办公网络防病毒解决方案.docx

1、办公网络防病毒解决方案XXXX厅局用户云安全多层次防病毒解决方案2012年5月1日1. XXXX厅局用户安全项目综述1.1. 项目背景从2000年至今，互联网的发展日新月异，新的引用层出不穷。从Web1.0到Web2.0，从2G网络升级到3G网络。互联网接入从笨重的台式机，到轻巧的笔记本电脑，到现在的上网本和手机终端。随着互联网的发展，人们的工作和生活已经发生了翻天覆地的变化，与此同时，信息技术的发展也带来了安全威胁的发展。安全威胁的攻击，从单纯的攻击单台电脑，到攻击局域网，攻击XXXX厅局网络，到现在整个互联网充斥着各种攻击威胁。XXXX厅局用户在目前的网络安全大环境下，现有的防病毒安全系统

2、已经无法承载日新月异的威胁攻击。为了确保XXXX厅局用户的业务连续性，避免病毒对XXXX厅局用户的数据，应用和网络带来威胁，必须对XXXX厅局用户的防病毒系统进行结构化的完善。1.2. 潜在的网络安全威胁XXXX厅局用户的信息化建设已初具规模，安全治理水平又是信息化顺利推进的重要保障。我们详细分析了当前应用现状，发现还面临以下主要威胁：1.2.1. 大量的外部威胁XXXX厅局用户的外部安全威胁主要包括来自网页浏览和文件下载方式侵入的恶意程序，其中有病毒、间谍软件、木马软件、钓鱼程序、灰色软件等。通过Web访问引入大量的恶意程序威胁XXXX厅局用户的系统网没有硬性安全策略，几乎与互联网连接在一起

3、，互联网基于开放的平台，十分不安全，即便互联网出口部署了防火墙，当前流行的安全威胁常常以HTTP/FTP方式直接穿过防火墙，植入到网络内部。木马、间谍程序等应用层安全威胁的危害很大，简述如下： 病毒的泛滥严重影响XXXX厅局的运行，特别是门诊挂号终端的停机带来的直接损失。 用户的隐私数据和重要信息会被“后门程序”捕获，并被发送给黑客、商业公司等； 自动开启电脑上的某个端口(制造后门)，用于控制用户电脑； 窃取用户银行帐号、信用卡帐号等信息并自动发送给病毒制造者； 自动下载其他病毒程序，例如蠕虫病毒，用以控制整个计算机，对其他计算机用户发垃圾邮件、DDoS攻击等。木马/间谍程序通常是一种能够在用

4、户不知情的情况下，在其电脑上安装后门，用于收集用户信息、窃取用户资料并发送给黑客预先设定的接收端计算机。黑客通过在互联网服务器上挂马、发送大量带恶意链接的垃圾邮件、即时通讯工具发恶意站点网址等方式，让计算机用户一不小心就访问了这些不安全站点感染这类恶意程序，这也是目前黑客最常用的攻击方式。大量的恶意程序通过互联网链路植入到XXXX厅局用户网络中，引入大量垃圾流量、影响计算机的正常使用、导致数据失窃等。所以，在进行安全建设时不能单纯依靠计算机端点这一道安全防护措施，必须在重要的网络互联边界增加对应的安全防线，从而构筑多层防御的体系架构。1.2.2. 内部网络安全建设的薄弱环节防病毒体系层次单一X

5、XXX厅局用户有大量的计算机，都没有统一部署防病毒软件，相当于连最基本的安全防护手段都没有，最终导致病毒、木马软件、间谍软件、僵尸程序等恶意程序悄无声息的入侵到网络和计算机中来。然而，依据信息安全建设的“木桶原理”，一台计算机不安全，就会降低整个企业的信息安全治理水平。所以，只要还有未部署防病毒软件的不安全计算机存在，XXXX厅局用户全网的信息安全水平就会受到极大的影响。大量的网络攻击网络病毒传播和扩散是企业网络平台的最大危害，从去年底到现在，一直有一些网络病毒十分活跃。最典型的Worm_DOWNAD病毒的攻击方式分析： 通过微软MS08-067的系统弱点其它攻击计算机； 利用密码字典攻击法登

