赛门铁克整体防病毒解决方案技术交流.ppt

赛门铁克整体防病毒解决方案技术交流,最新互联网安全形势,资料来源：symantec最新互联网安全威胁报告,混合型威胁进一步增强 2004年下半年共发现1,403 个新漏洞，比前半年增长了13%。漏洞的数量和严重程度持续增加 对新型可替代浏览器的漏洞显增长态势 web 应用程序安全威胁正在增长 win32 病毒和蠕虫不断增加 网页仿冒确定为以后几个月中重点关注的几大威胁之一 可能造成机密信息暴露的威胁数量持续增长 金融业务受到的严重攻击比率最大,microsoft sql server 解析服务堆栈溢出攻击（称为slammer 攻击）是最常见的攻击，被22% 的攻击者使用。 企业每天受到攻击的次数从前六个月的10.6 次，上升到13.6 次。 已知的bot 网络计算机从7 月底的每天30,000多个下降到了当年年底的每天不到5,000 个。 美国仍是最大的攻击来源国，其次是中国和德国。 金融行业里平均每10,000 个安全事件中有16 个是严重事件，在所有行业中比率最高,最新网络攻击形势,资料来源：symantec最新互联网安全威胁报告,安全漏洞形势,赛门铁克记录了1,403 个新漏洞，比前半年增长了13%。 公布漏洞与发布相关的漏洞攻击代码之间相隔的时间从5.8 天增大到6.4 天。 web 应用程序漏洞占到了所有发现漏洞的48%，比2004年上半年的39% 有所增加。 所发现的漏洞中有97% 的严重程度为中等或较高。 2004 年后半年披露的影响mozilla 浏览器的漏洞有21 个，而影响microsoft internet explorer的有13 个。 所报告的漏洞中有70% 被认为是易于利用的。,资料来源：symantec最新互联网安全威胁报告,恶意代码形势,netsky, mydoom 和beagle 的变种在2004 年后半年排行前10 位的恶意代码中占多数。 赛门铁克记载的新win32 病毒和蠕虫超过了7,360 个，比上半年增加了64%。 暴露机密信息的恶意代码占到了前50 大恶意代码样本的54%，高出上一个报告期的44% 。 本报告期结束时，针对移动应用的已知恶意代码有21 个，大大高出2004 年6 月的一个。 在排名前10 的恶意代码样本中，有2 个bot 恶意代码，而在上一个报告期中只有一个。 有4,300 个截然不同的spybot 新变种，比前6个月增长了180%,资料来源：symantec最新互联网安全威胁报告,间谍软件和广告软件,资料来源：symantec最新互联网安全威胁报告,过去六个月来，广告软件在提交的前 50 名恶意代码中所占比例较 2004 年上半年有所增加 2004 年上半年，广告软件占提交的前 50 名恶意代码的 4%。下半年它占到了 5% webhancer 是 2004 年下半年报告数最多的间谍软件程序，占 10 大已报告间谍软件的 38%,新的安全挑战,蠕虫针对弱点的攻击正在增加频率,攻击方式更加灵活,新的安全挑战和变化,间谍软件在2005年快速增长。,企业为间谍软件和广告软件的付出的代价,真正损失难以计算,间谍软件和广告软件,间谍软件和广告软件正在迅速成长为企业用户最关心的安全问题 通过以下手段获取机密信息: 记录键盘操作(keystroke) 偷窥电子邮件内容和聊天软件的会话信息 发送网页浏览记录和敏感信息到企业外部 一旦信息被获取,间谍软件会通过各种方式发送出去,通常可以获得经济上的利益. 因为间谍软件可以敏感信息在被加密传送之前将其捕获, 所以他能绕过安全防护措施,直接这些敏感信息以文本方式外泄出去.,风险影响的模型,风险分类处理,新风险/威胁被发现,分类/风险影响分析,根据功能分类,安全风险分类,威胁分类,按破坏程度,流行方式等评估,完成,spyware, adware, dialer, ,virus, worm, trojan, ,威胁,安全风险,os 弱点 一个变化中的安全风险,弱点是软件中的缺陷,让攻击者威胁计算机的安全. 蠕虫发现并利用弱点进入计算机系统 过去,我们被迫去等到爆发,然后写一个特征码.,spyware/adware防护,客户端实时的spyware / adware检测和处理 多种灵活的处理方式 有适当的排除，允许企业内合法的内部应用,评估风险防护系统,antivirus spyware: 重要的变化 自动清除不是一直都适用 必须考虑内部允许的应用 一定要适合企业组织内的策略和业务模式 造成损失的威胁一定要被检测和清除. 广告软件防护强调灵活的方式 允许多参数灵活配置进行检测和清除 允许必须按照企业策略进行检测. 需要通过独特的方式改变风险的现状. 