网络安全系统解决方案
招标编号:****
投标单位名称:****
授权代表:****
投标日期:****
第1章 最新恶意代码动态分析
当前终端所面临的严峻挑战已超越传统病毒,转向更为复杂的恶意代码(涵盖广义病毒范畴)。深入研究恶意代码的发展动态,有助于我们提升病毒防护系统的构建能力,不断优化现有的安全防护策略,从而确保终端安全目标的达成。
前所未见的恶意代码威胁
当前终端安全面临的核心挑战在于,日益增多的未知、新型恶意代码构成严重威胁。这种剧增的未知威胁,主要是由于恶意代码家族中频繁出现大量的变体。攻击者倾向于迭代现有代码,生成新变种,而非从零开始创制,这在诸如熊猫烧香、Flamer等系列中得到了充分展示,其变体数量众多。
恶意代码作者采用多元化的手段生成新型变体,包括代码变形、功能革新和运行时包装工具,旨在规避防病毒软件的侦测。回顾过往,大规模的蠕虫(如红色代码、冲击波)爆发曾显示,恶意代码凭借简洁的构造就能迅速感染众多系统。如今,攻击策略愈发侧重于定向攻击和更为巧妙的感染途径。因此,越来越多的攻击者倾向于运用多态技术的复杂策略,以遁避常规的检测机制,增强其传播效率。这种多态病毒在自我复制过程中能变换字节序列,从而巧妙地避开基于简单字符串扫描的防病毒防护手段。
特洛伊木马
特洛伊木马程序特性在于,尽管不具备自我复制能力,却能对主机安全构成潜在威胁。这些程序常常伪装为具有一定功能的应用,诱使用户下载并执行,实则隐藏了恶意代码。它们可能以看似合法的软件形式从多个源头获取,或者作为未经防护的用户的电子邮件附件进行传播。
据统计,特洛伊木马的植入主要源于恶意网站,它们通过利用浏览器存在的漏洞得以侵入。这些漏洞使得恶意代码作者得以下载并激活特洛伊木马程序,而且往往无需显著的用户干预。当用户不慎浏览包含恶意内容的网络页面,尤其是在使用Microsoft Internet Explorer时,特洛伊木马会借助浏览器内置的多客户端漏洞植入用户系统。一旦安装完成,这些恶意软件会窃取用户的敏感信息,如网站身份验证凭证,并将它们转发给远程攻击者。部分新型特洛伊木马更进一步,还能从被感染的系统中盗取诸如网上银行密码等特定数据。
广告软件/流氓软件
终端用户遭遇的广告软件/流氓软件的几率越来越高,广告软件可执行多种操作,其中包括显示弹出式广告、将用户重引导至色情网站、修改浏览器设置,如默认主页设置以及监视用户的上网活动以显示目标广告。其影响范围包括单纯的用户骚扰、隐私权侵犯等。Adware的影响因其固有的特点而难以量化。但这并不意味着它们不是安全问题。最严重的影响可能是大范围破坏个别最终用户系统的完整性。包括:性能下降、浏览器故障、系统频繁死机等。
混合型威胁
混合型威胁采用多元化的手段与技术进行扩散,集成了病毒、蠕虫及特洛伊木马等恶意软件的特性。这类威胁在无需或只需轻微人为干预的情况下,能迅速对大量系统实施感染,导致广泛且快速的损害。其多渠道的传播策略使其能够灵活地规避组织的安全防护,同时引发系统资源过度负载和网络带宽耗尽的现象。
第2章 创新的病毒防护策略
2.1深入探讨特征驱动的防病毒策略
长期以来,传统的混合型威胁应对策略主要依赖于快速捕捉病毒样本,即刻分析其特征并立即部署防护措施,期望能迅速遏制病毒扩散。然而,这种方法在近年来显得日益不足,尤其面临诸如冲击波、Slammer、Netsky、熊猫烧香、Flamer等病毒的影响时。这些事件凸显了基于特征识别的被动式病毒响应在面对病毒快速进化中的局限性。这既源于病毒的持续加速发展,也在于传统防病毒技术采用的被动监控模式在对抗新型威胁时显得力有未逮。
然而,对于被动的病毒应对策略,其效能逐渐显得捉襟见肘。根据Symantec公司的统计数据,该图表揭示了过去十余年间病毒爆发速率与特征响应速度的关系,并对比了近年来的演变态势。
图1:混合型病毒感染与病毒特性反应对照图表
此图表通过图形呈现计算机病毒与混合威胁的动态演变,以复制速度(以蓝色线条从左上角延伸至右下角)揭示了威胁的增长轨迹,同时以响应速度(红色线条,从左下角向右上角攀升)象征病毒技术的演进历程。时间跨度定为1990年至2005年,坐标轴采用统一的年份刻度。纵轴区分两个维度:左侧(以蓝色文本标识)代表恶意病毒发展至显著感染(即已侵入大量易受攻击的计算机)所需的时间;右侧则展示了识别和描述病毒特征的时间尺度。
根据上图解析,针对瞬息万变的超速混合威胁,其传播速度及对主机全面感染的实现往往远超人工或自动化系统生成并部署病毒特征的速率。在这种情势下,传统的基于病毒特征的防护手段显得力不从心。由于特征响应的滞后,每次混合型病毒的突发往往会带来重大的损失,如近期的冲击波和震荡波事件已初见端倪,这种后果是绝对不可容忍的。
2.2防病毒产品传统应用效能评估
