技术建议书模板(sepsnac)

终端安全系统建设项目技术建议书赛门铁克软件（北京）有限公司 技术建议书目录第1章恶意代码发展趋势1第2章防病毒系统设计思路22.1基于特征的防病毒技术分析22.2传统的防病毒产品使用效果分析42.3技术＋管理＋服务的体系化建设52.3.1技术层面：主动防御62.3.2管理层面：终端准入控制112.3.3服务层面16第3章产品选型推荐173.1端点安全保护SymantecEndpointProtection173.1.1产品简介173.1.2产品主要优势183.1.3主要功能203.2终端准入控制SymantecNetworkAccessControl203.2.1主要优势213.2.2主要功能22第4章终端安全管理系统体系结构设计244.1管理系统功能组件说明244.2系统管理架构设计274.3病毒定义升级304.3.1防病毒系统初建后第一次升级方案30II 技术建议书4.3.2正常运维状态下的升级方案314.3.3Symantec病毒定义升级频率314.4网络带宽影响324.5准入控制设计324.6安全管理策略设计354.6.1管理权限策略354.6.2各地市组织结构策略354.6.3备份和数据库维护策略354.6.4安全策略354.7服务器的硬件配置需求37第5章服务方案395.1赛门铁克专业防病毒服务体系395.1.1赛门铁克服务水平阐述395.1.2赛门铁克安全响应中心395.1.3赛门铁克企业客户服务中心405.1.4赛门铁克安全合作服务商415.2赛门铁克专业防病毒服务流程415.2.1基本流程425.2.2客户服务专员的工作流程435.2.3客户服务经理的工作流程435.2.4工程师的工作流程435.2.5紧急事件响应流程45II 技术建议书第1章恶意代码发展趋势终端所面临的安全威胁已不再是传统的病毒，而是更加复杂的恶意代码（广义病毒）。分析恶意代码的发展趋势可以帮助我们更好地构建病毒防护体系，优化现有安全防护体系，从而实现保障终端安全的最终目标。r前所未见的恶意代码威胁当前，终端安全必需要面对的首要问题是越来越多的恶意代码是未知的，前所未见的。前所未见的威胁之所以剧增，其中一个主要原因是恶意代码系列中出现大量变种。攻击者普遍都在更新当前的恶意代码，以创建新的变种，而不是“从头开始”创建新的恶意代码。一些恶意代码系列（如熊猫烧香、Mytob系列）中的变种数量多如牛毛便是这方面淋漓尽致地再现。恶意代码的编写者创建新变种的方法各式各样，其中包括变形代码进化、更改功能及运行时打包实用程序，以逃避防病毒软件的检测。前几年，蠕虫和病毒（红色代码、冲击波）的大规模爆发表明，恶意代码无需复杂就可以感染大量计算机。如今，关注的焦点逐渐转移到目标性攻击和更狡猾的感染方法上。因此，越来越多的攻击者开始使用复杂的多态技术来逃避检测，为传播助力。多态病毒可以在复制时更改其字节样式，从而逃避采用简单的字符串扫描防病毒技术进行的检测。r特洛伊木马特洛伊木马是一种不会进行自我复制的程序，但会以某种方式破坏或危害主机的安全性。特洛伊木马看起来可用于某些目的，从而促使用户下载并运行，但它实际上携带了一个破坏性的程序。它们可能伪装成可从各个来源下载的合法应用程序，还可能作为电子邮件附件发送给无防备的用户。-45- 技术建议书根据统计，大部分特洛伊木马是通过恶意网站进行安装的。它们利用浏览器漏洞，这些漏洞允许恶意代码的作者下载并执行特洛伊木马，而很少或无需与用户交互。当用户使用MicrosoftInternetExplorer查看其中的恶意的网络页面时，特洛伊木马便会通过浏览器中的多客户端漏洞安装在用户的系统中。然后，特洛伊木马会记录某些网站的身份验证资料，并将其发送给远程攻击者。许多新出现的特洛伊木马还会从受感染的系统中窃取特定的消息，如网上银行密码。r广告软件/流氓软件终端用户遭遇的广告软件/流氓软件的几率越来越高，广告软件可执行多种操作，其中包括显示弹出式广告、将用户重引导至色情网站、修改浏览器设置，如默认主页设置以及监视用户的上网活动以显示目标广告。其影响范围包括单纯的用户骚扰、隐私权侵犯等。Adware的影响因其固有的特点而难以量化。但这并不意味着它们不是安全问题。最严重的影响可能是大范围破坏个别最终用户系统的完整性。包括：性能下降、浏览器故障、系统频繁死机等。r混合型威胁混合型威胁可以利用多种方法和技术进行传播。它们不但能利用漏洞，而且综合了各类恶意代码（病毒、蠕虫和特洛伊木马程序）的特点，从而可以在无需或仅需很少人工干预的情况下，短时间内感染大量系统，迅速造成大范围的破坏。混合型威胁常用的多传播机制使其可以用灵活多变的方式避开组织的安全措施。它们可以同时使系统资源超负荷并耗尽网络带宽。第1章防病毒系统设计思路1.1基于特征的防病毒技术分析长期以来，应对混合型威胁（混合型病毒）的传统做法是，一旦混合型病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种方式曾一度相当有效，但近年来――特别是近两年多次影响XXX-45- 技术建议书的冲击波、Slammer、Netsky、熊猫烧香等病毒，已经体现这种基于特征的被动式病毒响应方式效果不佳了。这一方面因为病毒的快速发展，另一方面更因为传统防病毒技术采取被动跟踪的方式来进行病毒防护。但是，这种被动的病毒响应方式越来越力不从心。如下图所示，Symantec公司统计了近十几年来病毒爆发速度和特征响应速度，并对近年的发展趋势做了比较。附图1.混合型病毒感染与病毒特征响应对比图该图以计算机病毒/混合威胁的复制速度（蓝色线条，自左上至右下）来显示这些威胁的演变，以响应速度（红色线条，自左下至右上）来显示病毒技术的发展。横轴以年为单位，时间范围是从1990年至2005年。纵轴实际上显示两种不同的时间规定（都采用左边纵轴的时间比例来显示）。左边纵轴（蓝色文本）显示恶意病毒达到“感染”状态所用的时间，在该状态下，恶意病毒已经感染了相当多有漏洞的计算机。右边纵轴显示提供描述病毒的特征所用的时间。分析上图的最后一部分可知，对于现在-45- 技术建议书出现的几分钟甚至几秒钟之内就可发作的超速混合威胁而言，其传播速度和实现完全感染相关主机的速度比人工或自动化系统生成和部署病毒特征的速度快得多时，在这样情况下，原有的基于病毒特征的模式已经效果甚微，因为到那时每次混合型病毒的爆发，由于特征响应方式的滞后而让将付出沉重的代价（最近的冲击波、震荡波的例子已经初步证明了这一点），而这是绝对不能接受的。1.1传统的防病毒产品使用效果分析传统的单一的防病毒产品在应对新的终端安全威胁时效果往往不佳，其根本原因在于：r基于特征的病毒定义滞后性虽然防病毒技术不断发展，出现了类似启发式扫描、智能检测等新的技术，但是目前防病毒产品还是以基于特征的病毒扫描方式为主要手段。也即一种新的病毒出现后，防病毒厂商通过各种方式收集到病毒的样本，经过自动地或者专家分析获取病毒特征码，随即发布新的病毒定义供用户下载更新。而用户通过手动或周期地自动更新获取新的病毒定义以后，才可以有效地防御这种新的病毒。显然，基于特征的病毒定义更新存在着滞后性，这种滞后表现在：l病毒定义滞后于新病毒的出现，当前的病毒快速、大量变种的特性加剧了这种滞后性所带来的危害。l用户的病毒定义滞后于厂商的病毒定义。这是由于用户往往使用周期自动更新的方式，甚至由于种种原因部分用户的病毒定义不能正常升级，这些都会导致与最新的病毒定义的时间差。