建立驱动风险影响模型 风险影响模型必须要考虑到应用的行为并且制定一个风险控制目标 允许管理员或用户基于行为和其他属性对威胁事件进行响应.,全方位的病毒防御需求,internet email 网关,防火墙,网关级,群件服务器 - notes and exchange,netware server,windows server,服务器级,macintosh,windows 95/98,win3.x/dos,windows nt/2000,客户端级,只要有可能感染和传播病毒的途径和方式都需要相应的解决方案,企业整体防病毒体系规划要素,多层次、全方位、跨平台的技术及強大功能 简易快速的网络安装 集中管理 警报和报表系统 自动化服务机制 合理的预算规划 对企业用户的服务与支持,symantec防病毒系统技术特性,整体的网络防病毒解决方案 结合安全风险防御 数字免疫系统 预防未知病毒的专利技术bloodhound 检测多变形病毒的专利技术 扩展扫描引擎 navex专利技术，升级简单 客户端外发邮件病毒检测 ssl通讯和数字证书认证 集中化隔离和告警功能 liveupdate增量在线式更新 集中的管理平台,symantec网络防病毒解决方案（savee）,管理层级 symantec system center 6.0 网关层级 symantec antivirus for smtp 4.1 symantec web security 3.0 工作站和服务器 symantec antivirus corporate edition 10.0 群件服务器 symantec mail security 4.6 for microsoft exchange symantec mail security 4.1 for lotus domino,集合安全威胁的防护能力,扩展的安全威胁防护能力: 间谍软件 广告软件 拨号程序 黑客工具 远程连接 玩笑程序 ,数字免疫系统,针对未知病毒的防护，symantec免费提供扫描和传送 (scan & deliver)自动防毒解毒机制，通过symantec 病毒防治中心 (symantec antivirus research center)，于最短时间內将文件解毒传回贵公司 收到病毒样本后的几十分钟內自动完成解毒 利用internet, intranet, extranet 迅速更新全球客戶的病毒定义码,bloodhound 启发式技术,赛门铁克专利的启发性技术 (heuristic technology) 来检测疑似病毒的行为。 可检测 95% 的未知宏型病毒 可检测 90% 的未知引导型病毒 (集成了来自 ibm 的技术) 可检测 80% 的未知程序型病毒,strike检测多变形病毒,一般的防病毒软件对每一个变形病毒采用一个病毒特征码，这样会造成病毒库非常巨大，而且检测效率低 striker可检测最复杂的多变形病毒或自我变异的病毒。 striker 通过创建一个虚拟的计算机，给病毒提供一个虚拟的发作环境来抓获病毒，同时不使病毒对系统造成任何损失。,navex扩展扫描引擎技术,将扫描引擎从扫描软件中分离，与病毒定义文件同时通过liveupdate更新 所有赛门铁克防病毒软件均共用同一个升级模块 扫描引擎更新后无须重新启动电脑。,客户端外发邮件病毒防护,smtp蠕虫阻断模块检测外发邮件和附件特征，阻断该类蠕虫对外发送病毒邮件的企图 阻断大规模邮件病毒的继续传递,ssl通讯和数字证书认证,管理平台、服务器、客户端基于ssl通讯和数字证书认证,为sav带来安全可靠部件通讯机制. 认证: 只有授权用户能够登录和作更改 完整性: 配置, 命令和数据 (病毒定义文件, 日志记录) 不会在传输中被修改 机密型: 配置, 命令和数据不会被窃听,sav 认证证书怎样建立信任链,一级服务器创建并管理自己签署的根证书 所有服务器拥有末端证书 每个服务器提交csr到一级服务器 一级服务器签署并传递证书给其他的服务器 客户端将配置服务器的证书和存储在客户端上的服务器组的根证书进行比较,验证途径和方法,集中化隔离和告警,提供集中隔离服务，被隔离的威胁将不会继续感染其它机器，并允许配置发送到数字免疫系统 对威胁的发现，提供多种集中告警方式,liveupdate增量在线式更新,liveupdate 可以使用户叠加式更新病毒定义码、ips特征库、防火墙策略，liveupdate server设置定时对网络内所有symantec产品所需要之语言、版本，让用户更新时可以一次完成软件、病毒定义码所有更新。 liveupdate实现在线更新的同时，还是增量式的，每次只下载新增部分，不但提高速度、减少下载时间，还提高稳定性。,集中的管理平台,管理员通过控制台，集中地实现所有节点上防病毒的监控、配置、查询等管理工作。 负责病毒定义、扫描引擎的更新，并能将此更新文件自动提供给各种服务器和工作站。 提供多种软件远程安装和软件升级的手段。 多级中心管理，各子网可以有单独的控制中心来管理，事项管理任务分担。而有一个控制中心监控整个企业网。