资源描述:
《某科技企业网络防病毒系统的设计与实施》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
烤玄钾金净工程硕士研究生学位论文题目某科技企业网络防病毒系统的设计与实施姓专学导学号名孙乐业软件工程师罗守山院软件学院年月日 密级玄钾雷净工程硕士研究生学位论文题目某科技企业网络防病毒系统的设计与实施学号姓名专学导业师院年月日 .】京邮电人学研究生论文声明独创性或创新性声明本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不包含其他人己经发表或撰写过的研究成果,也不包含为获得北京邮电大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。申请学位论文与资料若有不实之处,本人承担一切相关责任。本人签名私食、日期关于论文使用授权的说明学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定,即研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许学位论文被查阅和借阅学校可以公布学位论文的全部或部分内容,可以允许采用影印、缩印或其它复制手段保存、汇编学位论文。保密的学位论文在解密后遵守此规定本学位论文不属于保密范围,适用本授权书。本人签名狐凡日期如对导师签名丈立夕乃、。。。钊冷爹自,习子书刘干口称 北京邮电、学研究生论文某科技企业网络防病毒系统的设计与实施摘要建立企业网络防病毒系统平台,可积极应对企业内部的病毒爆发事件,充分发挥分级管理和中央监控的作用,实现灾难快速响应,平时防患的功能。本文以“软、硬件平台结合安全策略管控”的思想,实现企业网关安全防护和企业内网安全防护的病毒防护管理模式。本文主要进行了以下四个方面的工作充分了解用户需求,针对系统安全日志进行整合分析,明确了企业网络防病毒系统的建设目标,完成风险分析和设计原则分析对目前流行的、和卯等技术进行了研究,充分了解软硬件产品的工作原理及参数设定,结合安全体系构建的一般原则,完成了防病毒系统的架构设计针对日志过滤分析,运用工具,通过明图、分析和行代码,实现了稽核机制根据设计方案,完成了项目的平台搭建工作并投入了试运行,试验结果证明了设计方案的正确性和可靠性。由此,论文提出了一种新的针对企业网络病毒安全防护的思路和解决方案。关键词网络安全、垃圾邮件、安全运营中心、企业网网关防毒子系统、企业网内网防毒子系统 北京邮电大学研究生论文一政一,、,,一'一旧,一,,卫一,'护,,,即刊,出,一叭。万,,,一,一 北京邮电人学洲义生论文目录第一章绪论···········,·········……项目背景··················……'`”'`””””'企业网络防病毒系统的实现……论文结构···················……`”“””'第二章背景知识介绍……病毒风险分析与设计原则分析……信息安全与威胁分析……垃圾邮件攻击分析…,二,二,··················,·……僵尸网络与钓鱼网络攻击分析……攻击分析···························……一指令分析·······················……本章小结····················……`”`”`”`'第三章企业网关防毒子系统的设计与实施……网关防毒子系统的设计与实施……网关防护的设计与实施……工使用政策分析····……网关防护的实施……稽核机制的设计与实施……一网关防护的设计与实施···……本章小结··············……`””`”””'`'`''第四章企业内网防毒子系统的设计与实施……企业内网现状分析··········……内网防毒子系统的设计与实施……内网防毒子系统的设计……内网防毒子系统的日常维护及效益分析……认证系统的设计与实施···……协议的工作原理分析·……系统的实施···……内网病毒防治分析与实施……协议的工作原理分析……攻击原理分析·……病毒清除的实施·····……即攻击源头定位与防治的实施……常见病毒处理的实施……本章小结···················……''`””`”第五章安全运营中心的设计与实施……组织架构设计和职责分析……病毒爆发标准处理流程的实施……本章小结····················……”””'`”'`””第六章结束语…… 北京邮电人学研,'〔生论文论文总结…,月了`乙马月占︸、问题和展望二 }L京邮匕、学研究生沦文第一章绪论项目背景“网络就是计算机”已经不再是公司几年前提出的商业口号,而是现实生活中的真实现象。今天,一台没有连上网络的计算机,似乎己经不具有太多的价值了。随着网络的普及,网络安全也随之提升到了一个相当重要的程度,没有完善的安全管理机制,网络的发展与应用也将受到极大的影响,甚至面临不可预知的危机。对于众多企业来说,必须要借助网络进行生产,与客户、供应商、合作伙伴等进行沟通,网络已经是企业每天营运活动中不可缺少的一部分。和舰科技苏州有限公司坐落于苏州工业园区,占地平方公里,于年月正式投产寸晶圆,是一家具有雄厚外资,制造尖端集成电路的一流晶圆专工企业。第一座制造基地最大月产量可达万片,而目前己导入岁等先进的工艺技术,良率也达到了世界一流晶圆专工厂水平,并规划在年内建立多座晶圆制造基地,总投资将超过亿美元。针对和舰科技安全防护系统的日志进行分析后,发现遇到的所有安全问题都是和“安全内容管理”直接相关的,其中以“间谍软件、木马程序及恶意代码”最为严重,同时垃圾邮件也日渐成为严重的安全问题。防火墙日志分析和舰科技每天遭受到超过个来自的外部攻击。如图一所示,来源地址为天津市网通地址段,通过。,,针对目的地址和舰科技对外应用服务的地址进行攻击,根据,防火墙阻挡了本次攻击。娜甲口曰困暇口叫脚哪帅一﹄一﹄一︸业巡理世理世理迎理些竖迎日,,,】期洲狱翻川侧胡溯期酬拟,闷日`主斗弓一山盯川卜中,曰了五七甲扮卜`扣呼」不如七“斗日,,月口盆一,日,一之月石一`,日一盆,一之,之嘴,之日右,,啼日呼日呼一之,日月弓。礴嘴日啼旧二,日、弓二,之口曰,月。,之州七。`代·`二闷弓一咭,吕月,写,,二月月一,图一日志分析代理服务器日志分析内部员工每日访问大量非工作相关网站,这不但会降低工作效率,还会增加 !L京邮电少、学研究生仑文病毒感染机率,尤其是一些安全意识薄弱的员工还会访问高风险网站,大大增加了企业的安全风险。如图一所示,大量与工作非相关网站的访问,如、网页广告、新闻流媒体、艺术环境、商业、经济金融、个人、生活等。呜工幼理砚感…图一日志分析电子邮件日志分析根据一系统日志来看,进入公司的电子邮件,超过为垃圾邮件。这些垃圾邮件不但含有广告内容,还有可能包含一些病毒网站的链接,一旦点击,主机可能立刻感染病毒。如图一所示,可以看出来源地址为的垃圾邮件,于年月日发送恤广告到和舰科技内部某员工的邮箱。`二,`,呀叫晌杠门二`甘司口价价姗赶,么知,以肠种,川下,灯扮洲脚脚画睁均幽翔侧`夔韵撇挑卿,洲幻,气呀毛`团片翻写口弘留肠种,截吟跳肚月口娜巾和,自娜勺念翔蓦沁梦,创幻,,`。,嘴肚二介山口曲幼用介侣丫盆心慰禅粉脚…瀚矍窿,神解沸渗内梦翻刀,卜奋价抽扛,叻·口片白月口口泊翻侧沙俄了侧晚晦目·`内,月冲扛功曲怒毅豁内,饥岌幻,盯城“一'二亩帅`二梢电睑勿议二的仲片口公、二,,杠冲,如碑脚脚如哪脚州礴协妇熬薇黔月哪,名刃、·,门防扛·断·。栩曲阳帕甲曰二二勺润呢劝崔下二、认·喇嘛神神'珊麟粉郭们卿赶袭,艺幻暇气卜`·洲叫唯`“臼闷以曰翻几口旧臼士二“`脚扛姗撰封豁图一电子邮件日志分析病毒日志分析据防毒系统管理员统计,平均每月有超过次的病毒事件。如图一所示,显示前名的病毒名称及数量,其中威金病毒伊`感染次数高达次,其余还有特洛伊木马类、后门程序、间谍软件和高风险可疑文件等。 比京一人学了二究生论文。口,尸``饭`衡洲示墉污羚淞三一讨爪准冷欢考切鳅鼓如瞬释,。图一病毒日志分析随着客户端主机数量的不断增加,目前在和舰科技网络中有用台左右,台,其中的主机为系统,的主机为用灯州系统。系统主机非常容易感染病毒,但晶圆专工厂都是小时营运生产的,这就要求与生产密切相关的系统主机不能因病毒爆发而出现宕机现象,否则会造成大批量的报废品。当全球计算机处于网络病毒感染攻击时,唯有能够持续运作的企业,才能持续不断的提供产品与服务给客户,维护客户的忠诚度,而不让客户投向竞争者。从一次次的攻击中,越来越多的企业主管们意识到单单做出响应,是不足以有效地防止攻击,因为响应时间往往太晚,灾害已经发生。面对全球日益泛滥的病毒,如何构建完善的病毒防护系统,更好的提升营运安全,是企业主管们面临的新难题,也是本文的研究重点。当前,无论是在医疗业还是其它制造业,都面临着与和舰科技同样的问题。网关病毒防护能力薄弱,病毒随意进出企业内部,部门缺乏病毒爆发标准处理流程。一旦病毒爆发,仃人员四处奔波忙于处理,充当救火队员,不仅缺乏专人统一处理,而且信息无法共享,还会出现系统管理员各自为阵,分头处理,协调困难的局面,大大降低了病毒处理响应速度。当企业面对病毒爆发突发事件时,既充分暴露了网络病毒防护机制的缺失性和脆弱性,又极大的激发了企业网络防病毒系统进行一系列的重大改变。企业迫切的需要通过解决方案,既能完善企业网络防病毒系统,又能提供预警机制,降低病毒数量,同时有效的提高病毒处理响应速度,保障企业能够正常、高效地营运本文所设计的企业网络防病毒系统基于软硬件设备,以企业的网络架构和内网中的客户端为研究对象,通过整合网关防毒子系统和内网防毒子系统,同时结合科学管理的策略,建立安全运营中心,统一应急处理平台,提高处理响应速度,是集安全、信息和预替于一体的防护系统。本系统具有系统性与主动性的特点,同时秉承多层次、主动式、全面防毒的理念,能够实现全方位多级防护,增加防毒的纵深层次,确保全局主机的安全性,保障企业生产的可持续性,初步建立一套适应企业实际情况的网络防病毒系统。 北京邮,匕人学研究生论文企业网络防病毒系统的实现如图一所示,在设计前期,完成了客户需求分析、病毒风险分析和设计原则分析等初期工作。然后结合所学习的防毒知识,通过网关现状分析,制定了使用政策,设计了盯范一网关防护和稽核机制,并对稽核机制进行了编码及测试,实现了网关防毒子系统。接着通过内网现状分析,制定了常见病毒处理方法,统一部署了网络版防毒软件和认证系统,实现了内网防毒子系统。最后建立中心,提高病毒处理响应速度,并最终实现了和舰科技企业网络防病毒系统。二,一分析网关砚状〕创定如朋州映用欢妞〔〕一攀习肠母如认,一二〕,一“,价计月哭二千派绝”一`'“一``一'一、罢长吴计一一谈岌计两络肺乡翻不魏〔〕嘴`一、长计片们下下作呢翎`叫关防护,月卜设计内月肠子不旅声冷卜`”、'、`'·〔〕〔〕忿〔〕二内目班板分析,户侧农分析,月分们长计月侧〔〕〔〕翻定八胃常见们处理方旅二侧血枕翻哪即以诬万价图一网络防病毒系统。图防病毒系统安全体系的实现目前市场上常见的防毒厂商有勺、泊、、以及国内知名防毒厂商等,其中介沈肚、、占据了全球近的市场份额。年,抑出现将系统文件作为病毒文件而隔离的重大缺失,其中国区售后服务比较差,如要获得更好的服务,需要花费更多的财力防毒软件价格高,多,响应速度慢,系统稳定性差对生产型企业来说,防毒系统的稳定性是重中之重。基于技术实力、兼容性和品牌等因素,本防病毒系统均采用肠即山功认幻系列产品。趋势科技在全球服务器架构防毒解决方案居领导地位,是全球唯一一家通过以〕及认证的防毒机构,在服务器防毒软件市场、网关防毒市场的占有率均高居全球第一位。趋势科技作为防病毒全球领导者,是年中央政府采购指定唯一国际品牌,也是北京奥运会指定的防毒厂商,具备一级服务资质认证,同时在上海成立病毒处理中心,发布中国区病毒代码,病毒处理 }L京邮电大学研究生沦文响应速度快,价格便宜,稳定性高,同时为企业提供小时响应的服务。如图一所示,网络防病毒系统可以为企业提供安全有效的防护体系除了提供病毒爆发预护服务、灾难损害清除服务和服务外,同时还提供小时响应的服务,提高响应速度。在管理层方面,作为一级节点,可实现统一管理所有二级系统中心节点的功能。趋势科技病毒实验室分别位于菲律宾和中国上海。菲律宾实验室主要负责全球病毒案件上海实验室负责中国区病毒案件,提高中国区病毒案件的处理速度,病毒爆发时,可在小时内完成病毒样本的分析并提供特效病毒库。和通过部署、、和,实现了网关防毒子系统和内网防毒子系统,系统日志可通过和脚本传入数据库。场针对病毒案件处理,在企业内部成立中心,负责日常病毒处理和紧急病毒爆发处理,可提高处理响应速度。出翻旧绒稍鼓鱼侧幼胭赚肺翻毅舞瞬熬焦氮'摧鞠匆翻翻煮羹教舞妇曲雌盆毛绷】澳仁孟酸姿】'娜沥徽猫粼期翻荡裴艇墨别药路黔“翻秽图一网络防病毒系统安全防护体系防病毒系统架构的设计如图一所示,是整个企业网络防病毒系统的架构图。其中,防御层属于网关防毒子系统部分。系统管理层属于内网防毒子系统部分。 北京书`匕人学`研定`生沦文基于企业网关所面临的威胁分析,针压的防护,采用趋势科技的认与企业现有的并联运行,这样不会破坏现有的网络架构并且能很好的兼容现有的网关代理服务器。位于企业局域网与。交界处,负责企业出口处的病毒扫描,而作为企、的,通过协议与并联,弓包回传给扫描,将监控将员工上网请求反馈数所有的竹流量,检测各类恶意网卜占、程序、插件和脚本病毒等,对基于七应用的病毒传播提供「关层的防护。邮件防护服务器采用趋势科技的。基于规则匹配、启发式扫描技术以及网络信誉服务,同时对层流量进行优化,持续分析电子邮件来源,将其分类为合法或非法,以七来进行垃圾邮件的阻挡,有效地节省企业带宽、提高网关防护的安全性,更重里粤的是因为从源头处杜绝了垃圾邮件的扩散,可以极大程度上降低企业内网防毒内压力,进一步提高企业员工的工作效率。在邮件病毒防范方面,的防毒戈兰义和引擎可以防止员工受到电子邮件携带的病毒的攻击,同时垃圾邮件过滤器和病毒库都是实时动态更新的。和都是企业内部需要仑芝护的对象,但由于常会被员工用于上网,所受研阳威胁以及病毒危害〔勺几率非常大,通常都是内网病毒爆发的源头,因此的病毒防护显邵非常重要。趋势科技防毒墙网络版主要用于客户端集中式管班巨防病毒解决方案,通过单一控制台使管理员可以配置、监控和维护客户端的防绿工作,增强了企业病毒防护的策略和管理,保护客户端免受病毒、恶意代码、间谍软件的侵害,为客户端提供了一个回传给进行分广阔的安全保护·同时,客户端的病毒日志…由析,而也可以对所有的二级节点进行统一的管理。病毒防管理中心巫【因困系统管理层防层日图一网络防病毒系统架构图 IL京邮电人学研究生论文论文结构病毒防护是目前信息安全行业普遍关注和探讨的一个热点话题,防毒厂商、各企业网络管理员和经理以及众多技术论坛都关注计算机病毒防护的发展方向,纷纷提出各自对大、中、小型企业病毒防护的解决方案。