6、入Admin$system32文件夹执行病毒文档，并在工作进程中新增项目产生病毒档案； 在可携式磁盘驱动器与网络驱动器中产生病毒档案与Autorun.inf，通过USB便携设备感染其他系统； 并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中500个恶意网站下载新的恶意程序，以防止被安全软件清除掉从而长期在该计算机存活下去。这类蠕虫病毒，会在网络中产生大量的垃圾流量，如下图：而只有正常网络应用的网络流量，如下图：XXXX厅局用户局域网里以蠕虫病毒为载体的网络攻击，将严重影响XXXX厅局用户内部网络的稳定运行，最终又影响到应用服务器的正常访问。1.3. 云安全多层次解决方案给

7、XXXX厅局用户带来的安全提升在部署应用了云安全多层次解决方案后（以下简称多层次安全解决方案），XXXX厅局用户的系统安全，应用安全和网络安全将进入到一个崭新的阶段。从以下八个角度可以看出，多层次安全解决方案给XXXX厅局用户带来的价值1-完整性多层次安全解决方案提供给XXXX厅局用户，从终端，到应用系统，XXXX厅局，到Web互联网关，甚至ISO2-7层多达80多种协议的侦测。彻底阻断的病毒可能入侵和传播的途径。2-有效性多层次安全解决方案彻底杜绝了病毒重复感染，病毒源头无法定位的弊端。使得XXXX厅局用户在病毒安全防护系统有了质的飞跃。3-智能性利用趋势科技未知威胁侦测系统TDA,能够7*

8、24小时主动发现和定位XXXX厅局用户网络环境中的未知和已知的威胁攻击。彻底解决了传统防病毒体系无法有效防护新的未知威胁。4-可靠性趋势科技能够为XXXX厅局用户提供7*24小时防病毒系统主动监控，确保整个防病毒系统不间断的进行运作5-稳定性考虑到XXXX厅局用户的计算机可用资源率，内部系统应用和网络架构，趋势科技提出的多层次安全解决方案能够最大程度的减少对XXXX厅局用户各种资源的消耗，并且确保整个解决方案的兼容性。6-管理性趋势科技多层次安全解决方案能够单点登陆(SSO),进行全局的管理，能够对终端，服务器，邮件安全的设定，Web网关安全的设定和网络层策略设定，日志查询，并且能够统一生成全

9、局报表。进行横向和纵向的安全情况分析，得出相应的加强措施。7-扩展性趋势科技多层次安全解决方案能够连接趋势科技云安全平台，利用趋势科技全球云安全技术平台的海量安全数据，彻底帮助XXXX厅局用户提升现有的安全级别。8-节省人力资源多层次的安全防护系统，因为具有以上特性，故能够让XXXX厅局用户完全摆脱先前的被动式的防护，最大程度的减少XXXX厅局用户之前的防病毒系统需要大量人力资源去维护，去终端查杀病毒等等繁琐的工作，提升XXXX厅局用户安全项目组人均生产力。也侧面提升了所有终端用户的人均生产力。1.4. 多层次安全解决方案组成结合对XXXX厅局用户防病毒安全需求和现状分析以及需要达成的目标，多

10、层次安全解决方案组成如下：包括： 金山毒霸网络版7.0 趋势科技网关Web安全设备：IWSA 趋势科技未知威胁发现设备：TDA 趋势科技网络病毒墙: NVW产品简要说明:产品名称功能杀毒软件金山毒霸网络版7.0金山毒霸网络版7.0提供给XXXX厅局用户全面的终端安全解决方案。金山毒霸网络版V7.0是一套专为企业级网络环境设计的反病毒安全解决方案，它能够为企事业单位网络范围内的工作站和网络服务器提供可伸缩的跨平台病毒防护。金山毒霸网络版V7.0实现了集中式配置、部署、策略管理和报告，并支持管理员对网络安全进行实时审核，以确定哪些节点易于受到病毒的攻击，以及在出现紧急病毒情况时采取何种应急处理措施

