网络版防病毒安全解决方案

1. 背景

近年来，随着互联网的快速发展，网络威胁也随之发生了翻天覆地的变化，黑技术不断翻新，而快速成长的中型企业的信息化建设正处于构建基础架构阶段，企业内部往往缺乏完整的防毒安全框架，无专人负责网络安全，对于防毒软件的部署，部门（员工）各自为政，面对日益复杂的防病毒挑战。显得力不从心。当网络威胁来临时，能有效拦截，快速修复的企业，才能保有其生命力、竞争力、成长力度。

1.1 主要安全问题

随着最近几年网络应用的快速发展和具有黑客攻击特征的新类型病毒的大量出现，原有的防毒措施已经不能很好满足现在企业网络系统的需要，突出表现在如下几个方面：

1.2 防病毒软件零散没有统一应用

整个企业都没有统一部署防病毒软件，各个单位自行建设，没有统一部署和统一管理，桌面计算机的病毒防护能力相对较低。最终导致病毒、木马软件、间谍软件、僵尸程序等恶意程序经过一机多用，U盘使用，网络共享等方式悄无声息的入侵到网络和计算机中来。

然而，依据信息安全建设的“木桶原理”，一台计算机不安全，就会降低整个企业的信息安全治理水平。所以，只要还有未部署防病毒软件的不安全计算机存在，XXX的信息安全水平就会受到极大的影响。

1.2.1 现有网络版防毒系统功能不够全面

随着新型病毒的不断出现，在网络节点上的病毒防护要求变得越来越高，一方面要求网络版防毒系统对病毒、木马、蠕虫、间谍软件、灰色软件等恶意程序具备综合的防护能力，另一方面要兼具网络层扫描、防火墙、IDS等精细化策略控制。原有网络版防毒系统由于不能很好满足当前的防护要求，在网络节点防范方面存在着潜在的安全隐患。

此外，现有防病毒系统采用传统的病毒码比对技术，严重依靠单一的病毒码防范机制，导致大量新病毒出现的今天无法有效地抵御威胁，特别是当前大量的恶意站点威胁，计算机用户一不小心就在网络应用中感染木马、间谍程序。

1.2.2 现有网络版防毒系统可操控性差

在原网络版防毒系统中，管理人员常常是被动地面对病毒的攻击，无法采取主动性的安全策略实施，来提高整个网络系统的安全防护能力，如没有办法对整个网络节点的安装状况进行随时监控、没有办法对潜在病毒的传播途径进行整体封堵、没有办法对病毒传染源进行及时掌控等。

1.2.3 不具备安全策略控制能力

在今天的防毒系统构建中，我们为了保证防毒系统平稳、顺利地运行，就必须对网络节点补丁的部署、防毒系统的安装、防毒系统的更新、是否加入域等节点状态进行必要的监控和控制，在网关层次上拒绝掉不符合安全策略要求的节点的对外访问。只有这样，才能构建起良性互动的病毒防护安全体系。

1.2.4 防毒服务不到位

原先部署的网络版防毒系统，仅仅是产品的部署和应用，然而，安全防护能力是一个动态的过程，今天有效的防御能力并不代表明天还具有同样的水平，必须有相应的项目运维保障。没有合作伙伴及厂商良好的服务支持，这对安全性要求极高的XXX网络系统来讲是远远不够的，XXX网络系统需要的是专职服务工程师的快速响应和咨询顾问式服务，并在厂商技术人员的指导下构建起XXX的快速防毒应急体系，随时与厂商的防毒应急体系进行互动。

1.3 来自互联网的威胁不断激增

据国际权威的第三方监测组织AV-Test统计数据看，当前互联网上已有超过1600万种恶意程序，并且还在不断激增，每小时有1883多种新病毒产生。

根据国家计算机病毒应急处理中心2009年调查的数据，国内病毒感染率自2001年以来一直处于高水平。感染过计算机病毒的用户比例2001年为73%，2002年为83.98%，2003年增长到85.57%，2008年感染率达到87.50%，2009年略有下降，感染率为70.51%。

