XXX网络安全预警技术方案.docx

资源描述

瑞星网络安全预警系统解决方案北京瑞星信息技术有限公司 2012年XX月XX日 XXX网络安全预警系统解决方案目录 1 计算机病毒发展新趋势 1 1.1 计算机病毒发展新动向 1 1.2 病毒传播带来的威胁 2 2 防病毒需求分析 3 2.1 网络现状 3 2.2 安全风险分析 4 2.3 防病毒需求分析 5 3 防病毒方案设计 6 3.1 实现目标 6 3.2 设计原则 6 3.3 设计思想 7 3.4 参考标准 7 3.5 设计方案 8 3.6 产品部署方案 9 3.6.1 瑞星防病毒体系部署示意图 9 3.6.2 瑞星网络版杀毒软件部署 9 3.6.3 瑞星防毒墙部署 11 4 方案实施后可达到的效果 12 5 瑞星技术支持体系 14 6 附件：瑞星产品技术白皮书 15 6.1 瑞星杀毒软件(网络版)技术白皮书 15 6.1.1 瑞星杀毒软件网络版概述 15 6.1.2 瑞星集中安全管理主要功能 16 6.1.3 主要技术特点 22 6.1.4 瑞星杀毒软件网络版的升级管理 24 6.2 瑞星防毒墙技术白皮书 25 6.2.1 瑞星防毒墙功能介绍 25 6.2.2 瑞星防毒墙技术参数 33 北京瑞星信息技术有限公司 1 前言 1.1 网络安全趋势随着信息技术的迅猛发展，信息网络已应用于社会各个行业，信息产业已成为国民经济的重要支柱产业，信息技术和网络技术正向政治、经济、军事、文化等各个领域广泛渗透，极大地促进我国各个领域的发展和社会进步，也丰富了人们的生活。同时，黑客攻击、病毒侵害等给信息网络特别是关系国计民生的国家基础设施信息网络等重点信息网络造成了严重的安全威胁，成为了威胁网络安全的一大公害。当前的计算机病毒和黑客攻击行为具有以下特点： n 具备网络特性是当前计算机病毒和黑客行为的第一大特征当前，像蠕虫、木马/黑客、脚本等类型的病毒，它们都具有网络传播的特性，通过网络进行传播并实施侵害行为。目前的很多online Game病毒都具有ARP欺骗的发生，一旦在网络中传播、蔓延，很难控制，它们不但盗取用户信息，同理还在网络中大网发送ARP欺骗，阻塞网络甚至网络瘫痪。 n 当前计算机病毒和黑客攻击行为大多是利用软件系统的漏洞漏洞是软件系统致命的安全缺陷，如果系统存在漏洞，即使有杀毒软件的保护，病毒或者攻击依然可以长驱直入，对系统造成破坏。利用漏洞进行的病毒和攻击的扩撒速度远远大于传统病毒。最近很多病毒通过微软的MS07-017和MS08-067等漏洞进行挂马，同时演变到利用时下最为流行的应用软件漏洞进行挂马。这其中包括一些播放器软件漏洞、聊天工具漏洞、网络电视软件漏洞、甚至连一些常用的下载工具的漏洞都会成为病毒的传播途径。联众游戏漏洞、超星阅读器0-Day漏洞、迅雷0-Day漏洞、PPlive 0-Day漏洞，已经成为应用软件网页挂马病毒的一些重要漏洞，这病毒越来越成为主流病毒，同时传播非常快。 n 病毒和攻击向多元化、混合化发展随着操作系统及各种软件的发展，病毒和攻击也在不停地发展，混合型病毒和攻击越来越多，成为趋势。如非常流行的“熊猫烧香”病毒。 1.2 安全是风险管理风险管理作为企业管理的三个要素之一，地位是非常重要的。安全风险导致威胁和系统脆弱点的产生，威胁可以利用暴露的脆弱点，降低企业的资产价值，并对潜在因素产生影响。如何控制风险，就需要通过包括风险评估、风险控制和风险降低的一系列风险管理来实现。信息安全要考虑投入和收益。信息安全的投入是相当大的，如果安全投入和实现安全之后所带来的收益不匹配，投入将毫无疑义。 1.3 安全是相对概念信息系统安全不但与不断变化的需求联系紧密，同时也与不断发展的信息技术关系密切。 Ø 首先，信息系统的新业务需求和业务新需求是不断的，安全是相对于现有需求的。 Ø 其次，互联网技术和信息技术是不断发展的，是安全攻击方式和手段层出不穷，可利用并作为攻击的漏洞也越来越多。 Ø 此外，安全包括技术的和非技术的因素。我们不能简单认为通过技术手段就可以保证安全。相对来说，非技术因素的考虑（安全管理）对于全面的信息安全建设是不可缺少的。因此，掌握最新的安全知识和技能，提高人员的安全意识和安全技能，才是构建全面安全的必要措施。 