防病毒整体技术方案

防病毒软件技术方案赛门铁克软件（北京）有限公司2012年10月目录第1章 恶意代码发展趋势 1第2章 防病毒系统设计思路 32.1 基于特征的防病毒技术分析 32.2 传统的防病毒产品使用效果分析 52.3 技术＋服务的体系化建设 62.3.1 技术层面：主动防御 72.3.2 服务层面 14第3章 产品选型推荐 163.1 SEP12组件及功能说明 16第4章 部署方案 244.1 部署架构 244.2 管理系统功能组件说明 244.3 病毒定义升级 264.3.1 防病毒系统初建后第一次升级方案 264.3.2 正常运维状态下的升级方案 274.3.3 Symantec病毒定义升级频率 274.4 网络带宽影响 284.5 安全管理策略设计 294.5.1 管理权限策略 294.5.2 客户端分组策略 294.5.3 备份和数据库维护策略 294.5.4 安全策略 304.6 服务器的硬件配置需求 32第5章 实施方案 335.1 项目工作范围 335.2 实施计划 335.2.1 项目里程碑 335.2.2 项目工作进度计划与安排 345.3 项目人员安排 385.3.1 项目组织机构 385.3.2 项目人员组成 385.4 变更管理 415.4.1 项目变更管理控制过程 415.4.2 项目变更审批流程 415.4.3 变更评审小组的成员名单 425.4.4 变更申请表样式 435.5 项目沟通计划 44第6章 培训方案 46第7章 服务方案 487.1 赛门铁克专业防病毒服务体系 487.1.1 赛门铁克服务水平阐述 487.1.2 赛门铁克安全响应中心 497.1.3 赛门铁克企业客户服务中心 497.1.4 赛门铁克安全合作服务商 507.2 赛门铁克专业防病毒服务流程 507.2.1 基本流程 517.2.2 客户服务专员的工作流程 527.2.3 客户服务经理的工作流程 527.2.4 工程师的工作流程 537.2.5 紧急事件响应流程 54恶意代码发展趋势终端所面临的安全威胁已不再是传统的病毒，而是更加复杂的恶意代码（广义病毒）。分析恶意代码的发展趋势可以帮助我们更好地构建病毒防护体系，优化现有安全防护体系，从而实现保障终端安全的最终目标。前所未见的恶意代码威胁当前，终端安全必需要面对的首要问题是越来越多的恶意代码是未知的，前所未见的。前所未见的威胁之所以剧增，其中一个主要原因是恶意代码系列中出现大量变种。攻击者普遍都在更新当前的恶意代码，以创建新的变种，而不是“从头开始”创建新的恶意代码。一些恶意代码系列（如熊猫烧香、Flamer系列）中的变种数量多如牛毛便是这方面淋漓尽致地再现。恶意代码的编写者创建新变种的方法各式各样，其中包括变形代码进化、更改功能及运行时打包实用程序，以逃避防病毒软件的检测。前几年，蠕虫和病毒（红色代码、冲击波）的大规模爆发表明，恶意代码无需复杂就可以感染大量计算机。如今，关注的焦点逐渐转移到目标性攻击和更狡猾的感染方法上。因此，越来越多的攻击者开始使用复杂的多态技术来逃避检测，为传播助力。多态病毒可以在复制时更改其字节样式，从而逃避采用简单的字符串扫描防病毒技术进行的检测。特洛伊木马特洛伊木马是一种不会进行自我复制的程序，但会以某种方式破坏或危害主机的安全性。特洛伊木马看起来可用于某些目的，从而促使用户下载并运行，但它实际上携带了一个破坏性的程序。它们可能伪装成可从各个来源下载的合法应用程序，还可能作为电子邮件附件发送给无防备的用户。根据统计，大部分特洛伊木马是通过恶意网站进行安装的。它们利用浏览器漏洞，这些漏洞允许恶意代码的作者下载并执行特洛伊木马，而很少或无需与用户交互。当用户使用MicrosoftInternetExplorer查看其中的恶意的网络页面时，特洛伊木马便会通过浏览器中的多客户端漏洞安装在用户的系统中。然后，特洛伊木马会记录某些网站的身份验证资料，并将其发送给远程攻击者。许多新出现的特洛伊木马还会从受感染的系统中窃取特定的消息，如网上银行密码。广告软件/流氓软件终端用户遭遇的广告软件/流氓软件的几率越来越高，广告软件可执行多种操作，其中包括显示弹出式广告、将用户重引导至色情网站、修改浏览器设置，如默认主页设置以及监视用户的上网活动以显示目标广告。其影响范围包括单纯的用户骚扰、隐私权侵犯等。Adware的影响因其固有的特点而难以量化。但这并不意味着它们不是安全问题。最严重的影响可能是大范围破坏个别最终用户系统的完整性。包括：性能下降、浏览器故障、系统频繁死机等。混合型威胁混合型威胁可以利用多种方法和技术进行传播。它们不但能利用漏洞，而且综合了各类恶意代码（病毒、蠕虫和特洛伊木马程序）的特点，从而可以在无需或仅需很少人工干预的情况下，短时间内感染大量系统，迅速造成大范围的破坏。混合型威胁常用的多传播机制使其可以用灵活多变的方式避开组织的安全措施。它们可以同时使系统资源超负荷并耗尽网络带宽。防病毒系统设计思路基于特征的防病毒技术分析长期以来，应对混合型威胁（混合型病毒）的传统做法是，一旦混合型病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种方式曾一度相当有效，但近年来――特别是近年来多次影响XXX的冲击波、Slammer、Netsky、熊猫烧香、Flamer等病毒，已经体现这种基于特征的被动式病毒响应方式效果不佳了。这一方面因为病毒的快速发展，另一方面更因为传统防病毒技术采取被动跟踪的方式来进行病毒防护。但是，这种被动的病毒响应方式越来越力不从心。如下图所示，Symantec公司统计了近十几年来病毒爆发速度和特征响应速度，并对近年的发展趋势做了比较。混合型病毒感染与病毒特征响应对比图该图以计算机病毒/混合威胁的复制速度（蓝色线条，自左上至右下）来显示这些威胁的演变，以响应速度（红色线条，自左下至右上）来显示病毒技术的发展。