中国移动防病毒安全规范模板.doc

资源描述

中国移动防病毒安全规范 74 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。密级: 文档编号: 项目代号: 中国移动防病毒安全规范 Version 1.0 中国移动通信有限公司二零零四年十二月拟制: 审核: 批准: 会签: 标准化: 版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系 1 创立、修改、读取负责编制、修改、审核 2 批准负责本文档的批准程序 3 标准化审核作为本项目的标准化负责人, 负责对本文档进行标准化审核 4 读取 5 读取目录第1章目的 1 第2章范围 2 第3章名词定义 3 第4章病毒的发展和危害分析 4 4.1. 当前病毒的发展趋势和特点 4 4.1.1. 病毒技术与系统攻击技术的结合 4 4.1.2. 混合型病毒传播方式多变 4 4.1.3. 电子邮件病毒感染 4 4.1.4. 新病毒爆发时间短 5 4.2. 主要病毒类型和危害分析 5 4.2.1. 引导区病毒 5 4.2.2. 文件型病毒 5 4.2.3. 宏病毒 5 4.2.4. 脚本病毒 6 4.2.5. 网络蠕虫病毒 6 4.2.6. 木马病毒/黑客病毒 6 4.2.7. 病毒的危害分析 6 4.2.8. 病毒的主要传播方式 8 第5章企业的安全风险和对策 9 5.1. 病毒对企业的威胁 9 5.1.1. 桌面终端面临的威胁 10 5.1.2. 服务器面临的威胁 10 5.1.3. 网络面临的威胁 10 5.2. 安全管理面临的压力 11 5.3. 公司病毒防御对策关键要点 11 第6章网络防病毒架构体系建设 15 6.1. 企业防病毒的要点 15 6.2. 集团公司在防病毒体系建设中的地位和作用 16 6.3. 集团总部网络防病毒体系架构建议 17 6.3.1. 集团总部中心集中管理层 18 6.3.2. 终端层 18 6.3.3. 边界层 19 6.4. 各省/直辖市网络防病毒体系架构建议 19 6.4.1. 省中心集中管理层 20 6.4.2. 地市分布层 20 6.4.3. 终端层 21 6.4.4. 边界层 21 6.5. 防病毒工具功能要求与部署建议 21 6.5.1. 中心防病毒控制台与管理服务器 21 功能要求 21 部署建议 22 6.5.2. 防病毒客户端 24 功能要求 24 部署建议 24 6.5.3. 邮件防病毒 25 集成于邮件服务器的防病毒工具功能要求 25 部署建议 26 邮件网关功能要求 27 部署建议 28 6.5.4. Web与FTP防病毒网关 29 功能要求 29 部署建议 30 6.6. 网络防毒系统实现的功能总结 32 6.7. 防病毒运维组织架构要求建议 35 第7章防病毒管理机制建设 37 7.1. 防病毒管理策略要求 37 7.1.1. 信息资产分类与控制 37 7.1.2. 人员安全 38 7.1.3. 系统维护管理 38 7.1.4. 远程办公 39 7.1.5. 防病毒法律和规定 40 7.2. 防病毒管理职责定义要求 40 7.2.1. 各级部门管理职责 40 7.2.2. 各级管理员管理职责 41 7.3. 防病毒管理机制 42 7.3.1. 防病毒文档管理 43 7.3.2. 防病毒软件管理 43 7.3.3. 终端用户计算机防病毒 44 7.3.4. 病毒突发事件应急响应机制 44 7.3.5. 病毒预警机制 46 7.3.6. 防病毒意识培养 47 第1章目的互联网的高速发展, 改变了人们的行为模式甚至思维模式, 催生了很多新的产业, 带来了前所未有的机遇和效率, 企业的日常运作也更加离不开互联网。可是机遇和风险并存, 近年出现的红色代码、尼姆达、求职信等病毒, 表明计算机病毒的传播是不断快速发展、变化的, 其传播范围更加广泛, 病毒传播机制越来越复杂, 给企业带来严重破坏。为规范建设企业防病毒环境、以提高企业的计算机病毒的防范能力, 减低由于病毒事件而造成运作障碍的可能性, 现拟定防病毒体系的建设方法, 作为实际执行指引。