中小企业防毒方案建议书v.doc

XXXXXX安全建议书目录1方案概述- 3 -2安全威胁与发展趋势- 4 -2.1内容安全威胁仍是首要问题- 4 -2.2 Web 渐成病毒传播的最主要途径- 5 -3 XXX企业安全现状分析- 7 -3.1 XXX公司IT基本状况- 7 -3.2 XXX安全风险分析- 8 -3.3 XXX防毒体系建设目标- 9 -3.4 XXX防毒体系建设原则- 10 -4 XXX防毒体系建设建议- 12 -4.1 网关防毒守住第一道防线- 12 -4.1.1 Web威胁防护- 12 -4.1.2 邮件安全防护- 13 -4.1.3 间谍软件防护- 15 -4.1.3为什么选择SCM？- 16 -4.1.4市场主要SCM设备产品对比- 16 -4.2 策略管理乃“安全之本”- 17 -4.2.1 策略强制管理- 17 -4.2.2 主动式病毒爆发阻止策略- 18 -4.3 内网防护贵在全面- 19 -4.3.1 内网防护产品安全功能要求- 19 -4.3.2 主要防毒软件功能比较- 20 -4.4 安全服务成为坚强后盾- 20 -5 趋势科技“无忧安全”整体解决方案- 22 -5.1什么是“无忧安全”整体解决方案？- 22 -5.2“无忧安全”整体解决方案特点- 24 -5.3“无忧安全”方案在XXX的应用和预期效果- 24 -5.3.1“无忧安全”方案在XXX部署示意图- 24 -5.3.2 “无忧安全”解决方案对 XXX的价值- 25 -5.4“无忧安全”整体解决方案组件详解- 26 -5.4.1 “All in One”无忧网关-IGSA 1.1- 26 -5.4.2 “无忧安全”软件包- CSM 3.6- 29 -5.4.3 安全策略管理设备-NVWE1200- 31 -5.4.4 趋势科技专家服务-TMES- 32 -6 项目实施计划- 37 -7 附录- 38 -7.1 相关资源- 38 -7.2 关于趋势科技- 39 -1方案概述在很多人的眼中，所谓的中小企业防病毒解决方案只是简单的桌面防毒系统，对病毒的行为和传播途径缺乏认识，现有的技术方案往往存在片面性和被动性缺陷。其实，就中小企业而言，其面临的威胁和大型企业并无差别，随着病毒技术的发展，病毒的入口点也越来越多，中小企业对病毒问题的响应速度要求也越来越高。即使网络上只联几台机器的中小企业也需要考虑在每一种需要防护的平台上部署防病毒软件，也需要考虑增加防毒的纵深层次，绝不能因为中小企业的小，就单纯地认为他们的防病毒系统可以简化，麻雀虽小也是五脏俱全。所以中小企业防毒解决方案一样的要求具有系统性与主动性的特点，能够实现全方位多级防护，实现对病毒事件的快速有效的响应，对防毒体系的运作有体系化的思考和部署。本技术方案书在充分了解XXXXXX公司面临的威胁基础上，结合趋势科技专业的安全知识，提供完整有效的解决方案。该方案书既秉承趋势科技一贯主张的多层次、主动式、全面防毒的理念，同时结合中小企业对防毒系统的实际需求（如：简单易用，管理方便，投入产出比高等）给企业提供切实可行的优越方案。2安全威胁与发展趋势2.1内容安全威胁仍是首要问题在对最终用户的持续跟踪过程中，IDC 发现，在用户遇到的所有安全问题中：排名前三位都是和“安全内容管理”直接相关的安全问题。其中以“病毒、木马及恶意代码”最为严重，97.8%的用户遇到过类似的问题，同时，垃圾邮件日渐成为一种严重的安全问题；内部雇员的行为，包括对资源的合理使用和对内部数据的有效保护，已经引起了安全人员的充分注意，类似的问题在企业内部发生，有34.8%的用户曾经遇到类似的问题；直接来自外部的破坏，包括“外部攻击”和“黑客入侵”，仍然时有发生。有25.2%和24.9%的用户分别遇到过“外部攻击”和“黑客入侵”。用户遇到的安全问题统计如下图所示：图示：用户遇到的安全问题资料来源：IDC 2006对用户遇到的安全问题严重程度进行排序时，我们可以看到：最严重的安全问题，前三项仍然是和“安全内容管理”直接相关，用户认为安全问题严重度排名如下图所示：图示：用户认为安全问题严重度资料来源：IDC 20062.2 Web 渐成病毒传播的最主要途径根据IDC 2006年7月发布的安全威胁分析报告首次表明，恶意程序最主要的传播途径正在从邮件应用转向Web应用，调查数据表明：l 在被调查的500用户以上的企业网络中，有30%遭遇过因用户进行HTTP/FTP访问而爆发的安全事件，在邮件方面这一比例为20%25%，邮件方面的比例在2006年之前曾长期超过85%；l 对于员工的HTTP/FTP应用完全不加控制的企业，其爆发安全事件的比例要比严格加以控制的企业高3.5倍。