横轴以年为单位，时间范围是从1990年至2005年。纵轴实际上显示两种不同的时间规定（都采用左边纵轴的时间比例来显示）。左边纵轴（蓝色文本）显示恶意病毒达到“感染”状态所用的时间，在该状态下，恶意病毒已经感染了相当多有漏洞的计算机。右边纵轴显示提供描述病毒的特征所用的时间。分析上图的最后一部分可知，对于现在出现的几分钟甚至几秒钟之内就可发作的超速混合威胁而言，其传播速度和实现完全感染相关主机的速度比人工或自动化系统生成和部署病毒特征的速度快得多时，在这样情况下，原有的基于病毒特征的模式已经效果甚微，因为到那时每次混合型病毒的爆发，由于特征响应方式的滞后而让将付出沉重的代价（最近的冲击波、震荡波的例子已经初步证明了这一点），而这是绝对不能接受的。传统的防病毒产品使用效果分析传统的单一的防病毒产品在应对新的终端安全威胁时效果往往不佳，其根本原因在于：基于特征的病毒定义滞后性虽然防病毒技术不断发展，出现了类似启发式扫描、智能检测等新的技术，但是目前防病毒产品还是以基于特征的病毒扫描方式为主要手段。也即一种新的病毒出现后，防病毒厂商通过各种方式收集到病毒的样本，经过自动地或者专家分析获取病毒特征码，随即发布新的病毒定义供用户下载更新。而用户通过手动或周期地自动更新获取新的病毒定义以后，才可以有效地防御这种新的病毒。显然，基于特征的病毒定义更新存在着滞后性，这种滞后表现在：病毒定义滞后于新病毒的出现，当前的病毒快速、大量变种的特性加剧了这种滞后性所带来的危害。用户的病毒定义滞后于厂商的病毒定义。这是由于用户往往使用周期自动更新的方式，甚至由于种种原因部分用户的病毒定义不能正常升级，这些都会导致与最新的病毒定义的时间差。区域性恶意代码增加了样本收集的难度特洛伊木马等恶意代码当前的一个重要特征是具有很强的目标性和区域性。特洛伊木马往往以特定用户和群体为目标。某一种特洛伊木马可能只是针对某个地区的某类型用户。由于特洛伊木马的目标性强，因此这些攻击只是发送给较小的用户群，从而使其看上去并不显眼，并且不太可能提交给防病毒供应商进行分析。而如果防病毒厂商不能及时获得最新的病毒样本，也就失去了对这些木马的防护能力。单纯的防病毒技术无法应对混合型威胁混合型威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击。越来越多的病毒会自动攻击操作系统或者特定的应用软件的漏洞，在漏洞未修复（未安装补丁）的情况下，会造成病毒反复感染，纯粹的防病毒不足以应付这些新型的病毒事件。复杂的病毒查杀技术与性能需求新型的恶意代码采取了更多的反检测和清除的技术，包括前文描述的多态病毒以及高级的Rootkit技术。与传统的恶意代码相比，检测复杂多态病毒和Rootkit对技术的要求更高。涉及复杂的加密逻辑和统计分析过程，以及代码模拟和数据驱动引擎的设计。因此，这需要经验丰富的分析师来开发检测和移除技术。同时，防护时也需要占用更多的终端系统资源。实际测试包括很多用户实际环境中，防病毒软件通常占用内存50M－60M左右，对于一些老的机器（内存小于256M）会影响系统性能。部分终端用户往往在安全和性能的抉择中放弃安全，这也导致了防病毒体系整体运行效果不佳。技术＋服务的体系化建设实践证明，完整有效的终端安全解决方案包括技术、管理和服务三个方面内容。防病毒技术的部署和实施是“实现用户个人的广义病毒和攻击的防护”的主要力量。传统的病毒防护方案往往以技术为主，但是仅仅依靠技术是有其局限性，因此指望一套防病毒软件解决所有的病毒问题是不现实的；同时，对于中保协这样的大型企业，防病毒的管理性要求甚至比查杀病毒的能力显得更为重要，如果不能做到全网防病毒的统一管理，再强的防病毒软件也不能发挥应有作用。此外，我们重点提出“服务”的根本原因是基于一个判断：即没有任何防病毒厂家能够做到对所有已知病毒和未知病毒的快速准确查杀。服务是产品的一种补充。因此，厂家提供的产品＋服务的组合才能在根本上保证病毒防护的可靠性。以下分别予以详细阐述：技术层面：主动防御从以上对新的恶意软件发展趋势和传统的病毒防护产品的特性分析，不难看出，传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。一旦病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种被动的防护方式无法应对新的恶意软件的发展。因此，必须从“主动防御”这一观点出发，建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。相对于被动式病毒响应技术而言，主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。“主动防御”主要体现在以下几个方面：信誉度技术Symantec会从其数百万用户的全球社区及其全球情报网中收集有关文件的信息。所收集的信息形成Symantec承载的一个信誉数据库。Symantec产品利用该信息保护客户端计算机，使其免受新威胁、目标威胁和变异威胁的侵害。该数据有时称为“在云端”，因为它未驻留在客户端计算机上。客户端计算机通过请求或查询信誉数据库，可以避免传统的基于特征码的防病毒技术带来的病毒检测的滞后性，做到基于Symantec全球防病毒云计算网络的病毒和恶意软件防护。Symantec使用一项称为“智能扫描”的技术来确定每个文件的风险级别或“安全等级”。智能扫描通过检查文件及其上下文的以下特征来确定文件的安全等级：■文件的源■文件的新旧程度■文件在社区中的常用程度■其他安全衡量标准，如文件可能与恶意软件的关联程度SymantecEndpointProtection12.1中的扫描功能利用智能扫描做出有关文件和应用程序的决策。