《中小企业防毒方案建议书 v2010》由会员分享,可在线阅读,更多相关《中小企业防毒方案建议书 v2010(34页珍藏版)》请在金锄头文库上搜索。
1、XXXXXX安全建议书目 录(此处插入生成的目录)1方案概述从2000年至今,互联网的发展日新月异,新的引用层出不穷。从Web1.0到Web2.0,从2G网络升级到3G网络。互联网接入从笨重的台式机,到轻巧的笔记本电脑,到现在的上网本和手机终端。随着互联网的发展,人们的工作和生活已经发生了翻天覆地的变化,与此同时,信息技术的发展也带来了安全威胁的发展。安全威胁的攻击,从单纯的攻击单台电脑,到攻击局域网,攻击公司网络,到现在整个互联网充斥着各种攻击威胁。XXXX在目前的网络安全大环境下,现有的防病毒安全措施已经无法承载日新月异的威胁攻击。为了确保XXXX的业务连续性,避免病毒对XXXX的数据,应
2、用和网络带来威胁,必须对XXXX的防病毒系统进行进一步的完善。本技术方案书在充分了解XXXXXX公司面临的威胁基础上,结合趋势科技专业的安全知识,提供完整有效的解决方案。2安全威胁与现状分析XXXX公司运营对信息化的依赖程度越来越高,保护信息资产和网络正常运行是一个刻不容缓的议题,就XXX公司目前应用现状,我们分析主要面临以下威胁。2.1 XXX公司IT基本状况XXX公司的主营业务是。,目前公司业务蒸蒸日上,公司规模也发展到。人左右。随着信息技术对公司业务影响日益增大,IT系统也日益完善。目前IT业务系统主要包括:办公自动化系统(OA),客户关系管理系统(CRM)。OA系统提供内部员工信息共享
3、、邮件和数据处理等,CRM系统是公司重要的业务系统,存放了公司所有用户相关资料、对客户服务部门提供直接的业务支持。另外,公司拥有一台Web服务器,提供对外信息发布,起到门户网站的作用。公司也专门配备了XX名IT专业人员负责信息系统的维护。公司的网络结构图如下所示:2.2 大量的外部威胁XXXX的外部安全威胁主要包括来自网页浏览和文件下载方式侵入的恶意程序,其中有病毒、间谍软件、木马软件、钓鱼程序、灰色软件等。通过Web访问引入大量的恶意程序威胁XXXX的局域网与互联网连接在一起,互联网基于开放的平台,十分不安全,即便互联网出口部署了防火墙,当前流行的安全威胁常常以HTTP/FTP方式直接穿过防
4、火墙,植入到网络内部。木马、间谍程序等应用层安全威胁的危害很大,简述如下:l 用户的隐私数据和重要信息会被“后门程序”捕获,并被发送给黑客、商业公司等;l 自动开启电脑上的某个端口(制造后门),用于控制用户电脑;l 窃取用户银行帐号、信用卡帐号等信息并自动发送给病毒制造者;l 自动下载其他病毒程序,例如蠕虫病毒,用以控制整个计算机,对其他计算机用户发垃圾邮件、DDoS攻击等。木马/间谍程序通常是一种能够在用户不知情的情况下,在其电脑上安装后门,用于收集用户信息、窃取用户资料并发送给黑客预先设定的接收端计算机。黑客通过在互联网服务器上挂马、发送大量带恶意链接的垃圾邮件、即时通讯工具发恶意站点网址
5、等方式,让计算机用户一不小心就访问了这些不安全站点感染这类恶意程序,这也是目前黑客最常用的攻击方式。大量的恶意程序通过互联网链路植入到XXXX网络中,引入大量垃圾流量、影响计算机的正常使用、导致数据失窃等。所以,在进行安全建设时不能单纯依靠计算机端点这一道安全防护措施,必须在重要的网络互联边界增加对应的安全防线,从而构筑多层防御的体系架构。2.3 内部网络安全建设的薄弱环节防病毒体系层次单一XXXX有大量的计算机,都没有统一部署防病毒软件,相当于连最基本的安全防护手段都没有,最终导致病毒、木马软件、间谍软件、僵尸程序等恶意程序悄无声息的入侵到网络和计算机中来。然而,依据信息安全建设的“木桶原理