趋势科技病毒处理中心TrendLabs研究了最近两年来蠕虫和Web威胁程序的发展态势，结果表明蠕虫这一病毒形态在最近两年中发展基本平稳，而利用Web方式进行传播的恶意程序正呈大幅增长态势，研究结果如下图所示：目前Web方面的安全风险主要表现为如下型态：l 某些网站和FTP下载中可能会含有木马、间谍软件、后门程序；l 当员工们通过其web邮件帐号收发邮件时，病毒可以通过HTTP进入企业网络；l 日益增长的间谍软件和Phinging相关威胁，会利用HTTP传输个人隐私和企业敏感信息；l 广告嵌入程序、Cookie行为记录程序和自动弹出的页面，占用资源，影响正常工作；l 无配额管理的HTTP/FTP访问影响了带宽的有效利用；l 企业员工在工作时间对无关网站的访问，大大降低了企业的生产力。3 XXX企业安全现状分析3.1 XXX公司IT基本状况XXX公司的主营业务是。，目前公司业务蒸蒸日上，公司规模也发展到。人左右。随着信息技术对公司业务影响日益增大，IT系统也日益完善。目前IT业务系统主要包括：办公自动化系统（OA），客户关系管理系统（CRM）。OA系统提供内部员工信息共享、邮件和数据处理等，CRM系统是公司重要的业务系统，存放了公司所有用户相关资料、对客户服务部门提供直接的业务支持。另外，公司拥有一台Web服务器，提供对外信息发布，起到门户网站的作用。公司也专门配备了XX名IT专业人员负责信息系统的维护。公司的网络结构图如下所示：3.2 XXX安全风险分析IT系统与业务结合的越来越紧密，其安全性和稳定性就越来越被公司所重视。公司也屡屡发生因为IT系统遭受破坏而影响业务运行的事件。结合公司现状和安全威胁的流行趋势，我们首先要对公司的安全风险进行分析，发现信息系统已经存在或是潜在的风险，然后对症下药，以确保信息系统得高可靠性和高稳定性。经过详细调研和分析，我们得到公司目前主要存在以下安全问题亟待解决。l 风险一：病毒长驱直入，内网防毒压力大在网络病毒盛行的今天，病毒最主要的传播途径是通过互联网。如果在网络入口的地方缺少相应的保护，那么病毒就会长驱直入到内部网络，一旦病毒达到内网，把防毒的压力全部放在桌面端，会存在以下的三个问题：）即便病毒能被桌面防毒软件检测到，但是病毒很可能被点击或者自动执行起来，这时候危害已经造成；）桌面防毒软件部署不全面或者没有及时更新，病毒则不会被发现，危害在偷偷发生，如果中的是间谍软件，那么重要数据信息有可能被泄漏；）病毒一旦植入系统或者运行起来，很多情况下是无法直接删除或清除的，我们都知道过分追求病毒查杀率，存在着误杀或者破坏原文件的风险。经过我们分析，公司近期的几起病毒事件都和用户上网行为相关，如果在网关处增加一道屏障，内部计算机感染病毒的可能性就会大大的下降。l 风险二：缺乏系统的风险控制方法和策略，安全策略无法落实，隐患重重“三分技术，七分管理”是众所周知的基本原理，想要有效的控制风险，就必须有一套行之有效的安全策略，并且能够将安全策略加以落实。公司虽然已经制定了网络与计算机使用规范，如：要求所有的员工必须安装系统与应用补丁，必须安装防毒软件，防毒软件必须做到及时更新。但实际上，公司很少有员工真正遵循该规范要求，很多员工的都没有更新最新的系统补丁，这成为病毒很容易侵入到公司网络的重要原因。l 风险三：桌面防毒各自为战，难以抵御网络病毒桌面防毒是查杀病毒的最后一道防线，部署率和更新率是防毒体系是否完整的重要依据，而获得更高的部署率和更新率的有效手段是运用中央控管功能，由管理员统一的分发防毒软件，统一的部署更新组件，及时地掌握每个客户端的防毒状况，从而做出有效的响应和应对措施。公司现有的桌面防毒软件在统一管理特性上严重不足，容易成为防护体系中的短板。l 风险四：IT管理员四处救火，缺少主动防御措施公司几乎每天都有计算机中病毒，几乎每隔几天都有人要重装系统。公司仅有的专业IT人员成了公司最忙碌的人，四处救火。当一个新病毒爆发的时候，IT往往只能被动的等待病毒特征码的发布，在获得最新的病毒码之前，几乎只能坐以待毙。公司缺乏面对新病毒爆发时候的响应措施和流程，所以每次病毒爆发对公司信息系统的影响都很大。l 风险五：员工安全意识淡薄，上网行为混乱在整个信息系统存在的薄弱点中，人恐怕是最至关重要的。因为员工安全意识的淡薄，原本可以避免的安全事件会酿成恶果。内部员工可以随意的在网络上下载文件，随意的访问形形色色的网站，往往把间谍软件和病毒引入到公司网络。以上的分析结果与国家病毒计算机应急响应中心调查的结果不谋而合，下图表示网络安全管理存在的主要问题调查结果。数据来源：国家计算机病毒应急响应中心20063.3 XXX防毒体系建设目标面对上述的安全威胁和公司信息系统风险，公司为确保信息系统的稳定运行，保护公司重要信息资产安全，计划对公司网络进行加固，系统规划公司的整体防毒安全解决方案。防毒体系设计的目标将围绕降低病毒感染率、降低系统宕机时间以及灾害损失三个最重要的参数，将风险控制在企业可接受的范围内，如下图所示。