錯(cuò)誤 !未找到引用源。 錯(cuò)誤 !未找到引用源。 賽門鐵克 錯(cuò)誤 !未找到引用源。 I 目 錄 第 1 章 惡意代碼發(fā)展趨勢(shì) . 2 章 防病毒系統(tǒng)設(shè)計(jì)思路 .于特征的防病毒技術(shù)分析 . 2 統(tǒng)的防病毒產(chǎn)品使用效果分析 . 4 術(shù)管理服務(wù)的體系化建設(shè) . 5 術(shù)層面：主動(dòng)防御 . 管理層面：終端準(zhǔn)入控制 . 服務(wù)層面 . 16 第 3 章 產(chǎn)品選型推薦 . 17 點(diǎn)安全保護(hù) . 17 品簡(jiǎn)介 . 17 品主要優(yōu)勢(shì) . 18 要功能 . 20 端準(zhǔn)入控制 . 20 要優(yōu)勢(shì) . 21 要功能 . 22 第 4 章 終端安全管理系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì) . 24 理系統(tǒng)功能組件說明 . 24 統(tǒng)管理架構(gòu)設(shè)計(jì) . 27 毒定義升級(jí) . 30 病毒系 統(tǒng)初建后第一次升級(jí)方案 . 30 錯(cuò)誤 !未找到引用源。 正常運(yùn)維狀態(tài)下的升級(jí)方案 . 31 毒定義升級(jí)頻率 . 31 絡(luò)帶 寬影響 . 32 入控制設(shè)計(jì) . 32 全管理策略設(shè)計(jì) . 35 理權(quán)限策略 . 35 地市組織結(jié)構(gòu)策略 . 35 份和數(shù)據(jù)庫維護(hù)策略 . 35 全策略 . 35 務(wù)器的硬件配置需求 . 37 第 5 章 服務(wù)方案 . 39 門鐵克專業(yè)防病毒服務(wù)體系 . 39 門鐵克服務(wù)水平闡述 . 39 門鐵克安全響應(yīng)中心 . 39 門鐵克企業(yè)客戶服務(wù)中心 . 40 門鐵克安全合作服務(wù)商 . 41 門鐵克專業(yè)防病毒服務(wù)流程 . 41 本流程 . 42 戶服務(wù)專員的 工作流程 . 43 戶服務(wù)經(jīng)理的工作流程 . 43 程師的工作流程 . 43 急事件響應(yīng)流程 . 45 錯(cuò)誤 !未找到引用源。 - 1 - 第 1章 惡意代碼發(fā)展趨勢(shì) 終端所面臨的安全威脅已不再是傳統(tǒng)的病毒，而是更加復(fù)雜的惡意代碼（廣義病毒）。分析惡意代碼的發(fā)展趨勢(shì)可以幫助我們更好地構(gòu)建病毒防護(hù)體系，優(yōu)化現(xiàn)有安全防護(hù)體系，從而實(shí)現(xiàn)保障終端安全的最終目標(biāo)。 前所未見的惡意代碼威脅 當(dāng)前，終端安全必需要面對(duì)的首要問題是越來越多的惡意代碼是未知的，前所未見的。前所未見的威脅之所以劇增，其中一個(gè)主要原因是惡意代碼系列中出現(xiàn)大量變種。攻擊者普遍都在更新當(dāng)前的惡意代碼，以創(chuàng)建新的變種，而不是“從頭開始”創(chuàng)建新的惡 意代碼。一些惡意代碼系列（如熊貓燒香、 列）中的變種數(shù)量多如牛毛便是這方面淋漓盡致地再現(xiàn)。 惡意代碼的編寫者創(chuàng)建新變種的方法各式各樣，其中包括變形代碼進(jìn)化、更改功能及運(yùn)行時(shí)打包實(shí)用程序，以逃避防病毒軟件的檢測(cè)。前幾年，蠕蟲和病毒（紅色代碼、沖擊波）的大規(guī)模爆發(fā)表明，惡意代碼無需復(fù)雜就可以感染大量計(jì)算機(jī)。如今，關(guān)注的焦點(diǎn)逐漸轉(zhuǎn)移到目標(biāo)性攻擊和更狡猾的感染方法上。因此，越來越多的攻擊者開始使用復(fù)雜的多態(tài)技術(shù)來逃避檢測(cè)，為傳播助力。多態(tài)病毒可以在復(fù)制時(shí)更改其字節(jié)樣式，從而逃避采用簡(jiǎn)單的字符串掃描防病毒技 術(shù)進(jìn)行的檢測(cè)。 特洛伊木馬 特洛伊木馬是一種不會(huì)進(jìn)行自我復(fù)制的程序，但會(huì)以某種方式破壞或危害主機(jī)的安全性。特洛伊木馬看起來可用于某些目的，從而促使用戶下載并運(yùn)行，但它實(shí)際上攜帶了一個(gè)破壞性的程序。它們可能偽裝成可從各個(gè)來源下載的合法應(yīng)用程序，還可能作為電子郵件附件發(fā)送給無防備的用戶。 根據(jù)統(tǒng)計(jì)，大部分特洛伊木馬是通過惡意網(wǎng)站進(jìn)行安裝的。它們利用瀏覽器漏洞，這些漏洞允許惡意代碼的作者下載并執(zhí)行特洛伊木馬，而很少或無需與用 錯(cuò)誤 !未找到引用源。 - 2 - 戶交互。當(dāng)用戶使用 看其中的惡意的 網(wǎng)絡(luò)頁面時(shí)，特洛伊木馬便會(huì)通過瀏覽器中的多客戶端漏洞安裝在用戶的系統(tǒng)中。然后，特洛伊木馬會(huì)記錄某些網(wǎng)站的身份驗(yàn)證資料，并將其發(fā)送給遠(yuǎn)程攻擊者。許多新出現(xiàn)的特洛伊木馬還會(huì)從受感染的系統(tǒng)中竊取特定的消息，如網(wǎng)上銀行密碼。 廣告軟件 /流氓軟件 終端用戶遭遇的廣告軟件 /流氓軟件的幾率越來越高，廣告軟件可執(zhí)行多種操作，其中包括顯示彈出式廣告、將用戶重引導(dǎo)至色情網(wǎng)站、修改瀏覽器設(shè)置，如默認(rèn)主頁設(shè)置以及監(jiān)視用戶的上網(wǎng)活動(dòng)以顯示目標(biāo)廣告。