《KingCloud企业云安全系统建设及服务方案》由会员分享,可在线阅读,更多相关《KingCloud企业云安全系统建设及服务方案(17页珍藏版)》请在金锄头文库上搜索。
1、XXX公司KingCloud企业云安全系统建设及服务方案北京金山网络科技有限公司XXXX年XX月 XX日第一章 综述1.1项目背景1.2面向对象第二章 系统设计要求2.1系统基本架构2.2系统主要功能描述2.3系统需要达到的基本要求第三章 系统设计方案3.1客户端架构 3.2 客户端扫描逻辑 3.3 私有云服务器第四章 系统部署 4.1 硬件配置要求 4.2 部署基本流程第五章 产品运营技术支撑和服务保障体系 5.1 云安全系统优化 5.2 云安全系统相关管理人员培训 5.3 服务及技术支持第一章 综述1.1项目背景1.1.1项目现状l 计算机数量越来越大,目前普遍的、通用的防病毒防木马方式已
2、滞后于公司的桌面安全需求。日益增多的系统弱点及第三方软件漏洞,让计算机容易感染木马,特别是针对企业设计的木马,给桌面安全带来了挑战 需要部署一套快速响应的云安全系统,来解决终端桌面的安全问题,提高企业IT应用的安全性。1.1.2项目目标:开发属于企业私有的云安全系统,打造企业“云安全”服务。l 可以有效扫描桌面系统关键位置,防止木马(特别是有针对性攻击的木马)隐藏其中。l 对于文件安全性提供在内网受控的云鉴定服务,即可以快速响应文件安全性鉴定需求,又能防止未经受权的文件外泄。l 可以快速提供有效的病毒/木马清除解决方案。1.2面向对象企业所有内网用户:没有小孩的家庭宽带用户l 台式机终端l W
3、indows服务器第二章 系统设计要求2.1系统架构该系统由云查杀客户端、和私有云平台两部分组成。示意图如下。该系统采用金山成熟的云查杀技术、引擎,并定制开发适合企业需求的私有云服务器。木马云查杀大部分对于文件特征匹配的请求会被发送到内网的私有云服务器上,而不是直接查询互联网。私有云服务器通过VIP通道向金山云服务器,交得到优先响应的文件特征查询结果。管理员通过Web页面查看、管理私有云服务器。2.2 系统主要功能描述组件主要功能描述木马云查杀客户端快速扫描对关键位置进行快速扫描,覆盖木马常用修改位置全面扫描支持对感染型等传统病毒的扫描自定义扫描支持对用户指定的文件或文件夹进行扫描系统修复支持
4、修复病毒破坏的系统关键点及常见浏览器设置私有云服务器代理查询作为内网中唯一可连接金山云安全服务器的节点,接受客户端查询请求,提供金山云安全服务器对内网的文件查询的响应文件上报控制对于客户端上报的文件进行管理,对于文件是否上报到金山云安全服务器进行控制私有特征管理支持管理员对于文件特征进行安全性标识,维护属于企业自有的特征库,统计报表提供感染相关的病毒报表代理修复支持对系统文件版本查询的请求转发、支持代理下载常见系统文件代理更新负责连接到金山升级服务器,实现对修复库、客户端文件、本地特征库的内网分发2.3. 系统需要达到的基本要求组件要求内容客户端支持的操作系统支持Windows XP / 20
5、00/ 2003 支持Windows Vista支持 Windows 2008、Windows7 的32及64位版本安全对抗能力支持扫描已知Rootkit类木马支持自保护,防止病毒/木马终止通过更新,快速支持对病毒创建的启动项的扫描清除能力支持修复被病毒篡改的系统文件对于被占用的病毒文件重启后清除支持修复被篡改和锁定的浏览器设置项支持清除感染型病毒私有云服务器查询响应支持最大15万PC查询的响应容量响应文件查询请求,通过金山云服务器和私有云特征库两部分返回响应系统文件版本查询请求,连接金山云服务器进行转发相应请求并代理下载需要修复的系统文件运营及管理能力对文件上报进行审核管理显示文件基本信息,