为达到整体目标，我们可以把目标分解成以下具体目标：1) 有效的控制Web安全威胁，对Web威胁加以扫描2) 有效的控制垃圾邮件和病毒邮件扩散3) 有效的加强安全策略管理和执行力度4) 有效的对员工上网行为加强控制5) 确保病毒事件有及时有效的相应机制和防护策略6) 降低系统损害恢复时间和工作量3.4 XXX防毒体系建设原则为确保防毒体系项目的顺利进行，结合企业实际和安全体系构建一般原理，对防毒体系的构建提出以下原则：1) 经济实用性原则公司对安全防护系统的投入将遵循经济实用性原则，在选择方案时，性能价格比是最重要的衡量标准之一。2) 简单易用性原则公司对IT人员的投入有限，IT专业管理人员同时需要负责网络、系统、应用系统的维护，所以平台的易用性，操作的简便性，部署的方便性就显得尤其重要。3) 平衡性原则风险、效率、投入是相互制约的因素，平衡性原则的第一个要素便是平衡这三者的关系。追求效率的时候不忘记风险，控制风险的时候要平衡效率和投入，风险存在很多很多地方，有限的投入需要合理分配。4) 先进性原则防毒方案的选择应该同时考虑到技术上的先进性，IT技术日新月异，威胁种类变化多端，只有掌握了最新防毒技术，有着深厚技术背景的供应商才可以提供企业及时地防护。所以选择技术方案时，厂商的技术实力、技术支持力度、品牌也是关键。4 XXX防毒体系建设建议4.1 网关防毒守住第一道防线病毒大多数情况是从Internet传入公司内网，如网络入口不加以防范，则会出现如前文提及的风险，病毒会长驱直入。那么，又该如何选择网关防毒解决方案呢？目前市场上网关设备琳琅满目，该选择什么样的解决方案取决于网关处的风险何在，我们需要在网关处实现什么要的功能？同时遵循防毒体系建设目标和基本原则。4.1.1 Web威胁防护随着利用Web方式传播的恶意程序大量出现，内网各终端节点的防护压力越来越大，其中突出表现在以下方面：u 下载文件造成病毒侵入-由于许多个人网站上的下载文件实际为伪装的木马程序，员工在访问时常常在不知不觉中将病毒下载并激活，造成终端节点频频病毒爆发。u 网页内嵌恶意程序-当员工浏览内嵌有恶意程序的网站时，由于自身系统的安全漏洞，常常造成恶意程序自动执行，造成诸如强制修改IE设定、不断弹出窗口等后果，影响员工的正常工作；u 恶意URL不能自动阻止-对于内嵌恶意程序的URL的访问，由于不能实施自动阻止策略，造成同一种恶意程序不断侵入企业网络；u 间谍软件自动回拨-间谍软件进入内网发作后，会自动外联外部站点进行信息窃取，给企业信息资产造成巨大损失；u 非工作相关站点的访问-员工在工作时间访问与业务无关的站点，如游戏、娱乐等网站，造成员工生产力下降。基于xxxx的Web网关所面临的威胁分析，构建中的xxx Web网关防护系统要实现如下目标：u 对基于Web应用的病毒传播进行网关层防护；u 对基于Web应用的间谍软件进行网关层防护；u 对基于Web应用的网络钓鱼行为进行阻断；u 对基于Web应用的恶意URL地址进行阻挡；u 对基于Web应用的非工作相关站点的访问进行控制。考虑到Web扫描势必会对性能造成一定的影响，所以在选择Web网关设备时应充分考虑产品的性能，尤其是提升扫描效率的优化手段上。例如，趋势科技提供的网络信誉服务（Web Reputation Service）可以从源头处杜绝恶意站点对公司的影响，其基本原理如下图所示。传统的Web扫描技术需要等待用户去访问目的站点，并且下载了网页或文件，当这些网页和文件流经网关设备时，网关设备再对其进行扫描，这种扫描方式固然可以起到安全防护作用，但也会消耗大量的资源，且一定程度上影响到用户访问网页的速度。而基于网络信誉服务的过滤技术一旦发现用户访问的站点是恶意站点或者是由僵尸网络控制的站点，那么网关设备可以直接中断该连接，网页或文件也不会下载，这样就可以节约网络带宽以及网关设备宝贵的资源，从而获得很高的过滤效能。在选择Web防毒网关时，在总体原则基础上还应该考虑到以下几个关键因素：第一，需要容易部署的设备，对现有的网络架构基本不产生影响；第二，不能造成单点故障，一旦网关设备不能正常提供Web防护时，网络不能中断；4.1.2 邮件安全防护 邮件病毒过滤自从1999年第一只通过邮件方式进行传播的Melissa病毒出现以来，越来越多的病毒作者采用了这种攻击方式，理由非常简单，因为电子邮件成为目前企业使用最多、最重要的信息交流工具，通过邮件为载体，恶意程序转播的速度就最快。针对邮件病毒的产品很多，采用的方案分成两大类，一类是网关邮件解决方案，一类是内部邮件系统解决方案，两种方案互为补充为最佳选择。就网关邮件防毒技术而言，最重要的莫过于“空中抓毒”技术，这项趋势科技首创且拥有专利的技术已经成为业界标准，包括趋势科技、赛门特克（Symantec）以及麦咖啡（McAfee）均在其网关解决方案中运用该技术，而目前这三家厂商占据了全球超过70%的网关防毒市场。全球互联网网关防病毒市场份额Panda Software (4.5%)29.9%Symantec Corp.(24.5%)McAfee(15.4%)Sophos (5.2%)Other (20.5%)邮件病毒过滤产品选择方面，应该考虑该设备应同时具备文件类型、关键字和敏感信息过滤功能，以最大化网关防护作用。 