企业防病毒策略及灾备技术

1、企业级数据安全保障企业级数据安全保障 计算机病毒防护策略及服务器灾备介绍一、计算机病毒危害及发展趋势二、防病毒软件及安全策略三、服务器应急及灾备四、安全要素及关系目 录安全挑战1计算机病毒危害及发展趋势概述特点及趋势应对方案病毒危害病毒 是信息安全中最重要、威胁程度最大的源头，病毒防范也是工作中最基础、最繁杂的。计算机病毒简史l 1988年，财政部计算机上发现了中国最早的计算机病毒，小球病毒；l 1989年，引导型病毒发展为可以感染硬盘，如“石头2”；l 1989年7月，公安部病毒研究小组推出了杀毒软件Kill版本6.0；l 1990年，发展为复合型病毒，可感染COM和EXE文件；l 1998

2、年台湾大同工学院学生刘盈豪编制了CIH病毒；l 20022003年，冲击波、冲击波杀手、尼姆达III、QQ木马、CIH；l 2007年1月，中国超80%的用户感染病毒，其中78%以上的病毒为木马、后门病毒，熊猫烧香肆虐全球；l 2010年，越南全国计算机数量已500万台，其中93%受过病毒感染，感染电脑病毒共损失59000万亿越南盾，约3.2亿美元。Conficher.worm概述特点及趋势应对方案病毒危害病毒病毒 是信息安全中最重要、威胁程度最大的源头，病毒防范也是工作中最基础、最繁杂的。病毒的命名l 系统系统病毒：病毒：前缀为WinXX、PE等，感染系统文件。如CIH病毒；l 蠕虫病毒蠕虫

3、病毒：前缀是Worm。如Worm.Blaster、 Worm.Mimail等；l 木 马 病 毒 ：木 马 病 毒 ： 前 缀 是 Tr o j a n 或 H a c k 如 Tr o j a n . Q Q 3 3 4 4 、Trojan.LMir.PSW.60、Hack.Nethief.46等；l 脚本病毒：脚本病毒：前缀Script、VBS、JS。Script.Redlof、VBS.Happytime等；l 后门病毒：后门病毒：前缀是Backdoor。如大名鼎鼎的Backdoor.BingHe2.2C等；l 还有：宏病毒还有：宏病毒Macro、破坏性、破坏性程序程序病毒病毒Harm、玩

4、笑病毒、玩笑病毒Joke、捆绑、捆绑机机病毒病毒Binder 等等。等等。概述特点及趋势应对方案病毒危害病毒危害信息来源：国家计算机病毒应急处理中心权威发布 2013年10月l 33.26%的被调查者发生过信息l 网络安全事件，但多次感染的比率为53.46%；l Mac 操作系统走下神坛，经历了大规模感染事件；l 联网计算机用户的网络安全和病毒防范意识明显增强l 50.19%的用户浏览器配置被修改，高居首位；l 网络无法使用的用户，占到 44.2%；l 39.08%的用户密码、账号被盗；l 如何保护用户的私密信息，已经成为信息安全领域的焦点问题。概述特点及趋势应对方案病毒危害信息来源：某国内反

5、病毒厂商2014年上半年互联网安全研究报告2014年上半年四大流行病毒均造成严重影响敲诈者病毒破坏重要文档的代码QQ群蠕虫病毒的传播示例l 敲诈敲诈者者病毒病毒敲诈者病毒一般通过QQ聊天传播，病毒专门筛选用户硬盘上的重要文件加密后勒索钱财。l 恶意恶意弹窗的广告弹窗的广告程序程序感染了超过千万台电脑，无任何运行界面，常驻后台，通过会弹出一个广告窗口骚扰用户，通过弹出广告牟利。l AVAV终结者及终结者及变种变种通过劫持IE首页或IE流量获得收益。AV终结者会干扰杀毒软件的正常运行，甚至破坏或删除杀毒软件，其新变种感染了数十万台电脑，伪装成色情网站的专用播放器欺骗用户安装。l QQQQ群蠕虫病毒

