XX住房公积金管理中心网络安全建设整体解决方案.docx
《XX住房公积金管理中心网络安全建设整体解决方案.docx》由会员分享,可在线阅读,更多相关《XX住房公积金管理中心网络安全建设整体解决方案.docx(106页珍藏版)》请在冰豆网上搜索。
XX住房公积金管理中心网络安全建设整体解决方案
XX住房公积金管理中心
网络安全建设整体解决方案
整体构建可控安全
XX年X月XX日
文档信息
文档名称
XX住房公积金管理中心网络安全建设整体解决方案
文档管理编号
保密级别
商业机密
文档版本号
V1.0
制作人
制作日期
复审人
复审日期
扩散范围
XX住房公积金管理中心、网御神州项目组
扩散批准人
文档说明
本文档是网御神州科技(北京)有限公司(以下简称网御神州)就XX住房公积金管理中心网络安全建设项目制作的建议解决方案,仅供项目相关人员参考。
文中的资料、说明等相关内容归网御神州所有。
本文中的任何部分未经网御神州许可,不得转印、影印或复印。
版本变更记录
时间
版本
说明
修改人
1.0
创建
一.方案概述
目前XX住房公积金管理中心的信息化建设已经完成了基础网络系统的搭建及重要业务应用系统与基础网络系统的集成,整个网络系统由XX住房公积金管理中心中心网络和所管辖的各区县分支机构网络所构成,整个网络的信息安全建设还在初步规划阶段。
本方案将详细分析XX住房公积金管理中心信息网络可能存在的各种安全威胁和风险,并在分析的基础上提出一些针对性的解决措施。
严格执行国家相关规定,本着“实用、耐用、急用”的原则来规划建设。
二.方案设计原则及建设目标
二.1方案设计原则
由于本方案内容涉及很多方面,因此进行分析时要本着多层面、多角度的原则,从理论到实际,从软件到硬件,从组件到人员,制定详细的实施方案和安全策略,避免遗漏。
为确保本方案能够在后期顺利的推广和执行,网御神州将遵循以下原则:
●高可用性:
系统设计尽量不改变现有的网络结构和设备。
●可靠性和安全性:
系统设计要具备较高可靠性和安全性,保证网络故障尽可能小的影响内部业务系统。
●高扩展性:
系统设计所选择的软硬件产品应具有一定的通用性,采用标准的技术、结构、系统组件和用户接口,支持所有流行的网络标准及协议;系统设计应采用先进的技术设备,便于今后网络规模和业务的扩展。
●可管理性:
保证整个信息系统应具备较高的资源利用率并便于管理和维护。
●高效性:
保证整个信息系统应具有较高的性能价格比并能够很好地保护投资。
建设的目标和范围
二.2建设目标
项目总体建设目标是根据国家相关信息系统等级保护网络安全方面的建设要求进行XX住房公积金管理中心的网络安全建设,包括边界访问控制、物理隔离、入侵防御、病毒防护、入侵检测、安全审计、终端安全防护、服务器安全加固、传输加密、安全管理等多方面内容;要达到国家相关管理部门的相关要求,建立统一、完善的网络安全体系。
三.安全风险分析
三.1安全风险分析方法
对系统的安全造成风险主要来自于两个因素,一是系统的“信息资产”,二是潜在的攻击者对系统所形成的“安全威胁”。
“信息资产”是指IT系统存贮、处理和传输的各类信息。
之所以用“信息资产”一词,是因为它们对拥有资产的那些人(个人或组织)具有某些固有的价值,同样它们对试图破坏那些资产的机密性、完整性和/或可用性的威胁代理而言也有价值,但与拥有者的愿望和利益相反。
“信息资产”的界定与衡量是安全风险分析的前提,具体方法有:
✧衡量应用系统所处理数据的重要性,对于企业来讲,就要判断数据是否具有很高的商业价值,对于政府来讲,就要判断数据是否具有很高的机密性,这种商业价值,或者机密程度,就为这些数据赋予了相当的价值;
✧衡量应用系统与业务的相关程度,结合越紧密,其重要性就越高,如果这些系统受到攻击及破坏,往往会给业务带来极大的损失。
因此这些系统(包括应用系统,以及承载应用的数据库系统),就构成了组织最重要的信息资产。
比如企业的ERP系统,政府单位的电子政务系统等;
对应用系统发起访问的用户分布,承载应用系统的设备,以及对应用系统的访问所经过的途径及跨度,往往成为衡量信息资产面临风险的主要途径。
如果用户的分布相对分散,设备缺乏足够的冗余措施,访问所经过的跨度很大,都会给信息的保密性、安全性带来挑战,必须进行有针对性地进行评估和设计。
而“安全威胁”,简单的说是一种令人不快的事件,它可能由一个已确认的威胁来源导致,使资产面临风险。
为确认威胁,就必须确认:
Ø威胁所针对的资产是什么?