第2章范围本规范对中移动集团的网络防病毒架构体系建设和防病毒管理机制建设给出了规范指引。经过分析企业防病毒的风险和对策, 对集团总部和各省/直辖市公司的提出了网络防病毒架构体系建设方法, 包括覆盖全面的层次化的部署方法、防病毒工具功能要求和部署要点、防病毒运维组织架构等相关防病毒环境的建设。为了提高防病毒工作的有效性, 提出加强中移动防病毒管理机制的建设方法, 包括企业防病毒管理策略要点要求、防病毒管理职责定义要求以及防病毒管理关键流程和方法要求。第3章名词定义计算机病毒: 对应用系统会造成影响, 使其使用出现障碍的程序代码。病毒码: 内含各病毒的特征(Finger Print)的文件, 主要是扫毒程序用来作为辨认病毒时的依据。扫描引擎: 防病毒软件的核心程序, 负责比对检查目标文件内是否含有病毒程序代码的特征。扫毒程序: 使用者操作和管理扫描引擎的程序。防病毒软件: 包含扫描引擎及病毒码。病毒警报: 防病毒公司所发出的警告信息, 或由其它可能渠道取得的计算机病毒相关信息。第4章病毒的发展和危害分析 4.1. 当前病毒的发展趋势和特点 4.1.1. 病毒技术与系统攻击技术的结合随着网络的普及和网络技术的发展, 病毒和系统漏洞攻击技术方法不断发展, 而且逐渐融合形成复杂的病毒, 能够攻击系统漏洞, 利用漏洞进行病毒传播, 驻留后门及特洛伊木马程序, 造成系统瘫痪、网络堵塞, 甚至可能因为机器被木马病毒控制造成重要信息失窃。而且针对不同的服务器类型也出现了相应的病毒, 如攻击WEB服务器的红色代码病毒, 攻击邮件服务器的爱丽兹、专门攻击微软SQL服务器的病毒SQL snake, 感染Apache服务器的蠕虫Scalper病毒等。 4.1.2. 混合型病毒传播方式多变病毒利用多种手段和途径进行传播, 如尼姆达病毒利用四种传播途径, 网络共享, 系统漏洞, 浏览网页, 邮件收发都有可能感染病毒。也有利用映射盘、 IRC、 OUTLOOK自动发送功能进行病毒传播的病毒, 病毒体可能是由一组或多个文件组成的, 病毒感染系统后, 在系统内有多种变形, 增加了病毒清理的难度。病毒的传播能力越强, 生存机率、危害能力就越大。 4.1.3. 电子邮件病毒感染电子邮件病毒已经成为计算机用户感染病毒的常见形式。病毒制造者利用人们麻痹大意和缺乏安全意识的弱点造成病毒感染。现在的带毒邮件都有很吸引人的主题, 或者带有色情图片, 如求职信、送密码、 MYLIFE等病毒, 很容易使人上当, 用户一点立即感染病毒。而且病毒还经过查找电子邮件通信列表, 将带毒邮件发送到其它相关的人员, 进一步扩大攻击的范围。 4.1.4. 新病毒爆发时间短近来, 新型病毒的爆发的速度、强度都极大的增强, 例如红色代码、尼姆达、求职信等多途径传染性极强的病毒, 在网络非常发达的今天, 能够在短时间内, 经过网络快速传播, 往往计算机用户来不及反应, 就已经受到了病毒的感染。 4.2. 主要病毒类型和危害分析 4.2.1. 引导区病毒这类病毒隐藏在硬盘或软盘的引导区, 当计算机从感染了引导区病毒的硬盘或软盘启动, 或当计算机从受感染的软盘中读取数据时, 引导区病毒就开始发作。一旦它们将自己拷贝到机器的内存中, 马上就会感染其它磁盘的引导区, 或经过网络传播到其它计算机上。 4.2.2. 文件型病毒文件型病毒寄生在其它文件中, 常常经过对它们的编码加密或使用其它技术来隐藏自己。文件型病毒劫夺用来启动主程序的可执行命令, 用作它自身的运行命令。同时还经常将控制权还给主程序, 伪装计算机系统正常运行。一旦运行被感染了病毒的程序文件, 病毒便被激发, 执行大量的操作, 并进行自我复制, 同时附着在系统其它可执行文件上伪装自身, 并留下标记, 以后不再重复感染。 4.2.3. 宏病毒它是一种特殊的文件型病毒, 一些软件开发商在产品研发中引入宏语言, 并允许这些产品在生成载有宏的数据文件之后出现。宏的功能十分强大, 可是便给宏病毒留下可乘之机。 4.2.4. 脚本病毒脚本病毒依赖一种特殊的脚本语言( 如: VBScript、 JavaScript等) 起作用, 同时需要主软件或应用环境能够正确识别和翻译这种脚本语言中嵌套的命令。脚本病毒在某方面与宏病毒类似, 但脚本病毒能够在多个产品环境中进行, 还能在其它所有能够识别和翻译它的产品中运行。