信息来源：2009年8月公安部国家计算机病毒应急处理中心

从病毒传播的方式上看越来越多样化，比如网络浏览、文件下载、收发电子邮件、局域网访问、光盘等存储介质使用。计算机用户在一不小心，就感染了病毒等恶意程序。

信息来源：2009年8月公安部国家计算机病毒应急处理中心

2. 病毒防治建设要求

基于企业安全建设现状的分析，以及业界信息安全建设最佳实践，我们提出了下一步病毒防治建设的规划要求。

1) 具有良好的防病毒安全策略，且能构成动态自适应防病毒系统

构建一个全面有效的网络防病毒系统，应根据特定的网络环境定制病毒防护策略：策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系，全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段，能够在病毒爆发生命周期各个阶段对病毒进行有效的控制，将病毒造成的损失降到最低。

2) 部署针对不同操作系统平台及应用防病毒软件

在XXX的网络体系中，各类操作系统平台有大量应用，如Windows 2000/2003/Vista/2008/Windows 7系统，此外还分布有大量应用系统，如邮件系统，数据库系统等。要求防病毒系统能够覆盖到各个操作系统平台的计算机的保护。

3) 全网病毒代码统一自动更新功能

构建有效病毒防护的关键环节需要保证产品能做到定期升级，网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能，同时具备自动分发功能，能够在单点更新，然后在不需要人为干预的情况下，实现全网所有产品的病毒码更新。

3. 防病毒系统建设

3.1 防病毒体系设计思路

为了构建一个强壮、有效的防病毒体系，在分析了用户网络架构及相关应用之后，针对潜在的病毒传播威胁，建议采用结合产品、防御策略、服务为一体的防病毒体系。

第一层：产品管理层（officescan）

该层主要用于对officescan服务器端进行统一的管理，查看全网计算机的病毒日志，进行统一的病毒清除和病毒代码更新，策略的统一下发，设置终端计算机退出、卸载密码等。

第二层：产品客户端层

位于防护体系的第三层次，由客户端防护产品OfficeScan客户端构成，主要用于防护客户机，完成对病毒的查杀，并向安装在专用防病毒服务器的OfficeScan管理中心报告，并进行集中管理。

3.2 网络防病毒部署架构

总体安全部署示意图如下：

防毒墙网络版（OfficeScan）系统，对全网的OfficeScan客户端进行监控和管理，其中包括统一安全策略部署、病毒码/反病毒引擎的升级、集中日志管理等。

3.3 网络版防病毒软件OfficeScan简介

概述：

趋势科技的OfficeScan网络版防病毒产品将管理,配置与部署的功能集中到服务器端（Officescan服务器端）。透过Officescan服务器端的Web接口的管理主控台，管理人员可以从网络上的任何地点，来管理和设置全公司的防毒策略（每一台计算机都安装了Officescan客户端防病毒软件），并且也能迅速响应各种紧急事件。

产品主要功能：

桌面虚拟化特别优化

· 自动识别客户端运行环境于物理终端或虚拟终端，从而提供更好的防护目标 

· 通过设置将桌面虚拟器的扫描和特征码的更新作业排程，防止发生网络、CPU 和存储器冲突 

· 利用初始母版和白名单技术，记录扫描内容，从而缩短虚拟桌面的扫描时间 

文件信誉技术(FRT)

· 用户访问某文件前将自动在云端查询该文件的最新安全等级，并阻止用户对低安全等级文件的访问 

· 病毒代码部署时间从原有的数小时甚至数天，缩短至几秒 

· 不论是否与企业网络连接，都可为终端提供零时差防护 

· 文件病毒代码移至云端，对终端性能和资源占用节省40%

Web信誉技术(WRT)

