防病毒整體技術(shù)方案

防病毒軟件技術(shù)方案賽門鐵克軟件（北京）有限公司2012年10月目錄第1章 惡意代碼發(fā)展趨勢 1第2章 防病毒系統(tǒng)設計思路 32.1 基于特征的防病毒技術(shù)分析 32.2 傳統(tǒng)的防病毒產(chǎn)品使用效果分析 52.3 技術(shù)＋服務的體系化建設 62.3.1 技術(shù)層面：主動防御 72.3.2 服務層面 14第3章 產(chǎn)品選型推薦 163.1 SEP12組件及功能說明 16第4章 部署方案 244.1 部署架構(gòu) 244.2 管理系統(tǒng)功能組件說明 244.3 病毒定義升級 264.3.1 防病毒系統(tǒng)初建后第一次升級方案 264.3.2 正常運維狀態(tài)下的升級方案 274.3.3 Symantec病毒定義升級頻率 274.4 網(wǎng)絡帶寬影響 284.5 安全管理策略設計 294.5.1 管理權(quán)限策略 294.5.2 客戶端分組策略 294.5.3 備份和數(shù)據(jù)庫維護策略 294.5.4 安全策略 304.6 服務器的硬件配置需求 32第5章 實施方案 335.1 項目工作范圍 335.2 實施計劃 335.2.1 項目里程碑 335.2.2 項目工作進度計劃與安排 345.3 項目人員安排 385.3.1 項目組織機構(gòu) 385.3.2 項目人員組成 385.4 變更管理 415.4.1 項目變更管理控制過程 415.4.2 項目變更審批流程 415.4.3 變更評審小組的成員名單 425.4.4 變更申請表樣式 435.5 項目溝通計劃 44第6章 培訓方案 46第7章 服務方案 487.1 賽門鐵克專業(yè)防病毒服務體系 487.1.1 賽門鐵克服務水平闡述 487.1.2 賽門鐵克安全響應中心 497.1.3 賽門鐵克企業(yè)客戶服務中心 497.1.4 賽門鐵克安全合作服務商 507.2 賽門鐵克專業(yè)防病毒服務流程 507.2.1 基本流程 517.2.2 客戶服務專員的工作流程 527.2.3 客戶服務經(jīng)理的工作流程 527.2.4 工程師的工作流程 537.2.5 緊急事件響應流程 54惡意代碼發(fā)展趨勢終端所面臨的安全威脅已不再是傳統(tǒng)的病毒，而是更加復雜的惡意代碼（廣義病毒）。分析惡意代碼的發(fā)展趨勢可以幫助我們更好地構(gòu)建病毒防護體系，優(yōu)化現(xiàn)有安全防護體系，從而實現(xiàn)保障終端安全的最終目標。前所未見的惡意代碼威脅當前，終端安全必需要面對的首要問題是越來越多的惡意代碼是未知的，前所未見的。前所未見的威脅之所以劇增，其中一個主要原因是惡意代碼系列中出現(xiàn)大量變種。攻擊者普遍都在更新當前的惡意代碼，以創(chuàng)建新的變種，而不是“從頭開始”創(chuàng)建新的惡意代碼。一些惡意代碼系列（如熊貓燒香、Flamer系列）中的變種數(shù)量多如牛毛便是這方面淋漓盡致地再現(xiàn)。惡意代碼的編寫者創(chuàng)建新變種的方法各式各樣，其中包括變形代碼進化、更改功能及運行時打包實用程序，以逃避防病毒軟件的檢測。前幾年，蠕蟲和病毒（紅色代碼、沖擊波）的大規(guī)模爆發(fā)表明，惡意代碼無需復雜就可以感染大量計算機。如今，關注的焦點逐漸轉(zhuǎn)移到目標性攻擊和更狡猾的感染方法上。因此，越來越多的攻擊者開始使用復雜的多態(tài)技術(shù)來逃避檢測，為傳播助力。多態(tài)病毒可以在復制時更改其字節(jié)樣式，從而逃避采用簡單的字符串掃描防病毒技術(shù)進行的檢測。特洛伊木馬特洛伊木馬是一種不會進行自我復制的程序，但會以某種方式破壞或危害主機的安全性。特洛伊木馬看起來可用于某些目的，從而促使用戶下載并運行，但它實際上攜帶了一個破壞性的程序。它們可能偽裝成可從各個來源下載的合法應用程序，還可能作為電子郵件附件發(fā)送給無防備的用戶。根據(jù)統(tǒng)計，大部分特洛伊木馬是通過惡意網(wǎng)站進行安裝的。它們利用瀏覽器漏洞，這些漏洞允許惡意代碼的作者下載并執(zhí)行特洛伊木馬，而很少或無需與用戶交互。當用戶使用MicrosoftInternetExplorer查看其中的惡意的網(wǎng)絡頁面時，特洛伊木馬便會通過瀏覽器中的多客戶端漏洞安裝在用戶的系統(tǒng)中。然后，特洛伊木馬會記錄某些網(wǎng)站的身份驗證資料，并將其發(fā)送給遠程攻擊者。許多新出現(xiàn)的特洛伊木馬還會從受感染的系統(tǒng)中竊取特定的消息，如網(wǎng)上銀行密碼。廣告軟件/流氓軟件終端用戶遭遇的廣告軟件/流氓軟件的幾率越來越高，廣告軟件可執(zhí)行多種操作，其中包括顯示彈出式廣告、將用戶重引導至色情網(wǎng)站、修改瀏覽器設置，如默認主頁設置以及監(jiān)視用戶的上網(wǎng)活動以顯示目標廣告。其影響范圍包括單純的用戶騷擾、隱私權(quán)侵犯等。Adware的影響因其固有的特點而難以量化。但這并不意味著它們不是安全問題。最嚴重的影響可能是大范圍破壞個別最終用戶系統(tǒng)的完整性。包括：性能下降、瀏覽器故障、系統(tǒng)頻繁死機等。混合型威脅混合型威脅可以利用多種方法和技術(shù)進行傳播。它們不但能利用漏洞，而且綜合了各類惡意代碼（病毒、蠕蟲和特洛伊木馬程序）的特點，從而可以在無需或僅需很少人工干預的情況下，短時間內(nèi)感染大量系統(tǒng)，迅速造成大范圍的破壞。混合型威脅常用的多傳播機制使其可以用靈活多變的方式避開組織的安全措施。它們可以同時使系統(tǒng)資源超負荷并耗盡網(wǎng)絡帶寬。防病毒系統(tǒng)設計思路基于特征的防病毒技術(shù)分析長期以來，應對混合型威脅（混合型病毒）的傳統(tǒng)做法是，一旦混合型病毒爆發(fā)，盡快捕獲樣本，再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速清除病毒并阻截該威脅的蔓延。這種方式曾一度相當有效，但近年來――特別是近年來多次影響XXX的沖擊波、Slammer、Netsky、熊貓燒香、Flamer等病毒，已經(jīng)體現(xiàn)這種基于特征的被動式病毒響應方式效果不佳了。這一方面因為病毒的快速發(fā)展，另一方面更因為傳統(tǒng)防病毒技術(shù)采取被動跟蹤的方式來進行病毒防護。但是，這種被動的病毒響應方式越來越力不從心。如下圖所示，Symantec公司統(tǒng)計了近十幾年來病毒爆發(fā)速度和特征響應速度，并對近年的發(fā)展趨勢做了比較?