一、前言
1.1.网络安全趋势
随着互联网技术的迅猛发展,计算机信息网络已应用于社会各个行业,信息产业已成为国民经济的重要支柱产业,信息技术和网络技术正向政治、经济、军事、文化等各个领域广泛渗透,极大地促进我国各个领域的发展和社会进步,也丰富了人们的生活。同时,黑客攻击、病毒侵害等给计算机信息网络特别是关系国计民生的国家基础设施信息网络等重点信息网络造成了严重的安全威胁,成为了威胁网络安全的一大公害。当前的计算机病毒和黑客攻击行为具有以下特点:
具备网络特性是当前计算机病毒和黑客行为的第一大特征
当前,像蠕虫、木马/黑客、脚本等类型的病毒,它们都具有网络传播的特性,通过网络进行传播并实施侵害行为。目前的很多online Game病毒都具有ARP欺骗的发生,一旦在网络中传播、蔓延,很难控制,它们不但盗取用户信息,同理还在网络中大网发送ARP欺骗,阻塞网络甚至网络瘫痪。
当前计算机病毒和黑客攻击行为大多是利用软件系统的漏洞
漏洞是软件系统致命的安全缺陷,如果系统存在漏洞,即使有杀毒软件的保护,病毒或者攻击依然可以长驱直入,对系统造成破坏。利用漏洞进行的病毒和攻击的传播速度远远大于传统病毒。最近很多病毒通过微软的MS07-17和MS08-067两个漏洞进行挂马,同时演变到利用时下最为流行的应用软件漏洞进行挂马。这其中包括一些播放器软件漏洞、聊天工具漏洞、网络电视软件漏洞、甚至连一些常用的下载工具的漏洞都会成为病毒的传播途径。联众游戏漏洞、超星阅读器0-Day漏洞、迅雷0-Day漏洞、PPlive 0-Day漏洞,已经成为应用软件网页挂马病毒的一些重要漏洞,这病毒越来越成为主流病毒,同时传播非常快。
病毒和攻击向多元化、混合化发展
随着操作系统及各种软件的发展,病毒和攻击也在不停地发展,混合型病毒和攻击越来越多,成为趋势。如去年非常流行的“熊猫烧香”病毒。
1.2.安全是风险管理
风险管理作为企业管理的三个要素之一,地位是非常重要的。安全风险导致威胁和系统脆弱点的产生,威胁可以利用暴露的脆弱点,降低企业的资产价值,并对潜在因素产生影响。如何控制风险,就需要通过包括风险评估、风险控制和风险降低的一系列风险管理来实现。信息安全要考虑投入和收益。信息安全的投入是相当大的,如果安全投入和实现安全之后所带来的收益不匹配,投入将毫无疑义。
1.3.安全是相对概念
信息系统安全不但与不断变化的需求联系紧密,同时也与不断发展的信息技术关系密切。
∙ 首先,电子警务系统的新业务需求和业务新需求是不断,安全是相对于现有需求的。
∙ 互联网技术和信息技术是不断发展的,安全攻击方式和手段层出不穷,可利用并作为攻击的漏洞也越来越多。
∙ 安全包括技术的和非技术的因素。我们不能简单认为通过技术手段就可以保证安全。相对来说,非技术因素的考虑(安全管理)对于全面的信息安全建设是不可缺少的。
∙ 掌握最新的安全知识和技能,提高人员的安全意识和安全技能,才是构建电子警务系统全面安全的必要措施。
1.4.安全是动态过程
计算机只要是用于商业应用就会存在安全问题,我们认为安全是一个动态的过程,不是一成不变的。
∙ 新的系统、新的应用层出不穷。即使采购了安全产品、实施了安全管理、制定了安全策略也不能说系统在某些方面基本没有安全问题。因为协议服务固有的问题、主机配置的复杂性、软件开发过程中产生的漏洞随时都有可能导致漏洞和脆弱性的产生。因此,要不断地跟踪最新的安全信息,对系统进行评估,并不断地加固计算机系统。
∙ 安全产品除了拥有全面的特征库外,还需要制定合理的策略,策略需要根据安全技术的发展进行动态地调整。同时,要尽量保持产品的版本和特征库更新,管理上随着安全的发展灵活改进。
∙ 非技术因素带来的安全问题,比如人员流动、技术操作不规范、责任不明确等,也会对电子警务业务系统的安全构成极大的风险。
1.5.安全是保障体系
信息安全的技术在不断发展,从早期的通信保密,发展到关注信息安全的保密、完整、可用、可控和不可否认的信息安全,今天发展到信息保障。单纯的保密和静态的保护已经不能适应今天的需要了。信息保障技术框架提出保障信息安全必须考虑保护、检测、反应和恢复四个动态反馈的环节。保障体系采用深度防御方式,目的是能够使攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。
二、某教委信息安全需求分析
随着全球信息化及网络技术的不断发展,网络安全问题特别是内部网络安全问题日益突出。病毒是网络安全问题中最为严重的问题之一,发生的频率高、损失大、潜伏性强、覆盖面广,给内部网络造成极大的安全隐患。
为了改善某教委信息系统的整体安全性,加强其内部网络计数机病毒监控、防护,提高整体网络安全防护能力,提出该教委网络病毒集中监控、威胁感知和防护管理系统的项目需求。
2.1 某教委信息网当前现状
该教委信息网经过多年的网络信息安全建设,通过在网关部署防火墙和IPS基本构建了一个网络防攻击的安全防护体系,网络安全体系结构如下:
但是,该教委信息网是一个覆盖辖区多所学校的业务网,网络覆盖范围广、业务应用系统复杂,同时分布在该区各个地方。在整个安全防范体系的建立不统一、安全建设等级不一致,尤其是计算机病毒安全监控、预防、防护方面,缺乏全面、整体、有效的监控手段,另外,目前各级单位在计算机病毒防范系统也根据自身情况建立计算机病毒防范体系,但这些计算机病毒防范体系只能防范自身子系统的病毒防范,该教委无法了解这些学校的病毒爆发、传播情况,无法真正掌握该教委全网的病毒疫情和趋势以及易受攻击的薄弱区域情况,同时也缺乏及时掌握整个网络的病毒爆发、传播情况的手段。因此,及亟待建立其全网的计算机病毒监控、预防中心、防护系统,实现对该教委全网病毒爆发、传播情况的实时监测、防护,并及时掌握某教委网络病毒传播、爆发、分布特点及发展趋势等情况,为信息安全管理者提供一个高效的计算机病毒监控、预防和处理的管理系统。
2.2 某教委计算机病毒防范的现状分析
某教委信息网可能存在以下的病毒安全风险:
∙ 人员的安全意识
通过网络共享、移动存储等方式可能造成病毒的传播。病毒的传播途径越来越多,针对不同软件漏洞的病毒也不断翻新,许多机器感染病毒的重要途径之一是通过文件夹共享,尽管发文禁止,但收效甚微。防病毒工作是个全员参与的过程,必须所有的人员都提高安全防范意识才能从根本上解决病毒带来的危机。电脑病毒的传播已经给组织信息安全造成了极大的挑战,其危害也日益升级。
∙ 安全技术的复杂性困惑
防病毒工作是个系统工程,涉及到各种操作平台、网络环境、安全设置、人员意识、威胁感知措施、应急措施等多方面。不同平台的操作系统,应用软件的漏洞和防护策略层出不穷;计算机病毒和各种攻击手段也日益更新,任何一个独立组织的信息安全部门都很难有足够的人力和物力支持不断的信息跟进。
∙ 没有良好的防病毒安全策略,不能构成动态自适应防病毒系统
构建一个全面有效的网络防病毒系统,应根据特定的网络环境定制病毒防护策略:策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系,全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段,能够在病毒爆发生命周期各个阶段对病毒进行有效的控制,将病毒造成的损失降到最低。
∙ 没有部署针对不同操作系统平台及应用防病毒软件
在某教委的网络体系中,各类操作系统平台有大量应用,如Windows/NT/2000系统、UNIX/Linux系统,此外还分布有大量应用系统,如:邮件系统,数据库系统等。如果没有采取任何病毒防护措施,这样信息交换很难保证该网络系统的安全,会对各类操作系统及关键应用业务产生潜在的安全威胁。
∙ 缺少全网病毒代码统一自动更新功能
构建有效病毒防护的关键环节需要保证产品能做到定期升级,网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能,同时具备自动分发功能,能够在单点更新,然后在不需要人为干预的情况下,实现全网所有产品的病毒码更新。
∙ 尚未建立完善的安全制度和制定安全培训机制
防病毒工作是一项复杂、长期的任务,需要全体人员配合,提高对病毒的警觉和防范意识。某教委防病毒系统需要建立良好的安全规范,以制度严格控制不良行为,另外,还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件,应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。
∙ 缺乏完善的防病毒信息支援体系
防病毒厂商长期提供防病毒信息、新病毒威胁感知信息、安全培训等专业的支持,以提高整个网络使用人员的防病毒素质。该教委内部尚未建立完善的信息支援系统。
2.3 建设目标
为有效防范病毒的入侵、传播和对系统的破坏,需要引入一套先进的病毒集中监控、威胁感知和防护管理系统,实现对某教委信息系统全方位、多层次的整体防护,对该教委全网计算机病毒爆发、传播实现可知、可控、可防,实现对全网计算机病毒病毒事件的流程化、程序化管理,并通过建立可量化、可考核的安全监测机制,为整个全网安全运行状况提供可靠监测手段和技术支撑。具体建设目标如下:
∙ 病毒事件可知:对某教委网络中的病毒状况进行统一的病毒监测,及时汇总病毒信息,构建完备、协调、高效的病毒威胁感知体系。
∙ 病毒事件可控:对网络中出现的病毒情况(新病毒出现、病毒大规模爆发等)进行统一的病毒报警,并具有多种病毒威胁感知方式(声音提示、电子邮件、短信等),并能够进行快速应急响应,第一时间阻止病毒大面积的爆发。
∙ 病毒事件可防:建立一个可靠的网络病毒防护体系,可以自动对网络内出现的病毒自动处理,保证该;教委和各个学校网络之间的安全。
∙ 统一集中管理:计算机病毒监控、威胁感知防护体系必须具备多级和集中管理功能,多级管理体系在各省级单位可以独立运维自己的病毒监控、威胁感知防护体系,集中管理体系在某教委可以实时监控所有学校的病毒爆发和传播情况,能够对全网计算机病毒时间形成整体、全局的总体报告和趋势分析,为宏观决策提供依据,同时,某教委可以对所有学校的病毒监控、威胁感知防护系统进行统一管理,可以对各省安全设备进行统一安全策略设置和系统升级,保证整体病毒监控、威胁感知防护体系的统一。
2.4 建设原则
体系化设计:遵循先进的安全体系和安全框架为设计原则,并以此分析项目建设可能存在的安全风险,从而最大限度保证某教委整体网络安全的建设,系统建设坚持如下原则:
∙ 可控性:部署的计算机病毒监控、威胁感知防护系统需要达到安全的、集中式和分布式均可控的目的,技术解决方案涉及的工程实施具有可控性。
∙ 系统均衡性:从某教委网络和行政管理特点出发,实现多级监测和防护、均衡监测和防护、全面监测和防护的目的,即某教委、各个学校管理员、内网用户可以以不同角度、权限查看监测和防护情况等.
∙ 可行性:保证本项目的设计、部署等合理可行,不对现有网络和应用系统带来大的影响。
∙ 可靠性:在保证网络和应用系统正常、高效、稳定运转的前提下,提供最优安全监测.
