KILLr81产品白皮书.docx
《KILLr81产品白皮书.docx》由会员分享,可在线阅读,更多相关《KILLr81产品白皮书.docx(26页珍藏版)》请在冰豆网上搜索。
KILLr81产品白皮书
KILL网络防病毒系统
r8.1
产品白皮书
冠群金辰软件有限公司
CA-JinchenSoftwareCo.,Ltd
目录
1病毒危害及应对策略3
1.1病毒危害3
1.1.1病毒发展形势3
1.1.2病毒传播特点4
1.2冠群金辰防病毒策略4
1.2.1桌面计算机防病毒策略5
1.2.2服务器防病毒策略5
1.2.3群件系统防病毒策略5
1.2.4网关防病毒策略5
1.3恶意软件常用术语6
2KILL网络防病毒系统8
2.1产品概述8
2.2功能特性9
2.2.1防病毒特性9
2.2.2防间谍软件特性10
2.2.3管理特性11
2.2.4兼容性与适应性15
2.2.5性能保障16
2.2.6自安全性16
2.2.7资质与认证16
2.3系统组成及运行环境17
2.3.1产品分类及组件17
2.3.2系统要求17
2.3.3用户规模考虑18
3部署与应用19
3.1典型部署19
3.1.1局域网部署19
3.1.2远程分布式部署20
3.2应用示例21
3.2.1大型部署21
3.2.2策略定制21
3.2.3内容更新22
4冠群金辰公司简介22
1
病毒危害及应对策略
1.1病毒危害
1.1.1病毒发展形势
计算机病毒一直是企业面临的最大威胁。
以病毒为代表的恶意代码早已恶名远扬,其行为和目的大多具有明显特征,比如破坏系统、篡改数据、占用系统和网络带宽、疯狂传播垃圾邮件等。
但近年来,恶意代码呈现出新的变化趋势,就是以追求利益为目标。
比如间谍软件(Spyware),其目的是通过网络在用户不知情的状况下窃取有价数据和财务信息,正在成为人们最担心的危害。
据IDC2006年调查分析报告,病毒、蠕虫、木马、间谍软件等威胁已成为计算机用户面临的最大危害。
如下图所示:
各种规模的企业都希望从网络到计算机终端全面防御安全威胁。
然而,新的混合型威胁(病毒、蠕虫、木马、间谍软件等)每天都在发生,我们面临着越来越多的安全风险。
这些威胁可能危及业务安全、破坏数据完整性、中断业务连续性、导致生产率下降、损坏企业声誉,以致可能造成正常工作秩序的被迫调整。
1.1.2病毒传播特点
¾向多元化发展
随着利益驱动,病毒、蠕虫、木马、间谍软件等危害将进一步蔓延。
病毒传播在利益驱动下继续向远程控制、窃取信息方向发展,网络欺诈、信息窃取、数据篡改、远程控制、网络攻击等都是未来病毒发展目标。
可以预见,未来的发展趋势是:
以病毒为中心的恶意程序危害继续呈多元化发展。
一方面是传播途径的多元化,另一方面是传播形式、感染破坏方式的多元化。
¾传播速度极快
病毒的传播途径主要有:
移动介质传播(磁盘、光盘、U盘)、网络共享、互联网访问、电子邮件收发、即时软件(MSN、QQ等)等传播方式。
随着互联网的发展,病毒传播速度极快,某些病毒和蠕虫可以在几小时之内传遍全球(例如冲击波-Blaster)。
¾病毒变种增多
一些危害较大的病毒出现后,往往很快出现各种变种,以躲避常规杀毒软件的检查。
例如Nimda的变种、灰鸽子变种、熊猫烧香变种等,层出不穷。
这就要求生产杀毒软件厂商必须能够及时跟踪和发现新的病毒变种。
¾难于根治
由于病毒种类复杂、传播迅速,网络中只要有一台电脑感染病毒,很快就可使整个网络重新被病毒感染,甚至刚刚完成清除工作的一台电脑就有可能被网上其它带毒电脑感染。
因此,仅对个别电脑进行病毒查杀并不能完全解决病毒对企业级网络的危害。
1.2冠群金辰防病毒策略
冠群金辰通过对病毒存储、传播、感染方式和传播途径进行分析,依据“切断传播途径、控制传染源、保护易感人群”的防治病毒三要素原则,提出了“统一控管,纵深防御”的企业防病毒策略。
