病毒与黑客防护课程设计总结报告

PAGEPAGE17XXXXXXX学校病毒与黑客防护课程设计总结报告课程：计算机病毒及其防范题目：病毒与黑客防护课程设计年级：2010级专业：XXXXXX姓名：学号：XXXXX成绩姓名：学号：XXXXX成绩姓名：学号：XXXXX成绩指导教师：XXX课程设计任务书近年来，病毒、木马呈几何级数增长，黑客在网络泛滥，越来越危害企业信息安全，给企业利益造成重大损失。病毒防护日益成为企业发展重中之重。请结合所学知识，设计某企业的病毒防护方案。要求：根据课题主题要求，完成一篇不少于6000字论文。本组成员：XXXXXXXXX任务分配：前期工作：三人通过网站和图书馆的方式分工搜集相关资料后进行汇总；实训过程：XXX1负责前半部分的资料挑选；XXX2负责后半部分的设备选型；XXX3负责整篇报告的文字组织和资料的汇总。后期工作：三人轮流检查报告的完整性及其可实施性，并对其进行相应的查漏补缺；将完整的实训报告进行备份并确保人手一份。目录一、前言二、计算机病毒发展和防御动态2.1计算机病毒发展新动向2.2新型病毒传播方式2.3病毒传播带来的威胁2.4企业网络全方位病毒防御策略三、ZWL企业网络和防病毒现状3.1ZWL企业网络现状3.2ZWL企业防病毒系统现状3.3原有防病毒系统存在的不足四、ZWL企业网络防病毒需求分析4.1需求概述4.2防病毒总体技术架构需求分析4.2.1防病毒中央控制台需求4.2.2服务器防病毒需求4.2.3邮件服务器防病毒需求4.2.4客户端防病毒需求4.2.5网关防病毒需求五、ZWL企业网络防病毒体系设计5.1体系设计思想5.1.1实现目标5.1.2设计原则5.2产品清单5.3产品部署建议5.3.1网关邮件防病毒产品部署5.3.2网关Http防病毒产品部署5.3.3网关SMTP/HTTP/FTP防病毒产品部署5.3.4Notes系统防病毒产品部署5.3.5Exchange系统防病毒产品部署5.3.6文件服务器的防病毒产品部署5.3.7客户机防病毒产品部署5.3.8病毒清除服务器部署5.3.9中央控管产品部署5.4集中管理策略六、预算清单和报价七、信息防毒软件售后服务体系前言建立企业网络防病毒系统平台,可积极应对企业内部的病毒爆发事件,充分发挥分级管理和中央监控的作用,实现灾难快速响应,平时防患的功能。本文以“软、硬件平台结合安全策略管控”的思想,实现企业网关安全防护和企业内网安全防护的病毒防护管理模式。二、计算机病毒发展和防御动态2.1计算机病毒发展新动向现在的企业网络面临的威胁已经由传统的病毒威胁转化为现在的还包括了蠕虫、木马和恶意代码等与传统病毒截然不同的新类型。这些新类型的威胁业界称之为混合型威胁。混合型威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击。同时，混合型威胁传播速度极快，通常在几个小时甚至几分钟就可以导致整个网络瘫痪。攻击程序的破坏性更强，受感染的系统通常伴随着木马程序种植除了破坏被感染的机器，在传播过程中会形成DDoS攻击，阻塞网络。2.2新型病毒传播方式计算机病毒具有自我复制和传播的特点，从计算机病毒的传播机理分析可知，只要是能够进行数据交换的介质，都可能成为计算机病毒传播途径。随着Internet技术的发展和企业网络应用的增多，网络成为病毒感染、传播的第一途径。病毒传播途径一般有：互联网浏览、电子邮件企业网络互联、可移动媒体、对等(P2P)网络、即时通讯2.3病毒传播带来的威胁计算机病毒的爆发对企业的安全构成了极大的威胁。尤其近几年混合型病毒所造成的破坏非常巨大。新型病毒的大规模传播，给企业信息资源带来的威胁有：数据损坏或删除、后门、信息窃取、垃圾邮件、拒绝服务