；旌闲筒《靖腥九c病毒特征響應對比圖該圖以計算機病毒/混合威脅的復制速度（藍色線條，自左上至右下）來顯示這些威脅的演變，以響應速度（紅色線條，自左下至右上）來顯示病毒技術(shù)的發(fā)展。橫軸以年為單位，時間范圍是從1990年至2005年?？v軸實際上顯示兩種不同的時間規(guī)定（都采用左邊縱軸的時間比例來顯示）。左邊縱軸（藍色文本）顯示惡意病毒達到“感染”狀態(tài)所用的時間，在該狀態(tài)下，惡意病毒已經(jīng)感染了相當多有漏洞的計算機。右邊縱軸顯示提供描述病毒的特征所用的時間。分析上圖的最后一部分可知，對于現(xiàn)在出現(xiàn)的幾分鐘甚至幾秒鐘之內(nèi)就可發(fā)作的超速混合威脅而言，其傳播速度和實現(xiàn)完全感染相關主機的速度比人工或自動化系統(tǒng)生成和部署病毒特征的速度快得多時，在這樣情況下，原有的基于病毒特征的模式已經(jīng)效果甚微，因為到那時每次混合型病毒的爆發(fā)，由于特征響應方式的滯后而讓將付出沉重的代價（最近的沖擊波、震蕩波的例子已經(jīng)初步證明了這一點），而這是絕對不能接受的。傳統(tǒng)的防病毒產(chǎn)品使用效果分析傳統(tǒng)的單一的防病毒產(chǎn)品在應對新的終端安全威脅時效果往往不佳，其根本原因在于：基于特征的病毒定義滯后性雖然防病毒技術(shù)不斷發(fā)展，出現(xiàn)了類似啟發(fā)式掃描、智能檢測等新的技術(shù)，但是目前防病毒產(chǎn)品還是以基于特征的病毒掃描方式為主要手段。也即一種新的病毒出現(xiàn)后，防病毒廠商通過各種方式收集到病毒的樣本，經(jīng)過自動地或者專家分析獲取病毒特征碼，隨即發(fā)布新的病毒定義供用戶下載更新。而用戶通過手動或周期地自動更新獲取新的病毒定義以后，才可以有效地防御這種新的病毒。顯然，基于特征的病毒定義更新存在著滯后性，這種滯后表現(xiàn)在：病毒定義滯后于新病毒的出現(xiàn)，當前的病毒快速、大量變種的特性加劇了這種滯后性所帶來的危害。用戶的病毒定義滯后于廠商的病毒定義。這是由于用戶往往使用周期自動更新的方式，甚至由于種種原因部分用戶的病毒定義不能正常升級，這些都會導致與最新的病毒定義的時間差。區(qū)域性惡意代碼增加了樣本收集的難度特洛伊木馬等惡意代碼當前的一個重要特征是具有很強的目標性和區(qū)域性。特洛伊木馬往往以特定用戶和群體為目標。某一種特洛伊木馬可能只是針對某個地區(qū)的某類型用戶。由于特洛伊木馬的目標性強，因此這些攻擊只是發(fā)送給較小的用戶群，從而使其看上去并不顯眼，并且不太可能提交給防病毒供應商進行分析。而如果防病毒廠商不能及時獲得最新的病毒樣本，也就失去了對這些木馬的防護能力。單純的防病毒技術(shù)無法應對混合型威脅混合型威脅整合了病毒傳播和黑客攻擊的技術(shù)，以多種方式進行傳播和攻擊。不需要人工干預，能夠自動發(fā)現(xiàn)和利用系統(tǒng)漏洞，并自動對有系統(tǒng)漏洞的計算機進行傳播和攻擊。越來越多的病毒會自動攻擊操作系統(tǒng)或者特定的應用軟件的漏洞，在漏洞未修復（未安裝補丁）的情況下，會造成病毒反復感染，純粹的防病毒不足以應付這些新型的病毒事件。復雜的病毒查殺技術(shù)與性能需求新型的惡意代碼采取了更多的反檢測和清除的技術(shù)，包括前文描述的多態(tài)病毒以及高級的Rootkit技術(shù)。與傳統(tǒng)的惡意代碼相比，檢測復雜多態(tài)病毒和Rootkit對技術(shù)的要求更高。涉及復雜的加密邏輯和統(tǒng)計分析過程，以及代碼模擬和數(shù)據(jù)驅(qū)動引擎的設計。因此，這需要經(jīng)驗豐富的分析師來開發(fā)檢測和移除技術(shù)。同時，防護時也需要占用更多的終端系統(tǒng)資源。實際測試包括很多用戶實際環(huán)境中，防病毒軟件通常占用內(nèi)存50M－60M左右，對于一些老的機器（內(nèi)存小于256M）會影響系統(tǒng)性能。部分終端用戶往往在安全和性能的抉擇中放棄安全，這也導致了防病毒體系整體運行效果不佳。技術(shù)＋服務的體系化建設實踐證明，完整有效的終端安全解決方案包括技術(shù)、管理和服務三個方面內(nèi)容。防病毒技術(shù)的部署和實施是“實現(xiàn)用戶個人的廣義病毒和攻擊的防護”的主要力量。傳統(tǒng)的病毒防護方案往往以技術(shù)為主，但是僅僅依靠技術(shù)是有其局限性，因此指望一套防病毒軟件解決所有的病毒問題是不現(xiàn)實的；同時，對于中保協(xié)這樣的大型企業(yè)，防病毒的管理性要求甚至比查殺病毒的能力顯得更為重要，如果不能做到全網(wǎng)防病毒的統(tǒng)一管理，再強的防病毒軟件也不能發(fā)揮應有作用。此外，我們重點提出“服務”的根本原因是基于一個判斷：即沒有任何防病毒廠家能夠做到對所有已知病毒和未知病毒的快速準確查殺。服務是產(chǎn)品的一種補充。因此，廠家提供的產(chǎn)品＋服務的組合才能在根本上保證病毒防護的可靠性。以下分別予以詳細闡述：技術(shù)層面：主動防御從以上對新的惡意軟件發(fā)展趨勢和傳統(tǒng)的病毒防護產(chǎn)品的特性分析，不難看出，傳統(tǒng)防病毒技術(shù)由于采取被動跟蹤的方式來進行病毒防護。一旦病毒爆發(fā)，盡快捕獲樣本，再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速清除病毒并阻截該威脅的蔓延。這種被動的防護方式無法應對新的惡意軟件的發(fā)展。因此，必須從“主動防御”這一觀點出發(fā)，建立一個覆蓋全網(wǎng)的、可伸縮、抗打擊的防病毒體系。相對于被動式病毒響應技術(shù)而言，主動式反應技術(shù)可在最新的惡意軟件沒有出現(xiàn)之前就形成防御墻，靜侯威脅的到來而能避免威脅帶來的損失?！爸鲃臃烙敝饕w現(xiàn)在以下幾個方面：信譽度技術(shù)Symantec會從其數(shù)百萬用戶的全球社區(qū)及其全球情報網(wǎng)中收集有關文件的信息。所收集的信息形成Symantec承載的一個信譽數(shù)據(jù)庫。Symantec產(chǎn)品利用該信息保護客戶端計算機，使其免受新威脅、目標威脅和變異威脅的侵害。該數(shù)據(jù)有時稱為“在云端”，因為它未駐留在客戶端計算機上。客戶端計算機通過請求或查詢信譽數(shù)據(jù)庫，可以避免傳統(tǒng)的基于特征碼的防病毒技術(shù)帶來的病毒檢測的滯后性，做到基于Symantec全球防病毒云計算網(wǎng)絡的病毒和惡意軟件防護。Symantec使用一項稱為“智能掃描”的技術(shù)來確定每個文件的風險級別或“安全等級”。