Symantec网络防病毒解决方案

Symantec网络防病毒解决 目 录 目 录 ........................................................................................................................................................................1 第一章 计算机病毒以及网络防病毒解决方案应考虑的因素 ..................................................................3 1.1 什么是计算机病毒 ........................................ 3 1.2 计算机病毒分类 .......................................... 3 1.3 计算机病毒成长最新动态 ................................... 4 1.4 企业防病毒自我评估 ...................................... 5 1.5 企业网络防病毒解决方案考虑的几个因素 ...................... 6 第二章 赛门铁克企业网络防病毒方案介绍 .................................................................................................7 2.1 赛门铁克企业网络防病毒解决方案的组成 ...................... 7 2.1.1 在第一层工作站级: .......................................................................................................................7 2.1.2 在第二层服务器级: .......................................................................................................................8 2.1.3 在第三层电子邮件服务器级: .....................................................................................................8 2.1.4 在网关级:.........................................................................................................................................8 2.1.6 Symantec 系统控制中心(SSC) ...................................................................................................10 22.1.7 报警管理系统(AMS) ...................................................................................................................... 11 2.1.8 Antivirus产品管理单元 ............................................................................................................. 11 2.1.9 Norton AntiVirus 防病毒产品线 ............................................................................................ 11 2.1.10 产品升级管理软件 .......................................................................................................................12 2.1.11 中央隔离区管理模块...................................................................................................................12 2. 2 赛门铁克企业网络防病毒方案的技术特点和优势 ................13 2.2.1 先进的防病毒技术 .........................................................................................................................13 2.2.2 全面、迅速、方便的升级 ............................................................................................................15 LIVEUPDATE确保用户始终拥有即时的病毒防护。...............................................................................18 2.2.3 简单高效的集中管理策略 ............................................................................................................18 2.2.4 强大的技术支持响应中心,赛门铁克防病毒研究中心(SARC.....................................19) 第三章 企业网络防病毒解决方案...............................................................................................................21 3(1 企业网络环境和防病毒需求分析 ............................21 3.1.1 企业网络环境 ................................................................................................................................21 3.1.2 企业网络防病毒解决方案需求分析 ........................................................................................22 3(2 企业网络防病毒解决方案总体规划 ..........................24 3.2.1 定义防病毒组 ..................................................................................................................................24 3.2.2 决定在什么机器上安装系统管理中心SSC ..............................................................................24 3.2.3 决定在什么机器上安装Symantec Web Security.................................................................24 