(DoS)、分布式拒绝服务

(DDoS)。2.4企业网络全方位病毒防御策略整个网络中，只要有可能感染和传播病毒的地方都应该有相应的解决方案，防止病毒的入侵和传播，确保网络的安全，保证能在本网络中实现多层最大限度的防护能力。一般防御策略需重点实施的地方有：系统外部（Internet或外网）、网络邮件系统、文件服务器、针对客户端、集中管理。三、ZWL企业网络和防病毒现状3.1ZWL企业网络现状网络及系统状态如下：1.用户网络框架属多极架构，管理的客户端有1000台。2.Internet出口：2个运营商互联方式带宽电信拨号1G移动宽带32M3.服务器（基于linux）：邮件服务器、FTP服务器4．用户端安装WINDOWSXP系统,服务器安装LINUX与Server2008系统.3.2ZWL企业防病毒系统现状为解决病毒对正常办公系统带来的影响，ZWL企业先后使用了一些单机版本的防病毒软件，由于单机防病毒系统的缺陷：如无法集中管理防病毒工作，客户机配置和防护级别无法统一，无法集中更新病毒代码，管理中人为操作的因素大。在日常防病毒维护中各网络各行其事，分散管理，这样不但加重管理员的管理工作，而且不能实现统一的、集中的管理，易受到各种人为的因素的影响，即使在安装了防病毒软件的情况下也不能确保整个网络的防病毒能力。尤其现在电子邮件是传播病毒的主要途径之一，而ZWL还没有针对电子邮件采取防病毒措施。对邮件/附件/JAVA等新病毒的防护无能为力。增加新的用户和管理工作都极为麻烦，而各级单位对计算机的使用和维护水平也不尽相同等等，很难面对当前日益猖獗的数字病毒的威胁。3.3原有防病毒系统存在的不足近年来，随着信息系统自身的飞速发展和具有黑客攻击特征的新类型病毒的大量出现，ZWL企业原有的防病毒软件部署已经不能满足ZWL企业的需要。近几年的混合型病毒大规模传播给ZWL企业造成较大的危害，现有的防病毒体系正面临更严峻的安全挑战，主要存在以下几个方面的不足：缺少防病毒中央控管系统、缺少全网病毒代码统一自动更新功能、尚未建立完善的安全制度和制定安全培训机制、缺乏完善的防病毒信息支持体系、不能全方位防护。四、ZWL企业网络防病毒需求分析4.1需求概述针对核心服务器区，严防来自Internet及移动用户的病毒入侵，保护其中的关键服务器，这是防病毒工作的重点；针对客户端工作区，需要部署客户端防病毒产品严防病毒（尤其是具有混合型威胁特征的混合型病毒）的入侵；针对Internet区域，需部署网关级防病毒产品，严防来自该区域的病毒及病毒攻击；针对邮件系统，需要部署邮件病毒防护系统；另外还需要部署必要的辅助手段，以监测网络的异常状况，提前预知病毒事件的发生。4.2防病毒总体技术架构需求分析在整个网络中，防病毒机制实现一级单位、二级单位分级管理，在分级网络中分别部署防病毒服务器。一级单位设立全网的根服务器，承担着全网的防病毒产品升级、防护策略制订、报警管理、病毒统计报表生成等工作；一级单位和二级单位分别部署一级服务器，作为自己所在局域网络的防病毒管理控制台，一级管理控制台管理一级单位内部所有防病毒产品、二级管理控制台管理所在二级单位的防病毒产品。实现全网防病毒体系的“两级控制、二级管理”。在ZWL企业防病毒整体架构中，需要部署以下几方面功能组件：1)防病毒集中管理平台负责产品自动分发、升级、生成病毒报告等。2)服务器防病毒负责网络中的所有服务器的病毒防护。