∙ 技术先进性:保证系统的设计、实现具备国内领先国际先进的水平以适应公安网对安全监测的高要求.
∙ 可扩展性:充分考虑到未来网络的发展,在功能、性能以及管理维护上提供优秀的可扩展性。
∙ 标准性:整个项目过程的设计、实施以及产品的选择以相关国家标准、公安部相关标准和规范、国际安全管理、安全控制、安全规程等为参考依据。
三、瑞星病毒监控、威胁感知和防护总体设计方案
3.1 建设依据
某教委信息网的信息安全和国家信息安全紧密相关,因此,在该教委病毒监控、威胁感知和防护的产品选型和方案设计上我们将遵循相关的国家标准及法律法规,具体如下:
3.1.1 引用国家标准
∙ 国家标准GB9361-1988《计算站场地安全要求》
∙ 国家标准GB2887-2000《电子计算机场地通用规范》
∙ 国家标准GB50174-1993《电子计算机机房设计规范》
∙ 国家标准GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》
∙ 国家公共安全和保密标准GGBB1-1999《信息设备电磁泄漏发射限值》国家保密标准BMB2-1998《使用现场的信息设备电磁泄漏发射检查测试方法和安全判据》
∙ 国家保密标准BMB3-1999《处理涉密信息的电磁屏蔽室的技术要求和测试方法》
∙ 国家保密标准BMB4-2000《电磁干扰器技术要求和测试方法》
∙ 国家保密标准BMB5-2000《涉密信息设备使用现场的电磁泄漏发射防护要求》
∙ 国家保密指南BMZ1-2000《涉及国家秘密的计算机信息系统保密技术要求》
∙ 国家保密指南BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》
3.1.2 引用国家法规和文件
∙ 中华人民共和国公安部令32号《计算机信息系统安全专用产品检测和销售许可证管理方法》
∙ 国家保密局文件《计算机信息系统保密管理暂行规定》(国保发[1998]1号)
∙ 中央保密委员会办公室,国家保密局文件《涉及国家秘密的通信,办公自动化和计算机信息系统审批暂行办法》(中保办发[1998]6号)
∙ 《中华人民共和国保守国家秘密法》
∙ 《中华人民共和国计算机信息系统安全保护条例》
3.1.3 引用国际标准
随着计算机应用和网络的普及,信息技术在当今的生产、工作和生活中的地位越发重要。与其同时,近20年来,人们一直在努力发展安全标准,并将安全功能与安全保障分离,制定了复杂而详细的条款。其中主要的有ISO17799、信息技术安全性评估准则(CC)、美国国防部可信计算机评估准则(TCSEC)和系统安全工程能力成熟模型(SSE-CMM)等等。
ISO17799的前身是英国的BS 7799:1999版本。1999年,英国将修订后的BS 7799:1999版提交ISO审议。2000年,国际标准组织 ISO/IEC JTC SC 27在日本东京 10月21 日通过BS 7799-1,成为 ISO DIS 17799-1,2000年12月1日正式发布。现已有30多家机构通过了信息安全管理体系认证,范围包括:政府机构、银行、保险公司、电信企业、网络公司及许多跨国公司。
ISO17799的主要内容是要求各组织建立并运行一套经过验证的信息安全管理体系,用于解决如下问题:资产的保管、组织的风险管理、管理标的和管理办法、要求达到的安全程度。
ISO17799要求建立1套管理框架,需采取如下步骤确立并验证管理目标和管理办法:
定义信息安全策略;
∙ 定义信息安全管理体系的范围,包括定义该组织的特征、地点、资产和技术等方面的特征;
∙ 进行合理的风险评估,包括找出资产面临的威胁、弱点、对组织的冲击、风险的强弱程度等等;
∙ 根据组织的信息安全策略及所要求的安全程度,决定应加以管理的风险领域;
∙ 选出合理的管理标的和管理办法,并加以实施,选择方案时应做到有法可依;
∙ 准备可行性声明是指在声明中应对所选择的管理标的和管理办法加以验证,同时对选择的理由进行验证;
∙ 对上述步骤的合理性应按规定期限定期审核。
ISO17799还包括了控制点管理。控制点管理主要包括十个方面:安全策略;信息安全的范围;资产分类与管理;个人安全信息守则;设备及使用环境之信息安全管理;沟通及操作过程管理 ;存取控制;信息系统发展及维护;企业活动可持续管理;有关项目之符合。每个方面都包含一些控制点。
从上述简介中,可以看出ISO17799完全从管理角度制定,并不涉及具体的安全技术,实施不复杂,主要是告诉管理者一些安全管理的注意事项和安全制度。
同ISO17799相比,信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估;系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。
在本次某教委计算机病毒监控、威胁感知和防护安全设计中,瑞星公司将在产品选型和体系设计上综合参考以上国家标准、国家法规以及安全标准和协议,力求整体方案的完整和规范。
3.2 系统建设目标
3.2.1 全网统一整体的病毒监控、安全威胁感知和防护体系
通过在某教委和各个学校之间统一部署瑞星网络安全威胁感知系统和瑞星防毒墙,并在该教委重要的服务器上部署瑞星杀毒软件下一代网络版对该教委和各个学校建立一个统一产品和标准的病毒监控、威胁感知和防护体系。
3.2.2 系统即统一又独立
某教委全网的病毒监控、网络安全威胁感知系统和防护系统由三个即统一又独立的三个子系统(网络安全威胁感知系统、网关病毒防护系统和服务器防护系统)共同组成,三个子系统分工明确又相辅相成,病毒监控和网络安全威胁感知系统通过对网络数据的采集和分析,实时监测和发现网络中存在的计算机病毒事件,实时掌握网络中传播、爆发病毒的种类和数量,为信息安全管理者提供第一手网络病毒安全状况;网络病毒防护子系统通过对网络的病毒进行阻断,实时的保护和记录网络中的病毒攻击、病毒爆发,提高了管理者的工作效率,同时保障了某教委的网络安全。服务器病毒防护子系统通过对某教委服务器统一部署瑞星杀毒软件下一代网络版实时监控、实时查杀,保护某教委服务器的系统应用安全,同时网络版杀毒软件的安全事件可以传送给病毒监控、威胁感知子系统和网关病毒防护系统,为全网病毒监控、威胁感知、防护提供准确分析数据。
3.2.3 系统分级部署统一管理
系统采用集中部署的设计方案,即在某教委总部部署病毒监控、安全威胁感知系统、网关病毒防护系统和服务器病毒防护系统。在某教委可以对各个学校的病毒监控、威胁感知和防护体系进行统一的设备和安全策略的管理,各个学校的病毒的安全事件和病毒的传播会统一在该教委的安全管理中心集中展现,该教委可以实时监控、实时预防和掌握所有学校的病毒爆发、病毒防护和病毒传播情况。
3.2.4 建立病毒应急处理安全专家系统
系统提供了安全专家系统,对病毒事件提供详细的事件分析和处理解决方案,同时,系统还可根据内部数据挖掘通过特定的算法可以准确地预判将来某个时间段可能爆发的计算机病毒种类和时间。
3.2.5 建立统一的安全考核标准和体系
安全体系的建立是一个技术保障和行政管理互相结合的管理体系,病毒监控、威胁感知和防护体系提供了管理员值班考核系统,某教委信息安全管理者可以对各个学校信息安全管理员进行统一的工作管理和考核,同时利用该系统可以结合其内部网站对各个学校的安全状况进行网上通报,为各个学校信息安全管理员提供统一考核标准。
3.2.6 满足将来安全扩展需求
病毒监控、威胁感知和防护系统由于在设计上采用多个子系统的设计方式,多个子系统相互独立又相互统一,因此,整个病毒监控、威胁感知和防护系统的弹性很大,系统建设可以采用一步到位,也可采用逐步实现的方式,同时,随着网络规模的发展和扩充,可以轻松构建分布下级管理单位,不影响用户原有的投入和网络结构。此外,瑞星病毒监控、威胁感知和瑞星网关病毒防护系统和瑞星服务器病毒防护系统可以轻松和瑞星安全应用同步,满足未来安全功能扩展的需求。
3.3 系统总体设计
3.3.1建立某教委集中管理的病毒监测、威胁感知中心
1)分级部署:通过几次调研,某教委总流量太大,导致现有的病毒监控、病毒预警系统部分无法正常工作。这里建议采用病毒监控、安全威胁感知系统采用两级部署原则,增加病毒监控、安全威胁感知系统的管理中心和探针数量来分流监控用户主干网的数据。
2)集中管理:在某教委部署两级病毒监控、安全威胁感知系统,利用该管理中心,可以实现对下级病毒监控、安全威胁感知系统设备的统一管理,实现下级病毒监控、安全威胁感知系统安全策略的统一制定、分发,病毒库的统一升级等各种安全管理,同时,对下级病毒监控、安全威胁感知系统监控的病毒进行及时报警,并快速显示安全威胁的详细信息(如:病毒信息包括病毒名称、病毒数量、病毒类型、使用端口、病毒描述、传播源、感染源的统计等,帮助管理员迅速定位安全风险。)
3.3.2建立某教委和各个学校的网关病毒防护系统
某教委由上百所学校网络和总教委网络组成。并在该教委核心网络统一进行管理和监控。这些学校通过两个光纤专线接入该区教委的核心网络,大部分学校网络通过该区教委核心网络连接互联网。也就是说大部分学校信息都要通过核心网络才能和Internet连接。所以,为保障核心网络不受病毒的侵害,首先保障这些学校到达核心网络的数据信息的安全,过滤这些学校数据中存在的病毒,是我们首要考虑的问题。将瑞星网关病毒防护系统部署在某教委网络和这些学校之间,有效的阻断了学校网络中病毒数据传输到总教委网,同时,也有效的保障了总教委网络中存在的病毒传输到各个学校。
3.3.3 建立某教委内部服务器病毒防护系统
在某教委部署服务器病毒防护系统(瑞星杀毒软件下一代网络版),利用瑞星杀毒软件下一代网络版的统一安全策略的统一制定、分发,病毒库的统一升级等各种安全管理,对该教委内部服务器和客户端进行统一管理,病毒日志信息的统一查询。详细信息(如:病毒信息包括病毒名称、病毒数量、病毒类型、使用端口、病毒描述、传播源、感染源的统计等,帮助管理员迅速定位安全风险。)
3.3.4 建立高效全网病毒应急响应处理中心
病毒监测威胁感知、安全威胁感知系统、网关病毒防护系统和服务器病毒防护系统中心具有多角色管理,实现系统的分角色、分级授权管理,分别向不同角色某教委管理员提供浏览、查询、统计、分析全国或本地数据的权限,以及查看全网病毒的总体情况等。同时,系统提供专家系统可以为各级管理员提供详细的病毒事件分析和处理建议等,帮助管理员在第一时间可以有效解决病毒事件。
四、瑞星病毒监控、威胁感知子系统设计详细方案
4.1 病毒监控、威胁感知子系统设计概述