是否有价值?
是否是组织最重要的信息资产?
Ø什么是威胁来源?
或者什么样的行为会对系统形成威胁?
Ø针对攻击者,还有必要分析他们的技术专长、机遇和动机很可能是什么。
从“资产”和“威胁”两个角度,不难看出,安全风险的分析,其本质就是要分析“组织的信息资产是什么?
这些信息资产会受到什么样的威胁?
如果遭到攻击后,对组织带来什么样的损失?
”
针对XX住房公积金管理中心信息网络,我们看到,其主要的信息资产包括网络中的应用系统;承载应用系统的重要服务器(数据库和应用服务器);承载访问和数据交换的网络设备和物理线路等等,针对这些信息资产,对系统正常安全运营形成威胁的来源主要包括:
来自于互联网上的黑客攻击;不同业务单元员工的非法访问;内部一般员工的越权访问;设备运行故障;重要数据泄密…为了全面地对安全威胁进行分析和归类,根据安全风险的来源,我们分为网络层(主要指传输线路、网络设备方面存在的安全风险)、系统层(主要指操作系统的安全漏洞而产生的安全风险)、应用层(主要指应用系统自身弱点而带来的安全风险)、管理层(主要指网络管理不善带来的安全风险)四个方面,针对每一层面来具体分析所面对的安全风险如下:
三.2网络层安全风险
网络层是网络入侵者进攻信息系统的渠道和通路,许多安全问题都集中体现在网络的安全方面。
由于XX住房公积金管理中心信息网络的基础协议-TCP/IP在设计之初没有考虑到安全方面的因素,导致协议自身存在一些安全隐患。
网络入侵者一般利用协议上的隐患,采用预攻击探测、窃听等搜集信息,然后利用IP欺骗、重放或重演、拒绝服务攻击(SYNFLOOD,PINGFLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。
三.2.1网络设备存在的安全风险
在网络中的重要的安全设备如路由器交换机等有可能存在着以下的安全风险:
(以最常用的路由器为例)
Ø路由器缺省情况下只使用简单的口令验证用户的身份,并且远程TELNET登录时以明文传输口令。
一旦口令泄密路由器将失去所有的保护能力。
Ø路由器口令的弱点是没有计数器功能的,所有每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。
Ø每个管理员都可能使用相同的口令,因此,虽然访问日志可以详细记录管理员对路由器进行登录、修改操作,但无法区分是哪位管理员进行的操作。
Ø路由器实现的动态路由协议存在着一定的安全漏洞,有可能被恶意的攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击做准备。
Ø针对路由器的拒绝服务攻击或分布式拒绝服务攻击。
比如ICMP重定向攻击、源路由攻击等。
Ø发布假路由,路由欺骗,导致整个网络的路由混乱。
三.2.2网络服务器的风险
针对XX住房公积金管理中心信息网络来讲,运行在专网上的各种网络服务器构成了最重要的信息资产,如何确保这些重要的网络服务器能够稳定、可靠、安全地运行,是保证XX住房公积金管理中心信息网络各项业务正常开展的基础。
一般来讲,网络服务器所面临的安全问题包括:
Ø维护存储在服务器上信息的机密性。
这要求保证:
1)只有授权用户才可以访问服务和信息;2)授权用户只能访问那些他们被授权访问的服务;3)信息的公开要与策略一致;
Ø维护存储在服务器上信息的完整性,以免信息被破坏或被损坏,并使系统像期望的那样运行。
这意味着要能对完整性的破坏进行识别和响应;
Ø维护服务和信息的可用性。
这要求保证:
1)即使硬件或软件出故障,或进行系统的日常维护时对信息和服务的访问也不中断;2)能及时识别并响应安全事件;
Ø确保用户名副其实,网络服务器主机也名副其实,这叫做“相互验证”。
三.2.3网络访问的合理性
网络的访问策略是不是合理,访问是不是有序,访问的目标资源是否受控等问题,都会直接影响到XX住房公积金管理中心信息网络的稳定与安全。