6、群蠕虫病毒一种古老的病毒，利用QQ的快速登录机制，自动登录QQ空间、QQ群等平台发布广告，散播钓鱼网站或者传播自身。概述特点及趋势应对方案病毒危害现代病毒、木马的显著特点及趋势l 攻攻击击手段手段多样化多样化传统病毒比例下降，隐蔽性木马上升，盗号木马、间谍软件、网络钓鱼以及大量的垃圾邮件等，成为主要的攻击手段；l 传播途径传播途径多样化多样化 U盘、移动硬盘、网页、QQ、下载捆绑等成为主要传播方式；l 利益利益驱动商业化驱动商业化运作运作 技术炫耀或泄愤行为基本消失，目的只为追求利益。概述特点及趋势应对方案病毒危害应对方案应急接管、数据灾备、仿真、迁移应急接管、数据灾备、仿真、迁移2安全策略防

7、病毒软件及安全策略概述安全策略虚拟化安全防护简介企业级防病毒软件介绍企业级病毒防护系统主要解决的问题l 统一管理统一管理l 统一升级统一升级l 统一查杀统一查杀l 漏洞扫描及补丁分发漏洞扫描及补丁分发l 网络监控网络监控l 日志管理及应急报警日志管理及应急报警概述企业级防病毒软件介绍典型企业级防病毒软件介绍体系结构l 系统中心系统中心 信息管理和病毒防护的自动控制核心l 控制台控制台 管理员进行设置、使用和控制的操作管理平台l 服务器服务器端端 服务器操作系统的防病毒子系统（如：Windows 2008、Linux系统等）l 客户端客户端 普通客户机的防病毒子系统（如：Windows xp、W

8、indows 7等）系统中心系统中心 控制台控制台 服务器端服务器端 客户端客户端安全策略虚拟化安全防护简介概述企业级防病毒软件介绍典型企业级防病毒软件介绍部署方案安全策略虚拟化安全防护简介概述企业级防病毒软件介绍典型企业级防病毒软件介绍部署方式安全策略虚拟化安全防护简介l 安装系统中心（含升级中心、日志中心等）安装系统中心（含升级中心、日志中心等） 系统中心一般需要数据库支持，常见有MSDE、MSSQL和MySql等 如果规模超过200点，建议使用MSSQL或MySql数据库l 安装控制台软件安装控制台软件 C/S架构系统需要安装控制台软件，一般安装在管理员计算机中 B/S架构系统无需安装，

9、通过WEB浏览器操作l 安装服务器端或客户端软件安装服务器端或客户端软件 安装一台服务器端或客户端作为样本l 定制客户端安装包定制客户端安装包 通过软件提供的客户端安装包定制工具生成定制安装包l 其它服务器或客户端安装并做好相应客户端设置其它服务器或客户端安装并做好相应客户端设置 通过一下方式在其它服务器或客户端上部署定制安装包： 移动介质拷贝安装 网络共享安装 WEB页面下载安装（需要IIS等WEB服务器支持） Windows 域登录脚本安装l 制定制定安全策略安全策略并统一下发并统一下发概述企业级防病毒软件介绍安全策略虚拟化安全防护简介统一升级策略统一查杀策略统一监控策略实时报警策略防病毒

10、系统的安全策略组成漏洞扫描策略概述企业级防病毒软件介绍安全策略虚拟化安全防护简介防病毒系统的安全策略分组好的系统，可通过计算机名、IP地址、系统类型等各种条件或规则自动形成分组可方便的对各分组定制不同的组策略单中心下合理分组并命名，方便管理概述企业级防病毒软件介绍安全策略虚拟化安全防护简介统一升级策略外网升级周期一般为三天升级时间应尽量避开终端使用高峰期，比如：每天午休时间内外网均需制定定时升级策略可保持静默升级模式内网升级周期可根据管理员升级周期适当调整概述企业级防病毒软件介绍安全策略虚拟化安全防护简介统一查杀策略“手动查杀”选择大部分开机并空闲时段查杀无法杀毒时，可不做处理，系统会上报日志

