防病毒整體技術(shù)方案

防病毒軟件技術(shù)方案賽門鐵克軟件（北京）有限公司2012年10月目錄第1章 惡意代碼發(fā)展趨勢(shì) 1第2章 防病毒系統(tǒng)設(shè)計(jì)思路 32.1 基于特征的防病毒技術(shù)分析 32.2 傳統(tǒng)的防病毒產(chǎn)品使用效果分析 52.3 技術(shù)＋服務(wù)的體系化建設(shè) 62.3.1 技術(shù)層面：主動(dòng)防御 72.3.2 服務(wù)層面 14第3章 產(chǎn)品選型推薦 163.1 SEP12組件及功能說(shuō)明 16第4章 部署方案 244.1 部署架構(gòu) 244.2 管理系統(tǒng)功能組件說(shuō)明 244.3 病毒定義升級(jí) 264.3.1 防病毒系統(tǒng)初建后第一次升級(jí)方案 264.3.2 正常運(yùn)維狀態(tài)下的升級(jí)方案 274.3.3 Symantec病毒定義升級(jí)頻率 274.4 網(wǎng)絡(luò)帶寬影響 284.5 安全管理策略設(shè)計(jì) 294.5.1 管理權(quán)限策略 294.5.2 客戶端分組策略 294.5.3 備份和數(shù)據(jù)庫(kù)維護(hù)策略 294.5.4 安全策略 304.6 服務(wù)器的硬件配置需求 32第5章 實(shí)施方案 335.1 項(xiàng)目工作范圍 335.2 實(shí)施計(jì)劃 335.2.1 項(xiàng)目里程碑 335.2.2 項(xiàng)目工作進(jìn)度計(jì)劃與安排 345.3 項(xiàng)目人員安排 385.3.1 項(xiàng)目組織機(jī)構(gòu) 385.3.2 項(xiàng)目人員組成 385.4 變更管理 415.4.1 項(xiàng)目變更管理控制過(guò)程 415.4.2 項(xiàng)目變更審批流程 415.4.3 變更評(píng)審小組的成員名單 425.4.4 變更申請(qǐng)表樣式 435.5 項(xiàng)目溝通計(jì)劃 44第6章 培訓(xùn)方案 46第7章 服務(wù)方案 487.1 賽門鐵克專業(yè)防病毒服務(wù)體系 487.1.1 賽門鐵克服務(wù)水平闡述 487.1.2 賽門鐵克安全響應(yīng)中心 497.1.3 賽門鐵克企業(yè)客戶服務(wù)中心 497.1.4 賽門鐵克安全合作服務(wù)商 507.2 賽門鐵克專業(yè)防病毒服務(wù)流程 507.2.1 基本流程 517.2.2 客戶服務(wù)專員的工作流程 527.2.3 客戶服務(wù)經(jīng)理的工作流程 527.2.4 工程師的工作流程 537.2.5 緊急事件響應(yīng)流程 54惡意代碼發(fā)展趨勢(shì)終端所面臨的安全威脅已不再是傳統(tǒng)的病毒，而是更加復(fù)雜的惡意代碼（廣義病毒）。分析惡意代碼的發(fā)展趨勢(shì)可以幫助我們更好地構(gòu)建病毒防護(hù)體系，優(yōu)化現(xiàn)有安全防護(hù)體系，從而實(shí)現(xiàn)保障終端安全的最終目標(biāo)。前所未見(jiàn)的惡意代碼威脅當(dāng)前，終端安全必需要面對(duì)的首要問(wèn)題是越來(lái)越多的惡意代碼是未知的，前所未見(jiàn)的。前所未見(jiàn)的威脅之所以劇增，其中一個(gè)主要原因是惡意代碼系列中出現(xiàn)大量變種。攻擊者普遍都在更新當(dāng)前的惡意代碼，以創(chuàng)建新的變種，而不是“從頭開(kāi)始”創(chuàng)建新的惡意代碼。一些惡意代碼系列（如熊貓燒香、Flamer系列）中的變種數(shù)量多如牛毛便是這方面淋漓盡致地再現(xiàn)。惡意代碼的編寫者創(chuàng)建新變種的方法各式各樣，其中包括變形代碼進(jìn)化、更改功能及運(yùn)行時(shí)打包實(shí)用程序，以逃避防病毒軟件的檢測(cè)。前幾年，蠕蟲(chóng)和病毒（紅色代碼、沖擊波）的大規(guī)模爆發(fā)表明，惡意代碼無(wú)需復(fù)雜就可以感染大量計(jì)算機(jī)。如今，關(guān)注的焦點(diǎn)逐漸轉(zhuǎn)移到目標(biāo)性攻擊和更狡猾的感染方法上。因此，越來(lái)越多的攻擊者開(kāi)始使用復(fù)雜的多態(tài)技術(shù)來(lái)逃避檢測(cè)，為傳播助力。多態(tài)病毒可以在復(fù)制時(shí)更改其字節(jié)樣式，從而逃避采用簡(jiǎn)單的字符串掃描防病毒技術(shù)進(jìn)行的檢測(cè)。特洛伊木馬特洛伊木馬是一種不會(huì)進(jìn)行自我復(fù)制的程序，但會(huì)以某種方式破壞或危害主機(jī)的安全性。特洛伊木馬看起來(lái)可用于某些目的，從而促使用戶下載并運(yùn)行，但它實(shí)際上攜帶了一個(gè)破壞性的程序。它們可能偽裝成可從各個(gè)來(lái)源下載的合法應(yīng)用程序，還可能作為電子郵件附件發(fā)送給無(wú)防備的用戶。