基于应用程序的防火墙技术个人防火墙能够按程序或者通讯特征，阻止/容许任何端口和协议进出。利用个人防火墙技术，一方面可以防止病毒利用漏洞渗透进入终端，另一方面，更为重要的是，可以有效地阻断病毒传播路径。以去年大规模爆发的Spybot病毒为例，该病毒利用了多个微软系统漏洞和应用软件漏洞，企业可以在终端补丁尚未完全安装完毕的情况下，通过集中关闭这些存在漏洞的服务端口，阻止病毒进入存在漏洞的终端。再以Arp木马为例。正常的Arp请求和响应包是由ndisiuo.sys驱动发出，而arp病毒或者其他arp攻击通常是利用其他的系统驱动伪造arp数据包发出。因此，通过在防火墙规则中设定，只允许ndisiuo.sys对外发送Arp数据包（协议号0x806），其他的全部禁止。从而，在没有最新的病毒定义的前提下对病毒进行阻断和有效防护。统一部署防火墙不仅可以解决以上这些安全问题，同时可以成为企业执行安全策略的有力工具，实现一些企业的安全策略的部署，如突发病毒爆发时，统一开放关闭防火墙相应端口。具备通用漏洞阻截技术的入侵防护通用漏洞利用阻截技术的思想是：正如只有形状正确的钥匙才能打开锁一样，只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究，便可以立即了解到能够打开这把锁的钥匙必需具备的特征——甚至不需要查看实际的钥匙。类似地，当新漏洞发布时，研究人员可以总结该漏洞的“形状”特征。也就是说，可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征，就可以检测并阻截具有该明显“形状”的任何攻击（例如蠕虫）。以冲击波蠕虫被阻截为例进行说明。当2003年7月MicrosoftRPC漏洞被公布时，赛门铁克运用通用漏洞利用研究技术，制作了该漏洞的通用特征。大约在一个月之后，出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。Symantec由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波蠕虫并立即阻止它。在前文对恶意软件的发展趋势中，我们分析了木马、流氓软件的一个最主要的传播方式是利用IE浏览器的漏洞，当用户浏览这些恶意站点时，利用IE的漏洞，攻击者可以在用户终端上悄悄安装木马、广告/流氓软件等。尽管恶意软件的变种数量庞大，但实际上，恶意软件安装过程中利用的IE漏洞种类并不多。赛门铁克运用通用漏洞利用研究技术，提前制作这些漏洞的通用特征。恶意软件若想利用这些漏洞进行安装，必须具备特定的形状，而赛门铁克编写的特征可以提前检测到该形状，从而对其进行阻截，避免了恶意软件安装到用户终端上，从而根本无需捕获该病毒样本然后再匆忙响应。应用程序控制技术通过应用程序行为控制，在系统中实时监控各种程序行为，一旦出现与预定的恶意行为相同的行为就立即进行阻截。以熊猫烧香为例，如果采用被动防护技术，必须对捕获每一个变种的样本，才能编写适当的病毒定义。但是，该病毒的传播和发作具有非常明显的行为特征。熊猫烧香最主要的传播方式是通过U盘传播，其原理是利用操作系统在打开U盘或者移动硬盘时，会根据根目录下的autorun.inf文件，自动执行病毒程序。SEP系统防护技术可以禁止对根目录下的autorun.inf的读写权限，特别的，当已感染病毒的终端试图往移动设备上写该文件时，可以终止该病毒进程并报告管理员。再以电子邮件的行为阻截技术应用为例进行说明。首先，我们知道基于电子邮件的蠕虫的典型操作：典型的电子邮件计算机蠕虫的工作原理是，新建一封电子邮件，附加上其（蠕虫）本身的副本，然后将该消息发送到电子邮件服务器，以便转发到其他的目标计算机。那么，当使用了带行为阻截技术的赛门铁克防病毒软件之后，防病毒软件将监视计算机上的所有外发电子邮件。每当发送电子邮件时，防病毒软件都要检查该邮件是否邮件有附件。如果该电子邮件有附件，则将对附件进行解码，并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。常见的电子邮件程序，如Outlook，可以发送文件附件，但绝不会在邮件中附加一份自身程序的可执行文件副本！只有蠕虫才会在电子邮件中发送自己的副本。因此，如果检测到电子邮件附件与计算机上的发送程序非常相似时，防病毒软件将终止此次传输，从而中断蠕虫的生命周期。此项技术非常有效，根本无需捕获蠕虫样本然后再匆忙响应，带此项技术的赛门铁克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫，包括最近的Sobig、Novarg和MyDoom。此外，基于行为的恶意软件阻截技术，还可以锁定IE设置、注册表、系统目录，当木马或者流氓软件试图更改这些设置时会被禁止。从而，即使用户下载了未知的恶意软件，也无法在终端上正常安装和作用。基于行为的防护技术非常有效，根本无需捕获恶意软件样本然后再匆忙响应，利用此项技术可以成功的在零时间阻截主流的蠕虫病毒，包括熊猫烧香、威金等。由于采用了集中的策略部署和控制，无须最终用户的干预，因此不需要用户具备高深的病毒防护技术。同时，基于行为规则的防护技术非常适合于主机系统环境，主机系统应用单一并且管理专业，采用行为规则的防护是对传统防病毒技术的一个很好的补充。前瞻性威胁扫描ProactiveThreatScan是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。ProactiveThreatScan基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的IPS仅检测它们认为的“不良行为”。