防病毒系统方案建议书

《防病毒系统方案建议书》由会员分享，可在线阅读，更多相关《防病毒系统方案建议书（39页珍藏版）》请在装配图网上搜索。

1、*防病毒系统方案建议书防病毒系统方案建议书微软（中国）有限公司1目目 录录第第 1 章章需求概述需求概述.31.1网络现状. 31.2防病毒系统现状. 41.3亟待解决的问题. 51.2现状分析及网络防病毒系统需求分析. 5第第 2 章章病毒及垃圾邮件需求分析病毒及垃圾邮件需求分析.72.1邮件病毒的危害性. 72.2邮件病毒发展趋势. 82.2.1病毒与黑客程序相结合.92.2.2蠕虫病毒更加泛滥.92.2.3病毒破坏性更大.92.2.4病毒传播速度更快，传播渠道更多.92.2.5病毒的实时监测更加困难.102.2.6病毒传播多样化.102.3邮件病毒防治必须具备的功能.112.3.1检测能

2、力.112.3.2更新和升级.122.3.3响应机制.122.3.4多级防护体系和安全管理策略.132.3.5对系统性能的影响.132.4目前防病毒产品面临的挑战. 132.4.1系统性能影响大.132.4.2防护滞后.142.4.3无法实现7*24小时实时防护.142.4.4蠕虫病毒的防治效果不理想.142.5垃圾邮件分析. 152.6垃圾邮件的危害. 162.7反垃圾邮件技术. 172.7.1反垃圾邮件技术的发展历程.172.7.2反垃圾邮件技术要点.182.8反垃圾邮件的对策. 19第第 3 章章网络防病毒系统规划建议网络防病毒系统规划建议.213.1微软安全产品简介. 213.2微软安

3、全产品特点和优势. 223.3防病毒系统规划关键点. 233.3.1客户端防护规划.233.3.2邮件系统防护规划.253.4系统规划建议特点. 28第第 4 章章网络防病毒系统部署方案网络防病毒系统部署方案.29防病毒系统方案建议书微软（中国）有限公司24.1客户端防病毒系统. 294.2邮件系统防病毒系统. 294.3硬件配置清单. 324.4软件配置清单. 32第第 5 章章病毒及垃圾邮件的日常预防病毒及垃圾邮件的日常预防.33第第 6 章章病毒防治的应急响应病毒防治的应急响应.356.1病毒事件的发现. 356.2处理流程. 356.2.1隔离系统.356.2.2保留日志.366.2.

4、3确定问题.366.2.4清除病毒或蠕虫.376.2.5加固系统.376.2.6恢复到日常的状态.376.2.7事后分析和处理报告.386.3大规模病毒爆发事件处理. 38防病毒系统方案建议书微软（中国）有限公司3第第 1 章章需求概述需求概述本单项工程主要对一期的防病毒系统采取进一步的措施，主要表现为：(1)对现有的防病毒系统进行加固和优化，增强主机、邮件系统、终端的防病毒的能力；(2) 增强网络防毒能力，抵御网络病毒对内网的攻击；(3) 屏蔽一切不安全的设备和人员接入网络，规范用户接入网络的行为，从而铲除网络威胁的源头，避免事后处理的高额成本。1.1 网络现状网络现状全国*管理信息网是一个

5、三级的网络，由*、各省级*管理机构及其派出机构组成。网络带宽分别为 64K 和 128K。各个省中心都有自己的管理员维护本省网络和系统的日常运营。全国*管理网络系统由国家、31 个省（区、市）及派出机构等的计算机网络通过 64/128k 帧中继等方式三级广域互连而成，是一个单中心的星型网，其中包括*局域网、国家级超短波监测站、国家级短波监测站、移动监测车、省级网络等。各级网络都是一个独立的域，管理自己的域用户。按照国家规定，本网络要求与 Internet 物理上完全断开，但由于管理不严，有些节点与 Internet 有物理连接。另外本网络与外部连结互连有两种方式，一种是由于行政原因，与信息产业

6、部、信息产业厅等部门局域网连结；一种是项目单位通过拨号、162 接入等方式连入本网络。*局域网主要完成全国*管理计算机网的网络管理、与下级局域网的信息交换。 *局域网网络规模相对不大， 物理分布集中在距离很近的两个楼宇。楼层间垂直走线子系统采用室内多模光纤互联，骨干为千兆以太网，中心交换机为一台 RS8600。水平走线子系统共有 5 个，分别位于 2、3、5、8、10 五个楼层，可以实现百兆交换到桌面，可提供五百个以上信息点的接入能力。防病毒系统方案建议书微软（中国）有限公司41.2 防病毒系统现状防病毒系统现状全国*管理信息系统包括两个独立的网络系统内网和外网，都是全国性网络。其中内部网络由

7、国家、31 个省（区、市）及派出机构等的计算机局域网组成三级广域网； 总共有 3000 余台计算机设备， 其中包括了 400 余台 Windows服务器。拥有邮件服务、办公自动化服务、内部 WWW 服务和自身的业务系统服务。外部网络客户端较少，拥有邮件服务、WWW 服务和其他应用服务。2003 年一期工程统一部署了 Symantec antivirus 8.0 网络防病毒产品。 对所有客户端和服务器部署了防病毒实时监控，同时对 Exchange 服务器进行了邮件病毒过滤。病毒防护系统管理结构如下： *为树根，统一来管理所有的下级单位 省一级无委为第二级管理中心 地市为第三级管理中心防病毒系统方

8、案建议书微软（中国）有限公司51.3 亟待解决的问题亟待解决的问题客户端感染病毒的事件逐渐增多，维护工作量和难度很大，病毒传播行为占用了大量的广域网带宽。产生以上问题的根本原因是：1) 客户端的防病毒问题业务不断扩展和变化使得客户机系统的安全监管越来越困难；客户机在内网和外网环境中交替使用；外来人员自带电脑任意接入网络；新安装的主机在缺少基本安全保障的情况下接入网络。2) 病毒自身的变化病毒自身的发展对防范手段有更高的要求；病毒变化速度越来越快；病毒的危害性越来越大；病毒的自我保护能力越来越强。3) 全国*管理信息系统的防病毒软件过于陈旧1.2 现状分析及网络防病毒系统需求分析现状分析及网络防

