【導讀】XXXX企業(yè)網(wǎng)絡(luò)防病毒解決方案。北京賽門鐵克信息技術(shù)有限公司。本方案采用產(chǎn)品列

　　

【正文】 定、報警管理、病毒統(tǒng)計報表生成等工作，一級單位具備接管二級單位防病毒管理工作的能力。 一級單位負責二級單位被隔離文件的提交和返回相應(yīng)的病毒定義碼和掃描引擎。一級單位具備通過二級單位廣域網(wǎng)的病毒管理服務(wù)器進行集中監(jiān)控和管理的能力，在必要時可以直接管理二級單位的病毒管理服務(wù)器。 ? 二級控制臺承擔的防病產(chǎn)品升級工作， 除了管理所在二級的防病毒產(chǎn)品外還管理下屬三級單位的防病毒服務(wù)器。 三級管理主要體現(xiàn)在： ? 一級管理、二級管理和三級管理分別負責本地局域網(wǎng)絡(luò)的防病毒系統(tǒng)日常維護工作。同時進行 網(wǎng)絡(luò)防病毒狀態(tài)的監(jiān)控和對病毒事件做出相應(yīng)的響應(yīng)。根據(jù)職能設(shè)定的不同，還可包括日志文件的維護，報表管理和報警管理等職能。 Symantec 公司依據(jù)行業(yè)工程經(jīng)驗，在為 XXXX 企業(yè)構(gòu)建“二級控制，三級管理”架構(gòu)時，提供完善的技術(shù)保障，以保證全網(wǎng)防病毒系統(tǒng)得以高效運轉(zhuǎn)。 上述圖示實現(xiàn)了 XXXX 企業(yè)客戶端防病毒和服務(wù)器防病毒的二級控制，三級管理架構(gòu)體系。但為了增強管理力度，實現(xiàn)基于角色的用戶管理，同時提高全網(wǎng)防病毒系統(tǒng)的事件管理、報表分析 和報警能力并為將來部署其它安全產(chǎn)品留有擴展空間，建議在上述體系基礎(chǔ)上再部署 Symantec 的安全統(tǒng)一管理平臺Symantec Enterprise Security Architecture（簡稱 SESA），來實現(xiàn)更加 26 高效、方便和可視化的管理。 SESA 主要包含以下幾個組成部分 ： 1. SESA Agent： 一個 Java 應(yīng)用程序 ， 運行在每個托管端點上 ， 用于將所有 Symantec Enterprise Security 產(chǎn)品連接到 SESA 管理器。 SESA 代理是基于行業(yè)標準的開放源代碼實現(xiàn)。 2. SESA Manager： 一個 Web 應(yīng)用程序服務(wù)器 ， 為運行 Servlet 引擎和相關(guān)的賽門鐵克中間件而創(chuàng)建。 SESA 管理器最初采用的是 IBM .Apache 和 Tomcat。 3. SESA Datastore： 一個關(guān)系數(shù)據(jù)庫。 SESA 數(shù)據(jù)存儲最初采用的是 IBM DB2。 4. SESA Directory： 一個 LDAP 目錄。 SESA 目錄最初采用的是 IBM SecureWay。 5. SESA Console： 一個基于 Web 瀏覽器的控制臺 ， 可在任何地方運行。該控制臺使用 Java 程序和可以提供 UI 擴展的可 擴展插件設(shè)計 防病毒架構(gòu)下的各業(yè)務(wù)系統(tǒng)覆蓋 對 XXXX 企業(yè)各業(yè)務(wù)系統(tǒng)的防病毒部署進行詳細的描述 統(tǒng)一升級，留有備份 病毒定義、掃描引擎、特征庫和安全規(guī)則升級 根據(jù)上文描述的 XXXX 企業(yè)防病毒系統(tǒng)結(jié)構(gòu)，考慮到安全需求，同時也是便于管理，建議在 XXXX 企業(yè)網(wǎng)絡(luò)內(nèi)采用三級服務(wù)器升級的結(jié)構(gòu)，即： 1. 