脚本语言比宏语言更具有开放终端的趋势, 这样使得病毒制造者对感染脚本病毒的机器能够有更多的控制力。 4.2.5. 网络蠕虫病毒网络蠕虫程序是一种经过间接方式复制自身非感染型病毒。这种病毒的公有特性是经过网络或者系统漏洞进行传播, 比如冲击波( 阻塞网络) , 小邮差( 发带毒邮件) 等。有些网络蠕虫拦截E-mail系统向世界各地发送自己的复制品; 有些则出现在高速下载站点中传播自身。它的传播速度相当惊人, 成千上万的病毒感染造成众多邮件服务器先后崩溃, 给人们带来难以弥补的损失。 4.2.6. 木马病毒/黑客病毒木马病毒一般是指伪装成合法软件的非感染型病毒, 但它不进行自我复制。木马病毒的公有特性是经过网络或者系统漏洞进入用户的系统并隐藏, 然后向外界泄露用户的信息; 而黑客病毒则有一个可视的界面, 能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的, 即木马病毒负责侵入用户的电脑, 而黑客病毒则会经过该木马病毒来进行控制。最常见的木马便是试图窃取用户名和密码的登录窗口, 或者试图从众多的Internet 服务器提供商( ISP) 盗窃用户的注册信息和账号信息。 4.2.7. 病毒的危害分析干扰计算机系统正常工作非恶性病毒能够对计算机系统造成干扰、修改系统信息, 不会造成硬件损坏、数据丢失等严重后果。这类病毒入侵后系统除了不能正常使用之外, 别无其它损失, 系统损坏后一般只需要重装系统的某个部分文件后即可恢复, 当然还是要杀掉这些病毒之后重装系统。恶意破坏计算系统恶性病毒比上述病毒损坏的程度要大, 如果是感染上这类病毒, 系统就要彻底崩溃, 根本无法正常启动, 可能对系统留在硬盘中的有用数据也可能随之不能获取, 轻一点的还只是删除系统文件和应用程序等。更恶劣的病毒还能够破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表, 造成系统根本无法启动, 有时甚至会格式化或锁死硬盘, 使用户无法使用硬盘。如果一旦染上这类病毒, 系统就很难恢复了, 保留在硬盘中的数据也就很难获取了, 所造成的损失是非常巨大的。盗窃机密信息这类病毒的目的是获取感染病毒系统中的机密信息, 例如木马病毒, 一旦其感染系统后能够监视系统, 收集系统的帐户密码( 例如游戏帐号密码, 甚至是信用卡帐号信息等) , 病毒将这些机密信息发送到攻击者的系统中。有些黑客病毒潜伏在系统中, 接受远程攻击者的控制, 直接获取被感染系统的控制权。系统崩溃和网络阻塞这类病毒利用网络系统漏洞或者用户的疏忽达到利用网络进行繁殖和攻击的目的, 比如网络蠕虫病毒, 利用电子邮件传播蠕虫病毒, 或者是利用网络系统( 如 Windowns服务器) 的系统漏洞进行蠕虫攻击传播。一旦系统感染病毒后, 病毒利用该系统对外部网络疯狂进行传播和攻击。造成系统资源耗尽和崩溃, 企业内部网络和互联网络被大量的传播攻击而阻塞。 4.2.8. 病毒的主要传播方式 l 文件拷贝。许多系统感染病毒是由于从不可信的系统或存储介质中拷取被感染的文件而造成的。用户在拷取文件时, 没有查杀病毒, 直接打开或运行了带有病毒的文件, 从而造成了病毒的感染。 l 经过共享资源。病毒先传染网络中一台工作站, 在工作站内存驻留, 经过查找网络上共享资源来传播病毒。 l 电子邮件感染。电子邮件成为了病毒感染最频繁的一种方式。大量带有病毒的电子邮件, 有些甚至伪装成为来自可信的系统管理员或官方服务的信件。如果用户没有病毒安全意识, 打开了电子邮件中带有病毒的附件, 就会造成系统感染病毒。有些病毒能够使用从受感染系统中获取的电子邮件地址, 将其自身转发到其它受害者, 制造更多的垃圾邮件。 l Web浏览或FTP下载。恶意的攻击者会利用用户客户端浏览器的漏洞或设置不当, 引诱用户浏览或者下载某些带有病毒的内容。一旦病毒被激活, 将会进行种种破坏活动, 如修改一些文件的关联, 导致OFFICE软件、任务管理器、注册表编辑器等程序无法使用; 破坏资源管理器, 只要用户打开四层以上的目录, 病毒就会自动关闭”资源管理器”; 干掉含有”杀毒”字样的窗口, 因此会造成一些反病毒软件及病毒专杀工具无法使用、一些反病毒公司的主页无法登陆等现象。 