XXX網(wǎng)絡(luò)安全預(yù)警技術(shù)方案

瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)解決方案北京瑞星信息技術(shù)有限公司2012年XX月XX日XXX網(wǎng)絡(luò)安全預(yù)警系統(tǒng)解決方案北京瑞星信息技術(shù)有限公司目錄1 計(jì)算機(jī)病毒發(fā)展新趨勢(shì) ]前言網(wǎng)絡(luò)安全趨勢(shì)隨著信息技術(shù)的迅猛發(fā)展，信息網(wǎng)絡(luò)已應(yīng)用于社會(huì)各個(gè)行業(yè)，信息產(chǎn)業(yè)已成為國(guó)民經(jīng)濟(jì)的重要支柱產(chǎn)業(yè)，信息技術(shù)和網(wǎng)絡(luò)技術(shù)正向政治、經(jīng)濟(jì)、軍事、文化等各個(gè)領(lǐng)域廣泛滲透，極大地促進(jìn)我國(guó)各個(gè)領(lǐng)域的發(fā)展和社會(huì)進(jìn)步，也豐富了人們的生活。同時(shí)，黑客攻擊、病毒侵害等給信息網(wǎng)絡(luò)特別是關(guān)系國(guó)計(jì)民生的國(guó)家基礎(chǔ)設(shè)施信息網(wǎng)絡(luò)等重點(diǎn)信息網(wǎng)絡(luò)造成了嚴(yán)重的安全威脅，成為了威脅網(wǎng)絡(luò)安全的一大公害。當(dāng)前的計(jì)算機(jī)病毒和黑客攻擊行為具有以下特點(diǎn)：具備網(wǎng)絡(luò)特性是當(dāng)前計(jì)算機(jī)病毒和黑客行為的第一大特征當(dāng)前，像蠕蟲、木馬/黑客、腳本等類型的病毒，它們都具有網(wǎng)絡(luò)傳播的特性，通過網(wǎng)絡(luò)進(jìn)行傳播并實(shí)施侵害行為。目前的很多onlineGame病毒都具有ARP欺騙的發(fā)生，一旦在網(wǎng)絡(luò)中傳播、蔓延，很難控制，它們不但盜取用戶信息，同理還在網(wǎng)絡(luò)中大網(wǎng)發(fā)送ARP欺騙，阻塞網(wǎng)絡(luò)甚至網(wǎng)絡(luò)癱瘓。當(dāng)前計(jì)算機(jī)病毒和黑客攻擊行為大多是利用軟件系統(tǒng)的漏洞漏洞是軟件系統(tǒng)致命的安全缺陷，如果系統(tǒng)存在漏洞，即使有殺毒軟件的保護(hù)，病毒或者攻擊依然可以長(zhǎng)驅(qū)直入，對(duì)系統(tǒng)造成破壞。利用漏洞進(jìn)行的病毒和攻擊的擴(kuò)撒速度遠(yuǎn)遠(yuǎn)大于傳統(tǒng)病毒。最近很多病毒通過微軟的MS07-017和MS08-067等漏洞進(jìn)行掛馬，同時(shí)演變到利用時(shí)下最為流行的應(yīng)用軟件漏洞進(jìn)行掛馬。這其中包括一些播放器軟件漏洞、聊天工具漏洞、網(wǎng)絡(luò)電視軟件漏洞、甚至連一些常用的下載工具的漏洞都會(huì)成為病毒的傳播途徑。聯(lián)眾游戲漏洞、超星閱讀器0-Day漏洞、迅雷0-Day漏洞、PPlive0-Day漏洞，已經(jīng)成為應(yīng)用軟件網(wǎng)頁(yè)掛馬病毒的一些重要漏洞，這病毒越來(lái)越成為主流病毒，同時(shí)傳播非?？?。病毒和攻擊向多元化、混合化發(fā)展隨著操作系統(tǒng)及各種軟件的發(fā)展，病毒和攻擊也在不停地發(fā)展，混合型病毒和攻擊越來(lái)越多，成為趨勢(shì)。如非常流行的“熊貓燒香”病毒。安全是風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理作為企業(yè)管理的三個(gè)要素之一，地位是非常重要的。安全風(fēng)險(xiǎn)導(dǎo)致威脅和系統(tǒng)脆弱點(diǎn)的產(chǎn)生，威脅可以利用暴露的脆弱點(diǎn)，降低企業(yè)的資產(chǎn)價(jià)值，并對(duì)潛在因素產(chǎn)生影響。如何控制風(fēng)險(xiǎn)，就需要通過包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)降低的一系列風(fēng)險(xiǎn)管理來(lái)實(shí)現(xiàn)。信息安全要考慮投入和收益。信息安全的投入是相當(dāng)大的，如果安全投入和實(shí)現(xiàn)安全之后所帶來(lái)的收益不匹配，投入將毫無(wú)疑義。安全是相對(duì)概念信息系統(tǒng)安全不但與不斷變化的需求聯(lián)系緊密，同時(shí)也與不斷發(fā)展的信息技術(shù)關(guān)系密切。首先，信息系統(tǒng)的新業(yè)務(wù)需求和業(yè)務(wù)新需求是不斷的，安全是相對(duì)于現(xiàn)有需求的。其次，互聯(lián)網(wǎng)技術(shù)和信息技術(shù)是不斷發(fā)展的，是安全攻擊方式和手段層出不窮，可利用并作為攻擊的漏洞也越來(lái)越多。此外，安全包括技術(shù)的和非技術(shù)的因素。我們不能簡(jiǎn)單認(rèn)為通過技術(shù)手段就可以保證安全。相對(duì)來(lái)說(shuō)，非技術(shù)因素的考慮（安全管理）對(duì)于全面的信息安全建設(shè)是不可缺少的。因此，掌握最新的安全知識(shí)和技能，提高人員的安全意識(shí)和安全技能，才是構(gòu)建全面安全的必要措施。安全是動(dòng)態(tài)過程計(jì)算機(jī)只要是用于商業(yè)應(yīng)用就會(huì)存在安全問題，我們認(rèn)為安全是一個(gè)動(dòng)態(tài)的過程，不是一成不變的。新的系統(tǒng)、新的應(yīng)用層出不窮。即使采購(gòu)了安全產(chǎn)品、實(shí)施了安全管理、制定了安全策略也不能說(shuō)系統(tǒng)在某些方面基本沒有安全問題。因?yàn)閰f(xié)議服務(wù)固有的問題、主機(jī)配置的復(fù)雜性、軟件開發(fā)過程中產(chǎn)生的漏洞隨時(shí)都有可能導(dǎo)致漏洞和脆弱性的產(chǎn)生。因此，要不斷地跟蹤最新的安全信息，對(duì)系統(tǒng)進(jìn)行評(píng)估，并不斷地加固計(jì)算機(jī)系統(tǒng)。安全產(chǎn)品除了擁有全面的特征庫(kù)外，還需要制定合理的策略，策略需要根據(jù)安全技術(shù)的發(fā)展進(jìn)行動(dòng)態(tài)地調(diào)整。同時(shí)，要盡量保持產(chǎn)品的版本和特征庫(kù)更新，管理上隨著安全的發(fā)展靈活改進(jìn)。非技術(shù)因素帶來(lái)的安全問題，比如人員流動(dòng)、技術(shù)操作不規(guī)范、責(zé)任不明確等，也會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全構(gòu)成極大的風(fēng)險(xiǎn)。安全是保障體系信息安全的技術(shù)在不斷發(fā)展，從早期的通信保密，發(fā)展到關(guān)注信息安全的保密、完整、可用、可控和不可否認(rèn)的信息安全，今天發(fā)展到信息保障。單純的保密和靜態(tài)的保護(hù)已經(jīng)不能適應(yīng)今天的需要了。信息保障技術(shù)框架提出保障信息安全必須考慮保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)四個(gè)動(dòng)態(tài)反饋的環(huán)節(jié)。保障體系采用深度防御方式，目的是能夠使攻破一層或一類保護(hù)的攻擊行為無(wú)法破壞整個(gè)信息基礎(chǔ)設(shè)施。圖SEQ圖\*ARABIC1信息安全保障技術(shù)框架信息安全建設(shè)必要性