1.4 安全是动态过程计算机只要是用于商业应用就会存在安全问题，我们认为安全是一个动态的过程，不是一成不变的。 Ø 新的系统、新的应用层出不穷。即使采购了安全产品、实施了安全管理、制定了安全策略也不能说系统在某些方面基本没有安全问题。因为协议服务固有的问题、主机配置的复杂性、软件开发过程中产生的漏洞随时都有可能导致漏洞和脆弱性的产生。因此，要不断地跟踪最新的安全信息，对系统进行评估，并不断地加固计算机系统。 Ø 安全产品除了拥有全面的特征库外，还需要制定合理的策略，策略需要根据安全技术的发展进行动态地调整。同时，要尽量保持产品的版本和特征库更新，管理上随着安全的发展灵活改进。 Ø 非技术因素带来的安全问题，比如人员流动、技术操作不规范、责任不明确等，也会对网络系统的安全构成极大的风险。 1.5 安全是保障体系信息安全的技术在不断发展，从早期的通信保密，发展到关注信息安全的保密、完整、可用、可控和不可否认的信息安全，今天发展到信息保障。单纯的保密和静态的保护已经不能适应今天的需要了。信息保障技术框架提出保障信息安全必须考虑保护、检测、反应和恢复四个动态反馈的环节。保障体系采用深度防御方式，目的是能够使攻破一层或一类保护的攻击行为无法破坏整个信息基础设施。图 1 信息安全保障技术框架 1.6 信息安全建设必要性 XXX办公自动化工作经过近年来的努力,取得了可喜的进展。一是计算机应用普及率大幅度提高,办公业务管理和信息管理系统已经普遍建立和使用,办公电脑化、网络化正在逐步推进。二是办公网络建设步伐加快,许多单位已建成支持办公业务的内部局域网络,一些部门上下联网初具规模,纵向联网等到广泛发展。三是初步形成了业务应用的数据库体系,积累了一定的电子信息资源。注重应用系统和信息资源开发,开通网上综合业务,实现办公业务的规范化、电子化、网络化,全面提高工作质量和工作效率,改善指挥调度手段,增强快速反应能力,为各单位提供多媒体通信服务、综合信息服务和决策支持服务,促进管理现代化、决策科学化等方面的发展。 2 项目背景 2.1 项目背景与现状根据用户实际网络情况进行描述随着网络技术的发展和网络应用的快速普及，计算机病毒已经向网络病毒进化，仅采用网络版杀毒软件已经不能满足XXX网络防病毒安全保障的需求，需要大力加强病毒防范和综合治理的力度。同时，病毒技术和黑客攻击技术也已经基本趋于融合。因此，对病毒的防护必须从单机或普通网络病毒防护走向整体病毒疫情掌控、病毒趋势分析、病毒形式评估良性轨道来。面对网络病毒的威胁，单独的杀毒软件的被动杀毒方式已经明显不能满足目前病毒防范的实际需求，因此，如何充分利用现有安全基础设施，采纳最新的防病毒、反黑客技术手段，建立全网防御、整体作战的综合防治体系对整体网络进行全面监控，是目前所面临的一项重要任务。目前, XXX信息网上主要的风险是存在计算机病毒大面积侵害运行网络的可能，但，现在还没有对各种病毒进行全局监控和预警、防范的保障措施，没有全面的对病毒事件的大面积发作的处理预案，XXX信息网络的正常运行就会受到严重的威胁。因此，必须从全局出发，以防为主、防杀结合，建立以省局为中心，防病毒厂商为技术支持单位的计算机病毒联合防范管理体系，依托集病毒监测等技术为一体的强大技术支撑系统，构筑成为整体网络的病毒预警防范体系。对发生在XXX信息网络上的病毒事件做到早预防、早发现、早报警、早清杀，及时分发系统漏洞补丁并加以修补，最大程度地降低病毒事件对信息网造成的安全风险。 2.2 建设目标与任务以XXX信息中心为核心，在XXX信息中心建立起融组织管理和技术支撑为一体的全网病毒预警、防范体系，最大限度地消除计算机病毒在信息网上的生存环境，有效地清除信息网上的各种病毒，遏制信息网上病毒的大面积发作。实现整体网络统一的病毒预警、防范管理，保障信息网安全运行。 XXX信息网病毒预警体系建设有以下任务：在省局核心交换节点上部署网络病毒监测系统，实时检测和发现网络病毒，结合整个网络IP地址规划和计算机注册定位信息，形成覆盖全网的网络病毒宏观分析、研判与协调处置系统，建立整体信息网病毒预警和通报机制，并通过计算机病毒处理预案和应急响应、处置环境的建设，及时处理紧急病毒爆发事件。 2.3 项目的主要功能 1、计算机病毒监测：通过对被监控网络的传播数据进行实时监测，对相关协议进行分析，获取计算机病毒特征码，并获取其传播源ip和传播目的Ip，达到监测预警的效果。 