l 利用系统的漏洞进行网络传播。恶意软件更经常利用系统的漏洞进行传播, 这可使恶意代码传播得更快。例如冲击波病毒, 利用微软RPC漏洞在短短几天之内感染了国内几乎所有使用WinNT/ /XP/ 的联网计算机。感染后的计算机出现粘贴、复制功能失效, 不断提示重启, 不能正常上网等现象, 系统很快随之崩溃。第5章企业的安全风险和对策企业级防病毒体系要有针对企业的桌面终端、文件服务器、邮件服务器、网络等提供全方位、多层次的安全防护。中移动公司这种大型的企业的IT环境具有以下的特点: l 企业网络规模较大, 信息化程度达到较高的程度, 对计算机网络有相应依赖性, 网络分散分布; l 企业使用计算机支持核心业务、日常办公、工作管理, 计算机用户众多; l 对整个网络实施统一管理、统一规划。企业的大量存在及其网络的复杂性, 会同上面所叙述的计算病毒发展的趋势, 必然要求企业在做好信息化建设过程中能够重视信息安全建设, 以提高企业的整体信息安全、网络办公效率等。 5.1. 病毒对企业的威胁根据公司的行业、性质、系统特点来看, 计算机网络信息化程度是相对较高的, 在办公方式上要求必须采纳高度的信息化设施才能满足, 同时用户本身具备相应的经济实力来配备。一般的来说, 企业在信息化方面所做的投入较高, 计费、办公、管理等业务必须依赖先进的计算机通讯设施。处理事务上, 一旦某一数据服务器、工作站发生数据丢失、死机、网络中断、网络阻塞等, 给公司所带来的损失不可估量的。网络中服务器一旦死机、或数据阻塞, 给业务带来损失不可估量。公司网络有多个子域网或跨地域的网络分支, 成块状的集中形式, 这不但仅需要在单个系统的防病毒做努力, 更需要在管理上下功夫, 对网络的客户端工作站、服务器进行个性化防御, 对全网络进行统一管理、统一监控。 5.1.1. 桌面终端面临的威胁病毒感染的工作站是受害的直接对象, 感染病毒可能导致系统无法正常工作或数据破坏等直接损失, 影响办公效率是病毒破坏的最直接表现; 病毒如果破坏用户数据会更糟糕, 如破坏工作计划、会议记录、一些重要文档等, 这些损失都是不可估量的。 5.1.2. 服务器面临的威胁网络病毒的传播主要经过一些应用服务器如文件服务器、打印服务器、邮件服务器、数据库服务器、代理服务器等, 可能导致服务器瘫痪或数据破坏, 服务器无法工作会影响一片甚至导致整个网络用户无法工作, 而数据遭到破坏常会给单位带来致命的打击, 如企业工资纪录、账单、企业运营的核心程序、客户数据库等。在这些服务器当中, 需要重点考虑的是文档服务器和邮件服务器。文档服务器为企业网中所有工作站或客户端提供文件资源共享, 进而成为病毒理想的隐身寄居场所, 病毒可轻易扩散到网络中的其它客户端或服务器上, 必须严加防范。邮件服务器的病毒防护是至关重要的, 现在流行的极有破坏力的病毒都是经过电子邮件进行传播。在邮件服务器上对邮件及邮件附件病毒进行拦截, 从抑止邮件病毒的传播。 5.1.3. 网络面临的威胁病毒对企业网络具有极大的威胁。特别是对于严重依赖网络开展业务的中移动集团, 病毒的肆虐将会对企业造成严重的业务影响。具有高速传播和网络攻击能力的病毒, 能够造成企业有限的网络贷款被拥挤, 导致网络瘫痪。比如红色代码病毒CODERED就是典型导致网络瘫痪的病毒, 大面积感染CODERED会让网络交换机、路由器、服务器严重过载瘫痪。企业内外网络的出入口, 成为了病毒感染和传播的要道。经过电子邮件、 Web或者FTP等方式, 大量的病毒从外部网络拥入企业内部。这些病毒将造成了内部用户终端和服务器的极大威胁。另外病毒破坏其它网络群组服务器: 如Notes邮件群组服务器、 WEB群组服务器、 FTP群组服务器, 数据库存储群组服务器, 让这些服务器充斥大量垃圾, 导致数据性能降低。病毒在网络中大面积的传播破坏, 给网络运行造成极大危险, 严重影响生产、办公、营业, 建立有效的病毒防护体系相当重要。 5.2. 安全管理面临的压力公司的防病毒安全管理工作面临着防病毒管理职责不明确或没有落实、防病毒管理规范不完善、用户防病毒意识不高等问题。