根據(jù)統(tǒng)計(jì)，大部分特洛伊木馬是通過(guò)惡意網(wǎng)站進(jìn)行安裝的。它們利用瀏覽器漏洞，這些漏洞允許惡意代碼的作者下載并執(zhí)行特洛伊木馬，而很少或無(wú)需與用戶交互。當(dāng)用戶使用MicrosoftInternetExplorer查看其中的惡意的網(wǎng)絡(luò)頁(yè)面時(shí)，特洛伊木馬便會(huì)通過(guò)瀏覽器中的多客戶端漏洞安裝在用戶的系統(tǒng)中。然后，特洛伊木馬會(huì)記錄某些網(wǎng)站的身份驗(yàn)證資料，并將其發(fā)送給遠(yuǎn)程攻擊者。許多新出現(xiàn)的特洛伊木馬還會(huì)從受感染的系統(tǒng)中竊取特定的消息，如網(wǎng)上銀行密碼。廣告軟件/流氓軟件終端用戶遭遇的廣告軟件/流氓軟件的幾率越來(lái)越高，廣告軟件可執(zhí)行多種操作，其中包括顯示彈出式廣告、將用戶重引導(dǎo)至色情網(wǎng)站、修改瀏覽器設(shè)置，如默認(rèn)主頁(yè)設(shè)置以及監(jiān)視用戶的上網(wǎng)活動(dòng)以顯示目標(biāo)廣告。其影響范圍包括單純的用戶騷擾、隱私權(quán)侵犯等。Adware的影響因其固有的特點(diǎn)而難以量化。但這并不意味著它們不是安全問(wèn)題。最嚴(yán)重的影響可能是大范圍破壞個(gè)別最終用戶系統(tǒng)的完整性。包括：性能下降、瀏覽器故障、系統(tǒng)頻繁死機(jī)等?；旌闲屯{混合型威脅可以利用多種方法和技術(shù)進(jìn)行傳播。它們不但能利用漏洞，而且綜合了各類惡意代碼（病毒、蠕蟲(chóng)和特洛伊木馬程序）的特點(diǎn)，從而可以在無(wú)需或僅需很少人工干預(yù)的情況下，短時(shí)間內(nèi)感染大量系統(tǒng)，迅速造成大范圍的破壞。混合型威脅常用的多傳播機(jī)制使其可以用靈活多變的方式避開(kāi)組織的安全措施。它們可以同時(shí)使系統(tǒng)資源超負(fù)荷并耗盡網(wǎng)絡(luò)帶寬。防病毒系統(tǒng)設(shè)計(jì)思路基于特征的防病毒技術(shù)分析長(zhǎng)期以來(lái)，應(yīng)對(duì)混合型威脅（混合型病毒）的傳統(tǒng)做法是，一旦混合型病毒爆發(fā)，盡快捕獲樣本，再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速清除病毒并阻截該威脅的蔓延。這種方式曾一度相當(dāng)有效，但近年來(lái)――特別是近年來(lái)多次影響XXX的沖擊波、Slammer、Netsky、熊貓燒香、Flamer等病毒，已經(jīng)體現(xiàn)這種基于特征的被動(dòng)式病毒響應(yīng)方式效果不佳了。這一方面因?yàn)椴《镜目焖侔l(fā)展，另一方面更因?yàn)閭鹘y(tǒng)防病毒技術(shù)采取被動(dòng)跟蹤的方式來(lái)進(jìn)行病毒防護(hù)。但是，這種被動(dòng)的病毒響應(yīng)方式越來(lái)越力不從心。如下圖所示，Symantec公司統(tǒng)計(jì)了近十幾年來(lái)病毒爆發(fā)速度和特征響應(yīng)速度，并對(duì)近年的發(fā)展趨勢(shì)做了比較?；旌闲筒《靖腥九c病毒特征響應(yīng)對(duì)比圖該圖以計(jì)算機(jī)病毒/混合威脅的復(fù)制速度（藍(lán)色線條，自左上至右下）來(lái)顯示這些威脅的演變，以響應(yīng)速度（紅色線條，自左下至右上）來(lái)顯示病毒技術(shù)的發(fā)展。橫軸以年為單位，時(shí)間范圍是從1990年至2005年?？v軸實(shí)際上顯示兩種不同的時(shí)間規(guī)定（都采用左邊縱軸的時(shí)間比例來(lái)顯示）。左邊縱軸（藍(lán)色文本）顯示惡意病毒達(dá)到“感染”狀態(tài)所用的時(shí)間，在該狀態(tài)下，惡意病毒已經(jīng)感染了相當(dāng)多有漏洞的計(jì)算機(jī)。右邊縱軸顯示提供描述病毒的特征所用的時(shí)間。分析上圖的最后一部分可知，對(duì)于現(xiàn)在出現(xiàn)的幾分鐘甚至幾秒鐘之內(nèi)就可發(fā)作的超速混合威脅而言，其傳播速度和實(shí)現(xiàn)完全感染相關(guān)主機(jī)的速度比人工或自動(dòng)化系統(tǒng)生成和部署病毒特征的速度快得多時(shí)，在這樣情況下，原有的基于病毒特征的模式已經(jīng)效果甚微，因?yàn)榈侥菚r(shí)每次混合型病毒的爆發(fā)，由于特征響應(yīng)方式的滯后而讓將付出沉重的代價(jià)（最近的沖擊波、震蕩波的例子已經(jīng)初步證明了這一點(diǎn)），而這是絕對(duì)不能接受的。傳統(tǒng)的防病毒產(chǎn)品使用效果分析傳統(tǒng)的單一的防病毒產(chǎn)品在應(yīng)對(duì)新的終端安全威脅時(shí)效果往往不佳，其根本原因在于：基于特征的病毒定義滯后性雖然防病毒技術(shù)不斷發(fā)展，出現(xiàn)了類似啟發(fā)式掃描、智能檢測(cè)等新的技術(shù)，但是目前防病毒產(chǎn)品還是以基于特征的病毒掃描方式為主要手段。