Symantec终端安全与管理技术方案书

1、终端安全系统建设项目终端安全系统建设项目 技术建议书技术建议书 赛门铁克赛门铁克 目目 录录 第第 1 章章恶意代码发展趋势恶意代码发展趋势.1 第第 2 章章防病毒系统设计思路防病毒系统设计思路.2 2.1基于特征的防病毒技术分析.2 2.2传统的防病毒产品使用效果分析.4 2.3技术管理服务的体系化建设.5 2.3.1技术层面：主动防御.6 2.3.2管理层面：终端准入控制.11 2.3.3服务层面.16 第第 3 章章产品选型推荐产品选型推荐.17 3.1端点安全保护 symantec endpoint protection.17 3.1.1产品简介.17 3.1.2产品主要优势.18

2、3.1.3主要功能.20 3.2终端准入控制 symantec network access control.20 3.2.1主要优势.21 3.2.2主要功能.22 第第 4 章章终端安全管理系统体系结构设计终端安全管理系统体系结构设计.24 4.1管理系统功能组件说明.24 4.2系统管理架构设计.27 4.3病毒定义升级.30 4.3.1防病毒系统初建后第一次升级方案.30 4.3.2正常运维状态下的升级方案.31 4.3.3symantec病毒定义升级频率.31 4.4网络带宽影响.32 4.5准入控制设计.32 4.6安全管理策略设计.35 4.6.1管理权限策略.35 4.6.2各

3、地市组织结构策略.35 4.6.3备份和数据库维护策略.35 4.6.4安全策略.35 4.7服务器的硬件配置需求.37 第第 5 章章服务方案服务方案.39 5.1赛门铁克专业防病毒服务体系.39 5.1.1赛门铁克服务水平阐述.39 5.1.2赛门铁克安全响应中心.39 5.1.3赛门铁克企业客户服务中心.40 5.1.4赛门铁克安全合作服务商.41 5.2赛门铁克专业防病毒服务流程.41 5.2.1基本流程.42 5.2.2客户服务专员的工作流程.43 5.2.3客户服务经理的工作流程.43 5.2.4工程师的工作流程.43 5.2.5紧急事件响应流程.45 第第 1 章章 恶恶意意代代

4、码码发发展展趋趋势势 终端所面临的安全威胁已不再是传统的病毒，而是更加复杂的恶意代码 （广义病毒） 。分析恶意代码的发展趋势可以帮助我们更好地构建病毒防护体系， 优化现有安全防护体系，从而实现保障终端安全的最终目标。 前所未见的恶意代码威胁前所未见的恶意代码威胁 当前，终端安全必需要面对的首要问题是越来越多的恶意代码是未知的， 前所未见的。前所未见的威胁之所以剧增，其中一个主要原因是恶意代码系列 中出现大量变种。攻击者普遍都在更新当前的恶意代码，以创建新的变种，而 不是“从头开始”创建新的恶意代码。一些恶意代码系列（如熊猫烧香、 mytob 系列）中的变种数量多如牛毛便是这方面淋漓尽致地再现。

5、 恶意代码的编写者创建新变种的方法各式各样，其中包括变形代码进化、 更改功能及运行时打包实用程序，以逃避防病毒软件的检测。前几年，蠕虫和 病毒（红色代码、冲击波）的大规模爆发表明，恶意代码无需复杂就可以感染 大量计算机。如今，关注的焦点逐渐转移到目标性攻击和更狡猾的感染方法上。 因此，越来越多的攻击者开始使用复杂的多态技术来逃避检测，为传播助力。 多态病毒可以在复制时更改其字节样式，从而逃避采用简单的字符串扫描防病 毒技术进行的检测。 特洛伊木马特洛伊木马 特洛伊木马是一种不会进行自我复制的程序，但会以某种方式破坏或危害 主机的安全性。特洛伊木马看起来可用于某些目的，从而促使用户下载并运行，

6、但它实际上携带了一个破坏性的程序。它们可能伪装成可从各个来源下载的合 法应用程序，还可能作为电子邮件附件发送给无防备的用户。 根据统计，大部分特洛伊木马是通过恶意网站进行安装的。它们利用浏览 器漏洞，这些漏洞允许恶意代码的作者下载并执行特洛伊木马，而很少或无需 与用户交互。当用户使用 microsoft internet explorer 查看其中的恶意的网络页 面时，特洛伊木马便会通过浏览器中的多客户端漏洞安装在用户的系统中。然 后，特洛伊木马会记录某些网站的身份验证资料，并将其发送给远程攻击者。 许多新出现的特洛伊木马还会从受感染的系统中窃取特定的消息，如网上银行 密码。 广告软件广告软件

7、/流氓软件流氓软件 终端用户遭遇的广告软件/流氓软件的几率越来越高，广告软件可执行多种 操作，其中包括显示弹出式广告、将用户重引导至色情网站、修改浏览器设置， 如默认主页设置以及监视用户的上网活动以显示目标广告。其影响范围包括单 纯的用户骚扰、隐私权侵犯等。adware 的影响因其固有的特点而难以量化。 但这并不意味着它们不是安全问题。最严重的影响可能是大范围破坏个别最终 用户系统的完整性。包括：性能下降、浏览器故障、系统频繁死机等。 混合型威胁混合型威胁 混合型威胁可以利用多种方法和技术进行传播。它们不但能利用漏洞，而 且综合了各类恶意代码（病毒、蠕虫和特洛伊木马程序）的特点，从而可以在 无