这造成了公司防病毒工作方面的压力不但要去解决各种由于病毒而引起的问题, 还要负责计算机使用者的病毒教育工作、以及病毒事故处理工作。在管理过程中, 往往没有有效的安全管理机制, 无法有效的进行安全管理和安全监督, 对企业计算机用户的防病毒状况的掌握具有困难, 对严重的安全事件缺乏预警机制, 一旦发生重大的病毒事件, 无法组织有效的控制和处理。 5.3. 公司病毒防御对策关键要点公司病毒的防御所涉及到的不但仅是一般的病毒查杀、软件使用问题, 而是企业信息系统建设过程中所面临的一系列问题, 包括从防病毒架构体系建设、防管理管理机制的完善两个方面进行公司病毒防御。也就是在技术层面建立覆盖全面的防病毒技术手段, 在管理层面上完善防病毒的管理策略和管理制度。病毒防御对策要点: 1) 防毒须涵盖所有企业据点防毒软件所涵盖的范围直接影响了防毒能力的强弱, 对于象中移动这样的全国性企业, 如果其中一个局域网没有做好防毒工作, 则该局域网势必成为病毒散播的温床, 加上同属一个企业体, 即使不同地区但存取内部网络的权限依然存在, 因而导致其它局域网受感染的机率也大大的增加。 2) 完整解决方案与专业技术支持一个完整的企业防毒方案必须包含个人计算机端、文件服务器、邮件服务器及Internet 网关( Gateway) 而且由一个具有中央管理( Central Control) 能力的系统来统筹管理。 3) 网关安装防毒软件最有经济效益 Internet 网关为企业与外界沟通的唯一渠道, 因此在网关安装防毒软件是最有经济效益的防毒方式。Internet 网关防毒是防护以下三个主要的通讯协议”http”、 ”ftp”、 ”smtp”。其中”http”防护功能可扫描任何经过网页浏览器所浏览的内容或是下载的文件: ”ftp” 防护功能则是针对任何以FTP通讯协议传输的文件加以过滤, 以防止含有病毒的文件被下载; 而”smtp” 防护功能则针对所有进出企业内部的e-mail自动进行扫描检查。 4) 防止企业内部因为e-mail及文件交换中毒在Internet网关设置病毒检查哨固然能够防止病毒从外部进入企业, 可是对于企业内部员工彼此间的e-mail传送或资料交换可能成为病毒散播的主要管道却是一点办法也没有, 原因是这些e-mail或资料交换既不需要也不会经过Internet 网关, 但每天数以百计千计的e-mail在邮件服务器中进进出出, 理所当然的成为病毒散播最方便也最为快速的渠道, 因此企业内部邮件服务器及文件服务器的防毒就显得格外重要。 5) 个人计算机最后一道关卡打从第一只计算机病毒问世以来, 个人计算机一直是病毒的主要传播媒介, 因为个人计算机可和外界的沟通的太频繁也太广泛了, 从固定式的储存装置、 Internet下载到点对点连接, 都是计算机病毒得以入侵的渠道。因此, 个人计算机端的防毒更也不可省。 6) 建立病毒安全管理机制在网络宽带时代不论是企业甚至个人, 许多计算机都已经处于”( 固接) Always On”的状态, 面对未来可能急剧演变的计算机病毒环境, 我们必须更主动的做好各项准备, 例如经常检查操作系统及应用程序是否有安全性漏洞并更新安全性补丁程序, 但更重要的是企业本身必须建立起一套”防毒政策”, 而且贯彻整个执行面才有办法做到有效防毒, 否则若单纯只靠防毒软件而企业内部人员没有足够的警觉性, 一旦公司内部病毒爆发, 而又没有一个有效率的紧急应变措施, 那可就真的后悔莫及了。 7) 制订病毒事件处理程序在整个企业防毒政策中”什么时间该做什么事”是整个政策中最重要的一环, 简而言之, ”事”指的就是处理流程。诸如此类和防毒相关的处理流程, 往往只会出现在防毒软件公司。若是企业内部也能够根据需求设计自己的紧急处理程序、网络政策( 例如不支持公司外部POP3 电子邮件通讯协议存取服务及强制安装防毒软件并禁止卸载) 及落实教育训练或实施不定期演习来加强企业内部对病毒爆发的警觉性, 并提供内部员工面对病毒感染基本的处理程序( 如: 1. 立即拔除网络线 2.关闭电源 3.通知IT人员) , 都有助于企业对付未来可能的病毒入侵做好准备。 