但这些方案主要侧重于软硬件的使用,忽略了企业安全政策的管理,缺少病毒爆发标准处理流程。病毒爆发时,人员长期扮演救火队员的角色,进行事后处理,缺少预先防范措施和预警机制,响应速度过于缓慢,因而导致企业损失惨重。本文以和舰科技的网络架构及客户端为主要的研究对象,对企业网络防病毒系统的实现做了研究、规划、设计等工作,同时对软硬件设备的部署及工作原理、安全政策管理、常见病毒防护、协议和协议等作了详细的分析,了解了客户需求后,设计并实施了企业网络防病毒系统,同时还详细介绍防病毒系统的日常维护体系,以发挥其最大的效益。全文共分五章,各章内容安排如下第一章绪论对企业所面临的安全现状进行了分析,说明了企业网络防病毒系统的建设背景及意义,同时介绍了企业网络防病毒系统的实现过程,对防病毒系统的架构图作了简要说明,并对各个章节的内容进行简介。第二章背景知识介绍介绍了企业网络防病毒系统设计的风险分析、设计原则分析以及当前病毒流行的攻击手段,明确了防病毒系统必备的防护功能,同时简单介绍了一编程指令,为企业网络防病毒系统的设计起到了铺垫的作用。第三章企业网关防毒子系统的设计与实施针对和舰科技网关面临的现状进行分析,说明了垃圾邮件的危害、软件对企业的危害和当前屏蔽软件的困难性。介绍了网关防毒子系统的架构、硬件设备的特性、工作原理和重要参数设定,制定企业。刀以使用政策,同时结合员工的上网日志,通过数据库信息整合过滤,由系统自动发送告普邮件对违规员工进行稽核,设计并实现了网关防毒子系统并对系统效益进行了分析。第四章企业内网防毒子系统的设计与实施针对和舰科技内网防病毒的现状进行分析,介绍了内网防毒子系统的架构、防毒软件的特性、组件升级流程、日常维护流程、重要参数设定、协议的工作原理和实施过程,设计并实现了内网防毒子系统并对系统效益进行了分析。同时结合即协议及其工作原理,介绍了卫病毒的攻击原理,对病毒实体进行分析,总结了卫病毒的防御方法和常见病毒处理方法。 IL京邮,匕大学磅究生论文井 北京仁匕、学子究生论文第二章背景知识介绍本章节介绍了企业网络防病毒系统设计的风险分析、设计原则分析以及当前病毒流行的攻击手段,明确了防病毒系统必备的防护功能,同时简单介绍了一编程指令,为企业网络防病毒系统的设计起到了铺垫的作用。病毒风险分析与设计原则分析病毒风险分析系统与业务结合的越来越紧密,其安全性和稳定性就越来越被企业所重视,企业也屡屡发生因为系统遭受破坏而影响业务运行的事件。结合企业现状和病毒威胁的流行趋势,首先要对企业的安全风险进行分析,发现网络中已经存在或是潜在的风险,以确保防病毒系统的高可靠性和高稳定性。风险一病毒长驱直入,内网防毒压力大在网络病毒盛行的今天,最主要的传播途径是透过互联网。如果在网络入口处缺少相应的保护,那么病毒就会长驱直入到内部网络,一旦病毒达到内网,把防毒的压力全部放在桌面端,会存在以下的三个问题即便病毒能被桌面防毒软件检测到,但是病毒文件很可能已经被点击或者自动执行起来,这时候危害已经造成。桌面防毒软件部署不全面或者没有及时更新,病毒不会被发现,则危害己偷偷发生,那么主机有可能会发生宕机,企业重要的数据信息有可能会被破坏。病毒一旦植入系统或者运行起来,很多情况下是无法直接删除或清除的,后续处理非常耗费人力。风险二缺少病毒爆发标准处理流程,隐患重重“三分技术,七分管理”是众所周知的基本道理。一旦部署了企业网络防病毒系统,日常就需要行之有效的管理措施,发挥出防病毒系统的优势,努力减少每年病毒爆发的次数,降低企业面临的病毒风险。当病毒在企业内部网络发生全局爆发时,想要有效的控制病毒,减少损失,就必须有一套行之有效的处理流程规范,并且能够加以落实。很多工程师在病毒爆发时,只知道自己所管理的系统出现故障或宕机,并不清楚该如何有效进行快速处理,这就成为病毒很容易给企业造成重大损失的重要原因。风险三桌面防毒各自为战,难以抵御网络病毒桌面防毒是病毒查杀的最后一道防线,部署率和更新率是防毒体系是否完整 }L京邮电大学拍叮〔生论丈的重要依据,而获得更高的部署率和更新率的有效手段是运用中央控管功能,由管理员统一的分发防毒软件,统一的部署更新组件,及时掌握每个客户端的防毒状况,从而做出有效的响应和应对措施。风险四管理员四处救火,缺少主动防御措施当一个新病毒爆发的时候,往往只能被动的等待病毒特征码的发布,在获得最新的病毒特征码之前,几乎只能坐以待毙。企业缺乏面对新病毒爆发时的响应措施和流程,所以每次病毒爆发对企业信息系统的影响都很大。风险五员工安全意识淡薄,上网行为混乱在整个信息系统存在的薄弱点中,人恐怕是最至关重要的。因为员工安全意识的淡薄,原本可以避免的安全事件会酿成恶果。员工可以随意的下载文件,随意的访问形形色色的网站,往往把间谍软件和病毒引入到公司网络中。风险六盘病毒泛滥,没有有效的管理方法客户的资料、厂商产品介绍资料等,有时候需要通过移动存储器拷贝至公司内部主机,这是任何一家企业所难以避免的。目前网络中,盘病毒泛滥,病毒从移动存储器传入计算机硬盘,感染系统后再传染其它在己感染机器上使用的移动存储器,这样周而复始,不断循环,逐步传染扩散。针对客户端盘病毒防护的实现,需要做到以下三点禁止所有客户端安装光驱和软驱,控制移动存储器的数量。如需使用,必须经过申请批准,同时定期对移动存储器进行病毒扫描或格式化。给所有客户端安装系统,锁定口及口,既可以防止泄露核心数据,又可以防止盘病毒的感染。贵宾来访,客户资料通常需要通过移动存储器进行拷贝等操作为了满足需求,同时降低病毒传染途径,在管制室建立一台,该的端口不做锁定,但通过对网卡流量进行管控只进不出,所有资料拷贝至,客户端通过拷贝至本机。每个月全盘格式化。,的硬盘并重装操作系统,以此来减少盘病毒的传染面对上述的病毒威胁和信息系统安全风险,为确保系统的稳定运行,保护重要的信息资产安全,需对企业网络进行加固,系统的规划防病毒体系。企业网络防病毒系统设计的目标将围绕降低病毒感染率、降低系统宕机时间以及灾害损失三个最重要的参数,将风险控制在企业可接受的范围内为实现最终效益,可以把整体目标分解成具体目标以利于实现有效控制研阳安全威胁,对、封包进行扫描,阻挡网络病毒。有效的控制垃圾邮件和病毒邮件扩散。有效的加强安全策略管理和执行力度,加强对员工上网行为的控制。 北京邮电人学研究生沦文伊加强防毒系统的日常维护,建立有效的处理机制和防护策略。降低系统损害恢复时间和工作量。设计原则分析如表一所示,为确保企业网络防病毒系统建设项目的顺利进行,结合企业实际和安全体系构建一般原理,对防病毒系统的构建提出以下原则表一设计原则分析内容描述经济实用性原则企业对病毒防护系统的投入将遵循经济实用性原则,在选择方案时,性能价格比是最重要的衡童标准之一。简单易用性原则管理人员同时需要负责网络系统、生产应用系统的维护,现有的人力资源又有限,所以防毒系统平台的易用性、操作的简便性、部署的方便性就显得尤其重要简单易用的特点,可以为防病毒系统日常维护节省大量人力平衡性原则风险、效率、投入是相互制约的因素,平衡性原则的第一个要素便是平衡这三者的关系追求效率的时候不忘记风险,拉制风险的时候要平衡效率和投入,风险存在于企业的很多地方,有限的投入需要合理分牟先进性原则防病一奉系统的建立应考虑到技术的先进性技术日新月异,威胁种类变化多端,只有掌握最新的防病毒技术,有着深厚技术背景的供应商才可以提供企业及时地防护所以选择技术方案时,厂商的技术实力、技术支持力度也是关健分级管理原则采用网络版防毒软件,透过管理中心拉制台,可以对整个网络中的客户端进行集中管理,实现全网络病毒库的同步更新和杀毒处理整个防病毒体系结构层次清晰,应用部署和管理灵活方便管理中心管理中心是整个防病毒体系的中心节点,直接连接进行相关组件的更新,同时可以对所有二级节点进行集中管理和更新管理中心是一台实体,以服务方式运行于后台,本身并没有管理界面中央控制台中央拉制台是管理中心的可移动管理平台,基于,服务器架构管理员可以通过方式访问控制台,对管理中心进行远程管理和操作系统中心系统中心是整个防病毒体系的二级节点,并提供基于物方式的控制台它属于真正的管理端,对已注册在该结点下面的三级终端和进行分组管理,向发出指令、配参数和集中日志管理等该节点可以直接连接进行组件更新,也可以通过管理中心进行组件更祈,更新完成后,会将最新的组件分发给三级终端邢是病毒防护执行端,操作系统为, 」为钊川、匕夕了,明夕`几匕又的。它需要实时监控、全面查杀、病毒隔离、邮件防护等多种功能,以针对来自移动存储器、网络下载共享及邮件等各种途径的病毒入侵,实现全方位的病毒防护是基于操作系统,的病毒防护执行端,除具备客户端所有特性外,还需进行特别优化处理,以适应的大容量、高速度运行如果扫毒过程中,有大型或在运行,防毒软件不可占用过多的进程资源、利用率和利用率,确保或的正常运行防毒模块作为服务随系统一起启动,在管理员不登录的情况下,仍可以接受二级节点的管理。信息安全与威胁分析目前信息安全威胁事件又再度攀升,信息安全已成为社会的热点话题,而信息安全威胁目标已从提高知名度转变为谋取金钱报酬,从广泛攻击全球计算机用户转变为锁定特定阶层或区域的用户。在全球性大规模疫情爆发时代结束后,迅速散播的蠕虫已逐渐被目标式攻击所取代。规模较小、目标较明确的目标式攻击,利用不断衍生的新变种,不断变换攻击目标区域,己成为今日信息安全威胁的新势力,而目标攻击行动中几乎脱离不了研阳威胁。随着前几年移动存储器大力发展,病毒还都主要集中在通过移动存储器来进行传播。移动存储器对大多数企业而言,属于管制物品,在企业内部禁止随意使用。的发展相对己经成熟,通过叭陌来传染病毒远比通过移动存储器来传染要快的多,黑客们明显己经注意到这点了。“世界在你指尖,认陌威胁在弹指间”。当用户透过节阳下载软件、影片等吸引人的档案或银行转账支付时,这些看似正常的网站却会暗中导引甲户到恶意页面,用户在不知不觉电帐户里的资金就被转移了,公司机密信息也被传送出去了。使用以研触为基础架构的应用平台可以使生活变得更简单,但也使得黑客更容易潜入你的计算机。七威胁就是利用执行各种恶意活动,如通过时事新闻、热点话题的社交工程陷阱,窃取私密信息、占用带宽资源等,具备渗透性和利益驱动性,研触威胁是当前网络中增长最快的风险因素。而新一代的研阳威胁具备混合型、定向攻击和区域性爆发等特点,加之工作对互联网的依赖性,使得企业网络比以往更加容易受到攻击,从而对企业数据资产、行业信誉和关键业务构成极大威胁研肥威胁传播途径分析趋势科技病毒处理中心研究了最近两年来蠕虫和研阳威胁程序的发展态势,结果表明蠕虫病毒在最近两年中发展基本平稳,而利用研触方式进行传播的恶意程序正呈大幅增长态势。其中,恶意代码、钓鱼网站、含恶意工的垃圾邮 1七京邮电人学研究生仑文件等问题尤其突出,而、和漏洞成为种主要的认陌威胁感染途径。对于员工的竹下应用完全不加控制的企业,其爆发安全事件的比例要比严格加以控制的企业高倍。目前企业认陌方面的安全风险主要表现为如下形态某些网站和下载中可能会含有病毒及恶意程序等,其中木马程序有可能会导致企业核心数据外泄。员工在工作时间对无关网站的访问,不但会导致病毒风险的发生,还大大降低了企业的生产力,同时影响了企业带宽的有效使用。当员工透过其七邮件帐号收发邮件时,一旦访问垃圾邮件中的恶意链接时,病毒及恶意程序可以透过进入企业网络。日益增长的间谍软件和网络钓鱼等威胁,会利用传输个人隐私和企业敏感信息。广告嵌入程序、行为记录程序和自动弹出的页面,占用过多的系统资源,影响员工正常工作。研威胁原因分析中国是研陌威胁的主要发源地,安全研究机构数据显示的恶意网站位于中国,企业政府网站被不断挂木马,恶意网站成批出现,主要原因如下免费域名、廉价或免费的的网站空间域名随意申请,个人网站、空间的随意开通。这些网站没有进行代码弱点修正和集中式管理,申请者安全意识薄弱,网站可随意上传下载文件,容易导致病毒的攻击。托管服务商不提供安全防护,无安全人员管理机房只提供硬件的托管和维护,并无专门的安全专员进行管理,这些托管的服务器很容易成为僵尸服务器。今天,过滤和内容检查解决方案在防范已知来源的己知风险方面非常有效。然而,由于这种防护技术需要不断更新静态特征文件,在本质上是被动的,对未知的研触威胁不能有效防范,为此必须采用基于研触信誉服务的动态防护技术来保证企业网络的安全,防范几威胁源头,避免传统扫描技术的被动性。研阳信誉服务将全面跟踪全球上亿个网络域名的生命周期,提供实时动态更新与信誉反馈,其详尽的数据库更包含己知恶意源滋且七、可疑恶意源巧沈和未来可疑的恶意源奴叮等信息。所谓信誉评估就是为网站提供信用检查,为每个网站提供一个信誉分值,这个信誉分值基于该网站的存在时间长短、地理位置变化和历史情况等诸多因素计算而来。通过信誉分值的比对,就可以知道某个网站潜在的风险级别,同时根据网络域名信誉有效地阻止用户访问潜在的欺骗性网站,防止网络钓鱼,屏蔽邮件中恶意链接,提高垃圾邮件的识别率。当用户访问具有潜在风险的网站时,就可 北京邮,匕少、学研究生论文以及时获得系统提醒或阻止,从而帮助用户快速地确认目标网站的安全性。垃圾邮件攻击分析垃圾邮件主要是利用社会热点事件,传播恶意网址,实施网络钓鱼,牟取经济利益。垃圾邮件的产生可以追溯到最开始的连锁信,随着邮件技术的发展,垃圾邮件技术也在逐步发展,但要想找到彻底解决垃圾邮件问题的技术,必须从邮件传输的原理入手。目前邮件传递的主要协议是协议,该协议没有任何认证手段,因此缺省的邮件服务器是所谓的开放转发器,无论邮件来自哪里或发到哪里,邮件服务器都会予以发送。近年来由于垃圾邮件泛滥,大部分邮件服务器关闭了。但这并没有解决发送邮件服务器和接收邮件服务器间的合法性认证,因为不可能要求接收邮件服务器上保存所有发送邮件服务器的合法用户信息。由于网络的发达性,随处得到一个上千万的一地址列表,使用程序自动按照邮件服务器域名发送相应的用户是很容易的,这样就给垃圾邮件自动发送程序提供了可能,导致了垃圾邮件的泛滥。很多中小型企业都拥有了电子邮件系统,网上电子邮件的传输日益频繁。中国互联网络信息中心估计,年发往中国境内的电子邮件流量中都是垃圾邮件,而且将以每年的速度继续增长,中国是第三大垃圾邮件源发地,占全球垃圾邮件总量的。垃圾邮件不只是烦人而已,还会塞爆信箱、侵占网络频宽、带有网络钓鱼链接、间谍程序和其它的恶意程序。垃圾邮件是最常被网络罪犯用来进行“股票炒价高卖诈骗”、网络钓鱼、恶意程序散布和散播的一种方式,垃圾邮件逐渐变成了一个衍化迅速且获利丰厚的产业。自年起,垃圾邮件散发者开始大量利用图片垃圾邮件包含图片而非文字的垃圾信息来躲避反垃圾邮件服务器的侦测。这一类的垃圾邮件会使用嵌入式图片,这种看似文字的图片,可以躲过垃圾邮件过滤器,因为垃圾邮件过滤器一般都是借由检查信息内容中是否存在特定垃圾字词的方式来执行工作。