防病毒整体技术方案.doc

防病毒软件技术方案赛门铁克软件(北京)有限公司2012年10月目录第1章 恶意代码发展趋势 1第2章 防病毒系统设计思路 基于特征的防病毒技术分析 传统的防病毒产品使用效果分析 技术+服务的体系化建设 技术层面:主动防御 服务层面 14第3章 产品选型推荐 SEP12组件及功能说明 16第4章 部署方案 部署架构 管理系统功能组件说明 病毒定义升级 防病毒系统初建后第一次升级方案 正常运维状态下的升级方案 Symantec病毒定义升级频率 网络带宽影响 安全管理策略设计 管理权限策略 客户端分组策略 备份和数据库维护策略 安全策略 服务器的硬件配置需求 32第5章 实施方案 项目工作范围 实施计划 项目里程碑 项目工作进度计划与安排 项目人员安排 项目组织机构 项目人员组成 变更管理 项目变更管理控制过程 项目变更审批流程 变更评审小组的成员名单 变更申请表样式 项目沟通计划 44第6章 培训方案 46第7章 服务方案 赛门铁克专业防病毒服务体系 赛门铁克服务水平阐述 赛门铁克安全响应中心 赛门铁克企业客户服务中心 赛门铁克安全合作服务商 赛门铁克专业防病毒服务流程 基本流程 客户服务专员的工作流程 客户服务经理的工作流程 工程师的工作流程 紧急事件响应流程 54恶意代码发展趋势终端所面临的安全威胁已不再是传统的病毒,而是更加复杂的恶意代码(广义病毒)。分析恶意代码的发展趋势可以帮助我们更好地构建病毒防护体系,优化现有安全防护体系,从而实现保障终端安全的最终目标。前所未见的恶意代码威胁当前,终端安全必需要面对的首要问题是越来越多的恶意代码是未知的,前所未见的。前所未见的威胁之所以剧增,其中一个主要原因是恶意代码系列中出现大量变种。攻击者普遍都在更新当前的恶意代码,以创建新的变种,而不是“从头开始”创建新的恶意代码。一些恶意代码系列(如熊猫烧香、Flamer系列)中的变种数量多如牛毛便是这方面淋漓尽致地再现。恶意代码的编写者创建新变种的方法各式各样,其中包括变形代码进化、更改功能及运行时打包实用程序,以逃避防病毒软件的检测。前几年,蠕虫和病毒(红色代码、冲击波)的大规模爆发表明,恶意代码无需复杂就可以感染大量计算机。如今,关注的焦点逐渐转移到目标性攻击和更狡猾的感染方法上。因此,越来越多的攻击者开始使用复杂的多态技术来逃避检测,为传播助力。多态病毒可以在复制时更改其字节样式,从而逃避采用简单的字符串扫描防病毒技术进行的检测。特洛伊木马特洛伊木马是一种不会进行自我复制的程序,但会以某种方式破坏或危害主机的安全性。特洛伊木马看起来可用于某些目的,从而促使用户下载并运行,但它实际上携带了一个破坏性的程序。它们可能伪装成可从各个来源下载的合法应用程序,还可能作为电子邮件附件发送给无防备的用户。根据统计,大部分特洛伊木马是通过恶意网站进行安装的。它们利用浏览器漏洞,这些漏洞允许恶意代码的作者下载并执行特洛伊木马,而很少或无需与用户交互。Explorer查看其中的恶意的网络页面时,特洛伊木马便会通过浏览器中的多客户端漏洞安装在用户的系统中。然后,特洛伊木马会记录某些网站的身份验证资料,并将其发送给远程攻击者。许多新出现的特洛伊木马还会从受感染的系统中窃取特定的消息,如网上银行密码。广告软件/流氓软件终端用户遭遇的广告软件/流氓软件的几率越来越高,广告软件可执行多种操作,其中包括显示弹出式广告、将用户重引导至色情网站、修改浏览器设置,如默认主页设置以及监视用户的上网活动以显示目标广告。其影响范围包括单纯的用户骚扰、隐私权侵犯等。Adware的影响因其固有的特点而难以量化。但这并不意味着它们不是安全问题。最严重的影响可能是大范围破坏个别最终用户系统的完整性。包括:性能下降、浏览器故障、系统频繁死机等。混合型威胁混合型威胁可以利用多种方法和技术进行传播。它们不但能利用漏洞,而且综合了各类恶意代码(病毒、蠕虫和特洛伊木马程序)的特点,从而可以在无需或仅需很少人工干预的情况下,短时间内感染大量系统,迅速造成大范围的破坏。混合型威胁常用的多传播机制使其可