企业版综合病毒防御技术解决方案

这里首先根据病毒的攻击类型进行分析，指出了病毒的多样性， 以及单机版防毒技术的局限性，并指出企业在构建网络防病毒系统时， 应利用全方位的企业防毒产品，实施"层层设防、集中控制、以防为 主、防杀结合"的策略。具体而言，就是针对网络中所有可能的病毒 攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使 网络没有薄弱环节成为病毒入侵的缺口。所以，应该在企业中设计一 种多层次，深入的防病毒安全解决方案。这种方法是根据安全威胁的 作用位置分层建立防病毒的模型，了解模型的每层以及每层的特定威 胁，以便利用这些信息实施自己的防病毒措施。在这里，我根据一般 企业所面临的安全风险。建立了"七层安全防护体系"的模型。并针 对企业的实际情况，整合为单机客户端级，服务器级，综合网络级， 物理安全级，以及策略、过程和意识层。集中了 VPN 技术，入侵检测，邮件服务器，病毒扫描客户端等技术。重点在客户端级别，服务器级别，以及企业网络搭建上给出详细的配置方法以及拓扑图。可基 本实现企业内部全方位、多层次、无缝隙的安全防病毒配置。最后， 本文对 Symantec 的企业级安全产品加以详细的介绍。

计算机安全的威胁中，来自计算机病毒的威胁最为严重，因为病毒的出现频 率高、损失大，而且潜伏性强，覆盖面广。目前，全球已经发现病毒 5 万余种， 并且现在仍然以每天 10 余种的速度增长。那么对于企业来讲，如何部署网络的 软硬件资源、制定相关规定，使企业内网成为一个高效的防病毒体系是企业的日 常管理工作的重中之重。

从目前来看，虽然每个单位都部署了防病毒软件以及防火墙软件，但是新的 病毒、蠕虫和其他形式的恶意软件仍在继续快速地感染大量的计算机系统。对此， 企业管理人员都可能有这样的抱怨：

"用户执行其电子邮件的附件，尽管我们一再告诉他们不应该……"

"防病毒软件本应可以捕获此病毒，但是此病毒的签名尚未安装……"

"员工因为个人原因，甚至因为下载多媒体影音，关闭了杀毒软件的定时更新系统……" "我们不知道我们的服务器需要安装修补程序……"

…………

最近的攻击研究表明，在组织的每台计算机上部署杀毒软件的这种标准方法。可能不足以防范多种的病毒的攻击手段。从最近病毒爆发的传播速度来看，软件 行业检测、识别和传送可保护系统免受攻击的防病毒工具的速度无法跟上病毒的 传播速度。最新形式的恶意软件所表现的技术也更加先进，使得最近的病毒爆发 可以躲避检测而进行传播。这些技术包括：

◆社会工程

许多攻击试图看上去好像来自系统管理员或官方服务，这样就增加了最终用户执行它们从而感染系统的可能性。

◆后门创建

最近大部分的病毒爆发都试图对已感染系统打开某种形式的未经授权访问，这样黑客可以反复访问这些系统。反复访问用于在协调的拒绝服务攻击中将系统用作"僵尸进程"，然后使用新的恶意软件感染这些系统，或者用于运行黑客希望运行的任何代码。

◆电子邮件窃取

恶意软件程序使用从受感染系统中获取的电子邮件地址，将其自身转发到其他受害者，并且恶意软件编写者也可能会收集这些地址。然后，恶意软件编写者可以使用这些地址发送新的恶意软件变形体，通过它们与其 他恶意软件编写者交换工具或病毒源代码，或者将它们发送给希望使用这 些地址制造垃圾邮件的其他人。

◆嵌入的电子邮件引擎 电子邮件是恶意软件传播的主要方式。现在，许多形式的恶意软件都嵌

入电子邮件引擎，以使恶意代码能更快地传播，并减少创建容易被检测出的 异常活动的可能性。非法的大量邮件程序现在利用感染系统的后门，以便利 用这些机会来使用此类电子邮件引擎。

◆可移动媒体

◆网络扫描

恶意软件的编写者使用此机制来扫描网络，以查找容易入侵的计算机，或随意攻击 IP 地址。

◆对等（P2P）网络

要实现 P2P 文件传输，用户必须先安装 P2P 应用程序的客户端组件，该应用程序将使用一个可以通过组织防火墙的网络端口，例如，端口 80。

应用程序使用此端口通过防火墙，并直接将文件从一台计算机传输到另一台。这些应用程序很容易在 Internet 上获取，并且恶意软件编写者可以直接使用它们提供的传输机制，将受感染的文件传播到客户端硬盘上。

◆远程利用

恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制。比如，Microsoft 发布的一些缓冲区溢出漏洞，用户可能因为没有及时的打补丁而被攻击。（所以，及时的对 windows 系统进行更新很重要）

◆分布式拒绝服务 (DDoS)

这种类型的攻击一般使用已感染的客户端，而这些客户端通常完全不知道它们在此类攻击中的角色。DDoS 攻击是一种拒绝服务攻击，其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标。攻击者使用此方法对目标造成的影响很可能会大于使用单个攻击计算机造成的影响。

由于病毒的复杂性，相应地企业在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施"层层设防、集中控制、以防为主、防杀结合"的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。所以，应该在企业中设计一种多层次，深入的防病毒安全解决方案。这种方法是根据安全威胁的作用位置分层建立防病毒的模型，了解模型的每层以及每层的特定威胁，这样，就可以利用这些信息实施自己的防病毒措施。而这些优化解决方案设计所需要的信息只能通过完成完整的安全风险评估获得。在这里，我根据一般企业所面临的安全风险。建立了"七层安全防护体系"的模型，旨在确保每组上的安全防护措施能够阻挡多种不同级别的攻击。下面，简单的对模型的各层进行定义：

1） 数据层

数据层上的风险源自这样的漏洞：攻击者有可能利用它们获得对配置数据、组织数据或组织所用设备独有的任何数据的访问。例如，敏感数据（如机密的业务数据、用户数据和私有客户信息存储）都应该视为此层的一部分。在模型的此层上，组织主要关注的是可能源自数据丢失或被盗的业务和法律问题，以及漏洞在主机层或应用程序层上暴露的操作问题。

