后于新病毒的出現(xiàn)，當(dāng)前的病毒快速、大量變種的特性加劇了這種滯后性所帶來的危害。用戶的病毒定義滯后于廠商的病毒定義。這是由于用戶往往使用周期自動更新的方式，甚至由于種種原因部分用戶的病毒定義不能正常升級，這些都會導(dǎo)致與最新的病毒定義的時間差。區(qū)域性惡意代碼增加了樣本收集的難度特洛伊木馬等惡意代碼當(dāng)前的一個重要特征是具有很強(qiáng)的目標(biāo)性和區(qū)域性。特洛伊木馬往往以特定用戶和群體為目標(biāo)。某一種特洛伊木馬可能只是針對某個地區(qū)的某類型用戶。由于特洛伊木馬的目標(biāo)性強(qiáng)，因此這些攻擊只是發(fā)送給較小的用戶群，從而使其看上去并不顯眼，并且不太可能提交給防病毒供應(yīng)商進(jìn)行分析。而如果防病毒廠商不能及時獲得最新的病毒樣本，也就失去了對這些木馬的防護(hù)能力。單純的防病毒技術(shù)無法應(yīng)對混合型威脅混合型威脅整合了病毒傳播和黑客攻擊的技術(shù)，以多種方式進(jìn)行傳播和攻擊。不需要人工干預(yù)，能夠自動發(fā)現(xiàn)和利用系統(tǒng)漏洞，并自動對有系統(tǒng)漏洞的計算機(jī)進(jìn)行傳播和攻擊。越來越多的病毒會自動攻擊操作系統(tǒng)或者特定的應(yīng)用軟件的漏洞，在漏洞未修復(fù)（未安裝補?。┑那闆r下，會造成病毒反復(fù)感染，純粹的防病毒不足以應(yīng)付這些新型的病毒事件。復(fù)雜的病毒查殺技術(shù)與性能需求新型的惡意代碼采取了更多的反檢測和清除的技術(shù)，包括前文描述的多態(tài)病毒以及高級的Rootkit技術(shù)。與傳統(tǒng)的惡意代碼相比，檢測復(fù)雜多態(tài)病毒和Rootkit對技術(shù)的要求更高。涉及復(fù)雜的加密邏輯和統(tǒng)計分析過程，以及代碼模擬和數(shù)據(jù)驅(qū)動引擎的設(shè)計。因此，這需要經(jīng)驗豐富的分析師來開發(fā)檢測和移除技術(shù)。同時，防護(hù)時也需要占用更多的終端系統(tǒng)資源。實際測試包括很多用戶實際環(huán)境中，防病毒軟件通常占用內(nèi)存50M－60M左右，對于一些老的機(jī)器（內(nèi)存小于256M）會影響系統(tǒng)性能。部分終端用戶往往在安全和性能的抉擇中放棄安全，這也導(dǎo)致了防病毒體系整體運行效果不佳。技術(shù)＋服務(wù)的體系化建設(shè)實踐證明，完整有效的終端安全解決方案包括技術(shù)、管理和服務(wù)三個方面內(nèi)容。防病毒技術(shù)的部署和實施是“實現(xiàn)用戶個人的廣義病毒和攻擊的防護(hù)”的主要力量。傳統(tǒng)的病毒防護(hù)方案往往以技術(shù)為主，但是僅僅依靠技術(shù)是有其局限性，因此指望一套防病毒軟件解決所有的病毒問題是不現(xiàn)實的；同時，對于中保協(xié)這樣的大型企業(yè)，防病毒的管理性要求甚至比查殺病毒的能力顯得更為重要，如果不能做到全網(wǎng)防病毒的統(tǒng)一管理，再強(qiáng)的防病毒軟件也不能發(fā)揮應(yīng)有作用。此外，我們重點提出“服務(wù)”的根本原因是基于一個判斷：即沒有任何防病毒廠家能夠做到對所有已知病毒和未知病毒的快速準(zhǔn)確查殺。服務(wù)是產(chǎn)品的一種補充。因此，廠家提供的產(chǎn)品＋服務(wù)的組合才能在根本上保證病毒防護(hù)的可靠性。以下分別予以詳細(xì)闡述：技術(shù)層面：主動防御從以上對新的惡意軟件發(fā)展趨勢和傳統(tǒng)的病毒防護(hù)產(chǎn)品的特性分析，不難看出，傳統(tǒng)防病毒技術(shù)由于采取被動跟蹤的方式來進(jìn)行病毒防護(hù)。一旦病毒爆發(fā)，盡快捕獲樣本，再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速清除病毒并阻截該威脅的蔓延。這種被動的防護(hù)方式無法應(yīng)對新的惡意軟件的發(fā)展。因此，必須從“主動防御”這一觀點出發(fā)，建立一個覆蓋全網(wǎng)的、可伸縮、抗打擊的防病毒體系。相對于被動式病毒響應(yīng)技術(shù)而言，主動式反應(yīng)技術(shù)可在最新的惡意軟件沒有出現(xiàn)之前就形成防御墻，靜侯威脅的到來而能避免威脅帶來的損失?！爸鲃臃烙敝饕w現(xiàn)在以下幾個方面：信譽度技術(shù)Symantec會從其數(shù)百萬用戶的全球社區(qū)及其全球情報網(wǎng)中收集有關(guān)文件的信息。所收集的信息形成Symantec承載的一個信譽數(shù)據(jù)庫。Symantec產(chǎn)品利用該信息保護(hù)客戶端計算機(jī)，使其免受新威脅、目標(biāo)威脅和變異威脅的侵害。該數(shù)據(jù)有時稱為“在云端”，因為它未駐留在客戶端計算機(jī)上。客戶端計算機(jī)通過請求或查詢信譽數(shù)據(jù)庫，可以避免傳統(tǒng)的基于特征碼的防病毒技術(shù)帶來的病毒檢測的滯后性，做到基于Symantec全球防病毒云計算網(wǎng)絡(luò)的病毒和惡意軟件防護(hù)。Symantec使用一項稱為“智能掃描”的技術(shù)來確定每個文件的風(fēng)險級別或“安全等級”。智能掃描通過檢查文件及其上下文的以下特征來確定文件的安全等級：■文件的源■文件的新舊程度■文件在社區(qū)中的常用程度■其他安全衡量標(biāo)準(zhǔn)，如文件可能與惡意軟件的關(guān)聯(lián)程度SymantecEndpointProtection12.1中的掃描功能利用智能掃描做出有關(guān)文件和應(yīng)用程序的決策?；趹?yīng)用程序的防火墻技術(shù)個人防火墻能夠按程序或者通訊特征，阻止/容許任何端口和協(xié)議進(jìn)出。利用個人防火墻技術(shù)，一方面可以防止病毒利用漏洞滲透進(jìn)入終端，另一方面，更為重要的是，可以有效地阻斷病毒傳播路徑。以去年大規(guī)模爆發(fā)的Spybot病毒為例，該病毒利用了多個微軟系統(tǒng)漏洞和應(yīng)用軟件漏洞，企業(yè)可以在終端補丁尚未完全安裝完畢的情況下，通過集中關(guān)閉這些存在漏洞的服務(wù)端口，阻止病毒進(jìn)入存在漏洞的終端。再以Arp木馬為例。