第 1 章 前言
计算机技术的不断发展,信息技术在企业网络中的运用越来越广泛深入,信息安全问题也显得越来越紧迫。自从80年代计算机病毒出现以来,已经有数万种病毒及其变种出现,给计算机安全和数据安全造成了极大的破坏。根据ICSA的统计报道,98% 的企业都曾遇过病毒感染的问题,63% 都曾因为病毒感染而失去文件资料,由ICSA评估每一个受电脑病毒入侵的公司电脑,平均要花约8,366美金,但更大的成本是来自修理时间及人力的费用,据统计,平均每一电脑要花费44小时的到21.7天的工作天才能完全修复。如何保证企业内部网络抵御网络外部的病毒入侵,从而保障系统的安全运行是目前企业系统管理员最为关心的问题。所以,系统安全应该包括强大的计算机病毒防护功能。
全球的病毒攻击数量继续上升,病毒本身变得越来越复杂而且更有针对性,这种新型病毒被称为混合型病毒,混合型病毒将传统病毒原理和黑客攻击原理巧妙的结合在一起,将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DDOS攻击、遗留后门等等攻击技术综合在一起。而最近对互联网威胁很大的间谍软件和广告软件,给企业不仅造成网络管理的复杂,同时可能会带给企业无法估计得损失。混合型病毒的传播速度非常快,其造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多,混合型病毒的出现使人们意识必须设计一个有效的保护战略来在病毒爆发之前进行遏制。这个保护战略必须是主动式的,而不是等到事件发生后才作出反应,需要针对网络中所有可能的病毒攻击设置对应的防毒软件,建立全方位、多层次的立体防毒系统配置,通过在桌面和企业网络等级集成来提供病毒保护。
作为世界互联网安全技术和整体解决方案领域的全球领导厂商,赛门铁克为个人和企业用户提供了全面的内容和网络安全解决方案。赛门铁克是病毒防护、风险管理、互联网安全、电子邮件过滤、远程管理和移动代码侦测等技术的领先供应商。为全世界1亿的客户提供了全面的Internet安全性产品、解决方案和服务。赛门铁克客户群不但包括世界上最大的公司、企业、政府部门以及高等教育机构,同时也为小型企业用户和个人用户提供服务。诺顿品牌领先世界防病毒市场,在业界颇受赞誉。
企业网络防病毒需求分析
1.1 需求概述
随着企业信息化建设的不断深入完善,以及互联网通讯的广泛应用,各种办公及业务系统已成为业务和日常办公各种信息往来沟通不可或缺的工具。
请根据用户网络环境划分需要病毒防御的重点区域,一般而言:企业网络Internet区域安全等级最低,是病毒产生及传播的地方;客户端工作区安全等级较高,主要由外来用户、移动办公用户、桌面用户构成,是病毒感染的主要目标,也是病毒进入企业网络的主要载体;核心服务器区安全等级最高,这里有企业的关键服务器,是安全防护体系最终保护的目标。
具体防护工作的描述:针对核心服务器区,严防来自Internet及移动用户的病毒入侵,保护其中的关键服务器,这是防病毒工作的重点;针对客户端工作区,需要部署客户端防病毒产品严防病毒(尤其是具有混合型威胁特征的混合型病毒)的入侵;针对Internet区域,需部署网关级防病毒产品,严防来自该区域的病毒及病毒攻击;针对邮件系统,需要部署邮件病毒防护系统;另外还需要部署必要的辅助手段,以监测网络的异常状况,提前预知病毒事件的发生。
1.2 防病毒总体技术架构需求分析
为了实现企业防病毒的总体目标,遵循企业防病毒系统建立原则提出以下的防病毒技术整体架构:
整体架构包括了全方位的防病毒产品部署及管理。在整个网络中,防病毒机制实现一级单位、二级单位分级管理,在分级网络中分别部署防病毒服务器。
一级单位设立全网的根服务器,承担着全网的防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作;一级单位和二级单位分别部署一级服务器,作为自己所在局域网络的防病毒管理控制台,一级管理控制台管理一级单位内部所有防病毒产品、二级管理控制台管理所在二级单位的防病毒产品。实现全网防病毒体系的“两级控制、二级管理”。
在企业防病毒整体架构中,需要部署以下几方面功能组件:
Ø 防病毒集中管理平台 负责产品自动分发、升级、生成病毒报告等。
Ø 服务器防病毒 负责网络中的所有服务器的病毒防护。
