【導(dǎo)讀】XXXX企業(yè)網(wǎng)絡(luò)防病毒解決方案。北京賽門鐵克信息技術(shù)有限公司。本方案采用產(chǎn)品列

　　

【正文】 定、報(bào)警管理、病毒統(tǒng)計(jì)報(bào)表生成等工作，一級(jí)單位具備接管二級(jí)單位防病毒管理工作的能力。 一級(jí)單位負(fù)責(zé)二級(jí)單位被隔離文件的提交和返回相應(yīng)的病毒定義碼和掃描引擎。一級(jí)單位具備通過(guò)二級(jí)單位廣域網(wǎng)的病毒管理服務(wù)器進(jìn)行集中監(jiān)控和管理的能力，在必要時(shí)可以直接管理二級(jí)單位的病毒管理服務(wù)器。 ? 二級(jí)控制臺(tái)承擔(dān)的防病產(chǎn)品升級(jí)工作， 除了管理所在二級(jí)的防病毒產(chǎn)品外還管理下屬三級(jí)單位的防病毒服務(wù)器。 三級(jí)管理主要體現(xiàn)在： ? 一級(jí)管理、二級(jí)管理和三級(jí)管理分別負(fù)責(zé)本地局域網(wǎng)絡(luò)的防病毒系統(tǒng)日常維護(hù)工作。同時(shí)進(jìn)行 網(wǎng)絡(luò)防病毒狀態(tài)的監(jiān)控和對(duì)病毒事件做出相應(yīng)的響應(yīng)。根據(jù)職能設(shè)定的不同，還可包括日志文件的維護(hù)，報(bào)表管理和報(bào)警管理等職能。 Symantec 公司依據(jù)行業(yè)工程經(jīng)驗(yàn)，在為 XXXX 企業(yè)構(gòu)建“二級(jí)控制，三級(jí)管理”架構(gòu)時(shí)，提供完善的技術(shù)保障，以保證全網(wǎng)防病毒系統(tǒng)得以高效運(yùn)轉(zhuǎn)。 上述圖示實(shí)現(xiàn)了 XXXX 企業(yè)客戶端防病毒和服務(wù)器防病毒的二級(jí)控制，三級(jí)管理架構(gòu)體系。但為了增強(qiáng)管理力度，實(shí)現(xiàn)基于角色的用戶管理，同時(shí)提高全網(wǎng)防病毒系統(tǒng)的事件管理、報(bào)表分析 和報(bào)警能力并為將來(lái)部署其它安全產(chǎn)品留有擴(kuò)展空間，建議在上述體系基礎(chǔ)上再部署 Symantec 的安全統(tǒng)一管理平臺(tái)Symantec Enterprise Security Architecture（簡(jiǎn)稱 SESA），來(lái)實(shí)現(xiàn)更加 26 高效、方便和可視化的管理。 SESA 主要包含以下幾個(gè)組成部分 ： 1. SESA Agent： 一個(gè) Java 應(yīng)用程序 ， 運(yùn)行在每個(gè)托管端點(diǎn)上 ， 用于將所有 Symantec Enterprise Security 產(chǎn)品連接到 SESA 管理器。 SESA 代理是基于行業(yè)標(biāo)準(zhǔn)的開放源代碼實(shí)現(xiàn)。 2. SESA Manager： 一個(gè) Web 應(yīng)用程序服務(wù)器 ， 為運(yùn)行 Servlet 引擎和相關(guān)的賽門鐵克中間件而創(chuàng)建。 SESA 管理器最初采用的是 IBM .Apache 和 Tomcat。 3. SESA Datastore： 一個(gè)關(guān)系數(shù)據(jù)庫(kù)。 SESA 數(shù)據(jù)存儲(chǔ)最初采用的是 IBM DB2。 4. SESA Directory： 一個(gè) LDAP 目錄。 SESA 目錄最初采用的是 IBM SecureWay。 5. SESA Console： 一個(gè)基于 Web 瀏覽器的控制臺(tái) ， 可在任何地方運(yùn)行。該控制臺(tái)使用 Java 程序和可以提供 UI 擴(kuò)展的可 擴(kuò)展插件設(shè)計(jì) 防病毒架構(gòu)下的各業(yè)務(wù)系統(tǒng)覆蓋 對(duì) XXXX 企業(yè)各業(yè)務(wù)系統(tǒng)的防病毒部署進(jìn)行詳細(xì)的描述 統(tǒng)一升級(jí)，留有備份 病毒定義、掃描引擎、特征庫(kù)和安全規(guī)則升級(jí) 根據(jù)上文描述的 XXXX 企業(yè)防病毒系統(tǒng)結(jié)構(gòu)，考慮到安全需求，同時(shí)也是便于管理，建議在 XXXX 企業(yè)網(wǎng)絡(luò)內(nèi)采用三級(jí)服務(wù)器升級(jí)的結(jié)構(gòu)，即： 1. 