病毒监控、威胁感知子系统采用北京瑞星信息技术有限公司的网络安全威胁感知系统为某教委网络构建的整体的网络病毒监控、安全威胁感知系统,该系统贯彻了如下三点整体防毒的基本设计思想:
∙ 风险威胁感知机制建立
近年来随着经济的快速发展,威胁公众安全的各种突发紧急事件的发生也呈上升趋势,给国家安全、社会安定和人民生活带来巨大威胁,严重阻碍了经济的健康发展,使得突发公共安全事件越来越受到各级政府和公众媒体的关注。公共安全事件具有四个特点:一是突发性,也就是高度不可预测性;二是具有一定的区域性和持续性;三是严重破坏社会正常秩序,影响经济正常发展和广大群众的正常生活;四是信息流通阻塞,各种虚假信息盛行。
对于突发事件的处理,借助先进的信息技术,可以增强应对能力,保持信息畅通,有效监控事态的发展、减少损失、保持社会稳定。该信息系统应有如下特点:个案快速上报、应对响应及时、信息交流通畅、联络指挥高效、信息发布权威,提供基于互联网的信息平台,进而建立针对各类事件的案例数据库、预案知识库、威胁感知模型数据库,为预防、监控和妥善处理突发公共安全事件提供科学依据。我公司根据相关项目实施经验提炼出了一整套突发公共安全事件应急威胁感知与指挥系统解决方案。
威胁感知性保护服务大大降低了用户的总拥有成本(Total Cost of Ownership,TCO),并且将故障风险降到最低。我们通过以下服务可以达到这些目的:
∙ 缩短用户的项目周期,这样可以帮助用户用最少的资源完成上线投产。
∙ 提供技术指导以帮助用户将不必要的工作减到最少,并且避免其复杂化。
∙ 确保用户的解决方案在运行中始终保持最优的性能、最大可用性和可维护性。
∙ 确定可以从优化中获益的业务领域。
预防性保护服务节省了用户的时间和金钱。用户将分享瑞星网络安全安全威胁感知系统的丰富经验,并且从一开始就避免了系统的复杂化。对用户的关键任务流程来说,预防性保护服务的价值显得尤为重要——因为如果这些流程出现问题,用户将会遭受巨大的经济损失。
∙ 集中监控管理
在某教委部署两级病毒监控、安全威胁感知系统,利用该管理中心,可以实现对下级病毒监控、安全威胁感知系统设备的统一管理,实现下级病毒监控、安全威胁感知系统安全策略的统一制定、分发,病毒库的统一升级等各种安全管理,同时,对下级病毒监控、安全威胁感知系统监控的病毒进行及时报警,并快速显示安全威胁的详细信息(如:病毒信息包括病毒名称、病毒数量、病毒类型、使用端口、病毒描述、传播源、感染源的统计等,帮助管理员迅速定位安全风险。)
∙ 分级监控管理
根据某教委网络的实际情况,我们把某教委网络的病毒监控、威胁感知管理系统划分为两级:
第一级,将某教委总流量带宽逻辑分开,一级中心监控一部分数据;
第二级,另外一部分数据由二级中心监控,并将二级中心产生的所有病毒信息上报给一级中心。
4.2 系统产品介绍
此次某教委计算机病毒监控、安全威胁感知系统的建设,我们将采用瑞星网络安全安全威胁感知系统来构建覆盖某教委和多所学校的病毒监控、安全威胁感知系统。
瑞星网络安全安全威胁感知系统集病毒监测、多厂商网络防病毒系统管理、事件统计分析功能于一身,它能实时捕获网络之间传输的所有数据,利用内置的病毒特征库,通过使用模式匹配和统计分析的方法,可以检测出网络上发生的病毒入侵、违反安全策略的行为和异常现象,并在数据库中记录有关事件,作为事后分析的依据。
4.2.1 产品系统总体架构
瑞星网络安全安全威胁感知系统采用集中管理的分布式网络监测体系结构,支持多级部署,网络安全威胁感知是由病毒监测探针、管理控制分中心和管理总中心3部分共同组成分布式体系结构。
系统采用B/S架构,利用WEB界面实现对系统的管理和查询,通过PHP调用后台程序访问数据库,可以根据用户设定统计时间、IP范围、特定病毒名称等条件生成各类统计信息,包括主要病毒统计,病毒来源统计,病毒趋势分析,病毒分析报告,阶段分析报告。以表格和图形的方式直观的显示出来,方便用户的查询,包括饼状图,柱状图等。
系统结构组成如下:
∙ 病毒监测探针:部署在指定的网络入口上实时监控网络的数据流信息,监测网络病毒,异常行为,并根据安全配置将发现的病毒上传到本地管理中心,并存入本地数据库;
∙ 省级管理控制中心:集中管理本省病毒监测探针,对探针进行统一管理,收集、记录和存储探针采集到的各种安全数据,并进行进一步的分析和处理, 同时根据安全策略,将本省的安全事件日志上报到部总管理中心;
∙ 总管理中心:定时发送收集统计信息的命令到下级中心,下级中心按照相应的统计条件到本地数据库中统计出相应的结果,返回到上级中心,总管理中心收到下级中心的统计结果后存入本地数据库。管理员通过WEB界面可以查看相应的统计结果,并以不同的图形方式显示。从而达到分布部署,集中管理的目的。
4.2.2 产品模块架构
瑞星网络安全安全威胁感知系统管理中心,它的系统模块包括硬件和软件两部分。软件包括系统内核、后台服务、数据库、配置管理等,模块较多,简要说明如下:
网卡、硬件层: 病毒监测威胁感知和入侵检测系统中提供的专业硬件设备平台。
内核、系统层: 为实现病毒监测威胁感知和入侵检测系统功能专门定制开发系统内核系统;
管理员模块: 提供管理员登录认证机制,支持管理员分级权限控制,支持远程的radius认证;
日志告警模块: 提供日志收集机制,提供告警信息告警机制;
数据分析模块: 收集数据并对各个节点的数据做初步分析后存储各类数据库中;
报表生成模块: 自定义报表模版,根据模版要求统计并提取相应的数据,生成报告;
数据库:存储数据;
配置管理模块: 提供各种配置方式的统一配置接口,保证配置的灵活性;
WEB管理模块:提供WEB方式的管理机制;
SSH管理模块: 提供SSH安全命令行方式的管理机制;
终端管理模块: 提供串口终端下的管理机制;
集中管理模块: 提供上级中心上登录的管理员直接管理本级甚至是跳级系统的管理机制。
值班管理:提供病毒集中安全威胁感知系统值班管理的电子化管理。
各模块的层次关系如下图:
4.2.3 系统各模块功能实现关系
4.2.3.1 配置管理模块
∙ 管理机制与故障处理
设计实现一个后台统一的命令执行进程,侦听本地和远程套接口,使用TCP705端口,接收各种管理方式连接发出的命令执行请求,做权限验证无误后执行,并将执行结果返回给调用者。从技术上实现如下目标:
1.提供一个统一的配置接口;
2.完整的错误反馈机制,快速定位为是配置出错还是系统连接故障;
3.使用资源文件,考虑语言版本转换的扩展性。
4.针对一些配置,添加最后修改信息的提示,可以防止上下级不同管理员互相改来改去。
∙ 多种管理方式
系统支持终端管理、SSH安全命令行管理和WEB管理,使用统一的配置管理命令可以保证配置的完整性、协调性和可靠性。
1)WEB管理
WEB管理走OpenSSL通道,采用HTTPS方式登录进行管理,WEB设计页面使用PHP编码,用PHP与后台命令执行进程建立本地套接口进行通信,完成用户名密码校验后,系统返回一个唯一的Session值,后续的所有命令执行都需要带上这个Session值。统一命令执行进程会校验Session的正确性。命令执行的结果,包括正确的返回数据内容,错误的返回错误提示信息,都通过本地套接口返回,界面通过编码转换后,可直接显示在WEB界面上。
2)终端命令行管理
由于命令行管理的特殊性,终端命令行管理所能使用的功能只是整个管理功能的一个子集。建议绝大部分的管理在WEB界面上操作,而且命令行方式不支持集中管理操作。
在Login状态下,输入正确的管理员名称和口令后进行命令管理Shell,这个Shell会与命令执行进程建立本地套接口连接,所有的命令执行统一由命令执行进程完成,需要校验Session的正确性。
3)SSH安全命令行管理
SSH安全命令行管理与终端命令行管理所能提供的功能类似,只不过使用的登录工具不同,连接方式不同。SSH管理操作时,修改网络配置时会导致已有连接失败,需要重新输入修改后的系统IP再次认证登录后才可以继续管理。
4.2.3.2 用户管理模块
同一系统可供多用户使用,所呈现的方式应该不同,需要结合不同的用户权限范围、业务范围等不同进行不同的控制,所以需要进行权限划分。
集中管理系统架构上,每个管理中心拥有独立的用户管理系统,上级用户登录后可以直接管理下级系统的相应模块。
∙ 认证服务器
考虑系统使用的可扩展性,认证服务器有两个选择,即管理中心本地认证和远程Radius认证,对应的用户就有两种类型:本地用户和远程用户。
本地用户:用户数据库存于本地,认证的时候使用本地用户数据库进行认证。
远程用户:用户在本地同样存在一些相关的信息,用户类型为相应的远程用户类型(目前只支持Radius),用户密码存于远程服务器中,该用户认证的时候使用的远程的认证服务器进行认证处理(也就是说,虽说为远程用户,但是必须在本地确实存在一个用户实体与远程认证数据库中的用户进行对应)。
∙ 用户权限分级管理
用户数据库中的数据需要维护,涉及添加、删除、修改等操作。一个用户包含的关键信息有:用户名、口令、权限、有效期限和登录范围等。
结合某教委病毒监测安全威胁感知系统各层面的用户需求划分权限,包含决策层、管理层、技术层,同时存在为下级单位的管理人员提供查看其单位病毒安全的需求。由此总结为四类用户:
主管领导:这个层次的用户作为系统的主管领导,可以通过系统了解全网的架构,同时关注全网的安全形势和相关的主体安全分析结果,可以包含一些实时信息显示等。安全总览与安全报告可看的内容由安全主管指定。
安全主管:这个层次的用户作为系统及设备安全运行的责任人,可以进行安全策略制定、模版配置、指派技术人员进行维护等系统所有的权限。
值班主管:这个层次的用户一般需要进行系统及设备的安全维护和网络安全运行状态监控等,具备策略配置与下发、日志管理与审计、安全报告定制,相关信息(全网病毒情况、病毒趋势预测、各单位病毒安全形势的评比等信息)的发布(发布后,由安全主管授权许可后才被允许全网可视)。
下级主管:一个系统允许这样用户的存在,主要是考虑下级单位没有管理中心系统,无法直接分析自己单位病毒安全状态,在其直属上级提供这样一个账号,他登录后,就可以浏览与自己单位有关的病毒事件日志和病毒分析报告。从而可以方便整个系统的使用,促进系统内的整体重视。
各级别用户本身有一个权限范围,在这个权限范围基础上,可以针对某个用户,缩小其权限范围,即可以管理用户的权限明细。一般情况下,只有主管领导和安全主管才有权限配置用户管理权限。
4.2.3.3 系统管理模块
系统管理模块主要包括系统的配置、系统维护、软件升级和网管接口等,管理和配置这些模块是系统日常管理的主要工作内容。
系统管理描述了整个系统的管理配置等基本内容,区别不同的节点类型,可能会存在不同的配置内容。