3.2.4 决定在什么机器上安装Norton AntiVirus for Lotus Notes ........................................24 3.2.5 决定在什么机器上安装Norton AntiVirus for Miscrosoft Exchange ......................24 3.2.5 决定在什么机器上安装Norton AntiVirus for NT/2000 .................................................25 3.2.5 决定在什么机器上安装 Norton AntiVirus for DOS,Windows 3x,Windows 1 95/98,Windows NT/2000............................................................................................................................25 3.2.6 定义管理策略和强制管理 ............................................................................................................25 3.2.7 处理活动未知病毒 .........................................................................................................................25 3.2.8 使用“病毒历史”和“事件日志” ..........................................................................................25 第四章 企业网络防病毒实施方案 .................................................................................................................26 4(1 实施网络防病毒方案的目的 ................................26 4(2 实施人员组成 ...........................................27 4(3 实施时间 ..............................................27 4(4 协作要求 ..............................................27 4(5 实施 ..............................................27 4.5.1 骨干网网络防病毒实施方案 .....................................................................................................27 4.5.2 广域网统一管理实施方案 ............................................................................................................30 第五章 网络安全防毒条例 ................................................................................................................................31 附录A:赛门铁克内容安全及防病毒产品介绍 ..............................................................................................32 1. 赛门铁克企业内容安全产品介绍(SYMANTEC WEB SECURITY 及 M-GEAR) ...32 1.1 网站内容及防病毒安全软件:Symantec Web Security.........................................................32 1.2 邮件内容安全软件:M-Gear ............................................................................................................35 2(赛门铁克企业网络防病毒产品介绍 ............................37 2(1 NORTON ANTIVIRUS FOR GATEWAY .................................37 2(3 NORTON ANTIVIRUS FOR LOTUS NOTES ON AIX VERSION 2.0 ...............38 2(4 NORTON ANTIVIRUS FOR WINDOWS NT/ 2000/ 98/ 95/DOS, WINDOWS 3X ......39 附录B 赛门铁克防病毒NORTON ANTIVIRUS 管理员及用户使用说明...................................................41 2 第一章 计算机病毒以及网络防病毒解决方案应考 虑的因素 1.1 什么是计算机病毒 计算机病毒，简单来讲，其实就是一种可执行的计算机程序。和生物界的病毒类似，会寻找寄主将自身附着到寄主身上。 除了自我复制外，某些病毒被成为具有毁坏程序、删除文件甚至重新格式化硬盘的能力。在网络中，病毒对计算机的安全构成极大威胁:与网络黑客内外配合，窃取用户口令及帐号等变化多端的方式，使企业网络无时无刻不面对病毒困扰。这也就是必须使计算机具备预防、检查和清除病毒能力的根本所在。 病毒最成功之处在于其传播能力，传播能力越强，生存的机率就越大。当计算机病毒附着或感染某个文件或系统中的某个部分之后，就会传播给临近的项目。如果计算机病毒刚好将自己附着到一般用户经常使用的项目，或所附着的项目处在一个文件共享非常频繁的环境中，将助长病毒以最快的速度向四处蔓延。因此企业的网络环境，Internet环境是病毒传播、生存的最快最好的温床。 病毒感染周期 计算机病毒的整个生命过程可大致分为三个阶段:感染、检测和还原。在感染阶段，病毒会感染计算机上的文件。在检测阶段，则利用一些方法找出病毒并加以隔离。到了还原的阶段，则将病毒清除。 1.2 计算机病毒分类 计算机病毒可按照其破坏的目标分为下列几种类型: , 程序型病毒:通常以文件扩展名为.COM/.EXE/.SYS/.DLL/.OVL或.SCR的程序 文件作为其感染目标。由于程序文件的使用范围极为广泛，而且格式简单， 容易被病毒附身，因此成为病毒作者最爱下手的目标。 , 引导型病毒:以硬盘和软盘的非文件区域(系统区域)为感染对象。这些区 3 域通常是病毒从一台计算机传播到另一台计算机最有效的传播途径。引导型 病毒感染和传播的成功率很高，往往比程序型病毒高出好几倍。 , 宏病毒:以具有宏功能的数据文件为感染对象。Microsoft Word或Excel文 档和模板文件极容易遭受攻击。由于被感染文件通常会通过网络共享，或者 放到Internet站点供大家下载，因此宏病毒的传播速度相当惊人。 , 特洛伊木马型的程序:由于它们并不会自我复制，常常不被归类成病毒。但 它们表面上看起来好象有某种用途或可以提供娱乐效果的程序。这种外表会 鼓舞人们去执行它，实事上和古代战役中的特洛伊木马相似，其真正目的很 可能恰好与外表相反，会对文件造成破坏，或在计算机中植入病毒。现在， BOBO病毒及其变形就是一种特洛伊木马型的恶意程序，其最大坏处就是潜入 计算机，窃取用户的合法帐户名和口令，使网络入侵者侵入用户网络。 , 有危害的移动编码:浏览Internet网页是动态下载的程序代码。此类代码不 归类为病毒，但和病毒一样对数据和系统造成危害。 1.3 计算机病毒成长最新动态 根据美国国家安全协会(International Computer Security Associate，简称ICSA)的统计报道，98% 的企业都曾遇过病毒感染的问题，63% 都曾因为病毒感染而失去文件资料，由ICSA评估每一个受电脑病毒入侵的公司电脑，平均要花约美金8,366美金，但更大的成本是来自修理时间及人力的费用，据统计，平均每一电脑要花费44小时的到21.7天的工作天才能完全修复，因此电脑防毒战是沒有固定日期的战争，同时，也是一场不眠不休的长期抗战。 自1987年以来，全世界目前已有超过47000多种电脑病毒，从早期的病毒文件型，引导型，变种，隐藏型和宏病毒)，到特洛伊木马型(Trojan Horses)，( 恶作剧型(Hoaxes)，恶意的 Active X 与 Java applets 恶意破坏型程序，电脑病毒层出不穷。而其中以1999年四月造成全球企业电脑严重受损的最新Word 宏病毒梅莉莎97M.Mailissa及最新恶意破坏型(malicious)程序，及1999年六月最新的探险虫Worm.ExploreZip，最为严重!短短数天之间，就传遍全球，造成严重破坏。 主要原因是早期电脑病毒以附著方式并以电脑中的文件为感染对象，通常 4 执行文件时才会感染电脑中其他文件，但是最新的电脑虫却是一个完整程序，以PC为感染对象，因此，会主动找找透过IP直接感染其他文件，短短时间內，就造成企业瘫痪，因此，防毒软件的自动化机制，才能有效解决问题! 1.4 企业防病毒自我评估 面对来势汹汹的计算机病毒，企业的系统管理员对自己管理的系统安全程度必须有准确的认识和判断，才能设计选择防止病毒破坏的最佳方案，承担系统安全重任。系统管理员应该考虑: 1.哪些计算机正在运行实时性的防毒软件。 2.病毒的定义码有多新,如何更新。 3.哪些计算机没有运行防病毒软件。为什么没有。 4.现有的防病毒软件效果和功能是否能保证系统的安全。 5.过去是否曾遭受病毒的侵害。 6.谁负责处理用户病毒问题。 7.用人工处理一次病毒危机的花费多少。 8.如果企业计算机系统一天不能运行，损失有多少。 9.如果病毒发作，信息系统是否会瘫痪。 10.如果系统瘫痪或重要数据丢失，恢复的难度有多大，费用有多高。 其实，对于一台独立的计算机而言，防病毒软件应该是第一个必须安装的应用软件。对于一个网络系统，建立先进的全方位防病毒方案是系统安全的重要保证。 5 1.5 企业网络防病毒解决方案考虑的几个因素 完善的企业网络防毒解决方案，除了防毒软件的强大功能之外，尚有下列几 项重要的问题，需要非常严谨的考虑: 1: 防毒软件每台机器都要安装，很麻烦，费力费时～ 2: 防毒软件装完，防毒工作才真正开始，面对上千台机器的病毒定义码更新，防毒软件要持续同步、实时、有效更新，这些由谁来做,需要多少专人管理。 3: 一般行政人员或不太了解计算机人员是否可以轻松使用，简捷更新和升级。 4: 在单机上功能强大的防毒软件，若无法在网络上有效地管理则可能弊多于利，因为不是每个使用者都知道如何对防病毒软件的一些功能选项进行设置。是否可以透过某种的轻松方式一次性设定，也就是说，能否使软件的安装、防病毒策略的定义、实施以及病毒定义码和扫描引擎的更新和升级变得非常简单，甚至完全自动化, 5: 标准预设的防毒选项设置不一定适用所有的工作站。 6: 很难分析统计病毒攻击事件的次数、原因以及来源。 7: 用户都违反MIS Policy，如:用户随意更改防病毒策略和选项设置或忘记更新最新的病毒定义码和扫描引擎，甚至卸载防病毒软件，这样即使装了防毒软件，MIS仍然要到处救火，甚至达不到防病毒的效果。 8: 移动用户太多，无法有效、及时的掌握和把最新的病毒定义码送到移动用户手中。 9:是否能够很方便地在多种平台下进行安装、维护升级等工作。 10:是否可以对网络进行全方位、多层次地预防和过滤病毒。 针对上述问题，我们建议,在评估和购买防毒软件时，应考虑以下几个因素: ? 多层次、全方位的防病毒保护工作环境--跨平台的技术及强大功能 ? 先进的防病毒技术 6 ? 简易快速的网络防病毒软件安装和维护 ? 集中和方便地进行病毒定义码和扫描引擎的更新 ? 方便、全面、友好的病毒警报和报表系统管理机制 ? 病毒防护自动化服务机制 ? 客户端防病毒策略的强制定义和执行 ? 快速、有效地处理未知病毒 ? 合理的预算规划和低廉的总拥有成本 ? 良好的服务与强大支持 第二章 赛门铁克企业网络防病毒方案介绍 2.1 赛门铁克企业网络防病毒解决方案的组成 Symantec提供全方位、多层次的网络防病毒解决方案，在总个网络结构中从第一层工作站、第二层服务器、第三层电子邮件服务器到第四层防火墙都有专门的防毒软件提供完善的、全面的防病毒保护。在系统平台支持方面，Symantec对各种操作系统提供全面的支持，具体包括: 2.1.1 在第一层工作站级: , Dos , Windows 3x, , Windows 95/98 , Windows NT Workstation/Server, , Windows 2000 , Novell Netware , Macintosh 7 2.1.2 在第二层服务器级: , Windows NT Workstation/Server, , Windows 2000 Server , Novell Netware , OS/2 2.1.3 在第三层电子邮件服务器级: , Norton AntiVirus for Lotus Notes ( on Win NT/2000,AIX,AS400,Solaris) , Norton AntiVirus for Microsoft Exchange 2.1.4 在网关级: , NORTON AntiVirus for Gateways2.5(支持Solaris，Windows NT/2000 ) , Symantec Web Security2.0(支持UNIX和NT/2000) 具体结构参见图2。1 8 图2.1 网络各层次的防病毒产品均可以通过赛门铁克控制中心Symantec System Center (SSC)，作为企业网络防病毒的安装、维护、更新及报表集中管理的工具。其中防火墙、网关、Lotus Notes以及Microsoft Exchange防病毒产品，均采用基于Web的管理方式，因此可以实现远程管理。如图2.2所示: 基于Web 的管理 ssc 9 图2.2 赛门铁克企业网络防病毒方案采用多层次结构、智能化、全自动、集中管理、强制策略执行以及多平台支持的技术,主要包含以下几个组成部分: ?.Symantec系统控制中心(Symantec System Console) ?.报警管理系统(Alert Management System) ?.Antivirus产品管理单元 ?.Norton AntiVirus 防病毒产品(包括各种平台下的服务器和客户端防病毒产品) ?.产品和病毒定义码升级管理软件(LiveUpdate Administrtion Utility 和Definition Updater) ?中央隔离区管理模块 2.1.6 Symantec 系统控制中心(SSC) Symantec系统中心(SSC)为Norton AntiVirus及其它Symantec产品带来了简便、集中的管理。通过一个通用控制台，您将可以在整个站点上管理Symantec的防护和高效解决方案。在分布、维护和自动更新Symantec产品方面，可以说是无与伦比的简便。Symantec系统中心的最初发布版为所有站点的DOS、Windows3.x、Windows95/98、Windows 2000、Netware和WindowsNT工作站和服务 器上的Norton AntiVirus提供了集中、集成、自动化的管理. 10 22.1.7 报警管理系统(AMS) Alert Management System2 (AMS2) 提供了完善的紧急事件管理能力。它支持在各种系统上发送警报信息，包括 NetWare 3.12、3.2、4.1x 和 5.x 服务器，Windows NT 服务器和工作站，以及 Windows 95 和 98 工作站。 