XXX辦公自動(dòng)化工作經(jīng)過近年來(lái)的努力,取得了可喜的進(jìn)展。一是計(jì)算機(jī)應(yīng)用普及率大幅度提高,辦公業(yè)務(wù)管理和信息管理系統(tǒng)已經(jīng)普遍建立和使用,辦公電腦化、網(wǎng)絡(luò)化正在逐步推進(jìn)。二是辦公網(wǎng)絡(luò)建設(shè)步伐加快,許多單位已建成支持辦公業(yè)務(wù)的內(nèi)部局域網(wǎng)絡(luò),一些部門上下聯(lián)網(wǎng)初具規(guī)模,縱向聯(lián)網(wǎng)等到廣泛發(fā)展。三是初步形成了業(yè)務(wù)應(yīng)用的數(shù)據(jù)庫(kù)體系,積累了一定的電子信息資源。注重應(yīng)用系統(tǒng)和信息資源開發(fā),開通網(wǎng)上綜合業(yè)務(wù),實(shí)現(xiàn)辦公業(yè)務(wù)的規(guī)范化、電子化、網(wǎng)絡(luò)化,全面提高工作質(zhì)量和工作效率,改善指揮調(diào)度手段,增強(qiáng)快速反應(yīng)能力,為各單位提供多媒體通信服務(wù)、綜合信息服務(wù)和決策支持服務(wù),促進(jìn)管理現(xiàn)代化、決策科學(xué)化等方面的發(fā)展。項(xiàng)目背景項(xiàng)目背景與現(xiàn)狀根據(jù)用戶實(shí)際網(wǎng)絡(luò)情況進(jìn)行描述隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的快速普及，計(jì)算機(jī)病毒已經(jīng)向網(wǎng)絡(luò)病毒進(jìn)化，僅采用網(wǎng)絡(luò)版殺毒軟件已經(jīng)不能滿足XXX網(wǎng)絡(luò)防病毒安全保障的需求，需要大力加強(qiáng)病毒防范和綜合治理的力度。同時(shí)，病毒技術(shù)和黑客攻擊技術(shù)也已經(jīng)基本趨于融合。因此，對(duì)病毒的防護(hù)必須從單機(jī)或普通網(wǎng)絡(luò)病毒防護(hù)走向整體病毒疫情掌控、病毒趨勢(shì)分析、病毒形式評(píng)估良性軌道來(lái)。面對(duì)網(wǎng)絡(luò)病毒的威脅，單獨(dú)的殺毒軟件的被動(dòng)殺毒方式已經(jīng)明顯不能滿足目前病毒防范的實(shí)際需求，因此，如何充分利用現(xiàn)有安全基礎(chǔ)設(shè)施，采納最新的防病毒、反黑客技術(shù)手段，建立全網(wǎng)防御、整體作戰(zhàn)的綜合防治體系對(duì)整體網(wǎng)絡(luò)進(jìn)行全面監(jiān)控，是目前所面臨的一項(xiàng)重要任務(wù)。目前,XXX信息網(wǎng)上主要的風(fēng)險(xiǎn)是存在計(jì)算機(jī)病毒大面積侵害運(yùn)行網(wǎng)絡(luò)的可能，但，現(xiàn)在還沒有對(duì)各種病毒進(jìn)行全局監(jiān)控和預(yù)警、防范的保障措施，沒有全面的對(duì)病毒事件的大面積發(fā)作的處理預(yù)案，XXX信息網(wǎng)絡(luò)的正常運(yùn)行就會(huì)受到嚴(yán)重的威脅。因此，必須從全局出發(fā)，以防為主、防殺結(jié)合，建立以省局為中心，防病毒廠商為技術(shù)支持單位的計(jì)算機(jī)病毒聯(lián)合防范管理體系，依托集病毒監(jiān)測(cè)等技術(shù)為一體的強(qiáng)大技術(shù)支撐系統(tǒng)，構(gòu)筑成為整體網(wǎng)絡(luò)的病毒預(yù)警防范體系。對(duì)發(fā)生在XXX信息網(wǎng)絡(luò)上的病毒事件做到早預(yù)防、早發(fā)現(xiàn)、早報(bào)警、早清殺，及時(shí)分發(fā)系統(tǒng)漏洞補(bǔ)丁并加以修補(bǔ)，最大程度地降低病毒事件對(duì)信息網(wǎng)造成的安全風(fēng)險(xiǎn)。建設(shè)目標(biāo)與任務(wù)以XXX信息中心為核心，在XXX信息中心建立起融組織管理和技術(shù)支撐為一體的全網(wǎng)病毒預(yù)警、防范體系，最大限度地消除計(jì)算機(jī)病毒在信息網(wǎng)上的生存環(huán)境，有效地清除信息網(wǎng)上的各種病毒，遏制信息網(wǎng)上病毒的大面積發(fā)作。實(shí)現(xiàn)整體網(wǎng)絡(luò)統(tǒng)一的病毒預(yù)警、防范管理，保障信息網(wǎng)安全運(yùn)行。XXX信息網(wǎng)病毒預(yù)警體系建設(shè)有以下任務(wù)：在省局核心交換節(jié)點(diǎn)上部署網(wǎng)絡(luò)病毒監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)檢測(cè)和發(fā)現(xiàn)網(wǎng)絡(luò)病毒，結(jié)合整個(gè)網(wǎng)絡(luò)IP地址規(guī)劃和計(jì)算機(jī)注冊(cè)定位信息，形成覆蓋全網(wǎng)的網(wǎng)絡(luò)病毒宏觀分析、研判與協(xié)調(diào)處置系統(tǒng)，建立整體信息網(wǎng)病毒預(yù)警和通報(bào)機(jī)制，并通過計(jì)算機(jī)病毒處理預(yù)案和應(yīng)急響應(yīng)、處置環(huán)境的建設(shè)，及時(shí)處理緊急病毒爆發(fā)事件。項(xiàng)目的主要功能1、計(jì)算機(jī)病毒監(jiān)測(cè)：通過對(duì)被監(jiān)控網(wǎng)絡(luò)的傳播數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，對(duì)相關(guān)協(xié)議進(jìn)行分析，獲取計(jì)算機(jī)病毒特征碼，并獲取其傳播源ip和傳播目的Ip，達(dá)到監(jiān)測(cè)預(yù)警的效果。2、分析預(yù)警：在XXX信息網(wǎng)絡(luò)安全報(bào)警處置中心建設(shè)網(wǎng)絡(luò)安全預(yù)警分析系統(tǒng)后臺(tái)，匯總網(wǎng)絡(luò)安全探針的監(jiān)測(cè)預(yù)警信息，對(duì)整個(gè)網(wǎng)絡(luò)計(jì)算機(jī)病毒的傳播的發(fā)作、傳播動(dòng)態(tài)進(jìn)行分析，掌握網(wǎng)絡(luò)安全動(dòng)態(tài)，生成網(wǎng)絡(luò)安全預(yù)警分析報(bào)告?？傮w目標(biāo)1、通過積極防御、綜合防范，全面提高公安網(wǎng)絡(luò)安全防護(hù)能力，重點(diǎn)防護(hù)專用網(wǎng)絡(luò)；2、創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境，重點(diǎn)防范本地重點(diǎn)；3、通過信息化的手段建設(shè)XXX信息網(wǎng)絡(luò)安全防范監(jiān)測(cè)預(yù)警系統(tǒng)。