例如,文档几乎到处可见且少与垃圾邮件和恶意软件扯上关系,因而会让过滤器无所防备同时嵌入垃圾文档于中,利用它们来携带蠕虫或特洛伊木马等恶意程序传统的反垃圾邮件技术主要是黑白名单邮件过滤,带宽控制、贝叶斯加权统计分析等方法,目前都在实际中应用,但至今还没有非常理想的解决方案实时黑名单技术分析实时黑名单技术司往幼是借助解析技术的黑名单查询技术。当需要验证某个邮件服务器地址是否被列入黑名单时,就向服务器发出一个特殊的解析请求,根据反馈结果,邮件服务器就知道该是 1七京电人学研歹〔生论文否被列入黑名单。实时黑名单是使用较早的技术,对于早期拥有合法域名的服务器专门从事垃圾邮件转发或开放的邮件服务器非常有效。当一台邮件服务器是或未开放任由其合法用户发送垃圾邮件时,该服务器将被投诉,通过机构确认其大量发送或转发垃圾邮件后,被列入黑名单,邮件服务器在收到邮件时,可以向查询这台发送邮件的服务器是否被列入黑名单,如果确认,邮件将被拒收。但这种技术无法防止用户自行发出的邮件,包括动态如拨号用户,因为如果把这一段列入黑名单将导致正常用户无法使用邮件服务。关闭关闭其实是一个能够部分解决问题的方法,这使得邮件服务器在对外发送邮件的时候要求身份认证,只有邮件服务器上的合法用户才能通过本服务器对外发送邮件,避免了垃圾邮件制造者借助本服务器对外发送垃圾邮件。在很大程度上降低了垃圾邮件的泛滥程度,但关闭翻】是单向的反垃圾邮件技术,只能保证自己不对外发送垃圾邮件,不能防止自己被垃圾邮件骚扰。内容过滤技术分析邮件过滤按照邮件系统的角色结构可以分为三类邮件传输代理过滤信封检查邮件递交代理过滤信头检查和信体检查邮件用户代理过滤客户端检查。邮件过滤技术作为一个有效对抗垃圾邮件的手段,同杀毒软件一样,需要不断根据情况更新邮件过滤规则。邮件过滤实际上只针对通常的垃圾邮件有效,这些垃圾邮件常常是电子广告。例如,有些广告在邮件主题上提示“”,只需简单过滤邮件主题,发现即拒收。而利用程序自动生成和发送的垃圾邮件对于发件人、收件人、邮件主题甚至邮件内容都是随机生成的,为了隐藏垃圾邮件的特征字词,会在字母中间加入空格,或是利用符号来代替字母以代替,使得反垃圾邮件服务器很难准确的进行过滤。从实际应用情况来看,内容过滤技术作用很有限,而且比较消耗资源、分析速度也比较慢。客户端过滤技术分析客户端防垃圾技术通常是在客户端安装垃圾邮件分析软件或在邮件接收软件中增加一些简单的垃圾分析功能。例如,和吐】等客户端软件都具有简单的垃圾分析、阻断功能。该技术对降低网络流量、防止垃圾邮件泛滥没有实际意义,不能有效减轻邮件服务器的严重负担,也不能降低网络带宽的占用。正在研究的技术思路分析当前被广泛研究和引用的“贝叶斯”加权统计分析算法,它基于统计的原则, r比京邮,匕人学研究生论文根据被用户认为的垃圾邮件和非垃圾邮件进行统计计算。例如,某来源发送的垃圾邮件数量大于正常邮件数量,此时反垃圾邮件服务器就会减少该来源的带宽分配当该来源发送的垃圾邮件达到一定比列时,反垃圾邮件服务器会阻挡该地址发送来的邮件,从而实现流量整合。虽然文字型的垃圾邮件已很容易过滤出来,但是垃圾邮件在不断进化,一种运用影像拼贴与技巧的影像垃圾邮件正使传统过滤机制面临挑战。影像拼贴是将一个大影像切割成体积较小的“碎片”,当收件人阅读信息时再拼凑在一起,这种方法会造成垃圾邮件防护技术常用的,,光学字符辨识产生混淆。而汕。几一斌,全自动化杜林测试人机辨识机制则是将一层文字置于一层随机产生的背景之上,因此每次执行时都会产生一个新影像。影像垃圾邮件会在邮件内文中使用影像代替文字来显示垃圾信息,同时影像会作随机变化。例如,变更影像大小、更换背景色彩、加入不同的边界以及其它细微的变动等,以突破使用传统垃圾邮件特征码的侦测。为了拦截这些影像垃圾邮件,趋势科技推出了一个用于日的专利应用程序,在垃圾邮件防护引擎中纳入了所有的影像变体。如此一来,只需要套用少数的几个核心特征文件就足以拦截影像变体。光学字符辨识是一种可识别影像中文字的技术,很多的垃圾邮件防护解决方案也会利用来撷取影像中的所有文字,然后针对文字进行过滤,以判断该封邮件是否为垃圾邮件。但这种方式不只容易出错,而且撷取并过滤所有文字将会耗费不少的系统处理资源,更会对邮件系统造成负担。但是,趋势科技的技术不需要对影像中的所有文字进行识别,只会侦侧具有垃圾邮件特征的字词,这种方法不只对系统造成的影响最小、效率更佳,更能有效阻止影像垃圾邮件。此外,还会对影像和内容进行分析,以判断影像的结构,然后套用启发性规则来过滤这些电子邮件。将影像变体范围缩小至少数几个核心特征文件的方式,再加上启发式搜索法,这两种技术目前都已应用在最新的垃圾邮件防护解决方案中,且在遏止影像垃圾邮件方面成效卓著。眺还能应用到影像垃圾邮件以外的范畴,避免数据遗失。员工可以将机密信息隐藏在影像内,然后将影像传送到公司以外的地方,这样信息就不会被内容过滤器侦测到。但有了技术后,企业就可以定义所要保护的信息,然后再针对影像进行处理,判断其中是否包含任何与此项信息相关的机密数据。在垃圾邮件散布方法不断推陈出新的情况下,最安全最有效的方法就是在垃圾邮件进入企业邮件服务器之前将其拦截,同时还能节省企业网络频宽。 北京邮匕、学讨究生论文邮件信誉服务可以准确地辨识出垃圾邮件散发者并阻止其电子邮件进入企业的网络中,同时会持续分析来源地址和网域的传送行为,以判断它们是否传送了合法或非法的电子邮件。只要辨识出垃圾邮件和其它威胁邮件的来源,邮件信誉服务就能根据电子邮件的来源执行拦截,而不用大费周章地扫瞄电子邮件的内容。邮件信誉服务会收集发送自传送地址的电子邮件历程记录和电子邮件样本,进而追踪并分辨出哪些与网域会传送非法的电子邮件,这将有助提高效率、降低误报率,并减少邮件服务器负担。另一种对抗垃圾邮件的有效方式就是透过执行遏止特定攻击。会建立一个防火墙来阻挡大量寄送电子邮件的攻击,包括“账号搜集攻击”和“邮件退回”攻击。任尸网络与钓鱼网络攻击分析僵尸程序是一种自动化软件程序,用于执行联机操作。但是却常常被用于恶意用途,它会先利用计算机病毒安装后门程序,目的是偷偷开启计算机的通讯端口,一旦成功入侵之后,僵尸程序通常会指示计算机联机至特定频道,以便与控制者联系。僵尸程序能下达指令唤醒这些僵尸主机,执行各式各样的恶意活动,例如,散发垃圾邮件、从事网络钓鱼诈骗、进行键盘记录以及发动分布式服务阻断攻击等。由于僵尸网络能聚集庞大数量的计算机形成惊人的处理效能,因此经常被用于发动大规模的联合式攻击,已成为恶意叭阳威胁活动经常使用的工具之一。电子邮件、七以及社交工程学技巧是僵尸程序的主要传播途径。僵尸网络是由许多遭到僵尸程序攻击的主机所组成,但主机用户并不知情,幕后操控者可经由对它们发号施令,将恶意程序、垃圾邮件和间谍程序等,散播给网络上的其它主机,试图引诱主机用户执行恶意程序。僵尸网络也可能会搜寻并攻击含有己知弱点的主机,这些弱点往往存在于操作系统或浏览器中,通过这种方式能虏获更多主机加入僵尸网络中。当前网络钓鱼的欺诈活动愈演愈烈,不仅在传播数量呈现翻倍的势头,更是在传播手法上不断翻新。特别是随着僵尸网络的大量出现,使得垃圾邮件散发者已经开始利用僵尸网络主机寄发大量垃圾电子邮件,恶意散发钓鱼网站,僵尸网络正在成为网络钓鱼的幕后推动者。如此一来,网络钓鱼更具隐蔽性。当企业员工在浏览网站或进行下载时,毫不知情地感染了间谍软件或僵尸程序,就很有可能成为被不法分子操控的僵尸主机,进而成为网络钓鱼者手中用来发起攻击的工具,网络钓鱼事件与僵尸网络息息相关。僵尸网络不仅使网络钓鱼活动更加隐蔽,而且还出现了得手后立即消失的新特点。许多假网站采取“快闪 北京邮匕人'研究生论文策略”,一些钓鱼网站从去年的周关站,到今年仅一小时就关站,使安全人员“查无此人”,无从追踪,因而可以逃脱法律责任。国际反钓鱼组织发现,在特定事件或灾难发生时,网络钓鱼攻击就会十分猖撅。钓鱼者通常都会密切注意时事新闻,以便利用时事新闻有计划地执行攻击活动。当企业受到网络钓鱼攻击时,除了成为钓鱼者的工具之外,个人的网上银行等涉及财务的信息也很容易被窃取,网络钓鱼己越来越深的影响到我们的工作生活。在一般情况下,僵尸网络的渗透活动通常很难加以检测。只有当用户抱怨网络、电子邮件或其他应用程序出现问题,或者网管人员检测到过于频繁的端口扫描活动、网络流量异常时,才会察觉僵尸网络的攻击。如何有效的防止被僵尸网络发起的网络钓鱼攻击,保证企业的运营正常进行,已经成为每一个企业努力解决的问题。为了更好地预防网络钓鱼攻击,建议企业采取以下措施安装防火墙及入侵检测系统,定期更新及维护,同时每天检查防火墙、入侵检测系统、服务器以及服务器的日志记录,确定是否有任何入侵活动的迹象。采用最新版本研陌浏览器,安装最新的修补程序,制定并落实严格的密码设定原则。通过资讯安全训练课程,提醒员工在收到要求提供账户详细信息的电子邮件时,必须提高替觉,不点击可疑电子邮件包含的链接,只开启信赖的人所寄来的电子邮件附件文件,同时绝不要使用电子邮件传送理财或个人详细信息。网络管理员需定期阅读网络钓鱼攻击相关的最新信息,以及时作出防范。`攻击分析网络上现在盛行按点击次数付费的广告方式,垃圾邮件散发者只要利用其拥有的就可以依照广告点击次数进行收费。由于现在的电子邮件使用者具备一定的信息安全意识,已经开始避免去访问邮件中的链接,因此便成了垃圾邮件散发者的新手段、、、这些名词是随而来的研陌威胁,也是垃圾邮件的新变身。是垃圾邮件散发者用来提高商业网站点击率的,它跟一样也可透过软件自动量产,不在意内容,只要用户点击广告,以赚取广告点击费。别叮是一种工具,专门用来在各种访客板、、论坛及其它网页窗体中写入大量的垃圾信息,借以提高搜索引擎中的排名卯】是散发者演化出的“垃圾入口网站”,它使用了许多热门的关键词,因而得以大幅提升某些在搜寻引擎中的受欢迎程度。散发者会尽量诱骗用户来访问这些,借以提高按点击次数付费的收入。 北京邮`匕人一学研究生论文会回报假的博客更新结果给提供博客追踪服务的公司。会寄出这些假造的,使得的更新速度甚至超越真正的。散发者使用垃圾博客软件自动建立大量的,这些“垃圾博客自动产生器”会复制社会热点关键词,再加上各种商业产品的链接和广告。当用户利用搜索引擎输入关键词时,该软件会把这些关键词贴进他们的,并且在文字旁边放上广告,其目的用意不在于诱使用户去购买产品,而是极尽所能地引诱用户去点击散布在网页上的广告来提高商业网站点击率。这些垃圾博客网页使得用户主机极有可能受到感染,将网站浏览者重新导向至假网站,甚至再从这些假网站来感染用户的主机,将这些主机变成僵尸主机并利用来进行垃圾散发活动。除了建立假的网站以外,由于有大量的遭到弃用,散发者也企图掌控许多己经停用的,于是会利用自动化软件将垃圾文字和广告放入现有的中,这些广告同样也会链接到。为了赚取更多的金钱,散发者无不努力在和其它的搜索引擎结果中争取高排名,目的就是为了要提高的浏览人数。要在搜索结果中拥有高排名的主要条件之一,就是从其它网站链接到该网站的链接数量。为了入侵搜寻结果,所以散发者建立了数千个网站,在它们之间互相建立链接,如此便能提高这些网站在搜索引擎结果中的排名。同时圾邮件散发者会张贴短篇的吹捧信息,使用如“楼主的网站好棒”、“好酷的网页”等吹捧性关键词,同时留下垃圾网站的链接,诱骗用户前往一探究竟。垃圾邮件不再固定出现在收件箱中,而是现身于之中,垃圾邮件散发者将阵地转移到了内的留言板,因为其开放性是个方便入侵的弱点,几乎任何人都可以留下信息。由此可见,已成为一大阳安全威胁。由于是一种相当受欢迎的社交网站,且本身又属于社区形式,特色就是其内容都是由使用者公开产生及更新的,因此已成为黑客用来发动认陌攻击的一个完美途径。如果通过使用某些掌控机制来降低媒体的开放性,虽然对于防范能起到一定作用,但这样就会对和社交网站的基本存在性造成损害。用户开始在指令行中新增了九毛川功能,它会要求用户必须先输入扭曲图像中呈现的字母或数字才能张贴留言,如此一来就能确认输入留言的是实际的用户而不是,其用意在于阻止引笋利用进行的恶意行为。企业用户可在网关处部署网关防护产品,防堵恶意信息安全威胁。例如,部署完全不影响阳浏览效果,还具备高度弹性与扩充性,即使是在大规模的企业网络上也能有效运作,最高可支持个用户群组,配备集中式管理主控台,能让管理人员迅速部署协调防御机制,对抗新出现的信息安全威胁。 }L京邮电学研究生论文一指令分析向指定收件人发送电子邮件,此存储过程位于数据库中,参数说明如下。【',发送邮件的配置文件名称。的类型为,默认值为,它必须是现有数据库邮件配置文件的名称。如果未指定,则一使用当前用户的默认专用配置文件。如果该用户没有默认专用配置文件,夕会使用数据库的默认公共配置文件。如果用户没有默认专用配置文件,而且数据库也没有默认公共配置文件,则必须指定拼。少。,,要向其发送邮件的电子邮件地址列表,以分号分隔。收件人列表的类型为州。虽然此参数是可选参数,但是必须至少指定沙、。`或。口中的一个,否则`将返回错误。【伪喊,要向其抄送邮件的电子邮件地址列表,以分号分隔。抄送件收件人列表的类型为。虽然此参数是可选参数,但是必须至少指定娜、犷或少为又。口中的一个,否则翻代多将返回错误。叹`厂七少刀要向其密件抄送邮件的电子邮件地址列表,以分号分隔密件副本收件人列表的类型为州。虽然此参数是可选参数,但是必须至少指定沙即、或少刀中的一个,否则将返回错误。【劝坷'电子邮件的主题。主题的类型为即州。如果未指定主题,则默认为。【加犷电子邮件的正文。邮件正文的类型为州,默认值为。【飞幻,邮件正文的格式。该参数的类型为州,默认值为。如果已指定,则待发邮件的标头设置会指示邮件正文具有指定格式。该参数可能包含或,默认为。 北京邮电工、学研究生论文',邮件的重要性。该参数的类型为。该参数可能包含、、,默认值为。」'丫邮件的敏感度。该参数的类型为州,。该参数可能包含、、、,默认值为。』',电子邮件附件的文件名列表,类型为,以分号分隔。必须使用绝对路径指定列表中的文件。卿恻'明仃,要执行的查询,类型为州。查询结果可以作为文件附加或包含在电子邮件的正文中。查询在单独的会话中执行,所以调用的脚本中的局部变量不可用于查询。口''存储过程在其中运行查询的数据库上下文`该参数的类型为,默认为当前数据库。只有在指定时,此参数才适用。〔』`叱指定查询结果集是否作为附件返回,该数据类型为,默认值为。如果该值为,查询结果包含在电子邮件的正文中,在。勿参数的内容之后。如果该值为,结果作为附件返回。只有在指定叮时,此参数才适用。【。下少成别即户指定查询结果集附件使用的文件名,该数据类型为州,默认值为。如果该值为,则忽略此参数如果该值为且此参数为,则数据库邮件会创建任意文件名。本章小结为了做好企业网络防病毒系统的设计与实现,必须首先了解防病毒系统存在的风险以及相关设计原则。本章简单介绍了防病毒系统风险分析、设计原则分析以及当前病毒流行的攻击手段,明确了防病毒系统必备的防护功能,同时简单介绍了一编程指令,为企业网络防病毒系统的设计起到了铺垫的作用。 {L勃哪匕人学动究生论义第三章企业网关防毒子系统的设计与实施据国际计算机安全联盟统计,目前通过磁盘传播的病毒占,其中的病毒来自网络,传统的网络防火墙只能通过阻挡来实现对病毒以及黑客的防御,不能真正满足目前企业网关安全防护的需要。如何能防止病毒进入内部网络己经成为各企业网络安全所面临的首要问题。实践证明,如果网关不设防,病毒将长驱直入进入客户端,即便病毒能被桌面防毒软件检测到,但是病毒文件很可能己经被点击或者自动执行起来,有可能已经造成危害,这无形中加大了企业内网防毒子系统的压力。从反病毒的发展趋势来看,在企业网关处设立病毒防范体系,也已成为企业级防毒技术的发展方向。本章将针对网关竹压、一、软件访问控制设计完善的防护体系,同时制定企业员工访问相关政策策略,加强资讯安全管理,真正将病毒抵御于企业网络之外,为企业网络提供一个坚如磐石的保护层。网关防毒子系统的设计与实施企业网关现状分析企业网络架构最大的漏洞就是。企业因业务需求,允许开放的服务,因而导致其研陌流量急速成长。如图一所示,电子邮件病毒、网页病毒、非工作相关的网上冲浪、暴量的流量以及极占频宽的资料串流、攻击、恶意移动代码、个人网页邮件和色情网页的访问,对企业网络都是极大的伤害,和舰科技也面临着同样的棘手问题。图一企业网络威胁来源的普及引领着产业的升级,但员工不正常使用。刀资源上网冲浪、聊天等、网络的合法性视频数据流、间谍软件等以及看似合法的使用文件共享等,都会造成企业的损失。例如,网络病毒和恶意程序正在防火墙上 1七京邮电人学研究生论文允许进入内部网络的每种协议中,寻找进入企业网络的途径。病毒开发者们把目标瞄向诸如之类的协议,因为他们懂得在大多数企业的网络中,这是一种最基本的允许进入内部网络的协议,而且由于防火墙是工作在数据包这个层次上的,它不适合处理这些隐藏某种叭触对象或内容类型,但在多个数据包中进行传输的新形式的攻击。即时通信工具,是朋友之间沟通交流的一种非正式的手段,作为应用层通信软件,员工下载并安装和等免费软件,通过网络与合作伙伴、同事、朋友聊天,这种现象在企业内部己经越来越普遍。然而,就在员工聊兴大发时,软件也许正在把企业带入“万丈深渊”,几乎所有软件都正在承受着新型病毒的轮番攻击,这些针对软件的病毒很容易在企业内网中传播开来。软件的使用还对公司信息保密、病毒防护和生产力带来了隐患。病毒正在透过传统防火墙,透过软件给个人和企业带来巨大的危险因素。继电子邮件之后,软件已经成为病毒黑客入侵的新“管道”。在信息化时代,垃圾邮件是那些想谋求暴利的投机者经常使用的一条非法传播途径,它经常通过僵尸网络或第三方服务器进行转发,被认为是最有效和最廉价的广告形式。如今的垃圾邮件,已不再是当初的廉价广告,它结合了社会工程学,更多的在邮件中嵌入钓鱼网站、恶意网站的链接以及病毒程序。很多员工出于好奇,每天会花一定的时间,去一封封的查看垃圾邮件,不但降低了工作效率,而且容易导致病毒传染、核心数据外泄,甚至病毒爆发。网关防毒子系统的设计与实施如图一所示,基于网关面临的现状,汪防护部分采用结合的并联架构,可加强高风险网站管控并对上网反馈数据包进行病毒扫描,真正将病毒阻挡在企业网络之外垃圾邮件防护部分,采用反垃圾邮件设备,对垃圾邮件进行过滤,可减少病毒邮件的传播并提高员工的工作效率。图一网关防毒子系统架构图 北京邮电人学胡冗生论义如图一所示,首先通过架构和硬件参数设定的分析,设计了邝网关防护。接着通过邮件系统架构和硬件参数设定的分析,设计了一网关防护。然后通过设计和代码编写,设计了稽核机制。同时结合企业网关现状分析并制定使用政策,最终实现了网关防毒子系统。二买、二分析〔两公裸〕构二硬计口干网关防护'`”`〔〕制定川使用欢效硬定硬件今吸厂一一一丫产叮、,…'`一、…分析〔娜件系〕统架栩设计一目网关防护设计硬计网关防布千落统'一`”一,二今专、谈定硬件今橄〔分析生网关班状么'、一、`宣、饭计彼机制义一夕写代目图一网关防毒子系统图网关防护的设计与实施使用政策分析可以阻挡非正常数据包的入侵,但是无法有效控管。是一台高效能的设备,它工作在第七层,可阻挡不安全的网站并在应用层上屏蔽非法软件,管控用户在玩。刀上的存取,促使网络有效应用,提高员工生产力】以为的进程会在内存中建立起一个文件缓冲区,把网络数据重组为文件形式,交由进行扫毒处理,真正将病毒抵御于企业网络之外。在对助和进行参数设定前,需要制定企业员工使用政策,以此为依据才能完善参数的设定,如图所示软件的限制似、、丫止加傲泊、冲限制上班时间的聊天行为,防止因为软件的病毒传染及功能泄露公司机密,通过以力从应用层限制,弥补原来,浑方式的不足。七心助目限制限制从刀下载、。、等媒体资料,有效降低网络频宽,节省公司资源同时通过对的档案大小、文件类型的综合限制,防止公司资讯泄露站点的全面封锁 北京邮电大学叫父产论文降低员工访问站点、钓鱼网站而随之带来的病毒风险,通过和的黑名单设定,真正从源头处限制高风险站点,减少,防止因此而带来的潜在资讯泄露。非业务相关站点的限制通过限制大流量的非工作网站娱乐论坛、色情暴力等访问,来提高员工工作效率。身份验证员工在公司上网,需要进行身份验证,并遵守规定,浏览业务相关的网站。同时根据个人帐号存有上网记录,产生月表报以供部门对上网行为进行分析,提供各类研触的相关数据。图一使用政策网关防护的实施企业的研陌流量日渐增加,所以兼顾和病毒防护,同时维持网络畅通,是决定企业网关安全解决方案成功与否的关键。尽管以往的病毒大部分通过邮件进入企业,但新形态的病毒威胁越来越倾向于采用研爬作为入侵的渠道。然而,不合理地扫描和流量会造成网络的沉重负担,影响客户端的使用效能,因此使得企业往往忽略和仰网关防护,造成整体安全防护的漏洞。恤比耐是趋势科技硬件防毒墙,提供了基于网关的和数据传输病毒扫描的完善功能,并且具备可应用于各种规模企业的高性能、可自动更新升级特性。考虑到研阳用户的实际应用要求,重点解决了网关病毒扫描所造成的性能瓶颈问题,最大可达到的处理速度,在保证病毒扫描的前提下,大大提高了用户访问认触的速度。支持多种配置与运行模式,同时内嵌的反钓鱼技术、和扫描技术、反间谍软件技术和过滤技术等,通过黑名单设定,真正从源头处限制威胁站点,防止病毒传入,为企业网络提供灵活的安全防御策略。 北京娜电人学研了〔生论文系统架构设计分析竹网关防护架构图,如图一所示,其工作原理如下用户输入工号和密码后,发出请求至。收到请求后,会进行两次判断整合,进行工号和密码的验证。通过设定的策略进行判断,确认该甘请求是否合法。经过两次断后,如果是合法的仃请求,则通过连接至,会返回数据包给经过判断后,如果是非法的请求,则返回错误界面。将返回的数据包通过协议,丢给柳进行病毒扫描。对收到的数据包进行扫描,如果数据包内容是干净的,则将数据包回传给如果数据包的来源地址属于病毒网站或钓鱼网站,则返回告替界面给用户如果数据包中含有带病毒的、图片等插件,则屏蔽带病毒的内容后,将数据包回传给如果数据包中的网站地址是在的黑名单中,则将该网站的信息回传给用户。将接收到的“干净”的数据包回传给用户。图一网关防护架构图”协议分析首先看下结合柳串联的架构图,如图七所示,将接收到的数据包直接丢给柳扫描,此过程并没有调用到协议。这种架构的唯一不足之处,就是一旦出现宕机现象,会导致整条链路中断,对业务影响很大。因此,我们采用结合并联的架构,这样就需 北京邮电人学研究生论文要调用协议将数据包首先丢给进行扫毒处理,最后回传给用户。图一结合串联架构图协议有两种工作模式,一种是请求修改模式,一种是应答修改。在并联的架构图中,使用的是妙应答修改模式,如图一所示,其工作原理如下端向支持妙的代理设备发送竹,请求获得一个在上的对象。代理设备把叫送给。对做出应答。支持的代理设备把的应答发送给妙州。在的应答的上面执行妙资源的服务程序,然后把很可能修改过的应答送回给妙。代理设备把应答回送给端。月》,取幻解,甘臼图一应答修改模式图是的缩写,它本质上是在上执行”远程过程调用的一种轻量级的协议,也就是说,它让妙可以把下即传给妙,然后可调用,实现病毒扫描、去除广告插入、数据压缩、语言翻译等增值服务。被处理过的可以是请求也可以是下即应答。卫协议设计目的是 北京匕人,'研究生论文使认七内容设备能够互操作、共享数据和控制信息。这样就使得用户能够在分离的设备上实施某种服务,优化所执行的功能。重要参数设定的实施`、声一口如图一所示,设定网卡正地址,和子网掩码图一网卡参数设定如图一所示,启用”协议,设定地址,大连接数为,值为,值为策半姗眯脚释晰一一一一冲「`悦廿`监叮仆丫竺户万已汀`,通傀,韶况韶裂卜撇嵘喃饭滚朝素饭翻止一“闷`日囚反`始肋闭一加川目口窗目暇找公图一设定如图一所示,启用验证功能,设定,,了类型为喊和,为。,为葬`琳黯鬓潺撇撇蘸黝黝翼嚣黑紧麟留韶公哥`傲墉把用孰料巷即网声悯甲琴娜甲哪祖嚼罗娜稗晒攀撒稗甲别召自蓄卿以幽么琶嫂幽丛斌幽赵封泄览幽巡至遏巡丛巡矍葺塑遏鳖造界甚翅峨忿成塑姗靡扬熊塑鸽棍邀刽员州故翁鱿翻滋毛【匹裂,盯吕丝里挽顾劲肚翻取残翌里公蔺邵韶韶井器娜翻那盈瑞渭舫魏丝越欲畏即邢墉编唱澎撇戮翟娜能能如韭鼓缪逻拼凿越答巡巡华粼泄乌砚匕公沈汹老弓纽己”湘卜砚晚盆盆矛今,`盆泣长`面沁”宜卜蔽喂习连钾妒川山加寸饭宜,咬,器二曲”石`,石”刀注`诬州如丫石游兹比招吕留咎歌召容乡欲韶公次招琳雯麦窦导超窦签货呈跳参几,趁图一功能设定设定管理策略研触叫阳加心钊】设置个别特殊帐号有权限从加。”进行下载且不受任何限制例如,设定幻。有权限从微软网站下载系统补丁比以翔肠挥加协公加址策略安全策略规定,上班时间股票类网站是禁止访问的,但财务部要上的一些银行类网站中有包含盘字眼,都会被通用的组策略所阻挡掉,无法正常访问 比京邮,匕人学记十究生论文通过策略设定,可以实现该功能。例如,设定财务部员工。可以访问、认·。少通过夕策略设定,上班小时内对上网的进行,阻挡股票类网站。例如,中包含即、、、职址等关键字。·们通过策略对上网的进行,阻挡游戏类网站。例如,、即丫等。通过策略对上网的进行,阻挡违法安全策略的网站。例如,、、、·、、、等。叭陌通过策略进行,上传的文件行为都会被阻挡。通过策略,允许个别员工因工作需求而进行资料上传。例如,设定防毒系统管理员,可以往节乃那方上传病毒样本文件。研阳丫叮用通过该策略阻止软件使用和文件传输。但由于服务器众多,而且每周都有更新服务器出现,所以在阻挡这方面还存在漏洞。重要参数设定的实施设定系统配置参数使用超级终端进入,输入进入模式。进入”叮一,设定为,为,为,地址为,地址为。进入脚叮枉,设定为,以便将纳入到下做管控,进行组件的更新。设定肠姗设定受信任的网站,针对该类网站不做扫描。例如,每月都会从微软网上下载补丁,这些补丁通常都很大,扫描时间会很长,有可能因为扫描时间而导致下载内容无法保存,因此设定而是 月,山甲·了讨声卜人`、一匕习、卜旧'匕夕了一`,钊川气月,,,`,叫,,,,一,叫`,润,,月受信任的网站,从该网站上下载的东西不做病毒扫描。设定设定黑名单,阻挡有威胁的网站。例如,阻挡刀·枷耐·,因为染毒主机会从该网站上更新熊猫烧香病毒代码。设定设置采用方式进行扫描。设定每小时更新一次每周日更新一次每天更新一次。网关防护的效益分析如图一所示,其数据为平均每月阻挡的病毒数量、灰色软件数量和非法网站的数量。通过网关对于病毒及恶意网站的阻挡,很好的降低了内网防毒子系统的压力。网关防护之效益分析园图一效益分析的枪核机制的设计与实施是美国公司生产的代理服务器,针对聊天软件的阻挡做的很不错。通过阻挡可以禁止的使用,通过阻挡”珍服务器地址可以禁止邓的使用。但是中国特有的聊天软件,通常使用的无法阻挡,版本不同、客户端使用非法软件工具自由门、介等都成为阻挡成功率的制约因素,虽然可以阻挡,但成功率未达,还存在一定的漏洞。虽然在网关可设定阻挡腾讯服务器地址,但如何精准的获取地址信息,也是一个令管理员头疼的问题。所谓“三分技术,七分管理”,通过上网日志的过滤,以一方式来实现稽核机制,可以提醒员工当前的行为己经违反公司安全政策规定,以此来有效的抑制的使用,提高工作效率,降低病毒在企业内网的传染率。开发工具分析是一个全面的数据解决方案,它为企业用户提供了一个安全、可靠和高效的,用于企业数据管理和商业智能应用平台。通过全面的商业智能功能,和微软系统之类的工具集成,简化了开发、部署、管理业务线和分析应用程序的复杂度,为开发人员提供了一个灵活的开发环境,为 北京邮电少、学研究生论文数据库管理人员提供了集成的自动管理工具,将商业智能扩展到组织内的所有用户,并且最终允许组织内所有级别的用户能够基于他们最有价值的资产数据来做出更好的决策。掀是一个基于邮件应用程序编程接口,的应用程序,是数据库系统同邮件系统进行沟通的桥梁,它需要有消息传递子系统才能发送邮件,最简单的方法是安装基于的邮件客户程序,例如,。由于的出现,将数据库和邮件系统结合应用,它可以用来将数据库系统产生的报警信息发送给管理员,从而使管理员能够及时地对系统发生的问题作出反应也可以接受用户发出的查询邮件,并将查询结果通过邮件发送给用户。成数据库邮件是一种通过发送电子邮件的企业解决方案。代替了,它使用简单邮件传输协议,而不需要拥有一台装有的服务器或配置任何类型的卫帐号来发送电子邮件。稽核机制的设计,采用作为开发工具,通过数据库邮件,由数据库应用程序向用户发送电子邮件,邮件中可以包含查询结果。默认情况下,数据库邮件处于非活动状态,若要使用数据库邮件,必须使用外围应用配置器工具或数据库邮件配置向导启用数据库邮件。稽核机制的实施上网测试分析在企业内网登录号,每小时会产生一份日志。然后对日志进行分析,发现其中包含有“科”的字样,这是本稽核机制实现的重点。配置数据库文件“管理”一右键单击“数据库邮件”一“配置数据库邮件”`“通过执行以下任务来安装数据库邮件”一新建配置文件“配置文件名”、“电子邮件地址”、“邮件发送服务器”、“答复邮件地址”和“开身份验证”。叫框图分析如图一所示,框图显示了稽核机制的整个流程。框图顶部显示了涉及的角色和案例所需的对象。每个箭头表示角色与对象或对象与对象之间为完成所需功能而传递的消息。稽核机制从员工上网开始,以刀作为上网代理服务器将记录员工的上网信息,并每隔一小时将上网日志导出至上。在上,将对上网日志进行过滤,提取所需的信息,然后通过人事系统提取人事信息。在获取一地址后,将自动发送告警提示邮件给非法用户,然 北京邮电人学研究生仑文后进行判断,如果该员工是第二次违规,,则发送告警提示邮件给其主管。励月亡口目用,肋目口曰色习压目臼皿图一框架图介分析如图一所示,通过几分析,对数据库结构进行设计。首先将产生的原始日志中的有用信息抽取出来,针对抽取出的信息进行进一步整合,得到加少。耐,同时根据工号从人事系统哪'。获取邮件地址、部门等核心信息,基于的功能,系统将自动发送稽核邮件给非法用户,同时抄送稽核邮件给管理员。