r区域性恶意代码增加了样本收集的难度特洛伊木马等恶意代码当前的一个重要特征是具有很强的目标性和区域性。特洛伊木马往往以特定用户和群体为目标。某一种特洛伊木马可能只是针对某个地区的某类型用户。由于特洛伊木马的目标性强，因此这些攻击只是发送给较小的用户群，从而使其看上去并不显眼，并且不太可能提交给防病毒供应商进行分析。-45- 技术建议书而如果防病毒厂商不能及时获得最新的病毒样本，也就失去了对这些木马的防护能力。r单纯的防病毒技术无法应对混合型威胁混合型威胁整合了病毒传播和黑客攻击的技术，以多种方式进行传播和攻击。不需要人工干预，能够自动发现和利用系统漏洞，并自动对有系统漏洞的计算机进行传播和攻击。越来越多的病毒会自动攻击操作系统或者特定的应用软件的漏洞，在漏洞未修复（未安装补丁）的情况下，会造成病毒反复感染，纯粹的防病毒不足以应付这些新型的病毒事件。r复杂的病毒查杀技术与性能需求新型的恶意代码采取了更多的反检测和清除的技术，包括前文描述的多态病毒以及高级的Rootkit技术。与传统的恶意代码相比，检测复杂多态病毒和Rootkit对技术的要求更高。涉及复杂的加密逻辑和统计分析过程，以及代码模拟和数据驱动引擎的设计。因此，这需要经验丰富的分析师来开发检测和移除技术。同时，防护时也需要占用更多的终端系统资源。实际测试包括很多用户实际环境中，防病毒软件通常占用内存50M－60M左右，对于一些老的机器（内存小于256M）会影响系统性能。部分终端用户往往在安全和性能的抉择中放弃安全，这也导致了防病毒体系整体运行效果不佳。1.1技术＋管理＋服务的体系化建设实践证明，完整有效的终端安全解决方案包括技术、管理和服务三个方面内容。防病毒技术的部署和实施是“实现用户个人的广义病毒和攻击的防护”的主要力量。传统的病毒防护方案往往以技术为主，但是仅仅依靠技术是有其局限性，因此指望一套防病毒软件解决所有的病毒问题是不现实的；同时，对于XXX这样的大型企业，防病毒的管理性要求甚至比查杀病毒的能力显得更为重要，如果不能做到全网防病毒的统一管理，再强的防病毒软件也不能发挥应有作用。此外，我们重点提出“服务”-45- 技术建议书的根本原因是基于一个判断：即没有任何防病毒厂家能够做到对所有已知病毒和未知病毒的快速准确查杀。服务是产品的一种补充。因此，产品＋管理＋服务的组合才能在根本上保证病毒防护的可靠性。以下分别予以详细阐述：1.1.1技术层面：主动防御从以上对新的恶意软件发展趋势和传统的病毒防护产品的特性分析，不难看出，传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。一旦病毒爆发，尽快捕获样本，再尽快写出病毒特征，并尽快去部署该病毒特征，然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。这种被动的防护方式无法应对新的恶意软件的发展。因此，必须从“主动防御”这一观点出发，建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。相对于被动式病毒响应技术而言，主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙，静侯威胁的到来而能避免威胁带来的损失。“主动防御”主要体现在以下几个方面：-45- 技术建议书r基于应用程序的防火墙技术个人防火墙能够按程序或者通讯特征，阻止/容许任何端口和协议进出。利用个人防火墙技术，一方面可以防止病毒利用漏洞渗透进入终端，另一方面，更为重要的是，可以有效地阻断病毒传播路径。以去年大规模爆发的Spybot病毒为例，该病毒利用了多个微软系统漏洞和应用软件漏洞，企业可以在终端补丁尚未完全安装完毕的情况下，通过集中关闭这些存在漏洞的服务端口，阻止病毒进入存在漏洞的终端。再以Arp木马为例。正常的Arp请求和响应包是由ndisiuo.sys驱动发出，而arp病毒或者其他arp攻击通常是利用其他的系统驱动伪造arp数据包发出。因此，通过在防火墙规则中设定，只允许ndisiuo.sys对外发送Arp数据包（协议号0x806），其他的全部禁止。从而，在没有最新的病毒定义的前提下对病毒进行阻断和有效防护。-45- 技术建议书统一部署防火墙不仅可以解决以上这些安全问题，同时可以成为企业执行安全策略的有力工具，实现一些企业的安全策略的部署，如突发病毒爆发时，统一开放关闭防火墙相应端口。r具备通用漏洞阻截技术的入侵防护通用漏洞利用阻截技术的思想是：正如只有形状正确的钥匙才能打开锁一样，只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。如果对一把锁的内部锁齿进行研究，便可以立即了解到能够打开这把锁的钥匙必需具备的特征——甚至不需要查看实际的钥匙。类似地，当新漏洞发布时，研究人员可以总结该漏洞的“形状”特征。也就是说，可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。对照该“形状”特征，就可以检测并阻截具有该明显“形状”的任何攻击（例如蠕虫）。以冲击波蠕虫被阻截为例进行说明。当2003年7月MicrosoftRPC漏洞被公布时，赛门铁克运用通用漏洞利用研究技术，制作了该漏洞的通用特征。大约在一个月之后，出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。Symantec由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波蠕虫并立即阻止它。在前文对恶意软件的发展趋势中，我们分析了木马、流氓软件的一个最主要的传播方式是利用IE浏览器的漏洞，当用户浏览这些恶意站点时，利用IE的漏洞，攻击者可以在用户终端上悄悄安装木马、广告/流氓软件等。尽管恶意软件的变种数量庞大，但实际上，恶意软件安装过程中利用的IE漏洞种类并不多。赛门铁克运用通用漏洞利用研究技术，提前制作这些漏洞的通用特征。恶意软件若想利用这些漏洞进行安装，必须具备特定的形状，而赛门铁克编写的特征可以提前检测到该形状，从而对其进行阻截，避免了恶意软件安装到用户终端上，从而根本无需捕获该病毒样本然后再匆忙响应。r应用程序控制技术通过应用程序行为控制，在系统中实时监控各种程序行为，一旦出现与预定的恶意行为相同的行为就立即进行阻截。-45- 技术建议书以熊猫烧香为例，如果采用被动防护技术，必须对捕获每一个变种的样本，才能编写适当的病毒定义。但是，该病毒的传播和发作具有非常明显的行为特征。熊猫烧香最主要的传播方式是通过U盘传播，其原理是利用操作系统在打开U盘或者移动硬盘时，会根据根目录下的autorun.inf文件，自动执行病毒程序。SEP系统防护技术可以禁止对根目录下的autorun.inf的读写权限，特别的，当已感染病毒的终端试图往移动设备上写该文件时，可以终止该病毒进程并报告管理员。再以电子邮件的行为阻截技术应用为例进行说明。首先，我们知道基于电子邮件的蠕虫的典型操作：典型的电子邮件计算机蠕虫的工作原理是，新建一封电子邮件，附加上其（蠕虫）本身的副本，然后将该消息发送到电子邮件服务器，以便转发到其他的目标计算机。那么，当使用了带行为阻截技术的赛门铁克防病毒软件之后，防病毒软件将监视计算机上的所有外发电子邮件。每当发送电子邮件时，防病毒软件都要检查该邮件是否邮件有附件。