其影響范圍包括單純的用戶騷擾、隱私權(quán)侵犯等。 影響因其固有的特點(diǎn)而難以量 化。但這并不意味著它們不是安全問題。最嚴(yán)重的影響可能是大范圍破壞個(gè)別最終用戶系統(tǒng)的完整性。包括：性能下降、瀏覽器故障、系統(tǒng)頻繁死機(jī)等。 混合型威脅 混合型威脅可以利用多種方法和技術(shù)進(jìn)行傳播。它們不但能利用漏洞，而且綜合了各類惡意代碼（病毒、蠕蟲和特洛伊木馬程序）的特點(diǎn)，從而可以在無需或僅需很少人工干預(yù)的情況下，短時(shí)間內(nèi)感染大量系統(tǒng)，迅速造成大范圍的破壞?；旌闲屯{常用的多傳播機(jī)制使其可以用靈活多變的方式避開組織的安全措施。它們可以同時(shí)使系統(tǒng)資源超負(fù)荷并耗盡網(wǎng)絡(luò)帶寬。 第 2章 防病毒系統(tǒng)設(shè)計(jì)思路 于特征的防病毒技術(shù) 分析 長(zhǎng)期以來，應(yīng)對(duì)混合型威脅（混合型病毒）的傳統(tǒng)做法是，一旦混合型病毒爆發(fā)，盡快捕獲樣本，再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速清除病毒并阻截該威脅的蔓延。這種方式曾一度相當(dāng)有效，但近年來特別是近兩年多次影響市兒 沖擊波、 貓燒香等病毒，已經(jīng)體現(xiàn)這種基于特征的被動(dòng)式病毒響應(yīng)方式效果不佳了。這一 錯(cuò)誤 !未找到引用源。 - 3 - 方面因?yàn)椴《镜目焖侔l(fā)展，另一方面更因?yàn)閭鹘y(tǒng)防病毒技術(shù)采取被動(dòng)跟蹤的方式來進(jìn)行病毒防護(hù)。 但是，這種被動(dòng)的病毒響應(yīng)方式越來越力不從心。如下圖所示， 對(duì)近年的發(fā)展趨勢(shì)做了比較。 附圖 1. 混合型病毒感染與病毒特征響應(yīng)對(duì)比圖 該圖以計(jì)算機(jī)病毒 /混合威脅的復(fù)制速度（藍(lán)色線條，自左上至右下）來顯示這些威脅的演變，以響應(yīng)速度（紅色線條，自左下至右上）來顯示病毒技術(shù)的發(fā)展。橫軸以年為單位，時(shí)間范圍是從 1990 年至 2005 年。縱軸實(shí)際上顯示兩種不同的時(shí)間規(guī)定（都采用左邊縱軸的時(shí)間比例來顯示）。左邊縱軸（藍(lán)色文本）顯示惡意病毒達(dá)到“感染”狀態(tài)所用的時(shí)間，在該狀態(tài)下，惡意病毒已經(jīng)感染了相當(dāng)多有漏洞的計(jì)算機(jī)。 右邊縱軸顯示提供描述病毒的特征所用的時(shí)間。 分析上圖的最后一部分可知，對(duì)于現(xiàn)在出現(xiàn)的幾分鐘甚至幾秒鐘之內(nèi)就可發(fā)作的超速混合威脅而言，其傳播速度和實(shí)現(xiàn)完全感染相關(guān)主機(jī)的速度比人工或自動(dòng)化系統(tǒng)生成和部署病毒特征的速度快得多時(shí)，在這樣情況下，原有的基于病毒特征的模式已經(jīng)效果甚微，因?yàn)榈侥菚r(shí)每次混合型病毒的爆發(fā)，由于特征響應(yīng)方 錯(cuò)誤 !未找到引用源。 - 4 - 式的滯后而讓將付出沉重的代價(jià)（最近的沖擊波、震蕩波的例子已經(jīng)初步證明了這一點(diǎn)），而這是絕對(duì)不能接受的。 統(tǒng)的防病毒產(chǎn)品使用效果分析 傳統(tǒng)的單一的防病毒產(chǎn)品在應(yīng)對(duì)新的終端安全威脅時(shí)效果往往不佳 ，其根本原因在于： 基于特征的病毒定義滯后性 雖然防病毒技術(shù)不斷發(fā)展，出現(xiàn)了類似啟發(fā)式掃描、智能檢測(cè)等新的技術(shù)，但是目前防病毒產(chǎn)品還是以基于特征的病毒掃描方式為主要手段。也即一種新的病毒出現(xiàn)后，防病毒廠商通過各種方式收集到病毒的樣本，經(jīng)過自動(dòng)地或者專家分析獲取病毒特征碼，隨即發(fā)布新的病毒定義供用戶下載更新。而用戶通過手動(dòng)或周期地自動(dòng)更新獲取新的病毒定義以后，才可以有效地防御這種新的病毒。 顯然，基于特征的病毒定義更新存在著滯后性，這種滯后表現(xiàn)在： 病毒定義滯后于新病毒的出現(xiàn)，當(dāng)前的病毒快速、大量變種的特性加 劇了這種滯后性所帶來的危害。 用戶的病毒定義滯后于廠商的病毒定義。這是由于用戶往往使用周期自動(dòng)更新的方式，甚至由于種種原因部分用戶的病毒定義不能正常升級(jí)，這些都會(huì)導(dǎo)致與最新的病毒定義的時(shí)間差。 區(qū)域性惡意代碼增加了樣本收集的難度 特洛伊木馬等惡意代碼當(dāng)前的一個(gè)重要特征是具有很強(qiáng)的目標(biāo)性和區(qū)域性。特洛伊木馬往往以特定用戶和群體為目標(biāo)。某一種特洛伊木馬可能只是針對(duì)某個(gè)地區(qū)的某類型用戶。由于特洛伊木馬的目標(biāo)性強(qiáng)，因此這些攻擊只是發(fā)送給較小的用戶群，從而使其看上去并不顯眼，并且不太可能提交給防病毒供應(yīng)商進(jìn)行分析。 而如果防病毒廠商不能及時(shí)獲得最新的病毒樣本，也就失去了對(duì)這些木馬的 錯(cuò)誤 !