赛门铁克整体防病毒解决方案SAVEE.

《赛门铁克整体防病毒解决方案SAVEE.》由会员分享，可在线阅读，更多相关《赛门铁克整体防病毒解决方案SAVEE.（66页珍藏版）》请在装配图网上搜索。

1、赛门铁克整体防病毒解决方案技术交流赛门铁克整体防病毒解决方案技术交流 22005 Symantec Corporation.All Rights Reserved 最新互联网安全形势最新互联网安全形势资料来源：资料来源：Symantec最新互联网安全威胁报告最新互联网安全威胁报告混合型威胁进一步增强2004年下半年共发现1,403 个新漏洞，比前半年增长了13%。漏洞的数量和严重程度持续增加对新型可替代浏览器的漏洞显增长态势Web 应用程序安全威胁正在增长Win32 病毒和蠕虫不断增加网页仿冒确定为以后几个月中重点关注的几大威胁之一可能造成机密信息暴露的威胁数量持续增长金融业务受到的严重攻击比

2、率最大32005 Symantec Corporation.All Rights ReservedMicrosoft SQL Server 解析服务堆栈溢出攻击（称为Slammer 攻击）是最常见的攻击，被22%的攻击者使用。企业每天受到攻击的次数从前六个月的10.6 次，上升到13.6 次。已知的Bot 网络计算机从7 月底的每天30,000多个下降到了当年年底的每天不到5,000 个。美国仍是最大的攻击来源国，其次是中国和德国。金融行业里平均每10,000 个安全事件中有16 个是严重事件，在所有行业中比率最高 最新网络攻击形势最新网络攻击形势资料来源：资料来源：Symantec最新互联网

3、安全威胁报告最新互联网安全威胁报告42005 Symantec Corporation.All Rights Reserved 安全漏洞形势安全漏洞形势赛门铁克记录了1,403 个新漏洞，比前半年增长了13%。公布漏洞与发布相关的漏洞攻击代码之间相隔的时间从5.8 天增大到6.4 天。Web 应用程序漏洞占到了所有发现漏洞的48%，比2004年上半年的39%有所增加。所发现的漏洞中有97%的严重程度为中等或较高。2004 年后半年披露的影响Mozilla 浏览器的漏洞有21 个，而影响Microsoft Internet Explorer的有13 个。所报告的漏洞中有70%被认为是易于利用的。

4、资料来源：资料来源：Symantec最新互联网安全威胁报告最新互联网安全威胁报告52005 Symantec Corporation.All Rights Reserved 恶意代码形势恶意代码形势Netsky,MyDoom 和Beagle 的变种在2004 年后半年排行前10 位的恶意代码中占多数。赛门铁克记载的新Win32 病毒和蠕虫超过了7,360 个，比上半年增加了64%。暴露机密信息的恶意代码占到了前50 大恶意代码样本的54%，高出上一个报告期的44%。本报告期结束时，针对移动应用的已知恶意代码有21 个，大大高出2004 年6 月的一个。在排名前10 的恶意代码样本中，有2 个B

5、ot 恶意代码，而在上一个报告期中只有一个。有4,300 个截然不同的Spybot 新变种，比前6个月增长了180%资料来源：资料来源：Symantec最新互联网安全威胁报告最新互联网安全威胁报告62005 Symantec Corporation.All Rights Reserved 间谍软件和广告软件间谍软件和广告软件资料来源：资料来源：Symantec最新互联网安全威胁报告最新互联网安全威胁报告过去六个月来，广告软件在提交的前 50 名恶意代码中所占比例较 2004 年上半年有所增加2004 年上半年，广告软件占提交的前 50 名恶意代码的 4%。下半年它占到了 5%Webhancer

6、 是 2004 年下半年报告数最多的间谍软件程序，占 10 大已报告间谍软件的 38%72005 Symantec Corporation.All Rights Reserved 新的安全挑战新的安全挑战蠕虫针对弱点的攻击正在增加频率蠕虫针对弱点的攻击正在增加频率,攻击方式更加灵活攻击方式更加灵活82005 Symantec Corporation.All Rights Reserved新的安全挑战和变化新的安全挑战和变化 间谍软件在间谍软件在2005年快速增长。年快速增长。92005 Symantec Corporation.All Rights Reserved企业为间谍软件和广告软件的付