8) 争取急救第一时间 ”时间点”和上述的程序有着密切的关系, 现今病毒爆发的速度都连一秒千里都不足以形容, 对于大型企业而言, 若是遭遇到自动发送电子邮件型态的病毒 ( 如爱虫) , 不用几个小时就能够制造出成千上万带有病毒的垃圾邮件, 因此每一分一秒在病毒爆发的时候都是珍贵无比, 定义正确的处理程序以及每个时间点( Checkpoint) 所必须完成的事( Milestone) , 如此才不致于自乱阵脚, 而错失原可阻止灾害的第一时间。 9) 选择适当的防毒伙伴, 安全管理事半功倍选择对适当的防毒产品能够在最短时间内引导企业做好可能的防护措施, 除此之外, 防毒软件公司的技术服务人员及顾问也是关键。特别是在病毒爆发的时候, 如何在第一时间和防毒软件公司的技术服务人员连系, 取得有效的支持是致胜的关键, 一般较好的防毒软件公司能够提供比如Premium Support Program 企业专属咨询服务, 提供7天24小时的全天候服务给有此需求特别的客户。第6章网络防病毒架构体系建设 6.1. 企业防病毒的要点企业防病毒架构体系建设, 包括了防病毒工具软件的选择以及部署的方式。根据当前病毒技术的特点, 中移动集团的防病毒架构的要点为: 1) 多层次、覆盖全面从技术架构方面, 防毒一定要实现全方位、多层次防毒。建议集团总部、各省/直辖市公司在建设防病毒体系结构时, 部署了多层次病毒防线, 分别是各种应用服务器防毒( Windows NT/ , Unix, Linux, NOVELL) 和客户端防毒, 保证斩断病毒能够传播、寄生的每一个节点, 监视从外部环境引入病毒的网络途径, 实现病毒的全面防范。防病毒架构应该覆盖: · 客户端。所有的客户端系统必须根据公司统一规范, 安装客户端防病毒软件。 · 服务器。网络中的所有服务器如文件服务器、应用服务器等等, 均需要安装相应的防病毒软件。 · 邮件服务器。电子邮件系统必须安装为具有清除邮件正文中病毒能力的邮件防病毒系统。 · 部署支持HTTP、 FTP、 SMTP通信协议的网关防病毒部件, 保护计算机用户免受因互联网络活动的感染病毒。 2) 防毒及时病毒、蠕虫常常会利用计算机软件中的已知漏洞。一般, 这些利用发生在发现并宣布漏洞一段时间后。发现漏洞和特定威胁利用该漏洞之间的时间一般称为”漏洞威胁窗口”。随着电子商务、协作和控制关键基础架构( 如发电) 对互联网依赖的增加, 已经开始向具有特定目标和动机的、更”专业”的攻击者演变, 从而导致更短的漏洞威胁窗口。攻击者的资金越充分, 就有越多的资源能够用来发现新漏洞并快速创立相关的威胁。这将最终导致在相关漏洞刚刚出现就创立并发布对漏洞的利用, 使组织根本没有时间响应, 这种情况下就出现了”零日”威胁。因此防病毒体系的及时更新保持有效防御是非常重要。有效的安全极大的取决于防病毒体系能够及时进行安全工具更新与配置, 以及企业迅速响应威胁的能力。针对大范围内多点产品管理产品更新和配置更改, 是一项挑战性日益增加的任务。如果未应用更新防病毒, 或者未能及时应用, 则企业的关键系统和数据就容易受到攻击。 3) 统一管理对于大型企业来说, 没有集中管理的防病毒体系是难以有效发挥作用的防毒体系。建议在中移动范围内, 根据实际的情况, 建立局部范围内统一集中的基于网络的防病毒架构体系。在局部保证了整个防毒体系集中统一的管理, 能够有效的管理防病毒系统中及时更新, 同时又帮助管理人员能够统一对整个防毒系统进行管理监督, 使整个系统中任何一个节点都能够被管理人员随时管理, 保证整个防毒系统有效、及时地拦截病毒。根据中国移动的情况来讲, 应以各省或者直辖市为单位, 在各省或者直辖市的信息化责任部门设立省或者直辖市内统一的防病毒管理中心, 由专门的防病毒管理人员经过防病毒中央控制台, 对分布在省或者直辖市内网络中的防病毒部件进行统一管理控制。 6.2. 集团公司在防病毒体系建设中的地位和作用集团公司在防病毒架构体系建设中起到规范标准化、建设指导和监督者的作用。 l 经过制定中移动统一的防病毒架构体系建设规范, 为各省/直辖市的防病毒架构建设和改进提供了规范性的指导建议。包括: ² 分层次的防病毒体系架构; ² 各个层次防病毒工具功能和部署; l 经过制定中移动防病毒的管理制度和管理机制规范, 指导和规范各省/直辖市的防病毒管理工作。