8、需或仅需很少人工干预的情况下，短时间内感染大量系统，迅速造成大范围 的破坏。混合型威胁常用的多传播机制使其可以用灵活多变的方式避开组织的 安全措施。它们可以同时使系统资源超负荷并耗尽网络带宽。 第第 2 章章 防防病病毒毒系系统统设设计计思思路路 2.1 基基于于特特征征的的防防病病毒毒技技术术分分析析 长期以来，应对混合型威胁（混合型病毒）的传统做法是，一旦混合型病 毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然 后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种方式曾一度相当有 效，但近年来特别是近两年多次影响市儿 xxx 的冲击波、 slammer、netsky、

9、熊猫烧香等病毒，已经体现这种基于特征的被动式病毒响应 方式效果不佳了。这一方面因为病毒的快速发展，另一方面更因为传统防病毒 技术采取被动跟踪的方式来进行病毒防护。 但是，这种被动的病毒响应方式越来越力不从心。如下图所示，symantec 公司统计了近十几年来病毒爆发速度和特征响应速度，并对近年的发展趋势做 了比较。 附图附图 1. 混合型病毒感染与病毒特征响应对比图混合型病毒感染与病毒特征响应对比图 该图以计算机病毒/混合威胁的复制速度（蓝色线条，自左上至右下）来显 示这些威胁的演变，以响应速度（红色线条，自左下至右上）来显示病毒技术 的发展。横轴以年为单位，时间范围是从 1990 年至 20

10、05 年。纵轴实际上显 示两种不同的时间规定（都采用左边纵轴的时间比例来显示） 。左边纵轴（蓝色 文本）显示恶意病毒达到“感染”状态所用的时间，在该状态下，恶意病毒已 经感染了相当多有漏洞的计算机。右边纵轴显示提供描述病毒的特征所用的时 间。 分析上图的最后一部分可知，对于现在出现的几分钟甚至几秒钟之内就可 发作的超速混合威胁而言，其传播速度和实现完全感染相关主机的速度比人工 或自动化系统生成和部署病毒特征的速度快得多时，在这样情况下，原有的基 于病毒特征的模式已经效果甚微，因为到那时每次混合型病毒的爆发，由于特 征响应方式的滞后而让将付出沉重的代价（最近的冲击波、震荡波的例子已经 初步证明了

11、这一点） ，而这是绝对不能接受的。 2.2 传传统统的的防防病病毒毒产产品品使使用用效效果果分分析析 传统的单一的防病毒产品在应对新的终端安全威胁时效果往往不佳，其根 本原因在于： 基于特征的病毒定义滞后性基于特征的病毒定义滞后性 虽然防病毒技术不断发展，出现了类似启发式扫描、智能检测等新的技术， 但是目前防病毒产品还是以基于特征的病毒扫描方式为主要手段。也即一种新 的病毒出现后，防病毒厂商通过各种方式收集到病毒的样本，经过自动地或者 专家分析获取病毒特征码，随即发布新的病毒定义供用户下载更新。而用户通 过手动或周期地自动更新获取新的病毒定义以后，才可以有效地防御这种新的 病毒。 显然，基于特

12、征的病毒定义更新存在着滞后性，这种滞后表现在： 病毒定义滞后于新病毒的出现，当前的病毒快速、大量变种的特性加剧 了这种滞后性所带来的危害。 用户的病毒定义滞后于厂商的病毒定义。这是由于用户往往使用周期自 动更新的方式，甚至由于种种原因部分用户的病毒定义不能正常升级， 这些都会导致与最新的病毒定义的时间差。 区域性恶意代码增加了样本收集的难度区域性恶意代码增加了样本收集的难度 特洛伊木马等恶意代码当前的一个重要特征是具有很强的目标性和区域性。 特洛伊木马往往以特定用户和群体为目标。某一种特洛伊木马可能只是针对某 个地区的某类型用户。由于特洛伊木马的目标性强，因此这些攻击只是发送给 较小的用户群，

13、从而使其看上去并不显眼，并且不太可能提交给防病毒供应商 进行分析。 而如果防病毒厂商不能及时获得最新的病毒样本，也就失去了对这些木马 的防护能力。 单纯的防病毒技术无法应对混合型威胁单纯的防病毒技术无法应对混合型威胁 混合型威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻 击。不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的 计算机进行传播和攻击。越来越多的病毒会自动攻击操作系统或者特定的应用 软件的漏洞，在漏洞未修复（未安装补丁）的情况下，会造成病毒反复感染， 纯粹的防病毒不足以应付这些新型的病毒事件。 复杂的病毒查杀技术与性能需求复杂的病毒查杀技术与性能需求 新型

14、的恶意代码采取了更多的反检测和清除的技术，包括前文描述的多态 病毒以及高级的 rootkit 技术。与传统的恶意代码相比，检测复杂多态病毒和 rootkit 对技术的要求更高。涉及复杂的加密逻辑和统计分析过程，以及代码模 拟和数据驱动引擎的设计。因此，这需要经验丰富的分析师来开发检测和移除 技术。同时，防护时也需要占用更多的终端系统资源。实际测试包括很多用户 实际环境中，防病毒软件通常占用内存 50m60m 左右，对于一些老的机器 （内存小于 256m）会影响系统性能。部分终端用户往往在安全和性能的抉择 中放弃安全，这也导致了防病毒体系整体运行效果不佳。 2.3 技技术术管管理理服服务务的的体