AMS2 是一个健壮的、容错的警报系统，不会发生单点错误。有些警报处理机制需要一个全功能的网络来发送和接收警报，而 AMS2 则不用。即使是在网络中断或者只具备部分功能的情况下，它仍能正常地发送和接收警报。 AMS2 可通过下列方式发出警报: , Message Box , Broadcast , Send Internet Mail , Send Page , Run Program , Write to Windows NT Event Log , Send SNMP Trap , Load an NLM 通过 AMS2 可以为病毒搜索设置各种不同的方法，包括呼叫，SNMP 和电子邮件。Norton AntiVirus 企业版管理单元也内置了通知功能，您可以用它们来替代 AMS2，或者和AMS2 通知一起使用，配置警报操作。 2.1.8 Antivirus产品管理单元 产品管理单元是Norton Antivirus 防病毒产品和Symantec 系统控制中心(SSC)之间通讯的桥梁，也就是说，如果Norton Antivirus 防病毒产品要接受SSC 的管理，就必须安装与该产品对应的产品管理单元，从而为赛门铁克企业网络防病毒解决方案提供简易、集中、自动化的管理技术。将来，Symantec 系统控制中心(SSC)将是赛门铁克各种产品的标准管理控制平台，通过产品管理单元(snap-in)实现统一的管理。 2.1.9 Norton AntiVirus 防病毒产品线 Norton AntiVirus 防病毒主要包括以下产品 11 •工作站级 –NORTON AntiVirus 7.5 for Windows 95/98 中文版 –NORTON AntiVirus 7.5 for NT/2K Workstations 中文版 –NORTON AntiVirus 7.5 for Windows 3.x/DOS 中文版 –NORTON AntiVirus 6.0 for Macintosh •服务器级 –NORTON AntiVirus 7.5 for Windows NT/2000 Servers 中文版 –NORTON AntiVirus 5.0 for OS/2 –NORTON AntiVirus 7.0 for NetWare –NORTON AntiVirus 2.5 for Lotus Notes 中文版 –NORTON AntiVirus 2.5 for Microsoft Exchange 中文版 •网关级 –NORTON AntiVirus for Gateways(Windows NT/2000, Solaris2.6+) –Symantec Web Security (Windows NT/2000, Solaris 2.6+) 2.1.10 产品升级管理软件 Norton Antivirus产品和病毒定义码升级管理软件主要有两种:LiveUpdate Administrtion Utility和Definition Updater，其中Definition Updater 用于对移动用户进行产品和病毒定义码的更新升级。 2.1.11 中央隔离区管理模块 中央隔离区是赛门铁克企业网络防病毒方案中的一个重要组成部分，当Norton Antivirus检测到未知的病毒，这些病毒无法使用当前的病毒定义码进行清除。或者您认为某个文件已经感染了病毒，但没有检测出来。Norton AntiVirus 隔离区可以安全地将计算机上这些受病毒感染的文件隔离开来。隔离区中的病毒不会进行传播。管理员可以把这些文件或病毒样本通过E-mail送到 12 赛门铁克的病毒研究中心(SARC)，SARC会在24小时之内把测试结果和解决方案通过E-mail送回到管理员手中。 2. 2 赛门铁克企业网络防病毒方案的技术特点和优势 赛门铁克企业网络防病毒方案的技术特点和优势主要集中表现在以下几个方面: , 先进的防病毒技术 , 全面、迅速、方便的升级 , 简单高效的集中管理策略 , 强大的技术支持响应中心 , 全方位、多层次网络防病毒总体解决方案 2.2.1 先进的防病毒技术 Symantec的NortonAntiVirus是目前世界上市场占有率最高的防病毒产品，在检测技术、扫描速度、文档修复、软件功能等多方面综合评测中得分最高，多年来屡获计算机行业国际性大奖，被评为技术最好的防病毒产品。 赛门铁克公司研究开发出许多独有的防杀病毒技术，这些技术保证了NortonAntivirus给用户的计算机以最安全的防护功能。 1. Autoprotect (自动防护) NortonAntiVirus的自动防护功能可以不间断地提供对病毒的监视，同时在病毒被检测出后立即显示一条警告信息。根据对自动防护选项的设置，此动作将显示相应的感染条目。具体的选项包括: , Repair Automatically (自动修复) , Delete Automatically (自动删除) , Deny Access (拒绝访问) 13 , Notify Only (仅发出通知) , Quarantine Automatically (自动隔离) , Quarantine If Unrepairable (如果无法修复则隔 离)。 2. Bloodhound(侦探)启发式扫描技术 在传统的病毒码比对方式的基础上，赛门铁克防病毒研究中心(SARC)的专业研究人员已经开发了两种类型的启发式扫描技术(Heuristic Technology)来监视疑似病毒的行为。第一种，Bloodhound(侦探)技术，可检测和处理高达80%的新型和未知可执行文件病毒。第二种，BloodhoundMacro(宏侦探)技术，检测并处理90%以上的新型和未知宏病毒。这些统计数据随计算机病毒增长速度的变化而略有不同。但肯定的是，Bloodhound技术可以真实地改变用户面对未知病毒威胁所处的不利地位。 由于它只深入检测满足严格先决条件的程序和文档，从而Bloodhound只需非常小的基本开支。在大多数情况下，Bloodhound可以在百万分之一秒内判定文件或文档是否被病毒感染。一旦作出判定，将立即跳到下一个文件。 3. 神经网络技术—可检测和修复引导型未知病毒 在Bloodhound 技术上，进一步解决了对未知引导型病毒的检测和修复。通过此技术，Norton AntiVirus可监测到90%以上的未知引导型病毒。 4. 宏病毒自动分析修复技术 改变以往的靠人工来修复未知病毒的方式，而采用自动分析并修复病毒的方式。Norton AntiVirus 的用户可使用扫描和传送技术 (Scan & Deliver)，在最短的时间内获得处理未知病毒的引擎和定义码。 5. Striker32(打击)技术 Striker(打击)技术可以搜索出具有多种变形、最复杂和难以检测的计算机病毒。如加密病毒，一种包含了混杂病毒体和译码例程的多态性病毒，它首先获取对计算机的控制，然后解开病毒体。然而，这种多态性病毒还可以通过增加一 14 个变化引擎来随机产生译码例程，这样在每次感染新程序时都会产生一个新的病毒变种。为此，没有任何一种多态性病毒是完全一致的。 Striker每次扫一个新程序文件时，它都将把文件调入一个自包含的虚拟计算机。使此程序在虚拟计算机上执行，就象在真实的计算机上运行一样。在“虚拟PC”内部，真实的计算机将不会被感染，多态性病毒只是自行运行并解密。随后Striker在系统上的其他文件被破坏之前扫描、检测并处理此病毒。 Striker32技术是Striker技术的发展，可以真正解决目前针对Windows95/98/NT/2000等32位操作系统的变形病毒。 6. MVP防止宏病毒技术 通过禁止运行未审定的Word或Excel宏从而绝对保证宏病毒不能够进入系统。 2.2.2 全面、迅速、方便的升级 1. 病毒定义码与扫描引擎 由于病毒制作技术的发展，只靠病毒定义不能处理所有的病毒，必须配合对应的扫描引擎。因此迅速地将病毒定义和扫描引擎、新的防病毒技术分布到网络中的每一个设备、每一种平台上，是响应当前突发性恶意病毒的唯一方法，否则防病毒软件的防护功能就会变得毫无价值。事实上现代防病毒产品与计算机病毒的对抗，体现的是速度的对抗，在突发性恶意病毒到达用户网络之前使网络拥有防护能力，是最强的防护。