企业防病毒体系的探讨

企业防病毒体系建设的探讨一、已部署了专业的企业版网络防病毒软件，局域网内电脑还是很易中恶意插件、木马等？要解答这个问题，我们需首先病毒入侵的主要途径1.病毒入侵的三种途径：a.互联网传入(包含上网、聊天、邮件等，80%以上的病毒都是由这种方式传入)b.Usb移动存储设备拷入c.盗版光盘从近期互联网发展趋势来看，蠕虫、病毒、木马程序、间谍程序及其它恶意程序对企业造成的损失一年比一年严重。随着企业信息化进程的高速发展，电子邮件、OA系统、ERP系统、CRM系统、网络会议等无不依赖稳定而安全的网络环境。然而，病毒传播的速度更胜以往,互联网已多次爆发大规模病毒如“威金蠕虫”、“熊猫烧香”、“金猪”等，多数病毒都进行“加壳”伪装，这增加反病毒软件查弑难度。靠单一的网络防病毒软件已越来越不能应付网络病毒的威胁,何况多数防病毒软件部署在客户端电脑上，也就是说只有病毒到达客户端电脑上，才能被检测和查杀;如果是未知或者新病毒、木马，防病毒软件检测不到，就在后台安装在客户端的电脑上了，并且会随时连接带有病毒和木马网站，下载更多病毒和木马，迅速在局域网内传播。二、企业版网络防病毒软件优缺点：企业版网络防病毒软件，可以对网络上所有客户端电脑进行统一部署、集中管控，全面扫描、深度检测与清除客户端电脑存在的病毒。比较典型的厂家有Symantec、趋势、麦咖啡、比特凡谷、SOPHOS等，但这种软件的部署都有一个共同缺点，病毒必需在客户端电脑的内存或硬盘上驻留，才有可能被检测和清除，而通常由于某些病毒进入客户端电脑的内存同时劫持了操作系统的特定文件，导致大部份的杀毒厂家投鼠忌器，不敢删除病毒。因为如果清除病毒，有时不可避免地要损坏系统文件。这样导致企业局域网的病毒总不能彻底地清除干净。三、硬件网关防毒墙采用硬件网关防毒墙，在企业的网络入口处检测、清除外来病毒。用户访问外部网站、下载、邮件、IM等进入内网的文件，都要先经过网关防毒墙的检测，在病毒还未到达客户端电脑上即被发现并清除，不必担心会损坏客户端电脑的系统文件，因而比在客户端软件杀毒更加主动和彻底。同时由于硬件网关防毒墙部署于企业网络入口处，所谓咽喉要害，截断了病毒80%传入途径。部分客户端电脑中恶意插件和木马后，会不断连接带有病毒和木马网站，下载病毒和木马，而当这些病毒经过硬件网关防毒墙时，就会被发现和清除，无法再次进入企业的内部网络。同时网管人员可根据这些纪录，重点查杀已中病毒的内网电脑。笔者在实际工作中发现，往往企业版网络防病毒软件控制中心没有显示内网电脑有任何病毒，但客户端电脑时不时运行很慢，内存、CPU资源耗尽，通过架设网关防毒墙后，防毒墙的日志记录到部份客户端电脑在不停访问带病毒的网页、网站。再用F-prot、360安全卫士、木马克星等扫描这部份电脑，通常可以发现诸多恶意软件。四、尽量屏蔽高危网站一般电影/色情/游戏/股票交易类网站容易被挂马和诱导用户安装恶意插件，如果能使用防火墙和上网行为管理等产品做些策略，主动屏蔽这类网站URL，也可让客户端电脑远离病毒传染源，少中病毒。五、构造企业立体式防病毒体系1.)2.)诺顿网络防病毒系统每周三12:00开始，对网络上所有客户端电脑进行全面扫描、检测与清除病毒。3.)在公司的网络出口处部署了snifferpro网络嗅探工具软件，用于监控整个网络运行。也能及时发现发包量大的中病毒电脑，保证了整个网络的高效与稳定。4.)通过分析Sonicwall3060防火墙的日志信息，对处理ARP地址欺骗类型的病毒也有很好的帮助。主要以1.2种方式检测、清除病毒，相互补充，构成公司立体式防病毒体系;以3.4种方式作为分析、查找病毒的辅助手段，保持网络的稳定。大大增强公司电脑抵御网络病毒的能力。因此在企业网络入口处部署网关防毒墙产品，尽可能将病毒阻挡于公司网络之外，保证网络稳定。网关防毒墙工作模式如下图引入目的：1.由于目前OA系统对浏览器的要求较高，浏览器如被病毒破坏后，运行OA系统会经常报错和关闭。网关防毒墙能将大部份的木马、间谍流氓软件、病毒在进入公司网络前先过滤掉或删除，这对保证OA系统稳定运行和整个网络稳定都有很重要的意义。网关杀毒产品测试比较表：产品名称杀毒引擎防病毒效果上网行为管理垃圾邮件过滤与公司系统兼容性WEB管理参考价格SonicwallUTM卡巴斯基不明显不能完全封闭ＱＱ、游戏不好兼容性好支持1.3万CPSecure100CP自身好，效果明显无此功能不好兼容性好，但引起不能远程连香港监控设备。