Ø 群件防病毒 负责邮件系统病毒防护
Ø 客户端防病毒 全面防护各种类型操作系统的客户端的病毒
Ø 网关防病毒 防护来自Internet的病毒,对从Internet来的流量进行内容过滤
Ø 防病毒的辅助手段 流量监控工具、入侵检测产品防病毒客户端的产品发现、版本监测、病毒易攻击的漏洞扫描等
下面分别对防病毒体系对以上几方面功能组件的需求进行具体描述:
1.2.1 防病毒中央控制台需求
在一级单位和二级单位需要有集中的管理控制台,用来统一管理网关防病毒产品、邮件防病毒产品、服务器防毒产品和工作站防毒产品。要求具有软件分发、代码升级、报表生成、报警响应及远程管理等功能,支持分级管理,具有友好的用户界面及良好的扩展性;可以根据用户具体需求进行二次开发。
具体需求如下:
1. 要求可以提供病毒集中管理工具。允许系统管理员控制网络中的防病毒产品,系统管理员更可从单一主控台进行配置、监视防毒程序及产品维护工作、制定病毒扫描调度及代码下发等策略;
2. 集中控制台自身必须具备很强的安全性,能够实现通过用户验证和数字证书认证实现对服务器和客户端的管理。
3. 通过防病毒管理平台可以自动发现整个网络中所有客户端防病毒软件的安装情况,可以找出哪些客户端安装了防病毒软件,哪些客户端没有安装防病毒软件,以及安装的是什么版本的防病毒软件等相关信息,便于管理员及时掌握整个网络中防病毒软件的运行情况,要生成相应的客户端防病毒产品情况报表;
4. 配置简便,网络拓展发生变化时不需做较大改动;
5. 要有病毒报警功能,发现病毒后,能自动通过多种方式通知安全管理人员,要求厂商提供报警渠道和方式;
6. 可向管辖范围内部署的所有防毒产品自动分发产品升级代码,具有客户端分组管理功能;
7. 可生成详细病毒活动报告并及时、准确追踪病毒来源;
8. 对防病毒产品的病毒日志进行统计,并可以生成详细的分析报告,可以根据用户需求定制生成各种类型的中文报表;
9. 提供与第三方产品的通用接口;
10. 对感染病毒的计算机中央控制台能够进行自动隔离处理;
11. 中央控制台能否管理所有的同版本中、西文防病毒软件产品;
12. 能够定制对客户端分发引擎和病毒代码分发的策略;
13. 必须明确中央管理控制台最多可管理的客户端的数量;
14. 必须明确管理控制台对系统的配置最低要求
1.2.2 服务器防病毒需求
文件资源共享是网络提供的基本功能。文件服务器大大提高了资源的重复利用率,由于文件服务器为网络中所有工作站提供文件资源共享,并且能对信息进行长期有效的存储和保护。因而也成为病毒理想的隐身寄居场所,进而将病毒轻易扩散到网络中的所有工作站或服务器上。一旦服务器本身感染了病毒,就会对所有的访问者构成威胁。因此文件服务器需要设置防病毒保护。
企业各级网络内都有Windows NT/200X Server的平台的服务器,为了能够有效的实施病毒防范,特提出以下需求。
服务器防病毒产品需要能够实现以下功能:
1. 能够对Windows NT/200X Server 提供Winsock层的全面防护;
2. 服务器防毒产品能够与Windows 200X操作系统中的NTFS5, UDFS和Encryption File System (EFS) 、FAT32文件系统集成;
3. 对间谍软件和广告软件在内扩展风险有强大的检测和清除能力;
4. 和簇系统相兼容的实时防病毒保护;
5. 支持WIN NT 、WIN 200X、Unix、OS2等操作系统;
6. 支持集中管理、远程监控、自动升级、定制安装等功能;
7. 系统运行效率高、占用资源少,不影响应用系统的正常运行,要求厂商提供服务器防病毒产品对系统资源占用的相关材料,并做出承诺;
8. 系统能够提供好的安全性、稳定性,确保服务器的安全运行;
9. 快速检测和清除已知的病毒;
10. 具有强大防病毒能力和修复能力,能检测和清除来自各种途径的各类病毒、恶意代码和特洛伊木马等黑客程序;发现病毒后,有多种处理方法,支持多种压缩文件格式病毒检测,厂商能够提供几层压缩文件检测;
11. 对未知可疑行为或代码有一定的监控措施;
12. 易操作,从最终用户到管理员均可进行病毒防护工作;
13. 对用户的误操作要有一定的防范措施;
14. 必须明确服务器防病毒产品对系统的配置最低要求;