包括: ² 制定公司的防病毒管理策略; ² 防病毒运维组织架构; ² 防病毒管理职责定义; l 监督各省/直辖市的防病毒工作, 定期以安全审计检查的方式监督下属公司的防病毒体系建设和管理工作是否到位。 6.3. 集团总部网络防病毒体系架构建议集团总部网络防病毒体系架构示意图集团总部范围内建立统一的防病毒管理体系, 采用分层的管理模式。在集团总部建立防病毒管理中心, 覆盖总部范围内的各个部门: ü 第一层: 集中管理层。成立集团总部的统一防病毒管理中心。这个层次经过防病毒中央控制台统一管理集团总部的防病毒事务, 负责集团总部防病毒架构的工作策略配置的制定和分发。部署防病毒服务器, 负责对各个部门的桌面工作站或文档服务器的防病毒控制。 ü 第二层: 各部门的终端层。这个层次分布于集团总部内网的各个节点, 数量众多, 经过防病毒软件进行病毒监视和防护。桌面工作站和文档服务器接受中心防病毒服务器的直接管理。 ü 边界层: 网关防病毒。这个层次分布于集团网络出入接口, 在这些外部网络接入点部署邮件防病毒过滤服务器、 Web防病毒过滤服务器、 FTP防病毒过滤服务器。这些边界防病毒过滤服务器接受集团总部防病毒管理中心的统一管理。 6.3.1. 集团总部中心集中管理层在集团总部内部部署统一的防病毒控制台和一级病毒服务器, 建议在监控中心部署。功能是对集团总部内的服务器、客户端、邮件服务、互联网访问服务进行统一的防病毒管理和监控。部署一级病毒服务器, 管理集团办公网防病毒系统, 一级病毒服务器负责防病毒系统的工作策略的制定, 更新病毒代码、扫描引擎, 而且分发到下属各个部门的防病毒客户端。另外需要部署防病毒控制台, 使得安全管理员能够对集团内部范围内防病毒状况进行统一监控, 包括病毒报警和汇总统计, 能够根据IP地址分布定义相应的报表实现。 6.3.2. 终端层第二层是在集团总部移动范围内的防病毒客户端, 建议所有的工作站、个人计算机以及服务器统一安装防病毒客户端软件。防病毒客户端软件按照下发的工作策略对工作站、个人计算机和服务器进行防病毒保护, 包括定期病毒扫描、文件系统实时保护, 而且向上级的病毒服务器报告病毒事件。 6.3.3. 边界层在集团总部统一网络出入接口, 部署边界防病毒过滤服务器。建议集团总部根据实际情况, 统一规整外部网络的接入点, 包括互联网接入点、第三方合作单位网络接入点。在这些外部网络接入点部署邮件防病毒过滤服务器、 Web与FTP防病毒过滤服务器。这些边界防病毒过滤服务器接受集团总部中心的统一管理, 包括工作策略配置、病毒特征和扫描引擎更新、病毒监控。 6.4. 各省/直辖市网络防病毒体系架构建议各省/直辖市网络防病毒体系架构示意图各省/直辖市建立统一的防病毒管理体系, 采用分层的管理模式。以各省或直辖市总部为中心, 覆盖下属各个地市, 分为三层结构: ü 第一层: 集中管理层。成立统一防病毒管理中心。这个层次经过中央控制台统一管理企业的防病毒事务, 负责省防病毒架构的工作策略配置的制定和分发。 ü 第二层: 分布层。部署二层防病毒服务器。这个层次具有多个分布在不同地市部门的防病毒服务器, 负责局域网内桌面工作站或者文档服务器的防病毒控制。防病毒服务器接受第一层的防病毒管理中心的统一管理控制。 ü 第三层: 终端层。这个层次分布于网络的各个节点, 数量众多, 经过防病毒软件进行病毒监视和防护。桌面工作站和文档服务器接受二层防病毒服务器的直接管理。 ü 边界层: 网关防病毒。这个层次分布于网络出入接口, 在这些外部网络接入点部署邮件防病毒过滤服务器、 Web防病毒过滤服务器、 FTP防病毒过滤服务器。这些边界防病毒过滤服务器接受省/直辖市中心的统一管理。 6.4.1. 省中心集中管理层最高层部署统管全省/直辖市的防病毒控制台和一级病毒服务器, 建议在各省移动中心部署。功能是对本省/直辖市内的服务器、客户端、邮件服务、互联网访问服务进行统一的防病毒管理和监控。各省/直辖市根据需要部署一级病毒服务器, 分别管理办公网、承载网、业务网的防病毒系统。一级病毒服务器负责防病毒系统的工作策略的制定, 更新病毒代码、扫描引擎, 而且分发到二级病毒服务器。