也即一種新的病毒出現(xiàn)后，防病毒廠商通過(guò)各種方式收集到病毒的樣本，經(jīng)過(guò)自動(dòng)地或者專家分析獲取病毒特征碼，隨即發(fā)布新的病毒定義供用戶下載更新。而用戶通過(guò)手動(dòng)或周期地自動(dòng)更新獲取新的病毒定義以后，才可以有效地防御這種新的病毒。顯然，基于特征的病毒定義更新存在著滯后性，這種滯后表現(xiàn)在：病毒定義滯后于新病毒的出現(xiàn)，當(dāng)前的病毒快速、大量變種的特性加劇了這種滯后性所帶來(lái)的危害。用戶的病毒定義滯后于廠商的病毒定義。這是由于用戶往往使用周期自動(dòng)更新的方式，甚至由于種種原因部分用戶的病毒定義不能正常升級(jí)，這些都會(huì)導(dǎo)致與最新的病毒定義的時(shí)間差。區(qū)域性惡意代碼增加了樣本收集的難度特洛伊木馬等惡意代碼當(dāng)前的一個(gè)重要特征是具有很強(qiáng)的目標(biāo)性和區(qū)域性。特洛伊木馬往往以特定用戶和群體為目標(biāo)。某一種特洛伊木馬可能只是針對(duì)某個(gè)地區(qū)的某類型用戶。由于特洛伊木馬的目標(biāo)性強(qiáng)，因此這些攻擊只是發(fā)送給較小的用戶群，從而使其看上去并不顯眼，并且不太可能提交給防病毒供應(yīng)商進(jìn)行分析。而如果防病毒廠商不能及時(shí)獲得最新的病毒樣本，也就失去了對(duì)這些木馬的防護(hù)能力。單純的防病毒技術(shù)無(wú)法應(yīng)對(duì)混合型威脅混合型威脅整合了病毒傳播和黑客攻擊的技術(shù)，以多種方式進(jìn)行傳播和攻擊。不需要人工干預(yù)，能夠自動(dòng)發(fā)現(xiàn)和利用系統(tǒng)漏洞，并自動(dòng)對(duì)有系統(tǒng)漏洞的計(jì)算機(jī)進(jìn)行傳播和攻擊。越來(lái)越多的病毒會(huì)自動(dòng)攻擊操作系統(tǒng)或者特定的應(yīng)用軟件的漏洞，在漏洞未修復(fù)（未安裝補(bǔ)?。┑那闆r下，會(huì)造成病毒反復(fù)感染，純粹的防病毒不足以應(yīng)付這些新型的病毒事件。復(fù)雜的病毒查殺技術(shù)與性能需求新型的惡意代碼采取了更多的反檢測(cè)和清除的技術(shù)，包括前文描述的多態(tài)病毒以及高級(jí)的Rootkit技術(shù)。與傳統(tǒng)的惡意代碼相比，檢測(cè)復(fù)雜多態(tài)病毒和Rootkit對(duì)技術(shù)的要求更高。涉及復(fù)雜的加密邏輯和統(tǒng)計(jì)分析過(guò)程，以及代碼模擬和數(shù)據(jù)驅(qū)動(dòng)引擎的設(shè)計(jì)。因此，這需要經(jīng)驗(yàn)豐富的分析師來(lái)開(kāi)發(fā)檢測(cè)和移除技術(shù)。同時(shí)，防護(hù)時(shí)也需要占用更多的終端系統(tǒng)資源。實(shí)際測(cè)試包括很多用戶實(shí)際環(huán)境中，防病毒軟件通常占用內(nèi)存50M－60M左右，對(duì)于一些老的機(jī)器（內(nèi)存小于256M）會(huì)影響系統(tǒng)性能。部分終端用戶往往在安全和性能的抉擇中放棄安全，這也導(dǎo)致了防病毒體系整體運(yùn)行效果不佳。技術(shù)＋服務(wù)的體系化建設(shè)實(shí)踐證明，完整有效的終端安全解決方案包括技術(shù)、管理和服務(wù)三個(gè)方面內(nèi)容。防病毒技術(shù)的部署和實(shí)施是“實(shí)現(xiàn)用戶個(gè)人的廣義病毒和攻擊的防護(hù)”的主要力量。傳統(tǒng)的病毒防護(hù)方案往往以技術(shù)為主，但是僅僅依靠技術(shù)是有其局限性，因此指望一套防病毒軟件解決所有的病毒問(wèn)題是不現(xiàn)實(shí)的；同時(shí)，對(duì)于中保協(xié)這樣的大型企業(yè)，防病毒的管理性要求甚至比查殺病毒的能力顯得更為重要，如果不能做到全網(wǎng)防病毒的統(tǒng)一管理，再?gòu)?qiáng)的防病毒軟件也不能發(fā)揮應(yīng)有作用。此外，我們重點(diǎn)提出“服務(wù)”的根本原因是基于一個(gè)判斷：即沒(méi)有任何防病毒廠家能夠做到對(duì)所有已知病毒和未知病毒的快速準(zhǔn)確查殺。服務(wù)是產(chǎn)品的一種補(bǔ)充。因此，廠家提供的產(chǎn)品＋服務(wù)的組合才能在根本上保證病毒防護(hù)的可靠性。以下分別予以詳細(xì)闡述：技術(shù)層面：主動(dòng)防御從以上對(duì)新的惡意軟件發(fā)展趨勢(shì)和傳統(tǒng)的病毒防護(hù)產(chǎn)品的特性分析，不難看出，傳統(tǒng)防病毒技術(shù)由于采取被動(dòng)跟蹤的方式來(lái)進(jìn)行病毒防護(hù)。