垃圾邮件过滤关于SPAM的来历有很多不同的说法，其中最流行的莫过于是美国Hormel公司的一种肉质罐头：SPAM如今的意思来源于一部讽刺剧。在这部戏中，有一场讲的是有对夫妻俩去餐馆就餐，妻子不想吃Spam，她坚持想点些别的，可是在餐馆里有一大群人，高声地唱着赞美Spam的歌，他们越唱越响，很快在这出戏里所能听到的唯一单词就是Spam了。从此人们将泛滥成灾、喧宾夺主、剥夺他人选择权利的行为称为Spam。随着国际互联网的普及，该单词又成了垃圾邮件的专用名词。垃圾邮件逐年呈现上升趋势，已经成为企业最头痛的问题，垃圾邮件不但浪费公司资源，而且极易泄露公司机密信息。许多垃圾邮件内容过滤技术都会扫描电子邮件的内容，侦测其中是否有任何垃圾邮件特征。但垃圾邮件散发者也不断地改良其技术，避免被这些过滤器拦截。从垃圾邮件的监测技术而言大致分成三类：一是基于规则匹配，这些规则可以是用户自己定义的关键字也可以是防毒厂商预设的垃圾邮件关键字数据库，这种方式为用户自定义垃圾邮件提供了方便，但缺点在于这种监测技术是一种被动技术，无法监测到第一封垃圾邮件或者十分依赖安全厂商提供的数据库质量；二是启发式扫描技术，这类方法将综合评估邮件各项参数指标，然后智能的判断该邮件是垃圾邮件的可能性，根据用户定义的评判标准（阀值）最终断定是否为SPAM；另外一个最先进的垃圾邮件防护技术即为网络信誉服务Network Reputation Services (NRS)。NRS采用世界最庞大、最受信赖的数据库进行比对，可阻止垃圾邮件进入网关，并使用动态更新，在僵尸计算机与傀儡网络刚出现时便予以封锁，且可将垃圾邮件拦截在进入企业内部之前的交换阶段，也就是在进入网络之前，可先拦阻 80% 以上可能含有网络钓鱼的垃圾邮件。NRS和WRS一样可以有效地帮助企业节省带宽和网关防护设备资源，更重要的是因为从源头处杜绝了垃圾邮件的扩散可以极大程度上降低公司存储方面的压力。目前市场上仅少数几个产品具备这种从邮件源头阻挡垃圾邮件的高效率防护产品，大多数产品只是象征性的有部分功能与此相似，不过这项最新技术将是未来垃圾邮件防护产品最重要的一个发展方向。网络信誉服务(Network Reputation Services, NRS)的前身便是在Internet最著名的RBL服务 - MAPS(Mail Abuse Prevention System, )。 MAPS即为垃圾邮件SPAM英文单词反过来写，从1995年便已创立，RBL整个技术概念便是由MAPS首先倡导，之后变为业界的标准。MAPS母公司于2005年6月并入趋势科技。 从解决方案技术而言，所选设备应该同时具备这三类防护手段。4.1.3 间谍软件防护间谍软件的传播涉及Web威胁防护和邮件安全防护，因为间谍软件的危害性和防护的复杂性，有必要专门进行讨论。间谍软件/灰色软件的入侵管道相当多样且泛滥，无论是电子邮件或实时通讯附文件、弹出式窗口、恶意或钓鱼网页，以及P2P下载的音乐、电影或非法软件之中，都可能潜藏间谍软件，一旦遭到入侵，最严重的结果，就是计算机内部的重要数据，甚至使用者在键盘上按下按键的动作或密码信息，都会在不知不觉当中外传出去；除此之外，间谍软件也会造成计算机系统效能下降。关于间谍软件有效的防御措施是实施多层次的防护，从Web下载与访问、电子邮件过滤、垃圾邮件过滤、桌面防护等多方面入手才能有效地加以处理。另外，因为间谍软件变种很多，防毒产品必须具备一定的智慧型扫描功能，能够在一定程度上应对病毒的变种问题。在桌面端防毒产品可以结合rootkit等深入检测技术，对于一些隐藏非常深的间谍软件加以检测。4.1.3为什么选择SCM？为了实现网关防毒功能，在技术方案上有众多的选择。一是采用专门的Web防毒网关加邮件防毒网关，甚至垃圾邮件过滤网关相配合，完成上述防毒要求。这种技术方案的优点是每个设备都具备非常优越的性能和细致的管理功能，但是该种技术方案的成本很高，通常是大中型企业总部网络的选择。对本企业而言不符合经济实用和平衡性基本原则。二是采用UTM（统一威胁管理设备，Utility Threat Management）设备，这类设备通常将防火墙、入侵监测、VPN、防病毒功能集中在一款设备上。因为存在以下几个缺陷，UTM肯定不是最好的选择：首先，UTM设备的性能表现不佳，在同时开启两项以上功能时性能下降迅速；其次，UTM在功能方面严重不足，每项功能都只是蜻蜓点水，不能满足公司的防毒需要；最后，公司已经有了防火墙，从保护投资角度出发UTM也不是好的选择。最佳的解决方案就剩下内容安全管理（Security Content Management, SCM）设备了。 SCM设备集合了Web威胁防护、邮件安全防护、内容过滤、网页过滤、垃圾邮件过滤等功能于一体，可以有效应对病毒、间谍软件、钓鱼程序、垃圾邮件等威胁，充分起到网关防护作用，同时在性能和投入方面都非常适合本企业。