∙ 管理功能分类
1)管理模块图
2)管理模块说明
如上图显示,管理模块共分四大类,本地管理中心的管理、下级探针的管理、下级网络版中心的管理、下级管理中心的管理。基本上本地管理中心的管理与下级管理中心的管理内容相同,其中网络配置部分较特殊,本地配置时可以修改自己的IP,但不能修改下级设备的IP,从而可以避免很多问题。
4.2.3.4 集中管理模块
集中管理架构使用双向TCP连接管理,由下往上逐级上报为心跳连接,由上往下逐级下发为命令连接。心跳连接自下往上,使用TCP长连接,持续周期性汇报,搜集了本地及下级的相关信息后上报到上一级,以便于在系统的总中心上可以列出整个系统的所有加入病毒监测安全威胁感知系统的设备,有管理中心,病毒探针和网络版防病毒软件系统中心;
∙ 上下级管理
心跳连接使用两套口令,分别为上行口令和下行口令。这样各节点上的口令可以不完全相同,保证系统连接的安全性。各设备接入集中管理系统中时,先通过认证和授权后,才能正常进行上报数据和接入管理,即使用上告密码与上级管理中心取得系统获取关键信息(节点ID)的分配,等待上级管理员的确认后,即完成加入系统操作。
系统支持的设备类型有管理中心、管理中心(备份)、病毒探针和网络版中心等。网络版中心支持多个厂家的,定义为每个厂家的网络版中心为一种类型。系统设计的节点方案支持8层7级结构,每层最多有254个节点。
与上级连接,需要输入上级管理中心的IP和通讯口令,启动连接。上级管理中心的管理员使用上下级管理操作功能,能看到新接入的设备,新接入的设备配置的基本信息也一起显示出来,作为授权加入的参考,管理员确认该设备可以加入后,就能够在上级管理中心中管理和配置这个新加入的设备,同时新加入的设备也可以及时的上报相关的病毒事件信息。
上下级管理只可以对直属的下级进行管理,可以禁止接入或删除等。不可以直接跨级修改,但可以在集中管理界面上切换到下级管理中心上去操作下级管理中心上的上下级管理功能。病毒探针和下一代网络版中心是病毒集中威胁感知管理系统的末端节点,只有上级配置,即只能配置上级的IP和通讯口令,没有下级管理。
∙ 策略下发
可灵活控制策略的下发。
针对一些需要下发配置策略的地方,在点击确定的时候给出提示,“是否需要进行下发?” 如果需要,则列出直属的管理中心,提供有选择的下发,也可以选择全部下发。
∙ 日志上报
可以灵活的控制日志上报的方式,可以限制日志上报的时间范围,针对禁用情况下了下级节点,再次允许时,则可选择是否接收禁用期间的事件日志。
下级停用后,再启用,则默认将本地所有的数据进行上报。
4.2.3.5 探针实现
病毒探针通过部署在某教委网络节点处,病毒探针基于瑞星的病毒查杀“流引擎”,通过对网络数据报文进行完整的数据重组和恢复,实时监测网络中的病毒数据, 通过病毒事件接口将病毒名称、传播途径等信息报告管理中心。
该功能模块主要由以下几个部分组成:数据包侦听、文件还原、病毒扫描。
∙ 数据包侦听负责从被检测的网络上高速抓取IP数据包,物理上采用千兆网卡接入网络中,通过修改驱动和引入零拷贝技术将获取的数据包送文件还原模块。
∙ 文件还原模块首先在系统中开辟很大的存储空间,采用链表的形式存储数据包,将获取的数据按照协议类型,原始地址,目的地址,原始端口号,目的端口号进行组包,剔除协议部分,还原出数据文件,如PE文件,邮件,网页等等。该模块采用高速匹配查找算法,使数据包能够快速还原出文件。
∙ 扫描模块是将协议还原后的文件进行扫描,检测是否带有病毒,将病毒信息发送到分中心。由于该模块采用了先进的虚拟机技术,所以可以查获未知病毒。
病毒监测探针实现的功能主要有:
1)病毒监测探针能够对被监测网络上的网络数据包进行分析、重组, 还原出应用层文件,如可执行文件、电子邮件等。
2)病毒监测探针能够对以上文件进行扫描,查找病毒代码,将发现的病毒名称、传播途径等信息上报系统管理中心。
3)病毒监测探针能够判定可疑的文件(未知病毒)并存储到本地磁盘或者根据配置上报给管理中心,提供管理中心进行深入分析。
4)病毒监测探针能够监测网络蠕虫病毒。
5)病毒监测探针能够根据配置自动升级病毒库。
6)病毒监测探针具有基于特征的检测方法,能检测140万种以上已知病毒,和符合特征的可疑文件。
7)病毒监测探针具有一定的统计功能,对于网络数据包数量、连接数、文件数、病毒数等能够统计和上报。
4.2.3.6 报表生成模块设计方案
报表模块通过前期的数据分析和定期汇总成总表,根据可定制的XML报表模版,界面就可以从总表中提取相应的数据进行显示,呈现方式可以是列表、图形或两者兼之。报表显示就是从不同角度观察哪些数据的问题,根据需求分析书中的设计分析,需要支持多种维度的报表显示方式:
∙ 自定义时间段或周期
∙ 地区(总中心使用)
∙ 区分单位类型
∙ 区分单位级别
∙ 网络分类:支持自定义
∙ 应用分类:支持自定义
∙ 自定义单位集
报表系统根据实时显示与统计汇总分为安全总览显示和安全报告生成两部分,其中:
1)安全总览:安全总览显示的内容是从当天0点以来传输的数据实时汇总。按时间显示当天0点以来全网病毒事件及相关信息数据,关键数据则可以在折线图上表示出来;按单位显示,则显示按各单位的统计数据,呈现一个对比的关系,关键数据则可以在饼状图上表示出来,单位数量太多时,可以选择只显示排名前n位的。
安全总览是一个动态显示的页面,可以定制模版,模版可以包含多个页面,每个页面之间可自动循环显示,也可以手动显示,每个页面可以定制不同的内容。
安全总览可显示的内容包含4个部分:病毒信息、主机信息、流量信息、文件信息。
2)安全报告:安全总览只是将相关信息进行累加、分类显示,是动态的,满足实时显示的需要。安全报告则做更深层次的分析,做了很多关联的数据挖掘。
与总览一样,也使用了一套XML格式的模版,所以很多数据定期已经导入到报告数据库中了,使用报告系统生成报告时就使用报告数据库进行汇总,再结合一些特殊协助数据库完成报表的生成和输出。
安全报告以标准的日历日进行周期统计,支持日报、周报、月报、季报、半年报和年报,相应的时间取值范围是在一个完成的周期内,如果选择3月15日的时候产生月报表,那就是提取3月1日到3月31日之间的数据。
4.2.3.7 威胁感知分析模块设计方案
威胁感知分析模块按网络安全的宏观与微观的角度分为两部分,一是整体病毒危害和入侵攻击的安全情况,二是流行病毒和主要攻击个体的活动情况。宏观与微观相结合的方法的优势就是,使网络管理人员不仅可以实时的掌握其管理网络的整体安全情况,而且还可以了解到各个流行病毒在网络中的活动情况,若发现异常活动病毒,可以预先采取防治措施,做到防患于未然。
威胁感知分析模块可对系统网络病毒情况做评价分析与预测。
威胁感知分析模块的数据来源有病毒探针、下一代网络版防病毒软件的数据,描述病毒活动可以表现为传毒过程和受毒过程。威胁感知分析模块做病毒的分析可以分为传毒和受毒两个不同的角度对网络病毒安全情况进行评价与预测。
威胁感知分析是以网络病毒的历史数据为基础,在系统初期没有相关历史数据的情况下,可以使用一些经验值来取代历史统计值。
∙ 病毒安全评价
评价模型的最终定论表现为四个级别,从不同角度分析有不同的说法。评价结果值为0~1之间的一个数,四个级别如何划分也需要根据网络运行情况进行定义,初期管理员可以做相应修正。针对一个单位进行病毒安全情况的评价,结果应有:正常、基本正常、轻度异常、严重异常四个等级。
单位网络安全评价模块,根据数据库统计出的统计数据与网络安全评价模型计算出相关评价分析指标。
评价体系的统计数据包括:染毒次数、染毒种数、传毒次数、传毒种数、受毒次数、受毒种数、染毒主机数、活跃主机数,未知病毒数等。
评价体系的评价分析指标包括:染毒次数指数、染毒种数指数、传毒次数指数、传毒种数指数、受毒次数指数、受毒种数指数、染毒范围指数,受毒范围指数、传毒范围指数等。
相关的次数指数计算是根据相关数据与其历史数据进行纵向比较,以确定这次数值在历史数据中处于什么等级,例如今天染毒次数创了新高,染毒次数指数为1,若染毒次数在历史数据中为中位数,则染毒次数指数为0.5。
相关的范围指数计算主要是根据病毒事件涉及到IP数除以活跃主机数得到,例如拥有1000个活跃主机的网络中,有500台计算机感染了病毒,则该单位的病毒感染范围指数为0.5。
相关的综合指数计算是综合考虑了传毒部分、受毒部分与染毒部分的主要计算指标,并采用合理的综合评价方法进行计算。 其中需要几个经验值做参考,每主机染毒次数、每主机传毒次数、每主机受毒次数,同时结合各种病毒的变化情况,即考虑病毒的成长和衰退情况,综合进行评价。
∙ 病毒安全预测
所谓预测就是对还没有发生的事情做个结论。预测是需要理论支持的,但预测不是事实,肯定是有出入的,针对网络安全方面的预测,一般是从严考虑。
预测模型设计时,不是通过前期的安全评价直接进行预测,而是先对各项指标进行预测,再综合得到安全评价,这样的过程可合理一些,最终结果也表现为:正常、基本正常、轻度异常或严重异常。
∙ 流行病毒评价
所谓流行病毒,只是指爆发情况最严重的某些种病毒,但病毒集中威胁感知管理系统会对当前发生的所有病毒种类进行分析和评价。
对病毒的评价可以从两个角度来分析,病毒的爆发度和危害度。评价结果针对爆发度和危害度各有一个0~1之间的数值,一般评为四个级别。四个级别具体如何划分也需要根据网络运行情况进行定义,初期管理员可以做相应修正。针对病毒爆发情况的评价,结果分为:未爆发、轻度爆发、中度爆发、大规模爆发;针对病毒危害情况的评价,结果则分为:无危害、轻度危害、中度危害、严重危害四个等级。
流行病毒评价模块,根据数据库统计出的统计数据与流行病毒评价模型计算出相关评价分析指标。
评价体系的统计数据包括:病毒染毒次数、病毒传毒次数、病毒受毒次数、病毒染毒主机数、病毒传毒主机数,病毒受毒主机数,活跃主机数等。
评价体系的分析指标包括:染毒次数指数、传毒次数指数、受毒次数指数、受毒种数指数、染毒范围指数,受毒范围指数、传毒范围指数、病毒综合指数、病毒防治效率、病毒事件数量增速、病毒范围扩大速度等。
相关的次数指数计算是根据相关数据与其历史数据进行纵向比较,以确认这次数值在历史数据中处于什么等级,例如今天病毒染毒次数创了新高,病毒染毒次数指数为1,若病毒染毒次数在历史数据中为中位数,则病毒染毒次数指数为0.5。
病毒防治效率根据主机报送染毒事件次数多少与该病毒涉及主机数计算所得,病毒防治效率=(染毒事件次数-毒涉及主机数)/ 染毒事件次数,该数值为0~1之间,数值越大防治效率越差。