9、病毒系统需求分析近年来，病毒攻击的数量和次数，以及病毒攻击的复杂程度一直都在上升。虽然，全国*管理信息系统在一期建设中已经部署了多层次的防病毒软件：从关键服务器，到邮件服务器，到最终客户端；但是，他们仍然会受到基于网络攻击的病毒的困扰，例如：SQL Slammer 和冲击波 Blaster 等。如果网络病毒攻击不能在网络层被侦测的话，现有的病毒防护体系无法被及时侦测或者阻止的。导致的后果经常是核心交换、 路由设备充斥大量无用的数据包， CPU 负载居高不下、甚至导致终端用户正常网络业务应用受阻等等。面对病毒发展的新趋势，必须通过技术和管理手段进行防病毒管理体系的加固和优化。目前*防病毒工作存在

10、的问题：1. 病毒自身的发展对防范手段有更高的要求。防病毒系统方案建议书微软（中国）有限公司61）病毒变化速度越来越快。2）病毒的危害性越来越大。一旦网内有一台计算机感染病毒，其所在的整个网段都会受到影响，网络带宽也被大量占用。3）病毒的自我保护能力越来越强。2. 客户机在内网和外网环境中交替使用， 在外网感染病毒后带入内网；3. 外来人员自带电脑任意接入网络，造成病毒传播；4. 新安装的主机在缺少基本安全保障的情况下接入网络， 比如没有安装防病毒系统、安装了但是特征库更新不及时、没有安装必要的操作系统补丁；根据*对防病毒产品的相关需求结合防病毒系统现实存在的一系列问题，归纳中心对防病毒系统有

11、几个方面的需求： 客户端病毒防护； 防病毒软件自身性能和功能； 防病毒软件对网络的管理能力； 网关病毒防护； 邮件病毒防护； 系统及应用补丁产品的性能和管理能力；防病毒系统方案建议书微软（中国）有限公司7第第 2 章章病毒及垃圾邮件需求分析病毒及垃圾邮件需求分析随着邮件系统的普及，计算机病毒中的邮件病毒开始大行其道，给社会带来越来越大的经济损失，垃圾邮件与邮件病毒已经成为互联网时代的两大杀手，而邮件病毒更甚，因为它不但能产生垃圾邮件，而且还能感染电脑、阻塞网络，造成更大的损失。2.1 邮件病毒的危害性邮件病毒的危害性对于大多数个人电脑用户来说，对邮件病毒破坏性的感觉并没有象 CIH 病毒这样强

12、烈， 在大多数人的脑海中的印象中邮件病毒是一种只会发发病毒邮件的温和的病毒。其实，邮件病毒的破坏要远大于此。首先， 邮件病毒会对主干网的流量造成影响。 邮件病毒的传播过程是这样的，病毒会被首先释放到一台病毒种机中，种机中有大量的公开邮件地址，然后病毒就会通过网络和邮件从一台计算机感染到另一台计算机， 由于邮件病毒在每感染一台计算机后就会搜索一次该计算机的所有 E-MAIL 地址，再向这些地址发送病毒邮件，被感染的计算机不但会向一些未感染病毒的计算机发送病毒邮件，还会进行邮件互发，从而在全球泛滥的同时大量占用网络带宽资源，使整个主干速度变慢， 象“求职信”就是这样的一个病毒。 如果邮件病毒又具备

13、了黑客攻击的手段，那么这种破坏性就更明显了，象“SCO 炸弹（Mydoom）”病毒就是这样，他不但会进行邮件传播，还会在某个特定时间对 SCO、微软等网站发起 DDoS(分布式拒绝服务)攻击，病毒的意图很明显，就是要集结全球所有被感染计算机，然后统一向这两个网站发起攻击，全球范围内的超量非法服务请求，不但会使这两个网站瘫痪，还会使整个主干网阻塞。其次，邮件病毒还会对企业和电子邮件服务商造成影响。如果说对主干网的影响，大家还只是停留在感觉的层次的话，那么邮件病毒对企业和电子邮件服务商的影响就是实实在在的了。每一个现代化的企业，都会有自己独立的内部网络和邮件服务器，邮件服务器每秒钟要收发数以万记的

14、邮件，但是一个邮件服务器的吞吐量和邮件并发数是有限的，当邮件病毒泛滥时，大量的病毒邮件会随时从防病毒系统方案建议书微软（中国）有限公司8外部网络涌入，如果企业内部感染了邮件病毒，那么同时也会有大量的病毒邮件从内部网络经由邮件服务器而发送到外网， 当病毒邮件远远大于邮件服务器所能承载的最大邮件数时，邮件服务器便会来不及处理邮件请求从而导致邮件阻塞，严重时还会使邮件服务器系统崩溃，从而拒绝服务。一些互联网邮件服务商同样也面临着这样的问题，虽然他们的邮件服务器吞吐量很大，但他们接受的是整个互联网的邮件请求， 因此在邮件病毒大量泛滥时仍然会产生邮件阻塞及拒绝服务的情况。有电脑使用经验的用户一定还记得当

15、年求职信病毒爆发时的情形，在病毒的泛滥高峰期，用户几乎是无法收取任何邮件的。最后，邮件病毒会产生大量的垃圾邮件，阻塞用户信箱。这种危害是普通用户能亲身感受到的，邮件病毒泛滥时会给用户的邮箱发送大量的病毒邮件，虽然一些邮件服务商采取了一些邮件过滤的技术，如字符串过滤，截取附件等方法，但是如今的邮件病毒都会采取随机更换邮件标题和内容的方法来躲避过滤， 而一些被截去附件的病毒邮件就成了名符其实的垃圾邮件。 一些躲过过滤的病毒邮件会有很有迷惑性的标题来诱使用户中毒， 而一些被截去附件的病毒邮件则会变成垃圾邮件来占满用户有限的邮箱空间，使用户无法收取正常的邮件。2.2 邮件病毒发展趋势邮件病毒发展趋势自

