《办公网络防病毒解决方案.docx》由会员分享,可在线阅读,更多相关《办公网络防病毒解决方案.docx(41页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、办公网络防病毒解决方案XXXX厅局用户云安全多层次防病毒解决方案2012年5月1日1. XXXX厅局用户安全项目综述1.1. 项目背景从2000年至今,互联网的发展日新月异,新的引用层出不穷。从Web1.0到Web2.0,从2G网络升级到3G网络。互联网接入从笨重的台式机,到轻巧的笔记本电脑,到现在的上网本和手机终端。随着互联网的发展,人们的工作和生活已经发生了翻天覆地的变化,及此同时,信息技术的发展也带来了安全威胁的发展。安全威胁的攻击,从单纯的攻击单台电脑,到攻击局域网,攻击XXXX厅局网络,到现在整个互联网充斥着各种攻击威胁。XXXX厅局用户在目前的网络安全大环境下,现有的防病毒安全系统
2、已经无法承载日新月异的威胁攻击。为了确保XXXX厅局用户的业务连续性,避免病毒对XXXX厅局用户的数据,应用和网络带来威胁,必须对XXXX厅局用户的防病毒系统进行结构化的完善。1.2. 潜在的网络安全威胁XXXX厅局用户的信息化建设已初具规模,安全治理水平又是信息化顺利推进的重要保障。我们详细分析了当前应用现状,发现还面临以下主要威胁:1.2.1. 大量的外部威胁XXXX厅局用户的外部安全威胁主要包括来自网页浏览和文件下载方式侵入的恶意程序,其中有病毒、间谍软件、木马软件、钓鱼程序、灰色软件等。通过Web访问引入大量的恶意程序威胁XXXX厅局用户的系统网没有硬性安全策略,几乎及互联网连接在一起
3、,互联网基于开放的平台,十分不安全,即便互联网出口部署了防火墙,当前流行的安全威胁常常以HTTP/FTP方式直接穿过防火墙,植入到网络内部。木马、间谍程序等应用层安全威胁的危害很大,简述如下:l 病毒的泛滥严重影响XXXX厅局的运行,特别是门诊挂号终端的停机带来的直接损失。l 用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等;l 自动开启电脑上的某个端口(制造后门),用于控制用户电脑;l 窃取用户银行帐号、信用卡帐号等信息并自动发送给病毒制造者;l 自动下载其他病毒程序,例如蠕虫病毒,用以控制整个计算机,对其他计算机用户发垃圾邮件、DDoS攻击等。木马/间谍程序通常是一
4、种能够在用户不知情的情况下,在其电脑上安装后门,用于收集用户信息、窃取用户资料并发送给黑客预先设定的接收端计算机。黑客通过在互联网服务器上挂马、发送大量带恶意链接的垃圾邮件、即时通讯工具发恶意站点网址等方式,让计算机用户一不小心就访问了这些不安全站点感染这类恶意程序,这也是目前黑客最常用的攻击方式。大量的恶意程序通过互联网链路植入到XXXX厅局用户网络中,引入大量垃圾流量、影响计算机的正常使用、导致数据失窃等。所以,在进行安全建设时不能单纯依靠计算机端点这一道安全防护措施,必须在重要的网络互联边界增加对应的安全防线,从而构筑多层防御的体系架构。1.2.2. 内部网络安全建设的薄弱环节防病毒体系
5、层次单一XXXX厅局用户有大量的计算机,都没有统一部署防病毒软件,相当于连最基本的安全防护手段都没有,最终导致病毒、木马软件、间谍软件、僵尸程序等恶意程序悄无声息的入侵到网络和计算机中来。然而,依据信息安全建设的“木桶原理”,一台计算机不安全,就会降低整个企业的信息安全治理水平。所以,只要还有未部署防病毒软件的不安全计算机存在,XXXX厅局用户全网的信息安全水平就会受到极大的影响。大量的网络攻击网络病毒传播和扩散是企业网络平台的最大危害,从去年底到现在,一直有一些网络病毒十分活跃。最典型的Worm_DOWNAD病毒的攻击方式分析:l 通过微软MS08-067的系统弱点其它攻击计算机;l 利用密