如果存在网络内访问混乱,外来人员也很容易接入网络,地址被随意使用等问题,将导致网络难以管理,网络工作效率下将,无法部署安全设备、对攻击者也无法进行追踪审计。
这就要求系统能够对网络中发生的各种访问,乃至网络中传递的数据包进行很好的监控,特别是针对XX住房公积金管理中心信息网络,由于其既存在对内提供服务的设备,也存在对外提供服务的设备,这些服务器在安装的过程中有可能没有关闭掉一些毫无用处的服务,或者即使关闭了这些服务,也因为操作系统自身存在的漏洞而给攻击者可乘之机,特别是对互联网提供服务的设备,很容易成为XX住房公积金管理中心信息网络的“安全短板”,被来自互联网的攻击者利用,从而发起对内网的攻击。
三.2.4TCP/IP协议的弱点
TCP/IP协议是当前互联网的主流通信协议,已成为网络通信和应用的事实标准,并且也是XX住房公积金管理中心信息网络的底层网络协议的基础。
然而,基于数据流设计的TCP/IP协议自身存在着许多安全漏洞,在快速以太网发展的早期,由于应用范围和技术原因,没有引起重视。
但这些安全漏洞正日益成为黑客们的攻击点。
在网上办公、网上文件审批、网上数据传递等活动中,对TCP/IP网络服务的任一环节的攻击,都有可能威胁到用户机密,都可能使重要的信息,比如重要数据、重要的口令在传递过程中遭到窃听和篡改。
因此,针对网络层安全协议的攻击将给网络带来严重的后果。
典型利用TCP/IP协议的弱点,发起攻击行为的就是“拒绝服务攻击”,比如“SYNFLOOD”攻击,它就是利用了TCP协议中,建立可靠连接所必须经过的三次握手行为,攻击者只向攻击目标发送带“SYN”标识的数据包,被攻击目标则会一味地等待发起连接请求的源地址再次发送确认信息,而导致系统处于长期等待状态,直至系统的资源耗尽,而无法正常处理其他合法的连接请求。
三.2.5信息的存储安全
信息的存储安全包括两层含义:
一是信息访问的可控性,即只有被授权的、安全级别与数据机密性要求一致的用户才被允许访问相应的数据。
而所有XX的用户,如黑客、未被授权的内部用户,则不能对信息有任何的操作,包括读取、删除、复制等。
二是信息内容的隐密性,XX的人,即使采用各种手段获得了数据的访问权,也无法理解实际的信息内容。
这主要通过数据库加密或各种文件加密来实现。
对信息的存储安全构成的威胁还表现在存储设备自身是否可靠,设备是否有充分的冗余措施,设备如果因物理损坏时,数据是否能够可靠地被恢复。
三.2.6数据传输的安全性
从网络结构的分析上,我们看到,由于XX住房公积金管理中心信息网络采取专线网进行数据的传递和交换,基于专线网的半公开性,给数据的安全性、保密性带来极大的挑战,具体来讲对数据传输安全造成威胁的主要行为有:
Ø窃听、破译传输信息:
XX住房公积金管理中心信息网络主要用于内部各部门之间进行重要数据和报文的传递,具有一定的敏感性。
由于使用专线网这样的半开放信道,攻击者能够通过线路侦听等方式,获取传输的信息内容,造成信息泄露;或通过开放环境中的路由或交换设备,非法截取通信信息;
Ø篡改、删减传输信息:
攻击者在得到报文内容后,即可对报文内容进行修改,造成收信者的错误理解。
即使没有破译传输的信息,也可以通过删减信息内容等方式,造成对信息的破坏,比如将一份报文的后半部分去掉,造成时间、地点等重要内容的缺失,导致信息的严重失真;
Ø重放攻击:
即使攻击者无法破译报文内容,也无法对报文进行篡改或删减,但也可以通过重新发送收到的数据包的方式,进行重放攻击。
对于一些业务系统,特别是数据库系统,这种重放攻击会造成数据失真以及数据错误;
Ø伪装成合法用户:
利用伪造用户标识,通过电子邮件、实时报文或请求文件传输得以进入通信信道,实现恶意目的。
例如,伪装成一个合法用户,参与正常的通信过程,造成数据泄密。