安全方案的依據(jù)和原則瑞星網(wǎng)絡(luò)預(yù)警系統(tǒng)設(shè)計(jì)原則為適應(yīng)XXX網(wǎng)絡(luò)發(fā)展的需要，系統(tǒng)按照XXX網(wǎng)絡(luò)安全預(yù)警和綜合管理的需求來(lái)設(shè)計(jì)。探針和系統(tǒng)監(jiān)控中心接口通訊格式和開發(fā)接口開放，便于不同廠商產(chǎn)品整合部署。瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)，采用集中管理的分布式網(wǎng)絡(luò)監(jiān)測(cè)體系結(jié)構(gòu)，支持多級(jí)部署。系統(tǒng)包括系統(tǒng)監(jiān)控中心、多種類型的監(jiān)測(cè)探針組成。監(jiān)測(cè)探針負(fù)責(zé)從被檢測(cè)網(wǎng)絡(luò)上收集特定的安全信息、事件并根據(jù)配置上報(bào)到系統(tǒng)監(jiān)控中心，監(jiān)測(cè)探針主要收集網(wǎng)絡(luò)里的計(jì)算機(jī)病毒情況。系統(tǒng)監(jiān)控中心負(fù)責(zé)接收、存儲(chǔ)和分析監(jiān)測(cè)探針檢測(cè)到的安全事件。XXX網(wǎng)絡(luò)部署的瑞星網(wǎng)絡(luò)安全預(yù)警的設(shè)計(jì)必須堅(jiān)持以下原則：1、安全性瑞星網(wǎng)絡(luò)安全預(yù)警對(duì)網(wǎng)絡(luò)的順利運(yùn)行有非常重要的作用，其自身安全性是非常重要的。因此要求瑞星網(wǎng)絡(luò)安全預(yù)警具有抗攻擊能力，有很好的數(shù)據(jù)傳輸、存儲(chǔ)安全性保障。2、可靠性瑞星網(wǎng)絡(luò)安全預(yù)警的實(shí)施不能影響業(yè)務(wù)的正常運(yùn)行與可靠性，系統(tǒng)自身應(yīng)能長(zhǎng)期穩(wěn)定、可靠的運(yùn)行，不受其它應(yīng)用軟件和環(huán)境的影響。3、高效性瑞星網(wǎng)絡(luò)安全預(yù)警的實(shí)施必須最大限度保證網(wǎng)絡(luò)中業(yè)務(wù)的運(yùn)行效率，不影響網(wǎng)絡(luò)和計(jì)算機(jī)終端資源的正常使用。4、可擴(kuò)展性瑞星網(wǎng)絡(luò)安全預(yù)警的建設(shè)在最大限度考慮用戶現(xiàn)有投資的基礎(chǔ)上必須考慮到未來(lái)發(fā)展的需要，系統(tǒng)必須基于標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議，具有良好的可擴(kuò)展性和良好的可升級(jí)性。5、易用性瑞星網(wǎng)絡(luò)安全預(yù)警的實(shí)施、安裝應(yīng)簡(jiǎn)單，配置、操作方便，便于升級(jí)與維護(hù)。6、可管理性瑞星網(wǎng)絡(luò)安全預(yù)警必須支持集中管理和分級(jí)分區(qū)授權(quán)管理。系統(tǒng)建設(shè)目標(biāo)為有效防范病毒的入侵、傳播和對(duì)系統(tǒng)的破壞，需要引入一套先進(jìn)的瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)，實(shí)現(xiàn)全方位、多層次的整體防護(hù)，瑞星網(wǎng)絡(luò)安全預(yù)警的建設(shè)目標(biāo)如下：對(duì)XXX網(wǎng)絡(luò)中的病毒狀況進(jìn)行統(tǒng)一的病毒監(jiān)測(cè)，及時(shí)匯總病毒信息，構(gòu)建完備、協(xié)調(diào)、高效的預(yù)警體系。實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)，有效數(shù)據(jù)的匯總和分析，形成對(duì)網(wǎng)絡(luò)中的病毒情況的總體報(bào)告和趨勢(shì)分析，為宏觀決策提供依據(jù)。在本期瑞星網(wǎng)絡(luò)安全預(yù)警建設(shè)中，在省局核心交換機(jī)上做端口鏡像，部署瑞星網(wǎng)絡(luò)安全預(yù)警，對(duì)病毒實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)系統(tǒng)，在司法廳、省法院、武警部隊(duì)及16個(gè)監(jiān)獄系統(tǒng)分別在核心交換機(jī)上做端口鏡像部署網(wǎng)絡(luò)病毒實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)設(shè)備，監(jiān)測(cè)本單位的實(shí)時(shí)病毒安全狀況。在省局部署一臺(tái)總的管理中心管理所有單位的監(jiān)測(cè)設(shè)備，形成統(tǒng)一管理對(duì)網(wǎng)絡(luò)中出現(xiàn)的病毒情況（新病毒出現(xiàn)，病毒大規(guī)模爆發(fā)等）進(jìn)行統(tǒng)一的報(bào)警，并具有多種預(yù)警方式（聲音提示、電子郵件等），并能夠進(jìn)行快速應(yīng)急響應(yīng)。