2、分析预警：在XXX信息网络安全报警处置中心建设网络安全预警分析系统后台，汇总网络安全探针的监测预警信息，对整个网络计算机病毒的传播的发作、传播动态进行分析，掌握网络安全动态，生成网络安全预警分析报告。 2.4 总体目标 1、通过积极防御、综合防范，全面提高公安网络安全防护能力，重点防护专用网络； 2、创建安全健康的网络环境，重点防范本地重点； 3、通过信息化的手段建设XXX信息网络安全防范监测预警系统。 3 安全方案的依据和原则 3.1 瑞星网络预警系统设计原则为适应XXX网络发展的需要，系统按照XXX网络安全预警和综合管理的需求来设计。探针和系统监控中心接口通讯格式和开发接口开放，便于不同厂商产品整合部署。瑞星网络安全预警系统，采用集中管理的分布式网络监测体系结构，支持多级部署。系统包括系统监控中心、多种类型的监测探针组成。监测探针负责从被检测网络上收集特定的安全信息、事件并根据配置上报到系统监控中心，监测探针主要收集网络里的计算机病毒情况。系统监控中心负责接收、存储和分析监测探针检测到的安全事件。 XXX网络部署的瑞星网络安全预警的设计必须坚持以下原则： 1、安全性瑞星网络安全预警对网络的顺利运行有非常重要的作用，其自身安全性是非常重要的。因此要求瑞星网络安全预警具有抗攻击能力，有很好的数据传输、存储安全性保障。 2、可靠性瑞星网络安全预警的实施不能影响业务的正常运行与可靠性，系统自身应能长期稳定、可靠的运行，不受其它应用软件和环境的影响。 3、高效性瑞星网络安全预警的实施必须最大限度保证网络中业务的运行效率，不影响网络和计算机终端资源的正常使用。 4、可扩展性瑞星网络安全预警的建设在最大限度考虑用户现有投资的基础上必须考虑到未来发展的需要，系统必须基于标准的网络协议，具有良好的可扩展性和良好的可升级性。 5、易用性瑞星网络安全预警的实施、安装应简单，配置、操作方便，便于升级与维护。 6、可管理性瑞星网络安全预警必须支持集中管理和分级分区授权管理。 3.2 系统建设目标为有效防范病毒的入侵、传播和对系统的破坏，需要引入一套先进的瑞星网络安全预警系统，实现全方位、多层次的整体防护，瑞星网络安全预警的建设目标如下：对XXX网络中的病毒状况进行统一的病毒监测，及时汇总病毒信息，构建完备、协调、高效的预警体系。实时数据流监测，有效数据的汇总和分析，形成对网络中的病毒情况的总体报告和趋势分析，为宏观决策提供依据。在本期瑞星网络安全预警建设中，在省局核心交换机上做端口镜像，部署瑞星网络安全预警，对病毒实时数据流监测系统，在司法厅、省法院、武警部队及16个监狱系统分别在核心交换机上做端口镜像部署网络病毒实时数据流监测设备，监测本单位的实时病毒安全状况。在省局部署一台总的管理中心管理所有单位的监测设备，形成统一管理对网络中出现的病毒情况（新病毒出现，病毒大规模爆发等）进行统一的报警，并具有多种预警方式（声音提示、电子邮件等），并能够进行快速应急响应。 4 XXX网络安全预警需求分析 4.1 XXX网络安全风险分析当前的XXX把众多的业务建立在日益复杂的解决方案计划之上。而核心业务流程很可能分布在几个系统之中，这些系统均包含不同的应用程序与技术。当它们以最优的性能支持业务时，这些解决方案在管理能力、可靠性、可用性以及性能方面也蕴含着潜在的风险。 Ø 安全管理的问题。企业的安全管理制度是否得到了有效贯彻，安全运作流程是否能够有效实施，以前无法衡量。安全管理平台可帮助企业利用技术与管理手段有效解决安全管理的问题： Ø 海量数据的问题。企业面临着来自异构系统、平台和应用的安全数据的冲击，它们都以不同方式产生信息，且以不同的格式呈现、存储在不同的地方，并且报告不同的内容，而这每天数以百万条信息淹没了安全基础设施； Ø 信息孤岛的问题。各种安全设备间缺少信息层互通能力，各自为营。降低了系统整体的运作效率，增加了安全事件的发现时间和响应时间； Ø 实时监控的问题。对整个网络的安全威胁形势、安全漏洞情况、安全事件情况和综合安全风险情况无法提供准确、实时的分析数据； Ø 业务安全的问题。业务始终是一个企业发展的核心，如何保障业务的安全至关重要。