如果该电子邮件有附件，则将对附件进行解码，并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。常见的电子邮件程序，如Outlook，可以发送文件附件，但绝不会在邮件中附加一份自身程序的可执行文件副本！只有蠕虫才会在电子邮件中发送自己的副本。因此，如果检测到电子邮件附件与计算机上的发送程序非常相似时，防病毒软件将终止此次传输，从而中断蠕虫的生命周期。此项技术非常有效，根本无需捕获蠕虫样本然后再匆忙响应，带此项技术的赛门铁克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫，包括最近的Sobig、Novarg和MyDoom。此外，基于行为的恶意软件阻截技术，还可以锁定IE设置、注册表、系统目录，当木马或者流氓软件试图更改这些设置时会被禁止。从而，即使用户下载了未知的恶意软件，也无法在终端上正常安装和作用。基于行为的防护技术非常有效，根本无需捕获恶意软件样本然后再匆忙响应，利用此项技术可以成功的在零时间阻截主流的蠕虫病毒，包括熊猫烧香、威金等。由于采用了集中的策略部署和控制，无须最终用户的干预，因此不需要用户具备高深的病毒防护技术。同时，基于行为规则的防护技术非常适合于主机-45- 技术建议书系统环境，主机系统应用单一并且管理专业，采用行为规则的防护是对传统防病毒技术的一个很好的补充。r前瞻性威胁扫描ProactiveThreatScan是一种主动威胁防护技术，可防御利用已知漏洞的多种变种和前所未见的威胁。ProactiveThreatScan基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。大多数基于主机的IPS仅检测它们认为的“不良行为”。所以，它们经常会将可接受的应用程序行为识别为威胁并将它们关闭，严重影响用户和技术支持中心的工作效率，让管理员面临着艰巨的挑战。不过，ProactiveThreatScan会同时记录应用程序的正常行为和不良行为，提供更加准确的威胁检测，可显著减少误报的数量。前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。r终端系统加固事实上，确保终端安全的一个必须的基础条件时终端自身的安全加固，包括补丁安装、口令强度等。显然，口令为空、缺少必要的安全补丁的终端，即使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个网络安全不至由于个别软件系统的漏洞而受到危害，必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。建议集中管理企业网络终端的补丁升级、系统配置策略，可以定义终端补丁下载，补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理，代理执行这些策略，保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。r基于特征的病毒防护技术-45- 技术建议书最后，传统的病毒防护技术仅仅作为主动防御的的一个必要补充，防御已知的病毒，对于已经感染病毒机器进行自动的清除和恢复操作。综上所述，单纯的防病毒产品都仅仅实现了基于特征的病毒防护功能，必须依靠其他的主动防御技术，才能有效地应对当前的恶意代码威胁。1.1.1管理层面：终端准入控制在管理层面上需要实现两个目标：“技术管理化”与“管理技术化”。技术管理化要求对以上这些安全技术进行有效的管理，使其真正发挥作用。通过统一、集中、实时地集中管理，构建坚固的技术保障体系。管理技术化体现在终端的策略和行为约束，把停留在口号阶段的“三分技术、七分管理”变成可操作控制程序，这就需要辅以技术手段，通过准入控制等技术把对最终用户的管理要求真正落实下去。1.1.1.1什么是终端准入控制终端准入控制的核心思想在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。终端准入控制需要创建一个终端接入的可信尺度。对于XXXX来说，典型的策略是强制验证操作系统补丁是否更新，反病毒软件是否在运行及病毒库是否更新，端点防火墙软件是否在运行及被适当的配置。管理员也可以进一步执行更多高级策略，检查特定安全软件或特殊安全配置是否存在。一旦策略创建完成，就有了在终端连入网络时可参照的安全基线。它通过提前的“准入扫描”，来确保终端可信状态并授权。基于该基线评估结果，访问控制（AccessControl）授予该连接系统相应级别的访问权限。例如，一个达标的系统将会获得全部的网络访问权限。不达标的系统或者被彻底阻止，没有任何的网络访问权限；-45- 技术建议书或者为了减少对网络的威胁（通常也为了修复），将授予该系统某一隔离级别的网络访问权限，并帮助恢复达到安全策略的要求。为了使终端准入控制真正有价值，修复过程必须自动化。换句话说，就是不需要求助技术支持小组，系统自动恢复到符合安全策略的要求。一旦系统经过隔离修复处理，被允许连接入网络，就需要一种监控技术确保这些系统保持达标的状态，不要出现反常的情况。反常的系统必须被隔离，直到它们被修复。综上，网络准入控制解决方案需要如下流程:1.创建一个中央的安全策略视图；2.当一个系统或用户连接入网时，对其安全状态进行评估；3.一旦系统连接入网，对其安全状态进行连续监控；4.基于系统状态，执行网络访问和系统修复策略。1.1.1.1终端准入控制的实现方法r手动隔离手动隔离虽然不是自动化的隔离技术，但在管理实践中却是使用频率最高的手段之一。通过创建一个隔离组，然后为该组分配特定的隔离策略。当通过人工方式判断出一个终端处于高风险或者违规状态时，将这个终端手动方式移动到隔离组中，即达到了隔离效果。这种方式下管理员不需要去定位交换机端口，并拔出网线。更加省时，而且避免误操作。r本地隔离利用主机防火墙规则和智能切换的能力实现本地隔离。这种方式最易实现，不需要和网络中其他强制服务器发生任何关系.如果系统没有通过主机完整性检测,将自动切换到一套隔离策略以阻断网络通讯然后开始执行完整性恢复操作；r局域网准入与隔离局域网的网络准入控制系统可以和支持802.1X功能的交换机完成对用户的接入认证；-45- 技术建议书当用户没有安装安全客户端软件或者虽然安装了安全客户端软件但是安全检查不合格时，局域网的网络准入控制系统可以通知交换机将该用户连接的交换机端口关闭，或者通知交换机将该用户的端口VLAN切换到修复VLAN，强迫用户完成安全修复后才将用户切换回正常VLAN。r边界准入与隔离在用户通过IPSecVPN或、SSLVPN甚至是无线AP试图连接到企业内网时，又或者是从企业的一个内部子网试图访问另外一个内部子网时，Symantec强制网关实时检查这些用户的安全性。只有安全性达标的用户才能访问强制网关后的局域网；当用户透过强制网关设备进行网络互访时，用户的访问方式（应用，受访资源等）也受到严格管理，非标准访问方式被禁止使用；当对用户的安全检查不合格时，强制网关对这些用户进行隔离操作，只容许访问强制网关后的个别IP地址，用以提供对修复资源的下载访问。同时客户端根据策略配置要求对这些用户终端作安全修复操作，直到强制网关确认合格后才予以放行。代理通知功能。