2） 应用程序层

应用程序层上的风险源自这样的漏洞：攻击者有可能利用它们访问运行 的应用程序。恶意软件编写者可以在操作系统之外打包的任何可执行代码都 可能用来攻击系统。在此层上组织主要关注的是：对组成应用程序的二进制 文件的访问；通过应用程序侦听服务中的漏洞对主机的访问；不适当地收集 系统中特定数据，以传递给可以使用该数据达到自己目的的某个人。

3） 主机层

提供 Service Pack和修复程序以处理恶意软件威胁的供应商通常将此层作为目标。此层上的风险源自利用主机或服务所提供服务中漏洞的攻击者。攻击者以各种方式利用这些漏洞向系统发动攻击。缓冲区溢出攻击就是其中一个典型的例子。在此层上组织主要关注的是阻止对组成操作系统的二进制文件的访问，以及阻止通过操作系统侦听服务中的漏洞对主机的访问。

4） 内部网络层

组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要求也具有许多与其关联的风险。

5)外围网络层

与外围网络层（也称为 DMZ、网络隔离区域或屏幕子网）关联的风险源自可以访问广域网 (WAN) 以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议 (TCP) 和用户数据报协议(UDP) 端口。

6)物理安全层

物理层上的风险源自可以物理访问物理资产的攻击者。此层包括前面的所有层，因为对资产的物理访问又可以允许访问深层防护模型中的所有其他层。使用防病毒系统的组织在模型的此层上主要关注的是阻止感染文件避开外围网络和内部网络的防护。攻击者可能只是通过某个物理可移动媒体（如USB 磁盘设备）将感染文件直接复制到主机，试图做到这一点。

7)策略、过程和意识层

围绕安全模型所有层的是，您的组织为满足和支持每个级别的要求需要制定的策略和过程。最后，提高组织中对所有相关方的意识是很重要的。在许多情况下，忽视风险可以导致安全违反。由于此原因，培训也应该是任何安全模型的不可缺少的部分。

当然，这样的划分是对一个组织完整的安全层次划分。你可以根据不同企业的情况的不同，重新集中视图以便将这些安全层级进行整合。重点是通过确保没有从防护中排除任何安全层，来避免不完整的和弱化的防病毒设计。例如：可以将数据层、应用程序层和主机层组合到两个防护策略中，以保护组织的客户端和服务器。而内部网络层和外围层也可以组合到一个公共网络防护策略中，因为这两个层所涉及的技术是相同的。每个层中的实施细节将是不同的，具体取决于组织基础结构中的设备位置和技术。下面针对各个层级确定安全解决方案：

一、客户端防护

当病毒和恶意软件到达主机时，防护系统必须集中于保护主机系统及其数 据，并停止感染的传播。这些防护与环境中的物理防护和网络防护一样重要。您 应该根据以下假定来设计主机防护：恶意软件已经通过前面所有的防护层，必须 在客户机终端上遏制其传播。以下是配置客户端防毒的一些技术：

I.减小攻击面

客户端操作系统的第一道防护措施就是减小计算机的攻击面。应该在计算机 上删除或禁用所有不需要的应用程序和服务，最大限度的减少攻击者可以利用的 系统的方法。（可以根据Microsoft提供的产品文档找到windows服务的默认设置， 记住，尽量关闭不会用的的服务）

II.安装防病毒扫描程序

许多公司推出防病毒应用程序，其中每个应用程序都试图保护主机，同时对最终用户产生最少的不便和交互。其中的大多数应用程序在提供此保护方面都 是很有效的，但是它们都要求经常更新以应对新的恶意软件。任何防病毒解决方 案都应该提供快速的无缝机制，来确保尽快提供对处理新恶意软件或变种所需的 签名文件的更新。签名文件包含防病毒程序在扫描过程中用来检测恶意软件的信 息。根据设计，签名文件由防病毒应用程序供应商定期更新，需要下载到客户端 计算机。

（注意：这样的更新会带来自身的安全风险，因为签名文件是从防病毒程序的支 持站点发送到主机应用程序（通常通过 Internet）。例如，如果传输机制使用 文件传输协议 (FTP) 获得文件，则组织的外围防火墙必须允许对 Internet 上 所需 FTP 服务器进行此类型的访问。请确保在防病毒风险评估过程中审查组织 的更新机制，而且此过程的安全性足以满足组织的安全要求。）

由于恶意软件的模式和技术快速变化，一些组织采用了以下方法：在"高风 险"用户在同一计算机上运行多个防病毒程序包，以帮助将未能检测到恶意软件 的风险减到最小。下面的用户就属于此类别：

◆ Web管理员和管理Internet是内容的其他用户。

◆发布实验室工作人员或制作电子媒体（CD-ROM）的任何用户。

◆创建或编译文件活其他产品软件的开发小组成员。

但是应该注意的是，在同一计算机上运行许多不同应用程序供应商推出的防病毒应用程序，可能会因防病毒应用程序之间的互操作性问题而产生问题。

但是特别指出的是，考虑的另一种方法是为组织中的客户端、服务器和网络防护使用来自不同供应商的防病毒软件。此方法使用不同的扫描引擎提供对基础结构的这些不同区域的一致扫描，这应该有助于在单个供应商的产品未能检测到攻击时减少对总体病毒防护的风险。

III.应用安全更新

由于连接到组织网络的客户端计算机的数目很大种类很多。所以很难提供快速而且可靠的安全更新管理服务。对此，我利用Microsoft和其他软件公司已经开发出的解决工具。如下：

◆ Windows Update

对于小型组织和个人，Windows Update服务同时提供了手动过程和自动过程来检测和下载windows平台的最新安全和功能修改。但是在某些组织中使用此方法时出现的问题包括：在从此服务部署更新之前缺少对测试的支持、同时下载同一程序包时客户端可能占用组织中一定量的网络带宽。