15、体系系化化建建设设 实践证明，完整有效的终端安全解决方案包括技术、管理和服务三个方面 内容。防病毒技术的部署和实施是“实现用户个人的广义病毒和攻击的防护” 的主要力量。 传统的病毒防护方案往往以技术为主，但是仅仅依靠技术是有其局限性， 因此指望一套防病毒软件解决所有的病毒问题是不现实的；同时，对于市儿 xxx 这样的大型企业，防病毒的管理性要求甚至比查杀病毒的能力显得更为重 要，如果不能做到全网防病毒的统一管理，再强的防病毒软件也不能发挥应有 作用。 此外，我们重点提出“服务”的根本原因是基于一个判断：即没有任何防 病毒厂家能够做到对所有已知病毒和未知病毒的快速准确查杀。服务是产品的 一种补充

16、。 因此，产品管理服务的组合才能在根本上保证病毒防护的可靠性。以 下分别予以详细阐述： 2.3.1 技技术术层层面面：主主动动防防御御 从以上对新的恶意软件发展趋势和传统的病毒防护产品的特性分析，不难 看出，传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。一旦病毒爆 发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄 希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种被动的防护方式无法应 对新的恶意软件的发展。 因此，必须从“主动防御”这一观点出发，建立一个覆盖全网的、可伸缩、 抗打击的防病毒体系。相对于被动式病毒响应技术而言，主动式反应技术可在 最新的恶意软件没有出现之前

17、就形成防御墙，静侯威胁的到来而能避免威胁带 来的损失。 “主动防御”主要体现在以下几个方面： 入入侵侵防防护护: 基基于于漏漏洞洞的的入入侵侵阻阻断断 阻阻断断rpc缓缓冲冲区区溢溢出出漏漏洞洞 阻阻断断利利用用web浏浏览览器器漏漏洞洞的的攻攻击击（间间 谍谍软软件件最最常常用用的的安安装装方方式式） 入入侵侵防防护护: 基基于于漏漏洞洞的的入入侵侵阻阻断断 阻阻断断rpc缓缓冲冲区区溢溢出出漏漏洞洞 阻阻断断利利用用web浏浏览览器器漏漏洞洞的的攻攻击击（间间 谍谍软软件件最最常常用用的的安安装装方方式式） 防防火火墙墙 阻阻断断进进入入的的对对开开放放端端口口的的攻攻击击 阻阻断断病病毒

18、毒向向外外扩扩散散的的途途径径 阻阻断断非非法法的的对对外外通通信信 间间谍谍软软件件数数据据泄泄漏漏和和连连接接控控 制制站站点点的的企企图图 防防火火墙墙 阻阻断断进进入入的的对对开开放放端端口口的的攻攻击击 阻阻断断病病毒毒向向外外扩扩散散的的途途径径 阻阻断断非非法法的的对对外外通通信信 间间谍谍软软件件数数据据泄泄漏漏和和连连接接控控 制制站站点点的的企企图图 实实时时防防护护和和阻阻断断 自自动动识识别别并并清清除除蠕蠕虫虫病病毒毒 自自动动防防护护已已知知恶恶意意软软件件（特特别别室室间间谍谍软软件件）的的安安装装 如如果果恶恶意意软软件件已已经经安安装装，在在其其运运行行时时检

19、检测测并并阻阻断断 实实时时防防护护和和阻阻断断 自自动动识识别别并并清清除除蠕蠕虫虫病病毒毒 自自动动防防护护已已知知恶恶意意软软件件（特特别别室室间间谍谍软软件件）的的安安装装 如如果果恶恶意意软软件件已已经经安安装装，在在其其运运行行时时检检测测并并阻阻断断 抑抑制制未未知知的的恶恶意意软软件件 bloodhunt启启发发式式病病毒毒扫扫描描 根根据据恶恶意意软软件件的的行行为为特特征征发发现现和和抑抑制制其其操操作作 邮邮件件蠕蠕虫虫拦拦截截 间间谍谍软软件件键键盘盘记记录录、屏屏幕幕拦拦截截、数数据据泄泄漏漏行行为为打打分分 抑抑制制未未知知的的恶恶意意软软件件 bloodhunt启

20、启发发式式病病毒毒扫扫描描 根根据据恶恶意意软软件件的的行行为为特特征征发发现现和和抑抑制制其其操操作作 邮邮件件蠕蠕虫虫拦拦截截 间间谍谍软软件件键键盘盘记记录录、屏屏幕幕拦拦截截、数数据据泄泄漏漏行行为为打打分分 根根本本：系系统统加加固固 关关键键补补丁丁 强强口口令令 关关闭闭危危险险服服务务和和默默认认共共享享 匿匿名名访访问问限限制制 根根本本：系系统统加加固固 关关键键补补丁丁 强强口口令令 关关闭闭危危险险服服务务和和默默认认共共享享 匿匿名名访访问问限限制制 基于应用程序的防火墙技术基于应用程序的防火墙技术 个人防火墙能够按程序或者通讯特征，阻止/容许任何端口和协议进出。利