相关的范围指数计算主要是根据病毒事件涉及到IP数除以活跃主机数得到,例如有1000活跃主机的网络中,如果有500台的计算机都感染了这个病毒,则这个病毒传播范围指数为0.5。
相关的综合指数计算是综合考虑了染毒部分、传毒部分与受毒部分的主要计算指标采用独特的综合评价方法进行综合计算。
其中需要几个经验值做参考,每病毒感染主机数、每病毒传毒主机数、每病毒受毒主机数,同时结合各种病毒的变化情况,即考虑病毒的成长和衰退情况,综合进行评价。
∙ 流行病毒趋势预测
与单位病毒预测模型类似,预测的结果是要说明一个病毒在接下来的一个周期的爆发情况和危害情况。
∙ 流行病毒感染区域预测
通过对流行病毒的分析,可以做到以下几点:
1)确定流行病毒、爆发单位爆发时间;
2)统计计算流行病毒的传播方向;
3)确定最主要的传播方向进行有针对性的有效防止。
4.3. 病毒监控、威胁感知子系统部署设计
4.3.1 某教委病毒监控、威胁感知中心任务
负责某教委和多所学校的信息分析和监控,并对截取的病毒进行日志分析记录和威胁感知,将信息及时报警,并快速显示安全威胁的详细信息(如:病毒信息包括病毒名称、病毒数量、病毒类型、使用端口、病毒描述、传播源、感染源的统计等,帮助管理员迅速定位安全风险。
4.3.2 病毒监控、安全威胁感知系统管理中心的部署设计
∙ 病毒监控、安全威胁感知系统总中心部署位置
病毒监控、安全威胁感知系统管理中心部署两个,采用分级的部署方式。是负责对某教委全网的病毒监控、安全威胁感知系统进行统一集中管理,是整个系统的管理最高级,因此,管理总中心部署位置在教委的信息中心,由该教委的管理人员负责对其管理。
∙ 病毒监控、安全威胁感知系统管理中心部署方式
瑞星病毒监控、安全威胁感知系统管理中心是一个硬件设备,产品通过并行网络接入方式,通过IP地址实现对其进行管理。
4.3.3 病毒监控、安全威胁感知系统的监测探针部署设计
∙ 病毒监控、安全威胁感知系统监测部署位置
病毒监控、安全威胁感知系统探针部署八个,分别监控某教委的流量带宽,负责采集所有信息的数据进行分析、判断,并将分析完成的信息发送给管理中心。
∙ 病毒监控、安全威胁感知系统部署位置
瑞星病毒监控、安全威胁感知系统探针是一个硬件设备,产品通过并行网络接入方式,通过IP地址实现对其进行管理。
4.3.4 病毒监控、安全威胁感知系统实现主要功能
∙ 探针集中管理
管理员可以有针对性地管理不同的探针,病毒集中安全威胁感知系统支持探针分类管理。管理员可以将威胁感知中心的下属探针分为若干个探针集,以便于进行分类管理。单击【配置管理】——》【基本配置】,单击探针集管理标签页进入探针集管理页面,如图所示:
∙ 上下级集中管理
管理员可以实现对下级管理中心的集中统一管理,计算机病毒和网络攻击监测安全威胁感知系统支持上级中心对下级中心的管理权限,上级单位可以对多个下级单位统一管理和监控。为了明确单位在网络节点中的位置,使用计算机病毒和网络攻击监测安全威胁感知系统上下级管理功能对整个体系结构进行划分。单击【配置管理】【基本配置】点击上下级管理标签页进入上下级管理页面,如图所示:
∙ 用户管理
管理员根据管理需要对计算机病毒和网络攻击监测安全威胁感知系统的账号进行增加、修改和删除。单击【系统管理】——》【用户管理】,点击用户配置标签进入用户配置页面。计算机病毒和网络攻击监测安全威胁感知系统的超级管理员可对用户帐号进行管理(增加、删除或修改),
管理员根据需要可以建立多种类型的管理员
∙ 全网安全状况实时总览
通过管理总中心可以管理某教委和所有学校的全网病毒和入侵攻击安全状况,对于红色的安全威胁感知区域,只需点击该位置,就可查看详细情况。
系统通过表格和图表的形式显示总的安全事件。其中可以设置安全事件的显示条目和定时刷新的时间间隔。在表格中按病毒名称、病毒来源、病毒受害单位以及攻击名称、攻击来源、攻击受害单位统计了网络安全事件中的排名最前的事件。
∙ 病毒攻击事件:
攻击事件和病毒时间自动刷新,并不断刷新数据库记录显示最新的统计数据。
∙ 病毒感染
此模块通过表格的形式显示当前最新的安全事件。其中可以设置安全事件的显示条目和定时刷新的时间间隔。在表格中描述了网络安全事件的各种属性:包括来源、目标、名称、类型、协议类型和发生时间等条目。
∙ 主要病毒分布图
主要病毒分布图通过在地图上显示饼图的形式,给用户提供网络中病毒大致分布情况。如下例图(图中为模拟测试数据):
根据例图中的病毒分布,管理员可以宏观上了解,病毒的爆发地域分布和时间分布,为制定有效的病毒预防策略提供信息。
∙ 病毒监测
病毒监测模块通过配置在网络中的病毒探针捕获病毒信息,其中包括排名、源地址、目的地址、病毒名称、协议和发生时间等信息。以攻击的先后顺序排列,显示到用户界面上。
单击页面菜单,将会显示下图所示的界面(图中数据为测试模拟数据)。
∙ 排名:形式如“年-月-日-编号”,表示当天的发生事件的编号
∙ 源地址:病毒的来源IP地址
∙ 目标地址:病毒攻击的受害者IP地址
∙ 病毒名称:病毒的名称,单击此项将提供病毒的详细描述
∙ 协议:病毒传播所利用的协议,目前支持HTTP,SMTP,和POP3三种协议
∙ 发生时间:病毒攻击主机发生的时间
∙ 主要病毒趋势和分析
主要病毒模块用于查询统计检测到的病毒信息,并分别用数据表格、饼形图、柱形图、线形图、区域走向图显示,默认显示的页面为数据表格形式。
点击图标:
可切换不同的数据显示方式。
数据表格:
排名:发现病毒的排序号
病毒名称:病毒的名称,单击此项将提供病毒的详细描述
病毒数量:此种病毒攻击数量
比例:在所有病毒攻击中当前病毒所占的比例
来源/目的:病毒攻击的来源和目的,点击相应的图标可以列出相应的IP地址
∙ 病毒来源
病毒来源模块统计病毒的主要来源,通过数据表格、饼形图、柱形图、线形图 、区域走向图可视化的显示病毒的来源,使管理者了解网络中病毒感染的源主机分布状况。
数据表格:
排名:病毒攻击主机量的排名
源地址:发送病毒的地址
病毒数量:该主机IP发送的病毒数量
比例:在所有病毒攻击中当前该病毒所占的比例
主要病毒/目的/详细:主要病毒名称,和攻击目的IP
∙ 受害单位分析
受害单位模块可以统计病毒攻击的单位,通过数据表格、饼形图、柱形图、线形图、区域走向图可以分析出病毒攻击了哪些目标单位,可以通过这些数据制定应急预案。
数据表格:
单位:受害单位名称
病毒数量:向该单位地址发送的病毒数量。
传毒次数:在所有病毒攻击中传播的病毒总数
受毒次数:在所有病毒攻击中感染的病毒总数
∙ 病毒爆发趋势和预测分析
此模块统计关于病毒的流行趋势,通过输入起始时间和终止时间搜索条件,查看某段时间内各种病毒流行走势。
∙ 病毒事件查询
通过设置下图中的各项搜索条件,可以对历史记录中关于病毒的监测信息进行查询,并以表格的形式显示。
五、瑞星网关病毒防护系统(防毒墙)方案设计
5.1防毒墙方案设计思想
5.1.1防毒墙实现目标
通过瑞星国际领先的网络病毒防护产品和丰富的企业网络防毒设计经验,为该区教委网络系统提供一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系,有效抵御各种病毒和混合威胁的攻击,提高病毒防御水平。
5.1.2防毒墙设计原则
根据该区教委网络系统的现状和系统防毒安全和管理的需要,我们考虑防病毒系统遵循以下几条原则:
∙ 技术和产品的成熟性和稳定性
充分考虑防病毒产品本身和技术上的成熟性。网络防病毒产品必须是成熟而且经受大量考验的防病毒产品
∙ 必须是主动防御与实时监控相结合的策略
针对病毒提供主动保护主要处于以下几个原因,主要是病毒传播的速度和它们的破坏程度;停机时间造成巨大的成本,需要大量的IT资源来清理病毒。对于病毒必须要提供主动式的防御。同时,对不经过网关的内网病毒实时监控和清除。
∙ 可管理性
对于这样比较大的网络结构,要管理反病毒产品的升级、配置和支持是一个非常难的事,这就要求提供一个方便管理的平台。防病毒系统必须提供简化管理的工具,包括对病毒特征文件和防病毒引擎的分发升级、报警管理和日志分析整理以及病毒处理方式配置等。
∙ 易用性
网络中设备及软件较多,各类网络产品种类繁多,对于网络管理员来说产品友好易用性将起到事半功倍的效果。
∙ 可扩展性
防病毒系统的升级和功能应尽量做到自动化,整个系统应具有及时更新的能力。
5.1.3防毒墙总体设计
本方案借鉴最新的安全思想,从“综合立体防毒”这一观点出发,帮助该区教委建立一个覆盖全网的、可伸缩、抗攻击的防病毒网络,对互联网网关处部署防毒墙,在多所学校到达核心网中部署防毒墙,构建病毒防护屏障。
∙ 建立网关边缘病毒防护屏障
上级单位的网络出口部署防毒墙。
对该区教委整个网络的终端通过此出口访问互联网,会遇到来自互联网各式各样的病毒攻击,病毒通过防毒墙入侵终端操作系统过程中将在网关位置被防毒墙阻断,保障终端的安全。
∙ 建立学校和核心网之间病毒防护屏障
这些多学校对进出核心网的数据提供病毒过滤,阻断病毒从其他学校传入本核心网络,防御可能产生因病毒传播造成整个核心网络瘫痪的情况。
5.2防毒墙部署方案
5.2.1防毒墙产品选型
某教委的网络由上百所学校网络和教委核心网组成。因这些学校分成两条光纤专线连接到该教委的核心网中,根据专线的出口流量及应用的实际情况,我们推荐在两条专线上分别架设一台导线式防毒墙12000L,保障学校和核心网直接的病毒过滤。因该教委需要访问互联网,我们还需要在互联网的出口处架设一台导线式防毒墙12000L,保护其核心网不受病毒的侵害。
5.2.2防毒墙产品参数
5.2.3防毒墙部署示意图
5.2.4防毒墙的部署介绍
导线式防毒墙12000L,部署方式采用透明方式,部署在网络中相当于是一根导线。不会对现有的网络造成任何影响。
∙ 核心网出口处部署
首先在该教委系统网络中心出口处部署一台导线式防毒墙12000L,选用导线组一E0、E1口将防毒墙串接在网络的出口处。对进出访问教委核心网和学校数据进行查杀,加强了对教委内部服务器、终端的安全保护,彻底防止病毒、木马以及黑客工具被传入服务器、终端,这样即使黑客利用服务器、终端漏洞获得系统权限,也无法通过黑客工具窃取机密数据。
∙ 学校联入核心网部署
因这些学校通过专线联入核心网有两条光纤链路,并且用户的网络为口字型网络,从下面过来四条光纤分别连接到四台导线式防毒墙12000L,实现双击热备功能,保证一条链路上一台导线式宕机或者系统瘫痪另一台导线式防毒墙也能正常工作防止学校的病毒、木马以及黑客工具进入核心网或者病毒、木马以及黑客工具经过核心网时感染核心网中的服务器、终端等。
5.2.5防毒墙实现的功能
该教委通过网关处部署导线式防毒墙12000L,两条专线分别部署导线式防毒墙12000L。整个该区教委的网络安全性大大提升。