具体说来,是在网络中的所有可能的病毒攻击点或通道中设置对应的防病毒控制措施,同时通过一个中央管理控制台发布策略,集中管理和控制这些部件,通过这种全方位的、多层次的防毒系统配置,使企业网络免遭病毒的入侵和危害。
1.2.1桌面计算机防病毒策略
网络工作站的防护位于企业防毒体系中的最底层,对企业计算机用户而言,也是最后一道防杀病毒的要塞。
考虑到网络中的工作站数量少则几十台,多则数百上千台甚至更多。
如果仅靠网管人员逐一到每台计算机上安装单机防病毒软件,费时费力,同时难以实施统一的防病毒策略,日后维护和更新工作也十分繁琐。
KILL网络防病毒系统通过快速部署和配置防病毒客户端,彻底杜绝桌面机的病毒。
1.2.2服务器防病毒策略
企业网络中存在各种平台的服务器。
以NT服务器为例,它会遭受大量引导型病毒、DOS病毒、32或者64位Windows病毒以及宏病毒等的攻击,而且越来越多的病毒通过其中转,(所有服务器提供文件资源共享,因而也成为病毒理想的隐身寄居场所),进而将病毒轻易扩散到网络中的所有工作站上。
为此,KILL网络防病毒系统通过部署服务器防病毒客户端,杜绝病毒感染服务器和通过服务器扩散。
1.2.3群件系统防病毒策略
针对不同群组软件使用防病毒产品,使网络防毒体系结构中又增加了一层关卡,确保经由企业邮件服务器的邮件附件随时处于病毒免疫状态。
KILLforExchange/Notes群件选项对进出群件服务器的所有邮件及附件进行实时扫描,对带毒的邮件做到立即发现、立即报警、立即清除,保证信息系统的安全,且对用户没有任何影响。
1.2.4网关防病毒策略
据ICSA等权威机构统计分析报告,电子邮件和互联网已成为病毒传播的主要途径。
为了更加有效地防御病毒入侵,“切断传播途径”,可以在“网关”这一绝大多数病毒的必经之路上部署安全网关产品(例如KILL过滤网关-防毒墙),积极“御敌于国门之外”,实现企业级用户网络和计算机系统的安全保护。
关于网关防病毒策略,请查阅冠群金辰的KSG系列产品资料。
1.3恶意软件常用术语
¾恶意软件(Malware)
恶意软件(Malware)是恶意代码(Malicious)软件的简称,是专门设计的损坏或中断计算机系统及应用的程序,因而导致安全风险。
恶意软件(Malware)包括:
病毒(Virus)、蠕虫(Worm)、木马(Trojan)、间谍软件(Spyware)等。
¾病毒(Virus)
病毒(Virus)是附加在文件或磁盘引导区的一个程序或一段代码,在用户不知情的情况下被加载到计算机。
病毒是由人工编写的程序(当然也会有变种),能够自我复制并附加在文件或磁盘上,往往会侵占内存、硬盘空间,并引起网络中断。
当前,绝大多数病毒通过互联网传播,同一个病毒的不同变种,新的病毒变种往往会带来更多危害。
计算机病毒有两个主要特性:
破坏性、传染性。
它主要通过电子邮件、网络文件下载、网络访问、移动介质(软盘、光盘、U盘等)形式进行传播,造成数据信息破坏(损毁、篡改、窃取)、系统破坏(损坏、异常、被远程控制)、网络异常(网络堵塞)。
¾蠕虫(Worm)
蠕虫(Worm)是一个独立的破坏性程序,它通过计算机网络或电子邮件自我复制,常常执行恶意代码的操作,例如:
侵占计算机系统资源、导致系统宕机。
与病毒不同之处在于,蠕虫作为独立的程序进行自我复制,不会将自身附加在其它对象之上。
此外,蠕虫还具备另外显著特征:
1.利用系统漏洞进行攻击;2.通过网络广泛传播。
蠕虫通过网络传播,造成的危害广泛、迅速、经济损失巨大。
仅“冲击波(Blaster)”蠕虫就导致了全球30万~50万台电脑受到影响,估计的经济损失约为15亿~20亿美元。
¾木马(Trojan)
木马(TrojanHorse)是伪装成正常应用的破坏性程序。
与病毒和蠕虫不同,木马不进行自我复制,它通过传递(或下载)其它恶意软件的方法对网络和系统进行破坏。