16、从 1983 年世界上第一个计算机病毒出现以来，在不到 20 年的时间里，计算机病毒已到了无孔不入的地步，有些甚至给我们造成了巨大的损失。而所有的计算机病毒，都可能通过邮件的方式进行传播。每当一种新的计算机技术广泛应用的时候，总会有相应的病毒随之出现。例如，随着微软宏技术的应用，宏病毒成了简单而又容易制作的流行病毒之一，配合主板 BIOS 升级技术，出现了第一款可以损坏硬件的 CIH 病毒；随着 Internet的网络普及，各种蠕虫病毒如美丽莎、爱虫、SirCAM 等疯狂传播。以及后期不断的产生病毒和黑客攻击于一体， 通过 80 端口进行传播 “红色代码 （CordRED） ”病毒和 Nimd

17、a 病毒，通过利用 SQL Server 漏洞传播的病毒王，以及通过 RPC 漏洞进行攻击和传播的冲击波病毒，不仅仅对于计算机进行破坏，同时造成了整个网络的瘫痪。纵观当今的网络时代，病毒的发展呈现出如下趋势：防病毒系统方案建议书微软（中国）有限公司92.2.1 病毒与黑客程序相结合病毒与黑客程序相结合通过附件中夹带黑客程序，邮件病毒与黑客程序（木马病毒）结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。2.2.2 蠕虫病毒更加泛滥蠕虫病毒更加泛滥这类病毒是由受到感染的计算机自动向用户的邮件列表内所有的人员发送带毒文

18、件， 往往在邮件当中附带一些具有欺骗性的话语， 由于是熟人发送的邮件，接受者往往没有戒心。因此，这类病毒传播非常快，只要有一个用户收到感染，就可以形成一个非常大的传染面。2.2.3 病毒破坏性更大病毒破坏性更大邮件病毒绝不仅仅以侵占和破坏邮件服务器的为目的，利用邮件服务器作为整个网络系统的邮件传输枢纽，扩大受感染面积是他们更为危险的动机。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的创造者 （如爱虫病毒） ，或者采取 DoS（拒绝服务）的攻击（红色代码病毒） 。一方面可能会导致本机机密资料的泄露，另一方面会导致一些网络服务的中止。而蠕虫病毒则会抢占有限的网络资源，造成网络堵塞（如 Ni

19、mda 病毒） ，如有可能，还会破坏本地资料（如针对 911 恐怖事件的 Vote 病毒） 。2.2.4 病毒传播速度更快，传播渠道更多病毒传播速度更快，传播渠道更多由于网络的普及，使得编写病毒的知识越来越容易获得。同时，各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。 用户通过网络甚至可以获得专门编写病毒的工具软件， 只需要通过简单的操作就可以产生破坏性的病毒。防病毒系统方案建议书微软（中国）有限公司102.2.5 病毒的实时监测更加困难病毒的实时监测更加困难随着网速的提高，在数据传输时间变短的同时，病毒的传送时间会变的更加微不足道。如何确保病毒文件在抵达用户邮箱

20、之前将它查出并处理，是当前针对邮件病毒的防毒产品面临的重要问题。2.2.6 病毒传播多样化病毒传播多样化目前绝大多数病毒传播的途径是网络，而网络病毒中，又以邮件传播病毒最为常见。以下是 Sophos 公司公布的 2004 年 5 月的 10 大流行病毒：图 1 病毒排行列表表中所列皆为蠕虫病毒，蠕虫病毒是通过邮件系统传播的典型病毒之一。由此可见，对于一个网络系统而言，针对病毒的入侵渠道和病毒集散地-邮件网关进行防护是最首当其冲的防治策略。目前市场上的防毒产品根据其部署的架构大致可分为三个层面，即网关-服务器-客户端。邮件网关处于局域网及互联网的出入口，它是处理来往于互联网及网络间的数据的首要关

21、卡， 承担了对即将进入邮件服务器的所有邮件的病毒监测和垃圾邮件筛选工作。通过在网关处的病毒清除和邮件过滤动作，可大大防病毒系统方案建议书微软（中国）有限公司11减轻邮件服务器的负载压力，同时减轻邮件服务器防毒软件的压力，从而提升邮件服务器的使用性能。对于邮件病毒每一个可能的入口，部署相应的病毒防治软件，实时检测其中是否有病毒，是构建一个完整有效病毒防治体系的关键。a）网络邮件/群件系统：如果 MAIL 服务器未部署防毒软件，一旦有某个用户感染了病毒 ，通过邮件方式该病毒将以几何级数在网络内迅速传播，并且 很容易导致邮件系统负荷过大而瘫痪。而 仅 仅 在 客 户 端 级 别 对 受 感 染 的

22、计 算 机 进 行 隔 离 清 除 病 毒 工作，并不能对整个系统起到管理和防范的作用。b）内容保护：由于目前邮件系统的使用异常方便，造成了用户很容易在不经意间将重要 的、机密的或是不当的信息通过邮件发出去；另一方面，来自 Internet 上的垃圾邮件也到处都是，导致用户需花大量的精力 和时间去处理，降低了工作效率。因此对往来的邮件内容进行过滤也很重要；c）集中管理：对于一个大型网络来说，部署的病毒防治系统将十分复杂和庞大。尤其在 各网点在地域上分离的情况下，通过一个监控中心对整个系统 内的病毒防治服务和情况进行管理和维护显得十分重要。这样 就可以大大降低维护人员的数量和维护成本，并且缩短了

23、升级 、维护系统的响应时间。病毒防治系统的最大特点是需要不断 的升级和更新防毒软件，以应对新产生的各类病毒。因此各点 的病毒防治软件集中进行升级行动也是有效病毒防治的重要一环。2.3 邮件病毒防治必须具备的功能邮件病毒防治必须具备的功能2.3.1 检测能力检测能力病毒防治的恶意代码检测技术必须具有检测已知的和未知的蠕虫和特洛伊木马病毒的能力。通过对 SMTP 数据流的实时监控、检测和删除所发现的任何病毒，并能自动下载、下载新的病毒库从而能包括需要扫描的所有病毒的特征。防病毒系统方案建议书微软（中国）有限公司12病毒检测能力：a)保证对进出 SMTP 的邮件数据进行 100%的数据扫描和处理，对