在抵御新型终端安全威胁时,传统单一的防病毒产品常常表现出力不从心,这主要源于其局限性。
基于特征的病毒定义滞后性
尽管防病毒技术不断进步,涵盖启发式扫描与智能检测等诸多创新,但当前的防病毒产品主要依赖基于特征的病毒扫描方法。具体而言,每当新型病毒浮现,防病毒供应商会通过多种途径搜集样本,随后经由自动化或专家剖析,提取出病毒的特征码。这些特征码随后被发布,供用户选择手动或定期自动下载更新。只有这样,用户才能有效抵御这类新病毒的威胁。
无可否认,特征依赖的病毒定义更新存在一定的滞后效应,具体表现为:
新病毒的不断涌现导致病毒定义未能及时跟上,而当前病毒变异的迅速且频繁特性,无疑加重了这一滞后现象所引发的风险与挑战。
用户的病毒库定义未能及时同步厂商的最新版本,主要源于用户的定期自动更新机制可能存在问题,部分用户因各种因素导致病毒定义升级不畅,从而形成了与最新病毒定义的时间差距。
区域性恶意代码增加了样本收集的难度
当前恶意代码,以特洛伊木马为例,其显著特征在于高度针对性和地域性。它们通常锁定特定用户群体,甚至可能只对特定地区或类型的用户构成威胁。由于这种目标定位的特性,攻击行为往往针对较小的受众,从而不易察觉,也较少被防病毒供应商察觉并分析。
若防病毒供应商未能及时获取最新的病毒样本,其对于此类木马的防护功能将相应削弱。
单纯的防病毒技术无法应对混合型威胁
混合型威胁巧妙融合了病毒扩散与黑客入侵的手段,通过多元途径实施传播与打击。无需人为介入,它能自主探测并利用系统的薄弱环节,进而对存在漏洞的计算机进行自我扩散和攻击。随着病毒愈发倾向于自动针对操作系统或特定应用软件的漏洞发起攻势,尤其是在漏洞未经修补(未安装补丁)的情形下,可能导致病毒持续性感染。单纯的病毒防护已无法有效应对此类新型威胁事件。
复杂的病毒查杀技术与性能需求
针对新型恶意代码,其采用了一系列高级的反侦查与清除策略,其中包括先前阐述的多态性病毒和复杂的Rootkit技术。与传统恶意代码相比较,识别和应对这种复杂多变的威胁,对技术手段提出了更高的要求。这涉及到加密逻辑的精细设计、统计分析的精准实施,以及代码模拟和数据驱动引擎的创新构建。因此,对于开发有效的检测和消除解决方案,需要资深分析师的专业技能。在防护措施上,这无疑会占用终端系统更为可观的资源。在实际测试环境中,诸如防病毒软件的内存占用量通常在50兆到60兆字节之间,对于内存资源有限,如低于256兆的老旧设备,这可能会显著影响系统的运行效率。在一些情况下,终端用户出于性能考量,可能牺牲安全性,从而削弱了整个防病毒体系的整体效能。
2.3体系化的技术与服务提升
经实践验证,一个全面且高效的终端安全体系涵盖技术、管理和服务三个关键维度。其中,病毒防治技术的部署与执行扮演着至关重要的角色,致力于守护用户的个人设备免受广泛病毒及攻击的侵扰。
传统的病毒防护策略主要依赖技术手段,然而单纯的技术措施具有其局限性,因此期待单一防病毒软件能应对所有病毒威胁并不切实际。对于大型企业如中国保险行业协会,其实质性的防病毒管理需求往往超越单纯的病毒查杀能力,只有实现全网络的统一病毒防治管理,即使是最强大的防病毒软件也无法充分发挥效能。
我们尤为强调‘服务’的核心价值,这一观点源于一个共识:当前尚无单一的防病毒厂商能实现对所有已知及未知病毒的即时精准查杀。因此,服务被视为产品功能的有效补充。
产品的综合性能和服务的配套保障,从根本上确保了病毒防护的稳固可信。以下是详细的分解说明:
2.3.1前沿防御策略
通过对新型恶意软件发展趋势及传统病毒防护产品特性的深入剖析,显而易见,传统防病毒技术主要依赖于被动追踪策略。在病毒爆发时,它首先捕捉样本,紧接着生成病毒特征并迅速部署,寄希望于能迅速消除病毒并阻止威胁扩散。然而,这种被动防御模式难以适应新型恶意软件的演变挑战。
以此为依据,应构建一个全面、可扩展且具备抵御能力的网络安全体系,立足于‘主动防御’的理念。相较于被动的病毒应对策略,主动式防御技术能够在新型恶意软件浮现前预先设立防护屏障,静候潜在威胁,从而有效防止其带来的损害。‘主动防御’的关键要素体现在以下几个方面:
信誉度技术
Symantec凭借其全球社区内数百万用户的广泛参与以及全球情报网络的支持,积累了丰富的文件相关信息。这些信息构建了Symantec的核心信誉数据库。其产品借助这一宝贵资源,有效地防护客户端设备,抵御新兴威胁、定向攻击及变种威胁的侵扰。有时,这部分数据亦被称作‘实时防护知识库’。
得益于云架构,数据无需在客户端计算机上存储。客户端通过向信誉数据库发送请求或查询,有效规避了传统基于特征码的防病毒方法可能存在的检测滞后问题。它实现了对Symantec全球防病毒云计算网络的依赖,从而实时保护系统免受病毒和恶意软件的侵害。