6、码字典攻击法登入Admin$system32文件夹执行病毒文档,并在工作进程中新增项目产生病毒档案;l 在可携式磁盘驱动器及网络驱动器中产生病毒档案及Autorun.inf,通过USB便携设备感染其他系统;l 并且会在受感染电脑产生五万个恶意程序网址并试图在同一时间内随机连结其中500个恶意网站下载新的恶意程序,以防止被安全软件清除掉从而长期在该计算机存活下去。这类蠕虫病毒,会在网络中产生大量的垃圾流量,如下图:而只有正常网络应用的网络流量,如下图:XXXX厅局用户局域网里以蠕虫病毒为载体的网络攻击,将严重影响XXXX厅局用户内部网络的稳定运行,最终又影响到应用服务器的正常访问。1.3. 云安
7、全多层次解决方案给XXXX厅局用户带来的安全提升在部署应用了云安全多层次解决方案后(以下简称多层次安全解决方案),XXXX厅局用户的系统安全,应用安全和网络安全将进入到一个崭新的阶段。从以下八个角度可以看出,多层次安全解决方案给XXXX厅局用户带来的价值1-完整性多层次安全解决方案提供给XXXX厅局用户,从终端,到应用系统,XXXX厅局,到Web互联网关,甚至ISO2-7层多达80多种协议的侦测。彻底阻断的病毒可能入侵和传播的途径。2-有效性多层次安全解决方案彻底杜绝了病毒重复感染,病毒源头无法定位的弊端。使得XXXX厅局用户在病毒安全防护系统有了质的飞跃。3-智能性利用趋势科技未知威胁侦测系
8、统TDA,能够7*24小时主动发现和定位XXXX厅局用户网络环境中的未知和已知的威胁攻击。彻底解决了传统防病毒体系无法有效防护新的未知威胁。4-可靠性趋势科技能够为XXXX厅局用户提供7*24小时防病毒系统主动监控,确保整个防病毒系统不间断的进行运作5-稳定性考虑到XXXX厅局用户的计算机可用资源率,内部系统应用和网络架构,趋势科技提出的多层次安全解决方案能够最大程度的减少对XXXX厅局用户各种资源的消耗,并且确保整个解决方案的兼容性。6-管理性趋势科技多层次安全解决方案能够单点登陆(SSO),进行全局的管理,能够对终端,服务器,邮件安全的设定,Web网关安全的设定和网络层策略设定,日志查询,
9、并且能够统一生成全局报表。进行横向和纵向的安全情况分析,得出相应的加强措施。7-扩展性趋势科技多层次安全解决方案能够连接趋势科技云安全平台,利用趋势科技全球云安全技术平台的海量安全数据,彻底帮助XXXX厅局用户提升现有的安全级别。8-节省人力资源多层次的安全防护系统,因为具有以上特性,故能够让XXXX厅局用户完全摆脱先前的被动式的防护,最大程度的减少XXXX厅局用户之前的防病毒系统需要大量人力资源去维护,去终端查杀病毒等等繁琐的工作,提升XXXX厅局用户安全项目组人均生产力。也侧面提升了所有终端用户的人均生产力。1.4. 多层次安全解决方案组成结合对XXXX厅局用户防病毒安全需求和现状分析以及
10、需要达成的目标,多层次安全解决方案组成如下:包括:l 金山毒霸网络版7.0l 趋势科技网关Web安全设备:IWSAl 趋势科技未知威胁发现设备:TDAl 趋势科技网络病毒墙: NVW产品简要说明:产品名称功能杀毒软件金山毒霸网络版7.0金山毒霸网络版7.0提供给XXXX厅局用户全面的终端安全解决方案。金山毒霸网络版V7.0是一套专为企业级网络环境设计的反病毒安全解决方案,它能够为企事业单位网络范围内的工作站和网络服务器提供可伸缩的跨平台病毒防护。金山毒霸网络版V7.0实现了集中式配置、部署、策略管理和报告,并支持管理员对网络安全进行实时审核,以确定哪些节点易于受到病毒的攻击,以及在出现紧急病毒
11、情况时采取何种应急处理措施。网络管理员可以通过逻辑分组的方式管理客户端和服务器的反病毒相关工作,并可以创建、部署和锁定安全策略和设置,从而使得网络系统保持最新状态和良好的配置。金山毒霸网络版V7.0采用了业界主流的B/S开发模式,由系统中心(拥有基于WEB的系统中心控制台)、升级服务器、客户端、服务器端组成了反病毒安全保障体系。网关Web安全设备IWSA 趋势科技IWSA是高效的企业级HTTP/FTP应用防护设备,可协助XXXX厅局用户阻止各种通过Web浏览或FTP下载导致的病毒感染,URL Filter,防间谍软件等多种安全防护。同时IWSA能够联动趋势科技”云安全”的技术平台,进一步提高X
