Sophos 端点安全解决方案.docx

Sophos 端点安全解决方案.docx

《Sophos 端点安全解决方案.docx》由会员分享，可在线阅读，更多相关《Sophos 端点安全解决方案.docx（28页珍藏版）》请在冰豆网上搜索。

Sophos端点安全解决方案

SOPHOS服务器及端点安全解决方案

1

Sophos简介

Sophos是世界上最大的防毒与反垃圾邮件软件的专门开发企业之一。

本公司专门设计各种解决方案，保护企业与组织不受病毒与垃圾邮件危害，其中包括大专院校、企业、银行与政府单位。

Sophos是世界上业务拓展最快的防毒软件供货商之一，我们在防毒与反垃圾邮件防护上的远见已获得Gartner的肯定。

Sophos的亚洲总部设在新加坡，并通过全球的合作伙伴与分公司的经营网络，为超过150个国家提供产品销售与支持服务。

Sophos在英国、美国、澳洲、加拿大、法国、德国、意大利与日本均设有办公室。

不论组织大小，已有超过一亿名用户因本公司的软件而受惠，并享受到全年无休的高质量支持服务。

Sophos在研究与开发工作中的远见与热忱，以及对质量的严格把关让公司日益茁壮，拓展的脚步也更为快速。

我们拥有专业的产品开发工程师、程序设计师与技术支持人员作为核心，与业务、市场人员及行政人员共同奉献心力，为客户提供最好的专业、服务与支持。

我们以专业塑造的产品会在IT网络的每个脆弱的入口点保护企业免受已知或不明的威胁之侵害。

获奖项肯定的跨平台技术、自动更新与直觉式管理工具，简化了处理质量惊人的新威胁之复杂工作。

Genotype™技术会预先阻挡垃圾邮件攻势及各个病毒家族，在特定的侦测启动以前即可运作。

2SophosEndpointSecurity&Control（端点安全）简介

Sophos端点安全防护，以企业版杀毒软件为主，提供应用过程控制、移动设备控制、简单网络准入控制（NAC）等功能。

不同于单机版杀毒软件，端点安全防护要求具有以下功能：

●杀毒能力强、扫描速度快，杀毒时不影响日常工作。

●管理员可以集中监控所有客户端状态，以及远程杀毒、除毒，做到不接触客户端完成所有安全防护工作。

●能够应对员工滥用QQ，游戏，p2p下载等影响工作效率的行为。

●防御U盘、光驱、无线网络等造成的核心数据遗失问题。

●硬盘加密技术轻松的保护你硬盘设备上的数据,你不用再担心你的用户因掉失笔记本电脑已导致的资料泄漏。

●防止资料外泄功能（DLP），防止你的员工在不小心的情况下将公司的宝贵资料，透过移动装置，电邮，IM传走。

●评估客户端计算机的安全状态（是否启用杀毒软件，个人防火墙状态，Windows补丁是否最新等），对于不符合要求的计算机，强制断网或要求其更新计算机以符合安全要求，避免问题计算机成为企业内部的威胁传播源。

3部署架构

3.1总部数据中心

在总部数据中心部署了SophosEndpointSecurityandDataProtection9.0,包括负责企业全部端点状态监控的管理中心,和企业所有端点的引擎和样本更新的升级服务器,数据库。

升级服务器：

负责从互联网上的供应商反病毒更新服务器下载最新引擎和样本数据，并下发给总部网络和各分公司中的子服务器，数据流如蓝色虚线所示。

管理中心：

负责公司全部端点的分组管理，状态监控，更新策略（何时从何地进行升级）、防病毒策略、防火墙策略、应用过程控制策略、NAC策略的制定和统一下发管理，数据流如绿色虚线所示。

数据库服务器:

与Managementserver连接，储存端点信息和安全状态信息，以及安全策略数据。

3.2总部网络和分支机构

总部与各地分公司类似，都部署一台子服务器,用于总部网络内所有客户端计算机的管理信息收集（MessageRelay），并上报给总部的管理中心。

同时，子服务器作为二级升级服务器（ChildUpdateserver），从总部管理中心获得最新的反病毒引擎和样本，并提供给本地的所有客户端。

根据客户需求，对于小于1000点的分公司，作为二级升级服务器和管理信息收集中继的ChildServer可以由普通客户端担任，或与分公司AD等服务器合并使用，以节省硬件开支和管理耗费。

3.3客户端计算机

总部网络和各分公司内的计算机，包括台式机、服务器和笔记本。

计算机客户端需要接受管理中心管理并获得样本升级：

▪管理中心管理：

在企业网络内，通过子服务器上的信息中继器MessageRelay上报管理中心安全状态信息，并获取最新的安全策略，数据流如绿色虚线加黑色虚线。

笔记本用户出差在外地时，不接受管理中心管理，但是会保持之前由管理中心下发的安全策略，并且客户端不能随意修改，以保证安全性。

▪样本升级：

在企业网络内，通过子服务器获得最新的引擎和样本数据，数据流如蓝色虚线加黑色虚线。

如果笔记本用户出差在外地无法连接子服务器时，或企业网络内管理中心服务器临时宕机，服务器、台式机暂时无法连接子服务器时，反病毒客户端会自动通过粉红色虚线从互联网上的供应商提供的反病毒更新服务器进行下载和升级，以保证不间断的安全保护。

所有计算机缺省状态下，会优先使用子服务器进行升级更新，以获得最快的下载速度，并避免了对企业外网出口的带宽占用。

3.4服务器

端点安全杀毒引擎的部份可安装在服务器中，包括支持Windows2003/2008，Unix，Linux等等（请参考章节5.3）。

管理人员可用单一个管理平台，去管理不同的操作平台。

管理人员可从Sophos下载不同的防病毒软件版本到内部的Sophos服务器，之后安装到不同操作平台的服务器上。

配置完成后，每当有软件/病毒特征更新时，在服务器的防病毒软件都会从公司内部的Sophos服务器自动更新。

Sophos端点安全方案简单之处亦在于管理人员只需配置同一组的安全策略，就可应用在不同的操作平台上。

3.5简单网络中的简单部署

对于用户数比较少，网络结构比较简单的企业，根据用户需求，可以不部署子服务器，这样所有客户端都直接连接到总部的管理中心，并直接从总部的升级服务器升级。

同时，总部的管理中心，升级服务器，和数据可以部署到一台机器上。

3.6管理方法

在总部管理中心，为总部网络和各分公司设立不同管理组，以树状组结构分别管理监控各分公司

的计算机，为每个分公司设定不同的管理策略，包括杀毒配置、应用程序限制策略、个人防火墙使用策略，特别是每个分公司的升级策略–从就近的二级升级服务器获得更新数据，以及备用升级服务器-从互联网上的供应商反病毒更新服务器更新。