11、。网络管理员可以通过逻辑分组的方式管理客户端和服务器的反病毒相关工作，并可以创建、部署和锁定安全策略和设置，从而使得网络系统保持最新状态和良好的配置。金山毒霸网络版V7.0采用了业界主流的B/S开发模式，由系统中心（拥有基于WEB的系统中心控制台）、升级服务器、客户端、服务器端组成了反病毒安全保障体系。网关Web安全设备IWSA 趋势科技IWSA是高效的企业级HTTP/FTP应用防护设备，可协助XXXX厅局用户阻止各种通过Web浏览或FTP下载导致的病毒感染,URL Filter,防间谍软件等多种安全防护。同时IWSA能够联动趋势科技”云安全”的技术平台，进一步提高XXXX厅局用户在网关Web

12、防护的及时性和低资源占用率。未知威胁发现设备TDA 在网络探测未知或者已知的恶意威胁 定位网络中的未知或者已知的威胁攻击源头 网络内容检测技术 侦测多达80多种协议 全面发现 SecureCloud服务趋势科技内网安全管理设备Network Virus wall Enforcer 病毒爆发防护服务 网络病毒扫描 网络病毒爆发监控 隔离病毒爆发的那些特定网段 损害清除服务Damage Cleanup Service 主动并且自动清除被病毒感染的系统 强制策略 强制进行防病毒产品部署 病毒相关的漏洞评估2. XXXX厅局用户应用云安全多层次防护系统2.1. XXXX厅局用户基于云安全的多层次安全解

13、决方案规划趋势科技对气象系统用户的方案规划：从三个角度进行提升：1. 技术：即具体的Solution2. 流程：结合气象系统用户实际情况，定制各种必要的流程，变被动为主动3. 人员：基于气象系统用户防病毒管理人员和普通终端电脑使用者进行专业性和普及性的防病毒知识培训 技术规划： 主动防御：西线网络为XXXX厅局用户设计的基于云安全的多层次安全体系，能够主动防御已知和未知病毒。即使面对新病毒，还没有病毒码的情况下，XXXX厅局用户也在防病毒体系下阻挡新病毒。 多层次：网关层-网络2-7层-应用层-终端层集中管理1. 网关层：目前XXXX厅局用户的防病毒系统非常单一，仅部署了基于桌面端的防病毒软件

14、。然后，当今80%的病毒来自互联网。XXXX厅局用户仅仅依靠终端上的防病毒软件根本无法抵御现在多样的病毒传播，所以XXXX厅局用户的互联网出口成为防病毒系统的重中之重。2. 网络2-7层：当病毒进入到XXXX厅局用户内部网络后，可以第一时间侦测病毒流量，定位病毒源头，将病毒事件遏制在源头。3. 应用层：邮件应用以及FTP应用也是病毒传播的主要途径之一，也要做相应的防护。4. 终端层：传统意义上的防病毒软件已经不足以防护当今多样性的病毒，趋势科技会通过防病毒，木马查杀，防火墙等组件给予XXXX厅局用户终端全面的保护。同时，对于U盘，移动硬盘，CD DVD介质以及共享文件夹的防护也必须加强，U盘病

15、毒等类似病毒给XXXX厅局用户也带来了相当大的困扰。5. 集中管理：整个多层次的解决方案，都能够通过趋势科技集中管理平台进行统一管理，策略配置和报表制作。 技术拓展：病毒码匹配-智能扫描引擎云安全技术1. 病毒码匹配：传统技术。2. 智能扫描引擎：利用启发式的扫描引擎和3. 云安全技术：趋势科技利用特别研发出的信誉评估技术，通过实时更新的安全等级信息，在各种威胁入侵前彻底防御这些危险攻击。信誉评估技术是由收录邮件服务器评估数据的“邮件信誉技术”、收录Web评估数据的“Web信誉技术”，以及收录文件评估数据的“文件信誉服务”三者结合而成。通过云安全技术，XXXX厅局用户网络的安全级别会有一个质的

16、飞跃，在更节省资源的情况下，第一时间获得最新的安全防护。 云安全技术示意图： 流程规划 流程设计1. 常规病毒和产品问题处理流程2. 依托病毒和产品监控服务建立的主动病毒处理流程3. 紧急恶性病毒处理流程4. 异地紧急病毒事件处理流程5. 病毒预警处理流程 服务体系设计1. 800标准服务2. 7*24小时监控服务3. 防毒顾问服务 4. 专属的服务管理 5. 主动式的服务 6. 快速响应服务 7. 在线服务支持 8. 巡检服务 人员培训规划 防病毒管理人员的培训1. 现场培训：通过现在对XXXX厅局用户IT管理员的培训，使其获得对多层次安全体系管理的技能，同时也提供病毒安全知识的培训，确保其