· 防御基于 Web 的恶意软件、数据窃取、生产力损失和信誉损害 

· 对数以百万计的 Web 站点进行动态评级，确定其安全性 

· 不论使用何种连接类型以及网络连接方案，都可以提供实时防护 

· 私有云技术完成本地服务器同步并提升 Web 性能和隐私性 

数字资产控制（数据保护模块）

数字资产控制可保护组织的数字资产免遭意外或故意泄露，数字资产控制允许您执行以下操作：

· 确定要保护的数字资产

· 创建用于限制或阻止通过常用传输通道（如电子邮件和外部设备）传输数字资产的策略

· 按照已建立的隐私标准强制执行合规

卓越的恶件防护

· 针对病毒(Virus)、特洛伊木马病毒(Trojan)、蠕虫(Worm)、间谍软件(Spyware)和新变种病毒提供强大防护 

· 以全新的技术侦测并清除活动和隐藏中的Rootkits 

· 新设备控制技术可依照企业的规定安全地处理可移动媒介 

· 对客户机的POP3电子邮件以及Outlook文件夹进行威胁扫描，保护终端邮箱

虚拟补丁技术（入侵防护模块插件） 

· 安装补丁之前保护终端免受漏洞攻击

· 提供零日防护，尤其针对无法轻易安装补丁的终端

· 比传统补丁更快速、更容易地部署

扩展的平台支持

· 与您的Microsoft基础架构精准的结合，提供向Windows Server 2008的安全移植 

· 支持虚拟化环境和Citrix Terminal服务器, 实现高效的资源利用 

· 通过Windows安全中心简化管理

· 支持Windows® Embedded POSReady 2009；Windows® Embedded Enterprise（Windows 7、Vista 和 XP 版本）

易于管理

· 自动清除用户端的恶意软件，包括隐藏或被锁定的程序和系统登陆资料 

· 与微软Active Directory轻松集成，同步检索终端信息并依据策略提供报告 

· 支持原生64位和32位运算，性能最优化 

· 可通过单一Web介面主控台集中管理

3.4 详细部署介绍

3.4.1 网络版系统需求

3.4.1.1 防毒墙网络版服务器

带有 2GHz 双处理器和 2GB 内存的防毒墙网络版服务器通常可以管理 3000到 5000 个客户端。

带有 3GHz 双处理器和 4GB 内存的防毒墙网络版服务器通常可以管理 5000到 8000 个客户端。

1、操作系统

Windows 2003

- 带有 Service Pack 2 的 Windows Server™ 2003 （Standard、Enterprise 和 Datacenter 版）或更高版本， 32 位和 64 位版本

- 带有 Service Pack 2 的 Windows Server 2003 R2 （Standard、Enterprise 和 Datacenter 版）或更高版本， 32 位和 64 位版本

- Windows Server 2003 R2， 32 位和 64 位版本

- Microsoft Cluster Server 2003

Windows 2008

- 带有 Service Pack 1 的 Windows Server 2008 （Standard、Enterprise、Datacenter 和 Web 版）或更高版本， 32 位和 64 位版本

- Microsoft Cluster Server 2008

- 如果 Windows 2008 在服务器核心或 Hyper-V™ 环境中运行，则无法安装防毒墙网络版。

防毒墙网络版支持在以下虚拟化应用程序中托管的来宾 Windows2000/2003/2008 操作系统中安装服务器：

- VMware™ ESX™/ESXi Server 3.5 （服务器版）

- VMware Server 1.0.3 或更高版本（服务器版）

- VMware Workstation 和 Workstation ACE Edition 6.0

- 也可以将服务器安装到带有 Service Pack 1 的,  Microsoft Virtual  Server 2005 R2 上托管的来宾 Windows 2000 和 2003 （32 位）操作系统上。

2、硬件(Windows2008)

<, SPAN style="FONT-FAMILY: ’宋体’; mso-spacerun: ’yes’">

处理器

- 至少 1GHz Intel™ Pentium™ 或同等 x86 处理器以及 1.4 GHz x64 处理器；建议使用 2 GHz 处理器

- 至少 1.86GHz Intel Core2Duo™ （如果安装集成型云安全服务器）

- AMD™ 64 和 Intel 64 处理器体系结构

内存

- 最低要求是 512MB，建议使用 2GB

- 最低要求是 1GB （如果安装集成型云安全服务器）

可用磁盘空间

- 最低要求是 2.8 GB （如果本地安装防毒墙网络版服务器、防毒墙网络版客户端、策略服务器 for Cisco™ NAC 和集成型云安全服务器）

- 最低要求是 3.2GB （如果远程安装防毒墙网络版服务器、防毒墙网络版客户端和集成型云安全服务器）

其他

- 千兆网络接口卡 (NIC)