12、XXX厅局用户在网关Web防护的及时性和低资源占用率。未知威胁发现设备TDAl 在网络探测未知或者已知的恶意威胁 l 定位网络中的未知或者已知的威胁攻击源头l 网络内容检测技术l 侦测多达80多种协议l 全面发现 SecureCloud服务趋势科技内网安全管理设备Network Virus wall Enforcerl 病毒爆发防护服务l 网络病毒扫描l 网络病毒爆发监控l 隔离病毒爆发的那些特定网段l 损害清除服务Damage Cleanup Service l 主动并且自动清除被病毒感染的系统l 强制策略l 强制进行防病毒产品部署l 病毒相关的漏洞评估2. XXXX厅局用户应用云安全多层次
13、防护系统2.1. XXXX厅局用户基于云安全的多层次安全解决方案规划趋势科技对气象系统用户的方案规划:从三个角度进行提升:1. 技术:即具体的Solution2. 流程:结合气象系统用户实际情况,定制各种必要的流程,变被动为主动3. 人员:基于气象系统用户防病毒管理人员和普通终端电脑使用者进行专业性和普及性的防病毒知识培训l 技术规划: 主动防御:西线网络为XXXX厅局用户设计的基于云安全的多层次安全体系,能够主动防御已知和未知病毒。即使面对新病毒,还没有病毒码的情况下,XXXX厅局用户也在防病毒体系下阻挡新病毒。 多层次:网关层-网络2-7层-应用层-终端层集中管理1. 网关层:目前XXXX
14、厅局用户的防病毒系统非常单一,仅部署了基于桌面端的防病毒软件。然后,当今80%的病毒来自互联网。XXXX厅局用户仅仅依靠终端上的防病毒软件根本无法抵御现在多样的病毒传播,所以XXXX厅局用户的互联网出口成为防病毒系统的重中之重。2. 网络2-7层:当病毒进入到XXXX厅局用户内部网络后,可以第一时间侦测病毒流量,定位病毒源头,将病毒事件遏制在源头。3. 应用层:邮件应用以及FTP应用也是病毒传播的主要途径之一,也要做相应的防护。4. 终端层:传统意义上的防病毒软件已经不足以防护当今多样性的病毒,趋势科技会通过防病毒,木马查杀,防火墙等组件给予XXXX厅局用户终端全面的保护。同时,对于U盘,移动
15、硬盘,CD DVD介质以及共享文件夹的防护也必须加强,U盘病毒等类似病毒给XXXX厅局用户也带来了相当大的困扰。5. 集中管理:整个多层次的解决方案,都能够通过趋势科技集中管理平台进行统一管理,策略配置和报表制作。 技术拓展:病毒码匹配-智能扫描引擎云安全技术1. 病毒码匹配:传统技术。2. 智能扫描引擎:利用启发式的扫描引擎和3. 云安全技术:趋势科技利用特别研发出的信誉评估技术,通过实时更新的安全等级信息,在各种威胁入侵前彻底防御这些危险攻击。信誉评估技术是由收录邮件服务器评估数据的“邮件信誉技术”、收录Web评估数据的“Web信誉技术”,以及收录文件评估数据的“文件信誉服务”三者结合而成
16、。通过云安全技术,XXXX厅局用户网络的安全级别会有一个质的飞跃,在更节省资源的情况下,第一时间获得最新的安全防护。 云安全技术示意图:l 流程规划 流程设计1. 常规病毒和产品问题处理流程2. 依托病毒和产品监控服务建立的主动病毒处理流程3. 紧急恶性病毒处理流程4. 异地紧急病毒事件处理流程5. 病毒预警处理流程 服务体系设计1. 800标准服务2. 7*24小时监控服务3. 防毒顾问服务 4. 专属的服务管理 5. 主动式的服务 6. 快速响应服务 7. 在线服务支持 8. 巡检服务 l 人员培训规划 防病毒管理人员的培训1. 现场培训:通过现在对XXXX厅局用户IT管理员的培训,使其获