智能掃描通過檢查文件及其上下文的以下特征來確定文件的安全等級：■文件的源■文件的新舊程度■文件在社區(qū)中的常用程度■其他安全衡量標準，如文件可能與惡意軟件的關聯(lián)程度SymantecEndpointProtection12.1中的掃描功能利用智能掃描做出有關文件和應用程序的決策?；趹贸绦虻姆阑饓夹g(shù)個人防火墻能夠按程序或者通訊特征，阻止/容許任何端口和協(xié)議進出。利用個人防火墻技術(shù)，一方面可以防止病毒利用漏洞滲透進入終端，另一方面，更為重要的是，可以有效地阻斷病毒傳播路徑。以去年大規(guī)模爆發(fā)的Spybot病毒為例，該病毒利用了多個微軟系統(tǒng)漏洞和應用軟件漏洞，企業(yè)可以在終端補丁尚未完全安裝完畢的情況下，通過集中關閉這些存在漏洞的服務端口，阻止病毒進入存在漏洞的終端。再以Arp木馬為例。正常的Arp請求和響應包是由ndisiuo.sys驅(qū)動發(fā)出，而arp病毒或者其他arp攻擊通常是利用其他的系統(tǒng)驅(qū)動偽造arp數(shù)據(jù)包發(fā)出。因此，通過在防火墻規(guī)則中設定，只允許ndisiuo.sys對外發(fā)送Arp數(shù)據(jù)包（協(xié)議號0x806），其他的全部禁止。從而，在沒有最新的病毒定義的前提下對病毒進行阻斷和有效防護。統(tǒng)一部署防火墻不僅可以解決以上這些安全問題，同時可以成為企業(yè)執(zhí)行安全策略的有力工具，實現(xiàn)一些企業(yè)的安全策略的部署，如突發(fā)病毒爆發(fā)時，統(tǒng)一開放關閉防火墻相應端口。具備通用漏洞阻截技術(shù)的入侵防護通用漏洞利用阻截技術(shù)的思想是：正如只有形狀正確的鑰匙才能打開鎖一樣，只有“形狀”相符的混合型病毒才能利用該漏洞進行攻擊。如果對一把鎖的內(nèi)部鎖齒進行研究，便可以立即了解到能夠打開這把鎖的鑰匙必需具備的特征——甚至不需要查看實際的鑰匙。類似地，當新漏洞發(fā)布時，研究人員可以總結(jié)該漏洞的“形狀”特征。也就是說，可以描述經(jīng)過網(wǎng)絡到達漏洞計算機并利用該漏洞實施入侵的數(shù)據(jù)的特征。對照該“形狀”特征，就可以檢測并阻截具有該明顯“形狀”的任何攻擊（例如蠕蟲）。以沖擊波蠕蟲被阻截為例進行說明。當2003年7月MicrosoftRPC漏洞被公布時，賽門鐵克運用通用漏洞利用研究技術(shù)，制作了該漏洞的通用特征。大約在一個月之后，出現(xiàn)了利用該漏洞進行入侵和蔓延的沖擊波蠕蟲。Symantec由于具備了賽門鐵克編寫的特征在網(wǎng)絡環(huán)境中能夠迅速檢測到?jīng)_擊波蠕蟲并立即阻止它。在前文對惡意軟件的發(fā)展趨勢中，我們分析了木馬、流氓軟件的一個最主要的傳播方式是利用IE瀏覽器的漏洞，當用戶瀏覽這些惡意站點時，利用IE的漏洞，攻擊者可以在用戶終端上悄悄安裝木馬、廣告/流氓軟件等。盡管惡意軟件的變種數(shù)量龐大，但實際上，惡意軟件安裝過程中利用的IE漏洞種類并不多。賽門鐵克運用通用漏洞利用研究技術(shù)，提前制作這些漏洞的通用特征。惡意軟件若想利用這些漏洞進行安裝，必須具備特定的形狀，而賽門鐵克編寫的特征可以提前檢測到該形狀，從而對其進行阻截，避免了惡意軟件安裝到用戶終端上，從而根本無需捕獲該病毒樣本然后再匆忙響應。應用程序控制技術(shù)通過應用程序行為控制，在系統(tǒng)中實時監(jiān)控各種程序行為，一旦出現(xiàn)與預定的惡意行為相同的行為就立即進行阻截。以熊貓燒香為例，如果采用被動防護技術(shù)，必須對捕獲每一個變種的樣本，才能編寫適當?shù)牟《径x。但是，該病毒的傳播和發(fā)作具有非常明顯的行為特征。熊貓燒香最主要的傳播方式是通過U盤傳播，其原理是利用操作系統(tǒng)在打開U盤或者移動硬盤時，會根據(jù)根目錄下的autorun.inf文件，自動執(zhí)行病毒程序。SEP系統(tǒng)防護技術(shù)可以禁止對根目錄下的autorun.inf的讀寫權(quán)限，特別的，當已感染病毒的終端試圖往移動設備上寫該文件時，可以終止該病毒進程并報告管理員。再以電子郵件的行為阻截技術(shù)應用為例進行說明。首先，我們知道基于電子郵件的蠕蟲的典型操作：典型的電子郵件計算機蠕蟲的工作原理是，新建一封電子郵件，附加上其（蠕蟲）本身的副本，然后將該消息發(fā)送到電子郵件服務器，以便轉(zhuǎn)發(fā)到其他的目標計算機。那么，當使用了帶行為阻截技術(shù)的賽門鐵克防病毒軟件之后，防病毒軟件將監(jiān)視計算機上的所有外發(fā)電子郵件。每當發(fā)送電子郵件時，防病毒軟件都要檢查該郵件是否郵件有附件。如果該電子郵件有附件，則將對附件進行解碼，并將其代碼與計算機中啟動此次電子郵件傳輸?shù)膽贸绦蛳啾容^。常見的電子郵件程序，如Outlook，可以發(fā)送文件附件，但絕不會在郵件中附加一份自身程序的可執(zhí)行文件副本！只有蠕蟲才會在電子郵件中發(fā)送自己的副本。因此，如果檢測到電子郵件附件與計算機上的發(fā)送程序非常相似時，防病毒軟件將終止此次傳輸，從而中斷蠕蟲的生命周期。此項技術(shù)非常有效，根本無需捕獲蠕蟲樣本然后再匆忙響應，帶此項技術(shù)的賽門鐵克防病毒軟件已經(jīng)成功的在零時間阻截了數(shù)十種快速傳播的計算機蠕蟲，包括最近的Sobig、Novarg和MyDoom。此外，基于行為的惡意軟件阻截技術(shù)，還可以鎖定IE設置、注冊表、系統(tǒng)目錄，當木馬或者流氓軟件試圖更改這些設置時會被禁止。從而，即使用戶下載了未知的惡意軟件，也無法在終端上正常安裝和作用?；谛袨榈姆雷o技術(shù)非常有效，根本無需捕獲惡意軟件樣本然后再匆忙響應，利用此項技術(shù)可以成功的在零時間阻截主流的蠕蟲病毒，包括熊貓燒香、威金等。由于采用了集中的策略部署和控制，無須最終用戶的干預，因此不需要用戶具備高深的病毒防護技術(shù)。同時，基于行為規(guī)則的防護技術(shù)非常適合于主機系統(tǒng)環(huán)境，主機系統(tǒng)應用單一并且管理專業(yè)，采用行為規(guī)則的防護是對傳統(tǒng)防病毒技術(shù)的一個很好的補充。前瞻性威脅掃描ProactiveThreatScan是一種主動威脅防護技術(shù)，可防御利用已知漏洞的多種變種和前所未見的威脅。ProactiveThreatScan基于分析系統(tǒng)所運行進程的行為來檢測潛在威脅的啟發(fā)式技術(shù)。大多數(shù)基于主機的IPS僅檢測它們認為的“不良行為”。所以，它們經(jīng)常會將可接受的應用程序行為識別為威脅并將它們關閉，嚴重影響用戶和技術(shù)支持中心的工作效率，讓管理員面臨著艱巨的挑戰(zhàn)。