這里首先根據(jù)病毒的攻擊類型進(jìn)行分析，指出了病毒的多樣性， 以及單機(jī)版防毒技術(shù)的局限性，并指出企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)， 應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實(shí)施"層層設(shè)防、集中控制、以防為 主、防殺結(jié)合"的策略。具體而言，就是針對(duì)網(wǎng)絡(luò)中所有可能的病毒 攻擊設(shè)置對(duì)應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使 網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。所以，應(yīng)該在企業(yè)中設(shè)計(jì)一 種多層次，深入的防病毒安全解決方案。這種方法是根據(jù)安全威脅的 作用位置分層建立防病毒的模型，了解模型的每層以及每層的特定威 脅，以便利用這些信息實(shí)施自己的防病毒措施。在這里，我根據(jù)一般 企業(yè)所面臨的安全風(fēng)險(xiǎn)。建立了"七層安全防護(hù)體系"的模型。并針 對(duì)企業(yè)的實(shí)際情況，整合為單機(jī)客戶端級(jí)，服務(wù)器級(jí)，綜合網(wǎng)絡(luò)級(jí)， 物理安全級(jí)，以及策略、過程和意識(shí)層。集中了 VPN 技術(shù)，入侵檢測(cè)，郵件服務(wù)器，病毒掃描客戶端等技術(shù)。重點(diǎn)在客戶端級(jí)別，服務(wù)器級(jí)別，以及企業(yè)網(wǎng)絡(luò)搭建上給出詳細(xì)的配置方法以及拓?fù)鋱D。可基 本實(shí)現(xiàn)企業(yè)內(nèi)部全方位、多層次、無(wú)縫隙的安全防病毒配置。最后， 本文對(duì) Symantec 的企業(yè)級(jí)安全產(chǎn)品加以詳細(xì)的介紹。

計(jì)算機(jī)安全的威脅中，來自計(jì)算機(jī)病毒的威脅最為嚴(yán)重，因?yàn)椴《镜某霈F(xiàn)頻 率高、損失大，而且潛伏性強(qiáng)，覆蓋面廣。目前，全球已經(jīng)發(fā)現(xiàn)病毒 5 萬(wàn)余種， 并且現(xiàn)在仍然以每天 10 余種的速度增長(zhǎng)。那么對(duì)于企業(yè)來講，如何部署網(wǎng)絡(luò)的 軟硬件資源、制定相關(guān)規(guī)定，使企業(yè)內(nèi)網(wǎng)成為一個(gè)高效的防病毒體系是企業(yè)的日 常管理工作的重中之重。

從目前來看，雖然每個(gè)單位都部署了防病毒軟件以及防火墻軟件，但是新的 病毒、蠕蟲和其他形式的惡意軟件仍在繼續(xù)快速地感染大量的計(jì)算機(jī)系統(tǒng)。對(duì)此， 企業(yè)管理人員都可能有這樣的抱怨：

"用戶執(zhí)行其電子郵件的附件，盡管我們一再告訴他們不應(yīng)該……"

"防病毒軟件本應(yīng)可以捕獲此病毒，但是此病毒的簽名尚未安裝……"

"員工因?yàn)閭€(gè)人原因，甚至因?yàn)橄螺d多媒體影音，關(guān)閉了殺毒軟件的定時(shí)更新系統(tǒng)……" "我們不知道我們的服務(wù)器需要安裝修補(bǔ)程序……"

…………

最近的攻擊研究表明，在組織的每臺(tái)計(jì)算機(jī)上部署殺毒軟件的這種標(biāo)準(zhǔn)方法。可能不足以防范多種的病毒的攻擊手段。從最近病毒爆發(fā)的傳播速度來看，軟件 行業(yè)檢測(cè)、識(shí)別和傳送可保護(hù)系統(tǒng)免受攻擊的防病毒工具的速度無(wú)法跟上病毒的 傳播速度。最新形式的惡意軟件所表現(xiàn)的技術(shù)也更加先進(jìn)，使得最近的病毒爆發(fā) 可以躲避檢測(cè)而進(jìn)行傳播。這些技術(shù)包括：

◆社會(huì)工程

許多攻擊試圖看上去好像來自系統(tǒng)管理員或官方服務(wù)，這樣就增加了最終用戶執(zhí)行它們從而感染系統(tǒng)的可能性。

◆后門創(chuàng)建

最近大部分的病毒爆發(fā)都試圖對(duì)已感染系統(tǒng)打開某種形式的未經(jīng)授權(quán)訪問，這樣黑客可以反復(fù)訪問這些系統(tǒng)。反復(fù)訪問用于在協(xié)調(diào)的拒絕服務(wù)攻擊中將系統(tǒng)用作"僵尸進(jìn)程"，然后使用新的惡意軟件感染這些系統(tǒng)，或者用于運(yùn)行黑客希望運(yùn)行的任何代碼。

◆電子郵件竊取

惡意軟件程序使用從受感染系統(tǒng)中獲取的電子郵件地址，將其自身轉(zhuǎn)發(fā)到其他受害者，并且惡意軟件編寫者也可能會(huì)收集這些地址。然后，惡意軟件編寫者可以使用這些地址發(fā)送新的惡意軟件變形體，通過它們與其 他惡意軟件編寫者交換工具或病毒源代碼，或者將它們發(fā)送給希望使用這 些地址制造垃圾郵件的其他人。

◆嵌入的電子郵件引擎 電子郵件是惡意軟件傳播的主要方式。現(xiàn)在，許多形式的惡意軟件都嵌

入電子郵件引擎，以使惡意代碼能更快地傳播，并減少創(chuàng)建容易被檢測(cè)出的 異常活動(dòng)的可能性。非法的大量郵件程序現(xiàn)在利用感染系統(tǒng)的后門，以便利 用這些機(jī)會(huì)來使用此類電子郵件引擎。

◆可移動(dòng)媒體

◆網(wǎng)絡(luò)掃描

惡意軟件的編寫者使用此機(jī)制來掃描網(wǎng)絡(luò)，以查找容易入侵的計(jì)算機(jī)，或隨意攻擊 IP 地址。

◆對(duì)等（P2P）網(wǎng)絡(luò)

要實(shí)現(xiàn) P2P 文件傳輸，用戶必須先安裝 P2P 應(yīng)用程序的客戶端組件，該應(yīng)用程序?qū)⑹褂靡粋€(gè)可以通過組織防火墻的網(wǎng)絡(luò)端口，例如，端口 80。

應(yīng)用程序使用此端口通過防火墻，并直接將文件從一臺(tái)計(jì)算機(jī)傳輸?shù)搅硪慌_(tái)。這些應(yīng)用程序很容易在 Internet 上獲取，并且惡意軟件編寫者可以直接使用它們提供的傳輸機(jī)制，將受感染的文件傳播到客戶端硬盤上。

◆遠(yuǎn)程利用

惡意軟件可能會(huì)試圖利用服務(wù)或應(yīng)用程序中的特定安全漏洞來進(jìn)行復(fù)制。比如，Microsoft 發(fā)布的一些緩沖區(qū)溢出漏洞，用戶可能因?yàn)闆]有及時(shí)的打補(bǔ)丁而被攻擊。（所以，及時(shí)的對(duì) windows 系統(tǒng)進(jìn)行更新很重要）

◆分布式拒絕服務(wù) (DDoS)

這種類型的攻擊一般使用已感染的客戶端，而這些客戶端通常完全不知道它們?cè)诖祟惞糁械慕巧DoS 攻擊是一種拒絕服務(wù)攻擊，其中攻擊者使用各種計(jì)算機(jī)上安裝的惡意代碼來攻擊單個(gè)目標(biāo)。攻擊者使用此方法對(duì)目標(biāo)造成的影響很可能會(huì)大于使用單個(gè)攻擊計(jì)算機(jī)造成的影響。

由于病毒的復(fù)雜性，相應(yīng)地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實(shí)施"層層設(shè)防、集中控制、以防為主、防殺結(jié)合"的策略。具體而言，就是針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對(duì)應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。所以，應(yīng)該在企業(yè)中設(shè)計(jì)一種多層次，深入的防病毒安全解決方案。這種方法是根據(jù)安全威脅的作用位置分層建立防病毒的模型，了解模型的每層以及每層的特定威脅，這樣，就可以利用這些信息實(shí)施自己的防病毒措施。而這些優(yōu)化解決方案設(shè)計(jì)所需要的信息只能通過完成完整的安全風(fēng)險(xiǎn)評(píng)估獲得。在這里，我根據(jù)一般企業(yè)所面臨的安全風(fēng)險(xiǎn)。建立了"七層安全防護(hù)體系"的模型，旨在確保每組上的安全防護(hù)措施能夠阻擋多種不同級(jí)別的攻擊。下面，簡(jiǎn)單的對(duì)模型的各層進(jìn)行定義：

1） 數(shù)據(jù)層

數(shù)據(jù)層上的風(fēng)險(xiǎn)源自這樣的漏洞：攻擊者有可能利用它們獲得對(duì)配置數(shù)據(jù)、組織數(shù)據(jù)或組織所用設(shè)備獨(dú)有的任何數(shù)據(jù)的訪問。例如，敏感數(shù)據(jù)（如機(jī)密的業(yè)務(wù)數(shù)據(jù)、用戶數(shù)據(jù)和私有客戶信息存儲(chǔ)）都應(yīng)該視為此層的一部分。在模型的此層上，組織主要關(guān)注的是可能源自數(shù)據(jù)丟失或被盜的業(yè)務(wù)和法律問題，以及漏洞在主機(jī)層或應(yīng)用程序?qū)由媳┞兜牟僮鲉栴}。

