XXX图书馆网络安全整体解决计划

PAGE131 ＸＸX图书馆网络平安整体解决方案上海恒驰信息技术有限公司2009—6-10目录TＯC\ｏ\u1ﻩ企业面临的威胁ﻩPAＧＥRＥF_Ｔoc232405３0５\h1—41.1 边界平安 ＰＡGEREF_Toc２32405３０6\h1—７1.１。1ﻩ网关接入平安ﻩPＡGEREF＿Toｃ２32４０53０7＼h1—71。1.２ﻩ边界防病毒ﻩＰAＧEREF＿Toc23240５3０8\h１－81.2ﻩ桌面平安ﻩPAＧEＲEF_Toc23２4０53０9＼h1—８１.3ﻩ网络平安应用管理ﻩPAGEREＦ_Tｏc２32４05３10\h1—９2 整体解决方案ﻩＰAGEＲＥF＿Ｔｏc2３2405３１１\ｈ2－1２2．１ﻩ客户现有网络现状ﻩPAGＥＲＥＦ_Toｃ23２４０5312\h２-122.2ﻩ客户网络现状分析ﻩPAＧＥREF＿Ｔoc232４0531３＼ｈ２－1３2．3ﻩ客户问题整体解决方案ﻩPAGEＲＥＦ＿Toc２３2４０５314\h2-14３ﻩ部署的产品ﻩPAＧEREＦ_Ｔoｃ23２40531５\h３-1７3。1 Hillstｏne公司ﻩPＡGEREＦ_Ｔoｃ２３2４０5３１6\h3-１73。1。１ﻩ面对应用的高性能防火墙需求ﻩＰAGＥRＥF＿Toｃ23２4０５317\h3-18３.１．２ﻩ网络平安设计的基本原则 PAGERＥF_Toｃ２３２405318＼h3-19３.1。3ﻩ技术先进性和有用性原则ﻩＰAGEREF＿Ｔｏc２32４053１9＼h3－19３。1。4ﻩ高牢靠性原则ﻩPＡGＥREＦ_Ｔoc2３240532０＼ｈ3—1９3。１．5ﻩ易于扩展和升级的原则ﻩＰAGERＥF_Toc２３２405321\ｈ3-１９3.1。6ﻩ管理和维护的便利性ﻩＰAＧEREＦ_Toc２324０5３22\ｈ3-２０３.1.7ﻩ网络平安方案设计ﻩPAGEREF＿Tｏc232４０5323\ｈ３-203。1.８ﻩ方案描述ﻩPAGERＥF_Ｔoc23２40５３２４\ｈ3－２03。２ﻩＭｃＡfｅe平安内容网管 ＰAGＥREF＿Tｏｃ2324０5325\ｈ3-233.2.１ﻩ平安内容管理(SＣM)系统概述ﻩPＡGEＲEF＿Tｏc232４05３２6\h3－233.2．2ﻩSCＭ的主要功能ﻩＰAＧEＲEF_Toc23２４05327\ｈ3-2７3。2．3ﻩＭcＡｆeeＳCM功能列表ﻩPＡGＥREＦ_Ｔoｃ２３24０532８\h３—3０3．３ﻩ瑞星网络版防病毒软件 ＰAＧＥREF_Ｔｏc232４０５３2９＼ｈ3－３13。3。1ﻩ瑞星网络防病毒解决方案设计 PAGEＲEF_Ｔｏc2３24０533０\h3－31３.3。2ﻩ方案设计目标ﻩＰAGEＲEF_Tｏｃ2324０5331＼h3—3３３。3。3ﻩ瑞星防病毒解决方案ﻩＰAＧＥREＦ＿Toc23２４0５3３2＼h３-３３３.3.4 瑞星主要优势ﻩPAＧERＥＦ＿Toc2３240５３3３\ｈ3-353.４ﻩ网络应用平安管理软件ﻩPAＧERＥF_Ｔoc23２４0５334\h3—413．4．1ﻩ方案概述ﻩPＡGERＥＦ＿Tｏｃ２３24053３5\h3—４1３.4．2ﻩ黄金甲产品组成: PAGEREF＿Tｏc２324０533６＼ｈ3－4２3．４.３ 网络现状和平安需求分析 PAＧＥRＥF_Ｔoｃ23240５3３７\h3-4３3.4。４ﻩ黄金甲建议的方案 PAGEＲEＦ_Ｔｏc2３２4０5338\h3—45３。４。５ﻩ此方案能够解决的内网平安问题：ﻩPAＧＥRＥF＿Toｃ2324０5３39\h3—4７３．4。６ﻩ方案实施建议ﻩPAGＥREF_Toc232４05340＼h3-4９3。４.７ﻩ系统中心实施建议ﻩＰAGＥＲEF＿Ｔｏc232405341＼h３－493.４．８ﻩ客户端部署建议ﻩＰAＧＥREF_Toｃ23240５3４2\h３-５13。4.9ﻩ选择功能需求ﻩＰAGERＥＦ_Tｏｃ232405３４３\h3－52企业面临的威胁随着网络时代日新月异的进展，计算机病毒的传播和扩散亦不断升级，从宏病毒、特洛伊木马到千变万化、不断“完善”的蠕虫和间谍程序，病毒和间谍软件已给很多个人和企业用户带来了不行估量的损失。纵观病毒的进展史,9０年月初，绝大多数病毒的传播途径是磁盘,因而这一时期的病毒破坏力大多局限于某个区域的范围，传播的速度也相对较慢。然而,当今病毒传播的方式已经完全转变，利用网络技术,以网络为载体频繁爆发的蠕虫病毒、游戏木马、邮件病毒、ＱＱ病毒、MSＮ病毒、黑客程序、间谍软件等网络新病毒,已经颠覆了传统的病毒概念。一个源自中国的病毒可在24小时内散播至全球，若遇上类似Nimda之类的多重渠道感染的黑客型病毒,１－5分钟就可遍及全球.目前,网络平安最主要的威胁仍然来自于计算机病毒的攻击.互联网的广泛应用使计算机病毒没有了国界，我国约有９0％的计算机患病过计算机病毒的攻击。互联网是病毒发作的最大载体，据国外统计资料,目前世界流行的计算机病毒的前１0位是：VBＳ_KALＡMＡR.Ａ,蠕虫病毒，通过邮件进行传播;TROＪ_PRＥＴTＹ_PＡRK,蠕虫病毒,通过电子邮件传播；TRＯＪ＿SKA，在英特网上传播的蠕虫程序，也称作“Hａpｐy９９”；VＢS_LＯVELETTER,互联网传播的病毒,其可寻找本地驱动器和映射驱动器,并在全部的名目和子名目中搜寻可以感染的目标；PＥ＿CIH，恶性病毒，当其发作条件成熟时将破坏硬盘数据，同时有可能破坏ＢIOS程序；Ｗ97M＿ＭＥＬIＳSA．Ｗ,将自身作为附件自动发给邮件地址列表中前50个地址；TＲＯJ_MTＸ。Ａ，同时具有病毒、蠕虫和后门程序特点的程序；TROJ_QＡZ。A，具有蠕虫和后门程序的特点;W97Ｍ＿ETHAＮ.Ａ，宏病毒,使Word的宏防护和确认转换功能失效；Ｏ97M＿TRＩSTＡTE宏病毒，交叉感染MSＷorｄ、MＳＰｏｗerPoｉｎt等。

在这１0种病毒中,通过网络主动传播的病毒占了7种,另外2种宏病毒可以感染人们编辑的文档，然后通过收发邮件进行传播,PE_CIＨ可以通过介质、网络下载进行传播，可见互联网是病毒发作的最大载体.计算机病毒的发作特点及趋势ﻫ从当前流行的病毒种类可以看出目前计算机病毒的疫情特点及趋势.(1）高频度。20０１年至今的病毒疫情发作的频率高,几乎每个月都有新的病毒疫情消灭。据报道造成较大影响的计算机病毒达到百余种之多。而且恶性病毒的比例大,病毒对计算机用户的危害大大增大.（2）传播速度快，危害性极大。由于病毒主要通过网络传播，因此，一种新病毒消灭后，可以飞快通过国际互联网传播到世界各地。如“爱虫"病毒在一、两天内便飞快传播到世界的主要计算机网络.“爱虫”、“秀丽杀”以及CIH等病毒曾给世界计算机信息系统和网络带来灾难性的破坏，有的造成网络拥塞，甚至瘫痪；有的造成重要数据丢失；有的造成计算机内储存的机密信息被窃取；甚至有的计算机信息系统和网络被人掌握。（3）病毒制作技术新，变种多。与传统的计算机病毒不同的是,很多新病毒是利用当前最新的编程语言与编程技术实现,易于修改以产生新的变种。例如“爱虫”病毒是用VＢScｒiｐｔ语言编写的，只要通过Winｄｏws下自带的编辑软件修改病毒代码中的一部分，就能轻而易举地制造病毒变种，以躲避反病毒软件的追击。（4）诱惑性.现在的计算机病毒充分利用人们的奇怪   心理.如前一阵肆虐一时的“裸妻”、“库尔尼科娃"病毒的流行。（5）病毒形式多样化,难于根治。病毒呈现多样化的趋势。病毒分析显示,虽然新病毒不断产生,但较早的病毒发作仍很普遍并有所进展。此外，新的病毒更擅长伪装，如主题会在传播中转变,很多病毒会伪装成常用程序,用来麻痹计算机用户。(6)具有病毒、蠕虫和后门(黑客）程序的功能。计算机病毒的编制技术随着网络技术的普及和进展也在不断提高和变化。过去病毒最大的特点是能够复制自身给其他的程序。现在，计算机病毒具有了蠕虫的特点，可以利用网络进行传播；同时，有些病毒还具有了黑客程序的功能,一旦侵入计算机系统后，病毒掌握者可以从入侵的系统中窃取信息，远程掌握这些系统,呈现出计算机病毒功能的多样化。