三.3系统层安全风险分析
系统层的安全风险主要从操作系统平台的安全风险进行分析:
操作系统安全也称主机安全,由于操作系统的代码庞大,从而不同程度上都存在一些安全漏洞。
一些广泛应用的操作系统,如Unix,WindowNT/2000,其安全漏洞更是广为流传。
另一方面,系统管理员或使用人员对复杂的操作系统和其自身的安全机制了解不够,配置不当也会造成的安全隐患。
操作系统自身的脆弱性将直接影响业务应用系统的安全。
操作系统的安全是XX住房公积金管理中心内部网网络安全的基础。
各种操作系统之上的应用要想获得运行的高可靠性和信息的完整性、机密性、可用性和可控性,必须依赖于操作系统提供的系统软件基础,任何脱离操作系统的应用软件的安全性都是不可能的。
下面我们将从几种常用的操作系统的进行分析其安全性:
三.3.1Windows系统
WindowsNT/2000/XP操作系统由于其简单明了的图形化操作界面,以及逐渐提高的系统稳定性等因素,成为XX住房公积金管理中心信息网络主要的网络操作系统。
WindowsNT/2000/XP系统的安全水平取决于管理员在安装过程、补丁安装过程、应用服务配置过程中的安全修养和实际考虑。
缺省安装的WindowsNT/2000/XP操作系统的安全问题非常严重,它们通常会出现下述安全问题:
Ø没有安装最新的ServicePack;
Ø没有关闭不必要的系统服务;
Ø最新的SERVICEPACK没有解决的安全漏洞;
Ø缺省安装的服务程序带来的各种安全问题;
Ø系统注册表属性安全问题;
Ø文件系统属性安全问题;
Ø缺省系统管理员密码带来极大的安全隐患;
Ø文件共享方面的安全问题;
Ø其它方面的各种安全问题。
三.3.2Unix系统
UNIX类服务器和工作站由于其出色的稳定性和高性能而成为一些大型广域网常采用的支撑数据库应用的操作系统,并且往往承担着最核心的应用,我们看到XX住房公积金管理中心信息网络中也是采用了HPUNIX系统作为支撑数据库的操作系统,而我们知道,缺省安装的UNIX操作系统(以HPUNIX为例)会存在以下安全问题:
ØFINGER(泄露系统信息)
Ø各类RPC(存在大量的远程缓冲区溢出、泄露系统信息)
ØSENDMAIL(许多安全漏洞、垃圾邮件转发等)
ØNAMED(远程缓冲区溢出、拒绝服务攻击等)
ØSNMP(泄露系统信息)
Ø操作系统内核中的网络参数存在许多安全隐患(IP转发、堆栈参数等)
Ø存在各种缓冲区溢出漏洞
Ø存在其它方面的安全问题
三.4应用层安全风险分析
应用安全是指用户在网络上的应用系统的安全,包括OA平台、各种应用系统、WEB、FTP、邮件系统、DNS等网络基本服务,业务系统,办公自动化系统,财务系统等。
应用层安全的解决目前往往依赖于网络层、操作系统、数据库的安全,由于应用系统复杂多样,没有特定的安全技术能够完全解决一些特殊应用系统的安全问题。
但一些通用的应用程序,如WebServer程序,FTP服务程序,E-mail服务程序,浏览器,MSOffice办公软件等这些应用程序自身的安全漏洞和由于配置不当造成的安全漏洞会导致整个网络的安全性下降。
三.4.1Web服务器安全风险
Ø服务器崩溃,各种WEB应用服务停止;
ØWEB服务脚本的安全漏洞,远程溢出(.Printer漏洞);
Ø通过WEB服务获取系统的超级用户特权;
ØWEB页面被恶意删改;
Ø通过WEB服务上传木马等非法后门程序,以达到对整个服务器的控制;
ØWEB服务器的数据源被非法入侵,用户的一些私有信息被窃;
Ø利用WEB服务器作为跳板,进而攻击内部的重要数据库服务器。
Ø拒绝服务攻击或分布式拒绝服务攻击;
Ø针对IIS攻击的工具,如IISCrash;
Ø各种网络病毒的侵袭,如Nimda,RedcodeII等。
Ø恶意的JavaApplet,ActiveX攻击等;
ØWEB服务的某些目录可写;