3)群件防病毒负责邮件系统病毒防护4)客户端防病毒全面防护各种类型操作系统的客户端的病毒5)网关防病毒防护来自Internet的病毒，对从Internet来的流量进行内容过滤6)防病毒的辅助手段流量监控工具、入侵检测产品防病毒客户端的产品发现、版本监测、病毒易攻击的漏洞扫描等下面分别对防病毒体系对以上几方面功能组件的需求进行具体描述：4.2.1防病毒中央控制台需求具体需求有：要求可以提供病毒集中管理工具、集中控制台自身必须具备很强的安全性、防病毒管理平台自动发现整个网络中所有客户端防病毒软件的安装情况、配置简便、有病毒报警功能、可自动分发产品升级代码、可生成详细病毒活动报告、可生成各种类型的中文报表、提供与第三方产品的通用接口、可自动隔离感染病毒的计算机中央控制台、明确可管理的客户端的数量4.2.2服务器防病毒需求使用的服务器防病毒软件能够实现以下功能：1．能够对WindowsNT/200XServer提供Winsock层的全面防护；2．能够与Windows200X操作系统中的NTFS5,UDFS和EncryptionFileSystem(EFS)、FAT32文件系统集成；3．对间谍软件和广告软件在内扩展风险有强大的检测和清除能力；4．和簇系统相兼容的实时防病毒保护；5．支持WINNT、WIN200X、Unix、OS2等操作系统；6．支持集中管理、远程监控、自动升级、定制安装等功能；7．系统运行效率高、占用资源少，不影响应用系统的正常运行，要求厂商提供服务器防病毒产品对系统资源占用的相关材料，并做出承诺；8．系统能够提供好的安全性、稳定性，确保服务器的安全运行；9．快速检测和清除已知的病毒；10．具有强大防病毒能力和修复能力，能检测和清除来自各种途径的各类病毒、恶意代码和特洛伊木马等黑客程序；发现病毒后，有多种处理方法，支持多种压缩文件格式病毒检测，厂商能够提供几层压缩文件检测；11．对未知可疑行为或代码有一定的监控措施；12．易操作，从最终用户到管理员均可进行病毒防护工作；13．对用户的误操作要有一定的防范措施；14．必须明确服务器防病毒产品对系统的配置最低要求；4.2.3邮件服务器防病毒需求Exchange邮件服务器防病毒具体需求如下：1.包含防垃圾邮件、内容过滤和防病毒等广泛的解决方案。2.要求能自动检测和清除病毒，防护快速传播的宏病毒，保护Exchange服务器受到病毒的威胁；3.有良好的垃圾邮件检测和清除的能力；4.要能够支持MicrosoftExchange2000和Microsoft的病毒扫描接口API2.0以及MicrosoftExchange2003和Microsoft的病毒扫描接口API2.5和和新的垃圾邮件分类方法SpamConfidenceLayer(SCL)；5.能自动过滤不适当的附件名、扩展名或内容，减少Exchange服务器的流量，提高效率；6.电子邮件防病毒产品要求支持常用的压缩文档格式和电子邮件编码格式；7.远程安装和中心管理以及报警能支持多台Exchange服务器，减少管理负担；8.用新的零管理模式设置使管理和配置时间最小化；9.提供主动的爆发通知功能，使在病毒被识别和得到病毒定义码之前管理员能迅速响应和处理；4.2.4客户端防病毒需求客户端病毒防护的具体需求如下：1.可扫描内存、驱动器、目录、文件和LotusNotes数据库和邮件系统。在LotusNotes环境下，数据库和邮件的扫描可以在本地实现；2.支持网络远程自动安装功能；3.可以设定集中管理，工作站防毒程序可由统一的管理程序针对所有工作站防毒程序进行集中管理；包括：预约扫描，检测到病毒时采取的行动；4.能够实时监测网络所有工作站，所有的病毒活动，网络管理同时给予客户端配置的权限；5.所有客户端程序在任何时候连接网络时，都可检测病毒库和扫描引擎的升级；6.检测和清除已知的病毒；7.具有强大防病毒能力和修复能力，能检测和清除来自各种途径的各类病毒、恶意代码和特洛伊木马等黑客程序；发现病毒后，有多种处理方法，支持多种压缩文件格式病毒检测；8.