XXX網(wǎng)絡(luò)安全預(yù)警需求分析XXX網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析當(dāng)前的XXX把眾多的業(yè)務(wù)建立在日益復(fù)雜的解決方案計(jì)劃之上。而核心業(yè)務(wù)流程很可能分布在幾個(gè)系統(tǒng)之中，這些系統(tǒng)均包含不同的應(yīng)用程序與技術(shù)。當(dāng)它們以最優(yōu)的性能支持業(yè)務(wù)時(shí)，這些解決方案在管理能力、可靠性、可用性以及性能方面也蘊(yùn)含著潛在的風(fēng)險(xiǎn)。安全管理的問題。企業(yè)的安全管理制度是否得到了有效貫徹，安全運(yùn)作流程是否能夠有效實(shí)施，以前無(wú)法衡量。安全管理平臺(tái)可幫助企業(yè)利用技術(shù)與管理手段有效解決安全管理的問題：海量數(shù)據(jù)的問題。企業(yè)面臨著來(lái)自異構(gòu)系統(tǒng)、平臺(tái)和應(yīng)用的安全數(shù)據(jù)的沖擊，它們都以不同方式產(chǎn)生信息，且以不同的格式呈現(xiàn)、存儲(chǔ)在不同的地方，并且報(bào)告不同的內(nèi)容，而這每天數(shù)以百萬(wàn)條信息淹沒了安全基礎(chǔ)設(shè)施；信息孤島的問題。各種安全設(shè)備間缺少信息層互通能力，各自為營(yíng)。降低了系統(tǒng)整體的運(yùn)作效率，增加了安全事件的發(fā)現(xiàn)時(shí)間和響應(yīng)時(shí)間；實(shí)時(shí)監(jiān)控的問題。對(duì)整個(gè)網(wǎng)絡(luò)的安全威脅形勢(shì)、安全漏洞情況、安全事件情況和綜合安全風(fēng)險(xiǎn)情況無(wú)法提供準(zhǔn)確、實(shí)時(shí)的分析數(shù)據(jù)；業(yè)務(wù)安全的問題。業(yè)務(wù)始終是一個(gè)企業(yè)發(fā)展的核心，如何保障業(yè)務(wù)的安全至關(guān)重要?，F(xiàn)有安全技術(shù)側(cè)重保障某特定資源，但業(yè)務(wù)應(yīng)用系統(tǒng)一般都由眾多IT資源組合構(gòu)成，如何從業(yè)務(wù)整個(gè)流程上進(jìn)行安全保障尤為關(guān)鍵；持續(xù)改進(jìn)的問題。安全管理需要不斷對(duì)處理過的安全事件進(jìn)行總結(jié)，不斷更新安全知識(shí)庫(kù)，不斷改進(jìn)安全運(yùn)維流程，以及不斷完善安全管理制度等，因而需要有效的管理手段來(lái)實(shí)現(xiàn)持續(xù)改進(jìn)。XXX網(wǎng)絡(luò)安全需求分析需要精準(zhǔn)的實(shí)時(shí)安全威脅阻斷近期的安全事件，均可以穿透已部署的防火墻，嚴(yán)重影響關(guān)鍵的業(yè)務(wù)應(yīng)用，主要是由于防火墻無(wú)法充分防范新的混合型威脅攻擊；同時(shí)在企業(yè)內(nèi)部網(wǎng)絡(luò)大面積部署防火墻也是不恰當(dāng)?shù)摹Ｐ枰獛挶Ｗo(hù)措施大量的與業(yè)務(wù)無(wú)關(guān)的無(wú)用網(wǎng)絡(luò)流量，例如peer-to-peer應(yīng)用及文件共享等，日益成為聯(lián)通網(wǎng)絡(luò)新的威脅來(lái)源，它們會(huì)明顯的消耗正常的網(wǎng)絡(luò)帶寬，破壞網(wǎng)絡(luò)的可用性，間接影響正常的業(yè)務(wù)運(yùn)作。需要更少的用戶運(yùn)維正在試圖運(yùn)用前瞻性防護(hù)應(yīng)對(duì)日益增長(zhǎng)的各類威脅，瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)盡可能的節(jié)省人員的干預(yù)和維護(hù)成本，將有限的IT資源留給更重要的網(wǎng)絡(luò)和系統(tǒng)管理任務(wù)。病毒的威脅數(shù)據(jù)在網(wǎng)絡(luò)的傳播過程中，很難避免有害信息的侵入，目前對(duì)網(wǎng)絡(luò)危害程度最大、波及面最廣的是計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊，病毒和網(wǎng)絡(luò)攻擊的入侵不但造成系統(tǒng)運(yùn)行效率降低、網(wǎng)絡(luò)堵塞，而且會(huì)造成信息、數(shù)據(jù)、文件損壞與丟失，還有可能造成信息泄露。

瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)方案設(shè)計(jì)綜上所述，XXX把眾多復(fù)雜的業(yè)務(wù)建立在分散的網(wǎng)絡(luò)及應(yīng)用系統(tǒng)之上。缺少統(tǒng)一的管理，和一套優(yōu)良的風(fēng)險(xiǎn)預(yù)警機(jī)制。建立一套切實(shí)可行的風(fēng)險(xiǎn)預(yù)警機(jī)制已經(jīng)迫在眉睫。建議采用瑞星公司研發(fā)生產(chǎn)的瑞星網(wǎng)絡(luò)安全預(yù)警作為解決方案。方案簡(jiǎn)述本方案描述了采用瑞星公司的瑞星網(wǎng)絡(luò)預(yù)警系統(tǒng)為XXX網(wǎng)絡(luò)構(gòu)建的整體的網(wǎng)絡(luò)防病毒系統(tǒng)，該方案貫徹了如下三點(diǎn)整體防毒的基本設(shè)計(jì)思想：風(fēng)險(xiǎn)預(yù)警機(jī)制建立預(yù)警性保護(hù)服務(wù)大大降低了您的總擁有成本(TotalCostofOwnership,TCO)，并且將故障風(fēng)險(xiǎn)降到最低。我們通過以下服務(wù)可以達(dá)到這些目的：成熟的產(chǎn)品可以縮短您的項(xiàng)目周期，這樣可以幫助您用最少的資源完成上線投產(chǎn)。提供技術(shù)指導(dǎo)以幫助您將不必要的工作減到最少，并且避免其復(fù)雜化。確保您的解決方案在運(yùn)行中始終保持最優(yōu)的性能、最大可用性和可維護(hù)性。預(yù)防性保護(hù)服務(wù)節(jié)省了您的時(shí)間和金錢。您將分享瑞星網(wǎng)絡(luò)預(yù)警系統(tǒng)的豐富經(jīng)驗(yàn)，并且從一開始就避免了系統(tǒng)的復(fù)雜化。對(duì)您的關(guān)鍵任務(wù)流程來(lái)說(shuō)，預(yù)防性保護(hù)服務(wù)的價(jià)值顯得尤為重要——因?yàn)槿绻@些流程出現(xiàn)問題，您將會(huì)遭受巨大的經(jīng)濟(jì)損失。集中監(jiān)控管理沒有集中管理的防毒系統(tǒng)是無(wú)效的網(wǎng)絡(luò)防毒系統(tǒng)。在XXX網(wǎng)絡(luò)的網(wǎng)絡(luò)防病毒方案中，我們?cè)赬XX省局部署了瑞星網(wǎng)絡(luò)預(yù)警系統(tǒng)總控制中心來(lái)管理整個(gè)網(wǎng)絡(luò)預(yù)警系統(tǒng)。包括本級(jí)的病毒探針、下級(jí)網(wǎng)絡(luò)的網(wǎng)絡(luò)預(yù)警系統(tǒng)分中心。分級(jí)監(jiān)控管理根據(jù)XXX的實(shí)際情況，我們把XXX的瑞星網(wǎng)絡(luò)安全預(yù)警劃分為兩級(jí)：第一級(jí)，即省局；第二級(jí)，司法廳、省法院、武警部隊(duì)及16個(gè)下級(jí)系統(tǒng)。其各自在職能上既相對(duì)獨(dú)立又相互統(tǒng)一，所以在部署防病毒體系時(shí)，我們既考慮統(tǒng)一集中管理，也考慮到分級(jí)監(jiān)控管理，即建立多級(jí)防病毒管理體系。在本方案中，針對(duì)XXX網(wǎng)絡(luò)，我們考慮建立二級(jí)防病毒管理結(jié)構(gòu)。