6、以辅助管理员进行鉴定提供接口允许管理员自行判定文件安全性,并可维护该特征库提供有助于判断安全形势的统计报表更新支持代理升级修复库、客户端文件及服务器自身通过Patch方式提供更新第三章 系统设计方案3.1客户端架构下面是客户端架构图:安全应用层: 本层是基于金山云安全和安全核心层组件实现具体的功能,木马云查杀对外提供了快速扫描、全盘扫描、自定义扫描三种形式的交互方式,并允许第三方程序调用,以实现产品级功能调用。安全核心层: 本层功能主要是与病毒对抗的实体,包含多个引擎组件,驱动。为防止病毒对抗及利用,本层不提供对外的直接调用。云安全服务层: 本层主要是提供云安全服务,开放的API,可以供第三方
7、程序调用。针对企业定制的版本,需要修改查询的地址及按需求进行修改。 3.2 客户端扫描逻辑3.2.1预扫描最先扫描修复的项目,主要处理环境修复及热点病毒* 网络修复由于系统引擎查杀部分还是依赖于云查杀,所以保证云查杀网络通畅是重中之重。修复网络有两种情况:如果需要重启,发现此类存在异常,提示用户是否重启后扫描或者继续扫描。重启后扫描则立即修复重启,并开机时调用扫描。若用户选择继续扫描,则修复后进行后续扫描流程,当扫描结束后,进行重启查杀的提醒。如果不需要重启,,发现此类存在异常,修复后直接进行后续扫描流程,当扫描结束后,在界面中提示扫描出网络异常且修复成功。* 疑难及热点病毒清除对于现有公共机
8、制不支持的病毒清除逻辑,在预扫描中预先进行处理,才进入主扫描流程。该处通过模块更新的方式由金山实时提供更新,此处仅针对重大流行病毒。3.2.2 主扫描主要查杀修复模块,清除大部分的病毒及系统浏览器异常。* 加载项扫描现有的启动项扫描模块中的各个启动项按需要可以对其处理方式可配置。加载项主要指系统启动项、服务、驱动、病毒利用的常见应用程序启动方式等。扫描加载项的主要目的是灭活病毒体,如果病毒的所有加载项都被扫描到并被清除,那么重启该病毒就会完全失去作用。灭活是金山云查杀一直以来的主要查杀理念,这一理念保证了对抗代价低、对抗周期短、实际效果好的综合结果。而且采用强对抗(例如在运行时强制结束受保护的
9、进程、卸载服务或底层驱动)的安全软件在面对新病毒时往往由于开发周期过长而无能为力,且稳定性差。* 关键位置扫描现有的关键位置扫描,针对各个驱动器盘符根目录、桌面等容易被用户误触发的位置进行病毒母体或残留体的扫描,此处扫描是对灭活的一个有效补充。主要目的不再是清除病毒,而是巩固安全及提高用户体验。* 常用软件位置扫描现有的常用软件位置扫描支持QQ、迅雷、winrar,后续还得根据病毒的发展趋势支持更多的普及型软件扫描位置。病毒往往伴生在其他常用软件下,以利用其他应用软件进行启动,此处是对加载项扫描的一个补充,也是金山云查杀体系应对病毒对抗快速响应的一种积累。* 系统修复扫描现有的系统修复主要针对
10、系统异常及浏览器相关顽固病毒进行处理修复。后续还得根据病毒的流行破坏趋势进行相应的处理。* 系统文件修复扫描现有的系统文件修复主要针对病毒长破坏的系统文件进行修复,后续会扩展更多病毒易破坏的系统文件。* 残留文件扫描任何一个安全软件都不能确保完全清除所有病毒,但一个残留的病毒文件,可能会引起用户恐慌,此处也是一个提供用户体验的补充。但不是运营的重点。3.2.3 重启后回扫下面是系统引擎重启后相关流程图* bc/bs清除现在大部分借助bc和bs驱动进行对病毒的清理, |BC驱动启动早于系统绝大多数据驱动,用于清除病毒文件BS驱动启动时机为注册表加载完成,用于清除和修复注册表项。* 启动处理扩展由