正常的Arp請求和響應(yīng)包是由ndisiuo.sys驅(qū)動發(fā)出，而arp病毒或者其他arp攻擊通常是利用其他的系統(tǒng)驅(qū)動偽造arp數(shù)據(jù)包發(fā)出。因此，通過在防火墻規(guī)則中設(shè)定，只允許ndisiuo.sys對外發(fā)送Arp數(shù)據(jù)包（協(xié)議號0x806），其他的全部禁止。從而，在沒有最新的病毒定義的前提下對病毒進(jìn)行阻斷和有效防護(hù)。統(tǒng)一部署防火墻不僅可以解決以上這些安全問題，同時可以成為企業(yè)執(zhí)行安全策略的有力工具，實現(xiàn)一些企業(yè)的安全策略的部署，如突發(fā)病毒爆發(fā)時，統(tǒng)一開放關(guān)閉防火墻相應(yīng)端口。具備通用漏洞阻截技術(shù)的入侵防護(hù)通用漏洞利用阻截技術(shù)的思想是：正如只有形狀正確的鑰匙才能打開鎖一樣，只有“形狀”相符的混合型病毒才能利用該漏洞進(jìn)行攻擊。如果對一把鎖的內(nèi)部鎖齒進(jìn)行研究，便可以立即了解到能夠打開這把鎖的鑰匙必需具備的特征——甚至不需要查看實際的鑰匙。類似地，當(dāng)新漏洞發(fā)布時，研究人員可以總結(jié)該漏洞的“形狀”特征。也就是說，可以描述經(jīng)過網(wǎng)絡(luò)到達(dá)漏洞計算機(jī)并利用該漏洞實施入侵的數(shù)據(jù)的特征。對照該“形狀”特征，就可以檢測并阻截具有該明顯“形狀”的任何攻擊（例如蠕蟲）。以沖擊波蠕蟲被阻截為例進(jìn)行說明。當(dāng)2003年7月MicrosoftRPC漏洞被公布時，賽門鐵克運用通用漏洞利用研究技術(shù)，制作了該漏洞的通用特征。大約在一個月之后，出現(xiàn)了利用該漏洞進(jìn)行入侵和蔓延的沖擊波蠕蟲。Symantec由于具備了賽門鐵克編寫的特征在網(wǎng)絡(luò)環(huán)境中能夠迅速檢測到?jīng)_擊波蠕蟲并立即阻止它。在前文對惡意軟件的發(fā)展趨勢中，我們分析了木馬、流氓軟件的一個最主要的傳播方式是利用IE瀏覽器的漏洞，當(dāng)用戶瀏覽這些惡意站點時，利用IE的漏洞，攻擊者可以在用戶終端上悄悄安裝木馬、廣告/流氓軟件等。盡管惡意軟件的變種數(shù)量龐大，但實際上，惡意軟件安裝過程中利用的IE漏洞種類并不多。賽門鐵克運用通用漏洞利用研究技術(shù)，提前制作這些漏洞的通用特征。惡意軟件若想利用這些漏洞進(jìn)行安裝，必須具備特定的形狀，而賽門鐵克編寫的特征可以提前檢測到該形狀，從而對其進(jìn)行阻截，避免了惡意軟件安裝到用戶終端上，從而根本無需捕獲該病毒樣本然后再匆忙響應(yīng)。應(yīng)用程序控制技術(shù)通過應(yīng)用程序行為控制，在系統(tǒng)中實時監(jiān)控各種程序行為，一旦出現(xiàn)與預(yù)定的惡意行為相同的行為就立即進(jìn)行阻截。以熊貓燒香為例，如果采用被動防護(hù)技術(shù)，必須對捕獲每一個變種的樣本，才能編寫適當(dāng)?shù)牟《径x。但是，該病毒的傳播和發(fā)作具有非常明顯的行為特征。熊貓燒香最主要的傳播方式是通過U盤傳播，其原理是利用操作系統(tǒng)在打開U盤或者移動硬盤時，會根據(jù)根目錄下的autorun.inf文件，自動執(zhí)行病毒程序。SEP系統(tǒng)防護(hù)技術(shù)可以禁止對根目錄下的autorun.inf的讀寫權(quán)限，特別的，當(dāng)已感染病毒的終端試圖往移動設(shè)備上寫該文件時，可以終止該病毒進(jìn)程并報告管理員。再以電子郵件的行為阻截技術(shù)應(yīng)用為例進(jìn)行說明。首先，我們知道基于電子郵件的蠕蟲的典型操作：典型的電子郵件計算機(jī)蠕蟲的工作原理是，新建一封電子郵件，附加上其（蠕蟲）本身的副本，然后將該消息發(fā)送到電子郵件服務(wù)器，以便轉(zhuǎn)發(fā)到其他的目標(biāo)計算機(jī)。那么，當(dāng)使用了帶行為阻截技術(shù)的賽門鐵克防病毒軟件之后，防病毒軟件將監(jiān)視計算機(jī)上的所有外發(fā)電子郵件。每當(dāng)發(fā)送電子郵件時，防病毒軟件都要檢查該郵件是否郵件有附件。如果該電子郵件有附件，則將對附件進(jìn)行解碼，并將其代碼與計算機(jī)中啟動此次電子郵件傳輸?shù)膽?yīng)用程序相比較。常見的電子郵件程序，如Outlook，可以發(fā)送文件附件，但絕不會在郵件中附加一份自身程序的可執(zhí)行文件副本！只有蠕蟲才會在電子郵件中發(fā)送自己的副本。因此，如果檢測到電子郵件附件與計算機(jī)上的發(fā)送程序非常相似時，防病毒軟件將終止此次傳輸，從而中斷蠕蟲的生命周期。此項技術(shù)非常有效，根本無需捕獲蠕蟲樣本然后再匆忙響應(yīng)，帶此項技術(shù)的賽門鐵克防病毒軟件已經(jīng)成功的在零時間阻截了數(shù)十種快速傳播的計算機(jī)蠕蟲，包括最近的Sobig、Novarg和MyDoom。此外，基于行為的惡意軟件阻截技術(shù)，還可以鎖定IE設(shè)置、注冊表、系統(tǒng)目錄，當(dāng)木馬或者流氓軟件試圖更改這些設(shè)置時會被禁止。從而，即使用戶下載了未知的惡意軟件，也無法在終端上正常安裝和作用?；谛袨榈姆雷o(hù)技術(shù)非常有效，根本無需捕獲惡意軟件樣本然后再匆忙響應(yīng)，利用此項技術(shù)可以成功的在零時間阻截主流的蠕蟲病毒，包括熊貓燒香、威金等。由于采用了集中的策略部署和控制，無須最終用戶的干預(yù)，因此不需要用戶具備高深的病毒防護(hù)技術(shù)。同時，基于行為規(guī)則的防護(hù)技術(shù)非常適合于主機(jī)系統(tǒng)環(huán)境，主機(jī)系統(tǒng)應(yīng)用單一并且管理專業(yè)，采用行為規(guī)則的防護(hù)是對傳統(tǒng)防病毒技術(shù)的一個很好的補充。前瞻性威脅掃描ProactiveThreatScan是一種主動威脅防護(hù)技術(shù)，可防御利用已知漏洞的多種變種和前所未見的威脅。ProactiveThreatScan基于分析系統(tǒng)所運行進(jìn)程的行為來檢測潛在威脅的啟發(fā)式技術(shù)。大多數(shù)基于主機(jī)的IPS僅檢測它們認(rèn)為的“不良行為”。所以，它們經(jīng)常會將可接受的應(yīng)用程序行為識別為威脅并將它們關(guān)閉，嚴(yán)重影響用戶和技術(shù)支持中心的工作效率，讓管理員面臨著艱巨的挑戰(zhàn)。