防病毒软件投标方案
招标编号:****
投标单位名称:****
授权代表:****
投标日期:****
第1章最新恶意代码动态分析
终端所面临的安全威胁已不再是传统的病毒,而是更加复杂的恶意代码
义病毒)。分析恶意代码的发展趋势可以帮助我们更好地构建病毒防护体系,优化现有安全防护体系,从而实现保障终端安全的最终目标。
口前所未见的恶意代码威胁
当前终端安全面临的核心挑战在于,日益增多的未知、新型恶意代码构成严重威胁。这种剧增的未知威胁,主要是由于恶意代码家族中频繁出现大量的变体。攻击者倾向于迭代现有代码,生成新变种,而非从零开始创制,这在诸如熊猫烧香、Flamer等系列中得到了充分展示,其变体数量众多。
恶意代码作者采用多元化的手段生成新型变体,包括代码变形、功能革新和运行时包装工具,旨在规避防病毒软件的侦测。回顾过往,大规模的蠕虫(如红色代码、冲击波)爆发曾显示,恶意代码凭借简洁的构造就能迅速感染众多系统。如今,攻击策略愈发侧重于定向攻击和更为巧妙的感染途径。因此,越来越多的攻击者倾向于运用多态技术的复杂策略来规避防护系统的识别,以此增强传播效率。这类多态病毒在自我复制过程中能够改变其字节序列特征,从而避开依赖简单字符串扫描的防病毒策略。
特洛伊木马
特洛伊木马程序特性在于,尽管不具备自我复制能力,却能对主机安全构成潜在威胁。这些程序常常伪装为具有一定功能的应用,诱使用户下载并执行,实则隐藏了恶意代码。它们可能以看似合法的软件形式从多个源头获取,或者作为未经防护的用户的电子邮件附件进行传播。
据统计,特洛伊木马的主要传播途径是通过恶意网站,利用浏览器存在的漏洞。这些漏洞使得恶意代码得以悄然植入,往往无需显著用户交互。一旦用户在浏览含有恶意内容的网络页面时,尤其是使用了Microsoft Internet Explorer,木马便可能通过浏览器内的多客户端漏洞侵入用户的系统。随后,特洛伊木马会窃取敏感信息,如身份验证凭证,并将这些数据传输给远程的攻击者。值得注意的是,新型的特洛伊木马还可能进一步窃取用户的特定信息,如网银登录密码等,从而构成更大的威胁。
口广告软件/流氓软件
终端用户遭遇的广告软件/流氓软件的几率越来越高,广告软件可执行多种操作,其中包括显示弹出式广告、将用户重引导至色情网站、修改浏览器设置,如默认主页设置以及监视用户的上网活动以显示目标广告。其影响范围包括单纯的用户骚扰、隐私权侵犯等。Adware的影响因其固有的特点而难以量化。但这并不意味着它们不是安全问题。最严重的影响可能是大范围破坏个别最终用户系统的完整性。包括:性能下降、浏览器故障、系统频繁死机等。
混合型威胁
混合型威胁采用多元化的手段与技术进行扩散,集成了病毒、蠕虫及特洛伊木马等恶意软件的特性。这类威胁在无需或只需轻微人为干预的情况下,能迅速对大量系统实施感染,导致广泛且深远的损害。其多维度的传播策略使其能够灵活地规避组织的安全防护体系。它们同时具备致使系统资源过度负载和耗尽网络带宽的能力。
第2章防病毒系统设计思路
2.1深入探讨特征驱动的防病毒策略
长期以来,传统的混合型威胁(混合型病毒)防控手段主要依赖于事后的病毒样本收集、特征分析与快速部署,随后期望能迅速遏制其扩散。然而,这种方式在面对诸如冲击波、Slammer、Netsky、熊猫烧香以及Flamer等近期对XXX造成重大影响的病毒时,其基于特征的被动式应对机制显得力有不逮。这既源于病毒的演化速度加快,也在于传统防病毒技术的被动追踪策略在对抗不断演变的威胁时显得捉襟见肘。
然而,对于被动的病毒应对策略,其效能逐渐显得捉襟见肘。根据Symantec公司的统计数据,该图表揭示了过去十余年间病毒爆发速率与特征响应速度的关系,并对比了近年来的演变态势。
图1:混合型病毒感染与病毒特性反应对照图
此图表通过逐年的时间轴(1990年至2005年),以蓝色线条呈现计算机病毒和混合威胁的复制速率,从左上角递增至右下角,反映出威胁动态的演变。与此同时,红色线条追踪病毒技术的进步,其发展轨迹从左下角延伸至右上角。两条轴线各自采用独特的比例标尺,纵轴左侧(以蓝色标识)代表恶意病毒从初始状态发展到广泛感染易受攻击计算机所需的时间,而右侧纵轴(红色标示)则揭示了描述病毒特性所需的时间跨度。
根据上图解析,针对瞬息万变的超速混合威胁,其传播速度及对主机全面感染的实现往往远超人工或自动化系统生成并部署病毒特征的速率。在这种情势下,传统的基于病毒特征的防护手段显得力不从心。鉴于混合型病毒频繁且突发的暴发,特征响应的滞后可能导致严重后果,如近期的冲击波和震荡波事件已初显其代价之重。因此,这种滞后反应是无法容忍的。
2.2防病毒产品传统应用效能评估
在抵御新型终端安全威胁时,传统单一的防病毒产品常常表现出力不从心,这主要源于其局限性。
口基于特征的病毒定义滞后性
