1、第十一讲第十一讲 企业病毒防护策略企业病毒防护策略21. 安全防护体系概述2. 趋势科技的病毒防护策略3 物理安全 网络安全 系统安全 应用安全 数据加密技术 认证与授权技术 访问控制技术 审计跟踪技术 防病毒技术 备份与灾难恢复技术4l 信息安全管理的一般模型-PDCA5q 对安全防护工作重视的领导是安防工作顺利推对安全防护工作重视的领导是安防工作顺利推进的主要动力;进的主要动力;q 有强烈安全防护意识的员工是企业安防体系得有强烈安全防护意识的员工是企业安防体系得以切实落实的基础;以切实落实的基础;q 杜绝企业内部员工攻击网络系统是加强安全防杜绝企业内部员工攻击网络系统是加强安全防护的一项重
2、要工作。护的一项重要工作。6q 启蒙启蒙为安全培训工作打基础,端正对企业为安全培训工作打基础,端正对企业的态度,让他们充分认识到安防工作的重要意的态度,让他们充分认识到安防工作的重要意义及在不重视安防工作的危险后果。义及在不重视安防工作的危险后果。q 培训培训传授安全技巧,使其更好的完成自己传授安全技巧,使其更好的完成自己的工作。的工作。q 教育教育目标是培养目标是培养IT安防专业人才,重点在安防专业人才,重点在于拓展应付处理复杂多变的攻击活动的能力和于拓展应付处理复杂多变的攻击活动的能力和远见。远见。7q 减轻或消除员工和第三方的法律责任减轻或消除员工和第三方的法律责任q 对保密信息和无形资
3、产加以保护对保密信息和无形资产加以保护q 防止浪费企业的计算机资源防止浪费企业的计算机资源 安防制度是这样一份或一套文档,它从整体上规安防制度是这样一份或一套文档,它从整体上规划出在企业内部实施的各项安防控制措施。划出在企业内部实施的各项安防控制措施。 安防制度的作用主要有:安防制度的作用主要有:8 安防制度的生命周期包括制度的制定、推行和监安防制度的生命周期包括制度的制定、推行和监督实施。督实施。第一阶段:规 章制度的制定。本阶段以风险评估工作的结论为依据制定出消除、 减轻和转移风险所需要的安防 控制措施。第二阶段:企业发布执行的规章制度,以及配套的奖惩措施。第三阶段:规章制度的监督实施。制
4、度的监督实施应常抓不懈、反复进行,保证制度能够跟上企业的发展和变化制度的监督实施制度的监督实施制度的制定制度的制定制度的推行制度的推行9q 计算机上机管理制度计算机上机管理制度q 用户账户管理制度用户账户管理制度q 远程访问管理制度远程访问管理制度q 信息保护管理制度信息保护管理制度q 防火墙管理制度防火墙管理制度q 特殊访问权限管理制度特殊访问权限管理制度q 网络连接设备管理制度网络连接设备管理制度q 商业伙伴管理制度商业伙伴管理制度q 顾客管理制度顾客管理制度10q 信息加密技术信息加密技术q 身份鉴别技术身份鉴别技术q 资源使用授权技术资源使用授权技术q 访问审计技术访问审计技术q 备份
5、与恢复技术备份与恢复技术q 防病毒技术防病毒技术11q 网络防火墙网络防火墙q VPN设备设备q 入侵检测设备入侵检测设备q 漏洞评估产品漏洞评估产品q 网络防病毒产品网络防病毒产品12防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测 虚拟专用网虚拟专用网 漏洞评估漏洞评估13q 风险分析是建立安防体系过程中极其关键的风险分析是建立安防体系过程中极其关键的一步,它连接着安防重点和商业需求。它揭一步,它连接着安防重点和商业需求。它揭示了关键性的商业活动对资源的保密性、集示了关键性的商业活动对资源的保密性、集成性和可用性等方面的影响。成性和可用性等方面的影响。q 进行风险分析,有助于制定消
6、除、减轻或转进行风险分析,有助于制定消除、减轻或转移风险的安防控制措施并加以实施。移风险的安防控制措施并加以实施。 消除风险:采取措施彻底消除网络威胁。消除风险:采取措施彻底消除网络威胁。 减轻风险:通过某种安防措施减轻威胁的减轻风险:通过某种安防措施减轻威胁的危害。危害。 转移风险:把风险的后果从自己的企业转转移风险:把风险的后果从自己的企业转移到第三方去。移到第三方去。141516MManagement 安全管理DDetection入侵检测RReaction安全响应RRecovery安全恢复PProtect 安全保护17 安全是一个动态的过程,静态的安全网络架构并不安全是一个动态的过程,静