Symantec依托先进的'智能扫描'技术,对每个文件进行风险评估并赋予其相应的'安全级别'。这项技术通过对文件及其周边环境的特征进行深度分析来划定安全等级,具体特征包括:
■文件的源
■文件的新旧程度
■文件在社区中的常用程度
评估文件的安全性指标,包括其潜在与恶意软件的相关性
在Symantec Endpoint Protection 12.1中,其扫描功能凭借智能扫描技术对文件和应用程序进行智能评估与决策。
基于应用程序的防火墙技术
个人防火墙通过程序设定或识别通讯特性,实施精确的进出权限控制,包括禁止或允许特定端口和协议的使用。其应用一方面能抵御病毒借助系统漏洞的入侵,更为关键的是,它能有效切断病毒的传播途径。
以 Spybot 病毒在去年的广泛爆发为例,该病毒巧妙地利用了微软系统的多项漏洞及应用程序的缝隙。企业可以通过及时且集中地封锁那些尚待修复的终端服务端口,从而有效防止该病毒侵入设备,即使在终端补丁安装尚未完成的状况下也能实施这一策略。
以Arp木马为例,通常情况下,Arp请求和响应包由ndisiuo.sys驱动程序正常生成。然而,arp病毒或恶意arp攻击常常借助非官方驱动篡改arp数据包。防火墙策略应设置为仅允许ndisiuo.sys驱动(协议号0x806)发送Arp数据包,其他所有情况则予以封锁。这样,即使在未更新病毒库的情况下,也能实现对病毒的有效拦截与防护。
防火墙的统一部署不仅能够有效应对各种安全挑战,而且作为企业实施安全策略的关键手段,它能确保诸如突发病毒攻击时,对防火墙相关端口的适时开放与关闭操作得以精准执行。
具备通用漏洞阻截技术的入侵防护
通用漏洞利用防御策略基于一个核心理念:如同唯有匹配的钥匙才能开启锁具,只有具备特定‘形态’的复合型病毒方能利用漏洞发起攻击。通过对锁芯内部结构的深入分析,我们能够推断出开启它的钥匙所需的关键特性,无需实物钥匙在手。同样,在新漏洞曝光时,研究员会解析其特有的‘形态’特征,即描述那些通过网络流入目标计算机并利用漏洞侵入的攻击数据的特征。通过对比这些‘形态’特征,我们可以识别并拦截具有明显此类特征的任何威胁,例如蠕虫类攻击。
在2003年7月Microsoft RPC漏洞公开之际,赛门铁克凭借其通用漏洞利用研究能力,开发出了针对这一漏洞的通用特征。紧接着,约一个月后,冲击波蠕虫利用这一漏洞发起大规模入侵并迅速扩散。得益于预先编写的特征,Symantec得以在网络安全环境中迅速识别出冲击波蠕虫,并即时实施阻截措施。
在探讨恶意软件扩散途径的部分,我们指出其主要借助IE浏览器的脆弱性进行传播。当用户不慎访问潜在威胁的网站时,攻击者能借助IE漏洞在用户的设备上隐秘地植入木马或广告/恶意软件。尽管恶意软件变异形式众多,但实际利用的IE漏洞种类相对有限。赛门铁克凭借通用漏洞分析技术,预先构建了一套针对这些漏洞的通用特征。任何企图利用这些漏洞进行安装的恶意软件,必须具备特定的特征模式。赛门铁克的特征库能够识别并拦截这种模式,有效地防止其在用户终端的安装,无需事后再紧急应对未知病毒样本,从而实现了源头上的防范。
应用程序控制技术
系统采用应用程序行为监控机制,实现实时追踪各类程序活动。任何与预设恶意行为特征相吻合的举动,系统能即时实施拦截,确保安全防护的有效执行。
针对熊猫烧香这一实例,被动防御手段要求实时捕捉每个新变种样本,以便定制针对性的病毒签名。然而,熊猫烧香的传播与激活模式具有显著的行为特性。其主要的传播途径是通过USB闪存驱动器,利用操作系统在接入时自动加载根目录下的autorun.inf文件,从而触发病毒程序。为了遏制此类行为,SEP系统的防护措施能够限制对根目录下autorun.inf文件的读写权限。特别是,当检测到感染终端试图向移动设备写入可疑文件时,系统会立即中断病毒进程并向管理员发出警报。
以下通过电子邮件行为拦截技术的应用进行阐述。通常,电子邮件蠕虫的操作机制表现为:蠕虫会创建一封包含自身副本的新邮件,将其发送至电子邮件服务器,进而转发至目标计算机。在这种情况下,赛门铁克防病毒软件装备了行为阻截功能后,会对计算机的所有外出电子邮件进行实时监控。在用户试图发送邮件时,软件会对邮件及其附件进行检查。若发现附件,防毒软件会解码并对比附件代码与其引发邮件发送的应用程序。常规的电子邮件工具如Outlook允许发送文件附件,但从不附带可执行文件的自我复制版本。只有蠕虫才会在邮件中包含自身副本。一旦检测到附件与发送程序高度相似,防病毒软件便会立即阻止传输,从而中断蠕虫的生命周期。这一技术表现出色,无需等待捕获样本,已成功实现实时阻截多起快速扩散的蠕虫,例如近期的Sobig、Novarg和MyDoom等案例。
