KingCloud企業(yè)云安全系統(tǒng)建設及服務方案

1、XXX公司KingCloud企業(yè)云安全系統(tǒng)建設及服務方案北京金山網(wǎng)絡科技有限公司XXXX年XX月 XX日第一章 綜述1.1項目背景1.2面向?qū)ο蟮诙?系統(tǒng)設計要求2.1系統(tǒng)基本架構(gòu)2.2系統(tǒng)主要功能描述2.3系統(tǒng)需要達到的基本要求第三章 系統(tǒng)設計方案3.1客戶端架構(gòu) 3.2 客戶端掃描邏輯 3.3 私有云服務器第四章 系統(tǒng)部署 4.1 硬件配置要求 4.2 部署基本流程第五章 產(chǎn)品運營技術支撐和服務保障體系 5.1 云安全系統(tǒng)優(yōu)化 5.2 云安全系統(tǒng)相關管理人員培訓 5.3 服務及技術支持第一章 綜述1.1項目背景1.1.1項目現(xiàn)狀l 計算機數(shù)量越來越大，目前普遍的、通用的防病毒防木馬方式已

2、滯后于公司的桌面安全需求。日益增多的系統(tǒng)弱點及第三方軟件漏洞，讓計算機容易感染木馬，特別是針對企業(yè)設計的木馬，給桌面安全帶來了挑戰(zhàn) 需要部署一套快速響應的云安全系統(tǒng)，來解決終端桌面的安全問題，提高企業(yè)IT應用的安全性。1.1.2項目目標：開發(fā)屬于企業(yè)私有的云安全系統(tǒng)，打造企業(yè)“云安全”服務。l 可以有效掃描桌面系統(tǒng)關鍵位置，防止木馬（特別是有針對性攻擊的木馬）隱藏其中。l 對于文件安全性提供在內(nèi)網(wǎng)受控的云鑒定服務，即可以快速響應文件安全性鑒定需求，又能防止未經(jīng)受權(quán)的文件外泄。l 可以快速提供有效的病毒/木馬清除解決方案。1.2面向?qū)ο笃髽I(yè)所有內(nèi)網(wǎng)用戶：沒有小孩的家庭寬帶用戶l 臺式機終端l W

3、indows服務器第二章 系統(tǒng)設計要求2.1系統(tǒng)架構(gòu)該系統(tǒng)由云查殺客戶端、和私有云平臺兩部分組成。示意圖如下。該系統(tǒng)采用金山成熟的云查殺技術、引擎，并定制開發(fā)適合企業(yè)需求的私有云服務器。木馬云查殺大部分對于文件特征匹配的請求會被發(fā)送到內(nèi)網(wǎng)的私有云服務器上，而不是直接查詢互聯(lián)網(wǎng)。私有云服務器通過VIP通道向金山云服務器，交得到優(yōu)先響應的文件特征查詢結(jié)果。管理員通過Web頁面查看、管理私有云服務器。2.2 系統(tǒng)主要功能描述組件主要功能描述木馬云查殺客戶端快速掃描對關鍵位置進行快速掃描，覆蓋木馬常用修改位置全面掃描支持對感染型等傳統(tǒng)病毒的掃描自定義掃描支持對用戶指定的文件或文件夾進行掃描系統(tǒng)修復支持

4、修復病毒破壞的系統(tǒng)關鍵點及常見瀏覽器設置私有云服務器代理查詢作為內(nèi)網(wǎng)中唯一可連接金山云安全服務器的節(jié)點，接受客戶端查詢請求，提供金山云安全服務器對內(nèi)網(wǎng)的文件查詢的響應文件上報控制對于客戶端上報的文件進行管理，對于文件是否上報到金山云安全服務器進行控制私有特征管理支持管理員對于文件特征進行安全性標識，維護屬于企業(yè)自有的特征庫，統(tǒng)計報表提供感染相關的病毒報表代理修復支持對系統(tǒng)文件版本查詢的請求轉(zhuǎn)發(fā)、支持代理下載常見系統(tǒng)文件代理更新負責連接到金山升級服務器，實現(xiàn)對修復庫、客戶端文件、本地特征庫的內(nèi)網(wǎng)分發(fā)2.3. 系統(tǒng)需要達到的基本要求組件要求內(nèi)容客戶端支持的操作系統(tǒng)支持Windows XP / 20