未找到引用源。 - 5 - 防護(hù)能力。 單純的防病毒技術(shù)無法應(yīng)對(duì)混合型威脅 混合型威脅 整合了病毒傳播和黑客攻擊的技術(shù)，以多種方式進(jìn)行傳播和攻擊。不需要人工干預(yù)，能夠自動(dòng)發(fā)現(xiàn)和利用系統(tǒng)漏洞，并自動(dòng)對(duì)有系統(tǒng)漏洞的計(jì)算機(jī)進(jìn)行傳播和攻擊。 越來越多的病毒會(huì)自動(dòng)攻擊操作系統(tǒng)或者特定的應(yīng)用軟件的漏洞，在漏洞未修復(fù)（未安裝補(bǔ)?。┑那闆r下，會(huì)造成病毒反復(fù)感染，純粹的防病毒不足以應(yīng)付這些新型的病毒事件。 復(fù)雜的病毒查殺技術(shù)與性能需求 新型的惡意代碼采取了更多的反檢測(cè)和清除的技術(shù)，包括前文描 述的多態(tài)病毒以及高級(jí)的 術(shù)。與傳統(tǒng)的惡意代碼相比，檢測(cè)復(fù)雜多態(tài)病毒和 及復(fù)雜的加密邏輯和統(tǒng)計(jì)分析過程，以及代碼模擬和數(shù)據(jù)驅(qū)動(dòng)引擎的設(shè)計(jì)。因此，這需要經(jīng)驗(yàn)豐富的分析師來開發(fā)檢測(cè)和移除技術(shù)。同時(shí)，防護(hù)時(shí)也需要占用更多的終端系統(tǒng)資源。實(shí)際測(cè)試包括很多用戶實(shí)際環(huán)境中，防病毒軟件通常占用內(nèi)存 50M 60M 左右，對(duì)于一些老的機(jī)器（內(nèi)存小于 256M）會(huì)影響系統(tǒng)性能。部分終端用戶往往在安全和性能的抉擇中放棄安全，這也導(dǎo)致了防病毒體系整體運(yùn)行效果不佳。 術(shù)管理服務(wù)的體系化建 設(shè) 實(shí)踐證明，完整有效的終端安全解決方案包括技術(shù)、管理和服務(wù)三個(gè)方面內(nèi)容。防病毒技術(shù)的部署和實(shí)施是“實(shí)現(xiàn)用戶個(gè)人的廣義病毒和攻擊的防護(hù)”的主要力量。 傳統(tǒng)的病毒防護(hù)方案往往以技術(shù)為主，但是僅僅依靠技術(shù)是有其局限性，因此指望一套防病毒軟件解決所有的病毒問題是不現(xiàn)實(shí)的；同時(shí)，對(duì)于市兒 病毒的管理性要求甚至比查殺病毒的能力顯得更為重要，如果不能做到全網(wǎng)防病毒的統(tǒng)一管理，再強(qiáng)的防病毒軟件也不能發(fā)揮應(yīng)有作用。 此外，我們重點(diǎn)提出“服務(wù)”的根本原因是基于一個(gè)判斷：即沒有任何防病 錯(cuò)誤 !未找到引用源。 - 6 - 毒廠家能夠做到對(duì)所有 已知病毒和未知病毒的快速準(zhǔn)確查殺。服務(wù)是產(chǎn)品的一種補(bǔ)充。 因此，產(chǎn)品管理服務(wù)的組合才能在根本上保證病毒防護(hù)的可靠性。以下分別予以詳細(xì)闡述： 術(shù)層面：主動(dòng)防御 從以上對(duì)新的惡意軟件發(fā)展趨勢(shì)和傳統(tǒng)的病毒防護(hù)產(chǎn)品的特性分析，不難看出，傳統(tǒng)防病毒技術(shù)由于采取被動(dòng)跟蹤的方式來進(jìn)行病毒防護(hù)。一旦病毒爆發(fā)，盡快捕獲樣本，再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速清除病毒并阻截該威脅的蔓延。這種被動(dòng)的防護(hù)方式無法應(yīng)對(duì)新的惡意軟件的發(fā)展。 因此，必須從“主動(dòng)防御”這一觀點(diǎn)出發(fā)，建立一個(gè)覆蓋全網(wǎng)的 、可伸縮、抗打擊的防病毒體系。相對(duì)于被動(dòng)式病毒響應(yīng)技術(shù)而言，主動(dòng)式反應(yīng)技術(shù)可在最新的惡意軟件沒有出現(xiàn)之前就形成防御墻，靜侯威脅的到來而能避免威脅帶來的損失?！爸鲃?dòng)防御”主要體現(xiàn)在以下幾個(gè)方面： 錯(cuò)誤 !未找到引用源。 - 7 - 入侵防護(hù) :基于漏洞的入侵阻斷 阻斷 沖區(qū)溢出漏洞 阻斷利用 W e b 瀏覽器漏洞的攻擊（間諜軟件最常用的安裝方式）入侵防護(hù) :基于漏洞的入侵阻斷 阻斷 沖區(qū)溢出漏洞 阻斷利用 W e b 瀏覽器漏洞的攻擊（間諜軟件最常用的安裝方式）防火墻 阻斷進(jìn)入的對(duì)開放端口的攻擊 阻斷病毒向外擴(kuò)散的途徑 阻斷非法的對(duì)外通信 間諜軟件數(shù)據(jù)泄漏和連接控制站點(diǎn)的企圖防火墻 阻斷進(jìn)入的對(duì)開放端口的攻擊 阻斷病毒向外擴(kuò)散的途徑 阻斷非法的對(duì)外通信 間諜軟件數(shù)據(jù)泄漏和連接控制站點(diǎn)的企圖實(shí)時(shí)防護(hù)和阻斷 自動(dòng)識(shí)別并清除蠕蟲病毒 自動(dòng)防護(hù)已知惡意軟件（特別室間諜軟件）的安裝 如果惡意軟件已經(jīng)安裝，在其運(yùn)行時(shí)檢測(cè)并阻斷實(shí)時(shí)防護(hù)和阻斷 自動(dòng)識(shí)別并清除蠕蟲病毒 自動(dòng)防護(hù)已知惡意軟件（特別室間諜軟件）的安裝 