尽管防病毒技术不断进步,涵盖启发式扫描与智能检测等诸多创新,但当前的防病毒产品主要依赖基于特征的病毒扫描方法。具体而言,每当新型病毒浮现,防病毒供应商会通过多种途径搜集样本,随后经由自动化或专家剖析,提取出病毒的特征码。这些特征码随后被发布,供用户选择手动或定期自动下载更新。只有这样,用户才能有效抵御这类新病毒的威胁。
无可否认,特征依赖的病毒定义更新存在一定的滞后效应,具体表现为:
新病毒的不断涌现导致病毒定义未能及时跟上,而当前病毒变异的迅速且频繁特性,无疑加重了这一滞后现象所引发的风险与挑战。
用户的病毒库定义未能及时同步厂商的最新版本,主要源于用户的定期自动更新机制可能存在问题,部分用户因各种因素导致病毒定义升级不畅,从而形成了与最新病毒定义的时间差距。
口区域性恶意代码增加了样本收集的难度
当前恶意代码,以特洛伊木马为例,其显著特征在于高度针对性和地域性。它们通常锁定特定用户群体,甚至可能只对特定地区或类型的用户构成威胁。由于这种目标定位的特性,攻击行为往往针对较小的受众,从而不易察觉,也较少被防病毒供应商察觉并分析。
若防病毒供应商未能及时获取最新的病毒样本,其对于此类木马的防护功能将相应削弱。
口单纯的防病毒技术无法应对混合型威胁
混合型威胁巧妙融合了病毒扩散与黑客入侵的手段,通过多元途径实施传播与打击。无需人为介入,它能自主探测并利用系统的薄弱环节,进而对存在漏洞的计算机进行自我扩散和攻击。随着病毒愈发倾向于自动针对操作系统或特定应用软件的漏洞发起攻势,尤其是在漏洞未经修补(未安装补丁)的情形下,可能导致病毒持续性感染。单纯的病毒防护已无法有效应对此类新型威胁事件。
口复杂的病毒查杀技术与性能需求
针对新型恶意代码,其采用了一系列高级的反侦查与清除策略,其中包括先前阐述的多态性病毒和复杂的Rootkit技术。与传统恶意代码相比较,识别和应对这种复杂多变的威胁,技术要求更为精密,涉及到加密逻辑的深度解析、细致的统计分析,以及代码行为模拟和数据驱动引擎的创新设计。这就要求分析师具备深厚的专业素养,以研发出高效的检测和消除解决方案。然而,这些防护措施不可避免地会占用终端系统的宝贵资源,据统计,在实际用户环境中,防病毒软件的内存占用量常在50兆至60兆字节之间,对于内存容量低于256兆的老旧设备,这可能导致性能显著下降。在安全与性能的权衡中,部分用户可能倾向于牺牲安全,从而影响了整体的防病毒系统效能。
2.3体系化的技术与服务提升
经实践验证,一个全面且高效的终端安全体系涵盖技术、管理和服务三个关键维度。其中,病毒防治技术的部署与执行扮演着至关重要的角色,致力于守护用户的个人设备免受广泛病毒及攻击的侵扰。
传统的病毒防护策略倾向于技术导向,然而单纯依赖技术手段具有其局限性。因此,期待单一防病毒软件能应对所有病毒威胁是不切实际的。对于诸如中国保险行业协会这类大型企业,其对防病毒管理的需求往往超越单纯的病毒查杀能力。若无法实现全网络的病毒防治统一管理,即使是最强大的防病毒软件也无法充分发挥效能。
我们尤为强调‘服务’的核心价值,这一观点源于一个共识:当前尚无单一的防病毒厂商能实现对所有已知及未知病毒的即时精准查杀。因此,服务被视为产品功能的有效补充。
产品的综合性能和服务的配套保障,从根本上确保了病毒防护的稳固可信。以下是详细的分解说明:
2.3.1前沿防御策略
通过对新型恶意软件发展趋势及传统病毒防护产品特性的深入剖析,显而易见,传统防病毒技术主要依赖于被动追踪策略。在病毒爆发时,它首先捕捉样本,紧接着生成病毒特征并迅速部署,寄希望于能迅速消除病毒并阻止威胁扩散。然而,这种被动防御模式难以适应新型恶意软件的演变挑战。
以此为依据,应构建一个全面、可扩展且具备抵御能力的网络安全体系,立足于‘主动防御’的理念。相较于被动的病毒应对策略,主动式防御技术能够在新型恶意软件浮现前预先设立防护屏障,静候潜在威胁,从而有效防止其带来的损害。‘主动防御’的关键要素体现在以下几个方面:
口信誉度技术
Symantec凭借其全球用户的庞大社区及遍布世界各地的情报网络,不断积累关于文件的关键信息,构建了Symantec的信任数据库。这一数据库服务于Symantec产品的防护功能,确保终端计算机免受新兴威胁、定向攻击以及变种威胁的侵扰。由于数据存储并非本地在客户端,而是‘云化’存在,即非驻留于客户端计算机,客户端通过实时请求或查询信誉数据库的方式,显著提升了基于Symantec全球防病毒云计算基础设施的病毒和恶意软件防护响应速度,从而减少了特征码检测方法可能导致的时间延迟。
Symantec凭借其'智能扫描'技术,精确评估每个文件的风险级别。
评估文件的安全等级是智能扫描的核心任务,它通过分析文件及其相关背景信息的下列特性实现这一判定。
文件的源
文件的新旧程度
文件在社区中的常用程度