首先升級(jí)一級(jí)單位防病毒服務(wù)器的病毒定義碼、掃描引擎、特征庫(kù)（漏洞特征庫(kù)和攻擊特征庫(kù)）和安全規(guī)則（防火墻策略）。根據(jù)實(shí)際情況可以配置一級(jí)單位防病毒毒服務(wù)器自動(dòng)或手動(dòng)通過(guò) Inter 到賽門鐵克網(wǎng)站升級(jí)最新的病毒定義碼和掃描 引擎。 2. 各二級(jí)單位的防病毒 服務(wù)器到一級(jí)單位的防病毒服務(wù)器進(jìn)行病毒定義碼、掃描引擎、特征庫(kù)和安全規(guī)則的升級(jí)，同時(shí)作為備份，條件允許的二級(jí)單位防病毒服務(wù)器也可以自己通過(guò) Inter 到賽門鐵克網(wǎng)站進(jìn)行升級(jí)。 27 3. 三級(jí)單位防病毒服務(wù)器分別到所屬二級(jí)單位的網(wǎng)絡(luò) 防病毒 服務(wù)器升級(jí)病毒定義碼、掃描引擎、特征庫(kù)和安全規(guī)則。各三級(jí)單位不允許直接到Inter 進(jìn)行升級(jí)。 4. 各二級(jí)單位防病毒客戶端分別到所屬二級(jí)單位的網(wǎng)絡(luò) 防病毒 服務(wù)器升級(jí)病毒定義碼、掃描引擎、特征庫(kù)和安全規(guī)則。不允許直接到 Inter 進(jìn)行升級(jí)。 如下圖所示，采 用這種升級(jí)方式，一方面可以確保整個(gè)網(wǎng)絡(luò)內(nèi)的病毒定義碼和掃描引擎的更新基本保持同步。另一方面，由于整個(gè)網(wǎng)絡(luò)的病毒定義碼和掃描引擎的更新、升級(jí)自動(dòng)完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中某些機(jī)器或某個(gè)網(wǎng)絡(luò)因?yàn)闆](méi)有及時(shí)更新最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力，同時(shí)也避免了各機(jī)構(gòu)自行到 Inter 升級(jí)而帶來(lái)的不便和安全隱患。 圖 XXXX 企業(yè)全網(wǎng)病毒定義、掃描引擎、特征庫(kù)和安全規(guī)則升級(jí) 防病毒軟件版本升級(jí)和系統(tǒng)補(bǔ)丁分發(fā)管理架構(gòu) 在升級(jí)管理中，還有一項(xiàng)非常重要的工作是防病毒軟件版 本升級(jí)和系統(tǒng)補(bǔ) 28 丁的分發(fā)。在本方案推薦的防病毒產(chǎn)品 —— SCS 中提供一款有力的安全客戶化內(nèi)容發(fā)布工具 —— Symantec Custom Content Publishing Application (CCPA)，通過(guò)使用這個(gè)工具，配合 Symantec LiveUpdate（產(chǎn)品本身提供） 管理工具，使 XXXX 企業(yè)能夠在全網(wǎng)內(nèi)分級(jí)部署全新的更新服務(wù)器：LiveUpdate Server，進(jìn)而實(shí)現(xiàn)以下功能： ? 微軟各種操作系統(tǒng)或應(yīng)用軟件的補(bǔ)丁程序 ? 任何希望客戶端獲得和使用的可執(zhí)行文件 ? 賽門鐵克最新病毒定義碼和掃描引擎 ? 賽門鐵克 SCS最新防火墻和 IDS升級(jí) ? 賽門鐵克病毒或蠕蟲清除工具 ? 任何賽門鐵克產(chǎn)品的配置設(shè)定 此技術(shù)在 XXXX 企業(yè)內(nèi)部署具有重要意義：它為有效防范和抗擊各種混合威脅（病毒技術(shù)與利用漏洞的黑客技術(shù)相結(jié)合的新型威脅）提供及時(shí)強(qiáng)大的保障，使得所有客戶端能夠及時(shí)的修復(fù)被利用的漏洞、檢測(cè)攻擊、阻擋入侵、掃描病毒特征、清除已感染的文件、修復(fù)遭受的破壞和篡改等等，同時(shí)完成混合威脅爆發(fā)前、爆發(fā)中、爆發(fā)后的全面防護(hù)。 