17、得对多层次安全体系管理的技能,同时也提供病毒安全知识的培训,确保其对病毒特性的了解,能够很好的掌握具体的操作。 终端电脑使用者的培训1. 通过定期的安全小贴士,用简单易懂的内容,宣传用户病毒基本支持,提升终端电脑使用者的安全意识。2.2. XXXX厅局用户基于云安全多层次防病毒系统详细设计1- IWSA5000网关防护Internet的HTTP出口2- 金山毒霸网络版7.0终端层防护所有计算机的安全3- TDA网络2-7层侦测所有网络流量4- 和协议,主动侦测已知或未知病毒,实时报警并监控2.2.1. 系统体系架构l 网关层在XXXX厅局用户网关处,对Internet的HTTP流量进行实时监控
18、。阻挡80%以上的病毒感染情况。根据XXXX厅局用户的网络结构分析,趋势科技网关设备IWSA5000主要是部署在核心交换机和防火墙之间,采用透明串联的方式。l 应用层对于XXXX厅局用户的邮件应用,将部署趋势科技IMSA垃圾邮件和病毒邮件过滤设备。对进出XXXX厅局用户的邮件进行全面过滤l 终端层对于XXXX厅局用户网络中的所有终端PC和服务器进行全面的安全防护。金山毒霸网络版7.0提供病毒过滤,木马查杀,防火墙。同时对U盘等移动介质也进行严格的权限管理。l 网络2-7层及其它传统防病毒解决方案最大的不同是,趋势科技的未知病毒侦测设备TDA,可以对XXXX厅局用户网络中所有协议的流量进行监控,
19、通过内置文件型病毒扫描引擎,网络型病毒扫描引擎,启发式扫描引擎,俄规则扫描引擎和信誉评估机制引擎五大扫描机制,能够实时监控到XXXX厅局用户网络中的病毒迹象,一旦发觉立刻自动Email通知管理员,第一时间阻断病毒的传播和扩散。TDA同时还能够解决一直以来,其它解决方案无法处理的病毒源头定位的问题,通过对海量数据的自动分析,TDA能够迅速定位网络中的病毒源头,完全杜绝了病毒事件无法彻底处理干净,重复感染一直发生的情况。TDA还能够监测网络中是否存在的僵尸网络病毒,确保XXXX厅局用户网络不被黑客利用偷窃机密信息和向外发送攻击包。2.2.2. 金山毒霸网络版7.0金山毒霸网络版7.0主要功能和特点
20、全网智能漏洞修复针对病毒利用系统漏洞传播的新趋势,金山毒霸网络版V7.0率先采用了分布式的漏洞扫描及修复技术。管理员通过管理节点获取客户机主动智能上报的漏洞信息,再精确部署漏洞修复程序;其通过Proxy(代理)下载修复程序的方式,极大地降低了网络对外带宽的占用。全网漏洞扫描及修复过程无需人工参及,且能够在客户机用户未登录或以受限用户登录情况下进行。集成金山卫士金山毒霸网络版V7.0提供了可选金山卫士安装的功能,全面保护您的系统安全。金山卫士采用金山领先的云安全技术,不仅能查杀上亿已知木马,还能5分钟内发现新木马;漏洞检测针对windows7优化,速度比同类软件快10倍;更有实时保护、网页防护、
21、系统清理优化、插件清理、修复IE等功能。数据流杀毒基于传统的静态磁盘文件和狭义匹配技术,更进一步从网络和数据流入手,极大地提高了查杀木马及其变种的能力。爆发性病毒免疫针对网络中流行的具有高爆发性、高破坏性,并且一旦感染难以彻底清除的病毒,金山毒霸专门研发了应对防护技术。通过金山毒霸网络版V7.0的部署,能够彻底对该类型病毒免疫(包括计算机已经感染该类型病毒的情况),例如维金病毒、熊猫烧香病毒、科多兽病毒等。全网杀毒,多维防护 率先实现每日病毒库实时更新、防毒体系主动实时升级并自动分发、防毒系统抢先在所有病毒之前启动,赢得时间。金山毒霸网络版V7.0的主动升级机制可保证在第一时间获取最新病毒库,
22、并自动分发给网内所有客户机。而这一切都不需要管理员作任何操作。即使面对病毒一日出现多个变种,网络体系依然可以有效防御。防毒胜于杀毒,抢先启动的防毒系统可保障在Windows未完全启动时就开始保护用户的计算机系统,早于一切开机自运行的病毒程序,使用户避免“带毒杀毒”的危险。抢先式防毒使您赢得时间,让安全领先一步。分布式防毒体系,防毒从桌面到服务器覆盖到全网每个节点,在空间上不留盲点。管理员可通过管理节点对全网或指定的客户机发出查杀病毒指令,以有效遏止病毒疫情爆发,避免网络内病毒交叉、重复感染;自动检测多途径的病毒源,实时监测各类病毒入侵,全方位体现病毒实时防护。自动检测多途径的病毒源,实时监测各