考察其他安全维度,例如评估文件潜在的恶意软件关联风险
在Symantec Endpoint Protection 12.1中,其扫描功能凭借智能扫描技术对文件和应用程序进行智能评估与决策。
口基于应用程序的防火墙技术
个人防火墙通过程序设定或识别通讯特性,实施精确的进出权限控制,包括禁止或允许特定端口和协议的使用。其应用一方面能抵御病毒借助系统漏洞的入侵,更为关键的是,它能有效切断病毒的传播途径。
以 Spybot 病毒在去年的广泛爆发为例,该病毒巧妙地利用了微软系统的多项漏洞及应用程序的缝隙。企业可以通过及时且集中地封锁那些尚待修复的终端服务端口,从而有效防止该病毒侵入设备,即使在终端补丁安装尚未完成的状况下也能实施这一策略。
以Arp木马为例,通常情况下,Arp请求和响应包由ndisiuo.sys驱动程序正常发出。然而,arp病毒或恶意arp攻击常常借助其他系统驱动来伪造arp数据包。因此,我们可以通过防火墙策略设置,特许ndisiuo.sys独家发送Arp数据包(指定协议号,其余操作则予以限制)。这样,在未更新病毒库的情况下,也能实现对病毒的有效拦截和防护。
统一部署防火墙不仅可以解决以上这些安全问题,同时可以成为企业执行安全策略的有力工具,实现一些企业的安全策略的部署,如突发病毒爆发时,统一开放关闭防火墙相应端
。
口具备通用漏洞阻截技术的入侵防护
通用漏洞利用阻截技术的思想是:正如只有形状正确的钥匙才能打开锁一样,只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究,便可以立即了解到能够打开这把锁的钥匙必需具备的特征一一甚至不需要查看实际的钥匙。类似地,当新漏洞发布时,研究人员可以总结该漏洞的“形状”特征。也就是说,可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征,就可以检测并阻截具有该明显“形状”的任何攻击(例如蠕虫)。
2003年7月,Microsoft RPC漏洞公开之际,赛门铁克凭借其通用漏洞利用研究能力,成功研发出针对这一漏洞的通用检测特征。随之而来的一个月后,冲击波蠕虫利用此漏洞发起大规模入侵并迅速扩散。得益于赛门铁克预先编写的特征,该公司得以在网络安全环境中迅速识别并有效拦截冲击波蠕虫的威胁。
在探讨恶意软件扩散途径的部分,我们指出其主要借助IE浏览器的脆弱性进行传播。用户一旦不慎浏览恶意网站,攻击者能够通过IE漏洞在用户的设备上秘密植入木马或广告/不良软件。尽管恶意软件变异形式众多,但实际利用的IE漏洞类型相对有限。赛门铁克凭借通用漏洞分析技术,预先提炼出这些漏洞的通用特征。任何企图利用这些漏洞进行安装的恶意软件,必须符合特定模式,而赛门铁克的特征库则能有效识别并拦截这种模式,防止其在用户终端安装,从而消除了对病毒样本实时响应的需求,从源头上予以防范。
口应用程序控制技术
系统采用应用程序行为监控机制,实现实时追踪各类程序活动。任何与预设恶意行为特征相吻合的举动,系统能即时实施拦截,确保安全防护的有效执行。
以熊猫烧香为例,如果采用被动防护技术,必须对捕获每一个变种的样本,才能编写适当的病毒定义。但是,该病毒的传播和发作具有非常明显的行为特征。熊猫烧香最主要的传播方式是通过U盘传播,其原理是利用操作系统在打开U盘或者移动硬盘时,会根据根目录下的autorun.inf文件,自动执行病毒程序。SEP系统防护技术可以禁止对根目录下的autorun.inf的读写权限,特别的,当已感染病毒的终端试图往移动设备上写该文件时,可以终止该病毒进程并报告管理员。
以下通过电子邮件行为拦截技术的应用来阐述。首先,理解蠕虫利用电子邮件的常见模式:这类蠕虫通常的操作流程是,创建包含自身副本的新邮件,将其发送至邮件服务器,以便转发至目标计算机。然而,当赛门铁克防病毒软件装备了行为拦截功能后,它会在计算机上监控所有的出站电子邮件。在每次邮件发送时,防病毒软件会对邮件及其可能的附件进行检查。如果发现附件,它会解码并对比附件代码与触发邮件发送的应用,如Outlook等常用电子邮件客户端通常仅允许发送文件,而非自身可执行文件的副本。只有蠕虫才会将自身复制到邮件中。因此,若发现附件与发送程序高度相似,防病毒软件会立即阻止传输,从而中止蠕虫的生命周期。这一技术表现出色,它能实时拦截,无需先捕获样本。据统计,赛门铁克防病毒软件凭借此技术已成功在第一时间阻止了多起快速传播的蠕虫,如近期的Sobig、Novarg和MyDoom等案例。
该技术通过基于行为的恶意软件拦截机制,能够锁定浏览器设置如IE,以及关键系统区域如注册表和系统目录。任何企图篡改这些设置的木马或恶软件都将被阻止。因此,即使用户不慎下载了不明来源的恶意软件,也无法在终端设备上实现常规安装和运行。这种基于行为的防护策略具有显著效果,无需先捕获恶意样本,即可实时、高效地抵御诸如熊猫烧香、威金等常见蠕虫病毒的侵袭,实现零时间响应。