ØCGI-BIN目录未授权可写,采用默认设置,一些系统程序没有删除;
三.4.2文件服务器安全风险
Ø匿名登录,非法访问未授权资源;
Ø拒绝服务;
Ø恶意用户名与密码的猜测;
Ø用户上传恶意代码,含毒文件等;
三.4.3业务应用系统安全风险
Ø源程序中存在的BUG;
Ø源程序中出于程序调试的方便,人为设置许多“后门”;
Ø应用系统自身很弱的身份认证;
Ø应用系统的用户名和口令以明文方式被传递,容易截获;
Ø各种可执行文件成为病毒的直接攻击对象;
三.4.4数据库安全风险
XX住房公积金管理中心信息网络中许多关键的业务系统都运行在数据库平台上,如果数据库安全无法保证,其上的应用系统也会被非法访问或破坏。
数据库安全隐患集中在:
Ø系统认证:
口令强度不够,过期帐号,登录攻击等;
Ø系统授权:
帐号权限,登录时间超时等;
Ø系统完整性:
特洛伊木马,审核配置,补丁和修正程序等;
Ø数据丢失,操作日志被删除;
Ø没有采用数据冗余备份;
Ø数据库系统自身的BUG;
Ø没有打最新的数据库系统的补丁;
Ø选择了不安全的默认配置;
三.5管理层安全风险分析
Ø没有完善的信息机房进入手续,或有但没有严格执行;
Ø没有完善的网络与安全人员管理制度;
Ø信息网络管理人员技术水平较低或安全防护意识不高;
Ø管理人员对其下属没有进行网络操作的严格要求;
Ø网络或安全设备的管理登录密码没有按照制度进行更换,或没有安全密码的管理制度;
Ø没有定期的对现有的操作管理人员进行安全培训;
Ø整个安全管理体系存在着一些问题;
Ø随着XX住房公积金管理中心信息网络的扩张,在安全设备方面的投入方面会有比较大的扩张,从而给管理上带来一定的难度。
四.安全需求分析
通过我们对XX住房公积金管理中心信息系统安全风险分析,可以看到,网络的安全建设目前现在还在初级规划阶段,本章结合安全威胁并根据XX市住房公积金管理中心的现阶段建设的特点,从网络安全和等级化保护的角度,我们认为XX市住房公积金管理中心主要有以下的安全需求:
四.1网络层安全建设
四.1.1访问控制技术
边界防护的设计是将整个网络平台,根据其信息性质、使用主体、安全目标和策略的不同来划分为不同的安全域,不同的安全域之间形成了网络边界,通过边界保护,可以有效规避大部分网络层安全威胁,并降低系统层安全威胁对XX市住房公积金管理中心信息系统的影响。
利用边界防护手段,严格规范XX市住房公积金管理中心信息系统的数据传输及应用,防范不同网络区域之间的非法访问和攻击,从而确保XX市住房公积金管理中心信息系统各个区域的有序访问。
访问控制需求主要通过部署防火墙系统来实现。
防火墙是指设置在不同网络(如可信任的组织内部网和不可信任的公共网)或网络安全域之间的一系列部件组合。
防火墙通常位于不同网络或网络安全域之间信息的唯一连接处,根据组织的业务特点、行业背景、管理制度所制定的安全策略,运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术,实现对出入网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测),控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面。
防火墙本身必需具有很强的抗攻击能力,以确保其自身的安全性。
四.1.2物理隔离技术
安全隔离与信息交换系统(简称“网闸”)内部采用“2+1”模块结构设计,即包括外网主机模块、内网主机模块和隔离交换模块。
内、外网主机模块具有独立运算单元和存储单元,分别连接可信及不可信网络,对访问请求进行预处理,以实现安全应用数据的剥离。
隔离交换模块采用专用的双通道隔离交换卡实现,通过内嵌的安全芯片完成内外网主机模块间安全的数据交换。
内外网主机模块间不存在任何网络连接,因此不存在基于网络协议的数据转发。