一旦病毒爆發(fā)，盡快捕獲樣本，再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速清除病毒并阻截該威脅的蔓延。這種被動(dòng)的防護(hù)方式無(wú)法應(yīng)對(duì)新的惡意軟件的發(fā)展。因此，必須從“主動(dòng)防御”這一觀點(diǎn)出發(fā)，建立一個(gè)覆蓋全網(wǎng)的、可伸縮、抗打擊的防病毒體系。相對(duì)于被動(dòng)式病毒響應(yīng)技術(shù)而言，主動(dòng)式反應(yīng)技術(shù)可在最新的惡意軟件沒(méi)有出現(xiàn)之前就形成防御墻，靜侯威脅的到來(lái)而能避免威脅帶來(lái)的損失。“主動(dòng)防御”主要體現(xiàn)在以下幾個(gè)方面：信譽(yù)度技術(shù)Symantec會(huì)從其數(shù)百萬(wàn)用戶的全球社區(qū)及其全球情報(bào)網(wǎng)中收集有關(guān)文件的信息。所收集的信息形成Symantec承載的一個(gè)信譽(yù)數(shù)據(jù)庫(kù)。Symantec產(chǎn)品利用該信息保護(hù)客戶端計(jì)算機(jī)，使其免受新威脅、目標(biāo)威脅和變異威脅的侵害。該數(shù)據(jù)有時(shí)稱為“在云端”，因?yàn)樗瘩v留在客戶端計(jì)算機(jī)上?？蛻舳擞?jì)算機(jī)通過(guò)請(qǐng)求或查詢信譽(yù)數(shù)據(jù)庫(kù)，可以避免傳統(tǒng)的基于特征碼的防病毒技術(shù)帶來(lái)的病毒檢測(cè)的滯后性，做到基于Symantec全球防病毒云計(jì)算網(wǎng)絡(luò)的病毒和惡意軟件防護(hù)。Symantec使用一項(xiàng)稱為“智能掃描”的技術(shù)來(lái)確定每個(gè)文件的風(fēng)險(xiǎn)級(jí)別或“安全等級(jí)”。智能掃描通過(guò)檢查文件及其上下文的以下特征來(lái)確定文件的安全等級(jí)：■文件的源■文件的新舊程度■文件在社區(qū)中的常用程度■其他安全衡量標(biāo)準(zhǔn)，如文件可能與惡意軟件的關(guān)聯(lián)程度SymantecEndpointProtection12.1中的掃描功能利用智能掃描做出有關(guān)文件和應(yīng)用程序的決策?；趹?yīng)用程序的防火墻技術(shù)個(gè)人防火墻能夠按程序或者通訊特征，阻止/容許任何端口和協(xié)議進(jìn)出。利用個(gè)人防火墻技術(shù)，一方面可以防止病毒利用漏洞滲透進(jìn)入終端，另一方面，更為重要的是，可以有效地阻斷病毒傳播路徑。以去年大規(guī)模爆發(fā)的Spybot病毒為例，該病毒利用了多個(gè)微軟系統(tǒng)漏洞和應(yīng)用軟件漏洞，企業(yè)可以在終端補(bǔ)丁尚未完全安裝完畢的情況下，通過(guò)集中關(guān)閉這些存在漏洞的服務(wù)端口，阻止病毒進(jìn)入存在漏洞的終端。再以Arp木馬為例。正常的Arp請(qǐng)求和響應(yīng)包是由ndisiuo.sys驅(qū)動(dòng)發(fā)出，而arp病毒或者其他arp攻擊通常是利用其他的系統(tǒng)驅(qū)動(dòng)偽造arp數(shù)據(jù)包發(fā)出。因此，通過(guò)在防火墻規(guī)則中設(shè)定，只允許ndisiuo.sys對(duì)外發(fā)送Arp數(shù)據(jù)包（協(xié)議號(hào)0x806），其他的全部禁止。從而，在沒(méi)有最新的病毒定義的前提下對(duì)病毒進(jìn)行阻斷和有效防護(hù)。統(tǒng)一部署防火墻不僅可以解決以上這些安全問(wèn)題，同時(shí)可以成為企業(yè)執(zhí)行安全策略的有力工具，實(shí)現(xiàn)一些企業(yè)的安全策略的部署，如突發(fā)病毒爆發(fā)時(shí)，統(tǒng)一開(kāi)放關(guān)閉防火墻相應(yīng)端口。具備通用漏洞阻截技術(shù)的入侵防護(hù)通用漏洞利用阻截技術(shù)的思想是：正如只有形狀正確的鑰匙才能打開(kāi)鎖一樣，只有“形狀”相符的混合型病毒才能利用該漏洞進(jìn)行攻擊。如果對(duì)一把鎖的內(nèi)部鎖齒進(jìn)行研究，便可以立即了解到能夠打開(kāi)這把鎖的鑰匙必需具備的特征——甚至不需要查看實(shí)際的鑰匙。類似地，當(dāng)新漏洞發(fā)布時(shí)，研究人員可以總結(jié)該漏洞的“形狀”特征。也就是說(shuō)，可以描述經(jīng)過(guò)網(wǎng)絡(luò)到達(dá)漏洞計(jì)算機(jī)并利用該漏洞實(shí)施入侵的數(shù)據(jù)的特征。對(duì)照該“形狀”特征，就可以檢測(cè)并阻截具有該明顯“形狀”的任何攻擊（例如蠕蟲(chóng)）。以沖擊波蠕蟲(chóng)被阻截為例進(jìn)行說(shuō)明。