23、类病毒入侵,防毒从源头堵起。自动检测多途径的病毒源,实时监测各类病毒入侵,全方位体现病毒实时防护。国际领先的“蓝芯”杀毒引擎,全面查杀数万种病毒,支持查杀白名单过滤,支持数十种压缩格式、多重压缩包直接查杀。核心技术采用国际领先水平的“蓝芯”杀毒引擎,对各类已知、未知病毒、可疑文件、木马以及其它有害程序可全面查杀;V7.0版本全面新增支持查杀白名单过滤功能;全面支持DOS、Windows、UNIX等系统下的数十种压缩格式、多重压缩包的查毒;支持ZIP、RAR等压缩格式、UPX加壳文件的包内直接查杀;嵌入协议层的邮件监控,可双向过滤邮件病毒。易用灵活的部署及管理,为企业量身定做可移动的Web管理控
24、制台控制台基于WEB结构开发,管理员无需安装额外的控制软件,就可以在任意一台计算机上轻松管理整个防毒体系,真正实现了“管理无处不在”。可扩展的无限分级管理架构金山毒霸网络版V7.0使用主系统中心来集中管理数据,以实现以单个系统中心对多个系统中心、升级服务器及其他特殊防毒节点的集中管理。这个架构借鉴了业内比较优秀的网络管理的设计案例,具有良好的可扩展性和可伸缩性,对于网络规模扩大或新增节点都可以很容易地实现集中管理。这种架构使得金山毒霸网络版V7.0可以稳定地工作在跨地域的大型网络上。高效的安装部署方式管理员可以根据企业网络环境采用WEB页面(ActiveX)安装、远程安装、域脚本安装等方式,在
25、较短的时间内完成网络内大量客户端的安装,简单快速地实现整个网络反病毒体系的部署,最大限度贴合网络实际环境。灵活定制企业级安全策略通过金山毒霸网络版V7.0的管理节点,既可以配置全网统一的安全策略,又可以将具有不同需求的客户机分配到特定的组,配置具有针对性的组策略。通过这种灵活的配置方式,管理员可以轻松地定制企业级安全策略。多样式的帐户管理设置默认可分配三种管理员权限,超级管理员、普通管理员、只读管理员,并可以按实际需求,手动修改具体权限,可适应企业不同人员权限的划分设置,以保证灵活及安全。自主授权分割功能 管理员可以从主系统中心分割授权数量给下级系统中心,限制下级系统中心对客户机的管理数量,阻
26、止非法客户机注册。分组管理功能 IP分组和白名单功能,管理员可以利用IP分组功能进行自定义分组操作,让安装后的客户机按照管理员定义的分组规则自动分配到对应的组内,并将所有不符合IP分组规则的客户机将自动分配到默认客户机组中。启动白名单功能之后,只允许白名单列表范围内的IP连接到本系统中心,在白名单列表范围之外的IP地址都视其为黑名单,拒绝其连接。多途径报警机制管理员可以通过SNMP Trap、NT事件日志、Email及Windows信使服务等多种方式接收病毒事件报警,以保证及时应对病毒疫情。图形化统计病毒信息图形化的统计页面可以将网络内的病毒分布状况直观地呈现出来,以便于管理员分析网内病毒发展
27、趋势,并采取针对性的措施。金山毒霸网络版V7.0强化了首页整体概况以及多级中心的图示显示。跨平台支持Windows、Linux等多种平台操作系统,彻底扫除网络反病毒盲点。随需切换的客户端操作界面针对不同用户的需求,客户端采用两种操作界面,用户可通过安全状态界面查看大部分信息并可执行“一键升级”、“一键杀毒”、“一键漏洞扫描”等常见任务,操作简单方便。切换到主界面后,高级用户可进行更为复杂的操作和设置。2.2.3. 网关Web病毒和内容过滤设备趋势科技互联网网关安全设备InterScan Web Security Appliance趋势科技互联网网关安全设备(简称IWSA)是一套针对HTTP/F
