网络和信息安全的挑战

病毒和恶意代码(malware)不断演变和滋长，在金钱利益的驱使下，定点式攻击的木马和僵尸网络、隐秘的内核利用和蠕虫传播、钓鱼和域欺骗、间谍软件、乃至流氓软件等等，各类威胁越来越阴险和狡诈。企业和个人一旦连入网络，就随时面临着遭遇未知威胁的风险，不但随时带来直接的业务中断损失，还进一步潜藏着信息泄漏、财产偷盗、违规和法律纠纷等更大的问题。病毒的隐秘潜入，利用合法身份进行内部攻击的模式，造成企业和组织无论加上多少层防火墙、设置多么复杂的密码规则和访问控制，都无法达到理想的防护效果。

技术往往是把双刃剑，黑客不但本身是信息安全技术的高手，通常还是最早开始利用安全技术的人群。他们大量使用安全技术或利用安全漏洞，让自己的攻击愈发隐秘，创造出越来越复杂的混合模式攻击。很明显，单纯依靠静态的安全防护技术，面对病毒攻击力只能是越来越不从心。唯有在人员、流程、技术等各方面同时加以管理和控制，并引入动态的实时监控机制，才能有效地应对时刻可能发生的未知威胁和攻击。

IT管理人员面临的风险？

如何在确保病毒风险可控的前提下，尽量发挥信息网络的生产力，成为IT管理人员每日面对的问题。废除或大幅限制信息网络的使用当然是因噎废食，而对抗病毒带来的业务中断及资产损失又需要耗费太多的精力，并且往往只能等待灾难降临时才仓促应对，IT人员似乎始终陷入在无法直接显示业务绩效的灾难处置工作当中。

在日常的反病毒工作中，IT人员往往发现自己处于孤立无援的境地：

 · 终端使用者永远教不会，永远不知道防备和正确操作！

 · 反病毒系统只能防护已知问题，对新病毒攻击还是一筹莫展？

 · 没有人和资源来7×24看着网络，随时应对可能爆发的安全问题！

 · 传统防病毒效能太滞后，智能防病毒天天误报，如何解决速度vs精度之间的矛盾？

 · 谁可以帮助来根据不同的情境动态调教反病毒系统的设定和策略？

 · 需要专业的安全报告表明KPI和ROI情况。如何让老板理解投资于此的价值？

 · 需要大量人力和时间来清理和恢复被感染的系统，谁能帮忙？

 

趋势科技的全新策略

 

趋势科技网络安全专家服务-TMES，专门针对病毒威胁的演化和特性，提出了反病毒所需的完整生命周期，并对应整个周期提出了完整的反恶意软件的“十项全能”服务体系。目标是帮助企业在反病毒过程中，无论是安全风险、损失，还是成本投入，都进入到可控的、平缓的范围之内.

 

 

-- EOG Center 24*7在线处理来自客户方的病毒相关事件，或是客户人员提出的服务请求，对符合服务内容的事件或请求进行快速处理；并作为一个稳固和可信任的服务中心，同时适当提供相关的部分反病毒服务。

1) 事件监测

 · 提供24*7不间断的病毒相关事件(events)的接收、过滤、分析、通告。

 · 事件日志记录，管理报告

2) 事件响应和案件快速处理

 · 一旦发生的事件属于处理范围，立刻将事件转为案件进行处理。

 ·  依照SLO对服务承诺内的事件进行即时处理，按需联络客户，给出解答(solution)。

 · 对超出处理范围或能力的事件，即时派送或升级给相关单位。

3) 支持客户提出的病毒问题请求

 ·  作为客户的反病毒请求通道，受理和支持客户方人员提出的病毒问题请求，将合理请求转为案件进行处理和服务。

4)  案件状态追踪

 · 对已受理事件的状态进行跟踪，确保各事件按照各方SLA的承诺被妥善处理。

 · 对超出服务期限仍未完成的案件提出警示通告、或选择按照备选方案予以执行。

 · 案件日志记录，管理报告

5)  解答递交(solution delivery)

 · 按服务约定的方式向客户递交每次的解答。

 · 或监督和审核结果，确定由其他单位发出的解答顺利到达客户手中。

 · 监督和审核结果，确定解答在客户处顺利得到应用并解决问题，否则重新回到案件处理或追踪过程。

 · 全球和区域性病毒警报的定向发布和通告。

 

实例：7*24主动式服务运作

通过在线支持，趋势科技的安全专家透过趋势TMIC系统通过对用户日志的自动化分析和快速反馈，对用户环境中发生的可疑事件和问题予以通告和报表支持，并通过快速的相应和反馈，给予用户相应清除工具