不過，ProactiveThreatScan會同時記錄應(yīng)用程序的正常行為和不良行為，提供更加準(zhǔn)確的威脅檢測，可顯著減少誤報的數(shù)量。前瞻性地威脅掃描讓企業(yè)能夠檢測到任何基于特征的技術(shù)都檢測不到的未知威脅。終端系統(tǒng)加固事實上，確保終端安全的一個必須的基礎(chǔ)條件時終端自身的安全加固，包括補丁安裝、口令強(qiáng)度等。顯然，口令為空、缺少必要的安全補丁的終端，即使有再優(yōu)秀的防護(hù)技術(shù)也不可避免地遭受到攻擊和病毒感染。為了彌補和糾正運行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個網(wǎng)絡(luò)安全不至由于個別軟件系統(tǒng)的漏洞而受到危害，必需在企業(yè)的安全管理策略中加強(qiáng)對補丁升級、系統(tǒng)安全配置的管理。建議集中管理企業(yè)網(wǎng)絡(luò)終端的補丁升級、系統(tǒng)配置策略，可以定義終端補丁下載，補丁升級策略以及增強(qiáng)終端系統(tǒng)安全配置策略并下發(fā)給運行于各終端設(shè)備上的代理，代理執(zhí)行這些策略，保證終端系統(tǒng)補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險，提高企業(yè)網(wǎng)絡(luò)整體的補丁升級、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補丁及安全配置管理策略得到有效的落實。針對虛擬化和云設(shè)計隨著虛擬化和云技術(shù)的不斷應(yīng)用和發(fā)展，防病毒軟件需要適合在虛擬化河運平臺下的終端防護(hù)，包含以下功能：針對VMware、Citrix和Microsoft虛擬環(huán)境而優(yōu)化易于管理的物理和虛擬客戶端最大限度提高了在虛擬化和云平臺下性能和密度，同時絲毫不會影響安全性在虛擬化河運平臺下最出色的性能和安全性基于特征的病毒防護(hù)技術(shù)最后，傳統(tǒng)的病毒防護(hù)技術(shù)僅僅作為主動防御的的一個必要補充，防御已知的病毒，對于已經(jīng)感染病毒機(jī)器進(jìn)行自動的清除和恢復(fù)操作。綜上所述，單純的防病毒產(chǎn)品都僅僅實現(xiàn)了基于特征的病毒防護(hù)功能，必須依靠其他的主動防御技術(shù)，才能有效地應(yīng)對當(dāng)前的惡意代碼威脅。服務(wù)層面企業(yè)通過建立網(wǎng)絡(luò)防病毒體系來防止病毒入侵，即是一個動態(tài)的技術(shù)對抗過程，也是一個防守方和攻擊方的人員較量過程。在現(xiàn)實的網(wǎng)絡(luò)環(huán)境里，由于攻擊方在大多數(shù)情況下掌握著主動權(quán)，因此部署防病毒產(chǎn)品只是建立了對抗攻擊的基礎(chǔ)，還不能達(dá)到真正意義上的安全，最重要的是對產(chǎn)品進(jìn)行有效的管理和正確的策略配置，并且時時刻刻關(guān)注網(wǎng)絡(luò)安全的最新動態(tài)，根據(jù)各種變化及時調(diào)整安全策略，加固系統(tǒng)。只有結(jié)合和采用防病毒安全服務(wù)，才能使企業(yè)的防病毒體系以及整體安全達(dá)到一個新的高度。防病毒廠商提供的服務(wù)主要包括以下兩個方面：病毒預(yù)警服務(wù)病毒預(yù)警服務(wù)為XXX對于新病毒的提前預(yù)警、通知和防范的標(biāo)準(zhǔn)流程，該流程為管理員提供必要的信息和預(yù)警，以便在病毒到達(dá)企業(yè)之前或病毒尚未泛濫之前部署對策并成功抵制攻擊，減少病毒事件的數(shù)量，降低病毒事件的影響。突發(fā)病毒應(yīng)急響應(yīng)服務(wù)當(dāng)用戶發(fā)現(xiàn)一種未知病毒的傳播導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓，而現(xiàn)有防病毒客戶端對此無能無能為力，或者當(dāng)病毒客戶端發(fā)現(xiàn)病毒但既不能隔離也不能有效刪除時候，就需要防病毒服務(wù)能夠幫用戶解決這些問題。而且，用戶需要的是一個時限范圍內(nèi)的解決。用戶可以通過提交病毒樣本或要求直接上門服務(wù)的方式，請防病毒廠家協(xié)助解決這些問題，避免病毒在用戶的大規(guī)模擴(kuò)散。產(chǎn)品選型推薦根據(jù)以上防病毒系統(tǒng)設(shè)計思路，我們推薦采用SymantecEndpointProtection12.1終端防護(hù)軟件。SEP12組件及功能說明SEP12主要功能模塊如下：（1）防病毒和反間諜軟件防病毒和反間諜軟件解決方案一般采用基于掃描的傳統(tǒng)技術(shù)，來識別端點設(shè)備上的病毒、蠕蟲、特洛伊木馬、間諜軟件和其它惡意軟件。典型的防病毒和反間諜軟件解決方案會在系統(tǒng)中搜索與已知威脅的特點（或稱威脅特征）匹配的文件，從而檢測這些威脅。在檢測到威脅后，該解決方案會對其進(jìn)行補救，通常是刪除或控制威脅。多年來，該方法在針對已知威脅保護(hù)端點時一直非常有效。雖然該方法不足以防御未知威脅和零日威脅，但它仍然是整體端點安全中的基本要素。Symantec從2011年7月份發(fā)布的SymantecEndpointProtection12.1版本開始，把原本在個人版諾頓防病毒軟件使用成熟的信譽度技術(shù)和主動式防御技術(shù)增加到企業(yè)版SymantecEndpointProtection產(chǎn)品之中，做到了真正的基于Symantec全球云計算網(wǎng)絡(luò)的病毒和惡意軟件檢測。該技術(shù)不僅是傳統(tǒng)的基于特征碼的防病毒技術(shù)的一個重要補充，隨著使用者數(shù)目的增多和信譽度數(shù)據(jù)庫的不斷豐富完善，正在成為Symantec的主要的病毒和惡意軟件檢測技術(shù)。由于整個行業(yè)日益重視端點安全，所以防病毒和反間諜軟件市場中最近新出現(xiàn)了各種產(chǎn)品。在這些第一代和第二代解決方案中，雖然有許多產(chǎn)品可以提供一定程度的防護(hù)，但它們往往無法提供全面防護(hù)。許多技術(shù)僅在一種操作系統(tǒng)上工作。