¾间谍软件(Spyware)
间谍软件(Spyware)是一种窃取用户信息的程序,它往往在用户不知情的情况下利用其网络连接悄悄获取信息。
间谍软件一旦被安装,便可以监视用户的网络活动、并在后台将信息传递给不法分子。
间谍软件常收集用户地址信息、银行帐户和密码信息。
当用户使用来历不明的软件、接受欺诈邮件、访问存在恶意代码的网页时,有可能无意识地被安装间谍软件。
¾后门(Backdoor)
后门(Backdoor)是一个对程序、服务、计算机以致整个网络进行访问的秘密通道。
大多数后门程序通过探测系统漏洞获取访问权限,由黑客进行远程控制。
后门是一个潜在的安全风险,允许黑客非法获取访问系统以及文件的权限。
如果黑客窃取了你的最高管理权限,他可以在你的计算机上做任何工作。
¾击键记录器(KeyLoggers)
击键记录器(KeyLoggers)是一种监视类软件,能够将每一次键盘敲击动作完整地记录到一个日志文件中(该文件常常是加密的)。
击键记录器可以记录即时软件(MSN、QQ)、电子邮件以及任何操作键盘的信息。
日志文件由击键记录器生成,可被发送给特定的接收者。
某些击键记录器程序还可以记录所任何使用的电子邮件地址和所访问的Web网页地址。
¾代理(Proxys)
代理(Proxys)被外部用户(黑客)利用,向网络范围的其它计算机发起分布式拒绝服务攻击(DDOS)或散发垃圾邮件。
因远程攻击发起者躲藏在“背后”,其行为很难被追踪。
¾下载器(Downloaders)
下载器(Downloaders)是一个文件,当它被激活时,可以在未经允许或用户不知情的情况下下载其它文件,这些文件可能给系统带来破坏作用。
¾浏览器劫持(Hijacker)
浏览器劫持(Hijacker)是一个文件,它可以将您的Internet主页缺省设置更改为其它网页,或者在您进行网上冲浪时被强迫重定向到那些非法网站。
¾探测(Expoit)
探测(Exploit)是一段用于攻击计算机系统漏洞的代码。
黑客获恶意软件制造者查询厂商发布的漏洞公告和代码,接着攻击那些还未来得及修复漏洞的系统。
¾广告软件(Adware)
广告软件(Adware)是在计算机上自动作广告的软件,这些广告可能出现在浏览器窗口,在用户最初正式同意后随即生效。
广告软件不造成恶意损害,但某些广告软件收集用户信息(例如跟踪浏览器访问习惯),弹出烦人的窗口,因而引起部分用户的不满。
¾特征库(Signature)
病毒、蠕虫、木马、间谍软件的特征就像指纹一样,它可以被用来监测和识别特定的病毒等危害。
特征库需要不断更新,以便及时发现最新危害。
2
KILL网络防病毒系统
2.1产品概述
KILL网络防病毒系统(简称KILL)是冠群金辰公司的企业级网络防病毒软件,可全面查杀病毒、蠕虫、木马、间谍软件等恶意代码。
KILL通过积极防御的保护措施和强大的管理特性,能够在恶意代码进入网络前及时阻止并删除它们,从而减少系统异常、数据损坏或失窃带来的风险,保障业务连续性。
KILL同步支持Windows系统的各个版本(含64位),全球首款通过西海岸实验室Vista兼容认证,并且连年获得病毒公告牌VB100、西海岸实验室、ICSA实验室等机构检测认证,是国际领先的防病毒产品。
冠群金辰的“KILL网络防病毒系统”采用自主知识产权的防病毒引擎,依托美国CA公司强大的技术背景和国内雄厚的研发服务实力,在十几年的发展中,赢得了广大用户的普遍信任,其产品在政府、电信、金融、税务等各个领域都有着广泛的成功应用。
2.2功能特性
2.2.1防病毒特性
¾综合探测扫描
KILL提供高级的探测扫描技术,通过扫描文件、引导区、内存、注册表、常见位置或用户选择位置,将扫描结果与特征库进行匹配,而且还可通过识别可疑活动的“启发式高级分析技术”进行检测和处理。