28、TP应用进行安全防护和策略控制的综合性网关解决方案。产品功能:IWSA能够在一个硬件设备中对HTTP/FTP数据流实现如下几大功能:l 防病毒l 防间谍软件l 防网络钓鱼l 防JaveApplet&ActiveX恶意插件l 流量配额管理l 恶意URL阻止l URL过滤功能l Web信誉服务l 流量及硬件状态实时动态图形IWSA不仅具备全面的安全防护功能,同时由于采用多种智能分析及扫描处理技术,在性能表现上优于同类产品,是企业网络安全防护的重要防线。IWSA支持多种配置运行模式,支持多种未来新的应用系统的设计架构,及趋势科技业界领先的企业安全防护策略(EPS)相结合,扩展了趋势科技关于Web安全
29、的病毒爆发生命周期管理理念,从而保证用户获取最大的投资回报率。给XXXX厅局带来的价值:u 集成Web信誉服务云安全技术Web安全网关IWSA集成的Web信誉服务云安全技术是下一代内容安全防护技术,它及病毒代码比对技术同时为用户提供安全保护,但在防护的效果上云安全技术表现得更动态、更主动和更节省系统资源。趋势科技通过在Internet上构建多达几万台的服务器群,实时动态地收集Internet上的风险,生成恶意信息数据库。当用户需要访问Internet资源时,安全子系统会自动到趋势科技服务器群上针对数据源的安全性进行查询,如果数据安全,则用户就可以正常访问;如果数据风险很高,则用户的访问就会被自
30、动阻止,实现恶意程序在侵入网络或计算机前就被阻止掉。u 综合性的安全管理能力IWSA针对Web威胁提供综合性的安全管理能力,全面地解决了当前客户环境所面临的复杂的Web安全问题,特别是在恶意程序源头对Web威胁进行快速阻止;u 高性能、高可用性IWSA集合趋势科技多年来Web安全解决方案的经验及技术,具备高可靠性和高可用性,具备灵活的扩展能力;u 管理方便,配置灵活IWSA基于策略制定安全措施,管理人员可以灵活地定制个性化的安全规则;u 极低的运维成本IWSA从整体上对Web应用进行了全面的防护,帮助管理人员快速地构建起Web防线,从根本上扭转Web安全防护的被动局面,提高了管理效率,降低了运
31、维成本。2.2.4. 主动式威胁发现设备TDA产品功能介绍l 在网络探测恶意威胁 1. 探测未知和已知恶意威胁2. 发现恶意威胁的信息窃取3. 探测网络和电子邮件攻击网络钓鱼和网络漏洞利用l 探测网络中断行为1. 中断性应用P2P、即时讯息等2. 中断性服务SMTP中继、流氓DNS等l 网络内容检测技术1. 2-7层协议检测,80种以上协议2. 全面的应用支持(超过120种应用) 3. 可疑活动关联性4. 文档内容扫描l 联动云安全服务1. 及Internet云安全数据库链接 对数据进行根源分析&关联性 对协议和应用进行名誉分析 2. 恶意事件管理和汇报 面向客户的恶意事件分析 每日管理报告事
32、故响应 执行报告整体安全情况l 旁路部署通过镜像数据进行分析,不会中断服务产品特点 对由恶意威胁造成的数据丢失风险的响应速度更快 清晰的安全状态可见性所带来的主动安全架构规划 尽早发现新威胁并做出响应,从而节省了损害清除费用 破坏性应用程序检测,从而节省网络资源 灵活的离线部署将网络中断降到最低 个性化的威胁管理经验带来更高的客户满意度产品功能细节描述1、人性化的Web管理界面在Web管理界面的Summary中可以清晰的体现出当前内网的威胁等级、各种安全威胁事件的计数等信息,并且可以根据安全威胁的种类以及外部、内部攻击分类。2、可以提供对各种即时通讯软件的扫描3、可以提供对各种P2P软件的监控
33、 4、可以提供对各种流媒体数据的监控5、TDA 内建24 小时 report 内容,可以按照协议、侦测种类分类显示各类已知、未知安全隐患6、趋势科技SecureCloud提供的每日管理报表。通过报表可以清晰了解当前存在的安全隐患、感染客户机、以及提供处理建议部署说明:TDA采用离线配置模式,旁路连接在交换机上。交换机需开启镜像端口,将数据导入TDA进行扫描。另外,需要在防火墙上开启相应策略,允许TDA注册到趋势科技的云安全服务器,由趋势科技后端计算中心定期提供威胁评估报表给用户。2.2.5. 趋势科技网络病毒墙趋势科技网络病毒墙-NVW产品简介:Trend MicroTM Network Vi