◆ Software Update service

此服务旨在为企业中的windows客户端提供安全更新解决方案。通过既允许内部测试也允许分布式安全更新管理，此服务为更大组织克服了windows Update的两项不足。

◆ Systems Management Server 2003

Systems Management Server 2003是一个完整的企业管理解决方案，它能够提供综合的安全更新服务以及更多功能。 在这里，特别要注重蠕虫病毒的防治，蠕虫病毒危害极大，极容易导致整个系统的崩溃，而大多数的蠕虫病毒都是依靠系统漏洞进行传播的。对企业而言， 系统漏洞修补不仅仅是安装官方网站发布的补丁，在服务器或者网络中大规模部 署补丁通常是一项十分重要的工作，必须先在环境中进行测试和分析。然后才可 以在网络中大规模部署。而管理员可以利用组策略、sms、wsus等方法，将已获 得的系统补丁发放到客户端。这样也解决了客户终端因个人原因不更新系统和软 件的问题。

而WSUS为微软公司提供的专用补丁更新的服务组件。可以根据客户端的实际 情况，自动将补丁程序发布到用户计算机中。

其中的每种 Microsoft 安全更新工具都有特定的优点和用途。最佳方法很 可能是使用其中的一种或多种工具。为帮助评估组织的安全更新解决方案。

IV 启动基于主机的防火墙

基于主机的防火墙或个人防火墙代表您应该启用的重要客户端防护层，尤其是在用户可能带到组织通常的物理和网络防护之外的便携式计算机上。这些防 火墙会筛选试图进入或离开特定主机的所有数据。

V 测试漏洞扫描程序

在配置系统之后，应该定期检查它以确保没有留下安全漏洞。为了帮助你完成这个过程，许多应用程序可用作扫描程序来查找恶意软件和黑客可能试图利用 的漏洞。其中的大多数工具更新自己的扫描例程，以保护您的系统免受最新漏洞 的攻击。（Microsoft 基准安全分析器 (MBSA) 是能够检查常见安全配置问题的 漏洞扫描程序的一个示例。此扫描程序还进行检查，以确保您的主机配置了最新 的安全更新。）

VI 使用最小特权策略

在客户端防护中不应忽视的另一区域是在正常操作下分配给用户的特权。

Microsoft 建议采用这样的策略：它提供可能的最少特权以帮助将在执行时依赖 利用用户特权的恶意软件的影响减到最小。对于通常具有本地管理特权的用户， 这样的策略尤其重要。请考虑对日常操作删除这样的特权，并在必要时改用 RunAs 命令启动所需的管理工具。

VII 对客户端上的应用程序进行配置

◆电子邮件客户端

如果恶意软件确实设法通过了网络和电子邮件服务器级别上的病毒防护，则可能存在一些设置，您可以进行配置以便为电子邮件客户端提供额外保护。通常，如果用户能够直接从电子邮件打开电子邮件附件，则为恶意软件在客户端上传播提供了主要方式之一。如有可能，请考虑在组织的电子邮件系统中限制此能力。如果这是不可能的，一些电子邮件客户端允许您配置另外的步骤，用户将必须执行这些步骤才能打开附件。例如，在 Microsoft Outlook 和Outlook Express 中进行设置。

◆桌面应用程序

随着桌面办公应用程序的日益强大，它们也成为恶意软件的攻击目标宏病毒使用字处理器、电子表格或其他支持宏的应用程序创建的文件复制自身。您应该尽可能采取措施，以确保在环境中处理这些文件的所有应用程序上启用最合适的安全设置。例如：对 Microsoft Office 2003 应用程序的安全防护。

◆即时消息应用程序

一般来说，文本消息不会构成直接的恶意软件威胁，但是大多数即时Messenger 客户端提供另外的文件传输功能以提高用户的通信能力。允许文 件传输提供了进入组织网络的直接路由，有可能受到恶意软件的攻击。对此，网络防火墙只需筛选用于此通信的端口，即可阻止这些文件传输。 例如，Microsoft Windows 和 MSN Messenger 客户端使用介于 6891 和6900 之间的 TCP 端口传输文件，因此，如果外围防火墙阻止这些端口，则 通过 Instant Messenger 的文件传输就不会发生。但是，移动客户端计算 机仅当在组织网络上时才受到保护。因此，您可能希望配置客户端上的基于 主机的防火墙阻止这些端口，并且在组织中的移动客户端处于网络防护之外 时为它们提供保护。

如果因为其他必需的应用程序使用这些端口或者需要文件传输，您的 组织无法阻止这些端口，则应该确保在传输所有文件之前对其扫描以确定是 否存在恶意软件。如果客户端工作站使用的不是实时防病毒扫描程序，则应 该将即时消息应用程序配置为：一收到文件，就自动将传输的文件传递到防 病毒应用程序进行扫描。例如，您可以将 MSN Messenger 配置为自动扫描 传输的文件。

◆Web 浏览器

从 Internet 下载或执行代码之前，您希望确保知道它来自已知的、可靠的来源。您的用户不应该仅依赖于站点外观或站点地址，因为网页和网址都可以是伪造的。已经开发了许多不同的方法和技术，来帮助用户的 Web 浏览器应用程序确定用户所浏览网站的可靠性。例如，Microsoft Internet Explorer 使用Microsoft Authenticode 技术验证已下载代码的身份。Authenticode 技术验证代码是否具有有效的证书、软件发布者的身份是否与证书匹配以及证书是否仍然有效。如果通过了所有这些测试，将会降低攻击者将恶意代码传输到系统的可能性。

大多数主要的 Web 浏览器应用程序支持限制可用于从 Web 服务器执行的代码的自动访问级别的功能。Internet Explorer 使用安全区域帮助阻止 Web内容在客户端上执行有可能产生破坏的操作。安全区域基于 Web 内容的位置（区域）。

◆对等应用程序

Internet 范围的对等 (P2P) 应用程序的出现，使得查找文件和与他人交换文件比以前任何时候都更为容易。但是它已经引发了许多恶意软件攻击，它们试图使用这些应用程序将文件复制到其他用户的计算机。蠕虫病毒已经将P2P 应用程序作为攻击目标以达到复制目的。