∙ 采用透明接入方式最大程度的减轻对原有网络的影响
瑞星防毒墙采用透明模式接入网络,这种特点使防毒墙可灵活的接入网络的各个位置,无需对现有网络结构和IP地址进行修改,最大程度的减轻了对原有网络的影响。
∙ 强大的病毒查杀功能摧毁病毒带来的威胁
瑞星防毒墙支持对HTTP、FTP、SMTP、POP3、IMAP和SAMBA六种常用网络协议的扫描,通过对进出防毒墙数据的扫描,可以将绝大部分病毒清除。同时,防毒墙还具有用户自定义的特性。这将更加适应复杂的网络环境,进一步提升了网络的安全性。
∙ 避免了终端或服务器直接暴露在互联网的危险
通过架设导线式防毒墙,使得核心网内的终端和服务器没有直接暴露在互联网的威胁之下,所有来自互联网的病毒和入侵都会受到防毒墙的过滤和隔离,网内的终端和服务器可以尽情享受互联网带来的便捷和效率而无需担心其带来的安全威胁。通过架设瑞星防毒墙对重要服务器提供更为全面的保护。即使黑客已经入侵了服务器并取得了相应的系统权限。但由于有防毒墙的保护,相应的木马程序黑客工具也不会被传到服务器上,最终使得黑客“巧妇难为无米之炊”,无法开展进一步的入侵和破坏。
∙ 网络系统的安全保障
支持bypass功能,防止设备异常或者掉电的情况下,不影响网络的正常运行。
∙ 和瑞星杀毒软件下一代网络版联动
导线防毒墙与终端杀毒软件互相配合,能够弥补各自的弱点,利用两者的优势,可以将病毒更加及时,更加彻底的清除干净,能够有效的减少网内具有安全隐患的终端数量。通过客户端安装的瑞星下一代网络版杀毒软件,导线式防毒墙还可以与其联动,根据网络版软件提供的信息,导线式防毒墙可以第一时间对存在威胁的终端进行阻断,防止其成为病毒传播源头。
∙ 和瑞星安全威胁感知系统产生联动
瑞星导线式防毒墙可以和安全威胁感知系统产生联动,导线式防毒墙可以将病毒日志传送给瑞星的安全威胁感知系统,瑞星安全威胁感知系统根据现状和病毒趋势分析统一出月报表,报表的格式可以根据用户自定义。
∙ 通过日志报表能够及时发现网内的安全隐患
瑞星导线式防毒墙具备完善的日志功能,系统不但拥有多种类型的日志可以随时通过防毒墙实时显示,而且还支持将日志记录到Syslog服务器或远程MySQL服务器。必要时,还可以通过电子邮件将日志发送到管理员指定邮箱。这些都可以帮助管理员及时发现网内的安全隐患以便采取措施。
∙ 减轻维护人员的工作压力
部署瑞星防毒墙后,病毒在通过防毒墙时就已经被清除,根本不会进入终端操作系统,这就使得网内终端的安全响应事件会大幅下降,进而减轻了维护人员的工作压力。另外通过防毒墙内显示的相关信息,维护人员可以轻松的掌握网内整体安全情况。当网内出现ARP欺骗等病毒问题时,通过防毒墙可以很快速的找到病毒传播源头,避免了逐台终端排查的巨大工作量,极大的提高了维护人员的工作效率。
5.3防毒墙升级方案
瑞星防毒墙支持多种升级方式,可以根据网络的具体情况灵活选择以下几种方式进行病毒库的升级:
网站升级:防毒墙连接瑞星网站下载病毒库升级包进行升级,分为手动网站升级和定时网站升级两种方式,防毒墙网站升级支持代理服务器,避免某些网络无法直接访问Internet而导致的升级失败。
局域网升级:用户可以自行将病毒库升级包下载到本地的HTTP服务器,防毒墙可以通过本地的HTTP服务器下载,分为手动局域网升级和自动局域网升级两种;
本地升级:用户可以自行将病毒库升级包下载到本地管理PC,手动指定病毒库升级包。
六、服务器病毒防护子系统(瑞星杀毒软件下一代网络版)方案设计
某教委网络结构非常复杂,同时,在某教委网络中信息系统应用也比较复杂,涉及众多应用服务器、数据库服务器、普通计算机和各种网络设备。某教委网络中涉及众多服务器和客户端的管理以及多部门、多系统之间的协调。
所以,对于某教委总教委网络来说,在建立统一病毒安全威胁感知、监控和防护体系的同时,也应该保障其服务器和客户端的安全,在各个服务器和客户端上安装瑞星杀毒软件,保障该教委总教委网络服务器和客户端的安全。
6.1方案设计思想
根据某教委的实际网络机构情况,我们建议在某教委总教委网络部署瑞星杀毒软件下一代网络版,并贯彻如下四点整体防毒的基本设计思想:
6.1.1集中监管
没有集中管理的防病毒系统是不完整的防毒系统。在某教委内部网络防病毒的方案中,需要对其总教委的服务器和客户端进行统一管理,并将详细日志上传给监控、安全威胁感知系统。
6.1.2全方位、多层次防毒
网络级防病毒体系应该部署多层次病毒防线,截断病毒可能传播的各种渠道,如服务器、客户端等,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范。
6.1.3技术是保障
需要具备优秀的病毒查杀引擎,实现全方位、多层防护,针对服务器、工作站等部署病毒防护系统,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范。
6.1.4服务是后盾
服务是整体防病毒系统中极为重要的一环。防病毒系统建立起来之后,能不能对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。
6.2设计原则
某教委的网络服务器防病毒系统应本着如下原则进行设计:
1.全面防护原则:为全网提供全面的病毒防护,建立多层次立体的防护体系。
2.安全性原则:充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中应有具体的措施来充分保证其安全性。
3.可靠性原则:保证产品质量的可靠性。对项目实施过程实现严格的技术管理和设备的冗余配置,保证系统的安全可靠。
4.先进性原则:具体技术和技术方案应保证整个系统具有技术先进性和持续发展性。
5.可扩展性原则:由于目前安全技术的发展和变化非常迅速,方案采用的技术应具有良好的可扩展性,充分保护当前的投资和利益。
6.可管理性原则:系统都应具备在线式的安全监控和管理模式。
7.合法性原则:产品需要公安部和国家信息安全产品测评中心的认证,参与实施企业需具有国家认可的安全服务资质。
6.3产品选型原则
1.先进的查杀病毒技术;
选择的反病毒厂家具有先进的反病毒技术,选择的产品能够查杀当前已知的病毒,并且对能够有效拦截和查杀未知病毒。
2.厂商开发、服务的本地化;
反病毒厂家在中国具有自己的研发基地和完善的服务网。能快速响应国内的计算机病毒事件和技术支持服务。
3.安装、操作、管理简单;
防病毒具有多种远程安装方式,满足在复杂局域网的方便、快速布置防病毒客户端。
4.能够实现病毒防护的实时性;
能够对病毒可能传播的途径(网络、光驱、内存、U盘)进行实时监控,阻止病毒通过这些途径传播。
5.可以扫描网络中的系统漏洞。
可以在网络中扫描每个系统的漏洞、未打的补丁,并且帮助有漏洞的系统安装补丁程序,更有效的保护整个网络系统。
6.具备对网络内服务器、工作站等所有计算机的防病毒能力;
反病毒产品具有对全系列的操作平台的监控产品,实现网络内的层层布防。
7.在广域网范围内可具有跨路由、防火墙等的全网集中与分级防病毒管理能力;
反病毒产品具有支持大型复杂网络的多级管理功能,实现网络内的多级管理,实现统一集中管理,内部责任明确。
8.具备可实施远程自动分发、自动产品版本及防病毒引擎文件升级等远程控制功能;
产品具有全网统一升级功能,实现内部所有防病毒产品的统一升级、自动更新病毒代码和反病毒引擎,保证网内所有防病毒产品具有最新、一致的防病毒能力。
6.4方案设计目标
本方案的整体设计目标是在某教委总教委网络中建立一套具有集中监控管理、又兼有分级管理能力的适应用户网络具体环境的完整网络病毒防护体系,并以此为契机,完善网络的病毒防护管理制度,以确保网络受病毒侵扰而影响运行的机率降至最低,确保构建于网络上的业务的有效运行。具体目标如下:
6.5部署方案建议
根据总教委网络的结构和需求,在网络中,我们需要建立一套瑞星杀毒软件下一代网络版产品。
具体方案部署示意图如下图所示:
瑞星ESM下一代网络版包括以下几部分:
∙ 数据中心
∙ 管理中心
∙ 业务中心
∙ 升级中心
∙ 补丁中心
∙ 客户端基础库(各部分必装)
∙ 客户端子产品(功能集合)
各个子系统协同工作,共同完成对整个网络的病毒防护工作,为用户的网络系统提供全方位防病毒解决方案。
数据中心提供统一的数据存储、管理功能,既可以使用内网环境中已存在的数据库系统,也可以使用系统自带的轻量级数据库系统。
管理中心提供了web方式管理和维护网内终端,管理员可以使用任意计算机上的浏览器,远程登录到控制台对整个网络进行集中控制管理,实时地掌握整个网络环境中各个节点的状态,随时生成日志和报告,及时处理终端上报威胁,最大程度上给管理员带来方便。
业务中心是全网客户端连接服务器的中心服务器,业务中心会实时下发策略、任务等管理数据给全网客户端,同时又会接收客户端的日志、状态等信息,并及时写入数据中心,独特的负载均衡方案,使得业务中心具备更强的负载能力,突破传统方式的网络连接瓶颈。
6.5.1病毒监控管理中心的部署
在某教委部署系统中心服务器。
注意:安装病毒监控管理中心时,安装程序将在该服务器上同时安装一套服务器端系统和一套管理控制台系统。
病毒监控管理中心(系统中心)的安装条件
∙ 全天候开机:为确保正常实现病毒监控管理中心所有功能,安装病毒监控管理中心的计算机应该在有效工作期内保持全天候的开机状态。
∙ 可方便的连接Internet:瑞星杀毒软件下一代网络版具有自动升级的功能,为保证此功能的顺利实现,病毒监控管理中心所在服务器应能接入互联网。
注意:为了保障防病毒系统顺利工作,建议将病毒监控管理中心安装在独立的服务器上面。
∙ 软件环境
1)操作系统
Windows Server 2003 系列系统
Windows Server 2008 系列系统(包含Windows Server 2008 R2系统)
Windows Server 2012系列系统
2)数据库
Microsoft SQL Server 2005
Microsoft SQL Server 2008
MSDE(没有上述时自动安装)
3)其它
IIS 6.0以上发布版本
Microsoft.NET Framework 3.5
∙ 硬件和网络要求
剩余磁盘空间:2GB以上,如果有漏洞扫描功能,建议将漏洞补丁保存路径所在盘保留2G以上空间
CPU: Intel Pentium IV 3.0G以上
内存:2GB以上,最大支持4GB
网络环境:100M以上网络,需一个固定IP地址
6.5.2基于Windows的服务器端/客户端的部署