即在XXX的省局信息中心處建立一級(jí)網(wǎng)絡(luò)預(yù)警中心(總中心)，在各二級(jí)單位網(wǎng)絡(luò)中建立二級(jí)預(yù)警管理中心(分中心)，各級(jí)中心主要負(fù)責(zé)監(jiān)控和管理本級(jí)網(wǎng)絡(luò)防病毒情況，同時(shí)，上級(jí)中心可以監(jiān)控管理下級(jí)中心病毒情況。實(shí)施范圍XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXx系統(tǒng)配置在XXX省局網(wǎng)絡(luò)核心交換機(jī)上部署一套網(wǎng)絡(luò)預(yù)警系統(tǒng)，包括瑞星網(wǎng)絡(luò)安全預(yù)警總中心及分中心中心和病毒探針?？傮w設(shè)計(jì)建立分級(jí)的瑞星網(wǎng)絡(luò)安全預(yù)警管理體系由于XXX網(wǎng)絡(luò)的環(huán)境，在此瑞星網(wǎng)絡(luò)安全預(yù)警的解決方案中，我們建議使用二級(jí)瑞星網(wǎng)絡(luò)安全預(yù)警管理體系來(lái)進(jìn)行全網(wǎng)病毒集中的監(jiān)控和管理。二級(jí)系統(tǒng)中心的劃分可以按地理、行政網(wǎng)段劃分，也可以按計(jì)算機(jī)數(shù)量劃分，或依照行政單位劃分。在本方案中，二級(jí)防病毒體系主要是按照行政單位來(lái)劃分的。首先，在XXX的省局網(wǎng)絡(luò)信息中心建立一級(jí)瑞星網(wǎng)絡(luò)安全預(yù)警管理中心，同時(shí)在XXX網(wǎng)絡(luò)核心交換機(jī)上部署部署病毒探針及分中心實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)流中的病毒。其次，在各二級(jí)單位部署二級(jí)瑞星網(wǎng)絡(luò)安全預(yù)警的分中心。綜上所設(shè)計(jì)，在整個(gè)內(nèi)部網(wǎng)絡(luò)中構(gòu)建了一套二級(jí)結(jié)構(gòu)的瑞星網(wǎng)絡(luò)安全預(yù)警管理防范體系。每級(jí)系統(tǒng)中心可以獨(dú)立運(yùn)行，實(shí)現(xiàn)對(duì)屬于本級(jí)的防病體系的毒監(jiān)控，并將本中心內(nèi)病毒爆發(fā)情況的統(tǒng)計(jì)信息上報(bào)給一級(jí)系統(tǒng)中心(總中心)的管理者。多級(jí)管理體系實(shí)現(xiàn)的功能上級(jí)中心可以對(duì)下級(jí)進(jìn)行管理，并接收由下級(jí)傳送過來(lái)的數(shù)據(jù)。下級(jí)定時(shí)收集本中心系統(tǒng)的病毒信息，在分析處理后上傳到上級(jí)中心，以便上級(jí)及時(shí)得到下級(jí)的病毒信息，及時(shí)做出相應(yīng)的處理。這樣既避免了由于過度的信息傳輸給網(wǎng)絡(luò)資源造成的影響，也能夠及時(shí)讓管理員得到最新的病毒分布情況。匯集網(wǎng)絡(luò)版殺毒軟件病毒日志信息統(tǒng)一評(píng)估整體病毒趨勢(shì)通過對(duì)網(wǎng)絡(luò)中統(tǒng)一部署的防病毒系統(tǒng)日志的統(tǒng)一收集、匯總和分析，形成對(duì)網(wǎng)絡(luò)中的病毒情況的總體報(bào)告和趨勢(shì)分析，為宏觀決策提供依據(jù)。報(bào)告具有多種標(biāo)識(shí)功能（說(shuō)明、圖表、曲線等）。報(bào)告能提供報(bào)告期內(nèi)病毒事件的匯總和歸類統(tǒng)計(jì)數(shù)據(jù)。報(bào)告包括：報(bào)告期內(nèi)病毒分布圖、病毒事件種類、發(fā)生時(shí)間、中毒文件傳輸目的地、被感染的機(jī)器和文件、病毒清除狀態(tài)。詳細(xì)部署設(shè)計(jì)XXX網(wǎng)絡(luò)預(yù)警系統(tǒng)項(xiàng)目中心（總中心）監(jiān)控管理體系位置瑞星網(wǎng)絡(luò)安全預(yù)警管理中心部署位置一級(jí)瑞星網(wǎng)絡(luò)安全預(yù)警中心部署在XXX省局，它位于瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的最高層（第一層）。瑞星網(wǎng)絡(luò)安全預(yù)警探及分中心針部署位置病毒探針及分中心的部署要求為：在各單位核心交換機(jī)部署，需要鏡像端口，采用旁路部署病毒探針的數(shù)量與部署位置為：在各單位核心交換機(jī)分別部署具有千兆能力的病毒實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)設(shè)備一套，監(jiān)視病毒傳播狀況；監(jiān)控管理體系的作用瑞星網(wǎng)絡(luò)安全預(yù)警管理中心實(shí)現(xiàn)的主要功能包括：網(wǎng)絡(luò)整體安全進(jìn)行宏觀的調(diào)控；幫助網(wǎng)絡(luò)安全狀況制定統(tǒng)一的策略，最大限度地利用現(xiàn)有資源，發(fā)揮整體優(yōu)勢(shì)，保障網(wǎng)絡(luò)安全；瑞星網(wǎng)絡(luò)安全預(yù)警探針實(shí)現(xiàn)的主要功能包括：具備對(duì)已知病毒的檢測(cè)能力，能夠檢測(cè)通過常用網(wǎng)絡(luò)協(xié)議(http、pop3、smtp等)傳播的網(wǎng)絡(luò)病毒；能夠通過網(wǎng)絡(luò)病毒行為分析檢測(cè)病毒；具有對(duì)未知病毒的檢測(cè)能力；病毒實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)設(shè)備提供每天一次以上的病毒特征庫(kù)升級(jí)；具備多級(jí)和統(tǒng)一集中管理能力，瑞星網(wǎng)絡(luò)安全預(yù)警管理中心能夠配置病毒實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)設(shè)備的策略，病毒實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)設(shè)備具有病毒事件的上報(bào)功能，實(shí)現(xiàn)病毒預(yù)警統(tǒng)一管理。一級(jí)防病毒監(jiān)控管理體系主要作用是對(duì)XXX網(wǎng)絡(luò)整體進(jìn)行病毒監(jiān)控和管理，同時(shí)，可以對(duì)下級(jí)防病毒監(jiān)控管理體系進(jìn)行統(tǒng)一監(jiān)控和管理，另外，一級(jí)防病毒管理體系也負(fù)責(zé)接收下級(jí)防病毒監(jiān)控管理體系病毒信息，可以對(duì)全網(wǎng)病毒部分和爆發(fā)狀況進(jìn)行統(tǒng)一管理。