4系统需求

4.1在总部的控制管理中心及更新服务器

●Windows2000/2003/2008服务器，最低系统需求是：

●Single/Dual（首选）Xeon2.4GHzCPU

●RAM–最少2GB

●千兆网卡（建议）

●可用硬盘空间–在系统分割上最少5GB

●操作系统-Windows2000ServerSP4,Windows2003Server,Windows2008Server

●MicrosoftManagementConsole1.2,

●InternetExplorer5.5SP1及以上版本

4.2在远程分公司的子服务器

Windows2000/2003/2008服务器，最低系统需求是：

●SingleXeon2.4GHzCPU,

●RAM–最少1GB

●千兆网卡（建议）

●可用硬盘空间–在系统分割上最少5GB

●操作系统-Windows2000ServerSP4,Windows2003Server,,Windows2008Server

●MicrosoftManagementConsole1.2,

●InternetExplorer5.5SP1及以上版本

4.3SophosAntiVirus客户端

Windows2000/XP/Vista/7和Windows98SecondEdition系统的最低需求如下：

Windows2000SP3及以上

WindowsXPSP1及以上

Windows2003Server

WindowsVista

Windows7

Windows2008

Windows95/98/ME且安装有IE6SP1

Windows2000/XP/2003硬盘系统分割可用空间120MB

Windows98/95/ME硬盘系统分割可用空间90MB

Windows2000/XP/200内存最少256MB，建议512MB

Windows98/95/ME内存最少48MB，建议64MB

LinuxEdition：

RedHatEnterpriseLinuxES2.1（kernel2.4）

RedHatEnterpriseLinuxES3（kernel2.4）

RedHatEnterpriseLinuxES4（kernel2.6,32-and64-bit）

RedHatEnterpriseLinuxES5（kernel2.6,32-and64-bit）

RedHatEnterpriseLinuxAS2.1（kernel2.4）

RedHatEnterpriseLinuxAS3（kernel2.4）

RedHatEnterpriseLinuxAS4（kernel2.6,32-and64-bit）

RedHatEnterpriseLinuxAS5（kernel2.6,32-and64-bit）

RedHatEnterpriseWorkstation3（kernel2.4）

RedHatEnterpriseWorkstation4（kernel2.632-and64-bit）

RedHatLinux9.0（kernel2.4）

SUSELinuxEnterpriseServer8.0（kernel2.4）

SUSELinuxEnterpriseServer9.0（kernel2.6,32-and64-bit）

SUSELinuxEnterpriseServer10.0（kernel2.6,32-and64-bit）

SUSELinuxProfessional9.1（kernel2.6）

SUSELinuxProfessional9.2（kernel2.6）

SUSELinuxProfessional9.3（kernel2.6）

SUSELinuxProfessional10.0（kernel2.6）

SUSELinuxProfessional10.1（kernel2.6）

TurboLinuxEnterpriseServer8（kernel2.4）

TurboLinux8Server（kernel2.4）

TurboLinux10Server（kernel2.6）

5Sophos端点安全防护技术规格

要求

内容

客户端数量支持

支持25,000点

兼容性要求

支持WindowsXP/2000/2003

支持WindowsVista

支持Windows2008

支持Windows95/98

支持Windows7

支持Linux

支持Solaris,HPUX,AIX等主流Unix系统

支持MacOS

病毒防范清除能力

文件监控实时拦截文件、邮件、下载、即时通讯工具等信道入侵的病毒

支持压缩格式、包裹格式文件的自动检测

检测蠕虫、病毒、木马黑客程序

支持ＨＩＰＳ行为分析主动防御

全盘扫描速度快

安全防护能力

支持移动设备控制，监控或禁止客户端使用U盘、光驱、软盘

支持无线网络控制，监控或禁止客户端使用Wifi,蓝牙等无线网络

支持应用过程控制，监控或禁止客户端使用QQ、realplay、迅雷、电驴、游戏等等影响工作效率的程序