综合以上因素，SCM肯定是防毒体系中最恰当的选择和最重要的防护组件。4.1.4市场主要SCM设备产品对比在市场上可供选择的SCM设备比较多，以趋势科技、赛门特克（Symantec）、麦咖啡（McAfee）以及Panda为代表，国内SCM市场上也涌现了许多优秀的产品，提供了丰富的产品选择，下表简单列举了几款SCM设备功能。选择以上设备时应兼顾功能多样性、实用性、厂商技术支持能力等多个因素，还要考虑和桌面防毒、策略管理等防毒子系统的协作关系。4.2 策略管理乃“安全之本”4.2.1 策略强制管理从3.2的风险分析我们知道，绝大多数的安全事件是因为内部网络存在诸多安全漏洞引起的，而这些安全漏洞中又以微软操作系统和应用引起的问题最为严重。其次，大量的客户端私自卸载防毒软件或者不及时更新病毒吗也是病毒容易扩散的原因。虽然网关防护解决方案可以加固安全体系，可以对用户的上网行为加以控制，但只要这些安全漏洞存在，网络就时刻面临着各种威胁的挑战，如何有效地加强企业安全策略的实施就成了当务之急。安全策略管理设备首先要求能自动检测和扫描漏洞的存在，能检测微软最新发布的安全漏洞，能检测防毒软件是否安装，病毒特征码是否过期。然后，可以根据用户定义的方式对违反安全策略的客户端加以处理，如：隔离、阻止或者将其访问重定向到补丁更新站点、防毒软件安装与升级站点等。目前，能提供完整的策略管理解决方案的厂商很少，如Cisco的NAC（网络准入控制），微软的NAP（网络访问控制）和趋势科技的NVWE（Network Virus Wall Enforce），其中NAC和NAP实施难度较大且具备很大的局限性（受限于网络设备或系统），NVWE则是不错的选择。关于NVWE可参考后文“无忧解决方案组件详解”。4.2.2 主动式病毒爆发阻止策略下面的图标形象的描述了传统防病毒软件的工作模式。一旦病毒爆发，随着时间的推移，企业感染病毒的计算机数量成指数上升，用户往往只能等到获得更新的病毒码之后，再分发最新病毒码和部署病毒清除工具，企业感染病毒计算机的数量逐步下降直至最后恢复。在这次事件中，防护系统始终处于被动防御状态。病毒码没有发布前成为病毒传播的空仓期，造成大量计算机感染，增加了系统恢复时间和成本。那么，主动式防护方案指的又是什么？我们说，主动式防护方案首先要求对病毒爆发的整个生命周期都应该进行管理，也就是病毒没有出现的时候做好安全健康检查，做到防患未然，通过漏洞评估了解系统的弱点和漏洞。其次，一旦病毒爆发，除了被动的等待病毒码更新，更可以通过主动式的防护策略控制病毒的扩散。所谓的主动式病毒防护策略指的是根据病毒传播和行为特征，提供针对性的措施控制病毒不再扩散并降低影响，如通过网关防毒设备设定特定过滤策略控制病毒从网络传入，通过桌面防护软件禁止写入特定的文件、封闭特定的端口、关闭不必要的共享等。最后，病毒的清除工作非常繁芜，通过自动化分发的病毒清除工具容易实现损害清除，尽快恢复系统。如下图所示，采用主动式防护策略在每次病毒爆发时都能有效控制病毒扩散，从而减少企业因病毒事件而造成的损失。4.3 内网防护贵在全面内部网络中存在众多的PC、服务器，只要其中一台计算机感染病毒就很容易通过内部网络共享或者文件服务器迅速在公司扩散，更糟糕的是很多病毒容易造成网络风暴，形成拒绝服务，最终使得网络瘫痪。所以有效的桌面防护系统应该能全面管理所有终端的防毒状况，并且可以集中配置防护策略。4.3.1 内网防护产品安全功能要求 全天候监测防毒体系需要提供全天候防护服务，借助于预设的扫描策略可以有效地降低整体维护成本。厂商需要提供快速及时地病毒码更新服务，并且通过统一的界面轻松的部署到所有桌面、服务器以及邮件服务器上。 一站式防护单一的解决方案可以针对间谍软件、木马、蠕虫、僵尸网络等多种威胁进行防护。同时，还应该能对邮件系统加以防护，防止病毒通过内部邮件流转进行扩散。 “零成本”管理对病毒爆发做出响应，可以通过桌面防毒软件执行病毒爆发策略，有效控制病毒扩散。自动清除计算机或桌面上的病毒感染，可用实现病毒清除工具的自动分发。可以统一配置个人防火墙，加固系统的安全系数。桌面防毒产品能够有效降低因安全事件带来的损失，获得很高的性价比。4.3.2 主要防毒软件功能比较关键特性趋势科技CSM 3.6SymantecClient Security 3.1 with GroupwareMcAfee Active VirusDefense 需要安装的组件数目197安装步骤338562漏洞检测Yes病毒爆发防护策略Yes预设与手动扫描YesYesYes自动分发清除工具Yes基于单机的清除工具网络层病毒扫描Yes间谍软件扫描YesYesYes间谍软件深入清除YesRootkit检测技术Yes反僵尸网络Yes？反垃圾邮件YesYesYes内容过滤YesYesYes个人防火墙YesYes？