17、对病毒特性的了解，能够很好的掌握具体的操作。 终端电脑使用者的培训1. 通过定期的安全小贴士，用简单易懂的内容，宣传用户病毒基本支持，提升终端电脑使用者的安全意识。2.2. XXXX厅局用户基于云安全多层次防病毒系统详细设计2.2.1. 1- IWSA5000网关防护Internet的HTTP出口2- 金山毒霸网络版7.0终端层防护所有计算机的安全3- TDA网络2-7层侦测所有网络流量4- 和协议，主动侦测已知或未知病毒，实时报警并监控系统体系架构 网关层在XXXX厅局用户网关处，对Internet的HTTP流量进行实时监控。阻挡80%以上的病毒感染情况。根据XXXX厅局用户的网络结构分析，

18、趋势科技网关设备IWSA5000主要是部署在核心交换机和防火墙之间，采用透明串联的方式。 应用层对于XXXX厅局用户的邮件应用，将部署趋势科技IMSA垃圾邮件和病毒邮件过滤设备。对进出XXXX厅局用户的邮件进行全面过滤 终端层对于XXXX厅局用户网络中的所有终端PC和服务器进行全面的安全防护。金山毒霸网络版7.0提供病毒过滤，木马查杀，防火墙。同时对U盘等移动介质也进行严格的权限管理。 网络2-7层与其它传统防病毒解决方案最大的不同是，趋势科技的未知病毒侦测设备TDA，可以对XXXX厅局用户网络中所有协议的流量进行监控，通过内置文件型病毒扫描引擎，网络型病毒扫描引擎，启发式扫描引擎，俄规则扫描

19、引擎和信誉评估机制引擎五大扫描机制，能够实时监控到XXXX厅局用户网络中的病毒迹象，一旦发觉立刻自动Email通知管理员，第一时间阻断病毒的传播和扩散。TDA同时还能够解决一直以来，其它解决方案无法处理的病毒源头定位的问题，通过对海量数据的自动分析，TDA能够迅速定位网络中的病毒源头，完全杜绝了病毒事件无法彻底处理干净，重复感染一直发生的情况。TDA还能够监测网络中是否存在的僵尸网络病毒，确保XXXX厅局用户网络不被黑客利用偷窃机密信息和向外发送攻击包。2.2.2. 金山毒霸网络版7.0金山毒霸网络版7.0主要功能和特点全网智能漏洞修复针对病毒利用系统漏洞传播的新趋势，金山毒霸网络版V7.0率

20、先采用了分布式的漏洞扫描及修复技术。管理员通过管理节点获取客户机主动智能上报的漏洞信息，再精确部署漏洞修复程序；其通过Proxy（代理）下载修复程序的方式，极大地降低了网络对外带宽的占用。全网漏洞扫描及修复过程无需人工参与，且能够在客户机用户未登录或以受限用户登录情况下进行。集成金山卫士金山毒霸网络版V7.0提供了可选金山卫士安装的功能，全面保护您的系统安全。金山卫士采用金山领先的云安全技术，不仅能查杀上亿已知木马，还能5分钟内发现新木马；漏洞检测针对windows7优化，速度比同类软件快10倍；更有实时保护、网页防护、系统清理优化、插件清理、修复IE等功能。数据流杀毒基于传统的静态磁盘文件和

21、狭义匹配技术，更进一步从网络和数据流入手，极大地提高了查杀木马及其变种的能力。爆发性病毒免疫针对网络中流行的具有高爆发性、高破坏性，并且一旦感染难以彻底清除的病毒，金山毒霸专门研发了应对防护技术。通过金山毒霸网络版V7.0的部署，能够彻底对该类型病毒免疫（包括计算机已经感染该类型病毒的情况），例如维金病毒、熊猫烧香病毒、科多兽病毒等。全网杀毒，多维防护 率先实现每日病毒库实时更新、防毒体系主动实时升级并自动分发、防毒系统抢先在所有病毒之前启动，赢得时间。金山毒霸网络版V7.0的主动升级机制可保证在第一时间获取最新病毒库，并自动分发给网内所有客户机。而这一切都不需要管理员作任何操作。即使面对病毒