7、态的安全网络架构并不能完全抵御住新的安全威胁。专业的安全服务可以帮助能完全抵御住新的安全威胁。专业的安全服务可以帮助客户不断调整安全策略、提高网络的安全水平。常见的客户不断调整安全策略、提高网络的安全水平。常见的安全服务有:安全服务有:18成本成本风险风险性能性能19201. 安全防护体系概述2. 趋势科技的病毒防护策略趋势科技的病毒防护策略21内部滥用资源内部滥用资源内部事故内部事故垃圾邮件垃圾邮件病毒、蠕虫、特洛伊病毒、蠕虫、特洛伊网页篡改网页篡改资料和网络的破坏资料和网络的破坏端口扫描端口扫描DDOS10%20%30%40%50%60%70%100%90%80%资料窃取资料窃取79%36
8、%13%23%11%10%5%5%2%l安全威胁的来源资料来源:趋势科技,2004年22引用自国应中心引用自国应中心超过80的计算机被病毒感染过感染病毒的计算机数量逐年上升23引用自国应中心引用自国应中心24引用自国应中心引用自国应中心1.系统无法使用2.数据丢失3.IE被修改4.网络无法使用5.计算机使用受限6.受到远程控制25Source: Radicati Group2627多层次病毒防护体系的实施:多层次病毒防护体系的实施:q 对个人工作站进行病毒防护对个人工作站进行病毒防护q 对文件服务器进行病毒防护对文件服务器进行病毒防护q 对邮件服务器进行病毒防护对邮件服务器进行病毒防护q 企业
9、企业Internet联接的病毒防护联接的病毒防护q 企业广域网的病毒防护企业广域网的病毒防护28q 选择的防病毒产品应与现有网络具有拓扑契合选择的防病毒产品应与现有网络具有拓扑契合性;性;q 企业应选用网络版的防病毒软件企业应选用网络版的防病毒软件 q 应选用单一品牌防毒软件产品应选用单一品牌防毒软件产品q 慎选防病毒软件的供应商慎选防病毒软件的供应商选型原则选型原则29q 企业防病毒策略企业防病毒策略建立多层次病毒防护体系建立多层次病毒防护体系q 防病毒产品的选择原则防病毒产品的选择原则q 防病毒厂商及主要产品防病毒厂商及主要产品本节将分以下几部分介绍防病毒产品相关内容:本节将分以下几部分介
10、绍防病毒产品相关内容:30企业防病毒策略的制订企业防病毒策略的制订 企业应建立多层次的、立体的病毒防护体系,并应企业应建立多层次的、立体的病毒防护体系,并应配备完善的管理系统来设置和维护病毒防护策略,从而配备完善的管理系统来设置和维护病毒防护策略,从而达到防范各种病毒危害的目的。达到防范各种病毒危害的目的。q 在企业每台台式机上安装客户端防病毒软件在企业每台台式机上安装客户端防病毒软件q 在服务器上安装基于服务器的防病毒软件在服务器上安装基于服务器的防病毒软件q 在网关上安装基于在网关上安装基于Internet网关的防病毒产品网关的防病毒产品q 这一防护体系能极大程度地保证企业网络不受病毒这一
11、防护体系能极大程度地保证企业网络不受病毒的危害的危害与其亡羊补牢不如未雨绸缪与其亡羊补牢不如未雨绸缪31q病毒查杀能力病毒查杀能力q对新病毒的反应能力对新病毒的反应能力q病毒实时监测能力。病毒实时监测能力。q快速、方便的升级快速、方便的升级q智能安装、远程识别智能安装、远程识别q管理方便,易于操作管理方便,易于操作q对现有资源的占用情况对现有资源的占用情况q系统兼容性系统兼容性q软件的价格软件的价格q软件商的企业实力软件商的企业实力防病毒产品选择应考虑的具体因素防病毒产品选择应考虑的具体因素32OutbreakPreventionVirusResponseDamageCleanupCentra
12、lized Management: Trend Micro Control Manager VulnerabilityAssessmentEnforceMonitorPreventRecoverOLDNEW33The Whole Is Better Than The Sum Of Parts34Cleanup防护策略部署中防护策略部署中安全预防服务安全预防服务OPS病毒特征码病毒特征码发布发布病毒特征码部署中病毒特征码部署中Cost and EffortEPS can saveCleanupCleanup35防火墙防火墙远程用户远程用户远程用户远程用户网关网关文件服务器文件服务器文件服务器文件