2） 應(yīng)用程序?qū)?/p>

應(yīng)用程序?qū)由系娘L(fēng)險(xiǎn)源自這樣的漏洞：攻擊者有可能利用它們?cè)L問運(yùn)行 的應(yīng)用程序。惡意軟件編寫者可以在操作系統(tǒng)之外打包的任何可執(zhí)行代碼都 可能用來攻擊系統(tǒng)。在此層上組織主要關(guān)注的是：對(duì)組成應(yīng)用程序的二進(jìn)制 文件的訪問；通過應(yīng)用程序偵聽服務(wù)中的漏洞對(duì)主機(jī)的訪問；不適當(dāng)?shù)厥占?系統(tǒng)中特定數(shù)據(jù)，以傳遞給可以使用該數(shù)據(jù)達(dá)到自己目的的某個(gè)人。

3） 主機(jī)層

提供 Service Pack和修復(fù)程序以處理惡意軟件威脅的供應(yīng)商通常將此層作為目標(biāo)。此層上的風(fēng)險(xiǎn)源自利用主機(jī)或服務(wù)所提供服務(wù)中漏洞的攻擊者。攻擊者以各種方式利用這些漏洞向系統(tǒng)發(fā)動(dòng)攻擊。緩沖區(qū)溢出攻擊就是其中一個(gè)典型的例子。在此層上組織主要關(guān)注的是阻止對(duì)組成操作系統(tǒng)的二進(jìn)制文件的訪問，以及阻止通過操作系統(tǒng)偵聽服務(wù)中的漏洞對(duì)主機(jī)的訪問。

4） 內(nèi)部網(wǎng)絡(luò)層

組織內(nèi)部網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)主要與通過此類型網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)有關(guān)。這些內(nèi)部網(wǎng)絡(luò)上客戶端工作站的連接要求也具有許多與其關(guān)聯(lián)的風(fēng)險(xiǎn)。

5)外圍網(wǎng)絡(luò)層

與外圍網(wǎng)絡(luò)層（也稱為 DMZ、網(wǎng)絡(luò)隔離區(qū)域或屏幕子網(wǎng)）關(guān)聯(lián)的風(fēng)險(xiǎn)源自可以訪問廣域網(wǎng) (WAN) 以及它們所連接的網(wǎng)絡(luò)層的攻擊者。模型此層上的主要風(fēng)險(xiǎn)集中于網(wǎng)絡(luò)可以使用的傳輸控制協(xié)議 (TCP) 和用戶數(shù)據(jù)報(bào)協(xié)議(UDP) 端口。

6)物理安全層

物理層上的風(fēng)險(xiǎn)源自可以物理訪問物理資產(chǎn)的攻擊者。此層包括前面的所有層，因?yàn)閷?duì)資產(chǎn)的物理訪問又可以允許訪問深層防護(hù)模型中的所有其他層。使用防病毒系統(tǒng)的組織在模型的此層上主要關(guān)注的是阻止感染文件避開外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的防護(hù)。攻擊者可能只是通過某個(gè)物理可移動(dòng)媒體（如USB 磁盤設(shè)備）將感染文件直接復(fù)制到主機(jī)，試圖做到這一點(diǎn)。

7)策略、過程和意識(shí)層

圍繞安全模型所有層的是，您的組織為滿足和支持每個(gè)級(jí)別的要求需要制定的策略和過程。最后，提高組織中對(duì)所有相關(guān)方的意識(shí)是很重要的。在許多情況下，忽視風(fēng)險(xiǎn)可以導(dǎo)致安全違反。由于此原因，培訓(xùn)也應(yīng)該是任何安全模型的不可缺少的部分。

當(dāng)然，這樣的劃分是對(duì)一個(gè)組織完整的安全層次劃分。你可以根據(jù)不同企業(yè)的情況的不同，重新集中視圖以便將這些安全層級(jí)進(jìn)行整合。重點(diǎn)是通過確保沒有從防護(hù)中排除任何安全層，來避免不完整的和弱化的防病毒設(shè)計(jì)。例如：可以將數(shù)據(jù)層、應(yīng)用程序?qū)雍椭鳈C(jī)層組合到兩個(gè)防護(hù)策略中，以保護(hù)組織的客戶端和服務(wù)器。而內(nèi)部網(wǎng)絡(luò)層和外圍層也可以組合到一個(gè)公共網(wǎng)絡(luò)防護(hù)策略中，因?yàn)檫@兩個(gè)層所涉及的技術(shù)是相同的。每個(gè)層中的實(shí)施細(xì)節(jié)將是不同的，具體取決于組織基礎(chǔ)結(jié)構(gòu)中的設(shè)備位置和技術(shù)。下面針對(duì)各個(gè)層級(jí)確定安全解決方案：

一、客戶端防護(hù)

當(dāng)病毒和惡意軟件到達(dá)主機(jī)時(shí)，防護(hù)系統(tǒng)必須集中于保護(hù)主機(jī)系統(tǒng)及其數(shù) 據(jù)，并停止感染的傳播。這些防護(hù)與環(huán)境中的物理防護(hù)和網(wǎng)絡(luò)防護(hù)一樣重要。您 應(yīng)該根據(jù)以下假定來設(shè)計(jì)主機(jī)防護(hù)：惡意軟件已經(jīng)通過前面所有的防護(hù)層，必須 在客戶機(jī)終端上遏制其傳播。以下是配置客戶端防毒的一些技術(shù)：

I.減小攻擊面

客戶端操作系統(tǒng)的第一道防護(hù)措施就是減小計(jì)算機(jī)的攻擊面。應(yīng)該在計(jì)算機(jī) 上刪除或禁用所有不需要的應(yīng)用程序和服務(wù)，最大限度的減少攻擊者可以利用的 系統(tǒng)的方法。（可以根據(jù)Microsoft提供的產(chǎn)品文檔找到windows服務(wù)的默認(rèn)設(shè)置， 記住，盡量關(guān)閉不會(huì)用的的服務(wù)）

II.安裝防病毒掃描程序

許多公司推出防病毒應(yīng)用程序，其中每個(gè)應(yīng)用程序都試圖保護(hù)主機(jī)，同時(shí)對(duì)最終用戶產(chǎn)生最少的不便和交互。其中的大多數(shù)應(yīng)用程序在提供此保護(hù)方面都 是很有效的，但是它們都要求經(jīng)常更新以應(yīng)對(duì)新的惡意軟件。任何防病毒解決方 案都應(yīng)該提供快速的無(wú)縫機(jī)制，來確保盡快提供對(duì)處理新惡意軟件或變種所需的 簽名文件的更新。簽名文件包含防病毒程序在掃描過程中用來檢測(cè)惡意軟件的信 息。根據(jù)設(shè)計(jì)，簽名文件由防病毒應(yīng)用程序供應(yīng)商定期更新，需要下載到客戶端 計(jì)算機(jī)。

（注意：這樣的更新會(huì)帶來自身的安全風(fēng)險(xiǎn)，因?yàn)楹灻募菑姆啦《境绦虻闹?持站點(diǎn)發(fā)送到主機(jī)應(yīng)用程序（通常通過 Internet）。例如，如果傳輸機(jī)制使用 文件傳輸協(xié)議 (FTP) 獲得文件，則組織的外圍防火墻必須允許對(duì) Internet 上 所需 FTP 服務(wù)器進(jìn)行此類型的訪問。請(qǐng)確保在防病毒風(fēng)險(xiǎn)評(píng)估過程中審查組織 的更新機(jī)制，而且此過程的安全性足以滿足組織的安全要求。）

由于惡意軟件的模式和技術(shù)快速變化，一些組織采用了以下方法：在"高風(fēng) 險(xiǎn)"用戶在同一計(jì)算機(jī)上運(yùn)行多個(gè)防病毒程序包，以幫助將未能檢測(cè)到惡意軟件 的風(fēng)險(xiǎn)減到最小。下面的用戶就屬于此類別：

◆ Web管理員和管理Internet是內(nèi)容的其他用戶。

◆發(fā)布實(shí)驗(yàn)室工作人員或制作電子媒體（CD-ROM）的任何用戶。

◆創(chuàng)建或編譯文件活其他產(chǎn)品軟件的開發(fā)小組成員。

但是應(yīng)該注意的是，在同一計(jì)算機(jī)上運(yùn)行許多不同應(yīng)用程序供應(yīng)商推出的防病毒應(yīng)用程序，可能會(huì)因防病毒應(yīng)用程序之間的互操作性問題而產(chǎn)生問題。

但是特別指出的是，考慮的另一種方法是為組織中的客戶端、服務(wù)器和網(wǎng)絡(luò)防護(hù)使用來自不同供應(yīng)商的防病毒軟件。此方法使用不同的掃描引擎提供對(duì)基礎(chǔ)結(jié)構(gòu)的這些不同區(qū)域的一致掃描，這應(yīng)該有助于在單個(gè)供應(yīng)商的產(chǎn)品未能檢測(cè)到攻擊時(shí)減少對(duì)總體病毒防護(hù)的風(fēng)險(xiǎn)。

III.應(yīng)用安全更新

由于連接到組織網(wǎng)絡(luò)的客戶端計(jì)算機(jī)的數(shù)目很大種類很多。所以很難提供快速而且可靠的安全更新管理服務(wù)。對(duì)此，我利用Microsoft和其他軟件公司已經(jīng)開發(fā)出的解決工具。如下：

◆ Windows Update

對(duì)于小型組織和個(gè)人，Windows Update服務(wù)同時(shí)提供了手動(dòng)過程和自動(dòng)過程來檢測(cè)和下載windows平臺(tái)的最新安全和功能修改。但是在某些組織中使用此方法時(shí)出現(xiàn)的問題包括：在從此服務(wù)部署更新之前缺少對(duì)測(cè)試的支持、同時(shí)下載同一程序包時(shí)客戶端可能占用組織中一定量的網(wǎng)絡(luò)帶寬。

