防病毒軟件技術(shù)方案

賽門(mén)鐵克軟件（北京）有限企業(yè)

2023年10月

目錄

第1章惡意代碼發(fā)展趨勢(shì)............................................錯(cuò)誤！未定義書(shū)簽。

第2章防病毒系統(tǒng)設(shè)計(jì)思緒..........................................錯(cuò)誤！未定義書(shū)簽。

2.1基于特性的防病毒技術(shù)分析..................................錯(cuò)誤！未定義書(shū)簽。

2.2老式的防病毒產(chǎn)品使用效果分析..............................錯(cuò)誤！未定義書(shū)簽。

2.3技術(shù)+服務(wù)的體系化建設(shè)...................................錯(cuò)誤！未定義書(shū)簽。

技術(shù)層面:積極防御....................................錯(cuò)誤！未定義書(shū)簽。

服務(wù)層面...............................................錯(cuò)誤！未定義書(shū)簽。

第3章產(chǎn)品選型推薦..................................................錯(cuò)誤！未定義書(shū)簽。

3.1SEP12組件及功能闡明.....................................錯(cuò)誤！未定義書(shū)簽。

第4章布署方案.....................................................錯(cuò)誤!未定義書(shū)簽。

4.1布署架構(gòu)....................................................錯(cuò)誤！未定義書(shū)簽。

4.2管理系統(tǒng)功能組件闡明......................................錯(cuò)誤！未定義書(shū)簽。

4.3病毒定義升級(jí)...............................................錯(cuò)誤！未定義書(shū)簽。

防病毒系統(tǒng)初建后第一次升級(jí)方案.......................錯(cuò)誤！未定義書(shū)簽。

正常運(yùn)維狀態(tài)下的升級(jí)方案..............................錯(cuò)誤！未定義書(shū)簽。

Symantec病毒定義升級(jí)頻率.............................錯(cuò)誤！未定義書(shū)簽。

4.4網(wǎng)絡(luò)帶寬影響.................................................錯(cuò)誤！未定義書(shū)簽。

4.5安全管理方略設(shè)計(jì)............................................錯(cuò)誤！未定義書(shū)簽。

管理權(quán)限方略...........................................錯(cuò)誤！未定義書(shū)簽。

客戶(hù)端分組方略.........................................錯(cuò)誤！未定義書(shū)簽。

備份和數(shù)據(jù)庫(kù)維護(hù)方略..................................錯(cuò)誤！未定義書(shū)簽。

安全方略...............................................錯(cuò)誤！未定義書(shū)簽。

4.6服務(wù)器的硬件配置需求.......................................錯(cuò)誤！未定義書(shū)簽。

第5章實(shí)行方案.......................................................錯(cuò)誤！未定義書(shū)簽。

5.1項(xiàng)目工作范圍.................................................錯(cuò)誤！未定義書(shū)簽。

5.2實(shí)行計(jì)劃.....................................................錯(cuò)誤！未定義書(shū)簽。

項(xiàng)目里程碑.............................................錯(cuò)誤！未定義書(shū)簽。

項(xiàng)目工作進(jìn)度計(jì)劃與安排...............................錯(cuò)誤！未定義書(shū)簽。

5.3項(xiàng)目人員安排................................................錯(cuò)誤！未定義書(shū)簽。

項(xiàng)目組織機(jī)構(gòu)...........................................錯(cuò)誤！未定義書(shū)簽。

項(xiàng)目人員構(gòu)成...........................................錯(cuò)誤！未定義書(shū)簽。

5.4變更管理.....................................................錯(cuò)誤！未定義書(shū)簽。

項(xiàng)目變更管理控制過(guò)程..................................錯(cuò)誤！未定義書(shū)簽。

項(xiàng)目變更審枇流程......................................錯(cuò)誤！未定義書(shū)簽。

變更評(píng)審小坦的組員名單...............................錯(cuò)誤！未定義書(shū)簽。

變更申請(qǐng)表祥式.........................................錯(cuò)誤！未定義書(shū)簽。

5.5項(xiàng)目溝通計(jì)劃................................................錯(cuò)誤！未定義書(shū)簽。

第6章培訓(xùn)方案.......................................................錯(cuò)誤！未定義書(shū)簽。

第7章服務(wù)方案.......................................................錯(cuò)誤!未定義書(shū)簽。

7.1賽門(mén)鐵克專(zhuān)業(yè)防病毒服務(wù)體系.................................錯(cuò)誤！未定義書(shū)簽。

賽門(mén)鐵克服務(wù)水平論述..................................錯(cuò)誤！未定義書(shū)簽。

賽門(mén)鐵克安全響應(yīng)中心..................................錯(cuò)誤！未定義書(shū)簽。

賽門(mén)鐵克企業(yè)客戶(hù)服務(wù)中心..............................錯(cuò)誤！未定義書(shū)簽。

賽門(mén)鐵克安全合作服務(wù)商...............................錯(cuò)誤！未定義書(shū)簽。

7.2賽門(mén)鐵克專(zhuān)業(yè)防病毒服務(wù)流程.................................錯(cuò)誤！未定義書(shū)簽。

基本流程...............................................錯(cuò)誤！未定義書(shū)簽。

客戶(hù)服務(wù)專(zhuān)人的工作流程...............................錯(cuò)誤！未定義書(shū)簽。

客戶(hù)服務(wù)經(jīng)理的工作流程...............................錯(cuò)誤！未定義書(shū)簽。

工程師的工作流程......................................錯(cuò)誤！未定義書(shū)簽。

緊急事件響應(yīng)流程......................................錯(cuò)誤！未定義書(shū)簽。

第1章惡意代碼發(fā)展趨勢(shì)

終端所面臨的安全威脅已不再是老式的病毒，而是愈加復(fù)雜的惡意代碼（廣

義病毒）。分析惡意代碼的發(fā)展趨勢(shì)可以協(xié)助我們更好地構(gòu)建病毒防護(hù)體系，優(yōu)

化既有安全防護(hù)體系，從而實(shí)現(xiàn)保障終端安全的最終目H勺。

□前所未見(jiàn)的惡意代碼威脅

目前，終端安全必需要面對(duì)的首要問(wèn)題是越來(lái)越多日勺惡意代碼是未知的，

前所未見(jiàn)口勺。前所未見(jiàn)的威脅之因此劇增，其中一種重要原因是惡意代碼系列

中出現(xiàn)大量變種。襲擊者普遍都在更新目前的惡意代碼，以創(chuàng)立新的變種，而

不是“從頭開(kāi)始”創(chuàng)立新日勺惡意代碼。某些惡意代碼系列（如熊貓燒香、Flamer

系列）中的變種數(shù)量多如牛毛便是這方面淋漓盡致地再現(xiàn)。

惡意代碼的編寫(xiě)者創(chuàng)立新變種口勺措施各式各樣，其中包括變形代碼進(jìn)化、

更改功能及運(yùn)行時(shí)打包實(shí)用程序，以逃避防病毒軟件的檢測(cè)。前幾年，蠕蟲(chóng)和

病毒（紅色代碼、沖擊波）H勺大規(guī)模爆刊登明，惡意代碼無(wú)需復(fù)雜就可以感染大

量計(jì)算機(jī)。如今，關(guān)注的焦點(diǎn)逐漸轉(zhuǎn)移到目的J性襲擊和更狡猾日勺感染措施上。

因此，越來(lái)越多的襲擊者開(kāi)始使用復(fù)雜的多態(tài)技術(shù)來(lái)逃避檢測(cè)，為傳播助力。

多態(tài)病毒可以在復(fù)制時(shí)更改其字節(jié)樣式，從而逃避采用簡(jiǎn)樸的字符串掃描防病

毒技術(shù)進(jìn)行的檢測(cè)。

□特洛伊木馬

特洛伊木馬是一種不會(huì)進(jìn)行自我復(fù)制H勺程序，但會(huì)以某種方式破壞或危害

主機(jī)H勺安全性。特洛伊木馬看起來(lái)可用于某些目H勺，從而促使顧客卜載并運(yùn)

行，但它實(shí)際上攜帶了一種破壞性H勺程序。它們也許偽裝成可從各個(gè)來(lái)源下載

的合法應(yīng)用程序，還也許作為電子郵件附件發(fā)送給無(wú)防備的顧客。

根據(jù)記錄，大部分特洛伊木馬是通過(guò)惡意網(wǎng)站進(jìn)行安裝的。它們運(yùn)用瀏覽

器漏洞，這些漏洞容許惡意代碼的作者下載并執(zhí)行特洛伊木馬，而很少或無(wú)需

與顧客交互。當(dāng)顧客使用MicrosoftInternetExplorer查看其中的惡意日勺網(wǎng)絡(luò)頁(yè)