4.4 安全服务成为坚强后盾防病毒系统建立起来之后，能不能对病毒进行有效的防范，与病毒厂商能否提供及时、全面的服务有着极为重要的关系，一方面要求厂商要有全球化的防毒体系为基础，另一方面也要求厂商能有精良的本地化技术人员作依托，不管是对系统使用中出现的问题，还是用户发现的可疑文件，都能进行快速的分析和方案提供。目前，防毒厂商都提供相关的标准服务，这类服务是随产品购买时附带的服务内容，如：病毒码免费自动升级，一年内软件版本免费升级，800技术支持电话。但这些基本服务内容在面对日益复杂的混合攻击和“零日攻击”时远远不够，所以过硬的增值服务能力也是反映厂商综合实力的一部分。作为XXX公司在部署了多层次的、全面的防护体系后仍然会面临以下困惑：1） 防毒产品并不是“万灵丹”，企业不知道如何有效的运用防毒产品达到综合效果；2） 员工的安全意识不提高，病毒就永远无法杜绝；3） 面临病毒爆发，缺少专家支持，无法组织有效的应对措施；4） 防护体系工作状况如何？需要阶段性总结和持续维护的经验，产品不能提供这些。所以，专业的安全服务提供专家咨询，报表解析，病毒事件响应服务，安全规划等服务可以帮助公司更迅速、更高效的应对病毒爆发事件，从而降低或转移风险。5 趋势科技“无忧安全”整体解决方案在了解了公司面临的安全风险和防毒体系构建建议后，我们深入分析一下全球防毒领导厂商-趋势科技，提出的针对中小企业安全解决方案。5.1什么是“无忧安全”整体解决方案？“无忧安全”解决方案是趋势科技根据中小型企业防毒现状和需求提出的针对性解决方案。该方案为企业提供全方位的防护，可以应对病毒、间谍软件、木马、钓鱼程序、垃圾邮件、Web安全、内容过滤、策略管理等安全问题，提供了从桌面端、服务器、网关防护的多层次防护体系，可供选择的专业的安全服务加深了防护深度。如下图所示，安全无忧安全解决方案包括了:l 桌面和服务器防护产品-Client Server & Message Security Suit, CSM3.6CSM3.6 产品提供了PC、Windows服务器、Exchange服务器（可选）的安全防护，可以全面抵御病毒、间谍软件、钓鱼程序、垃圾邮件、病毒邮件的攻击。简单易用的界面将复杂的防毒管理变得轻而易举。l “All in One”的网关防护设备- Internet Gateway Security Appliance, IGSAIGSA是由全球网关防毒市场排名第一的领导厂商推出的一款“All in One”的SCM网关设备。该设备可以对邮件流量（SMTP和POP3协议）和Web访问（HTTP和FTP协议）进行扫描，可以在网关处进行病毒邮件扫描、垃圾邮件过滤、下载扫描、URL过滤等多项防护功能。l 安全策略管理设备 - Network Virus Wall Enforce 1200, NVWE 1200NVWE是业界第一款真正意义上的安全策略管理设备，也是目前为止实施起来最简单的策略强制方案。将NVWE放置在网关处或者需要重点防护的网络前，不遵守防毒策略的访问将被拒绝，不安装最新的系统补丁、不装防毒客户端、不更新最新病毒码的机器可以按照管理员预定的策略进行处理。l 可供选择的趋势科技专家服务-TMES可供选择的TMES专家服务提供高品质的企业专属服务，服务内容包括：安全健康检查和评估、企业防毒系统规划和设计咨询、安全报表生成和解读、服务等级协议（SLA）、病毒事件响应流程设计、专人电话支持、安全巡检等，你可以按需选购。无忧安全方案组件之间通过协调合作，提供一个安全可靠的防护网。如下图所示：“无忧安全”解决方案充分体现了全面防毒、多层次防毒理念，病毒爆发生命周期管理更是体现了主动防毒的先进思想。“无忧安全”组件之间并非相互割裂的产品，而是融为一体方案，整个病毒防护过程分为四个阶段，在这四个阶段中，“无忧安全”组件紧密配合提供了病毒爆发全生命周期管理。第一个阶段，在病毒没有出现之前做好预防，做到防患于未然。无论是NVWE、CSM提供的漏洞评估，还是TMES 提供的专业的深入的健康检查服务可以帮助我们做好事先防患。第二阶段，病毒已经出现，但是企业尚未获得最新的病毒码，或者防毒厂商还没来得及提供最新解药。“无忧安全”方案可以完全支持趋势科技病毒爆发策略（Outbreak Prevent Policy, OPP）, 通过策略可以有效地控制病毒扩散，把损失降低到最低。如，临时通过CSM关闭非必要的网络共享、关闭特定端口、禁止向系统特定目录写入特定文件，通过NVWE关闭特定端口，通过IGSA进行网关处过滤等。第三阶段，获得最新病毒码和解药。趋势科技TrendLabs 500多位防病毒专家提供最迅捷的病毒响应。TMES服务可以为购买不同级别服务的用户提供不同的服务等级承诺（SLA），可以保障企业在病毒爆发事件中获得业界最优秀的资源。第四阶段，病毒损害清除阶段。这也是IT管理员最头疼的阶段，如何迅速的清除病毒并快速恢复生产？CSM和IGSA产品中均带有DCS(Damage Clean Service，损害清除服务)功能，可以自动分发病毒清除工具，并且可以通过管理员远程启用该清除程序，帮助管理员快速做到病毒损害清除和系统恢复。