由于上网日志每隔小时产生份,所以洲少。'会每小时清空一次以便更新最新信息。在加护山清空历史记录之前,通过即将非法用户的工号信息更新到。中通过加夕。记录非法用户的违规次数,一旦再犯,会将稽核邮件直接发送给相关主管。肠伪喇下的白以加州甘公自与比内俐氛滋豁屠鬓日目誉·气处侧角如凡咧必蒯阅图一分析图 }L京邮电人学研究生仑文稽核机制的实施流程新建项目一项目右键一新建平面文件连接一导入样本,设定格式格式采用带分隔符的形式。文本限定符为”。要跳过的标题行数行。行分隔符为列分隔符为空格。右键新建连接连接本机设定身份验证的用户名和密码。控制流中添加,,,,。数据流中添加”,,和,,,,。编辑,'”属性。根据已导入样本的格式,选择需要的信息列。编辑”,,属性。如图一所示,创建”,,,建立样本中的列名称映射关系。图一建立关系映射按运行调试,运行完后,在中会自动产生。如图一所示,打开昭一新建口'电。图一建立一 北京邮电人学研究生论文新建查询',一新建查询,运行结果如图一所示,,,叶,',,,,,',图一议一运行结果注意命令执行几次,运行纪录就会重复产生几次,可以用毛山名进行删除。详细代码分析见附录。将代码制作成档,作为任务由系统每小时调用一次一物网关防护的设计与实施随着许多企业开始部署反垃圾邮件系统,越来越多的垃圾邮件发送站点被列入了“黑名单”,于是黑客们利用电子邮件散播病毒,然后把这些中毒的“僵尸计算机”信息转让给垃圾邮件发送者,从中牟取利益。这种僵尸计算机一旦被垃圾邮件发送者“唤醒”,就会成为垃圾邮件的“中转站”,不断向外发送大量垃圾邮件,而用户却毫不知情。垃圾邮件、病毒这两个“网络骚扰者”形成的连锁“垃圾邮件经济”也是近年垃圾邮件屡禁不止的主要原因之一。随着企业。刀服务的不断增长,需要更加先进的安全解决方案来对抗垃圾邮件发送者、钓鱼网站和病毒。趋势科技的反垃圾邮件设备功翔以幼,基于黑白名单、网络信誉服务、复合式垃圾邮件扫描引擎和”的幻识别专利技术,将垃圾邮件尽可能的阻挡在企业大「之外。系统架构设计分析如图一所示,在企业网关处部署台硬件,两台之间做,, 北京邮电大学研究生论义机制,防止因单台宕机而导致一的收发异常。当在企业网关处部署时,需修改企业,以便外部邮件服务器欲传送邮件到企业内部,查询时,判别经哪台服务器才能进入企业内部。在的文件中设定以下两条值······值越小,优先级越高。外部邮件首选通过第一台,邮件经检查后,才会转送到真正的企业邮件服务器。当第一台硬件出现拥塞或宕机状况时,外部邮件则选择通过第二台。、一`一夕图一邮件系统架构图工作原理分析在网关提供了综合电子邮件防护,集成了防病毒和内容规则匹配加上可选的垃圾邮件防御解决方案来防御垃圾邮件和钓鱼网络,同时组合引擎,应用了高级启发式功能、统计分析和特征码过滤来防护单个和混合威胁,同时透过网络信誉安全解决方案伽,在垃圾邮件进入内网之前进行屏蔽。第一道防线邮件信誉检查收到外部邮件时,首先采用困七万,网络信誉评等服务技术基于通讯协议查询之评分服务器,查明是否为已知的垃圾邮件服务器所寄出。若是,则直接拒绝该垃圾邮件的传送据统计,全球实时动态信誉服务可以阻止的垃圾邮件在进入企业内部网络趋势科技是全球最大且受信任的垃圾邮件信誉数据库,其数据库分为两种标准信誉数据库标准信誉数据库通常是由人工分析并建立与维护的数据库,其中包含有发送垃圾邮件前科的邮件服务器和不该是邮件来源的地址。查询标准信誉 北京邮匕友学研了烧二仑文数据库且确认为垃圾邮件来源时,会在垃圾邮件开始传输前拒绝该联机行为。动态信誉数据库动态信誉数据库采用启发式、复合式算法作实时监控,每五分钟更新一次。由于使用动态信誉数据库查询到的垃圾邮件来源是动态的,在上建议设定为暂时的拒绝该联机,倘若来源为一般正常的邮件服务器,将会在一段时间后重新寄发该邮件。标准信誉数据库与动态信誉数据库的数据并不会重复且为互补。第二道防线连接控制叹客制化评等机制是手动设定规则,监控所有邮件来源地址。当到达设定阀值时,随即拒绝来自该地址的联机行为,这些规则需要管理员自行设定。其工作机制是记录所有进出的邮件流量并将每一封邮件的发送地址记录到数据库中,然后采用复合式垃圾引擎扫描,将每个发件的源与扫描的结果在数据库中对应起来,用比对的结果对照管理员配置的各项极值,如果超过极值,就触发永久阻止或临时阻止动作。第三道防线复合式垃圾邮件防护引擎刀一是趋势科技自行开发的复合式垃圾邮件侦测引擎,其采用启发式侦测技术与特征比对技术侦测邮件内容是否为垃圾邮件。人除了可侦测英文垃圾邮件外,还支持简繁体中文、体中文、日文、韩文、俄文、德文、法文、泰文及西班牙文。如图一所示,当邮件经与检查接收后,会采用钓鱼网站判别、允许阻止策略清单判别、特别例外清单判别和基于信誉积分扫描判别的方法来辨别其是否为垃圾邮件。加附翱目即扣翻叫称,佃启礴图一拙侦测流程图改别专利技术许多垃圾邮件内容过滤技术都会扫瞄电子邮件的内容,侦测其中是否有任何 北京邮亡人学研究生论文垃圾邮件特征。但垃圾邮件散发者也不断地改良其技术,避免被这些过滤器拦截。例如,在字母中间加入空格,或是利用符号来代替字母以代替,以隐藏垃圾特征字词。另一种逃避过滤器的方式就是利用影像垃圾邮件。影像垃圾邮件不会将垃圾信息以文字的方式放在邮件内文中,而是把垃圾信息放在影像中。如此一来,由于电子邮件中没有明确的垃圾邮件文字,反垃圾邮件服务器便无法辨识出垃圾邮件中的特征字词。专利技术可以很好的解决影像垃圾邮件问题,如图一所示,其工作原理如下通过技术的模板匹配法来抽取出垃圾图片的一小部分。通过技术将截取出的图片中的文字转换成文本信息。通过特征库对文字进行检测,判断是否为垃圾邮件。如果是垃圾邮件,则隔离如果不是,则放行。,尸,护月“臼,口护月口映,爪拟,劝触,绝二蕊二二`户、若圈翻二气招几泊口筋日自创艺`掣丝塑鉴势钧目、二名召踢翻常嘟招睑匀翔`户盆卜叨口翻翻峪自二毖尝留盔葵汗荟生会茸巴娜件黝`图一工作流程图重要参数设定的实施如图一所示,启用和功能。的旧阅,、户``自,月抢闭龚藕蟹细尸湘写夕护丙翻图一启用和功能当邮件来源地址存在于标准信誉数据库时,隔离该邮件。 }L京不电声、丫一司究'三沦文当邮件来源地址存在于动态信誉数据库时,暂时隔离该邮件。当邮件来源数量占邮件总数量的百分比超过管理员设定的阀值时,隔离该邮件。黑白名单设定针对漏网的垃圾邮件,手工进行黑名单设定,以阻挡该地址发送的垃圾邮件。防大量垃圾攻击设定设定队规则。例如,设定该邮件服务器在个小时内寄达至少封邮件,且其中的邮件为垃圾邮件时,则暂时拒绝接收来自该邮件服务器的信件也可设定永远拒绝。伊防病毒攻的设定设定规则。例如,设定该邮件服务器在个小时内寄达至少封邮件,且其中的邮件中内含病毒时,则暂时拒绝接收来自该邮件服务器的信件也可设定永远拒绝。防账号搜集攻击设定一帐号搜集攻击但是垃圾邮件散播者使用字典文件向收件者发送大量垃圾邮件。设定与企业服务器整合,同时启用功能。设定该邮件服务器在个小时内寄达至少封邮件,且邮件中的收件者超过个,且所有的收件者皆为有效查询服务器,则暂时拒绝接收来自该邮件服务器的信件也可设定永远拒绝。防邮件退回攻击设定田邮件退回攻击仍。朋是垃圾邮件散播者欲发送垃圾邮件至企业,先将寄件地址伪装成企业使用者的邮件地址,使得企业的使用者的邮件地址成了退信地址,再将邮件寄到企业一个不存在的使用者信箱,如此一来,企业的邮件服务器就会将邮件退回寄到企业中被假冒的邮件地址。例如,设定该邮件服务器在个小时内寄达至少封邮件,且邮件中为退回邮件时,则加暂时的拒绝接收来自该邮件服务器的信件也可设定永远拒绝。一网关防护效益分析如图一和图一所示,前面天未开启功能,仅仅采用传统反垃圾邮件方式。后天开启功能后,所侦测出的垃圾邮件增长趋势,通过名阻挡垃圾邮件地址后,进入企业的垃圾邮件数量也开始减少。 }L京啦电人学研儿生论文右。,,`叹石又蔺飞蔺丽奋一一一兹丽订竺萝笠一叫一户一尸孟弘,`,``令一一,`一佗`一犷厂了图一每日垃圾邮件数量比例锈`匡暨排偏月穿附睡科卜黔粉图一巨每日垃圾娜件数童统计本章小结为了做好企业网关防毒子系统的设计与实现,必须首先分析企业网关和一目前面临的威胁现状及存在问题,细致研究企业员工上网日志的,了解企业网灵防毒和稽核机制的需求及硬件设备的功能特性。本章详细论述了企业网关面临的威胁,介绍了网关防毒子系统的架构图、硬件设备的工作原理和技术优势、企业员工使用政策、稽核机制的设计原理和分析。以此论证了建设网关防毒子系统的必要性。网关防毒子系统部署后,实现的效能目标分析如下禁止访问不安全的网站减少威胁的来源,降低每月公司病毒总数。每天封锁大量的不安全网站,对某些类别的网站作带宽限制,分时浏览如股票网站的分时浏览,购物网站的带宽限制》减少因非法网站的访问引起的带宽和资源耗损。'禁止软件和研触资料,保证公司资讯不会通过。,外泄对特定的企和帐号限制其上叫权限,彻底防止不稳定因素,如厂商帐号和公用电脑可做特殊处理。同时详细纪录上网信息,做到可分析、可查询。减少因垃圾邮件引起的带宽和资源耗损,减少因为隔离邮件而带来的存储要求,提高用户的工作效率,减轻人员工作压力。 一比川邸电人学研究生论文第四章企业内网防毒子系统的设计与实施部署网关防毒子系统后,优化了安全管理平台,提高了网关的安全性,减少了内网防毒的工作压力,降低了管理成本,人员从之前“救火队员”的状态中解脱出来,得以发挥更大的管理价值。但网络是个很丰富的大环境,层出不穷的网络病毒可能通过各式各样的交互渠道流入企业内网,而未知病毒的传入,制约着网关防毒子系统的阻挡成功率。和舰科技内部有上千台加和上百台的,只要其中一台主机感染病毒,就很容易通过内部网络共享或文件服务器迅速在企业内部扩散,一旦病毒爆发,网络瘫痪,将直接影响企业的营运效能,损失巨大。防止病毒进入内网,最简单有效的方法就是关闭服务,但由于业务需求,大门又必须敞开,这无疑加重了防毒压力。虽然在网关处已建立了网关防毒子系统,但网络病毒变化多端,恶意网站层出不穷,病毒还有一定的机率进入企业内网,这就需要在企业内部建立内网病毒防护子系统,以弥补网关防毒子系统的不足,做到尽可能的抵御病毒的侵害。企业内网现状分析防毒架构的设计是基于网络架构的,因此需要参考企业的网络架构设计。如图一所示,最基础的企业网络架构主要分为三个部分办公区哟、生产区和非军事缓冲区价忆。图一网络架构图办公区主要是员工日常使用的和,犷。主要由防毒服务器、妙开发服务器、以争服务器、程序测试服务器等组成。 北京邮电人学似巨乙生论文生产区主用是用于生产控制的和。生产区和办公区采用的方式在逻辑划分开,以防止办公区的病毒传染至生产区,同时生产区的所有妇禁止访问。非军事缓冲区,即本。卫,它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业认角服务器、服务器、电子邮件服务器等。区分为两块和,层只允许固定的客户进行连接七层对外提供访问服务,不限定。在工作中,计算机的日常通讯都是通过地址的,其实不然。网络中传输数据包实际上都是依据地址的,也就是说地址需要通过协议进行地址转换,以便正常发送信息。病毒在企业内网中很常见而且破坏性非常大,一台感染病毒的主机,通过发送欺骗包,造成内部网络的混乱、主机宕机,产线停机。因此,木孙病毒所造成的破坏是无法估量的。如何加强病毒防护的日常管理,降低病毒的危害,让有效的运作,减少宕机情况发生的次数,降低对生产线的影响,是仃人员面临的新难题。内网防毒子系统的设计与实施如图一所示,首先针对企业内网现状和网络架构进行了分析,然后部署客户端防毒软件、设定软件参数并开启防火墙功能,接着建立日常维护机制并编写仰脚本代码,分析病毒和常见病毒的特性,制定防范措施和处理方法,最终实现了内网防毒子系统。〔〕〔二〔〕分析内娜网络架构役定软件,狱劝'“︸侧牌,摘︸一︸一、一、、竺产叮钦︸翻设计〔〔〕分析企业内两现状部日口系统'`一,咋“防毒子系统“'图针对企业内网威胁,内网肺毒子系统采用趋势科技的防毒软件套件和。作为一级节点,管理所有二级节点,负责组件更新,丰富的数据报表为病毒数量分析和分布位置的判断,提供了强有力的证据。 北尔邮电人学研究生沦文作为二级节点,管理着所有客户端,负责客户端组件的更新,结合'和功能,针对客户端进行有效的管控,阻挡各类病毒,同时通过病毒日志,可及时发现可疑文件,尽早的做好相关处理工作,为企业内网提供安全的防护。作为整个防毒系统的控制管理中心,主要承担以下功能整合防毒系统,管理二级节点和。每隔一小时,自动从下载并分发最新的组件至二级节点。限时更新扫毒引擎。最新的扫毒引擎可能会占用过多的系统资源,从而导致主机异常宕机,所以引擎的更新需符合下列条件新引擎出现半年且无重大事故在其它大公司使用期间。满足条件,则部署区加,试用半个月且无重大事故。满足条件,则部署区,试用半个月且无重大事故。满足条件,则部署区,试用半个月且无重大事故。满足条件,则部署区。整合并收集各系统日志生成病毒报表。对数据进行分析归类,监视病毒数量及分布情况,让管理员清楚的知道整个防毒系统的薄弱环节在哪边。主要承担以下工作负责客户端的病毒防护工作。例如,组件的更新、全局扫描策略的设定、个人防火墙设定、实时监控客户端的在线状态等。统计客户端病毒信息,并上传至的数据库。病毒爆发应急策略发布。例如,全局取消文档共享、关闭特定端口等病毒爆发报替。例如,病毒数量超出设定阀值时,即发出告苦邮件。内网防毒子系统的设计系统架构设计分析如图一所示,由于区、区和区在逻辑上是彼此分开的,所以共需要七台用于内网防毒子系统的部署其中州区需要一台安装,用于管理区。,犷。区需要三台和安装,,分别用于管理区,和安装,用于管理区。,。区需要三台和安装,分别用于管理区和安装,用于管理区。 七京邮电少、学研究生论文八器二龚六夯专海谕了相切反口阮年图一内网防毒子系统架构图重要参数设定的实施安装完后,需做相关设定,重点内容如下会将接收到的病毒日志写进数据库中,因此需设置的、”密码。数据库名称为石,其中伪切叭的几中,存有详细的病毒日志信息,通赶该表可进行一些特殊查询设定日常每分钟部署一次,病毒爆发时需立即部署。设定和每隔小时下载更新一次。即日常病毒库损害清除模板要配合损害清除引擎使用,会删除蠕虫病毒或特洛伊木马病毒创建的多余注册表项和驻留一在内存中的病毒信息,还可在系统配置文件被恶意病毒修改或感染后对其进行修复。刀一是用于反垃圾邮件产品的组件更新,启用默认设定,一天更新一次。区由于不存在,故区不启用该项设定。。禁用扫毒引擎更新策昭。最新的扫毒弓,擎可能会占用过名一的索蚕赢从而导致宕机的状况发生,引竿可定期进行更新。重要参数设定的实施设定。司。。为,与。通讯的。。为。。设定。心伪化欧牡使用策略的目的是禁止共享文件夹,以防蠕虫类病毒通过共享文件夹进行传染,同时拒绝常见病毒母体文件写入客户机。拒绝文件和文件夹的写入某些病毒运行后,会产生尚定名称的病毒文件,策略可以有效的阻止病毒文件的写入,所有伽和均启用该项设定。