瑞星杀毒软件下一代网络版可以监控和保护网内所有WINDOWS服务器端/客户端不受病毒的感染。
瑞星杀毒软件下一代网络版具有智能安装的特点,支持多种安装方式,包括:光盘安装、远程安装、WEB安装以及脚本登录安装等,通过这些多样化的安装方式,网络管理员可以十分轻松地在最短的时间内完成整个系统的安装。而且管理员可以通过“瑞星安装包定制工具”定制安装包。
∙ 智能安装
瑞星杀毒软件下一代网络版可根据用户当前的操作系统和网络状态智能安装合适的模块,安装程序首先通过智能广播,确定整个网络内是否安装了病毒监控管理中心。若没有找到病毒监控管理中心,则判断当前计算机的操作系统是否为Windows 2003/08 Server,若是,将自动安装病毒监控管理中心,否则提示用户首先应在Windows 2003/08 Server计算机上安装病毒监控管理中心。若找到了病毒监控管理中心,则自动根据用户计算机的操作系统是Windows 2003/08工作站还是XP,自动安装客户端或服务器端。
瑞星杀毒软件下一代网络版的整个安装过程完全是智能化设计,可以完全不需要用户指定病毒监控管理中心位置,也不需要用户指定安装的模块,简单、方便、实用。
∙ 远程安装
远程安装包括两个部分,它们都可同时对多台机器进行远程安装:
可远程安装瑞星杀毒软件下一代网络版。也就是说,可通过瑞星管理员控制台,向所有网络邻居中的Windows NT/2003/2008/XP服务器/工作站远程安装瑞星杀毒软件下一代网络版客户端软件。
∙ WEB安装
通过WEB安装,可以将瑞星防毒软件的安装包发布到企业的内部网(Intranet)中,客户端用户通过浏览指定位置的网页实现网络版的安装。
∙ 脚本登录安装
瑞星杀毒软件下一代网络版能够自动识别域服务器,并为域服务器配置登录脚本。这种方式主要针对Windows 2003/XP、Windows NT 工作站等登录到域控制器的用户,当用户登录到本域时,实现自动为其安装瑞星杀毒软件下一代网络版,避免系统管理员为每台计算机都进行手动或远程安装。
对于瑞星杀毒软件下一代网络版,只需在域控制器上运行瑞星登录脚本安装程序,安装程序自动列出所有的用户供管理员选择,管理员可以根据需要选定部分或所有的用户即可,完全不需要管理员额外的操作。
∙ 自定义安装包
管理员可根据企业的实际情况在瑞星病毒监控管理中心上定制出客户端的安装包,选择需要安装的组件。以实现客户端的快速方便地部署。并配合上述的Web安装和脚本登录安装模式使用。
定义的安装包可以支持3种运行模式:
∙ 普通安装:正常的安装包,显示每步安装界面,需要用户参与点击;
∙ 自动安装:运行后,自动完成,显示每步安装界面,不需要用户参与点击;
∙ 静默安装:运行后,自动完成,静默方式,不显示安装界面,不需要用户参与点击;
Windows服务器端/客户端防病毒软件客户端的的安装条件
∙ 软件环境
1)Microsoft Windows家族。包括:
客户端:
Windows XP 系统Windows Vista 系统Windows 7系统Windows 8系统
服务器端:
Windows Server 2003 系列系统,Windows Server 2008系列系统(包含Windows Server 2008 R2系统),Windows Server 2012系列系统
2)Internet Explorer 7.0以上
∙ 硬件环境
剩余磁盘空间:2GB以上;
CPU: 800MHz以上
内存:1GB以上,最大支持4GB
七、方案实施后可达到的效果
通过对某教委全网网络建立统一的整体病毒安全监控、威胁感知和防护体系,在部署网络病毒防护体系的基础上,进一步加强对各个病毒传播的环节和病毒安全事件的监测,提高对整个网络安全管理部门计算机病毒传播等信息安全事件的监测发现、威胁感知防范和应急处理能力。建立对计算机病毒传播活动的监控手段和定位追踪技术平台,建立对安全突发事件应急响应的技术手段,建立信息网络安全突发事件应急处置机制。
通过部署下一代网络版杀毒软件和病毒安全监控、威胁感知和防护系统,从而建立一个覆盖全网的、可伸缩、抗攻击的多层次立体防病毒网络,及时对全网病毒爆发情况进行宏观掌控和防护,全面保护用户网络免受通过各种渠道传播感染的病毒,从而实现对全网病毒风险可知、可管、可控、可防的总体目标。
7.1终端桌面级全方位病毒防护和集中管理
∙ 建立防病毒中央控管系统
通过某教委总教委系统中心的部署和建立,实现对总教委病毒的防护和拦截,达到对病毒风险的可控目的。同时,通过病毒管理中心可对网络内的服务器、客户机防病毒客户端进行远程策略设置、病毒查杀、远程安装等各种管理操作;
∙ 主动防御更可靠
当前病毒发展的趋势是病毒日益更新、变种层出不穷。通过传统的单纯依靠病毒分析、特征码查杀这种带有滞后性的手段明显不能有效的保障网络及终端日常应用的安全,通过瑞星杀毒软件下一代网络版中的主动防御模块,采用三层防御的体系,加入了文件访问控制、进程启用控制、注册表访问控制等功能,配合传统监控层及行为分析判定规则,使对未知病毒的查杀成为可能。
∙ 客户端防病毒策略强制保护
可以给网络内所有的服务器、客户机设置密码保护,防止内部用户修改防毒策略或删除杀毒客户端程序。
∙ 漏洞扫描与补丁分发管理
系统漏洞扫描与补丁分发管理的结合将更加彻底的清除各种漏洞、加固系统。许多病毒行为是借助系统的漏洞及缺陷等,不修补漏洞而单纯反复的借助防病毒系统来清除借助此漏洞进行传播及破坏的病毒程序将是徒劳的。漏洞扫描配合补丁分发功能对每台客户端的漏洞扫描结果有针对性的分发补丁程序、修补漏洞,才能真正解决系统的安全性,防止重复性的入侵及病毒感染。特别能够有效的防止威金系列病毒在网络中的传播。
7.2网关病毒防护系统(防毒墙)病毒防护
∙ 某教委整体网络的保护
瑞星防毒墙支持对HTTP、FTP、SMTP、POP3、IMAP和SAMBA六种常用网络协议的扫描,通过对进出防毒墙数据的扫描,可以将绝大部分病毒清除。同时,防毒墙还具有用户自定义的特性。这将更加适应复杂的网络环境,进一步提升了网络的安全性。
∙ 采用透明接入方式最大程度的减轻对原有网络的影响
瑞星防毒墙采用透明模式接入网络,这种特点使防毒墙可灵活的接入网络的各个位置,无需对现有网络结构和IP地址进行修改,最大程度的减轻了对原有网络的影响。
∙ 避免了终端或服务器直接暴露在互联网的危险
通过架设导线式防毒墙,使得核心网内的终端和服务器没有直接暴露在互联网的威胁之下,所有来自互联网的病毒和入侵都会受到防毒墙的过滤和隔离,网内的终端和服务器可以尽情享受互联网带来的便捷和效率而无需担心其带来的安全威胁。通过架设瑞星防毒墙对重要服务器提供更为全面的保护。即使黑客已经入侵了服务器并取得了相应的系统权限。但由于有防毒墙的保护,相应的木马程序黑客工具也不会被传到服务器上,最终使得黑客“巧妇难为无米之炊”,无法开展进一步的入侵和破坏。
∙ 网络系统的安全保障
支持bypass功能,防止设备异常或者掉电的情况下,不影响网络的正常运行。
∙ 通过日志报表能够及时发现网内的安全隐患
瑞星导线式防毒墙具备完善的日志功能,系统不但拥有多种类型的日志可以随时通过防毒墙实时显示,而且还支持将日志记录到Syslog服务器或远程MySQL服务器。必要时,还可以通过电子邮件将日志发送到管理员指定邮箱。这些都可以帮助管理员及时发现网内的安全隐患以便采取措施。
∙ 减轻维护人员的工作压力
部署瑞星防毒墙后,病毒在通过防毒墙时就已经被清除,根本不会进入终端操作系统,这就使得网内终端的安全响应事件会大幅下降,进而减轻了维护人员的工作压力。另外通过防毒墙内显示的相关信息,维护人员可以轻松的掌握网内整体安全情况。当网内出现ARP欺骗等病毒问题时,通过防毒墙可以很快速的找到病毒传播源头,避免了逐台终端排查的巨大工作量,极大的提高了维护人员的工作效率。
7.3全网病毒事件集中威胁感知和监控
通过病毒安全监控体系的部署,可实时掌握全网病毒事件发展状况,预测发展趋势,安排有效的处理措施。同时,与下一代网络版杀毒软件联动,汇集网络版病毒日志,形成统一病毒感染数据.综合评估预测病毒的感染趋势,为全面掌控病毒形势提供依据。
∙ 实时掌控全网安全状况
病毒安全监控系统可以实时数据流监测,有效数据的汇总和分析,形成对网络中的病毒和攻击情况的总体报告和趋势分析,为宏观决策提供依据,动态调整安全防护体系。
总览全网的安全状况,获得整个网络病毒疫情状况,对于红色的安全威胁感知区域,只需点击该位置,就可查看详细情况。
∙ 基于智能分析的病毒发展趋势预测
智能分析病毒疫情数据,根据历史数据结合智能分析模型预测各地病毒威胁的严重程度,提前采取措施,防患于未然。
所有单位历史及当前病毒疫情情况
∙ 指定单位当前病毒趋势预测
∙ 准确定位病毒来源及目的
准确定位病毒传播源目的信息,利用什么方式传播,什么时间传播等信息,为定位病毒源及掌握病毒危害情况提供数据依据。
∙ 掌握网络及病毒攻击信息
定位网络及病毒攻击源,提供事件处置信息。例如发生ARP攻击,将会提供攻击源地址信息。
∙ 病毒活跃程度监测
根据活跃病毒名称,分析病毒行为,评估网络安全风险
总之,通过瑞星网络病毒安全监控系统、网关病毒防护系统(防毒墙)和瑞星网络版杀毒软件的方案部署,终端层面网络版杀毒软件起到病毒清除、系统保护作用;局域网层面,病毒安全监控系统起到实时监控作用;从而形成强大的、全面的、深入的病毒安全监控、威胁感知和防护体系。
附件(应急处理和常见问题处理)
一、监控、安全威胁感知系统应急处理和常见问题
1.1安装部署常见问题
1.管理中心和探针的默认地址是多少,无法登陆?
答:管理中心的默认的地址为192.168.10.2,探针的默认地址为192.168.10.1.
2.探针和管理中心安装完成后,在管理中心无法查看到探针?
答:需要设置探针和管理中心的连接密码,通过ssh工具或者是超级终端进入探针的配置界面parent key即可。
1.2使用中常见问题
1.如何查看查看cpu信息,记录处理器核数和主频?
答:使用cat /proc/cpuinfo查看cpu信息,记录处理器核数和主频。
2.如何查看硬盘的使用情况?
答:使用df -h查看根目录的剩余空间大小;使用df -i查看根目录剩余inode节点的比例;
3.管理中心没有数据,如何处理?
答:首先查看探针是否已经接入到管理中心,如果接入到管理中心,通过ssh查看探针是否正常工作,如果没有接入到管理中心查看探针的配置是否更改,或是重新启动探针硬件。
二、网关病毒防护系统应急处理和常见问题
1.1 Web管理常见问题
1.瑞星防毒墙Web管理对浏览器的要求?