不過，ProactiveThreatScan會同時記錄應用程序的正常行為和不良行為，提供更加準確的威脅檢測，可顯著減少誤報的數(shù)量。前瞻性地威脅掃描讓企業(yè)能夠檢測到任何基于特征的技術(shù)都檢測不到的未知威脅。終端系統(tǒng)加固事實上，確保終端安全的一個必須的基礎條件時終端自身的安全加固，包括補丁安裝、口令強度等。顯然，口令為空、缺少必要的安全補丁的終端，即使有再優(yōu)秀的防護技術(shù)也不可避免地遭受到攻擊和病毒感染。為了彌補和糾正運行在企業(yè)網(wǎng)絡終端設備的系統(tǒng)軟件、應用軟件的安全漏洞，使整個網(wǎng)絡安全不至由于個別軟件系統(tǒng)的漏洞而受到危害，必需在企業(yè)的安全管理策略中加強對補丁升級、系統(tǒng)安全配置的管理。建議集中管理企業(yè)網(wǎng)絡終端的補丁升級、系統(tǒng)配置策略，可以定義終端補丁下載，補丁升級策略以及增強終端系統(tǒng)安全配置策略并下發(fā)給運行于各終端設備上的代理，代理執(zhí)行這些策略，保證終端系統(tǒng)補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡的安全風險，提高企業(yè)網(wǎng)絡整體的補丁升級、安全配置管理效率和效用，使企業(yè)網(wǎng)絡的補丁及安全配置管理策略得到有效的落實。針對虛擬化和云設計隨著虛擬化和云技術(shù)的不斷應用和發(fā)展，防病毒軟件需要適合在虛擬化河運平臺下的終端防護，包含以下功能：針對VMware、Citrix和Microsoft虛擬環(huán)境而優(yōu)化易于管理的物理和虛擬客戶端最大限度提高了在虛擬化和云平臺下性能和密度，同時絲毫不會影響安全性在虛擬化河運平臺下最出色的性能和安全性基于特征的病毒防護技術(shù)最后，傳統(tǒng)的病毒防護技術(shù)僅僅作為主動防御的的一個必要補充，防御已知的病毒，對于已經(jīng)感染病毒機器進行自動的清除和恢復操作。綜上所述，單純的防病毒產(chǎn)品都僅僅實現(xiàn)了基于特征的病毒防護功能，必須依靠其他的主動防御技術(shù)，才能有效地應對當前的惡意代碼威脅。服務層面企業(yè)通過建立網(wǎng)絡防病毒體系來防止病毒入侵，即是一個動態(tài)的技術(shù)對抗過程，也是一個防守方和攻擊方的人員較量過程。在現(xiàn)實的網(wǎng)絡環(huán)境里，由于攻擊方在大多數(shù)情況下掌握著主動權(quán)，因此部署防病毒產(chǎn)品只是建立了對抗攻擊的基礎，還不能達到真正意義上的安全，最重要的是對產(chǎn)品進行有效的管理和正確的策略配置，并且時時刻刻關注網(wǎng)絡安全的最新動態(tài)，根據(jù)各種變化及時調(diào)整安全策略，加固系統(tǒng)。只有結(jié)合和采用防病毒安全服務，才能使企業(yè)的防病毒體系以及整體安全達到一個新的高度。防病毒廠商提供的服務主要包括以下兩個方面：病毒預警服務病毒預警服務為XXX對于新病毒的提前預警、通知和防范的標準流程，該流程為管理員提供必要的信息和預警，以便在病毒到達企業(yè)之前或病毒尚未泛濫之前部署對策并成功抵制攻擊，減少病毒事件的數(shù)量，降低病毒事件的影響。突發(fā)病毒應急響應服務當用戶發(fā)現(xiàn)一種未知病毒的傳播導致網(wǎng)絡服務癱瘓，而現(xiàn)有防病毒客戶端對此無能無能為力，或者當病毒客戶端發(fā)現(xiàn)病毒但既不能隔離也不能有效刪除時候，就需要防病毒服務能夠幫用戶解決這些問題。而且，用戶需要的是一個時限范圍內(nèi)的解決。用戶可以通過提交病毒樣本或要求直接上門服務的方式，請防病毒廠家協(xié)助解決這些問題，避免病毒在用戶的大規(guī)模擴散。產(chǎn)品選型推薦根據(jù)以上防病毒系統(tǒng)設計思路，我們推薦采用SymantecEndpointProtection12.1終端防護軟件。SEP12組件及功能說明SEP12主要功能模塊如下：（1）防病毒和反間諜軟件防病毒和反間諜軟件解決方案一般采用基于掃描的傳統(tǒng)技術(shù)，來識別端點設備上的病毒、蠕蟲、特洛伊木馬、間諜軟件和其它惡意軟件。典型的防病毒和反間諜軟件解決方案會在系統(tǒng)中搜索與已知威脅的特點（或稱威脅特征）匹配的文件，從而檢測這些威脅。在檢測到威脅后，該解決方案會對其進行補救，通常是刪除或控制威脅。多年來，該方法在針對已知威脅保護端點時一直非常有效。雖然該方法不足以防御未知威脅和零日威脅，但它仍然是整體端點安全中的基本要素。Symantec從2011年7月份發(fā)布的SymantecEndpointProtection12.1版本開始，把原本在個人版諾頓防病毒軟件使用成熟的信譽度技術(shù)和主動式防御技術(shù)增加到企業(yè)版SymantecEndpointProtection產(chǎn)品之中，做到了真正的基于Symantec全球云計算網(wǎng)絡的病毒和惡意軟件檢測。該技術(shù)不僅是傳統(tǒng)的基于特征碼的防病毒技術(shù)的一個重要補充，隨著使用者數(shù)目的增多和信譽度數(shù)據(jù)庫的不斷豐富完善，正在成為Symantec的主要的病毒和惡意軟件檢測技術(shù)。由于整個行業(yè)日益重視端點安全，所以防病毒和反間諜軟件市場中最近新出現(xiàn)了各種產(chǎn)品。在這些第一代和第二代解決方案中，雖然有許多產(chǎn)品可以提供一定程度的防護，但它們往往無法提供全面防護。許多技術(shù)僅在一種操作系統(tǒng)上工作。其它技術(shù)缺少與防火墻、設備控制和入侵防御等其它基本端點安全技術(shù)互操作的功能。無論是從質(zhì)量還是級別來看，SymantecEndpointProtection提供的防護都遠遠超越了競爭對手的產(chǎn)品。與第一代打包解決方案相比，SymantecEndpointProtection提供更高級別的實時防護，而且賽門鐵克的表現(xiàn)比許多老牌安全解決方案提供商更勝一籌。例如，賽門鐵克是1999年以來唯一連續(xù)獲得40多項VB100獎的供應商。在Gartner評比中，SymantecEndpointProtection始終位列領導者象限的領先地位。另外，SymantecEndpointProtection由賽門鐵克全球情報網(wǎng)絡提供支持，該集成式服務為客戶提供了必需的情報，讓他們能夠降低安全風險、提高法規(guī)遵從性并改善整體安全狀況。