22、一日出现多个变种，网络体系依然可以有效防御。防毒胜于杀毒，抢先启动的防毒系统可保障在Windows未完全启动时就开始保护用户的计算机系统，早于一切开机自运行的病毒程序，使用户避免“带毒杀毒”的危险。抢先式防毒使您赢得时间，让安全领先一步。分布式防毒体系，防毒从桌面到服务器覆盖到全网每个节点，在空间上不留盲点。管理员可通过管理节点对全网或指定的客户机发出查杀病毒指令，以有效遏止病毒疫情爆发，避免网络内病毒交叉、重复感染；自动检测多途径的病毒源，实时监测各类病毒入侵，全方位体现病毒实时防护。自动检测多途径的病毒源，实时监测各类病毒入侵，防毒从源头堵起。自动检测多途径的病毒源，实时监测各类病毒入侵，

23、全方位体现病毒实时防护。国际领先的“蓝芯”杀毒引擎，全面查杀数万种病毒，支持查杀白名单过滤，支持数十种压缩格式、多重压缩包直接查杀。核心技术采用国际领先水平的“蓝芯”杀毒引擎，对各类已知、未知病毒、可疑文件、木马以及其它有害程序可全面查杀；V7.0版本全面新增支持查杀白名单过滤功能；全面支持DOS、Windows、UNIX等系统下的数十种压缩格式、多重压缩包的查毒；支持ZIP、RAR等压缩格式、UPX加壳文件的包内直接查杀；嵌入协议层的邮件监控，可双向过滤邮件病毒。易用灵活的部署及管理，为企业量身定做可移动的Web管理控制台控制台基于WEB结构开发，管理员无需安装额外的控制软件，就可以在任意一

24、台计算机上轻松管理整个防毒体系，真正实现了“管理无处不在”。可扩展的无限分级管理架构金山毒霸网络版V7.0使用主系统中心来集中管理数据，以实现以单个系统中心对多个系统中心、升级服务器及其他特殊防毒节点的集中管理。这个架构借鉴了业内比较优秀的网络管理的设计案例，具有良好的可扩展性和可伸缩性，对于网络规模扩大或新增节点都可以很容易地实现集中管理。这种架构使得金山毒霸网络版V7.0可以稳定地工作在跨地域的大型网络上。高效的安装部署方式管理员可以根据企业网络环境采用WEB页面（ActiveX）安装、远程安装、域脚本安装等方式，在较短的时间内完成网络内大量客户端的安装，简单快速地实现整个网络反病毒体系的

25、部署，最大限度贴合网络实际环境。灵活定制企业级安全策略通过金山毒霸网络版V7.0的管理节点，既可以配置全网统一的安全策略，又可以将具有不同需求的客户机分配到特定的组，配置具有针对性的组策略。通过这种灵活的配置方式，管理员可以轻松地定制企业级安全策略。多样式的帐户管理设置默认可分配三种管理员权限，超级管理员、普通管理员、只读管理员，并可以按实际需求，手动修改具体权限，可适应企业不同人员权限的划分设置，以保证灵活与安全。自主授权分割功能 管理员可以从主系统中心分割授权数量给下级系统中心，限制下级系统中心对客户机的管理数量，阻止非法客户机注册。分组管理功能 IP分组和白名单功能，管理员可以利用IP分

26、组功能进行自定义分组操作，让安装后的客户机按照管理员定义的分组规则自动分配到对应的组内，并将所有不符合IP分组规则的客户机将自动分配到默认客户机组中。启动白名单功能之后，只允许白名单列表范围内的IP连接到本系统中心，在白名单列表范围之外的IP地址都视其为黑名单，拒绝其连接。多途径报警机制管理员可以通过SNMP Trap、NT事件日志、Email及Windows信使服务等多种方式接收病毒事件报警，以保证及时应对病毒疫情。图形化统计病毒信息图形化的统计页面可以将网络内的病毒分布状况直观地呈现出来，以便于管理员分析网内病毒发展趋势，并采取针对性的措施。金山毒霸网络版V7.0强化了首页整体概况以及多级