34、rusWallTM 是基于网络层,针对网络病毒防御的硬件防护设备,可协助公司企业防制Internet蠕虫之类的网络病毒,在爆发病毒疫情时隔绝高危险的网络脆弱环节,在网络层部署由趋势科技提供的安全防御策略,并能在缺乏防毒保护的设备等潜在感染源连接网络时,予以隔离和清除。不同于只监测安全威胁或提供信息的安全解决方案,Network VirusWall协助企业采取准确、快速的安全措施,并且主动侦测、预防围堵及进行善后清理。当企业在网络的各网段之间部署Network VirusWall之后,即可大幅降低安全威胁、网络宕机时间以疫情管理的负担。Network VirusWall支持趋势科技的企业安全防护
35、策略(Enterprise Protection Strategy)。同时,部署在公司企业网络设备之间(如:交换机之间或交换机和集线器之间)的各个Network Viruswall设备,可以完全通过网络中的趋势科技网络安全中央控管平台Trend Micro Control Manager-TMCM来管理,信息管理人员只要通过TMCM的中央监控就可以控制到网络各个节点的防病毒状况以及网络中是否有异常的数据流量,并且Network Viruswall可以联动TMCM自动的为网络中被病毒感染的客户机去清除病毒。主要特性:及TMCM实时联动: 通过及趋势科技网络安全中央控管平台TMCM实时联动,确保管
36、理员能够实时了解到网络中的异常情况:包括异常数据包,被病毒感染的客户机的信息以及处理方式等等。整个网络中所有的Network Viruswall都可以通过TMCM来集中管理,以方便管理员及时掌握网络中防病毒的第一手资料。隔离薄弱环节1: 企业能在发生攻击之前或当时,选择性地隔离对于可能带有特定安全漏洞2 的计算机(例如未安装补丁程序),预防病毒利用网络上的薄弱环节入侵。 爆发病毒疫情时,阻止未安装相关补丁程序的计算机再感染位于其它网段上的计算机,避免造成网络交通拥塞。网络疫情监测: 使用智能型规则,提供关于网络病毒疫情的早期预警信息,以便企业采取主动、及时的安全措施。o 监测方法包括:分析网络
37、数据流量变化、任何时刻连入或连出任一客户端的联机数、任一端口号或通讯协议(TCP、UDP、ICMP和IGMP)突然流量激增。o 找出中毒的主机、病毒攻击目标,以及针对特定弱点的攻击,并可透过集中管理控制台(TMCM)通知IT管理人员。预防网络疫情3: 运用TrendLabsSM所提供的及时、明确特定的防治策略,来预防或围堵网络病毒。预防策略可在疫情爆发时,部署在网络的LAN网段以隔绝下列项目:o 特定IP地址或范围(以预防这些计算机感染该网段之外的计算机)o 网络端口号o 通讯协议(TCP, UDP, ICMP)o 实时通信(AIM, MSN, Yahoo, ICQ)o 扩展名o 档案传输(F
38、TP, HTTP, Windows档案共享)这些策略可以自动部署,以扩大安全防护;或是手动部署,以提供更大的控制及弹性。 禁止带有病毒的信息进出染毒的网络区域,以隔离及围堵病毒的散播,从而维持整体网络的正常运作。网络扫描及侦测 利用TrendLabs提供的病毒码进行扫描及侦测,并且过滤掉染毒封包,以清除在网络层散播的病毒(例如Internet蠕虫)。并且运用防毒软件扫描潜藏在应用层(application layer)的病毒。自动清除损害4: 找出网络上的染毒来源并在清除完成前予以隔离,以预防再次染毒。 使用TrendLabs提供的损害清除模板(damage cleanup templates