◆ Software Update service

此服務(wù)旨在為企業(yè)中的windows客戶端提供安全更新解決方案。通過既允許內(nèi)部測(cè)試也允許分布式安全更新管理，此服務(wù)為更大組織克服了windows Update的兩項(xiàng)不足。

◆ Systems Management Server 2003

Systems Management Server 2003是一個(gè)完整的企業(yè)管理解決方案，它能夠提供綜合的安全更新服務(wù)以及更多功能。 在這里，特別要注重蠕蟲病毒的防治，蠕蟲病毒危害極大，極容易導(dǎo)致整個(gè)系統(tǒng)的崩潰，而大多數(shù)的蠕蟲病毒都是依靠系統(tǒng)漏洞進(jìn)行傳播的。對(duì)企業(yè)而言， 系統(tǒng)漏洞修補(bǔ)不僅僅是安裝官方網(wǎng)站發(fā)布的補(bǔ)丁，在服務(wù)器或者網(wǎng)絡(luò)中大規(guī)模部 署補(bǔ)丁通常是一項(xiàng)十分重要的工作，必須先在環(huán)境中進(jìn)行測(cè)試和分析。然后才可 以在網(wǎng)絡(luò)中大規(guī)模部署。而管理員可以利用組策略、sms、wsus等方法，將已獲 得的系統(tǒng)補(bǔ)丁發(fā)放到客戶端。這樣也解決了客戶終端因個(gè)人原因不更新系統(tǒng)和軟 件的問題。

而WSUS為微軟公司提供的專用補(bǔ)丁更新的服務(wù)組件。可以根據(jù)客戶端的實(shí)際 情況，自動(dòng)將補(bǔ)丁程序發(fā)布到用戶計(jì)算機(jī)中。

其中的每種 Microsoft 安全更新工具都有特定的優(yōu)點(diǎn)和用途。最佳方法很 可能是使用其中的一種或多種工具。為幫助評(píng)估組織的安全更新解決方案。

IV 啟動(dòng)基于主機(jī)的防火墻

基于主機(jī)的防火墻或個(gè)人防火墻代表您應(yīng)該啟用的重要客戶端防護(hù)層，尤其是在用戶可能帶到組織通常的物理和網(wǎng)絡(luò)防護(hù)之外的便攜式計(jì)算機(jī)上。這些防 火墻會(huì)篩選試圖進(jìn)入或離開特定主機(jī)的所有數(shù)據(jù)。

V 測(cè)試漏洞掃描程序

在配置系統(tǒng)之后，應(yīng)該定期檢查它以確保沒有留下安全漏洞。為了幫助你完成這個(gè)過程，許多應(yīng)用程序可用作掃描程序來查找惡意軟件和黑客可能試圖利用 的漏洞。其中的大多數(shù)工具更新自己的掃描例程，以保護(hù)您的系統(tǒng)免受最新漏洞 的攻擊。（Microsoft 基準(zhǔn)安全分析器 (MBSA) 是能夠檢查常見安全配置問題的 漏洞掃描程序的一個(gè)示例。此掃描程序還進(jìn)行檢查，以確保您的主機(jī)配置了最新 的安全更新。）

VI 使用最小特權(quán)策略

在客戶端防護(hù)中不應(yīng)忽視的另一區(qū)域是在正常操作下分配給用戶的特權(quán)。

Microsoft 建議采用這樣的策略：它提供可能的最少特權(quán)以幫助將在執(zhí)行時(shí)依賴 利用用戶特權(quán)的惡意軟件的影響減到最小。對(duì)于通常具有本地管理特權(quán)的用戶， 這樣的策略尤其重要。請(qǐng)考慮對(duì)日常操作刪除這樣的特權(quán)，并在必要時(shí)改用 RunAs 命令啟動(dòng)所需的管理工具。

VII 對(duì)客戶端上的應(yīng)用程序進(jìn)行配置

◆電子郵件客戶端

如果惡意軟件確實(shí)設(shè)法通過了網(wǎng)絡(luò)和電子郵件服務(wù)器級(jí)別上的病毒防護(hù)，則可能存在一些設(shè)置，您可以進(jìn)行配置以便為電子郵件客戶端提供額外保護(hù)。通常，如果用戶能夠直接從電子郵件打開電子郵件附件，則為惡意軟件在客戶端上傳播提供了主要方式之一。如有可能，請(qǐng)考慮在組織的電子郵件系統(tǒng)中限制此能力。如果這是不可能的，一些電子郵件客戶端允許您配置另外的步驟，用戶將必須執(zhí)行這些步驟才能打開附件。例如，在 Microsoft Outlook 和Outlook Express 中進(jìn)行設(shè)置。

◆桌面應(yīng)用程序

隨著桌面辦公應(yīng)用程序的日益強(qiáng)大，它們也成為惡意軟件的攻擊目標(biāo)宏病毒使用字處理器、電子表格或其他支持宏的應(yīng)用程序創(chuàng)建的文件復(fù)制自身。您應(yīng)該盡可能采取措施，以確保在環(huán)境中處理這些文件的所有應(yīng)用程序上啟用最合適的安全設(shè)置。例如：對(duì) Microsoft Office 2003 應(yīng)用程序的安全防護(hù)。

◆即時(shí)消息應(yīng)用程序

一般來說，文本消息不會(huì)構(gòu)成直接的惡意軟件威脅，但是大多數(shù)即時(shí)Messenger 客戶端提供另外的文件傳輸功能以提高用戶的通信能力。允許文 件傳輸提供了進(jìn)入組織網(wǎng)絡(luò)的直接路由，有可能受到惡意軟件的攻擊。對(duì)此，網(wǎng)絡(luò)防火墻只需篩選用于此通信的端口，即可阻止這些文件傳輸。 例如，Microsoft Windows 和 MSN Messenger 客戶端使用介于 6891 和6900 之間的 TCP 端口傳輸文件，因此，如果外圍防火墻阻止這些端口，則 通過 Instant Messenger 的文件傳輸就不會(huì)發(fā)生。但是，移動(dòng)客戶端計(jì)算 機(jī)僅當(dāng)在組織網(wǎng)絡(luò)上時(shí)才受到保護(hù)。因此，您可能希望配置客戶端上的基于 主機(jī)的防火墻阻止這些端口，并且在組織中的移動(dòng)客戶端處于網(wǎng)絡(luò)防護(hù)之外 時(shí)為它們提供保護(hù)。

如果因?yàn)槠渌匦璧膽?yīng)用程序使用這些端口或者需要文件傳輸，您的 組織無(wú)法阻止這些端口，則應(yīng)該確保在傳輸所有文件之前對(duì)其掃描以確定是 否存在惡意軟件。如果客戶端工作站使用的不是實(shí)時(shí)防病毒掃描程序，則應(yīng) 該將即時(shí)消息應(yīng)用程序配置為：一收到文件，就自動(dòng)將傳輸?shù)奈募鬟f到防 病毒應(yīng)用程序進(jìn)行掃描。例如，您可以將 MSN Messenger 配置為自動(dòng)掃描 傳輸?shù)奈募?/p>

◆Web 瀏覽器

從 Internet 下載或執(zhí)行代碼之前，您希望確保知道它來自已知的、可靠的來源。您的用戶不應(yīng)該僅依賴于站點(diǎn)外觀或站點(diǎn)地址，因?yàn)榫W(wǎng)頁(yè)和網(wǎng)址都可以是偽造的。已經(jīng)開發(fā)了許多不同的方法和技術(shù)，來幫助用戶的 Web 瀏覽器應(yīng)用程序確定用戶所瀏覽網(wǎng)站的可靠性。例如，Microsoft Internet Explorer 使用Microsoft Authenticode 技術(shù)驗(yàn)證已下載代碼的身份。Authenticode 技術(shù)驗(yàn)證代碼是否具有有效的證書、軟件發(fā)布者的身份是否與證書匹配以及證書是否仍然有效。如果通過了所有這些測(cè)試，將會(huì)降低攻擊者將惡意代碼傳輸?shù)较到y(tǒng)的可能性。

大多數(shù)主要的 Web 瀏覽器應(yīng)用程序支持限制可用于從 Web 服務(wù)器執(zhí)行的代碼的自動(dòng)訪問級(jí)別的功能。Internet Explorer 使用安全區(qū)域幫助阻止 Web內(nèi)容在客戶端上執(zhí)行有可能產(chǎn)生破壞的操作。安全區(qū)域基于 Web 內(nèi)容的位置（區(qū)域）。

◆對(duì)等應(yīng)用程序

Internet 范圍的對(duì)等 (P2P) 應(yīng)用程序的出現(xiàn)，使得查找文件和與他人交換文件比以前任何時(shí)候都更為容易。但是它已經(jīng)引發(fā)了許多惡意軟件攻擊，它們?cè)噲D使用這些應(yīng)用程序?qū)⑽募?fù)制到其他用戶的計(jì)算機(jī)。蠕蟲病毒已經(jīng)將P2P 應(yīng)用程序作為攻擊目標(biāo)以達(dá)到復(fù)制目的。

如果可能，Microsoft 建議限制組織中使用這些應(yīng)用程序的客戶端數(shù)量。您可以使用本章前面所述的 Windows 軟件限制策略，幫助阻止用戶運(yùn)行對(duì)等應(yīng)用程序。如果在您的環(huán)境中這是不可能的，請(qǐng)確保在制定防病毒策略時(shí)，將環(huán)境中客戶端因這些應(yīng)用程序而面臨的更大風(fēng)險(xiǎn)考慮在內(nèi)。