6、”,一台计算机不安全,就会降低整个企业的信息安全治理水平。所以,只要还有未部署防病毒软件的不安全计算机存在,XXXX全网的信息安全水平就会受到极大的影响。大量的网络攻击网络病毒传播和扩散是企业网络平台的最大危害,从去年底到现在,一直有一些网络病毒十分活跃。最典型的Worm_DOWNAD病毒的攻击方式分析:l 通过微软MS08-067的系统弱点其它攻击计算机;l 利用密码字典攻击法登入Admin$system32文件夹执行病毒文档,并在工作进程中新增项目产生病毒档案;l 在可携式磁盘驱动器与网络驱动器中产生病毒档案与Autorun.inf,通过USB便携设备感染其他系统;l 并且会在受感染电脑产
7、生五万个恶意程序网址并试图在同一时间内随机连结其中500个恶意网站下载新的恶意程序,以防止被安全软件清除掉从而长期在该计算机存活下去。这类蠕虫病毒,会在网络中产生大量的垃圾流量,如下图:而只有正常网络应用的网络流量,如下图:XXXX局域网里以蠕虫病毒为载体的网络攻击,将严重影响XXXX内部网络的稳定运行,最终又影响到应用服务器的正常访问。缺乏行为管理,资源滥用现象严重大量用户在上班时间浏览与工作无关的网站,任意安装未经授权和安全检测的软件,这些行为一方面严重影响工作效率,另外一方面造成资源浪费和潜在的安全隐患。3 防毒体系建设目标、原则与建议3.1 XXX防毒体系建设目标面对上述的安全威胁和公
8、司信息系统风险,公司为确保信息系统的稳定运行,保护公司重要信息资产安全,计划对公司网络进行加固,系统规划公司的整体防毒安全解决方案。防毒体系设计的目标将围绕降低病毒感染率、降低系统宕机时间以及灾害损失三个最重要的参数,将风险控制在企业可接受的范围内,如下图所示。为达到整体目标,我们可以把目标分解成以下具体目标:1) 有效的控制Web安全威胁,对Web威胁加以扫描2) 有效的对员工上网行为加强控制3) 防止病毒通过移动设备进行传播4) 确保病毒事件有及时有效的相应机制和防护策略5) 降低系统损害恢复时间和工作量3.2 XXX防毒体系建设原则为确保防毒体系项目的顺利进行,结合企业实际和安全体系构建
9、一般原理,对防毒体系的构建提出以下原则:1) 经济实用性原则公司对安全防护系统的投入将遵循经济实用性原则,在选择方案时,性能价格比是最重要的衡量标准之一。2) 简单易用性原则公司对IT人员的投入有限,IT专业管理人员同时需要负责网络、系统、应用系统的维护,所以平台的易用性,操作的简便性,部署的方便性就显得尤其重要。3) 平衡性原则风险、效率、投入是相互制约的因素,平衡性原则的第一个要素便是平衡这三者的关系。追求效率的时候不忘记风险,控制风险的时候要平衡效率和投入,风险存在很多很多地方,有限的投入需要合理分配。4) 先进性原则防毒方案的选择应该同时考虑到技术上的先进性,IT技术日新月异,威胁种类
10、变化多端,只有掌握了最新防毒技术,有着深厚技术背景的供应商才可以提供企业及时地防护。所以选择技术方案时,厂商的技术实力、技术支持力度、品牌也是关键。3.3 XXX防毒体系建设建议3.3.1 把住上网安全这一最重要环节病毒大多数情况是从Internet传入公司内网,如网络入口不加以防范,则会出现病毒会长驱直入的风险。随着利用Web方式传播的恶意程序大量出现,内网各终端节点的防护压力越来越大,其中突出表现在以下方面:u 下载文件造成病毒侵入-由于许多个人网站上的下载文件实际为伪装的木马程序,员工在访问时常常在不知不觉中将病毒下载并激活,造成终端节点频频病毒爆发。u 网页内嵌恶意程序-当员工浏览内嵌
11、有恶意程序的网站时,由于自身系统的安全漏洞,常常造成恶意程序自动执行,造成诸如强制修改IE设定、不断弹出窗口等后果,影响员工的正常工作;u 恶意URL不能自动阻止-对于内嵌恶意程序的URL的访问,由于不能实施自动阻止策略,造成同一种恶意程序不断侵入企业网络;u 间谍软件自动回拨-间谍软件进入内网发作后,会自动外联外部站点进行信息窃取,给企业信息资产造成巨大损失;u 非工作相关站点的访问-员工在工作时间访问与业务无关的站点,如游戏、娱乐等网站,造成员工生产力下降。基于xxxx的Web网关所面临的威胁分析,构建中的xxx Web网关防护系统要实现如下目标:u 对基于Web应用的病毒传播进行网关层防