现有安全技术侧重保障某特定资源，但业务应用系统一般都由众多IT资源组合构成，如何从业务整个流程上进行安全保障尤为关键； Ø 持续改进的问题。安全管理需要不断对处理过的安全事件进行总结，不断更新安全知识库，不断改进安全运维流程，以及不断完善安全管理制度等，因而需要有效的管理手段来实现持续改进。 4.2 XXX网络安全需求分析 4.2.1 需要精准的实时安全威胁阻断近期的安全事件，均可以穿透已部署的防火墙，严重影响关键的业务应用，主要是由于防火墙无法充分防范新的混合型威胁攻击；同时在企业内部网络大面积部署防火墙也是不恰当的。 4.2.2 需要带宽保护措施大量的与业务无关的无用网络流量，例如peer-to-peer应用及文件共享等，日益成为联通网络新的威胁来源，它们会明显的消耗正常的网络带宽，破坏网络的可用性，间接影响正常的业务运作。 4.2.3 需要更少的用户运维正在试图运用前瞻性防护应对日益增长的各类威胁，瑞星网络安全预警系统尽可能的节省人员的干预和维护成本，将有限的IT资源留给更重要的网络和系统管理任务。 4.2.4 病毒的威胁数据在网络的传播过程中，很难避免有害信息的侵入，目前对网络危害程度最大、波及面最广的是计算机病毒和网络攻击，病毒和网络攻击的入侵不但造成系统运行效率降低、网络堵塞，而且会造成信息、数据、文件损坏与丢失，还有可能造成信息泄露。 5 瑞星网络安全预警系统方案设计综上所述，XXX把众多复杂的业务建立在分散的网络及应用系统之上。缺少统一的管理，和一套优良的风险预警机制。建立一套切实可行的风险预警机制已经迫在眉睫。建议采用瑞星公司研发生产的瑞星网络安全预警作为解决方案。 5.1 方案简述本方案描述了采用瑞星公司的瑞星网络预警系统为XXX网络构建的整体的网络防病毒系统，该方案贯彻了如下三点整体防毒的基本设计思想： n 风险预警机制建立预警性保护服务大大降低了您的总拥有成本(Total Cost of Ownership,TCO)，并且将故障风险降到最低。我们通过以下服务可以达到这些目的： Ø 成熟的产品可以缩短您的项目周期，这样可以帮助您用最少的资源完成上线投产。 Ø 提供技术指导以帮助您将不必要的工作减到最少，并且避免其复杂化。 Ø 确保您的解决方案在运行中始终保持最优的性能、最大可用性和可维护性。预防性保护服务节省了您的时间和金钱。您将分享瑞星网络预警系统的丰富经验，并且从一开始就避免了系统的复杂化。对您的关键任务流程来说，预防性保护服务的价值显得尤为重要——因为如果这些流程出现问题，您将会遭受巨大的经济损失。 n 集中监控管理没有集中管理的防毒系统是无效的网络防毒系统。在XXX网络的网络防病毒方案中，我们在XXX省局部署了瑞星网络预警系统总控制中心来管理整个网络预警系统。包括本级的病毒探针、下级网络的网络预警系统分中心。 n 分级监控管理根据XXX的实际情况，我们把XXX的瑞星网络安全预警划分为两级：第一级，即省局；第二级，司法厅、省法院、武警部队及16个下级系统。其各自在职能上既相对独立又相互统一，所以在部署防病毒体系时，我们既考虑统一集中管理，也考虑到分级监控管理，即建立多级防病毒管理体系。在本方案中，针对XXX网络，我们考虑建立二级防病毒管理结构。即在XXX的省局信息中心处建立一级网络预警中心(总中心)，在各二级单位网络中建立二级预警管理中心(分中心)，各级中心主要负责监控和管理本级网络防病毒情况，同时，上级中心可以监控管理下级中心病毒情况。 5.2 实施范围 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXx 5.3 系统配置在XXX省局网络核心交换机上部署一套网络预警系统，包括瑞星网络安全预警总中心及分中心中心和病毒探针。 5.4 总体设计 5.4.1 建立分级的瑞星网络安全预警管理体系由于XXX网络的环境，在此瑞星网络安全预警的解决方案中，我们建议使用二级瑞星网络安全预警管理体系来进行全网病毒集中的监控和管理。二级系统中心的划分可以按地理、行政网段划分，也可以按计算机数量划分，或依照行政单位划分。在本方案中，二级防病毒体系主要是按照行政单位来划分的。首先，在XXX的省局网络信息中心建立一级瑞星网络安全预警管理中心，同时在XXX网络核心交换机上部署部署病毒探针及分中心实时监测数据流中的病毒。