互联网防病毒解决方案

作者:不详   来源:网络  已浏览【】次 文字:【】【】【
 

一、概述

随着网络规模的不断扩大,复杂性不断增加,异构性不断提高,用户对网络性能要求的不断提高,网络管理也逐步成为网络技术发展中一个极为关键的任务,对网络的发展产生很大的影响,成为现代信息网络中最重要的问题之一。如果没有一个高效的网络管理系统对网络进行管理,就很难向广大用户提供令人满意的服务。据测算,管理一台连网的PC机五年的成本就超过65,000美元。因此,找到一种使网络运作更高效,更实用,更低廉的解决方案已成为每一个企业领导人和网络管理人员的迫切要求。虽然其重要性已在各方面得到体现,并为越来越多的人所认识,可迄今为止,在网络管理领域里仍有许多漏洞和亟待完善的问题存在。

通过多项大型网络工程的建设实践,我们深切的认识到任何网络工程的建设都离不开网络安全和网络管理的建设工作。正是出于对广大用户和企业切身利益的考虑,荟萃全球的尖端技术,推出了最优秀的网络总体解决方案。

二、方案设计

1、杀毒软件组成部分

1.1病毒特征码(Virus Pattern

所谓的病毒特征码其实可以说成病毒的"指纹",当杀毒软件公司收集到一个新的病毒时,他们就会从这个病毒程序中截取一小段独一无二而且足以表示这只病毒的二进制程序代码(Binary Code),来当作查毒程序辨认此病毒的依据,而这段独一无二的二进制程序代码就是所谓的病毒特征码。二进制程序代码是计算机的最基本语言--机器码,在计算机中所有可以执行的程序(*.EXE*.COM)几乎都是由二进制程序代码所组成。就连宏病毒,虽然它只是包含在Word文件档案中的宏,可是它的宏程序也是以二进制代码的方式存在于Word文件档中。病毒特征码是如何产生的?其实病毒特征码必须依照各种不同格式的档案及病毒感染的方式来取得。举例来讲,如果有一个Windows的程序被病毒感染,那么杀毒软件公司就必须先研究出Windows文件存储的格式,看看Windows文件是怎么被操作系统执行,以便找出Windows程序的进入点,因为病毒就是藏身在这个地方来取得控制权并进行传染及破坏,知道病毒程序在一个Windows文件中所存在的位置之后,就可以从这个区域中来找出一段特殊的病毒特征码供查毒程序使用。

  在杀毒软件公司中都有技术人员专门在为各种不同类型的病毒提取病毒特征码,可是当病毒愈来愈多,要找出每一个病毒都独一无二的病毒特征码可能就不太容易,有时后甚至这些病毒特征码还会误判到一些不是病毒的正常文件,所以通常杀毒软件公司在将病毒特征码送给客户前都必须先经过一番严格的测试,才放在InternetBBS上供使用者自由下载。

1.2扫描引擎(Scan Engine

扫描引擎可以说是杀毒软件中最精华的部份。当您使用一套杀毒软件时,不论它的画面是否精美,操作是否简便,功能是否完善,这些其实都还不足以证明一套杀毒软件的好坏,事实上,当您操作杀毒软件去扫描某一个磁盘驱动器或目录时,它其实是把这个磁盘驱动器或目录下的文件一一送进扫描引擎来进行扫描,也就是说您所看到的漂亮画面其实只是一个使用者接口(UIUser Interface),真正影响扫描速度及病毒检测准确率的因素就是查毒引擎,查毒引擎是一个没有画面,没有包装的核心程序,它被放在杀毒软件所安装的目录之下,就好像汽车引擎平常是无法直接看见的,可是它却是影响汽车性能最主要的关键。有了病毒特征码,有了查毒引擎,再配合一个精美的操作画面,就成了市场上所看到的杀毒软件。