所以，它们经常会将可接受的应用程序行为识别为威胁并将它们关闭，严重影响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。不过，ProactiveThreatScan会同时记录应用程序的正常行为和不良行为，提供更加准确的威胁检测，可显著减少误报的数量。前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。终端系统加固事实上，确保终端安全的一个必须的基础条件时终端自身的安全加固，包括补丁安装、口令强度等。显然，口令为空、缺少必要的安全补丁的终端，即使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个网络安全不至由于个别软件系统的漏洞而受到危害，必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。建议集中管理企业网络终端的补丁升级、系统配置策略，可以定义终端补丁下载，补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理，代理执行这些策略，保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。针对虚拟化和云设计随着虚拟化和云技术的不断应用和发展，防病毒软件需要适合在虚拟化河运平台下的终端防护，包含以下功能：针对VMware、Citrix和Microsoft虚拟环境而优化易于管理的物理和虚拟客户端最大限度提高了在虚拟化和云平台下性能和密度，同时丝毫不会影响安全性在虚拟化河运平台下最出色的性能和安全性基于特征的病毒防护技术最后，传统的病毒防护技术仅仅作为主动防御的的一个必要补充，防御已知的病毒，对于已经感染病毒机器进行自动的清除和恢复操作。综上所述，单纯的防病毒产品都仅仅实现了基于特征的病毒防护功能，必须依靠其他的主动防御技术，才能有效地应对当前的恶意代码威胁。服务层面企业通过建立网络防病毒体系来防止病毒入侵，即是一个动态的技术对抗过程，也是一个防守方和攻击方的人员较量过程。在现实的网络环境里，由于攻击方在大多数情况下掌握着主动权，因此部署防病毒产品只是建立了对抗攻击的基础，还不能达到真正意义上的安全，最重要的是对产品进行有效的管理和正确的策略配置，并且时时刻刻关注网络安全的最新动态，根据各种变化及时调整安全策略，加固系统。只有结合和采用防病毒安全服务，才能使企业的防病毒体系以及整体安全达到一个新的高度。防病毒厂商提供的服务主要包括以下两个方面：病毒预警服务病毒预警服务为XXX对于新病毒的提前预警、通知和防范的标准流程，该流程为管理员提供必要的信息和预警，以便在病毒到达企业之前或病毒尚未泛滥之前部署对策并成功抵制攻击，减少病毒事件的数量，降低病毒事件的影响。突发病毒应急响应服务当用户发现一种未知病毒的传播导致网络服务瘫痪，而现有防病毒客户端对此无能无能为力，或者当病毒客户端发现病毒但既不能隔离也不能有效删除时候，就需要防病毒服务能够帮用户解决这些问题。而且，用户需要的是一个时限范围内的解决。用户可以通过提交病毒样本或要求直接上门服务的方式，请防病毒厂家协助解决这些问题，避免病毒在用户的大规模扩散。产品选型推荐根据以上防病毒系统设计思路，我们推荐采用SymantecEndpointProtection12.1终端防护软件。SEP12组件及功能说明SEP12主要功能模块如下：（1）防病毒和反间谍软件防病毒和反间谍软件解决方案一般采用基于扫描的传统技术，来识别端点设备上的病毒、蠕虫、特洛伊木马、间谍软件和其它恶意软件。典型的防病毒和反间谍软件解决方案会在系统中搜索与已知威胁的特点（或称威胁特征）匹配的文件，从而检测这些威胁。在检测到威胁后，该解决方案会对其进行补救，通常是删除或控制威胁。多年来，该方法在针对已知威胁保护端点时一直非常有效。虽然该方法不足以防御未知威胁和零日威胁，但它仍然是整体端点安全中的基本要素。Symantec从2011年7月份发布的SymantecEndpointProtection12.1版本开始，把原本在个人版诺顿防病毒软件使用成熟的信誉度技术和主动式防御技术增加到企业版SymantecEndpointProtection产品之中，做到了真正的基于Symantec全球云计算网络的病毒和恶意软件检测。该技术不仅是传统的基于特征码的防病毒技术的一个重要补充，随着使用者数目的增多和信誉度数据库的不断丰富完善，正在成为Symantec的主要的病毒和恶意软件检测技术。由于整个行业日益重视端点安全，所以防病毒和反间谍软件市场中最近新出现了各种产品。在这些第一代和第二代解决方案中，虽然有许多产品可以提供一定程度的防护，但它们往往无法提供全面防护。许多技术仅在一种操作系统上工作。其它技术缺少与防火墙、设备控制和入侵防御等其它基本端点安全技术互操作的功能。无论是从质量还是级别来看，SymantecEndpointProtection提供的防护都远远超越了竞争对手的产品。与第一代打包解决方案相比，SymantecEndpointProtection提供更高级别的实时防护，而且赛门铁克的表现比许多老牌安全解决方案提供商更胜一筹。例如，赛门铁克是1999年以来唯一连续获得40多项VB100奖的供应商。在Gartner评比中，SymantecEndpointProtection始终位列领导者象限的领先地位。另外，SymantecEndpointProtection由赛门铁克全球情报网络提供支持，该集成式服务为客户提供了必需的情报，让他们能够降低安全风险、提高法规遵从性并改善整体安全状况。赛门铁克全球情报服务提供了对全球、行业和本地最新威胁与攻击的洞察，以便企业可以主动响应新出现的威胁。通过将威胁预警和赛门铁克托管安全服务完美结合，赛门铁克全球情报服务可以对整个企业中的恶意活动进行实时分析，从而帮助企业保护关键信息资产。