新一代防病毒挑战与防病毒理念.ppt

《新一代防病毒挑战与防病毒理念.ppt》由会员分享，可在线阅读，更多相关《新一代防病毒挑战与防病毒理念.ppt（52页珍藏版）》请在装配图网上搜索。

1、新一代防病毒挑战与 防病毒理念 议 题 复杂网络环境下防病毒所需考虑的问题 只有防病毒软件就够了吗？ 防病毒的管理理念 议 题 复杂网络环境下防病毒所需考虑的问题 只有防病毒软件就够了吗？ 防病毒的管理理念 防病毒所需考虑的问题 病毒定义库的更新问题 新病毒的响应 防病毒软件的管理与管理的费用 选择解决方案的原则 防病毒所需考虑的问题 病毒定义库的更新问题 新病毒的响应 防病毒软件的管理与管理的费用 选择解决方案的原则 防病毒软件的结构 防病毒软件的 3个组成部分 扫描应用 扫描引擎 病毒定义 扫描应用 用户接口 日志文件 报警功能 扫描引擎 搜索病毒的算法 CPU防真器 精密编程逻辑 病毒的

2、特征码在病毒定义文件中 防病毒软件的结构 扫描应用 扫描引擎 1.要扫描的文件和磁盘 2.扫描检测病毒 3.警告用户并提示操作 4.修复文件和磁盘 防病毒软件的结构 第一代： 全部更新 扫描应用 扫描引擎 病毒定义 防病毒软件的结构 扫描应用 扫描引擎 病毒定义 第二代： 扫描应用和扫描引擎同时更新 病毒定义码的更新不需过多的费用 病毒定义由不定期到定期更新 上述软件构架的缺点 新病毒要新的版本 若不是简单的指纹更新，需要重装整个程序 每种平台的软件均需重装 对于厂商，每种平台的软件均需更新 整个重新部署的过程费时，费资源 软件结构的不足导致防病毒措施的不足 由于上述作法花费太高 选择部分病毒

3、防治，有无法杀的病毒 发布单一的，独立的补丁工具，还是麻烦 等一段时间，统一发布一个阶段性的软件 , 等的阶段会被感染 现代防病毒软件的结构 扫描应用 扫描引擎 病毒定义 第三代： 扫描应用更新 扫描引擎和病毒定义码的更新不需 过多的费用 新的构架的好处 扫描引擎是独立于操作系统平台的 可以对扫描引擎单独更新 只要使用统一的扫描引擎，就可统一更新 更新的同时，不会导致操作系统停机 便于引擎的发送，一台更新，全网更新 赛门铁克独有的专利 防病毒所需考虑的问题 病毒定义库的更新问题 新病毒的响应 防病毒软件的管理与管理的费用 选择解决方案的原则 新病毒的响应 -第二代软件 某计算机出现问题，呼叫管

4、理员 管理员怀疑是病毒，将感染文件送到厂商 厂商分析，确定为新病毒， 临时的权宜软件 管理员 2天杀毒干净 更多的感染，管理员使用权宜软件杀毒 一个月，工作站杀毒软件 几个月，服务器杀毒软件 新病毒的响应 -第二代软件问题 时间长， 1到若干个月 动扫描全部机器，再重新安装应用软件 在这过程中，病毒可能会再次发作 新病毒的响应 -第三代软件 某计算机出现问题，呼叫管理员 管理员怀疑是病毒 防病毒软件将感染文件送到厂商 厂商确定为新病毒，承诺 24-48小时内解决 更多的计算机感染 厂商将扫描引擎升级，不用权宜软件 管理员内部统一自动升级，全部杀掉新病毒 新病毒的响应 -第三代软件特点 处理新病

5、毒快捷有效 两者的分析时间是一样的，但第三代人工干预少 一个扫描引擎的更新，可以使全部计算机升级 防病毒所需考虑的问题 病毒定义库的更新问题 新病毒的响应 防病毒软件的管理与管理的费用 选择解决方案的原则 防病毒软件的管理与管理的费用 统一集中管理的重要性：降低费用 一个控制台管理全部防病毒软件 独立于平台地分发、更新和警报 自动化的更新软件，实时防护 自动识别病毒定义码是否已过期 自动识别防护是否启动， 自动识别是否做过完整扫描 中心强制执行某些规定 管理的费用 第二代防病毒软件 第三代防病毒软件 在使用前的测试阶段 高，整个新的应用软 件 低，只测新的病毒定 义 大批量的安装和更新 费用