VIII 限制未授權(quán)的應(yīng)用程序

如果應(yīng)用程序?yàn)榫W(wǎng)絡(luò)提供一種服務(wù)，如 Microsoft Instant Messenger 或Web 服務(wù)，則在理論上它可能成為惡意軟件攻擊的目標(biāo)。作為防病毒解決方案的一部分，您可能希望考慮為組織編寫已授權(quán)應(yīng)用程序的列表。所以可以使用Windows 組策略限制用戶運(yùn)行未授權(quán)軟件的能力。處理此功能的組策略的特定方 面稱為"軟件限制策略"，可以通過標(biāo)準(zhǔn)組策略 MMC 管理單元訪問它。

二、服務(wù)器的病毒防護(hù)步驟

環(huán)境中的服務(wù)器防護(hù)與客戶端防護(hù)有許多共同之處；二者都試圖保護(hù)同一 基本個(gè)人計(jì)算機(jī)環(huán)境。兩者的主要差異在于，服務(wù)器防護(hù)在可靠性和性能方面的 預(yù)期級(jí)別通常高得多。此外，許多服務(wù)器在組織基礎(chǔ)結(jié)構(gòu)中起到的專門作用通常 需要制定專門的防護(hù)解決方案。下面主要介紹服務(wù)器端的防毒和前面提到客戶端 的防毒的不同之處。

組織中防護(hù)服務(wù)器的四個(gè)基本防病毒步驟與防護(hù)客戶端的步驟相同：

1.減小攻擊面

從服務(wù)器中刪除不需要的服務(wù)和應(yīng)用程序，將其攻擊面減到最小。

2.應(yīng)用安全更新

如有可能，請(qǐng)確保所有服務(wù)器計(jì)算機(jī)運(yùn)行的都是最新的安全更新。根據(jù)需要執(zhí)行其他測(cè)試，以確保新的更新不會(huì)對(duì)關(guān)鍵任務(wù)服務(wù)器產(chǎn)生負(fù)面影響。

3.啟用基于主機(jī)的防火墻

Windows Server 2003 包括一個(gè)基于主機(jī)的防火墻，您可以使用它減小服務(wù)器的攻擊面以及刪除不需要的服務(wù)和應(yīng)用程序。

4.使用漏洞掃描程序進(jìn)行測(cè)試

使用 Windows Server 2003 上的 MBSA 幫助識(shí)別服務(wù)器配置中可能存在的漏洞。Microsoft 建議使用此漏洞掃描程序和其他專用漏洞掃描程序，幫助確保配置盡可能強(qiáng)大。除了這些常用的防病毒步驟之外，將以下服務(wù)器特定的軟件也用作總體服務(wù)器病毒防護(hù)的一部分。

現(xiàn)在，有許多可用于企業(yè)中特定服務(wù)器角色的專用防病毒配置、工具和應(yīng)用程序。可以從此類型專用防病毒防護(hù)中獲益的服務(wù)器角色的示例有：Web 服務(wù)器（如 Microsoft Internet 信息服務(wù) (IIS) 消息服務(wù)器如 Microsoft Exchange2003）、數(shù)據(jù)庫(kù)服務(wù)器（如運(yùn)行 Microsoft SQL Server 2000 的服務(wù)器）、協(xié)作服務(wù)器（如運(yùn)行 Microsoft Windows SharePoint Services 和 Microsoft Office SharePoint Portal Server 2003 的服務(wù)器）

應(yīng)用程序特定的防病毒解決方案通常提供更佳的保護(hù)和性能，因?yàn)樗鼈冊(cè)O(shè)計(jì)用于與特定服務(wù)集成在一起，而不是試圖在文件系統(tǒng)級(jí)服務(wù)的下面起作用。下面對(duì)這幾個(gè)角色特定的服務(wù)安全軟件做介紹：

1）Web 服務(wù)器

在一段時(shí)間內(nèi)，所有類型的組織中的 Web 服務(wù)器都曾經(jīng)是安全攻擊的目標(biāo)。不管攻擊來自惡意軟件還是來自試圖破壞組織網(wǎng)站的黑客，充分配置 Web 服務(wù)器上的安全設(shè)置以最大限度地防御這些攻擊都是很重要的。

2）UrlScan

UrlScan是限制 IIS 要處理的 HTTP 請(qǐng)求類型的另一種安全工具。通過阻止特定的 HTTP 請(qǐng)求，UrlScan 可以幫助阻止可能有害的請(qǐng)求到達(dá)服務(wù)器。

3）消息郵件服務(wù)器

為組織中的電子郵件服務(wù)器設(shè)計(jì)有效的防病毒解決方案時(shí)，要牢記兩個(gè)目標(biāo)。第一個(gè)目標(biāo)是防止服務(wù)器本身受到惡意軟件的攻擊。第二個(gè)目標(biāo)是阻止任何惡意軟件通過電子郵件系統(tǒng)進(jìn)入組織中用戶的郵箱。務(wù)必確保在電子郵件服務(wù)器上安裝的防病毒解決方案能夠?qū)崿F(xiàn)這兩個(gè)目標(biāo)。 一般來說，標(biāo)準(zhǔn)文件掃描防病毒解決方案無(wú)法阻止電子郵件服務(wù)器將惡意軟件作為附件傳遞到客戶端。使防病毒解決方案與正使用的電子郵件解決方案匹配 是很重要的。許多防病毒供應(yīng)商現(xiàn)在為特定電子郵件服務(wù)器提供其軟件的專用版 本，這些版本設(shè)計(jì)用于掃描經(jīng)過電子郵件系統(tǒng)的電子郵件以確定是否包含惡意軟 件。以下兩種基本類型的電子郵件防病毒解決方案通常是可用的：

◆ SMTP 網(wǎng)關(guān)掃描程序。

這些基于簡(jiǎn)單郵件傳輸協(xié)議 (SMTP) 的電子郵件掃描解 決方案通常稱為防病毒"網(wǎng)關(guān)"解決方案。這些解決方案的優(yōu)點(diǎn)是：可以用于 所有的 SMTP 電子郵件服務(wù)，而不是僅用于特定電子郵件服務(wù)器產(chǎn)品。但是， 由于這些解決方案依賴于 SMTP 電子郵件協(xié)議，因此它們?cè)诳梢蕴峁┑哪承?更高級(jí)功能方面受到限制。

◆ 集成的服務(wù)器掃描程序。

這些專用防病毒應(yīng)用程序直接與特定的電子郵件服 務(wù)器產(chǎn)品一起工作。這些應(yīng)用程序確實(shí)有許多優(yōu)點(diǎn)。例如，它們可以與高級(jí) 服務(wù)器功能直接集成在一起，它們?cè)O(shè)計(jì)為與電子郵件服務(wù)器使用相同的硬件。

4）數(shù)據(jù)庫(kù)服務(wù)器

在考慮數(shù)據(jù)庫(kù)服務(wù)器的病毒防護(hù)時(shí)，需要保護(hù)以下四個(gè)主要元素：

◆ 主機(jī)。運(yùn)行數(shù)據(jù)庫(kù)的一個(gè)或多個(gè)服務(wù)器。

◆ 數(shù)據(jù)庫(kù)服務(wù)。在主機(jī)上運(yùn)行的為網(wǎng)絡(luò)提供數(shù)據(jù)庫(kù)服務(wù)的各種應(yīng)用程序。

◆ 數(shù)據(jù)存儲(chǔ)區(qū)。存儲(chǔ)在數(shù)據(jù)庫(kù)中的數(shù)據(jù)。

◆ 數(shù)據(jù)通信。網(wǎng)絡(luò)上數(shù)據(jù)庫(kù)主機(jī)和其他主機(jī)之間使用的連接和協(xié)議。

由于數(shù)據(jù)存儲(chǔ)區(qū)內(nèi)的數(shù)據(jù)不能直接執(zhí)行，因此通常認(rèn)為數(shù)據(jù)存儲(chǔ)區(qū)本身不需要掃描。目前，沒有專為數(shù)據(jù)存儲(chǔ)區(qū)編寫的主要防病毒應(yīng)用程序。但是，在進(jìn)行防病毒配置時(shí)，應(yīng)該仔細(xì)考慮數(shù)據(jù)庫(kù)服務(wù)器的主機(jī)、數(shù)據(jù)庫(kù)服務(wù)和數(shù)據(jù)通信這些元素。

應(yīng)該專門為惡意軟件威脅檢查主機(jī)的位置和配置。一般說來，Microsoft 建議不要將數(shù)據(jù)庫(kù)服務(wù)器置于組織基礎(chǔ)結(jié)構(gòu)的外圍網(wǎng)絡(luò)中（尤其當(dāng)服務(wù)器存儲(chǔ)敏感數(shù)據(jù)時(shí)）。但是，如果必須在外圍網(wǎng)絡(luò)中放置這樣的數(shù)據(jù)庫(kù)服務(wù)器，請(qǐng)確保對(duì)它進(jìn)行配置將感染惡意軟件的風(fēng)險(xiǎn)減到最小。比如："Slammer"蠕蟲直接將 SQLServer 作為攻擊目標(biāo)。此攻擊表明無(wú)論 SQL Server 數(shù)據(jù)庫(kù)計(jì)算機(jī)是位于外圍網(wǎng)絡(luò)還是內(nèi)部網(wǎng)絡(luò)中，保護(hù)它們都是非常重要的。