當(dāng)2003年7月MicrosoftRPC漏洞被公布時(shí)，賽門鐵克運(yùn)用通用漏洞利用研究技術(shù)，制作了該漏洞的通用特征。大約在一個(gè)月之后，出現(xiàn)了利用該漏洞進(jìn)行入侵和蔓延的沖擊波蠕蟲(chóng)。Symantec由于具備了賽門鐵克編寫的特征在網(wǎng)絡(luò)環(huán)境中能夠迅速檢測(cè)到?jīng)_擊波蠕蟲(chóng)并立即阻止它。在前文對(duì)惡意軟件的發(fā)展趨勢(shì)中，我們分析了木馬、流氓軟件的一個(gè)最主要的傳播方式是利用IE瀏覽器的漏洞，當(dāng)用戶瀏覽這些惡意站點(diǎn)時(shí)，利用IE的漏洞，攻擊者可以在用戶終端上悄悄安裝木馬、廣告/流氓軟件等。盡管惡意軟件的變種數(shù)量龐大，但實(shí)際上，惡意軟件安裝過(guò)程中利用的IE漏洞種類并不多。賽門鐵克運(yùn)用通用漏洞利用研究技術(shù)，提前制作這些漏洞的通用特征。惡意軟件若想利用這些漏洞進(jìn)行安裝，必須具備特定的形狀，而賽門鐵克編寫的特征可以提前檢測(cè)到該形狀，從而對(duì)其進(jìn)行阻截，避免了惡意軟件安裝到用戶終端上，從而根本無(wú)需捕獲該病毒樣本然后再匆忙響應(yīng)。應(yīng)用程序控制技術(shù)通過(guò)應(yīng)用程序行為控制，在系統(tǒng)中實(shí)時(shí)監(jiān)控各種程序行為，一旦出現(xiàn)與預(yù)定的惡意行為相同的行為就立即進(jìn)行阻截。以熊貓燒香為例，如果采用被動(dòng)防護(hù)技術(shù)，必須對(duì)捕獲每一個(gè)變種的樣本，才能編寫適當(dāng)?shù)牟《径x。但是，該病毒的傳播和發(fā)作具有非常明顯的行為特征。熊貓燒香最主要的傳播方式是通過(guò)U盤傳播，其原理是利用操作系統(tǒng)在打開(kāi)U盤或者移動(dòng)硬盤時(shí)，會(huì)根據(jù)根目錄下的autorun.inf文件，自動(dòng)執(zhí)行病毒程序。SEP系統(tǒng)防護(hù)技術(shù)可以禁止對(duì)根目錄下的autorun.inf的讀寫權(quán)限，特別的，當(dāng)已感染病毒的終端試圖往移動(dòng)設(shè)備上寫該文件時(shí)，可以終止該病毒進(jìn)程并報(bào)告管理員。再以電子郵件的行為阻截技術(shù)應(yīng)用為例進(jìn)行說(shuō)明。首先，我們知道基于電子郵件的蠕蟲(chóng)的典型操作：典型的電子郵件計(jì)算機(jī)蠕蟲(chóng)的工作原理是，新建一封電子郵件，附加上其（蠕蟲(chóng)）本身的副本，然后將該消息發(fā)送到電子郵件服務(wù)器，以便轉(zhuǎn)發(fā)到其他的目標(biāo)計(jì)算機(jī)。那么，當(dāng)使用了帶行為阻截技術(shù)的賽門鐵克防病毒軟件之后，防病毒軟件將監(jiān)視計(jì)算機(jī)上的所有外發(fā)電子郵件。每當(dāng)發(fā)送電子郵件時(shí)，防病毒軟件都要檢查該郵件是否郵件有附件。如果該電子郵件有附件，則將對(duì)附件進(jìn)行解碼，并將其代碼與計(jì)算機(jī)中啟動(dòng)此次電子郵件傳輸?shù)膽?yīng)用程序相比較。常見(jiàn)的電子郵件程序，如Outlook，可以發(fā)送文件附件，但絕不會(huì)在郵件中附加一份自身程序的可執(zhí)行文件副本！只有蠕蟲(chóng)才會(huì)在電子郵件中發(fā)送自己的副本。因此，如果檢測(cè)到電子郵件附件與計(jì)算機(jī)上的發(fā)送程序非常相似時(shí)，防病毒軟件將終止此次傳輸，從而中斷蠕蟲(chóng)的生命周期。此項(xiàng)技術(shù)非常有效，根本無(wú)需捕獲蠕蟲(chóng)樣本然后再匆忙響應(yīng)，帶此項(xiàng)技術(shù)的賽門鐵克防病毒軟件已經(jīng)成功的在零時(shí)間阻截了數(shù)十種快速傳播的計(jì)算機(jī)蠕蟲(chóng)，包括最近的Sobig、Novarg和MyDoom。此外，基于行為的惡意軟件阻截技術(shù)，還可以鎖定IE設(shè)置、注冊(cè)表、系統(tǒng)目錄，當(dāng)木馬或者流氓軟件試圖更改這些設(shè)置時(shí)會(huì)被禁止。從而，即使用戶下載了未知的惡意軟件，也無(wú)法在終端上正常安裝和作用?；谛袨榈姆雷o(hù)技術(shù)非常有效，根本無(wú)需捕獲惡意軟件樣本然后再匆忙響應(yīng)，利用此項(xiàng)技術(shù)可以成功的在零時(shí)間阻截主流的蠕蟲(chóng)病毒，包括熊貓燒香、威金等。由于采用了集中的策略部署和控制，無(wú)須最終用戶的干預(yù)，因此不需要用戶具備高深的病毒防護(hù)技術(shù)。同時(shí)，基于行為規(guī)則的防護(hù)技術(shù)非常適合于主機(jī)系統(tǒng)環(huán)境，主機(jī)系統(tǒng)應(yīng)用單一并且管理專業(yè)，采用行為規(guī)則的防護(hù)是對(duì)傳統(tǒng)防病毒技術(shù)的一個(gè)很好的補(bǔ)充。