（2）主动威胁防护技术虽然基于特征和信誉度的文件扫描和网络扫描技术覆盖了主要的必备保护领域，但仍然需要并非基于特征或信誉度的技术，来防御隐蔽攻击使用的不断增多的未知威胁。这类技术被称为主动威胁防护技术。SymantecEndpointProtection包括ProactiveThreatScan，它是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。它具有独特的主机入侵防御功能，让企业有能力针对未知或零日威胁保护自己。ProactiveThreatScan基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的IPS仅检测它们认为的“不良行为”。所以，它们经常会将可接受的应用程序行为识别为威胁并将它们关闭，严重影响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。不过，ProactiveThreatScan会同时记录应用程序的正常行为和不良行为，提供更加准确的威胁检测，可显著减少误报的数量。所以，SymantecEndpointProtection让企业能够检测到任何基于特征的技术都检测不到的未知威胁。（3）网络威胁防护端点上的网络威胁防护对于防御混合型威胁和阻止爆发至关重要。为保证有效性，绝不能仅仅依赖防火墙。网络威胁防护应包含多种先进防护技术，包括入侵防御以及先进的网络通信控制功能。过去，安全专家争论的焦点是：是否需要在企业网络边界本身或个别台式机上部署防火墙。由于目前的威胁极为复杂，而且移动办公人员已经扩展到企业计算基础架构的边界以外，所以端点已成为漏洞利用和攻击的主要目标。威胁通常首先感染网络边界以外的一台笔记本电脑，之后，在这台笔记本电脑连接到内部网络时，该威胁就会传播到其它端点。可以利用端点防火墙，不仅阻止内部网络攻击入侵连接到网络的任何端点，甚至阻止这些威胁离开最初感染的端点。SymantecEndpointProtection端点安全代理结合最佳的防火墙解决方案，兼备原赛门铁克客户端防火墙与Sygate™防火墙的功能。其中包括：基于规则的防火墙引擎预定义的防病毒、反间谍软件和个人防火墙检查按应用程序、主机、服务和时间触发的防火墙规则全面TCP/IP支持（TCP、UDP、ICMP、RawIPProtocol）用于允许或禁止网络协议支持的选项，包括以太网、令牌环、IPX/SPX、AppleTalk和NetBEUI阻止VMware和WinPcap等协议驱动程序的功能特定于适配器的规则检查加密和明文网络通信的功能数据包和数据流入侵防御系统(IPS)阻止、自定义IPS特征阻止以及一般漏洞利用禁止实现主动威胁防御网络准入控制的自我实施（4）入侵防御对解决基于漏洞的网络威胁具有重要作用，对于使用一般特征并基于漏洞的入侵更是如此。基于漏洞的入侵防御系统可使用一个一般特征，阻止攻击漏洞的数百种潜在漏洞利用，在网络层遏止攻击，使其根本无法感染端点。虽然传统IPS解决方案能够检测到特定的已知漏洞利用，但他们不足以针对构成当前威胁主流的多种漏洞攻击变种来保护公布的软件漏洞。根据互联网安全威胁报告(ISTRVolXI)，操作系统或应用程序提供商平均需要47天才能发布公布漏洞的补丁程序。在推出补丁程序之前利用这些漏洞进行的攻击通常称为前所未见的攻击或零日攻击。在检测到第一次漏洞攻击之后的几小时，IPS供应商会发布特征，以防御利用特定漏洞的进一步攻击。这些反应性方法会让老练的攻击者拥有大量攻击机会。在发布漏洞特征之前发起的第一轮漏洞利用会让企业承受极为惨重的损失。即使已经发布了漏洞利用特征，这些方法对多态或自我突变的漏洞利用变种也是毫无招架能力。另外，这些基于漏洞利用的反应性方法无法防御尚未发现、尚未报告或未知的威胁，例如，通常检测不到以特定公司为目标的隐蔽漏洞利用。为应对前所未见的突变威胁，需要基于漏洞的IPS形式的更主动方法。虽然基于漏洞利用的特征只能检测到特定漏洞利用，但基于漏洞的特征会在更高级别运行，不仅检测到利用一种漏洞的特定攻击，而且能够检测到试图攻击该漏洞的所有漏洞利用。SymantecEndpointProtection包括：一般漏洞利用禁止(GEB)，即使用一般特征、基于漏洞的IPS技术。当操作系统或应用程序供应商公布可能导致企业面临严重风险的新漏洞时，赛门铁克的工程师会研究该漏洞的特点，并根据研究结果总结并发布一般特征。由此可帮助在出现漏洞利用之前保护企业。基于漏洞的入侵防御非常有效，因为一个漏洞定义不仅能防御一种威胁，而且可防御数百种甚至数千种威胁（参见下表）。因为这种防御会查找漏洞特点和行为，所以可防御多种威胁，甚至可防御未知威胁或尚未开发的威胁。基于漏洞的保护还可用于防御以特定行业或企业为目标的漏洞利用。有目标的攻击通常比较隐蔽，因为它们的目标是在窃取机密信息时不会被发现，之后还要清除它们自己在系统中留下的痕迹。所以，无法总结出这些有目标漏洞利用的特征，因为企业无法在它们造成破坏之前了解它们。基于漏洞的防护可以识别有目标攻击试图利用的漏洞的高级特征，所以可检测并阻止漏洞利用。SymantecEndpointProtection中的端点安全代理在网络层结合基于漏洞的防护，可阻止前所未见的漏洞利用或其变种进入并感染端点。因为它们没有机会感染端点，所以不会造成损害，也不需要对其进行补救。SymantecEndpointProtection还让管理员有能力创建自定义的入侵防御特征。所以，他们可以定义基于规则的特征，根据他们的特有环境和自定义应用程序的需要而进行量身定制。可以将特征创建为可阻止一些特定操作或更复杂的操作。