可在 北京邮电人学州「九生论文的菜单中输入常见病毒的母体文件名称,该策略会自动部署至客户端。蠕虫类病毒常见文件一切·一·`这些主要是威金病毒和熊猫烧香病毒的母体文件。”病毒常见文件··。如图一所示,设定策略后,客户端拒绝写入病毒的母体文件。图一拒绝文件写入策略锁定共享文件夹如图一所示,通过该策略的设定,使得客户端无共享文件的读写访问权限。加常会因上网而感染病毒,而网络病毒会通过共享文件夹进行传染,因此,区所有的小旧绝对禁止开放共享文件夹。而区的和区上有很多内部开发的程序,会通过特定的共享文件夹来传递数据,这些共享文件夹都有做访问权限的控管,只有授权的用户才能访问,造成病毒传染的机率较小,因此,该项设定仅针对于区八,即仅在伍侧,。翻加伪”,。启用该项设定。图一锁定共享文件夹策略即时加设定的实施通过部署客户端防火墙功能,可以加强控管个人加的。助和的端口流量,阻止异常流量的传播,作为防毒手段的有效补充。,了上生产应用软件端口在一定的范围内变动,对确定开放哪些端口带来困难,为避免在实际使用过程中因为端口被拒绝而导致服务异常,故该策略仅针对 北京邮电人学胡与〔生沦文区加。一该策略禁止区用开启、、等功能,同时关闭病毒常用端自。如图一所示,为避免异常状况发生,将整个流程分为测试部署流程和正式部署流程。在测试部署流程期间,提供非标准软件清单供用户填写,然后在各部门中选取测试机,进行测试。测试期通过后,各部门按批次进行正式部署,如果无异常发生,则发布正式部署完成公告。统一—一州甲卜甲西吮图一客户端防火墙部署流程在实际部署时,首先制定各部门。,然后结合各部门的进行部署。如表一所示,具体综合清单如下一、、一一一、一一、一一、一、、一一、一、 北京邮电人学研究生仑文一一一连线端口巧、、、一、、系绷公透讯、、、一一一连线端口、、、一、、、一一连接一、、一、、、、、通过部署客户端防火墙,可达到如下的效益降低病毒非法软件通过特定端口在内网流通的机率。仅允许客户端接受合法端口发起的连接请求,通过特定端口传播的病毒将被防火墙拒绝,可以通过改变策略来封堵利用特定端口进行网络连接的非法软件。对端进行清查。在中央控制台中建立各部门,同时将控制台中的客户端清单与提供的客户端清单作比对,将没有被控管的客户端重新纳入控管。定制扫描时间区加扫描时间为每周三中午。区、区例行扫描时间为每周三凌晨,利用凌晨沈和公刀利用率较低的时间段进行扫描,降低因扫毒进程与其它各类竞争资源而导致宕机的风险。区,留由于小时用于营运生产,系统工作繁忙,全盘扫毒可能会导致宕机风险同时由于区和区在逻辑上是分离的,且无法连接玩劝,感染病毒几率较低,故区不设定例行扫毒。电设定设定病毒告替通知,让管理员及时获知病毒爆发状况,起到提前预替作用。设定,参数、阀值触发条件小时内超过条病毒日志和防毒系统管理员邮箱地址吐卿场,以便告替邮件 井巨竺些竺些些生主通知可以正常发送给管理员。设定的更新组件每隔小时从趋势科技捌上下载'牛,以区所有”加,``上使用`”以提高病毒检测机率。和场的更新组件每隔小时从处下载次,所有上适用翎以提高检测稳定率。区与区在逻辑上是隔离的,因此区的防毒系统主机无法直接通过或上更新相关组件,而是通过一台下载更新文件。在以区的厂上设定脚本,每日将更新文件上传至卿上,脚本代码如下连接一以廿即用十骏证的呵和清空助目录下的多个旧文件一叮以二进制形式传送,,企、叫、比切”】,,姗切换全。刀目录上传更新文件连接,用于验证的和清空饰目录下的多个旧文件哪以二进制形式传送,,剐、往毛”中切换至目录上传更新文件一连接用于验证的全和留诵删除配置文件韶 北京邮匕人学胡究生论又以二进制形式传送田叮、”切换至目录而上传而配置文件将以上上传更新文件的代码打包成可执行程序,代码如下一一一一仙一饰在区的上设定脚本,每日从上抓取更新文件,脚本代码如下连接沈用于验证的份爪和韶、好切换目录下载更新文件阳。即连接,用于验证的和韶娜以二进制形式传送认叫冈护找月切换目录下载更新文件连接。附产加曲切姐用于验证的翻汾和川韶出,以二进制形式传送叭邵切换目录面下载将以上抓取更新文件的代码设定成可执行程序,代码如下 北京邮匕、学侧'乙生论文`叭叭用叭一一一一、助扫毒引擎定期手动更新,以避免异常状况发生。每次扫毒引擎更新需要安排测试入和测试,加部署完成后,再进行部署,降低因新引擎占用过多系统资源而导致宕机的风险。部署分析区加部署,其目的与效益是为了全面提升公司防毒系统的病毒防患和查杀能力,尤其是提高对中国特色病毒和加壳病毒检测机率,加强客户端的安全性,减少病毒爆发次数。翎是病毒库的缩写。是根据中国流行病毒的特点,发布的病毒码版本,极大增加了对本地病毒的查杀能力。它完全包含全球病毒码,随全球病毒码同步更新。以上的病毒或者变种都使用加壳压缩的技术,只有一的正常软件采用加壳压缩。翎结合的功能,可以有效的检测出加壳类病毒,对同一家族的不同病毒变种等有很高的检测率,同时配合黑白名单以及不断加强的技术,可以有效的增强查毒能力。由于是对所有的加壳类软件做检测,因此,刚部署的前期,一定会存在误判,所以在针对类文件的需设定为,以避免错杀。如图一所示,上存在文件,名称为,处理措施为。根据日志显示,针对文件进行收集,提交趋势科技作分析,以排除误判。笼海喊姗栩妞匆滚毋续舀湘性劝妇二序亡生`。,助瑙毖滚幽塑涟七吊盆感卜蕊各母吕七月和雨御`肠过图一日志记录当、目录中的系统文件和企业正常的应用软件不再判断为时,可设定为,即先后客户端的安装通过中央控制台界面,直接点击即可安装客户端。也可将刀加脚本加入开机脚本,这样当客户端开机后,会自动检测是否有安装,没有安装的话,开机脚本会强制进行安装同时会自动检测当前的扫毒和是否为最新,如果是旧版本的话,会强制进行更新。将代码打包成八刀加入开机脚本中,具体代码为。 化京电多、赞不日艺毛几仑之内网防毒子系统的日常维护及效益分析如图一所示,是内网防毒子系统日常维护流程图,具体内容如下一卜哄且,`”,,一回翻自`腼眼目州日图一日常维护流程图查看每日病毒日志每日早上一和中午一都是访问高峰,极容易导致主机中毒,防毒系统管理员可在高峰期后查看病毒日志,找出病毒和可疑文件无法清除的主机进行后续处理检查防毒软件对于需要后续处理的主机,可通过中央控制台进行查看,确认翎和都是最新版本,排除因为防毒软件未更新导致中毒的可能性病毒类型判断及处理查看病毒日志,如显示正式的病毒名称,说明该病毒是一个已知的病毒。如图一所示,跟是一个已知病毒,由于病毒进程当前正在运行,结果导致病毒文件隔离失败。万洲刁卜份加彻,朋戮仙栩内刀呱流血撒伪,伪生拐稚盆峋阻,皿旅,心碱】一教。成的浦加图一已知病毒无法清南己录针对该类主机,需在安全模式下,使用趋势科技的工具结合最新的侧文件,进行全盘扫描。扫描完成后,检查日志和病毒文件,确认是否清除,确认无误后则结案。根据病毒日志,如果日志中出现正式命名的病毒但处理措施为,或者显示为类该文件符合病毒特征的情况,需要进行后续处理。如图 北京邮电人学研究生沦文一所示,是、一个己知病毒,文件符合病毒特征,但两者的处理措施是心【`容干一一`闷甲价七出一,﹀一日``,口,,仃留息一滚翻卜价讨`二七,事座“倒左区四通,``,子,二`,图一新病毒无法清除记录针对这类情况,需做如下处理收集病毒文件,加密压缩并发送给趋势科技病毒实验室。趋势科技会做出病毒传染性的初步判断并在小时内发布出特效。如果该病毒具有传染性,则与用户确认后,进行主机断网处理。如果该病毒不具有传染性且影响轻微,则用户可继续使用主机。特效翎公布后,在安全模式下,使用进行全盘扫描。扫描完成后,检查扫描日志和病毒文件,确认无误后则结案。内网防毒子系统的效益分析未部署有效的网络防毒系统之前,经常有大量主机中毒,花费了个人力用于日常的病毒处理,还常常因为无法及时处理而遭用户抱怨。建立内网防毒子系统后,结合日常维护流程,既便捷又有效,同时还节省了大量的人力。目前整个系统的维护只需要花费个人力,防毒系统管理员可以通过中央控制台,随时随地的了解客户端的情况以便及时处理,用户抱怨的情况也没有了。网关防护与内网防护完美结合,相辅相成,有效的降低了每月病毒数量。如图一所示,对比年和年同期每月病毒数量,可以看出病毒数量平均降低率达。图一病毒数量统计图通过卿可以回顾过去一周的病毒数量,清楚的了解当前网络中,病毒主要分布于加还是,以制定相关的后续防范措施。正常情况下,如图一所示,平时每天的病毒数量比较低,无特别的涨幅周三因为例行扫毒,病毒数量将会到达顶峰根据扫毒日志的分析,提交可疑文 }七京沐、匕、学研究生论文件分析后,周四会得到特效,实时扫描会清除病毒文件,所以周四数量也会略微升高。入一飞﹄火一习图一一周病毒数量统计通过策略可以有效的防止已知病毒感染行为,降低病毒爆发的次数。完成部署后,未发生己知病毒的爆发行为。`认证系统的设计与实施网络是开放使用的,任何支持网络的设备都可以使用网络资源。客户携入的电脑,只需要一根网线,就可以连接和舰网络,这样就会带来两个安全隐患资料外泄风险外部携入的电脑有机会访问到以网络的任何资源和病毒入侵风险蠕虫病毒及各类木马程序因外部携入电脑的接入而在网络中传播。同时,网络的使用没有里化的统计,网络管理员无法知道每天有多少网络被合理的使用,非法计算机的接入无法被管理员实时获知。而认证协议可以很好的解决这些问题。如图所示,区部署后,正常环境下,只有和舰域的主机并使用域帐户才可以正常访问和舰区网络资源。访客及厂商外部携入主机、未加入和舰域的主机以及域主机均不能正常访问和舰区网络资源外部携入主机只有通过申请,经进行地址绑定后,才可正常访问和舰区网络资源。阻挡未授权的电脑和未授权的用户接入不做任何认证,将直接进入功,不能访问和舰的网络资源。不但保护了数据的机密性,同时还消除了外部携入电脑传染病毒给内网的威胁。加强的管理,无法自行接入使用在环境中,上的用户将无法上网,需要进行所有用户的地址绑定才可以正常访问和舰网络资源。对来说是透明的所有,在开机完成验证、登陆过程与实施之前没有 北京邮匕少、学研究生论文变化,对来说是透明的节省采用同样效果的大约需要的成本,而采用方案不超过。图一部署效益,协议的工作原理分析协议分析协议是基于叮。,的访问控制和认证协议,是一种标准,代表已验证的无线网络和有线网络的网络存取权,它主要用来增强网络使用的安全性和动态部署网络策略。在获得交换机或提供的各种业务之前,对连接到交换机端口上的用户设备进行认证,它可以限制未经授权的用户设备通过接入端口访问八。的边缘安全是由启用功能的交换机来实现的。如图一所示,在网络中定义了三种角色一申请者,一个请求访问网络资源的设备。一认证服务代理系统。一认证服务器系统几山臼时留口口一,“白口一目自,圈一,一图一网络拓扑图 北京川电人学研究生沦文在认证通过之前,只允许基于局域网的扩展认证协议数据通过设备连接的交换机端口认证时,首先客户端软件发送请求,交换机把接收到的认证信息传递给中心的认证服务器。认证服务器负责信息的核对比如用户名、密码、、等。认证结束后,除了每隔一段时间处理次在线确认数据包外,用户的正常网络应用与没有任何关系,这就是所谓的认证流和业务流的分离。认证通过以后,正常的数据可以顺利地通过以太网端口。协议认证过程分析实施基于端口的访问控制。在中,端口就是访问点和工作站之间的连接。非控制端口允许连接设备与其他任何网络设备进行通讯,负责处理业务数据相反,控制端口负责处理认证数据包,限制连接设备进行通讯。允许所有的客户端连接到控制端口,但是这些端口仅将流量发送给身份验证服务器。在客户端通过身份验证以后,才被允许开始使用非控制端口。的奥秘在于非控制和控制端口是并存于同一个物理网络端口上的逻辑设备。通过控制端口接收身份验证请求,并将请求转发给,整合。丫了后来进行身份认识。如图一所示,协议认证过程是用户与服务器交互的过程,其认证步骤如下连入网络,通过协议,以发起请求,查询网络上能处理卫数据包的设备。当发现交换机可以处理数据包,就会向交换机发送数据包,提供合法的身份标识。交换机的一个端口,在逻辑上分为习和目由于还未经过验证,因此卫数据包只能从交换机的'逻辑端口经过,通过协议将认证数据包转发到。,犷进行认证。因为交换机作为了一个代理,所以验证服务对客户来说是透明的。此时,基于受保护的网络验证方式,在与之间建立了一条加密隧道,以供数据传输。向出示证书并请求验证,然后在隧道中执行夕来认证。收到的数据包,其中含有工号、密码、域信息和验证请求。根据对用户进行身份验证一旦卫验证通过,则和创进行联动以验证用户的域信息、工号和密码是否匹配。当所有的验证都通过后,交换机的端口在逻辑上由切换成,以允许进行数据传输。 }七京邮`匕扮鞠盯究什一论交少户阳八八八八阳侧`浦扮,“」。,尸〔月尸·几'二。叫协蔽茄一'一'一,叫舫,`卜``”`沙`咧一图一认证过程系统的实施在两台上分别安装安装软件,这样就准备好了两台,两台之间做机制,防止因意外宕机而影响验证。在中创建一个域帐户,用于运行。新增,非主机直接进入叨。和的交换机不上,因为这些交换机上没有终端用户。所有交换机的到、飞,以更好的支持协议,同时对交换机进行如下命令设定,一爪沮旧叮韶一一针对每台交换机的每个端口,进行设定,命令如下一一 北京,二电、学了艺十论交一一一一一一一一一一一一一一不支持的设备如打印机、考勤机、录影主机等绑定地址,进行例外管理,命令如下一一一先取消该端口原有的设定一切一一众均一一刃,以刀一以翔在该端口上绑定人地址所有区主机打开场七创即万,启用并修改注册表,强制开机时进行认证,内容如下、龟【从沙认爪叨廿比寸以还沪田叮”吐”司以刃加加由于网卡地址的不唯一性,以及相关设定无法用,因此需要制定详细部署过程,分梯次实施每台主机的人工部署同时针对非网络设备进行地址的绑定。内网病毒防治分析与实施协议是“砚泊以为”地址解析协议的缩写,它工作在数据链路层,与硬件接口联系,同时对上层提供服务。在局域网内,网络中实际传输的是“帧”,帧里面含有目标主机的地址。所谓“地址解析”就是主机在发送帧前将目标地址转换成目标地址的过程。协议的基本功能就是通过目标设备的地址,查询目标设备的地址,以保证通信的 北京`电、·气介,究十论文顺利进行。因此,一台主机要和另一台主机进行直接通信,必须把目标地址转换成目标主机的地址,这个目标地址就是通过地址解析协议获得的。而病毒就是通过伪造地址来达到欺骗的目的。协议的工作原理分析如图一所示,主机向主机。发送数据。图一人协议工作原理当发送数据时,主机会在自己的缓存列表中寻找是否有目标主机的地址。如果找到了,也就知道了目标主机的地址,然后就直接把目标地址写入帧里面发送就可以了。如果主机在本机缓存列表中没有找到目标主机的地址,就会在网络上发送一个卫请求的广播包该数据包里包括主机的地址、地址、以及主机的地址,查询目标主机的地址,即表示向同一网段内的所有主机发出这样的询问“的地址是什么”。该请求的广播包首先到达交换机,如果交换机的缓存列表中存在该地址,则交换机答复主机地址为一一一一一。