12、护;u 对基于Web应用的间谍软件进行网关层防护;u 对基于Web应用的网络钓鱼行为进行阻断;u 对基于Web应用的恶意URL地址进行阻挡;u 对基于Web应用的非工作相关站点的访问进行控制。趋势科技提供的网络信誉服务(Web Reputation Service)可以从源头处杜绝恶意站点对公司的影响。传统的Web扫描技术需要等待用户去访问目的站点,并且下载了网页或文件,当这些网页和文件达到终端时再对其进行扫描,这种扫描方式固然可以起到安全防护作用,但也会消耗大量的资源,且一定程度上影响到用户访问网页的速度。而基于网络信誉服务的过滤技术一旦发现用户访问的站点是恶意站点或者是由僵尸网络控制的站点
13、,那么防毒软件可以直接中断该连接,网页或文件也不会下载,这样就可以节约网络带宽以及网关设备宝贵的资源,从而获得很高的过滤效能。3.3.2 加强策略与行为管理绝大多数的安全事件是因为内部网络存在诸多安全漏洞引起的,而这些安全漏洞中又以微软操作系统和应用引起的问题最为严重。其次,大量的客户端私自卸载防毒软件或者不及时更新病毒吗也是病毒容易扩散的原因。虽然网页过滤防护解决方案可以加固安全体系,但只要这些安全漏洞存在,网络就时刻面临着各种威胁的挑战。如何有效地加强企业安全策略的实施就成了当务之急。建议从以下几个方面加强策略与行为管理:1 禁用与工作无关的软件安装;2 过滤与工作无关的网站;3 定期对网
14、络进行扫描,发现安全漏洞;4 对即时消息通讯内容进行过滤;5 加强移动设备安全防范3.3.3 采用主动式病毒爆发阻止策略下面的图标形象的描述了传统防病毒软件的工作模式。一旦病毒爆发,随着时间的推移,企业感染病毒的计算机数量成指数上升,用户往往只能等到获得更新的病毒码之后,再分发最新病毒码和部署病毒清除工具,企业感染病毒计算机的数量逐步下降直至最后恢复。在这次事件中,防护系统始终处于被动防御状态。病毒码没有发布前成为病毒传播的空仓期,造成大量计算机感染,增加了系统恢复时间和成本。那么,主动式防护方案指的又是什么?我们说,主动式防护方案首先要求对病毒爆发的整个生命周期都应该进行管理,也就是病毒没有
15、出现的时候做好安全健康检查,做到防患未然,通过漏洞评估了解系统的弱点和漏洞。其次,一旦病毒爆发,除了被动的等待病毒码更新,更可以通过主动式的防护策略控制病毒的扩散。所谓的主动式病毒防护策略指的是根据病毒传播和行为特征,提供针对性的措施控制病毒不再扩散并降低影响,如通过网关防毒设备设定特定过滤策略控制病毒从网络传入,通过桌面防护软件禁止写入特定的文件、封闭特定的端口、关闭不必要的共享等。最后,病毒的清除工作非常繁芜,通过自动化分发的病毒清除工具容易实现损害清除,尽快恢复系统。如下图所示,采用主动式防护策略在每次病毒爆发时都能有效控制病毒扩散,从而减少企业因病毒事件而造成的损失。3.3.4 重视安全服务防病毒系统建立起来之后,能不能对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系,一方面要求厂商要有全球化的防毒体系为基础,另一方面也要求厂商能有精良的本地化技术人员作依托,不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快速的分析和方案提供。目前,防毒厂商都提供相关的标准服务,这类服务是随产品购买时附带的服务内容,如:病毒码免费自动升级,一年内软件版本免费升级,800技术支持电话。但这些基本服务内容在面对日益复杂的混合攻击和“零日攻击”时远远不够,所以过硬的增值服务能力也是反映厂商综合