7、出的代价企业为间谍软件和广告软件的付出的代价真正损失难以计算真正损失难以计算102005 Symantec Corporation.All Rights Reserved间谍软件和广告软件间谍软件和广告软件间谍软件和广告软件正在迅速成长为企业用户最关心的安全问题通过以下手段获取机密信息:记录键盘操作(keystroke)偷窥电子邮件内容和聊天软件的会话信息发送网页浏览记录和敏感信息到企业外部一旦信息被获取,间谍软件会通过各种方式发送出去,通常可以获得经济上的利益.因为间谍软件可以敏感信息在被加密传送之前将其捕获,所以他能绕过安全防护措施,直接这些敏感信息以文本方式外泄出去.112005 Sym

8、antec Corporation.All Rights Reserved风险影响的模型风险影响的模型影响类别影响类别关键特征关键特征性能影响性能影响系统低速运行/稳定性不好弹出频率取代浏览器主页和搜索选项私有信息影响私有信息影响机密和敏感信息的透露 发布低敏感的信息,比如浏览器等结合私有策略并影响被清除被清除隐藏并避免被卸载 非功能性难以卸载安装安装静态安装无用户界面模糊的操作进程(例如.tmp001)流行流行按照自有方式或正常的软件标准流行.按照Symantec响应中心定义的操作级别.122005 Symantec Corporation.All Rights Reserved风险分类处理

9、风险分类处理新风险新风险/威胁威胁被发现被发现分类分类/风险影响风险影响分析分析根据功能分类根据功能分类安全风险分类安全风险分类威胁分类威胁分类按破坏程度按破坏程度,流流行方式等评估行方式等评估完成完成Spyware,Adware,Dialer,Virus,Worm,Trojan,威胁威胁安全风险安全风险132005 Symantec Corporation.All Rights ReservedOS OS 弱点弱点 一个变化中的安全风险一个变化中的安全风险弱点是软件中的缺陷,让攻击者威胁计算机的安全.蠕虫发现并利用弱点进入计算机系统过去,我们被迫去等到爆发,然后写一个特征码.142005 S

10、ymantec Corporation.All Rights ReservedSpyware/AdwareSpyware/Adware防护防护客户端实时的Spyware/Adware检测和处理多种灵活的处理方式有适当的排除，允许企业内合法的内部应用152005 Symantec Corporation.All Rights Reserved评估风险防护系统评估风险防护系统Antivirus Spyware:重要的变化 自动清除不是一直都适用 必须考虑内部允许的应用 一定要适合企业组织内的策略和业务模式 造成损失的威胁一定要被检测和清除.广告软件防护强调灵活的方式 允许多参数灵活配置进行检测和清

11、除 允许必须按照企业策略进行检测.需要通过独特的方式改变风险的现状.建立驱动风险影响模型 风险影响模型必须要考虑到应用的行为并且制定一个风险控制目标 允许管理员或用户基于行为和其他属性对威胁事件进行响应.162005 Symantec Corporation.All Rights Reserved全方位的病毒防御需求全方位的病毒防御需求InternetInternetInternet Email Internet Email 网关网关防火墙防火墙群件服务器群件服务器 -Notes and Notes and ExchangeExchangeNetWare NetWare ServerServe

12、rWindows ServerWindows ServerMacintoshMacintoshWindowsWindows 95/98 95/98Win3.x/DOSWin3.x/DOSWindowsWindows NT/2000 NT/2000172005 Symantec Corporation.All Rights Reserved企业整体防病毒体系规划要素企业整体防病毒体系规划要素多层次、全方位、跨平台的技术及強大功能简易快速的网络安装集中管理警报和报表系统自动化服务机制合理的预算规划 对企业用户的服务与支持182005 Symantec Corporation.All Rights

13、ReservedSymantecSymantec防病毒系统技术特性防病毒系统技术特性整体的网络防病毒解决方案结合安全风险防御数字免疫系统 预防未知病毒的专利技术BloodHound 检测多变形病毒的专利技术扩展扫描引擎 NAVEX专利技术，升级简单客户端外发邮件病毒检测 SSL通讯和数字证书认证集中化隔离和告警功能LiveUpdate增量在线式更新集中的管理平台192005 Symantec Corporation.All Rights ReservedSymantecSymantec网络防病毒解决方案（网络防病毒解决方案（SAVEESAVEE）管理层级 Symantec System Cen

14、ter 6.0网关层级 Symantec Antivirus For Smtp 4.1 Symantec Web Security 3.0工作站和服务器 Symantec Antivirus Corporate Edition 10.0群件服务器 Symantec Mail Security 4.6 for Microsoft Exchange Symantec Mail Security 4.1 for Lotus Domino 202005 Symantec Corporation.All Rights Reserved集合安全威胁的防护能力集合安全威胁的防护能力 扩展的安全威胁防护能力:

15、间谍软件广告软件拨号程序黑客工具远程连接玩笑程序212005 Symantec Corporation.All Rights Reserved数字免疫系统数字免疫系统针对未知病毒的防护，Symantec免费提供扫描和传送(Scan&Deliver)自动防毒解毒机制，通过Symantec 病毒防治中心(Symantec AntiVirus Research Center)，于最短时间內将文件解毒传回贵公司收到病毒样本后的几十分钟內自动完成解毒利用Internet,Intranet,Extranet 迅速更新全球客戶的病毒定义码222005 Symantec Corporation.All Rig

16、hts ReservedBloodhound Bloodhound 启发启发式式技术技术赛门铁克专利的启发性技术(Heuristic Technology)来检测疑似病毒的行为。可检测 95%的未知宏型病毒可检测 90%的未知引导型病毒(集成了来自 IBM 的技术)可检测 80%的未知程序型病毒232005 Symantec Corporation.All Rights ReservedStrikeStrike检测多变形病毒检测多变形病毒一般的防病毒软件对每一个变形病毒采用一个病毒特征码，这样会造成病毒库非常巨大，而且检测效率低 Striker可检测最复杂的多变形病毒或自我变异的病毒。Stri

17、ker 通过创建一个虚拟的计算机，给病毒提供一个虚拟的发作环境来抓获病毒，同时不使病毒对系统造成任何损失。242005 Symantec Corporation.All Rights ReservedNAVEXNAVEX扩展扫描引擎技术扩展扫描引擎技术将扫描引擎从扫描软件中分离，与病毒定义文件同时通过LiveUpdate更新所有赛门铁克防病毒软件均共用同一个升级模块扫描引擎更新后无须重新启动电脑。252005 Symantec Corporation.All Rights Reserved客户端外发邮件病毒防护客户端外发邮件病毒防护SMTP蠕虫阻断模块检测外发邮件和附件特征，阻断该类蠕虫对外发

18、送病毒邮件的企图阻断大规模邮件病毒的继续传递262005 Symantec Corporation.All Rights ReservedSSLSSL通讯和数字证书认证通讯和数字证书认证管理平台、服务器、客户端基于SSL通讯和数字证书认证,为SAV带来安全可靠部件通讯机制.认证认证:只有授权用户能够登录和作更改完整性完整性:配置,命令和数据(病毒定义文件,日志记录)不会在传输中被修改机密型机密型:配置,命令和数据不会被窃听272005 Symantec Corporation.All Rights ReservedSAV SAV 认证证书怎样建立信任链认证证书怎样建立信任链一级服务器创建并管理

19、自己签署的根证书所有服务器拥有末端证书每个服务器提交CSR到一级服务器一级服务器签署并传递证书给其他的服务器客户端将配置服务器的证书和存储在客户端上的服务器组的根证书进行比较282005 Symantec Corporation.All Rights Reserved验证途径和方法验证途径和方法292005 Symantec Corporation.All Rights Reserved集中化隔离和告警集中化隔离和告警提供集中隔离服务，被隔离的威胁将不会继续感染其它机器，并允许配置发送到数字免疫系统对威胁的发现，提供多种集中告警方式302005 Symantec Corporation.All

20、 Rights Reserved LiveUpdateLiveUpdate增量在线式更新增量在线式更新Liveupdate 可以使用户叠加式更新病毒定义码、IPS特征库、防火墙策略，Liveupdate Server设置定时对网络内所有Symantec产品所需要之语言、版本，让用户更新时可以一次完成软件、病毒定义码所有更新。LiveUpdate实现在线更新的同时，还是增量式的，每次只下载新增部分，不但提高速度、减少下载时间，还提高稳定性。312005 Symantec Corporation.All Rights Reserved集中的管理平台集中的管理平台管理员通过控制台，集中地实现所有节点

21、上防病毒的监控、配置、查询等管理工作。负责病毒定义、扫描引擎的更新，并能将此更新文件自动提供给各种服务器和工作站。提供多种软件远程安装和软件升级的手段。多级中心管理，各子网可以有单独的控制中心来管理，事项管理任务分担。而有一个控制中心监控整个企业网。322005 Symantec Corporation.All Rights Reserved实时的Spyware/Adware防护自动防护检测和清除排除，简单的排除企业允许的应用自动清除：文件,注册表,服务和进程易于管理，简单和友好的集中管理Spyware/AdwareSpyware/Adware防护增强防护增强332005 Symantec C