如果可能，Microsoft 建议限制组织中使用这些应用程序的客户端数量。您可以使用本章前面所述的 Windows 软件限制策略，帮助阻止用户运行对等应用程序。如果在您的环境中这是不可能的，请确保在制定防病毒策略时，将环境中客户端因这些应用程序而面临的更大风险考虑在内。

VIII 限制未授权的应用程序

如果应用程序为网络提供一种服务，如 Microsoft Instant Messenger 或Web 服务，则在理论上它可能成为恶意软件攻击的目标。作为防病毒解决方案的一部分，您可能希望考虑为组织编写已授权应用程序的列表。所以可以使用Windows 组策略限制用户运行未授权软件的能力。处理此功能的组策略的特定方 面称为"软件限制策略"，可以通过标准组策略 MMC 管理单元访问它。

二、服务器的病毒防护步骤

环境中的服务器防护与客户端防护有许多共同之处；二者都试图保护同一 基本个人计算机环境。两者的主要差异在于，服务器防护在可靠性和性能方面的 预期级别通常高得多。此外，许多服务器在组织基础结构中起到的专门作用通常 需要制定专门的防护解决方案。下面主要介绍服务器端的防毒和前面提到客户端 的防毒的不同之处。

组织中防护服务器的四个基本防病毒步骤与防护客户端的步骤相同：

1.减小攻击面

从服务器中删除不需要的服务和应用程序，将其攻击面减到最小。

2.应用安全更新

如有可能，请确保所有服务器计算机运行的都是最新的安全更新。根据需要执行其他测试，以确保新的更新不会对关键任务服务器产生负面影响。

3.启用基于主机的防火墙

Windows Server 2003 包括一个基于主机的防火墙，您可以使用它减小服务器的攻击面以及删除不需要的服务和应用程序。

4.使用漏洞扫描程序进行测试

使用 Windows Server 2003 上的 MBSA 帮助识别服务器配置中可能存在的漏洞。Microsoft 建议使用此漏洞扫描程序和其他专用漏洞扫描程序，帮助确保配置尽可能强大。除了这些常用的防病毒步骤之外，将以下服务器特定的软件也用作总体服务器病毒防护的一部分。

现在，有许多可用于企业中特定服务器角色的专用防病毒配置、工具和应用程序。可以从此类型专用防病毒防护中获益的服务器角色的示例有：Web 服务器（如 Microsoft Internet 信息服务 (IIS) 消息服务器如 Microsoft Exchange2003）、数据库服务器（如运行 Microsoft SQL Server 2000 的服务器）、协作服务器（如运行 Microsoft Windows SharePoint Services 和 Microsoft Office SharePoint Portal Server 2003 的服务器）

应用程序特定的防病毒解决方案通常提供更佳的保护和性能，因为它们设计用于与特定服务集成在一起，而不是试图在文件系统级服务的下面起作用。下面对这几个角色特定的服务安全软件做介绍：

1）Web 服务器

在一段时间内，所有类型的组织中的 Web 服务器都曾经是安全攻击的目标。不管攻击来自恶意软件还是来自试图破坏组织网站的黑客，充分配置 Web 服务器上的安全设置以最大限度地防御这些攻击都是很重要的。

2）UrlScan

UrlScan是限制 IIS 要处理的 HTTP 请求类型的另一种安全工具。通过阻止特定的 HTTP 请求，UrlScan 可以帮助阻止可能有害的请求到达服务器。

3）消息邮件服务器

为组织中的电子邮件服务器设计有效的防病毒解决方案时，要牢记两个目标。第一个目标是防止服务器本身受到恶意软件的攻击。第二个目标是阻止任何恶意软件通过电子邮件系统进入组织中用户的邮箱。务必确保在电子邮件服务器上安装的防病毒解决方案能够实现这两个目标。 一般来说，标准文件扫描防病毒解决方案无法阻止电子邮件服务器将恶意软件作为附件传递到客户端。使防病毒解决方案与正使用的电子邮件解决方案匹配 是很重要的。许多防病毒供应商现在为特定电子邮件服务器提供其软件的专用版 本，这些版本设计用于扫描经过电子邮件系统的电子邮件以确定是否包含恶意软 件。以下两种基本类型的电子邮件防病毒解决方案通常是可用的：

◆ SMTP 网关扫描程序。

这些基于简单邮件传输协议 (SMTP) 的电子邮件扫描解 决方案通常称为防病毒"网关"解决方案。这些解决方案的优点是：可以用于 所有的 SMTP 电子邮件服务，而不是仅用于特定电子邮件服务器产品。但是， 由于这些解决方案依赖于 SMTP 电子邮件协议，因此它们在可以提供的某些 更高级功能方面受到限制。

◆ 集成的服务器扫描程序。

这些专用防病毒应用程序直接与特定的电子邮件服 务器产品一起工作。这些应用程序确实有许多优点。例如，它们可以与高级 服务器功能直接集成在一起，它们设计为与电子邮件服务器使用相同的硬件。

4）数据库服务器

在考虑数据库服务器的病毒防护时，需要保护以下四个主要元素：

◆ 主机。运行数据库的一个或多个服务器。

◆ 数据库服务。在主机上运行的为网络提供数据库服务的各种应用程序。

◆ 数据存储区。存储在数据库中的数据。

◆ 数据通信。网络上数据库主机和其他主机之间使用的连接和协议。

由于数据存储区内的数据不能直接执行，因此通常认为数据存储区本身不需要扫描。目前，没有专为数据存储区编写的主要防病毒应用程序。但是，在进行防病毒配置时，应该仔细考虑数据库服务器的主机、数据库服务和数据通信这些元素。

应该专门为恶意软件威胁检查主机的位置和配置。一般说来，Microsoft 建议不要将数据库服务器置于组织基础结构的外围网络中（尤其当服务器存储敏感数据时）。但是，如果必须在外围网络中放置这样的数据库服务器，请确保对它进行配置将感染恶意软件的风险减到最小。比如："Slammer"蠕虫直接将 SQLServer 作为攻击目标。此攻击表明无论 SQL Server 数据库计算机是位于外围网络还是内部网络中，保护它们都是非常重要的。