21、用个人防火墙技术，一方面可以防止病毒利用漏洞渗透进入终端，另一方面， 更为重要的是，可以有效地阻断病毒传播路径。 以去年大规模爆发的 spybot 病毒为例，该病毒利用了多个微软系统漏洞和 应用软件漏洞，企业可以在终端补丁尚未完全安装完毕的情况下，通过集中关 闭这些存在漏洞的服务端口，阻止病毒进入存在漏洞的终端。 再以 arp 木马为例。正常的 arp 请求和响应包是由 ndisiuo.sys 驱动发出， 而 arp 病毒或者其他 arp 攻击通常是利用其他的系统驱动伪造 arp 数据包发出。 因此，通过在防火墙规则中设定，只允许 ndisiuo.sys 对外发送 arp 数据包（协 议号 0

22、 x806） ，其他的全部禁止。从而，在没有最新的病毒定义的前提下对病毒 进行阻断和有效防护。 统一部署防火墙不仅可以解决以上这些安全问题，同时可以成为企业执行 安全策略的有力工具，实现一些企业的安全策略的部署，如突发病毒爆发时， 统一开放关闭防火墙相应端口。 具备通用漏洞阻截技术的入侵防护具备通用漏洞阻截技术的入侵防护 通用漏洞利用阻截技术的思想是：正如只有形状正确的钥匙才能打开锁一 样，只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁 的内部锁齿进行研究，便可以立即了解到能够打开这把锁的钥匙必需具备的特 征甚至不需要查看实际的钥匙。类似地，当新漏洞发布时，研究人员可以 总结

23、该漏洞的“形状”特征。也就是说，可以描述经过网络到达漏洞计算机并 利用该漏洞实施入侵的数据的特征。对照该“形状”特征，就可以检测并阻截 具有该明显“形状”的任何攻击（例如蠕虫） 。 以冲击波蠕虫被阻截为例进行说明。当 2003 年 7 月 microsoft rpc 漏洞 被公布时，赛门铁克运用通用漏洞利用研究技术，制作了该漏洞的通用特征。 大约在一个月之后，出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。 symantec 由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波 蠕虫并立即阻止它。 在前文对恶意软件的发展趋势中，我们分析了木马、流氓软件的一个最主 要的传播方式是利用 ie

24、浏览器的漏洞，当用户浏览这些恶意站点时，利用 ie 的漏洞，攻击者可以在用户终端上悄悄安装木马、广告/流氓软件等。尽管恶意 软件的变种数量庞大，但实际上，恶意软件安装过程中利用的 ie 漏洞种类并不 多。赛门铁克运用通用漏洞利用研究技术，提前制作这些漏洞的通用特征。恶 意软件若想利用这些漏洞进行安装，必须具备特定的形状，而赛门铁克编写的 特征可以提前检测到该形状，从而对其进行阻截，避免了恶意软件安装到用户 终端上，从而根本无需捕获该病毒样本然后再匆忙响应。 应用程序控制技术应用程序控制技术 通过应用程序行为控制，在系统中实时监控各种程序行为，一旦出现与预 定的恶意行为相同的行为就立即进行阻截。

25、 以熊猫烧香为例，如果采用被动防护技术，必须对捕获每一个变种的样本， 才能编写适当的病毒定义。但是，该病毒的传播和发作具有非常明显的行为特 征。熊猫烧香最主要的传播方式是通过 u 盘传播，其原理是利用操作系统在打 开 u 盘或者移动硬盘时，会根据根目录下的 autorun.inf 文件，自动执行病毒程 序。sep 系统防护技术可以禁止对根目录下的 autorun.inf 的读写权限，特别的， 当已感染病毒的终端试图往移动设备上写该文件时，可以终止该病毒进程并报 告管理员。 再以电子邮件的行为阻截技术应用为例进行说明。首先，我们知道基于电 子邮件的蠕虫的典型操作：典型的电子邮件计算机蠕虫的工作原

26、理是，新建一 封电子邮件，附加上其（蠕虫）本身的副本，然后将该消息发送到电子邮件服 务器，以便转发到其他的目标计算机。那么，当使用了带行为阻截技术的赛门 铁克防病毒软件之后，防病毒软件将监视计算机上的所有外发电子邮件。每当 发送电子邮件时，防病毒软件都要检查该邮件是否邮件有附件。如果该电子邮 件有附件，则将对附件进行解码，并将其代码与计算机中启动此次电子邮件传 输的应用程序相比较。常见的电子邮件程序，如 outlook，可以发送文件附件， 但绝不会在邮件中附加一份自身程序的可执行文件副本！只有蠕虫才会在电子 邮件中发送自己的副本。因此，如果检测到电子邮件附件与计算机上的发送程 序非常相似时，防

27、病毒软件将终止此次传输，从而中断蠕虫的生命周期。此项 技术非常有效，根本无需捕获蠕虫样本然后再匆忙响应，带此项技术的赛门铁 克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫，包括 最近的 sobig 、novarg 和 mydoom。 此外，基于行为的恶意软件阻截技术，还可以锁定 ie 设置、注册表、系统 目录，当木马或者流氓软件试图更改这些设置时会被禁止。从而，即使用户下 载了未知的恶意软件，也无法在终端上正常安装和作用。基于行为的防护技术 非常有效，根本无需捕获恶意软件样本然后再匆忙响应，利用此项技术可以成 功的在零时间阻截主流的蠕虫病毒，包括熊猫烧香、威金等。 由于采用了集