6、高，手动或整个软件 低，自动更新定义， 速度快 问题支持费用 有 无 重新启动的费用 有 无 等待全部方案完成的 费用 有 无 防病毒所需考虑的问题 病毒定义库的更新问题 新病毒的响应 防病毒软件的管理与管理的费用 选择解决方案的原则 原则 完整性 层次性 统一性 持续性 本地化 议 题 复杂网络环境下防病毒所需考虑的问题 只有防病毒软件就够了吗？ 防病毒的管理理念 安全事件正在上升 Source: CERT 0 5000 10000 15000 20000 25000 30000 35000 1996 1997 1998 1999 2000 2001 year N u m b e r o f

7、 R e p o r t e d I n c id e n t s N u m b e r o f I n t e r n e t U s e r s 0 1 0 0 , 0 0 0 , 0 0 0 2 0 0 , 0 0 0 , 0 0 0 3 0 0 , 0 0 0 , 0 0 0 4 0 0 , 0 0 0 , 0 0 0 5 0 0 , 0 0 0 , 0 0 0 6 0 0 , 0 0 0 , 0 0 0 1996 1997 1998 1999 2000 2001 Y e a r s N u m b e r o f U s e r s Source: Computer Industr

8、y Almanac 混合型的威胁 (Code Red, Nimda) 拒绝服务攻击 (Yahoo!, eBay) 发送大量邮件的病毒 (Love Letter/Melissa) 多变形病毒 (Tequila) 特洛伊木马 Source: Symantec 病毒 网络入侵 频率和复杂性正在增加 70,000 60,000 50,000 40,000 30,000 20,000 10,000 已知威胁的数量 什么是混合型威胁？ 用多种方法和技术来传播和实施的攻击或威胁， 因而必须有多种方法来保护和压制这种攻击或威胁 例子： 红色代码 , 红色代码 II 蓝色代码 , 尼姆达 工作站 通过电子邮件

9、什么是混合式威胁（ Blended Threat） ? 文件服务器 工作站 邮件服务器 防火墙 Internet 尼姆达蠕虫案例 网站服务器通 过网页 工作站 网站服务器 邮件网关 工作站 通过电子邮件 什么是混合式威胁（ Blended Threat） ? 文件服务器 工作站 邮件服务器 防火墙 Internet 网站服务器通 过网页 工作站 邮件网关 尼姆达蠕虫案例 网站服务器 工作站 通过电子邮件 什么是混合式威胁（ Blended Threat） ? 文件服务器 工作站 邮件服务器 防火墙 Internet 网站服务器通 过网页 工作站 邮件网关 尼姆达蠕虫案例 网站服务器 尼姆达 攻

10、 击 手法 工作站 工作站 网站服务器 网站服务器 邮件中恶意附件 攻破多个网站服务器 以前攻破的网站服务器 浏览器进攻 文件共享 Internet hub 路由器 如何防止混合进攻 一种使用多种方法和技术来传播和攻击的安全威胁或攻击，因而需要采 用多重方式的防护才能真正的根除这种全新方式的威胁。 综合解决方案 防病毒 入侵检测 风险管理 防火墙 工作站 通过电子邮件 如何防止混合进攻 文件服务器 工作站 邮件服务器 Internet 网站服务器通 过网页 工作站 邮件网关 防病毒 防火墙 入侵检测 风险管理 尼姆达蠕虫案例 网站服务器 工作站 通过电子邮件 如何防止混合进攻 文件服务器 工作

11、站 邮件服务器 Internet 网站服务器通 过网页 工作站 邮件网关 尼姆达蠕虫案例 网站服务器 防病毒 防火墙 入侵检测 风险管理 防 范 方式 工作站 工作站 网站服务器 hub 风险管理 防火墙技术 Internet 路由器 防火墙 防病毒技术 发现和清楚恶意代码 在邮件网关和系统级可以解 决 网站服务器 纵 深防 御与 混合式攻 击 预防 (Prevention) 检测 (Detection) 响应 (Response) 成本 防火 墙 漏洞检测 內容 过滤 防毒 入侵 检测 修復工具 更改配置 更新軟件 工作站 通过电子邮件 什么位置可以阻止混合型威胁 文件服务器 工作站 邮件服