如未找到,交换机则将该请求的广播包广播出去。网络上其他主机收到这个请求的广播包后,会检查数据包中的目的地址是否和自己的地址一致。如果不相同就忽略此数据包如果相同,该主机首先将发送端的人地址和地址添加到自己的缓存列表中,如果卫缓存列表中已经存在该地址的信息,则将其覆盖,然后给源主机发送一个响应数据包,告诉对方自己是它需要查找的地址,即主机向主机做出这样的回应,'的地址是一一一一一,。这样,主机就知道了主机的地址,它就可以向主机发送信息了。同时它还更新了自己的缓存列表,下次再向主机发送信息时,直接从缓存列表里查找地址就可以了。如果主机一直没有收到 北京邮电止、学研究生仑文响应数据包,则表示即查询失败。缓存列表采用了老化机制,在一段时间内如果表中的某一行没有使用,就会被删除系统为分钟,而。路由器为分钟,这样可以大大减少砂缓存表的长度,加快查询速度。朋`攻击原理分析协议对网络安全具有重要的意义。在局域网中,是基于协议来完成地址转换为第二层物理地址即地址的。通过伪造地址和地址实现欺骗,能够在网络中产生大量的通信量,从而使网络阻塞或者实现“”进行重定向和嗅探攻击。每台主机都用一个高速缓存表存放最近的地址到地址之间的映射记录,高速缓存表中的每一条记录的生存时间一般为秒,起始时间从被创建时开始算起。而卫病毒用伪造源地址发送卫响应包,对高速缓存机制进行攻击,只要持续不断的发出伪造的响应包就能更改目标主机缓存表中的一映射记录,造成网络中断攻击。交换机上同样维护着一个动态的缓存表,这个表开始是空的,交换机是从来往数据帧中学习到的。因为一缓存表是动态更新的,不断发送大量假地址的数据包,对交换机进行叭地址欺骗攻击,一缓存表就遭到了破坏,让交换机基本变成一个,向所有的端口发送数据包,这将造成交换机一缓存表的崩溃。如图一所示,主机向主机发送数据但被欺骗。图一人病毒攻击原理如果染毒主机上的病毒已经开始发作,则染毒主机会不停的发送欺骗包给交换机,修改交换机的缓存列表,所有地址全部对应指向同一地址一伽一。当发送数据时,主机会在自己的卫缓存列表中寻找是否有目标主机 北京匕人学研究生仑文的地址。如果找到了,也就知道了目标主机的地址,然后就直接把目标地址写入帧里面发送就可以了。如果主机在本机缓存列表中没有找到目标主机的地址,就会在网络上发送一个青求的广播包该数据包里包括主机的地址、地址、以及主机的地址,查询目标主机的地址,即表示向同一网段内的所有主机发出这样的询问“的地址是什么”。该请求的广播包首先到达交换机,如果交换机的缓存列表中存在该地址,则交换机答复主机的为一一一一一染毒主机的地址。此时染毒主机成功欺骗主机两主机间建立通信联系,染毒主机通过重定向,打开转发功能,将从主机接收到的数据转发给。如未找到,交换机则将该请求的广播包广播出去。染毒主机收到即请求的广播包后,抢先答复的为一一一一一染毒主机的地址。此时染毒主机成功欺骗主机两主机间建立通信联系,染毒主机通过重定向,打开转发功能,将从主机接收到的数据转发给。同时主机和交换机的缓存列表将被更新为错误的一对应地址。一旦病毒发作,那么所有主机都将被欺骗。如果网络中存在大量的数据交换,那么这些数据都将经过染毒主机后转发出去,造成帐号密码的泄露,同时当数据流量过大时,染毒主机的网卡无法承受,此时染毒主机会瘫痪,无法转发大量数据,造成了同一网段内大量主机宕机。缓存表是可以查看的,也可以添加和修改。在命令提示符下,输入“一”就可以查看缓存表中的内容了。用“帅一”命令可以删除卫表中某一行的内容用“帅一”可以手动在表中指定地址与地址的对应。病毒清除的实施病毒样本组件分析通常病毒由病毒组件释放者、发卫欺骗包的驱动程序、命令驱动程序发欺骗包的控制者等组成,以下是病毒引起欺骗实例分析。况…病毒组件释放者侣饭场…发”欺骗包的驱动程序侣”恤俪…命令驱动程序发欺骗包的控制者病毒实体运作原理分析执行时会释放两个组件和,释放组件后终止运行。病毒假冒成的驱动程序,并提供的功能,用户若 北京邮匕、学'研究生论文原先装有,将会被病毒文件覆盖掉。如图一所示,注册表服务项仁俐侣仪中,己被写入。三匀解,一自。钊人臼纵喊,三口甲,三油助,匀£以主匀附孑匀毗物图一注册表信息将注册并监视为内核级驱动设备并负责发送指令来操作驱动程序发送欺骗包、抓包、过滤包等。负责监护并将注册为自启动程序。在注册表认、以'吸中,可以看见七丫的信息。手工清除病毒的实现删除“病毒组件释放者”比卫。删除“发欺骗包的驱动程序”在设备管理器中,单击“查看”一“显示隐藏设备”“非即插即用驱动程序”右键点击“即”并选择“卸载”。重启系统删除如咖帅。删除切厅训中项。删除“命令驱动程序发欺编包的控制者”、。攻击派头定位与防治的实施攻击源头定位分析主动定位方式所有人攻击源的网卡都会处于混杂模式在这种模式下工作的网卡能够收到一切通过它的数据,而不管实际上数据的目的地址是不是它,这实际就是工作的基本原理让网卡接收一切它所能接收的数据。通过卫幻工具扫描网内有哪台机器的网卡是处于混杂模式的,从而判断这台机器有可能就是“元凶”定位好机器后,再做病毒信息收集,进行后续处理被动定位方式在局域网发生攻击时,查看交换机的动态缓存表中的内容,确定攻击源的地址也可以在局域居于网中部署玩工具,定位卫攻击源的。 比京邮电人学研究生仑文防御方法分析使用可防御攻击的三层交换机,绑定一一,限制流量,及时发现并自动阻断攻击端口,合理划分,彻底阻止盗用、地址,杜绝即攻击。进行访问控制,限制用户对网络的访问。病毒一般都是从下载到用户端,如加强用户上网的访问控制,就能极大的减少该问题的发生次数。在发生攻击时,及时找到病毒攻击源头,使用趋势科技的工具收集系统信息和可疑文件样本,提交趋势科技进行分析,以最快的速度获取病毒码文件。也可以通过策略设定,从而达到对已知病毒的防御。防治措施分析客户机绑定网关地址小型企业中,由于网络架构简单、电脑主机数量少且流动性小,因此在客户机上绑定网关的地址,可以有效地避免用户遭受病毒袭击。客户机绑定交换机端口和舰科技属于大型企业,简单的在客户机上绑定网关的地址,还是无法避免卫病毒造成大面积宕机的情况。如果将客户机的地址和交换机端口做绑定,虽然可以有效的避免大面积宕机的情况,但是从管理的角度上来看,这又是不可取的。因为整个企业有上千台计算机和上百台交换机,如果每个客户机都用手工的方式去做绑定,工作量相当大的,而且会耗费大量的人力,一旦遇到员工离职或新进员工,还会涉及计算机的发放和回收,这时候又需要重新进行绑定,所以这种也不是一劳永逸的最佳方法。设定交换机静态缓存列表通过设置交换机静态的缓存列表,可以杜绝卫病毒篡改交换机的缓存列表。从长远角度来看,但如果电脑主机流动性比较大的话,经常需要去修改交换机的,缓存列表,这点也不适合大型企业用户。病毒爆发阻止策略在和舰科技内部,所有安装有客户端的主机,均可部署策略来有效的阻挡卫病毒。在中央控制台“拒绝写入设置”的配置界面上,输入将常见的病毒文件后,进行策略的全局部署。通过部署策略,阻止病毒文件的写入,可以防止卫病毒入侵。定期轮询交换机缓存列表网络管理员可以每隔一小时轮询查看交换机上的缓存列表,有助于及时发现网络中的病毒,在病毒爆发时,及时截断源头主机。 北京邮电大学研究生论文常见病毒处理的实施系统中了毒,通常的做法是病毒扫描或重装系统,这样的做法比较费时,而且容易造成不必要的数据丢失。大多数情况下,可以直接根据经验来迅速清除各种病毒,处理过程包括修复注册表文件内容和删除病毒文件两部分。处理病毒问题时,若病毒进程在系统中运行,则可能会出现无法删除文件、无法删除注册表主键值的情况,也可能出现删除注册表键值或文件后,被删除的内容会再次出现的情况。建议最好在安全模式下操作,终止所有可疑进程和不必要的进程并关闭系统还原。注册表启动项清理的实施、场吐、垅下口朋肠叨犯班叭、西、游认”下助匕佣以上这些键值一般用于在系统启动时执行特定的程序。如果系统感染了病毒,通常会在这些启动项中看到一些杂七杂八的程序,删除不必要的启动项键值。文件关联项清理的实施下油五彻改八为」””山功侧泊知』二””沥玩朋如』,”拐、耐”』”场涵耐』””病毒将,”改为访招”,将在打开或运行相应类型的文件时被执行。这些键值也可通过删除病毒文件名来进行手工修复。修改配置文件的实施在中,一个可执行文件如果正在运行或某个库文件、、等正在被打开使用,则不能被改写或删除如不能在资源管理器中删除 }七京邮电人学训'〔生论文。如果要对这些文件进行升级或改动,就必须在保护模式核心启动前进行,于是就提供了基于文件的一个机制来完成这个操作。把要删除或改写这类文件的应用程序按一定的格式用命令写入中在启动时,将在目录下搜索文件,如果找到,就遵照该文件指令删除、改名、更新文件,完成任务后,将删除文件本身,继续启动过程,在列目录中也通常没有它的踪影。在平台卜可以利用该机制,在启动前清除病毒文件。在路径下建立文件,输入以下指令八将、,设置为,表示让在启动前,将删除后再运行启动过程。是早期系统的配置文件,及以后的系统都是用注册表数据库来配系统的,但依旧保留了对的加载,在启动时,还是会读取里面的配置。一些病毒也利用这一点,把自己的地址放到里面,以在启动时自动运行。站、而中的【节招】这两个变量用于自动启动程序,如果出现可疑信息,可进行删除处理。。叮而是系统不可或缺的配置文件,有关系统所需的模块、键盘、鼠标、显卡、多媒体的驱动程序、程序、标准字体等,这里定义的程序在启动时都要被加载,否则有些设备不能使用或者根本就进不了系统。钟八招而中的。』节二,巧招变量指出要在系统启动时执行的程序列表,如果出现可疑信息,可进行删除处理。修改文件的实施叭该文件在每次系统启动时执行,只要在该文件中写入欲执行的程序,该程序即可在系统启动时自动执行。如发现该文件中包含了可疑程序,可进行手工删除。修改启动文件夹的实施 }L京邮,匕、学研火生论文当前用户的启动文件夹可以通过如下注册表键值获得功以℃二侣中的项。公共的启动文件夹可以通过如下注册表键值获得水俪℃盯、乞中的项。病毒可以在该文件夹中放入欲执行的程序或直接修改其值指向放置有要执行程序的路径。如发现可疑信息,可进行删除处理。服务项检查的实施℃检查服务进程,查看是否存在可疑服务。若无法确定服务是否可疑,可直接查看该服务属性,检查服务所指向的文件,确认该文件是否为正常文件。对于不正常的服务,可直接在注册表中删除该服务的键值。检查加载项的实施在注册表中检查万加载项`。叭邢叭议汀八吮叭,其中项默认键值为项默认键值为、。如果和心键值若发现被修改,可直接将其改回默认键值。场涯、叭汀、乞川。训下会有多个主键,每个主键中的键值将指向一个文件。若发现有指向可疑的文件时,可直接删除这个主键。侣了钾肠记叭盯认”,其中加项键值为空侣。丘研以、心一认”叭,其中项键值为空。若键值被修改,可直接将键值内容清空。检查喊项的实施。场涯佩肠饭为从”论““旧。比下的主键值默认为空,如发现可疑信息,可删除处理,£下的。,主键中查看项所指向的文件。当发现指向可疑文件时,可直接删除以上注册表路径下所有包含了该的主键。可疑文件删除的实施所有的正常系统文件都包含完整的版本信息若文件无版本信息或版本信息异常,则可判断为可疑文件,直接删除这样的文件不会对系统造成影 }}京邮电人学研究生论文响。有一些病毒会将文件伪装成后缀的文件,可以直接双击打开查看其内容是否为文本。若为乱码,则属于可疑文件,可手工进行删除。在查找可疑或病毒文件时,会发现当前系统设定为“显示所有文件和文件夹”,但文件依旧为隐藏,无法正常显示所有文件,则说明该主机己经中毒,检查注册表键值,确认其是否为以下值几诚、飞甲。、、恤、乞一、八、乞甲、叭、恤二、恤】文件修复的实施一些病毒会修改系统的文件,使用户无法访问某些网站或在用户访问某些网站时,重定向到恶意站点。使用文本编辑工具打开、饭饭文件,默认该文件只包含一条记录,若有其它可疑的记录,可以直接删除。删除所有临时文件清空病毒常存在的目录、长洲、汹和临时缓存文件夹。本章小结为了做好企业内网病毒防护子系统的设计与实现,必须首先研究企业的网络架构,分析面临的病毒威胁现状及存在问题,了解、的功能特性。本章详细介绍了企业面临的病毒威胁,论述了内网病毒防护子系统的架构设计、工作原理、组件更新流程、日常维护流程、病毒防护以及常见病毒处理方法,引入技术,加强对外来电脑的管控,防止外来染毒传染病毒至内网以及防止内部数据外泄。以此论证了建设内网病毒防护子系统的必要性。 北京邮电人学布究生仑文第五章安全运营中心的设计与实施虽然己经拥有网关防毒子系统和内网防毒子系统的双重防护,但网络病毒变化万千,企业内网依然存在未知病毒爆发的风险,如果出现全局的病毒大爆发,网络防病毒系统应该如何运作才能有效的阻止病毒蔓延,减少宕机情况发生的次数,降低对生产线的影响呢现代防毒最注重防毒系统的管理能力和应变能力。在企业内部成立安全运营中心,负责病毒爆发期间客户端的病毒清除工作,可以实现病毒快速处理模式,为企业节省资源、保护核心数据免遭破坏。人员、流程与技术是的三大要素,而网关防毒子系统和内网防毒子系统属于技术层,中心恰恰能够弥补网关防毒子系统和内网防毒子系统的漏洞与不足,适应企业的安全性需求,同时结合人员与流程,依据病毒爆发标准处理流程,提高病毒处理响应速度。组织架构设计和职贵分析组织架构的设计分析如图一所示,分为两个二级部门,包含九个小组,分别为、介姗脚功由、、、一、元、、即、伽七邢。政。肚翻中心的组织架构源于和舰科技组织架构,和为总部,其它各组分别从组内选出一位成员作为小组成员,各小组的成员作为。。,结合病毒爆发标准处理流程,在病毒爆发期间,配合总部进行病毒处理,以实现各组快速响应,保障系统安全、可靠的运行。仃,公姆史全位月中心`成省肠城畏打贰篡屎图一组织架构图 比京邮电夕、学研究生仑文总部职责分析总部由组成,主要负责以下内容日志观察分析在日常维护过程中,根据每日日志,进行可疑文件收集。病毒爆发全局扫描期间,总部负责的日志观察,一旦发现特效有误删系统文件的行为,应立即回先前的。异常状况确认分析确认网络是否存在帐号被锁、密码猜测行为、密码猜测行为、网速变慢、网络拥塞等异常。病毒爆发判定规则分析根据病毒传染性的强弱,把病毒爆发分为非紧急状态和紧急状态。非紧急状态时,由总部进行相关处理紧急状态时,由总部召开会议,各组加协同总部进行相关处理。紧急状态的判定规则如下,反之为非紧急状态未知无法清除的网络流量型病毒半小时内同种病毒不能被清除与隔离的数量个半小时内同种病毒不能被清除与隔离的染毒数量台半小时内同种病毒不能被清除与隔离的染毒代心。,数量台半小时内同种病毒不能被清除与隔离的染毒州高等级数量台病毒主机数量妻台利用现有监控、管理软件监视网络异常流量管理员负责监控进出公司的网络异常行为,一旦发现可疑地址或者网站连接,立即进行屏蔽。如图一所示,红色流量是,只要有员工上网就会有流量,流量高属于正常情况紫色流量来源于一台主机,流量过高明显不正常,需要进行确认是否因病毒导致。