面時(shí)，特洛伊木馬便會(huì)通過(guò)瀏覽器中的多客戶(hù)端漏洞安裝在顧客的系統(tǒng)中。然

后，特洛伊木馬會(huì)記錄某些網(wǎng)站的身份驗(yàn)證資料，并將其發(fā)送給遠(yuǎn)程襲擊者。

許多新出現(xiàn)的特洛伊木馬還會(huì)從受感染的系統(tǒng)中竊取特定的消息，如網(wǎng)上銀行

密碼。

□廣告軟件/流氓軟件

終端顧客遭遇日勺廣告軟件/流氓軟件的幾率越來(lái)越高，廣告軟件可執(zhí)行多種

操作，其中包括顯示彈出式廣告、將顧客重引導(dǎo)至色情網(wǎng)站、修改瀏覽器設(shè)

置，如默認(rèn)主頁(yè)設(shè)置以及監(jiān)視顧客日勺上網(wǎng)活動(dòng)以顯示目日勺廣告。其影響范圍包

括單純的顧客騷擾、隱私權(quán)侵犯等。Adware的影響因其固有歐J特點(diǎn)而難以量

化。但這并不意味著它們不是安全問(wèn)題。最嚴(yán)重的影響也許是大范圍破壞個(gè)別

最終顧客系統(tǒng)日勺完整性。包括：性能下降、瀏覽器故障、系統(tǒng)頻繁死機(jī)等。

□混合型威脅

混合型威脅可以運(yùn)用多種措施和技術(shù)進(jìn)行傳播。它們不僅能運(yùn)用漏洞，并

且綜合了各類(lèi)惡意代碼（病毒、蠕蟲(chóng)和特洛伊木馬程序）日勺特點(diǎn)，從而可以在無(wú)

需或僅需很少人工干預(yù)的狀況下，短時(shí)間內(nèi)感染大量系統(tǒng)，迅速導(dǎo)致大范圍的

破壞。混合型威脅常用的多傳播機(jī)制使其可以用靈活多變歐I方式避開(kāi)組織的安

全措施。它們可以同步使系統(tǒng)資源超負(fù)荷并耗盡網(wǎng)絡(luò)帶寬。

第2章防病毒系統(tǒng)設(shè)計(jì)思緒

2.1基于特性的防病毒技術(shù)分析

長(zhǎng)期以來(lái)，應(yīng)對(duì)混合型威脅（混合型病毒）的老式做法是，一旦混合型病毒

爆發(fā)，盡快捕捉樣本，再盡快寫(xiě)出病毒特性，并盡快去布署該病毒特性，然后

寄但愿于它可以迅速清除病毒并阻截該威脅日勺蔓延。這種方式曾一度相稱(chēng)有

效，但近年來(lái)一一尤其是近年來(lái)多次影響XXXH勺沖擊波、SlammenNetsky、

熊貓燒香、Flamer等病毒，已經(jīng)體現(xiàn)這種基于特性日勺被動(dòng)式病毒響應(yīng)方式效果不

佳了。這首先由于病毒的迅速發(fā)展，另首先更由于老式防病毒技術(shù)采用被動(dòng)跟

蹤H勺方式來(lái)進(jìn)行病毒防護(hù)。

不過(guò)，這種被動(dòng)H勺病毒響應(yīng)方式越來(lái)越力不從心。如下圖所示，Symantec

企業(yè)記錄了近十幾年來(lái)病毒爆發(fā)速度和特性響應(yīng)速度，并對(duì)近年日勺發(fā)展趨勢(shì)做

了比較。

H電

i矍

期

925

可00

附圖1.混合型病毒感染與病毒特性響應(yīng)對(duì)比圖

該圖以計(jì)算機(jī)病毒/混合威脅的復(fù)制速度（藍(lán)色線條，自左上至右下）來(lái)顯

示這些威脅的演變，以響應(yīng)速度（紅色線條，自左下至右上）來(lái)顯示病毒技術(shù)的

發(fā)展。橫軸以年為單位，時(shí)間范圍是從1990年至2023年?？v軸實(shí)際上顯示

兩種不一樣的時(shí)間規(guī)定（都采用左邊縱軸的時(shí)間比例來(lái)顯示）。左邊縱軸（藍(lán)色

文本）顯示惡意病毒到達(dá)“感染”狀態(tài)所用【付時(shí)間，在該狀態(tài)下，惡意病毒已經(jīng)

感染了相稱(chēng)多有漏洞的計(jì)算機(jī)。右邊縱軸顯示提供描述病毒的特性所用的時(shí)

間。

分析上圖日勺最終一部分可知，對(duì)于目前出現(xiàn)的兒分鐘甚至兒秒鐘之內(nèi)就可

發(fā)作的超速混合威脅而言，其傳播速度和實(shí)現(xiàn)完全感染有關(guān)主機(jī)的速度比人工

或自動(dòng)化系統(tǒng)生成和布署病毒特性日勺速度快得多時(shí)，在這樣狀況下，原有的基

于病毒特性的模式已經(jīng)效果甚微，由于到那時(shí)每次混合型病毒日勺爆發(fā)，由于特

性響應(yīng)方式的滯后而讓將付出沉重的代價(jià)（近來(lái)的沖擊波、震蕩波的例子已經(jīng)初

步證明了這一點(diǎn)），而這是絕對(duì)不能接受的。

2.2老式的防病毒產(chǎn)品使用效果分析

老式的單一的防病毒產(chǎn)品在應(yīng)對(duì)新的終端安全威脅時(shí)效果往往不佳，其主

線原因在于：

□基于特性的病毒定義滯后性

雖然防病毒技術(shù)不停發(fā)展，出現(xiàn)了類(lèi)似啟發(fā)式掃描、智能檢測(cè)等新日勺技術(shù)，不過(guò)

目前防病毒產(chǎn)品還是以基于特性的病毒掃描方式為重要手段。也即一種新的病毒

出現(xiàn)后，防病毒廠商通過(guò)多種方式搜集到病毒的樣本，通過(guò)自動(dòng)地或者專(zhuān)家分析

獲取病毒特性碼，隨即公布新的病毒定義供顧客下載更新。而顧客通過(guò)手動(dòng)或周

期地自動(dòng)更新獲取新的病毒定義后來(lái)，才可以有效地防御這種新的病毒。

顯然，基于特性的病毒定義更新存在著滯后性，這種滯后表目前：

病毒定義滯后于新病毒的出現(xiàn),，目前的病毒迅速、大量變種的特性加劇了這種滯

后性所帶來(lái)的危害。

顧客的病毒定義滯后于廠商的病毒定義。這是由于顧客往往使用周期自動(dòng)更新的

方式，甚至由于種種原因部分顧客的病毒定義不能正常升級(jí)，這些都會(huì)導(dǎo)致與最

新日勺病毒定義日勺時(shí)間差。

□區(qū)域性惡意代碼增長(zhǎng)了樣本搜集的難度

特洛伊木馬等惡意代碼目前的一種重要特性是具有很強(qiáng)口勺目的性和區(qū)域

性。特洛伊木馬往往以特定顧客和群體為目的。某一種特洛伊木馬也許只是針

對(duì)某個(gè)地區(qū)的某類(lèi)型顧客。由于特洛伊木馬rJ目日勺性強(qiáng)，因此這些襲擊只是發(fā)

送給較小日勺顧客群，從而使其看上去并不顯眼，并且不太也許提交給防病毒供

應(yīng)商進(jìn)行分析。

而假如防病毒廠商不能及時(shí)獲得最新口勺病毒樣本，也就失去了對(duì)這些木馬

的防護(hù)能力。

□單純的防病毒技術(shù)無(wú)法應(yīng)對(duì)混合型威脅

混合型威脅整合了病毒傳播和黑客襲擊的技術(shù)，以多種方式進(jìn)行傳播和襲

擊。不需要人工干預(yù)，可以自動(dòng)發(fā)現(xiàn)和運(yùn)用系統(tǒng)漏洞，并自動(dòng)對(duì)有系統(tǒng)漏洞日勺

計(jì)算機(jī)進(jìn)行傳播和襲擊。越來(lái)越多日勺病毒會(huì)自動(dòng)襲擊操作系統(tǒng)或者特定的應(yīng)用

軟件的漏洞，在漏洞未修復(fù)（未安裝補(bǔ)?。┑臓顩r下，會(huì)導(dǎo)致病毒反復(fù)感染，純

粹H勺防病毒局限性以應(yīng)付這些新型的病毒事件。

□復(fù)雜的病毒查殺技術(shù)與性能需求

新型的惡意代碼采用了更多的反檢測(cè)和清除日勺技術(shù)，包括前文描述的多態(tài)