支持硬盘加密功能，轻松的保护你硬盘设备上的数据,用户不用再担心你的用户因掉失笔记本电脑已导致的资料泄漏

支持防止资料外泄功能，监控或禁止客户端将公司的宝贵资料，透过移动装置，电邮，IM传走

支持个人防火墙

支持客户端不能连接管理中心（如出差）时的样本库自动升级。

支持客户端自动升级杀毒引擎和样本，

网络准入控制（NAC）

支持客户端漏洞检测，若未装杀毒软件、未更新、有病毒、Windows补丁未打等问题

支持禁止问题计算机联入网络

支持禁止问题计算机使用特定应用程序

支持限定问题计算机访问的网络资源

生成企业安全漏洞报告

管理功能

提供IE安装、域脚本安装、远程安装、域推送等多种安装部署方式

提供离线管理功能，不在线的客户机在上线时自动执行控制面板的指令

支持对客户端分组管理，

支持远程清除病毒

支持客户端病毒和可疑程序的自动删除，自动移动，或自动上载到指定服务器

支持管理员远程控制客户端防病毒启动、停止

支持跨VLAN和VPN的管理监控和升级

支持管理中心定制更新策略、防病毒运行策略、防火墙策略、应用过程控制策略

支持不同分组配置不同管理策略

支持统一制定客户端防火墙策略，允许或禁止某些应用的网络通信

支持管理中心统一设定排除不做扫描的目录或文件（对于企业常用的黑客破解工具如（winrar）,可以设定统一策略不予扫描避免查杀掉）

支持管理中心统一批准某些应用程序（某客户端发现可疑应用程序时，自动上报管理中心，管理员可以统一批准，避免每位员工重复单独处理）

日志功能

提供病毒感染情况统计图

支持病毒感染情况统计图的导出，pdf，html，xls等格式

服务器端记录客户端运行和安全日志信息，以及重点日志

提供NT事件记录、SNMP通知、EMAIL通知等警报方式通知管理员

升级功能

升级服务器实时获取最新升级数据

每周不少于五次常规升级病毒库、引擎升级数据

应急病毒4小时内提供解决方案

移动客户端脱离网络时，提供直接从Internet漫游升级功能

支持全网统一升级功能

提供客户端主动升级功能

支持客户端通过Windows共享协议和http协议从管理中心更新

支持客户端从二级服务器升级

安装功能

支持多种安装方式（尤其是客户端的安装）

检查客户端操作系统进行自动安装

支持定制安装，针对低配置机器进行定制安装。

使用简单。

6

测试项目

测试项目总表

项目

叙述

测试步骤

符合

不符合

1

SOPHOS服务器建置与升级

如Test-1

2

SOPHOS客户端安装方式与移除现有防毒程序

如Test-2

3

设定更新策略中「主&次要更新服务器」

如Test-3

4

可自订群组或依AD人员套用至更新病毒码、防病毒规则、应用程序控管

如Test-4

5

可以设AD为同步更新

如Test-5

6

实时病毒码、扫描引擎派送状况

如Test-6

7

实时命令远程计算机进行全系统扫描

如Test-7

8

实时命令远程计算机进行更新

如Test-8

9

更新/布署状态追踪客户端病毒侦测与感染实时邮件通知

如Test-9

10

回传疑似病毒码回防毒中心

如Test-10

11

病毒、更新、系统事件、验证纪录文件等可汇出

如Test-11

12

显示客户端病毒码过期警讯图标

如Test-12

13

显示客户端安全威胁侦测的客户端警讯

如Test-13

14

显示最新发生安全威胁的客户端

如Test-14

15

自行定义中毒警告讯息

如Test-15

16

执行动作前确认对话框选项

如Test-16

17

禁用不当软件（P2P软件、通讯软件、储存装置、游戏）（win2000/winXP/Win2003）

如Test-17

18

数据控制（DataControl）（Win2000/WinXP/Win2003）

如Test-18

19

设备控制（DeviceControl）（Win2000/WinXP/Win2003）

如Test-19

20

NAC建置

如Test-20

21

将没有开启防火墙的计算机强制开启防火墙

如Test-21

6.1测试项目细项

Test-1,SOPHOS服务器建置与升级

测试编号

Test-1

日期

//

时间

测试项目

SOPHOS服务器建置与升级

测试目的

确认Sophos服务器安装正确.管理者可在本机或远程开启Sophos服务器的控制台,中控台升级后个人端可自动升级

测试步骤

1.安装Sophos控制台

2.开启Sophos控制台

3.升级中控台个人端不须手动升级

预计结果

管理者可开启Sophos管理控制台

实测结果

测试结果

符合不符合客户需求__________________________________________

Test-2,SOPHOS客户端安装方式与移除现有防毒程序

测试编号

Test-2

日期

//

时间

测试项目

SOPHOS客户端安装方式与移除现有防毒程序

测试目的

分别在WIN98、NT4、WIN2000、WINXP、VISTA平台下，安装Sophos防毒客户端