22、orporation.All Rights Reserved基于角色的管理权限基于角色的管理权限提供四种管理员权限防止非授权用户对SAV配置的更改342005 Symantec Corporation.All Rights Reserved防篡改保护防篡改保护提供对SAV自身的防护，防止威胁对SAV的进程、文件、注册表的非授权篡改保证SAV自身安全可靠的运行352005 Symantec Corporation.All Rights Reserved快速扫描和全盘扫描快速扫描和全盘扫描提供客户端不同级别的扫描级别362005 Symantec Corporation.All Rights Re

23、served自动保护功能自动保护功能-丰富的选项丰富的选项当实时防护关掉，AutoProtect会重新启动防护功能不仅仅是在文件被创建和修改时才检测372005 Symantec Corporation.All Rights Reserved邮件客户端保护邮件客户端保护 提供Lotus Note和Exchange邮件客户端防护。382005 Symantec Corporation.All Rights Reserved客户端互联网邮件安全防护客户端互联网邮件安全防护 提供客户端Internet电子邮件自动防护扫描，进行扫描的POP3和SMTP通讯端口是可完全配置的。(Outlook Expr

24、ess,Netscape,Foxmail)出站电子邮件扫描启发式扫描。可以有效防御诸如可以使用电子邮件分发他们自己的蠕虫等威胁，防止大规模的威胁扩散。392005 Symantec Corporation.All Rights Reserved提供自动的工具修复新混合型威胁,Spyware,Adware的影响.和定义文件和入侵特征同时更新.不需要单独的修复工具副作用修复副作用修复402005 Symantec Corporation.All Rights Reserved清除清除检测:文件目录进程注册表批处理文件INI 文件服务快捷方式修复类型:文件清除终止进程暂停进程清除注册表键值增加注册表

25、键值修改注册表键值修改INI和batch文件 412005 Symantec Corporation.All Rights Reserved客户端管理员专用选项客户端管理员专用选项为客户端的设置的管理员权限422005 Symantec Corporation.All Rights Reserved服务器微调选项服务器微调选项调整客户端跟踪选项，如客户端登录时间、同时分发的客户端数目等 432005 Symantec Corporation.All Rights Reserved漫游客户端漫游客户端企业有大量的互联网防病毒服务器，每当客户端网络地址发生更改时，它都会连接距离最近的适当父服务器。

26、如果当前父服务器变为不可用，就会连接到另一台父服务器。在选择父服务器时，尝试平衡一批同等服务器间的负载。442005 Symantec Corporation.All Rights Reserved集中隔离集中隔离集中隔离服务器、客户端无法修复的感染项。被隔离的威胁不能继续感染其他机器。配置传递到数字免疫系统。452005 Symantec Corporation.All Rights Reserved集中告警集中告警提供对威胁事件的集中告警,告警方式:广播在配置操作的计算机上显示消息框发送寻呼消息互联网邮件运行一个程序写入 Windows NT事件日志发送SNMP trap将可加载模块加载(

27、NLM)到NetWare服务器上462005 Symantec Corporation.All Rights Reserved支持支持Cisco NAC NAC整合整合使用Symantec VPNSentry,为Cisco NAC 提供如下信息的检测:Symantec AntiVirus:软件名是否安装软件的版本扫描引擎版本病毒定义文件的版本自动防护要可用472005 Symantec Corporation.All Rights Reserved增强的入侵防护增强的入侵防护 Generic Exploit Blocking通过 Generic Exploit Blocking,为弱点编写特征

28、代码,防护针对该弱点的潜在攻击，在弱点被利用前提供保护防护来自无需驻留硬盘和快速移动的网络蠕虫的攻击动态减少“时间差”造成的破坏.482005 Symantec Corporation.All Rights Reserved集中事件管理集中事件管理SAV 的事件将集成到Symantec事件管理器里，进行集中的日志，报警以及图形化的报告提供易于理解的企业客户端安全状况视图，有助于将安全数据转化为可控信息。提供了企业客户端安全的整体视图，使管理员能及时的获得严重安全事件的警告并且生成相关报告。492005 Symantec Corporation.All Rights Reserved扩展的报表处

29、理能力扩展的报表处理能力结合SESA进行报表处理502005 Symantec Corporation.All Rights Reserved集中管理集中管理 图形报表图形报表512005 Symantec Corporation.All Rights Reserved522005 Symantec Corporation.All Rights ReservedSAV Client客户端客户端1.Primary SAV Server（一级服务器）一级服务器）2.SSCNT/W2K/XP WorkstationNetWare ServerNT/W2K ServerNT/W2K/XP Workst

