Symantec_防病毒企业版100技术

1SymantecAntivirus10.0技术白皮书北京赛门铁克信息技术有限公司2目录1、产品定位和功能描述................................................................32、产品工作原理、部署和管理方式..................................................32.1产品结构和工作原理...........................................................32.2产品部署模式...................................................................42.3产品管理模式...................................................................63、产品的主要技术特点................................................................83.1产品的技术特点................................................................83.2产品管理方式.................................................................113.3病毒定义码、扫描引擎和软件修正的升级方式..........................123.4集成管理（可扩展性）......................................................134、产品主要性能指标参数...........................................................155、系统最低硬件配置要求...........................................................1731、产品定位和功能描述为企业服务器和工作站提供病毒防护。具有自动的数字免疫系统，能快速、可靠、自动的删除、分析并修复新病毒。集中管理企业范围内的防病毒服务器和客户端.同时，赛门铁克独特的NAVEX™技术无需重新部署软件即可更新病毒定义和扫描引擎，从而使系统正常运行时间最大化。2、产品工作原理、部署和管理方式2.1产品结构和工作原理SymantecAntiVirus企业版10.0由4个主要的部分组成：Symantec系统中心SymantecAntiVirus服务器SymantecAntiVirus客户端SymantecAntiVirus隔离区Symantec系统中心：SymantecSystemCenter(简称SSC)是中央管理控制台。该管理控制台集中管理运行SymantecAntiVirus企业版的服务器和客户端；可以启动和调度扫描，以及设置实时防护，从而建立并实施病毒防护策略，管理病毒定义文件的更新，控制活动病毒，管理计算机组的病毒防护，以及查看扫描、病毒检测和事件历史记录等功能。SymantecAntiVirus服务器：管理其他SymantecAntiVirus企业版的服务器和客户端。SymantecAntiVirus服务器可将配置和病毒定义文件更新分装到SymantecAntiVirus客户端上，SymantecAntiVirus服务器能将所有被管理的SymantecAntiVirus客户端分成逻辑的组，以适应为用户定制的策略管理。4SymantecAntiVirus客户端：为运行他的计算机提供病毒防护功能。通过接受SymantecAntiVirus服务器的管理，自动的获得病毒定义码和扫描引擎的更新以及发送警报到服务器。SymantecAntiVirus隔离区：可以将所有不可修复的、受病毒感染的文件转向到一个安全的区域，以实现进一步的检测。将病毒从主要的运算环境清除，可以提供更好的防护，并且防止它们在企业内部蔓延。由于能够在提交受宏病毒感染的文件之前就能从其中剥离敏感、专用的数据，它还有助于维护IT的可信性。2.2产品部署模式Symantec系统中心的安装部署:Symantec系统中心控制台已嵌入“Microsoft管理控制台”(MMC)中。MMC随Windows2000Professional/Server/Advanceserver/XP一起自动安装。通常Symantec系统中心（SSC）和SymantecAntiVirus服务器安装在同一台机器上。SymantecAntiVirus服务器的部署方法：可以选择以下任一一种安装方法来部署SymantecAntiVirus服务器1.光盘（CD）进行安装。可直接从SymantecAntiVirus企业版光盘安装到受支持的操作系统的计算机。2.“AV服务器分装”工具。可从Symantec系统中心将服务器安装推送给运行受支持的操作系统的计算机。3.基于WEB把创建的安装包通过WEB的方式部署到受支持的操作系统的计算机。SymantecAntiVirus客户端的部署方法：•登录脚本自动安装。5•从SAV的服务器的客户端安装文件夹运行•基于WEB安装。•采用光盘直接安装。•从网站下载安装•第三方工具•NetWare服务器自动安装主要几种部署方式的优缺点1.推送优点：可以直接从SymantecAntiVirus企业版光盘推送SymantecAntiVirus客户端安装。利用此方法，可以在WindowsNT/2000/XP计算机上进行安装，无需向用户授予其计算机的管理权限。缺点：对于WIN98/95的计算机不能实现此安装方法。2.登录脚本自动安装。优点：可以利用配置登录脚本让客户端登陆WINNT或WIN2000的域自动安装防病毒的客户端。