28、中的策略部署和控制，无须最终用户的干预，因此不需要用 户具备高深的病毒防护技术。同时，基于行为规则的防护技术非常适合于主机 系统环境，主机系统应用单一并且管理专业，采用行为规则的防护是对传统防 病毒技术的一个很好的补充。 前瞻性威胁扫描前瞻性威胁扫描 proactive threat scan 是一种主动威胁防护技术，可防御利用已知漏洞的多 种变种和前所未见的威胁。proactive threat scan 基于分析系统所运行进程的行 为来检测潜在威胁的启发式技术。大多数基于主机的 ips 仅检测它们认为的 “不良行为” 。所以，它们经常会将可接受的应用程序行为识别为威胁并将它们 关闭，严重影

29、响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。 不过，proactive threat scan 会同时记录应用程序的正常行为和不良行为，提供 更加准确的威胁检测，可显著减少误报的数量。前瞻性地威胁扫描让企业能够 检测到任何基于特征的技术都检测不到的未知威胁。 终端系统加固终端系统加固 事实上，确保终端安全的一个必须的基础条件时终端自身的安全加固，包 括补丁安装、口令强度等。显然，口令为空、缺少必要的安全补丁的终端，即 使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。为了弥补和纠正 运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个网络安全 不至由于个别软件系统的漏

30、洞而受到危害，必需在企业的安全管理策略中加强 对补丁升级、系统安全配置的管理。 建议集中管理企业网络终端的补丁升级、系统配置策略，可以定义终端补 丁下载，补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端 设备上的代理，代理执行这些策略，保证终端系统补丁升级、安全配置的完备 有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端 用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置 管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。 基于特征的病毒防护技术基于特征的病毒防护技术 最后，传统的病毒防护技术仅仅作为主动防御的的一个必要补充，防

31、御已 知的病毒，对于已经感染病毒机器进行自动的清除和恢复操作。 综上所述，单纯的防病毒产品都仅仅实现了基于特征的病毒防护功能，必 须依靠其他的主动防御技术，才能有效地应对当前的恶意代码威胁。 2.3.2 管管理理层层面面 ：终终端端准准入入控控制制 在管理层面上需要实现两个目标：“技术管理化”与“管理技术化” 。技术 管理化要求对以上这些安全技术进行有效的管理，使其真正发挥作用。通过统 一、集中、实时地集中管理，构建坚固的技术保障体系。管理技术化体现在终 端的策略和行为约束，把停留在口号阶段的“三分技术、七分管理”变成可操 作控制程序，这就需要辅以技术手段，通过准入控制等技术把对最终用户的管

32、理要求真正落实下去。 2.3.2.1 什什么么是是终终端端准准入入控控制制 终端准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或 者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额 成本。 终端准入控制需要创建一个终端接入的可信尺度。对于市儿 xxxx 来说， 典型的策略是强制验证操作系统补丁是否更新，反病毒软件是否在运行及病毒 库是否更新，端点防火墙软件是否在运行及被适当的配置。管理员也可以进一 步执行更多高级策略，检查特定安全软件或特殊安全配置是否存在。 一旦策略创建完成，就有了在终端连入网络时可参照的安全基线。它通过 提前的“准入扫描” ，来确保终端可信状态

33、并授权。 基于该基线评估结果，访问控制（access control）授予该连接系统相应级 别的访问权限。例如，一个达标的系统将会获得全部的网络访问权限。不达标 的系统或者被彻底阻止，没有任何的网络访问权限；或者为了减少对网络的威 胁（通常也为了修复） ，将授予该系统某一隔离级别的网络访问权限，并帮助恢 复达到安全策略的要求。为了使终端准入控制真正有价值，修复过程必须自动 化。换句话说，就是不需要求助技术支持小组，系统自动恢复到符合安全策略 的要求。 一旦系统经过隔离修复处理，被允许连接入网络，就需要一种监控技术确 保这些系统保持达标的状态，不要出现反常的情况。反常的系统必须被隔离， 直到它们

34、被修复。 综上，网络准入控制解决方案需要如下流程: 1.创建一个中央的安全策略视图； 2.当一个系统或用户连接入网时， 对其安全状态进行评估； 3.一旦系统连接入网，对其安全状态进行连续监控； 4.基于系统状态，执行网络访问和系统修复策略。 2.3.2.2 终终端端准准入入控控制制的的实实现现方方法法 手动隔离手动隔离 手动隔离虽然不是自动化的隔离技术，但在管理实践中却是使用频率最高 的手段之一。通过创建一个隔离组，然后为该组分配特定的隔离策略。当通过 人工方式判断出一个终端处于高风险或者违规状态时，将这个终端手动方式移 动到隔离组中，即达到了隔离效果。这种方式下管理员不需要去定位交换机端 口

35、，并拔出网线。更加省时，而且避免误操作。 本地隔离本地隔离 利用主机防火墙规则和智能切换的能力实现本地隔离。这种方式最易实现， 不需要和网络中其他强制服务器发生任何关系. 如果系统没有通过主机完整性 检测, 将自动切换到一套隔离策略以阻断网络通讯然后开始执行完整性恢复操 作； 局域网准入与隔离局域网准入与隔离 局域网的网络准入控制系统可以和支持 802.1x 功能的交换机完成对用户的 接入认证； 当用户没有安装安全客户端软件或者虽然安装了安全客户端软件但是安全检 查不合格时，局域网的网络准入控制系统可以通知交换机将该用户连接的交换 机端口关闭，或者通知交换机将该用户的端口 vlan 切换到修复