该技术通过基于行为的恶意软件拦截机制,能够锁定浏览器设置如IE,以及关键系统区域如注册表和系统目录。任何企图篡改这些设置的木马或恶软件都将被阻止。因此,即使用户不慎下载了不明来源的恶意软件,也无法在终端设备上实现常规安装和运行。这种基于行为的防护策略具有显著效果,无需先捕获恶意样本,即可实时、高效地抵御诸如熊猫烧香、威金等常见蠕虫病毒的侵袭,实现零时间响应。
通过集中式的策略部署与管理,无需终端用户的直接操作,从而降低了对高级病毒防护技能的需求。此外,基于行为规则的防护方法在主机系统环境中尤为契合,鉴于主机系统的应用专一且管理精细,这种以行为规则为基础的防护手段有效地补充了传统防病毒技术的局限性。
前瞻性威胁扫描
主动预警扫描:一种革新性防护策略 该策略采用基于行为分析的Proactive Threat Scan技术,旨在防御包括已知漏洞变异及新兴威胁在内的潜在风险。它区别于传统的基于主机的入侵预防系统(IPS),后者往往局限在识别预定义的‘恶意行为’,从而可能导致合法操作被误判为威胁,导致工作效率降低,技术人员面临繁重的误报甄别任务。相比之下,Proactive Threat Scan通过对应用程序的正常活动与异常行为进行全面监控,实现了更为精准的威胁识别,显著减少了误报的发生。这种前瞻性的威胁扫描能力使得企业得以侦测那些常规特征检测难以触及的未知威胁,提升整体网络安全防护效能。
终端系统加固
终端安全的基础保障首先在于终端自身的强化措施,如定期安装补丁、提升口令复杂度。值得注意的是,如果终端的口令缺失或关键安全补丁不足,即便防护技术再卓越,也难以免疫潜在的攻击与病毒侵袭。为了防止单一软件系统的漏洞对企业整体网络安全构成威胁,企业安全管理策略应着重强化补丁更新和系统安全设置的管理,以维护网络系统的全面安全。
优化建议:实行企业网络终端的统一补丁升级与系统配置管理,具体包括设定终端补丁下载和升级规则,强化终端系统的安全配置策略,并通过代理在各设备上自动执行。这样能确保终端系统的补丁更新和安全配置的完整有效性,整个管理流程自动化,对终端用户而言无缝对接,降低了用户的操作负担,同时减少了企业网络的安全隐患。此举旨在提升网络整体的补丁升级和安全配置管理效率,确保相关策略的有效实施。
针对虚拟化和云设计
随着虚拟化和云计算的日益普及与深化,终端防护的防病毒软件必须适应虚拟环境的需求,其核心特性包括:
针对
、Citrix和Microsoft虚拟环境而优化
易于管理的物理和虚拟客户端
在确保全面安全性的前提下,我们优化了虚拟化和云平台下的性能与密度,实现了效能与密集度的最大提升。
在虚拟化河运平台下最出色的性能和安全性
基于特征的病毒防护技术
最终,传统的病毒防护技术充其量作为主动防御的有益补充,主要职责在于抵御已知病毒,而对于已遭受感染的设备,它还需执行自动清理和恢复功能。
总结而言,尽管单一的防病毒产品仅实现了基于特征的病毒防护性能,要想有效抵御当前的恶意代码威胁,势必要结合运用主动防御策略。
2.3.2服务层面
企业防御病毒入侵,通过构建网络防病毒系统,实则是技术对抗与人员策略对决的动态过程。在网络环境中,尽管防病毒产品的部署初步构筑了防护屏障,但鉴于攻击者通常占据主动,单纯的产品并不能确保实质性的安全。关键在于对产品的有效管理、策略配置的精确执行,以及对网络安全态势的持续关注,需随时响应变化,适时调整安全策略,强化系统防护。唯有融合并运用防病毒安全服务,才能推动企业防病毒体系及整体安全迈向新的战略高度。
该防病毒供应商的主要服务内容涵盖两大部分:
病毒预警服务
XXX的企业病毒防控体系依托于严谨的预警服务流程,该流程旨在对新型病毒进行预先通报、警示与防范。它为管理员提供了关键信息和预警,促使企业在病毒侵入企业范围或大规模扩散前采取应对措施,有效抵御攻击,从而减少病毒事件的发生,降低其潜在影响。
突发病毒应急响应服务
面对由未知病毒引发的网络服务中断,且常规防病毒客户端无法应对或虽能识别却无力隔离与彻底消除的情况,此时迫切需要防病毒服务在限定时间内提供有效的解决方案。
用户可选择提交病毒样本或申请现场技术支持,以便防病毒厂商提供援助,从而有效防止病毒的广泛传播。
第3章 专业的产品选择建议
鉴于上述防病毒系统的设计理念,我们倾向于推荐Symantec Endpoint Protection 12.1作为终端防护软件的优选方案。
3.1SEP12详细组件特性与功能解析
SEP12主要功能模块如下:
(1)防病毒和反间谍软件
一般的防病毒和反间谍软件策略主要依赖于传统的扫描技术,其功能在于识别并防范终端设备上可能存在的病毒、蠕虫、特洛伊木马、间谍软件等恶意软件。这类解决方案通过在系统内部搜索与已知威胁特征相匹配的文件,从而实施有效的威胁检测。一旦发现威胁,它通常会采取补救措施,如删除或管控。尽管这种方法对于应对已知威胁的防护效果显著,但它在抵御未知威胁和零日攻击方面存在局限性。然而,作为端点安全体系的基础组成部分,其不可或缺。