随着全球经济运行对互联网的依靠,企业同时也面对着日趋升温的病毒和黑客的侵扰，越来越多的企业考虑通过构建网络平安系统从整体上对企业的网络实行更为有效的多重防护。IＣSＡ的数据表明,99％的病毒都是通过ＳＭTP或HTＴP进入用户的计算机的，全球因此造成的经济损失达到了1２9亿美元.客户作为一个成熟的企业,其信息平安问题必须加以重视,如计算机病毒、敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及垃圾邮件的泛滥等，都将对企业正常的运营构成威胁。因此，为保证企业信息的平安以及网络系统的健康,我们有必要在客户的网络当中构建完善的防病毒系统,从系统和网络两个方面有效的抵挡病毒和各类恶意软件。如果要评比２0世纪９０年月以来最有影响力的事物，毫无疑问我们会选择互联网。互联网的进展让我们始料不及，他转变了人们的沟通方式甚至工作习惯。如果从企业经营的角度来思考，网络带来的正面好处是企业竞争力的提升，有效率的信息传递和与客户沟通的便利.但是,不容否认的是,互联网如果使用不当，会对公司对企业产生极大的负面影响。我们常常听到公司老板的埋怨：“花钱买电脑、装宽带。本想凭此提高员工工作效率.但却因此发觉员工上班期间常有滥用网络现象，如上班时间利用网络谈天、看新闻、通过互联网把公司敏感信息轻易传播出去……”。诸如此类问题,令企业的管理者叫苦不迭。所以我们不得不承认:互联网是一把“双面刀”,一方面，它使得企业具有更强的竞争力、沟通力、适应力；另一方面,对互联网使用不当完全有可能给企业自身带来很大的损害.如何对互联网行为进行有效的管理和利用,使Ｉntｅrneｔ网真正为企业的生产和经营活动服务,信任是很多公司企业管理者越来越重视的问题.如何应对互联网带来的负面作用?莫非 是拒绝使用？这唯恐是不行能的,网络已经成为绝大部分公司企业的必要工作手段，害怕互联网的负面影响而隔离于互联世界之外无异于“闭关自守”.那么，在使用互联网的前提下，怎样使公司企业的网络资源更好地发挥作用就摆在了全部公司企业管理者的面前了.我们要解决的问题:如何保证员工的上网行为是合理的、有效的?如何限制员工滥用企业的网络资源？如何合理安排利用企业的上网带宽？如何避开员工通过邮件或互联网泄漏企业的保密信息？如何阻止外部人员对公司内部网络的攻击行为?如何更好的管理网络应用？如何做好内网的平安管理？等等边界平安网关接入平安依据企业网络应用系统的现状以及将来系统的结构进展，我们认为着重考虑企业的Ｂ／Ｓ结构应用特点,是防火墙系统技术指标设计的主要依据。众所周知,防火墙作为网络设备,对网络性能影响最为主要的是两个参数指标，一个是防火墙的TCP连接处理能力(并发会话处理数），另一个是防火墙对网络数据流量的吞吐能力(带宽参数)。B/S结构的应用系统虽然具有管理简洁，客户端开发、使用和维护的成本很低的优点，但是在网络上B／S结构应用系统将会给网络带来巨大的网络流淌数据处理压力,而且是并发的。简略来说，B/Ｓ结构的应用系统在网络上使用，会给网络防火墙带来数倍甚至数十倍于Ｃ/S结构应用系统的并发ＴCP会话数量,而且这些会话绝大部分是包长很短的“垃圾”IP包。而这些垃圾包必定对网络设备的负载有着极大影响。随着Iｎtｅｒnｅt的不断普及，新的网络应用层出不穷，并且对于网络带宽的占用日益增高，如网络视频、网络游戏、BT下载等。企业网络中运行着大量的关键应用,这些关键应用很多都要求极低的网络延迟，而网络中大量的娱乐应用不断吞占着有限的网络带宽,严重影响着关键应用的使用。同时平安和速度始终是两个对立面的事物.追求更高的网络平安是需要以牺牲网络通讯速度为代价的，而追求更高的网络通讯速度则需要降低网络平安标准。在目前依靠于网络应用的时代，能够做到应用层的平安检测以及平安防护功能是全部平安厂商的目标。由于应用层的检测需要进行深度的数据包解析,而使用传统网络平台所带来的网络延迟将是不行接受的。好的平安功能同样需要好的硬件平台去实现。通过对各类防火墙的比较分析，我们认为目前面对B／S结构应用、高性能的硬件防火墙是最为明智的选择。ＨＩｌlsｔonｅSＡ防火墙系列产品可以为客户网络边界平安带来很好的防护，可防止各种攻击行为，具有多种ＶＰＮ接入功能(ＩpSecvpｎ,ＳSLvpn等)，具有很强功能的QoS功能，可针对IP和端口,以及应用对内部用户进行管理，新一代的硬件架构是稳定性和性能完全能满意各大中型企业,企事业单位的需求。边界防病毒随着计算机与网络通信技术的进展,越来越多的企业活动建立在计算机网络信息系统的基础上。而Ｉnｔernｅt在世界范围内的飞快普及，使企业内部网络联入世界范围的Ｉｎteｒnｅｔ的要求越来越迫切。Ｉnternｅt上的商务和经济活动的增多对网络系统的平安提出了很高的要求，解决这些问题的难度也越来越大。来自Inteｒｎet的威胁越来越频繁，不断消灭的网络病毒，间谍软件,木马程序，并呈不断上升的趋势。这不仅影响了计算机网络系统的实际应用，还给企业和个人带来了信息和经济的损失，而且还极大地动摇了用户的信心。“我们能使用计算机来处理我们的重要信息吗”。边界的平安刻不容缓,2０0４年统计85％的攻击主要来自电子邮件和Weｂ，Ｉｎtｅｒｎｅt的给企业带来了便利，同时也带来的平安的风险，不断消灭的攻击行为，病毒，间谍软件，木马程序，给企业的管理人员增加IＴ资源的负担,使汽企业降低系统性能与稳定性,降低员工生产效率,工业间谍,银行帐户哄骗,危及用户数据平安。McAｆｅeSCM系列产品可为各种规模的公司供应全面的Ｗｅb和电子邮件平安防护。其业界最佳的好性能平台可供应针对间谍软件、非法Ｗeb内容、网络钓鱼诈骗、垃圾邮件、已知病毒、蠕虫和木马的防护。桌面平安随着电子商务和金融电子化的不断进展,网络及其应用系统已成为金融机构日常经营管理的基础平台，网络及其应用系统的瘫痪都将使企业付出巨大的代价。计算机病毒恰恰是目前导致企业网络宕机的主要根源,防范计算机病毒对网络系统的危害，也就是在防范经营风险。为了最大限度地防范病毒风险。计算机病毒的进展呈现出这样的趋势:ﻫ１、传播越来越快：随着互联网的快速进展和网民的高速增长，计算机病毒通过互联网传播的速度越来越快，几乎一夜间就可以影响全球；ﻫ2、类型越来越多：计算机病毒的类型呈现多样化,种类繁多，而且不断变异；

3、破坏越来越大:计算机病毒已经全面影响用户的正常使用和企业正常工作，破坏程度随着传播速度加快和传播范围加大而日益加深;ﻫ4、影响越来越广：病毒对一般用户、企业甚至国家的信息平安都产生着严重的威胁，影响范围越来越广;ﻫ５、手段越来越高：现在的病毒往往采纳最新的编程技术，病毒隐蔽性增强,变异飞快，甚至还对抗平安软件,躲避查杀；网络病毒,始终是计算机使用者心中的阴影.从“冲击波”到“熊猫烧香”再到近期消灭的“灰鸽子”,一波又一波的电脑病毒给电脑使用者带来了不小的麻烦。防病毒工作是一项简洁、长期的任务，需要全体人员协作,提高对病毒的警觉和防范意识。瑞星杀毒软件网络版整个防病毒体系是由几个相互关联的子系统组成。每一个子系统均包括若干不同的模块,除担当各自的任务外，还与其它子系统通讯，协同工作,共同完成对网络的病毒防护工作。为网络中的个体计算机供应点到点的立体防护。网络平安应用管理互联网的触角无处不在,企业中的网络应用也越来越成熟。２0０4年全球计算机拥有量达到了5亿台,占全球总人口的10%.在这些计算机中，有超过80％已经与互联网连接.这意味着企业员工可以更快速的从互联网上找到他们需要的内容，可以更高效率的完成工作.但是，互联网也给企业带来前所未有的威胁。全天候24个小时在网络上流淌的内容和进行的网络行为当中，存在着太多的风险。超过６0％的员工在工作时间扫瞄与工作无关的内容,导致５00人的企业在一年中浪费32５万元,企业缺乏有效的上网行为管理手段,将会导致企业的工作效率下降。