如果使用SymantecEndpointProtection，将无需等待操作系统或应用程序供应商创建已知漏洞的补丁程序，所以管理员可以对端点安全和防护提供全面的主动性控制。（5）设备和应用程序控制SymantecEndpointProtection结合了设备和应用程序控制功能，让管理员能够拒绝被认为存在高风险的特定设备和应用程序活动，使企业能够根据用户位置禁止特定的操作。设备控制技术让管理员能够决定并控制允许哪些设备连接端点。例如，它可以锁定端点，禁止便携硬盘、CD刻录机、打印机或其它USB设备连接到系统，以防止将机密信息从系统复制到其中。禁止设备连接的功能还可以帮助防止端点受来自上述设备以及其它设备的病毒感染。应用程序控制技术让管理员能够按照用户和其它应用程序，控制对特定流程、文件和文件夹的访问。它提供应用程序分析、流程控制、文件和注册表访问控制、模块和DLL控制。如果管理员希望限制被认为可疑或存在高风险的某些活动，则可以使用该高级功能。（6）支持网络准入控制SymantecEndpointProtection中的端点安全代理支持网络准入控制，这意味着该代理已集成网络准入控制技术，而且通过购买SymantecNetworkAccessControl许可证就可以轻松启用该技术。所以，在部署SymantecEndpointProtection后，无需在端点设备上部署其它代理软件即可实施网络准入控制通过购买附加许可证启用网络准入控制之后，它会控制对公司网络的访问、实施端点安全策略并与现有网络基础架构轻松集成。不管端点以何种方式与网络相连，SymantecNetworkAccessControl都能够发现并评估端点遵从状态、设置适当的网络访问权限、提供自动补救功能，并持续监视端点以了解遵从状态是否发生了变化。另外，为了简化并优化管理，管理员为SymantecEndpointProtection和SymantecNetworkAccessControl使用同一管理控制台管理所有功能。部署方案部署架构（1）在总公司网内部署2台SEP管理服务器（以下简称SEPM），一台LiveupdateAdministrator（以下简称LUA）服务器，分别用于：SEP管理服务器管理总公司所属的SEP客户端；2台SEPM服务器其中一台为主管理服务器，包含SQLServer管理数据库；另外一台为备用管理服务器，起到负载均衡的作用；LUA服务器用于病毒定义的更新，总公司LUA服务器将为总公司SEP服务器与各省级分公司LUA服务器提供病毒定义的更新；（2）如果有分级部署的必要，在各分公司网内部署一台SEP管理服务器与一台LUA服务器，分别用于：SEP管理服务器管理各省级分公司SEP客户端；LUA服务器用于为各省级分公司SEP管理服务器与各地市级分公司SEP管理服务器提供病毒定义的更新；管理系统功能组件说明防病毒软件管理系统包括两部分组件：策略管理服务器策略服务器实现所有安全策略、准入控制规则的管理、设定和监控，是整个终端安全标准化管理的核心。通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全管理，提供集中软件更新、策略更新、报告等功能。策略管理服务器可以完成以下任务：终端分组与权限管理；根据地理位置、业务属性等条件对终端进行分组管理，对于不同的组可以制定专门的组管理员，并进行权限控制。策略管理与发布；策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木马防护策略、恶意脚本防护策略、电子邮件防护策略（包括outlook、lotus以及internet邮件）、广告软件防护策略、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机完整性策略等安全内容更新下发安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等日志收集和报表呈现可以生成日报/周报/月报，报告种类包括：风险报表（以服务器组、父服务器、客户端组、计算机、IP、用户名为条件识别感染源、当前环境下高风险列表、按类型划分的安全风险）、计算机状态报表（内容定义分发、产品版本列表、未接受管理客户端列表）、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报表、系统报表、安全遵从性报表。强制服务器管理和策略下发对于交换机强制服务器和网关强制设备进行统一的管理和策略定义。终端代理安装包的维护和升级；终端客户端终端安全管理系统需要在所有的终端上部署安全代理软件，安全代理是整个企业网络安全策略的执行者，它安装在网络中的每一台终端计算机上。安全代理实现端点保护和准入控制功能。端点保护功能包括：防病毒和反间谍软件—提供病毒防护、间谍软件防护、rootkit防护。网络威胁防护—提供基于规则的防火墙引擎和一般漏洞利用禁止功能(GEB)，该功能可以在恶意软件进入系统前将其阻止在外。主动威胁防护—针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。病毒定义升级防病毒系统初建后第一次升级方案防病毒系统在建设完成后第一次升级占用带宽较大，一般需要升级100M~200M左右的软件更新和病毒定义升级，如果在广域链路上进行并发更新容易造成链路拥塞，在这种情况下可考虑采用以下办法予以避免：根据实施时间，针对山西农信定制软件安装包，包含当前最新的病毒定义；或者防病毒服务器安装完成后立即手动升级其病毒定义库；原则上不允许客户端进行手动的防病毒定义升级。正常运维状态下的升级方案防病毒系统经过初次升级进入到日常运维状态，后期的防病毒定义更新包一般很小（150Kbytes～200Kbytes不等），在运维状态下自动化的病毒定义更新是非常必要的。