其次，在各二级单位部署二级瑞星网络安全预警的分中心。综上所设计，在整个内部网络中构建了一套二级结构的瑞星网络安全预警管理防范体系。每级系统中心可以独立运行，实现对属于本级的防病体系的毒监控，并将本中心内病毒爆发情况的统计信息上报给一级系统中心(总中心)的管理者。 5.4.2 多级管理体系实现的功能上级中心可以对下级进行管理，并接收由下级传送过来的数据。下级定时收集本中心系统的病毒信息，在分析处理后上传到上级中心，以便上级及时得到下级的病毒信息，及时做出相应的处理。这样既避免了由于过度的信息传输给网络资源造成的影响，也能够及时让管理员得到最新的病毒分布情况。 5.4.3 汇集网络版杀毒软件病毒日志信息统一评估整体病毒趋势通过对网络中统一部署的防病毒系统日志的统一收集、汇总和分析，形成对网络中的病毒情况的总体报告和趋势分析，为宏观决策提供依据。报告具有多种标识功能（说明、图表、曲线等）。报告能提供报告期内病毒事件的汇总和归类统计数据。报告包括：报告期内病毒分布图、病毒事件种类、发生时间、中毒文件传输目的地、被感染的机器和文件、病毒清除状态。 5.5 详细部署设计 5.5.1 XXX网络预警系统项目中心（总中心） 5.5.1.1 监控管理体系位置 Ø 瑞星网络安全预警管理中心部署位置一级瑞星网络安全预警中心部署在XXX省局，它位于瑞星网络安全预警系统的最高层（第一层）。 Ø 瑞星网络安全预警探及分中心针部署位置病毒探针及分中心的部署要求为：在各单位核心交换机部署，需要镜像端口，采用旁路部署病毒探针的数量与部署位置为：在各单位核心交换机分别部署具有千兆能力的病毒实时数据流监测设备一套，监视病毒传播状况； 5.5.1.2 监控管理体系的作用瑞星网络安全预警管理中心实现的主要功能包括： Ø 网络整体安全进行宏观的调控； Ø 帮助网络安全状况制定统一的策略，最大限度地利用现有资源，发挥整体优势，保障网络安全；瑞星网络安全预警探针实现的主要功能包括： Ø 具备对已知病毒的检测能力，能够检测通过常用网络协议( http、pop3、smtp等)传播的网络病毒； Ø 能够通过网络病毒行为分析检测病毒； Ø 具有对未知病毒的检测能力； Ø 病毒实时数据流监测设备提供每天一次以上的病毒特征库升级； Ø 具备多级和统一集中管理能力，瑞星网络安全预警管理中心能够配置病毒实时数据流监测设备的策略，病毒实时数据流监测设备具有病毒事件的上报功能，实现病毒预警统一管理。一级防病毒监控管理体系主要作用是对XXX网络整体进行病毒监控和管理，同时，可以对下级防病毒监控管理体系进行统一监控和管理，另外，一级防病毒管理体系也负责接收下级防病毒监控管理体系病毒信息，可以对全网病毒部分和爆发状况进行统一管理。 5.5.1.3 监控管理体系的组成和功能瑞星网络安全预警系统主要由总中心、分中心、病毒探针协同工作，共同完成对整个网络的病毒预警及管理工作。整个系统的功能如下： 1、系统采用B/S的管理架构，管理、维护方便，移动性强。 2、通过对网络中的病毒进行汇总和分析，形成对整个网络中的病毒情况的总体报告和趋势分析，为宏观决策提供依据。报告需具有多种标识功能（说明、图表、曲线等）。报告能提供报告期内全网的病毒事件的汇总和归类统计数据。 3、具备多级统一集中管理能力，瑞星网络安全预警管理中心能够统一管理各下级设备； 4、对网络中出现的病毒情况（新病毒出现、病毒大规模爆发等）进行统一的病毒报警。病毒预警重点应为网络型病毒，并具有多种预警方式（桌面消息、声音提示、电子邮件、短信等）。 5、系统具有可疑病毒文件或代码的提交功能； 6、系统具有对病毒源头的跟踪能力； 7、系统支持管理权限分配，上级管理员可下发管理权限，系统应该能够兼容其它安全、应用系统的授权认证管理，支持用户实现单点登录。 8、XXX网络预警系统项目部署的千兆病毒实时数据流监测设备具备以下能力： Ø 具备对已知病毒的检测能力，能够检测通过常用网络协议( http、pop3、smtp等)传播的网络病毒； Ø 能够通过网络数据流病毒行为分析检测； Ø 具有对未知病毒的检测能力； Ø 病毒实时数据流监测设备提供至少每天1次的病毒特征库升级； 5.5.2 各二级单位（分中心） 5.5.2.1 监控管理体系位置瑞星网络安全预警分中心部署在XXXXXXXXXXXXXXX系统处，它位于整个瑞星网络安全预警系统的二级（第二层）。 