网络安全是一个动态的循序上进的管理过程，通过专业的安全咨询服务，不断地去发现问题，总结问题，解决问题，最后，“无忧安全”方案会形成不断完善、不断更新的周而复始的动态解决方案。5.2“无忧安全”整体解决方案特点“无忧安全”解决方案凝聚了众多安全专家的智慧，有着鲜明的特点，简略汇总如下：“无忧安全”解决方案特点特点说明1、简单易用，一站式管理无论是内网安全软件包，还是多功能一体的安全网关，其简单易用性可以确保用户仅需最小限度的IT人员。2、整合式安全防护集成了邮件、垃圾邮件过滤、病毒、内容过滤、URL过滤、钓鱼程序等的全面防护。3、高性价比，高投资回报率无忧安全网关+无忧安全软件包+策略管理设备的整体解决方案有效的帮助企业集中解决面临的各类安全威胁，在IT投入回报率上有明显的优势。4、主动式解决方案完善的病毒爆发生命周期管理、主动的病毒爆发防护策略无一不体现“主动防护”的理念5、全面防护、方案的平衡性从网关到桌面再到安全管理，充分考虑到企业安全防护的关键，整个防护体系可以有效组合弥补防护体系中的短板。6、技术先进性在“无忧安全”解决方案中应用了目前业界最先进的病毒爆发生命周期管理理念，运用了NRS/WRS/Rootkit检测/Intellitrap等业界领先的病毒检测和过滤技术。5.3“无忧安全”方案在XXX的应用和预期效果5.3.1“无忧安全”方案在XXX部署示意图“无忧安全”解决方案部署如下图所示，IGSA和NVWE构成两道网络屏障，CSM保护网络中每一台PC和服务器，TMES服务从管理层面有效保障防护系统的正常运作，从而构成了一个多层次、全面的防病毒体系。5.3.2 “无忧安全”解决方案对 XXX的价值我们再从公司的安全需求出发，围绕防毒体系建设目标和原则，对“无忧安全”解决方案在公司实施的预期效果加以评估。“无忧安全”解决方案保护XXX全网客户机终端以及所有服务器安全，确保无论是用于OA办公用还是CRM应用系统都安装有对应的防病毒软件；通过集中的管理功能，掌握防病毒软件的安装率以及更新率，有效发挥趋势科技防病毒软件应有的效果。通过部署网关设备，控制病毒从网络外围进入XXX网络，同时对于出入XXX网络的敏感信息，也可以进行过滤控制；通过部署桌面和服务器防病毒产品，对本地计算机进行防护，防止病毒通过内网传播的方式进行感染和蔓延。通过NVWE策略强制功能保障安全策略得以落实。安全服务成为公司的安全“外脑”，帮助企业快速获得最新的病毒防范技术，有效地对抗病毒爆发事件。由此可见，趋势科技“无忧安全”解决方案是针对中小企业量身定做的专业方案，在公司的实施可以得到预期的良好效果。下表对该方案作了简要的归纳总结： 减少Web威胁对公司影响，上网安全防护 减少垃圾邮件传播，节约带宽和存储资源 帮助公司轻松实现安全策略管理，降低IT风险 规范员工行为，提高生产率 更迅速的获得响应和支持，快速控制病毒疫情扩散 减轻灾后恢复工作压力 成本低，产出高 管理轻松，IT人员投入极小 防护体系更完善，更安全 投资延续性，效率高 网关处HTTP和URL过滤，最新的WRS技术 各类安全威胁邮件扫描和垃圾邮件过滤，ERS源头处过滤垃圾邮件技术 NVWE策略管理设备 URL过滤和Web过滤 专业咨询服务和主动式病毒爆发防护策略 损害清除服务 整合式防护，高投资回报率 简单易用，一站式管理 多层次、全面防护 领导厂商的各项先进技术 有效控制Web安全威胁，对Web威胁加以扫描 有效控制垃圾邮件和病毒邮件扩散 有效加强安全策略管理和执行力度 加强员工上网行为管理 确保病毒事件及时有效的响应和防护策略 降低系统损害恢复时间和工作量 经济实用性原则 简单易用性原则 平衡性原则 技术先进性原则5.4“无忧安全”整体解决方案组件详解5.4.1 “All in One”无忧网关-IGSA 1.1产品名称：IGSA（InterScan Gateway Security Appliance）趋势科技硬件网关产品InterScan Gateway Security Appliance (简称IGSA)提供了基于网关的，对SMTP,POP3,HTTP及FTP数据传输进行安全扫描的完善功能，并且具备可应用于各种规模企业的高性能、可自动更新升级特性。IGSA可以透明部署在企业网关处，支持多种未来新的应用系统的设计架构，再与趋势科技业界领先的企业安全防护策略(EPS)相结合，扩展了趋势科技关于Web安全的病毒爆发生命周期管理理念，从而获取最大的投资回报率。IGSA内嵌为PhishTrap的反钓鱼技术、Applets & ActiveX扫描技术、反间谍软件技术及URL过滤技术等。 