- 在颜色为 256 或更高时，支持分辨率 800 x 600 的显示器

3、硬件(适用于所有其他平台)

处理器

- 800MHz Intel Pentium 或同等处理器

- 至少 1.86GHz Intel Core2Duo™ （如果安装集成型云安全服务器）

内存

- 最低要求是 512MB，建议使用 1GB

- 最低要求是 1GB （如果安装集成型云安全服务器）

可用磁盘空间

- 最低要求是 2.8 GB （如果本地安装防毒墙网络版服务器、防毒墙网络版客户端、策略服务器 for Cisco NAC 和集成型云安全服务器）

- 最低要求是 3.2GB （如果远程安装防毒墙网络版服务器、防毒墙网络版客户端和集成型云安全服务器）

其他

- 千兆网络接口卡 (NIC)

- 在颜色为 256 或更高时，支持分辨率 800 x 600 的显示器

4、Web 服务器

- Microsoft Internet Information Server (IIS)

n 在 Windows 2000 上：版本 5.0

n 在 Windows Server 2003 上：版本 6.0

n 在 Windows Server 2008 上：版本 7.0

- Apache™ Web server 2.0.x

- 可访问服务器计算机的管理员或域管理员权限

- 对于安装在服务器计算机上的 Microsoft 网络，允许“文件和打印机共享”

- 如果计划在安装防毒墙网络版服务器的同一台计算机上安装Cisco Trust Agent (CTA)，则不要在 Windows Server 2003 x64版上安装防毒墙网络版服务器。

3.4.1.2 防毒墙网络版客户端

· Windows® 7
1GHz Intel™ Pentium™、2GHz Intel™ x64 处理器、2GHz AMD x64处理器；1GB内存；1G可用磁盘空间

· Windows® 2008
1GHz Intel™ Pentium™、Intel™ x64 处理器、1.4GHz AMD x64处理器；1GB内存；350MB可用磁盘空间

· Windows® Vista®
800MHz Intel™ Pentium、Intel™  x64处理器、AMD x64 处理器；1GB内存；350MB可用磁盘空间

· Windows® XP和2003
300MHz Intel™ Pentium™、Intel™  x64 处理器、AMD x64 处理器；256MB内存；350MB可用磁盘空间

· Windows® Embedded POSReady 2009

300 MHz IntelTM PentiumTM 处理器或等效处理器；256MB 内存；350MB 磁盘空间

· Windows® Embedded Enterprise（Windows 7、Vista 和 XP 版本）

300 MHz IntelTM PentiumTM 处理器或等效处理器；256MB 内存；350MB 磁盘空间

· 虚拟化

Microsoft Virtual Server 2005 R2 SP1；VMwareTM vSphere 4；VMware ESXi Server 4；VMware Server 2.0；

VMware Workstation 和 Workstation ACE Edition 7；VMware View 4；Citrix XenApp Server 5；Citrix XenDesktop 4；Citrix Receiver 1.2