36、 vlan，强迫 用户完成安全修复后才将用户切换回正常 vlan。 边界准入与隔离边界准入与隔离 在用户通过 ipsec vpn 或、ssl vpn 甚至是无线 ap 试图连接到企业内网 时，又或者是从企业的一个内部子网试图访问另外一个内部子网时，symantec 强制网关实时检查这些用户的安全性。只有安全性达标的用户才能访问强制网 关后的局域网； 当用户透过强制网关设备进行网络互访时，用户的访问方式（应用，受访资 源等）也受到严格管理，非标准访问方式被禁止使用； 当对用户的安全检查不合格时，强制网关对这些用户进行隔离操作，只容许 访问强制网关后的个别 ip 地址，用以提供对修复资源的下载访问

37、。同时客户端 根据策略配置要求对这些用户终端作安全修复操作，直到强制网关确认合格后 才予以放行。 代理通知功能。对于那些连接到企业网络又没有安装 symantec 客户端软件 的用户, 管理员可以使用 windows 弹出消息通知他们需要安装 symantec 客户端 软件； 可以在进行边界准入与隔离时首先允许所有用户的通讯通过，但是记录是否 有用户不符合市儿 xxxx 的安全策略；当客户端完全部署好之后, 就可以按照 市儿 xxxx 的安全策略来允许或阻止不符合策略用户对内部网络的访问； 当用户试图通过边界网络准入控制系统的认证时，如果边界网络准入控制系 统检查出用户端没有安装安全客户端软件

38、或者是用户端的主机完整性检测不合 格，会把用户的访问请求重定向到一个企业内部指定的 url。管理员可以配置 这个 url 为企业的修复服务器网站或者是其他通告的网站。 可以对指定 ip 地址的用户作安全检查，也可以对指定 ip 地址的用户进行放 行，完全不检查； dhcp ip 获取准入获取准入 当非企业员工，或者是企业员工试图通过有线局域网（如以太网） ，或者是 无线网络（802.11a、802.11b、802.11g）连接到局域网并试图自动获取 ip 地址 时，网络准入控制系统会首先检查这些用户的安全状态，检查合格者分配其一 个正常地址范围内的 ip 地址；不合格的用户分配另外一个修复区域

39、子网的 ip 地址，用户此时只能去修复服务器执行自己的主机安全修复操作，其余网络访 问均受到限制。当修复操作全部完成之后，网络准入控制系统才将该用户当前 的修复区域 ip 地址释放掉，同时分配给其一个正常范围内的 ip 地址，用户此 时的网络访问请求才被放行。 2.3.2.3 终终端端准准入入控控制制的的流流程程 终端准入控制策略勾勒企业终端接入的安全基线，对于未安装终端代理软 件或已安装终端代理软件但不符合市儿 xxxx 安全策略要求(防病毒软件、病 毒特征库升级、补丁、系统安全设置、违规软件等)的终端，可以禁止其访问网 络，或进行网络隔离。 终端准入控制流程包括：检查基准安全策略、隔离控制

40、与自动修复。 检查基准安全策略检查基准安全策略是根据进程、文件、注册表等设置的检查结果来判断： 用户身份是否合法 机器身份是否合法 主机防火墙是否安装并运行 防病毒软件是否安装并运行，病毒特征库是否及时更新 其他指定安全工具是否运行、及时更新 操作系统关键安全补丁是否安装 操作系统安全配置是否妥当 桌面设置是否妥当 是否感染特定病毒实体 是否安装重大违规软件等 隔离控制隔离控制根据上述检查结果，强制服务器和网络设备以及客户端联动来决定： 拒绝终端/用户接入 容许终端/用户接入 隔离终端/用户（主机 acl 隔离， vlan 隔离，授予隔离 ip 地址） 限制终端/用户访问权限 应用程序，远程主

41、机，时间，协议类型，端口等使用权限 关键网段接入权限 交换机接入权限 无线网络接入权限 动态 ip 地址获取权限 互联网访问权限 远程网络（vpn）接入权限 域名解析权限 web 应用登录权限（website，web mail，web oa，web crm，web erp etc） 自动修复自动修复是在隔离或限制接入的情况下，还可以通过自动修复来换回正常的 网络访问权限。修复的内容包括： 自动开启 ie，连接内部安全网站上相关的提示页面 自动分发病毒专杀工具 自动升级病毒特征库 自动分发操作系统关键补丁 自动纠正错误的系统配置 分发并运行特定脚本 终止指定进程 停止或启用指定服务 远程关机/重

42、启等 2.3.3 服服务务层层面面 企业通过建立网络防病毒体系来防止病毒入侵，即是一个动态的技术对抗 过程，也是一个防守方和攻击方的人员较量过程。在现实的网络环境里，由于 攻击方在大多数情况下掌握着主动权，因此部署防病毒产品只是建立了对抗攻 击的基础，还不能达到真正意义上的安全，最重要的是对产品进行有效的管理 和正确的策略配置，并且时时刻刻关注网络安全的最新动态，根据各种变化及 时调整安全策略，加固系统。只有结合和采用防病毒安全服务，才能使企业的 防病毒体系以及整体安全达到一个新的高度。 防病毒厂商提供的服务主要包括以下两个方面： 病毒预警服务病毒预警服务 病毒预警服务为市儿 xxx 对于新病