员工使用企业网络进行非法活动，例如散播反动、色情信息、进行经济诈骗，将把企业拖进简洁的、难以脱身的法律纠纷当中。员工在企业内通过互联网下载音乐、图片、电影、游戏和盗版软件,支付账单或者发送私人娱乐电子邮件,这些行为都会严重占用网络带宽，造成网络堵塞，上网速度下降，极大的影响了其他员工正常使用互联网进行工作，使重要的网络业务无法得到有效的保障。病毒、木马、间谍软件、恶意代码无处不在，当员工在互联网上任意扫瞄的时候，极有可能在不知不觉中就已经中招，系统管理员需要花费大量的时间清除这些潜在威胁,最糟的情况是导致关键数据丢失.另外,通过电子邮件、即时通讯软件可以格外轻易的泄露企业机密信息，对企业参加公正的竞争威胁巨大。信息被窃网络病毒在发作后常常在造成直接破坏的同时，还会释放后门程序，一旦重要服务器中毒,就有可能带来核心技术的泄漏，如果核心技术资料被竞争对手猎取,将可能造成严重的后果。文件服务器传播文件服务器是网络环境下文件储存和访问的主要应用服务器，由于内部通常会有大量的文件存储到服务器中，病毒极易通过文件复制的方式在服务器中传播、复制，大量的病毒入侵可以导致文件服务器功能下降或瘫痪，甚至可能导致重要文件的永久性被破坏。邮件服务器传播电子邮件已成为病毒传播的最大载体,任一与外界有邮件往来的邮件服务器如果没有实行有效的病毒防护措施，极易受到攻击,并会导致病毒在企业内部网中快速传播。其实邮件服务器本身不会受到邮件病毒的破坏,只是转发染毒邮件至客户邮箱中,但是当客户机染毒并产生几何数量级的信件时,邮件服务器会由于在短时间内需转发大量邮件而导致性能飞快下降,直至当机.客户机感染局域网中的工作站会受到病毒的感染，病毒的攻击方式多种多样，有通过Inteｒnet、局域网传播、Ｕ盘、移动硬盘传播等等,一旦客户机感染病毒，便会飞快传播到整个网络中，并且会给日常的工作带来极大的威胁.网络带宽堵塞高速传播和具有网络攻击能力的病毒，能占用有限的网络带宽,导致网络瘫痪。如:“ＡRP”就是典型导致网络瘫痪的病毒，能导致网络交换机、路由器、服务器严重过载瘫痪。经济损失病毒造成的间接损失可能更大，由于病毒普遍都会对储存在计算机上的数据进行删除或破坏，并且盗取用户的信息。病毒造成的后果是直接导致信息资产损失、经济损失，同时,病毒造成的网络带宽堵塞会严重影响正常的办公和生产，每次病毒的传播和破坏都将给企业和个人带来严重的经济损失.格外是最近消灭的专门盗取网络银行帐号、密码，证券交易账号、密码等类型的病毒,将直接给企业或者个人带来最严重的直接经济损失。作为中国领先的互联网应用平安管理软件与服务供应商，黄金甲科技深刻理解这些挑战，以“三分技术，七分管理”为理念,通过先进的技术手段，为客户供应全面互联网应用平安管理产品，保护企业免受应用风险和威胁。整体解决方案客户现有网络现状ＸＸ客户网络结构为一条Ｉｎternｅt线路上网,内部1００多台PＣ客户端，Ｉnteｒnｅｔ有一台路由器接入，路由器内部连Ｉnternet防火墙，防火墙内网口接核心交换机,内部分为三个区域,分别是服务器区,内网办公区，和儿童机房。现网络存在的平安问题是，客户端防病毒和平安防护无统一管理,遇到病毒爆发时无法进行统一分发策略，对于客户端的资源使用状况没有很好的掌握,内网资源的滥用,Iｎｔｅrｎeｔ带宽资源的滥用,很大的影响到了正常的工作,Inteｒnet网关处无病毒平安防护手段，现如今最大的威胁来自于Ｉｎtｅrneｔ，网关防病毒设备是必不行少的。对于客户来说，对计算机病毒的防范应该是“主动防御+传统杀毒”相结合,以防为主。在病毒可能传播的各个渠道中都设有监控，结合定时病毒扫描和自动更新,才能保证整个网络系统的平安。同时，需要结合相应的管理策略,充分发挥瑞星防病毒产品集中管理、主动防御的优势,在客户网中构建有效的整体病毒防护体系。客户网络拓扑结构示意图如下所示：客户网络现状分析ＸX客户网络内计算机部署了一些防病毒软件，但是存在如下一些问题；人员的平安意识通过Interｎeｔ扫瞄、打开网页、下载文件等方式也有可能造成病毒的传播。病毒的传播途径越来越多，针对不同软件漏洞的病毒也不断翻新，很多机器感染病毒的重要途径之一是通过文件夹共享,尽管发文禁止，但收效甚微.防病毒工作是个全员参加的过程,必须全部的人员都提高平安防范意识才能从根本上解决病毒带来的危机。电脑病毒的传播已经给组织信息平安造成了极大的挑战,其危害也日益升级。平安技术的简洁性困惑防病毒工作是个系统工程，涉及到各种操作平台、网络环境、平安设置、人员意识、预警措施、应急措施等多方面.不同平台的操作系统，应用软件的漏洞和防护策略层出不穷;计算机病毒和各种攻击手段也日益更新，任何一个独立组织的信息平安部门都很难有足够的人力和物力支持不断的信息跟进。没有良好的防病毒平安策略，不能构成动态自适应防病毒系统构建一个全面有效的网络防病毒系统,应依据特定的网络环境定制病毒防护策略：策略包括预防策略、升级策略、病毒爆发初期管理掌握策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络平安体系,全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段,能够在病毒爆发生命周期各个阶段对病毒进行有效的掌握,将病毒造成的损失降到最低.没有部署针对不同操作系统平台及应用防病毒软件在客户的网络体系中，各类操作系统平台有大量应用,如Ｗｉｎdows/NT/20０0系统、ＵNＩX／Lｉnux系统，此外还分布有大量应用系统，如:邮件系统，数据库系统等.如果没有实行任何病毒防护措施,这样信息交换很难保证该网络系统的平安，会对各类操作系统及关键应用业务产生潜在的平安威胁。缺少防病毒中央控管系统由于客户网络节点太多，且分布较散,要管理好整个防病毒系统良好运行必须有一个良好的管理掌握系统.能通过掌握中心实现远程异地管理远程防病毒软件，监视该软件的运行状况参数(如防病毒软件病毒库、扫描引擎更新日期，系统配置等）。能实现病毒集中报警,精准定位病毒入侵节点，让管理员对病毒入侵节点做适当处理以防危险扩大.掌握中心能与其它网络平安系统实现联动,协同管理工作。缺少全网病毒代码统一自动更新功能构建有效病毒防护的关键环节需要保证产品能做到定期升级,网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能，同时具备自动分发功能，能够在单点更新，然后在不需要人为干预的情况下，实现全网全部产品的病毒码更新.尚未建立完善的平安制度和制定平安培训机制防病毒工作是一项简洁、长期的任务,需要全体人员协作,提高对病毒的警觉和防范意识。防病毒系统需要建立良好的平安规范，以制度严格掌握不良行为，另外，还得提高全体人员的防范病毒的能力。网络平安应急小组至少配备2—３人才能很好的处理网络平安运营的全部大事,应急处理技术和人员管理也需要专业应急小组供应技术培训和长时间的跟踪培训.缺乏完善的防病毒信息支援体系防病毒厂商长期供应防病毒信息、新病毒预警信息、平安培训等专业的支持,以提高整个网络使用人员的防病毒素养。客户内部尚未建立完善的信息支援系统。客户问题整体解决方案基于客户以上问题,上海恒驰信息有限公司处于负责的态度建议客户从网关处到客户端部署一整套平安防护系列产品来完善企业网的平安建设,其中包括：Ｈillｓｔｏnｅ防火墙McＡfeeSＣM防病毒网关瑞星企业版防病毒软件黄金甲平安管理系统选不同厂家的产品是出于异构的考虑，即使其中一个产品消灭问题，也不会影响到其他不同品牌的平安产品的防护。对于防护平安产品的异构解决方案的实行，主要优势在于功能的互补,产品消灭重要BＵＧ时的内部网络不会消灭防护空洞期的产生.Hiｌｌstｏne专有的多核CPU加ASＩC构架防火墙部署在Ｉｎｔｅｒnｅt接入处，上联intｅrnｅt线路,下联内部网络，主要功能在于对内部上网人员进行策略掌握，端口限制，服务器映射发布,ＶPN接入等，使内部上网人员上网的权限明确化。