1.2.3 邮件服务器防病毒需求
随着企业内部电子邮件应用日益普及,电子邮件已成为病毒传播的最大载体,任一与外界有邮件往来的邮件服务器如果没有采取有效的病毒防护措施,极易受到攻击,并会导致病毒在企业内部网中快速传播。其实邮件服务器本身不会受到邮件病毒的破坏,只是转发染毒邮件至客户信箱中,但是当客户机染毒并产生几何数量级的信件时,邮件服务器会由于在短时间内需转发大量邮件而导致性能迅速下降,直至当机。
Exchange邮件服务器防病毒具体需求如下:
1. 包含防垃圾邮件、内容过滤和防病毒等广泛的解决方案。
2. 要求能自动检测和清除病毒,防护快速传播的宏病毒,保护Exchange服务器受到病毒的威胁;
3. 有良好的垃圾邮件检测和清除的能力;
4. 要能够支持Microsoft Exchange 2000 和 Microsoft的病毒扫描接口 API 2.0以及Microsoft Exchange 2003 和 Microsoft的病毒扫描接口 API 2.5和和新的垃圾邮件分类方法Spam Confidence Layer (SCL);
5. 能自动过滤不适当的附件名、扩展名或内容,减少Exchange服务器的流量,提高效率;
6. 电子邮件防病毒产品要求支持常用的压缩文档格式和电子邮件编码格式;
7. 远程安装和中心管理以及报警能支持多台Exchange服务器,减少管理负担;
8. 用新的零管理模式设置使管理和配置时间最小化;
9. 提供主动的爆发通知功能,使在病毒被识别和得到病毒定义码之前管理员能迅速响应和处理;
Domino邮件服务器防病毒具体需求如下:
1. 电子邮件防病毒产品要求支持常用的压缩文档格式和电子邮件编码格 式;
2. 发现病毒时可自动加以清除,自动发送使用者定制的报警信息给寄件人、收件人及防病毒系统管理员,将病毒阻截在邮件系统之外;
3. 能够对进出邮件服务器的邮件进行双向过滤,避免邮件服务器成为病毒传播源;
4. 实时扫描并清除Notes资料库中的病毒;
5. 具备良好的垃圾邮件检测和清除的能力;
6. 在资料库复制过程中,实时扫描并清除所有被修正过的数据中的病毒;
7. 与本地Notes服务器的工作模组一致;
8. 可以在Notes Domino服务器上扫描Web传输通道;
9. 按需扫描Notes数据库并清除染毒文件中的病毒;
10. 有详尽的Notes格式病毒活动记录,可追踪病毒来源;
11. 侦测并清除已知所有病毒,对可疑行为能够预警;
12. 兼容群件系统平台:UNIX各个平台、Windows NT/200X;
13. 能够根据关键字/标题行对邮件进行内容过滤,以及对于附件进行过滤。
1.2.4 客户端防病毒需求
病毒最后的入侵途径就是最终的桌面用户。由于网络共享的便利性,某个感染病毒的桌面机可能随时会感染其它的机器,或是被种上了黑客程序而向外传送机密文件。现代网络中的工作站数量具有数百台上千台甚至更多,如果要靠管理人员逐一到每台计算机上安装单机防毒软件,费时费力,同时难以实施统一的防病毒策略,日后的维护和更新工作也十分繁琐,容易造成部分客户端的病毒防护不彻底,成为病毒入侵的突破口。建议加强对移动用户的管理并提高所有客户端的病毒防范能力。具体需求如下:
1. 可扫描内存、驱动器、目录、文件和Lotus Notes数据库和邮件系统。在Lotus Notes环境下,数据库和邮件的扫描可以在本地实现;
2. 支持网络远程自动安装功能;
3. 可以设定集中管理,工作站防毒程序可由统一的管理程序针对所有工作站防毒程序进行集中管理;包括:预约扫描,检测到病毒时采取的行动;
4. 能够实时监测网络所有工作站,所有的病毒活动,网络管理同时给予客户端配置的权限;
5. 所有客户端程序在任何时候连接网络时,都可检测病毒库和扫描引擎的升级;
6. 检测和清除已知的病毒;
7. 具有强大防病毒能力和修复能力,能检测和清除来自各种途径的各类病毒、恶意代码和特洛伊木马等黑客程序;发现病毒后,有多种处理方法,支持多种压缩文件格式病毒检测;
8. 对包括间谍软件、广告软件在内的扩展威胁有良好的检测和清除能力;
9. 易用,从最终用户到管理员均可进行电脑单机的病毒防护工作;
10. 兼容系统平台:Windows系列操作系统(中英文);
11. 集中日志管理功能;