绝大多数的人都以为安装了一套杀毒软件之后,就可以从此高枕无忧,这是一个绝对错误的观念,因为病毒的种类及形态一直在改变,新病毒也每天不断的被产生,如果不经常更换最新的病毒特征码以及查毒引擎,再强悍的杀毒软件也会有失灵的一天。举个最明显的例子来说,在还没有出现宏病毒以前,全世界没有任何一家杀毒软件厂商支持宏病毒扫描能力,如果还在沿用数年前的杀毒软件,就无法侦测到宏病毒了,所以必须使用能扫到宏病毒的病毒特征码及支持宏病毒的扫描引擎。

若只单单更换病毒特征码或扫描引擎还是不够的,因为旧的病毒特征码文件可能还没加入宏病毒的毒特征码,或者是旧的查毒引擎根本不支持对某种文件进行查毒,因此必须同步更新病毒特征码和扫描引擎才能有效发挥杀毒的效果。由于病毒特征码和扫描引擎是杀毒工作中相当重要的一环,目前一些比较大的杀毒软件厂商都有将病毒特征码及查毒引擎放在网站上供人免费下载,需要定期下载最新的病毒特征码或扫描引擎。

2、病毒防杀监控系统

保护当今各种网络免受愈演愈烈的计算机病毒威胁已不是一件简单的事情。目前已知的计算机病毒超过500,000种,并且每月发现的新病毒超过万种,即每天都有上千种新病毒出现。研究表明,病毒比其他安全威胁造成的经济损失都大的多,因此迫切需要集中的整体防病毒解决方案。

在实施网络防毒系统时,应当对网络内所有可能作为病毒寄居、传播及受感染的计算机进行有效防护,这就要求网络防毒系统能够覆盖到每一种需要的平台。一方面需要对各种病毒进行有效杀、防;另一方面,也要强调网络防毒在实施、操作,维护和管理中的简洁、方便和高效,最大限度地减轻使用人员和维护人员的工作量。此外,防毒系统和网络内现行计算机系统的兼容性、防毒软件的运行效率及占用资源、系统的可扩展性以及产品的更新和服务等,都必须加以考虑。

通过吸收先进的计算机病毒防护技术和思想,结合企业对病毒防杀提出的实际需求,可以归纳出企业的网络防毒的策略和原则:

采用整体的网络防毒体系结构,其中包括的针对客户工作站、应用服务器以及集中控管工具的完整防毒产品线,为该体系结构的贯彻实施提供了切实保证,将所有病毒都拒之于企业的计算机系统以外。

为满足企业的防毒需要,防毒产品应面向不同网络应用、适用于各种软、硬件平台以达到良好的一致性和兼容性。

客户机和服务器的所有防毒产品均应用先进的实时监控技术(Real Time Monitor),使企业的网络能够真正主动地阻截一切随时企图侵入的各种电脑病毒。

防毒产品的病毒扫描引擎在保证对所有病毒的有效侦测和清除的同时,将系统资源占用减小到最低,保证防毒系统工作的可靠和高效。

由于现代企业的平台复杂,机器数目众多,在企业内部需要实施统一的防病毒策略、集中的防毒管理和维护。通过中央病毒管理中心,制定统一的防病毒策略,并通过管理工具有效地保证防病毒策略在企业各节点间的同步。

防毒产品应简化安装、易于使用、便于扩充、方便病毒特征码更新和病毒扫描引擎的更新。

防病毒产品供应商需要向企业提供专业的防毒系统服务,在系统安装、维护、管理、新病毒处理、人员培训和技术交流等方面,都应提供专业的技术支持服务。

三、产品介绍

1、Ahnlab Policy Center

AhnLab Policy Center是由安博士公司开发的中央管理防护解决方案,是一种能够由中央服务器按照统一的安全策略对安装于企业内部多台计算机中的各种安全产品同时进行管理的安全管理应用程序.利用AhnLab Policy Center,可以通过中央服务器对安装于公司内部的各种安全产品进行有效正确的管理.