監(jiān)控管理體系的組成和功能瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)主要由總中心、分中心、病毒探針協(xié)同工作，共同完成對(duì)整個(gè)網(wǎng)絡(luò)的病毒預(yù)警及管理工作。整個(gè)系統(tǒng)的功能如下：1、系統(tǒng)采用B/S的管理架構(gòu)，管理、維護(hù)方便，移動(dòng)性強(qiáng)。2、通過對(duì)網(wǎng)絡(luò)中的病毒進(jìn)行匯總和分析，形成對(duì)整個(gè)網(wǎng)絡(luò)中的病毒情況的總體報(bào)告和趨勢(shì)分析，為宏觀決策提供依據(jù)。報(bào)告需具有多種標(biāo)識(shí)功能（說(shuō)明、圖表、曲線等）。報(bào)告能提供報(bào)告期內(nèi)全網(wǎng)的病毒事件的匯總和歸類統(tǒng)計(jì)數(shù)據(jù)。3、具備多級(jí)統(tǒng)一集中管理能力，瑞星網(wǎng)絡(luò)安全預(yù)警管理中心能夠統(tǒng)一管理各下級(jí)設(shè)備；4、對(duì)網(wǎng)絡(luò)中出現(xiàn)的病毒情況（新病毒出現(xiàn)、病毒大規(guī)模爆發(fā)等）進(jìn)行統(tǒng)一的病毒報(bào)警。病毒預(yù)警重點(diǎn)應(yīng)為網(wǎng)絡(luò)型病毒，并具有多種預(yù)警方式（桌面消息、聲音提示、電子郵件、短信等）。5、系統(tǒng)具有可疑病毒文件或代碼的提交功能；6、系統(tǒng)具有對(duì)病毒源頭的跟蹤能力；7、系統(tǒng)支持管理權(quán)限分配，上級(jí)管理員可下發(fā)管理權(quán)限，系統(tǒng)應(yīng)該能夠兼容其它安全、應(yīng)用系統(tǒng)的授權(quán)認(rèn)證管理，支持用戶實(shí)現(xiàn)單點(diǎn)登錄。8、XXX網(wǎng)絡(luò)預(yù)警系統(tǒng)項(xiàng)目部署的千兆病毒實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)設(shè)備具備以下能力：具備對(duì)已知病毒的檢測(cè)能力，能夠檢測(cè)通過常用網(wǎng)絡(luò)協(xié)議(http、pop3、smtp等)傳播的網(wǎng)絡(luò)病毒；能夠通過網(wǎng)絡(luò)數(shù)據(jù)流病毒行為分析檢測(cè)；具有對(duì)未知病毒的檢測(cè)能力；病毒實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)設(shè)備提供至少每天1次的病毒特征庫(kù)升級(jí)；各二級(jí)單位（分中心）監(jiān)控管理體系位置瑞星網(wǎng)絡(luò)安全預(yù)警分中心部署在XXXXXXXXXXXXXXX系統(tǒng)處，它位于整個(gè)瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的二級(jí)（第二層）。監(jiān)控管理體系的作用瑞星網(wǎng)絡(luò)安全預(yù)警分中心部署在XXX網(wǎng)絡(luò)二級(jí)單位，它位于整個(gè)瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的二級(jí)（第二層）。二級(jí)瑞星網(wǎng)絡(luò)安全預(yù)警管理體系主要作用是對(duì)本系統(tǒng)內(nèi)的所有病毒進(jìn)行監(jiān)測(cè)，同時(shí)，二級(jí)防病毒監(jiān)控管理體系也接受一級(jí)防病毒監(jiān)控管理體系的監(jiān)控管理。監(jiān)控管理體系的組成和功能二級(jí)瑞星網(wǎng)絡(luò)安全預(yù)警主要由集中病毒管理分中心構(gòu)成，共同完成對(duì)整個(gè)網(wǎng)絡(luò)的病毒預(yù)警及管理工作。系統(tǒng)采用B/S的管理架構(gòu)，管理、維護(hù)方便，移動(dòng)性強(qiáng)。通過對(duì)本級(jí)網(wǎng)絡(luò)范圍內(nèi)的病毒收集、匯總和分析，形成對(duì)網(wǎng)中的病毒情況的總體報(bào)告和趨勢(shì)分析，為宏觀決策提供依據(jù)。報(bào)告需具有多種標(biāo)識(shí)功能（說(shuō)明、圖表、曲線等）。報(bào)告能提供報(bào)告期內(nèi)本網(wǎng)絡(luò)病毒的匯總和歸類統(tǒng)計(jì)數(shù)據(jù)。、部署后達(dá)到的效果病毒的發(fā)現(xiàn)可以對(duì)網(wǎng)絡(luò)中的病毒狀況進(jìn)行集中統(tǒng)一的病毒監(jiān)測(cè)，構(gòu)建完備、協(xié)調(diào)、高效的預(yù)警體系。在病毒發(fā)作、網(wǎng)絡(luò)攻擊的初期進(jìn)行提前預(yù)警，進(jìn)行科學(xué)的評(píng)估，采取各種有效的手段，努力把風(fēng)險(xiǎn)發(fā)生的可能性降到最小，在現(xiàn)代病毒安全事件中，檢測(cè)是現(xiàn)代網(wǎng)絡(luò)安全模型中重要的一部分，瑞星網(wǎng)絡(luò)預(yù)警系統(tǒng)可實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)內(nèi)的病毒攻擊；同時(shí)網(wǎng)絡(luò)蠕蟲病毒發(fā)作時(shí)，也會(huì)向網(wǎng)絡(luò)發(fā)送大量的病毒包，造成整體網(wǎng)絡(luò)堵塞和癱瘓，瑞星網(wǎng)絡(luò)預(yù)警系統(tǒng)可以在蠕蟲爆發(fā)的初期進(jìn)行報(bào)警，采用有效的手段，可以避免對(duì)網(wǎng)絡(luò)造成的危害。病毒監(jiān)控如下圖：圖SEQ圖\*ARABIC2預(yù)警系統(tǒng)管理中心病毒監(jiān)控截圖查找病毒源，定位風(fēng)險(xiǎn)，為有效處理病毒提供依據(jù)瑞星網(wǎng)絡(luò)預(yù)警系統(tǒng)整理大量的互聯(lián)網(wǎng)真實(shí)IP地址所在地相關(guān)信息，同時(shí)也支持用戶自行導(dǎo)入和添加IP地址庫(kù)。在分析網(wǎng)絡(luò)安全事件時(shí)，可以單擊相關(guān)IP確定該IP地址的物理位置，查找病毒源，定位風(fēng)險(xiǎn)，為有效處理病毒提供依據(jù)，準(zhǔn)確的定位，如下圖：圖SEQ圖\*ARABIC3預(yù)警系統(tǒng)管理中心病毒定位截圖發(fā)現(xiàn)未知病毒，解決新病毒爆發(fā)帶的風(fēng)險(xiǎn)瑞星網(wǎng)絡(luò)預(yù)警系統(tǒng)擁有網(wǎng)絡(luò)行為判斷技術(shù)，能夠有效的檢測(cè)未知病毒，解決新病毒爆發(fā)帶的風(fēng)險(xiǎn)，對(duì)網(wǎng)絡(luò)中出現(xiàn)的病毒情況（新病毒出現(xiàn)，病毒大規(guī)模爆發(fā)等）進(jìn)行統(tǒng)一的報(bào)警，并具有多種預(yù)警方式（聲音提示、電子郵件等），并能夠進(jìn)行快速應(yīng)急響應(yīng)。