通过集中式的策略部署与管理,无需终端用户的直接操作,从而降低了对高级病毒防护技能的需求。此外,基于行为规则的防护方法在主机系统环境中尤为契合,鉴于主机系统的应用专一且管理精细,这种以行为规则为基础的防护手段有效地补充了传统防病毒技术的局限性。
前瞻性威胁扫描
主动前瞻威胁检测:ProactiveThreatScan的革新防护策略 该技术凭借其启发式分析原理,对系统进程中潜在威胁实施积极防御,尤其针对已知漏洞的多变形态及未知威胁。相较于传统的基于主机的入侵防御系统(IPS),它们往往倾向于仅识别并阻断所谓的‘异常行为’,这可能导致合法操作被误判,从而影响用户体验和IT支持团队效率。ProactiveThreatScan的独特之处在于它能区分正常与异常应用程序行为,减少误报,实现更为精确的威胁识别。其前瞻性扫描功能使得企业能够预先察觉那些常规特征检测机制难以识别的新型威胁,提升整体网络安全态势的掌控力。
终端系统加固
终端安全的基础保障首先在于终端自身的强化措施,如定期安装补丁、提升口令复杂度。值得注意的是,如果终端的口令缺失或关键安全补丁不足,即便防护技术再卓越,也难以免疫潜在的攻击与病毒侵袭。为了防止单一软件系统的漏洞对企业整体网络安全构成威胁,企业安全管理策略应着重强化补丁更新和系统安全设置的管理,以维护网络系统的全面安全。
优化建议:实行企业网络终端的统一补丁升级与系统配置管理,具体包括设定终端补丁下载和升级规则,强化终端系统的安全配置策略,并通过代理在各设备上自动执行。这样能确保终端系统的补丁更新和安全配置的完整有效性,整个管理流程自动化,对终端用户而言无缝对接,降低了用户的操作负担,同时减少了企业网络的安全隐患。此举旨在提升网络整体的补丁升级和安全配置管理效率,确保相关策略的有效实施。
口针对虚拟化和云设计
随着虚拟化和云计算的日益普及与深化,终端防护的防病毒软件必须适应虚拟环境的需求,其核心特性包括:
专为VMware、Citrix及Microsoft的虚拟环境进行了优化
口易于管理的物理和虚拟客户端
在确保全面安全的前提下,我们优化了虚拟化和云平台下的性能与密度,实现了前所未有的提升。
口在虚拟化河运平台下最出色的性能和安全性
口基于特征的病毒防护技术
最终,传统的病毒防护技术充其量作为主动防御的有益补充,主要职责在于抵御已知病毒,而对于已遭受感染的设备,它并不具备自动清理和恢复的功能。
总结而言,尽管单一的防病毒产品仅实现了基于特征的病毒防护性能,要想有效抵御当前的恶意代码威胁,势必要结合运用主动防御策略。
2.3.2服务层面
企业防御病毒入侵,通过构建网络防病毒系统,实则是技术对抗与人员策略对决的动态过程。在网络环境中,尽管防病毒产品的部署初步构筑了防护屏障,但鉴于攻击者通常占据主动,单纯的产品并不能确保实质性的安全。关键在于对产品的有效管理、策略配置的精确执行,以及对网络安全态势的持续关注,需随时响应变化,适时调整安全策略,强化系统防护。唯有融合并运用防病毒安全服务,才能推动企业防病毒体系及整体安全迈向新的战略高度。
该防病毒供应商的主要服务内容涵盖两大部分:
口病毒预警服务
XXX的企业病毒防控体系依托于严谨的预警服务流程,该流程旨在对新型病毒进行预先通报、警示与防范。它为管理员提供了关键信息和预警,促使企业在病毒侵入企业范围或大规模扩散前采取应对措施,有效抵御攻击,从而减少病毒事件的发生,降低其潜在影响。
口突发病毒应急响应服务
面对由未知病毒引发的网络服务中断,且常规防病毒客户端无法应对或虽能识别却无力隔离与彻底消除的情况,此时迫切需要防病毒服务在限定时间内提供有效的解决方案。
用户可选择提交病毒样本或申请现场技术支持,以便防病毒厂商提供援助,从而有效防止病毒的广泛传播。
第3章详细的产品选择指南
鉴于上述防病毒系统的设计理念,我们倾向于推荐Symantec Endpoint Protection 12.1作为终端防护软件的优选方案。
3.1SEP12详细组件特性与功能解析
SEP12主要功能模块如下:
(1)防病毒和反间谍软件
一般的防病毒和反间谍软件策略主要依赖于传统的基于扫描的技术,其功能在于识别终端设备上可能存在的病毒、蠕虫、特洛伊木马、间谍软件以及其他恶意软件。这类解决方案通过在系统内部搜索与预先录入的已知威胁特征相匹配的文件,实现对潜在威胁的有效检测。一旦检测到威胁,它通常采取补救措施,如删除或控制该威胁。尽管这种方法在应对已知威胁时表现出色,但面对未知威胁和零日攻击,其效力有所局限。然而,作为端点安全体系的基础组成部分,它不可或缺。