对于那些连接到企业网络又没有安装Symantec客户端软件的用户,管理员可以使用Windows弹出消息通知他们需要安装Symantec客户端软件；可以在进行边界准入与隔离时首先允许所有用户的通讯通过，但是记录是否有用户不符合XXXX的安全策略；当客户端完全部署好之后,就可以按照XXXX的安全策略来允许或阻止不符合策略用户对内部网络的访问；当用户试图通过边界网络准入控制系统的认证时，如果边界网络准入控制系统检查出用户端没有安装安全客户端软件或者是用户端的主机完整性检测不合格，会把用户的访问请求重定向到一个企业内部指定的URL。管理员可以配置这个URL为企业的修复服务器网站或者是其他通告的网站。-45- 技术建议书可以对指定IP地址的用户作安全检查，也可以对指定IP地址的用户进行放行，完全不检查；rDHCPIP获取准入当非企业员工，或者是企业员工试图通过有线局域网（如以太网），或者是无线网络（802.11a、802.11b、802.11g）连接到局域网并试图自动获取IP地址时，网络准入控制系统会首先检查这些用户的安全状态，检查合格者分配其一个正常地址范围内的IP地址；不合格的用户分配另外一个修复区域子网的IP地址，用户此时只能去修复服务器执行自己的主机安全修复操作，其余网络访问均受到限制。当修复操作全部完成之后，网络准入控制系统才将该用户当前的修复区域IP地址释放掉，同时分配给其一个正常范围内的IP地址，用户此时的网络访问请求才被放行。1.1.1.1终端准入控制的流程终端准入控制策略勾勒企业终端接入的安全基线，对于未安装终端代理软件或已安装终端代理软件但不符合XXXX安全策略要求(防病毒软件、病毒特征库升级、补丁、系统安全设置、违规软件等)的终端，可以禁止其访问网络，或进行网络隔离。终端准入控制流程包括：检查基准安全策略、隔离控制与自动修复。检查基准安全策略是根据进程、文件、注册表等设置的检查结果来判断：l用户身份是否合法l机器身份是否合法l主机防火墙是否安装并运行l防病毒软件是否安装并运行，病毒特征库是否及时更新l其他指定安全工具是否运行、及时更新l操作系统关键安全补丁是否安装l操作系统安全配置是否妥当-45- 技术建议书l桌面设置是否妥当l是否感染特定病毒实体l是否安装重大违规软件等隔离控制根据上述检查结果，强制服务器和网络设备以及客户端联动来决定：l拒绝终端/用户接入l容许终端/用户接入l隔离终端/用户（主机ACL隔离，VLAN隔离，授予隔离IP地址）l限制终端/用户访问权限l应用程序，远程主机，时间，协议类型，端口等使用权限l关键网段接入权限l交换机接入权限l无线网络接入权限l动态IP地址获取权限l互联网访问权限l远程网络（VPN）接入权限l域名解析权限lWeb应用登录权限（website，webmail，webOA，webCRM，webERPetc）自动修复是在隔离或限制接入的情况下，还可以通过自动修复来换回正常的网络访问权限。修复的内容包括：l自动开启IE，连接内部安全网站上相关的提示页面l自动分发病毒专杀工具l自动升级病毒特征库l自动分发操作系统关键补丁l自动纠正错误的系统配置l分发并运行特定脚本l终止指定进程-45- 技术建议书l停止或启用指定服务l远程关机/重启等1.1.1服务层面企业通过建立网络防病毒体系来防止病毒入侵，即是一个动态的技术对抗过程，也是一个防守方和攻击方的人员较量过程。在现实的网络环境里，由于攻击方在大多数情况下掌握着主动权，因此部署防病毒产品只是建立了对抗攻击的基础，还不能达到真正意义上的安全，最重要的是对产品进行有效的管理和正确的策略配置，并且时时刻刻关注网络安全的最新动态，根据各种变化及时调整安全策略，加固系统。只有结合和采用防病毒安全服务，才能使企业的防病毒体系以及整体安全达到一个新的高度。防病毒厂商提供的服务主要包括以下两个方面：r病毒预警服务病毒预警服务为XXX对于新病毒的提前预警、通知和防范的标准流程，该流程为管理员提供必要的信息和预警，以便在病毒到达企业之前或病毒尚未泛滥之前部署对策并成功抵制攻击，减少病毒事件的数量，降低病毒事件的影响。r突发病毒应急响应服务当用户发现一种未知病毒的传播导致网络服务瘫痪，而现有防病毒客户端对此无能无能为力，或者当病毒客户端发现病毒但既不能隔离也不能有效删除时候，就需要防病毒服务能够帮用户解决这些问题。而且，用户需要的是一个时限范围内的解决。用户可以通过提交病毒样本或要求直接上门服务的方式，请防病毒厂家协助解决这些问题，避免病毒在用户的大规模扩散。-45- 技术建议书第1章产品选型推荐根据以上防病毒系统设计思路，我们推荐采用SymantecEndpointProtection和SymantecNetworkAccessControl。1.1端点安全保护SymantecEndpointProtection1.1.1产品简介SymantecEndpointProtection将SymantecAntiVirus™与高级威胁防御功能相结合，可以为笔记本、台式机和服务器提供无与伦比的恶意软件防护能力。它甚至可以防御最复杂的攻击，这些攻击能够躲避传统的安全措施，如rootkit、零日攻击和不断变化的间谍软件。SymantecEndpointProtection不仅提供了世界一流、业界领先且基于特征的防病毒和反间谍软件防护。它还提供了先进的威胁防御能力，能够保护端点免遭目标性攻击以及之前没有发现的未知攻击侵扰。它包括即刻可用的主动防护技术以及管理控制功能；主动防护技术能够自动分析应用程序行为和网络通信，以检测并阻止可疑活动，而管理控制功能使您能够拒绝对企业来说被视为高风险的特定设备和应用程序活动。甚至可以根据用户位置阻止特定操作。这种多层方法可以显著降低风险，同时能够充分保护企业资产，从而使企业高枕无忧。它是一款功能全面的产品，只要您需要，即可立即为您提供所需的所有功能。无论攻击是由恶意的内部人员发起，还是来自于外部，端点都会受到充分保护。SymantecEndpointProtection-45- 技术建议书不仅可以增强防护，而且可以通过降低管理开销以及管理多个端点安全性产品引发的成本来降低总拥有成本。它提供一个代理，通过一个管理控制台即可进行管理。从而不仅简化了端点安全管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。SymantecEndpointProtection易于实施和部署。赛门铁克还提供广泛的咨询、技术培训和支持服务，可以指导企业完成解决方案的迁移、部署和管理，并帮助您实现投资的全部价值。对于希望外包安全监控和管理的企业来说，赛门铁克还提供托管安全服务，以提供实时安全防护。1.1.1产品主要优势r安全全面的防护—集成一流的技术，可以在安全威胁渗透到网络之前将其阻止，即便是由最狡猾的未知新攻击者发起的攻击也不例外。以实时方式检测并阻止恶意软件，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件和rootkit。主动防护—全新的主动威胁扫描使用独特的赛门铁克技术为未知应用程序的良好行为和不良行为评分，从而无需创建基于规则的配置即可增强检测能力并减少误报。业界最佳的威胁趋势情报—赛门铁克的防护机制使用业界领先的赛门铁克全球情报网络，可以提供有关整个互联网威胁趋势的全面视图。借助此情报可以采取相应的防护措施，并且可以帮助您防御不断变化的攻击，从而使您高枕无忧。