其它技術(shù)缺少與防火墻、設(shè)備控制和入侵防御等其它基本端點安全技術(shù)互操作的功能。無論是從質(zhì)量還是級別來看，SymantecEndpointProtection提供的防護(hù)都遠(yuǎn)遠(yuǎn)超越了競爭對手的產(chǎn)品。與第一代打包解決方案相比，SymantecEndpointProtection提供更高級別的實時防護(hù)，而且賽門鐵克的表現(xiàn)比許多老牌安全解決方案提供商更勝一籌。例如，賽門鐵克是1999年以來唯一連續(xù)獲得40多項VB100獎的供應(yīng)商。在Gartner評比中，SymantecEndpointProtection始終位列領(lǐng)導(dǎo)者象限的領(lǐng)先地位。另外，SymantecEndpointProtection由賽門鐵克全球情報網(wǎng)絡(luò)提供支持，該集成式服務(wù)為客戶提供了必需的情報，讓他們能夠降低安全風(fēng)險、提高法規(guī)遵從性并改善整體安全狀況。賽門鐵克全球情報服務(wù)提供了對全球、行業(yè)和本地最新威脅與攻擊的洞察，以便企業(yè)可以主動響應(yīng)新出現(xiàn)的威脅。通過將威脅預(yù)警和賽門鐵克托管安全服務(wù)完美結(jié)合，賽門鐵克全球情報服務(wù)可以對整個企業(yè)中的惡意活動進(jìn)行實時分析，從而幫助企業(yè)保護(hù)關(guān)鍵信息資產(chǎn)。（2）主動威脅防護(hù)技術(shù)雖然基于特征和信譽度的文件掃描和網(wǎng)絡(luò)掃描技術(shù)覆蓋了主要的必備保護(hù)領(lǐng)域，但仍然需要并非基于特征或信譽度的技術(shù)，來防御隱蔽攻擊使用的不斷增多的未知威脅。這類技術(shù)被稱為主動威脅防護(hù)技術(shù)。SymantecEndpointProtection包括ProactiveThreatScan，它是一種主動威脅防護(hù)技術(shù)，可防御利用已知漏洞的多種變種和前所未見的威脅。它具有獨特的主機(jī)入侵防御功能，讓企業(yè)有能力針對未知或零日威脅保護(hù)自己。ProactiveThreatScan基于分析系統(tǒng)所運行進(jìn)程的行為來檢測潛在威脅的啟發(fā)式技術(shù)。大多數(shù)基于主機(jī)的IPS僅檢測它們認(rèn)為的“不良行為”。所以，它們經(jīng)常會將可接受的應(yīng)用程序行為識別為威脅并將它們關(guān)閉，嚴(yán)重影響用戶和技術(shù)支持中心的工作效率，讓管理員面臨著艱巨的挑戰(zhàn)。不過，ProactiveThreatScan會同時記錄應(yīng)用程序的正常行為和不良行為，提供更加準(zhǔn)確的威脅檢測，可顯著減少誤報的數(shù)量。所以，SymantecEndpointProtection讓企業(yè)能夠檢測到任何基于特征的技術(shù)都檢測不到的未知威脅。（3）網(wǎng)絡(luò)威脅防護(hù)端點上的網(wǎng)絡(luò)威脅防護(hù)對于防御混合型威脅和阻止爆發(fā)至關(guān)重要。為保證有效性，絕不能僅僅依賴防火墻。網(wǎng)絡(luò)威脅防護(hù)應(yīng)包含多種先進(jìn)防護(hù)技術(shù)，包括入侵防御以及先進(jìn)的網(wǎng)絡(luò)通信控制功能。過去，安全專家爭論的焦點是：是否需要在企業(yè)網(wǎng)絡(luò)邊界本身或個別臺式機(jī)上部署防火墻。由于目前的威脅極為復(fù)雜，而且移動辦公人員已經(jīng)擴(kuò)展到企業(yè)計算基礎(chǔ)架構(gòu)的邊界以外，所以端點已成為漏洞利用和攻擊的主要目標(biāo)。威脅通常首先感染網(wǎng)絡(luò)邊界以外的一臺筆記本電腦，之后，在這臺筆記本電腦連接到內(nèi)部網(wǎng)絡(luò)時，該威脅就會傳播到其它端點。可以利用端點防火墻，不僅阻止內(nèi)部網(wǎng)絡(luò)攻擊入侵連接到網(wǎng)絡(luò)的任何端點，甚至阻止這些威脅離開最初感染的端點。SymantecEndpointProtection端點安全代理結(jié)合最佳的防火墻解決方案，兼?zhèn)湓愰T鐵克客戶端防火墻與Sygate?防火墻的功能。其中包括：基于規(guī)則的防火墻引擎預(yù)定義的防病毒、反間諜軟件和個人防火墻檢查按應(yīng)用程序、主機(jī)、服務(wù)和時間觸發(fā)的防火墻規(guī)則全面TCP/IP支持（TCP、UDP、ICMP、RawIPProtocol）用于允許或禁止網(wǎng)絡(luò)協(xié)議支持的選項，包括以太網(wǎng)、令牌環(huán)、IPX/SPX、AppleTalk和NetBEUI阻止VMware和WinPcap等協(xié)議驅(qū)動程序的功能特定于適配器的規(guī)則檢查加密和明文網(wǎng)絡(luò)通信的功能數(shù)據(jù)包和數(shù)據(jù)流入侵防御系統(tǒng)(IPS)阻止、自定義IPS特征阻止以及一般漏洞利用禁止實現(xiàn)主動威脅防御網(wǎng)絡(luò)準(zhǔn)入控制的自我實施（4）入侵防御對解決基于漏洞的網(wǎng)絡(luò)威脅具有重要作用，對于使用一般特征并基于漏洞的入侵更是如此?；诼┒吹娜肭址烙到y(tǒng)可使用一個一般特征，阻止攻擊漏洞的數(shù)百種潛在漏洞利用，在網(wǎng)絡(luò)層遏止攻擊，使其根本無法感染端點。雖然傳統(tǒng)IPS解決方案能夠檢測到特定的已知漏洞利用，但他們不足以針對構(gòu)成當(dāng)前威脅主流的多種漏洞攻擊變種來保護(hù)公布的軟件漏洞。根據(jù)互聯(lián)網(wǎng)安全威脅報告(ISTRVolXI)，操作系統(tǒng)或應(yīng)用程序提供商平均需要47天才能發(fā)布公布漏洞的補丁程序。在推出補丁程序之前利用這些漏洞進(jìn)行的攻擊通常稱為前所未見的攻擊或零日攻擊。在檢測到第一次漏洞攻擊之后的幾小時，IPS供應(yīng)商會發(fā)布特征，以防御利用特定漏洞的進(jìn)一步攻擊。這些反應(yīng)性方法會讓老練的攻擊者擁有大量攻擊機(jī)會。在發(fā)布漏洞特征之前發(fā)起的第一輪漏洞利用會讓企業(yè)承受極為慘重的損失。即使已經(jīng)發(fā)布了漏洞利用特征，這些方法對多態(tài)或自我突變的漏洞利用變種也是毫無招架能力。