测试步骤

1.准备好Windows各种平台,并安装好第三方防毒软件

2.执行Sophos控制台派送Sophos防毒

3.安装Sophos客户端防毒的过程，既有的防毒软件会被移除

预计结果

成功安装防毒软件，既有的防毒软件也会被移除

实测结果

测试结果

符合不符合客户需求__________________________________________

Test-3,更新策略中设定「主&次要更新服务器」

测试编号

Test-3

日期

//

时间

测试项目

更新策略中设定「主&次要更新服务器」

测试目的

当企业更新主机无法联机或发生问题时，终端计算机需能持续更新病毒码

测试步骤

1.开启ESC中控台

2.编辑「更新」策略

3.设定「次服务器」更新位置为「sophos」，并键入更新之账号密码

4.派送策略至测试计算机

预计结果

测试计算机将会取得「次服务器」之更新位置及账号密码。

实测结果

测试结果

符合不符合客户需求__________________________________________

Test-4,可自订群组或依AD计算机套用至更新病毒码、防病毒规则、应用程序控管

测试编号

Test-4

日期

//

时间

测试项目

可自订群组或依AD计算机套用至更新病毒码、防病毒规则、应用程序控管

测试目的

Sophos可以自行建立计算机群组，或依AD所建立的群组去套用更新、防毒、应用程序控管的策略

测试步骤

1.对着自己建立的群组或AD的群组按右键->检视群组策略详细信息

2.套用预设策略或自行建立的策略

预计结果

不同的群组可套用不同的策略

实测结果

测试结果

符合不符合客户需求__________________________________________

Test-5,可以设AD为同步更新

测试编号

Test-5

日期

//

时间

测试项目

可以设AD为同步更新

测试目的

Sophos可以自动加入AD新增的计算机

测试步骤

1.对着群组按右键->与AD同步处理

2.设定同步间隔时间

预计结果

有新计算机加入AD，Sophos将会自行同步

实测结果

测试结果

符合不符合客户需求__________________________________________

Test-6,实时病毒码、扫描引擎派送状况

测试编号

Test-6

日期

//

时间

测试项目

实时病毒码、扫描引擎派送状况

测试目的

实时了解病毒码更新状况

测试步骤

1.开启Sophos控制台

2.双击控制台内受控管之计算机名称

3.点选Sophos更新详细信息的卷标

预计结果

看到是否更新完成、更新错误、多久没更新

实测结果

测试结果

符合不符合客户需求__________________________________________

Test-7,实时命令远程计算机进行全系统扫瞄

测试编号

Test-7

日期

//

时间

测试项目

实时命令远程计算机进行全系统扫瞄

测试目的

由中控台命令远程计算机进行全系统扫瞄，有效减轻管理员的工作负荷

测试步骤

1.开启ESC中控台界面

2.选定需进行全系统扫描的计算机或群组

3.右键选择「全系统扫描」

预计结果

远程计算机会在数分钟内自动开始全系统扫描

实测结果

测试结果

符合不符合客户需求__________________________________________

Test-8,实时命令远程计算机进行更新

测试编号

Test-8

日期

//

时间

测试项目

实时命令远程计算机进行更新

测试目的

由ESC中控台上直接命令远程计算机进行更新

测试步骤

1.开启ESC中控台

2.选定需立即更新的计算机或群组

3.右键选择「立即更新」

预计结果

远程计算机在数分钟内会自动进行更新

实测结果

测试结果

符合不符合客户需求__________________________________________

Test-9,更新/布署状态追踪客户端病毒侦测与感染实时邮件通知

测试编号

Test-9

日期

//

时间

测试项目

更新/布署状态追踪客户端病毒侦测与感染实时邮件通知

测试目的

当Sophos服务器收到客户端病毒侦测/感染，可发送电子邮件给设定的管理人员，管理人员可实时掌握病毒事件

测试步骤

1.测试前请先准备好邮件主机的IP，收件人的电子邮件地址，测试用病毒

2.开启Sophos控制台

3.在防病毒与HIPS默认值的选项上按右键，点选检视编辑策略发送讯息电子邮件检视新增收件人配置SMTPSMTP服务器SMTP寄件人地址SMTP回复地址语言确定

4.确认策略指派

5.发送测试病毒到任一安装Sophos客户端的计算机上

预计结果

管理人员收到Sophos服务器发送的电子邮件通知

实测结果

测试结果

符合不符合客户需求__________________________________________

Test-10,