IT信息科技有限公司防病毒技术方案

防病毒技术方案2012年05月30日目录第一章需求分析..........................................................................................................................21.0内部网络安全分析........................................................................................................31.1问题分析........................................................................................................................3第二章信息安全威胁..................................................................................................................42.1安全威胁分析................................................................................................................42.1.1导致出现大量威胁................................................................................................42.1.2网络内计算机的防病毒软件问题........................................................................42.2防病毒策略实施风险分析............................................................................................5第三章方案部署..........................................................................................................................63.1方案设计描述................................................................................................................63.1.1杀毒软件部署........................................................................................................73.1.2防毒墙的部署........................................................................................................83.1.3建议防毒墙运行维护方案....................................................................................83.2病毒库升级....................................................................................................................8第一章需求分析深圳市邦彦信息技术有限公司，成立于2000年4月，是一家高成长型民营高科技企业，总部设在深圳高新技术园区内，并在北京设立分公司。由于业务上的需要，公司内部办公区域与外部互联网采用物理上隔绝的方式办公，目前深圳总部与北京分公司正计划通过VPN相连接，此外，两个分支机构都有少数几台电脑可以与互联网联通。公司自成立起就一直没有采用安装企业版杀毒软件等方式去有效预防病毒入侵，导致公司内部病毒泛滥，虽然公司与互联网隔绝，病毒没能窃取到公司的机密，但是长此以往也会造成公司网络资源被侵蚀等问题的出现。另外，公司两个分支机构间的数据交换也会加剧病毒的交叉感染。随着邦彦公司业务的增长以及公司网络的建设，建设一个稳定、安全、可靠的基础网络环境显得日益重要。1.0内部网络安全分析在现有内部网络中，公司现在未安装任何的企业杀毒软件，只有极个别的客户端自己安装了免费的杀毒软件，由于个人安装的杀毒软件不统一，没有形成集中管理，也没有即时更新病毒库，导致有很多正常的程序也会被查杀，而一些病毒木马却不能及时的查杀，虽然不会导致资料泄露，但也严重影响内网机器的工作效率；现由于与北京分部对接，这个问题更加急需解决。1.1问题分析面对上述分析，以下问题是需要迫切解决的：l分支机构间病毒的交叉感染；l内部区域病毒还未完全根除；l客户终端上病毒已经根深蒂固。第二章信息安全威胁2.1安全威胁分析仅使用了桌面版的病毒防护软件，未使用其它的病毒防护技术措施，未能构成完整的，立体化病毒防护体系。当终端用户在浏览网页、使用Web服务下载互联网资源的过程中，如果被访问网络资源中包含有病毒、木马、蠕虫等恶意代码，特别是恶意代码如果具备加密、加壳、变形等复杂特性时，可以很轻易的绕过防火墙设备的网络层安全性检查，直接到达终端用户的桌面系统，增加了终端桌面系统感染病毒的风险。而这些含有恶意代码的网络数据，从网络层的角度来说，是合法的、安全的，防火墙设备、IPS设备对于这种应用层数据是无法检查其安全性的。