Symantec CCPA 要實(shí)現(xiàn)應(yīng)用，需要以下一些組件的共同協(xié)作（ SCS防病毒產(chǎn)品自帶）： ? Symantec Custom Content Publishing Application (CCPA) ? Symantec LiveUpdate 管理實(shí)用程序 ? Symantec List of Trusted Signers (LOTS) Manager ? HTTPS LOTS Server ? 證書服務(wù)器 與 XXXX企業(yè)防病毒系統(tǒng)架構(gòu)相匹配， Symantec CCPA的整體部署架構(gòu)如下圖所示： 29 圖 XXXX 企業(yè) 內(nèi)自定義內(nèi)容升級(jí)架構(gòu)示意圖 緊急處理措施和對(duì)新病毒的響應(yīng)方式 針對(duì)未知病毒的處理響應(yīng)措施，可以通過(guò) 賽門鐵克的數(shù)字免疫系統(tǒng)來(lái)自動(dòng)、快速完成。當(dāng)各網(wǎng)絡(luò)中某個(gè)或某些客戶端發(fā)現(xiàn)有新病毒出現(xiàn)，而防病毒軟件無(wú)法清除時(shí)，客戶端會(huì)通過(guò)隔離技術(shù)首先在本地把被感染的文件隔離，首先保證病毒不會(huì)發(fā)作，同時(shí)在本地做備份（取決于管理員的設(shè)置），然后再做一份拷貝，自動(dòng)傳送到局域網(wǎng)內(nèi)的隔離區(qū)服務(wù)器，由隔離區(qū)服務(wù)器自動(dòng)傳至賽門鐵克的病毒相應(yīng)網(wǎng)關(guān)，或提交給賽門鐵克中國(guó)公司，由賽門鐵克中國(guó)公司負(fù)責(zé)提交。網(wǎng)關(guān)會(huì)根據(jù)當(dāng)時(shí)的病毒定義碼情況在幾秒鐘、幾分鐘、幾十分鐘、幾小時(shí)或 48 小時(shí)內(nèi)返回針對(duì)該病毒的解決方案，當(dāng)返回相應(yīng)的病毒定義碼和掃描引擎后，可 以通過(guò)預(yù)先的設(shè)置，把最新的病毒定義碼和掃描引擎自動(dòng)安裝到全行的所有防病毒服務(wù)器和發(fā)現(xiàn)病毒的那臺(tái)計(jì)算機(jī)上，同時(shí)也可以安裝到指定的幾臺(tái)或一臺(tái)防病毒服務(wù)器上。具體請(qǐng)參考圖 30 圖 緊急 處理措施和對(duì)新病毒的響應(yīng)方式 基于整體架構(gòu)的管理職能具體表現(xiàn) 客戶端信息管理 通過(guò)在一級(jí)單位 /二級(jí)單位部署防病毒管理控制臺(tái) SSC，各級(jí)管理員可方便查看其所屬權(quán)限內(nèi)的客戶端信息，包括客戶端名稱，用戶名，當(dāng)前狀態(tài)，上次掃描實(shí)踐，病毒定義版本，掃描引擎版本，地址，所屬組服務(wù)器等信息。如下圖所示： 31 圖 客戶端 信息管理示意圖 客戶端掃描管理 通過(guò) SSC 管理控制臺(tái)的“審核網(wǎng)絡(luò)”功能可以自動(dòng)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)中所有客戶端防病毒軟件的安裝情況，可以找出哪些客戶端安裝了防病毒軟件，哪些客戶端沒(méi)有安裝防病毒軟件，以及安裝的是什么版本的防病毒軟件等相關(guān)信息，便于管理員及時(shí)掌握整個(gè)網(wǎng)絡(luò)中防病毒軟件的運(yùn)行情況。 32 圖 使用 SSC 的網(wǎng)絡(luò)審核功能掃描客戶端的防病毒軟件情況 補(bǔ)丁分發(fā)管理 補(bǔ)丁分發(fā)及軟件升級(jí)管理的架構(gòu)圖，原則上一級(jí)控制臺(tái)負(fù)責(zé)一級(jí)單位的補(bǔ)丁分發(fā)管理，二級(jí)控制臺(tái)負(fù)責(zé)所轄區(qū)域內(nèi)的系統(tǒng)補(bǔ)丁分發(fā)管理（實(shí)際上，在本解決方案中除 了能進(jìn)行補(bǔ)丁分發(fā)管理外，還可對(duì)任何希望客戶端獲得和使用的可執(zhí)行文件進(jìn)行分發(fā)管理）。 進(jìn)行補(bǔ)丁分發(fā)需要下列組建 共同協(xié)作 ? Symantec Custom Content Publishing Application (CCPA) ? Symantec LiveUpdate 管理實(shí)用程序 ? Symantec List of Trusted Signers (LOTS) Manager ? HTTPS LOTS Server ? 