30、ationWin9xNT/W2K/XP ServerDOS/Win3xSAV服务器组服务器组SAV Client客户端客户端可根据需要在一个组内划分多个客户逻辑组管理方式：集中、自动化、分布式以及强制执行管理机制532005 Symantec Corporation.All Rights Reserved强大的管理中心控制台强大的管理中心控制台SSC542005 Symantec Corporation.All Rights Reserved 单一的管理控制台单一的管理控制台高扩展 数十万的节点分层的架构设置为锁定的策略管理逻辑组的管理产品的分发事件管理更新管理552005 Symantec

31、Corporation.All Rights Reserved对对SAVSAV包含的所有功能做集中控制包含的所有功能做集中控制562005 Symantec Corporation.All Rights Reserved逻辑组管理逻辑组管理根据企业组织架构，管理员制定客户端逻辑组管理572005 Symantec Corporation.All Rights Reserved 拖放操作拖放操作通过简单的拖放(Drag&Drop)操作在不同服务器间移动客户端管理员可以灵活的管理客户环境,尤其是客户端在不同的服务器之间切换的时候.582005 Symantec Corporation.All Ri

32、ghts Reserved客户端强制执行策略客户端强制执行策略可以锁定客户端所有防病毒策略，强制执行降低客户端违反防病毒策略造成的威胁传播592005 Symantec Corporation.All Rights Reserved客户端强制升级客户端强制升级强制客户端立即执行在线升级使管理员在紧急威胁出现时，能迅速强制客户端升级602005 Symantec Corporation.All Rights Reserved集中的网络审核集中的网络审核通过控制台确定网络中哪些节点没有防病毒系统保护能够检测Symantec AntiVirus、McAfee VirusScan、Trend Micr

33、o Office Scan、Computer Assoicates或其他第三方防病毒产品612005 Symantec Corporation.All Rights Reserved LiveUpdateLiveUpdate更新特性更新特性扫描引擎和病毒定义码独立于操作系统平台，单独更新所有 Windows平台同时更新防病毒定义、扫描引擎所有更新都可以预定义为定期自动或手动方式 Liveupdate叠加式更新，最小的升级流量 Liveupdate自动实现全网服务器、客户端更新，无需人工干预 更新后，系统无需重启 一级SAV服务器更新后，整个群组的二级服务器和客戶端在 分钟內全部自动后台更新完毕

34、622005 Symantec Corporation.All Rights Reserved 快速、集成、自动的升级响应快速、集成、自动的升级响应Respond采用增量式的定义更新同时更新防病毒、扫描引擎“推送”技术支持客户端漫游数字免疫系统(Digital Immune SystemTM)可以自动提交潜在的病毒威胁，并自动将解决方案发送到出现问题的计算机或整个企业632005 Symantec Corporation.All Rights Reserved 快速、集成、自动的升级响应快速、集成、自动的升级响应允许采用多台LiveUpdate服务器分担服务器负载当移动用户离开公司时，可直接上

35、互联网更新定义码642005 Symantec Corporation.All Rights Reserved1、SAV管理服务器2、管理中心总公司局域网总公司局域网客户端1、SAV服务器2、管理中心省域网省域网客户端1、SAV服务器2、管理中心省域网省域网客户端区域网区域网客户端区域网区域网客户端区域网区域网客户端区域网区域网客户端总部的总部的SAV服务器进行自动服务器进行自动的病毒定义码、扫描引擎和的病毒定义码、扫描引擎和软件修正的更新、升级软件修正的更新、升级 分部的防病毒服务器到分部的防病毒服务器到总公司的防病毒服务器总公司的防病毒服务器进行升级进行升级 企业广域网内企业广域网内SAVSAV更新方式更新方式1、SAV服务器2、管理中心1、SAV服务器2、管理中心1、SAV服务器2、管理中心1、SAV服务器2、管理中心652005 Symantec Corporation.All Rights ReservedSymantecSymantec 防病毒系统优势防病毒系统优势提供最全面的企业安全风险管理和防护的解决方案整合桌面防病毒和Spyware等安全风险的防护，提高安全性，减少管理复杂性，节省企业IT资源安全响应中心和LiveUpdate技术提供持续的病毒、混合型威胁、安全威胁的防护完整的防护来自可信任的世界安全和可用性领域的领导者 SymantecThank you