5.5.2.2 监控管理体系的作用瑞星网络安全预警分中心部署在XXX网络二级单位，它位于整个瑞星网络安全预警系统的二级（第二层）。二级瑞星网络安全预警管理体系主要作用是对本系统内的所有病毒进行监测，同时，二级防病毒监控管理体系也接受一级防病毒监控管理体系的监控管理。 5.5.2.3 监控管理体系的组成和功能二级瑞星网络安全预警主要由集中病毒管理分中心构成，共同完成对整个网络的病毒预警及管理工作。 Ø 系统采用B/S的管理架构，管理、维护方便，移动性强。 Ø 通过对本级网络范围内的病毒收集、汇总和分析，形成对网中的病毒情况的总体报告和趋势分析，为宏观决策提供依据。报告需具有多种标识功能（说明、图表、曲线等）。报告能提供报告期内本网络病毒的汇总和归类统计数据。、 5.6 部署后达到的效果 5.6.1 病毒的发现可以对网络中的病毒状况进行集中统一的病毒监测，构建完备、协调、高效的预警体系。在病毒发作、网络攻击的初期进行提前预警，进行科学的评估，采取各种有效的手段，努力把风险发生的可能性降到最小，在现代病毒安全事件中，检测是现代网络安全模型中重要的一部分，瑞星网络预警系统可实时检测网络内的病毒攻击；同时网络蠕虫病毒发作时，也会向网络发送大量的病毒包，造成整体网络堵塞和瘫痪，瑞星网络预警系统可以在蠕虫爆发的初期进行报警，采用有效的手段，可以避免对网络造成的危害。病毒监控如下图：图 2 预警系统管理中心病毒监控截图 5.6.2 查找病毒源，定位风险，为有效处理病毒提供依据瑞星网络预警系统整理大量的互联网真实IP地址所在地相关信息，同时也支持用户自行导入和添加IP地址库。在分析网络安全事件时，可以单击相关IP确定该IP地址的物理位置，查找病毒源，定位风险，为有效处理病毒提供依据，准确的定位，如下图：图 3 预警系统管理中心病毒定位截图 5.6.3 发现未知病毒，解决新病毒爆发带的风险瑞星网络预警系统拥有网络行为判断技术，能够有效的检测未知病毒，解决新病毒爆发带的风险，对网络中出现的病毒情况（新病毒出现，病毒大规模爆发等）进行统一的报警，并具有多种预警方式（声音提示、电子邮件等），并能够进行快速应急响应。图 4 瑞星行为判断技术示意图 5.6.4 独有的智能分析技术，发现异常网络安全问题对http协议、pop3协议、Smtp协议完整的协议解析，对正常网络建模，提供异常网络流对比分析，结合管理中心所生成的动态策略杜绝网络中黑客攻击的一切来源，同时还能够追踪攻击的源头，以便网络警察取证。图 5 异常流量分析截图 5.6.5 安全事件的关联分析针对病毒探针和防攻击探针所报告的大量网络安全事件，在无法人为的对其进行分析和整理时，就需要管理系统能够将各类网络安全事件归纳总结在一起，然后存入数据库，方便进行管理查询。网络安全预警系统的管理中心所具有的大容量存储空间完全能够长时间存储网络安全事件。将各种安全事件集中到管理中心后，对于某些网络安全事件来说，一台或者两台探针无法探测或者发现针对整个网络的安全事件。但是将网络安全事件结合在一起后并进行归纳总结后，就有可能发现网络安全事件的源头。例如某个网段的攻击探针发现该网络被扫描，可以确定是公司内部一台主机A所为。但同时，病毒探针发现另外一台主机B通过远程植入方式, 将木马或者扫描程序植入主机A，管理中心即可根据这两条网络安全事件判断扫描特定网络的真正源头是B而不是A, 从而确定真正的影响网络的源头。图 6 安全事件关联分析示意图 5.6.6 实时数据流监测，有效数据的汇总和分析瑞星网络预警系统可以实时数据流监测，有效数据的汇总和分析，形成对网络中的病毒情况的总体报告和趋势分析，为宏观决策提供依据，动态调整安全防护体系。病毒信息总览图图 7 病毒信息总览统计图管理员也可以根据关心的数据项来生成报表，比如所关心的源IP、目的IP或者病毒名称等。管理员也可以查询一段特定时间内的网络安全事件，并生成报告，对以往的安全事件进行汇总，预见未来病毒的趋势。