另外，這些基于漏洞利用的反應(yīng)性方法無法防御尚未發(fā)現(xiàn)、尚未報告或未知的威脅，例如，通常檢測不到以特定公司為目標(biāo)的隱蔽漏洞利用。為應(yīng)對前所未見的突變威脅，需要基于漏洞的IPS形式的更主動方法。雖然基于漏洞利用的特征只能檢測到特定漏洞利用，但基于漏洞的特征會在更高級別運行，不僅檢測到利用一種漏洞的特定攻擊，而且能夠檢測到試圖攻擊該漏洞的所有漏洞利用。SymantecEndpointProtection包括：一般漏洞利用禁止(GEB)，即使用一般特征、基于漏洞的IPS技術(shù)。當(dāng)操作系統(tǒng)或應(yīng)用程序供應(yīng)商公布可能導(dǎo)致企業(yè)面臨嚴(yán)重風(fēng)險的新漏洞時，賽門鐵克的工程師會研究該漏洞的特點，并根據(jù)研究結(jié)果總結(jié)并發(fā)布一般特征。由此可幫助在出現(xiàn)漏洞利用之前保護(hù)企業(yè)?；诼┒吹娜肭址烙浅Ｓ行?，因為一個漏洞定義不僅能防御一種威脅，而且可防御數(shù)百種甚至數(shù)千種威脅（參見下表）。因為這種防御會查找漏洞特點和行為，所以可防御多種威脅，甚至可防御未知威脅或尚未開發(fā)的威脅?；诼┒吹谋Ｗo(hù)還可用于防御以特定行業(yè)或企業(yè)為目標(biāo)的漏洞利用。有目標(biāo)的攻擊通常比較隱蔽，因為它們的目標(biāo)是在竊取機(jī)密信息時不會被發(fā)現(xiàn)，之后還要清除它們自己在系統(tǒng)中留下的痕跡。所以，無法總結(jié)出這些有目標(biāo)漏洞利用的特征，因為企業(yè)無法在它們造成破壞之前了解它們。基于漏洞的防護(hù)可以識別有目標(biāo)攻擊試圖利用的漏洞的高級特征，所以可檢測并阻止漏洞利用。SymantecEndpointProtection中的端點安全代理在網(wǎng)絡(luò)層結(jié)合基于漏洞的防護(hù)，可阻止前所未見的漏洞利用或其變種進(jìn)入并感染端點。因為它們沒有機(jī)會感染端點，所以不會造成損害，也不需要對其進(jìn)行補救。SymantecEndpointProtection還讓管理員有能力創(chuàng)建自定義的入侵防御特征。所以，他們可以定義基于規(guī)則的特征，根據(jù)他們的特有環(huán)境和自定義應(yīng)用程序的需要而進(jìn)行量身定制?？梢詫⑻卣鲃?chuàng)建為可阻止一些特定操作或更復(fù)雜的操作。如果使用SymantecEndpointProtection，將無需等待操作系統(tǒng)或應(yīng)用程序供應(yīng)商創(chuàng)建已知漏洞的補丁程序，所以管理員可以對端點安全和防護(hù)提供全面的主動性控制。（5）設(shè)備和應(yīng)用程序控制SymantecEndpointProtection結(jié)合了設(shè)備和應(yīng)用程序控制功能，讓管理員能夠拒絕被認(rèn)為存在高風(fēng)險的特定設(shè)備和應(yīng)用程序活動，使企業(yè)能夠根據(jù)用戶位置禁止特定的操作。設(shè)備控制技術(shù)讓管理員能夠決定并控制允許哪些設(shè)備連接端點。例如，它可以鎖定端點，禁止便攜硬盤、CD刻錄機(jī)、打印機(jī)或其它USB設(shè)備連接到系統(tǒng)，以防止將機(jī)密信息從系統(tǒng)復(fù)制到其中。禁止設(shè)備連接的功能還可以幫助防止端點受來自上述設(shè)備以及其它設(shè)備的病毒感染。應(yīng)用程序控制技術(shù)讓管理員能夠按照用戶和其它應(yīng)用程序，控制對特定流程、文件和文件夾的訪問。它提供應(yīng)用程序分析、流程控制、文件和注冊表訪問控制、模塊和DLL控制。如果管理員希望限制被認(rèn)為可疑或存在高風(fēng)險的某些活動，則可以使用該高級功能。（6）支持網(wǎng)絡(luò)準(zhǔn)入控制SymantecEndpointProtection中的端點安全代理支持網(wǎng)絡(luò)準(zhǔn)入控制，這意味著該代理已集成網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，而且通過購買SymantecNetworkAccessControl許可證就可以輕松啟用該技術(shù)。所以，在部署SymantecEndpointProtection后，無需在端點設(shè)備上部署其它代理軟件即可實施網(wǎng)絡(luò)準(zhǔn)入控制通過購買附加許可證啟用網(wǎng)絡(luò)準(zhǔn)入控制之后，它會控制對公司網(wǎng)絡(luò)的訪問、實施端點安全策略并與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)輕松集成。不管端點以何種方式與網(wǎng)絡(luò)相連，SymantecNetworkAccessControl都能夠發(fā)現(xiàn)并評估端點遵從狀態(tài)、設(shè)置適當(dāng)?shù)木W(wǎng)絡(luò)訪問權(quán)限、提供自動補救功能，并持續(xù)監(jiān)視端點以了解遵從狀態(tài)是否發(fā)生了變化。另外，為了簡化并優(yōu)化管理，管理員為SymantecEndpointProtection和SymantecNetworkAccessControl使用同一管理控制臺管理所有功能。部署方案部署架構(gòu)（1）在總公司網(wǎng)內(nèi)部署2臺SEP管理服務(wù)器（以下簡稱SEPM），一臺LiveupdateAdministrator（以下簡稱LUA）服務(wù)器，分別用于：SEP管理服務(wù)器管理總公司所屬的SEP客戶端；2臺SEPM服務(wù)器其中一臺為主管理服務(wù)器，包含SQLServer管理數(shù)據(jù)庫；另外一臺為備用管理服務(wù)器，起到負(fù)載均衡的作用；LUA服務(wù)器用于病毒定義的更新，總公司LUA服務(wù)器將為總公司SEP服務(wù)器與各省級分公司LUA服務(wù)器提供病毒定義的更新；（2）如果有分級部署的必要，在各分公司網(wǎng)內(nèi)部署一臺SEP管理服務(wù)器與一臺LUA服務(wù)器，分別用于：SEP管理服務(wù)器管理各省級分公司SEP客戶端；LUA服務(wù)器用于為各省級分公司SEP管理服務(wù)器與各地市級分公司SEP管理服務(wù)器提供病毒定義的更新；管理系統(tǒng)功能組件說明防病毒軟件管理系統(tǒng)包括兩部分組件：策略管理服務(wù)器策略服務(wù)器實現(xiàn)所有安全策略、準(zhǔn)入控制規(guī)則的管理、設(shè)定和監(jiān)控，是整個終端安全標(biāo)準(zhǔn)化管理的核心。