防病毒整体技术方案.doc

防病毒软件技术方案
赛门铁克软件（北京）有限公司
2012年 10月
目 录
第1章 恶意代码发展趋势 1
第2章 防病毒系统设计思路 3
基于特征的防病毒技术分析 3
传统的防病毒产品使用效果分析 5
技术＋服务的体系化建设 6
技术层面：主动防御 7
服务层面 14
第3章 产品选型推荐 16
SEP 12组件及功能说明 16
第4章 部署方案 24
部署架构 24
管理系统功能组件说明 24
病毒定义升级 26
防病毒系统初建后第一次升级方案 26
正常运维状态下的升级方案 27
Symantec病毒定义升级频率 27
网络带宽影响 28
安全管理策略设计 29
管理权限策略 29
客户端分组策略 29
备份和数据库维护策略 29
安全策略 30
服务器的硬件配置需求 32
第5章 实施方案 33
项目工作范围 33
实施计划 33
项目里程碑 33
项目工作进度计划与安排 34
项目人员安排 38
项目组织机构 38
项目人员组成 38
变更管理 41
项目变更管理控制过程 41
项目变更审批流程 41
变更评审小组的成员名单 42
变更申请表样式 43
项目沟通计划 44
第6章 培训方案 46
第7章 服务方案 48
赛门铁克专业防病毒服务体系 48
赛门铁克服务水平阐述 48
赛门铁克安全响应中心 49
赛门铁克企业客户服务中心 49
赛门铁克安全合作服务商 50
赛门铁克专业防病毒服务流程 50
基本流程 51
客户服务专员的工作流程 52
客户服务经理的工作流程 52
工程师的工作流程 53
紧急事件响应流程 54
恶意代码发展趋势
终端所面临的安全威胁已不再是传统的病毒，而是更加复杂的恶意代码（广义病毒）。分析恶意代码的发展趋势可以帮助我们更好地构建病毒防护体系，优化现有安全防护体系，从而实现保障终端安全的最终目标。
前所未见的恶意代码威胁
当前，终端安全必需要面对的首要问题是越来越多的恶意代码是未知的，前所未见的。前所未见的威胁之所以剧增，其中一个主要原因是恶意代码系列中出现大量变种。攻击者普遍都在更新当前的恶意代码，以创建新的变种，而不是“从头开始”创建新的恶意代码。一些恶意代码系列（如熊猫烧香、Flamer系列）中的变种数量多如牛毛便是这方面淋漓尽致地再现。
恶意代码的编写者创建新变种的方法各式各样，其中包括变形代码进化、更改功能及运行时打包实用程序，以逃避防病毒软件的检测。前几年，蠕虫和病毒（红色代码、冲击波）的大规模爆发表明，恶意代码无需复杂就可以感染大量计算机。如今，关注的焦点逐渐转移到目标性攻击和更狡猾的感染方法上。因此，越来越多的攻击者开始使用复杂的多态技术来逃避检测，为传播助力。多态病毒可以在复制时更改其字节样式，从而逃避采用简单的字符串扫描防病毒技术进行的检测。
特洛伊木马
特洛伊木马是一种不会进行自我复制的程序，但会以某种方式破坏或危害主机的安全性。特洛伊木马看起来可用于某些目的，从而促使用户下载并运行，但它实际上携带了一个破坏性的程序。它们可能伪装成可从各个来源下载的合法应用程序，还可能作为电子邮件附件发送给无防备的用户。
根据统计，大部分特洛伊木马是通过恶意网站进行安装的。它们利用浏览器漏洞，这些漏洞允许恶意代码的作者下载并执行特洛伊木马，而很少或无需与用户交互。当用户使用Microsoft Internet Explorer 查看其中的恶意的网络页面时，特洛伊木马便会通过浏览器中的多客户端漏洞安装在用户的系统中。然后，特洛伊木马会记录某些网站的身份验证资料，并将其发送给远程攻击者。许多新出现的特洛伊木马还会从受感染的系统中窃取特定的消息，如网上银行密码。
广告软件/流氓软件
终端用户遭遇的广告软件/流氓软件的几率越来越高，广告软件可执行多种操作，其中包括显示弹出式广告、将用户重引导至色情网站、修改浏览器设置，如默认主页设置以及监视用户的上网活动以显示目标广告。其影响范围包括单纯的用户骚扰、隐私权侵犯等。Adware 的影响因其固有的特点而难以量化。但这并不意味着它们不是安全问