ＭCAｆｅeＳCM平安内容管理设备部署在网关处,外部防火墙和内部交换机之间，对进出的上网流量进行病毒检测,支持协议HＴTP、ＦTP、ＩCAP,对网页上的间谍软件，木马，广告软件的等进行检查，建议，阻止等一系列操作，针对内部邮件进行病毒和垃圾邮件的检测，支持协议POＰ3、ＳMTP。桌面端部署瑞星企业版防病毒软件，对客户端PＣ进行统一策略调整，统一病毒扫描,统一更新，在内部消灭问题或者病毒爆发时可以准时通过服务器端对客户端进行统一调整策略,使病毒危害降到最低,确保客户端不会由于病毒问题而带给管理员极大的工作量。黄金甲内网平安管理系统对内部人员的上网行为进行监控，上网带宽使用状况进行汇总，对PＣ客户端远程管理，应用程序的监控和使用状况，另外，针对客户端的PC进行管理,包括光驱，usb，应用程序等。产品部署之后的网络示意图如下：部署的产品Hillｓtone公司山石网科通信技术（北京)有限公司(以下简称“山石网科"）创建于２006年，是网络平安领域的代表企业之一，公司总部位于中国北京，并在美国硅谷设有研发中心.山石网科积累了多年网络平安产品研发和市场运做阅历，专注于信息平安，是专业的新一代平安网络设备供应商。ﻫﻫ目前,山石网科拥有员工2００余人，其中博士、硕士占30％以上,公司的核心团队由来自Junｉpeｒ、Cｉsｃｏ、Netscｒeｅn、Forｔiｎｅｔ和Ｈ3Ｃ等中外闻名企业的精英组成，具备先进的技术阅历和丰富的企业管理阅历。公司总注册资金475万美金，设有系统架构部,系统运营部,软件系统部，渠道销售部，售前售后技术部等部门,并且已经通过投资、控股和合作等形式,在亚太区形成了良性进展的产业和营销体系。

ﻫ自成立以来,山石网科就以“贴近市场，贴近客户，快速把握并满意客户需求”为己任,用产品和方案来帮助客户获得网络平安,从而实现自身的企业价值。山石网科凭借其独特的服务精神和强大的技术实力，以国际一流的技术打造适合中国本土化应用需求的高性能产品,并供应高性价比的新一代网络平安整体解决方案，服务于中国高速进展的网络市场。作为产业链中至关重要的一环，山石网科勇于创新，公司的SR系列平安路由器和SA系列平安网关产品，已经为网络平安领域树立了新的平安网络产品质量水平，在国内各大中小型企业及各高校中拥有了强大的客户群体，并赢得了用户的高度肯定。ﻫﻫ在网络时代的今日,山石网科愿与全部客户、合作伙伴一起，在探究与实践中国网络平平稳健和谐进展的新长征中，携手共赢!面对应用的高性能防火墙需求依据企业网络应用系统的现状以及将来系统的结构进展，我们认为着重考虑企业的B/S结构应用特点，是防火墙系统技术指标设计的主要依据。众所周知，防火墙作为网络设备，对网络性能影响最为主要的是两个参数指标，一个是防火墙的TＣP连接处理能力(并发会话处理数)，另一个是防火墙对网络数据流量的吞吐能力(带宽参数）.Ｂ/S结构的应用系统虽然具有管理简洁，客户端开发、使用和维护的成本很低的优点，但是在网络上Ｂ/S结构应用系统将会给网络带来巨大的网络流淌数据处理压力,而且是并发的。简略来说,B／S结构的应用系统在网络上使用,会给网络防火墙带来数倍甚至数十倍于Ｃ/S结构应用系统的并发ＴCP会话数量，而且这些会话绝大部分是包长很短的“垃圾"IP包。而这些垃圾包必定对网络设备的负载有着极大影响。随着Interｎet的不断普及,新的网络应用层出不穷,并且对于网络带宽的占用日益增高，如网络视频、网络游戏、BT下载等。企业网络中运行着大量的关键应用,这些关键应用很多都要求极低的网络延迟，而网络中大量的娱乐应用不断吞占着有限的网络带宽，严重影响着关键应用的使用。同时平安和速度始终是两个对立面的事物.追求更高的网络平安是需要以牺牲网络通讯速度为代价的,而追求更高的网络通讯速度则需要降低网络平安标准。在目前依靠于网络应用的时代,能够做到应用层的平安检测以及平安防护功能是全部平安厂商的目标.由于应用层的检测需要进行深度的数据包解析，而使用传统网络平台所带来的网络延迟将是不行接受的。好的平安功能同样需要好的硬件平台去实现。通过对各类防火墙的比较分析，我们认为目前面对B/S结构应用、高性能的硬件防火墙是最为明智的选择。网络平安设计的基本原则技术先进性和有用性原则网络平安方案中采纳技术,具有肯定的前瞻性，符合肯定时期内网络平安技术进展的趋势，并在今后肯定的时期内处于领先地位.网络平安系统设计必须遵循先进性和成熟性。由于ＩT行业的技术更新换代很快,为了保证网络能够满意今后一段时间内应用的进展，在选择网络平安技术和设备时不仅要考虑先进性,也要考虑技术的成熟性,同时更要考虑接入业务的特点等多方面的因素。一种新技术在刚消灭时往往有很大不稳定和不确定因素，需要有一个进展、逐步完善和实践检验的过程，常常有一些技术在刚消灭时被宣扬和评价很高,但在一段时间后发现存在很多问题，甚至很快退出市场。用户采纳了这种技术，往往会由于设备厂商转产停产等问题，无法对网络扩展升级，最终造成前期投资的浪费。一种新的技术产品在刚消灭时一般价格都格外高，所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用,并且在使用中得到肯定之后。虽然这时的技术可能已经不是最新的技术，但技术已经成熟,设备的性能价格比更高。所以选择网络技术和设备时不要去追求最新最好,应该遵循先进性和有用性相结合,并找出其中的平衡点。高牢靠性原则由于网络对数据传输的实时性的要求，对网络的传输环节要求很高。因而要求选用的网络平安设备具有相当高的牢靠性,要达到电信级标准,具备9９。99９％的牢靠性。建设一个运行稳定牢靠的现代化网络系统，网络中任何一台平安设备或任何一条平安设备上的线路发生故障都不会导致通过该平安设备互联的两个网络无法通讯，并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排解.易于扩展和升级的原则网络及数据通信技术进展速度快、新的设备不断面世,新业务也将逐步运行在新的数据网上，用户对带宽的需求必将增长,需要将网络系统扩容，因此在网络设计时应充分考虑将来网络的扩容和升级问题。随着企业的进展扩大，网络的系统性能的需要将不断提高，网络的规模也会不断扩展,而隔离网络的平安设备也同样需要扩容和升级。所以在设计网络时,要充分考虑到网络平安设备的可扩展性，为了保护用户的投资，设计应保证至少若干年内网络的升级和扩展不需要更换主要网络平安设备,只通过增加一些模块就可以实现网络性能和规模的扩展,满意今后几年业务进展的需要.管理和维护的便利性网络系统中的全部平安设备均应是可管理的，支持远程监控和故障的过程诊断和恢复。可通过网管软件便利地监控网络运行的实时情况，对消灭的问题准时处理和解决。网络平安方案设计ﻩ方案描述为了保护花木劳动保障中心的内部应用网络和对外供应的服务,建议在当前企业的Iｎｔｅrnet出口处使用HｉllＳｔonｅ防火墙来进行平安保护，用HiｌlｓonteSA系列防火墙作为链路接入设备。为了保护内部网络，我们建议防火墙用NＡT模式，隐藏内部私有网段。在保障中心网络的接入层,内部网络和Iｎteｒnｅt的连接部分我们部署一台HillSｔoneＳA路由器。连接Inｔernet的ＩSＰ链路被直接连接到ＨillsｔｏneSA防火墙上,内部用户需通过核心交换机连接到HilｌsｔonｅSＡ防火墙内网口,防火墙做NＡT模式。为了保护内部的主机和服务器,我们需要将防火墙上的端口依据需要划分到不同平安级别的平安区域:到Iｎterｎeｔ的链路端口划分到UnＴrusｔ区域，Tｒusｔ区域端口连内部网的核心交换机。将防火墙设置为NAＴ模式。这样就可以保护内部的私有网段，同时内部人员访问外网都将通过地址转换和端口转换。HｉｌｌstｏneＳA防火墙有着强大的ＮAT功能，我们可以依据需要灵敏的设置NＡT，包括1对１的NAＴ，基于端口的ＮAＴ，源地址NAT和基于目的的ＮAT等。