賽門鐵克全球情報服務提供了對全球、行業(yè)和本地最新威脅與攻擊的洞察，以便企業(yè)可以主動響應新出現(xiàn)的威脅。通過將威脅預警和賽門鐵克托管安全服務完美結(jié)合，賽門鐵克全球情報服務可以對整個企業(yè)中的惡意活動進行實時分析，從而幫助企業(yè)保護關鍵信息資產(chǎn)。（2）主動威脅防護技術(shù)雖然基于特征和信譽度的文件掃描和網(wǎng)絡掃描技術(shù)覆蓋了主要的必備保護領域，但仍然需要并非基于特征或信譽度的技術(shù)，來防御隱蔽攻擊使用的不斷增多的未知威脅。這類技術(shù)被稱為主動威脅防護技術(shù)。SymantecEndpointProtection包括ProactiveThreatScan，它是一種主動威脅防護技術(shù)，可防御利用已知漏洞的多種變種和前所未見的威脅。它具有獨特的主機入侵防御功能，讓企業(yè)有能力針對未知或零日威脅保護自己。ProactiveThreatScan基于分析系統(tǒng)所運行進程的行為來檢測潛在威脅的啟發(fā)式技術(shù)。大多數(shù)基于主機的IPS僅檢測它們認為的“不良行為”。所以，它們經(jīng)常會將可接受的應用程序行為識別為威脅并將它們關閉，嚴重影響用戶和技術(shù)支持中心的工作效率，讓管理員面臨著艱巨的挑戰(zhàn)。不過，ProactiveThreatScan會同時記錄應用程序的正常行為和不良行為，提供更加準確的威脅檢測，可顯著減少誤報的數(shù)量。所以，SymantecEndpointProtection讓企業(yè)能夠檢測到任何基于特征的技術(shù)都檢測不到的未知威脅。（3）網(wǎng)絡威脅防護端點上的網(wǎng)絡威脅防護對于防御混合型威脅和阻止爆發(fā)至關重要。為保證有效性，絕不能僅僅依賴防火墻。網(wǎng)絡威脅防護應包含多種先進防護技術(shù)，包括入侵防御以及先進的網(wǎng)絡通信控制功能。過去，安全專家爭論的焦點是：是否需要在企業(yè)網(wǎng)絡邊界本身或個別臺式機上部署防火墻。由于目前的威脅極為復雜，而且移動辦公人員已經(jīng)擴展到企業(yè)計算基礎架構(gòu)的邊界以外，所以端點已成為漏洞利用和攻擊的主要目標。威脅通常首先感染網(wǎng)絡邊界以外的一臺筆記本電腦，之后，在這臺筆記本電腦連接到內(nèi)部網(wǎng)絡時，該威脅就會傳播到其它端點?？梢岳枚它c防火墻，不僅阻止內(nèi)部網(wǎng)絡攻擊入侵連接到網(wǎng)絡的任何端點，甚至阻止這些威脅離開最初感染的端點。SymantecEndpointProtection端點安全代理結(jié)合最佳的防火墻解決方案，兼?zhèn)湓愰T鐵克客戶端防火墻與Sygate?防火墻的功能。其中包括：基于規(guī)則的防火墻引擎預定義的防病毒、反間諜軟件和個人防火墻檢查按應用程序、主機、服務和時間觸發(fā)的防火墻規(guī)則全面TCP/IP支持（TCP、UDP、ICMP、RawIPProtocol）用于允許或禁止網(wǎng)絡協(xié)議支持的選項，包括以太網(wǎng)、令牌環(huán)、IPX/SPX、AppleTalk和NetBEUI阻止VMware和WinPcap等協(xié)議驅(qū)動程序的功能特定于適配器的規(guī)則檢查加密和明文網(wǎng)絡通信的功能數(shù)據(jù)包和數(shù)據(jù)流入侵防御系統(tǒng)(IPS)阻止、自定義IPS特征阻止以及一般漏洞利用禁止實現(xiàn)主動威脅防御網(wǎng)絡準入控制的自我實施（4）入侵防御對解決基于漏洞的網(wǎng)絡威脅具有重要作用，對于使用一般特征并基于漏洞的入侵更是如此?；诼┒吹娜肭址烙到y(tǒng)可使用一個一般特征，阻止攻擊漏洞的數(shù)百種潛在漏洞利用，在網(wǎng)絡層遏止攻擊，使其根本無法感染端點。雖然傳統(tǒng)IPS解決方案能夠檢測到特定的已知漏洞利用，但他們不足以針對構(gòu)成當前威脅主流的多種漏洞攻擊變種來保護公布的軟件漏洞。根據(jù)互聯(lián)網(wǎng)安全威脅報告(ISTRVolXI)，操作系統(tǒng)或應用程序提供商平均需要47天才能發(fā)布公布漏洞的補丁程序。在推出補丁程序之前利用這些漏洞進行的攻擊通常稱為前所未見的攻擊或零日攻擊。在檢測到第一次漏洞攻擊之后的幾小時，IPS供應商會發(fā)布特征，以防御利用特定漏洞的進一步攻擊。這些反應性方法會讓老練的攻擊者擁有大量攻擊機會。在發(fā)布漏洞特征之前發(fā)起的第一輪漏洞利用會讓企業(yè)承受極為慘重的損失。即使已經(jīng)發(fā)布了漏洞利用特征，這些方法對多態(tài)或自我突變的漏洞利用變種也是毫無招架能力。另外，這些基于漏洞利用的反應性方法無法防御尚未發(fā)現(xiàn)、尚未報告或未知的威脅，例如，通常檢測不到以特定公司為目標的隱蔽漏洞利用。為應對前所未見的突變威脅，需要基于漏洞的IPS形式的更主動方法。雖然基于漏洞利用的特征只能檢測到特定漏洞利用，但基于漏洞的特征會在更高級別運行，不僅檢測到利用一種漏洞的特定攻擊，而且能夠檢測到試圖攻擊該漏洞的所有漏洞利用。SymantecEndpointProtection包括：一般漏洞利用禁止(GEB)，即使用一般特征、基于漏洞的IPS技術(shù)。當操作系統(tǒng)或應用程序供應商公布可能導致企業(yè)面臨嚴重風險的新漏洞時，賽門鐵克的工程師會研究該漏洞的特點，并根據(jù)研究結(jié)果總結(jié)并發(fā)布一般特征。由此可幫助在出現(xiàn)漏洞利用之前保護企業(yè)?；诼┒吹娜肭址烙浅Ｓ行В驗橐粋€漏洞定義不僅能防御一種威脅，而且可防御數(shù)百種甚至數(shù)千種威脅（參見下表）。因為這種防御會查找漏洞特點和行為，所以可防御多種威脅，甚至可防御未知威脅或尚未開發(fā)的威脅。基于漏洞的保護還可用于防御以特定行業(yè)或企業(yè)為目標的漏洞利用。有目標的攻擊通常比較隱蔽，因為它們的目標是在竊取機密信息時不會被發(fā)現(xiàn)，之后還要清除它們自己在系統(tǒng)中留下的痕跡。所以，無法總結(jié)出這些有目標漏洞利用的特征，因為企業(yè)無法在它們造成破壞之前了解它們?；诼┒吹姆雷o可以識別有目標攻擊試圖利用的漏洞的高級特征，所以可檢測并阻止漏洞利用。SymantecEndpointProtection中的端點安全代理在網(wǎng)絡層結(jié)合基于漏洞的防護，可阻止前所未見的漏洞利用或其變種進入并感染端點。因為它們沒有機會感染端點，所以不會造成損害，也不需要對其進行補救。SymantecEndpointProtection還讓管理員有能力創(chuàng)建自定義的入侵防御特征。