5）协作服务器

协作服务器本身的特点使它们易受恶意软件的攻击。当用户将文件复制到服务器和从服务器复制文件时，他们可能使网络上的服务器和其他用户受到恶意软件的攻击。Microsoft 建议使用可以扫描复制到协作存储区和从协作存储区复制的所有文件的防病毒应用程序，保护环境中的协作服务器

三、网络防护层

在已记录的恶意软件事件中，通过网络发动的攻击是最多的。通常，发动 恶意软件攻击是为了利用网络外围防护中的漏洞允许恶意软件访问组织 IT 基 础结构中的主机设备。这些设备可以是客户端、服务器、路由器，或者甚至是防 火墙。在此层上进行病毒防护所面临的最困难问题之一是，平衡 IT 系统用户的 功能要求与创建有效防护所需的限制。例如，与许多最近的攻击类似，MyDoom 蠕 虫使用电子邮件附件复制自己。从 IT 基础结构的角度来看，阻止所有传入附件 是最简单、最安全的选项。但是，组织中电子邮件用户的需求可能不允许这样做。

必须进行折衷，在组织的需求和它可以接受的风险级别之间达到平衡。 在网络骨干接入处，安装防毒墙(即安装有网关杀毒软件的独立网关设备)，由防毒墙实现网络接入处的病毒防护。由于是安装在网络接入处，因此，对主要 网络协议进行杀毒处理(SMTP、FTP、HTTP)。

在服务器上安装单独的服务器杀毒产品，对服务器进行病毒保护。 由于内部存在几十个网络客户端，如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品(客户端杀毒软件的工作模 式是服务器端、客户端的方式)的服务器端，由客户端通过网络与服务器端连接 后进行网络化安装。对产品升级，可通过在服务器端进行设置，自动通过 INETRNET 进行升级，再由客户端到服务器端进行升级，大大简化升级过程， 并且整个升级是自动完成，不需要人工操作。

对邮件系统，可采取安装专用邮件杀毒产品，通过在邮件服务器上安装邮件 杀毒程序，实现对内部邮件的杀毒，保证邮件在收、发时都是经过检查的，确保 邮件无毒。

通过这种方法，可以达到层层设防的作用，最终实现病毒防护。 具体的拓扑图如下： 

 #p#

另外也可以上图进行简化，如下图

 

 

在这里特别提到的是存在一种日益增长的趋势：将内部网络分解为多个安 全区域，以便为每个安全区域建立外围。Microsoft 也建议使用此方法，因为它 可帮助降低试图访问内部网络的恶意软件攻击的总体风险。

组织的第一个网络防护指外围网络防护。这些防护旨在防止恶意软件通过 外部攻击进入组织。如本章前面所述，典型的恶意软件攻击集中于将文件复制到 目标计算机。因此，您的病毒防护应该使用组织的常规安全措施，以确保只有经 过适当授权的人员才能以安全方式（如通过加密的虚拟专用网络 (VPN) 连接。 下面给出一种三级VPN网络的实现方法： 

 

三级 VPN 设置拓扑图 每一级的设置及管理方法相同。即在每一级的中心网络安装一台 VPN 设备和一台 VPN 认证服务器(VPN-CA)，在所属的直属单位的网络接入处安装一台 VPN 设备，由上级的 VPN 认证服务器通过网络对下一级的 VPN 设备进行集中 统一的网络化管理。可达到以下几个目的：

◆ 网络传输数据保护;

由安装在网络上的 VPN 设备实现各内部网络之间的数据传输加密可同时采取加密或隧道的方式进行传输

◆ 网络隔离保护;

与 INTERNET 进行隔离，控制内网与 INTERNET 的相互访问

◆ 集中统一管理，提高网络安全性;

◆ 降低成本(设备成本和维护成本);

其中，在各级中心网络的 VPN 设备设置如下图：

 

 

图 4-2 中心网络#p# 

一台 VPN 管理机对 CA、中心 VPN 设备、分支机构 VPN 设备进行统一网络管理。将对外服务器放置于 VPN 设备的 DMZ 口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问、记录日志。这样即使服务器被攻破，内部网络仍然安全。下级单位的 VPN 设备放置如下图所示：

 

下面，根据上图，对拓扑中每个部分做的安全说明：

1）网络入侵检测系统

因为外围网络是网络中风险很大的部分，因此您的网络管理系统能够尽快检测和报告攻击是极其重要的。网络入侵检测 (NID) 系统的作用仅仅是提供：外部攻击的快速检测和报告。虽然 NID 系统是总体系统安全设计的一部分，而且不是特定的防病毒工具，但是系统攻击和恶意软件攻击的许多最初迹象是相同的。例如，一些恶意软件使用 IP 扫描来查找可进行感染的系统。由于此原因，应该将 NID 系统配置为与组织的网络管理系统一起工作，将任何不寻常的网络行为的警告直接传递给组织的安全人员。

对于任何 NID 实现，其保护仅相当于在检测到入侵之后遵循的过程。此过程应该触发可以用来阻止攻击的防护，而且防护应该得到连续不断的实时监视。只有在此时，才能认为该过程是防护策略的一部分。否则，NID 系统实际上更像一个在攻击发生之后提供审核记录的工具。有许多可供网络设计人员使用的企业级网络入侵检测系统。它们可以是独立的设备，也可以是集成到其他网络服务（如组织的防火墙服务）中的其他系统。例如，Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 产品包含 NID 系统功能以及防火墙和代理服务。

下面给出了网络入侵检测系统的拓扑结构图：

 

 