首先升級一級單位防病毒服務(wù)器的病毒定義碼、掃描引擎、特征庫（漏洞特征庫和攻擊特征庫）和安全規(guī)則（防火墻策略）。根據(jù)實際情況可以配置一級單位防病毒毒服務(wù)器自動或手動通過 Inter 到賽門鐵克網(wǎng)站升級最新的病毒定義碼和掃描 引擎。 2. 各二級單位的防病毒 服務(wù)器到一級單位的防病毒服務(wù)器進行病毒定義碼、掃描引擎、特征庫和安全規(guī)則的升級，同時作為備份，條件允許的二級單位防病毒服務(wù)器也可以自己通過 Inter 到賽門鐵克網(wǎng)站進行升級。 27 3. 三級單位防病毒服務(wù)器分別到所屬二級單位的網(wǎng)絡(luò) 防病毒 服務(wù)器升級病毒定義碼、掃描引擎、特征庫和安全規(guī)則。各三級單位不允許直接到Inter 進行升級。 4. 各二級單位防病毒客戶端分別到所屬二級單位的網(wǎng)絡(luò) 防病毒 服務(wù)器升級病毒定義碼、掃描引擎、特征庫和安全規(guī)則。不允許直接到 Inter 進行升級。 如下圖所示，采 用這種升級方式，一方面可以確保整個網(wǎng)絡(luò)內(nèi)的病毒定義碼和掃描引擎的更新基本保持同步。另一方面，由于整個網(wǎng)絡(luò)的病毒定義碼和掃描引擎的更新、升級自動完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中某些機器或某個網(wǎng)絡(luò)因為沒有及時更新最新的病毒定義碼和掃描引擎而失去最強的防病毒能力，同時也避免了各機構(gòu)自行到 Inter 升級而帶來的不便和安全隱患。 圖 XXXX 企業(yè)全網(wǎng)病毒定義、掃描引擎、特征庫和安全規(guī)則升級 防病毒軟件版本升級和系統(tǒng)補丁分發(fā)管理架構(gòu) 在升級管理中，還有一項非常重要的工作是防病毒軟件版 本升級和系統(tǒng)補 28 丁的分發(fā)。在本方案推薦的防病毒產(chǎn)品 —— SCS 中提供一款有力的安全客戶化內(nèi)容發(fā)布工具 —— Symantec Custom Content Publishing Application (CCPA)，通過使用這個工具，配合 Symantec LiveUpdate（產(chǎn)品本身提供） 管理工具，使 XXXX 企業(yè)能夠在全網(wǎng)內(nèi)分級部署全新的更新服務(wù)器：LiveUpdate Server，進而實現(xiàn)以下功能： ? 微軟各種操作系統(tǒng)或應(yīng)用軟件的補丁程序 ? 任何希望客戶端獲得和使用的可執(zhí)行文件 ? 賽門鐵克最新病毒定義碼和掃描引擎 ? 賽門鐵克 SCS最新防火墻和 IDS升級 ? 賽門鐵克病毒或蠕蟲清除工具 ? 任何賽門鐵克產(chǎn)品的配置設(shè)定 此技術(shù)在 XXXX 企業(yè)內(nèi)部署具有重要意義：它為有效防范和抗擊各種混合威脅（病毒技術(shù)與利用漏洞的黑客技術(shù)相結(jié)合的新型威脅）提供及時強大的保障，使得所有客戶端能夠及時的修復被利用的漏洞、檢測攻擊、阻擋入侵、掃描病毒特征、清除已感染的文件、修復遭受的破壞和篡改等等，同時完成混合威脅爆發(fā)前、爆發(fā)中、爆發(fā)后的全面防護。 