12. 病毒防治系统运行效率高,占用系统资源少,对原有系统影响小,要求厂商提供客户端防病毒产品对系统资源占用的相关材料,并做出承诺;
13. 支持实时防护,并可有效阻挡网络蠕虫的攻击;
14. 必须明确客户端防病毒产品对系统的配置最低要求
1.2.5 网关防病毒需求
随着互联网和邮件系统的普遍使用,造成了用户很容易在不经意间将重要的、机密的或是不当的信息通过邮件发送或接受;另一方面,来自Internet上的垃圾邮件也到处都是,导致用户需花大量的精力和时间去处理,降低了工作效率。如果等病毒已经进入局域网后再作剿杀,显然为时已晚。因此,通过网关把病毒拒绝在网络之外是最好的解决办法。可以防止将网络内部受到感染的病毒文件传到其它的网络当中,使得各个网络能够互相独立。
要求网关防毒产品部署简便;能够为经过防火墙的数据流量检测并清除病毒。所有来自Internet进入网络的数据先经防火墙安全规则过滤,规则允许的数据交给网关防病毒组件。
具体需求如下:
1. 可实时扫描进出SMTP服务器的邮件及其附加文档,FTP及HTTP传输通道的病毒;
2. 即时扫描并清除隐藏于FTP传输文档中的病毒;
3. 即时扫描并清除HTTP下载文档中的病毒;
4. 具备良好的垃圾邮件检测和清除能力;
5. 可侦测并清除已知病毒,可以对可疑网络行为进行报警;
6. 具有完整的实时监视功能;
7. 可对压缩文档进行病毒扫描,可以识别多种压缩格式,包括多层压缩文档,格式包括ARJ、MS CAB、LZH、Pkzip、Pklite、Lzexe、MS Compress、MIME及UUEnooding等;
8. 防病毒管理员可定制病毒发现警示信息并可以通过E_mail、短信等方式发送;
9. 提供虚拟病毒服务并分析和清除未知病毒;
10. 可以定制黑名单;
11. 对网络效率不能有明显影响;
12. 必须明确网关防病毒产品对系统的配置最低要求(针对软件产品);
第 2 章 企业网络防病毒体系设计
2.1 体系设计思想
2.1.1 实现目标
通过赛门铁克国际领先的网络病毒防护产品和丰富的企业网络防毒设计经验,为企业网络系统提供一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系,有效抵御各种病毒和混合威胁的攻击。提高企业的病毒防御水平。
2.1.2 设计原则
根据企业网络系统的现状和系统防毒安全和管理的需要,我们考虑防病毒系统遵循以下几条原则:
1. 技术和产品的成熟性和稳定性。充分考虑防病毒产品本身和技术上的成熟性。网络防病毒产品必须是成熟而且经受大量考验的防病毒产品,在各种操作系统平台和服务器平台上都有相应的病毒防范软件的版本并且能够和操作系统紧密结合。
2. 满足需求为第一。针对企业的具体应用情况,建立满足需求的病毒防护系统。对整个病毒防御体系进行合理建设,尽量满足各种需求。
3. 必须是主动式的,而不是在病毒发生爆发后再作出反应。针对混合型病毒提供主动保护主要处于以下几个原因,主要是混合病毒传播的速度和它们的破坏程度;停机时间造成巨大的成本,需要大量的IT资源来清理病毒。对于混合型病毒必须要提供主动式的防御。
4. 扩展性和可升级性。 可升级能力是衡量防病毒系统是否具有生命力的重要指标。防病毒软件必须不断及时地升级病毒样本文件和引擎,在功能、性能上都在不断采用新的技术,保证系统的向前发展。向用户提供多种病毒特征文件和病毒引擎的方便的升级方式,保证组织机构的防病毒系统在第一时间内得到升级。
5. 可管理性。对于企业这样比较大的组织机构,要管理防病毒软件的分发、升级、配置和支持是一个非常难的事,这就要求提供一个方便管理的平台。防病毒系统必须提供简化管理的工具,可以在几个集中的点上对整个网络中的客户端和服务器进行管理,包括对病毒特征文件和防病毒引擎的分发升级、报警管理和日志分析整理以及病毒处理方式配置等。
6. 易用性。在企业这样的大的组织机构中,大部分的使用人员并非计算机专业人员,而且由于业务繁忙,不可能系统学习每一个工具软件。这就要求客户端的防病毒软件必须简单易用,自动化程度高,最好无须用户干预。防病毒的客户端软件应当能够自动对病毒实时检测、清除和报告,简化使用的复杂度,结合统一的控制台,用户几乎不需要知道有防病毒软件的存在。
2.1.3 设计思路