43、毒的提前预警、通知和防范的标准流 程，该流程为管理员提供必要的信息和预警，以便在病毒到达企业之前或病毒 尚未泛滥之前部署对策并成功抵制攻击，减少病毒事件的数量，降低病毒事件 的影响。 突发病毒应急响应服务突发病毒应急响应服务 当用户发现一种未知病毒的传播导致网络服务瘫痪，而现有防病毒客户端 对此无能无能为力，或者当病毒客户端发现病毒但既不能隔离也不能有效删除 时候，就需要防病毒服务能够帮用户解决这些问题。而且，用户需要的是一个 时限范围内的解决。 用户可以通过提交病毒样本或要求直接上门服务的方式，请防病毒厂家协 助解决这些问题，避免病毒在用户的大规模扩散。 第第 3 章章 产产品品选选型型推推

44、荐荐 根据以上防病毒系统设计思路，我们推荐采用 symantec endpoint protection 和 symantec network access control。 3.1 端端点点安安全全保保护护 symantec endpoint protection 3.1.1 产产品品简简介介 symantec endpoint protection 将 symantec antivirus与高级威胁防御功能 相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。 它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如 rootkit、零日攻击和不断变化的间谍软件。 s

45、ymantec endpoint protection 不仅提供了世界一流、业界领先且基于特征 的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点 免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防 护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络通 信，以检测并阻止可疑活动，而管理控制功能使您能够拒绝对企业来说被视为 高风险的特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。 这种多层方法可以显著降低风险，同时能够充分保护企业资产，从而使企 业高枕无忧。它是一款功能全面的产品，只要您需要，即可立即为您提供所需 的所有功能。无论攻击

46、是由恶意的内部人员发起，还是来自于外部，端点都会 受到充分保护。 symantec endpoint protection 不仅可以增强防护，而且可以通过降低管理 开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个 代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而 且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及 一个授权许可和维护计划。 symantec endpoint protection 易于实施和部署。赛门铁克还提供广泛的咨 询、技术培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理， 并帮助您实现投资的全部价值。对于

47、希望外包安全监控和管理的企业来说，赛 门铁克还提供托管安全服务，以提供实时安全防护。 3.1.2 产产品品主主要要优优势势 安全安全 全面的防护 集成一流的技术，可以在安全威胁渗透到网络之前将其阻 止，即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并 阻止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和 rootkit。 主动防护 全新的主动威胁扫描使用独特的赛门铁克技术为未知应用程 序的良好行为和不良行为评分，从而无需创建基于规则的配置即可增强检测能 力并减少误报。 业界最佳的威胁趋势情报 赛门铁克的防护机制使用业界领先的赛门铁 克全球情报网络，可以提供有关整个互联

48、网威胁趋势的全面视图。借助此情报 可以采取相应的防护措施，并且可以帮助您防御不断变化的攻击，从而使您高 枕无忧。 简单简单 单一代理，单一控制台 通过一个直观用户界面和基于 web 的图形报 告将全面的安全技术集成到单一代理和集中的管理控制台中。能够在整个企业 中设置并实施安全策略，以保护您的重要资产。添加 symantec network access control 支持时，可以简化管理、降低系统资源使用率，并且无需其它代理。通 过购买许可证可以在代理和管理控制台上自动启用 symantec network access control 功能。 易于部署 由于它只需要一个代理和管理控制台，

49、并且可以利用企业现 有的安全和 it 投资进行操作，因此，symantec endpoint protection 易于实施 和部署。对于希望外包安全监控和管理的企业，赛门铁克提供托管安全服务， 以提供实时安全防护。 降低拥有成本 symantec endpoint protection 通过降低管理开销以及管理 多个端点安全产品引发的成本，提供了较低的总体拥有成本。这种保障端点安 全的统一方法不仅简化了管理，而且还提供了出色的操作效能，如单个软件更 新和策略更新、统一的集中报告及一个授权许可和维护计划。 无缝无缝 易于安装、配置和管理 symantec endpoint protection

50、 使您可以轻松启用、 禁用和配置所需的技术，以适应您的环境。 symantec network access control 就绪 每个端点都会进入“symantec network access control 就绪”状态，从而无需部署其它网络访问控制端点代理 软件。 利用现有安全技术和 it 投资 可以与其它领先防病毒供应商、防火墙、 ips 技术和网络访问控制基础架构协作。还可以与领先的软件部署工具、补丁 管理工具和安全信息管理工具协作。 3.1.3 主主要要功功能能 防病毒和反间谍软件 提供了无可匹敌的一流恶意软件防护能力，包括 市场领先的防病毒防护、增强的间谍软件防护、新 rootk

51、it 防护、减少内存使 用率和全新的动态性能调整，以保持用户的工作效率。 网络威胁防护 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (geb)，该功能可以在恶意软件进入系统前将其阻止在外。 主动威胁防护 针对不可见的威胁（即零日威胁）提供防护。包括不依 赖特征的主动威胁扫描。 单个代理和单个管理控制台 在一个代理上提供防病毒、反间谍软件、 桌面防火墙、ips、设备控制和网络访问控制（需要购买赛门铁克网络访问控制 许可证） 通过单个管理控制台即可进行全面管理。 3.2 终终端端准准入入控控制制 symantec network access control symantec network

52、access control 是全面的端到端网络访问控制解决方案， 通过与现有网络基础架构相集成，使企业能够安全有效地控制对企业网络的访 问。不管端点以何种方式与网络相连，symantec network accesscontrol 都能够 发现并评估端点遵从状态、设置适当的网络访问权限、根据需要提供补救功能， 并持续监视端点以了解遵从状态是否发生了变化。从而可以营造这样的网络环 境：企业可以在此环境中大大减少安全事故，同时提高企业 it 安全策略的遵 从级别。 symantec network access control 使企业可以按照目标经济有效地部署和管 理网络访问控制。同时对端点和用