39、),不需透过代理程序即可从远程自动清理染毒主机,大幅降低手动清除及复原所产生的成本及管理负担。 损害清除包括:清除或修复由蠕虫或木马程序所建立的登录项目,内存常驻蠕虫或木马程序,蠕虫或木马程序留下的垃圾文件或病毒文件,以及染毒或被病毒修改过的系统文件,如system.ini。安全策略的实施: 公司企业可实施下列防毒安全策略,将网络中毒或再次中毒的可能性减至最少:o 当使用者存取网络时,侦测客户端防毒产品、扫描引擎和病毒码版本(Trend Micro),如果不合乎安全策略则拒绝其登入网络;并且根据公司的安全策略,让使用者下载扫描引擎和病毒码,或下载防毒产品。 使用Orchestrator代理程序
40、以及Trend Micro OfficeScan和ServerProtect for NT。 无需安装客户端代理程序、程序更新,也无需更改网络设定。便于使用、管理及安全控制: Network VirusWall是部署关键性疫情防护服务的整合性防护设备,使用、配置、安装和管理均极简便。 SNMP监控可加强管理及检测能力。 内建的本地(local host)防火墙有助于预防对Network VirusWall的攻击 通过ActiveUpdate模块和TMCM集中管理控制台,可实现针对Network VirusWall定期和自动化的代码库或程序更新。Network Viruswall在网络中部署的效
41、果图:部署策略:如下图所示:Network Viruswall是一个能够把大型网络分割成一个个相对独立的防病毒区域的网络病毒墙。通过多个Network Viruswall就可以很方便的将整个网络分成一个个“隔离区域”,即一旦一个“隔离区域”内部的某些计算机发生了病毒感染情况,通过Network Viruswall就可以自动的,迅速的将病毒爆发,传播的态势控制起来将病毒控制在该“隔离区域”,将感染源的机器迅速隔离,并且联动TMCM自动清除被病毒感染的客户机,以避免病毒在整个网络范围内扩散。同时,在日常维护中,也可以利用上述Network Viruswall的主要特性将防病毒工作完全自动化。 根据
42、xxx的网络结构,以及网络中的计算机的数量,可以选择某些病毒比较猖獗的网络节点以及比较重要的网络节点部署Network Viruswall。1. 保护在国土资源厅网络中的服务器群:在服务器群上层的交换机上串联一个Network Viruswall,将来进出服务器的所有数据流量可以根据国土资源厅的配置被Network Viruswall扫描(或不扫描)并且实时的对病毒数据包做处理;当然,为了确保重要服务器不被Network Viruswall隔离,可以通过将该服务器/服务器组的IP地址,加入Network Viruswall的例外列表,以确保重要服务器不被隔离;部署示意图:2. 遏制国土资源厅网
43、网络中病毒泛滥区域:针对国土资源厅网内部网络中部分计算机因为使用不当,安全意识不强的情况,通过在这些计算机上层部署Network Viruswall,遏制这部分计算机在带病毒的情况下及网络中的其他计算机通信,同时,结合TMCM将该群计算机的病毒自动清除。部署示意图:3. 利用Network Viruswall检测网络中安全漏洞:在国土资源厅网网络内部,部分计算机由于使用者安全意识比较薄弱,造成计算机操作系统有很大的系统安全漏洞,给整个网络的安全带来了极大的影响,也造成了“冲击波、震荡波”等网络攻击型病毒有机可乘。将Network Viruswall部署在各个主要的网络节点,来检测底下计算机的系统漏洞,同时将有漏洞的计算机自动定向到安装操作系统补丁的页面,强制客户机安装相应的系统补丁。部署示意图:4. 部署Network Viruswall,检测国土资源厅网网络中的异常流量:监测方法包括:分析网络数据流量变化、任何时刻连入或连出任一客户端的联机数、任一端口号或通讯协议(TCP、UDP、ICMP和IGMP)突然流量激增。找出中毒的主机、病毒攻击目标,以及针对特定弱点的攻击,并可透过集中管理控制台(TMCM)通知IT管理人员。部署示意图:41 / 41
限制150内