一︸台说图一截图管理员负责监控网络中异常行为,分析异常流量的来源、目的地址及发生次数,找出可疑源头,发现存在攻击行为的 化京邮电人学才,究生沦文地址需立即进行断网处理。和管理员负责监控网络流量,分析是否存在可疑流量。网络防毒系统管理员负责监控病毒感染时间、源地址、目的地址和清除状况,找出可疑源头。在未得到特效病毒库前,一旦发现染毒主机需立即进行断网处理。染毒主机的信息收集与处理负责收集染毒主机的信息,如、、、版本号、防毒软件版本号等,排除因防毒软件未及时升级造成染毒的可能性。负责在染毒主机上运行工具,收集系统进程及注册表日志。。在病毒爆发期间或单台染毒主机处理中,根据趋势科技有关日志分析结果,负责收集可疑文件。网络防毒系统管理员负责向趋势科技提交日志和可疑文件样本。获取特效后,负责对断网主机进行更新及扫描。会议病毒爆发紧急状态时,总部需召开会议,所有成员必须参加。在会议上,讨论当前的异常状况,制定解决方案以及后续处理措施等。提供杀毒工具及处理方法总部会在会议上,向各组翩山提供病毒处理的解决方案。系统漏洞侦测负责利用进行系统漏洞扫描,如果存在,则立即部署系统补丁补丁部署后,使用吐拟再次扫描全网段,确认是否存在遗漏。全局部署及扫描负责特效的全局部署及扫毒,处理完成后对断网设备恢复网络。子访网络防毒系统管理员负责配合趋势工程师完成升以由。病毒公告及结案总部根据病毒爆发严重程度来决定是否发布病毒爆发公告如病毒的传播方式属于强传染性且暂时无法控制,对、区的正常工作、生产秩序造成较大影响的,需发布全厂公告。如病毒的传播已经在掌控范围内通过策略限制,对工作、生产无影响或影响轻微的,需发布公告。连续三天进行全局扫描,病毒日志如无异常,总部宣布结案。其它各组职责分析 IL京邮,匕人学研`左生沦交密切监视负责各自系统的运行状况根据会议过报的结果,结合病毒的症状,对各组所负责的进行逐台确认,如发现存在异常的,应立即通知总部。日常工作时,如发现染毒,应及时向总部汇报。参加会议在病毒爆发期间,各组必须准时参加会议。扫毒相关处理利用总部提供的杀毒工具,负责各自系统的杀毒工作。观察扫毒期间,是否有出现宕机状况或影响正常程序的运行。协助总部做好后期观察。日常检查关注系统日常运行和更新是否正常。病毒爆发标准处理流程的实施前期处理首先根据当前防毒系统、系统、系统的日志,判断出病毒爆发的源头主机然后针对染毒主机进行断网应急处理同时根据病毒爆发判定规则对当前的异常状况进行判定,决定是否发布病毒爆发公告。如图一所示,为前期处理流程,详细流程描述如下图一前期处理流程图用户发现异常,立即通报总部。总部记录异常通报相关信息。记录异常主机的信息和表现症状,以便做断网处理。记录防毒软件版本号,确认和更新是否正常。 比川巨,、补,·`通过检查。系统日志,查找染毒源头土机。通过、、、工具,查看网络是否存在异常流量如果存在,则查明异常流量的地址。查看的日志,确认是否有钊一对同一地址的大量可疑请求。查看一的日志,判断是否存在病毒文件清除动作为的,并确认第台中毒主机的编号以及时间点。针对染毒卜机做应急处理与染毒主机用户或者管理员确认,做断网处理。断网处理步骤如卜所示。一根据中毒主机,查找地址。如图一所示,在上输入命令甲,查的地址为。图一断网处理流程图一根据地址查找染毒主机连接在哪台交换机上。如图一所示,在上输入命令一一、,查的染毒主机连接在这台交换机上图一断网处理流程图一登录至交换机器上,对染毒主机做断网处理。如图一所示,输入命令一如要恢复网络,则使用命令图一断网处理流程图 }L京邮电人」,训究生论文确认影响范围以及数量根据日志分析,确认当前染毒主机的数量与影响范围。判断病毒影响哪些方面。如文档无法打开、打印垃圾邮件等。收集使用趋势科技提供的工具,收集染毒主机的信息。提交将收集来的日志提交给趋势科技分析。病毒爆发判定根据病毒日志,依据病毒爆发判定规则对当前状况进行判定。收集病毒样本根据趋势科技对日志的分析结果,进行可疑文件的收集。如果病毒爆发期间,防毒系统日志中大量显示某个文件处理动作是,那说明该文件符合某类病毒的特征,但属于一种新型病毒,暂时无法做出正确的隔离清除措施。此时按日志的提示,进行病毒文件收集。将病毒样本提交趋势科技并通报当前的异常状况。发布病毒公告根据现有规则的判定,发布相应的病毒爆发公告。第一阶段召开第一次会议,邀请异常通报人在会议上向大家描述发现的异常状况会后由进一步收集病毒相关样本,提交病毒样本至趋势科技同时根据当前的异常状况分布,确定影响范围。如图一所示,为第一阶段处理流程,详细流程描述如下图一第一阶段处理流程图总部由异常通报者描述当前发现的异常状况,防毒系统管理员进行病毒的介绍。确认各自系统根据异常通报者和防毒系统管理员的描述,各组成员会后对本组系统 !L京邮匕工、学补'万`生沦文进行检查,确认是否有异常存在,如有存在,则需立即通告总部。进一步收集异常信息向成员介绍解决方案,说明下一步该如何去处理。系统漏洞扫描如果是因为系统补丁缺失导致中毒,则需要对全网段的主机进行扫描,确认缺少补丁的主机数量。使用进行全局扫描,有可能会因为网卡流量过大导致宕机。该点必须在会上进行强调,各系统管理员必须在扫描期间密切注意观察。全面部署特效。第二阶段召开第二次会议,根据趋势科技提供的病毒信息内容和处理方法,向各组成员进行介绍,会后按照趋势的解决方案进行病毒清除动作。如图一所示,为第二阶段处理流程,详细流程描述如下图一第二阶段处理流程图病毒特征、专用补丁及处理方法介绍深入介绍病毒的特征、危害、表现形式以及专用补丁。介绍病毒专杀工具的使用方法。手动清除病毒针对一主机部署特效,进行全局扫描。针对断网染毒主机,可以采用直连线对连的方式,拷贝特效翎至主机并开启手动扫描功能。观察病毒日志,判断病毒文件是否采取了清除隔离的措施,如果出现新的可疑文件,则收集后进一步提交给趋势科技。系统补丁部署如果存在系统漏洞,则使用全局部署系统补丁。第三阶段召开第三次会议,各组回报处理的结果,确认病毒可以正常清除、必要的系统己经完成部署,则后续观察病毒日志无异常则结案。如图一所示,为第三阶段处理流程,详细流程描述如下 比京邮,匕、学胡火牛论文甘毖一图一第三阶段处理流程图汇报处理状况各组汇报当前处理状况,确认是否有一染毒主机上的病毒文件无法清除隔离。恢复网络在交换机上通过指令对断网主机恢复网络连接。系统漏洞扫描对全网段主机进行扫描,确认是否存在还未上系统补丁的主机并统计数量。发布公告发布病毒清除公告后续观察后续每天进行一次全网段的病毒扫描,观察病毒日志,确认病毒文件可以正常清除隔离,未再出现其它异常文件。结案连续扫描天,无异常则结案。本章小结为了做好企业安全运营中心的实现,必须首先研究整个病毒处理流程,分析组织架构及面临的病毒威胁现状,了解交换机相关指令。本章详细介绍了安全运营中心的运作流程,说明了各二成员的工作职责。以此论证了建立病毒应急处理中心的必要性。 北京邮匕人学研萝〔」二论文第六章结束语论文总结本文首先分析和论述了计算机病毒的基础知识和建设企业网络防病毒系统的必要性,之后讨论了与网络防毒系统有着密切关系的协议、、、和技术中的重要细节,然后运用开发工具,设计了稽核机制,结合企业实际和安全体系构建的一般原则,设计了网络防病毒系统的体系架构,给出了防毒系统日常维护的运行机制,引入理念,·提出了病毒爆发标准处理流程方案,完成了数据的统计。最后,根据设计方案,完成了该系统的设计与开发,并投入了入试运行。本人作为“和舰科技网络防病毒系统”项目实施的专案经理,负责项目实施调研、整体架构设计、产品功能测试、代码测试并且掌控整个项目的实施进度。综上所述,本文取得的主要成果包括对计算机病毒的相关知识进行了归类和总结,讨论了企业网络防病毒系统解决方案的技术特点,完成了知识的汇集和储备完成了“和舰科技企业网络防病毒系统”中的需求分析和架构设计工作,为具有类似生产营运环境的企业提供了一种病毒防护的思路和参考方法作为网络防病毒系统的建设规划者,完成了网络防病毒系统的运行和功能测试,由实验结果证实了设计工作的正确性问题和展望虽然论文中设计完成的“企业网络防病毒系统”之正确性得到了实验结果的有力证实,但该系统尚存在一些问题有待改进其中内网防毒子系统目前主要针对客户端进行病毒防护和日常病毒处理,但这是远远不够的,在后期的工作中希望能够对子系统的功能进行扩展,特别是要结合的功能,加强对客户端安全策略的管控。其次是网关防毒子系统功能性的问题,目前其稽核机制主要是针对版及先前的版本,随着版安全性的提高,在后期的工作中希望能够对加密数据进行分析,找出稽核机制所需的关键信息,提高子系统的可用性。再次是希望能在和舰科技防病毒系统架构中,部署下一代内容安全架构。跳日,旨在通过动态对被访问信息的安全等级进行评估,在恶意信息侵入企业网络之前,直接就将其进行阻止,从而达到零接触、零感染的防护价值。 北京邮匕人学研究生论义附录,,当前一小时的字符形式,当前一小时的日期形式,当前一小时的字符形式,当前一小时的日期形式当天日期的字符形式,不包括时间,一,,通过函数对日期加上或减去指定的时间间隔,通过函数来获取系统当前的时间叹,,'一,州,,'·,即州,,,通过成如四,化,函数来转换年、月、日的格式通过印州加即阁,血比函数返回所需要的时间间隔切斌'坏二,斌仙,',,俄成加,鱿,'汗州,,','俄叭,切,一时间一】清空历史资料返少。招,诵,一,,,,声曲仕访,,函数返回原字符串的子字符串,该字符串是原字符串从始位里到终位里的前一位置的一段丘。几。险正,令'吵眠代表任意数字】陌址记钊,喇,即乃印印,拼丘。少。公】,名夕。幼于日,一把记录插入加少佣表·一州,坟, 北,书,匕、学研究生论又州,州,州,州,州,州,州,州,叹,,,州,叫,,田旧州优币加痴血。,】加恤叨℃,曰限钾侧俘叹今,,”一—一一一一通知发送的对象一·一一一一·一一一拭才创建游标尹如,,,,印,印,,认五。犯眼功,口山旧时。侧泊功吐功吐仁,,,,,娜,印,哪娜,玩幻认,`。介加址幽抚司为局部变童,为全局变量一云。一】峨州吵明切入口】让笼,'忱加一认,创,'即脚即十,坏坏阿别叶请您遵守公司相关规定,不要在公司使用聊天软件',。笋坏“巧尸,您于坏姗叹加州卜,, 北京邮电人学川九生论文使用号为坏,的聊大软夕几。'一'该行为已经违反了公司资讯安全规定,请您立即卸载该软件。资讯安全小组感谢您的配合。'一`如果您第二次被稽核到,我们将直接通知您的主管。'卜卜一资讯安全小组于件州,,部分包含的内容只能是一种类型格式而函数的作用是去空格的作用是换行函数的作用是将日期型转成字符型二',,币二,用户邮件地址二,该封邮件抄送的对象,邮件内容邮件标题一一一发信通知非法用户一加咖,二'以'''使用聊天软件',二,坏对卜于州卜,,使用号为件你州姗的聊天软件。州尸他的是件请核实'遇到特殊账号直接发邮件通知管理员,如加山两咖'一,,,,吻,一什州汁”曲州尹,,尸坏州,咪州姗尸叹斌卜,件,,进行计数累加五',加,血,巩以州,,印,,,认一刃 北京邮一匕人学研少亡生论又,一`一一`在''一'二'内,使用的有州卜'笔记录。'找州卜,以下是详细信息卜',帐号'州,',时间'州,',,州,,勺号码'叹,,,用户名'州,',部门''邮箱地址汗队一,,,,一,什,稽核情况'代,笔纪录'一',,,,咧—一——一有纪录发给一一—一。努,在甘盯一坏。,耐,内,没有使用即少蒯腼少℃,,,翔句助—一—·无纪录发给管理员叮日目】了发送给主管卜日尸'·一··一一一循环一—一一一一—一·一一一一一冉加比【』【恤』加妞加一及翻侧除数据表中的内容,比语句速度快,且使用的系统和事务日志资源少及口 北京邮电人学洲花'沦文一·一一把每小时重复的纪录删除,插入一一介几五℃`卜几一护,,卜沈加一加一卜刀二丫,卜一曰几班由叩,印,印,护,,田旧约,,为刊口,,抽泪田,。甩为加,栩川代卜肠幼,,一·一一一一次数一一一一州,田闰, 1七京巨人学旬火`仁沦之,叹,州,州,叫,,州,式,州,,叹,叫,,氏,印,,,,,,忱恤,,,讹五”,七曰切,'留。脚姐侧吐侧乞仁侧加,,即,印,,,,,崎田叮,,日甩奴甲司一丘℃一曰丫,幼侣一止',咖一哈勺,邝旧坟周山,一】,日门,别叭双细翻川,',曰旧,匕朋勃份如时卜肋苗,日,,一卜,血'您的下属件印,印,印阳。洲曰刊别牙'违反公司资讯安全,非法使用聊天软件已达州卜,次','对小,,您好您的下属,使用聊天软件己达州汁,次里,州州尸请您加强对同仁的宣导州卜州卜, 1匕尔邮电夕、学研究生论交一资讯安全小组于件',,一,,,一一发信通知一一一“州卜”,年,日,',,件仁,,,,,,,,,,,,即一咖'在,'一''内,使用超过次的有,叫洲笔记录。,州汁州卜,以下是详细信息坏比肛卜州卜”'帐号'州卜,汗次数,州,'姓名'州,,部门'斌'邮箱地址卜卜,护,坏招州一汗时,使用超过次的有,州尸笔纪录'·叮七肚泊两】少,,,二,,叹,一一循环一一一一一—一 北京邮,匕、学研究生论文参考文献【王达,《网管员必读一网络安全》,电子工业出版社,,第二版、、、、、、、'等,《》,清华大学出版社,,第一版【〕马宜兴,《网络安全与病毒防范》,上海交通大学出版社,,第三版【陈立新,《病毒防治百事通》,清华大学出版社,【赵树升,《计算机病毒分析与防治简明教程》,清华大学出版社,,第一版〕官方技术支持文档八面【朱建军、熊兵,《网络安全防范手册》,人民邮电出版社,,第一版【曹鹏,《企业网络安全维护案例精粹》,电子工业出版社,,第一版〔托马斯,《网络安全第一阶》,人民邮电出版社,,第一版〔〕万晓愉、樊自甫,《下一代网络安全技术》,人民邮电出版社,,第一版【郭鑫、崔红霞、姜彬,《企业网络安全致胜宝典》,电子工业出版社,,第一版赫卡拜,现场手册交换机配置》,人民邮电出版社,,第一版︸工,`上`几上们拉默尔,《口认学习指南》,电子工业出版社,,第一版官方技术支持文档伪仰夕加,从均改。官方技术支持文档刃场,乃从川中国惠普有限公司,《惠普之道一服务管理篇》,清华大学出版社,,第一版 北京邮电人学研允生论文致谢在这里,首先感谢我的指导老师罗守山教授,从我论文的开题阶段,到中期阶段以及到论文的撰写阶段,罗教授细心、严谨的要求和指导,给了我非常大的帮助与支持。我还要感谢和舰科技苏州有限公司对我课题研究的大力支持,提供了网络基础和试验对象,同时还要感谢趋势科技上海有限公司、腾蒙北京有限公司和思科上海有限公司提供了大量的产品资料、技术文档以及硬件设备。同时,我的课题研究能顺利进行与各公司技术工程师的帮助与支持是分不开的。感谢北京邮电大学对我的培养,是北邮给了我这样一个机会,让我通过这两年多的学习,不仅增长了知识,提高了专案能力,更锻炼了思考和学习能力。感谢我的企业导师朱宏高级工程师,是他在工作上悉心的指导才使我获得工作上的技术积累。感谢我的父母对我的支持,使我能在工作之余把更多的精力投入到课题研究上来,是我最终完成学位论文的保障。