因此,全面、迅速、方便的升级是企业降低维护成本，减轻管理员的维护力度的重要保证，也是企业在选择网络防病毒解决方案中需要考虑的重要因素之一。 赛门铁克公司采用NAVEX和LiveUpdate技术使用户可以非常轻松迅速地获得最新的病毒定义和扫描引擎。 尤其是NAVEX的独特技术，可以保证用户不需要重新安装新版本程序，通过Internet升级就可以防治新病毒，避免了为应付更复杂的病毒不得不让用户每 15 年多次重新安装产品。 2. NAV 模块化升级技术(NAVEX) NAVEX是一种突破性的全新技术，它存在于所有NAV产品中，通过它，Symantec可以对来自新型病毒的威胁快速、轻松地作出反应，同时应付自如。 早期的防病毒产品由于病毒少，所以每发现一个新病毒就研究一个处理方案，发布一个新版本。后来病毒越来越多，这种方式就落后了，所以又采用扫描引擎技术，通过破解病毒的特征码，发现新病毒就病毒定义库增加新特征码。但病毒编写技巧的不断提高，采用了很多加密算法，使得这种方法也穷与应付，因为仅靠病毒定义不能处理新病毒，必须修改甚至增加新扫描引擎才可以处理。 典型的防病毒软件包括以下三个组成部分: ?防病毒应用程序 ?防病毒引擎 ?病毒定义码 防病毒应用程序提供用户一个界面，如报警、日志、当发现病毒时如何处理等，不同的平台，如NT和NOTES，应用程序是不同的。这部分对病毒一无所知，只负责调用扫描引擎。处理病毒的工作由扫描引擎和病毒定义完成。 赛门铁克的NAVEX技术使其产品不同与其他防病毒软件，当发现一类新型病毒时，赛门铁克会方便地更新NAVEX内部的引擎??而不是重新构建整个NAV引擎??并将它传送到具有新型病毒定义更新的客户手中，对如何平台，都是如此。客户可以每周收到一份带有标准病毒定义更新的NAVEX引擎。当客户安装病毒定义更新时，新的NAVEX引擎会自动安装到系统中，同时提供即时的、无缝、最新的病毒技术和防护。由于NAVEX技术是与NAV产品分开的，也与平台无关，为此赛门铁克可以在任何平台上用一套病毒定义码和引擎对新型病毒的威胁作出非常迅速的反馈，无需更新整个产品。这也使升级变得极为简单，尤其对网络多平台防病毒产品升级更显重要。 16 其他的防病毒、杀病毒 诺顿防病毒软件 软件 防病毒应用防病毒应用 程序 程序 防病毒引擎 防病毒引擎 防病毒引擎务必防病毒引擎随随防病毒软件产防病毒定义码 防病毒定义码 防病毒定义码 品的升级而升级 作实时更新 图2.2 一些防病毒产品的病毒定义和扫描引擎升级常常是分开完成的，只是病毒定义升级。当需要升级扫描引擎时都需要用户来卸载并重新安装防病毒产品，或是安装一个补丁文件才能获得新的防病毒引擎，并不得不重新关启机器才可以生效，对于服务器而言，这是件糟糕的事。 Symantec的NortonAntiVirus的NAVEX技术在每一次更新病毒定义码的时候，会同时更新NortonAntiVirus的防病毒引擎。而对于其他防病毒产品在每一次作更新时，则只会更新防病毒定义码。通常隔四到六个月上市各自的引擎更新版。因此，如果出现新型病毒的威胁，将无法提供即时的、综合的解决方案，以应付来自新型病毒的威胁;他们必须等待下一个、按时间计划的更新。从而降低了软件的防病毒的能力，也使得网络用户的升级工作非常不方便，经常要重新安装整个网络系统，增加企业的维护升级成本，网络规模越大，越是如此。 17 另一方面，NAVEX技术使Norton防病毒软件的扫描引擎部分模块化，因此支持不同平台的产品的升级方式非常一致。避免了不同产品需要多种升级方式，或时某些平台可以升级，某些平台还要等。同样也使网络上多平台多设备的升级简单迅速，如图2.2所示。 3. LiveUpdate(叠加式实时更新) LiveUpdate确保用户始终拥有即时的病毒防护。 NortonAntiVirus可以使用LiveUpdate和智能更新技术来自动更新处于计算机上的病毒定义文件。用户只需具有以下两个条件之一即可:或者具有Internet连接能力，或者拥有适当的连接用的调制解调器。无论选择哪种方式，NortonAntiVirus都可以建立连接，下载适当的文件，并将它们安装到计算机中。用户无需操心任何其他事情。随着平均每天10到15种新型病毒的出现，及时升级，使用户的计算机系统免受病毒危害至关重要～ 由于LiveUpdate采用叠加式技术，可以自动为用户更新最新的部分而不是全部覆盖，大大降低了用户的下载时间和系统开销，每次升级的网络流量只有几百,。 LiveUpdate 支持专线接入和拨号上网，同时也支持代理服务器上网方式。 对于移动用户，可以通过Definition Updater 以E-mail的形式进行病毒定义码和搜索引擎的更新。 4. 免重新启动式更新 赛门铁克防病毒软件在完成更新后，新的防病毒能力会立即生效，不需要重新启动机器，真正实现了对新病毒威胁的即时响应，也减少了系统管理员的工作。 2.2.3 简单高效的集中管理策略 赛门铁克系统中心(SSC)为NortonAntiVirus及其他Symantec产品带来了简便、集中的管理。通过一个通用控制台，管理员将可以在管理Symantec的防护和高效解决方案。在分布、维护和自动更新Symantec产品方面，可以说是无与伦比 18 的简便。赛门铁克系统中心为所有站点的Windows95/98/2000和WindowsNT工作站和NT/Netware服务器上的NortonAntiVirus提供了集中、集成的管理。 , 通过一个控制台管理整个站点上的Symantec软件。 , 通过为所有DOS、Windows3.x、Windows95/98、Windows 2000、Netware 和WindowsNT工作站和服务器上的Norton AntiVirus提供自动范围的 分发、更新和警报 ，有效 地节省了时间，同时提高了病毒的防护能 力。 , 通过可调度的自动化的LiveUpdate软件，无需终端用户和网络管理员的 干预，即可保持在整个站点上实现病毒的实时防护。 , 通过在 DOS、Windows3.x、Windows95/98、Windows2000 、 Netware和 WindowsNT工作站和服务器上运行 Norton AntiVirus，提供集中的警 报。 , 通过运行Symantec System Center，可以快速识别不满足产 品特定标 准的机器，如系统病毒定义码已过期、自动防护是否已启动、是否曾 经做过完整扫描等等。并且可以通过载SSC(Symantec System Center) 一端统一规则(Policy)的制定强 制客户端贯彻统一的规定，其中包括 未经允许客户端不得删除Norton AntiVirus。 , 与现有运行在DOS/Windows3.X、Macintosh和NetWare服务器上的 Symantec管理工具并用，在跨平台操作环境下提供统一的防病毒管理。 , 支持Microsoft 管理控制台(MMC)，内嵌到由Microsoft管理控制台提 供的通用控制台中。 2.2.4 强大的技术支持响应中心,赛门铁克防病毒研究中心(SARC) 防病毒方案必须在最短的时间里，以最快的速度产生新的病毒定义与扫描引擎，处理变化中的病毒。赛门铁克建立了全球最大的防病毒研究中心(SARC)，在SARC,有全球计算机防病毒最具权威的专家队伍在不停的工作。专家们不间断地在 19 世界范围内主动搜索，或收到来自用户的病毒样本。SARC能够立即开发病毒定义和修复方法，以便在网络遭病毒侵害之前，发现病毒并消除其危害。如果用户的计算机曾经受到病毒感染或感染未知病毒，SARC的技术人员将为用户开发修复途径并迅速发送给用户，同时在升级网站为全球用户提供升级。在与IBM公司结成全球防病毒联盟之后，SYMANTEC采用数字免疫系统来对抗未来的病毒，它将给全球用户提供最快、最强大的防病毒能力，对一个新的病毒样本，只需要几分钟的破解时间，使得赛门铁克对病毒有最快的响应速度。 SARC分支机构遍及美国、澳大利亚、日本和荷兰，专注于在病毒危害用户的系统和文件之前，不间断地进行识别和抵消处理。SARC可以: ?提供有关计算机病毒发作方面的迅速、全球性的响应 ?通过超前的研究和开发技术，最大限度地降低来自病毒的威胁 ?通过环球网和BBS向广大计算机用户提供新病毒的定义和特征，针对用户遇到的种种问题，在病毒检测和清除方面提供快速反馈，并尽快取得防护措施。 赛门铁克公司即将建立赛门铁克中国防病毒研究中心。 