自2011年7月Symantec推出Symantec Endpoint Protection 12.1以来,该企业版产品融入了个人版诺顿防病毒软件中已成熟的信誉度技术和主动防御策略,实现了全球云计算网络对病毒和恶意软件的实时检测。这项技术作为传统特征码防病毒技术的有力补充,随着用户基数的增长和信誉度数据库的不断完善,逐渐成为Symantec主要的端点安全防护手段。鉴于端点安全日益受到行业的广泛关注,防病毒和反间谍软件市场涌现了众多新一代产品。尽管初代和二代解决方案提供了部分保护,但它们往往在全面防护或跨平台兼容性、与防火墙、设备管理及入侵防御等基础端点安全技术的集成方面存在不足。
Symantec Endpoint Protection以其卓越的防护性能和高端层次的实时保护,在市场上独占鳌头。相比于早期的一体化解决方案,其优势显著,尤其体现在对威胁的抵御能力上。值得一提的是,自1999年以来,赛门铁克作为连续荣获超过四十次VB100奖项的供应商,证明了其在业界的持续领先地位。在Gartner的评估报告中,Symantec Endpoint Protection始终稳居领军者象限的首要位置,展现了无可匹敌的专业实力。
1. 终端防护平台魔力象限图
Source:Garlncr (于2010年12月)
Symantec Endpoint Protection依托赛门铁克全球情报网络的支持,这一集成服务凭借其丰富的信息资源,助力客户有效降低安全风险、增强法规遵从,并提升整体防护能力。全球、行业及本地的最新威胁与袭击动态,由赛门铁克全球情报服务悉数洞察,促使企业能够积极应对新兴威胁。通过无缝融合威胁预警与赛门铁克托管安全服务,全球情报服务能实现实时监控企业内部的所有恶意活动,有力保障关键信息资产的安全。
(2)主动威胁防护技术
尽管特征和信誉度驱动的文件扫描与网络监控技术在基本防护层面发挥了关键作用,然而针对日益增长的隐蔽性攻击和未知威胁,亟需引入非特征或信誉度依赖的主动威胁防御策略。
Symantec Endpoint Protection整合了Proactive Threat Scan,这是一种创新的主动威胁防护解决方案,旨在防范利用已知漏洞的多元化变种及新兴威胁。其独特的主机入侵防御功能赋予企业抵御未知或零日威胁的能力,凭借其基于行为分析的启发式检测技术。相较于主要依赖于‘不良行为’识别的传统主机IPS,它能更精确地识别潜在威胁,有效降低误报率。得益于其区分正常和异常应用程序行为的策略,Proactive Threat Scan确保企业在面对特征检测难以触及的未知威胁时,仍能保持高效的安全防护。
(3)网络威胁防护
确保端点网络安全是抵御混合型威胁并遏制突发状况的关键策略。为了保障其效能,单一的防火墙措施已不再足够,理想的防护体系应当整合多元化的高级防护技术,其中包括入侵防御系统的集成以及精细的网络通信管理功能。
随着威胁态势的演变,安全议题的核心转向了:在何处有效部署防护,以抵御日益复杂的攻击。随着移动办公的普及,企业网络的物理界限已不再局限于台式机,而是延伸至端点设备。实际上,端点已经成为黑客瞄准的关键入口,他们往往先在外部设备上植入威胁,然后通过连接内部网络,将风险扩散至整个基础设施。为此,端点防火墙的作用变得至关重要,它不仅能拦截试图侵入网络的外部攻击,还能防止初始感染的端点成为进一步扩散威胁的渠道。
Symantec Endpoint Protection通过集成先进的端点安全代理,融合了Symantec客户端防火墙的卓越性能和Sygate防火墙的高效保护特性。其功能涵盖如下要点:
基于规则的防火墙引擎
系统预设的病毒防护、反恶意软件扫描与个人防火墙功能核查
防火墙规则,根据应用程序类型、主机配置、服务需求及时间维度进行设定。
全面集成TCP/IP协议支持,包括TCP、UDP、ICMP以及原始IP协议
用于允许或禁止网络协议支持的选项,包括以太网、令牌环、IPX/SPX、AppleTalk NetBEUI
管控措施:制约VMware及WinPcap等关键网络协议驱动程序的权限
特定于适配器的规则
检查加密和明文网络通信的功能
主动威胁防御通过拦截数据包、管控数据流进入入侵防御系统(IPS),以及实施定制IPS特征阻断策略,有效防止普通漏洞利用行为。
网络准入控制的自我实施
(4)入侵防御
作为网络安全防护的关键手段,基于漏洞的入侵防御系统在抵御基于通用特征和漏洞的攻击中发挥着至关重要的作用。该系统凭借其针对多种潜在漏洞利用的一般特性,能够在网络层实施有效的拦截,从而防止攻击深入到终端设备,实现源头上的阻断。