在运维状态下自动化的病毒定义更新是非常必要的：首先升级山西农信数据中心SEPM的病毒定义码、扫描引擎、特征库（漏洞特征库和攻击特征库）和安全规则（防火墙策略）。通过Internet到防病毒产品提供商网站升级最新的病毒定义码和扫描引擎。正常情况下升级周期为每天一次，时间设定为凌晨，避免升级流量对广域网络带宽的影响；当有突发的病毒事件或严重级别的病毒威胁，可实时升级病毒定义并下发。采用这种升级方式，一方面可以确保山西农信整个网络内的病毒定义码和扫描引擎的更新基本保持同步。另一方面，由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成，就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力，同时也避免了各下属单位自行到Internet升级而带来的不便和安全隐患。Symantec病毒定义升级频率缺省情况下，赛门铁克公司每日在官方网站上发布可供防病毒系统自动更新的病毒定义码（正常状态下每日3次更新；对于高危险性病毒爆发的情况，每日会更新多次）。网络带宽影响服务器与客户端之间策略通信流量，取决于管理员配置的操作系统保护策略的复杂程度，一个正常的策略文件在20K—80K之间变化，加密压缩后实际传输大校在5K—10K左右。以500台终端（一个分支机构的终端通常少于500台）为例，在一次心跳时间（一小时）内发生的实际流量为10K*500=5M，每秒服务器的策略下载流量为5M/(3600s)=1.4Kbyte，需要占用带宽为11.2Kbps。事实上，策略更新仅在策略发生变化时发起，平时带宽占用可以忽略不计。服务器和客户端之间的日志流量，默认设置的客户端日志大小限制为512K，每次上传的日志都是自上一次和服务器通讯后发生过的日志。一般客户端一天（工作时间）发生的日志量是20条--200条（视网络中安全事件发生的频率而变化），我们以每心跳时间内发生200条日志这个极限来计算。200条日志压缩后的大小大概在20K左右，每次心跳发生时服务器收到的流量大小为500用户*20K=10M，每秒流量为10M/（3600s）=2.8byte，需要占用带宽为22Kbps，对于现有网络带宽影响很小。服务器和客户端的安全内容更新数据量比较大，虽然采用了增量更新技术，每次更新的数据报仍然在200K左右。对远程分支机构的终端，可以利用管理系统“组升级”方式进行更新，减轻对广域网带宽的影响。这种方式下，策略服务器上可以设定终端从指定的临近的“组升级”终端上进行病毒定义等安全内容更新下载操作。即远程市分支机构一台终端获得内容更新后，其他的终端无需再到地市二级服务器进行更新，只需要从那台已经更新的终端上下载内容更新即可。安全管理策略设计管理权限策略根据山西农信的实际情况，创建一个域管理员帐号。系统的常见维护操作，如策略备份与恢复、站点重装等只需要有服务器操作系统管理员帐号即可。客户端分组策略在计算机全局组下，默认只有临时组，另外创建四个新组，分别为特权组、隔离组、维护组、测试组。这几个组为特殊功能组，做一些策略测试和一些非常态计算机的临时性管理。还可以增加一些普通用户组，网络中的常态计算机都集中在普通用户组中；分组可以按地域、部门、职能、类型、应用来分组。应该尽量保持扁平的组结构。备份和数据库维护策略安排一些策略备份的调度计划。在服务器软硬件出现故障时，可以快速恢复整个系统。安排数据库事务日志的维护计划，防止事务日志无限制膨胀，吞噬掉所有硬盘空间，导致系统无法正常工作。安全策略防病毒策略防病毒管理服务器的病毒定义码更新时间规划防病毒客户端的病毒定义码更新时间规划防病毒客户端的实时防护设置，配置病毒检测的类型、操作处理方式、警报方式防病毒客户端的日志记录时间设置防病毒客户端的隔离区参数设置防病毒客户端的篡改选项设置防病毒客户端的调度扫描设置，包括扫描的类型和对病毒的处理方式防火墙策略在该策略库中做了2个策略模版分别为：隔离区策略、内网限制策略。在这些策略模版中包括以下几个策略：受限的应用程序：禁用一些与工作无关的应用程序运行。恶意程序黑名单：禁用一些严重的病毒、木马、恶意程序禁止拨号和无线网络连接：防止非法外连互联网网址屏蔽策略：杜绝与公网IP的通讯操作系统防护策略设备禁用示例USB存储设备只读防止USB木马传播防止IE加载恶意插件示例禁止程序运行示例注册表键保护示例文件修改审计示例主机完整性策略防病毒软件的安装与运行检测规则分发防病毒软件示例补丁检查策略分发补丁示例卸载指定补丁示例安全加固设置针对SANtop10所列漏洞的检查及修复针对IIS漏洞的检查及修复针对Internetexplorer漏洞的检查及修复其他常见服务和应用的漏洞常见系统设置弱点禁止匿名访问禁止空连接统一桌面管理设置统一墙纸统一屏保IE主页设置IE代理设置IE安全级别设置Registrytool限制添加删除程序限制禁止更改IP设置时间同步设置，禁止更改系统时间桌面锁定、默认主页设定策略服务器的硬件配置需求建议在本部部署2台SEPM服务器；结合实际工程经验，硬件服务器的配置推荐如下：SEPM防病毒服务器CPU：3.0GHz以上，2个四核CPU内存：16GRAM硬盘：400G硬盘操作系统：WindowsServer2008R2数据库：MicrosoftSQLServer2005数量：1台实施方案项目工作范围本项目的工作范围如下：完成防病毒服务器的部署：包括总部SEPM管理服务器，总部LUA服务器的部署，必要的分公司SEPM服务器和LUA服务器的部署。完成防病毒客户端的部署。完成终端安全防护策略的制定及应用。完成必要的技术转移和应用技能培训。实施计划项目里程碑本项目将包含以下里程碑：项目启动和项目计划完成方案设计完成试点阶段完成部署完成项目结束项目工作进度计划与安排T为开始时间，按照工作日计算。