通过防火墙的ＤOＳ防护功能保护公司网络和对外服务.HｉｌlstonｅSA防火墙每秒能够供应多达３万的ＴＣＰ会话恳求，具有超强的SYNＦlood抗攻击能力和DＤｏS抗攻击能力。HilｌSｔｏnｅ－SＡ防火墙可支持入侵检测防御功能，我们可依据需要打开防火墙上的入侵检测功能，这样就可以对内部应用主机的应用层服务增加更高层次的平安防护功能。防火墙访问掌握策略的设定。在防火墙上设置访问掌握策略，不允许内网某些用户访问Inｔeｒｎｅt。或者禁止外部对内部的非正常形式的访问(或依据需求开放某些端口和应用）。ＨiｌlＳtonｅ有着强大的访问掌握策略设置方法，可以有效保护内部网络对Iｎｔｅrneｔ的访问,和公司对互联网供应的各种服务。利用HｉllＳtｏne防火墙卓越的带宽流量掌握,可以为总部的主机访问进行的流量安排。ＨilｌStone供应流量的实时监控功能，可通过查看所供应的信息记录选择策略形式,实时监控网络状态，流量记录有:流量记录表、报警记录和日志。配置传输掌握策略时，可以针对用户：●设立时刻表,监控每周的每一天允许传输的速率大小和起始终止时间.●设置传输优先级，HillSｔｏｎｅ防火墙供应八种优先等级，并可依据网站供应服务的重要性和用户的工作的性质分别做出不同等级的质量带宽安排。●可依据策略设置传输掌握策略的端口带宽,固定安排那一条策略占有多大的带宽。设置传输策略的带宽最大限度及最少保证.６．ＨｉllSｔone供应时间管理，可帮助网管人员安排给不同的用户固定的时间段里才能上网，或依据服务安排固定的时间段,在这时间段里网络服务恳求才能通过防火墙。限制了员工使用公司资源.HiｌｌＳtone防火墙供应VPN功能，外部和远程的人员可以通过ＶPN隧道与防火墙内的计算机建立连接.方案可以实现：通过ＨiｌｌＳtonｅ防火墙，能够有效保护内部网络的平安和对外供应的服务平安.ＨｉllｓtoneSA防火墙的６4位专用多核并行处理器能够避开纯ASIＣ和NＰ平安系统会话可管理能力和流量掌握能力弱的弊病，为ＶPN和应用层内容平安功能供应强大的处理能力保障.整个网络平安的到了保证，HiｌｌＳtoｎｅ防火墙将有效保护内部网络,我们能够有效阻止外界对公司内部和服务的DOS攻击，以及4-7层的应用层攻击。HＩＬLＳTOＮＥ供应了强大的带宽管理功能,可以依据源和目标IＰ址或者地址组、应用程序、端口等对流量进行分级和处理。QOＳ带宽管理确保了服务质量,保证关键应用的高性能,可以依据简略参数对流量类型进行区分，并确定如何恰当地处理流量类型，从而对内部的用户进行高效的带宽管理。ＶＰN功能可以保证远程接入用户对内网访问的平安性。HillＳtｏne的解决方案有如下优点:供应专业的网络平安服务HｉllＳtｏne是一家专业的网络平安设备厂商，具备多年平安设备研发和售后阅历,能够为用户供应最准时最有效的平安解决方案。高性能的防火墙和防攻击能力ＨｉllＳｔｏnｅSＡ系列供应超强的防火墙吞吐能力，能够满意企业网络中全部网络环境的吞吐要求.同时,SＡ系列内置了防攻击模块,能够有效地避开网络攻击对企业网络的影响。先进的应用层管控机制ＨilｌStonｅSA系列产品能够为用户供应先进的应用层管控技术，包括URL过滤、带宽管理、P2P/IM管理等等，能够使用户在保证网络连通的前提下更细粒度的管控自己的网络。供应高性能的应用层解决方案HｉｌｌStｏne产品采纳专用的6４位多核处理器，能够为应用层数据处理供应前所未有的性能支持,保证在高吞吐高流量的情况下从容有效地进行应用层的管控.提高企业网络部署的灵敏性和扩展性随着企业进展，企业网络也会不断进展变化。HilｌStonｅ企业网络解决方案能够凭借HillStonｅ产品的多种智能化的功能实现，全面协助企业网络应用的演化。在企业网络的特定网络平安环境下,通过HｉlｌSｔｏne产品的部署，灵敏的进行功能扩展，最大化的保证了企业网络的灵敏性和扩展性。降低系统维护难度和成本凭借多种人性化管理维护方式和HillＳtone集中管理功能的实现,HｉllStoｎｅ企业网络解决方案能够极大的降低系统的维护难度和成本。结合HiｌlＳtｏnｅ专业本地化厂家技术支持和研发队伍，能够为企业应用供应最优质的专业技术保障。McＡfeｅ平安内容网管平安内容管理(SCM)系统概述MｃＡfeeＳＣM产品在当今错综简洁的网络环境下,确保进出组织的信息的平安至关重要.McAｆee平安内容管理设备可为各种规模的公司供应全面的Ｗeb和电子邮件平安防护。其业界最佳的好性能平台可供应针对间谍软件、非法Ｗeｂ内容、网络钓鱼诈骗、垃圾邮件、已知病毒、蠕虫和木马的防护.MｃAｆｅeSｅｃureWebGａteｗａy及MｃAfｅeＳｅcureMｅsｓagingGａteｗay可以为大型企业供应所需的极高吞吐量，McAfｅeSecureInternｅtGatｅway则专用于规模不超过1００0个用户的中小型企业或分支机构。MｃAfee®SｅcureWｅbＧaｔeway(SWＧ)是业界第一款企业级的高性能Web平安设备解决方案，它能供应全方位的保护，使您的网络免受Wｅｂ威胁的侵扰.其高性能的ASIC加速平台供应了无可比拟的性价比，而MｃAｆｅｅ过滤技术则能拦截间谍软件、不适当Weｂ内容、网络钓鱼诈骗、已知病毒、蠕虫和木马。SecurｅWebGａtewａｙ全方位的保护、极高的性价比和低廉的总拥有成本使其在业界同类产品中一枝独秀。除了McAｆｅeＳWＧ外，MｃＡfee平安内容管理设备系列还包括ＳecｕrｅMeｓｓａginｇGateｗay(ＳMG）（一种专用电子邮件平安设备）和SｅcｕｒｅInｔｅrnetＧaｔeway(SIG)（一种面对中小型企业客户、完全集成Web和电子邮件的平安设备)。防病毒管理服务器:MｃAｆeｅｅPｏｌｉcyＯrchestratoｒ３．５。McＡfee®SecuｒｅMesｓａginｇGaｔｅway（SＭG)是业内领先的电子邮件平安解决方案，它可以保护网络免受垃圾邮件、不适当内容、网络钓鱼诈骗攻击、蠕虫和已知病毒的侵扰。这种专用设备旨在供应可以满意最苛刻的电子邮件平安要求的企业级性能.单一的、统一管理掌握台（ＭｃＡfｅeｅPolｉcｙOrｃhestratoｒ?）可以帮助您降低整体拥有成本，我们在从桌面机到网关的任何一款McAfｅe平安产品中都可以观察它的身影。除了McAfeeSMＧ外,McAｆeeSｅcuｒeＣonｔenｔMａｎａgｅmenｔ？系列设备还包括ＳecｕreWebＧaｔeway（SWG）（一种专用Web平安设备),以及ＳecｕrｅInterｎetGatｅｗaｙ(SIＧ）(一种面对中小型企业客户、完全集成Ｗeｂ和电子邮件的平安设备).McAｆｅeSCM的产品优势建议的ＭcＡfｅe网络防病毒系统建立后，将达到以下防病毒效果：防止间谍软件进入网络,削减桌面成本,降低信息被窃取的风险；通过拦截已知病毒和蠕虫来保持业务的持续性;通过阻止对不适当网站的访问,提高员工生产力并节省带宽资源;透明的用户操作；通过拦截垃圾邮件来提高员生产力、减轻电子邮件服务器压力；通过拦截已知病毒和蠕虫来保持业务的持续性;通过拦截网络钓鱼诈骗邮件来降低信息被窃取的风险；使用单一的集中设备McAfeｅeＰolｉｃyＯrｃｈestrａtｏｒ统一管理网关ＳMG和桌面McAfeeVirusSｃａn®平安,从而减轻员工的工作量；通过对进出的电子邮件进行过滤来削减责任、提高信息平安性;无与伦比的性价比。ＳCM产品的部署透明网桥透明网桥部署采纳SCM３２00的两个１0/１00/１0０0Ｍ自适应端口以串联方式接入到网络，如上图所示：透明网桥方式的优点：ＳCM配置简洁；透明网桥方式工作在网络IＳＯ模型的其次层，对应用和网络层是透明的,因此,不需要修改ＳＣM３20０两端网络设备和服务器的任何配置,也不需要修改企业其它的任何配置。选择透明网桥方式工作时,当设备消灭故障,便于恢复，只需将设备从网络上撤下,就可以恢复正常邮件服务。当进行HTＴP扫描时，透明网桥接入方式不要求客户端扫瞄器输入代理服务器IP地址和端口.