如果惡意軟件已經(jīng)安裝，在其運(yùn)行時(shí)檢測(cè)并阻斷抑制未知的惡意軟件 hu 發(fā)式病毒掃描 根據(jù)惡意軟件的行為特征發(fā)現(xiàn)和抑制其操作 郵件蠕蟲攔截 間諜軟件鍵盤記錄、屏幕攔截、數(shù)據(jù)泄漏行為打分抑制未知的惡意軟件 hu 發(fā)式病毒掃描 根據(jù)惡意軟件的行為特征發(fā)現(xiàn)和抑制其操作 郵件蠕蟲攔截 間諜軟件鍵盤記錄、屏幕攔截、數(shù)據(jù)泄漏行為打分根本：系統(tǒng)加固 關(guān)鍵補(bǔ)丁 強(qiáng)口令 關(guān)閉危險(xiǎn)服務(wù)和默認(rèn)共享 匿名訪問限制根本：系統(tǒng)加固 關(guān)鍵補(bǔ)丁 強(qiáng)口令 關(guān)閉危險(xiǎn)服務(wù)和默認(rèn)共享 匿名訪問限制 基于應(yīng)用程序的防火墻技術(shù) 個(gè)人防火墻能夠按程序或者通訊特征，阻止 /容許任何端口和協(xié)議進(jìn)出。利用個(gè)人防火墻技術(shù)，一方面可以防止病毒利用漏洞滲透進(jìn)入終端，另一方面，更為重要的是，可以有效地阻斷病毒傳播路徑。 以去年大規(guī)模爆發(fā)的 毒為例，該病毒利用了多個(gè)微軟系統(tǒng)漏洞和應(yīng)用軟件漏洞，企業(yè)可以在終端補(bǔ)丁尚未完全 安裝完畢的情況下，通過集中關(guān)閉這些存在漏洞的服務(wù)端口，阻止病毒進(jìn)入存在漏洞的終端。 再以 馬為例。正常的 求和響應(yīng)包是由 動(dòng)發(fā)出，而此，通過在防火墻規(guī)則中設(shè)定，只允許 外發(fā)送 據(jù)包（協(xié)議號(hào)0其他的全部禁止。從而，在沒有最新的病毒定義的前提下對(duì)病毒進(jìn)行阻斷和有效防護(hù)。 統(tǒng)一部署防火墻不僅可以解決以上這些安全問題，同時(shí)可以成為企業(yè)執(zhí)行安 錯(cuò)誤 !未找到引用源。 - 8 - 全策略的有力工具，實(shí)現(xiàn)一些企 業(yè)的安全策略的部署，如突發(fā)病毒爆發(fā)時(shí)，統(tǒng)一開放關(guān)閉防火墻相應(yīng)端口。 具備通用漏洞阻截技術(shù)的入侵防護(hù) 通用漏洞利用阻截技術(shù)的思想是：正如只有形狀正確的鑰匙才能打開鎖一樣，只有“形狀”相符的混合型病毒才能利用該漏洞進(jìn)行攻擊。如果對(duì)一把鎖的內(nèi)部鎖齒進(jìn)行研究，便可以立即了解到能夠打開這把鎖的鑰匙必需具備的特征 甚至不需要查看實(shí)際的鑰匙。類似地，當(dāng)新漏洞發(fā)布時(shí)，研究人員可以總結(jié)該漏洞的“形狀”特征。也就是說，可以描述經(jīng)過網(wǎng)絡(luò)到達(dá)漏洞計(jì)算機(jī)并利用該漏洞實(shí)施入侵的數(shù)據(jù)的特征。對(duì)照該“形狀”特征，就可以檢測(cè)并阻截具有該明 顯“形狀”的任何攻擊（例如蠕蟲）。 以沖擊波蠕蟲被阻截為例進(jìn)行說明。當(dāng) 2003 年 7 月 洞被公布時(shí)，賽門鐵克運(yùn)用通用漏洞利用研究技術(shù)，制作了該漏洞的通用特征。大約在一個(gè)月之后，出現(xiàn)了利用該漏洞進(jìn)行入侵和蔓延的沖擊波蠕蟲。 于具備了賽門鐵克編寫的特征在網(wǎng)絡(luò)環(huán)境中能夠迅速檢測(cè)到?jīng)_擊波蠕蟲并立即阻止它。 在前文對(duì)惡意軟件的發(fā)展趨勢(shì)中，我們分析了木馬、流氓軟件的一個(gè)最主要的傳播方式是利用 覽器的漏洞，當(dāng)用戶瀏覽這些惡意站點(diǎn)時(shí)，利用 擊者可以在用戶終端上 悄悄安裝木馬、廣告 /流氓軟件等。盡管惡意軟件的變種數(shù)量龐大，但實(shí)際上，惡意軟件安裝過程中利用的 洞種類并不多。賽門鐵克運(yùn)用通用漏洞利用研究技術(shù)，提前制作這些漏洞的通用特征。惡意軟件若想利用這些漏洞進(jìn)行安裝，必須具備特定的形狀，而賽門鐵克編寫的特征可以提前檢測(cè)到該形狀，從而對(duì)其進(jìn)行阻截，避免了惡意軟件安裝到用戶終端上，從而根本無需捕獲該病毒樣本然后再匆忙響應(yīng)。 應(yīng)用程序控制技術(shù) 通過應(yīng)用程序行為控制，在系統(tǒng)中實(shí)時(shí)監(jiān)控各種程序行為，一旦出現(xiàn)與預(yù)定的惡意行為相同的行為就立即進(jìn)行阻截。 錯(cuò)誤 !未找到引用源。 - 9 - 以熊貓燒香為例，如果采用 被動(dòng)防護(hù)技術(shù)，必須對(duì)捕獲每一個(gè)變種的樣本，才能編寫適當(dāng)?shù)牟《径x。但是，該病毒的傳播和發(fā)作具有非常明顯的行為特征。熊貓燒香最主要的傳播方式是通過 U 盤傳播，其原理是利用操作系統(tǒng)在打開 根據(jù)根目錄下的 件，自動(dòng)執(zhí)行病毒程序。 讀寫權(quán)限，特別的，當(dāng)已感染病毒的終端試圖往移動(dòng)設(shè)備上寫該文件時(shí)，可以終止該病毒進(jìn)程并報(bào)告管理員。 再以電子郵件的行為阻截技術(shù)應(yīng)用為例進(jìn)行說明。首先，我們知道基于電子郵件的蠕蟲的典型操作：典 型的電子郵件計(jì)算機(jī)蠕蟲的工作原理是，新建一封電子郵件，附加上其（蠕蟲）本身的副本，然后將該消息發(fā)送到電子郵件服務(wù)器，以便轉(zhuǎn)發(fā)到其他的目標(biāo)計(jì)算機(jī)。