缺点：网络一定要有域服务器，并且客户端一定要登陆域。3.从服务器安装优点：可以从要用作父服务器的SymantecAntiVirus企业版服务器运行防病毒客户端安装包。准备工作：安装SymantecAntiVirus企业版服务器。缺点：需要用户主动访问服务器来执行安装程序。为确保安装成功，将SymantecAntiVirus企业版服务上的VPHOME\clt-inst\WIN32共享目录映射到用户本地的网络驱动器。4.基于WEB安装。优点：用户打开IE浏览器，从内部WEB服务器下载客户端安装包，然后运行它。该选项适用于Windows98\Me\XP\NT\2000计算机。缺点：准备内部Web服务器，确保Web服务器符合最低要求。65.采用光盘直接安装。优点：不会造成网络的流量，。缺点：交互式的安装；大量的人力消耗。2.3产品管理模式Symantec系统中心、服务器、客户端三部分的三级管理架构如下图所示：网络各层次的防病毒产品均可以通过赛门铁克控制中心SymantecSystemCenter(SSC)实现统一集中的管理，如防病毒软件的安装、维护、病毒定义码和扫描引擎的更新升级、网络防病毒策略的配置、报警的集中管理、定时调度、隔离、实时扫描和监控等。为了便于维护和管理，安装专用的集中管理服务器，用做病毒的防、控系统中心。这个监控中心的功能包括：强大、灵活的管理和任务调度手段，允许管理员通过中心控制台，集中地实现全网范围内防毒策略的定制、分发和执行。允许管理员通过控制台，集中地实现所有节点上防毒软件的监控、配置、查询等管理工作。能够通过控制台看到客户端的病毒版本、查杀7毒记录及各种日志信息。负责病毒扫描引擎和代码库的更新，并能将此扫描引擎和代码库自动提供给各种服务器和工作站。提供多种软件安装和软件升级的手段，必须提供远程安装客户端、基于WEB的软件安装和手动、定时病毒库版本升级功能，以方便管理，节省劳动成本。提供远程病毒报警手段，网内任何一台计算机上发现病毒时，杀毒软件自动将病毒信息传递给网络管理员。灵活的管理方式，可以支持集中和分步式管理，分步式管理可以跨越广域网，跨广域网时需要有效地利用带宽。支持多级中心管理，各子网可以有单独的控制中心来管理，事项管理任务分担。而有一个控制中心监控整个企业网。分组管理：管理员可以按照自己的需要对所有的网络终端结点进行任意分组。可将不同物理地点的服务器分组，对于客户端也可根据配置的需要分组，包括设置客户端密码、实时监控客户端配置、统一刷新客户端状态、统一发送广播、查询历史记录等。不同组可以执行不同的防病毒策略。对于工作站和服务器隔离的可疑病毒样本可以集中到一台服务器上处理，实现集中隔离。83、产品的主要技术特点3.1产品的技术特点数字免疫系统可以自动提交病毒威胁，并自动为受感染计算机或整个企业提供解决方案。针对未知病毒的防护，Symantec免费提供扫描和传送(Scan&Deliver)自动防毒解毒机制，通过SymantecSARC病毒防治中心(SymantecAntiVirusResearchCenter)，于最短时间內将文件解毒传回贵公司，过程中无需通过人的联系，所有机制都內建于SymantecAntiVirus软件自动机制中，同时SARC传送追踪编号给用户，让用户收到解决方案，SARC也会利用在过程中输入的信息与用户联络。通过SARC的自动防护机制，赛门铁克给从客户送文件到收到解决方案，最快半个小时之內需要完成。管理平台、服务器、客户端采用基于SSL通讯机制和数字证书加密认证控制台、服务器、客户端通讯采用SSL加密机制，各部件在进行验证和配置更改都通过数字证书验证，确保SCS内部各部件通讯的安全。基于权限角色的管理提供四种权限管理员的系统管理。防止SAV非授权的更改。预防未知病毒的专利技术BloodHound放弃传统的病毒码比对方式，改采赛门铁克专利的启发性技术(HeuristicTechnology)来检测疑似病毒的行为。为赛门铁克防毒软件內建对付未知病毒的标准功能。可检测95%的未知宏病毒可检测90%的未知引导型病毒(集成了来自IBM的技术)可检测80%的未知文件型病毒检测多变形病毒的专利技术9赛门铁克的Strike检测多变形病毒的专利技术通过这一技术，Strike可检测最复杂的多变形病毒或自我变异的病毒，这一技术也使得赛门铁克防病毒研究中心(SARC)分析和修复复杂病毒大大加快，比传统的防病毒扫描引擎要快很多。当今多变形病毒用传统的方法非常难于检测是因为多变形病毒自我变异而失去用病毒特征码来识别的方法，Striker通过创建一个虚拟的计算机，给病毒提供一个虚拟的发作环境来抓获病毒，同时不使病毒对系统造成任何损。一般的防病毒软件对每一个变形病毒采用一个病毒特征码，这样会造成病毒库非常巨大，而且检测效率低，因此对付多变形病毒的Strtike技术不但准确，而且效率高。扩展扫描引擎NAVEX专利技术，升级简单将扫描引擎从扫描软件中分离出来成为一个可迅速以LiveUpdate更新的模块，同时所有赛门铁克防毒软件均共用同一个模块，扫描引擎更新后无须重新启动电脑。扩展扫描引擎技术给用户带来的好处：没有扫描引擎升级的流量升级完病毒码和引擎，不需要重启系统平台升级迁移时，不需要重新安装防毒软件，如Office2000升级到OfficeXP等。只要一次的下载和安装就可以完成病毒定义码和扫描引擎的升级。最短时间內将企业內所有平台之防毒软件，同步更新到最新扫描引擎和病毒定义码，确保用户不受最新病毒的威胁。集中化隔离功能可以实现集中化病毒管理使得管理人员可以将所有不可修复的、受病毒感染的文件转向到一个集中化的服务器，以实现进一步的检测。将病毒从主要的运算环境清除，可以提供更好的防护，并且防止它们在企业内部蔓延。由于能够在提交受宏病毒感染的文件之前就能从其中剥离敏感、专用的数据，它还有助于维护IT的可信10性。LiveUpdate增量在新式更新Liveupdate可以使用户叠加式更新病毒定义码，Liveupd