任务号任务负责方配合方时间1项目启动T1.1项目组织建立1.1.1项目团队成立1.1.2项目领导团队成立1.2项目启动会议1.3项目计划制定1.3.1项目工作范围明确1.3.2项目进度制定1.3.3项目变更计划制定1.3.4项目沟通计划制定2方案设计2.1需求确认2.1.1完成病毒防护需求说明书编写2.1.2完成病毒防护需求说明书上报确认（通过项目经理）2.2方案设计2.2.1完成病毒防护试点方案设计初稿编写（PPT）2.2.2完成病毒防护试点方案设计项目组内部讨论（会议）3部署实施3.1试点阶段3.1.1完成病毒防护防护试点设备及环境到位3.1.2完成病毒防护试点实施方案初稿编写3.1.3完成病毒防护试点实施方案项目组内部讨论（会议）3.1.4完成病毒防护-全面试点3.1.5完成病毒防护-测试报告3.2推广阶段3.2.2完成病毒防护标准实施方案编写并上报(标准实施方案上报)3.2.3完成病毒防护相关制度初稿编写3.2.4完成病毒防护-邮件系统投产4项目交维4.1.1完成病毒防护邮件系统的监控及备份4.1.2完成病毒防护系统的管理员培训4.1.3完成病毒防护相关制度编写5项目结束5.1.1验收文档准备5.1.2完成病毒防护邮件系统的文档交付项目人员安排项目组织机构项目人员组成山西农信防病毒项目组由以下人员组成：序号角色资质与技能要求姓名职责电话邮件1项目经理1）有丰富的项目管理经验

2）具有网络及安全方面工作、技术和管理经验

3）具有高度项目管理和沟通、协调能力和执行能力4）具有大型银行的信息防泄漏项目管理经验。1）负责项目的日常管理工作，项目资源的申请和管理，根据项目需要，确定项目组成员

2）负责组织制定项目方案和项目计划

3）对项目状态进行跟踪和控制，提交项目状态报告

4）确保项目按时、保质完成

5）其他项目管理工作2技术经理1）具有网络或安全方面工作和技术经验

2）具有高度项目管理和沟通、协调能力和执行能力

3）要求高级技术经理以上资质4）具有大型银行的邮件信息防泄漏项目方案设计及架构经验。1）负责组织技术方案、配套制度的制定和有关试点工作

2）根据项目经理的安排和项目计划完成项目工作，负责向项目经理汇报项目进展情况3工程师1）3年以上安全、系统或网络方面技术工作经验2）具有邮件安全推广及运行管理经验3）具有大型银行的邮件信息防泄漏项目实施经验。1）根据项目经理的安排和项目计划完成项目工作，负责向项目经理汇报项目进展情况变更管理项目变更管理控制过程项目变更审批流程提出修改方将首先填写变更申请表（REQUESFORCHANGE，以下简称RFC）。RFC需提交评审小组确认。评审小组将就RFC的技术可靠性以及对整个项目的影响作出评估。评审小组主席由山西农信指定。评审小组成员由山西农信和集成商项目小组人员组成。评审小组成员的资格确认及人员的变更将以书面的形式通知对方。集成商将在接到RFC的7个工作日内提交收讫说明和相应的项目修改建议书（ENGINEERINGCHANGEPROPOSAL），及评审小组的评审报告。经山西农信确认双方授权代表签署授权并发放实施通知单。项目组予以实施变更。变更评审小组的成员名单单位姓名职责PICC集成商变更申请表样式变更申请序号#：申请人：日期：申请变更内容：申请变更原因：变更将对原协议价格、时程、条款产生以下方面影响：项目沟通计划由于本项目的关键性和复杂性，项目的沟通管理就特别重要。我们不但需要保持项目内部的沟通顺畅，同时需要对项目外部的各干系人进行积极主动的沟通。对此，我们建议安排相关项目人员召开双周项目例会，并及时把项目状态报告通报各方。提交文档以邮件和纸质文件（有签名）为主。项目周报 每周提交项目组及相关项目干系人项目双周例会 每双周初举行项目月报 每月底提交相关项目干系人项目里程碑报告 里程碑结束后提交项目干系人项目风险和异常报告 按实际情况提交项目干系人项目完工报告 项目结束后提交项目干系人项目周报模板如下：本周原定工作计划本周实际工作进展存在的风险及需要PICC协调的内容下周工作计划DLP实施进度培训方案防病毒系统的培训的对象是山西农信SymantecEndpointProtection终端防护系统管理员，相关运维人员以及防病毒项目组成员。具体培训内容包括SEP系统的安装，策略制定，性能优化，问题排查等部分。培训内容的提纲如下：第一部分:SymantecEndpointProtection介绍Lesson1:什么是SymantecEndpointProtection?Lesson2:服务器和客户端的安装Lesson3:管理员基础操作Lesson4:客户端通信原理Lesson5:客户端分组结构Lesson7:查看日志Lesson9:查看报表第二部分:防护技术和策略制定Lesson1:病毒防护和邮件扫描Lesson2:信誉度恶意软件防护Lesson3:主动型威胁防护Lesson4:设备和应用程序控制Lesson5:网络威胁防护第三部分:故障排查Lesson1:常见问题排查方法Lesson2:如何联系Symantec技术支持解决问题Lesson3:如何对应病毒爆发问题服务方案赛门铁克公司不仅是全球最大的防病毒公司，也是全球最大的网络安全公司，在提供防病毒专业服务的同时，也有能力支持服务代理商提供用户需要的更为广泛的安全服务，包括系统脆弱性扫描、安全评估、安全建议等，这些安全服务是防病毒系统有益和必要的补充。赛门铁克专业防病毒服务体系赛门铁克服务水平阐述赛门铁克公司在中国已经有六年的专业服务历史，为众多国内的大型企业提供防病毒体系的建设、部署和维护服务，包括：中国人民银行、中国人民保险公司、中国石油天然气总公司、中国石油化工总公司、中国海洋石油总公司等在全国拥有三级以上分支机构的单位，部署的防病毒数量超过30000个点。在省一级的项目当中，赛门铁克公司参与了金融、电力、电信、税务、工商、烟草等各种行业的许多省防