那么，當(dāng)使用了帶行為阻截技術(shù)的賽門鐵克防病毒軟件之后，防病毒軟件將監(jiān)視計(jì)算機(jī)上的所有外發(fā)電子郵件。每當(dāng)發(fā)送電子郵件時(shí)，防病毒軟件都要檢查該郵件是否郵件有附件。如果該電子郵件有附件，則將對(duì)附件進(jìn)行解碼，并將其代碼與計(jì)算機(jī)中啟動(dòng)此次電子郵件傳輸?shù)膽?yīng)用程序相比較。常見的電子郵件程序，如 以發(fā)送文件附件，但絕不會(huì)在郵件中附加一份自身程序的可執(zhí)行文件副本！只 有蠕蟲才會(huì)在電子郵件中發(fā)送自己的副本。因此，如果檢測(cè)到電子郵件附件與計(jì)算機(jī)上的發(fā)送程序非常相似時(shí)，防病毒軟件將終止此次傳輸，從而中斷蠕蟲的生命周期。此項(xiàng)技術(shù)非常有效，根本無需捕獲蠕蟲樣本然后再匆忙響應(yīng)，帶此項(xiàng)技術(shù)的賽門鐵克防病毒軟件已經(jīng)成功的在零時(shí)間阻截了數(shù)十種快速傳播的計(jì)算機(jī)蠕蟲，包括最近的 此外，基于行為的惡意軟件阻截技術(shù)，還可以鎖定 置、注冊(cè)表、系統(tǒng)目錄，當(dāng)木馬或者流氓軟件試圖更改這些設(shè)置時(shí)會(huì)被禁止。從而，即使用戶下載了未知的惡意軟件，也無法在終端上正常 安裝和作用?；谛袨榈姆雷o(hù)技術(shù)非常有效，根本無需捕獲惡意軟件樣本然后再匆忙響應(yīng)，利用此項(xiàng)技術(shù)可以成功的在零時(shí)間阻截主流的蠕蟲病毒，包括熊貓燒香、威金等。 由于采用了集中的策略部署和控制，無須最終用戶的干預(yù)，因此不需要用戶具備高深的病毒防護(hù)技術(shù)。同時(shí)，基于行為規(guī)則的防護(hù)技術(shù)非常適合于主機(jī)系統(tǒng) 錯(cuò)誤 !未找到引用源。 - 10 - 環(huán)境，主機(jī)系統(tǒng)應(yīng)用單一并且管理專業(yè)，采用行為規(guī)則的防護(hù)是對(duì)傳統(tǒng)防病毒技術(shù)的一個(gè)很好的補(bǔ)充。 前瞻性威脅掃描 一種主動(dòng)威脅防護(hù)技術(shù)，可防御利用已知漏洞的多種變種和前所未見的威脅。 于分析系統(tǒng)所運(yùn)行進(jìn)程的行為來檢測(cè)潛在威脅的啟發(fā)式技術(shù)。大多數(shù)基于主機(jī)的 檢測(cè)它們認(rèn)為的“不良行為”。所以，它們經(jīng)常會(huì)將可接受的應(yīng)用程序行為識(shí)別為威脅并將它們關(guān)閉，嚴(yán)重影響用戶和技術(shù)支持中心的工作效率，讓管理員面臨著艱巨的挑戰(zhàn)。不過，同時(shí)記錄應(yīng)用程序的正常行為和不良行為，提供更加準(zhǔn)確的威脅檢測(cè)，可顯著減少誤報(bào)的數(shù)量。前瞻性地威脅掃描讓企業(yè)能夠檢測(cè)到任何基于特征的技術(shù)都檢測(cè)不到的未知威脅。 終端系統(tǒng)加固 事實(shí)上， 確保終端安全的一個(gè)必須的基礎(chǔ)條件時(shí)終端自身的安全加固，包括補(bǔ)丁安裝、口令強(qiáng)度等。顯然，口令為空、缺少必要的安全補(bǔ)丁的終端，即使有再優(yōu)秀的防護(hù)技術(shù)也不可避免地遭受到攻擊和病毒感染。 為了彌補(bǔ)和糾正運(yùn)行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個(gè)網(wǎng)絡(luò)安全不至由于個(gè)別軟件系統(tǒng)的漏洞而受到危害，必需在企業(yè)的安全管理策略中加強(qiáng)對(duì)補(bǔ)丁升級(jí)、系統(tǒng)安全配置的管理。 建議集中管理企業(yè)網(wǎng)絡(luò)終端的補(bǔ)丁升級(jí)、系統(tǒng)配置策略，可以定義終端補(bǔ)丁下載，補(bǔ)丁升級(jí)策略以及增強(qiáng)終端系統(tǒng)安全配置策略并下發(fā)給運(yùn)行于各終端設(shè)備上的代理，代理 執(zhí)行這些策略，保證終端系統(tǒng)補(bǔ)丁升級(jí)、安全配置的完備有效，整個(gè)管理過程都是自動(dòng)完成的，對(duì)終端用戶來說完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，提高企業(yè)網(wǎng)絡(luò)整體的補(bǔ)丁升級(jí)、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補(bǔ)丁及安全配置管理策略得到有效的落實(shí)。 基于特征的病毒防護(hù)技術(shù) 錯(cuò)誤 !未找到引用源。 - 11 - 最后，傳統(tǒng)的病毒防護(hù)技術(shù)僅僅作為主動(dòng)防御的的一個(gè)必要補(bǔ)充，防御已知的病毒，對(duì)于已經(jīng)感染病毒機(jī)器進(jìn)行自動(dòng)的清除和恢復(fù)操作。 綜上所述，單純的防病毒產(chǎn)品都僅僅實(shí)現(xiàn)了基于特征的病毒防護(hù)功能，必須依靠其他的主動(dòng)防御技術(shù)，才能有效地應(yīng)對(duì)當(dāng)前的惡 意代碼威脅。 