所以，他們可以定義基于規(guī)則的特征，根據(jù)他們的特有環(huán)境和自定義應用程序的需要而進行量身定制。可以將特征創(chuàng)建為可阻止一些特定操作或更復雜的操作。如果使用SymantecEndpointProtection，將無需等待操作系統(tǒng)或應用程序供應商創(chuàng)建已知漏洞的補丁程序，所以管理員可以對端點安全和防護提供全面的主動性控制。（5）設備和應用程序控制SymantecEndpointProtection結(jié)合了設備和應用程序控制功能，讓管理員能夠拒絕被認為存在高風險的特定設備和應用程序活動，使企業(yè)能夠根據(jù)用戶位置禁止特定的操作。設備控制技術(shù)讓管理員能夠決定并控制允許哪些設備連接端點。例如，它可以鎖定端點，禁止便攜硬盤、CD刻錄機、打印機或其它USB設備連接到系統(tǒng)，以防止將機密信息從系統(tǒng)復制到其中。禁止設備連接的功能還可以幫助防止端點受來自上述設備以及其它設備的病毒感染。應用程序控制技術(shù)讓管理員能夠按照用戶和其它應用程序，控制對特定流程、文件和文件夾的訪問。它提供應用程序分析、流程控制、文件和注冊表訪問控制、模塊和DLL控制。如果管理員希望限制被認為可疑或存在高風險的某些活動，則可以使用該高級功能。（6）支持網(wǎng)絡準入控制SymantecEndpointProtection中的端點安全代理支持網(wǎng)絡準入控制，這意味著該代理已集成網(wǎng)絡準入控制技術(shù)，而且通過購買SymantecNetworkAccessControl許可證就可以輕松啟用該技術(shù)。所以，在部署SymantecEndpointProtection后，無需在端點設備上部署其它代理軟件即可實施網(wǎng)絡準入控制通過購買附加許可證啟用網(wǎng)絡準入控制之后，它會控制對公司網(wǎng)絡的訪問、實施端點安全策略并與現(xiàn)有網(wǎng)絡基礎架構(gòu)輕松集成。不管端點以何種方式與網(wǎng)絡相連，SymantecNetworkAccessControl都能夠發(fā)現(xiàn)并評估端點遵從狀態(tài)、設置適當?shù)木W(wǎng)絡訪問權(quán)限、提供自動補救功能，并持續(xù)監(jiān)視端點以了解遵從狀態(tài)是否發(fā)生了變化。另外，為了簡化并優(yōu)化管理，管理員為SymantecEndpointProtection和SymantecNetworkAccessControl使用同一管理控制臺管理所有功能。部署方案部署架構(gòu)（1）在總公司網(wǎng)內(nèi)部署2臺SEP管理服務器（以下簡稱SEPM），一臺LiveupdateAdministrator（以下簡稱LUA）服務器，分別用于：SEP管理服務器管理總公司所屬的SEP客戶端；2臺SEPM服務器其中一臺為主管理服務器，包含SQLServer管理數(shù)據(jù)庫；另外一臺為備用管理服務器，起到負載均衡的作用；LUA服務器用于病毒定義的更新，總公司LUA服務器將為總公司SEP服務器與各省級分公司LUA服務器提供病毒定義的更新；（2）如果有分級部署的必要，在各分公司網(wǎng)內(nèi)部署一臺SEP管理服務器與一臺LUA服務器，分別用于：SEP管理服務器管理各省級分公司SEP客戶端；LUA服務器用于為各省級分公司SEP管理服務器與各地市級分公司SEP管理服務器提供病毒定義的更新；管理系統(tǒng)功能組件說明防病毒軟件管理系統(tǒng)包括兩部分組件：策略管理服務器策略服務器實現(xiàn)所有安全策略、準入控制規(guī)則的管理、設定和監(jiān)控，是整個終端安全標準化管理的核心。通過使用控制臺管理員可以創(chuàng)建和管理各種策略、將策略分配給代理、查看日志并運行端點安全活動報告。通過圖形報告、集中日志記錄和閾值警報等功能提供全面的端點可見性。統(tǒng)一控制臺簡化了端點安全管理，提供集中軟件更新、策略更新、報告等功能。策略管理服務器可以完成以下任務：終端分組與權(quán)限管理；根據(jù)地理位置、業(yè)務屬性等條件對終端進行分組管理，對于不同的組可以制定專門的組管理員，并進行權(quán)限控制。策略管理與發(fā)布；策略包括自動防護策略、手動掃描的策略、手動掃描的策略、病毒、木馬防護策略、惡意腳本防護策略、電子郵件防護策略（包括outlook、lotus以及internet郵件）、廣告軟件防護策略、前瞻性威脅防護策略、防火墻策略、入侵防護策略、硬件保護策略、軟件保護策略、升級策略、主機完整性策略等安全內(nèi)容更新下發(fā)安全內(nèi)容更新包括病毒定義、防火墻規(guī)則、入侵防護定義、主動威脅防護規(guī)則等日志收集和報表呈現(xiàn)可以生成日報/周報/月報，報告種類包括：風險報表（以服務器組、父服務器、客戶端組、計算機、IP、用戶名為條件識別感染源、當前環(huán)境下高風險列表、按類型劃分的安全風險）、計算機狀態(tài)報表（內(nèi)容定義分發(fā)、產(chǎn)品版本列表、未接受管理客戶端列表）、掃描狀態(tài)報表、審計報表、軟件和硬件控制報表、網(wǎng)絡威脅防護報表、系統(tǒng)報表、安全遵從性報表。強制服務器管理和策略下發(fā)對于交換機強制服務器和網(wǎng)關強制設備進行統(tǒng)一的管理和策略定義。終端代理安裝包的維護和升級；終端客戶端終端安全管理系統(tǒng)需要在所有的終端上部署安全代理軟件，安全代理是整個企業(yè)網(wǎng)絡安全策略的執(zhí)行者，它安裝在網(wǎng)絡中的每一臺終端計算機上。安全代理實現(xiàn)端點保護和準入控制功能。端點保護功能包括：防病毒和反間諜軟件—提供病毒防護、間諜軟件防護、rootkit防護。網(wǎng)絡威脅防護—提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能(GEB)，該功能可以在惡意軟件進入系統(tǒng)前將其阻止在外。主動威脅防護—針對不可見的威脅（即零日威脅）提供防護。包括不依賴特征的主動威脅掃描。病毒定義升級防病毒系統(tǒng)初建后第一次升級方案防病毒系統(tǒng)在建設完成后第一次升級占用帶寬較大，一般需要升級100M~200M左右的軟件更新和病毒定義升級，如果在廣域鏈路上進行并發(fā)更新容易造成鏈路擁塞，在這種情況下可考慮采用以下辦法予以避免：根據(jù)實施時間，針對山西農(nóng)信定制軟件安裝包，包含當前最新的病毒定義；或者防病毒服務器安裝完成后立即手動升級其病毒定義庫；原則上不允許客戶端進行手動的防病毒定義升級。