2.1.1导致出现大量威胁l信息被窃l文件服务器传播l邮件服务器传播l客户机感染l网络带宽阻塞l经济损失2.1.2网络内计算机的防病毒软件问题l人员的安全意识l安全技术的复杂性困惑l没有良好的防病毒安全策略，不能构成动态自适应防病毒系统l没有部署针对不同操作系统平台及应用防病毒软件l缺少防病毒中央控管系统l缺少全网病毒代码统一自动更新功能l尚未建立完善的安全制度和制定安全培训机制l缺乏完善的防病毒信息支援体系2.2防病毒策略实施风险分析就信息安全的相关概念和逻辑要求而言，统一安全策略的实施，是保证整个信息系统安全的基石。由于目前整个内部网络中只使用了桌面版病毒防护软件，企业级病毒防护策略的实施是分散的。网络系统管理员难以对全部终端实施统一的病毒防护策略。终端用户的病毒库升级，防病毒软件的运行维护，操作系统的补丁等常规的IT安全运维操作，都依赖于终端用户自己完成。而终端用户的计算机操作水平，信息安全知识、意识参差不齐，造成了实际上没有统一病毒防护策略的现状。由于网络管理员无法了解全网的计算机病毒感染和传播统计情况，使得内部网络中，整体层面的安全策略无法全面实施。以桌面版防病毒软件运行维护为例：l每台终端设备病毒库升级情况l终端设备的系统补丁是否及时l终端设备上的防病毒软件运行情况l终端设备上的防病毒软件对网络数据流的扫描配置等在全网内的各个终端上无法高度统一，从而增加了用户在相互访问数据时，被病毒感染的安全风险。第三章方案部署针对邦彦信息公司的网络环境，建议采用以下方案进行对病毒防范。防毒墙文件服务器杀软A服务器文件服务器杀软B服务器内网杀软A客户端深圳分公司北京分公司外网杀软客户端外网杀软服务器内网杀软B客户端外网杀软客户端3.1方案设计描述为了防止两个分支机构间的病毒交叉感染，首先就要在其中一个分公司的网络出口处部署一台防毒墙，假设部署在深圳分公司，这样深圳分公司的病毒无法传播到北京分公司，同时，北京分公司的病毒也无法进入到深圳分公司。内部对病毒的主动防范与查杀同样重要。由于两个分支机构的业务客户端都较多，而且都与外部互联网隔绝，建议在两个分公司安装不同的杀毒软件，分别管理。同时，不同的杀毒软件具有不同的病毒库，设想这样一个场景：假如在深圳分公司不小心中了一个罕见病毒，该分公司部署的杀毒软件A的病毒库，以及防毒墙的病毒库都还没有能够及时查杀这个病毒，导致这个病毒进入到了北京分公司的网络，而正好这时北京分公司部署的杀毒软件B的病毒库对这个病毒有效，及时地将其清除了。这就从病毒库的全貌性方面保证了内网的安全。对于两个分支机构都有少数几台可以联接外部互联网的终端，我们将其另外统一管理，只在其中一台外网终端部署一台杀毒软件的服务器端，其他的外网终端都部署客户端，这样既保证了全面管理，也避免了资源的浪费。3.1.1杀毒软件部署由于公司内部网络中病毒已经非常严重，而在与北京分部对接的过程中，很有可能会出现病毒库无法查杀某些病毒的情况，所以，我们建议在两个分部对接的过程中，两个分部部署不同的杀毒软件，这样就可以保证病毒库的全面性，再加上防毒墙的病毒库相结合，将形成最为强大的病毒库，确保病毒不会影响整个网络，保证把现在无法查杀的病毒影响降到最低；对于一些上外网的终端，由于他们不访问业务系统，再另外统一安装杀毒软件，由一台杀毒软件服务器集中管理。全方位、多层次防病毒网络级防病毒体系应该部署多层次病毒防线，截断病毒可能传播的各种渠道，如服务器、客户端等，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面防范。集中管理没有集中管理的防病毒系统是不完整的防毒系统。在公司（企事业单位）网络整体防病毒的方案中，我们结合公司（企事业单位）网络结构以及行政管理结构，构建了统一的防病毒集中管理系统，保证了整个防毒产品可以从病毒监控管理中心及时得到更新，同时又使系统管理人员可以在任何时间通过管理控制台对整个防毒系统进行集中管理，使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。确立集中管理与分级管理相结合的原则，既能够保证管理的统一性，又能够做到责权分明；既能够达到病毒防护策略的统一性，又能够实现某一具体网络环境、网络应用服务下的病毒防护策略的具体应用。通过对整个网络防病毒系统病毒日志的统计分析，及时发现病毒爆发疫情状况、网络防病毒系统新的脆弱性。3.1.2防毒墙的部署我们在深圳分公司的网络出口处部署一台防毒墙，在保护好内网的同时，用以隔离外网病毒再次流传进来，同时也可以防止内部的病毒传播出去，避免影响对端分公司网络安全。3.1.3建议防毒墙运行维护方案系统运行状态监控激活系统历史负载日志，设置保存历史负载日志天数为60天。每天监控系统负载情况，绘制当天系统负载分析图并保存。查看当天是否出现系统负载持续保持高于90%的情况。系统病毒防护状态监控每两天查看一次病毒库更新情况，查看病毒库更新是否更新到最新。查看恶意网站库是否更新到最新。查看恶意URL库是否更新到最新。系统病毒日志记录查看当天的病毒日志是否正确记录，病毒记录数据量是否有大的变化。系统病毒事件统计分析报表收集，每天对当天的防病毒日志报表进行收集并保存，对报表中的前十名访问病毒资源的客户机进行重点观察。每天对当天的防病毒日志报表进行收集并保存，对报表中的前十名病毒网站设置URLBlacklist。漏杀病毒应急提交对于漏杀病毒，可将病毒数据文件压缩成zip包，及时提供给厂商，以及时更新病毒库。一般大多数防毒墙默认的病毒库更新时间间隔为1小时，这样可以有效的保证病毒库的及时更新，给您的网络以最及时的安全防护。3.2病毒库升级企业级杀毒软件的常规病毒库升级方式是在服务器端自动进行，前提是服务器端与互联网连接。防毒墙的病毒库升级方法也是一样。而针对邦彦公司与互联网隔绝的特殊情况，常规的升级方法是不可行的，可以采取以下方法。将病毒库的升级交给专人管理，每隔一天或者两天由管理员手动从互联网上下载最新的病毒库下来，再将该病毒库保存到杀毒软件服务器