24、置于其后的邮件系统进行最大程度的防护；b)7*24 小时的防护机制；c)工具是否包含恶意代码；d)实时病毒扫描（SMTP 堆栈） ；e)按需病毒扫描；f)多态性病毒的不同应对；g)病毒驻留在加密消息或压缩文件中的检查；h)病毒以不同的语言书写（如 JAVA、ActiveX、VB 等） ；i)特洛伊木马和蠕虫病毒。2.3.2 更新和升级更新和升级保持对病毒和恶意代码威胁的有效防御不仅仅包括在给定的时间执行全面检测这一能力。 平均每月有 300 多种新的病毒被发现， 防毒保护应当能定时更新，当新的病毒被发现后，相应的处理方法应被开发出来并更新保护。并且这一自动更新应该是静态完成，客户端为不可见的。

25、病毒防治系统应该通过集中管理框架，可靠地完成自动更新。更新和升级的功能需求有：a)能够进行版本升级b)定期升级c)升级迅速2.3.3 响应机制响应机制响应机制的功能需求包括：a)服务器级别隔离；b)控制台级别隔离；防病毒系统方案建议书微软（中国）有限公司13c)基于网络的支持响应服务；d)向系统管理员告警；e)向发送者或接受者报警；2.3.4 多级防护体系和安全管理策略多级防护体系和安全管理策略由于整个体系中邮件服务器众多，造成了管理上的困难和投入的增加。多级单位的网络互联，需要控制大规模的病毒爆发事件，把病毒的影响控制在很小的范围内。另外由于文件的传输和电子邮件的传输也没有统一的控制，所以造

26、成病毒多种的途径的传播。主要表现在以下几个方面：a)系统内部数据传输频繁，为病毒传播创造了条件；b)管 理人员不够了解系统内 病毒活动的情况，不能即使采取控制措施；c)网 络互联互通，一旦大规模 爆发蠕虫病毒，将会造成网络系统的瘫痪；d)没有统一病毒库升级途径；2.3.5 对系统性能的影响对系统性能的影响a) 可对群发邮件进行单一扫描从而减少对系统的影响；b) 具备防止其他可对系统造成不必要影响的机制。2.4 目前防病毒产品面临的挑战目前防病毒产品面临的挑战2.4.1 系统性能影响大系统性能影响大由于邮件服务器本身承载的任务复杂，需消耗的系统资源及网络带宽已经很多，因此作为第三方防病毒软件不仅

27、仅应与其在功能上保持良好兼容性之外，对现有系统的性能冲击越小越好。防病毒系统方案建议书微软（中国）有限公司14目前防病毒产品的扫描机制分为两类：硬盘扫描与内存扫描。硬盘扫描的方法为允许所有邮件进入服务器，再对其进行扫描操作。因其直接对硬盘进行读写操作，因此扫描速度慢，且对具有自启动功能的病毒无防范能力。相较而言，将扫描点提前到内存中将大大缓解防毒软件对系统资源与网络带宽的影响。但目前部分内存扫描产品并未做到真正意义上的内存扫描，而是在内存中生成一个临时文件夹，将文件存入，然后再实施扫描，因此不可避免要求相当大的内存空间。2.4.2 防护滞后防护滞后将扫描点放在服务器中进行扫描的方法，不能防止带

28、有病毒的文件进入邮件服务器最为重要也是最为脆弱的关键应用， 而目前越来越多的高度智能化的病毒程序一旦进入服务器存储单元， 就会以极快地速度进行自我复制和转发病毒等破坏行为。因此传统防病毒软件提供的保护不可避免地具有滞后性。2.4.3 无法实现无法实现 7*24 小时实时防护小时实时防护防毒引擎查杀病毒的能力直接决定了该防毒软件的性能，尤其是为服务器而设计的防病毒软件，更应确保对服务器 100%不间断的防护。但目前大多服务器版的防病毒软件采用单一引擎扫描机制，当唯一的引擎进行升级时，实时监控进程停止，此时服务器处于毫无防护的状态下，使各种病毒有了可乘之机。2.4.4 蠕虫病毒的防治效果不理想蠕虫

29、病毒的防治效果不理想蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中） ，对网络造成拒绝服务，以及和黑客技术相结合等等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短防病毒系统方案建议书微软（中国）有限公司15的时间内蔓延整个网络，造成网络瘫痪。而目前防病毒产品对蠕虫病毒大多采用的处理方法与传统病毒类似，即在存储单元中先对其进行修复，如果修复无效则删除附件。但蠕虫病毒的特殊性决定了一旦允许其写入硬盘，将极大增强其自我繁衍的能力，且它产生的数据垃圾无法进行修复，所以

30、这种处理方法的结果必然是扫描引擎不断对无价值文件进行读写硬盘的操作， 并将删除了附件的邮件正文发送给收件人，间接制造了大量垃圾邮件。2.5 垃圾邮件分析垃圾邮件分析自从互联网普及以来，电子邮件逐渐成为人们生活中便捷的通信手段之一。然而，随之产生的垃圾邮件像瘟疫一样蔓延，污染网络环境，占用大量传输、存储和运算资源，影响了网络的正常运行。业内人士分析：一旦垃圾邮件占到互联网总数据流量的三分之一以上，将会造成巨大的存储需求，甚至对信息安全系统的有效性构成威胁。对垃圾邮件的定义至今还没有一个比较明确的描述， 然而它们的诸多表征已经得到了业界人士的广泛的认可。不久前，中国互联网协会也公布了对“垃圾邮件”

31、的正式定义: 1、收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性质的电子邮件; 2、收件人无法拒收的电子邮件; 3、隐藏发件人身份、地址、标题等信息的电子邮件; 4、含有虚假的信息源、发件人、路由等信息的电子邮件。垃圾邮件的内容形形色色，主要包括广告、色情、政治言论、病毒传播等几种类型。其中，携带病毒的垃圾邮件直接威胁着整个网络系统的安全，广告大约占据所有垃圾邮件的 70%左右。从技术上分析，垃圾邮件可以分为以下四种。1、 信件头部包含垃圾邮件的特征国外许多国家和地区都有限制垃圾邮件的立法，所以很多国外的广告发送程序都被强制加上标识符，例如邮件的发送程序使用 CD