-45- 技术建议书r简单单一代理，单一控制台—通过一个直观用户界面和基于Web的图形报告将全面的安全技术集成到单一代理和集中的管理控制台中。能够在整个企业中设置并实施安全策略，以保护您的重要资产。添加SymantecNetworkAccessControl支持时，可以简化管理、降低系统资源使用率，并且无需其它代理。通过购买许可证可以在代理和管理控制台上自动启用SymantecNetworkAccessControl功能。易于部署—由于它只需要一个代理和管理控制台，并且可以利用企业现有的安全和IT投资进行操作，因此，SymantecEndpointProtection易于实施和部署。对于希望外包安全监控和管理的企业，赛门铁克提供托管安全服务，以提供实时安全防护。降低拥有成本—SymantecEndpointProtection通过降低管理开销以及管理多个端点安全产品引发的成本，提供了较低的总体拥有成本。这种保障端点安全的统一方法不仅简化了管理，而且还提供了出色的操作效能，如单个软件更新和策略更新、统一的集中报告及一个授权许可和维护计划。r无缝易于安装、配置和管理—SymantecEndpointProtection使您可以轻松启用、禁用和配置所需的技术，以适应您的环境。SymantecNetworkAccessControl就绪—每个端点都会进入“SymantecNetworkAccessControl就绪”状态，从而无需部署其它网络访问控制端点代理软件。利用现有安全技术和IT投资—可以与其它领先防病毒供应商、防火墙、IPS技术和网络访问控制基础架构协作。还可以与领先的软件部署工具、补丁管理工具和安全信息管理工具协作。-45- 技术建议书1.1.1主要功能防病毒和反间谍软件—提供了无可匹敌的一流恶意软件防护能力，包括市场领先的防病毒防护、增强的间谍软件防护、新rootkit防护、减少内存使用率和全新的动态性能调整，以保持用户的工作效率。网络威胁防护—提供基于规则的防火墙引擎和一般漏洞利用禁止功能(GEB)，该功能可以在恶意软件进入系统前将其阻止在外。主动威胁防护—针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。单个代理和单个管理控制台—在一个代理上提供防病毒、反间谍软件、桌面防火墙、IPS、设备控制和网络访问控制（需要购买赛门铁克网络访问控制许可证）—通过单个管理控制台即可进行全面管理。1.2终端准入控制SymantecNetworkAccessControlSymantecNetworkAccessControl是全面的端到端网络访问控制解决方案，通过与现有网络基础架构相集成，使企业能够安全有效地控制对企业网络的访问。不管端点以何种方式与网络相连，SymantecNetworkAccessControl都能够发现并评估端点遵从状态、设置适当的网络访问权限、根据需要提供补救功能，并持续监视端点以了解遵从状态是否发生了变化。从而可以营造这样的网络环境：企业可以在此环境中大大减少安全事故，同时提高企业IT安全策略的遵从级别。SymantecNetworkAccessControl-45- 技术建议书使企业可以按照目标经济有效地部署和管理网络访问控制。同时对端点和用户进行授权在当今的计算环境中，企业和网络管理员面临着严峻的挑战，即为不断扩大的用户群提供访问企业资源的权限。其中包括现场和远程员工，以及访客、承包商和其他临时工作人员。现在，维护网络环境完整性的任务面临着前所未有的挑战。如今无法再接受对网络提供未经检查的访问。随着访问企业系统的端点数量和类型激增，企业必须能够在连接到资源以前验证端点的健康状况，而且在端点连接到资源之后，要对端点进行持续验证。SymantecNetworkAccessControl可以确保在允许端点连接到企业LAN、WAN、WLAN或VPN之前遵从IT策略。1.1.1主要优势部署SymantecNetworkAccessControl的企业可以切身体验到众多优势。其中包括：ü减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传播ü通过对访问企业网络的不受管理的端点和受管理的端点加强控制，降低风险ü为最终用户提供更高的网络可用性，并减少服务中断的情况ü通过实时端点遵从数据获得可验证的企业遵从信息ü企业级集中管理架构将总拥有成本降至最低ü验证对防病毒软件和客户端防火墙这样的端点安全产品投资是否得当-45- 技术建议书1.1.1主要功能网络访问控制流程网络访问控制是一个流程，涉及对所有类型的端点和网络进行管理。此流程从连接到网络之前开始，在整个连接过程中持续进行。与所有企业流程一样，策略可以作为评估和操作的基础。网络访问控制流程包括以下四个步骤：1.发现和评估端点。此步骤在端点连接到网络访问资源之前执行。通过与现有网络基础架构相集成，同时使用智能代理软件，网络管理员可以确保按照最低IT策略要求对连接到网络的新设备进行评估。2.设置网络访问权限。只有对系统进行评估并确认其遵从IT策略后，才准予该系统进行全面的网络访问。对于不遵从IT策略或不满足企业最低安全要求的系统，将对其进行隔离，限制或拒绝其对网络进行访问。3.-45- 技术建议书对不遵从的端点采取补救措施。对不遵从的端点自动采取补救措施使管理员能够将这些端点快速变为遵从状态，随后再改变网络访问权限。管理员可以将补救过程完全自动化，这样会使该过程对最终用户完全透明；也可以将信息提供给用户，以便进行手动补救。4.主动监视遵从状况。必须时刻遵从策略。因此，SymantecNetworkAccessControl以管理员设置的时间间隔主动监视所有端点的遵从状况。如果在某一时刻端点的遵从状态发生了变化，那么该端点的网络访问权限也会随之变化。-45- 技术建议书第1章终端安全管理系统体系结构设计1.1管理系统功能组件说明终端安全管理系统包括三部分组件：r策略管理服务器策略服务器实现所有安全策略、准入控制规则的管理、设定和监控，是整个终端安全标准化管理的核心。通过使用控制台管理员可以创建和管理各种策略、将策略分配给代理、查看日志并运行端点安全活动报告。通过图形报告、集中日志记录和阈值警报等功能提供全面的端点可见性。统一控制台简化了端点安全管理，提供集中软件更新、策略更新、报告等功能。策略管理服务器可以完成以下任务：l终端分组与权限管理；根据地理位置、业务属性等条件对终端进行分组管理，对于不同的组可以制定专门的组管理员，并进行权限控制。l策略管理与发布；策略包括自动防护策略、手动扫描的策略、手动扫描的策略、病毒、木马防护策略、恶意脚本防护策略、电子邮件防护策略（包括outlook、lotus以及internet邮件）、广告软件防护策略、前瞻性威胁防护策略、防火墙策略、入侵防护策略、硬件保护策略、软件保护策略、升级策略、主机完整性策略等l安全内容更新下发安全内容更新包括病毒定义、防火墙规则、入侵防护定义、主动威胁防护规则等l日志收集和报表呈现可以生成日报/周报/月报，报告种类包括-45- 技术建议书：风险报表（以服务器组、父服务器、客户端组、计算机、IP、用户名为条件识别感染源、当前环境下高风险列表、按类型划分的安全风险）、计算机状态报表（内容定义分发、产品版本列表、未接受管理客户端列表）、扫描状态报表、审计报表、软件和硬件控制报表、网络威胁防护报表、系统报表、安全遵从性报表。l强制服务器管理和策略下发对于交换机强制服务器和网关强制设备进行统一的管理和策略定义。