3.4.1.3 打开 Web 控制台

从网络上具有下列资源的任何计算机打开 Web 控制台：

- 300MHz Intel™ Pentium™ 处理器或同等处理器

- 128MB 内存

- 至少 30MB 的可用磁盘空间

- 在颜色为 256 或更高时，支持分辨率 800 x 600 的显示器

- Microsoft Internet Explorer™ 6.0 或更高版本

3.4.2 网络版部署方式

- OfficeScan管理端安装在服务器上

- 客户端支持如下多种安装方式：

1. 登录脚本安装

2. 浏览器安装（将安装链接放在网站上）

3. 远程安装

4. 扫描安装

5. 光盘安装

6. 通知安装

7. 共享安装

8. 生成安装包安装

9. 通过微软SMS安装

10. 硬盘克隆安装

3.4.3 网络版管理方式

在任一台客户机上打开浏览器，访问网址http://IP_Server:4343/officescan，输入口令就可以管理，管理支持HTTPS，如下图所示：

3.4.4 网络版升级方式

自动升级，增量分发，如果服务器端不能上网，可通过部署趋势科技更新复制服务器实现集中更新，客户端更新同时支持三种更新方式：

1. 主动分发：管理端从Internet自动升级一次后，自动按增量分发至被管理的每一台在线客户端，非在线客户端一旦接入网络，即可立即；

2. “拉”方式更新：可以配置客户端自行从服务器端通过“拉”的方式获得更新，这种情况适合NAT环境；

3. 自行上Internet更新：被管理客户机可以直接上Internet获得更新，支持移动办公的防护要求。

3.5 趋势Officescan产品优势

    l 趋势科技：全球网络防病毒领导厂商产品，有较高的产品知名度；

l 趋势科技：具有全球性病毒检测能力，具有对网络版防病毒软件、防病毒网关、网络层安全网关产品的集中控管能力；

l 综合性的防护能力：采用业界最先进的云安全技术——网页信誉技术（WRT）和文件信誉技术（FRT），在云端提供快速、实时的安全状态查找功能。最防护海量病毒有效手段。它使计算机免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，同时具备防火墙和入侵检测的能力；

l 降低资源消耗： 减少针对新出现的威胁提供防护所需的总体时间。 减少在特征码更新期间占用的网络带宽。大多数特征码定义更新只需要传送到云端，而不是许多端点。 减少整个公司范围内特征码部署所涉及的成本和开销。 降低端点上的内核内存占用。内存占用随时间的推移以最低限度增加。

l 对桌面虚拟化平台的全面支持: 自动识别客户端运行环境于物理终端或虚拟终端，从而提供更好的防护目标；支持业界通用的Vmware和Citrix的虚拟桌面平台

l 技术架构：控管中心采用B/S架构进行管理；

l 多种安装方式：智能安装、远程安装、 WEB 安装、服务器远程推送安装等方式以及脚本登录安装等；

l 支持防护策略的自动/手动配置：有效控制病毒扩散（通过主控服务器，在设定的时间段内，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改）；

l 综合性的防护能力：免受病毒，特洛伊，蠕虫和现在的间谍软, 件的攻击，同时具备防火墙和入侵检测的能力；

l 支持防护策略的自动/手动配置：有效控制病毒扩散（通过主控服务器，在设定的时间段内，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改）；

l 集成网络版防火墙：通过Officescan服务器端统一配置和管理每个计算上安装的网络版网络墙；

l 防火墙策略应用程序的备用服务器：<, SPAN style="FONT-FAMILY: ’宋体’; mso-spacerun: ’yes’">客户计算机可能无法连接到防毒墙网络版服务器，但仍可连接到您指定的备用防毒墙网络版服务器上，以提供防火墙策略更新。

l 集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；

l 防御间谍软件和其他类型的灰色软件：防毒墙网络版可以帮助保护您的计算机远离被趋势科技视为灰色软件的各种威胁和损害，包括众所周知的类型 － 间谍软件；

l 临界间谍软件/灰色软件例外列表：防毒墙网络版可能将特定类型的文件识别为灰色软件，尽管您计算机上合法的应用程序可能需要使用这些文件。为防止防毒墙网络版将这些文件识别为灰色软件，可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表。

l 实时更新病毒日志：方便而简单的配置管理与实时报告；

l 支持 Cisco NAC 2.0 版：随着 Cisco Trust Agent 的升级，防毒墙网络版客户机可以继续将防病毒信息发送到 Cisco NAC 2.0 版系统中的访问控制服务器（4.0 版）和策略服务器。并且同时支持Cisco NAC 1.0 版；

l 自动更新：先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动；支持客户端自行上互联网更新防毒组件；

l 灵活的更新代理设置：通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效；

l 检测为安装防病毒软件的计算机：支持网段扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞；

l 强大的数据库管理：支持将纪录数据导入SQL服务器方便数据分析与管理；

l 灵活的客户端迁移：支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装；

l 定位病毒源头病毒：客户机的排行榜功能，帮助网管了解毒源、善后处理、报告领导。