答:瑞星建议用户使用Internet Explorer 7.0 / Netscape 7.1 / Firefox 1.0或相应更高版本的浏览器,且显示器分辨率大于等于800*600。
2.瑞星防毒墙默认的管理员用户名和密码是什么?
答:瑞星防毒墙提供了一个默认的超级管理员帐号,其默认的用户名和密码都是:admin。
3.为什么我不能登录Web管理界面?
答:请确认是否存在以下几个问题:
1)确认网络通讯正常;
2)确认浏览器为Internet Explorer 7.0 / Netscape 7.1 / Firefox 1.0或相应更高的版本;
3)清除Cookie;
4)采用https://[管理接口IP地址]进行访问;
4.可以限制用来管理防毒墙的IP地址吗?
答:可以。单击【管理配置】-【帐号配置】,您可以通过修改一个已经存在帐号可使用的管理地址段或添加一个新帐号时限制其可以使用的地址段,有效的控制管理防毒墙系统的用户使用的IP地址。
1.2使用过程中常见问题
1.网络中部署有Cisco的PIX防火墙,部署上防毒墙后,防毒墙工作不正常,如何解决?
答:防毒墙和PIX系列防火墙有可能存在兼容性问题,为了解决该问题,请单击【系统管理】-【TCP/IP选项】,在“TCP/IP选项”页面选择“高级设置”,选中“关闭TCP window scaling”和“关闭TCP SACK校验”前面的复选框,单击【应用】按钮。
2. 防毒配置中进行了相关的杀毒设置,为什么防毒墙不杀毒呢?
答:重新查看配置项,重启服务器即可。
3.防毒墙挂载到网络中,导致网络断网?
答:最快的解决方式直接关闭导线式防毒墙,防毒墙会直接启动bypass功能,查看网络中是否存在一些病毒攻击,导致防毒墙数据处理不过来。
4.由于所有的数据都会经过防毒墙,那么瑞星防毒墙会影响我的上网体验吗?
答:一般情况下不会。为了让用户获得良好的用户体验,瑞星防毒墙对HTTP协议进行了特殊的优化处理。在用户通过HTTP协议获取数据时,防毒墙会边向用户发送数据边对数据进行缓存,直到在用户完整接收到最后一个数据包的时候,防毒墙会暂时不向用户转发数据而对数据进行还原检查,当防毒墙发现病毒时,就不会将最后一个数据包转发给用户,因此避免了用户收到病毒的威胁。只有当防毒墙检查确认无毒后,才将最后一个数据包发送给用户。这一般不会影响您的上网体验,您在下载文件的时候会偶尔出现在99%的时候停顿一下,这属于正常现象。
5.瑞星防毒墙发现病毒后,会采取哪些处理方式?
答:目前瑞星防毒墙支持两种方式的病毒处理:
查毒:只在防毒墙病毒日志中记录,而不进行任何操作,无法消除病毒给您的网络带来的潜在威胁;
杀毒或阻断:防毒墙对所有支持的协议传输的文件进行病毒查杀,如果检测到文件中包含病毒,如果防病毒引擎能够查杀的,则进行杀毒操作;如果不能进行查杀,则阻断文件进入网络;
6.防毒墙默认的杀毒文件的大小是多少,对于超过这个大小的文件如何处理?
答:考虑到用户实际使用的体验,瑞星防毒墙查杀文件的大小默认设定成2 MB,用户可以对默认的杀毒文件大小进行修改。对于超过这个大小的文件,防毒墙不会阻断文件的传输,而是让它正常通过防毒墙。
7.防毒墙是否可以正常处理被压缩的文件?
答:可以,防毒墙对于被压缩的文件,只要它的层数不超过100层,就可以正常的处理;如果层数超过100层,则无法处理。防毒墙默认可以处理5层压缩。
8.防毒墙可以识别被加壳的病毒吗?
答:可以,最新的瑞星杀毒引擎集成了虚拟脱壳技术,可以有效的识别加壳的病毒。
9.防毒墙是如何判断文件类型的?
答:防毒墙首先会依据文件内容进行文件格式识别,对于无法进行文件格式识别的文件,则按照扩展名进行识别。
10.防毒墙是否扫描加密文件?
答:防毒墙无法对加密的文件进行查杀。
11.如何处理加密邮件?
答:防毒墙不会扫描加密的邮件。
三、服务器病毒防护系统(瑞星杀毒软件下一代网络版)应急处理和常见问题
3.1网络版安装常见问题
1.安装瑞星杀毒软件下一代网络版时提示您已经安装了瑞星杀毒软件?
答:请确认您是否已经完全卸载了之前所安装的瑞星杀毒软件(包括瑞星杀毒软件单机版)
。如果确认已经卸载了。但还是无法进行安装,请打开“注册表编辑器”,检查HKEY_LOCAL_MACHINE\SOFTWARE\Rising\Rav是否存在,如果存在,请删除“rav”项。
2.杀毒软件无法安装、安装后无法运行问题?
答:查看磁盘的空间大小,建议大小在2G以上。或者计算机感染某些病毒会导致杀毒软件无法安装(安装过程中报错或出现“无响应”的情况),可以使用DISKGEN、机器狗、橙色八月专杀工具进行杀毒,使用专杀工具清除病毒后,再次安装杀毒软件。
3.数据库选择SQL SERVER,在数据库服务器无法将“计算机名字/数据库实例名”输入完整?
答:因为输入字符有限,请把计算机名或者数据库实例名设置的短一些,要不无法完全输入,建议计算机名称5个字符以内。
4.客户端为什么不能选择web安装?
答:查看服务器是否安装IIS服务,如果没有安装请先安装IIS服务。
5.无法安装瑞星杀毒软件下一代网络版系统中心组件?
答:安装系统中心组件时提示“本网段已存在系统中心”或“您的操作系统不是服务器版本”。
出现以上情况时请您作如下检查:
检查网络内是否已经存在一个系统中心,瑞星杀毒软件下一代网络版要求在同一个局域网内只允许安装一个系统中心。或者找到这个网段的系统中心将要安装的IP地址加入到黑名单中。
6.运行安装包,解压完成以后安装程序就不运行了?
答:可能的问题:
1)检查登录用户帐户是否有管理员权限。
2)检查瑞星安装目录所在的磁盘空间是否低于200M,若空间不够先清理磁盘空间。
3)尽量清空%temp%目录里的临时文件。
4)进入安全模式下安装,安装后升级杀毒。
5)任何操作均无法安装,光盘引导杀毒,若不成,提信息分析病毒。
3.2Windows的使用
1.客户端有哪几种安装方式?
答:光盘安装、远程安装、web安装、脚本安装(必须在域中)。
2.客户端找不到系统中心如何处理,管理控制台显示未激活?
答:首先,确定客户端是全部不激活还是部门不未激活。
A.全部不激活做如下处理
1)检查系统中心本地是否启动了防火墙;
2)确认系统中心版本,刚装的中心版本低,请用户先升级系统中心;
3)重启ESMNET AGENT服务;
4)删除GROUPINFO文件夹。
如果所有客户端和中心不在同一个网段,在任一台客户端上安装多网段代理程序;
B.部分不激活,如下处理:
在系统中心服务器上进行的操作:
1)检查服务器端或客户端的授权数是否超出;
2)检查中心是否设置了黑白名单;
在客户端本地进行的操作:
检查客户端本地是否启动了防火墙(XP sp2系统默认启动了防火墙),可使用telnet命令测试客户端和中心的通讯是否正常。检查RAVSERVICE服务是否已经正常重启。客户端和中心不在同一个网段,在客户端托盘里输入中心IP;客户端ghost系统后安装瑞星,指导用户删除ravid.ini文件;如果存在上级中心,检查两个中心版本是否已经同步。
3.通知客户端升级,但提示通知客户端升级失败,如何处理?
答:查看客户端RAVSERVICE服务是否异常,或是服务器和客户端有端口访问限制
4.客户端登录域不运行脚本进行安装,怎么办?
答:
1)检查登陆客户端时是否有脚本程序运行;
2)检查登陆客户端的帐户是否启用了登陆安装脚本功能;
3)检查域控制器上登录脚本目录中4个文件是否都在,如果缺少文件,需要重新安装登录脚本。如果仅缺少安装程序,可下载安装包改名后复制到该目录中。
4)如果客户端是后加入域的,没有安装过登录脚本,需要重新给这部分用户安装登录脚本。
5)域用户需要将该用户添加到本地管理员组。
5.客户端与控制台监控状态不一致?
答:
1)可以刷新一下控制台状态,观察监控的状态是否正确。
2)重启客户端ESMSERVICE服务,客户端重新注册到中心后观察。
3)如果状态还是不一致,检查客户端以下几个服务状态:
ESMSERVICE 服务
RISING PROCESS COMMUNICATION CENTER 服务
RSESMON SERVICE服务
4)如果已经启动,可指导用户依次重启这三个服务后观察。
6.用户的客户端与中心之间有防火墙,应该如何设置?
答:双向开放TCP5555&3333端口(默认端口)可在管理控制台查看当前程序使用端口。
7.用户发现客户端都不能杀毒,发现病毒时提示“忽略”,主程序界面上的杀毒按钮变成了查毒,如何处理?
答:客户端配置文件损坏或使用版过期。
1)如果用户个别有问题,可以指导用户重新安装客户端。
2)如果许多客户端配置文件都损坏,说明系统中心处配置文件损坏,需要重装中心,然后升级到新版本等待客户端连接到系统中心升级同步配置。
8.客户端收不到中心发出的广播信息,如何处理?
答:
1)检查客户端是否托盘程序ESMtray.exe运行。
2)托盘中有广播消息记录,说明客户端设置了不显示广播消息。
3)托盘中没有广播消息的记录,对客户端执行查杀病毒能否进行杀毒。
4)不能进行病毒查杀,telnet 客户端ESMservice端口。
9.杀毒时提示清除失败情况如何处理?
答:检查可疑文件的权限或提取信息分析是否有可疑文件在运行。
10.用户杀毒时停止在某个文件不动了,怎么办?
答:
1)检查文件是否是邮箱的文件,此文件需要分离文件内的每封邮件然后杀毒。
2)观察是否每次查杀都停在了相同的文件上,如果是这种情况,指导用户提取文件分析。
3)如果每次停在不同的文件上,先进行磁盘碎片整理再修复杀毒软件。
11.系统中心升级后客户端没有立即升级?
答:
1)请打开“管理控制台”检查客户端在中心的连接状态是否为“激活”。
2)如果连接状态为“激活”选中客户端,单击鼠标右键,选择“立即升级”。
3)如果连接状态为“不激活”请检查客户端的瑞星ESMservice服务是否正常启动。
3.3其它系统的使用
1.安装unix客户端显示未激活?
答:该问题先检查windows系统中心是否有防火墙设置阻止瑞星端口,如确定没有。使用iptables –F 命令清除unix系统的防火墙规则。
2.无法执行安装unix瑞星网络版?
答:检测是否是超级管理员权限或者文件是否有执行的权限。
3.网站下载升级程序添加到控制台后,运行./setupini –u update=1升级,没有反应或找不到文件?
答:先在Unix客户端,运行cd /usr/local/Rising/Rav进入瑞星安装目录,再用cd bin在bin目录中可以看到setupini文件,再运行./setupini –u update=1命令。