32、mail，那么在邮件头部就会出现 X-mailer、CDmail 的字样。不过在我国发送垃圾邮件还没有这一限制。防病毒系统方案建议书微软（中国）有限公司162、 邮件内容包含垃圾邮件特征邮件内容中含有“sex site”等字样。3、 使用 Open Relay 主机发送的垃圾邮件由于系统管理员的疏忽，很多邮件服务器都是 Open Relay 的，这样就允许任何人通过该 SMTP 服务器向任何地址发送垃圾邮件。4、 无论头部还是内容都无法提取特征那些不含有标识的发送垃圾邮件的软件，可以直接连接 给所有 用户发送垃圾邮件， 人们很难将这样的垃圾邮件从正常的邮件中分离出来。2.6 垃圾邮件的危害垃圾

33、邮件的危害47%： 一项最新调查显示垃圾邮件已成为互联网用户的最大烦恼， 垃圾邮件的病毒率高达 47%。1500 亿：2003 年，中国的邮件服务器共收到 1500 亿封垃圾邮件，尽管其中 60%到 80%被服务器过滤掉，但至少有 470 亿封最终流入用户的信箱。48 亿：2003 年我国处理垃圾邮件浪费的 GDP 高达 48 亿元人民币。874 美元：垃圾邮件给美国企业造成的损失落实到每位职员身上折合约为 874 美元。1.85 封：我国网民平均每天收到邮件 7.05 封，其中 1.85 封为垃圾邮件，每人每天用在处理垃圾邮件的时间为 3.65 分钟。50%：一篇报告称垃圾电子邮件失去了控制

34、，到 2003 年年中，全部电子邮件中将有 50%是垃圾邮件。星期四：英国一家网络供应商研究发现，星期四是垃圾邮件制造者特别钟爱的日子。防病毒系统方案建议书微软（中国）有限公司1789 亿美元：美国企业每年由于垃圾邮件要 89 亿美元的损失，欧洲企业的损失为 25 亿美元，美国和欧洲的 ISP 的损失为 5 亿美元。2.7 反垃圾邮件技术反垃圾邮件技术2.7.1 反垃圾邮件技术的发展历程反垃圾邮件技术的发展历程回顾反垃圾邮件技术的发展历程，可以将其分为三个阶段：触发阶段（1993 年1997 年）：1994 年 12 月，spam 一词开始用于表示垃圾邮件；1995 年 10 月，国际上开始为

35、垃圾邮件设定专门的邮件帐户abusedomain,用于收集、讨论垃圾邮件；同时开始利用“黑名单”（把一些已知的发送垃圾邮件 IP 或邮件地址列入其中，用来过滤垃圾邮件）技术实施反垃圾邮件工作。推进阶段（1997 年1999 年）：1997 年 5 月，国际上成立了 CAUCE（Coalition Against Unsolicited Commercial E-mail）组织，主要从倡议立法的角度出发，力图唤醒有志者共同参与，一起抵制垃圾邮件。1998 年 4 月，Internet协会 ISOC 针对垃圾邮件问题召开了专项会议，讨论有效的实施垃圾邮件过滤方式等等。在这一阶段中，许多国际组织和服

36、务单位例如 MAPS、SPANHAUS、ORBSSPAMCOP 也相继成立，对垃圾邮件问题（尤其是对 ISP）提出了很多建议和解决方案。尤其重要的是，1998 年我国成立了第一家开展垃圾邮件与反垃圾邮件技术研究单位“中国教育与科研网紧急响应小组（CCERT）”，他们积极地与国际组织接触并建立联系，成为这一阶段我国接受和处理国际投诉的主要窗口。发展阶段（1999 年2002 年）：1999 年 2 月，RFC2502，Anti-SpamRecommendations for SMTO MTAs 的正式发布标志着反垃圾邮件技术研究的蓬勃发展。许多国际知名大学和研究机构都组织人员开始了反垃圾邮件技术

37、的研究。随着反垃圾邮件理发和建立统一标准等工作的推进，这一研究领域更是吸引了许多从事交叉学科研究的技术人员的关注。机器学习、神经网络和遗传算法等防病毒系统方案建议书微软（中国）有限公司18先进的研究经验都被引入到这一领域。 这一阶段的研究成果成为近几年国内外开发反垃圾邮件产品的主要技术依据。2.7.2 反垃圾邮件技术要点反垃圾邮件技术要点垃圾邮件是用专门的邮址搜索软件和邮件群发软件来完成网上邮址收集和邮件散发的，一个邮址搜索软件每次可以搜索到几万个至十几万个有用邮址，一个邮件群发软件每天可以发送百万封同样或不同内容的垃圾邮件。 在宽带日益普及的情况下，只要懂得如何发送电子邮件，人们在家里也可以

38、轻而易举得制造出大批垃圾邮件来。对于这种自动化的垃圾邮件制造方式，人工手段删除垃圾邮件显得无能为力，必须借助一定的技术手段对付批量的垃圾邮件。反垃圾邮件技术主要包括：垃圾邮件过滤技术、邮件服务器的安全管理和培植技术以及对简单邮件通信协议（SMTP）的改进研究等。2.7.2.1启发式过滤技术启发式过滤技术过滤技术是目前反垃圾邮件用到的主要技术。其一，利用域名地址、IP 或域名“黑白名单”进行的邮件限制或过滤，典型应用诸如：结合 DNS 的实时黑名单（RBL）过滤，用户自定义邮件白通道加严整的过滤方法等。其二，基于数据挖掘技术进行的邮件过滤研究，利用文本分类与统计算法进行垃圾邮件检测，比较有代表性

39、的是贝叶斯过滤器。它是以自学习、自适应和极高的准确率占据了过滤器这个领域的主导地位。其他研究包括：基于记忆信息、基于事件特征描述信息进行数据挖掘的垃圾邮件检测方法。其三，基于垃圾邮件的特征分析、规则提取的规则匹配过滤方法。电子邮件通常具有几个重要特征，标准电子邮件地址（包括收发件人邮箱名、收发人邮箱服务器 IP 地址或域名）、主题、信件内容（包括正文、关键字、附件）等相关防病毒系统方案建议书微软（中国）有限公司19字段，这些特征是过滤技术判断、分析、统计和提取的依据。目前的防垃圾邮件系统主要是通过启发式过滤技术来实现。启发式过滤技术主要是对邮件进行来源过滤和内容过滤。 对于上文中提到的第一、第