通過使用控制臺管理員可以創(chuàng)建和管理各種策略、將策略分配給代理、查看日志并運行端點安全活動報告。通過圖形報告、集中日志記錄和閾值警報等功能提供全面的端點可見性。統(tǒng)一控制臺簡化了端點安全管理，提供集中軟件更新、策略更新、報告等功能。策略管理服務(wù)器可以完成以下任務(wù)：終端分組與權(quán)限管理；根據(jù)地理位置、業(yè)務(wù)屬性等條件對終端進(jìn)行分組管理，對于不同的組可以制定專門的組管理員，并進(jìn)行權(quán)限控制。策略管理與發(fā)布；策略包括自動防護(hù)策略、手動掃描的策略、手動掃描的策略、病毒、木馬防護(hù)策略、惡意腳本防護(hù)策略、電子郵件防護(hù)策略（包括outlook、lotus以及internet郵件）、廣告軟件防護(hù)策略、前瞻性威脅防護(hù)策略、防火墻策略、入侵防護(hù)策略、硬件保護(hù)策略、軟件保護(hù)策略、升級策略、主機(jī)完整性策略等安全內(nèi)容更新下發(fā)安全內(nèi)容更新包括病毒定義、防火墻規(guī)則、入侵防護(hù)定義、主動威脅防護(hù)規(guī)則等日志收集和報表呈現(xiàn)可以生成日報/周報/月報，報告種類包括：風(fēng)險報表（以服務(wù)器組、父服務(wù)器、客戶端組、計算機(jī)、IP、用戶名為條件識別感染源、當(dāng)前環(huán)境下高風(fēng)險列表、按類型劃分的安全風(fēng)險）、計算機(jī)狀態(tài)報表（內(nèi)容定義分發(fā)、產(chǎn)品版本列表、未接受管理客戶端列表）、掃描狀態(tài)報表、審計報表、軟件和硬件控制報表、網(wǎng)絡(luò)威脅防護(hù)報表、系統(tǒng)報表、安全遵從性報表。強(qiáng)制服務(wù)器管理和策略下發(fā)對于交換機(jī)強(qiáng)制服務(wù)器和網(wǎng)關(guān)強(qiáng)制設(shè)備進(jìn)行統(tǒng)一的管理和策略定義。終端代理安裝包的維護(hù)和升級；終端客戶端終端安全管理系統(tǒng)需要在所有的終端上部署安全代理軟件，安全代理是整個企業(yè)網(wǎng)絡(luò)安全策略的執(zhí)行者，它安裝在網(wǎng)絡(luò)中的每一臺終端計算機(jī)上。安全代理實現(xiàn)端點保護(hù)和準(zhǔn)入控制功能。端點保護(hù)功能包括：防病毒和反間諜軟件—提供病毒防護(hù)、間諜軟件防護(hù)、rootkit防護(hù)。網(wǎng)絡(luò)威脅防護(hù)—提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能(GEB)，該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。主動威脅防護(hù)—針對不可見的威脅（即零日威脅）提供防護(hù)。包括不依賴特征的主動威脅掃描。病毒定義升級防病毒系統(tǒng)初建后第一次升級方案防病毒系統(tǒng)在建設(shè)完成后第一次升級占用帶寬較大，一般需要升級100M~200M左右的軟件更新和病毒定義升級，如果在廣域鏈路上進(jìn)行并發(fā)更新容易造成鏈路擁塞，在這種情況下可考慮采用以下辦法予以避免：根據(jù)實施時間，針對山西農(nóng)信定制軟件安裝包，包含當(dāng)前最新的病毒定義；或者防病毒服務(wù)器安裝完成后立即手動升級其病毒定義庫；原則上不允許客戶端進(jìn)行手動的防病毒定義升級。正常運維狀態(tài)下的升級方案防病毒系統(tǒng)經(jīng)過初次升級進(jìn)入到日常運維狀態(tài)，后期的防病毒定義更新包一般很?。?50Kbytes～200Kbytes不等），在運維狀態(tài)下自動化的病毒定義更新是非常必要的。在運維狀態(tài)下自動化的病毒定義更新是非常必要的：首先升級山西農(nóng)信數(shù)據(jù)中心SEPM的病毒定義碼、掃描引擎、特征庫（漏洞特征庫和攻擊特征庫）和安全規(guī)則（防火墻策略）。通過Internet到防病毒產(chǎn)品提供商網(wǎng)站升級最新的病毒定義碼和掃描引擎。正常情況下升級周期為每天一次，時間設(shè)定為凌晨，避免升級流量對廣域網(wǎng)絡(luò)帶寬的影響；當(dāng)有突發(fā)的病毒事件或嚴(yán)重級別的病毒威脅，可實時升級病毒定義并下發(fā)。采用這種升級方式，一方面可以確保山西農(nóng)信整個網(wǎng)絡(luò)內(nèi)的病毒定義碼和掃描引擎的更新基本保持同步。另一方面，由于整個網(wǎng)絡(luò)的病毒定義碼和掃描引擎的更新、升級自動完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中某些機(jī)器或某個網(wǎng)絡(luò)因為沒有及時更新最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力，同時也避免了各下屬單位自行到Internet升級而帶來的不便和安全隱患。Symantec病毒定義升級頻率缺省情況下，賽門鐵克公司每日在官方網(wǎng)站上發(fā)布可供防病毒系統(tǒng)自動更新的病毒定義碼（正常狀態(tài)下每日3次更新；對于高危險性病毒爆發(fā)的情況，每日會更新多次）。網(wǎng)絡(luò)帶寬影響服務(wù)器與客戶端之間策略通信流量，取決于管理員配置的操作系統(tǒng)保護(hù)策略的復(fù)雜程度，一個正常的策略文件在20K—80K之間變化，加密壓縮后實際傳輸大校在5K—10K左右。以500臺終端（一個分支機(jī)構(gòu)的終端通常少于500臺）為例，在一次心跳時間（一小時）內(nèi)發(fā)生的實際流量為10K*500=5M，每秒服務(wù)器的策略下載流量為5M/(3600s)=1.4Kbyte，需要占用帶寬為11.2Kbps。事實上，策略更新僅在策略發(fā)生變化時發(fā)起，平時帶寬占用可以忽略不計。服務(wù)器和客戶端之間的日志流量，默認(rèn)設(shè)置的客戶端日志大小限制為512K，每次上傳的日志都是自上一次和服務(wù)器通訊后發(fā)生過的日志。