另外需要部署防病毒控制台, 使得安全管理员能够对省/直辖市范围内防病毒状况进行统一监控, 包括病毒报警和汇总统计, 能够根据各个地市不同的IP地址分布定义相应的报表实现。 6.4.2. 地市分布层第二层则根据实际情况在下属地市部署二级病毒服务器, 建议根据客户端密集情况选择适当的地市进行部署。这个层次的功能是扩展最高层的防病毒安全策略和病毒特征、扫描引擎的更新, 收集下层防病毒客户端的状态和病毒告警。二级病毒服务器负责将一级病毒服务器传达的工作策略和程序更新, 分发到下属的防病毒客户端。此层次视具体情况而设定, 如某地市客户端密集, 则需要设置多台二级服务器; 如客户端很少, 能够和其它地市共用同一个二级服务器。 6.4.3. 终端层第三层是在省/直辖市移动范围内的防病毒客户端, 建议所有的工作站、个人计算机以及服务器统一安装防病毒客户端软件。防病毒客户端软件按照下发的工作策略对工作站、个人计算机和服务器进行防病毒保护, 包括定期病毒扫描、文件系统实时保护, 而且向上级的病毒服务器报告病毒事件。 6.4.4. 边界层在省/直辖市统一网络出入接口, 部署边界防病毒过滤服务器。建议各省/直辖市根据实际情况, 统一规整外部网络的接入点, 包括互联网接入点、第三方组织网络接入点。在这些外部网络接入点部署邮件防病毒过滤服务器、 Web与FTP防病毒过滤服务器。这些边界防病毒过滤服务器接受省/直辖市中心的统一管理, 包括工作策略配置、病毒特征和扫描引擎更新、病毒监控。 6.5. 防病毒工具功能要求与部署建议 6.5.1. 中心防病毒控制台与管理服务器功能要求实现统一集中的管理, 如防病毒软件的安装、维护、病毒定义码和扫描引擎的更新升级、网络防病毒策略的配置、报警的集中管理、定时调度、隔离、实时扫描和监控等。 l 强大、灵活的管理和任务调度手段, 允许管理员经过中心控制台, 集中地实现全网范围内防毒策略的定制、分发和执行。 l 允许管理员经过控制台, 集中地实现所有节点上防毒软件的监控、配置、查询等管理工作。能够经过控制台看到客户端的病毒版本、查杀毒记录及各种日志信息。 l 负责病毒扫描引擎和代码库的更新, 并能将此扫描引擎和代码库自动提供给各种服务器和工作站。 l 提供多种软件安装和软件升级的手段, 必须提供远程安装客户端、基于WEB的软件安装和手动、定时病毒库版本升级功能, 以方便管理, 节省劳动成本。 l 提供远程病毒报警手段, 网内任何一台计算机上发现病毒时, 杀毒软件自动将病毒信息传递给网络管理员。 l 灵活的管理方式, 能够支持集中和分步式管理, 分步式管理能够跨越广域网, 跨广域网时需要有效地利用带宽。 l 支持多级中心管理, 各子网能够有单独的控制中心来管理, 事项管理任务分担。而有一个控制中心进行整体监控。 l 分组管理: 管理员能够按照自己的需要对所有的网络终端结点进行任意分组。可将不同物理地点的服务器分组, 对于客户端也可根据配置的需要分组, 包括设置客户端密码、实时监控客户端配置、统一刷新客户端状态、统一发送广播、查询历史记录等。不同组能够执行不同的防病毒策略。 l 对于工作站和服务器隔离的可疑病毒样本能够集中到一台服务器上处理, 实现集中隔离。部署建议 l 中心防病毒控制台和一级服务器部署于集团总部、各省或者直辖市的计算中心内; l 二级服务器部署在地市的计算中心内; l 根据各省/直辖市公司的实际情况, 对处于不同网络的防病毒管理服务器的客户端进行分组。在每个分组内, 委派专属的管理员进行安全策略的制定和维护, 以及对组内的服务器和客户端进行监控。 l 经过防病毒控制台对分组内一级服务器以及在各个地方的二级防病毒服务器进行统一管理, 并经过下属各个地方的防病毒服务器管理分布在网络中的桌面计算机和服务器的防病毒客户端, 实现对防病毒软件的病毒代码、扫描引擎、升级程序、预防策略的集中分发、管理。 l 在省中心经过中心控制台对邮件防病毒系统、网关防病毒系统进行统一管理, 实现内容防病毒软件的病毒代码、扫描引擎、升级程序、预防策略、垃圾邮件列表的集中分发、管理。 l 中心控制台集中获得防病毒系统的日志信息, 创立

展开阅读全文