40、三种垃圾邮件，启发式过滤技术可以根据其来源特征进行过滤。这种方式可以在邮件完全提交之前就进行阻断，能有效保护网络资源。内容过滤就是对邮件正文进行内容匹配，能够有效防止第二种垃圾邮件。对于那些一时无法识别和处理的特殊垃圾邮件， 比如第四种垃圾邮件还需要技术人员通过人工方式进行处理。从原理来看，提取邮件特征、获得关键词是启发式过滤技术的关键。一般网站和大型企业通常会设立专门垃圾邮件用户投诉信箱， 技术人员可以从这些躲过反垃圾邮件软件处理，直接到达用户信箱而被用户送来的垃圾邮件中，摘取关键词进行分析过滤，或是统计垃圾邮件的相关特征，输入反垃圾邮件引擎，使升级后的反垃圾邮件软件能够拒收这些邮件。为了及

41、时获得有效特征，有些网站和大型用户还设立了专门的“诱饵邮箱”，只要有垃圾邮件进入自己的网站，这个诱饵邮箱就会自动截获，供专门技术人员参考。2.7.2.2合作式扫描技术合作式扫描技术除了启发式过滤技术外，合作式过滤技术也逐渐引起人们的重视。该技术主要通过对邮件进行签名来防止垃圾邮件， 通过分布在各地的防垃圾邮件代理对垃圾邮件进行实时的判断和签名， 利用各个防垃圾邮件网关的协同工作减少垃圾邮件的危害。2.8 反垃圾邮件的对策反垃圾邮件的对策防止垃圾邮件，人们可以从网关、服务器端和客户端四方面入手。1.基于服务器的软件:这些软件通常运行于邮件服务器或是一台单独的机器上，它们检查邮件头和发送的信息并且

42、阻止那些无效信息。众多基于服务器的过滤软件都参考了一个众所周知的垃圾邮件制造者或策源地的列表， 并最终把来自 这 些 地 方 的 信 息 筛 除 。 最 流 行 的 列 表 是 在 邮 件 滥 用 预 防 系 统防病毒系统方案建议书微软（中国）有限公司20（ MAPS:MailAbusePreventionSystems ） 中 有 个 黑 洞 列 表（BlackholeList）。MAPS 可以删除其 DNS 列表中的垃圾邮件制造者的服务提供商的地址，来阻止垃圾邮件对后端系统的干扰。这种过滤产品可以在信息通过之前，根据 MAPS 的域名服务器来检查入境信息的头信息，查看基于服务器的垃圾过滤软

43、件的列表。 2.硬件网关:如果用户有大量邮件需要接收，这些用户可以采用一种基于硬件的邮件过滤网关。 它比基于软件的网关产品更有优势的地方是能够处理更大量信息。这种设备安置在路由器和服务器之间，以过滤垃圾信息。有些硬件邮件过滤网关可以扫描发出的邮件，有些只能扫描进入的邮件。它们的过滤规则各不相同，通常是根据内容或者行为制定，部分设备还可以扫描病毒。3.客户端:客户端是防垃圾邮件的最后一道防线，用户可以采用客户过滤软件。在客户端的过滤方法中，人们可利用一些常见的电子邮件客户端工具的分拣和过滤功能来设定规则，把接收下来的电子邮件进行检查和匹配，从发件地址、主题、正文内容中的关键词，对那些符合垃圾邮件

44、特征的电子邮件，执行自动删除操作，或者加装某些客户端工具，利用邮件下载协议（POP3 或 IMAP4）的一些特定指令先下载邮件的头部信息进行垃圾邮件的判断和识别， 这样客户端就不需要将电子邮件完全下载才能进行识别和处理了。像反病毒一样，反垃圾邮件需要每一位用户的共同参与和积极配合。具体来说，企业用户可以选择一些防垃圾邮件的软件来保护自己的邮件系统。对于电信用户（大容量电子邮件系统），部署防垃圾邮件系统可能会对邮件的正常传输产生一定影响，在部署系统之前，这部分用户最好对系统的稳定性和性能进行充分的测试和估算，并要保证一定的性能冗余。对于个人用户来说，要注意将自己的邮件地址在最小范围内散发，不要将

45、邮箱注册到某些声誉不高的 ICP/ISP，不要购买通过垃圾邮件发布广告的商品，使用客户端防垃圾邮件软件，在收到垃圾邮件时，向相关组织报告垃圾邮件的信息，以便向垃圾邮件规则库中提交更多的匹配模式。防病毒系统方案建议书微软（中国）有限公司21第第 3 章章网络防病毒系统规划建议网络防病毒系统规划建议针对以上对*现状和需求的分析，我们建议利用微软公司的Forefront Security 为核心来部署实施*的网络防病毒系统。采用网络防病毒系统，既能满足*在业务、应用、信息和基础设施建设方面的现状，也能满足*在对管理方面对网络防病毒系统的要求， 实现面向*最终用户的，易于管理维护，高可靠性和安全的电子

46、网络防病毒系统。3.1 微软安全产品简介微软安全产品简介当今的安全市场十分复杂和零散。系统管理员面临种种挑战，现有安全产品存在较差的互操作性、每种产品单独的管理控制台、以及普遍缺少统一的活动报告和分析等不足。简而言之，现有的安全解决方案和产品仍很难部署、使用和管理网络保护。而且相关费用又十分高昂。随着安全性对商业解决方案成功与否的作用日益突出，这些不足就显得越发严重。面临日益严重的信息安全问题，微软公司推出了自有品牌 Forefront 为基础的安全解决方案，能帮助企业（包括政府）用户完成从网络边界到服务器到客户端的全面保护。目前应用服务器端包含了 Forfront Security for

47、SharePoint 提供对门户的保护、Forefront Security for Office Communications Server 提供了对即时消息系统的保护、Forefront Security for Exchange 提供了对邮件服务器/协作平台的保护；在客户端 Forefront ClientSecurity 提供了对操作系统（如Windows XP）的保护。其中除了具备反病毒能力外，Forefront for Exchange 还提供了对木马程序、垃圾邮件的灭杀功能。Forefront 软件脱胎于在系统安全领域里早已成名的产品（如服务器端的Sybari） ，通过公司并购和