前瞻性威脅掃描ProactiveThreatScan是一種主動(dòng)威脅防護(hù)技術(shù)，可防御利用已知漏洞的多種變種和前所未見(jiàn)的威脅。ProactiveThreatScan基于分析系統(tǒng)所運(yùn)行進(jìn)程的行為來(lái)檢測(cè)潛在威脅的啟發(fā)式技術(shù)。大多數(shù)基于主機(jī)的IPS僅檢測(cè)它們認(rèn)為的“不良行為”。所以，它們經(jīng)常會(huì)將可接受的應(yīng)用程序行為識(shí)別為威脅并將它們關(guān)閉，嚴(yán)重影響用戶和技術(shù)支持中心的工作效率，讓管理員面臨著艱巨的挑戰(zhàn)。不過(guò)，ProactiveThreatScan會(huì)同時(shí)記錄應(yīng)用程序的正常行為和不良行為，提供更加準(zhǔn)確的威脅檢測(cè)，可顯著減少誤報(bào)的數(shù)量。前瞻性地威脅掃描讓企業(yè)能夠檢測(cè)到任何基于特征的技術(shù)都檢測(cè)不到的未知威脅。終端系統(tǒng)加固事實(shí)上，確保終端安全的一個(gè)必須的基礎(chǔ)條件時(shí)終端自身的安全加固，包括補(bǔ)丁安裝、口令強(qiáng)度等。顯然，口令為空、缺少必要的安全補(bǔ)丁的終端，即使有再優(yōu)秀的防護(hù)技術(shù)也不可避免地遭受到攻擊和病毒感染。為了彌補(bǔ)和糾正運(yùn)行在企業(yè)網(wǎng)絡(luò)終端設(shè)備的系統(tǒng)軟件、應(yīng)用軟件的安全漏洞，使整個(gè)網(wǎng)絡(luò)安全不至由于個(gè)別軟件系統(tǒng)的漏洞而受到危害，必需在企業(yè)的安全管理策略中加強(qiáng)對(duì)補(bǔ)丁升級(jí)、系統(tǒng)安全配置的管理。建議集中管理企業(yè)網(wǎng)絡(luò)終端的補(bǔ)丁升級(jí)、系統(tǒng)配置策略，可以定義終端補(bǔ)丁下載，補(bǔ)丁升級(jí)策略以及增強(qiáng)終端系統(tǒng)安全配置策略并下發(fā)給運(yùn)行于各終端設(shè)備上的代理，代理執(zhí)行這些策略，保證終端系統(tǒng)補(bǔ)丁升級(jí)、安全配置的完備有效，整個(gè)管理過(guò)程都是自動(dòng)完成的，對(duì)終端用戶來(lái)說(shuō)完全透明，減少了終端用戶的麻煩和企業(yè)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，提高企業(yè)網(wǎng)絡(luò)整體的補(bǔ)丁升級(jí)、安全配置管理效率和效用，使企業(yè)網(wǎng)絡(luò)的補(bǔ)丁及安全配置管理策略得到有效的落實(shí)。針對(duì)虛擬化和云設(shè)計(jì)隨著虛擬化和云技術(shù)的不斷應(yīng)用和發(fā)展，防病毒軟件需要適合在虛擬化河運(yùn)平臺(tái)下的終端防護(hù)，包含以下功能：針對(duì)VMware、Citrix和Microsoft虛擬環(huán)境而優(yōu)化易于管理的物理和虛擬客戶端最大限度提高了在虛擬化和云平臺(tái)下性能和密度，同時(shí)絲毫不會(huì)影響安全性在虛擬化河運(yùn)平臺(tái)下最出色的性能和安全性基于特征的病毒防護(hù)技術(shù)最后，傳統(tǒng)的病毒防護(hù)技術(shù)僅僅作為主動(dòng)防御的的一個(gè)必要補(bǔ)充，防御已知的病毒，對(duì)于已經(jīng)感染病毒機(jī)器進(jìn)行自動(dòng)的清除和恢復(fù)操作。綜上所述，單純的防病毒產(chǎn)品都僅僅實(shí)現(xiàn)了基于特征的病毒防護(hù)功能，必須依靠其他的主動(dòng)防御技術(shù)，才能有效地應(yīng)對(duì)當(dāng)前的惡意代碼威脅。服務(wù)層面企業(yè)通過(guò)建立網(wǎng)絡(luò)防病毒體系來(lái)防止病毒入侵，即是一個(gè)動(dòng)態(tài)的技術(shù)對(duì)抗過(guò)程，也是一個(gè)防守方和攻擊方的人員較量過(guò)程。在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境里，由于攻擊方在大多數(shù)情況下掌握著主動(dòng)權(quán)，因此部署防病毒產(chǎn)品只是建立了對(duì)抗攻擊的基礎(chǔ)，還不能達(dá)到真正意義上的安全，最重要的是對(duì)產(chǎn)品進(jìn)行有效的管理和正確的策略配置，并且時(shí)時(shí)刻刻關(guān)注網(wǎng)絡(luò)安全的最新動(dòng)態(tài)，根據(jù)各種變化及時(shí)調(diào)整安全策略，加固系統(tǒng)。只有結(jié)合和采用防病毒安全服務(wù)，才能使企業(yè)的防病毒體系以及整體安全達(dá)到一個(gè)新的高度。