对包括间谍软件、广告软件在内的扩展威胁有良好的检测和清除能力；9.易用，从最终用户到管理员均可进行电脑单机的病毒防护工作；10.兼容系统平台：Windows系列操作系统（中英文）；11.集中日志管理功能；12.病毒防治系统运行效率高，占用系统资源少，对原有系统影响小，要求厂商提供客户端防病毒产品对系统资源占用的相关材料，并做出承诺；13.支持实时防护，并可有效阻挡网络蠕虫的攻击；14.必须明确客户端防病毒产品对系统的配置最低要求.4.2.5网关防病毒需求网关病毒防护的具体需求如下：1.可实时扫描进出SMTP服务器的邮件及其附加文档，FTP及HTTP传输通道的病毒；2.即时扫描并清除隐藏于FTP传输文档中的病毒；3.即时扫描并清除HTTP下载文档中的病毒；4.具备良好的垃圾邮件检测和清除能力；5.可侦测并清除已知病毒，可以对可疑网络行为进行报警；6.具有完整的实时监视功能；7.可对压缩文档进行病毒扫描，可以识别多种压缩格式，包括多层压缩文档，格式包括ARJ、MSCAB、LZH、Pkzip、Pklite、Lzexe、MSCompress、MIME及UUEnooding等；五、ZWL企业网络防病毒体系设计5.1体系设计思想5.1.1实现目标通过赛门铁克国际领先的网络病毒防护产品和丰富的企业网络防毒设计经验，为ZWL企业网络系统提供一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系，有效抵御各种病毒和混合威胁的攻击。提高ZWL企业的病毒防御水平。5.1.2设计原则根据ZWL企业网络系统的现状和系统防毒安全和管理的需要，我们考虑防病毒系统遵循以下几条原则有：技术和产品的成熟性和稳定性、满足需求为第一、必须是主动式的、扩展性和可升级性、可管理性、易用性。5.2产品清单：基于对zwl网络架构及应用系统的分析，判断潜在的病毒防护漏洞，建议zwl采用以下趋势科技防病毒产品：产品功能及用途产品名称部署建议License数量对全网防病毒软件实现中央控管TrendMicroControlManager基于NT/2000操作系统的专用防毒服务器或其它空闲服务器桌面机的病毒防护OfficeScanOfficescan管理控制台安装在专用防毒服务器或其它空闲服务器上，Officescan客户端安装在所有客户机上NT/Novell/Linux服务器病毒防护ServerProtectServerProtect信息服务器安装在专用防毒服务器或其它空闲服务器上，ServerProtect普通服务器安装在所有服务器上对病毒邮件和邮件内容进行网关扫描并对关键字进行过滤IMSS安装在专用的防毒服务器上在网关处实现Http防病毒InterScanWebProtect与ISA服务器安装在一起在网关处实现SMTP、HTTP、FTP防毒InterScanVirusWall视具体应用而定，可直接安装在原有应用服务器上，也可分开安装在专用的防毒服务器上对Domino及Exchange群件系统实现全面防护ScanMail直接与群件系统部署在同一台服务器上集中病毒清除服务器DCS安装在专用的防毒服务器上5.3产品部署建议根据zwl计算机网络潜在的病毒威胁分析，结合趋势科技全系列防毒产品的特性，由点及面，全方位部署，彻底截断病毒入侵的所有途径。5.3.1网关邮件防病毒产品部署IMSS提供企业一套高效能、以策略为架构的内容安全解决方案，架设于企业的SMTP对外网关处，透过网关端快速且全面防护，防制病毒疫情的发生。由于zwzl设有标准的SMTP邮件服务器，趋势科技建议添加一台1000系统的服务器，将TrendIMSS安装在此。在DNS服务器中添加一条优先级别较高的MX记录（与原有邮件邮件服务器所对应的MX记录同属一个邮件域）。