病毒以及高級(jí)H勺R(shí)ootkit技術(shù)。與老式的惡意代碼相比，檢測(cè)復(fù)雜多態(tài)病毒和

Rootkit對(duì)技術(shù)的規(guī)定更高。波及復(fù)雜的加密邏輯和記錄分析過(guò)程，以及代碼模

擬和數(shù)據(jù)驅(qū)動(dòng)引擎的設(shè)計(jì)。因此，這需要經(jīng)驗(yàn)豐富的分析師來(lái)開(kāi)發(fā)檢測(cè)和移除

技術(shù)。同步，防護(hù)時(shí)也需要占用更多的I終端系統(tǒng)資源。實(shí)際測(cè)試包括諸多顧客

實(shí)際環(huán)境中，防病毒軟件一般占用內(nèi)存50M—60M左右，對(duì)于某些老的機(jī)器（內(nèi)

存不大于256M）會(huì)影響系統(tǒng)性能。部分終端顧客往往在安全和性能日勺抉擇中放

棄安全，這也導(dǎo)致了防病毒體系整體運(yùn)行效果不佳。

2.3技術(shù)+服務(wù)的體系化建設(shè)

實(shí)踐證明，完整有效的終端安全處理方案包括技術(shù)、管理和服務(wù)三個(gè)方面

內(nèi)容。防病毒技術(shù)的布署和實(shí)行是“實(shí)現(xiàn)顧客個(gè)人的廣義病毒和襲擊的防護(hù)”

的重要力量。

老式的病毒防護(hù)方案往往以技術(shù)為主，不過(guò)僅僅依托技術(shù)是有其局限性，

因此指望一套防病毒軟件處理所有日勺病毒問(wèn)題是不現(xiàn)實(shí)日勺；同步，對(duì)于中保協(xié)

這樣的大型企業(yè)，防病毒的管理性規(guī)定甚至比查殺病毒的能力顯得更為重要，

假如不能做到全網(wǎng)防病毒H勺統(tǒng)一管理，再?gòu)?qiáng)的防病毒軟件也不能發(fā)揮應(yīng)有作

用。

此外，我們重點(diǎn)提出“服務(wù)”日勺主線原因是基于一種判斷：即沒(méi)有任何防

病毒廠家可以做到對(duì)所有已知病毒和未知病毒的迅速精確查殺。服務(wù)是產(chǎn)品的

一種補(bǔ)充。

因此，廠家提供H勺產(chǎn)品+服務(wù)H勺組合才能在主線上保證病毒防護(hù)的可靠

性。如下分別予以詳細(xì)論述：

2.3.1技術(shù)層面：積極防御

從以上對(duì)新的惡意軟件發(fā)展趨勢(shì)和老式的病毒防護(hù)產(chǎn)品的特性分析，不難

看出，老式防病毒技術(shù)由于采用被動(dòng)跟蹤H勺方式來(lái)進(jìn)行病毒防護(hù)。一旦病毒爆

發(fā)，盡快捕捉樣本，再盡快寫(xiě)出病毒特性，并盡快去布署該病毒特性，然后寄

但愿于它可以迅速清除病毒并阻截該威脅的蔓延。這種被動(dòng)的防護(hù)方式無(wú)法應(yīng)

對(duì)新的惡意軟件的發(fā)展。

因此，必須從“積極防御”這一觀點(diǎn)出發(fā)，建立一種覆蓋全網(wǎng)日勺、可伸

縮、抗打擊的防病毒體系。相對(duì)于被動(dòng)式病毒響應(yīng)技術(shù)而言，積極式反應(yīng)技術(shù)

可在最新日勺惡意軟件沒(méi)有出現(xiàn)之前就形成防御墻，靜侯威脅的到來(lái)而能防止威

脅帶來(lái)的損失?！胺e極防御”重要體目前如下幾種方面:

防火墻

-阻斷進(jìn)入的對(duì)開(kāi)放端口的攻擊

?阻斷病毒向外擴(kuò)散的途徑

?阻斷非法的對(duì)外通信-間諜軟件數(shù)據(jù)泄漏和連接控

制站點(diǎn)的企圖

根本：系統(tǒng)加固

?關(guān)鍵補(bǔ)丁

?強(qiáng)口令

?關(guān)閉危險(xiǎn)服務(wù)和默認(rèn)共享

?匿名訪問(wèn)限制

實(shí)時(shí)防護(hù)和阻斷

?自動(dòng)識(shí)別并清除蟠蟲(chóng)病毒

?自動(dòng)防護(hù)已知惡意軟件（特別室間諜軟件）

?如果惡意軟件已經(jīng)安裝，在其運(yùn)行時(shí)檢測(cè):

入侵防護(hù)：

基于漏洞的入侵阻斷抑制未知的惡意軟件

?阻斷RPC緩沖區(qū)溢出漏洞?Bloodhunt啟發(fā)式病毒掃描

阻斷利用瀏覽器漏洞的攻擊（問(wèn)

?Web?根據(jù)惡意軟件的行為特征發(fā)現(xiàn)和抑制其操f

諜軟件最常用的安裝方式）.郵件蠕蟲(chóng)攔番

?間諜軟件鍵盤(pán)記錄、屏幕攔截、數(shù)據(jù)泄漏;

□信譽(yù)度技術(shù)

□Symantec會(huì)從其數(shù)百萬(wàn)顧客的全球小區(qū)及其全球情報(bào)網(wǎng)中搜集有關(guān)

文獻(xiàn)的信息。所搜集的信息形成Symantec承載的一種信譽(yù)數(shù)據(jù)庫(kù)。

Symantec產(chǎn)品運(yùn)用該信息保護(hù)客戶(hù)端計(jì)算機(jī)，使其免受新威脅、目的威脅

和變異威脅的侵害。該數(shù)據(jù)有時(shí)稱(chēng)為“在云端”，由于它未駐留在客戶(hù)端計(jì)

算機(jī)上?？蛻?hù)端計(jì)算機(jī)通過(guò)祈求或查詢(xún)信譽(yù)數(shù)據(jù)庫(kù)，可以防止老式的基于特

性碼的防病毒技術(shù)帶來(lái)的病毒檢測(cè)的滯后性，做到基于Symantec全球防病

毒云計(jì)算網(wǎng)絡(luò)的病毒和惡意軟件防護(hù)。

□Symantec使用一項(xiàng)稱(chēng)為“智能掃描”的技術(shù)來(lái)確定每個(gè)文獻(xiàn)的風(fēng)險(xiǎn)級(jí)

別或“安全等級(jí)”，智能掃描通過(guò)檢查文獻(xiàn)及其上下文的如下特性來(lái)確定文

獻(xiàn)的安全等級(jí):

□■文獻(xiàn)的源

□■文獻(xiàn)的新舊程度

□■文獻(xiàn)在小區(qū)中的常用程度

□■其他安全衡量原則，如文獻(xiàn)也許與惡意軟件MJ關(guān)聯(lián)程度

□SymantecEndpointProtection12.1中時(shí)掃描功能運(yùn)用智能掃描做出

有關(guān)文獻(xiàn)和應(yīng)用程序的決策。

□

□基于應(yīng)用程序的防火墻技術(shù)

個(gè)人防火墻可以按程序或者通訊特性，制止/容許任何端口和協(xié)議進(jìn)出.運(yùn)

用個(gè)人防火墻技術(shù)，首先可以防止病毒運(yùn)用漏洞滲透進(jìn)入終端，另首先，更為

重要的是，可以有效地阻斷病毒傳播途徑。

以去年大規(guī)模爆發(fā)的Spybol病毒為例，該病毒運(yùn)用了多種微軟系統(tǒng)漏洞和

應(yīng)用軟件漏洞，企業(yè)可以在終端補(bǔ)丁尚未完全安裝完畢日勺狀況下，通過(guò)集中關(guān)

閉這些存在漏洞的服務(wù)端口，制止病毒進(jìn)入存在漏洞的終端。

再以Arp木馬為例。正常的）Arp祈求和響應(yīng)包是由ndisiuo.sys驅(qū)動(dòng)發(fā)出，而

arp病毒或者其他arp襲擊一般是運(yùn)用其他的系統(tǒng)驅(qū)動(dòng)偽造arp數(shù)據(jù)包發(fā)出。因

此，通過(guò)在防火墻規(guī)則中設(shè)定，只容許ndisiuo.sys對(duì)外發(fā)送Arp數(shù)據(jù)包（協(xié)議號(hào)

0x806）,其他的所有嚴(yán)禁。從而，在沒(méi)有最新日勺病毒定義日勺前提下對(duì)病毒進(jìn)行

阻斷和有效防護(hù)。

統(tǒng)一布署防火墻不僅可以處理以上這些安全問(wèn)題，同步可以成為企業(yè)執(zhí)行

安全方略日勺有力工具，實(shí)現(xiàn)某些企業(yè)的安全方略H勺布署，如突發(fā)病毒爆發(fā)時(shí)，

統(tǒng)一開(kāi)放關(guān)閉防火墻對(duì)應(yīng)端口。

□具有通用漏洞阻截技術(shù)的入侵防護(hù)