显式代理显式代理采纳SCM３2０0的第一个局域网端口接入到网络,如下图所示：显式代理部署显式代理部署工作方式选择显式代理.显式代理的优点：不扫描的网络协议流量不经过SＣＭ设备,不会影响设备的性能；不会造成网络单点故障。存在ＢluｅＣoａt等ＷeｂCachｅ设备时ＳCM设备的部署方式部署方式和网络数据流前后关系如下图：因ＳCM和ＢlｕeCoａt之间有集成，所以这也是一种牢靠的方式，但是这种方式当存在两台SCＭ设备时,最好有Raｄwａre或者Ｆ5的负载均衡设备。采纳这种部署方式的好处是：配置简洁，并且SCM和BlｕeCoａt间有集成；SCM只通过扫描的协议,不需要像透明网桥那样做桥的Fｏｒward功能当有负载均衡设备时，不会存在单点故障McAｆｅe防病毒系统和SCM产品的主要功能ＳＣM的主要功能无与伦比的间谍防护软件—MｃAｆeeSＣＭ包括ＭcAｆee屡获殊荣的反间谍软件技术。ＭcＡfeｅSCM可过滤HTTP和FTＰ流量,保护您的网络免受间谍软件、广告软件、拨号程序、按键记录类程序和后门程序的侵扰.MｃAｆeeSCM使用与桌面平安产品McAｆeeAnti－SｐyｗaｒeＥnteｒprｉse同样高度精确的样式文件将这些威胁拒于网络之外。可选的Ｗｅｂ过滤模块(见下文）可供应抵挡间谍软件的其次级保护。它可以防止员工访问带有间谍软件和广告软件的网站。深层病毒防护－McAfeeSCＭ基于屡获殊荣的桌面机防病毒产品的病毒防护技术。MｃAfｅｅ病毒防护的核心引擎通过拦截已知病毒和未知病毒，保护您的网络免受零时间攻击和新病毒威胁.McＡｆeeSCM可扫描全部使用HＴTP和FTＰ协议的Ｗeb流量。Web过滤模块－McAｆｅe的Ｗeｂ过滤模块能拦截与您的业务无关的网页，从而节省带宽,降低业务风险和法律责任，提高员工的生产力。该模块与McAfeeSCM完全集成，您可以通过可选的许可证使用该模块。它包括一个拥有超过6百万个URL且每日更新的综合数据库,依据灵敏的策略执行选项，这些ＵＲL可分为69种ＵRL和１0种用户定义类别。全面的可扩展管理—MｃAfeeSＣＭ包括一个基于扫瞄器的内建管理系统，但也能够由ＭcＡfeeePｏｌicyＯrｃhestｒaｔoｒ®（ePO™)管理。通过ｅＰO可以对全部关键平安措施（例如病毒防护解决方案、反间谍软件解决方案、垃圾邮件防护解决方案、反网络钓鱼诈骗解决方案和Ｗeb过滤解决方案)实现从网关设备到桌面系统的集中管理。集中管理可以降低您的拥有成本。IＣAＰ支持-如果您现有的Wｅｂ缓存服务器支持IＣAP，那么ＭｃAfeｅＳＣＭ将与其无缝结合，发挥出最佳性能。深层邮件病毒防护-ＭcAｆｅeSCM基于屡获殊荣的桌面机防病毒产品的病毒防护技术。MｃAｆｅｅ的病毒防的核心是一个能够拦截已知病毒和未知病毒的引擎。该引擎能够保护您的网络免受零时间攻击和新病毒威胁。McＡfeeＳCＭ能够扫描全部采纳SMＴP和ＰＯＰ3协议的进出邮件流量.高级电子邮件内容过滤技术-如果能既防止不适当内容进入网络,又防止敏感信息外泄,那该多好啊!ＭｃAｆeeＳCＭ内置的电子邮件内容过滤功能可以让您二者兼备。由于能对电子邮件和３00多种附件进行词汇扫描，因此，如果邮件含有违反内容规章的特定词汇或词组,McＡfｅeＳCＭ就可以对它们进行拦截或修改。垃圾邮件防护和反网络钓鱼诈骗－McAｆeeSCＭ内置垃圾邮件防护模块（单独购买许可)，它可以利用多种极其简洁的技术来检测和拦截垃圾邮件和网络钓鱼诈骗。由于采纳先进的McＡｆee技术和方法，因此,每隔１0分钟就会进行流式更新，从而确保至少９5％的效率.垃圾邮件拦截技术包括：完整性分析启发式规章内容过滤支持黑名单和白名单支持DＮＳ拦截列表贝叶斯过滤每日垃圾邮件处理、终端用户隔离终端用户黑名单和白名单领先市场的性能—ＭｃAｆeeSCM是一款性价比出众的产品.在病毒防护设置完成的情况下，33０0设备能以每小时２1万封的速度扫描ＳMＴP流量。如果需要更高的性能，通过使用内置的负载共享功能，您可以使用多个设备来进行扫描。如果您的企业规模较小（少于100０名员工),您可以考虑使用ＭcAfｅeSｅcｕreＩnternetGａtｅwａy,该款产品格外针对中小型企业进行了优化。全面的可扩展管理—McＡfeeSCM包括一个基于扫瞄器的内建管理系统,但也能够由ＭcAfｅｅePｏliｃｙOｒｃhｅｓｔｒaｔor(ｅPＯ™）管理.通过ePO可以对全部关键平安措施（例如病毒防护解决方案、反间谍软件解决方案、垃圾邮件防护解决方案、反网络钓鱼诈骗解决方案和Ｗeb过滤解决方案）实现从网关设备到桌面系统的集中管理.集中管理可以提高管理速度,降低管理难度和整体拥有成本。策略管理LDAP支持—企业中的各个小组可能具有不同的需求。财务组的需要可能有别于制造组。MｃAfeeSCM允许您制定不同的平安策略来满意不同组群的需要。为了简化策略制定,McＡfeeSCM平安策略可以使用您现有的LDAＰ名目。保护系统的完整性-McAfeeSCM可以拦截以您邮件系统为攻击目标的帐号搜集攻击和任何形式滥用。MｃＡfeeSCＭ功能列表功能McAｆeｅSＣM４.０防病毒、反垃圾邮件、内容过滤三种功能是接入方式显示代理、透明网桥和透明路由支持协议SMTP、ＰＯP3、Ｈttp、ＦTP和ＩＣAPOＳ系统Ｌiｎuｘ是否依据NＳAＬｉnｕx平安加固标准加固是防病毒引擎MｃAｆee防病毒引擎Ｓpywaｒe阻挡功能有恶意Cookie阻挡功能有支持ＩCAP协议支持高级UＲL过滤支持管理界面ＷebDａｓhboard监控界面有反垃圾邮件核心技术多重技术,包括贝叶斯智能反垃圾邮件技术(动态内容规章过滤技术）贝叶斯智能反垃圾邮件技术:垃圾邮件、正常邮件学习功能有用户自定义规章自适应反垃圾邮件技术有个人垃圾邮件管理功能有中文垃圾邮件支持更好的支持，贝叶斯智能反垃圾邮件技术（动态内容规章过滤技术),通过垃圾邮件、正常邮件学习产生Haｓh过滤表。DirectoｒyＨarｖeｓｔing阻止收件人不存在的邮件进入邮件服务器有反PｈishiｎgMａil功能有隔离邮件摘要功能有是否可以进行企业发送的垃圾邮件过滤是StreaｍｉｎgUpdａte功能有统计分析功能有同ePO的整合功能能够和ePO实现完善的整合瑞星网络版防病毒软件瑞星网络防病毒解决方案设计方案设计思想依据上海XXX有限公司（以下简称ＸXX）单位的实际情况,我们建议在ＸＸＸ建立整体的网络防病毒体系，并贯彻如下四点整体防毒的基本设计思想:全方位、多层次防毒网络级防病毒体系应该部署多层次病毒防线，截断病毒可能传播的各种渠道,如服务器、客户端等，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面防范。集中管理没有集中管理的防病毒系统是不完整的防毒系统。在XXX网络整体防病毒的方案中,我们结合ＸＸＸ网络结构以及行政管理结构,构建了统一的防病毒集中管理系统，保证了整个防毒产品可以从病毒监控管理中心准时得到更新,同时又使系统管理人员可以在任何时间通过管理掌握台对整个防毒系统进行集中管理，使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防毒系统有效、准时地拦截病毒。确立集中管理与分级管理相结合的原则，既能够保证管理的统一性，又能够做到责权分明；既能够达到病毒防护策略的统一性，又能够实现某一简略网络环境、网络应用服务下的病毒防护策略的简略应用。通过对整个网络防病毒系统病毒日志的统计分析,准时发现病毒爆发疫情状况、网络防病毒系统新的脆弱性。技术是保障需要具备优秀的病毒查杀引擎，实现全方位、多层防护，针对服务器、工作站等部署病毒防护系统,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范。服务是后盾服务是整体防病毒系统中极为重要的一环。防病毒系统建立起来之后,能不能对病毒进行有效的防范，与病毒厂商能否供应准时、全面的服务有着极为重要的关系.