AhnLab Policy Center是由安博士公司推出的企业级网络防病毒软件。不同于其它防病毒软件的是:它是一款完全按照大型网络结构和企业复杂计算机环境需求设计的新一代网络防病毒系统。因此除具有对病毒、间谍软件良好的查杀效果外,整个系统的结构伸缩性强、管理功能强大,完全适合各种规模、各种网络结构的企业部署。

AhnLab Policy Center是新一代的网络防病毒产品,对于目前越来越广泛传播的网络病毒、间谍软件、网络入侵有多重的防护能力,确保企业网络不受病毒、间谍软件等恶意程序和黑客入侵行为的损害。

Ahnlab Policy Center可以使公司的安全管理人员可以对企业内的个人计算机分发安博士的V3 Internet Security  /V3 VirusBlock for Windows server防病毒软件,对公司安装的所有反病毒软件生成安全策略,并通过中央服务器强制实行该策略。安全管理人员由中央服务器对V3的策略设定及引擎更新加以管理,通过对分散的各个计算机定期更新病毒引擎及进行综合扫描,实现对病毒、间谍软件、黑客入侵的实时防护和及时清除。

 

2、主要特点 

     1)综合管理

可以通过一台管理服务器、管理员控制台和AgentV3系列产品及个人防火墙进行管理,提高管理性能并在发生危险状况时采取及时有效的应对措施.

2)自动安装并管理安全产品

可以将安博士公司开发的V3系列产品(V3 Internet Security /V3 VirusBlock for Windows server)等自动安装在Agent计算机中,并对所安装产品的策略进行设置和管理.

3)管理员权限的分散

不仅允许多个管理员同时连接并分担管理工作,还可以为不同的管理员分配三个不同级别的管理权限,使其根据职能分担管理工作.

4)适用的扩展性

可以根据管理对象计算机的数量多少、地域分散程度、网络环境等,以各种不同的结构设置Policy ServerPolicy Agent之间的通信方式.同时,通过设置上级域和下级域之间的关系以及Relay Server等,使其能够以不同的形态适用于大规模网络环境中.

5)适用于各种不同的网络环境

能够轻松地应对WANNATVPNDHCP等各种不同的企业网络结构,使企业在不改变网络结构的条件下使用本应用程序.

6)最低的网络负荷

鉴于引擎升级频率的不断提升的现状,提供一种只需要对已发生变化的升级文件进行下载的Delta升级功能,从而最大限度地降低了企业的网络负荷.此外,在网络环境极度恶劣的状态下通过启用Agent最小运行模式,提供一种只有在管理员需要时才进行网络通信的功能.

7)用户的便利性

不仅提供各种丰富的报表模板,还可以利用图形转换功能生成各种不同形态的报表.同时,通过简单易用的用户自定义报告书功能,可以在不使用晦涩难懂的查询命令的情况下轻松计算生成所需格式的报告书.

8)自我安全管理功能

通过向网络蠕虫的主要传播途径即共享文件夹下达信息收集、权限修改及共享解除等命令,有效地保护企业环境的安全.

此外,可以利用硬件资产信息功能掌握企业的资产状态,还可以利用软件安装信息功能掌握没有得到许可的应用程序.

3、网络结构

 4、软件组成

博士网络防病毒系统产品由以下几部分组成:

博士策略中心(AhnLab Policy Center

博士防病毒服务器端(V3 NET for Windows server

博士防病毒客户端(V3 Internet Security

5、功能简介

 

1)客户端防护

客户端的防护位于防毒体系的最底层,也是最显见的一道防、杀病毒的防线。考虑到网络中的工作站数量众多,如果要靠管理人员逐一到每台计算机上安装单机防毒软件,费时费力,同时难以实施统一的防病毒策略,日后的维护和更新工作也十分繁琐,容易造成部分PC机的病毒防护不彻底,成为病毒入侵的突破口。采用APC系列防病毒软件可实现:

通过浏览器自动下载客户端工作站防毒软件,可简化安装过程;

自动识别客户机操作系统并下载和安装相应的防毒程序,支持包括VistaWindows NT Workstation/Windows2000/Windows XPWindows 95/98Win3.X、等多种操作平台的工作站;