自2011年7月Symantec推出Symantec Endpoint Protection 12.1以来,该企业级防护软件将个人版诺顿防病毒软件中成熟且备受信赖的信誉度技术和主动防御策略融入其中。依托Symantec全球云计算网络的强大支持,实现了对病毒和恶意软件的实时检测。作为传统特征码防病毒技术的有力补充,随着用户群体的增长及信誉度数据库的日益丰富,这项技术逐渐成为了Symantec核心的病毒与恶意软件防护手段。
随着端点安全在各行业愈发受到广泛关注,市场上涌现了众多针对防病毒和反间谍软件的新一代解决方案。尽管初代和二代产品不乏具备一定防护能力的选项,但它们常常存在局限性,如局限于特定操作系统的支持,或者在与基础端点安全功能如防火墙、设备管理与入侵防御系统的协同作用上有所欠缺。
Symantec Endpoint Protection以其卓越的防护性能和高端层次的实时保护,在市场上独占鳌头。相比于早期的一体化解决方案,其优势显著提升。尤其值得一提的是,自1999年起,赛门铁克作为连续获得超过40次VB100奖项的供应商,证明了其在技术实力上的持续领先。在Gartner的评估中,Symantec Endpoint Protection一贯保持着行业领导者地位,引领着安全防护的前沿趋势。
1. 终端防护平台魔力象限图
Source:Garlncr (于2010年12月)
Symantec Endpoint Protection依托赛门铁克全球情报网络的支持,这一集成服务凭借其丰富的信息资源,助力客户有效降低安全风险、增强法规遵从,并提升整体防护能力。全球、行业及本地的最新威胁与袭击动态,由赛门铁克全球情报服务悉数洞察,促使企业能够积极应对新兴威胁。通过无缝融合威胁预警与赛门铁克托管安全服务,全球情报服务能实现实时监控企业内部的所有恶意活动,有力保障关键信息资产的安全。
(2)主动威胁防护技术
尽管特征匹配和信誉评估的文件及网络扫描方法有效应对了基本防护需求,但为了抵御日益增长的隐蔽性攻击和未知威胁,主动威胁防护技术不可或缺。
Symantec Endpoint Protection整合了先进的Proactive Threat Scan功能,这是一种主动威胁防护技术,旨在防范利用既知漏洞的多变恶意行为以及全新的未知威胁。其独有的一项主机入侵防御特性赋予企业抵御未知或零日威胁的能力,通过分析执行中的进程行为来实施启发式威胁检测策略。相较于许多基于主机的入侵防止系统(IPS),它们往往过于保守,仅凭预设的‘不良行为’判断,可能导致合法应用被误判为威胁,进而影响用户工作效率并给管理员带来困扰。然而,Proactive Threat Scan通过精确记录应用程序的正常与异常行为,降低了误报的发生,使得企业能够有效探测那些常规特征检测难以察觉的潜在威胁。
(3)网络威胁防护
确保端点网络安全是抵御混合型威胁并遏制突发状况的关键策略。为了保障其效能,单一的防火墙措施已不再足够,理想的防护体系应当整合多元化的高级防护技术,其中包括入侵防御系统的集成以及精细的网络通信管理功能。
随着威胁态势的演变,安全议题的核心转向了:在何处有效部署防护,以抵御日益复杂的攻击。鉴于移动办公的趋势使企业边界不再局限,端点如今成为恶意活动首要的渗透入口。威胁通常首先在外部网络的笔记本电脑上启动,随后随着设备接入内部网络,风险迅速扩散至其他端点。因此,端点防火墙的作用愈发关键,它能够防范内外部的侵入,同时也能阻止初始感染的端点向外传播潜在威胁。
Symantec Endpoint Protection通过整合卓越的防火墙解决方案,集成了赛门铁克传统客户端防火墙与Sygate防火墙的核心优势,具备全面的端点安全保障特性。其功能涵盖如下要点:
基于规则的防火墙引擎
系统预设的病毒防护、反恶意软件扫描与个人防火墙功能核查
防火墙规则,根据应用程序类型、主机配置、服务需求及时间维度进行设定。
全面集成TCP/IP协议支持,包括TCP、UDP、ICMP以及原始IP协议
用于允许或禁止网络协议支持的选项,包括以太网、令牌环、IPX/SPX、AppleTalk和NetBEUI
阻止VMware和WinPcap等协议驱动程序的功能
特定于适配器的规则
检查加密和明文网络通信的功能
主动威胁防御通过拦截数据包、管控数据流进入入侵防御系统(IPS),以及实施定制IPS特征阻断策略,有效防止了通用漏洞利用行为。
网络准入控制的自我实施
(4)入侵防御
作为网络安全防护的关键手段,基于漏洞的入侵防御系统在抵御基于通用特征和漏洞的攻击中发挥着尤为重要的作用。它能够凭借单一特征,有效遏制住成百上千种潜在的漏洞利用行为,从而在网络层面上实施预先防范,防止攻击深入至终端设备。
