我们为数字世界提供保护ESET-NOD32028-68599918第1页共13页防病毒解决方案我们为数字世界提供保护ESET-NOD32028-68599918第2页共13页目录1网络安全概述………………………………………………………………………………31.1什么是网络安全…………………………………………………………………………31.2网络安全的威胁来自哪些方面…………………………………………………………31.3安全体系设计范畴………………………………………………………………………31.3.1物理安全……………………………………………………………………………41.3.2链路安全……………………………………………………………………………41.3.3网络安全……………………………………………………………………………41.3.4信息安全……………………………………………………………………………51.4防病毒系统整体规划…………………………………………………………………………………………52企业现阶段网络情况分析…………………………………………………………………73ESETNOD32整体解决方案…………………………………………………………………83.1关于ESET公司……………………………………………………………………………83.2ESETNOD32防病毒软件产品介绍………………………………………………………83.3ESETNOD32企业版介绍…………………………………………………………………93.3.1ESET企业版组成…………………………………………………………………93.3.2远程管理服务器(RAS)及远程管理控制台(RAC)…………………………………103.3.3强大的中央管理功能…………………………………………………………………………………103.3.4本地更新,提高工作效率……………………………………………………………………………113.3.5强大的报表功能………………………………………………………………………………………113.4ESETNOD32针对企业解决方案示意图…………………………………………………113.4.1ESETNOD32整体解决方案实现的主要功能………………………………………123.4.2方案特点……………………………………………………………………………124ESETNOD32防病毒服务体系………………………………………………………………134.1ESETNOD32厂商提供售服务……………………………………………………………134.2本地化售后服务………………………………………………………14我们为数字世界提供保护ESET-NOD32028-68599918第3页共13页1网络安全概述1.1什么是网络安全计算机安全事业始于本世纪60年代末期,由于当时计算机的速度和性能较落后,使用的范围也不广,再加上美国政府把它当作敏感问题而施加控制,因此,有关计算机安全的研究一直局限在比较小的范围内。进入80年代后,计算机的性能得到了成百上千倍的提高,应用的范围也在不断扩大,计算机已遍及世界各个角落。并且,人们利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。但是,随之而来并日益严峻的问题就是计算机信息的安全问题。由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。计算机安全的内容应包括两方面:即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性。一个系统存在的安全问题可能主要来源于两方面:或者是安全控制机构有故障;或者是系统安全定义有缺陷。1.2网络安全的威胁来自哪些方面由于大型网络系统内运行多种网络协议(TCP/IP,IPX/SPX,NETBEUI),而这些网络协议并非专为安全通讯而设计。所以,网络系统网络可能存在的安全威胁来自以下方面:操作系统的安全性:目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。采用的TCP/IP协议族软件,本身缺乏安全性。防火墙的安全性:防火墙产品自身是否安全,是否设置错误,需要经过检验。来自内部网用户的安全威胁。缺乏有效的手段监视、评估网络系统的安全性。未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。应用服务的安全:许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。1.3安全体系设计范畴1.3.1物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作我们为数字世界提供保护ESET-NOD32028-68599918第4页共13页失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;设备安全:包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等;媒体安全:包括媒体数据的安全及媒体本身的安全。1.3.2链路安全链路安全主要解决网络系统中,链路级点对点公用信道上的安全。因此在公共链路上采用一定的安全手段可以保证信息传输的安全,对抗通信链路上的窃听、篡改、重放、流量分析等攻击。链路加密是解决链路安全的主要手段,而链路加密主要依靠链路加密机(如DDN链路加密机)实现。1.3.3网络安全网络系统是一个广域网络系统,具有如下特点:作为专用网络,主要为下属各级部门提供数据库服务、日常办公、管理服务及往来文电信信息的处理、传输与存储等业务。