尽管传统入侵预防系统(IPS)在识别已知漏洞利用方面具备能力,但它们对于应对构成当前主要威胁的多变漏洞攻击并不足够。根据互联网安全威胁报告显示(ISTR Vol XI),操作系统和应用开发商平均需要47天的时间来发布针对公开漏洞的补丁。在补丁发布前利用这些漏洞实施的攻击,因其新颖性,常被称为零日攻击。一旦首次攻击被察觉,IPS供应商通常会在数小时内发布相应的签名,以防止针对特定漏洞的进一步滥用行为。
面对熟练攻击者的频繁攻势,早期的漏洞利用行为在特征公开前可能导致企业遭受重大经济损失。即使漏洞利用特征已被公布,对于多态或自我演变的漏洞变种,这些被动的反应性策略显得无能为力。此外,基于漏洞利用的防御手段对于未被发现或未报告的潜在威胁,如定向于特定公司的隐秘漏洞利用,往往难以察觉。因此,为了有效对抗新型、变异的威胁,有必要采取更为积极主动的基于漏洞的入侵预防系统(IPS)策略。
尽管漏洞利用特征专注于识别特定漏洞的利用情况,但基于漏洞的特征具备更高的功能。它不仅能侦测针对单一漏洞的特定制裁攻击,还能有效监控所有针对该漏洞的潜在利用行为。Symantec EndpointProtection涵盖的内容有:
一般漏洞利用的防范措施(GEB):依托于常规特性与基于漏洞的入侵预防系统(IPS)。每当操作系统或应用开发商揭示可能对企事业单位构成重大威胁的新漏洞时,赛门铁克的技术专家会对漏洞特性进行深入剖析。基于这些分析结果,他们提炼并公开一般性特征,以此预先守护企业的安全防线,防止漏洞被恶意利用。
入侵防御系统凭借其漏洞基础策略展现出显著效能,单一漏洞描述能够抵御众多威胁,包括但不限于数百乃至数千种(详情请参阅相关表格)。其工作原理通过识别漏洞特征与行为模式,使得它不仅对已知威胁构成保护,还能防御潜在的未知或未被开发的威胁,具有高度的灵活性和适应性。
针对特定行业或企业的漏洞利用,基于漏洞的防护策略具有防御效果。这类定向攻击往往更为隐秘,其目的是在窃取敏感信息时不被察觉,并能有效消除自身在系统中的踪迹。由于此类有针对性的漏洞利用行为在造成实际损害前难以被预知,其特征难以归纳。然而,基于漏洞的防护机制能够识别出潜在的定向攻击所瞄准的高级漏洞特征,从而实现对漏洞利用的侦测与阻断。
在Symantec Endpoint Protection中,端点安全代理凭借其网络层的漏洞基础防护机制,有效抵御未知漏洞攻击及变体的侵入,进而保护终端免受感染。由于这些威胁无法触及终端,因此不会导致损害,无需后续的修复措施。
Symantec Endpoint Protection赋予管理员灵活性,能够构建个性化的入侵防御特征。管理员可以根据其特有的环境和定制应用的需求,制定基于规则的特征设定。这些特征可以精细到阻止特定操作,甚至包括复杂的行为。通过Symantec Endpoint Protection,管理员得以摆脱等待操作系统或软件开发商发布针对已知漏洞补丁的被动局面,从而实现对终端安全和防护的主动全方位管理。
(5)设备和应用程序控制
Symantec Endpoint Protection整合了严格的应用与设备管控功能,以便管理员能有效地阻断潜在高风险的设备与应用程序操作。通过地理位置策略,企业可以定制限制措施,如禁止特定用户根据其位置执行特定任务。设备管理技术赋予管理员权限,可以精细操控端点的接入权限,例如锁定设备以阻止非授权的外部存储设备如移动硬盘、CD刻录机、打印机或USB设备接入,从而有效防止敏感数据的非法传输至这些媒介。
该功能的有效禁用旨在阻断端点遭受包括但不限于上述设备在内的外部威胁的病毒侵袭。应用程序管控技术赋予管理员精细权限,能根据用户和其它应用,实施对特定操作流程、文件与文件夹的访问管理。它涵盖应用程序审计、流程控制、文件及注册表存取权限管理、模块和DLL操控等多方面。若管理员需对疑似可疑或风险较高的操作行为进行严格限制,可利用这一高级功能进行定制设置。
(6)支持网络准入控制
Symantec Endpoint Protection内置了网络准入控制功能的端点安全代理,其技术整合性使得通过获取Symantec Network Access Control许可即可便捷激活。因此,在安装并部署Symantec Endpoint Protection之后,用户无需在终端设备额外安装其他代理软件,即可实现网络准入控制功能的运用。
启用网络准入控制,通过购买额外许可证得以实现,该系统有效管控对公司的网络访问,执行端点安全策略,并能无缝融入既有的网络架构。无论端点以何种连接方式接入,Symantec Network Access Control都能精准识别并评估其合规状态,自动配置网络访问权限,同时持续监控端点的合规变化。此外,管理员可利用统一的管理控制台,简便高效地管理Symantec Endpoint Protection和Symantec Network Access Control的所有功能,提升管理效率。