尽管传统入侵预防系统(IPS)在识别特定已知漏洞利用方面具备功效,但它们对于抵御当前威胁形势中广泛多样的漏洞变种显得力有未逮。根据互联网安全威胁报告第十一卷的数据,操作系统和应用程序供应商平均需要大约47天的时间来开发并发布对应公开漏洞的补丁。这段期间内,针对尚未公开漏洞的攻击行为,即所谓的零日攻击,往往成为显著威胁。一旦首次漏洞攻击被察觉,IPS供应商通常会在数小时内发布相应的签名,以应对利用特定漏洞的后续攻击威胁。
面对熟练攻击者的频繁攻势,早期的漏洞利用行为在特征公开前可能导致企业遭受重大经济损失。即使漏洞利用特征已被公布,对于多态或自我演变的漏洞变种,这些被动的反应性策略显得无能为力。此外,基于漏洞利用的防御手段对于未被发现或未报告的潜在威胁,如定向于特定公司的隐秘漏洞利用,往往难以察觉。因此,为了有效对抗新型、变异的威胁,有必要采取更为积极主动的基于漏洞的入侵预防系统(IPS)策略。
尽管漏洞特征检测限于特定漏洞利用,但Symantec Endpoint Protection具备进阶功能,它不仅能够识别针对单一漏洞的针对性攻击,而且还能够识别针对同一漏洞所有可能利用手法的尝试。
一般漏洞利用的防范措施(GEB):依托于常规特性与基于漏洞的入侵预防系统(IPS)。每当操作系统或应用开发商揭示可能对企事业单位构成重大威胁的新漏洞时,赛门铁克的技术专家会对漏洞特性进行深入剖析。基于这些分析结果,他们提炼并公开一般性特征,以此预先守护企业的安全防线,防止漏洞被恶意利用。
入侵防御系统凭借其漏洞基础策略展现出显著效能,单一漏洞描述能够抵御众多威胁,包括但不限于数百乃至数千种(详情请参阅相关表格)。其工作原理通过识别漏洞特征与行为模式,使得它不仅对已知威胁构成保护,还能防御潜在的未知或未被开发的威胁,具有高度的灵活性和适应性。
针对特定行业或企业的漏洞利用,基于漏洞的防护策略具有防御效果。这类定向攻击往往更为隐秘,其目的是在窃取敏感信息时不被察觉,并能有效消除自身在系统中的踪迹。由于此类有针对性的漏洞利用行为在造成实际损害前难以被预知,其特征难以归纳。然而,基于漏洞的防护机制能够识别出潜在的定向攻击所瞄准的高级漏洞特征,从而实现对漏洞利用的侦测与阻断。
在Symantec Endpoint Protection中,端点安全代理凭借其网络层的漏洞基础防护机制,有效抵御未知漏洞攻击及变体的侵入,进而保护终端免受感染。由于这些威胁无法触及终端,因此不会导致损害,无需后续的修复措施。
Symantec Endpoint Protection赋予管理员个性化入侵防御特征的能力,使其能够依据独特的环境和定制应用需求,制定规则基础的特性。这些特性可精细到阻止特定操作,甚至更为复杂的行为。通过此工具,管理员得以在操作系统或应用供应商发布针对已知漏洞的补丁之前,主动掌控终端的安全防护,实现全方位的管理控制。
(5)设备和应用程序控制
Symantec Endpoint Protection整合了全面的设备及应用程序管控功能,旨在协助管理员实施严格的策略,对潜在高风险的设备与应用程序操作实施阻断。通过地理位置权限管理,企业能够依据员工位置定制特定操作的限制。设备管控技术允许管理员精准设定,例如,能够锁定终端,禁用外部存储如移动硬盘、光盘刻录机、打印机或任何USB设备接入系统,从而有效防止敏感信息的非授权外泄。
该功能的有效禁用旨在阻断端点遭受包括但不限于上述设备在内的外部威胁的病毒侵袭。应用程序管控技术赋予管理员精细权限,能根据用户和其它应用,实施对特定操作流程、文件与文件夹的访问管理。它涵盖应用程序审计、流程控制、文件及注册表存取权限管理、模块和DLL操控等多方面。若管理员需对疑似可疑或风险较高的操作行为进行严格限制,可利用这一高级功能进行定制设置。
(6)支持网络准入控制
Symantec Endpoint Protection内置了端点安全代理功能,支持网络准入控制。此特性得益于其预集成的网络准入控制技术,只需通过获取Symantec Network Access Control的相关许可证,即可轻松激活。因此,在部署Symantec Endpoint Protection后,用户无需额外在终端设备上安装其他代理软件,即可实现网络准入控制功能的无缝应用。
启用网络准入控制,通过购买额外许可证得以实现,该系统有效管控对公司的网络访问,执行端点安全策略,并能无缝融入既有的网络架构。无论端点以何种连接方式接入,Symantec Network Access Control都能精准识别并评估其合规性,动态分配网络访问权限,提供自动修复功能,并持续监控端点以确保合规状况的稳定性。此外,管理员可以通过统一的管理控制台轻松管理Symantec EndpointProtection和Symantec Network Access Control的所有功能,以实现管理流程的简化和效率提升。
第4章 全面部署策略
4.1架构部署策略