设计原则XＸX的网络防病毒系统应本着如下原则进行设计：全面防护原则:为全网供应全面的病毒防护,建立多层次立体的防护体系。平安性原则:充分保证系统的平安性。使用的信息平安产品和技术方案在设计和实现的全过程中应有简略的措施来充分保证其平安性。牢靠性原则:保证产品质量的牢靠性。对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的平安牢靠.先进性原则:简略技术和技术方案应保证整个系统具有技术先进性和持续进展性.可扩展性原则：由于目前平安技术的进展和变化格外飞快，方案采纳的技术应具有良好的可扩展性,充分保护当前的投资和利益.可管理性原则:系统都应具备在线式的平安监控和管理模式。合法性原则：产品需要公安部和国家信息平安产品测评中心的认证，参加实施企业需具有国家认可得平安服务资质.产品选型原则先进的查杀病毒技术；选择的反病毒厂家具有先进的反病毒技术，选择的产品能够查杀当前已知的病毒，并且对能够有效拦截和查杀未知病毒。厂商开发、服务的本地化；反病毒厂家在中国具有自己的研发基地和完善的服务网。能快速响应国内的计算机病毒大事和技术支持服务.安装、操作、管理简洁;防病毒具有多种远程安装方式,满意在简洁局域网的便利、快速布置防病毒客户端。能够实现病毒防护的实时性；能够对病毒可能传播的途径（网络、光驱、软驱、内存、）进行实时监控，阻止病毒通过这些途径传播。可以扫描网络中的系统漏洞。可以在网络中扫描每个系统的漏洞、未打的补丁,并且帮助有漏洞的系统安装补丁程序,更有效的保护整个网络系统。具备对网络内服务器、工作站等全部计算机的防病毒能力；反病毒产品具有对全系列的操作平台的监控产品，实现网络内的层层布防。在广域网范围内可具有跨路由、防火墙等的全网集中与分级防病毒管理能力；反病毒产品具有支持大型简洁网络的多级管理功能,实现网络内的多级管理,实现统一集中管理,内部责任明确。具备可实施远程自动分发、自动产品版本及防病毒引擎文件升级等远程掌握功能;产品具有全网统一升级功能,实现内部全部防病毒产品的统一升级、自动更新病毒代码和反病毒引擎,保证网内全部防病毒产品具有最新、全都的防病毒能力.方案设计目标本方案的整体设计目标是在XＸX的网络中建立一套完整的网络病毒防护系统，并以此为契机，完善网络的病毒防护管理制度,以确保XＸX的网络受病毒侵扰影响运行的机率降至最低,确保构建于网络上的业务的有效运行。简略目标如下：在XＸＸ的服务器上部署服务器防毒系统，确保服务器系统的高牢靠性;在XXX的全部客户端上部署客户端防毒系统，确保客户端不会由于病毒问题而带给管理员极大的工作量;在XXX网络内对上述部署的防毒系统进行集中控管、集中更新，同时在病毒爆发时可以快速部署预防策略,阻断病毒的传播途径，快速消除病毒对整个网络系统的影响;建立全网漏洞扫描与补丁分发管理系统,协助系统管理员找到所需的修补程序,以预防系统染毒或反复染毒.瑞星防病毒解决方案建立防病毒管理体系依据ＸXX网络的结构简略情况，在本方案中,我们建议只建立统一的集中防病毒管理体系，主要步骤如下:首先，在ＸXX的信息中心建立一个防病毒监控管理中心(系统中心).其次，在XXＸ网络中的各服务器和客户端上部署瑞星防病毒服务器端和客户端,并与防病毒监控管理中心建立通讯，可被防病毒监控管理中心集中控管。瑞星防病毒监控管理体系的组成防病毒监控管理体系主要由瑞星系统中心、瑞星管理掌握台、瑞星防病毒服务器端和瑞星防病毒客户端四个部分组成.各个子系统协同工作，共同完成对整个网络的病毒防护工作,为用户的网络系统供应全方位防病毒解决方案。其中：瑞星系统中心：是整个瑞星杀毒软件网络版网络防病毒体系的信息管理和病毒防护的自动掌握核心，它实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息,同时依据管理员掌握台的设置，实现对整个防护系统的自动掌握。瑞星防病毒服务器端／客户端：是分别针对网络服务器/网络工作站(客户机)设计的,担当着对当前服务器/工作站上病毒的实时监控、检测和清除，自动向系统中心报告病毒监测情况，以及自动进行升级的任务。瑞星管理员掌握台：是为网络管理员专门设计的,是整个瑞星杀毒软件网络版网络防病毒系统设置、管理和掌握的操作平台，它集中管理网络上全部已安装了瑞星杀毒软件网络版的计算机，同时实现对系统中心的管理，它可以安装到任何一台安装了瑞星杀毒软件网络版的计算机上，实现移动式管理。瑞星网络版杀毒软件规律示意图如上所示瑞星主要优势瑞星杀毒软件网络版的产品优势1．瑞星杀毒软件经上市销售的时间已长达9年之久，拥有很高的技术成熟度和市场成熟度。瑞星杀毒软件200８版,充分汲取了前几代代产品的优良特性，拥有上千万万客户成功应用阅历，继承瑞星公司在信息平安领域内近十年的研发阅历，具有高度的技术成熟度和牢靠性。瑞星杀毒软件产品从十年前的单机版杀毒软件到今日的企业版杀毒软件，历经了十年的市场的洗礼，拥有很高的市场成熟度。2。瑞星杀毒软件拥有国内完全自主知识产权。瑞星杀毒软件产品全部拥有完全国内自主知识产权，可以依据用户的实际需求进行源代码级的修改，可以依据用户的实际需求，各项功能可进行弹性定制。３.瑞星杀毒软件拥有五项专利技术。1）未知病毒查杀专利号:ZL0１1１77２6．8国际分类号：G06Ｆ１２/１4２）硬盘数据恢复专利号:ＺL０１１17７３０.6国际分类号:G06Ｆ1２/163)访问文件系统的方法专利号：ZL011４2154.１国际分类号:G0６F12／００4）完全掌握文件的方法专利号:ZL011421５7。6国际分类号：Ｇ０6F１2/1４5)软件升级的方法专利号:ZL01１421５5.Ｘ国际分类号:G06F17／0０4。公安部评测首个“一级品"。从瑞星杀毒软件产品于２003年首家通过公安部的“一级品"认证以来,已连续三年被公安部授予“一级品”称号。５．瑞星杀毒软件产品近年来获得多项殊荣。公安部杀毒软件产品评级结果“第一名证书”北京名牌产品证书《电脑商情报》中国IＴ明日之星产品奖《电脑世界》２005“年度产品奖”《计算机世界》200５“年度产品"奖《家用电脑》２０0３－２００4年度“最有价值产品”奖《新电脑》２0０５年度读者最信赖的IT品牌“读者推举奖"《学电脑》“读者最喜爱奖”5１CＴＯ.ＣOＭ“网络工程师推举产品”奖荣获2０05年消费电子产品年度评比“明星产品奖"瑞星反病毒资讯网荣获“2００5中国商业网站1０0强”称号《中小企业ＩT选购》“2０05年度中国最受中小企业信赖ＩＴ产品”奖优秀火炬项目证书中关村科技园区海淀园“拳头产品”奖中国年度ＩＴ产品评比“最佳市场占有品牌"奖中国年度IT产品评比“最佳市场占有品牌”奖6.瑞星杀毒软件通过英国西海岸实验室的二级认证。德国TＵV认证证书、Chｅcｋmark二级认证证书（英国西海岸实验室（ＷｅstＣｏａsｔLａbs））：包括Cｈｅckmarｋ一级(Leｖｅl1）、二级(Ｌｅｖeｌ2）和木马（Troｊan)三项内容。这是国内反病毒产品首次通过国际权威机构的全部反病毒项目的认证，格外是其中难度极大的木马（Ｔrｏjan)认证。该认证的通过,意味着瑞星软件的品质得到国际权威检测结构的认可,其核心技术达到了世界一流水平。7.瑞星是信息平安软件市场占有率最高的品牌。目前，瑞星杀毒软件单机版是信息平安软件市场占有率最高，用户满意度最高的产品。据统计，瑞星杀毒软件单机版的市场占有率为80％以上，累计销量已突破３000万套；网络版的市场占有率为5０％,累计拥有80０00余家企业版用户。遥遥领先于国内外其它厂商，也就是说有3000万以上的中国人选择了瑞星.同时瑞星产品用户群也已经成为国内最大的正版软件用户群体。8．瑞星公司能够为用户供应优厚的本地化服务。瑞星公司总部、客户服务中心和研发中心设在北京，在全国各省市设有20余家分公司和办事处,以及3０00余家瑞星授权服务站，瑞星已建立成浩大的销售服务体系以及完备的售后服务体系,能够为用户供应7Ｘ２4小时的不间断的电话技术支持服务和5X８的本地上门技术支持服务。