主要功能l 防止病毒、间谍软件、垃圾邮件、网络钓鱼以及僵尸网络攻击l 源头处拦截不需要的电子邮件（NRS），从而减少垃圾邮件流量，缓解收件箱存储压力l 实时扫描SMTP、HTTP、FTP以及POP3协议l 包括URL过滤功能，阻止有害网站以及不适当网站的访问 产品指标l 1U 机架l CPU Pentium 4, 3.0Ghz l 内存1G RAMl Compact Flash 512MBl 硬盘 80G l 液晶显示控制面板l 3个10/100/1000自适应网卡l 1 个串口l 2 个USB接口 部署方式IGSA透明串接在网络出口（例如防火墙和核心交换机之间），如下图所示： 产品特色l 集成多种防护功能于一身，极高的性价比趋势科技的网关安全解决方案IGSA能够在一个产品中实现对SMTP、POP3、HTTP、FTP协议的数据进行病毒扫描、病毒邮件、垃圾邮件、反钓鱼、反间谍软件和URL过滤功能，是企业网络保护的完整解决方案，能实现：只部署单点、却保护整体企业网络的目的。l 灵活的部署方式，减少客户部署的难度IGSA是一款硬件产品，同时支持网桥透明模式，为企业网络提供灵活的安全防御策略，可以在不改变客户的网络架构情况之下进行快速的部署。l 优化的内核，提供更高的稳定性及性能IGSA对内核中的Linux进行了很大程度上的优化，提高了Web网关在性能稳定性。l B/S方式管理，提高管理员工作效率趋势科技IGSA的管理是通过WEB来进行的,只要配置一个管理IP即可通过浏览器对设备进行管理，大大降低管理员的管理复杂度,提高工作效率。 用户价值与利益产品特色用户价值用户收益ALL-IN-ONE防护在网关处过滤病毒、病毒邮件、垃圾邮件、间谍软件/灰色软件、反网络钓鱼、IntelliTrap（反僵尸网络）、内容过滤，病毒爆发防护，URL阻止及过滤。一个设备实现全面的网关防护功能，部署与维护简便。自动威胁防护趋势独有的病毒爆发防护机制确保遏制恶性病毒的威胁和扩散。提高用户对高危病毒的应急响应能力。网关防护在内部网络与Internet或其他网络互联的出入口实时防护。将恶意威胁拦截在网络出入口，切断病毒入侵的主要途径。配置灵活可自定义文件扫描类型、处理动作、通知邮件等满足个性化需求。集中管理基于web的管理界面，管理员可通过浏览器在本地及远程管理和维护提高设备管理的灵活性自动维护自动更新、升级、生成报表和警告通知。降低管理员的工作负担SMTP,POP3,FTP和HTTP扫描过滤SMTP和POP3扫描支持：病毒邮件过滤、IntelliTrap、间谍软件/灰色软件侦测、垃圾邮件过滤、反网络钓鱼和内容过滤功能。FTP扫描支持：病毒过滤、间谍软件/灰色软件侦测。HTTP扫描支持：病毒过滤、间谍软件/灰色软件侦测、URL阻止及过滤，包括网络钓鱼和anti pharming全面防护来自internet的威胁。垃圾邮件配置管理员可调节垃圾邮价侦测敏感度、定制黑白名单、根据公司安全策略定义垃圾邮件类别。提高垃圾邮件侦测率，完善企业安全策略。URL阻止及过滤允许管理员定义URL过滤策略，本地缓存支持提高网络访问速度，提供用户端URL阻挡及过滤通知控制上网行为，提高上网速度。5.4.2 “无忧安全”软件包- CSM 3.6产品名称：中小企业安全软件包CSM 3.6趋势科技无忧安全软件包自动针对日益复杂的网络威胁为数据和资源提供全天候保护。中小企业安全软件包网络与邮件安全版帮助企业：1) 保护机密数据免遭偷窃或修改2) 使办公计算机和网络远离网络威胁，保持随时可用3) 防止间谍软件干扰员工，破坏生产力 产品功能l 反病毒l 间谍软件扫描l Rootkits病毒深入检测l 个人防火墙l 漏洞评估l 反网络钓鱼以及僵尸网络攻击l 内容过滤l 垃圾邮件过滤 系统需求注意： 支持千兆位网络接口卡 (NIC) 支持平板电脑 (Tablet PC) 网络安全客户端支持所有 64 位 CPU，包括： AMD Athlon 64、AMD Opteron、带有 Intel EM64T 支持的 Intel Xeon、带有 IntelEM64T 支持的 Intel Pentium 4 报告格式 (.pdf) 需要有 Acrobat Reader 4.x 产品特色与用户价值全合一集成防御单一解决方案针对间谍软件和其他新兴网络威胁提供保护l 拦截间谍软件、病毒、特洛伊、蠕虫、Rootkit和僵尸网络l 无须花费资金和精力来购买和管理针对具体威胁的安全产品l 阻止Rootkit和僵尸网络等间谍软件和其他新型威胁窃取或破坏数据l 防止办公计算机和网络因病毒、间谍软件和新兴威胁而出现速度下降或崩溃的情况自动网络威胁保护全天候迅速做出响应，无须人工干预即可拦截各种恶件l 独特的技术自动对病毒爆发做出响应l 自动清除计算机或桌面上的病毒感染l 针对下载的间谍软件等网络威胁提供实时保护l 服务器端垃圾邮件隔离把垃圾邮件接触员工的机会将到最小零时差管理借助自动管理进行保护，降低了总体拥有成本1l 安装单一解决方案和接收更新节省了时间和精力l 借助一个基于网络的“流量信号”模板轻松监测网络计算机的运行状态l 发现微软的漏洞，从单一位置保护计算机5.4.3 安全策略管理设备-NVWE1200产品名称：NVWE 1200（Network V