圖SEQ圖\*ARABIC4瑞星行為判斷技術(shù)示意圖獨(dú)有的智能分析技術(shù)，發(fā)現(xiàn)異常網(wǎng)絡(luò)安全問題對(duì)http協(xié)議、pop3協(xié)議、Smtp協(xié)議完整的協(xié)議解析，對(duì)正常網(wǎng)絡(luò)建模，提供異常網(wǎng)絡(luò)流對(duì)比分析，結(jié)合管理中心所生成的動(dòng)態(tài)策略杜絕網(wǎng)絡(luò)中黑客攻擊的一切來(lái)源，同時(shí)還能夠追蹤攻擊的源頭，以便網(wǎng)絡(luò)警察取證。圖SEQ圖\*ARABIC5異常流量分析截圖安全事件的關(guān)聯(lián)分析針對(duì)病毒探針和防攻擊探針?biāo)鶊?bào)告的大量網(wǎng)絡(luò)安全事件，在無(wú)法人為的對(duì)其進(jìn)行分析和整理時(shí)，就需要管理系統(tǒng)能夠?qū)⒏黝惥W(wǎng)絡(luò)安全事件歸納總結(jié)在一起，然后存入數(shù)據(jù)庫(kù)，方便進(jìn)行管理查詢。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的管理中心所具有的大容量存儲(chǔ)空間完全能夠長(zhǎng)時(shí)間存儲(chǔ)網(wǎng)絡(luò)安全事件。將各種安全事件集中到管理中心后，對(duì)于某些網(wǎng)絡(luò)安全事件來(lái)說(shuō)，一臺(tái)或者兩臺(tái)探針無(wú)法探測(cè)或者發(fā)現(xiàn)針對(duì)整個(gè)網(wǎng)絡(luò)的安全事件。但是將網(wǎng)絡(luò)安全事件結(jié)合在一起后并進(jìn)行歸納總結(jié)后，就有可能發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的源頭。例如某個(gè)網(wǎng)段的攻擊探針發(fā)現(xiàn)該網(wǎng)絡(luò)被掃描，可以確定是公司內(nèi)部一臺(tái)主機(jī)A所為。但同時(shí)，病毒探針發(fā)現(xiàn)另外一臺(tái)主機(jī)B通過遠(yuǎn)程植入方式,將木馬或者掃描程序植入主機(jī)A，管理中心即可根據(jù)這兩條網(wǎng)絡(luò)安全事件判斷掃描特定網(wǎng)絡(luò)的真正源頭是B而不是A,從而確定真正的影響網(wǎng)絡(luò)的源頭。圖SEQ圖\*ARABIC6安全事件關(guān)聯(lián)分析示意圖實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)，有效數(shù)據(jù)的匯總和分析瑞星網(wǎng)絡(luò)預(yù)警系統(tǒng)可以實(shí)時(shí)數(shù)據(jù)流監(jiān)測(cè)，有效數(shù)據(jù)的匯總和分析，形成對(duì)網(wǎng)絡(luò)中的病毒情況的總體報(bào)告和趨勢(shì)分析，為宏觀決策提供依據(jù)，動(dòng)態(tài)調(diào)整安全防護(hù)體系。病毒信息總覽圖圖SEQ圖\*ARABIC7病毒信息總覽統(tǒng)計(jì)圖管理員也可以根據(jù)關(guān)心的數(shù)據(jù)項(xiàng)來(lái)生成報(bào)表，比如所關(guān)心的源IP、目的IP或者病毒名稱等。管理員也可以查詢一段特定時(shí)間內(nèi)的網(wǎng)絡(luò)安全事件，并生成報(bào)告，對(duì)以往的安全事件進(jìn)行匯總，預(yù)見未來(lái)病毒的趨勢(shì)。如圖;圖SEQ圖\*ARABIC8病毒來(lái)源統(tǒng)計(jì)表和餅形圖圖SEQ圖\*ARABIC9病毒趨勢(shì)分析截圖集中管理和控制，瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)是一套集中管理的網(wǎng)絡(luò)安全系統(tǒng)，并且所有管理功能都是基于瀏覽器來(lái)完成，無(wú)需另外安裝附加軟件，僅需要瀏覽器和SSL支持，管理員可以通過總中心可對(duì)整個(gè)網(wǎng)絡(luò)安全預(yù)警系統(tǒng)進(jìn)行安全管理，總中心負(fù)責(zé)接收管理員的命令，然后分發(fā)到各個(gè)相關(guān)網(wǎng)絡(luò)預(yù)警分中心，分中心再自動(dòng)分發(fā)給病毒探針，大大減少了管理工作。同時(shí)可以幫助網(wǎng)絡(luò)安全狀況制定統(tǒng)一的策略，最大限度地利用現(xiàn)有資源，發(fā)揮整體優(yōu)勢(shì)，保障網(wǎng)絡(luò)安全。

瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)功能介紹零拷貝技術(shù)在現(xiàn)在的操作系統(tǒng)中，因?yàn)榘踩纫蛩貙⒂脩艨臻g和內(nèi)核空間完全分離。在用戶進(jìn)程和內(nèi)核進(jìn)程交換數(shù)據(jù)時(shí)，就需要將數(shù)據(jù)從兩個(gè)空間來(lái)回拷貝。為了提高交換數(shù)據(jù)的效率，很多操作系統(tǒng)都是直接用匯編來(lái)實(shí)現(xiàn)這一功能。但是在拷貝過程還是會(huì)影響程序的運(yùn)行性能，不過這在一些通常的應(yīng)用過程中體現(xiàn)了極大的安全優(yōu)勢(shì)。但是在用戶空間和內(nèi)核空間進(jìn)行大量數(shù)據(jù)交換時(shí)，數(shù)據(jù)拷貝過程將占用程序CPU運(yùn)行時(shí)間的很大的比例。這樣勢(shì)必會(huì)極大的影響程序處理數(shù)據(jù)的能力。通過對(duì)系統(tǒng)內(nèi)核程序的修改和驅(qū)動(dòng)程序的修改與優(yōu)化，以及對(duì)用戶空間的程序的修改與優(yōu)化，瑞星研發(fā)了一種特殊的拷貝技術(shù)，即：數(shù)據(jù)在內(nèi)核和用戶空間內(nèi)共享的數(shù)據(jù)“零拷貝”技術(shù)。通過特殊的技術(shù)在用戶空間和內(nèi)核空間共享數(shù)據(jù)，同時(shí)又利用一種良好的安全策略來(lái)保證內(nèi)核和用戶程序分別對(duì)共享的數(shù)據(jù)進(jìn)行讀寫而不會(huì)產(chǎn)生安全問題。在不損失操作系統(tǒng)原有的安全性的情況下，減少拷貝數(shù)據(jù)的時(shí)間，使整個(gè)系統(tǒng)將時(shí)間片全部集中在數(shù)據(jù)處理上。不但有效的利用CPU時(shí)間，而且也減少了系統(tǒng)資源的占用。