5、00/ 2003 支持Windows Vista支持 Windows 2008、Windows7 的32及64位版本安全對抗能力支持掃描已知Rootkit類木馬支持自保護，防止病毒/木馬終止通過更新，快速支持對病毒創(chuàng)建的啟動項的掃描清除能力支持修復被病毒篡改的系統(tǒng)文件對于被占用的病毒文件重啟后清除支持修復被篡改和鎖定的瀏覽器設置項支持清除感染型病毒私有云服務器查詢響應支持最大15萬PC查詢的響應容量響應文件查詢請求，通過金山云服務器和私有云特征庫兩部分返回響應系統(tǒng)文件版本查詢請求，連接金山云服務器進行轉(zhuǎn)發(fā)相應請求并代理下載需要修復的系統(tǒng)文件運營及管理能力對文件上報進行審核管理顯示文件基本信息，

6、以輔助管理員進行鑒定提供接口允許管理員自行判定文件安全性，并可維護該特征庫提供有助于判斷安全形勢的統(tǒng)計報表更新支持代理升級修復庫、客戶端文件及服務器自身通過Patch方式提供更新第三章 系統(tǒng)設計方案3.1客戶端架構(gòu)下面是客戶端架構(gòu)圖：安全應用層: 本層是基于金山云安全和安全核心層組件實現(xiàn)具體的功能，木馬云查殺對外提供了快速掃描、全盤掃描、自定義掃描三種形式的交互方式，并允許第三方程序調(diào)用，以實現(xiàn)產(chǎn)品級功能調(diào)用。安全核心層: 本層功能主要是與病毒對抗的實體，包含多個引擎組件，驅(qū)動。為防止病毒對抗及利用，本層不提供對外的直接調(diào)用。云安全服務層: 本層主要是提供云安全服務，開放的API，可以供第三方

7、程序調(diào)用。針對企業(yè)定制的版本，需要修改查詢的地址及按需求進行修改。 3.2 客戶端掃描邏輯3.2.1預掃描最先掃描修復的項目，主要處理環(huán)境修復及熱點病毒* 網(wǎng)絡修復由于系統(tǒng)引擎查殺部分還是依賴于云查殺，所以保證云查殺網(wǎng)絡通暢是重中之重。修復網(wǎng)絡有兩種情況：如果需要重啟,發(fā)現(xiàn)此類存在異常，提示用戶是否重啟后掃描或者繼續(xù)掃描。重啟后掃描則立即修復重啟，并開機時調(diào)用掃描。若用戶選擇繼續(xù)掃描，則修復后進行后續(xù)掃描流程，當掃描結(jié)束后，進行重啟查殺的提醒。如果不需要重啟,，發(fā)現(xiàn)此類存在異常，修復后直接進行后續(xù)掃描流程，當掃描結(jié)束后，在界面中提示掃描出網(wǎng)絡異常且修復成功。* 疑難及熱點病毒清除對于現(xiàn)有公共機

8、制不支持的病毒清除邏輯，在預掃描中預先進行處理，才進入主掃描流程。該處通過模塊更新的方式由金山實時提供更新，此處僅針對重大流行病毒。3.2.2 主掃描主要查殺修復模塊，清除大部分的病毒及系統(tǒng)瀏覽器異常。* 加載項掃描現(xiàn)有的啟動項掃描模塊中的各個啟動項按需要可以對其處理方式可配置。加載項主要指系統(tǒng)啟動項、服務、驅(qū)動、病毒利用的常見應用程序啟動方式等。掃描加載項的主要目的是滅活病毒體，如果病毒的所有加載項都被掃描到并被清除，那么重啟該病毒就會完全失去作用。滅活是金山云查殺一直以來的主要查殺理念，這一理念保證了對抗代價低、對抗周期短、實際效果好的綜合結(jié)果。而且采用強對抗（例如在運行時強制結(jié)束受保護的