12、务器 Internet 网站服务器通 过网页 工作站 邮件网关 防病毒 防火墙 入侵检测 风险管理 尼姆达蠕虫案例 网站服务器 工作站 通过电子邮件 什么位置可以阻止混合型威胁 文件服务器 工作站 邮件服务器 Internet 网站服务器通 过网页 工作站 邮件网关 防病毒 防火墙 入侵检测 风险管理 Workstation Anti Virus Firewalls 集成安全解决方案 + 同时更新 = 真正的安全 尼姆达蠕虫案例 网站服务器 尼姆达 安全解决方案 预防 检测 检测 检测 预防 检测 检测 预防 预防 预防 预防 恢复 防火墙 防病毒 入侵 检测 风险 管理 尼姆达的行为 URL

13、扫描 系统的模块 文件共享 WEB客户端浏览 批量电子邮件 攻破系统 防卫的广度 最好的方法就是屏蔽绝大多数的攻击 实施 7 层的、完整检查的防火墙 网关、服务器和客户端的防病毒自动更新 保证安全补丁及时打上 保证密码的强度 关闭不必要的网络服务 议 题 复杂网络环境下防病毒所需考虑的问题 只有防病毒软件就够了吗？ 防病毒的管理理念 防病毒管理 管理的问题 缺少意识 防范措施不能有效的应用 非法用户入侵 防病毒系统的前提 防病毒制度 有效的系统管理与配置 有效的监控机制 备份 应急计划 用户的教育 每个用户执行制度提高防病毒的能力 病毒的知识 机制 传播方式 安全的防范措施 备份与应急 软件的

14、管理 下载使用免费的软件 在拷贝和使用软件之前，有机制确定软件健康 减少交换软件的次数 软件库要有很强的防范措施 软件安装记录 软件的维护与升级 盗版 妥善保存原软件 日常监视防病毒系统 有了监控，分析原因，控制泛滥 制度与防范措施存有漏洞 办法 教育用户 系统监控 网络监控 应急计划 制度要求应急计划 应急计划的书写与测试 建立应急小组，联系方式 分清职责 分离关键的主机与网段 备份与备份的防毒 软件的备份 配置的备份 备份的校验 恢复的步骤 防病毒制度 制度是核心 防病毒制度 用户不可以尝试传播病毒 禁止从第三方的系统下载软件 组建一支队伍，监测和调查病毒事件 重要的数据必须备份，并每月检

15、查一次 小 结 防病毒是整个安全链中的一个环节 整体的解决方案才能提高整个系统的安全 管理是安全链中最重要的环节 1982年成立 1989年在美国上市 (NASDAQ： SYMC) 全球第一位的互联网安全解决方案提供商 全球第一位的入侵检测产品（ 42%） 全球第一位的 风险 评估产品（ 38.8%） 全球第一位的计算机防病毒软件（ 60%） 全球第二位的防火墙软件（ 13%） 2001年销售额 USD1000Million 全球用户超过一亿 Fortune50的 45家公司使用我们的解决方案 赛门铁克公司简介 赛门铁克企业安全解决方案 提供整体安全，整体管理和扩充性的基础 赛门铁克企业安全构架 系列服务使得客户有效应用赛门铁克的安全知 识库： 教育服务和咨询服务 服 务 快速，完整的应急服务及整套的安全策略帮 助客户管理一个膨胀复杂的安全环境 响 应 整体解决方案给您带来更低的成本、更安全的防护 客户端 客户端安全 病毒防护 内容过滤 防火墙 入侵检测 网关 网关安全 病毒防护 内容过滤 防火墙 入侵检测 服务器 服务器安全 病毒防护 内容过滤 风险评估 入侵检测 企业安全 应用 安全管理 安全产品和 网络安全管理 解决方案 安全产品和网络安全管理解决方案 突发事件管理 策略与风险管理 收集 传递 谢 谢 !