如图; 图 8 病毒来源统计表和饼形图图 9 病毒趋势分析截图 5.6.7 集中管理和控制，瑞星网络安全预警系统是一套集中管理的网络安全系统，并且所有管理功能都是基于浏览器来完成，无需另外安装附加软件，仅需要浏览器和SSL支持，管理员可以通过总中心可对整个网络安全预警系统进行安全管理，总中心负责接收管理员的命令，然后分发到各个相关网络预警分中心，分中心再自动分发给病毒探针，大大减少了管理工作。同时可以帮助网络安全状况制定统一的策略，最大限度地利用现有资源，发挥整体优势，保障网络安全。 6 瑞星网络安全预警系统功能介绍 6.1 零拷贝技术在现在的操作系统中，因为安全等因素将用户空间和内核空间完全分离。在用户进程和内核进程交换数据时，就需要将数据从两个空间来回拷贝。为了提高交换数据的效率，很多操作系统都是直接用汇编来实现这一功能。但是在拷贝过程还是会影响程序的运行性能，不过这在一些通常的应用过程中体现了极大的安全优势。但是在用户空间和内核空间进行大量数据交换时，数据拷贝过程将占用程序CPU运行时间的很大的比例。这样势必会极大的影响程序处理数据的能力。通过对系统内核程序的修改和驱动程序的修改与优化，以及对用户空间的程序的修改与优化，瑞星研发了一种特殊的拷贝技术，即：数据在内核和用户空间内共享的数据“零拷贝”技术。通过特殊的技术在用户空间和内核空间共享数据，同时又利用一种良好的安全策略来保证内核和用户程序分别对共享的数据进行读写而不会产生安全问题。在不损失操作系统原有的安全性的情况下，减少拷贝数据的时间，使整个系统将时间片全部集中在数据处理上。不但有效的利用CPU时间，而且也减少了系统资源的占用。利用零拷贝技术，使病毒监测探针的监测能力呈数量级的提升。由原来的百兆到现在的千兆！图 10 零拷贝技术原理图 6.2 能够查获1000000种的病毒引擎完全自主开发的瑞星杀毒引擎是查获病毒的有力保障，每一版病毒引擎的推出，都意味着更多的平台支持，更多的功能，更完美的实现。病毒探针所用的病毒查杀引擎完全使用瑞星最优化和改进的病毒查杀引擎。优化和改进主要针对以下方面：病毒探针是完全基于网络的防病毒系统，传统杀毒引擎不能处理网络数据，无法对网络中的数据进行病毒的查获。这需要在处理网络数据方面对病毒引擎做改进，使其能够分析网络数据流中包含的病毒。病毒探针所应用的病毒引擎为瑞星最新杀毒引擎改进而成，不但拥有瑞星病毒杀毒引擎的所有功能和特点，而且是能够查获网络数据流中的病毒的“流引擎”。 6.3 能够查获未知病毒引擎病毒探针由于反病毒引擎采用了虚拟机技术，发现在对捕获的疑似病毒样本定义时，系统的病毒库中没有所匹配的病毒特征码而无法确定名称，将这类病毒确认为未知病毒并上报到管理控制中心。这种机制保证了系统不会放过任何有危险的病毒。 6.4 支持千兆网络的处理能力通过定制千兆网卡驱动，系统捕包的能力几乎达到了现有千兆网络设备的极限。完全可以应用于电信机房等中心骨干网络中。图 11千兆处理能力测试结果 6.5 检测口无IP地址理论上，任何网络安全设备在能够连通外部网络情况下，都不能保证100％的安全。但是对于病毒探针和防攻击探针来说，监测口在能够获取网络数据的前提下，拥有一个不完全的TCP/IP实现。不完全的TCP/IP实现保证了监测口无法和外部通讯，同时，管理口完全可以处在和外部网络物理隔绝的核心网络，达到管理和监测分离的部署方式。图 12 预警系统不完全TCP/IP实现方式 6.6 完善的升级机制和迅速更新的特征库瑞星防病毒监测网遍布全世界，能够在最短时间内得到病毒样本，完全独立的24小时反病毒小组确保在最短时间分析出新的病毒特征并经过测试后加入我们的病毒特征库，然后提供网上升级。使病毒在小规模或者局部地区爆发后被扼杀在摇篮。虽然我们的病毒引擎具有未知病毒的查获能力和病毒行为的预判断能力，也不能保证在病毒以一种非常规的或者以一种全新的方式来运行和传播时都能够对其有效的查获。这就需要用户定期更新病毒库让病毒探针工作在最好的状态，让病毒在大规模爆发前就被扼杀在摇篮之中，起到网络安全预警系统真正的预警功能。网络预警系统的管理中心可以按照预先设定的时间间隔定期访问瑞星网站，一旦发现新的更新数据，将立即下载到本地，然后分发到特定的探针，保证每个模块处于最良好的状态。不会对影响网络安全的事件视而不见。如果在一些核心的应用中，网络安全预警系统所处的网络是和互联网物理隔绝的，管理中心无法自动升级，管理员可以选择手动升级的方式来升级整个系统。 