11、或隔离病毒文件部署完成后，至少一次全网查杀选所有文件，充分了解网络情况查杀完成后，更具日志汇报情况做相应处理概述企业级防病毒软件介绍安全策略虚拟化安全防护简介统一查杀策略“定时查杀”选择大部分开机并空闲时段查杀策略完成后，需在“定时任务”中设定策略执行周期和时间一般升级后做一次定时查杀查杀关键区域的所有文件可指定对重要的系统或应用服务目录定时查杀概述企业级防病毒软件介绍安全策略虚拟化安全防护简介统一监控策略“文件监控”客户端选项可设置资源占用等级病毒类型、扩展库等根据终端性能及安全等级适当勾选实时“监控”重于事后“查杀”普通用户设置尽量保持“静默”反病毒工程师根据经验已制定适合大部分用户的监控

12、策略概述企业级防病毒软件介绍安全策略虚拟化安全防护简介统一监控策略“邮件监控”重要传播途径，做好日志记录正确配置端口，该设置只对邮件客户端有效监控，如：foxmail实时“监控”重于事后“查杀”普通用户设置尽量保持“静默”反病毒工程师根据经验已制定适合大部分用户的监控策略概述企业级防病毒软件介绍安全策略虚拟化安全防护简介统一监控策略“嵌入式杀毒”好的杀毒软件也向其它程序开放对开放API的系统或应用软件可嵌入式杀毒实时“监控”重于事后“查杀”普通用户设置尽量保持“静默”其它嵌入式杀毒主要指下载软件、压缩软件、及时通讯软件等概述企业级防病毒软件介绍安全策略虚拟化安全防护简介统一监控策略“主动防御”

13、能检测网页挂马，进行木马拦截可设置对U盘、光盘、网络共享等途径进行木马拦截基于软件“行为”的增强版监控对“动作”行为特别敏感设置自我保护，避免木马或流氓软件恶意修改或卸载杀毒软件概述企业级防病毒软件介绍安全策略虚拟化安全防护简介统一监控策略“网络监控”当出现如：冲击波、ARP等病毒时，通过防火墙事件可快速定位，阻隔感染源网络访问，有效防止病毒扩散一般内置默认防火墙策略建议实时上报防火墙事件服务器区域可配合硬件防火墙做相应的访问控制概述企业级防病毒软件介绍安全策略虚拟化安全防护简介漏洞扫描策略不建议“静默安装”，给用户保存文档的时间和机会不建议服务器端自动安装补丁，可能造成“蓝屏”或重启部署后，

14、至少一次全网漏扫应启用定时扫描，建议每月一次应利用“网闲时段”进行扫描和安装概述企业级防病毒软件介绍安全策略虚拟化安全防护简介日志报警策略可通过附件添加病毒日志可使用有手机等及时通讯功能的接收端，比如：QQ邮箱紧急情况实时报警，快速应对合理设置报警上限（条/分钟）可通过不同的报警插件，灵活选择不同的报警方式概述企业级防病毒软件介绍安全策略虚拟化安全防护简介安全策略总结定时巡检，定时查杀部署完毕，全网查杀分级部署，合理分组定时升级，负载均衡实时报警，及时应对分好时段，利用闲时资源实时监控，重于事后查杀防止误删，设置修改密码概述企业级防病毒软件介绍安全策略虚拟化安全防护简介虚拟化环境安全防护问题“

15、反病毒风暴”虚拟化环境物理主机VMVMVMVMl 定期扫描l 反病毒库更新l 日志上报资源冲突，降低效率，甚至造成物理主机宕机。概述企业级防病毒软件介绍安全策略虚拟化安全防护简介虚拟化环境安全防护问题“防护间隙”l 没有安装防护软件l 引擎或病毒库没有及时升级激活休眠以及克隆的虚拟机，皆会使用过期的安全策略。虚拟化环境物理主机VM激活VM激活VM休眠VM克隆概述企业级防病毒软件介绍安全策略虚拟化安全防护简介虚拟化环境安全防护解决方案l 全新的查杀引擎l 杀毒引擎独立部署在虚拟机或网络中l 客户端无需引擎或仅安装轻量级代理l 可应用虚拟化厂商开放API虚拟化环境物理主机VMVMVM虚拟化杀毒引擎