l终端代理安装包的维护和升级；r终端代理（包括终端保护代理和准入控制代理）终端安全管理系统需要在所有的终端上部署安全代理软件，安全代理是整个企业网络安全策略的执行者，它安装在网络中的每一台终端计算机上。安全代理实现端点保护和准入控制功能。端点保护功能包括：l防病毒和反间谍软件—提供病毒防护、间谍软件防护、rootkit防护。l网络威胁防护—提供基于规则的防火墙引擎和一般漏洞利用禁止功能(GEB)，该功能可以在恶意软件进入系统前将其阻止在外。l主动威胁防护—针对不可见的威胁（即零日威胁）提供防护。包括不依赖特征的主动威胁扫描。端点准入控制功能包括：l主机完整性检查和自动修复：检查终端计算机上防火墙、防病毒软件、反间谍软件、补丁程序、ServicePack或其他必需应用程序是否符合要求，具体内容可以是对防病毒程序的安装，windows补丁安装，客户端启用强口令策略，关闭有威胁的服务与端口。因为主机完整性检查支持对终端的注册表检查与设置，进程管理，文件检查，下载与启动程序等，所以可通过设置自定义的策略来满足几乎所有对客户端的安全策略与管理要求。l-45- 技术建议书强制：当终端的安全设置不能满足企业基准安全策略的需求，可以限制终端的网络访问，如只能访问修复服务器进行自动修复操作。以上两部分功能由一个代理软件完成，接受策略管理服务器的统一管理。r强制认证服务器对于那些未安装终端代理的终端或者私自卸载代理软件的终端，必需通过网络强制的方式进行控制。这需要部署相关的强制服务器（LANEnforcer）。赛门铁克LANEnforcer802.1X是带外802.1XRADIUS代理解决方案，它与支持802.1X标准的所有主要交换供应商协同工作。几乎所有有线以太网和无线以太网交换机制造商都支持IEEE802.1x准入控制协议。LANEnforcer使用该链接级协议评估端点遵从性，提供自动问题修复并允许遵从系统进入企业网络。在实施期间，端点上的赛门铁克代理使用802.1x将遵从信息传送到网络交换机上，然后将此信息中继到LANEnforcer。如果端点不遵从策略，LANEnforcer会将其放入隔离网络，在此对其进行修复，而不会影响任何遵从端点。SymantecNetworkAccessControl补救端点并将其转换到遵从状态后，802.1x协议将试图对用户重新进行身份验证，并为其授予网络访问权限。LANEnforcer可以参与现有AAA身份管理架构以便对用户和端点进行身份验证，对于只要求进行端点遵从验证的环境，也可以充当独立的RADIUS解决方案（也称为透明模式）。在透明模式下，管理员只需将交换机配置为使用LANEnforcer作为RADIUS服务器，就能让设备根据遵从所定义策略的情况对端点进行身份验证。在透明模式下运行LANEnforcer无需额外基础架构，并且是一种实施基于VLAN交换的安全网络准入控制解决方案的简单方法。-45- 技术建议书1.1系统管理架构设计系统架构的设计取决与管理方式、终端数量及分布、网络带宽等条件。推荐终端安全管理平台采用“统一控制，二级管理”架构，这样的架构与现有行政管理模式相匹配——益于提高管理效率，同时又能体现“统一规划，分级集中管理”的思想，让各地市分担省公司的运行维护负担。终端接入控制平台按照两级架构设计，省公司—地市如下图：-45- 技术建议书在省公司设立全省范围的终端接入控制平台中心，制定并下发统一的全网管理策略。这些策略主要以策略模版库的形式提供。这些策略通过同步与复制的机制，在一二级服务器间保持一致。二级管理平台上策略的变更也都会同步回一级控制平台，在一级管理平台上可以预览任何一个二级甚至三级服务器上的策略应用情况。复制就是不同地点或站点间的服务器系统通过特别拷贝来共享数据的过程。终端接入控制平台的策略同步复制在逻辑上和微软域策略的同步复制类似，它并非简单的数据库间复制关系，它内部包含有周全的防止策略冲突的处理。通过策略复制与同步，不同地点的用户都工作在本地的副本之上，然后同步他们之间的变更。在终端接入控制平台上，策略复制还可以将一个管理服务器上的变更同步到另一个数据库上，实现冗余备份。通过策略复制，终端接入控制平台能够支持多级管理，以及无限的终端数量扩展能力，从而满足XXX终端节点规模不断扩大的需求。“统一控制”体现在通过一个统一控制台管理所有服务的功能，省中心管理员可通过整体方法来管理端点安全。-45- 技术建议书“分级管理”主要体现在地市管理平台根据省中心的权限设置也可以自主在管辖范围内进行管理策略的扩展和定制。实现方式如下：在对不同地市用户用户进行分组，并对不同的地市组制定不同的安全策略。通过系统内置的继承体系，不同的子组能够从同一父组中继承相同的安全策略，从而提高策略制定的便利性。同时，可以为各地市管理员分配适当的权限，如是否允许地市管理员修改继承的策略，限制其只可以查看本地市的报告，仅能管理本地市州的客户端等细致的权限。如下图所示：-45- 技术建议书1.1病毒定义升级1.1.1防病毒系统初建后第一次升级方案防病毒系统在建设完成后第一次升级占用带宽较大，一般需要升级10M~20M左右的软件更新和病毒定义升级，如果在广域链路上进行并发更新容易造成链路拥塞，在这种情况下可考虑采用以下办法予以避免：l根据实施时间，针对XXX定制软件安装包，包含当前最新的病毒定义；或者防病毒服务器安装完成后立即手动升级其病毒定义库；l二级防病毒服务器可以通过从防病毒产品提供商网站上获取手动更新包的方式进行更新；l原则上不允许客户端进行手动的防病毒定义升级。-45- 技术建议书1.1.1正常运维状态下的升级方案防病毒系统经过初次升级进入到日常运维状态，后期的防病毒定义更新包一般很小（150Kbytes～200Kbytes不等），在运维状态下自动化的病毒定义更新是非常必要的。在运维状态下自动化的病毒定义更新是非常必要的，建议在XXX网络内采用二级服务器升级的结构，即l首先升级XXX数据中心一级防病毒服务器的病毒定义码、扫描引擎、特征库（漏洞特征库和攻击特征库）和安全规则（防火墙策略）。通过Internet到防病毒产品提供商网站升级最新的病毒定义码和扫描引擎。l各下属企业级防病毒服务器分别到中心的网络防病毒服务器升级病毒定义码、扫描引擎、特征库和安全规则。l正常情况下升级周期为每天一次，时间设定为凌晨，避免升级流量对广域网络带宽的影响；当有突发的病毒事件或严重级别的病毒威胁，可实时升级病毒定义并下发。采用这种升级方式，一方面可以确保XXX整个网络内的病毒定义码和扫描引擎的更新基本保持同步。另一方面，由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成，就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力，同时也避免了各下属单位自行到Internet升级而带来的不便和安全隐患。1.1.2Symantec病毒定义升级频率缺省情况下，赛门铁克公司每日在官方网站上发布可供防病毒系统自动更新的病毒定义码（正常状态下每日一次更新；对于高危险性病毒爆发的情况，每日会更新多次）。-45- 技术建议书1.1网络带宽影响服务器与客户端之间策略通信流量，取决于管理员配置的操作系统保护策略的复杂程度，一个正常的策略文件在20K—80K之间变化，加密压缩后实际传输大校在5K—10K左右。