2）应用程序层筛选

在这里，再次提到了对应用程序的管理问题，这里主要是在网络配置上通过

防火墙的"包过滤技术"对应用程序进行筛选。使用 Internet 筛选技术监视和 屏蔽网络通信中的非法内容（如病毒）不仅是有用的，而且是必需的。在过去，曾经使用防火墙服务提供的数据包层筛选执行了此筛选，仅允许根据源或目标IP 地址或者特定的 TCP 或 UDP 网络端口来筛选网络流量。应用程序层筛选 (ALF) 在 OSI 网络模型的应用程序层上工作，因此它允许根据数据的内容检查 和筛选数据。如果除了使用标准数据包层筛选外还使用 ALF，则可以实现的安全 性要高得多。例如，使用数据包筛选可能允许您筛选通过组织防火墙的端口 80 网络流量，以便它只能传递到 Web 服务器。但是，此方法可能不提供足够的安 全性。通过将 ALF 添加到解决方案中，您可以检查端口 80 上传递到 Web 服务 器的所有数据，以确保它是有效的且不包含任何可疑代码。

ISA Server 可以在数据包通过组织防火墙时提供对它们的 ALF。可以扫描 Web 浏览和电子邮件，以确保特定于每个 Web 浏览和电子邮件的内容不包含可 疑数据，如垃圾邮件或恶意软件。ISA Server 中的 ALF 功能启用深层内容分析， 包括使用任何端口和协议检测、检查和验证流量的功能。

3）内容扫描

内容扫描在更高级防火墙解决方案中作为一项功能提供，或者作为单独服务（如电子邮件）的组件提供。内容扫描询问允许通过有效数据通道进入或离开 组织网络的数据。如果内容扫描是在电子邮件上执行的，则它通常与电子邮件服 务器协同工作以检查电子邮件的特性（如附件）。此方法可以在数据通过服务时 实时扫描和识别恶意软件内容。

#p#

4）URL 筛选

对于网络管理员可能可用的另一个选项是 URL 筛选，您可以使用它阻止有问题的网站。例如，您可能使用 URL 筛选阻止已知的黑客网站、下载服务器和个人 HTTP 电子邮件服务。

注意：主要的 HTTP 电子邮件服务站点（如 Hotmail 和 Yahoo）提供防病毒扫描服务，但是有许多较小站点根本不提供防病毒扫描服务。对组织防护来说，这是严重的问题，因为这样的服务会提供直接从 Internet 到客户端的路由。

网络管理员可以使用两种基本的 URL 筛选方法：

◆阻止列表。防火墙先检查有问题站点的预定义列表，然后才允许连接。允许用户连接没有专门在阻止列表中列出的站点。

◆允许列表。此方法仅允许与在组织已批准网站的预定义列表中输入的网站进行通信。

总的来说，第一种方法依赖于识别可能存在问题的网站并将它们添加到列表中的主动过程。由于 Internet 的大小和可变特性，此方法需要自动化解决方案或很大的管理开销，通常仅对阻止数目较小的已知有问题网站是有用的，无法提供综合性保护解决方案。第二种方法提供了更好的保护，因为它的限制特性允许 控制可供系统用户访问的站点。但是，除非进行了正确调查以识别用户所需的所 有站点，否则此方法可能对许多组织来说限制性太强。

Mcrosoft ISA Server 支持使用其"站点和内容规则"手动创建这两个列表。 但是，直接用于 ISA Server 的增强型自动化解决方案可从 Microsoft 合作伙 伴处获得，以确保可以根据需要阻止或允许 URL，同时将管理开销减到最小。

5）隔离网络

为保护网络可以使用的另一种方法是：为不满足组织最低安全要求的计算机建立隔离网络。

（注意：不应该将此方法与某些防病毒应用程序中提供的隔离功能相混淆，后者将感染文件移动到计算机上的安全区域中，直到可以将其清除。）

隔离网络应该限制（或者甚至阻止）对组织资源的内部访问，但是提供一种连接级别（包括 Internet）允许临时访问者的计算机高效工作，而不会给内部网络的安全带来风险。如果访问者的便携式计算机感染了恶意软件并连接到网络，则隔离网络可以限制其感染内部网络上其他计算机的能力。

与此类似的方法成功应用于 VPN 类型的远程连接，已经有一段时间了。在执行系统测试的同时，将 VPN 客户端转移到临时隔离网络。如果客户端通过了测试（例如由于具有所需的安全更新和防病毒签名文件），则将授予它们访问组织内部网络的权限。如果客户端不满足这些要求，则将断开它们的连接或允许它们访问隔离网络，这可以用来获得通过测试所必需的更新。现在，网络设计人员正研究此技术以帮助改进内部网络的安全性。

四、物理安全

物理安全性不仅仅是对于防病毒系统，它是一般的安全问题，但是如果没有 用于组织基础结构中所有客户端、服务器和网络设备的有效物理防护计划，则无 法避免恶意软件的攻击。在有效的物理防护计划中有许多关键元素，其中包括： 建筑安全性、人员安全性、网络接入点、 服务器计算机、 工作站计算机、 移 动计算机和设备。在这里，加以讨论的仅仅是移动设备对于病毒的巨大安全性隐 患。企业应采取以下措施：

◆新购置的计算机以及系统必须用检测病毒的软件检测已知病毒，用人工检测方 法检查未知病毒。

◆新购置的硬盘都可能带有病毒。需要对硬盘进行检测和进行低级的格式化。

◆对于能用硬盘启动的计算机，尽量不要用可移动设备去引导启动。

◆永远不要使用任何解密版的软件。特别是反病毒软件。

五、策略以及管理层安全方案

安全管理包括风险管理、信息安全策略、规程、标准、方针、基线、信息分 级、安全组织和安全教育。这些核心组成部分是企业安全计划的基础。在制定策 略时，首先应该确定的是管理者以及其他工作人员的安全职责，并且依赖于对公 司信息财产和附加财产的正确划分。管理者保证安全策略能够自顶向下的执行， 并对相关安全人员的工作给予资金、权限上的支持。规程中应该详细说明企业中 安全问题扮演什么样的角色。然后确定组织策略、针对专门问题的策略或是针对 系统的策略。由管理层规定如何建立安全计划，制定安全计划的目标，分配责任，

说明安全问题的战略和战术价值，并规定应该如何执行计划，这种策略一定涉及 到法律、法规、责任以及如何遵守这些规定的问题。所有的雇员都知道他们应该 遵守这些规程，这就需要企业针对安全问题对员工进行专门的培训。实施的过程 中也应该得到良好的员工反馈。具体来讲，一个公司的安全策略应该包括以下方 面：