5）協(xié)作服務(wù)器

協(xié)作服務(wù)器本身的特點(diǎn)使它們易受惡意軟件的攻擊。當(dāng)用戶將文件復(fù)制到服務(wù)器和從服務(wù)器復(fù)制文件時(shí)，他們可能使網(wǎng)絡(luò)上的服務(wù)器和其他用戶受到惡意軟件的攻擊。Microsoft 建議使用可以掃描復(fù)制到協(xié)作存儲(chǔ)區(qū)和從協(xié)作存儲(chǔ)區(qū)復(fù)制的所有文件的防病毒應(yīng)用程序，保護(hù)環(huán)境中的協(xié)作服務(wù)器

三、網(wǎng)絡(luò)防護(hù)層

在已記錄的惡意軟件事件中，通過網(wǎng)絡(luò)發(fā)動(dòng)的攻擊是最多的。通常，發(fā)動(dòng) 惡意軟件攻擊是為了利用網(wǎng)絡(luò)外圍防護(hù)中的漏洞允許惡意軟件訪問組織 IT 基 礎(chǔ)結(jié)構(gòu)中的主機(jī)設(shè)備。這些設(shè)備可以是客戶端、服務(wù)器、路由器，或者甚至是防 火墻。在此層上進(jìn)行病毒防護(hù)所面臨的最困難問題之一是，平衡 IT 系統(tǒng)用戶的 功能要求與創(chuàng)建有效防護(hù)所需的限制。例如，與許多最近的攻擊類似，MyDoom 蠕 蟲使用電子郵件附件復(fù)制自己。從 IT 基礎(chǔ)結(jié)構(gòu)的角度來看，阻止所有傳入附件 是最簡(jiǎn)單、最安全的選項(xiàng)。但是，組織中電子郵件用戶的需求可能不允許這樣做。

必須進(jìn)行折衷，在組織的需求和它可以接受的風(fēng)險(xiǎn)級(jí)別之間達(dá)到平衡。 在網(wǎng)絡(luò)骨干接入處，安裝防毒墻(即安裝有網(wǎng)關(guān)殺毒軟件的獨(dú)立網(wǎng)關(guān)設(shè)備)，由防毒墻實(shí)現(xiàn)網(wǎng)絡(luò)接入處的病毒防護(hù)。由于是安裝在網(wǎng)絡(luò)接入處，因此，對(duì)主要 網(wǎng)絡(luò)協(xié)議進(jìn)行殺毒處理(SMTP、FTP、HTTP)。

在服務(wù)器上安裝單獨(dú)的服務(wù)器殺毒產(chǎn)品，對(duì)服務(wù)器進(jìn)行病毒保護(hù)。 由于內(nèi)部存在幾十個(gè)網(wǎng)絡(luò)客戶端，如采用普通殺毒軟件會(huì)造成升級(jí)麻煩、使用不便等問題。可在服務(wù)器上安裝客戶端防病毒產(chǎn)品(客戶端殺毒軟件的工作模 式是服務(wù)器端、客戶端的方式)的服務(wù)器端，由客戶端通過網(wǎng)絡(luò)與服務(wù)器端連接 后進(jìn)行網(wǎng)絡(luò)化安裝。對(duì)產(chǎn)品升級(jí)，可通過在服務(wù)器端進(jìn)行設(shè)置，自動(dòng)通過 INETRNET 進(jìn)行升級(jí)，再由客戶端到服務(wù)器端進(jìn)行升級(jí)，大大簡(jiǎn)化升級(jí)過程， 并且整個(gè)升級(jí)是自動(dòng)完成，不需要人工操作。

對(duì)郵件系統(tǒng)，可采取安裝專用郵件殺毒產(chǎn)品，通過在郵件服務(wù)器上安裝郵件 殺毒程序，實(shí)現(xiàn)對(duì)內(nèi)部郵件的殺毒，保證郵件在收、發(fā)時(shí)都是經(jīng)過檢查的，確保 郵件無(wú)毒。

通過這種方法，可以達(dá)到層層設(shè)防的作用，最終實(shí)現(xiàn)病毒防護(hù)。 具體的拓?fù)鋱D如下： 

 #p#

另外也可以上圖進(jìn)行簡(jiǎn)化，如下圖

 

 

在這里特別提到的是存在一種日益增長(zhǎng)的趨勢(shì)：將內(nèi)部網(wǎng)絡(luò)分解為多個(gè)安 全區(qū)域，以便為每個(gè)安全區(qū)域建立外圍。Microsoft 也建議使用此方法，因?yàn)樗?可幫助降低試圖訪問內(nèi)部網(wǎng)絡(luò)的惡意軟件攻擊的總體風(fēng)險(xiǎn)。

組織的第一個(gè)網(wǎng)絡(luò)防護(hù)指外圍網(wǎng)絡(luò)防護(hù)。這些防護(hù)旨在防止惡意軟件通過 外部攻擊進(jìn)入組織。如本章前面所述，典型的惡意軟件攻擊集中于將文件復(fù)制到 目標(biāo)計(jì)算機(jī)。因此，您的病毒防護(hù)應(yīng)該使用組織的常規(guī)安全措施，以確保只有經(jīng) 過適當(dāng)授權(quán)的人員才能以安全方式（如通過加密的虛擬專用網(wǎng)絡(luò) (VPN) 連接。 下面給出一種三級(jí)VPN網(wǎng)絡(luò)的實(shí)現(xiàn)方法： 

 

三級(jí) VPN 設(shè)置拓?fù)鋱D 每一級(jí)的設(shè)置及管理方法相同。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái) VPN 設(shè)備和一臺(tái) VPN 認(rèn)證服務(wù)器(VPN-CA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái) VPN 設(shè)備，由上級(jí)的 VPN 認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對(duì)下一級(jí)的 VPN 設(shè)備進(jìn)行集中 統(tǒng)一的網(wǎng)絡(luò)化管理。可達(dá)到以下幾個(gè)目的：

◆ 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù);

由安裝在網(wǎng)絡(luò)上的 VPN 設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密可同時(shí)采取加密或隧道的方式進(jìn)行傳輸

◆ 網(wǎng)絡(luò)隔離保護(hù);

與 INTERNET 進(jìn)行隔離，控制內(nèi)網(wǎng)與 INTERNET 的相互訪問

◆ 集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性;

◆ 降低成本(設(shè)備成本和維護(hù)成本);

其中，在各級(jí)中心網(wǎng)絡(luò)的 VPN 設(shè)備設(shè)置如下圖：

 

 

圖 4-2 中心網(wǎng)絡(luò)#p# 

一臺(tái) VPN 管理機(jī)對(duì) CA、中心 VPN 設(shè)備、分支機(jī)構(gòu) VPN 設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。將對(duì)外服務(wù)器放置于 VPN 設(shè)備的 DMZ 口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對(duì)外訪問、記錄日志。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。下級(jí)單位的 VPN 設(shè)備放置如下圖所示：

 

下面，根據(jù)上圖，對(duì)拓?fù)渲忻總€(gè)部分做的安全說明：

1）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

因?yàn)橥鈬W(wǎng)絡(luò)是網(wǎng)絡(luò)中風(fēng)險(xiǎn)很大的部分，因此您的網(wǎng)絡(luò)管理系統(tǒng)能夠盡快檢測(cè)和報(bào)告攻擊是極其重要的。網(wǎng)絡(luò)入侵檢測(cè) (NID) 系統(tǒng)的作用僅僅是提供：外部攻擊的快速檢測(cè)和報(bào)告。雖然 NID 系統(tǒng)是總體系統(tǒng)安全設(shè)計(jì)的一部分，而且不是特定的防病毒工具，但是系統(tǒng)攻擊和惡意軟件攻擊的許多最初跡象是相同的。例如，一些惡意軟件使用 IP 掃描來查找可進(jìn)行感染的系統(tǒng)。由于此原因，應(yīng)該將 NID 系統(tǒng)配置為與組織的網(wǎng)絡(luò)管理系統(tǒng)一起工作，將任何不尋常的網(wǎng)絡(luò)行為的警告直接傳遞給組織的安全人員。

對(duì)于任何 NID 實(shí)現(xiàn)，其保護(hù)僅相當(dāng)于在檢測(cè)到入侵之后遵循的過程。此過程應(yīng)該觸發(fā)可以用來阻止攻擊的防護(hù)，而且防護(hù)應(yīng)該得到連續(xù)不斷的實(shí)時(shí)監(jiān)視。只有在此時(shí)，才能認(rèn)為該過程是防護(hù)策略的一部分。否則，NID 系統(tǒng)實(shí)際上更像一個(gè)在攻擊發(fā)生之后提供審核記錄的工具。有許多可供網(wǎng)絡(luò)設(shè)計(jì)人員使用的企業(yè)級(jí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。它們可以是獨(dú)立的設(shè)備，也可以是集成到其他網(wǎng)絡(luò)服務(wù)（如組織的防火墻服務(wù)）中的其他系統(tǒng)。例如，Microsoft Internet Security and Acceleration (ISA) Server 2000 和 2004 產(chǎn)品包含 NID 系統(tǒng)功能以及防火墻和代理服務(wù)。

下面給出了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖：

 

 