,实时的spyware/adware防护 自动防护检测和清除 排除，简单的排除企业允许的应用 自动清除：文件, 注册表, 服务和进程 易于管理，简单和友好的集中管理,spyware/adware防护增强,基于角色的管理权限,提供四种管理员权限 防止非授权用户对sav配置的更改,防篡改保护,提供对sav自身的防护，防止威胁对sav的进程、文件、注册表的非授权篡改 保证sav自身安全可靠的运行,快速扫描和全盘扫描,提供客户端不同级别的扫描级别,自动保护功能- 丰富的选项,当实时防护关掉，autoprotect会重新启动防护功能 不仅仅是在文件被创建和修改时才检测,邮件客户端保护,提供lotus note和exchange邮件客户端防护。,客户端互联网邮件安全防护,提供客户端internet电子邮件自动防护扫描，进行扫描的pop3和smtp通讯端口是可完全配置的。 (outlook express, netscape,foxmail) 出站电子邮件扫描启发式扫描。 可以有效防御诸如可以使用电子邮件分发他们自己的蠕虫等威胁，防止大规模的威胁扩散。,提供自动的工具修复新混合型威胁,spyware,adware的影响. 和定义文件和入侵特征同时更新. 不需要单独的修复工具,副作用修复,清除,检测: 文件 目录 进程 注册表 批处理文件 ini 文件 服务 快捷方式,修复类型: 文件清除 终止进程 暂停进程 清除注册表键值 增加注册表键值 修改注册表键值 修改ini和batch文件,客户端管理员专用选项,为客户端的设置的管理员权限,服务器微调选项,调整客户端跟踪选项，如客户端登录时间、同时分发的客户端数目等,漫游客户端,企业有大量的互联网防病毒服务器，每当客户端网络地址发生更改时，它都会连接距离最近的适当父服务器。 如果当前父服务器变为不可用，就会连接到另一台父服务器。 在选择父服务器时，尝试平衡一批同等服务器间的负载。,集中隔离,集中隔离服务器、客户端无法修复的感染项。 被隔离的威胁不能继续感染其他机器。 配置传递到数字免疫系统。,集中告警,提供对威胁事件的集中告警,告 警方式:,广播 在配置操作的计算机上显示消息框 发送寻呼消息 互联网邮件 运行一个程序 写入 windows nt事件日志 发送snmp trap 将可加载模块加载(nlm)到netware服务器上,支持cisco nac,nac整合 使用symantec vpnsentry, 为cisco nac 提供如下信息的检测: symantec antivirus: 软件名是否安装 软件的版本 扫描引擎版本 病毒定义文件的版本 自动防护要可用,增强的入侵防护 generic exploit blocking,通过 generic exploit blocking,为弱点编写特征代码,防护针对该弱点的潜在攻击，在弱点被利用前提供保护 防护来自无需驻留硬盘和快速移动的网络蠕虫的攻击 动态减少“时间差”造成的破坏.,集中事件管理,sav 的事件将集成到symantec事件管理器里，进行集中的日志，报警以及图形化的报告 提供易于理解的企业客户端安全状况视图，有助于将安全数据转化为可控信息。 提供了企业客户端安全的整体视图，使管理员能及时的获得严重安全事件的警告并且生成相关报告。,扩展的报表处理能力,结合sesa进行报表处理,集中管理 图形报表,灵活的客户端安装方式,登录脚本方式（windows 域） 基于web的安装方式 共享目录安装方式 静默包安装方式 到客户端用光盘直接安装 通过“推”的方式远程安装（适合于nt/2000/xp/netware）,symantec 防病毒的管理模式,sav client 客户端,1. primary sav server （一级服务器） 2. ssc,sav服务器组,sav client 客户端,可根据需要在一个组内划分多个客户逻辑组,管理方式：集中、自动化、分布式以及强制执行管理机制,强大的管理中心控制台ssc,单一的管理控制台,高扩展 数十万的节点 分层的架构 设置为锁定的策略管理 逻辑组的管理 产品的分发 事件管理 更新管理,对sav包含的所有功能做集中控制,逻辑组管理,根据企业组织架构，管理员制定客户端逻辑组管理,拖放操作,通过简单的拖放(drag&drop)操作在不同服务器间移动客户端 管理员可以灵活的管理客户环境,尤其是客户端在不同的服务器之间切换的时候.,客户端强制执行策略,可以锁定客户端所有防病毒策略，强制执行 降低客户端违反防病毒策略造成的威胁传播,客户端强制升级,强制客户端立即执行在线升级 使管理员在紧急威胁出现时，能迅速强制客户端升级,集中的网络审核,通过控制台确定网络中哪些节点没有防病毒系统保护 能够检测symantec antivirus、mcafee virusscan、trend micro office scan、computer assoicates或其他第三方防病毒产品,liveupdate更新特性,扫描引擎和病毒定义码独立于操作系统平台，单独更新所有 windows平台 同时更新防病毒定义、扫描引擎 所有更新都可以预定义为定期自动或手动方式 liveupdate叠加式更新，最小的升