1)        终端用户的机器上，感染病毒

2)        通过实时分析工具，了解这一情况

3)        立即发送通知给用户

4)        并提供病毒解决方案给客户

 

 

1）每日防毒报表

提供信息人员每日检查分析公司防毒状况

–      每日汇整病毒感染案例，于隔日上班前以电子邮件送达

–      清楚掌握公司整体防毒现状以有效制订防毒策略

–      专业量化的数据来提升防毒绩效

–      客制化的专属网站，透过Web随时查询历史纪录

防毒日报表内容包括以下信息

–      中毒的总数量统计，以及历史比较

–      病毒的名称、种类及感染来源等

–      前几大中毒使用者名称、IP地址

–      病毒来源分析，检视病毒来自于网关、邮件服务器、档案服务器或是客户端计算机

 

2）每月防毒整体分析报表

提供信息主管分析公司防毒状况

–      汇整公司整月病毒感染案例数量、种类、来源

–      掌握公司整体安全状况，有效制订长期防毒策略

–      专业图标量化的数据易于分析

–      主管会议时可提供高阶管理者参考

防毒月报表内容包括以下信息

–      中毒的总数量统计，单月每日数字分析

–      追踪病毒的名称、种类及感染来源等

–      前几大中毒使用者名称、IP地址

–      病毒感染来源分析，检视病毒来自于网关、邮件服务器、档案服务器或是客户端计算机

 

随着网络病毒和木马程序的日益泛滥和病毒感染和攻击手段的日益丰富，每个企业都饱受病毒的侵扰；可能很多企业的IT管理人员都有一个疑问，在投入了大量的人员与金钱来维护和管理网络安全项目，但是每个月的病毒却仍然层出不穷，难道病毒问题真的无法解决吗？

其实事实并不完全是这样，缺乏好的弱点分析手段和防病毒专家建议才是病毒问题无法解决的重要原因；根据我们的经验，每家企业中存在有引起病毒感染的漏洞的计算机或用户都只是很小的部分，但是缺乏好的分析手段而无法找出这些问题并解决，从而使病毒持续在这些计算机上泛滥并感染其它的计算机，造成每个月来病毒感染数有增无减。

安全分析报告正是针对以上问题所提出的总结性报告；监测中心会通过分析企业上传的病毒日志，并通过TMIC和数据库查询将企业内部的病毒安全问题找出，并针对找出的问题提出专家的分析及建议提供给用户，以此来解决企业内部存在的问题；安全分析报告还会回顾以前存在的问题，并与当前的问题进行对比，对一些长时间没有解决的问题进行进一步分析原因并持续跟踪，使老问题和出现的新的问题不断被发现和解决。

 

安全分析报告的目标是通过持续分析企业内部的安全事件，提供企业内部防病毒效能的安全指针，找出企业内部的安全隐患，并提供专业的解决方案和建议来改善企业内部的防病毒效果。

为了便于用户在了解详细信息之前，对企业内部网络中的防毒状况有所掌握，对企业内部一个月来的病毒感染情况做整体的概述，并对几个月来的病毒发展趋势做出对比，使用户能对目前的防毒状况和改善情况有进一步认识。根据感染情况分析中的几项重点内容进行分析，包括

 

 · 整体病毒分析 (Overall Virus Analysis)

 · 病毒爆发事件分析 (Virus Outbreak Event Analysis)

 · 前五大病毒感染分析 (Top 5 Infected Virus Family Analysis)

 · 感染状况分析 (Infected Range analysis)

 

在感染状况分析的部分，应对企业内部病毒感染情况作出详细的报告及分析

 

1）首先会针对三个月来的整体病毒侦测状态做出比较，并对侦测到病毒数最多的几种病毒家族的入侵方式作出分析，从整体防毒策略上作出方向性的指引。

2）分析企业内部的Outbreak事件，了解用户对控制大规模病毒传播的能力并提供改善意见。

3）通过分析网络内部实际感染的前五大病毒家族，了解网络内部真正存在的漏洞及隐患，并提出解决方案。

4）列出一个月内感染最严重的计算机和前五大感染源，便于用户解决存在的病毒问题并杜绝病毒源头。

 