2）應(yīng)用程序?qū)雍Y選

在這里，再次提到了對(duì)應(yīng)用程序的管理問題，這里主要是在網(wǎng)絡(luò)配置上通過

防火墻的"包過濾技術(shù)"對(duì)應(yīng)用程序進(jìn)行篩選。使用 Internet 篩選技術(shù)監(jiān)視和 屏蔽網(wǎng)絡(luò)通信中的非法內(nèi)容（如病毒）不僅是有用的，而且是必需的。在過去，曾經(jīng)使用防火墻服務(wù)提供的數(shù)據(jù)包層篩選執(zhí)行了此篩選，僅允許根據(jù)源或目標(biāo)IP 地址或者特定的 TCP 或 UDP 網(wǎng)絡(luò)端口來篩選網(wǎng)絡(luò)流量。應(yīng)用程序?qū)雍Y選 (ALF) 在 OSI 網(wǎng)絡(luò)模型的應(yīng)用程序?qū)由瞎ぷ鳎虼怂试S根據(jù)數(shù)據(jù)的內(nèi)容檢查 和篩選數(shù)據(jù)。如果除了使用標(biāo)準(zhǔn)數(shù)據(jù)包層篩選外還使用 ALF，則可以實(shí)現(xiàn)的安全 性要高得多。例如，使用數(shù)據(jù)包篩選可能允許您篩選通過組織防火墻的端口 80 網(wǎng)絡(luò)流量，以便它只能傳遞到 Web 服務(wù)器。但是，此方法可能不提供足夠的安 全性。通過將 ALF 添加到解決方案中，您可以檢查端口 80 上傳遞到 Web 服務(wù) 器的所有數(shù)據(jù)，以確保它是有效的且不包含任何可疑代碼。

ISA Server 可以在數(shù)據(jù)包通過組織防火墻時(shí)提供對(duì)它們的 ALF。可以掃描 Web 瀏覽和電子郵件，以確保特定于每個(gè) Web 瀏覽和電子郵件的內(nèi)容不包含可 疑數(shù)據(jù)，如垃圾郵件或惡意軟件。ISA Server 中的 ALF 功能啟用深層內(nèi)容分析， 包括使用任何端口和協(xié)議檢測(cè)、檢查和驗(yàn)證流量的功能。

3）內(nèi)容掃描

內(nèi)容掃描在更高級(jí)防火墻解決方案中作為一項(xiàng)功能提供，或者作為單獨(dú)服務(wù)（如電子郵件）的組件提供。內(nèi)容掃描詢問允許通過有效數(shù)據(jù)通道進(jìn)入或離開 組織網(wǎng)絡(luò)的數(shù)據(jù)。如果內(nèi)容掃描是在電子郵件上執(zhí)行的，則它通常與電子郵件服 務(wù)器協(xié)同工作以檢查電子郵件的特性（如附件）。此方法可以在數(shù)據(jù)通過服務(wù)時(shí) 實(shí)時(shí)掃描和識(shí)別惡意軟件內(nèi)容。

#p#

4）URL 篩選

對(duì)于網(wǎng)絡(luò)管理員可能可用的另一個(gè)選項(xiàng)是 URL 篩選，您可以使用它阻止有問題的網(wǎng)站。例如，您可能使用 URL 篩選阻止已知的黑客網(wǎng)站、下載服務(wù)器和個(gè)人 HTTP 電子郵件服務(wù)。

注意：主要的 HTTP 電子郵件服務(wù)站點(diǎn)（如 Hotmail 和 Yahoo）提供防病毒掃描服務(wù)，但是有許多較小站點(diǎn)根本不提供防病毒掃描服務(wù)。對(duì)組織防護(hù)來說，這是嚴(yán)重的問題，因?yàn)檫@樣的服務(wù)會(huì)提供直接從 Internet 到客戶端的路由。

網(wǎng)絡(luò)管理員可以使用兩種基本的 URL 篩選方法：

◆阻止列表。防火墻先檢查有問題站點(diǎn)的預(yù)定義列表，然后才允許連接。允許用戶連接沒有專門在阻止列表中列出的站點(diǎn)。

◆允許列表。此方法僅允許與在組織已批準(zhǔn)網(wǎng)站的預(yù)定義列表中輸入的網(wǎng)站進(jìn)行通信。

總的來說，第一種方法依賴于識(shí)別可能存在問題的網(wǎng)站并將它們添加到列表中的主動(dòng)過程。由于 Internet 的大小和可變特性，此方法需要自動(dòng)化解決方案或很大的管理開銷，通常僅對(duì)阻止數(shù)目較小的已知有問題網(wǎng)站是有用的，無(wú)法提供綜合性保護(hù)解決方案。第二種方法提供了更好的保護(hù)，因?yàn)樗南拗铺匦栽试S 控制可供系統(tǒng)用戶訪問的站點(diǎn)。但是，除非進(jìn)行了正確調(diào)查以識(shí)別用戶所需的所 有站點(diǎn)，否則此方法可能對(duì)許多組織來說限制性太強(qiáng)。

Mcrosoft ISA Server 支持使用其"站點(diǎn)和內(nèi)容規(guī)則"手動(dòng)創(chuàng)建這兩個(gè)列表。 但是，直接用于 ISA Server 的增強(qiáng)型自動(dòng)化解決方案可從 Microsoft 合作伙 伴處獲得，以確保可以根據(jù)需要阻止或允許 URL，同時(shí)將管理開銷減到最小。

5）隔離網(wǎng)絡(luò)

為保護(hù)網(wǎng)絡(luò)可以使用的另一種方法是：為不滿足組織最低安全要求的計(jì)算機(jī)建立隔離網(wǎng)絡(luò)。

（注意：不應(yīng)該將此方法與某些防病毒應(yīng)用程序中提供的隔離功能相混淆，后者將感染文件移動(dòng)到計(jì)算機(jī)上的安全區(qū)域中，直到可以將其清除。）

隔離網(wǎng)絡(luò)應(yīng)該限制（或者甚至阻止）對(duì)組織資源的內(nèi)部訪問，但是提供一種連接級(jí)別（包括 Internet）允許臨時(shí)訪問者的計(jì)算機(jī)高效工作，而不會(huì)給內(nèi)部網(wǎng)絡(luò)的安全帶來風(fēng)險(xiǎn)。如果訪問者的便攜式計(jì)算機(jī)感染了惡意軟件并連接到網(wǎng)絡(luò)，則隔離網(wǎng)絡(luò)可以限制其感染內(nèi)部網(wǎng)絡(luò)上其他計(jì)算機(jī)的能力。

與此類似的方法成功應(yīng)用于 VPN 類型的遠(yuǎn)程連接，已經(jīng)有一段時(shí)間了。在執(zhí)行系統(tǒng)測(cè)試的同時(shí)，將 VPN 客戶端轉(zhuǎn)移到臨時(shí)隔離網(wǎng)絡(luò)。如果客戶端通過了測(cè)試（例如由于具有所需的安全更新和防病毒簽名文件），則將授予它們?cè)L問組織內(nèi)部網(wǎng)絡(luò)的權(quán)限。如果客戶端不滿足這些要求，則將斷開它們的連接或允許它們?cè)L問隔離網(wǎng)絡(luò)，這可以用來獲得通過測(cè)試所必需的更新。現(xiàn)在，網(wǎng)絡(luò)設(shè)計(jì)人員正研究此技術(shù)以幫助改進(jìn)內(nèi)部網(wǎng)絡(luò)的安全性。

四、物理安全

物理安全性不僅僅是對(duì)于防病毒系統(tǒng)，它是一般的安全問題，但是如果沒有 用于組織基礎(chǔ)結(jié)構(gòu)中所有客戶端、服務(wù)器和網(wǎng)絡(luò)設(shè)備的有效物理防護(hù)計(jì)劃，則無(wú) 法避免惡意軟件的攻擊。在有效的物理防護(hù)計(jì)劃中有許多關(guān)鍵元素，其中包括： 建筑安全性、人員安全性、網(wǎng)絡(luò)接入點(diǎn)、 服務(wù)器計(jì)算機(jī)、 工作站計(jì)算機(jī)、 移 動(dòng)計(jì)算機(jī)和設(shè)備。在這里，加以討論的僅僅是移動(dòng)設(shè)備對(duì)于病毒的巨大安全性隱 患。企業(yè)應(yīng)采取以下措施：

◆新購(gòu)置的計(jì)算機(jī)以及系統(tǒng)必須用檢測(cè)病毒的軟件檢測(cè)已知病毒，用人工檢測(cè)方 法檢查未知病毒。

◆新購(gòu)置的硬盤都可能帶有病毒。需要對(duì)硬盤進(jìn)行檢測(cè)和進(jìn)行低級(jí)的格式化。

◆對(duì)于能用硬盤啟動(dòng)的計(jì)算機(jī)，盡量不要用可移動(dòng)設(shè)備去引導(dǎo)啟動(dòng)。

◆永遠(yuǎn)不要使用任何解密版的軟件。特別是反病毒軟件。

五、策略以及管理層安全方案

安全管理包括風(fēng)險(xiǎn)管理、信息安全策略、規(guī)程、標(biāo)準(zhǔn)、方針、基線、信息分 級(jí)、安全組織和安全教育。這些核心組成部分是企業(yè)安全計(jì)劃的基礎(chǔ)。在制定策 略時(shí)，首先應(yīng)該確定的是管理者以及其他工作人員的安全職責(zé)，并且依賴于對(duì)公 司信息財(cái)產(chǎn)和附加財(cái)產(chǎn)的正確劃分。管理者保證安全策略能夠自頂向下的執(zhí)行， 并對(duì)相關(guān)安全人員的工作給予資金、權(quán)限上的支持。規(guī)程中應(yīng)該詳細(xì)說明企業(yè)中 安全問題扮演什么樣的角色。然后確定組織策略、針對(duì)專門問題的策略或是針對(duì) 系統(tǒng)的策略。由管理層規(guī)定如何建立安全計(jì)劃，制定安全計(jì)劃的目標(biāo)，分配責(zé)任，

說明安全問題的戰(zhàn)略和戰(zhàn)術(shù)價(jià)值，并規(guī)定應(yīng)該如何執(zhí)行計(jì)劃，這種策略一定涉及 到法律、法規(guī)、責(zé)任以及如何遵守這些規(guī)定的問題。所有的雇員都知道他們應(yīng)該 遵守這些規(guī)程，這就需要企業(yè)針對(duì)安全問題對(duì)員工進(jìn)行專門的培訓(xùn)。實(shí)施的過程 中也應(yīng)該得到良好的員工反饋。具體來講，一個(gè)公司的安全策略應(yīng)該包括以下方 面：