第4章 全面部署策略
4.1架构部署策略
(1)部署两台SEP管理服务器(简称SEPM),以及一台Liveupdate Administrator(简称LUA)服务器。其主要职责如下:SEPM负责对总公司范围内的SEP客户端实施集中管理。配置中,一台作为主管理服务器,承载SQL Server的数据库管理任务,另一台作为备份管理服务器,旨在实现负载均衡功能。
病毒定义的更新服务由LUA服务器执行,总公司LUA服务器担当向总公司SEP服务器以及各省级分公司LUA服务器推送病毒定义更新的角色。
(2)针对可能存在的分级部署需求,我们建议在各分公司内部设立单独的SEP管理服务器和LUA服务器,它们的主要职能分别为:
SEP服务器负责对各省级分公司的SEP客户端实施有效管理。
LUA服务器担当着向各省级分公司SEP管理服务器以及各地市级分公司SEP管理服务器推送病毒定义更新的重要职责。
4.2系统功能组件详解
防病毒软件管理系统包括两部分组件:
策略管理服务器
策略服务器作为终端安全标准化管理的核心,负责执行所有安全策略及准入控制规则的配置与监督。管理员通过控制台界面,能够便捷地创建、管理各类策略,分配给相应的代理,并查阅日志以及生成端点安全活动报告。凭借图形化展示、集中化的日志记录和阈值预警功能,它提供了全面的端点可见性。统一控制台的集成设计简化了端点安全管理工作流程,集成了软件更新、策略更新和报告生成等关键功能。
策略管理服务器可以完成以下任务:
·终端分组与权限管理;
实现终端的差异化管理,依据地理位置及业务特性等因素进行分类,针对各组设定专属的管理员,同时实施精细的权限控制策略。
·策略管理与发布;
以下是涵盖的各项策略: - 自动防护机制 - 手动扫描操作策略 - 病毒与木马防范措施 - 恶意脚本防护策略 - 邮件安全防护(涵盖Outlook、Lotus及互联网邮件) - 广告软件防护方案 - 前瞻性威胁预警系统 - 防火墙构筑策略 - 入侵防御策略 - 硬件保护手段 - 软件保护策略 - 系统升级管理策略 - 主机完整性维护规程
·安全内容更新下发
安全要素的更新涵盖病毒库的界定、防火墙策略的设定、入侵防御配置以及主动威胁防护条例等多个方面。
·日志收集和报表呈现
支持自动生成多样化报告,涵盖以下类别: - 风险概览(依据服务器组、父级服务器、客户端群、个体计算机、IP地址及用户名,揭示感染源、实时高风险指标,并按风险类型细分) - 计算机性能报告(详列内容分发情况、产品版本清单以及未受管理的客户端列表) - 扫描结果报告 - 审计日志分析 - 软件与硬件控制报告 - 网络威胁防护详细报告 - 系统运行状况报表 - 安全合规性总结
·强制服务器管理和策略下发
实现对服务器、网关及强制设备的统一管理与策略配置
·终端代理安装包的维护和升级;
终端客户端
为了全面保障企业网络的安全,终端安全管理系统需在所有终端设备上实施安全代理软件的部署。作为网络安全策略的核心执行者,安全代理被安装在每个终端计算机的系统中,其主要职责在于实现端点防护与准入控制的功能。
端点保护功能包括:
保护系统安全:涵盖病毒防护、间谍软件防范及rootkit阻击功能。
1. 网络安全防御措施:集成了一套基于规则的防火墙引擎与通用漏洞利用防护功能(GEB),旨在于恶意软件入侵系统之前实施有效的预先拦截机制。
一、主动威胁防护:专为无形之敌(零日威胁)设防,采用特征无关的主动扫描策略。
4.3提升病毒特征识别能力
4.3.1初建后防病毒系统首次升级规划
在防病毒系统初次建设并完成升级后,其所需的带宽通常较大,大约在100M至200M范围内,主要包括软件更新和病毒定义的升级。若在广域链路上执行多任务更新,可能会引发链路拥塞。针对此情况,我们建议采取如下策略以防止问题发生:
针对山西农信定制的软件安装包,我们建议在安装过程中同步集成最新病毒定义;或者在防病毒服务器安装完毕后,立即执行病毒定义库的自动更新操作。
客户端的手动防病毒定义升级操作原则上被限制进行。
4.3.2高效运维升级策略
防病毒系统经过初次升级进入到日常运维状态,后期的防病毒定义更新包一般很小
不等),在运维状态下自动化的病毒定义更新是非常必要的。
自动化病毒定义的定期更新在运维阶段显得尤为关键。
针对山西农信数据中心的SEPM系统,首要任务是对病毒防御组件进行提升,包括更新病毒定义数据库、扫描引擎及防护规则(涵盖防火墙策略)。这涉及从互联网获取防病毒产品的最新病毒定义码和扫描引擎软件,确保其至最新状态。
通常,我们设定每日凌晨进行一次升级,以维持流畅运行,尽量减少对广域网络带宽的潜在冲击。在遭遇突发病毒事件或面对高级别的病毒威胁时,能够实施即时病毒定义更新并随即分发。