Symantec CCPA 要實現(xiàn)應(yīng)用，需要以下一些組件的共同協(xié)作（ SCS防病毒產(chǎn)品自帶）： ? Symantec Custom Content Publishing Application (CCPA) ? Symantec LiveUpdate 管理實用程序 ? Symantec List of Trusted Signers (LOTS) Manager ? HTTPS LOTS Server ? 證書服務(wù)器 與 XXXX企業(yè)防病毒系統(tǒng)架構(gòu)相匹配， Symantec CCPA的整體部署架構(gòu)如下圖所示： 29 圖 XXXX 企業(yè) 內(nèi)自定義內(nèi)容升級架構(gòu)示意圖 緊急處理措施和對新病毒的響應(yīng)方式 針對未知病毒的處理響應(yīng)措施，可以通過 賽門鐵克的數(shù)字免疫系統(tǒng)來自動、快速完成。當各網(wǎng)絡(luò)中某個或某些客戶端發(fā)現(xiàn)有新病毒出現(xiàn)，而防病毒軟件無法清除時，客戶端會通過隔離技術(shù)首先在本地把被感染的文件隔離，首先保證病毒不會發(fā)作，同時在本地做備份（取決于管理員的設(shè)置），然后再做一份拷貝，自動傳送到局域網(wǎng)內(nèi)的隔離區(qū)服務(wù)器，由隔離區(qū)服務(wù)器自動傳至賽門鐵克的病毒相應(yīng)網(wǎng)關(guān)，或提交給賽門鐵克中國公司，由賽門鐵克中國公司負責提交。網(wǎng)關(guān)會根據(jù)當時的病毒定義碼情況在幾秒鐘、幾分鐘、幾十分鐘、幾小時或 48 小時內(nèi)返回針對該病毒的解決方案，當返回相應(yīng)的病毒定義碼和掃描引擎后，可 以通過預(yù)先的設(shè)置，把最新的病毒定義碼和掃描引擎自動安裝到全行的所有防病毒服務(wù)器和發(fā)現(xiàn)病毒的那臺計算機上，同時也可以安裝到指定的幾臺或一臺防病毒服務(wù)器上。具體請參考圖 30 圖 緊急 處理措施和對新病毒的響應(yīng)方式 基于整體架構(gòu)的管理職能具體表現(xiàn) 客戶端信息管理 通過在一級單位 /二級單位部署防病毒管理控制臺 SSC，各級管理員可方便查看其所屬權(quán)限內(nèi)的客戶端信息，包括客戶端名稱，用戶名，當前狀態(tài)，上次掃描實踐，病毒定義版本，掃描引擎版本，地址，所屬組服務(wù)器等信息。如下圖所示： 31 圖 客戶端 信息管理示意圖 客戶端掃描管理 通過 SSC 管理控制臺的“審核網(wǎng)絡(luò)”功能可以自動發(fā)現(xiàn)整個網(wǎng)絡(luò)中所有客戶端防病毒軟件的安裝情況，可以找出哪些客戶端安裝了防病毒軟件，哪些客戶端沒有安裝防病毒軟件，以及安裝的是什么版本的防病毒軟件等相關(guān)信息，便于管理員及時掌握整個網(wǎng)絡(luò)中防病毒軟件的運行情況。 32 圖 使用 SSC 的網(wǎng)絡(luò)審核功能掃描客戶端的防病毒軟件情況 補丁分發(fā)管理 補丁分發(fā)及軟件升級管理的架構(gòu)圖，原則上一級控制臺負責一級單位的補丁分發(fā)管理，二級控制臺負責所轄區(qū)域內(nèi)的系統(tǒng)補丁分發(fā)管理（實際上，在本解決方案中除 了能進行補丁分發(fā)管理外，還可對任何希望客戶端獲得和使用的可執(zhí)行文件進行分發(fā)管理）。 進行補丁分發(fā)需要下列組建 共同協(xié)作 ? Symantec Custom Content Publishing Application (CCPA) ? Symantec LiveUpdate 管理實用程序 ? Symantec List of Trusted Signers (LOTS) Manager ? HTTPS LOTS Server ? 