53、户进行授权在当今的计算环境中，企业和网 络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问企业资源的权限。 其中包括现场和远程员工，以及访客、承包商和其他临时工作人员。现在，维 护网络环境完整性的任务面临着前所未有的挑战。如今无法再接受对网络提供 未经检查的访问。随着访问企业系统的端点数量和类型激增，企业必须能够在 连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点 进行持续验证。symantec network access control 可以确保在允许端点连接到企 业 lan、wan、wlan 或 vpn 之前遵从 it 策略。 3.2.1 主主要要优优势势 部署

54、symantec network access control 的企业可以切身 体验到众多优势。其中包括： 减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件） 的传播 通过对访问企业网络的不受管理的端点和受管理的端点加强控制， 降低风险 为最终用户提供更高的网络可用性，并减少服务中断的情况 通过实时端点遵从数据获得可验证的企业遵从信息 企业级集中管理架构将总拥有成本降至最低 验证对防病毒软件和客户端防火墙这样的端点安全产品投资是否得 当 3.2.2 主主要要功功能能 网络访问控制流程 网络访问控制是一个流程，涉及对所有类型的端点和网络进行管理。此流 程从连接到网络之前开始，在整个连接过

55、程中持续进行。与所有企业流程一样， 策略可以作为评估和操作的基础。 网络访问控制流程包括以下四个步骤： 1. 发现和评估端点。此步骤在端点连接到网络访问资源之前执行。通过与 现有网络基础架构相集成，同时使用智能代理软件，网络管理员可以确保按照 最低 it 策略要求对连接到网络的新设备进行评估。 2. 设置网络访问权限。只有对系统进行评估并确认其遵从 it 策略后，才 准予该系统进行全面的网络访问。对于不遵从 it 策略或不满足企业最低安全 要求的系统，将对其进行隔离，限制或拒绝其对网络进行访问。 3. 对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使管 理员能够将这些端点快速变为遵

56、从状态，随后再改变网络访问权限。管理员可 以将补救过程完全自动化，这样会使该过程对最终用户完全透明；也可以将信 息提供给用户，以便进行手动补救。 4. 主动监视遵从状况。必须时刻遵从策略。因此，symantec network access control 以管理员设置的时间间隔主动监视所有端点的遵从状况。如果 在某一时刻端点的遵从状态发生了变化，那么该端点的网络访问权限也会随之 变化。 第第 4 章章 终终端端安安全全管管理理系系统统 体体系系结结构构设设计计 4.1 管管理理系系统统功功能能组组件件说说明明 终端安全管理系统包括三部分组件： 策略管理服务器策略管理服务器 策略服务器实现所有

57、安全策略、准入控制规则的管理、设定和监控，是整 个终端安全标准化管理的核心。通过使用控制台管理员可以创建和管理各种策 略、将策略分配给代理、查看日志并运行端点安全活动报告。通过图形报告、 集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端 点安全管理，提供集中软件更新、策略更新、报告等功能。 策略管理服务器可以完成以下任务： 终端分组与权限管理； 根据地理位置、业务属性等条件对终端进行分组管理，对于不同的组可 以制定专门的组管理员，并进行权限控制。 策略管理与发布； 策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木 马防护策略、恶意脚本防护策略、电子邮件防护策略

58、（包括 outlook、lotus 以及 internet 邮件） 、广告软件防护策略、前瞻性威胁防 护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、 升级策略、主机完整性策略等 安全内容更新下发 安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防 护规则等 日志收集和报表呈现 可以生成日报/周报/月报，报告种类包括：风险报表（以服务器组、父 服务器、客户端组、计算机、ip、用户名为条件识别感染源、当前环境 下高风险列表、按类型划分的安全风险） 、计算机状态报表（内容定义 分发、产品版本列表、未接受管理客户端列表） 、扫描状态报表、审计 报表、软件和硬件控制报表、网络

59、威胁防护报表、系统报表、安全遵从 性报表。 强制服务器管理和策略下发 对于交换机强制服务器和网关强制设备进行统一的管理和策略定义。 终端代理安装包的维护和升级； 终端代理（包括终端保护代理和准入控制代理）终端代理（包括终端保护代理和准入控制代理） 终端安全管理系统需要在所有的终端上部署安全代理软件，安全代理是整 个企业网络安全策略的执行者，它安装在网络中的每一台终端计算机上。安全 代理实现端点保护和准入控制功能。 端点保护功能包括： 防病毒和反间谍软件 提供病毒防护、间谍软件防护、rootkit 防护。 网络威胁防护 提供基于规则的防火墙引擎和一般漏洞利用禁止功能 (geb)，该功能可以在恶意

60、软件进入系统前将其阻止在外。 主动威胁防护 针对不可见的威胁（即零日威胁）提供防护。包括不 依赖特征的主动威胁扫描。 端点准入控制功能包括： 主机完整性检查和自动修复：检查终端计算机上防火墙、防病毒软件、 反间谍软件、补丁程序、service pack 或其他必需应用程序是否符合要 求，具体内容可以是对防病毒程序的安装，windows 补丁安装，客户端 启用强口令策略，关闭有威胁的服务与端口。因为主机完整性检查支持 对终端的注册表检查与设置，进程管理，文件检查，下载与启动程序等， 所以可通过设置自定义的策略来满足几乎所有对客户端的安全策略与管 理要求。 强制：当终端的安全设置不能满足企业基准安