(1)部署两台SEP管理服务器(以下简称SEPM),以及一台LiveupdateAdministrator(以下简称LUA)服务器,目的在于:
SEP服务器系统负责对总公司范围内的SEP客户端实施集中管理。配置有两台SEPM服务器,其中一台作为主管理服务器,承载着SQL Server数据库的管理职责;另一台作为备份管理服务器,旨在实现负载均衡功能。
病毒定义的更新服务由LUA服务器执行,总公司LUA服务器担当向总公司SEP服务器以及各省级分公司LUA服务器推送病毒定义更新的角色。
(2)针对可能存在的分级部署需求,我们建议在各分公司内部设立单独的SEP管理服务器和LUA服务器,它们的主要职能分别为:
SEP服务器负责对各省级分公司的SEP客户端实施有效管理。
LUA服务器担当着向各省级分公司SEP管理服务器以及各地市级分公司SEP管理服务器推送病毒定义更新的重要职责。
4.2系统功能组件详解
防病毒软件管理系统包括两部分组件:
口策略管理服务器
策略服务器作为终端安全标准化管理的核心,负责执行所有安全策略及准入控制规则的配置与监督。管理员通过控制台界面,能够便捷地创建、管理各类策略,分配给相应的代理,并查阅日志以及生成端点安全活动报告。凭借图形化展示、集中化的日志记录和阈值预警功能,它提供了全面的端点可见性。统一控制台的集成设计简化了端点安全管理工作流程,集成了软件更新、策略更新和报告生成等关键功能。
策略管理服务器可以完成以下任务:
·终端分组与权限管理;
实现终端的差异化管理,依据地理位置及业务特性等因素进行分类,针对各组设定专属的管理员,同时实施精细的权限控制策略。
·策略管理与发布;
以下是涵盖的各项策略: - 自动防护机制 - 手动扫描操作策略 - 病毒与木马防范措施 - 恶意脚本防护策略 - 邮件防护(涵盖Outlook、Lotus及互联网邮件)安全策略 - 广告软件防护策略 - 前瞻性威胁预警与防御策略 - 防火墙设置与管理 - 入侵防御系统策略 - 硬件层面的保护措施 - 软件保护方案 - 定期升级维护策略 - 主机完整性监控与保障
·安全内容更新下发
安全要素的更新涵盖病毒库的界定、防火墙策略的设定、入侵防御配置以及主动威胁防护条例等多个方面。
·日志收集和报表呈现
支持自动生成多样化报告,涵盖以下类别: - 风险分析报告(依据服务器群组、父服务器、客户端组、计算机、IP地址及用户名追踪潜在感染源,详列当前环境中的高风险点,并按风险类型细分) - 计算机运行状况报告(内容包括产品分发详情、版本列表以及未受管控的客户端清单) - 扫描结果报告 - 审计日志报告 - 软件与硬件控制报告 - 网络威胁防御报告 - 系统性能报告 - 安全合规性报告 同时,强制实施服务器管理和策略部署
实现对服务器、网关及强制设备的统一管理与策略配置
·终端代理安装包的维护和升级;
终端客户端
为了全面保障企业网络的安全,终端安全管理系统需在所有终端设备上实施安全代理软件的部署。作为网络安全策略的核心执行者,安全代理被安装在每个终端计算机的系统中,其主要职责在于实现端点防护与准入控制的功能。
端点保护功能包括:
保护系统安全:涵盖病毒防护、间谍软件防范及rootkit阻击功能。
1. 网络安全防御措施:集成了一套基于规则的防火墙引擎与通用漏洞利用防护功能(GEB),旨在于恶意软件入侵系统之前实施有效的预先拦截机制。
一、主动威胁防护:专为无形之敌(零日威胁)设防,实施特征无关的主动扫描策略。
4.3提升病毒特征识别能力
4.3.1初建后防病毒系统首次升级规划
防病毒系统在建设完成后第一次升级占用带宽较大,一般需要升级
左右的软件更新和病毒定义升级,如果在广域链路上进行并发更新容易造成链路拥塞,在这种情况下可考虑采用以下办法予以避免:
针对山西农信定制的软件安装包,我们将确保其内置最新病毒定义,如防病毒服务器安装完毕后,将立即进行手动库升级操作。
客户端的手动防病毒定义升级操作原则上被限制进行。
4.3.2高效运维升级策略
防病毒系统经过初次升级进入到日常运维状态,后期的防病毒定义更新包一般很小
不等),在运维状态下自动化的病毒定义更新是非常必要的。
自动化病毒定义的定期更新在运维阶段显得尤为关键。
针对山西农信数据中心的SEPM系统,首要步骤是提升其病毒防护能力,包括更新病毒定义文件、扫描引擎及其特征库(即漏洞特征库与攻击特征库),以及强化安全规则,尤其是防火墙策略。这涉及从互联网上获取防病毒产品的最新病毒定义码和扫描引擎的升级服务。
通常情况下,我们设定每日凌晨进行一次升级,以尽量减少对广域网络带宽的冲击。然而,在遭遇突发病毒事件或面对高级别的病毒威胁时,我们会实施即时的病毒定义更新与下发策略。