理層面：終端準(zhǔn)入控制 在管理層面上需要實(shí)現(xiàn)兩個(gè)目標(biāo)：“技術(shù)管理化”與“管理技術(shù)化”。技術(shù)管理化要求對(duì)以上這些安全技術(shù)進(jìn)行有效的管理，使其真正發(fā)揮作用。通過統(tǒng)一、集中、實(shí)時(shí)地集中管理，構(gòu)建堅(jiān)固的技術(shù)保障體系。管理技術(shù)化體現(xiàn)在終端的策略和行為約束，把停留在口號(hào)階段的“三分技術(shù)、七分管理”變成可操作控制程序，這就需要輔以技術(shù)手段，通過準(zhǔn)入控制等技術(shù)把對(duì)最終用戶的管理要求真正落實(shí)下去。 么是終端準(zhǔn)入控制 終端準(zhǔn)入控制的核心思想在于屏蔽一切不安全的設(shè)備和人員接入網(wǎng)絡(luò)，或者規(guī)范用戶接入網(wǎng)絡(luò)的行為，從而 鏟除網(wǎng)絡(luò)威脅的源頭，避免事后處理的高額成本。 終端準(zhǔn)入控制需要?jiǎng)?chuàng)建一個(gè)終端接入的可信尺度。對(duì)于市兒 說，典型的策略是強(qiáng)制驗(yàn)證操作系統(tǒng)補(bǔ)丁是否更新，反病毒軟件是否在運(yùn)行及病毒庫是否更新，端點(diǎn)防火墻軟件是否在運(yùn)行及被適當(dāng)?shù)呐渲?。管理員也可以進(jìn)一步執(zhí)行更多高級(jí)策略，檢查特定安全軟件或特殊安全配置是否存在。 一旦策略創(chuàng)建完成，就有了在終端連入網(wǎng)絡(luò)時(shí)可參照的安全基線。 它通過 提前的“ 準(zhǔn)入掃描 ” ，來確保 終端可信狀態(tài)并 授權(quán) 。 基于該基線評(píng)估結(jié)果，訪問控制（ 予該連接系統(tǒng)相應(yīng)級(jí)別的訪問權(quán) 限。例如，一個(gè)達(dá)標(biāo)的系統(tǒng)將會(huì)獲得全部的網(wǎng)絡(luò)訪問權(quán)限。不達(dá)標(biāo)的系統(tǒng)或者被徹底阻止，沒有任何的網(wǎng)絡(luò)訪問權(quán)限；或者為了減少對(duì)網(wǎng)絡(luò)的威脅（通常也為了修復(fù)），將授予該系統(tǒng)某一隔離級(jí)別的網(wǎng)絡(luò)訪問權(quán)限，并幫助恢復(fù)達(dá)到 錯(cuò)誤 !未找到引用源。 - 12 - 安全策略的要求。為了使終端準(zhǔn)入控制真正有價(jià)值，修復(fù)過程必須自動(dòng)化。換句話說，就是不需要求助技術(shù)支持小組，系統(tǒng)自動(dòng)恢復(fù)到符合安全策略的要求。 一旦系統(tǒng)經(jīng)過隔離修復(fù)處理，被允許連接入網(wǎng)絡(luò)，就需要一種監(jiān)控技術(shù)確保這些系統(tǒng)保持達(dá)標(biāo)的狀態(tài)，不要出現(xiàn)反常的情況。反常的系統(tǒng)必須被隔離，直到它們被修復(fù)。 綜上， 網(wǎng)絡(luò)準(zhǔn)入控制解 決方案需要 如下流程 : 1. 創(chuàng)建一個(gè)中央的安全策略視圖； 2. 當(dāng)一個(gè)系統(tǒng)或用戶連接入網(wǎng)時(shí)， 對(duì)其安全狀態(tài)進(jìn)行評(píng)估； 3. 一旦系統(tǒng)連接入網(wǎng)，對(duì)其安全狀態(tài)進(jìn)行連續(xù)監(jiān)控； 4. 基于系統(tǒng)狀態(tài)，執(zhí)行網(wǎng)絡(luò)訪問和系統(tǒng)修復(fù)策略。 端準(zhǔn)入控制的實(shí)現(xiàn)方法 手動(dòng)隔離 手動(dòng)隔離雖然不是自動(dòng)化的隔離技術(shù)，但在管理實(shí)踐中卻是使用頻率最高的手段之一。通過創(chuàng)建一個(gè)隔離組，然后為該組分配特定的隔離策略。當(dāng)通過人工方式判斷出一個(gè)終端處于高風(fēng)險(xiǎn)或者違規(guī)狀態(tài)時(shí)，將這個(gè)終端手動(dòng)方式移動(dòng)到隔離組中，即達(dá)到了隔離效果。這種方式下管理員不需要去定位交換機(jī)端口，并拔出網(wǎng)線 。更加省時(shí)，而且避免誤操作。 本地隔離 利用主機(jī)防火墻規(guī)則和智能切換的能力實(shí)現(xiàn)本地隔離。這種方式最易實(shí)現(xiàn)，不需要和網(wǎng)絡(luò)中其他強(qiáng)制服務(wù)器發(fā)生任何關(guān)系 . 如果系統(tǒng)沒有通過主機(jī)完整性檢測(cè) , 將自動(dòng)切換到一套隔離策略以阻斷網(wǎng)絡(luò)通訊然后開始執(zhí)行完整性恢復(fù)操作； 局域網(wǎng)準(zhǔn)入與隔離 局域網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以和支持 能的交換機(jī)完成對(duì)用戶的 錯(cuò)誤 !未找到引用源。 - 13 - 接入認(rèn)證； 當(dāng)用戶沒有安裝安全客戶端軟件或者雖然安裝了安全客戶端軟件但是安全檢查不合格時(shí)，局域網(wǎng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以通知交換機(jī)將該用戶連接的交換機(jī)端口關(guān)閉，或者通知交換機(jī) 將該用戶的端口 換到修復(fù) 迫用戶完成安全修復(fù)后才將用戶切換回正常 邊界準(zhǔn)入與隔離 在用戶通過 、 至是無線 圖連接到企業(yè)內(nèi)網(wǎng)時(shí)，又或者是從企業(yè)的一個(gè)內(nèi)部子網(wǎng)試圖訪問另外一個(gè)內(nèi)部子網(wǎng)時(shí)， 制網(wǎng)關(guān)實(shí)時(shí)檢查這些用戶的安全性。只有安全性達(dá)標(biāo)的用戶才能訪問強(qiáng)制網(wǎng)關(guān)后的局域網(wǎng)； 當(dāng)用戶透過強(qiáng)制網(wǎng)關(guān)設(shè)備進(jìn)行網(wǎng)絡(luò)互訪時(shí)，用戶的訪問方式（應(yīng)用，受訪資源等）也受到嚴(yán)格管理，非標(biāo)準(zhǔn)訪問方式被禁止使用； 當(dāng)對(duì)用戶的安全檢查不合格時(shí)，強(qiáng)制網(wǎng)關(guān)對(duì)這些用戶進(jìn) 行隔離操作，只容許訪問強(qiáng)制網(wǎng)關(guān)后的個(gè)別 址，用以提供對(duì)修復(fù)資源的下載訪問。同時(shí)客戶端根據(jù)策略配置要求對(duì)這些用戶終端作安全修復(fù)操作，直到強(qiáng)制網(wǎng)關(guān)確認(rèn)合格后才予以放行。 代理通知功能。對(duì)于那些連接到企業(yè)網(wǎng)絡(luò)又沒有安裝 戶端軟件的用戶 , 管理員可以使用 出消息通知他們需要安裝 戶端軟件； 可以在進(jìn)行邊界準(zhǔn)入與隔離時(shí)首先允許所有用戶的通訊通過，但是記錄是否有用戶不符合市兒 安全策略；當(dāng)客戶端完全部署好之后 , 就可以按照市兒 安全策略來允許或阻止不符合 策略用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問； 當(dāng)用戶試圖通過邊界網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的認(rèn)證時(shí)，如果邊界網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)檢查出用戶端沒有安裝安全客戶端軟件或者是用戶端的主機(jī)完整性檢測(cè)不合格，會(huì)把用戶的訪問請(qǐng)求重定向到一個(gè)企業(yè)內(nèi)部指定的 理員可以配置 錯(cuò)誤 !未找到引用源。 - 14 - 這個(gè) 企業(yè)的修復(fù)服務(wù)器網(wǎng)站或者是其他通告的網(wǎng)站。 可以對(duì)指定 址的用戶作安全檢查，也可以對(duì)指定 址的用戶進(jìn)行放行，完全不檢查； P 獲取準(zhǔn)入 當(dāng)非企業(yè)員工，或者是企業(yè)員工試圖通過有線局域網(wǎng)（如以太網(wǎng)），或者是無線網(wǎng)絡(luò)（ 接到局域網(wǎng)并試圖自動(dòng)獲取 址時(shí)，網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)會(huì)首先檢查這些用戶的安全狀態(tài)，檢查合格者分配其一個(gè)正常地址范圍內(nèi)的 址；不合格的用戶分配另外一個(gè)修復(fù)區(qū)域子網(wǎng)的 址，用戶此時(shí)只能去修復(fù)服務(wù)器執(zhí)行自己的主機(jī)安全修復(fù)操作，其余網(wǎng)絡(luò)訪問均受到限制。當(dāng)修復(fù)操作全部完成之后，網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)才將該用戶當(dāng)前的修復(fù)區(qū)域 時(shí)分配給其一個(gè)正常范圍內(nèi)的 址，用戶此時(shí)的網(wǎng)絡(luò)訪問請(qǐng)求才被放行。 端準(zhǔn)入控制的流程 終端準(zhǔn)入控制策略勾勒企業(yè)終端接入的安全基線，對(duì)于未安裝終端代理軟件或已安裝終 端代理軟件但不符合市兒 全策略要求 (防病毒軟件、病毒特征庫升級(jí)、補(bǔ)丁、系統(tǒng)安全設(shè)置、違規(guī)軟件等 )的終端，可以禁止其訪問網(wǎng)絡(luò)，或進(jìn)行網(wǎng)絡(luò)隔離。 終端準(zhǔn)入控制流程包括：檢查基準(zhǔn)安全策略、隔離控制與自動(dòng)修復(fù)。 檢查基準(zhǔn)安全策略 是根據(jù)進(jìn)程、文件、注冊(cè)表等設(shè)置的檢查結(jié)果來判斷： 用戶身份是否合法 機(jī)器身份是否合法 主機(jī)防火墻是否安裝并運(yùn)行 防病毒軟件是否安裝并運(yùn)行，病毒特征庫是否及時(shí)更新 其他指定安全工具是否運(yùn)行、及時(shí)更新 操作系統(tǒng)關(guān)鍵安全補(bǔ)丁是否安裝 錯(cuò)誤 !未找到引用源。 - 15 - 操作系統(tǒng)安全配置是否妥當(dāng) 桌面設(shè)置是否妥當(dāng) 是否感染特定 病毒實(shí)體 是否安裝重大違規(guī)軟件等 隔離控制 根據(jù)上述檢查結(jié)果，強(qiáng)制服務(wù)器和網(wǎng)絡(luò)設(shè)備以及客戶端聯(lián)動(dòng)來決定： 拒絕終端 /用戶接入 容許終端 /用戶接入 隔離終端 /用戶（主機(jī) 離， 離，授予隔離 址） 限制終端 /用戶訪問權(quán)限 應(yīng)用程序，遠(yuǎn)程主機(jī)，時(shí)間，協(xié)議類型，端口等使用權(quán)限 關(guān)鍵網(wǎng)段接入權(quán)限 交換機(jī)接入權(quán)限 無線網(wǎng)絡(luò)接入權(quán)限 動(dòng)態(tài) 址獲取權(quán)限 互聯(lián)網(wǎng)訪問權(quán)限 遠(yuǎn)程網(wǎng)絡(luò)（ 入權(quán)限 域名解析權(quán)限 用登錄權(quán)限（ A， RP 自動(dòng)修復(fù) 是在隔離或限制接入的情況下，還可以通過自動(dòng)修復(fù)來換回正常的網(wǎng)絡(luò)訪問權(quán)限。修復(fù)的內(nèi)容包括： 自動(dòng)開啟 接內(nèi)部安全網(wǎng)站上相關(guān)的提示頁面 自動(dòng)分發(fā)病毒專殺工具 自動(dòng)升級(jí)病毒特征庫 自動(dòng)分發(fā)操作系統(tǒng)關(guān)鍵補(bǔ)丁 自動(dòng)糾正錯(cuò)誤的系統(tǒng)配置 分發(fā)并運(yùn)行特定腳本 終止指定進(jìn)程 錯(cuò)誤 !未找到引用源。 - 16 - 停止或啟用指定服務(wù) 遠(yuǎn)程關(guān)機(jī) /重啟等 務(wù)層面 企業(yè)通過建立網(wǎng)絡(luò)防病毒體系來防止病毒入侵，即是一個(gè)動(dòng)態(tài)的技術(shù)對(duì)抗過程，也是一個(gè)防守方和攻擊方的人員較量過程。在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境里，由于攻擊方在大多數(shù)情況下掌握著主動(dòng)權(quán)，因此 部署防病毒產(chǎn)品只是建立了對(duì)抗攻擊的基礎(chǔ)，還不能達(dá)到真正意義上的安全，最重要的是對(duì)產(chǎn)品進(jìn)行有效的管理和正確的策略配置，并且時(shí)時(shí)刻刻關(guān)注網(wǎng)絡(luò)安全的最新動(dòng)態(tài)，根據(jù)各種變化及時(shí)調(diào)整安全策略，加固系統(tǒng)。只有結(jié)合和采用防病毒安全服務(wù)，才能使企業(yè)的防病毒體系以及整體安全達(dá)到一個(gè)新的高度。 防病毒廠商提供的服務(wù)主要包括以下兩個(gè)方面： 病毒預(yù)警服務(wù) 病毒預(yù)警服務(wù)為市兒 于新病毒的提前預(yù)警、通知和防范的標(biāo)準(zhǔn)流程，該流程為管理員提供必要的信息和預(yù)警，以便在病毒到達(dá)企業(yè)之前或病毒尚未泛濫之前部署對(duì)策并成功抵制攻擊，減少病毒事 件的數(shù)量，降低病毒事件的影響。 突發(fā)病毒應(yīng)急響應(yīng)服務(wù) 當(dāng)用戶發(fā)現(xiàn)一種未知病毒的傳播導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓，而現(xiàn)有防病毒客戶端對(duì)此無能無能為力，或者當(dāng)病毒客戶端發(fā)現(xiàn)病毒但既不能隔離也不能有效刪除時(shí)候，就需要防病毒服務(wù)能夠幫用戶解決這些問題。而且，用戶需要的是一個(gè)時(shí)限范圍內(nèi)的解決。 用戶可以通過提交病毒樣本或要求直接上門服務(wù)的方式，請(qǐng)防病毒廠家協(xié)助解決這些問題，避免病毒在用戶的大規(guī)模擴(kuò)散。 錯(cuò)誤 !未找到引用源。 - 17 - 第 3章 產(chǎn)品選型推薦 根據(jù)以上防病毒系統(tǒng)設(shè)計(jì)思路，我們推薦采用 點(diǎn)安全保護(hù) 產(chǎn)品簡(jiǎn)介 高級(jí)威脅防御功能相結(jié)合，可以為筆記本、臺(tái)式機(jī)和服務(wù)器提供無與倫比的惡意軟件防護(hù)能力。它甚至可以防御最復(fù)雜的攻擊，這些攻擊能夠躲避傳統(tǒng)的安全措施，如 日攻擊和不斷變化的間諜軟件。 僅提供了世界一流、業(yè)界領(lǐng) 先且基于特征的防病毒和反間諜軟件防護(hù)。它還提供了先進(jìn)的威脅防御能力，能夠保護(hù)端點(diǎn)免遭目標(biāo)性攻擊以及之前沒有發(fā)現(xiàn)的未知攻擊侵?jǐn)_。它包括即刻可用的主動(dòng)防護(hù)技術(shù)以及管理控制功能；主動(dòng)防護(hù)技術(shù)能夠自動(dòng)分析應(yīng)用程序行為和網(wǎng)絡(luò)通信，以檢測(cè)并阻止可疑活動(dòng)，而管理控制功能使您能夠拒絕對(duì)企業(yè)來說被視為高風(fēng)險(xiǎn)的特定設(shè)備和應(yīng)用程序活動(dòng)。甚至可以根據(jù)用戶位置阻止特定操作。 這種多層方法可以顯著降低風(fēng)險(xiǎn)，同時(shí)能夠充分保護(hù)企業(yè)資產(chǎn)，從而使企業(yè)高枕無憂。它是一款功能全面的產(chǎn)品，只要您需要，即可立即為您提供所需的所有功能。無論攻擊是由惡意 的內(nèi)部人員發(fā)起，還是來自于外