一旦检测到恶意代码、可疑活动或企图逃避检测的病毒变种,立即进行隔离或清除,并将受感染系统还原到安全状态。
¾检测多种形式恶意代码
KILL可以全面检测处理病毒、蠕虫、木马、恶意网页代码(JavaApplet、ActiveX、Cookie)、电子邮件、宏病毒、指定扩展名、压缩格式等多种形式的恶意代码。
当安装KILL增强版时(包含PestPatrol防间谍软件),还可以全面检测间谍软件。
¾单步阻断病毒
KILL提供单步阻断病毒功能,当发现病毒时,允许立即隔离异常网络,避免可能出现的新病毒爆发事件。
通过将特定文件扩展名添加到“阻止扩展名”清单,在检测到潜在病毒的情况下,所有对这些文件的访问将被拒绝。
¾实时监视
KILL实时监控系统在后台运行,当运行程序、读/写文件、移动介质访问、Internet访问或下载、网络服务、电子邮件传递时,实时进行扫描分析。
扫描对象可选择:
双向监控传入/传出文件、压缩格式文件、特定扩展名文件等。
为达到安全高效扫描,还可筛选“排除扫描进程”、“排除扫描目录”、“阻止(或免除阻止)扫描扩展名列表”。
KILL采用特征码匹配、启发式探测扫描等方法,发现病毒后,提供仅报告、删除文件、重命名、隔离文件(可后续进行删除、还原工作)、隔离受感染机器(指定时间段内不能访问该服务器)、删除宏病毒、修复文件、修复引导区、修复注册表和系统文件等响应动作。
¾人工扫描
通过人工扫描,可实现对计算机系统和文件目录的完全扫描,清理可能隐藏的病毒。
执行人工扫描时,选择可访问的目录或排除某些目录,扫描对象可以是:
所有文件、仅扫描指定扩展名、排除扫描指定扩展名、压缩格式文件等。
人工扫描的技术和处理策略与“实时扫描”相同。
¾作业调度
“作业调度”有时也称作“排定扫描”。
“作业调度”首先要定义调度策略,除了设定扫描目录(位置)、扫描对象、处理策略外,还包括:
排定扫描的时间(年月日、时分秒)、重复频率(月、日、时、分)、CPU使用级别。
其中,CPU利用率与CPU资源的可用性相关。
例如,可以对排定在正常工作时间段发生的扫描选择“低”级别,这时的资源大部分被其它最需要资源的任务占用,有害程序扫描活动不应再耗用资源。
对于排定在夜晚或周末发生的扫描-这时资源需求一般比较低,更适宜采用“正常”或“高”CPU使用级别。
扫描技术和处理策略与“实时扫描”相同。
该选项只适用于Windows环境。
¾邮件服务器扫描
“电子邮件”策略指定KILL保护LotusNotes或MicrosoftExchange电子邮件服务器。
这些策略仅适用于Windows平台下的KILLforNotes或KILLforExchange。
Notes选件与KILL集成以扫描文档和电子邮件文件附件。
可以自动检测到已感染LotusNotes附件。
发现感染时,此选项还通过主机消息传送系统通知用户。
Exchange选件与KILL集成以扫描附加到电子邮件消息和文件夹的文档。
使用此选件,可以自动修复已感染的MicrosoftExchange附件。
Exchange选件扫描所有通过该服务器的邮件。
¾内容自动更新
KILL控制台使您可以自动下载产品更新和特征码文件的内容更新。
收集这些更新的下载方法是HTTP,下载策略包括:
更新服务器列表—按顺序查找可达的升级服务器进行下载;更新频率—更新时间”、“更新频率”、“立即下载”;更新内容—需要更新的组件、重新分发组件等。
KILL自动实时更新引擎和特征码文件、程序模块、补丁程序,提供最新安全保护。
更新过程只传输MicroDAT文件的增量部分(少于100KB),可实现快速升级与分发,占用极小的网络带宽。
当用户内部升级服务器暂时失效时,客户端自动查找下一个预先制定的服务器进行升级。
2.2.2防间谍软件特性
提示:
本节仅适用于“KILL网络防病毒系统-增强版”功能(特指PestPatrol防间谍软件)。