11、于bcbs启动时机早,处于系统底层,因此不能承载复杂的逻辑和获取完整的系统环境,具有一定局限性,因此需要在服务中对进行更多的操作,增强处理的成功率。此处主要针对对我们脚本处理逻辑的增加个线性处理的补充,并对注册表中user的操作、对文件的替换操作等。* 启动回扫处理现在的回扫处理是服务启动后2分钟,此处是为了巩固清除的成果,对于处理逻辑上没有完全覆盖或发生异常处理不干净时,通过回扫处理可以提升一定的清除成功率。3.3 私有云服务器3.3.1系统架构下图是私有云服务器架构私有云服务器通过接受客户端HTTP请求,解析并处理各种上报的数据。通过HTTP协议访问金山云服务器、升级服务器获得相应数据。采
12、用WEB控制台方式对服务器进行管理。3.3.2私有云服务器各服务描述* 数据及文件存储数据库初步选用MySQL,具体可双方协商。* 二进制文件管理对于客户端上传的文件进行分类存储,并可接受控制指令或计划任务对文件进行管理、流转。* 文件信息管理通过接受客户端附加的文件信息、自行计算文件的附加信息按需求提供给管理员查看和处理。* 私有云特征处理维护一个私有的云安全特征库,该库不必要与金山云安全服务器同步。仅接受用户的指令修改文件安全状态,并下发到客户端。该模块涉及到误报、应急处理等多种策略,存在一定风险。* WEB控制台提供WEB控制台对私有云服务器进行管理。* 文件云代理服务对于内网不需要上报
13、的文件查询,提供转发请求服务。对于审核通过的文件提供提供上传代理服务。对于查询的特征按定义好的策略进行缓存* 数据升级服务负责接受客户端匹配版本信息的请求定时下拉客户端文件、病毒库数据、修复库数据* 系统文件修复服务负责接受客户端匹配文件版本信息的请求,对有需要的用户分发正确版本的系统文件。* 客户端查询接口采用HTTP协议通讯,负责对客户端上的多种请求信息进行解析并转发到相应模块,并返回结果。* 统计运营对于全网的文件查询、上报、安全状态做综合展示提供评估安全形势的报表通过组合查询方式获取特点文件、病毒或客户端的安全状态,以协助制定安全策略。第四章 系统部署4.1 硬件配置要求* 客户端:W
14、indows XP/Vista/Windows 7 * 私有云服务器:系统要求:Windows 2003及以上版本 64位服务器操作系统。硬件要求:根据部署时的实际情况,做性能压力测试后确定。 网络环境要求:可以连接互联网网,且达10M以上带宽可以连接企业内网,且达100M以上带宽。4.2 部署基本流程* 架设私有云服务器私有云服务器安装调试数据库建设网络环境配置配置金山云安全特别授权服务、升级服务部署基础数据:包括高频白文件特征库、最新本地病毒库、修复库、常用系统文件库。* 部署客户端提供WEB下载安装方式,可通过邮件、以及企业内网管理支持的各种软件方式分发客户端。可提前在一个小部门部署测试整体系统功能是否可用。然后再大规模部署。* 建立企业私有云基础库(生产环境安全基线的初始化)对于客户端上报的所有文件进行集中处理,建立一个基于企业现状的初始文件库。* 调试安全策略当每天上报的文件数量、未知文件状况达到一个稳定程度后:制定文件鉴定计划建立与金山云安全中心服务的服务流程微调客户端扫描调度频度、安全策略等参数。第五章 产品运营技术支撑和服务保障体系5.1 云安全系统优化5.1.1 安全策略优化