通用漏洞運(yùn)用阻截技術(shù)日勺思想是：正如只有形狀對(duì)日勺的鑰匙才能打開(kāi)鎖同

樣，只有“形狀”相符的混合型病毒才能運(yùn)用該漏洞進(jìn)行襲擊。假如對(duì)--把鎖

的內(nèi)部鎖齒進(jìn)行研究，便可以立即理解到可以打開(kāi)這把鎖的鑰匙必需具有力特

性一一甚至不需要查看實(shí)際H勺鑰匙。類(lèi)似地，當(dāng)新漏洞公布時(shí)，研究人員可以

總結(jié)該漏洞的“形狀”特性。也就是說(shuō)，可以描述通過(guò)網(wǎng)絡(luò)抵達(dá)漏洞計(jì)算機(jī)并

運(yùn)用該漏洞實(shí)行入侵日勺數(shù)據(jù)日勺特性。對(duì)照該“形狀”特性，就可以檢測(cè)并阻截

具有該明顯“形狀”的任何襲擊（例如蠕蟲(chóng)）。

以沖擊波蠕蟲(chóng)被阻截為例進(jìn)行闡明。當(dāng)2023年7月MicrosoftRPC漏洞

被公布時(shí)，賽門(mén)鐵克運(yùn)用通用漏洞運(yùn)用研究技術(shù)，制作了該漏洞的通用特性。

大概在一種月之后，出現(xiàn)了運(yùn)用該漏洞進(jìn)行入侵和蔓延的沖擊波蠕蟲(chóng)。

Symantec由于具有了賽門(mén)鐵克編寫(xiě)的特性在網(wǎng)絡(luò)環(huán)境中可以迅速檢測(cè)到?jīng)_擊波

蠕蟲(chóng)并立即制止它。

在前文對(duì)惡意軟件的發(fā)展趨勢(shì)中，我們分析了木馬、流氓軟件的一種最重

要日勺傳播方式是運(yùn)用IE瀏覽器日勺漏洞，當(dāng)顧客瀏覽這些惡意站點(diǎn)時(shí)，運(yùn)用IE歐|

漏洞，襲擊者可以在顧客終端上悄悄安裝木馬、廣告/流氓軟件等。盡管惡意軟

件口勺變種數(shù)量龐大，但實(shí)際上，惡意軟件安裝過(guò)程中運(yùn)用口勺IE漏洞種類(lèi)并不

多。賽門(mén)鐵克運(yùn)用通用漏洞運(yùn)用研究技術(shù)，提前制作這些漏洞日勺通用特性。惡

意軟件若想運(yùn)用這些漏洞進(jìn)行安裝，必須具有特定的形狀，而賽門(mén)鐵克編寫(xiě)日勺

特性可以提前檢測(cè)到該形狀，從而對(duì)其進(jìn)行阻截，防止了惡意軟件安裝到顧客

終端上，從而主線無(wú)需捕捉該病毒樣本然后再匆，亡響應(yīng)。

□應(yīng)用程序控制技術(shù)

通過(guò)應(yīng)用程序行為控制，在系統(tǒng)中實(shí)時(shí)監(jiān)控多種程序行為，i旦出現(xiàn)與預(yù)

定口勺惡意行為相似的行為就立即進(jìn)行阻截。

以熊貓燒香為例，假如采用被動(dòng)防護(hù)技術(shù)，必須對(duì)捕捉每一種變種的樣

本，才能編寫(xiě)合適的病毒定義。不過(guò)，該病毒的傳播和發(fā)作具有非常明顯的行

為特性。熊貓燒香最重要日勺傳播方式是通過(guò)U盤(pán)傳播，其原理是運(yùn)用操作系統(tǒng)

在打開(kāi)U盤(pán)或者移動(dòng)硬盤(pán)時(shí)，會(huì)根據(jù)根目錄下日勺autorun.inf文獻(xiàn)，自動(dòng)執(zhí)行病

毒程序。SEP系統(tǒng)防扭技術(shù)可以嚴(yán)禁對(duì)根目錄下的autoruminf的讀寫(xiě)權(quán)限，尤其

的，當(dāng)己感染病毒的終端試圖往移動(dòng)設(shè)備上寫(xiě)該文獻(xiàn)時(shí)，可以終止該病毒進(jìn)程

并匯報(bào)管理員。

再以電子郵件的行為阻截技術(shù)應(yīng)用為例進(jìn)行闡明。首先，我們懂得基于電

子郵件的蠕蟲(chóng)的經(jīng)典操作：經(jīng)典的電子郵件計(jì)算機(jī)蠕蟲(chóng)的工作原理是，新建一

封電子郵件，附加上其（蠕蟲(chóng)）自身的副本，然后將該消息發(fā)送到電子郵件服務(wù)

器，以便轉(zhuǎn)發(fā)到其他日勺目的計(jì)算機(jī)。那么，當(dāng)使用了帶行為阻截技術(shù)日勺賽門(mén)鐵

克防病毒軟件之后，防病毒軟件將監(jiān)視計(jì)算機(jī)上H勺所有外發(fā)電子郵件。每當(dāng)發(fā)

送電子郵件時(shí)，防病毒軟件都要檢查該郵件與否郵件有附件。假如該電子郵件

有附件，則將對(duì)附件進(jìn)行解碼，并將其代碼與計(jì)算機(jī)中啟動(dòng)本次電子郵件傳播

的應(yīng)用程序相比較。常見(jiàn)的電子郵件程序，如Oullook,可以發(fā)送文獻(xiàn)附件，

但絕不會(huì)在郵件中附加一份自身程序的可執(zhí)行文獻(xiàn)副本！只有蠕蟲(chóng)才會(huì)在電子

郵件中發(fā)送自己的I副本。因此，假如檢測(cè)到電子郵件附件與計(jì)算機(jī)上日勺發(fā)送程

序非常相似時(shí)，防病毒軟件將終止本次傳播，從而中斷蠕蟲(chóng)的生命周期。此項(xiàng)

技術(shù)非常有效，主線無(wú)需捕捉蠕蟲(chóng)樣本然后再匆忙響應(yīng)，帶此項(xiàng)技術(shù)H勺賽門(mén)鐵

克防病毒軟件已經(jīng)成功的I在零時(shí)間阻截了數(shù)十種迅速傳播歐I計(jì)算機(jī)蠕蟲(chóng)，包括

近來(lái)『、JSobig、Novarg和MyDoom。

此外，基于行為的惡意軟件阻截技術(shù)，還可以鎖定IE設(shè)置、注冊(cè)表、系統(tǒng)

目錄，當(dāng)木馬或者流氓軟件試圖更改這些設(shè)置時(shí)會(huì)被嚴(yán)禁。從而，雖然顧客下

載了未知日勺惡意軟件，也無(wú)法在終端上正常安裝和作用?；谛袨槿丈追雷o(hù)技術(shù)

非常有效，主線無(wú)需捎捉惡意軟件樣本然后再匆忙響應(yīng)，運(yùn)用此項(xiàng)技術(shù)可以成

功H勺在零時(shí)間阻截主流的蠕蟲(chóng)病毒，包括熊貓燒香、威金等。

由于采用了集中口勺方略布署和控制，不必最終顧客口勺干預(yù)，因此不需要顧

客具有高深的病毒防護(hù)技術(shù)。同步，基于行為規(guī)則的防護(hù)技術(shù)非常適合于主機(jī)

系統(tǒng)環(huán)境，主機(jī)系統(tǒng)應(yīng)用單一并且管理專(zhuān)業(yè)，采用行為規(guī)則的防護(hù)是對(duì)老式防

病毒技術(shù)II勺一種很好的補(bǔ)允。

□前瞻性威脅掃描

ProactiveThreatScan是一種積極威脅防護(hù)技術(shù)，可防御運(yùn)用已知漏洞的多

種變種和前所未見(jiàn)的威脅。ProactiveThreatScan基于分析系統(tǒng)所運(yùn)行進(jìn)程的行

為來(lái)檢測(cè)潛在威脅日勺啟發(fā)式技術(shù)。大多數(shù)基于主機(jī)的IIPS僅檢測(cè)它們認(rèn)為時(shí)

“不良行為”。因此，它們常常會(huì)將可接受的應(yīng)用程序行為識(shí)別為威脅并將它

們關(guān)閉，嚴(yán)重影響顧客和技術(shù)支持中心的工作效率，讓管理員面臨著艱巨的挑

戰(zhàn)。不過(guò)，ProactiveThreatScan會(huì)同步記錄應(yīng)用程序日勺正常行為和不良行為，

提供愈加精確n勺威脅檢測(cè)，可明顯減少誤報(bào)的數(shù)量。前瞻性地威脅掃描讓企業(yè)