通过与Internet或国内其它网络互连,可以使工作人员访问、利用国内外各种信息资源,进一步加强国内国际使用,并进一步加强同上级主管部门及地方政府之间的相互联系。基于网络的这些特点,本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。具体而言,采用下面的安全措施实现网络系统的安全。网络系统内各局域网边界的安全,可使用防火墙的访问控制功能来完成。同时,如果使用支持多网段划分的防火墙,可同时实现局域网内部各网段的隔离与访问控制。网络与其它网络如因特网互连的安全,要使用防火墙来实现二者的隔离与访问控制。同时,建议网络系统的重要主机或服务器的地址使用Internet保留地址,并有统一的地址和域名分配办法,这样一方面解决合法IP不足的问题,另一方面,利用Internet无法对保留地址进行路由的特点,杜绝与Internet直接互连。1.3.4信息安全主要涉及到用户身份鉴别、信息传输的安全、信息存储的安全以及对网络传输信息内容的审计等几方面。信息传输安全对于在网络系统内信息传输的安全,根据其实际需求与安全强度的不同,可以有多种解决方案。如链路层加密方案、IP层加密方案、应用层加密解决方案等。我们为数字世界提供保护ESET-NOD32028-68599918第5页共13页信息存储安全在网络系统中存储的信息主要包括纯粹的数据信息和各种功能信息两大类。对纯数据信息的安全保护,以数据库信息的保护最为典型。而对各种功能文件的保护,终端安全很重要。为确保这些数据的安全,在网络信息安全系统的设计中必须包括以下内容:1.数据备份和恢复工具2.数据访问控制措施3.用户的身份鉴别与权限控制4.数据机密性保护措施,如密文存储5.数据完整性保护措施6.防止非法软盘拷贝和硬盘启动7.防病毒8.备份数据的安全保护9.信息审计针对网络系统,在系统内容纳了很多敏感或涉密信息。如果这些信息被有意或无意中泄漏出去,将会产生严重的后果。另外由于与Internet的互连,不可避免地使一些不良信息流入。为防止与追查网上机密信息的泄漏行为,并防止不良信息的流入,可在网络系统与Internet的连接处,对进出网络的信息流实施内容审计。1.4防病毒系统总体规划防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、系统漏洞侦测等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的企业网病毒防护体系。1.4.1构建控管中心集中管理架构我们为数字世界提供保护ESET-NOD32028-68599918第6页共13页保证网络中的所有客户端计算机、服务器可以从管理系统中及时得到更新,同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被系统管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。1.4.2构建全方位、多层次的防毒体系结合企业实际网络防毒需求,构建了多层次病毒防线,分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面布控。1.4.3构建高效的网关防毒子系统网关防毒是最重要的一道防线,一方面消除外来邮件SMTP、POP3病毒的威胁,另一方面消除通过HTTP、FTP等应用的病毒风险,同时对邮件中的关键字、垃圾邮件进行阻挡,有效阻断病毒最主要传播途径。1.4.4构建高效的网络层防毒子系统企业中网络病毒的防范是最重要的防范工作,通过在网络接口和重要安全区域部署网络病毒系统,在网络层全面消除外来病毒的威胁,使得网络病毒不再肆意传播,同时结合病毒所利用的传播途径,结合安全策略进行主动防御。1.4.5构建覆盖病毒发作生命周期的控制体系当一个恶性病毒入侵时,防毒系统不仅仅使用病毒代码来防范病毒,而是具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理,特别是对利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。防毒系统在病毒代码到来之前,可以通过网关可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来后又没有扩散的途径。在清除与修复阶段又可以对发现的病毒高效清除,快速恢复系统至正常状态。1.4.6病毒防护能力防病毒能力要强、产品稳定、操作系统兼容性好、占用系统资源少、不影响应用程序的正常运行,减少误报的几率。1.4.7系统服务我们为数字世界提供保护ESET-NOD32028-68599918第7页共13页系统服务是整体防毒系统中极为重要的一环。防病毒体系建立起来之后,能否对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求软件提供商要有全球化的防毒体系为基础,另一方面也要求厂商能有精良的本地化技术人员作依托,不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快速的分析和方案提供。如果有新病毒爆发及其它网络安全事件,需要防病毒厂商具有较强的应急处理能力及售后服务保障,并且做出具体、详细的应急处理机制计划表和完善的售后服务保障体系。2现阶段网络情况分析现阶段企业内部网络约有300台机器(不排除后期继续扩容),分布在2个网段中。中心机房有一台专业服务器,各终端和服务器能正常通讯。通过和信息科技术员沟通后得知:目前单位内部拥有“用友系统”、“思宇系统”、“STARTLIMS系统”、“QA系统”、”考情系统