通过实施这一升级策略,旨在实现如下双重效益:首先,确保山西农信网络内病毒定义码与扫描引擎的同步更新得以有效维持;其次,通过自动化过程完成网络的全局升级,消除了因人为疏忽导致部分设备或孤立网络未能及时获取最新病毒防护规格的风险,同时防止了下属单位各自独立上网进行更新可能引发的不便和潜在安全威胁。
4.3.3Symantec病毒定义升级频率
赛门铁克公司通常在官方网站上每日提供病毒定义码,供防病毒系统自动更新(一般情况下每日更新三次;遇到高危病毒爆发时,更新频率将显著增加)
4.4宽带性能对网络性能的影响分析
服务器与客户端之间策略通信流量,取决于管理员配置的操作系统保护策略的复杂程度,一个正常的策略文件在20K—80K之间变化,加密压缩后实际传输大校在5K—10K左右。以500台终端(一个分支机构的终端通常少于500台)为例,在一次心跳时间(一小时)内发生的实际流量为
,每秒服务器的策略下载流量为5M/(3600s)=1.4Kbyte,需要占用带宽为11.2Kbps。事实上,策略更新仅在策略发生变化时发起,平时带宽占用可以忽略不计。
日志通信流在服务器与客户端之间传输,原定客户端日志限制为512KB。每一次上传记录的是自最近一次与服务器交互以来产生的所有日志。通常情况下,客户端在工作日内产生的日志数量大约为20至200条(受网络安全事件发生频率的影响),我们以每心跳周期最多生成200条日志作为计算基准。这200条压缩后的日志大小约为20KB。在每次心跳期间,服务器接收的流量规模为500个用户乘以20KB,总计1MB,即每秒流量为1MB/3600秒=约2.78KB/s,占用的带宽需求约为22Kbps。这一流量对现有的网络带宽影响微乎其微。
服务器与客户端的安全资料频繁更新,尽管采取了增量更新技术,每次传输的数据包仍维持在大约200千字节。针对远程分支机构的终端设备,我们推荐利用管理系统中的'群体升级'功能进行更新,以减少对广域网带宽的需求。在这种模式下,策略服务器允许终端从预设的地理位置邻近的'群体升级'终端获取病毒定义等安全内容的更新下载。一旦一个终端完成了内容更新,其他终端不再需要直接连接到地市二级服务器,而是可以从已更新的终端那里获取所需的内容更新,从而简化流程。
4.5安全策略详细规划
4.5.1权限管理方案
针对山西农信的实际需求,我们将设立一个特定的域管理员账户。对于系统的一般维护任务,例如策略备份与还原、系统站点的重新安装,此类操作的权限要求仅为服务器操作系统管理员权限即可满足。
4.5.2定制化客户端管理方案
计算机系统下的默认配置包含一个临时组,除此之外,新增设了四个专门的功能组:特权组、隔离组、维护组以及测试组。这些组别主要用于执行策略实验与对非常规计算机环境的临时性管理工作。
可以增设普通用户群体,常规计算机设备主要归并于此类组别;组别的划分可根据地理位置、部门归属、职能特性、设备类型或应用场景进行。在设计时,我们倾向于维持组织结构的扁平化原则。
4.5.3全面的数据保护与维护措施
设计并实施一套高效的战略备份调度方案,以便在服务器遭遇软硬件故障时能迅速恢复系统的正常运行。
规划数据库事务日志的维护策略,确保其不会无节制地增长,超出硬盘存储容量,从而保障系统的正常运行。
4.5.4强化安全保障措施
防病毒策略
病毒定义码的定期更新计划:防病毒管理服务器维护
·防病毒客户端的病毒定义码更新时间规划
实时防护设置详解:病毒检测类型、操作应对策略与报警机制的配置
·防病毒客户端的日志记录时间设置
·防病毒客户端的隔离区参数设置
·防病毒客户端的篡改选项设置
客户端的防病毒功能调度扫描配置详情,涵盖扫描类型及对应病毒的处置策略
口防火墙策略
该策略库内包含两个精心设计的模板,分别是隔离区策略与内网限制策略,涵盖了多个相关策略内容。
优化应用程序权限:实施措施限制非工作相关应用的运行。
受限制的恶意软件清单:屏蔽已知的严重病毒、特洛伊木马及有害程序
·禁止拨号和无线网络连接:防止非法外连
互联网网址访问控制策略:确保隔离与公网络IP地址的通信
操作系统防护策略
·设备禁用示例
USB存储设备只读
防止USB木马传播
·防止IE加载恶意插件示例
·禁止程序运行示例
·注册表键保护示例
·文件修改审计示例
口主机完整性策略
·防病毒软件的安装与运行检测规则
·分发防病毒软件示例
●补丁检查策略
√分发补丁示例
√卸载指定补丁示例
·安全加固设置
实施对SANtop10所列漏洞的详细核查与修复措施
√针对IIS漏洞的检查及修复
互联网浏览器漏洞的检测与修复策略
√其他常见服务和应用的漏洞
√常见系统设置弱点
√禁止匿名访问
√禁止空连接
·统一桌面管理设置
√统一墙纸
√统一屏保
√IE主页设置
√IE代理设置
√IE安全级别设置
Registry tool
√添加删除程序限制
√禁止更改IP设置
京公网安备 11010802045440号