通过实施这一升级策略,山西农信旨在实现网络内病毒定义代码与扫描引擎的同步更新,从而确保全面的防护效能。自动化过程的优势在于它能消除因人为疏忽导致的关键组件未能及时更新的风险,防止个别机器或网络区域因缺乏最新病毒防护规格而削弱防御力。同时,它还消除了下属单位直接连接互联网进行独立升级可能引发的不便和安全隐忧。
4.3.3Symantec病毒定义升级频率
赛门铁克公司通常在官方网站上每日提供病毒定义码,供防病毒系统自动更新(一般情况下每日更新三次;遇到高危病毒爆发时,更新频率将显著增加)
4.4宽带性能对网络性能的影响分析
服务器与客户端之间策略通信流量,取决于管理员配置的操作系统保护策略的复杂程度,一个正常的策略文件在20K—80K之间变化,加密压缩后实际传输大校在5K—10K左右。以500台终端(一个分支机构的终端通常少于500台)为例,在一次心跳时间(一小时)内发生的实际流量为
,每秒服务器的策略下载流量为5M/(3600s)=1.4Kbyte,需要占用带宽为11.2Kbps。事实上,策略更新仅在策略发生变化时发起,平时带宽占用可以忽略不计。
服务器和客户端之间的日志流量,默认设置的客户端日志大小限制为512K,每次上传的日志都是自上一次和服务器通讯后发生过的日志。一般客户端一天(工作时间)发生的日志量是20条—200条(视网络中安全事件发生的频率而变化),我们以每心跳时间内发生200条日志这个极限来计算。200条日志压缩后的大小大概在20K左右,每次心跳发生时服务器收到的流量大小为500用户
,每秒流量为10M/(3600s)=2.8byte,需要占用带宽为22Kbps,对于现有网络带宽影响很小。
服务器与客户端的安全资料频繁更新,尽管采取了增量更新技术,每次传输的数据包仍维持在大约200千字节。针对远程分支机构的终端设备,我们推荐利用管理系统中的'群体升级'功能进行更新,以减少对广域网带宽的需求。在这种模式下,策略服务器允许终端从预设的地理位置邻近的'群体升级'终端获取病毒定义等安全内容的更新下载。一旦一个终端完成了内容更新,其他终端不再需要直接连接到地市二级服务器,而是可以从已更新的终端那里下载所需的更新内容,从而实现高效资源共享。
4.5安全策略详细规划
4.5.1权限管理方案
针对山西农信的实际需求,我们将设立一个特定的域管理员账户。对于系统的一般维护任务,例如策略备份与还原、系统站点的重新安装等工作,通常只需配备服务器操作系统级别的管理员权限即可完成。
4.5.2定制化客户端管理方案
计算机系统下的默认配置包含一个临时组,除此之外,新增设了四个专门的功能组:特权组、隔离组、维护组以及测试组。这些组别主要用于执行策略实验与对非常规计算机环境的临时性管理工作。
可以增设普通用户群体,常规计算机设备主要归并于此类组别;组别的划分可根据地理位置、部门归属、职能特性、设备类型或应用场景进行。在设计时,我们倾向于维持组织结构的扁平化原则。
4.5.3全面的数据保护与维护措施
设计并实施一套高效的战略备份调度方案,以便在服务器遭遇软硬件故障时能迅速恢复系统的正常运行。
规划数据库事务日志的维护策略,确保其不会无节制地增长,超出硬盘存储容量,从而保障系统的正常运行。
4.5.4强化安全保障措施
防病毒策略
病毒定义码的定期更新计划:防病毒管理服务器维护
·防病毒客户端的病毒定义码更新时间规划
实时防护设置详解:病毒检测类型、操作应对策略与报警机制的配置
·防病毒客户端的日志记录时间设置
·防病毒客户端的隔离区参数设置
·防病毒客户端的篡改选项设置
客户端的防病毒功能调度扫描配置详情,涵盖扫描类型及对应病毒的处置策略
防火墙策略
该策略库中包含两个预设模板,即隔离区策略与内网限制策略,涵盖了若干详细策略。
优化应用程序权限:实施措施限制非工作相关应用的运行。
受限制的恶意软件清单:屏蔽已知的严重病毒、特洛伊木马及有害程序
·禁止拨号和无线网络连接:防止非法外连
互联网网址访问控制策略:确保隔离与公网络IP地址的通信
操作系统防护策略
·设备禁用示例
USB存储设备只读
防止USB木马传播
·防止IE加载恶意插件示例
禁止程序运行示例
·注册表键保护示例
·文件修改审计示例
主机完整性策略
·防病毒软件的安装与运行检测规则
·分发防病毒软件示例
·补丁检查策略
√分发补丁示例
√卸载指定补丁示例
·安全加固设置
实施对SANtop10所列漏洞的详细核查与修复措施
√针对IIS漏洞的检查及修复
互联网浏览器漏洞的检测与修复策略
√其他常见服务和应用的漏洞
√常见系统设置弱点
√禁止匿名访问
√禁止空连接
·统一桌面管理设置
√统一墙纸
√统一屏保
√IE主页设置
√IE代理设置
√IE安全级别设置
Registry tool
√添加删除程序限制
√禁止更改IP设置
京公网安备 11010802045440号