长期以来,应对混合型威胁(混合型病毒)的传统做法是,一旦混合型病毒爆发,尽快捕获样本,再尽快写出病毒特征,并尽快去部署该病毒特征,然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种方式曾一度相当有效,但近年来――特别是近两年多次影响的冲击波、Slammer、Netsky等病毒,已经体现这种基于特征的被动式病毒响应方式效果不佳了。这一方面因为病毒的快速发展,另一方面更因为传统防病毒技术采取被动跟踪的方式来进行病毒防护。
主动式反应的企业防病毒系统主要体现在以下几个方面:
Ø 企业防病毒系统中全面采用主动式反应技术
相对于被动式病毒响应技术而言,主动式反应技术可在最新的混合型病毒没有出现之前就形成防御墙,静侯威胁的到来而能避免威胁带来的损失。
Ø 智能型防病毒系统架构,提高全网协同防护和作战能力
通过为企业设计智能的病毒防护架构,优化全系统内病毒事件的全面监控,及早发现,及时通报,快速处理等环节,缩短响应时间,有效降低病毒可能造成的损失。智能型防病毒系统架构主要表现在:
· 具备在任何地点、任何时间对全网进行统一管理、统一监控的能力
· 具备全网病毒事件收集、分析、报告和响应能力
· 具备客户端、服务器系统补丁分发管理能力
· 具备突发病毒事件的快速响应能力。
· 具备大规模扩展和新技术兼容能力(如能在防病毒系统中兼容入侵检测系统)
通过为企业构建主动式反应的防病毒系统,可使企业从容面对不断恶化的网络环境,避免混合型威胁的侵扰。
我们将在此思想指导下,首先对企业进行防病毒系统的整体架构设计、在此整体架构基础上来实现重要的管理职能,然后在一级单位、二级单位、进行防病毒系统的快速部署,并从强健防病毒系统的角度考虑,提出一些可对病毒进行宏观调控和监测的办法以提高全网病毒的防御能力。
2.2 企业网络防病毒总体架构
2.2.1 二级控制、二级管理架构
根据企业网络现状,企业全网防病毒系统采用“二级控制,二级管理”架构。
企业的全网防病毒系统整体架构如下图所示:
按照实际防病毒架构做图示
两级控制主要体现在:
Ø 一级控制台承担全网的防病毒产品升级、防护策略制定、报警管理、病毒统计报表生成等工作,一级单位具备接管二级单位防病毒管理工作的能力。一级单位负责二级单位被隔离文件的提交和返回相应的病毒定义码和扫描引擎。一级单位具备通过二级单位广域网的病毒管理服务器进行集中监控和管理的能力,在必要时可以直接管理二级单位的病毒管理服务器。
Ø 二级控制台承担的防病产品升级工作,管理所在二级单位的防病毒产品。
二级管理主要体现在:
Ø 一级管理、二级管理分别负责本地局域网络的防病毒系统日常维护工作。同时进行网络防病毒状态的监控和对病毒事件做出相应的响应。根据职能设定的不同,还可包括日志文件的维护,报表管理和报警管理等职能。
Symantec公司依据行业工程经验,在为企业构建“二级控制,二级管理”架构时,提供完善的技术保障,以保证全网防病毒系统得以高效运转。
2.2.2 统一升级,留有备份
病毒定义、扫描引擎、特征库和安全规则升级
根据上文描述的企业防病毒系统结构,考虑到安全需求,同时也是便于管理,建议在企业网络内采用二级服务器升级的结构,即:
1. 首先升级一级单位防病毒服务器的病毒定义码、扫描引擎、特征库(漏洞特征库和攻击特征库)和安全规则(防火墙策略)。根据实际情况可以配置一级单位防病毒毒服务器自动或手动通过Internet到赛门铁克网站升级最新的病毒定义码和扫描引擎。
2. 各二级单位的防病毒服务器到一级单位的防病毒服务器进行病毒定义码、扫描引擎、特征库和安全规则的升级,同时作为备份,条件允许的二级单位防病毒服务器也可以自己通过Internet到赛门铁克网站进行升级。二级单位服务器负责对所在单位的客户端的升级.
如下图所示,采用这种升级方式,一方面可以确保整个网络内的病毒定义码和扫描引擎的更新基本保持同步。另一方面,由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成,就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力,同时也避免了各机构自行到Internet升级而带来的不便和安全隐患。本贴来自:http://www.happygroup.com.cn