◆防病毒扫描例程。理想情况下，您的防病毒应用程序应该支持自动扫描和实时 扫描。但是，如果不是这样，则您应该实施一个过程，以便提供有关组织中的用 户应该在何时运行完整系统扫描的指导。

◆ 防病毒签名更新例程。大多数的现代防病毒应用程序支持下载病毒签名更新的 自动方法，您应该定期实施这样的方法。

◆攻击检测过程。如果检测到可疑的恶意软件攻击，则您的组织应该具有一组可 以遵循的明确定义并记录的步骤，以确保攻击得到确认、控制和清除，且对最终 用户带来最小的破坏。这里重点

◆家用计算机网络访问策略。应该建立一组最低要求，员工必须满足这些要求才 能将家用计算机或网络通过 VPN 连接连接到您组织的网络。

◆访问者网络访问策略。应该建立一组最低要求，仅允许满足这些要求的访问者 连接到您组织的网络。这些要求应该同时适用于无线连接和有线连接。

◆无线网络策略。连接到内部网络的所有无线设备都应该先满足最低安全配置要 求，才能进行连接。此策略应该为组织指定所需的最低配置。

◆安全更新策略 客户端、服务器和网络防护都应该已经具有某种形式的安全更新管理系统。

◆基于风险的策略 如果在深层病毒防护模型的外围网络层和内部网络层上连接了太多的客户

端、服务器和网络设备，那么您可以用来组织策略的一种方法是，将组织中的主 机根据其类型和风险级别归入不同类别：标准客户端配置、高风险客户端配置、 来宾客户端配置、员工的家用计算机、合作伙伴或供应商的计算机、来宾计算机。

◆自动监视和报告策略。

◆支持小组的意识

小组意识和培训应该针对组织中的管理和支持小组。重要 IT 专业人员的培训是IT 所有领域的基本要求，但是对于病毒防护它尤其重要，因为恶意软件攻击和防护的特点可能会定期变化。一个新的恶意软件攻击可以在几乎一夜之间损害有效的防护系统，而您组织的防护可能处于危险之中。如果这些防护的支持人员在如何识别和响应新的恶意软件威胁方面没有进行过培训，则迟早会在病毒防护系统中发生严重的安全违反。

◆用户意识

用户培训通常是组织在设计其病毒防护时最后考虑的事情之一。帮助用户了解与恶意软件攻击有关的一些风险是缓解此类风险的重要部分，因为组织中使用IT 资源的任何人都在网络安全性方面起着一定作用。由于这一原因，有必要使用户了解他们可以缓解的更常见风险，例如：打开电子邮件附件。

使用弱密码。

从不受信任的网站下载应用程序和 ActiveX 控件。

从未经授权的可移动媒体运行应用程序。

允许访问组织的数据和网络。

◆获得用户反馈 如果为意识到恶意软件的用户提供了报告所用系统上不寻常行为的简单而有效 的机制，则他们可以提供极佳的预警系统。

总结：

病毒防护不再仅仅是安装应用程序。最近的恶意软件攻击已经证明需要更 全面的防护方法。在这里集中说明如何应用防护安全模型形成防护方法的基础， 为组织创建有效的防病毒解决方案。但是必须知道的是，恶意软件编写者持续不 断地更新攻击组织可能在使用的新 IT 技术的方法，而且防病毒技术不断发展以 缓解这些新威胁。

这里给出的多层次病毒防护方法可以有助于确保您的 IT 基础结构能够应 对所有可能的恶意软件攻击方法。使用此分层方法，就可以更轻松地识别整个系 统中的任何薄弱点，从外围网络到整个环境中使用计算机的个人。如果未能处理 深层病毒防护方法中所述的任一层，都有可能使您的系统受到攻击。

您应该经常复查防病毒解决方案，以便每当需要时都可以更新它。病毒防 护的所有方面都是重要的，从简单的病毒签名自动下载到操作策略的完全更改。

#p#

附: 利用 Symantec 相关软件搭建企业的防病毒解决方案

病毒防御是网络安全管理中的重中之重。网络中的个别客户端感染了病毒 之后，在极短的时间内就可能感染整个网络，从而造成网络服务中断或瘫痪，所 以局域网的防病毒工作十分重要。最常见的方法就是在网络中部署专业杀毒软件， 如 Symantec antivirus，趋势科技和瑞星等产品的企业版。在网络中配置专业 防病毒服务器后，即可实现对所有客户端的实时安全管理，包括病毒扫描查杀，

E-mail 实时检测，病毒库升级等。本方案中在选择杀毒软件时应当注意几个方 面的要求：具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒 能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、 产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优 点。

在这里，利用 SymantecEndpoint Protection(端点保护)这个产品，它将 SymantecAntiVirus 与高级威胁防御功能相结合，可以为笔记本，台式机，服务 器，提供全面的安全防护能力。 Symantec Endpoint Protection 在一个代理和管理 控制台中无缝集成了基本安全技术，既节约成本又提高了网络安全防护能力。

SymantecEndpoint Protection 可保护端点计算设备不受病毒威胁和风险 侵袭，并为端点计算机提供三层防护，分别为网络威胁保护，主动型威胁保护以 及防病毒和放间谍软件保护。 对于网络威胁保护可以通过使用规则和特征，可 禁止威胁访问被保护计算机。主动型威胁防护可根据威胁的行为，标示并降低威 胁。防病毒和放间谍软件保护使用 symantec 创建的特征。识别并削弱尝试访问 或已访问被保护计算机的威胁。

由于在大多数企业中，员工的操作系统均为 windows 系列，这里以 windows 系统为例配置相应的服务。为保障型局域网的安全与病毒库的升级，在局域网中 应该有一台 WindowServer 2008 服务器部署为防病毒服务器。为企业中的客户 机提供病毒库的升级服务。