◆防病毒掃描例程。理想情況下，您的防病毒應(yīng)用程序應(yīng)該支持自動(dòng)掃描和實(shí)時(shí) 掃描。但是，如果不是這樣，則您應(yīng)該實(shí)施一個(gè)過程，以便提供有關(guān)組織中的用 戶應(yīng)該在何時(shí)運(yùn)行完整系統(tǒng)掃描的指導(dǎo)。

◆ 防病毒簽名更新例程。大多數(shù)的現(xiàn)代防病毒應(yīng)用程序支持下載病毒簽名更新的 自動(dòng)方法，您應(yīng)該定期實(shí)施這樣的方法。

◆攻擊檢測(cè)過程。如果檢測(cè)到可疑的惡意軟件攻擊，則您的組織應(yīng)該具有一組可 以遵循的明確定義并記錄的步驟，以確保攻擊得到確認(rèn)、控制和清除，且對(duì)最終 用戶帶來最小的破壞。這里重點(diǎn)

◆家用計(jì)算機(jī)網(wǎng)絡(luò)訪問策略。應(yīng)該建立一組最低要求，員工必須滿足這些要求才 能將家用計(jì)算機(jī)或網(wǎng)絡(luò)通過 VPN 連接連接到您組織的網(wǎng)絡(luò)。

◆訪問者網(wǎng)絡(luò)訪問策略。應(yīng)該建立一組最低要求，僅允許滿足這些要求的訪問者 連接到您組織的網(wǎng)絡(luò)。這些要求應(yīng)該同時(shí)適用于無(wú)線連接和有線連接。

◆無(wú)線網(wǎng)絡(luò)策略。連接到內(nèi)部網(wǎng)絡(luò)的所有無(wú)線設(shè)備都應(yīng)該先滿足最低安全配置要 求，才能進(jìn)行連接。此策略應(yīng)該為組織指定所需的最低配置。

◆安全更新策略 客戶端、服務(wù)器和網(wǎng)絡(luò)防護(hù)都應(yīng)該已經(jīng)具有某種形式的安全更新管理系統(tǒng)。

◆基于風(fēng)險(xiǎn)的策略 如果在深層病毒防護(hù)模型的外圍網(wǎng)絡(luò)層和內(nèi)部網(wǎng)絡(luò)層上連接了太多的客戶

端、服務(wù)器和網(wǎng)絡(luò)設(shè)備，那么您可以用來組織策略的一種方法是，將組織中的主 機(jī)根據(jù)其類型和風(fēng)險(xiǎn)級(jí)別歸入不同類別：標(biāo)準(zhǔn)客戶端配置、高風(fēng)險(xiǎn)客戶端配置、 來賓客戶端配置、員工的家用計(jì)算機(jī)、合作伙伴或供應(yīng)商的計(jì)算機(jī)、來賓計(jì)算機(jī)。

◆自動(dòng)監(jiān)視和報(bào)告策略。

◆支持小組的意識(shí)

小組意識(shí)和培訓(xùn)應(yīng)該針對(duì)組織中的管理和支持小組。重要 IT 專業(yè)人員的培訓(xùn)是IT 所有領(lǐng)域的基本要求，但是對(duì)于病毒防護(hù)它尤其重要，因?yàn)閻阂廛浖艉头雷o(hù)的特點(diǎn)可能會(huì)定期變化。一個(gè)新的惡意軟件攻擊可以在幾乎一夜之間損害有效的防護(hù)系統(tǒng)，而您組織的防護(hù)可能處于危險(xiǎn)之中。如果這些防護(hù)的支持人員在如何識(shí)別和響應(yīng)新的惡意軟件威脅方面沒有進(jìn)行過培訓(xùn)，則遲早會(huì)在病毒防護(hù)系統(tǒng)中發(fā)生嚴(yán)重的安全違反。

◆用戶意識(shí)

用戶培訓(xùn)通常是組織在設(shè)計(jì)其病毒防護(hù)時(shí)最后考慮的事情之一。幫助用戶了解與惡意軟件攻擊有關(guān)的一些風(fēng)險(xiǎn)是緩解此類風(fēng)險(xiǎn)的重要部分，因?yàn)榻M織中使用IT 資源的任何人都在網(wǎng)絡(luò)安全性方面起著一定作用。由于這一原因，有必要使用戶了解他們可以緩解的更常見風(fēng)險(xiǎn)，例如：打開電子郵件附件。

使用弱密碼。

從不受信任的網(wǎng)站下載應(yīng)用程序和 ActiveX 控件。

從未經(jīng)授權(quán)的可移動(dòng)媒體運(yùn)行應(yīng)用程序。

允許訪問組織的數(shù)據(jù)和網(wǎng)絡(luò)。

◆獲得用戶反饋 如果為意識(shí)到惡意軟件的用戶提供了報(bào)告所用系統(tǒng)上不尋常行為的簡(jiǎn)單而有效 的機(jī)制，則他們可以提供極佳的預(yù)警系統(tǒng)。

總結(jié)：

病毒防護(hù)不再僅僅是安裝應(yīng)用程序。最近的惡意軟件攻擊已經(jīng)證明需要更 全面的防護(hù)方法。在這里集中說明如何應(yīng)用防護(hù)安全模型形成防護(hù)方法的基礎(chǔ)， 為組織創(chuàng)建有效的防病毒解決方案。但是必須知道的是，惡意軟件編寫者持續(xù)不 斷地更新攻擊組織可能在使用的新 IT 技術(shù)的方法，而且防病毒技術(shù)不斷發(fā)展以 緩解這些新威脅。

這里給出的多層次病毒防護(hù)方法可以有助于確保您的 IT 基礎(chǔ)結(jié)構(gòu)能夠應(yīng) 對(duì)所有可能的惡意軟件攻擊方法。使用此分層方法，就可以更輕松地識(shí)別整個(gè)系 統(tǒng)中的任何薄弱點(diǎn)，從外圍網(wǎng)絡(luò)到整個(gè)環(huán)境中使用計(jì)算機(jī)的個(gè)人。如果未能處理 深層病毒防護(hù)方法中所述的任一層，都有可能使您的系統(tǒng)受到攻擊。

您應(yīng)該經(jīng)常復(fù)查防病毒解決方案，以便每當(dāng)需要時(shí)都可以更新它。病毒防 護(hù)的所有方面都是重要的，從簡(jiǎn)單的病毒簽名自動(dòng)下載到操作策略的完全更改。

#p#

附: 利用 Symantec 相關(guān)軟件搭建企業(yè)的防病毒解決方案

病毒防御是網(wǎng)絡(luò)安全管理中的重中之重。網(wǎng)絡(luò)中的個(gè)別客戶端感染了病毒 之后，在極短的時(shí)間內(nèi)就可能感染整個(gè)網(wǎng)絡(luò)，從而造成網(wǎng)絡(luò)服務(wù)中斷或癱瘓，所 以局域網(wǎng)的防病毒工作十分重要。最常見的方法就是在網(wǎng)絡(luò)中部署專業(yè)殺毒軟件， 如 Symantec antivirus，趨勢(shì)科技和瑞星等產(chǎn)品的企業(yè)版。在網(wǎng)絡(luò)中配置專業(yè) 防病毒服務(wù)器后，即可實(shí)現(xiàn)對(duì)所有客戶端的實(shí)時(shí)安全管理，包括病毒掃描查殺，

E-mail 實(shí)時(shí)檢測(cè)，病毒庫(kù)升級(jí)等。本方案中在選擇殺毒軟件時(shí)應(yīng)當(dāng)注意幾個(gè)方 面的要求：具有卓越的病毒防治技術(shù)、程序內(nèi)核安全可靠、對(duì)付國(guó)產(chǎn)和國(guó)外病毒 能力超群、全中文產(chǎn)品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、 產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動(dòng)升級(jí)等優(yōu) 點(diǎn)。

在這里，利用 SymantecEndpoint Protection(端點(diǎn)保護(hù))這個(gè)產(chǎn)品，它將 SymantecAntiVirus 與高級(jí)威脅防御功能相結(jié)合，可以為筆記本，臺(tái)式機(jī)，服務(wù) 器，提供全面的安全防護(hù)能力。 Symantec Endpoint Protection 在一個(gè)代理和管理 控制臺(tái)中無(wú)縫集成了基本安全技術(shù)，既節(jié)約成本又提高了網(wǎng)絡(luò)安全防護(hù)能力。

SymantecEndpoint Protection 可保護(hù)端點(diǎn)計(jì)算設(shè)備不受病毒威脅和風(fēng)險(xiǎn) 侵襲，并為端點(diǎn)計(jì)算機(jī)提供三層防護(hù)，分別為網(wǎng)絡(luò)威脅保護(hù)，主動(dòng)型威脅保護(hù)以 及防病毒和放間諜軟件保護(hù)。 對(duì)于網(wǎng)絡(luò)威脅保護(hù)可以通過使用規(guī)則和特征，可 禁止威脅訪問被保護(hù)計(jì)算機(jī)。主動(dòng)型威脅防護(hù)可根據(jù)威脅的行為，標(biāo)示并降低威 脅。防病毒和放間諜軟件保護(hù)使用 symantec 創(chuàng)建的特征。識(shí)別并削弱嘗試訪問 或已訪問被保護(hù)計(jì)算機(jī)的威脅。