对于已侦测病毒的分析，主要帮助用户整体规划病毒防护策略；但是我们知道，防毒策略的有效实施牵涉到很多的环节，包括企业在防毒产品的全面部署、病毒码的实时更新、防毒软件的效能，还有用户的行为习惯等等方面。无论企业的防毒策略做的多么完善，一个用户不安全的习惯就会在整体上造成内部网络的大面积感染，因此，需要从感染现状上来分析造成感染可能存在的原因及漏洞。我们建议具体对这些问题进行分析，给用户一个清晰的认识并提出我们的建议。通过分析，找出网络中感染最严重的五个病毒家族和这些病毒家族感染的范围，通过这些家族的病毒特性，推断网络中可能存在的病毒隐患和漏洞。

 

分析用户网络内部防毒产品的部署情况，并以企业整体防毒体系的角度，找出其中存在的问题并给与建议。

防病毒产品的更新率和在线率是防病毒产品保持高效能运转的重要指标；如果防病毒软件更新不及时，可能会导致产品无法查杀最新的病毒，导致新病毒的感染；而产品离线则会造成更严重的后果，不但自己的防病毒机能丧失，更可能导致大面积客户端无法更新最新的病毒码，导致新病毒的肆虐和大面积传播。另外，防病毒产品的合理架构部署也是影响防病毒效能的重要部分。

在安全性报告中，将对这三个部分分别进行分析，真实反映防病毒产品的部署效能

a. 清晰显示近期防病毒产品的病毒码更新率的平均值；

b.        近期防病毒产品的产品离线情况的统计值；

c.        网络版防毒墙的部署架构分析，并提供合理建议；

 

 

完成了详细情况的分析后，我们对企业内部的反病毒状况有了初步的认识，在弱点分析及建议部分内容中，将会根据企业的病毒感染情况分析企业可能存在的病毒安全漏洞和隐患，根据防病毒产品部署效能方面找出存在的产品问题，然后根据这些潜在问题提出专业的建议。

 

通过不断的发现问题，解决问题，逐步找出企业内部存在的可能会被病毒利用的弱点和漏洞，反复提高用户的反病毒意识，最后达到一种理想安全的环境。

 

企业无法掌握最新的全球重大安全事件状况，往往在重大病毒爆发后才急着查询清除方法；系统管理员对反病毒软件不熟悉，导致在病毒发作后无法及时清理；花费了大量的人力物力建制反病毒体系后，大规模的爆发减少了，但是依然有部分用户经常感染病毒，管理员协助清理后不久又再次在该用户工作机上发现；这些都是经常困扰企业的问题。安全培训课堂可以帮助企业解决这些问题。

安全培训课堂由包括安全课堂和通知服务

课堂1 安全意识培训

面向企业的一般员工，提高整个组织反病毒安全意识和人员安全防护能力，使组织员工充分了解既定的安全策略，力图改变企业员工对信息安全的态度，使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题。

 

课堂2 病毒知识培训

面向企业的一般员工，通过理解病毒的发展史和发展趋势，了解病毒的各种形态，传播手段和基础的病毒清理方法，帮助企业员工提高病毒防范意识，减少病毒感染的几率。

 

课堂3趋势认证信息安全专员(TCSP)

面向企业的安全信息管理员，通过网络安全基础，病毒分析与防护，企业安全战略等课程，建立网络信息安全观念，深入了解病毒的特性，可以作为信息安全专员高效管理和处理网络中的病毒安全事件。

 

通知1 信息安全周报

信息安全周报搜罗最新最快的安全信息，其中包括最新的流行病毒提示，新病毒信息，系统漏洞提示和安全防护技巧等安全信息综述，是企业安全专员快速及时地了解最新的全球病毒安全资从而为企业反病毒安全策略提供参考。通知2 防病毒组件更新通知

每日防病毒组件更新通知，及时告知管理员病毒码更新信息。

 

通知3 全球病毒风险警报通知

第一时间通过邮件，短信等方式发布全球重大病毒风险警报，使用户快速得知当前病毒风险和预防措施，及时采取控制手段防止该病毒在内部网络爆发

通知4 最新产品和补丁(Hotfix)通知

全新的产品，全新的功能，最新产品通告提供给用户更多的选择；最新补丁通知告知帮助用户及时通过Hotfix修正产品问题，保证产品的稳定运行。

教授如何为病毒灾情制定相应的响应政策、组织、流程，帮助企业规划和制定相应的预案。

 

安全问题是无法完全避免的，一旦发生病毒大规模的扩散，可能会对业务造成较大的冲击；这时候，一份完善和有效的灾情响应预案就显得极为重要。

趋势科技利用多年在反病毒领域的经验，根据用户的实际环境提出建议，帮助企业规划和制定相应的灾情响应预案，在灾难发生时迅速控制，保证业务的正常运行。