正常運維狀態(tài)下的升級方案防病毒系統(tǒng)經(jīng)過初次升級進入到日常運維狀態(tài)，后期的防病毒定義更新包一般很小（150Kbytes～200Kbytes不等），在運維狀態(tài)下自動化的病毒定義更新是非常必要的。在運維狀態(tài)下自動化的病毒定義更新是非常必要的：首先升級山西農(nóng)信數(shù)據(jù)中心SEPM的病毒定義碼、掃描引擎、特征庫（漏洞特征庫和攻擊特征庫）和安全規(guī)則（防火墻策略）。通過Internet到防病毒產(chǎn)品提供商網(wǎng)站升級最新的病毒定義碼和掃描引擎。正常情況下升級周期為每天一次，時間設定為凌晨，避免升級流量對廣域網(wǎng)絡帶寬的影響；當有突發(fā)的病毒事件或嚴重級別的病毒威脅，可實時升級病毒定義并下發(fā)。采用這種升級方式，一方面可以確保山西農(nóng)信整個網(wǎng)絡內(nèi)的病毒定義碼和掃描引擎的更新基本保持同步。另一方面，由于整個網(wǎng)絡的病毒定義碼和掃描引擎的更新、升級自動完成，就可以避免由于人為因素造成網(wǎng)絡中某些機器或某個網(wǎng)絡因為沒有及時更新最新的病毒定義碼和掃描引擎而失去最強的防病毒能力，同時也避免了各下屬單位自行到Internet升級而帶來的不便和安全隱患。Symantec病毒定義升級頻率缺省情況下，賽門鐵克公司每日在官方網(wǎng)站上發(fā)布可供防病毒系統(tǒng)自動更新的病毒定義碼（正常狀態(tài)下每日3次更新；對于高危險性病毒爆發(fā)的情況，每日會更新多次）。網(wǎng)絡帶寬影響服務器與客戶端之間策略通信流量，取決于管理員配置的操作系統(tǒng)保護策略的復雜程度，一個正常的策略文件在20K—80K之間變化，加密壓縮后實際傳輸大校在5K—10K左右。以500臺終端（一個分支機構(gòu)的終端通常少于500臺）為例，在一次心跳時間（一小時）內(nèi)發(fā)生的實際流量為10K*500=5M，每秒服務器的策略下載流量為5M/(3600s)=1.4Kbyte，需要占用帶寬為11.2Kbps。事實上，策略更新僅在策略發(fā)生變化時發(fā)起，平時帶寬占用可以忽略不計。服務器和客戶端之間的日志流量，默認設置的客戶端日志大小限制為512K，每次上傳的日志都是自上一次和服務器通訊后發(fā)生過的日志。一般客戶端一天（工作時間）發(fā)生的日志量是20條--200條（視網(wǎng)絡中安全事件發(fā)生的頻率而變化），我們以每心跳時間內(nèi)發(fā)生200條日志這個極限來計算。200條日志壓縮后的大小大概在20K左右，每次心跳發(fā)生時服務器收到的流量大小為500用戶*20K=10M，每秒流量為10M/（3600s）=2.8byte，需要占用帶寬為22Kbps，對于現(xiàn)有網(wǎng)絡帶寬影響很小。服務器和客戶端的安全內(nèi)容更新數(shù)據(jù)量比較大，雖然采用了增量更新技術(shù)，每次更新的數(shù)據(jù)報仍然在200K左右。對遠程分支機構(gòu)的終端，可以利用管理系統(tǒng)“組升級”方式進行更新，減輕對廣域網(wǎng)帶寬的影響。這種方式下，策略服務器上可以設定終端從指定的臨近的“組升級”終端上進行病毒定義等安全內(nèi)容更新下載操作。即遠程市分支機構(gòu)一臺終端獲得內(nèi)容更新后，其他的終端無需再到地市二級服務器進行更新，只需要從那臺已經(jīng)更新的終端上下載內(nèi)容更新即可。安全管理策略設計管理權(quán)限策略根據(jù)山西農(nóng)信的實際情況，創(chuàng)建一個域管理員帳號。系統(tǒng)的常見維護操作，如策略備份與恢復、站點重裝等只需要有服務器操作系統(tǒng)管理員帳號即可?？蛻舳朔纸M策略在計算機全局組下，默認只有臨時組，另外創(chuàng)建四個新組，分別為特權(quán)組、隔離組、維護組、測試組。這幾個組為特殊功能組，做一些策略測試和一些非常態(tài)計算機的臨時性管理。還可以增加一些普通用戶組，網(wǎng)絡中的常態(tài)計算機都集中在普通用戶組中；分組可以按地域、部門、職能、類型、應用來分組。應該盡量保持扁平的組結(jié)構(gòu)。備份和數(shù)據(jù)庫維護策略安排一些策略備份的調(diào)度計劃。在服務器軟硬件出現(xiàn)故障時，可以快速恢復整個系統(tǒng)。安排數(shù)據(jù)庫事務日志的維護計劃，防止事務日志無限制膨脹，吞噬掉所有硬盤空間，導致系統(tǒng)無法正常工作。安全策略防病毒策略防病毒管理服務器的病毒定義碼更新時間規(guī)劃防病毒客戶端的病毒定義碼更新時間規(guī)劃防病毒客戶端的實時防護設置，配置病毒檢測的類型、操作處理方式、警報方式防病毒客戶端的日志記錄時間設置防病毒客戶端的隔離區(qū)參數(shù)設置防病毒客戶端的篡改選項設置防病毒客戶端的調(diào)度掃描設置，包括掃描的類型和對病毒的處理方式防火墻策略在該策略庫中做了2個策略模版分別為：隔離區(qū)策略、內(nèi)網(wǎng)限制策略。在這些策略模版中包括以下幾個策略：受限的應用程序：禁用一些與工作無關的應用程序運行。惡意程序黑名單：禁用一些嚴重的病毒、木馬、惡意程序禁止撥號和無線網(wǎng)絡連接：防止非法外連互聯(lián)網(wǎng)網(wǎng)址屏蔽策略：杜絕與公網(wǎng)IP的通訊操作系統(tǒng)防護策略設備禁用示例USB存儲設備只讀防止USB木馬傳播防止IE加載惡意插件示例禁止程序運行示例注冊表鍵保護示例文件修改審計示例主機完整性策略防病毒軟件的安裝與運行檢測規(guī)則分發(fā)防病毒軟件示例補丁檢查策略分發(fā)補丁示例卸載指定補丁示例安全加固設置針對SANtop10所列漏洞的檢查及修復針對IIS漏洞的檢查及修復針對Internetexplorer漏洞的檢查及修復其他常見服務和應用的漏洞常見系統(tǒng)設置弱點禁止匿名訪問禁止空連接統(tǒng)一桌面管理設置統(tǒng)一墻紙統(tǒng)一屏保IE主頁設置IE代理設置IE安全級別設置Registrytool限制添加刪除程序限制禁止更改IP設置時間同步設置，禁止更改系統(tǒng)時間桌面鎖定、默認主頁設定策略服務器的硬件配置需求建議在本部部署2臺SEPM服務器；結(jié)合實際工程經(jīng)驗，硬件服務器的配置推薦如下：SEPM防病毒服務器CPU：3.0GHz以上，2個四核CPU內(nèi)存：16GRAM硬盤：400G硬盤操作系統(tǒng)：WindowsServer2008R2數(shù)據(jù)庫：MicrosoftSQLServer2005數(shù)量：1臺實施方案項目工作范圍本項目的工作范圍如下：完成防病毒服務器的部署：包括總部SEPM管理服務器，總部LUA服務器的部署，必要的分公司SEPM服務器和LUA服務器的部署。