由于在大多數(shù)企業(yè)中，員工的操作系統(tǒng)均為 windows 系列，這里以 windows 系統(tǒng)為例配置相應(yīng)的服務(wù)。為保障型局域網(wǎng)的安全與病毒庫(kù)的升級(jí)，在局域網(wǎng)中 應(yīng)該有一臺(tái) WindowServer 2008 服務(wù)器部署為防病毒服務(wù)器。為企業(yè)中的客戶 機(jī)提供病毒庫(kù)的升級(jí)服務(wù)。

在這里，我主要利用 SymantecEndpointProtection 來配置整個(gè) windows

主機(jī)組成局域網(wǎng)的防病毒服務(wù)。Symantec Endpoint Protection 包括 Symantec Endpoint Protection Manager 控制臺(tái)，SymantecEndpoint Protection Manager， Symantec Endpoint Protection，SymantecNetworkAccessControl ,liveUpdate 服務(wù)器及中央隔離區(qū)等組件，其中較為核心的是 SymantecNetworkAccess Control 和 SymantecNetwork Protection Manager。

1. Symantec Network Access control 概述

Symantec Network Access Control 通過阻止未經(jīng)授權(quán)、配置不當(dāng)和受感染的端點(diǎn)計(jì)算機(jī)訪問網(wǎng)絡(luò)，從而保護(hù)網(wǎng)絡(luò)安全。其中包括：可以拒絕未運(yùn)行特定版本的軟件和特征的計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)訪問。如果客戶端計(jì)算機(jī)不符合要求，Symantec Network Access Control 可以隔離相應(yīng)計(jì)算機(jī)并對(duì)其實(shí)施補(bǔ)救措施，如果客戶端的病毒庫(kù)不是最新版本，則將自動(dòng)為其升級(jí)病毒庫(kù)，然后在允許計(jì)算機(jī)訪問網(wǎng)絡(luò)。

Symantec Network Access Control 允許用戶使用主機(jī)完整性策略來控制這項(xiàng)保護(hù)。在 Symantec Endpoint Protection Manager 控制臺(tái)中可以創(chuàng)建主機(jī)完整性策略，然后將這項(xiàng)策略應(yīng)用于客戶端計(jì)算機(jī)組。如果只安裝了 Symantec Network AccessControl 客戶端軟件，則可以要求客戶端計(jì)算機(jī)運(yùn)行防病毒，防間諜軟件和防火墻軟件。此外，還可以請(qǐng)求這些計(jì)算機(jī)運(yùn)行最新的操作系統(tǒng) Service Pack 和補(bǔ)丁程序，并創(chuàng)建自定義應(yīng)用程序要求。如果客戶端計(jì)算機(jī)不符合策略，你可以在這些客戶端計(jì)算機(jī)上運(yùn)行命令，以嘗試更新這些計(jì)算
機(jī)。

如 果 將 SymantecNetworkAccess Control 與 SymantecEndpoint Protection 集成，則可以將防火墻應(yīng)用于不符合主機(jī)完整性策略的客戶端。此策略會(huì)限制客戶端可用于網(wǎng)絡(luò)訪問的端口，也可限制客戶端可訪問的 IP 地址。

例如，可以限制非遵從計(jì)算機(jī)只與包含所需軟件和更新的計(jì)算機(jī)通信。如果將 Symantec Network Access Control 與 Symantec Enforcer 可選硬件設(shè)備集成，則可以進(jìn)一步限制不遵從的計(jì)算機(jī)訪問被保護(hù)網(wǎng)絡(luò)。用戶可以將非遵從計(jì)算機(jī)限制在特定的網(wǎng)絡(luò)區(qū)段以進(jìn)行補(bǔ)救，也可以完全禁止非遵從計(jì)算機(jī)進(jìn)行訪問。例如，使用 Symantec Gateway Enforce 時(shí)，可以控制外部計(jì)算機(jī)通過 VPN 訪問網(wǎng)絡(luò)。使用 Symantec DHCP 和 LAN Enforce，可以通過將不可路由的 IP 地址分配給非遵從計(jì)算機(jī)，控制內(nèi)部計(jì)算機(jī)訪問網(wǎng)絡(luò)。

2. Symantec e Endpoint Protection Manager

Symantec e Endpoint Protection Manager 包括 一 個(gè)嵌 入 式數(shù) 據(jù)庫(kù)， 以 及Symantec Endpoint Protection Manager 控制臺(tái)。用戶既可以自動(dòng)安裝嵌入式數(shù)據(jù)庫(kù)，也可以將數(shù)據(jù)庫(kù)指定到 Microsoft SQL Server2005 實(shí)例中。如果支持業(yè)務(wù)的網(wǎng)絡(luò)屬于小型網(wǎng)絡(luò)，且位于一個(gè)地理位置，那么只需要安裝一個(gè) Symantec Endpoint Manager。如果網(wǎng)絡(luò)分散在不同的地點(diǎn)，則可能需要安裝額外的 symantec Endpoint Manager,以用于負(fù)載平衡和帶寬分配。

3. Symantec Endpoint Protection Manager 的工作方式

用戶可以根據(jù)需要講客戶端安裝為受管客戶端和非受管客戶端，受管客戶端可充分利用網(wǎng)絡(luò)的功能。網(wǎng)絡(luò)上的每個(gè)客戶端和服務(wù)器都可通過運(yùn)行SymantecEndpoint Protection Manager 的一臺(tái)計(jì)算機(jī)進(jìn)行監(jiān)控、配置和更新。

用 戶 也 可 以 從 Symantec Endpoint Manager 控 制 臺(tái) 安 裝 和 升 級(jí) SymantecEndpoint Protection 和 Symantec Network Access Control 客戶端。在非受管網(wǎng)絡(luò)中，必須單獨(dú)管理每臺(tái)計(jì)算機(jī)，或?qū)⒐芾砺氊?zé)轉(zhuǎn)交給計(jì)算機(jī)的主要用戶，對(duì)于信息技術(shù)資源有限或匱乏的小型網(wǎng)絡(luò)，應(yīng)采用這種方法， 相關(guān)職責(zé)如下。

更新病毒及安全風(fēng)險(xiǎn)定義。 配置防病毒及防火墻設(shè)置。 定期升級(jí)或遷移客戶端軟件。

4. Symantec Endpoint Protection Manager 的功能

使用 Symantec Endpoint Protection Manager 可執(zhí)行以下操作。

1）建立和強(qiáng)制實(shí)施安全策略。

2）防止受到病毒、混合性威脅以及安全風(fēng)險(xiǎn)（如廣告軟件和間諜軟件）的侵害。

3）利用集成的管理控制臺(tái)來管理病毒防護(hù)的部署、配置、更新和報(bào)告。

4）防止用戶訪問計(jì)算機(jī)的硬件設(shè)備。如 usb 驅(qū)動(dòng)器

5）利用集成的管理控制臺(tái)管理病毒防護(hù)、防火墻保護(hù)盒入侵防護(hù)的部署、配置、更新和報(bào)告。

6）管理客戶端及其位置。

7）標(biāo)示過期的客戶端，迅速應(yīng)對(duì)病毒爆發(fā)，并部署更新的病毒定義。

8）創(chuàng)建和維護(hù)詳細(xì)描述網(wǎng)絡(luò)中發(fā)生的重要事件的報(bào)告。

9）為連接到網(wǎng)絡(luò)的所有用戶提供針對(duì)安全威脅的高級(jí)別的防護(hù)和集成響應(yīng)。此防護(hù)覆蓋始終保持網(wǎng)絡(luò)連接的遠(yuǎn)程辦公人員和間歇連接到網(wǎng)絡(luò)
的移動(dòng)用戶。

10）獲得分布在網(wǎng)絡(luò)上的所有工作站的多個(gè)安全組建的合并視圖。

11）對(duì)所有安全組件執(zhí)行可定制的，集成的安裝，并同時(shí)設(shè)置策略。

12）查看歷史記錄和日志數(shù)據(jù)。

5. 部署 SymantecEndpoint Protection 客戶端

SEP 客戶端可分為受管客戶端和非受管客戶端，其中受管理客戶端可以通過 Symantec Endpoint Protection Manager 遠(yuǎn)程部署等方式安裝，也可以在客戶端上使用管理服務(wù)器創(chuàng)建的安裝包安裝，安裝完成后將自動(dòng)添加到指定的組中，并接受服務(wù)器的統(tǒng)一管理。而受非受管客戶端則可以通過安裝光盤完成，雖然同樣可以被添加到服務(wù)器控制臺(tái)中，但不接受服務(wù)器的管理，

1）安裝受管理客戶端

主要有以下幾種方法：

◆遷移和部署向?qū)У?quot;推"式安裝

◆客戶端映射網(wǎng)絡(luò)驅(qū)動(dòng)器安裝

◆使用"查找非受管計(jì)算機(jī)"的部署

◆客戶端手動(dòng)安裝

◆使用 Altiris 安裝和部署軟件安裝

2）部署非受管客戶端

6. 病毒庫(kù)的升級(jí)

殺毒軟件是根據(jù)提取的病毒特征來判斷文件是否是病毒程序的，升級(jí)病毒庫(kù)就是不斷地更新能夠識(shí)別的病毒特征，增強(qiáng)殺毒軟件和系統(tǒng)應(yīng)用程序之間的兼容性。通常情況下，非受管客戶端每天自動(dòng)從 Symantec LiveUpdate 站點(diǎn)下載病毒庫(kù)。在新一代 Symantec 安全防御系統(tǒng)中，新增了 LiveUpdate 管理服務(wù)器，主要為大型網(wǎng)絡(luò)（5000 以上端點(diǎn)）提供客戶端病毒庫(kù)升級(jí)管理。
 

作者：中國(guó)礦業(yè)大學(xué)計(jì)算機(jī)學(xué)院信息安全專業(yè) 孫銘澤