9、進程、卸載服務或底層驅(qū)動）的安全軟件在面對新病毒時往往由于開發(fā)周期過長而無能為力，且穩(wěn)定性差。* 關鍵位置掃描現(xiàn)有的關鍵位置掃描，針對各個驅(qū)動器盤符根目錄、桌面等容易被用戶誤觸發(fā)的位置進行病毒母體或殘留體的掃描，此處掃描是對滅活的一個有效補充。主要目的不再是清除病毒，而是鞏固安全及提高用戶體驗。* 常用軟件位置掃描現(xiàn)有的常用軟件位置掃描支持QQ、迅雷、winrar，后續(xù)還得根據(jù)病毒的發(fā)展趨勢支持更多的普及型軟件掃描位置。病毒往往伴生在其他常用軟件下，以利用其他應用軟件進行啟動，此處是對加載項掃描的一個補充，也是金山云查殺體系應對病毒對抗快速響應的一種積累。* 系統(tǒng)修復掃描現(xiàn)有的系統(tǒng)修復主要針對

10、系統(tǒng)異常及瀏覽器相關頑固病毒進行處理修復。后續(xù)還得根據(jù)病毒的流行破壞趨勢進行相應的處理。* 系統(tǒng)文件修復掃描現(xiàn)有的系統(tǒng)文件修復主要針對病毒長破壞的系統(tǒng)文件進行修復，后續(xù)會擴展更多病毒易破壞的系統(tǒng)文件。* 殘留文件掃描任何一個安全軟件都不能確保完全清除所有病毒，但一個殘留的病毒文件，可能會引起用戶恐慌，此處也是一個提供用戶體驗的補充。但不是運營的重點。3.2.3 重啟后回掃下面是系統(tǒng)引擎重啟后相關流程圖* bc/bs清除現(xiàn)在大部分借助bc和bs驅(qū)動進行對病毒的清理, |BC驅(qū)動啟動早于系統(tǒng)絕大多數(shù)據(jù)驅(qū)動，用于清除病毒文件BS驅(qū)動啟動時機為注冊表加載完成，用于清除和修復注冊表項。* 啟動處理擴展由

11、于bcbs啟動時機早，處于系統(tǒng)底層，因此不能承載復雜的邏輯和獲取完整的系統(tǒng)環(huán)境，具有一定局限性，因此需要在服務中對進行更多的操作，增強處理的成功率。此處主要針對對我們腳本處理邏輯的增加個線性處理的補充，并對注冊表中user的操作、對文件的替換操作等。* 啟動回掃處理現(xiàn)在的回掃處理是服務啟動后2分鐘，此處是為了鞏固清除的成果，對于處理邏輯上沒有完全覆蓋或發(fā)生異常處理不干凈時，通過回掃處理可以提升一定的清除成功率。3.3 私有云服務器3.3.1系統(tǒng)架構(gòu)下圖是私有云服務器架構(gòu)私有云服務器通過接受客戶端HTTP請求，解析并處理各種上報的數(shù)據(jù)。通過HTTP協(xié)議訪問金山云服務器、升級服務器獲得相應數(shù)據(jù)。采

12、用WEB控制臺方式對服務器進行管理。3.3.2私有云服務器各服務描述* 數(shù)據(jù)及文件存儲數(shù)據(jù)庫初步選用MySQL，具體可雙方協(xié)商。* 二進制文件管理對于客戶端上傳的文件進行分類存儲，并可接受控制指令或計劃任務對文件進行管理、流轉(zhuǎn)。* 文件信息管理通過接受客戶端附加的文件信息、自行計算文件的附加信息按需求提供給管理員查看和處理。* 私有云特征處理維護一個私有的云安全特征庫，該庫不必要與金山云安全服務器同步。僅接受用戶的指令修改文件安全狀態(tài)，并下發(fā)到客戶端。該模塊涉及到誤報、應急處理等多種策略，存在一定風險。* WEB控制臺提供WEB控制臺對私有云服務器進行管理。* 文件云代理服務對于內(nèi)網(wǎng)不需要上報