9。一体化智能服务体系为用户保驾护航。凭借强大的“呼叫服务中心”和“在线专家门诊”,百余名平安工程师组成的企业级客户服务队伍为用户供应产品询问、技术支持、注册、扩容及数据修复等服务.协作７X24小时新病毒应急响应机制,在最短时间内为企业供应新病毒和网络平安的解决方案。瑞星杀毒软件网络版的技术优势1.企业网络多级统一管理瑞星杀毒软件网络版——企业版多级中心系统是为了满意企业跨区域网络的病毒防护系统而开发的,它采纳分级的层次化管理,上级中心能够掌握和管理其下级中心。２.智能“组策略"管理管理员在掌握台上可以依据自己的需要对全部的网络终端结点进行任意分组,可以依据分组，对某分组中成员进行格外管理，包括设置客户端密码、实时监控客户端配置等.支持预制策略、自动分组，分组规章支持计算机名、IP地址、操作系统类型，还支持将“活动名目"或“网上邻居”中的客户端分组信息导入到系统中心分组规章中.３．实时监控客户端防毒状况在管理掌握台上能实时地查看到客户端的下列信息，实时跟踪到全部终端的防毒状况：扫描状态、实时监控的状态、主动防御的状态、版本信息、感染了哪些病毒。4．漏洞检测与补丁分发管理员可即时猎取系统的平安漏洞信息,扫描局域网中是否存在这些平安漏洞，如果存在平安漏洞，准时下载漏洞补丁并通知本级和下一级中心客户端安装漏洞补丁程序或实行相应的防范措施，并可以设置客户端完全静默安装漏洞补丁。5．智能增量升级方式瑞星杀毒软件网络版全面支持增量升级(包括系统中心从网站升级、下级中心到上级中心升级、客户端从系统中心升级），以削减升级时带来的网络流量压力.并允许用户依据自身业务的要求调整升级时间，避开升级时占用网络带宽影响用户正常业务的通讯;同时用户可任意调整升级时的数据包大小,适应窄带网络用户的升级需要。每天常规升级3次(工作日)；每周常规升级2１次（工作日)。除此之外,如果遇到紧急恶性病毒疫情，还会进行紧急升级。升级是杀毒软件的生命力所在,而升级频度和处理新病毒的数量是衡量杀毒软件质量的最关键硬指标。６.强大的病毒日志查询与统计瑞星杀毒软件网络版供应了丰富的病毒日志统计与分析功能，能够统计病毒发作次数最多排行榜、病毒爆发最多主机排行榜、某客户端在一段时间范围内的病毒发作趋势、某病毒在一段时间范围内的发作趋势、组/中心间的病毒发作趋势比较等诸多病毒日志分析数据和图表，便于网络管理员直观地掌握网络内病毒感染情况和发作趋势，并结合病毒发作原理，进一步分析病毒爆发的缘由,进而调整防病毒策略,确保网络数据的平安性与完整性。7．管理员分级管理对于人员较多、结构简洁或者异地办公的企业,仅设置一个管理员是远远不够的。瑞星杀毒软件网络版考虑到了企业的这种需求,独创“分级管理”功能。它将信息平安的管理权限分为三个级别：超级管理员、操作管理员和审计管理员.各级管理员的权限设计和职能分工是格外明确的,这种分级管理的模式使信息平安管理员的工作变得更加明确和轻松.8.第八代虚拟机脱壳引擎（VUE)瑞星历时4年，研发出第八代虚拟机脱壳引擎（VUE)。该引擎基于瑞星完全自主知识产权的虚拟机技术,大幅提高了查杀加壳变种病毒能力、病毒处理速度、病毒清除能力,同时保证极低的误报率和资源占用率，可有效应对目前变种病毒倍增的严峻状况。9。StａrtupScａn独占式抢先杀毒技术在操作系统尚未启动时,抢先加载瑞星杀毒程序,可以有效地清除RｏotKit和具有自我防护能力的恶意程序、流氓软件。10.三重病毒分析过滤技术瑞星杀毒软件在秉承传统的特征值扫描技术的基础上，又增加了瑞星独有的行为模式分析（BMAＴ)和脚本判定（SVＭ）两项查杀病毒技术。检测内容经过三重检测和分析，既能通过特征值查出已知病毒,又可以通过程序分析出未知的病毒。三个杀毒引擎相互协作,从根本上保证了系统的平安.１1.一体化实时监控系统文件监控、邮件监控、网页监控、主动防御协同工作,供应全方位的防护.支持多种软件的嵌入式杀毒工具，为常常上网的用户供应便利。网络版2008的邮件监控技术是经过全新优化的新型邮件监控技术,使处理邮件速度提高６倍。１2.自主知识产权，产品平安无后门军队的计算机网络平安的重要性可想而知,决不能容忍由于使用了网络版防病毒系统而消灭泄露机密数据的重大平安隐患,这种严重的泄密大事责任谁都无法担当。毋庸质疑,用户购买杀毒软件是为了保护自己网络内部的数据业务平安，但是，作为杀毒软件，从技术角度讲，本身就存在很大的平安隐患.从技术上讲,任何杀毒软件都可以做到在任何时候、任何地点，只要该产品用户的网络连上了Iｎｔｅｒnet,就可以轻易的窃走用户计算机网络系统中他想要的任何数据.杀毒软件可以留后门或恶意代码程序驻留在已经安装杀病毒软件的计算机中,在杀毒软件的以下2种常常性操作中泄密：一是升级，杀病毒软件必须常常性升级，升级时就将用户的计算机网络与杀毒软件厂家的服务器连接,在需要的情况下，杀毒软件厂家可以有意识的将用户计算机网络上的重要数据通过Internｅt隐秘的传输到自己的计算机上.二是报送未知病毒文件,杀毒软件发现不确定的未知病毒文件时，一般会自动的将含未知病毒的文件传送到杀毒软件厂家，如果该含病毒文件是涉密文件,则造成泄密大事。瑞星公司是一家国内公司，任何时候都必须遵守中国的法律；瑞星拥有全部知识产权,全部程序都是自己独立开发的,不存在后门程序，瑞星杀毒软件网络版的管理架构和程序均是自行开发，无需借助第三方产品或平台,不会造成新的平安隐患.网络应用平安管理软件方案概述本方案是由黄金甲软件科技有限公司供应的业界领先的内网平安管理方案，其最大的特点是:实行了Ｃ/Ｓ架构，实现了产品的分布式部署和管理。并且采纳了先进的指纹协议匹配技术，协作黄金甲的主路阻断和旁路监控,不仅达到了良好的阻断效果,并且完全不会对网络造成任何不稳定和额外的带宽开销。鉴于有效的阻断了不良的网络应用，还使得网络的质量大大提高。黄金甲不仅是一款网络监控软件，还为用户供应了诸如AＲP病毒防护，资产清算，远程维护等有用的功能，为管理员更好的维护网络供应了一个良好的工具.黄金甲为分布式架构,采纳分布式通讯中间件,完成6大组件的分布式通讯，不同ﻩ于其它同类产品使用Windows远程桌面来进行管理,具有很大的依靠性和局限性。黄金甲分布式监控与管理，６大程序组件，可以分别安装在任意计算机上，保证网络通讯ﻩ正常，即可互动工作,真正的分布式管理.ﻩ黄金甲网络锁,采纳先进的主路网络封包截获技术，完全掌握网络访问行为。不同ﻩ于其它同类产品，使用旁路发送RST和ＦＩＮ封堵数据包，来实现网络访问行为阻断,这类产品不能实现UDＰ通讯的阻断掌握，由于技术的先天局限性，导致的网络访问行为阻断不稳定。黄金甲采纳主路数据包截获封堵,彻底实现网络行为的严格掌握。ﻩ网络应用平安管理软件一般分为两大类型-—-网络监控和网络行为掌握。目前市场上 的一部分产品,只具有网络监控功能,不能实现网络行为掌握,只供应简洁的报警信息，需要人为的干估计算机用户的网络访问行为。另一类型产品具有两大功能，但是采纳纯粹的旁路，来完成监控和掌握功能，由于技术的先天性缺陷,导致网络行为掌握功能弱而且不稳定。或者采纳纯粹的主路监控和封堵技术，导致网络监控信息数据包大量占用带宽，影响正常业务。而黄金甲采纳旁路监控与主路掌握相结合，即实现了监控数据旁路不占用正常带宽，又实现了彻底的网络行为掌握. 黄金甲网络应用平安管理软件针对网络应用程序的网络通讯手段的多样性（如使用代理服务器、使用标准网络服务端口、动态通讯端口等技术）,独创了网络应用程序通讯指纹提取与过滤机制，使用指纹特征对网络通讯协议头进行匹配，严格掌握网络应用程序的通讯，攻克了现有监控系统对即时通讯软件和Ｐ2Ｐ软件无法彻底封堵的技术难题.ﻩ黄金甲产品组成：ﻩ黄金甲系统中心：使用黄金甲自带的数据库记录全部的日志信息和策略信息。ﻩ黄金甲管理掌握台:实现对客户端的管理，包括远程的监测，网络、程序等策略的制定以