27、中心的图示显示。跨平台支持Windows、Linux等多种平台操作系统，彻底扫除网络反病毒盲点。随需切换的客户端操作界面针对不同用户的需求，客户端采用两种操作界面，用户可通过安全状态界面查看大部分信息并可执行“一键升级”、“一键杀毒”、“一键漏洞扫描”等常见任务，操作简单方便。切换到主界面后，高级用户可进行更为复杂的操作和设置。2.2.3. 网关Web病毒和内容过滤设备趋势科技互联网网关安全设备InterScan Web Security Appliance趋势科技互联网网关安全设备（简称IWSA)是一套针对HTTP/FTP应用进行安全防护和策略控制的综合性网关解决方案。产品功能：IWSA能够

28、在一个硬件设备中对HTTP/FTP数据流实现如下几大功能： 防病毒 防间谍软件 防网络钓鱼 防JaveApplet&ActiveX恶意插件 流量配额管理 恶意URL阻止 URL过滤功能 Web信誉服务 流量及硬件状态实时动态图形IWSA不仅具备全面的安全防护功能，同时由于采用多种智能分析与扫描处理技术，在性能表现上优于同类产品，是企业网络安全防护的重要防线。IWSA支持多种配置运行模式，支持多种未来新的应用系统的设计架构，与趋势科技业界领先的企业安全防护策略(EPS)相结合，扩展了趋势科技关于Web安全的病毒爆发生命周期管理理念，从而保证用户获取最大的投资回报率。给XXXX厅局带来的价值： 集

29、成Web信誉服务云安全技术Web安全网关IWSA集成的Web信誉服务云安全技术是下一代内容安全防护技术，它与病毒代码比对技术同时为用户提供安全保护，但在防护的效果上云安全技术表现得更动态、更主动和更节省系统资源。趋势科技通过在Internet上构建多达几万台的服务器群，实时动态地收集Internet上的风险，生成恶意信息数据库。当用户需要访问Internet资源时，安全子系统会自动到趋势科技服务器群上针对数据源的安全性进行查询，如果数据安全，则用户就可以正常访问；如果数据风险很高，则用户的访问就会被自动阻止，实现恶意程序在侵入网络或计算机前就被阻止掉。 综合性的安全管理能力IWSA针对Web威

30、胁提供综合性的安全管理能力，全面地解决了当前客户环境所面临的复杂的Web安全问题，特别是在恶意程序源头对Web威胁进行快速阻止； 高性能、高可用性IWSA集合趋势科技多年来Web安全解决方案的经验与技术，具备高可靠性和高可用性，具备灵活的扩展能力； 管理方便，配置灵活IWSA基于策略制定安全措施，管理人员可以灵活地定制个性化的安全规则； 极低的运维成本IWSA从整体上对Web应用进行了全面的防护，帮助管理人员快速地构建起Web防线，从根本上扭转Web安全防护的被动局面，提高了管理效率，降低了运维成本。2.2.4. 主动式威胁发现设备TDA产品功能介绍 在网络探测恶意威胁 1. 探测未知和已知恶

31、意威胁2. 发现恶意威胁的信息窃取3. 探测网络和电子邮件攻击网络钓鱼和网络漏洞利用 探测网络中断行为1. 中断性应用P2P、即时讯息等2. 中断性服务SMTP中继、流氓DNS等 网络内容检测技术1. 2-7层协议检测，80种以上协议2. 全面的应用支持（超过120种应用） 3. 可疑活动关联性4. 文档内容扫描 联动云安全服务1. 与Internet云安全数据库链接 对数据进行根源分析&关联性 对协议和应用进行名誉分析 2. 恶意事件管理和汇报 面向客户的恶意事件分析 每日管理报告事故响应 执行报告整体安全情况 旁路部署通过镜像数据进行分析，不会中断服务产品特点 对由恶意威胁造成的数据丢失风险的响应速度更快 清晰的安全状态可见性所带来的主动安全架构规划 尽早发现新威胁并做出响应，从而节省了损害清除费用 破坏性应用程序检测，从而节省网络资源 灵活的离线部署