可以檢測(cè)到任何基于特性日勺技術(shù)都檢測(cè)不到的未知威脅。

□終端系統(tǒng)加固

實(shí)際上，保證終端安全H勺一種必須的基礎(chǔ)條件時(shí)終端自身H勺安全加固，包

括補(bǔ)丁安裝、口令強(qiáng)度等。顯然，口令為空、缺乏必要日勺安全補(bǔ)丁的終端，雖

然有再優(yōu)秀的I防護(hù)技術(shù)也不可防止地遭受到襲擊和病毒感染。為了彌補(bǔ)和糾正

運(yùn)行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件H勺安全漏洞，使整個(gè)網(wǎng)絡(luò)安全

不至由于個(gè)別軟件系統(tǒng)的漏洞而受到危害，必需在企業(yè)日勺安全管理方略中加強(qiáng)

對(duì)補(bǔ)丁升級(jí)、系統(tǒng)安全配置的管理。

提議集中管理企業(yè)網(wǎng)絡(luò)終端的補(bǔ)丁升級(jí)、系統(tǒng)配置方略，可以定義終端補(bǔ)

丁下載，補(bǔ)丁升級(jí)方略以及增強(qiáng)終端系統(tǒng)安全配置方略并下發(fā)給運(yùn)行于各終端

設(shè)備上H勺代理，代理執(zhí)行這些方略，保證終端系統(tǒng)補(bǔ)丁升級(jí)、安全配置的完備

有效，整個(gè)管理過(guò)程都是自動(dòng)完畢日勺，對(duì)終端顧客來(lái)說(shuō)完全透明，減少了終端

顧客的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，提高企業(yè)網(wǎng)絡(luò)整體口勺補(bǔ)丁升級(jí)、安全配置

管理效率和效用，使企業(yè)網(wǎng)絡(luò)H勺補(bǔ)丁及安全配置管理方略得到有效日勺貫徹。

□針對(duì)虛擬化和云設(shè)計(jì)

伴隨虛擬化和云技術(shù)的不停應(yīng)用和發(fā)展，防病毒軟件需要適合在虛擬化河

運(yùn)平臺(tái)下的終端防護(hù)，包括如下功能：

□針對(duì)VMware>Citrix和Microsoft虛擬環(huán)境而優(yōu)化

□易于管理的物理和虛擬客戶(hù)端

□最大程度提高了在虛擬化和云平臺(tái)下性能和密度，同步絲毫不會(huì)影響安全性

□在虛擬化河運(yùn)平臺(tái)下最杰出的性能和安全性

□基于特性的病毒防護(hù)技術(shù)

最終，老式的I病毒防護(hù)技術(shù)僅僅作為積極防御的IH勺一種必要補(bǔ)充，防御已

知的病毒，對(duì)于已經(jīng)感染病毒機(jī)器進(jìn)行自動(dòng)的清除和恢復(fù)操作。

綜上所述，單純的防病毒產(chǎn)品都僅僅實(shí)現(xiàn)了基于特性的病毒防護(hù)功能，必

須依托其他的積極防御技術(shù)，才能有效地應(yīng)對(duì)目前的惡意代碼威脅。

2.3.2服務(wù)層面

企業(yè)通過(guò)建立網(wǎng)絡(luò)防病毒體系來(lái)防止病毒入侵，即是一種動(dòng)態(tài)的技術(shù)時(shí)抗

過(guò)程，也是一種防守方和襲擊方的人員較勁過(guò)程。在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境里，由于

襲擊方在大多數(shù)狀況下掌握著積極權(quán)，因此布署防病毒產(chǎn)品只是建立了對(duì)抗襲

擊口勺基礎(chǔ)，還不能到達(dá)真正意義上日勺安全，最重要的是對(duì)產(chǎn)品進(jìn)行有效的管理

和時(shí)時(shí)日勺方略配置，并且時(shí)時(shí)刻刻關(guān)注網(wǎng)絡(luò)安全日勺最新動(dòng)態(tài)，根據(jù)多種變化及

時(shí)調(diào)整安全方略，加固系統(tǒng)。只有結(jié)合和采用防病毒安全服務(wù)，才能使企業(yè)日勺

防病毒體系以及整體安全到達(dá)一種新日勺高度。

防病毒廠商提供的服務(wù)重要包括如下兩個(gè)方面：

□病毒預(yù)警服務(wù)

病毒預(yù)警服務(wù)為XXX對(duì)于新病毒的提前預(yù)警、告知和防備的原則流程，該

流程為管理員提供必耍的信息和預(yù)警，以便在病毒抵達(dá)企業(yè)之前或病毒尚未泛

濫之前布署對(duì)策并成功抵制襲擊，減少病毒事件日勺數(shù)量，減少病毒事件日勺影

響。

□突發(fā)病毒應(yīng)急響應(yīng)服務(wù)

當(dāng)顧客發(fā)現(xiàn)一種未知病毒的傳播導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓，而既有防病毒客戶(hù)端

對(duì)此無(wú)能無(wú)能為力，或者當(dāng)病毒客戶(hù)端發(fā)現(xiàn)病毒但既不能隔離也不能有效刪除

時(shí)候，就需要防病毒服務(wù)可以幫顧客處理這些問(wèn)題。并且，顧客需要日勺是一種

時(shí)限范圍內(nèi)的處理。

顧客可以通過(guò)提交病毒樣本或規(guī)定直接上門(mén)服務(wù)的方式，請(qǐng)防病毒廠家協(xié)

助處理這些問(wèn)題，防止病毒在顧客的大規(guī)模擴(kuò)散。

第3章產(chǎn)品選型推薦

根據(jù)以上防病毒系統(tǒng)設(shè)計(jì)思緒，我們推薦采用SymantecEndpoint

Protection12.1終端防擰軟件。

3.1SEP12組件及功能闡明

SEP12重要功能模塊如下：

（1）防病毒和反間諜軟件

防病毒和反間諜軟件處理方案一般采用基于掃描日勺老式技術(shù)，來(lái)識(shí)別端點(diǎn)設(shè)備上

的病毒、蠕蟲(chóng)、特洛伊木馬、間諜軟件和其他惡意軟件。經(jīng)典的防病毒和反間諜

軟件處理方案會(huì)在系統(tǒng)中搜索與已知威脅的特點(diǎn)（或稱(chēng)威脅特性）匹配日勺文獻(xiàn)，

從而檢測(cè)這些威脅。在檢測(cè)到威脅后，該處理方案會(huì)對(duì)其進(jìn)行補(bǔ)救，一般是刪除

或控制威脅。數(shù)年來(lái)，該措施在針對(duì)已知威脅保護(hù)端點(diǎn)時(shí)?直非常有效。雖然該

措施局限性以防御未知威脅和零日威脅，但它仍然是整體端點(diǎn)安全中口勺基本要

素。

Symantec從2023年7月份公布於JSymantecEndpointProtection12.1版本開(kāi)

始，把原本在個(gè)人版諾頓防病毒軟件使用成熟日勺信譽(yù)度技術(shù)和積極式防御技術(shù)增

長(zhǎng)到企業(yè)版SymantecEndpointProtection產(chǎn)品之中，做到了真正Fl勺基于

Symantec全球云計(jì)算網(wǎng)絡(luò)的病毒和惡意軟件檢測(cè)。該技術(shù)不僅是老式的基于特

性碼的防病毒技術(shù)日勺一種重要補(bǔ)充，伴隨使用者數(shù)目日勺增多和信譽(yù)度數(shù)據(jù)庫(kù)日勺不

停豐富完善，正在成為Symantec的重要日勺病毒和惡意軟件檢測(cè)技術(shù)。

由于整個(gè)行業(yè)日益重視端點(diǎn)安全，因此防病毒和反間諜軟件市場(chǎng)中近來(lái)新出現(xiàn)了

多種產(chǎn)品。在這些第一代和第二代處理方案中，雖然有許多產(chǎn)品可以提供一定程

度日勺防護(hù)，但它們往往無(wú)法提供全面防護(hù)。許多技術(shù)僅在一種操作系統(tǒng)上工作。

其他技術(shù)缺乏與防火墻、設(shè)備控制和入侵防御等其他基本端點(diǎn)安全技術(shù)互操作的

功能。

無(wú)論是從質(zhì)量還是級(jí)別來(lái)看，SymantecEndpointProtection提供的防護(hù)都遠(yuǎn)