證書服務(wù)器 各組件結(jié)構(gòu)示意圖如下： 33 圖 XXXX 企業(yè)補(bǔ)丁分發(fā)管理流程圖 補(bǔ)丁分發(fā)管理流程如下： 首先，管理員通過(guò) CCPA 將要發(fā)布的補(bǔ)丁程序或其他工具程序首先發(fā)布到本地更新服務(wù)器上更新服務(wù)器（ LiveUpdate Server），更新服務(wù)器是一個(gè)中心環(huán)節(jié)，普通客戶端正是從這臺(tái)更新服務(wù)器獲得安全管理員希望他們得到的各種必要的更新（當(dāng)然，如有必要所有賽門鐵克產(chǎn)品的標(biāo)準(zhǔn)更新從 INTERNET 上取得后也可存放在這臺(tái)更新服務(wù)器上，由各防病毒服務(wù)器 /客戶端下載更新）。 考慮到 CCPA擴(kuò)展了 XXXX企業(yè)內(nèi)容更新服務(wù)器功能的同時(shí)，也存在一些潛在安全問(wèn) 題，假如某個(gè)不恰當(dāng)?shù)娜税l(fā)布了一些不恰當(dāng)?shù)母掳ɡ鐜Р《净驇? 34 木馬或沒(méi)測(cè)試過(guò)的補(bǔ)丁程序）到更新服務(wù)器，那么很可能所有客戶端將被這些有問(wèn)題的更新包所連累，結(jié)果可能造成嚴(yán)重的負(fù)面影響。因此，除了 CCPA和更新服務(wù)器以外，在 XXXX系統(tǒng)補(bǔ)丁管理系統(tǒng)中還有 證書服務(wù)器 、 Symantec List of Trusted Signers (LOTS) manager和 Symantec List of Trusted Signers (LOTS) server 來(lái)共同保證發(fā)布人的身份可靠和發(fā)布信息的完整可靠性。 綜合上述， 整個(gè)網(wǎng)絡(luò)內(nèi)部 補(bǔ)丁更新工作原理如下： 1. 由證書服務(wù)器為每個(gè)有權(quán)使用 CCPA發(fā)布更新包的用戶創(chuàng)建一個(gè)簽名證書。 2. 由證書服務(wù)器為 LOTS Manager創(chuàng)建一個(gè)簽名證書。 3. 在 LOTS manager中，導(dǎo)入所有有權(quán)使用 CCPA發(fā)布更新包的用戶的簽名證書，建立一個(gè)可信簽名者列表，即 List of Trusted Signers，并用 LOTS manager的簽名證書來(lái)簽名這個(gè)列表，避免此列表被篡改。 4. 將此 LOTS列表文件提供給 HTTPS LOTS Server。 5. 將此 LOTS列表文件導(dǎo)入到 CCPA中。 6. 有了 此前的準(zhǔn)備工作，每個(gè)有權(quán)使用 CCPA發(fā)布更新包的用戶就可以開始使用 CCPA創(chuàng)建和發(fā)布更新包到更新服務(wù)器上，當(dāng)然，在此過(guò)程中 CCPA會(huì)用到此前導(dǎo)入的 LOTS列表，用其中的用戶簽名證書來(lái)驗(yàn)證此用戶身份并簽名他正要發(fā)布的更新包。 7. 更新服務(wù)器上存放著經(jīng)過(guò)賽門鐵克簽名過(guò)的標(biāo)準(zhǔn)更新和 CCPA上傳來(lái)的經(jīng)過(guò)用戶簽名的客戶化更新包。 8. 普通客戶端發(fā)起更新請(qǐng)求時(shí)，如果只更新賽門鐵克標(biāo)準(zhǔn)更新，則直接連接更新服務(wù)器，獲得并應(yīng)用最新的標(biāo)準(zhǔn)更新。 9. 普通客戶端發(fā)起更新請(qǐng)求時(shí)，如果要更新客戶化內(nèi)容更新包，則客戶端首先訪問(wèn) HTTPS LOTS Server以比對(duì)是否本地已有最新的 LOTS列表，如果本地沒(méi)有，就下載最新的 LOTS列表，并驗(yàn)證此列表的簽名，保證此列表的完整可靠性。然后，連接更新服務(wù)器獲得更新包，并驗(yàn)證每個(gè)更新包的簽名（用本地最新的 LOTS列表文件），保證每個(gè)更新包的完整可靠性。 全網(wǎng) 補(bǔ)丁分發(fā)管理流程圖 給出了最標(biāo)準(zhǔn)的部署方式示意圖，考慮投資成本，可以將一些組件部署在同一臺(tái)機(jī)器上。例如可以將證書服務(wù)器、 LOTS