一般客戶端一天（工作時間）發(fā)生的日志量是20條--200條（視網(wǎng)絡(luò)中安全事件發(fā)生的頻率而變化），我們以每心跳時間內(nèi)發(fā)生200條日志這個極限來計算。200條日志壓縮后的大小大概在20K左右，每次心跳發(fā)生時服務(wù)器收到的流量大小為500用戶*20K=10M，每秒流量為10M/（3600s）=2.8byte，需要占用帶寬為22Kbps，對于現(xiàn)有網(wǎng)絡(luò)帶寬影響很小。服務(wù)器和客戶端的安全內(nèi)容更新數(shù)據(jù)量比較大，雖然采用了增量更新技術(shù)，每次更新的數(shù)據(jù)報仍然在200K左右。對遠(yuǎn)程分支機(jī)構(gòu)的終端，可以利用管理系統(tǒng)“組升級”方式進(jìn)行更新，減輕對廣域網(wǎng)帶寬的影響。這種方式下，策略服務(wù)器上可以設(shè)定終端從指定的臨近的“組升級”終端上進(jìn)行病毒定義等安全內(nèi)容更新下載操作。即遠(yuǎn)程市分支機(jī)構(gòu)一臺終端獲得內(nèi)容更新后，其他的終端無需再到地市二級服務(wù)器進(jìn)行更新，只需要從那臺已經(jīng)更新的終端上下載內(nèi)容更新即可。安全管理策略設(shè)計管理權(quán)限策略根據(jù)山西農(nóng)信的實際情況，創(chuàng)建一個域管理員帳號。系統(tǒng)的常見維護(hù)操作，如策略備份與恢復(fù)、站點重裝等只需要有服務(wù)器操作系統(tǒng)管理員帳號即可?？蛻舳朔纸M策略在計算機(jī)全局組下，默認(rèn)只有臨時組，另外創(chuàng)建四個新組，分別為特權(quán)組、隔離組、維護(hù)組、測試組。這幾個組為特殊功能組，做一些策略測試和一些非常態(tài)計算機(jī)的臨時性管理。還可以增加一些普通用戶組，網(wǎng)絡(luò)中的常態(tài)計算機(jī)都集中在普通用戶組中；分組可以按地域、部門、職能、類型、應(yīng)用來分組。應(yīng)該盡量保持扁平的組結(jié)構(gòu)。備份和數(shù)據(jù)庫維護(hù)策略安排一些策略備份的調(diào)度計劃。在服務(wù)器軟硬件出現(xiàn)故障時，可以快速恢復(fù)整個系統(tǒng)。安排數(shù)據(jù)庫事務(wù)日志的維護(hù)計劃，防止事務(wù)日志無限制膨脹，吞噬掉所有硬盤空間，導(dǎo)致系統(tǒng)無法正常工作。安全策略防病毒策略防病毒管理服務(wù)器的病毒定義碼更新時間規(guī)劃防病毒客戶端的病毒定義碼更新時間規(guī)劃防病毒客戶端的實時防護(hù)設(shè)置，配置病毒檢測的類型、操作處理方式、警報方式防病毒客戶端的日志記錄時間設(shè)置防病毒客戶端的隔離區(qū)參數(shù)設(shè)置防病毒客戶端的篡改選項設(shè)置防病毒客戶端的調(diào)度掃描設(shè)置，包括掃描的類型和對病毒的處理方式防火墻策略在該策略庫中做了2個策略模版分別為：隔離區(qū)策略、內(nèi)網(wǎng)限制策略。在這些策略模版中包括以下幾個策略：受限的應(yīng)用程序：禁用一些與工作無關(guān)的應(yīng)用程序運行。惡意程序黑名單：禁用一些嚴(yán)重的病毒、木馬、惡意程序禁止撥號和無線網(wǎng)絡(luò)連接：防止非法外連互聯(lián)網(wǎng)網(wǎng)址屏蔽策略：杜絕與公網(wǎng)IP的通訊操作系統(tǒng)防護(hù)策略設(shè)備禁用示例USB存儲設(shè)備只讀防止USB木馬傳播防止IE加載惡意插件示例禁止程序運行示例注冊表鍵保護(hù)示例文件修改審計示例主機(jī)完整性策略防病毒軟件的安裝與運行檢測規(guī)則分發(fā)防病毒軟件示例補丁檢查策略分發(fā)補丁示例卸載指定補丁示例安全加固設(shè)置針對SANtop10所列漏洞的檢查及修復(fù)針對IIS漏洞的檢查及修復(fù)針對Internetexplorer漏洞的檢查及修復(fù)其他常見服務(wù)和應(yīng)用的漏洞常見系統(tǒng)設(shè)置弱點禁止匿名訪問禁止空連接統(tǒng)一桌面管理設(shè)置統(tǒng)一墻紙統(tǒng)一屏保IE主頁設(shè)置IE代理設(shè)置IE安全級別設(shè)置Registrytool限制添加刪除程序限制禁止更改IP設(shè)置時間同步設(shè)置，禁止更改系統(tǒng)時間桌面鎖定、默認(rèn)主頁設(shè)定策略服務(wù)器的硬件配置需求建議在本部部署2臺SEPM服務(wù)器；結(jié)合實際工程經(jīng)驗，硬件服務(wù)器的配置推薦如下：SEPM防病毒服務(wù)器CPU：3.0GHz以上，2個四核CPU內(nèi)存：16GRAM硬盤：400G硬盤操作系統(tǒng)：WindowsServer2008R2數(shù)據(jù)庫：MicrosoftSQLServer2005數(shù)量：1臺實施方案項目工作范圍本項目的工作范圍如下：完成防病毒服務(wù)器的部署：包括總部SEPM管理服務(wù)器，總部LUA服務(wù)器的部署，必要的分公司SEPM服務(wù)器和LUA服務(wù)器的部署。完成防病毒客戶端的部署。完成終端安全防護(hù)策略的制定及應(yīng)用。完成必要的技術(shù)轉(zhuǎn)移和應(yīng)用技能培訓(xùn)。實施計劃項目里程碑本項目將包含以下里程碑：項目啟動和項目計劃完成方案設(shè)計完成試點階段完成部署完成項目結(jié)束項目工作進(jìn)度計劃與安排T為開始時間，按照工作日計算。