完成防病毒客戶端的部署。完成終端安全防護策略的制定及應用。完成必要的技術(shù)轉(zhuǎn)移和應用技能培訓。實施計劃項目里程碑本項目將包含以下里程碑：項目啟動和項目計劃完成方案設計完成試點階段完成部署完成項目結(jié)束項目工作進度計劃與安排T為開始時間，按照工作日計算。任務號任務負責方配合方時間1項目啟動T1.1項目組織建立1.1.1項目團隊成立1.1.2項目領導團隊成立1.2項目啟動會議1.3項目計劃制定1.3.1項目工作范圍明確1.3.2項目進度制定1.3.3項目變更計劃制定1.3.4項目溝通計劃制定2方案設計2.1需求確認2.1.1完成病毒防護需求說明書編寫2.1.2完成病毒防護需求說明書上報確認（通過項目經(jīng)理）2.2方案設計2.2.1完成病毒防護試點方案設計初稿編寫（PPT）2.2.2完成病毒防護試點方案設計項目組內(nèi)部討論（會議）3部署實施3.1試點階段3.1.1完成病毒防護防護試點設備及環(huán)境到位3.1.2完成病毒防護試點實施方案初稿編寫3.1.3完成病毒防護試點實施方案項目組內(nèi)部討論（會議）3.1.4完成病毒防護-全面試點3.1.5完成病毒防護-測試報告3.2推廣階段3.2.2完成病毒防護標準實施方案編寫并上報(標準實施方案上報)3.2.3完成病毒防護相關制度初稿編寫3.2.4完成病毒防護-郵件系統(tǒng)投產(chǎn)4項目交維4.1.1完成病毒防護郵件系統(tǒng)的監(jiān)控及備份4.1.2完成病毒防護系統(tǒng)的管理員培訓4.1.3完成病毒防護相關制度編寫5項目結(jié)束5.1.1驗收文檔準備5.1.2完成病毒防護郵件系統(tǒng)的文檔交付項目人員安排項目組織機構(gòu)項目人員組成山西農(nóng)信防病毒項目組由以下人員組成：序號角色資質(zhì)與技能要求姓名職責電話郵件1項目經(jīng)理1）有豐富的項目管理經(jīng)驗

2）具有網(wǎng)絡及安全方面工作、技術(shù)和管理經(jīng)驗

3）具有高度項目管理和溝通、協(xié)調(diào)能力和執(zhí)行能力4）具有大型銀行的信息防泄漏項目管理經(jīng)驗。1）負責項目的日常管理工作，項目資源的申請和管理，根據(jù)項目需要，確定項目組成員

2）負責組織制定項目方案和項目計劃

3）對項目狀態(tài)進行跟蹤和控制，提交項目狀態(tài)報告

4）確保項目按時、保質(zhì)完成

5）其他項目管理工作2技術(shù)經(jīng)理1）具有網(wǎng)絡或安全方面工作和技術(shù)經(jīng)驗

2）具有高度項目管理和溝通、協(xié)調(diào)能力和執(zhí)行能力

3）要求高級技術(shù)經(jīng)理以上資質(zhì)4）具有大型銀行的郵件信息防泄漏項目方案設計及架構(gòu)經(jīng)驗。1）負責組織技術(shù)方案、配套制度的制定和有關試點工作

2）根據(jù)項目經(jīng)理的安排和項目計劃完成項目工作，負責向項目經(jīng)理匯報項目進展情況3工程師1）3年以上安全、系統(tǒng)或網(wǎng)絡方面技術(shù)工作經(jīng)驗2）具有郵件安全推廣及運行管理經(jīng)驗3）具有大型銀行的郵件信息防泄漏項目實施經(jīng)驗。1）根據(jù)項目經(jīng)理的安排和項目計劃完成項目工作，負責向項目經(jīng)理匯報項目進展情況變更管理項目變更管理控制過程項目變更審批流程提出修改方將首先填寫變更申請表（REQUESFORCHANGE，以下簡稱RFC）。RFC需提交評審小組確認。評審小組將就RFC的技術(shù)可靠性以及對整個項目的影響作出評估。評審小組主席由山西農(nóng)信指定。評審小組成員由山西農(nóng)信和集成商項目小組人員組成。評審小組成員的資格確認及人員的變更將以書面的形式通知對方。集成商將在接到RFC的7個工作日內(nèi)提交收訖說明和相應的項目修改建議書（ENGINEERINGCHANGEPROPOSAL），及評審小組的評審報告。經(jīng)山西農(nóng)信確認雙方授權(quán)代表簽署授權(quán)并發(fā)放實施通知單。項目組予以實施變更。變更評審小組的成員名單單位姓名職責PICC集成商變更申請表樣式變更申請序號#：申請人：日期：申請變更內(nèi)容：申請變更原因：變更將對原協(xié)議價格、時程、條款產(chǎn)生以下方面影響：項目溝通計劃由于本項目的關鍵性和復雜性，項目的溝通管理就特別重要。我們不但需要保持項目內(nèi)部的溝通順暢，同時需要對項目外部的各干系人進行積極主動的溝通。對此，我們建議安排相關項目人員召開雙周項目例會，并及時把項目狀態(tài)報告通報各方。提交文檔以郵件和紙質(zhì)文件（有簽名）為主。項目周報 每周提交項目組及相關項目干系人項目雙周例會 每雙周初舉行項目月報 每月底提交相關項目干系人項目里程碑報告 里程碑結(jié)束后提交項目干系人項目風險和異常報告 按實際情況提交項目干系人項目完工報告 項目結(jié)束后提交項目干系人項目周報模板如下：本周原定工作計劃本周實際工作進展存在的風險及需要PICC協(xié)調(diào)的內(nèi)容下周工作計劃DLP實施進度培訓方案防病毒系統(tǒng)的培訓的對象是山西農(nóng)信SymantecEndpointProtection終端防護系統(tǒng)管理員，相關運維人員以及防病毒項目組成員。具體培訓內(nèi)容包括SEP系統(tǒng)的安裝，策略制定，性能優(yōu)化，問題排查等部分。培訓內(nèi)容的提綱如下：第一部分:SymantecEndpointProtection介紹Lesson1:什么是SymantecEndpointProtection?Lesson2:服務器和客戶端的安裝Lesson3:管理員基礎操作Lesson4:客戶端通信原理Lesson5:客戶端分組結(jié)構(gòu)Lesson7:查看日志Lesson9:查看報表第二部分:防護技術(shù)和策略制定Lesson1:病毒防護和郵件掃描Lesson2:信譽度惡意軟件防護Lesson3:主動型威脅防護Lesson4:設備和應用程序控制Lesson5:網(wǎng)絡威脅防護第三部分:故障排查Lesson1:常見問題排查方法Lesson2:如何聯(lián)系Symantec技術(shù)支持解決問題Lesson3:如何對應病毒爆發(fā)問題服務方案賽門鐵克公司不僅是全球最大的防病毒公司，也是全球最大的網(wǎng)絡安全公司，在提供防病毒專業(yè)服務的同時，也有能力支持服務