支持4.5万深信服ＡＣ5100F-prot(冰岛)一般，病毒码升级不及时。能很好的控制上网行为不好兼容性差，开启http杀毒后，不能从外面使用ＯＡ系统；不能收发邮件等问题。不支持５万瑞星网关防毒产品未做测试9万趋势科技网关防毒产品IGSA趋势不好无此功能不好兼容性还行6万＜老板无忧员工管理系统＞无无可以封堵ＱＱ、游戏，上网端口无未测试不支持SonicwallUTM是Sonicwall公司专门针对网关杀毒、邮件过滤而设置模块，可直接部署在我公司防火墙上。Sonicwall防火墙是国际著名品牌，在防火墙、ＶＰＮ网关上有较强优势。SonicwallUTM，优点：１．支持WEB方式访问，２．包含网关杀毒、垃圾邮件过滤、及封ＱＱ、ＭＳＮ等三个大方面。缺点：在三个方面做得都不是特别好。1.虽然其在杀毒引擎上采用了卡巴斯基的反病毒系统，但实际效果并不明显。不能从防火墙上看到具体哪台电脑中了什么病毒.2.封ＱＱ、ＭＳＮ主要是封其版本，这种设计思路总会落后ＱＱ、ＭＳＮ的更新，效果不好。封游戏等功能做得不好。3.测试期间，垃圾邮件量没有减少。垃圾邮件过滤效果不好。趋势科技网关防毒产品IGSA总部位于日本东京和美国硅谷，目前在26个国家和地区设有分公司，员工总数超过2000人，是一家高成长性的跨国信息安全软件公司。趋势科技分别在日本东京证券交易所和美国NASDAQ上市。趋势科技最有影响的产品是网络版的防病毒软件TrendMicroEnterprise。优点：1.包含网页杀毒、垃圾邮件过滤缺点：1.垃圾邮件过滤效果不好。2.网关防毒方面，IGSA在公司布署2天，没有发现一个病毒和间谍软件;实际上，有的电脑明显的存在间谍软件。也许是设置的原因，这个产品在公司测试的实际效果远远比不上这个品牌的名气。3.只要这个设备并连在网络中，会造成所有用户不能访问因特网。ＣＰSecure110是CPSecure公司的网关杀毒产品，CPSecure公司是由前趋势执行总裁和研发总监于２００２年创办，总部位于美国加州，专注做网关安全产品。优点：１．支持WEB方式访问，对病毒的统计信息较直观，查询相关记录也方便。２．病毒代码的升级也采用目前流行的方式，支持每天病毒代码更新。３．对网页上的病毒、间谍软件查弑效果较好，不影响用户上网的速度。缺点：１．没有“上网行为管理控制”功能，不能封堵ＱＱ、ＭＳＮ等。２．垃圾邮件过滤效果不好。经过两次测试，发现并清病毒14个，发现并清除间谍软件376个，（如图）测试期间，公司网络整体运行状况良好。2.对垃圾邮件的过滤情况，不是很理想。测试期间，垃圾邮件量没有减少。深信服ＡＣ5100深信服公司的特色是ＶＰＮ网络，深信服ＡＣ5100是其在硬件平台上专门针对上网而拓展的“上网行为管理模块”。优点：１．其在封堵ＱＱ、ＭＳＮ，限制连接游戏网站，以及特殊关键字过滤等做了比较详细的针对性开发，对上网行为管理控制比较细致，很适国内企业的实际需要。缺点：１．不支持ＷＥＢ方式，采用较落后的c/s架构思维设计，需要安装数据库、客户端等，给维护与管理工作带来较多不便。２．加此设备后，用户不能通过ＶＰＮ使用ＯＡ与ＥＲＰ系统，不能正常发邮件等；３．虽然采用了Ｆ-prot杀毒引擎，但病毒代码不能及时更新。从测试情况看，深信服ＡＣ5100产品兼容性较差，功能还不够稳定与成熟。老板无忧员工管理系统随时了解员工在电脑前做什么，使用电脑的情况。特点：１．实时查看员工电脑画面，检查员工工作内容。２．查看员工“上网记录、聊天记录、邮件记录、游戏记录、文件记录”等。３．封堵ＱＱ、ＭＳＮ，上网端口等。４．远程控制员工电脑，关机、重启等。测重于对员工使用电脑情况的监控，没有网关杀毒、垃圾邮件过滤等功能。通过多种渠道和对以上产品测试表明，目前还没有任何一款产品可以同时以下3点都做到让人满意：1.网关处病毒清除、过滤。2.垃圾邮件的过滤3.内网上网行为安全管理从测试情况看ＣＰSecure110作为网关防毒产品，防毒效果很明显;和公司现有的sonicwall硬件防火墙、深信服VPN网及垃圾邮件防火墙都没有不兼容的地方。目前的整体思路是：1.深圳总部采用ＣＰSecure110硬件来做网关处病毒清除，保证深圳总部网络的稳定，从而保证各办事处能顺利访问深圳的系统。2.深圳总部采用垃圾邮件防火墙，来保证公司用户都能正常收发邮件。3.深圳总部及各办事处安装《网路岗》，来限制用户上QQ、MSN及恶意网站，减少中病毒的机率。4.各办事处防病毒系统设置与深圳一样：大部份电脑使用《诺顿》防病毒系统，少量电脑安装《瑞星单机版》用于提防《诺顿》不能检测的病毒