通过服务器设置统一的防毒策略,实时防治病毒,获取完整的病毒活动日志,防止病毒从客户机进入系统;

2)服务器防护

服务器经常会遭受大量引导型病毒、文件型病毒、混合型病毒、Windows病毒以及宏病毒等的攻击,更为常见的是,由于服务器为网络中所有工作站提供资源共享,因而也成为病毒理想的隐身寄居场所,进而将病毒轻易扩散到网络中的所有工作站或服务器上。V3 Virusblock for Windows Server能够支持Windows NT/20002003 等多种平台服务器的病毒防护。

V3 Virusblock for Windows Server实时病毒监控功能,远程安装,远程管理系统,病毒码自动更新功能以及病毒活动日志、多种报警通知方式等,可为企业内服务器的病毒防护提供便利和效能。

3)集中管理

在网络病毒流行的年代,必须通过集中管理功能,将所有的防病毒软件进行集中管理,包括策略的分发,日志的管理,客户端的集中升级等等。安博士AhnLab Policy Center软件可以帮助公司的安全管理人员在公司安装的所有个人计算机上生成病毒安全策略,并通过中央服务器强制安装防病毒程序,通过对分散的各个计算机进行病毒检查及定期对病毒引擎进行更新,从而不断地实现对防病毒软件进行管理,实现整个网络内部的防病毒安全策略。用户可以通过 ·安博士策略中心,对企业内的个人计算机分布V3防病毒软件,由中央服务器对V3的设定及引擎更新加以管理,也可以对侵入个人计算机内的病毒实现中央管理和控制。

四、方案优势

 

1. 灵活的安全策略管理

各个公司内部的计算机环境是多种多样的,安全策略也可能时时刻刻或因使用者的不同而存在差异。根据公司的组织结构,依集团、层次或相关部门的不同,对适用V3的配置及运行也会有所不同。Ahnlab Policy Center中根据个别或特定群组对V3运行的要求,可以通过管理人员在控制台自由地进行生成、修改和删除安全策略。这里所指的安全策略,是包括V3环境设定在内的,通过对V3定期自动引擎更新的间隔、更新服务器地址等的设定,来实现公司内部所要求的整个安全策略。

2. 内部安全策略的强化

对于根据用户组织的安全方针所生成的安全策略应该不断地进行审查,为了防止病毒的侵入必须对其不断地进行管理。使用了Ahnlab Policy Center软件,就可以由安全管理人员制定统一集中的安全策略,并对集中的策略周期性地再次应用。由于保持了集中的策略与安装于计算机内的V3产品设定的一致,就可以远离因使用者任意地进行环境设定等原因而造成的安全隐患,使计算机得到更安全的保护。

3. 集中的日志管理

安装于各个用户计算机的V3病毒、间谍软件等扫描记录,通过Ahnlab Policy Center提供的策略代理程序,储藏在中央的策略服务器中,这样就可以实现数据集中。所储藏的记录与个人用户的详细信息及其他信息汇聚到一起,就可以为您计算出各种统计报表。另外,在发生病毒的同时,可以实时地显示出发生病毒的计算机的信息、病毒名称,以及发生的时间等信息。

4. 代理程序状态标志

根据Ahnlab Policy Center软件的设计思想,即使使用者的环境发生改变,由中央服务器决定的安全策略也将继续保持下去。但是由于计算机长期关闭,或用户计算机的代理程序长期关闭,以及产品发生异常等原因,也有可能出现策略无法适用的状态。AhnLab Policy Center软件中为了使这些难以对其进行管理的用户易于掌握相关状态,设计了用户界面。在因计算机关机、O/S重新安装或其他原因,代理程序无法运转的情况下,在屏幕中用图标显示哪个用户计算机出现该种状态,以便于管理人员掌握。另一方面,对于中央服务器所设定的策略是否如实地传达给各个用户并加以执行,也以图标的形式加以分别标示,易于掌握。通过这一方式,管理人员可以轻而易举地掌握哪台计算机在病毒安全方面处于薄弱状态。