赛门铁克公司已经确立了在防病毒软件市场和技术上的绝对领先优势，因此选择赛门铁克产品建立企业全方位多平台网络防毒杀毒体系，不仅可以确保系统安全运行，也最大限度地保证了用户的投资。 今年赛门铁克公司在中国的天津成立了全球的第五个防病毒研究中心 20 第三章 企业网络防病毒解决方案 3(1 企业网络环境和防病毒需求分析 3.1.1 企业网络环境 1( 企业网络状况 2( 网络拓扑图 网络拓扑图如附图1所示: 21 3( 企业网网络软件和系统软件 4( 客户端计算机配置和工作情况 , 企业网工作站主流配置: , 企业网工作站上安装的可选软件有: 3.1.2 企业网络防病毒解决方案需求分析 针对 这样一种网络环境的防病毒方案，我们从以下几个方面考虑: 1、必须对整个网络实行全方位的、多层次的病毒防护，也就是说因该在网 络的每一个层次都要进行有效的病毒防护。因此，我们建议主要从网关、 22 邮件服务器、数据库以及NT操作系统和Windows 95/98等客户端五级进 行病毒扫描和过滤选用如下赛门铁克防病毒产品: , 在企业网关一级:使用Symantec Web Security , 在邮件服务器一级:使用Norton AntiVirus for Lotus Notes， Norton Antivirus for GateWay， Norton Antivirus for MS Exchange , 在数据库服务器一级:使用Norton AntiVirus for Windows NT , 在Windows NT服务器一级:使用Norton AntiVirus for Windows NT/Netware/2000 , 在工作站一级:采用Norton AntiVirus for DOS,Windows 3x,Windows 95/98,Windows NT/2000 (这里可以根据用户的具体情况，选择相应的产品，在附录F中有相应 的产品介绍和赛门铁克防病毒产品的列表) 2、必须具备24小时自动防护功能。 3、必须能够在各条可能感染病毒的途径上防止病毒。尤其必须能够扫描预 防电子邮件附带的病毒和未知宏病毒。 4、必须具备最先进的检测清除病毒的功能。当感染传播性很强的病毒时， 要能够快速从整个网络上把这一病毒清除，不让病毒残留在某台机器上。 5、对已感染的病毒文件，能够通过先进的修复工具保证文件免受损害。对 于感染无法处理的未知病毒，必须提供一种方法，不让其在网络上传播， 同时，能够快速获得解决方案。 6、对总个网络性能的影响应该非常小。 7、病毒定义码和扫描病毒引擎的更新必须快速方便。 8、必须能够实现集中管理和自动安装的功能。某些重要功能实行强制性管 理。 23 3(2 企业网络防病毒解决方案总体规划 在实施安装前，主要先考虑以下方面的规划: 3.2.1 定义防病毒组 防病毒的组是为了方便管理而设置的一组计算机，包括服务器和工作站，与NT的域和工作组无关，与用户无关，可以按建筑楼、部门或按楼层分组。根据分组，设定病毒定义码的更新策略。根据 企业网的具体结构，我们建议如下: 为了便于管理，我们建议按部门进行分组，每一个部门为一个组，每个部门防毒组的服务器既可以从整个网络的中心服务器更新也可从Internet更新(我们建议每个防毒组从整个建筑楼的服务器获得更新的病毒定义码和扫描引擎)，当一个防病毒组的服务器更新后，该组的各工作站将自动进行更新。 注:防病毒软件一旦安装完成，只要工作站和服务器在IP层能通讯(不一 定每台工作站都是NT服务器的域客户)就可以接受SSC的管理，同时对于 以后的病毒定义码和扫描引擎的更新均可以自动进行。 3.2.2 决定在什么机器上安装系统管理中心SSC 可以在企业网络的网管中心安装一个SSC，网管中心的SSC有权管理所有防病毒组，实现集中的、自动的、强制的管理。 3.2.3 决定在什么机器上安装Symantec Web Security 由用户提供一台Windows NT 或2000 Server用于安装Symantec Web security 3.2.4 决定在什么机器上安装Norton AntiVirus for Lotus Notes 把Norton AntiVirus for Lotus Notes 安装在运行Lotous Notes/Domino 的计算机上。 3.2.5 决定在什么机器上安装Norton AntiVirus for Miscrosoft Exchange 把Norton AntiVirus for Lotus Notes 安装在运行Miscrosoft Exchange的计算机上。 24 3.2.5 决定在什么机器上安装Norton AntiVirus for NT/2000 在数据库服务器以及其它的操作系统为Windows NT/2000的计算机中安装Norton AntiVirus for NT. 决定在什么机器上安装 Norton AntiVirus for DOS,Windows 3.2.5 3x,Windows 95/98,Windows NT/2000 选择要安装防病毒软件的客户端，安装相应的防病毒软件。 (如果还有其他产品，请在这里分别列出) 3.2.6 定义管理策略和强制管理 服务器的实时防护和定期的调度扫描如何设置. 当发现病毒时的默认操作为清除病毒，后备操作(若清除失败)可以是隔离，后备操作也可设为仅记录，即不采取动作。 需要锁定哪些设置,防止工作站用户更改. 3.2.7 处理活动未知病毒 管理员如何监测和处理未知病毒:可以设置本地中央隔离区和中央隔离区服务器，当Norton AntiVirus 防病毒软件发现未知病毒而又处理不了时，可以自动隔离至中央隔离区或中央隔离区服务器，以防止病毒发作，以此同时管理员可以通过电子邮件的形式把受感染的文件或病毒样本传送至塞门铁克防病毒研究中心(SARC)，以获得解决方案。 3.2.8 使用“病毒历史”和“事件日志” 通过SSC控制台上的病毒历史和事件日志的功能，管理员可以看到最详尽的AV报告，并对企业的病毒状况有及时的了解。 25 第四章 企业网络防病毒实施方案 4(1 实施网络防病毒方案的目的 对系统实施防病毒系统，主要是为了在 骨干网络中构造一个整体的、全方位的、无缝的、功能强大的防病毒体系。保护企业免遭来自企业外部和企业内部病毒的威胁，从根本杜绝病毒的发作和传播，有效地保护企业内部资源。 26 4(2 实施人员组成 实施人员包括系统集成商(3人)和 的负责领导和系统管理员。 4(3 实施时间 根据具体安排，需要1周时间，包括培训、安装和调试。 4(4 协作要求 应负责整个实施的组织和协调，包括: 安装地点的选择 安装时间要求 培训人员召集 培训环境 安装准备 应告知相关人员的配合事项，包括: 防病毒的重要性 安装期间不要关闭机器 卸载所有其他的防病毒软件等。 4(5 实施计划 4.5.1 骨干网网络防病毒实施方案 在骨干网网络防病毒解决方案实施过程中主要包括服务器端、客户端、防火 墙、邮件服务器、数据库服务器以及Notes 服务器防病毒软件的安装和调试。 (参见附图3) 方案在具体事实过程中主要包括以下几个部分: 1(安装Symantec Web Security 2(安装Norton AntiVirus for Lotus Notes 3(安装Norton AntiVirus for Miscrosoft Exchange 4(安装Norton AntiVirus for NT/2000服务器以及客户端防病毒软件，具体包括以 27 下几 个步骤: ? 安装系统控制中心(SSC) ? 安装产品管理单元 ? 安装服务器防病毒软件 ? 分装工作站防病毒软件 ? 安装中央隔离区服务器 ? 安装LiveUpdate 管理实用程序 ? 管理和维护—防病毒策略的制定、病毒定义码更新、警报、事件管理等 4.5.1.1 安装Symantec Web Security2.0 1.系统要求 要求有一台独立的NT/2000服务器，具体配置如下: ?奔腾400 MHz 或以上 ?最少256Mb 内存, ?至少1GB 可用硬盘空间, 建议2GB 以上可用硬盘空间 ?CD-ROM 驱动器 ?Windows NT 4.0 ?TCP/IP Internet 连接(专线连接) 2.安装Symanec Web Security2.0 ?运行SWS2.0的安装程序setup.exe,按提示进行。 