遠(yuǎn)超越了競(jìng)爭(zhēng)對(duì)手的產(chǎn)品。與第一代打包處理方案相比，SymantecEndpoint

Protection提供更高級(jí)別的實(shí)時(shí)防護(hù)，并且賽門(mén)鐵克日勺體現(xiàn)比許多老牌安全處

理方案提供商更勝一籌。例如，賽門(mén)鐵克是1999年以來(lái)唯一持續(xù)獲得40多項(xiàng)

VB100獎(jiǎng)的供應(yīng)商。在Gartner評(píng)比中，SymantecEndpointProtection一直位

列領(lǐng)導(dǎo)者象限日勺領(lǐng)先地位。

Figure1.MagicQuadrantforEndpointProtectionPlatforms

challengersleaders

-

9

P

I<Symantec

O

①M(fèi)cAfee

xTrendMicro

①Sophos

0KasperskyLab

1

PandaSecurityCheck^Point_§ofiw

Eset.'areTechnologies

q三CATechnologies

e

LANDesk

一Microsoft?BigFix-IBM

LumensionSecurity

eEyeDigitalSecurity

GFISoftwareSkyReconS/stems

nicheplayersvisionaries

-------------------1completenessofvisionI----------

AsofDecember2010

Source:Gartner(December2010)

此外,SymantecEndpointProtection由賽門(mén)鐵克全球情報(bào)網(wǎng)絡(luò)提供支持,該

集成式服務(wù)為客戶(hù)提供了必需日勺情報(bào)，讓他們可以減少安全風(fēng)險(xiǎn)、提高法規(guī)遵從

性并改善整體安全狀況。賽門(mén)鐵克全球情報(bào)服務(wù)提供了對(duì)全球、行業(yè)和當(dāng)?shù)刈钚?/p>

威脅與襲擊的洞察，以便企業(yè)可以積極響應(yīng)新出現(xiàn)日勺威脅。通過(guò)將威脅預(yù)警和賽

門(mén)鐵克托管安全服務(wù)完美結(jié)合，賽門(mén)鐵克全球情報(bào)服務(wù)可以對(duì)整個(gè)企業(yè)中的惡意

活動(dòng)進(jìn)行實(shí)時(shí)分析，從而協(xié)助企業(yè)保護(hù)關(guān)鍵信息資產(chǎn)。

(2)積極威脅防護(hù)技術(shù)

雖然基于特性和信譽(yù)度的文獻(xiàn)掃描和網(wǎng)絡(luò)掃描技術(shù)覆蓋了重要的必備保護(hù)令頁(yè)域,

但仍然需要并非基于特性或信譽(yù)度的技術(shù)，來(lái)防御隱蔽襲擊使用時(shí)不停增多的未

知威脅。此類(lèi)技術(shù)被稱(chēng)為積極威脅防護(hù)技術(shù)。

SymantecEndpointProtection包括ProactiveThreatScan,它是一種積極威

脅防護(hù)技術(shù)，可防御運(yùn)用已知漏洞的多種變種和前所未見(jiàn)的威脅。它具有獨(dú)特H勺

主機(jī)入侵防御功能，讓企業(yè)有能力針對(duì)未知或零日威脅保護(hù)自己。Proactive

ThreatScan基于分析系統(tǒng)所運(yùn)行進(jìn)程的行為來(lái)檢測(cè)潛在威脅的啟發(fā)式技術(shù)。大

多數(shù)基于主機(jī)日勺IPS僅檢測(cè)它們認(rèn)為的“不良行為二因此，它們常常會(huì)將可接

受日勺應(yīng)用程序行為識(shí)別為威脅并將它們關(guān)閉，嚴(yán)重影響顧客和技術(shù)支持中心日勺工

作效率，讓管理員面臨著艱巨口勺挑戰(zhàn)。不過(guò)，ProactiveThreatScan會(huì)同步記

錄應(yīng)用程序的正常行為和不良行為，提供愈加精確H勺威脅檢測(cè)，可明顯減少誤報(bào)

的）數(shù)量。因此,SymantecEndpointProtection讓企業(yè)可以檢測(cè)到任何基于特

性口勺技術(shù)都檢測(cè)不到的未知威脅。

（3）網(wǎng)絡(luò)威脅防護(hù)

端點(diǎn)上日勺網(wǎng)絡(luò)威脅防護(hù)對(duì)于防御混合型威脅和制止爆發(fā)至關(guān)重要。為保證有效

性，絕不能僅僅依賴(lài)防火墻。網(wǎng)絡(luò)威脅防護(hù)應(yīng)包括多種先進(jìn)防護(hù)技術(shù)，包括入侵

防御以及先進(jìn)H勺網(wǎng)絡(luò)通信控制功能。

過(guò)去，安全專(zhuān)家爭(zhēng)論日勺焦點(diǎn)是：與否需要在企業(yè)網(wǎng)絡(luò)邊界自身或個(gè)別臺(tái)式機(jī)上布

署防火墻。由于目前日勺威脅極為復(fù)雜，并且移動(dòng)辦公人員已經(jīng)擴(kuò)展到企業(yè)計(jì)算基

礎(chǔ)架構(gòu)的邊界以外，因此端點(diǎn)已成為漏洞運(yùn)用和襲擊的重要目日勺。威脅一般首先

感染網(wǎng)絡(luò)邊界以外的一臺(tái)筆記本電腦，之后，在這臺(tái)筆記本電腦連接到內(nèi)部網(wǎng)絡(luò)

時(shí)，該威脅就會(huì)傳播到其他端點(diǎn)?？梢赃\(yùn)用端點(diǎn)防火墻，不僅制止內(nèi)部網(wǎng)絡(luò)襲擊

入侵連接到網(wǎng)絡(luò)的任何端點(diǎn)，甚至制止這些威脅離開(kāi)最初感染的端點(diǎn)。

SymantecEndpointProtection端點(diǎn)安全代理結(jié)合最佳n勺防火墻處理方案,

兼?zhèn)湓愰T(mén)鐵克客戶(hù)端防火墻與Sygate叫防火墻的功能。其中包括：

基于規(guī)則的防火墻引擎

預(yù)定義H勺防病毒、反間諜軟件和個(gè)人防火墻檢查

按應(yīng)用程序、主機(jī)、服務(wù)和時(shí)間觸發(fā)口勺防火墻規(guī)則

全面TCP/IP支持（TCP、UDP、ICMP、RawIPProtocol）

用于容許或嚴(yán)禁網(wǎng)絡(luò)協(xié)議支持H勺選項(xiàng)，包括以太網(wǎng)、令牌環(huán)、IPX/SPX、AppleTalk

和NetBEUI

制止VMware和WinPcap等協(xié)議驅(qū)動(dòng)程序日勺功能

特定于適配器日勺規(guī)則

檢查加密和明文網(wǎng)絡(luò)通信H勺功能

數(shù)據(jù)包和數(shù)據(jù)流入侵防御系統(tǒng)（IPS）制止、自定義IPS特性制止以及一般漏洞運(yùn)

用嚴(yán)禁實(shí)現(xiàn)積極威脅防御

網(wǎng)絡(luò)準(zhǔn)入控制日勺自我實(shí)行

（4）入侵防御

對(duì)處理基于漏洞的網(wǎng)絡(luò)威脅具有重要作用，對(duì)于使用一般特性并基于漏洞時(shí)入侵

更是如此?；诼┒慈丈兹肭址烙到y(tǒng)可使用一種一般特性，制止襲擊漏洞日勺數(shù)百

種潛在漏洞運(yùn)用，在網(wǎng)絡(luò)層遏止襲擊，使其主線無(wú)法感染端點(diǎn)。

雖然老式IPS處理方案可以檢測(cè)到特定的已知漏洞運(yùn)用，但他們局限性以針對(duì)構(gòu)