13、服务器电子邮件服务器电子邮件服务器手机手机/个人数字助理个人数字助理桌面桌面桌面桌面Trend MicroControlManager网络病毒墙互联网互联网网关网关应用层应用层终端终端36 NTSolarisLinuxNTAIXAS/400S/390for EMCfor Linuxfor Exchangefor DominoIMSSIWSSSolaris桌面与服务器桌面与服务器存储存储/Linux服服务器务器防毒对象防毒对象群件服务器群件服务器Internet网关网关中央控管软件中央控管软件病毒损害清除病毒损害清除网络病毒墙网络病毒墙For NASIMSAIWSAWebProtectIGSA3
14、7集中部署、集中部署、管理、更新管理、更新趋势产品趋势产品集中部署、管集中部署、管理、更新理、更新1.整体网络版端安全解决方案整体网络版端安全解决方案: 提供提供: 病毒查杀/间谍软件查杀/网络版防火墙/IDS全部由一个软件程序完成全部由一个软件程序完成2.统一的管理统一的管理/更新以及配置更新以及配置3.病毒专杀工具的集成病毒专杀工具的集成:自动从Internet下载分发到每一台计算机进行注册表清除,内存清除等工作4.病毒爆发预防策略病毒爆发预防策略:等待病毒码期间自动封闭病毒传播所利用的端口,文件共享以及病毒会修改的文件和文件夹5.安全的移动的安全的移动的Web管理方式管理方式6.支持多达
15、支持多达9种的快捷部署方式种的快捷部署方式7.自动定期检测网络中的病毒安全漏洞自动定期检测网络中的病毒安全漏洞8.38FirewallFile ServerClientInternet GatewayOfficeScan ServerCentral ControlMail Server可提供完善的服务器防毒功能可提供完善的服务器防毒功能1、防护、防护Linux服务器服务器2、防护大型存储设备、防护大型存储设备: NetAPP等等391.整合性的整合性的Domino安全防护安全防护: 邮件/OA文件病毒查杀/垃圾邮件清除/间谍软件清除2.跨操作系统平台的服务器分组配置功能跨操作系统平台的服务器分
16、组配置功能:使管理员只要维护很小一部分的共享配置数据库,就可以统一管理巨大数量的服务器有效降低管理成本3.Rule based 的配置的配置:使得用户可以对不同的用户和组设定不同的扫描配置选项,使企业应用更灵活4.简单方便的安装方式简单方便的安装方式:支持Domino的复制安装5.支持支持Domino客户端管理方式以及客户端管理方式以及TrendMciro独特的独特的Web管理方式管理方式6.图形化的日志报表图形化的日志报表7.最广泛的最广泛的Domino平台支持平台支持8.401.整合性的整合性的Exchange安全防护安全防护: 邮件病毒查杀/垃圾邮件清除/2.支持网关支持网关SMTP数据
17、流扫描数据流扫描3.智能垃圾邮件判别智能垃圾邮件判别:智能判断、过滤垃圾邮件,同时配合以EUQ(End User Quarantine)功能,提供最终用户个性化、方便、有效的邮件服务,帮助用户分流邮件,提高邮件处理的效率4.eManager高级内容过滤高级内容过滤5.简单的部署和管理简单的部署和管理:实现统一的部署、管理多台ScanMail服务器;统一回收、整理完整的病毒日志;制订客制化的通知。可以大大提高管理人员的工作效率6.图形化的日志报表图形化的日志报表7.微软推荐产品微软推荐产品/市场占有率第一市场占有率第一8.411.网关整合性的网关整合性的Email安全产品安全产品:病毒邮件查杀/
18、垃圾邮件查杀/间谍软件检测/邮件内容过滤2.双重的垃圾邮件检测双重的垃圾邮件检测:利用趋势科技PASE以及TMASE双重垃圾邮件扫描引擎(可选)3.防转发功能设定防转发功能设定(Anti-Relay)4.Web-based End User Quarantine5.支持支持RBL6.支持支持LDAP7.防防Email ddos攻击攻击8.42 网站和网站和FTPFTP下载中可能会含有恶意代码和间谍软件下载中可能会含有恶意代码和间谍软件 80%的IT经理已经将spyware间谍软件视为2005年首要解决的3个问题之一(CNET networks, 2005年3月) 现存的反间谍软件中,超过一半以