證書服務(wù)器 各組件結(jié)構(gòu)示意圖如下： 33 圖 XXXX 企業(yè)補丁分發(fā)管理流程圖 補丁分發(fā)管理流程如下： 首先，管理員通過 CCPA 將要發(fā)布的補丁程序或其他工具程序首先發(fā)布到本地更新服務(wù)器上更新服務(wù)器（ LiveUpdate Server），更新服務(wù)器是一個中心環(huán)節(jié)，普通客戶端正是從這臺更新服務(wù)器獲得安全管理員希望他們得到的各種必要的更新（當然，如有必要所有賽門鐵克產(chǎn)品的標準更新從 INTERNET 上取得后也可存放在這臺更新服務(wù)器上，由各防病毒服務(wù)器 /客戶端下載更新）。 考慮到 CCPA擴展了 XXXX企業(yè)內(nèi)容更新服務(wù)器功能的同時，也存在一些潛在安全問 題，假如某個不恰當?shù)娜税l(fā)布了一些不恰當?shù)母掳ɡ鐜Р《净驇? 34 木馬或沒測試過的補丁程序）到更新服務(wù)器，那么很可能所有客戶端將被這些有問題的更新包所連累，結(jié)果可能造成嚴重的負面影響。因此，除了 CCPA和更新服務(wù)器以外，在 XXXX系統(tǒng)補丁管理系統(tǒng)中還有 證書服務(wù)器 、 Symantec List of Trusted Signers (LOTS) manager和 Symantec List of Trusted Signers (LOTS) server 來共同保證發(fā)布人的身份可靠和發(fā)布信息的完整可靠性。 綜合上述， 整個網(wǎng)絡(luò)內(nèi)部 補丁更新工作原理如下： 1. 由證書服務(wù)器為每個有權(quán)使用 CCPA發(fā)布更新包的用戶創(chuàng)建一個簽名證書。 2. 由證書服務(wù)器為 LOTS Manager創(chuàng)建一個簽名證書。 3. 在 LOTS manager中，導入所有有權(quán)使用 CCPA發(fā)布更新包的用戶的簽名證書，建立一個可信簽名者列表，即 List of Trusted Signers，并用 LOTS manager的簽名證書來簽名這個列表，避免此列表被篡改。 4. 將此 LOTS列表文件提供給 HTTPS LOTS Server。 5. 將此 LOTS列表文件導入到 CCPA中。 6. 有了 此前的準備工作，每個有權(quán)使用 CCPA發(fā)布更新包的用戶就可以開始使用 CCPA創(chuàng)建和發(fā)布更新包到更新服務(wù)器上，當然，在此過程中 CCPA會用到此前導入的 LOTS列表，用其中的用戶簽名證書來驗證此用戶身份并簽名他正要發(fā)布的更新包。 7. 更新服務(wù)器上存放著經(jīng)過賽門鐵克簽名過的標準更新和 CCPA上傳來的經(jīng)過用戶簽名的客戶化更新包。 8. 普通客戶端發(fā)起更新請求時，如果只更新賽門鐵克標準更新，則直接連接更新服務(wù)器，獲得并應(yīng)用最新的標準更新。 9. 普通客戶端發(fā)起更新請求時，如果要更新客戶化內(nèi)容更新包，則客戶端首先訪問 HTTPS LOTS Server以比對是否本地已有最新的 LOTS列表，如果本地沒有，就下載最新的 LOTS列表，并驗證此列表的簽名，保證此列表的完整可靠性。然后，連接更新服務(wù)器獲得更新包，并驗證每個更新包的簽名（用本地最新的 LOTS列表文件），保證每個更新包的完整可靠性。 全網(wǎng) 補丁分發(fā)管理流程圖 給出了最標準的部署方式示意圖，考慮投資成本，可以將一些組件部署在同一臺機器上。例如可以將證書服務(wù)器、 LOTS