以500台终端（一个地市的终端通常少于500台）为例，在一次心跳时间（一小时）内发生的实际流量为10K*500=5M，每秒服务器的策略下载流量为5M/(3600s)=1.4Kbyte，需要占用带宽为11.2Kbps。事实上，策略更新仅在策略发生变化时发起，平时带宽占用可以忽略不计。服务器和客户端之间的日志流量，默认设置的客户端日志大小限制为512K，每次上传的日志都是自上一次和服务器通讯后发生过的日志。一般客户端一天（工作时间）发生的日志量是20条--200条（视网络中安全事件发生的频率而变化），我们以每心跳时间内发生200条日志这个极限来计算。200条日志压缩后的大小大概在20K左右，每次心跳发生时服务器收到的流量大小为500用户*20K=10M，每秒流量为10M/（3600s）=2.8byte，需要占用带宽为22Kbps，对于现有网络带宽影响很小。服务器和客户端的安全内容更新数据量比较大，虽然采用了增量更新技术，每次更新的数据报仍然在200K左右。对与区县的终端，可以利用管理系统“组升级”方式进行更新，减轻对广域网带宽的影响。这种方式下，策略服务器上可以设定终端从指定的临近的“组升级”终端上进行病毒定义等安全内容更新下载操作。即当区县一台终端获得内容更新后，其他的终端无需再到地市二级服务器进行更新，只需要从那台已经更新的终端上下载内容更新即可。1.2准入控制设计安全标准化的关键在于对于终端的强制准入控制。以下详细说明准入控制的设计和实现。-45- 技术建议书在部署完终端代理软件以后，所有终端（包括省公司和地市终端）具有两种可能的状态：一种是安装了安全代理，接受统一管理的授权终端，一类是未安装（或者私自卸载）安全代理，不接受管理的非授权终端。对于授权终端，由于已经安装了安全代理，利用安全代理自强制模块，就可以实现强制准入控制，对于违反企业安全策略的终端禁止其正常接入，并且自动进行修复。对于非授权终端，需要结合局域网强制和网关强制进行准入控制。r局域网强制由于接入层交换机支持802.1x协议，可以增加两台LanEnforcer进行强制准入控制，缺少安全代理将被隔离到单独的Vlan或者关闭端口。需要注意的是，需要考虑可能存在一些Hub等不支持802.1x协议的网络设备对强制的影响。华为、锐捷等交换机不但支持基于端口的802.1x认证，同时支持基于mac地址的802.1x认证。也就是说，当接入交换机下面还有其他的hub接入设备，可以启用基于Mac地址的802.1x认证，Hub上那些安装了安全代理终端可以接入网络，而没有安装安全代理终端被禁止接入网络。对于局域网强制方式，需要在省中心增加两台强制网关SNAC6100，作为交换机802.1x认证服务器。在省中心安全域中部署两台LanEnforcer，需要保证所有接入层交换机都可以通过IP地址和LanEnforcer正常通信。将LanEnforcer放置在统一的安全域，利于统一管理和维护。LanEnforcer做为终端用户接入网络时的安全性认证服务器，必须保证24×7的不间断运行；因此，在部署时至少应该使用两台LanEnforcer，这两台LanEnforcer同时工作，分别处理不同交换机的认证请求，实现负载均衡；当其中任何一台服务器由于硬件、系统或程序故障时，交换机会自动向另一台LanEnforcer提交认证请求，实现热备功能，保证系统的持续运行。r网关强制-45- 技术建议书对于地市业务终端，由于网络环境比较复杂，一方面存在大量的HUB等不支持802.1x协议的网络设备，另一方面对于通过路由器接入的区县终端，都无法使用802.1x认证方式进行强制。可以采用GatewayEnforcer网关强制，实现地市所有终端统一的强制准入控制。网络拓扑如下：XXX在地市与省中心的边界，两台路由器和两台核心交换机之间透明接入强制网关硬件设备。目前路由器和交换机之间共有4条冗余链路，因此需要部署4台强制网关。部署之后，只有安装了安全代理并且符合安全策略要求的地市终端才可以通过GatewayEnforcer访问省中心业务。对于未安装安全代理的地市终端，将不能访问省中心业务服务器。特别的，对于一些Unix终端等不需要安装安全代理的终端，可以在强制网关上设置白名单，直接允许通行。l网络结构影响强制网关强制方式工作在OSI模型的二层，以透明方式接入网络，对现有网络结构没有任何影响。l网络性能影响目前地市到省中心网络带宽为2Mbps，在省中心汇聚流量在20Mbps左右，终端数目在2000左右。而强制网关在1G吞吐量的压力测试下，支持2.5万个用户并发认证，完全满足当前的网络流量需求，不会对网络通信造成任何性能影响。l网络可靠性影响为保证远程用户在任何时候都可以接入网络，避免由于强制服务器故障导致远程用户无法连接企业网络，在实际应用时可以启用强制服务器failopen功能，及设备故障时（如服务器进程中止，硬件故障，断电等情况），设备自动切换到failopen状态，透明地允许所有的网络流量，不会造成单点故障。针对XXX具体的网络结构，由于网络链路已经采用了冗余备份机制，强制服务器的增加不会影响网络可靠性。采用GatewayEnforcer网关强制方式，需要新增4台强制网关设备。-45- 技术建议书1.1安全管理策略设计1.1.1管理权限策略根据XXX的实际情况，为每个地市创建一个域管理员帐号。省中心除了拥有自己的域管理员帐号以外，还拥有能够管理全局的ADMIN帐号。系统的常见维护操作，如策略备份与恢复、站点重装等只需要有服务器操作系统管理员帐号即可，不需要全局的ADMIN帐号。1.1.2各地市组织结构策略在计算机全局组下，默认只有临时组，另外创建四个新组，分别为特权组、隔离组、维护组、测试组。这几个组为特殊功能组，做一些策略测试和一些非常态计算机的临时性管理。还可以增加一些普通用户组，网络中的常态计算机都集中在普通用户组中；分组可以按地域、部门、职能、类型、应用来分组。应该尽量保持扁平的组结构。1.1.3备份和数据库维护策略安排一些策略备份的调度计划。在服务器软硬件出现故障时，可以快速恢复整个系统。安排数据库事务日志的维护计划，防止事务日志无限制膨胀，吞噬掉所有硬盘空间，导致系统无法正常工作。1.1.4安全策略r防病毒策略l防病毒管理服务器的病毒定义码更新时间规划l防病毒客户端的病毒定义码更新时间规划l-45- 技术建议书防病毒客户端的实时防护设置，配置病毒检测的类型、操作处理方式、警报方式l防病毒客户端的日志记录时间设置l防病毒客户端的隔离区参数设置l防病毒客户端的篡改选项设置l防病毒客户端的调度扫描设置，包括扫描的类型和对病毒的处理方式r防火墙策略在该策略库中做了2个策略模版分别为：隔离区策略、内网限制策略。在这些策略模版中包括以下几个策略：l受限的应用程序：禁用一些与工作无关的应用程序运行。l恶意程序黑名单：禁用一些严重的病毒、木马、恶意程序l禁止拨号和无线网络连接：防止非法外连l互联网网址屏蔽策略：杜绝与公网IP的通讯r操作系统防护策略l设备禁用示例lUSB存储设备只读l防止USB木马传播l防止IE加载恶意插件示例l禁止程序运行示例l注册表键保护示例l文件修改审计示例r主机完整性策略l防病毒软件的安装与运行检测规则l分发防病毒软件示例l补丁检查策略ü分发补丁示例ü卸载指定补丁示例-45- 技术建议书l安全加固设置ü针对SANtop10所列漏洞的检查及修复ü针对IIS漏洞的检查及修复ü针对Internetexplorer漏洞的检查及修复ü其他常见服务和应用的漏洞ü常见系统设置弱点ü禁止匿名访问ü禁止空连接l统一桌面管理设置ü统一墙纸ü统一屏保üIE主页设置üIE代理设置üIE安全级别设置üRegistrytool限制ü添加删除程序限制ü禁止更改IP设置ü时间同步设置，禁止更改系统时间ü桌面锁定、默认主页设定策略1.1服务器的硬件配置需求建议在本部部署1台一级病毒服务器；在各分支机构各部署一台二级病毒服务器，共？