48、产品整合形成了一个完整的、端到端、深层次、多方位的有效保护。同其他厂商不同的是，微软 Forefront 提供了一个多病毒扫描引擎的解决方案，可以提供多达个不同的扫描引擎（默认提供个） ，从而消除了以往单一厂商的不足之处。微软产品的良好集成，提供了对用户认证基础平台（活动目录 AD） 、系统管理软件（SMS） 、数据库（SQL Server）等微软其他软防病毒系统方案建议书微软（中国）有限公司22件平台的一致性和完整性。微软软件的易管理性，使得部署、报告、和数据分析变得容易和简单，大大降低了使用错误的可能性。在整个安全解决方案中，业已成熟的 ISA（Internet Security Acce

49、lerator）是另一个重要的组成部分：它可以提供对网络边界的保护 （防火墙） 、 VPN 接入服务、 代理服务器和 Web 缓存(Proxyand Web Cache)等多种功能。 因此微软 Forefront 解决方案能最全面地提供对企业（包括政府）信息资源的有效防护。3.2 微软安全产品微软安全产品特点和优势特点和优势Microsoft Forefront 商业安全产品系列有助于为您的网络基础架构的安全提供更强的保护和控制。Microsoft Forefront 产品彼此之间能够轻松地集成，同贵企业的 IT 基础架构轻松的集成，也能通过共用的第三方解决方案互为补充。从而激活了端点到端点的

50、、深入防御的安全解决方案。简化的管理、报告、分析和部署使您可以更有效地保护贵企业的信息资源， 并保护对应用系统和服务器的安全访问。利用 Microsoft 技术指南支持的高响应性保护，Microsoft Forefront 帮助您信心百倍地面对不断变化的威胁和增长的商业需求。Forefront 是 Microsoft 用以向企业客户提供端点到端点的安全保障策略的主要组成部分。这种理念始于操作系统。随着 Windows XP SP2 和 WindowsServer 2003 SP1 的发布，极大地减少了弱点。而即将发布的 Windows Vista andWindows “Longhorn” S

51、erver 关注的是强大的安全性。 通过提供更多的安全层 （旨在保护信息和控制对企业关键信息和资源的访问） ，Forefront 安全产品提高了这些操作系统的安全性。 利用强健的数字使用权管理， 进一步增强这种信息安全性。即便未经授权的使用者获得了这些文档，也能确保文档安全和符合策略。Microsoft 的安全产品通过强大的身份管理架构被紧密的结合在一起。这种管理架构细致划分了细化和控制。 而广泛的管理和报告功能进一步激活的这种控制能力。这些管理和报告功能收集、分析和报告事件，并提供建立和执行安全最佳实践的工具。最终，Microsoft 提供了一系列技术和产业方面的指导，帮助企业正确和有效地设

52、置安全产品。防病毒系统方案建议书微软（中国）有限公司233.3 防病毒系统规划关键点防病毒系统规划关键点3.3.1 客户端客户端防护规划防护规划Microsoft Forefront Client Security 为企业台式机、便携式计算机和服务器操作系统提供易于管理和控制的统一恶意软件保护。 通过集中的管理来实现简化的管理以及提供对威胁和漏洞的可见性管理，Microsoft Forefront ClientSecurity 更高效地保护企业客户端的安全。3.3.1.1 统一的保护统一的保护Microsoft Forefront Client Security 交付统一的保护来抵御当前和新出

53、现的恶意软件，使您能够对企业系统受到针对广泛威胁的更好保护感到自信。通过单个代理，Microsoft Forefront Client Security 提供了对间谍软件、rootkit 和其它新出现的威胁以及诸如病毒和蠕虫等传统攻击的实时检测和删除。Microsoft Forefront Client Security 的统一保护功能交付了：全世界已经有数百万人使用的保护技术Forefront Client Security 采 用 已经在诸 如Windows Live OneCare 、Windows Defender 和 Windows Live Safety Center 等产品中使用

54、的非常成功的相同 Microsoft 保护技术。有效的威胁响应凭借 24/7 的全球安全研究组织为后盾，Forefront Client Security 通过对多种数据源的自动化分析来提供有效的响应。Microsoft 的高级安全分析受到多种数据源的支持， 包括 Dr. Watson、 Hotmail、 Microsoft Exchange、 Hosted Services、Microsoft 的保护技术、Web Crawler、社区提交和行业协作。作为全面安全解决方案一部分的深度防御Forefront Client Security 与诸如Microsoft Forefront Secur

55、ity 、 MicrosoftInternet Security & Acceleration (ISA) Server和Microsoft Exchange HostedServices 等其它安全解决方案结合使用时，可以交付深度防御。防病毒系统方案建议书微软（中国）有限公司243.3.1.2 简化的管理简化的管理Microsoft Forefront Client Security 通过集中的管理提供简化的管理，因此您可以更高效地保护您的企业。使用单个控制台实现简化的客户端安全管理，Microsoft Forefront Client Security 节省了时间，降低了复杂性。使用与在其

56、它Microsoft 工具中找到的界面相似的熟悉界面，该控制台可同时用于在本地和远程访问所有管理功能，包括配置、签名更新、报告和警报。Microsoft Forefront Client Security 的简化管理功能使您能够：定义单个策略来管理客户端保护代理设置Forefront Client Security 通过单个策略来为一台或多台受保护计算机配置反间谍软件、反病毒和状态评估技术，从而帮助提高效率。创建的新策略具有能容易地根据环境需要而定制的预配置设置。策略还包括警报级别设置，可容易地配置这些设置以指定不同的受保护计算机组所生成的警报和事件数量。 策略可以通过 Active Dire

57、ctory 或熟悉的现有软件分发系统来部署。更快地部署签名和软件Forefront Client Security 允许更快地将签名和软件部署到台式机、便携式计算机和服务器操作系统。 该产品能够使用任何软件分发系统来进行签名或软件部署， 还通过 Windows Server Update Services (WSUS) UpdateAssistant 提供了优化的签名分发。Forefront Client Security 代理软件旨在部署为单个客户端包，其中包括所有保护和管理功能。与现有基础结构集成Forefront Client Security 通过与现有的基础结构软件集成，帮助您获得对

58、客户端安全性的更大控制。 Forefront Client Security 事件和报告系统使用 MicrosoftSQL Server，并且可以使用 Active Directory 组策略或任何其它软件分发系统来部署客户端设置。3.3.1.3 关键可见性和控制关键可见性和控制Microsoft Forefront Client Security 生成富有洞察力的优先化报告，因此您拥有对恶意威胁的可见性和控制力。 当前安全状态的单个仪表板快照可帮助您了解防病毒系统方案建议书微软（中国）有限公司25何处需要采取行动。Microsoft Forefront Client Security 的关键