5. 病毒应急策略

Ahnlab Policy Center软件对高速扩散的危险病毒具有应急响应功能。在发生急剧扩散的病毒的情况下,首先应该迅速地对引擎进行更新,启动实时监控功能,并且有必要对所有的计算机再次进行扫描。通过及时的病毒扫描,掌握什么样的病毒在以什么样的速度进行入侵。通过Ahnlab Policy Center的便利的管理人员屏幕所提供的界面,单击鼠标,屏幕上面所列举的一系列应急病毒处理命令便可以下达到组织内部所有的计算机。

6. 具体的病毒策略设定调整

管理人员可以通过Ahnlab Policy Center,对V3所提供的所有环境设置在策略服务器里进行设定。对于V3所提供的极为细小的设置,在Ahnlab Policy Center中也可以进行设定。

7.软件分发功能

如果使用Ahnlab Policy Center,可以根据用户运行的操作系统正确地对V3进行自动分发和设置。不仅如此,还可以对V3以外的其他软件一并进行分发和运行,根据分发和运行的程序的种类,通过远程服务可以对站点运行所需要的工作一并进行处理。

8.远程控制功能

Ahnlab Policy Center软件提供的远程控制功能,使管理员可以远程连接代理计算机,接管代理计算机桌面,为管理员提供强有力的管控手段。

9.资产管理功能

Ahnlab Policy Center软件提供的资产管理功能,能够统计代理计算机软硬件资产信息,生成详尽的软硬件资产报表。

10.便利的统计及报表生成工具

利用Ahnlab Policy Center软件的报告中心,可以生成发生在公司内部的所有病毒、间谍软件、网络入侵的有关统计及报表。对于汇聚到策略服务器数据库内的病毒等恶意程序的相关记录信息,管理人员可以根据群组、使用者、日期及病毒的不同,按照所希望得到的形式轻而易举地获取相关统计资料,并且可以将这些相关资料以电子表格或HTML的形式显示或进行编辑。

11.基于目录服务的灵活性策略服务器结构

Ahnlab Policy Center软件采用了具有超强扩展性和灵活性的LDAP目录服务。通过利用OpenLDAP目录服务,对复杂的用户及群组信息、产品信息、策略信息提供支持。通过具有扩展性的策略服务器设计,可以灵活地对今后产品的升级及修改设置加以处理。

12.利用RDBMS的服务器稳定运行

Ahnlab Policy Center软件的策略服务器使用了微软公司的SQL服务器数据库引擎,对包括服务器服务程序控制所需要的数据和传到策略代理程序的实时记录在内的各种信息加以储存、控制及调节。尤其是在公司内部以SQL 2000服务器作为数据库系统加以使用的环境中,可以通过其提供的各种SQL服务器管理工具,实现备份、恢复等日常的维护管理工作。

13.以迅速的升级维护系统安全

Ahnlab Policy Center具有很快的病毒引擎升级周期(每天最少两次),客户端能自动从服务器进行升级,此外为客户在特殊环境下提供多种其他升级方式。如解除用户每次手动升级的不便,智能升级应用程序中内藏自动升级和预约升级功能。执行智能升级应用程序可直接联接到软件的互联网升级服务主机以及其它合作伙伴的服务主机并自动下载引擎升级文件。能通过代理服务器从互联网升级, 能从本地文件夹升级, 能从局域网中的网络共享目录来进行升级,能通过自己架设的HTTPFTP服务器来进行升级,可设置定时自动升级;而且病毒引擎升级时不需要重新启动计算机和防毒软件本身,避免病毒利用空挡期入侵;在新病毒大规模爆发的情况下,安博士公司可以在最少三十分钟内拿出解决方案。

 

 五、典型案例

上海嘉定交通发展集团有限公司               上海达辉机械有限公司

上海齐桀经贸有限公司                       上海纵横商务有限公司

美固龙(上海)商用设备有限公司