13、的文件查詢，提供轉(zhuǎn)發(fā)請求服務。對于審核通過的文件提供提供上傳代理服務。對于查詢的特征按定義好的策略進行緩存* 數(shù)據(jù)升級服務負責接受客戶端匹配版本信息的請求定時下拉客戶端文件、病毒庫數(shù)據(jù)、修復庫數(shù)據(jù)* 系統(tǒng)文件修復服務負責接受客戶端匹配文件版本信息的請求，對有需要的用戶分發(fā)正確版本的系統(tǒng)文件。* 客戶端查詢接口采用HTTP協(xié)議通訊，負責對客戶端上的多種請求信息進行解析并轉(zhuǎn)發(fā)到相應模塊，并返回結(jié)果。* 統(tǒng)計運營對于全網(wǎng)的文件查詢、上報、安全狀態(tài)做綜合展示提供評估安全形勢的報表通過組合查詢方式獲取特點文件、病毒或客戶端的安全狀態(tài)，以協(xié)助制定安全策略。第四章 系統(tǒng)部署4.1 硬件配置要求* 客戶端：W

14、indows XP/Vista/Windows 7 * 私有云服務器：系統(tǒng)要求：Windows 2003及以上版本 64位服務器操作系統(tǒng)。硬件要求：根據(jù)部署時的實際情況，做性能壓力測試后確定。 網(wǎng)絡環(huán)境要求：可以連接互聯(lián)網(wǎng)網(wǎng)，且達10M以上帶寬可以連接企業(yè)內(nèi)網(wǎng)，且達100M以上帶寬。4.2 部署基本流程* 架設私有云服務器私有云服務器安裝調(diào)試數(shù)據(jù)庫建設網(wǎng)絡環(huán)境配置配置金山云安全特別授權(quán)服務、升級服務部署基礎數(shù)據(jù):包括高頻白文件特征庫、最新本地病毒庫、修復庫、常用系統(tǒng)文件庫。* 部署客戶端提供WEB下載安裝方式，可通過郵件、以及企業(yè)內(nèi)網(wǎng)管理支持的各種軟件方式分發(fā)客戶端?？商崆霸谝粋€小部門部署測試

15、整體系統(tǒng)功能是否可用。然后再大規(guī)模部署。* 建立企業(yè)私有云基礎庫（生產(chǎn)環(huán)境安全基線的初始化）對于客戶端上報的所有文件進行集中處理，建立一個基于企業(yè)現(xiàn)狀的初始文件庫。* 調(diào)試安全策略當每天上報的文件數(shù)量、未知文件狀況達到一個穩(wěn)定程度后：制定文件鑒定計劃建立與金山云安全中心服務的服務流程微調(diào)客戶端掃描調(diào)度頻度、安全策略等參數(shù)。第五章 產(chǎn)品運營技術支撐和服務保障體系5.1 云安全系統(tǒng)優(yōu)化5.1.1 安全策略優(yōu)化每三個月（季）進行評估分析，根據(jù)病毒發(fā)展形勢，以及金山云安全技術的發(fā)展，提供優(yōu)化方案，更新系統(tǒng)，以適應新的安全形勢。5.1.2 用戶體驗優(yōu)化根據(jù)員工反饋，不斷優(yōu)化安全策略，在保障安全的基礎上對用戶體驗找到平衡點。5.2 云安全系統(tǒng)相關管理人員培訓 對于云安全系統(tǒng)相關管理人員進行云安全體系知識的培訓，每季度提供最新木馬知識培訓。5.3 服務及技術支持5.3.1 第一年部署調(diào)試期間支持* 專職開發(fā)團隊5人、專職技術支持1人。提供全程系統(tǒng)改進開發(fā)和技術支持服務。* 服務形式為：技術支持人員上門常駐，驅(qū)動專