16、虚拟化环境物理主机VMVMVMVMVMX3应急备份服务器应急及灾备概述应急接管及备份仿真及迁移技术指标应急和灾备可以解决的问题l 服务器应急接管及恢复服务器应急接管及恢复l 数据实时备份及快速恢复数据实时备份及快速恢复l 服务器迁移服务器迁移l 生产环境仿真生产环境仿真l 概述应急接管及备份仿真及迁移技术指标恢复时间目标（RTO） 在系统不可用的情况下，你可以忍受多长时间？恢复点目标（RPO） 当系统被恢复时，你可以忍受多少数据需要重新建立？宣布 发生灾难上午 10 点RPO：由于发生故障而丢失的数据量，根据灾难事件的时间测量RTO：灾难事件后，重启业务服务的目标时间量技术指标概述应急接管及备

17、份仿真及迁移技术指标备份技术发展Type/D2D/VTL/CDP技术CDP从磁盘读写数据实时连续的数据保护从磁带读写数据天小时分钟秒瞬时加载无需回传CDP：数据保护的最高形式，具有“实时备份、瞬间恢复”的特点。RPO秒分钟小时天RTO磁带备份D2D/VTLD2D2T技术：效率与成本兼顾概述应急接管及备份仿真及迁移技术指标应急接管双机热备技术成熟可靠系统数据使用共享存储或数据镜像方案两台主机，一主一备心跳线检测运行状态集群规模较大，较浪费资源概述应急接管及备份仿真及迁移技术指标虚拟化方案中的业务接管无需额外的集群软件当服务器故障时，自动重新启动虚拟机整合硬件，降低设备及运营成本资源利用最大化系统

18、专业性较强X概述应急接管及备份仿真及迁移技术指标全面防灾CDAP技术服务器宕服务器宕机机! !磁盘卷底层CDP，速度接近实时V2P裸机恢复（类似GHOST）应用虚拟化技术，实时P2V备份，实现一台设备对整个机房双机“All-in-one”完整备份系统、应用、数据离线256个快照，RPO可调，5分钟全面接管所有应用和数据要求设备可靠性强概述应急接管及备份仿真及迁移技术指标CDAP技术扩展应用生产环境仿真CDAP 测试完成可以直接回滚到生产系统，立即可用CDAP 虚拟化迁移提供一个与生产系统一摸一样环境的影子系统CDAP 在任何快照点启动系统进行应用升级测试安全服务器安全服务器应用应用/Web服务

19、器服务器架构服务器架构服务器数据库服务器数据库服务器概述应急接管及备份仿真及迁移技术指标CDAP技术扩展应用服务器迁移工具注：Physical to Virtual： P2V Virtual to Physical：V2P Physical to Physical：P2PCDAP提供一个高效的迁移工具，可以实现各种虚拟化迁移功能，支持：物理机到虚拟机 、 虚拟机到物理机 、物理机到物理机的对等转换P2VV2PV2V4安全要素安全要素及关系总结安全部件工具产品名称产品名称部署位置部署位置产品作用产品作用满足政策要求满足政策要求防火墙防火墙互联网出口隔离互联网和内部网络网络安全-访问控制入侵防御入侵防御互联网出口防范网络入侵攻击 网络安全-入侵防范防病毒模块防病毒模块互联网出口网络层恶意代码过滤网络安全-恶意代码过滤上网行为管理上网行为管理互联网出口内部员工访问互联网的安全审计；流量管理与控制；内部非法无线热点发现；网络安全-结构安全网络安全-安全审计网络安全-边界完整性负载均衡负载均衡互联网出口链路负载均衡；应用负载均衡；网络安全-结构安全数据备份与恢复-避免单点故障总结安全设备在网络中的部