成目前威脅主流的多種漏洞襲擊變種來(lái)保護(hù)公布H勺軟件漏洞。根據(jù)互聯(lián)網(wǎng)安全威

脅匯報(bào)(ISTRVolXI),操作系統(tǒng)或應(yīng)用程序提供商平均需要47天才能公布公布

漏洞的補(bǔ)丁程序。在推出補(bǔ)丁程序之前運(yùn)用這些漏洞進(jìn)行FI勺襲擊一般稱(chēng)為前所未

見(jiàn)日勺襲擊或零日襲擊。在檢測(cè)到第一次漏洞襲擊之后日勺幾小時(shí)，IPS供應(yīng)商會(huì)公

布特性，以防御運(yùn)用特定漏洞日勺深入襲擊。

這些反應(yīng)性措施會(huì)讓老練日勺襲擊者擁有大量襲擊機(jī)會(huì)。在公布漏洞特性之前發(fā)起

時(shí)第一輪漏洞運(yùn)用會(huì)讓企業(yè)承受極為慘重日勺損失。雖然已經(jīng)公布了漏洞運(yùn)用特

性，這些措施對(duì)多態(tài)或自我突變H勺漏洞運(yùn)用變種也是毫無(wú)招架能力。此外，這些

基于漏洞運(yùn)用日勺反應(yīng)性措施無(wú)法防御尚未發(fā)現(xiàn)、尚未匯報(bào)或未知日勺威脅，例如，

一般檢測(cè)不到以特定企業(yè)為目日勺日勺隱蔽漏洞運(yùn)用。為應(yīng)對(duì)前所未見(jiàn)日勺突變威脅，

需要基于漏洞口勺TPS形式的更積極措施。

雖然基于漏洞運(yùn)用的特性只能檢測(cè)到特定漏洞運(yùn)用，但基于漏洞的特性會(huì)在更高

級(jí)別運(yùn)行，不僅檢測(cè)到運(yùn)用一種漏洞H勺特定襲擊，并且可以檢測(cè)到試圖襲擊該漏

洞日勺所有漏洞運(yùn)用。SymantecEndpointProtection包括：

一般漏洞運(yùn)用嚴(yán)禁(GEB),雖然用一般特性、基于漏洞的IPS技術(shù)。當(dāng)操作系

統(tǒng)或應(yīng)用程序供應(yīng)商公布也許導(dǎo)致企業(yè)面臨嚴(yán)重風(fēng)險(xiǎn)的新漏洞時(shí)，賽門(mén)鐵克日勺工

程師會(huì)研究該漏洞的特點(diǎn)，并根據(jù)研究成果總結(jié)并公布一般特性。由此可協(xié)助在

出現(xiàn)漏洞運(yùn)用之前保護(hù)企業(yè)。

基于漏洞的I入侵防御非常有效，由于一種漏洞定義不僅能防御一種威脅，并且可

防御數(shù)百種甚至數(shù)千種威脅(參見(jiàn)下表)。由于這種防御會(huì)查找漏洞特點(diǎn)和行為,

因此可防御多種威脅，甚至可防御未知威脅或尚未開(kāi)發(fā)H勺威脅。

基于漏洞的保護(hù)還可用于防御以特定行業(yè)或企業(yè)為日H勺日勺漏洞運(yùn)用。rrH的的襲

擊??般比較隱蔽，由于它們?nèi)丈啄縃勺是在竊取機(jī)密信息時(shí)不會(huì)被發(fā)現(xiàn)，之后還要清

除它們自己在系統(tǒng)中留下的痕跡。因此，無(wú)法總結(jié)出這些有目的漏洞運(yùn)用的特性,

由于企業(yè)無(wú)法在它們導(dǎo)致破壞之前理解它們?；诼┒吹姆雷o(hù)可以識(shí)別有目H勺襲

擊試圖運(yùn)用的漏洞日勺高級(jí)特性，因此可檢測(cè)并制止漏洞運(yùn)用。

SymantecEndpointProtection中日勺端點(diǎn)安全代理在網(wǎng)絡(luò)層結(jié)合基于漏洞為防

護(hù)，可制止前所未見(jiàn)日勺漏洞運(yùn)用或其變種進(jìn)入并感染端點(diǎn)。由于它們沒(méi)有機(jī)會(huì)感

染端點(diǎn)，因此不會(huì)導(dǎo)致?lián)p害，也不需要對(duì)其進(jìn)行補(bǔ)救。

SymantecEndpointProtection還讓管理員有能力創(chuàng)立自定義『、J入侵防御特性。

因此，他們可以定義基于規(guī)則的特性，根據(jù)他們的特有環(huán)境和自定義應(yīng)用程序H勺

需要而進(jìn)行量身定制?？梢詫⑻匦詣?chuàng)立為可制止某些特定操作或更復(fù)雜日勺操作。

假如使用SymantecEndpointProtection,將無(wú)需等待操作系統(tǒng)或應(yīng)用程序供

應(yīng)商創(chuàng)立己知漏洞日勺補(bǔ)丁程序，因此管理員可以對(duì)端點(diǎn)安全和防護(hù)提供全面日勺積

極性控制。

(5)設(shè)備和應(yīng)用程序正制

SymantecEndpointProtection結(jié)合了設(shè)備和應(yīng)用程序控制功能，讓管理員可

以拒絕被認(rèn)為存在高風(fēng)險(xiǎn)日勺特定設(shè)備和應(yīng)用程序活動(dòng)，使企業(yè)可以根據(jù)顧客位置

嚴(yán)禁特定日勺操作。設(shè)備控制技術(shù)讓管理員可以決定并控制容許哪些設(shè)備連接端

點(diǎn)。例如，它可以鎖定端點(diǎn)，嚴(yán)禁便攜硬盤(pán)、CD刻錄機(jī)、打印機(jī)或其他USB設(shè)

備連接到系統(tǒng)，以防止將機(jī)密信息從系統(tǒng)復(fù)制到其中。

嚴(yán)禁設(shè)備連接日勺功能還可以協(xié)助防止端點(diǎn)受來(lái)自上述設(shè)備以及其他設(shè)備的病毒

感染。應(yīng)用程序控制技術(shù)讓管理員可以按照顧客和其他應(yīng)用程序，控制對(duì)特定流

程、文獻(xiàn)和文獻(xiàn)夾的訪問(wèn)。它提供應(yīng)用程序分析、流程控制、文獻(xiàn)和注冊(cè)表訪問(wèn)

控制、模塊和DLL控制。假如管理員但愿限制被認(rèn)為可疑或存在高風(fēng)險(xiǎn)的某些活

動(dòng)，則可以使用該高級(jí)功能。

(6)支持網(wǎng)絡(luò)準(zhǔn)入控制

SymantecEndpointProtection中口勺端點(diǎn)安全代理支持網(wǎng)絡(luò)準(zhǔn)入控制，這意味

著該代理已集成網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，并口.通過(guò)購(gòu)置SymantecNetworkAccess

Control許可證就可以輕松啟用該技術(shù)。因此，在布署SymantecEndpoint

Protection后，無(wú)需在端點(diǎn)設(shè)備上布署其他代理軟件即可實(shí)行網(wǎng)絡(luò)準(zhǔn)入控制

通過(guò)購(gòu)置附加許可證啟用網(wǎng)絡(luò)準(zhǔn)入控制之后，它會(huì)控制對(duì)企業(yè)網(wǎng)絡(luò)日勺訪問(wèn)、實(shí)行

端點(diǎn)安全方略并與既有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)輕松集成。不管端點(diǎn)以何種方式與網(wǎng)絡(luò)相

連，SymantecNetworkAccessControl都可以發(fā)現(xiàn)并評(píng)估端點(diǎn)遵從狀態(tài)、設(shè)置

合適時(shí)網(wǎng)絡(luò)訪問(wèn)權(quán)限、提供自動(dòng)補(bǔ)救功能，并持續(xù)監(jiān)視端點(diǎn)以理解遵從狀態(tài)與否

發(fā)生了變化。此外，為了簡(jiǎn)化并優(yōu)化管理，管理員為SymantecEndpoint

Protection和SymantecNetworkAccessControl使用同一管理控制臺(tái)管理所

有功能。

第4章布署方案

4.1布署架構(gòu)

（1）在總企業(yè)網(wǎng)內(nèi)布署2臺(tái)SEP管理服務(wù)器（如下簡(jiǎn)稱(chēng)SEPM）,一臺(tái)Liveupdate

Administrator（如下簡(jiǎn)稱(chēng)LUA）服務(wù)器,分別用于:

SEP管理服務(wù)器管理總企業(yè)所屬日勺SEP客戶(hù)端；2臺(tái)SEPM服務(wù)器其中一臺(tái)為主管

理服務(wù)器，包括SQLServer管理數(shù)據(jù)庫(kù)；此外一臺(tái)為備用管理服務(wù)器，起到

負(fù)載均衡歐J作用；

LUA服務(wù)器用于病毒定義H勺更新，總企業(yè)LUA服務(wù)器將為總企業(yè)SEP服務(wù)器與各

省級(jí)分企業(yè)LUA服務(wù)器提供病毒定義日勺更新；

（2）假如有分級(jí)布署的必要，在各分企業(yè)網(wǎng)內(nèi)布署一臺(tái)SEP管理服務(wù)器與一臺(tái)

LUA服務(wù)器，分別用于：

SEP管理服務(wù)器管理各省級(jí)分企業(yè)SEP客戶(hù)端；

LUA服務(wù)器用于為各省級(jí)分企業(yè)SEP管理服務(wù)器與各地市級(jí)分企業(yè)SEP管理服務(wù)