隔离交换模块是内外网主机模块间数据交换的唯一通道,本身没有操作系统和应用编程接口,所有的控制逻辑和传输逻辑固化在安全芯片中,自主实现内外网数据的交换和验证。
在极端情况下,即使黑客攻破了外网主机模块,但由于无从了解隔离交换模块的工作机制,因此无法进行渗透,内网系统的安全仍然可以保障。
XX市住房公积金管理中心信息系统的办公网与业务网之间,除去特定的数据交换之外,两个网络之间不允许任何的数据流访问,因此建议在此处部署物理隔离系统也完全能够满足实际需求。
四.2系统层安全建设
四.2.1服务器安全加固技术
通过使用主机访问控制等技术措施及手段,对系统中的主机与服务器系统严格划分,管理、控制用户的权限和行为,增强操作系统的健壮性以及安全性,使操作系统达到更高层次的安全级别。
四.2.2终端桌面安全管理技术
随着网络技术的不断发展,用户的业务复杂度和使用者的快速膨胀,网络的规模随之不断扩张,网络的边界也逐渐发生变化。
起初,用户可以清晰的定义自己的网络边界,并在边界处部署防火墙、入侵防御系统来保护边界内网络的安全。
后来,开始在边界内部部署防病毒系统。
现在,用户的网络更加开放,往往需要支持包括合作伙伴、供应商、移动员工、远程工作团队和分支机构在内的多种用户群,这些用户群需要访问不同级别的重要而敏感的内部信息。
这使得网络的边界在不断向外延伸,也变的越来越模糊。
于是,对于网络中的端点、尤其是终端,经常处于一种高风险的状态,安全防护尤显重要。
一方面,只要网络的一个终端被入侵,整个网络都将处于危险之中。
而随着边界的模糊化,终端遭受入侵的可能性大大增加。
另一方面,由于缺乏安全意识,缺少管理和监督,网络边界内部的终端合法用户时常发生有意无意的违规行为,这些都可能导致整个网络安全的保密性、完整性和可用性面临挑战。
除了来自外部和内部针对终端的威胁,国家、行业主管机构、企业和组织自身越来越强调的内控和风险管理也要求用户对边界内部的终端运行及其用户行为进行合规性审计。
在国家信息系统等级保护、国家保密局BMB17/20、银行证券系统的内控指引、ISO27000中都涉及到了移动存储介质管理、终端设备网络接入控制、操作系统和应用软件安全漏洞修补、终端用户操作审计、计算机违规外联监测等一系列内容。
这些都对终端安全提出了要求。
四.3应用层安全建设
四.3.1网络防病毒技术
随着网络的飞速发展,单机版的防病毒软件面临着集中管理、智能更新等多方面的问题,已经不能满足当今大规模、分布式的政府单位级的应用环境,病毒防护也已经步入到了一个网络化、多方位防护的阶段。
网络防病毒系统应基于策略集中管理的方式,使得移动、分布式的政府单位级病毒防护不再困难,而且应提供病毒定义的实时自动更新功能,所有操作都应对终端用户透明,不需用户的干预,使用户在不知不觉中将病毒拒之门外。
针对XX市住房公积金管理中心信息系统的具体情况和行业特点,我们得到的防病毒系统的需求包括以下几个方面:
●强大的防病毒能力要求
防病毒系统要求能识别的病毒包括操作系统病毒、执行文件病毒、宏病毒、恶意ActiveXApplet代码、压缩文件病毒、特洛伊木马程序等,能识别的病毒入口应包括软盘、光盘、INTERNET、邮件等。
发现病毒后,有多种处理方法,例如自动清除、删除或隔离、加密上传。
对暂时无法清除的病毒,有病毒隔离功能。
对常用压缩格式文件的病毒能有效实时防护,能对多重压缩文件进行病毒防护。
●更新升级服务要求
防病毒系统要求能够提供增量病毒定义码、引擎的更新升级。
提供多种方式的更新升级方(登录脚本、定时、推出、拉入等方式)。
能方便实现全网病毒定义码、引擎的统一更新升级。
提供基于IP的管理,对于没有NT域的用户,不需要设置NT域也可以分发升级。
代码更新不需要重启主机或停止相关应用程序(如DOMINO)。
病毒定义码更新周期小于一周,当病毒暴发流行或其他紧