台服务器。方案中推荐的两个产品SEP和SNAC采用统一的策略管理服务器和终端代理，无需额外配置服务器。结合实际工程经验，硬件服务器的配置推荐如下：r一级防病毒服务器CPU：P43.0GHz以上，双CPU-45- 技术建议书内存：4GRAM硬盘：160G硬盘操作系统：Windows2003Server数据库：MicrosoftSQLServer2000数量：1台r二级防病毒服务器CPU：P43.0GHz以上，单CPU内存：2GRAM硬盘：80G硬盘操作系统：Windows2003Server数据库：MicrosoftSQLServer2000数量：？台-45- 技术建议书第1章服务方案赛门铁克公司不仅是全球最大的防病毒公司，也是全球最大的网络安全公司，在提供防病毒专业服务的同时，也有能力支持服务代理商提供用户需要的更为广泛的安全服务，包括系统脆弱性扫描、安全评估、安全建议等，这些安全服务是防病毒系统有益和必要的补充。1.1赛门铁克专业防病毒服务体系1.1.1赛门铁克服务水平阐述赛门铁克公司在中国已经有六年的专业服务历史，为众多国内的大型企业提供防病毒体系的建设、部署和维护服务，包括：中国人民银行、中国人民保险公司、中国石油天然气总公司、中国石油化工总公司、中国海洋石油总公司等在全国拥有三级以上分支机构的单位，部署的防病毒数量超过30000个点。在省一级的项目当中，赛门铁克公司参与了金融、电力、电信、税务、工商、烟草等各种行业的许多省防病毒体系部署和服务，各省的部署规模在2000到10000不等。赛门铁克公司有一整套成熟的、合理的、有效的防病毒服务体系，并投入了巨大的人员和资金在全球构建了服务后端支撑系统。赛门铁克专业防病毒服务机构包括：l赛门铁克安全响应中心l赛门铁克客户服务中心l赛门铁克安全合作服务商1.1.2赛门铁克安全响应中心赛门铁克安全响应中心(SymantecSecurityResponseCenter)是全球最大的安全响应中心，其使命是：-45- 技术建议书l实时维护最全面的漏洞数据库（2700＋个系统，11000＋版本）。l在全球范围内实时监控各种网络安全和攻击事件（在130＋个国家，为15000＋家企业提供安全外保服务，帮助企业实时监控网络中的安全事件和攻击并加以分析；对超过190000个互联网站进行攻击事件的搜集）。l利用网络蜘蛛技术和启发式扫描技术，365×7×24在全球互联网上搜捕恶意代码和病毒样本。l针对最新发现的各种商用系统和设备的漏洞、网络中的各种攻击方式和病毒样本等互联网威胁，提供全球性的安全信息发布和立即的解決方案。全球用户可以通过互联网获得帮助。l接受全球用户的安全事件提交，为用户提供快速响应。l主动积极地研究与开发新技术以面对未來的安全威胁。l教育大众有关安全使用计算机的方式。1.1.1赛门铁克企业客户服务中心赛门铁克在北京建立了全球同步的企业客户服务中心，主要负责向在中国地区使用赛门铁克产品的企业客户提供产品技术支持和安全事件响应。包括：热线支持：电话支持作为用户获得服务的首选手段或方式，在用户遇到无法处理的问题时，应首先拨通赛门铁克客户服务中心服务热线。网站/电子邮件/传真支持：企业用户可以通过发送电子邮件获得有针对性技术问题的支持，也可以浏览赛门铁克网站获取一系列服务、产品信息和技术支持。用户可以在第一时间获得重大的安全事件、处理建议与方法的信息，定期浏览或遇到紧急安全事件时，通过网站获得帮助是非常有效的。赛门铁克的联机交互式问题解决程序可以帮助用户解决和回答许多问题。产品知识库使用户能够搜索上千个赛门铁克技术支持人员用来回答客户问题的文档。常见问题(FAQ)文档列出了客户最常问到的问题以及对产品的解答。病毒应急服务：赛门铁克安全响应中心7×24×-45- 技术建议书365监控全球的威胁与病毒情况，在突发性恶意病毒爆发期间，将根据病毒发展趋势24小时内不断更新解决方案。客户服务中心也会保持与用户的联系，随时处理紧急情况。1.1.1赛门铁克安全合作服务商赛门铁克公司在全国范围内与多家从事安全服务的公司建立了合作伙伴关系，通过接受赛门铁克公司的专门培训，双方共同为企业用户提供防病毒产品与服务。1.2赛门铁克专业防病毒服务流程计算机病毒属于信息安全的范畴，涉及多个IT领域和多种技术，其独特的专业性决定了对服务有较高的要求，为了保证服务的质量，我们遵循ISO9000标准，制定严格的安全服务规范与流程。-45- 技术建议书1.1.1基本流程附图1.安全服务基本流程图注：SOC指赛门铁克安全响应中心从上图可以看出服务流程基本由以下几步完成：1）用户通过电话、E-MAIL、传真等方式将问题或要求反应到客户服务专员2）客户服务专员记录后报告给客户服务经理3）客户服务经理安排相关的工程师为用户服务4）工程师通过电话支持、远程登陆、上门服务等方式响应客户的要求5）工程师如果解决不了的特殊安全问题，应即时将问题反映到SOC。-45- 技术建议书6）工程师在完成服务后将服务记录提交给客户服务专员和客户服务经理7）客户服务专员定期对用户进行电话回访1.1.1客户服务专员的工作流程1）客户服务专员在接到用户的服务请求后必须在第一时间通知客户服务经理，并做记录2）如果无法联系到客户服务经理，服务专员可直接与工程师联系3）在工程师完成服务后，客户服务专员对服务结果进行记录4）根据服务记录，服务专员定期对客户进行回访，调查客户对服务的满意程度1.1.2客户服务经理的工作流程客户服务经理主要负责整个服务流程的协调和管理工作1）在接到用户服务请求的报告后，客户服务经理在第一时间安排工程师进行服务2）在工程师完成服务后，客户服务经理审核服务记录1.1.3工程师的工作流程工程师的服务工作主要包括电话支持、远程登陆、上门服务三大部分r电话支持1）首先记录客户信息2）记录客户问题-45- 技术建议书3）解答用户问题4）服务完成后将服务记录单发送给服务专员和服务经理r远程登陆1）首先记录客户信息2）记录客户问题3）请求客户同意后远程登陆客户网络或计算机，同时要求用户在远程监控4）详细记录每一步的操作过程5）操作结束后，要求用户删除临时用户名和密码6）服务完成后将服务记录单发送给服务专员和服务经理r上门服务1）首先记录客户信息2）记录客户问题3）在上门服务前制定简单的解决方案和工作流程4）上门服务5）详细记录每一步的操作过程6）服务完成后将服务记录单发送给服务专员和服务经理r联系SOC1）对于当场无法解决的问题，工程师记录后联系SOC2）SOC得出结论后反馈给工程师，工程师再反馈给用户-45- 技术建议书1.1.1紧急事件响应流程紧急事件主要包括恶性病毒的大规模爆发、重大安全漏洞的发现、大客户的重大安全事件，遇到此类事件应遵循以下流程（1）建立紧急响应小组：小组成员由客户服务专员、客户服务经理、工程师共同组成（2）分析问题，制定紧急响应方案和工作流程（3）客户服务经理安排工程师上门服务（4）客户服务专员电话、E-MAIL通知其他用户（5）工程师记录响应服务全过程（6）响应结束后整理所有相关文挡，形成响应事件报告-45-