6.7 安全事件的关联分析针对病毒探针所报告的大量网络安全事件，在无法人为的对其进行分析和整理时，就需要管理中戏能够将各类网络安全事件归纳总结在一起，然后存入数据库，方便进行管理查询。网络安全预警系统的管理中心所具有的大容量存储空间完全能够长时间存储网络安全事件。在各种安全事件集中到管理中心后，对于某些网络安全事件来说，一台或者两台探针无法探测或者发现针对整个网络的安全事件。但是将网络安全事件结合在一起后并进行归纳总结后，就有可能发现网络安全事件的源头。例如，某个网段的防攻击探针发现该网络被扫描，可以确定是公司内部一台主机A所为。但同时，病毒探针发现另外一台主机A通过远程植入方式，将木马或者扫描程序植入主机B，管理中心即可根据这两条网络安全事件判断扫描特定网络的真正源头是A而不是B,，从而确定真正的影响网络的源头。 6.8 迅速定位安全事件相关IP地址的物理位置瑞星公司整理了大量的互联网真实IP地址所在地相关信息，同时也支持用户自行导入和添加IP地址库。在分析网络安全事件时，可以点击相关IP确定该IP地址的物理位置。图 13 安全事件定位截图 6.9 详细的安全事件信息对于每一条影响网络安全的事件都有详细记录说明。比如病毒和黑客攻击等消息。让用户充分了解该事件的详细信息才能从根本上杜绝类似的安全事件继续的发生。图 14 详细事件信息截图 6.10 完善安全事件报告系统管理中心的日志系统负责记录管理员的操作日志，以便查询，防止由于误操作引起整个安全预警系统不能正常工作。同时也记录了非法用户访问日志，防止由于非法用户破解密码而进入系统。巨大的存储空间为长时期储存网络事件提供了有力保障。同时，详细的安全事件记录能够长时间的保存也为在发生安全事件时为取证提供保障。简明又扼要的安全报告不但能让管理员迅速了解一段时间内的网络事件，也能让管理者明白近期网络中所发生的安全事件。带有人工智能的分析系统还可以针对特定主机等特定条件来形成网络安全事件报告。网络安全预警系统所支持的报表非常完善，还可以支持各种图形化的报表。可以设定重点IP或者IP地址段来根据时间或者源地址、目的地址等数据来建立报表。下图就是根据病毒来源而产生的报表： (注：由于数据采集于互联网，在生成报表时，故意更改了IP地址) 图 15 根据病毒来源产生的报表截图点击页面上的小图标，可以根据图形的方式来查看报表，使报表更加直观和明了。系统支持以下几种典型图示：饼形图：图 16 饼形图区域走向图：图 17柱状图管理员也可以根据关心的数据项来生成报表，比如所关心的源IP目的IP或者病毒名称等。图 18 病毒查询过滤条件截图管理员也可以查询一段特定时间内的网络安全事件，并生成报告：图 19 一段时间内的安全事件报告 6.11 集中管理和控制随着网络设备的增多，有效地管理这些设备也不是一件容易的事情。能够集中有效的管理这些网络设备是大势所趋。瑞星网络安全预警系统是一套集中管理的网络安全系统，并且所有管理功能都是基于浏览器来完成无需另外安装附加软件，仅需要浏览器和SSL支持。管理员只需登录到管理中心即可对整个网络安全预警系统进行安全管理。管理中心负责接收管理员的命令，然后分发到各个相关网络预警模块。管理中心和各个模块之间的通讯采取瑞星独立研发的加密通讯协议。管理员不需要记住多个的密码，只需记住一个密码，大大减少管理工作。瑞星公司根据客户需求，制定了很多通用性很强的安全策略模板。管理员只需对预先制定的模板做出少量的修改即可应用，减少了管理员的系统初期安装设置工作。简单的模板和安装向导让管理员迅速熟悉和了解整个系统，保证系统更可靠的运行。同时，当网络增加新的网络安全监测设备时，管理员只需将现有的类似模板导出并做少量修改后即可导入到新加设备中，大大简化配置和部署工作。由于不可抗力等原因，比如网络设备、气温、湿度等，导致系统不能正常运行。管理中心的监控模块可以及时报告以便管理员迅速作出反应，人为保障系统可靠运行。瑞星精心选取的工控机系统保证能够在恶劣的环境下运行，使网络安全预警系统有了可靠运行的硬件保障。瑞星精心编写和测试的软件是整个网络安全预警系统可靠运行的软件保障。再加上对系统运行环境的监测和监控保证整个系统24×7的可靠运行时间。北京瑞星信息技术有限公司 [26]

展开阅读全文