任務(wù)號任務(wù)負(fù)責(zé)方配合方時間1項目啟動T1.1項目組織建立1.1.1項目團(tuán)隊成立1.1.2項目領(lǐng)導(dǎo)團(tuán)隊成立1.2項目啟動會議1.3項目計劃制定1.3.1項目工作范圍明確1.3.2項目進(jìn)度制定1.3.3項目變更計劃制定1.3.4項目溝通計劃制定2方案設(shè)計2.1需求確認(rèn)2.1.1完成病毒防護(hù)需求說明書編寫2.1.2完成病毒防護(hù)需求說明書上報確認(rèn)（通過項目經(jīng)理）2.2方案設(shè)計2.2.1完成病毒防護(hù)試點方案設(shè)計初稿編寫（PPT）2.2.2完成病毒防護(hù)試點方案設(shè)計項目組內(nèi)部討論（會議）3部署實施3.1試點階段3.1.1完成病毒防護(hù)防護(hù)試點設(shè)備及環(huán)境到位3.1.2完成病毒防護(hù)試點實施方案初稿編寫3.1.3完成病毒防護(hù)試點實施方案項目組內(nèi)部討論（會議）3.1.4完成病毒防護(hù)-全面試點3.1.5完成病毒防護(hù)-測試報告3.2推廣階段3.2.2完成病毒防護(hù)標(biāo)準(zhǔn)實施方案編寫并上報(標(biāo)準(zhǔn)實施方案上報)3.2.3完成病毒防護(hù)相關(guān)制度初稿編寫3.2.4完成病毒防護(hù)-郵件系統(tǒng)投產(chǎn)4項目交維4.1.1完成病毒防護(hù)郵件系統(tǒng)的監(jiān)控及備份4.1.2完成病毒防護(hù)系統(tǒng)的管理員培訓(xùn)4.1.3完成病毒防護(hù)相關(guān)制度編寫5項目結(jié)束5.1.1驗收文檔準(zhǔn)備5.1.2完成病毒防護(hù)郵件系統(tǒng)的文檔交付項目人員安排項目組織機(jī)構(gòu)項目人員組成山西農(nóng)信防病毒項目組由以下人員組成：序號角色資質(zhì)與技能要求姓名職責(zé)電話郵件1項目經(jīng)理1）有豐富的項目管理經(jīng)驗

2）具有網(wǎng)絡(luò)及安全方面工作、技術(shù)和管理經(jīng)驗

3）具有高度項目管理和溝通、協(xié)調(diào)能力和執(zhí)行能力4）具有大型銀行的信息防泄漏項目管理經(jīng)驗。1）負(fù)責(zé)項目的日常管理工作，項目資源的申請和管理，根據(jù)項目需要，確定項目組成員

2）負(fù)責(zé)組織制定項目方案和項目計劃

3）對項目狀態(tài)進(jìn)行跟蹤和控制，提交項目狀態(tài)報告

4）確保項目按時、保質(zhì)完成

5）其他項目管理工作2技術(shù)經(jīng)理1）具有網(wǎng)絡(luò)或安全方面工作和技術(shù)經(jīng)驗

2）具有高度項目管理和溝通、協(xié)調(diào)能力和執(zhí)行能力

3）要求高級技術(shù)經(jīng)理以上資質(zhì)4）具有大型銀行的郵件信息防泄漏項目方案設(shè)計及架構(gòu)經(jīng)驗。1）負(fù)責(zé)組織技術(shù)方案、配套制度的制定和有關(guān)試點工作

2）根據(jù)項目經(jīng)理的安排和項目計劃完成項目工作，負(fù)責(zé)向項目經(jīng)理匯報項目進(jìn)展情況3工程師1）3年以上安全、系統(tǒng)或網(wǎng)絡(luò)方面技術(shù)工作經(jīng)驗2）具有郵件安全推廣及運行管理經(jīng)驗3）具有大型銀行的郵件信息防泄漏項目實施經(jīng)驗。1）根據(jù)項目經(jīng)理的安排和項目計劃完成項目工作，負(fù)責(zé)向項目經(jīng)理匯報項目進(jìn)展情況變更管理項目變更管理控制過程項目變更審批流程提出修改方將首先填寫變更申請表（REQUESFORCHANGE，以下簡稱RFC）。RFC需提交評審小組確認(rèn)。評審小組將就RFC的技術(shù)可靠性以及對整個項目的影響作出評估。評審小組主席由山西農(nóng)信指定。評審小組成員由山西農(nóng)信和集成商項目小組人員組成。評審小組成員的資格確認(rèn)及人員的變更將以書面的形式通知對方。集成商將在接到RFC的7個工作日內(nèi)提交收訖說明和相應(yīng)的項目修改建議書（ENGINEERINGCHANGEPROPOSAL），及評審小組的評審報告。經(jīng)山西農(nóng)信確認(rèn)雙方授權(quán)代表簽署授權(quán)并發(fā)放實施通知單。項目組予以實施變更。變更評審小組的成員名單單位姓名職責(zé)PICC集成商變更申請表樣式變更申請序號#：申請人：日期：申請變更內(nèi)容：申請變更原因：變更將對原協(xié)議價格、時程、條款產(chǎn)生以下方面影響：項目溝通計劃由于本項目的關(guān)鍵性和復(fù)雜性，項目的溝通管理就特別重要。我們不但需要保持項目內(nèi)部的溝通順暢，同時需要對項目外部的各干系人進(jìn)行積極主動的溝通。對此，我們建議安排相關(guān)項目人員召開雙周項目例會，并及時把項目狀態(tài)報告通報各方。提交文檔以郵件和紙質(zhì)文件（有簽名）為主。項目周報 每周提交項目組及相關(guān)項目干系人項目雙周例會 每雙周初舉行項目月報 每月底提交相關(guān)項目干系人項目里程碑報告 里程碑結(jié)束后提交項目干系人項目風(fēng)險和異常報告 按實際情況提交項目干系人項目完工報告 項目結(jié)束后提交項目干系人項目周報模板如下：本周原定工作計劃本周實際工作進(jìn)展存在的風(fēng)險及需要PICC協(xié)調(diào)的內(nèi)容下周工作計劃DLP實施進(jìn)度培訓(xùn)方案防病毒系統(tǒng)的培訓(xùn)的對象是山西農(nóng)信SymantecEndpointProtection終端防護(hù)系統(tǒng)管理員，相關(guān)運維人員以及防病毒項目組成員。具體培訓(xùn)內(nèi)容包括SEP系統(tǒng)的安裝，策略制定，性能優(yōu)化，問題排查等部分。培訓(xùn)內(nèi)容的提綱如下：第一部分:SymantecEndpointProtection介紹Lesson1:什么是SymantecEndpointProtection?Lesson2:服務(wù)器和客戶端的安裝Lesson3:管理員基礎(chǔ)操作Lesson4:客戶端通信原理Lesson5:客戶端分組結(jié)構(gòu)Lesson7:查看日志Lesson9:查看報表第二部分:防護(hù)技術(shù)和策略制定Lesson1:病毒防護(hù)和郵件掃描Lesson2:信譽度惡意軟件防護(hù)Lesson3:主動型威脅防護(hù)Lesson4:設(shè)備和應(yīng)用程序控制Lesson5:網(wǎng)絡(luò)威脅防護(hù)第三部分:故障排查Lesson1:常見問題排查方法Lesson2:如何聯(lián)系Symantec技術(shù)支持解決問題Lesson3:如何對應(yīng)病毒爆發(fā)問題服務(wù)方案賽門鐵克公司不僅是全球最大的防病毒公司，也是全球最大的網(wǎng)絡(luò)安全公司，在提供防病毒專業(yè)服務(wù)的同時，也有能力支持服務(wù)