4.5.1.2 安装Norton AntiVirus for Lotus Notes 以 AIX Version 为例 1(系统要求: ?AIX 4.3.2 或更高版本 ?Lotus Domino 4.6.3b 或更高版本 (可以运行在4.5 或更高版本， 但建议使用4.6.3b 或更高版本) 2(安装Norton AntiVirus for Lotus Notes on AIX Version 2.0 28 ?关闭Lotus Notes 服务器。 ?关闭Lotus Notes 客户端。 ?进入CD-ROM 目录(CD/CDROM) ?从Norton AntiVirus 光盘中运行setupnav ?在Norton AntiVirus 安装完毕后，重新启动Lotus Notes 服务器。 ?选择安放Norton AntiVirus 的工作平台格(workspace tab). ?选择“file”菜单，选中“Database”，然后打开。 4.5.1.3 安装Norton AntiVirus for NT服务器以及客户端防病毒软件 1(系统要求: ? 安装系统控制中心SSC的机器要求 ?P166以上 ?至少32Mb内存，建议64Mb或更高 ?至少200Mb可用磁盘空间 ?Windows NT /2000 Workstation/Server ?安装Norton AntiVirus for NT服务器端防病毒软件机器要求 ?P166以上 ?至少32Mb内存，建议64Mb或更高 ?至少200Mb可用磁盘空间 ?WindowsNT Server/Workstation), Windows 2000 Workstation/Server ?Novell Netware 3.12/4.1x/5.x ?IE 4。0或以上版本 ? 安装Norton AntiVirus客户端防病毒软件机器要求 ?DOS 5.x and higher ?Windows 3.x ?Windows 95/98 ?WindowsNT Server/Workstation 4.0 or Windows 2000 29 Workstation/Server 2(安装Norton AntiVirus for NT服务器以及客户端防病毒软 件 .安装系统控制中心(SSC) a.安装系统控制中心(SSC) b.安装产品管理单元 b.安装产品管理单元 c.安装服务器防病毒软件 c.安装服务器防病毒软件 d.分装工作站防病毒软件 d.分装工作站防病毒软件 e.安装中央隔离区服务器 e.安装中央隔离区服务器 f.安装LiveUpdate 管理实用程序 f.安装LiveUpdate 管理实用程序 注:详细情况请参考附录管理员安装维护 4.5.2 广域网统一管理实施方案 Symantec企业网络防病毒解决方案在维护管理方面采用的是集中、简易的强制执行的管理策略，在实施广域网的集中管理时，应充分考虑尽量减少占用网络带宽，因此我们具体实施时，应注意以下几个方面的因素: 1(建议各分支机构网络防病毒软件在本地安装(虽然可以通过广域网进行 安装)，具体方法参见4。5。1节。 2(整个广域网的防病毒策略可以实现统一的、集中的管理，由骨干网络的 管理员实现统一的定制、实施。 3(对于整个广域网的病毒定义码和扫描引擎更新、升级:一方面可以让每 个分支机构的SSC系统管理中心自己进行升级，另一方面可以实现由骨 干网统一的更新、升级。也就是说，总部的SSC有权限管理每个分支机 构的一级服务器，(而且只管理其一级服务器)同时各分支机构统一到 骨干网的一级服务器(对各分支机构来说是主一级服务器)进行病毒定 义码和扫描引擎的更新、升级。如附图2所示: 30 第五章 网络安全防毒条例 为保证网络的安全运行, 防止计算机病毒的侵入和破坏, 特制定如下条例., 从而对网络的安全运行在制度上得以保障。 一. 人员安排 配备2名MIS人员负责整个网络安全的目常管理及维护。 二. 责任 结合MIS本身的管理要求, 严格杜绝在服务器上的未经授权的文件操作;未经同意不得在SERVER上使用软盘和光盘(尤其是盗版软件光盘) ;对用于SERVER上的软盘和光盘须先进行病毒扫描; 严格按照规定进行病毒扫描、病毒定义码更新及升级工作。 当发现无法解决的新病毒时, 应迅速隔离病毒, 以免传播, 并通知厂商及相关部门和网络用户, 加强防 。一旦厂商提供了解决方案, 应迅速将其安装至每一SERVER和用户上。 若有重大病毒爆发预告, 应通知每午用户提高警惕, 发现情况, 即刻通告 三. 严格尊守厂商的维护要求(详见附附录) 31 附录A:赛门铁克内容安全及防病毒产品介绍 1. 赛门铁克企业内容安全产品介绍(Symantec Web Security 及 M-Gear) 1.1 网站内容及防病毒安全软件:Symantec Web Security 1.1.1系统要求: ? SWS2.0 for NT/2000 ?基于PC机 Intel 奔腾或兼容处理器 32 ?最少256Mb 内存 ?165MB 硬盘空间加上最小400MB空间用于数据缓存(建议大于1G) ?CD-ROM 驱动器 ?Internet 接入 ?WWW浏览器(如:Netscape Navigator 4.7+ 或Microsoft Internet Explorer5.0+) ?Microsoft Windwos NT Server version 4.0, Service Pack 6 ?Microsoft Windoews 2000 Server,Service pack 1 or higher ? SWS 2.0 for Solaris TM?基于SPARC系统 ?最少256Mb 内存 ?165MB 硬盘空间用于软件系统，最小400MB空间用于数据缓存(建议大于1G)，50MB用于日志，10MB用于设置文件 ?CD-ROM 驱动器 ?Solaris 2.6+ ?Internet 接入 1.1.2 主要特点: ?业界第一个将内容过滤与病毒防护结合在一起的网关级产品。主要针对企业HTTP、FTP流量进行处理。可以让员工在工作期间只能浏览与工作有关的网站和内容并。 ?用户化可定制的基于URL列表的地址过滤 ?独特的DDR(Dynamic Document Review)技术，可以实时监测浏览网页的内容，达到智能过滤的效果，同时不影响性能 TM?AutoLock 技术，可设置当用户浏览被限制的网站时自动锁住，同时通过E-mail 的形式通知被锁住的用户 ?定制存取时间表，可以根据需要对不同的用户限制在不同的时间段内 33 允许上网或不允许上网 ?灵活的策略管理 ?可以对每一个用户单独设置各种权限 ?提供详细的报表 ?支持审计模式 ?增强的网络性能，通过合理分配网络带宽，达到最高的带宽利用律， 同时缓存浏览频率高的内容，提高浏览速度 ?简单的、基于Web的管理功能 ?支持多操作系统和代理服务器 ?支持Radius技术 ?支持透明代理 1(1(3 SWS2.0 工作原理 SWS2.0 作为Proxy , SWS 接受所有内部用户的HTTP、HTTPS、FTP 请求，并提交给SWS处理。 SWS根据管理员设置的内容策略执行下列操作之一: 1) 如果请求允许，SWS 将其发送到Internet; 2) 如果请求违背策略，SWS将拒绝其请求并通知用户; , SWS 对流进网络内部HTTP、HTTPS、FTP的流量进行基于内容策略的检查 和病毒扫描，只允许没有病毒的文件和符合内容过滤的流量进入企业内部。 如图1所示 34 图1 1.2 邮件内容安全软件:M-Gear 1.2.1 系统要求: 服务器系统要求 ?基于PC机 Intel 奔腾或兼容处理器 ?最少64Mb 内存 ?15MB 硬盘空间加上最小200MB空间用于E-mail缓存(建议大于1G) ?CD-ROM 驱动器 ?Internet 接入 35 ?WWW浏览器(如:Netscape Navigator 2.0+ 或Microsoft Internet Explorer3.0+) ?Microsoft Windwos NT Server version 4.0, Service Pack 3 以上版本,基于SPARC 服务器，Solaris 2.5或以上版本 客户端系统要求 ?Web 浏览器，如:Netscape Navigator 2.0+,Microsoft Internet Explorer 3.0+ E-Mail 客户端 ?