在这里，我主要利用 SymantecEndpointProtection 来配置整个 windows

主机组成局域网的防病毒服务。Symantec Endpoint Protection 包括 Symantec Endpoint Protection Manager 控制台，SymantecEndpoint Protection Manager， Symantec Endpoint Protection，SymantecNetworkAccessControl ,liveUpdate 服务器及中央隔离区等组件，其中较为核心的是 SymantecNetworkAccess Control 和 SymantecNetwork Protection Manager。

1. Symantec Network Access control 概述

Symantec Network Access Control 通过阻止未经授权、配置不当和受感染的端点计算机访问网络，从而保护网络安全。其中包括：可以拒绝未运行特定版本的软件和特征的计算机进行网络访问。如果客户端计算机不符合要求，Symantec Network Access Control 可以隔离相应计算机并对其实施补救措施，如果客户端的病毒库不是最新版本，则将自动为其升级病毒库，然后在允许计算机访问网络。

Symantec Network Access Control 允许用户使用主机完整性策略来控制这项保护。在 Symantec Endpoint Protection Manager 控制台中可以创建主机完整性策略，然后将这项策略应用于客户端计算机组。如果只安装了 Symantec Network AccessControl 客户端软件，则可以要求客户端计算机运行防病毒，防间谍软件和防火墙软件。此外，还可以请求这些计算机运行最新的操作系统 Service Pack 和补丁程序，并创建自定义应用程序要求。如果客户端计算机不符合策略，你可以在这些客户端计算机上运行命令，以尝试更新这些计算
机。

如 果 将 SymantecNetworkAccess Control 与 SymantecEndpoint Protection 集成，则可以将防火墙应用于不符合主机完整性策略的客户端。此策略会限制客户端可用于网络访问的端口，也可限制客户端可访问的 IP 地址。

例如，可以限制非遵从计算机只与包含所需软件和更新的计算机通信。如果将 Symantec Network Access Control 与 Symantec Enforcer 可选硬件设备集成，则可以进一步限制不遵从的计算机访问被保护网络。用户可以将非遵从计算机限制在特定的网络区段以进行补救，也可以完全禁止非遵从计算机进行访问。例如，使用 Symantec Gateway Enforce 时，可以控制外部计算机通过 VPN 访问网络。使用 Symantec DHCP 和 LAN Enforce，可以通过将不可路由的 IP 地址分配给非遵从计算机，控制内部计算机访问网络。

2. Symantec e Endpoint Protection Manager

Symantec e Endpoint Protection Manager 包括 一 个嵌 入 式数 据库， 以 及Symantec Endpoint Protection Manager 控制台。用户既可以自动安装嵌入式数据库，也可以将数据库指定到 Microsoft SQL Server2005 实例中。如果支持业务的网络属于小型网络，且位于一个地理位置，那么只需要安装一个 Symantec Endpoint Manager。如果网络分散在不同的地点，则可能需要安装额外的 symantec Endpoint Manager,以用于负载平衡和带宽分配。

3. Symantec Endpoint Protection Manager 的工作方式

用户可以根据需要讲客户端安装为受管客户端和非受管客户端，受管客户端可充分利用网络的功能。网络上的每个客户端和服务器都可通过运行SymantecEndpoint Protection Manager 的一台计算机进行监控、配置和更新。

用 户 也 可 以 从 Symantec Endpoint Manager 控 制 台 安 装 和 升 级 SymantecEndpoint Protection 和 Symantec Network Access Control 客户端。在非受管网络中，必须单独管理每台计算机，或将管理职责转交给计算机的主要用户，对于信息技术资源有限或匮乏的小型网络，应采用这种方法， 相关职责如下。

更新病毒及安全风险定义。 配置防病毒及防火墙设置。 定期升级或迁移客户端软件。

4. Symantec Endpoint Protection Manager 的功能

使用 Symantec Endpoint Protection Manager 可执行以下操作。

1）建立和强制实施安全策略。

2）防止受到病毒、混合性威胁以及安全风险（如广告软件和间谍软件）的侵害。

3）利用集成的管理控制台来管理病毒防护的部署、配置、更新和报告。

4）防止用户访问计算机的硬件设备。如 usb 驱动器

5）利用集成的管理控制台管理病毒防护、防火墙保护盒入侵防护的部署、配置、更新和报告。

6）管理客户端及其位置。

7）标示过期的客户端，迅速应对病毒爆发，并部署更新的病毒定义。

8）创建和维护详细描述网络中发生的重要事件的报告。

9）为连接到网络的所有用户提供针对安全威胁的高级别的防护和集成响应。此防护覆盖始终保持网络连接的远程办公人员和间歇连接到网络
的移动用户。

10）获得分布在网络上的所有工作站的多个安全组建的合并视图。

11）对所有安全组件执行可定制的，集成的安装，并同时设置策略。

12）查看历史记录和日志数据。

5. 部署 SymantecEndpoint Protection 客户端

SEP 客户端可分为受管客户端和非受管客户端，其中受管理客户端可以通过 Symantec Endpoint Protection Manager 远程部署等方式安装，也可以在客户端上使用管理服务器创建的安装包安装，安装完成后将自动添加到指定的组中，并接受服务器的统一管理。而受非受管客户端则可以通过安装光盘完成，虽然同样可以被添加到服务器控制台中，但不接受服务器的管理，

1）安装受管理客户端

主要有以下几种方法：

◆迁移和部署向导的"推"式安装

◆客户端映射网络驱动器安装

◆使用"查找非受管计算机"的部署

◆客户端手动安装

◆使用 Altiris 安装和部署软件安装

2）部署非受管客户端

6. 病毒库的升级

杀毒软件是根据提取的病毒特征来判断文件是否是病毒程序的，升级病毒库就是不断地更新能够识别的病毒特征，增强杀毒软件和系统应用程序之间的兼容性。通常情况下，非受管客户端每天自动从 Symantec LiveUpdate 站点下载病毒库。在新一代 Symantec 安全防御系统中，新增了 LiveUpdate 管理服务器，主要为大型网络（5000 以上端点）提供客户端病毒库升级管理。
 

作者：中国矿业大学计算机学院信息安全专业 孙铭泽