19、上是point/stand-alone的解决方案;而且这些方案中,80以上都是部署在桌面客户机的(CNET networks, 2005年3月) 当员工们通过其当员工们通过其webweb邮件帐号收发邮件时,病毒可以通邮件帐号收发邮件时,病毒可以通过过HTTPHTTP进入企业网络进入企业网络 日益增长的间谍软件和日益增长的间谍软件和PhingingPhinging相关威胁,会利用相关威胁,会利用HTTPHTTP传输个人隐私和企业敏感信息传输个人隐私和企业敏感信息2004年12月2005年3月Phishing攻击数量增长了 60%(APWG 05年3月报道)43Jan2,560Feb2,625Ma
20、r2,870Apr2,854May3,326Jun4,280Jul4,564Aug5,259Source: Anti-Phishing Working GroupProjectedProjected网络钓鱼相关的网站441.1. 防病毒防病毒,防间谍软件防间谍软件2.2. 配额管理配额管理3.3. URL URL 阻止和反阻止和反PhishtrapPhishtrap4.4. URL URL 过滤过滤: :更优化的性能和例外列表)5. Applet + ActiveX5. Applet + ActiveX签名检查签名检查45网络管理员很难控制用户的下列网络管理员很难控制用户的下列行为行为系统补丁
21、系统补丁 对网管发布的安全通告置之不理对网管发布的安全通告置之不理 关键补丁不安装关键补丁不安装防毒软件防毒软件 私自卸载防病毒软件私自卸载防病毒软件 停止防病毒实时扫描服务停止防病毒实时扫描服务 防病毒软件不及时更新防病毒软件不及时更新病毒病毒IP包包 中毒后疯狂发包,大量消耗网络中毒后疯狂发包,大量消耗网络带宽带宽 跨部门、跨网段扫描,主动攻击跨部门、跨网段扫描,主动攻击更多设备更多设备46冲击波2003年8月11日补丁:MS03-026 2003年7月16日补丁: MS02-0392002年7月24日蠕虫王2003年1月25日时间间隔26 天185 天336 天尼姆达补丁: MS00-0
22、782000年10月17日2001年9月18日震荡波2004年5月1日补丁:MS04-011 2004年4月13日18 天471.网络层数据包清除网络层数据包清除2.安全策略强制安全策略强制3.漏洞评估与监控漏洞评估与监控4.病毒爆发防护病毒爆发防护5.远程清除中毒机器远程清除中毒机器6.流量分析和预警流量分析和预警48 源头处阻止垃圾邮件传播Spammer从以下几个方面节省企业成本: 减少因垃圾邮件引起的带宽和CPU资源耗损 减少因为隔离邮件而带来的存储要求 减轻 IT人员工作压力 提高最终用户的生产效率1Network Anti-spam Service Query toReputatio
23、ndatabase21. Connection request is sent2. Connection is REJECTED3. 0 messages to be processed by filtering system.InternetMTA or FirewallMail Serverw/contentand virusfilteringEnd-user49网络边界安全网络边界安全IMSS/IWSS关键应用安全(电子邮件关键应用安全(电子邮件 )ScanMail 安全管理中心安全管理中心趋势专业服务趋势专业服务PSP/红色服务红色服务/EOG 应用服务器安全应用服务器安全Server
24、Protect网络终端设备安全网络终端设备安全OfficeScan 网络层数据交换安全网络层数据交换安全NVW中央控管中央控管TMCM501.1.TMCMTMCM可以实现趋势科技所有产品的集中可以实现趋势科技所有产品的集中式配置管理。式配置管理。2.2.按需产品集中控制。按需产品集中控制。3.3.集中式更新控制(集中式更新控制(OPPOPP防护策略、防病防护策略、防病毒代码、扫描引擎、反垃圾邮件代码)毒代码、扫描引擎、反垃圾邮件代码)4.4.层叠架构。层叠架构。5.5.HTTPS WebHTTPS Web管理控制台和动态更新。管理控制台和动态更新。6.6.前瞻性爆发预防。前瞻性爆发预防。7.7.使用爆发阻止服务预防病毒和其他恶意使用爆发阻止服务预防病毒和其他恶意软件爆发。软件爆发。8.8.损害清除服务。损害清除服务。9.9.使用漏洞侦测服务的系统漏洞扫描。使用漏洞侦测服务的系统漏洞扫描。10.10. 集中式统计报告集中式统计报告11.11. 51Exper On Guard