¾全面预防间谍软件
与病毒不同的是,间谍软件(例如后门黑客工具、讨厌的广告软件等)可能导致更多安全问题。
间谍软件制造者的目的非常明确,就是通过网络隐蔽地窃取有价值信息和敏感信息。
当安装KILL增强版时,通过扫描文件、内存、注册表、常见位置或用户选择目录,可以全面检测和清除隐藏的间谍软件,预防有价数据和敏感信息失窃,避免系统和网络访问速度变慢。
这些间谍软件包括后门黑客工具、击键记录器、代理、下载器、广告软件、浏览器劫持等。
PestPatrol拥有业界最全面的间谍软件库,具有国际领先水平。
¾实时扫描、人工扫描、调度扫描
PestPatrol防间谍软件主动监视系统活动,在间谍软件运行前截获并清除,保护您的信息安全。
系统除了可以自动实时进行监视外,您还可以通过人工扫描和调度时间扫描的方式进行完全扫描。
三种扫描方式与前述“KILL防病毒特性”的对应内容一致。
¾与KILL共享的集中管理
PestPatrol通过基于Web的中央控制台进行管理,管理员可以强制扫描、更新策略、浏览日志和查看报告。
PestPatrol可与KILL共享同一个管理控制台和升级服务器,具有共同的系统兼容性、管理功能和日志和报表功能,可以实现高效的集中管理。
¾内容自动更新
KILL控制台使您可以自动下载PestPatrol防间谍软件产品更新和特征码文件的内容更新。
更新方式与KILL防病毒软件完全一致。
2.2.3管理特性
¾易于安装部署
KILL控制台允许您从一个中心位置远程管理网络中运行KILL代理的计算机,KILL管理中心可以自动识别网络内的系统列表以及是否安装了KILL防病毒软件,以此识别潜在的风险。
KILL支持本地安装、登录脚本安装、远程工具推送安装、无人值守安装、软件分发安装等方式,便于大规模部署实施,大幅提高工作效率。
>>本地安装:
在客户端逐个进行本地光盘(或文件)安装,适合小规模部署。
>>登录脚本安装:
使用登录脚本将客户端指向提供安装软件包的服务器,然后从该服务器运行软件包。
>>远程安装:
管理员通过“KILL远程安装实用工具”实现远程推送安装。
>>无人值守安装:
管理员通过配置安装文件,在不需用户交互操作的情况下安装KILL。
>>软件分发:
安装时可通过CAUnicenter®SoftwareDelivery和微软SMS进行分发。
¾支持多层管理模式
根据客户端数量和网络状况,您可以选择适合于局域网的客户端/控制台的二级管理模式,也可以构建适合于跨地区、跨国界的多级分布式管理模式。
KILL网络防病毒系统可在任意位置安装“重分发服务器”,以此实现程序模块和特征库内容的逐级分发;可任意指定“策略代理服务器”,以此实现策略的逐级分发。
例如,从总部到分支机构、再到子分支机构的逐级分发管理。
这种分层管理方式降低了网络流量,提高了网络管理效率。
¾集中Web管理
通过基于Web方式的控制台,您可以部署和升级每个节点软件、强制扫描和更新安全策略、查看日志和报告。
KILL既可独立安装部署,也可以和Pestpatrol防间谍软件共享同一个控制台和代理软件,实现无缝集成的统一管理。
通过基于web的界面,您可从任意计算机或在安装KILL服务器的计算机上打开控制台。
¾策略锁定
KILL的策略类型包括:
实时扫描策略、作业调度策略、特征码分发策略、病毒样本提交策略、电子邮件处理策略等,管理员可以定义各种策略细节。
当管理员锁定策略时,可以禁止任何客户端修改组织的策略,保证全网防病毒策略一致性。
此外,策略可以集中分发,也可通过多个策略代理服务器实现层次化分发,保障策略分发效率。
¾自动发现子网
KILL控制台具备自动发现子网内所有客户端计算机的能力,可发现计算机的基本信息、是否安装了KILL客户端代理、所安装KILL代理的版本情况等,便于管理员进行管理。
“发现”的方法可选择:
>>自由选择:
广播方式发现最小IP地址,由该计算机收集子网客户端信息并向服务器报告;
>>指定选择:
指定IP地址,由该计算机收集子网客户端信息并向服务器报告;
>>偏好选择:
指定IP向服务器报告,当该IP计算机不接收轮询时,采用自由选择方式;
>>逐个轮询:
服务器逐个轮询所有客户端计算机。
¾“组织树”管理结构
“组织”树是对您的网络的分层表示。
使用该树可向需要相同防护设置的计算机组应用策略。
使用“组织”选项卡,可以创建具有容器(称为分支)的“组织”树。
这些分支通常组织为可以镜像网络中计算机的物理位置。
树的组织结构非常灵活,通常按部门、职能、用户类型或适合业务需要的任何其他安排元素将计算机分类。
创建“组织”树后,可以创建策略并将策略分配给树和其分支。
如果一个策略放置在树顶,则所有计算机可继承该策略。
当策略放置在树的各个分支时,仅该分支内的计算机可继承这些策略。
¾电告总部
“电告总部”功能使客户端计算机向指定的KILL服务器报告信息,它提供了反向发现或“自我介绍”功能。
这种方法使您可以管理到那些不能“正常”发现的计算机(例如,远程计算机、使用VPN的计算机等)。
在客户端代理程序与控制台之间的通讯是由代理主动启动的,这样,“代理”就可以通过“电告总部”的方式主动报告自己的状态,并且可以及时获取安全策略和配置的变更。
¾报警通知
当您的环境中检测到新的威胁事件时,会自动发送报警通知。
该事件可选择“本地报警管理器”、“事件日志”、“转发到其它计算机”。
“报警管理器”是一种集中式管理组件,将运行KILL产品的客户端计算机和服务器所生成的报警发送到其它目标。
例如,可以将报警发送到管理员电子邮箱、NT事件日志、SNMP陷阱、CAAudit、CASecurityCommandCenter、CAUnicenter。
这使您可以对报警快速做出响应。
¾日志和统计报告
KILL完整记录病毒扫描日志,内容包括:
时间、文件名、状态、感染名称、感染类型、感染对象、检测方法、引擎、用户等。
KILL管理控制台还提供近百种不同类型的分析报告,各种报告可“开箱即用”,以易于阅读的图文格式显示威胁信息。
报告形式包括:
>>客户端计算机信息(计算机名、IP、MAC、产品版本等)
>>安装部署KILL的状况(已安装、未安装、安装情况)
>>排定作业报告、管理的计算机报告、特征码状况报告、服务器负载报告、策略负载报告
>>分类统计报告:
按病毒、按间谍软件、按计算机、按用户、邮件选件报告
>>Top10:
前10种病毒分类报告、前10种间谍软件分类报告
2.2.4兼容性与适应性
¾支持广泛的系统平台
KILL同步支持微软不同的Windows版本,此外,KILL还支持64位Windows(Intel、AMD)、MicrosoftExchange、LotusNotes等。
KILL防病毒软件是全球收款通过WestCoast认证的兼容Vista的防病毒产品,支持MicrosoftVista。
¾支持思科NAC和微软NAP
KILL支持思科的NAC(网络准入控制)和微软的NAP(网络访问保护),能够精确发现应用于思科NAC或微软NAP网络中的KILL产品,可满足用户使用思科或微软产品的准入许可策略。
2.2.5性能保障
¾最小资源占用
基于与微软公司源代码级的合作关系,KILL防病毒软件合理调度Windows系统资源,将病毒查杀过程对CPU和内存资源的消耗降到最低,有效保证工作效率。
¾良好的性能
KILL服务器可支持大约20个并发管理用户,单个KILL服务器可管理大约10万个客户端。
2.2.6自安全性
¾自我安全保护
KILL采用授权管理方式,保证策略不会被其他用户随意修改,管理用户可拥有对策略的完全或部分访问权限。
特征码升级具有容错、校验功能,在网络传输不稳定情况下,如果发现升级过程有误,可自动重新下载升级文件,无需用
升级会员 