这样，外部发送过来的邮件在进行完DNS解析之后，会先发送至IMSS，便可对通过邮件传播的病毒进行有效查杀。处理完以后，根据IMSS的设定，会将该邮件转发至内部邮件服务器上，邮件最终落地。IMSS同时绑定趋势科技的eManager系统，通过企业策略及规则的定制，保证邮件系统和邮件用户不受大规模垃圾邮件的侵扰，同时有效防止企业机密的外泄。5.3.2网关Http防病毒产品部署趋势科技Http防毒软件-InterScanWebProtect试一款与微软ISA服务器紧密结合的网关型的防病毒软件，所以在安装部署时，只要与ISA服务器安装在一台机器上即可起到防病毒作用。WebProtect通过IE浏览器即可方便的进行远程管理。5.3.3网关SMTP/HTTP/FTP防病毒产品部署InterScanVirusWall系统内含有三个模块，分别针对SMTP(e-mail)、HTTP(Web)、FTP协议上的数据流进行防毒。部署时三个模块可集中安装在一台机器上也可分立安装在多台机器上，可以采用不同的平台安装。SMTP防护（安装在邮件服务器上）：安装SMTP模块之前，将原来邮件服务器的服务端口由25改为另一个没有占用的端口，如6000。整个流程示意图如下：HTTP：通过在原有代理服务器上设定上层代理服务器，将Web防毒墙作为作为原有代理服务器的上层代理，实现当客户端访问Internet时，数据首先被WEB防毒墙扫描，然后经过原有代理，到达客户端。如果网络环境中原来没有代理服务器，可以直接在客户端设置安装此模块的机器为代理，实现HTTP防毒。整个HTTP访问流程示意图如下：FTP：主要用来保护客户端下载或上传数据时的防毒安全，也可以与原有FTPSERVER配合来保护FTP服务器。保护客户端时它等同于一个FTPProxy，客户端工作流程图如下：5.3.4Notes系统防病毒产品部署ZWL如果采用了Domino系统的邮件及OA应用解决方案，趋势科技建议在该台Domino服务器上直接部署ScanMailforLotusNotes。5.3.5Exchange系统防病毒产品部署ZWL如果采用了Exchange系统的邮件应用解决方案，趋势科技建议在该台Exchange服务器上直接部署ScanMailforExchange。5.3.6文件服务器的防病毒产品部署在NT、2000、Netware和Linux系统的服务器上安装ServerProtect防病毒系统，提供以上系统的实时病毒防护能力。为了满足大型企业的要求，ServerProtect本身被设计成一个多层结构的软件。它共有三个模块：InformationServer(IS)，NormalServer(NS)，ManagementConsole(MC)。NS是安装在每台文件服务器上的防毒模块，IS是所有NS的集中管理模块，可安装在某一台服务器上；MC是给管理员使用的管理界面模块，可安装在任何一台机器上，以此实现远程管理。因此部署时，可以将IS和MC安装在防毒专用服务器上，NS安装在真正的文件及Proxy、邮件等服务器上。在XXX总部及下属每一个分支机构中，建议增设一台服务器（系统配置需求请见产品布署列表）安装ServerProtect信息服务器及管理控制台（SPInformationServer&ManagemnetConsole），作为Serverprotect的管理中心，在管理中心上实现网内所有服务器的防病毒策略部署和病毒代码、引擎的升级，然后在每一台NT或2000服务器上安装ServerProtect的普通服务器（SPNormalServer）。同时，通过安装TMCM代理程序，Serverprotect就能够被整合在TMCM的管理体系中，并且能够通过TMCM得到“病毒爆发抑制策略”。