器提供病毒定義的更新；

4.2管理系統(tǒng)功能組件闡明

防病毒軟件管理系統(tǒng)包括兩部分組件：

□方略管理服務(wù)器

方略服務(wù)器實(shí)現(xiàn)所有安全方略、準(zhǔn)入控制規(guī)則日勺管理、設(shè)定和監(jiān)控，是整個(gè)終端

安全原則化管理的關(guān)鍵。通過(guò)使用控制臺(tái)管理員可以創(chuàng)立和管理多種方略、將方

略分派給代理、查看日志并運(yùn)行端點(diǎn)安全活動(dòng)匯報(bào)。通過(guò)圖形匯報(bào)、集中日志記

錄和閾值警報(bào)等功能提供全面H勺端點(diǎn)可見(jiàn)性。統(tǒng)一控制臺(tái)簡(jiǎn)化了端點(diǎn)安全管理，

提供集中軟件更新、方略更新、匯報(bào)等功能。

方略管理服務(wù)器可以完畢如下任務(wù)：

?終端分組與權(quán)限管理；

?根據(jù)地理位置、業(yè)務(wù)屬性等條件對(duì)終端進(jìn)行分組管理，對(duì)于不一樣為組

可以制定專(zhuān)門(mén)的組管理員，并進(jìn)行權(quán)限控制。

?方略管理與公布；

?方略包括自動(dòng)防護(hù)方略、手動(dòng)掃描時(shí)方略、手動(dòng)掃描的方略、病毒、木

馬防護(hù)方略、惡意腳本防護(hù)方略、電子郵件防護(hù)方略（包括outlook、lotus

以及internet郵件）、廣告軟件防護(hù)方略、前瞻性威脅防護(hù)方略、防火

墻方略、入侵防護(hù)方略、硬件保護(hù)方略、軟件保護(hù)方略、升級(jí)方略、主

機(jī)完整性方略等

?安全內(nèi)容更新下發(fā)

?安全內(nèi)容更新包括病毒定義、防火墻規(guī)則、入侵防護(hù)定義、積極威協(xié)防

護(hù)規(guī)則等

?日志搜集和報(bào)表展現(xiàn)

?可以生成日?qǐng)?bào)/周報(bào)/月報(bào)，匯報(bào)種類(lèi)包括：風(fēng)險(xiǎn)報(bào)表（以服務(wù)器組、父

服務(wù)器、客戶(hù)端組、計(jì)算機(jī)、IP、顧客名為條件識(shí)別感染源、目前環(huán)境

下高風(fēng)險(xiǎn)列表、按類(lèi)型劃分H勺安全風(fēng)險(xiǎn)）、計(jì)算機(jī)狀態(tài)報(bào)表（內(nèi)容定義分

發(fā)、產(chǎn)品版本列表、未接受管理客戶(hù)端列表）、掃描狀態(tài)報(bào)表、審計(jì)報(bào)表、

軟件和硬件控制報(bào)表、網(wǎng)絡(luò)威脅防護(hù)報(bào)表、系統(tǒng)報(bào)表、安全遵從性報(bào)表。

?強(qiáng)制服務(wù)器管理和方略下發(fā)

?對(duì)于互換機(jī)強(qiáng)制服務(wù)器和網(wǎng)關(guān)強(qiáng)制設(shè)備進(jìn)行統(tǒng)一的管理和方略定義。

?終端代理安裝包的維護(hù)和升級(jí)；

□終端客戶(hù)端

終端安全管理系統(tǒng)需要在所有日勺終端上布署安全代理軟件，安全代理是整個(gè)企業(yè)

網(wǎng)絡(luò)安全方略日勺執(zhí)行者，它安裝在網(wǎng)絡(luò)中的每一臺(tái)終端計(jì)算機(jī)上。安全代理實(shí)現(xiàn)

端點(diǎn)保護(hù)和準(zhǔn)入控制功能。

端點(diǎn)保護(hù)功能包括：

?防病毒和反間諜軟件一提供病毒防護(hù)、間諜軟件防護(hù)、rootkit防護(hù)。

?網(wǎng)絡(luò)威脅防護(hù)一提供基于規(guī)則口勺防火墻引擎和一般漏洞運(yùn)用嚴(yán)禁功能

（GEB）,該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其制止在外。

?積極威脅防護(hù)一針對(duì)不可見(jiàn)日勺威脅（即零□威脅，）提供防護(hù)。包括不

依賴(lài)特性的積極威脅掃描。

4.3病毒定義升級(jí)

4.3.1防病毒系統(tǒng)初建后第一次升級(jí)方案

防病毒系統(tǒng)在建設(shè)完畢后第一次升級(jí)占用帶寬較大，一般需要升級(jí)

100M-200M左右的軟件更新和病毒定義升級(jí)，假如在廣域鏈路上進(jìn)行并發(fā)更新

輕易導(dǎo)致鏈路擁塞，在這種狀況下可考慮采用如下措施予以防止：

?根據(jù)實(shí)行時(shí)間，針對(duì)山西農(nóng)信定制軟件安裝包，包括目前最新日勺病毒定

義；或者防病毒服務(wù)器安裝完畢后立即手動(dòng)升級(jí)其病毒定義庫(kù)；

?原則上不容許客戶(hù)端進(jìn)行手動(dòng)日勺防病毒定義升級(jí)。

4.3.2正常運(yùn)維狀態(tài)下的升級(jí)方案

防病毒系統(tǒng)通過(guò)初次升級(jí)進(jìn)入到平常運(yùn)維狀態(tài)，后期的防病毒定義更新包

一般很小（150Kbytes?200Kbytes不等），在運(yùn)維狀態(tài)下自動(dòng)化的病毒定義更新

是非常必要改I。

在運(yùn)維狀態(tài)下自動(dòng)化H勺病毒定義更新是非常必要H勺：

?首先升級(jí)山西農(nóng)信數(shù)據(jù)中心SEPMH勺病毒定義碼、掃描引擎、特性庫(kù)（漏

洞特性庫(kù)和襲擊特性庫(kù)）和安全規(guī)則（防火墻方略）。通過(guò)Internet到

防病毒產(chǎn)品提供商網(wǎng)站升級(jí)最新的病毒定義碼和掃描引擎。

?正常狀況下升級(jí)周期為每天一次，時(shí)間設(shè)定為凌晨，防止升級(jí)流量對(duì)廣

域網(wǎng)絡(luò)帶寬的影響；當(dāng)有突發(fā)的病毒事件或嚴(yán)重級(jí)別歐J病毒威脅，可實(shí)

時(shí)升級(jí)病毒定義并下發(fā)。

采用這種升級(jí)方式，首先可以保證山西農(nóng)信整個(gè)網(wǎng)絡(luò)內(nèi)的病毒定義碼和掃

描引擎的更新基本保持同步。另首先，由于整個(gè)網(wǎng)絡(luò)的病毒定義碼和掃描引擎

的更新、升級(jí)自動(dòng)完畢，就可以防止由于人為原因?qū)е戮W(wǎng)絡(luò)中某些機(jī)器或某個(gè)

網(wǎng)絡(luò)由于沒(méi)有及時(shí)更新最新口勺病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能

力，同步也防止了各下屬單位自行到Internet升級(jí)而帶來(lái)H勺不便和安全隱患,

4.3.3Symantec病毒定義升級(jí)頻率

缺省狀況下，賽門(mén)鐵克企業(yè)每日在官方網(wǎng)站上公布可供防病毒系統(tǒng)自動(dòng)更

新日勺病毒定義碼(正常狀態(tài)下每日3次更新；對(duì)于高危險(xiǎn)性病毒爆發(fā)的狀況，每

日會(huì)更新多次)。

4.4網(wǎng)絡(luò)帶寬影響

服務(wù)器與客戶(hù)端之間方略通信流量，取決于管理員配置的操作系統(tǒng)保護(hù)方

略H勺復(fù)雜程度，一種正常日勺方略文獻(xiàn)在20K—80K之間變化，加密壓縮后實(shí)際

傳播大校在5K—1OK左右。以500臺(tái)終端(一種分支機(jī)構(gòu)歐J終端一般少于500

臺(tái))為例，在一次心跳時(shí)間(一小時(shí))內(nèi)發(fā)生日勺實(shí)際流量為l()K*50()=5M,每

秒服務(wù)器的方略下載流量為5M/(3600s)=1.4Kbyte,需要占用帶寬為

11.2Kbps。實(shí)際上，方略更新僅在方略發(fā)生變化時(shí)發(fā)起，平時(shí)帶寬占用可以忽

視不計(jì)。

服務(wù)器和客戶(hù)端之間的日志流量，默認(rèn)設(shè)置的客戶(hù)端日志大小限制為

5I2K,每次上傳的日志都是自上一次和服務(wù)器通訊后發(fā)生過(guò)的日志。一般客戶(hù)

端一天(工作時(shí)間)發(fā)生日勺日志量是20條--