无需E-Mail 客户段软件 1.2.2 主要特点: ?扫描和过滤邮件内容 强大的策略管理 ? ?关键字扫描 ?可定制用户数据库 ?灵活的存取控制管理 ?过滤不希望接收的文件类型 ?反欺骗技术 ?时间计划定制，可以根据需要为不同的用户安排在不同的时段，从而合理利用带宽 ?日志和报表 ?远程管理功能 ?M-Gear本身具有邮件服务器的功能 ?锁住非法用户 ?与其他邮件客户端协同工作 ?远程邮件管理 36 2(赛门铁克企业网络防病毒产品介绍 2(1 Norton AntiVirus for Gateway , 系统要求: ?奔腾133 MHz 或以上 ?128 MB 内存 ?50MB 可用硬盘空间 ,建议500 MB 可用磁盘空间 ?CD-ROM 驱动器 ?Windows NT 3.51/4.0 ，Windows 2000 ?具有管理员权限 ?静态IP地址 ?IE 4.0 或Netscape navigator4.0以上 , 主要特点: ? 快速病毒分析和决策技术 自动扫描和传送技术 中央隔离服务器 中央隔离控制台 复杂的病毒扫描引擎 ? 久经考验的防病毒技术 复杂的病毒扫描引擎 扫描策略管理 增强的扫描内容 ? 强大的管理控制能力 可灵活配置的病毒处理和报警功能 37 灵活的简易的管理 详细的防病毒日志 详细的报表 LiveUpdate功能 , Norton AntiVirus for Gateway的工作方式: Norton AntiVirus for Gateways和现有E-mail网关协同工作。Norton AntiVirus for Gateways会在传送电子邮件给SMTP Server和 groupware Server之前首先进行病毒的扫描和清除工作，如下图所示: NAV for GateWay的工作原理: 从外部进来的邮件通过DNS解析先送到NAVIEG SERVER 进行扫描， 然后再送回MAIL SERVER进行处理，公司内部往外发的邮件先送到邮 件服务器，有邮件服务器送到NAV for GW。 2(3 Norton AntiVirus for Lotus Notes on AIX Version 2.0 , 系统要求: ?AIX 4.3.2 或更高版本 ?Lotus Domino 4.6.3b 或更高版本 (可以运行在4.5 或更高版本， 但建议使用4.6.3b 或更高版本) , 主要特点: ? 简易、灵活的管理机制: 38 多服务器支持 详细、复杂的报表 集中、自动的升级、更新机制 灵活的扫描机制 与Lotus Notes/Domino 的无缝集成 灵活的报警系统 ? 强大的扫描引擎和性能: 增强的扫描能力 自动的多线程扫描技术 支持各种压缩文件，包括:Zip,MIME, UUENCODE, LHA/LZH, ARJ, LZ, CAB, PKLite 备份和消息发送 ? 复杂、先进的防病毒技术: 独特的NAVEX技术 启发式侦测技术(Bloodhound) 打击技术(Striker32) 自动防护技术 宏病毒防护技术 赛门铁克防病毒研究中心(SARC) 2(4 Norton AntiVirus for Windows NT/ 2000/ 98/ 95/DOS, Windows 3x , 系统要求: 赛门铁克系统控制中心 39 ?Windows NT Server/Workstation 4.0 或 Windows 2000 Workstation/Server 服务器 ?Windows NT Server/Workstation 4.0 或 Windows 2000 Workstation/Server ?Novell Netware 3.12/4.1x/5.x 客户端 ?DOS 5.x and higher ?Windows 3.x ?Windows 95/98 ?Windows NT Server/Workstation 4.0 或 Windows 2000 Workstation/Server , 主要特点: 请参考第二章所述 40 附录B 赛门铁克防病毒Norton AntiVirus 管理员及 用户使用说明 选择赛门铁克全方位的防病毒产品，只是构造企业防病毒体系的第一步。利用赛门铁克防病毒软件所提供的各种功能，根据企业内部管理结构;网络结构制定一套长期的制度化的策略，是确保企业信息系统防病毒安全的关键。 虽然赛门铁克防病毒产品本身提供了许多管理功能使访病毒任务自动化，但教育用户培养良好的防病毒意识也是企业安全的一个重要环节。这包括建议计算机使用者: 定期检查本系统升级情况， 定期执行完整的手动扫描，包括经常使用和交换的软盘， 警惕来历不明的电子邮件， 不使用非正版软件和光盘等。 41 利用赛门铁克防病毒解决方案包含的管理功能，可以为企业建立一套完整的、自动执行的计算机防病毒策略，该策略体现在两个方面:客户端的防护策略和管理中心的管理策略。 客户端的防护策略 客户端的防护策略可以由公司安全主管和系统管理员统一制定。通过设定统一的客户端防病毒软件配置，从管理中心分发给客户端。 1. 定义启动防护选项 在系统启动时，立即扫描内存、主引导扇区、引导扇区和系统文件，进行病毒检查，因为系统文件感染的病毒，在系统启动时将激活，并可能进一步感染以后执行的其他程序。 2. 定义自动防护选项 选择在“启动时加载自动防护”，不选择“可禁用自动防护功能”。 确保用户端防病毒软件实时保护计算机不被病毒感染，不允许用户关闭此项功能。 在“何时扫描文件”选项下选择: “打开、复制或移动” “创建或下载” 当执行某个程序、打开、拷贝某个文件;或安装程序、解压缩文件、从因特网下载文件时，NAV会进行扫描。 在“扫描范围”选项下选择“程序文件”，该选择只扫描扩展名包含在文件扩展名列表中的文件，该列表包括最常用的可执行文件和最容易感染病毒、扩散病毒的文件类型，如“.COM、.EXE、.DLL、.DOC、.XLS、.PPT”等文件。由于一些类型的文件被病毒感染的可能性极小，大多数机器在自动保护状态下，不必扫描所有文件。对安全度要求极高的设备，可选择“所有文件”。 42 在“响应方式”选项，对大多数机器，检测到病毒时，选择“不能修复则自 。对安全度要求极高的设备，可选择“自定义响应”。如定义检测到引导动隔离” 型病毒就自动关闭机器。该选择可以立即防止病毒传播，但会使用户没有任何保存数据的机会，所以应慎用。 在“检查软盘”选项，选择: 访问软盘时检查是否有引导型病毒 重新启动计算机时检查软盘 3. 定义扫描选项 该定义会影响手动和调度两种方式的扫描。 在“扫描范围”选项，选择: 主引导记录 引导记录 压缩文件内部 所有文件 不选择“程序文件” 虽然扫描所有文件会花费较多的时间，但手动扫描和调度扫描的工作并非每天进行。 在“响应方式”选项，检测到病毒时，选择“不能修复则自动隔离”。 在“启发式扫描”选项，选择“允许BloodHound?病毒检测技术”，并将灵敏度调整到中等以上，以对抗未知病毒。 43 在“高级”选项，选择“所有硬盘驱动器”。在启动扫描时，将扫描所有硬盘驱动器。 4. 定义警报选项 在“发送的警报来自”选项，选择: 自动防护 WINDOWS扫描程序 当自动防护或扫描程序发现病毒时，将会产生报警文件 在“配置警报目标”选项，指定并配置管理中心为报警目标，报警信息将转发到该报警服务器。也可以设定一个电子邮件帐号为报警目标。 5. 定义活动日志 活动日志是包含了防病毒软件的检测结果和处理方式的历史记录。 在“记录下列事件”选项，选择: 病毒检测 扫描结果 隔离活动 日志将记录病毒的检测;手动及调度扫描的时间;扫描期间添加到隔离区的文件。 在“限定日志文件大小”选项选择文件大小为50KB。 6. 定义口令保护 选择“口令保护”，并设定口令，该口令由系统管理员掌握，不通知客户端。 选择“自定义口令保护”，以保护: 44 修改扫描程序设置 修改自动保护设置 修改警报设置 修改排除列表设置 添加/编辑/删除排除项目 修改活动日志设置 修改一般设置 7. 定义定时扫描 利用任务调度功能，为客户端定置每周至少一次完整扫描。 8. 定义定时升级 对于网络客户端，可以通过管理中心集中升级。对于移动用户建议他们定置每周一次升级，获通过电子邮件方式提供升级文件。 45