Serverprotect应用该策略能够保护整个用户网络中的服务器，在最新的病毒码没做出来之前不被新病毒攻击。5.3.7客户机防病毒产品部署对于网络中大量桌面客户机以及便携式计算机的病毒防护：在ZWL的32位操作系统的客户端上可统一采用OfficeScan。它的统一管理、升级和高效的实时防护，能有效的保证服务应用者的应用安全。服务器端通过使用NT域的LoginScript方式、或是使用Web页面方式、网络共享方式、文件复制方式，可以迅速、方便地将OSCE客户端软件部署到每个客户机上，快速且简便。产品实施图：同时，通过安装TMCM代理程序，Officescan就能够被整合在TMCM的管理体系中，并且能够通过TMCM得到“病毒爆发抑制策略”。Officescan应用该策略能够保护整个用户网络中的所有客户机，在最新的病毒码没做出来之前不被新病毒攻击。5.3.8病毒清除服务器部署在Xzwl总部防病毒专用服务器上安装DCS，即可提供给全网用户无代理的病毒清除服务。客户端或服务器通过IE浏览器即可方便的连接到趋势科技的病毒清除服务器DCS，通过IE界面即可对客户端或服务器本地进行病毒的查杀。5.3.9中央控管产品部署控制管理中心TMCM是一种软件管理解决方案，使管理员能从一个中心位置控制防毒和内容安全程序，而无论该程序的物理位置或平台如何。此应用程序简化了企业的病毒和内容安全策略的管理。它使用以下软件管理哲学：•三层管理体系结构：客户机机器、产品级管理服务器、控制服务器。•可以通过因特网访问的基于Web的管理控制台的使用。•用于控制被管理产品的代理的网络的使用。TMCM在趋势科技最新提出的EPS企业病毒防护战略起着至关重要的作用：病毒爆发指挥中心的所有功能都是通过TMCM实现TMCM的出现，把防毒软件传统且单一的升级病毒码抵御新病毒的方式，扩展成为两部分：当一个新的病毒出现：在第一段时间内，趋势科技在最短的时间内会提供病毒爆发策略，根据新病毒的特征，以及新病毒的攻击方式：如通过某个特定端口进行攻击，通过电子邮件的方式进行传播，通过共享文件夹互相传染。通过TMCM把病毒爆发策略自动部署到趋势科技ScanMailForExchange,Emanage,OfficeScan,ServerProtect等全系列产品上。每个产品就会通过所更新的策略，去做一些相应的动作，例如：临时关闭病毒传播的特定端口，临时关闭服务器或客户机的共享文件夹等等。如此，就能在新病毒没有大面积爆发之前，把病毒传播的所有信道全部拦截。在第二个阶段，最新的病毒码，病毒扫描引擎，包括一些相应的专杀工具：如TSC和SystemClean都会制作出来。企业级用户与单机用户对防病毒方案需求的最大区别在于：防病毒策略的快速、有效部署；集中的管理和报警；针对新情况的全网络产品快速升级。趋势科技公司特有的TMCM系统，能有效的将跨平台、跨路由、跨产品的所有防毒产品的管理综合起来。使管理人员能在单点实现对全网的管理。同时TMCM强大的日志和报表功能使管理人员更有效的控制内网病毒防护和病毒爆发的状态。该产品的部署也十分便捷。在本案例中，我们只需在ScanMailforExchange、Emanage,ServerProtect管理中心、OfficeScan管理中心上安装TMCM的客户端产品；而在一台防病毒专用服务器上安装TMCM的服务器端（该服务器位于江苏烟草总部），管理员就可以实现全网防病毒产品的管理及监控。部署架构：5.4集中管理策略由于Nimda之类的混合型病毒的快速散播，一旦病毒疫情爆发，系统管理人员只有极短暂的反应时间。目前有太多信息管道可能成为病毒入侵的途径，这不但严重威胁企业网