防病毒廠商提供的服務(wù)主要包括以下兩個(gè)方面：病毒預(yù)警服務(wù)病毒預(yù)警服務(wù)為XXX對(duì)于新病毒的提前預(yù)警、通知和防范的標(biāo)準(zhǔn)流程，該流程為管理員提供必要的信息和預(yù)警，以便在病毒到達(dá)企業(yè)之前或病毒尚未泛濫之前部署對(duì)策并成功抵制攻擊，減少病毒事件的數(shù)量，降低病毒事件的影響。突發(fā)病毒應(yīng)急響應(yīng)服務(wù)當(dāng)用戶發(fā)現(xiàn)一種未知病毒的傳播導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓，而現(xiàn)有防病毒客戶端對(duì)此無(wú)能無(wú)能為力，或者當(dāng)病毒客戶端發(fā)現(xiàn)病毒但既不能隔離也不能有效刪除時(shí)候，就需要防病毒服務(wù)能夠幫用戶解決這些問(wèn)題。而且，用戶需要的是一個(gè)時(shí)限范圍內(nèi)的解決。用戶可以通過(guò)提交病毒樣本或要求直接上門服務(wù)的方式，請(qǐng)防病毒廠家協(xié)助解決這些問(wèn)題，避免病毒在用戶的大規(guī)模擴(kuò)散。產(chǎn)品選型推薦根據(jù)以上防病毒系統(tǒng)設(shè)計(jì)思路，我們推薦采用SymantecEndpointProtection12.1終端防護(hù)軟件。SEP12組件及功能說(shuō)明SEP12主要功能模塊如下：（1）防病毒和反間諜軟件防病毒和反間諜軟件解決方案一般采用基于掃描的傳統(tǒng)技術(shù)，來(lái)識(shí)別端點(diǎn)設(shè)備上的病毒、蠕蟲(chóng)、特洛伊木馬、間諜軟件和其它惡意軟件。典型的防病毒和反間諜軟件解決方案會(huì)在系統(tǒng)中搜索與已知威脅的特點(diǎn)（或稱威脅特征）匹配的文件，從而檢測(cè)這些威脅。在檢測(cè)到威脅后，該解決方案會(huì)對(duì)其進(jìn)行補(bǔ)救，通常是刪除或控制威脅。多年來(lái)，該方法在針對(duì)已知威脅保護(hù)端點(diǎn)時(shí)一直非常有效。雖然該方法不足以防御未知威脅和零日威脅，但它仍然是整體端點(diǎn)安全中的基本要素。Symantec從2011年7月份發(fā)布的SymantecEndpointProtection12.1版本開(kāi)始，把原本在個(gè)人版諾頓防病毒軟件使用成熟的信譽(yù)度技術(shù)和主動(dòng)式防御技術(shù)增加到企業(yè)版SymantecEndpointProtection產(chǎn)品之中，做到了真正的基于Symantec全球云計(jì)算網(wǎng)絡(luò)的病毒和惡意軟件檢測(cè)。該技術(shù)不僅是傳統(tǒng)的基于特征碼的防病毒技術(shù)的一個(gè)重要補(bǔ)充，隨著使用者數(shù)目的增多和信譽(yù)度數(shù)據(jù)庫(kù)的不斷豐富完善，正在成為Symantec的主要的病毒和惡意軟件檢測(cè)技術(shù)。由于整個(gè)行業(yè)日益重視端點(diǎn)安全，所以防病毒和反間諜軟件市場(chǎng)中最近新出現(xiàn)了各種產(chǎn)品。在這些第一代和第二代解決方案中，雖然有許多產(chǎn)品可以提供一定程度的防護(hù)，但它們往往無(wú)法提供全面防護(hù)。許多技術(shù)僅在一種操作系統(tǒng)上工作。其它技術(shù)缺少與防火墻、設(shè)備控制和入侵防御等其它基本端點(diǎn)安全技術(shù)互操作的功能。無(wú)論是從質(zhì)量還是級(jí)別來(lái)看，SymantecEndpointProtection提供的防護(hù)都遠(yuǎn)遠(yuǎn)超越了競(jìng)爭(zhēng)對(duì)手的產(chǎn)品。與第一代打包解決方案相比，SymantecEndpointProtection提供更高級(jí)別的實(shí)時(shí)防護(hù)，而且賽門鐵克的表現(xiàn)比許多老牌安全解決方案提供商更勝一籌。例如，賽門鐵克是1999年以來(lái)唯一連續(xù)獲得40多項(xiàng)VB100獎(jiǎng)的供應(yīng)商。在Gartner評(píng)比中，SymantecEndpointProtection始終位列領(lǐng)導(dǎo)者象限的領(lǐng)先地位。另外，SymantecEndpointProtection由賽門鐵克全球情報(bào)網(wǎng)絡(luò)提供支持，該集成式服務(wù)為客戶提供了必需的情報(bào)，讓他們能夠降低安全風(fēng)險(xiǎn)、提高法規(guī)遵從性并改善整體安全狀況。賽門鐵克全球情報(bào)服務(wù)提供了對(duì)全球、行業(yè)和本地最新威脅與攻擊的洞察，以便企業(yè)可以主動(dòng)響應(yīng)新出現(xiàn)的威脅。