59、可见性和控制功能使您能够：查看富有洞察力的报告Forefront Client Security 现在通过易于使用的富有洞察力的报告，帮助您优先安排时间并将重点放在最重要的方面。Forefront Client Security 报告使您能够检查实时数据和新出现的趋势。每个报告都具有超链接，以使您能够直接连接到关键信息。随时了解最新状态评估扫描和安全警报Forefront Client Security 提供必要的工具来针对整个企业中的重要威胁和潜在漏洞。 状态评估扫描帮助您确定哪些由 Forefront Client Security 管理的计算机需要修补程序或配置得不够安全。当威胁在环境中

60、出现时，安全警报帮助向您发出通知。3.3.2 邮件邮件系统系统防护防护规划规划在 Exchange 中，病毒可存在于电子邮件的文件附件、电子邮件正文和公共文件夹张贴中， 但是传统反病毒技术无法监控或扫描 Exchange 数据库或 SMTP堆栈的内容。Exchange 环境需要反病毒解决方案，要求这些解决方案能够通过实时扫描所有邮件来防止病毒传播， 同时只对服务器性能或邮件传递时间具有最小的影响。Microsoft Forefront Security 是用于保护 Exchange 环境的解决方案。Forefront Security 独一无二地适合于 Exchange 2000 和 Exch

61、ange 2003 环境。Forefront Security 使用 Exchange VSAPI 与 Exchange 服务器紧密集成，以提供无缝的保护。Forefront Security 提供强大的内容筛选功能，其中包括：关键字邮件正文筛选带实时黑名单 (RBL) 集成的邮件主机筛选增强的文件和内容筛选，其中包括筛选器列表，以帮助管理员管理大型筛选器组。Forefront Security 还包含了对可选的 Forefront Security 垃圾邮件管理器的支持。这个加载项模块帮助管理员，最大限度减少进入 Exchange 环境的垃圾电防病毒系统方案建议书微软（中国）有限公司26子邮

62、件数量。Forefront Security 垃圾邮件管理器通过提供下列功能，增强了 ForefrontSecurity 的内容筛选：对邮件筛选器“SpamCure”反垃圾邮件引擎的支持对 Exchange 2003 反垃圾邮件功能的支持“标识：标记邮件”选项，用于可疑垃圾邮件跟踪和识别新的关键字筛选器选项针对 Outlook 用户的“垃圾邮件”文件夹Forefront Security 还 集 成 了Microsoft Forefront Security 企 业 管 理 器(AEM)。AEM 为管理员提供集中的安装和报告功能，并提供环境中所有服务器上的 Forefront Security

63、 的集中管理。for Exchange 有助于强化分层防御机制，优化 Exchange Server 性能，并改进企业内容策略， 从而达到确保电子邮件基础架构免遭病毒蠕虫感染和系统停机影响的目标。而将这些防护技术整合于基础架构的多个层面的做法则有助于提前阻止最新电子邮件安全威胁对商务企业和用户产生不良影响。3.3.2.1 前瞻的前瞻的“文件过滤文件过滤”和和内容核查功能内容核查功能前瞻的病毒防护功能-在产生了新的病毒而防病毒签名文件尚未出来前，“Forefront Security 文件过滤器”将是一个理想的防毒工具，它可以实现：拦截文件附件进入您的单位，控制发出文件。限制其他无害却占用大量资

64、源的文件-如：大的 MP3 音乐文件。按管理员的意愿隔离那些非急件使其可日后发给指定收件人。除了按文件名或文件类型过滤文件以外，Forefront Security 与其它解决方案的不同之处还在于多类型其他文件的过滤（如：*.vbs, *.*.vbs, 等）管理员可选择按文件名或按文件类型过滤以达到最好效果。Forefront Security for Exchange Server 的文件过滤是依据文件字头所提供的信息进行过滤，而不是像其它解决方案是按照文件的扩展名来过滤的。这样将避免扩展名更名后的含毒文件进入。防病毒系统方案建议书微软（中国）有限公司273.3.2.2 使用使用“除虫除虫”

65、功能摧毁病毒附件及邮件本身功能摧毁病毒附件及邮件本身蠕虫删除功能能遏制病毒删除后所发出的大量病毒通知文件， 造成用户的困扰。此功能降低了管理员的劳动强度，从而降低了成本。目前，微软是唯一为此提供解决方案的公司。3.3.2.3 多病毒引擎的使用多病毒引擎的使用可同时管理个扫毒引擎（产品的标准配置为个引擎，为了加强安全性，用户亦可多买引擎。 ）多引擎增加了保护的安全性。它防止使用单引擎产品而引擎损坏所带来的系统无防护状态。它允许网管选用足以好的解决方案。这与传统无论是在网关，邮件服务器及客户端使用同一单一引擎的做法形成了巨大的反差。通过使用多引擎，在新的病毒爆发时用户可得到多个病毒实验室的支持而不

66、必只依靠一个实验室。3.3.2.4 防护互联网邮件及内部邮件防护互联网邮件及内部邮件Forefront Security 是唯一既扫描 SMTP（简单邮件传输协议）服务器又扫描EXCHANGE 信息存储（IS）的产品。除了在 EXCHANGE IS 实时扫描外，该产品还在组织内部层面扫描。这样保证了对内外部邮件的 100%的扫描。3.3.2.5Forefront Security 的反垃圾邮件功能的反垃圾邮件功能除了利用 Exchange Server 2003 和 Outlook 2003 提供的反垃圾邮件功能外，我们还建议集成的 ASM (Advance Spam Manager)反垃圾邮件工具来增强*电子网络防病毒系统的反垃圾邮件功能。ASM 是 Forefront Security for Exchange 进行垃圾邮件扫描的一个插件，使ASM 可以在 Forefront Security 统一界面下进行管理，大大方便了管理员的使用。ASM 采用了独有的垃圾邮件扫描引擎技术 SpamCure， 它提供两种反垃圾邮件引擎 Bullets 和 Starr。Bullets 反垃圾邮件