利用零拷貝技術(shù)，使病毒監(jiān)測(cè)探針的監(jiān)測(cè)能力呈數(shù)量級(jí)的提升。由原來(lái)的百兆到現(xiàn)在的千兆！圖SEQ圖\*ARABIC10零拷貝技術(shù)原理圖能夠查獲1000000種的病毒引擎完全自主開發(fā)的瑞星殺毒引擎是查獲病毒的有力保障，每一版病毒引擎的推出，都意味著更多的平臺(tái)支持，更多的功能，更完美的實(shí)現(xiàn)。病毒探針?biāo)玫牟《静闅⒁嫱耆褂萌鹦亲顑?yōu)化和改進(jìn)的病毒查殺引擎。優(yōu)化和改進(jìn)主要針對(duì)以下方面：病毒探針是完全基于網(wǎng)絡(luò)的防病毒系統(tǒng)，傳統(tǒng)殺毒引擎不能處理網(wǎng)絡(luò)數(shù)據(jù)，無(wú)法對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行病毒的查獲。這需要在處理網(wǎng)絡(luò)數(shù)據(jù)方面對(duì)病毒引擎做改進(jìn)，使其能夠分析網(wǎng)絡(luò)數(shù)據(jù)流中包含的病毒。病毒探針?biāo)鶓?yīng)用的病毒引擎為瑞星最新殺毒引擎改進(jìn)而成，不但擁有瑞星病毒殺毒引擎的所有功能和特點(diǎn)，而且是能夠查獲網(wǎng)絡(luò)數(shù)據(jù)流中的病毒的“流引擎”。能夠查獲未知病毒引擎病毒探針由于反病毒引擎采用了虛擬機(jī)技術(shù)，發(fā)現(xiàn)在對(duì)捕獲的疑似病毒樣本定義時(shí)，系統(tǒng)的病毒庫(kù)中沒有所匹配的病毒特征碼而無(wú)法確定名稱，將這類病毒確認(rèn)為未知病毒并上報(bào)到管理控制中心。這種機(jī)制保證了系統(tǒng)不會(huì)放過任何有危險(xiǎn)的病毒。支持千兆網(wǎng)絡(luò)的處理能力通過定制千兆網(wǎng)卡驅(qū)動(dòng)，系統(tǒng)捕包的能力幾乎達(dá)到了現(xiàn)有千兆網(wǎng)絡(luò)設(shè)備的極限。完全可以應(yīng)用于電信機(jī)房等中心骨干網(wǎng)絡(luò)中。圖SEQ圖\*ARABIC11千兆處理能力測(cè)試結(jié)果檢測(cè)口無(wú)IP地址理論上，任何網(wǎng)絡(luò)安全設(shè)備在能夠連通外部網(wǎng)絡(luò)情況下，都不能保證100％的安全。但是對(duì)于病毒探針和防攻擊探針來(lái)說(shuō)，監(jiān)測(cè)口在能夠獲取網(wǎng)絡(luò)數(shù)據(jù)的前提下，擁有一個(gè)不完全的TCP/IP實(shí)現(xiàn)。不完全的TCP/IP實(shí)現(xiàn)保證了監(jiān)測(cè)口無(wú)法和外部通訊，同時(shí)，管理口完全可以處在和外部網(wǎng)絡(luò)物理隔絕的核心網(wǎng)絡(luò)，達(dá)到管理和監(jiān)測(cè)分離的部署方式。圖SEQ圖\*ARABIC12預(yù)警系統(tǒng)不完全TCP/IP實(shí)現(xiàn)方式完善的升級(jí)機(jī)制和迅速更新的特征庫(kù)瑞星防病毒監(jiān)測(cè)網(wǎng)遍布全世界，能夠在最短時(shí)間內(nèi)得到病毒樣本，完全獨(dú)立的24小時(shí)反病毒小組確保在最短時(shí)間分析出新的病毒特征并經(jīng)過測(cè)試后加入我們的病毒特征庫(kù)，然后提供網(wǎng)上升級(jí)。使病毒在小規(guī)?；蛘呔植康貐^(qū)爆發(fā)后被扼殺在搖籃。雖然我們的病毒引擎具有未知病毒的查獲能力和病毒行為的預(yù)判斷能力，也不能保證在病毒以一種非常規(guī)的或者以一種全新的方式來(lái)運(yùn)行和傳播時(shí)都能夠?qū)ζ溆行У牟楂@。這就需要用戶定期更新病毒庫(kù)讓病毒探針工作在最好的狀態(tài)，讓病毒在大規(guī)模爆發(fā)前就被扼殺在搖籃之中，起到網(wǎng)絡(luò)安全預(yù)警系統(tǒng)真正的預(yù)警功能。網(wǎng)絡(luò)預(yù)警系統(tǒng)的管理中心可以按照預(yù)先設(shè)定的時(shí)間間隔定期訪問瑞星網(wǎng)站，一旦發(fā)現(xiàn)新的更新數(shù)據(jù)，將立即下載到本地，然后分發(fā)到特定的探針，保證每個(gè)模塊處于最良好的狀態(tài)。不會(huì)對(duì)影響網(wǎng)絡(luò)安全的事件視而不見。如果在一些核心的應(yīng)用中，網(wǎng)絡(luò)安全預(yù)警系統(tǒng)所處的網(wǎng)絡(luò)是和互聯(lián)網(wǎng)物理隔絕的，管理中心無(wú)法自動(dòng)升級(jí)，管理員可以選擇手動(dòng)升級(jí)的方式來(lái)升級(jí)整個(gè)系統(tǒng)。安全事件的關(guān)聯(lián)分析針對(duì)病毒探針?biāo)鶊?bào)告的大量網(wǎng)絡(luò)安全事件，在無(wú)法人為的對(duì)其進(jìn)行分析和整理時(shí)，就需要管理中戲能夠?qū)⒏黝惥W(wǎng)絡(luò)安全事件歸納總結(jié)在一起，然后存入數(shù)據(jù)庫(kù)，方便進(jìn)行管理查詢。網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的管理中心所具有的大容量存儲(chǔ)空間完全能夠長(zhǎng)時(shí)間存儲(chǔ)網(wǎng)絡(luò)安全事件。在各種安全事件集中到管理中心后，對(duì)于某些網(wǎng)絡(luò)安全事件來(lái)說(shuō)，一臺(tái)或者兩臺(tái)探針無(wú)法探測(cè)或者發(fā)現(xiàn)針對(duì)整個(gè)網(wǎng)絡(luò)的安全事件。但是將網(wǎng)絡(luò)安全事件結(jié)合在一起后并進(jìn)行歸納總結(jié)后，就有可能發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的源頭。例如，某個(gè)網(wǎng)段的防攻擊探針發(fā)現(xiàn)該網(wǎng)絡(luò)被掃描，可以確定是公司內(nèi)部一臺(tái)主機(jī)A所為。但同時(shí)，病毒探針發(fā)現(xiàn)另外一臺(tái)主機(jī)A通過遠(yuǎn)程植入方式，將木馬或者掃描程序植入主機(jī)B，管理中心即可根據(jù)這兩條網(wǎng)絡(luò)安全事件判斷掃描特定網(wǎng)絡(luò)的真正源頭是A而不是B,，從而確定真正的影響網(wǎng)絡(luò)的源頭。迅速定位安全事件相關(guān)IP地址的物理位置瑞星公司整理了大量的互聯(lián)網(wǎng)真實(shí)IP地址所在地相關(guān)信息，同時(shí)也支持用戶自行導(dǎo)入和添加IP地址庫(kù)。在分析網(wǎng)絡(luò)安全事件時(shí)，可以點(diǎn)擊相關(guān)IP確定該IP地址的物理位置。圖SEQ圖\*ARABIC13安全事件定