通過(guò)將威脅預(yù)警和賽門鐵克托管安全服務(wù)完美結(jié)合，賽門鐵克全球情報(bào)服務(wù)可以對(duì)整個(gè)企業(yè)中的惡意活動(dòng)進(jìn)行實(shí)時(shí)分析，從而幫助企業(yè)保護(hù)關(guān)鍵信息資產(chǎn)。（2）主動(dòng)威脅防護(hù)技術(shù)雖然基于特征和信譽(yù)度的文件掃描和網(wǎng)絡(luò)掃描技術(shù)覆蓋了主要的必備保護(hù)領(lǐng)域，但仍然需要并非基于特征或信譽(yù)度的技術(shù)，來(lái)防御隱蔽攻擊使用的不斷增多的未知威脅。這類技術(shù)被稱為主動(dòng)威脅防護(hù)技術(shù)。SymantecEndpointProtection包括ProactiveThreatScan，它是一種主動(dòng)威脅防護(hù)技術(shù)，可防御利用已知漏洞的多種變種和前所未見(jiàn)的威脅。它具有獨(dú)特的主機(jī)入侵防御功能，讓企業(yè)有能力針對(duì)未知或零日威脅保護(hù)自己。ProactiveThreatScan基于分析系統(tǒng)所運(yùn)行進(jìn)程的行為來(lái)檢測(cè)潛在威脅的啟發(fā)式技術(shù)。大多數(shù)基于主機(jī)的IPS僅檢測(cè)它們認(rèn)為的“不良行為”。所以，它們經(jīng)常會(huì)將可接受的應(yīng)用程序行為識(shí)別為威脅并將它們關(guān)閉，嚴(yán)重影響用戶和技術(shù)支持中心的工作效率，讓管理員面臨著艱巨的挑戰(zhàn)。不過(guò)，ProactiveThreatScan會(huì)同時(shí)記錄應(yīng)用程序的正常行為和不良行為，提供更加準(zhǔn)確的威脅檢測(cè)，可顯著減少誤報(bào)的數(shù)量。所以，SymantecEndpointProtection讓企業(yè)能夠檢測(cè)到任何基于特征的技術(shù)都檢測(cè)不到的未知威脅。（3）網(wǎng)絡(luò)威脅防護(hù)端點(diǎn)上的網(wǎng)絡(luò)威脅防護(hù)對(duì)于防御混合型威脅和阻止爆發(fā)至關(guān)重要。為保證有效性，絕不能僅僅依賴防火墻。網(wǎng)絡(luò)威脅防護(hù)應(yīng)包含多種先進(jìn)防護(hù)技術(shù)，包括入侵防御以及先進(jìn)的網(wǎng)絡(luò)通信控制功能。過(guò)去，安全專家爭(zhēng)論的焦點(diǎn)是：是否需要在企業(yè)網(wǎng)絡(luò)邊界本身或個(gè)別臺(tái)式機(jī)上部署防火墻。由于目前的威脅極為復(fù)雜，而且移動(dòng)辦公人員已經(jīng)擴(kuò)展到企業(yè)計(jì)算基礎(chǔ)架構(gòu)的邊界以外，所以端點(diǎn)已成為漏洞利用和攻擊的主要目標(biāo)。威脅通常首先感染網(wǎng)絡(luò)邊界以外的一臺(tái)筆記本電腦，之后，在這臺(tái)筆記本電腦連接到內(nèi)部網(wǎng)絡(luò)時(shí)，該威脅就會(huì)傳播到其它端點(diǎn)?？梢岳枚它c(diǎn)防火墻，不僅阻止內(nèi)部網(wǎng)絡(luò)攻擊入侵連接到網(wǎng)絡(luò)的任何端點(diǎn)，甚至阻止這些威脅離開(kāi)最初感染的端點(diǎn)。SymantecEndpointProtection端點(diǎn)安全代理結(jié)合最佳的防火墻解決方案，兼?zhèn)湓愰T鐵克客戶端防火墻與Sygate?防火墻的功能。其中包括：基于規(guī)則的防火墻引擎預(yù)定義的防病毒、反間諜軟件和個(gè)人防火墻檢查按應(yīng)用程序、主機(jī)、服務(wù)和時(shí)間觸發(fā)的防火墻規(guī)則全面TCP/IP支持（TCP、UDP、ICMP、RawIPProtocol）用于允許或禁止網(wǎng)絡(luò)協(xié)議支持的選項(xiàng)，包括以太網(wǎng)、令牌環(huán)、IPX/SPX、AppleTalk和NetBEUI阻止VMware和WinPcap等協(xié)議驅(qū)動(dòng)程序的功能特定于適配器的規(guī)則檢查加密和明文網(wǎng)絡(luò)通信的功能數(shù)據(jù)包和數(shù)據(jù)流入侵防御系統(tǒng)(IPS)阻止、自定義IPS特征阻止以及一般漏洞利用禁止實(shí)現(xiàn)主動(dòng)威脅防御網(wǎng)絡(luò)準(zhǔn)入控制的自我實(shí)施（4）入侵防御對(duì)解決基于漏洞的網(wǎng)絡(luò)威脅具有重要作用，對(duì)于使用一般特征并基于漏洞的入侵更是如此?；诼┒吹娜肭址烙到y(tǒng)可使用一個(gè)一般特征，阻止攻擊漏洞的數(shù)百種潛在漏洞利用，在網(wǎng)絡(luò)層遏止攻擊，使其根本無(wú)法感染端點(diǎn)。雖然傳統(tǒng)IPS解決方案能夠檢測(cè)到特定的已知漏洞利用，但他們不足以針對(duì)構(gòu)成當(dāng)前威脅主流的多種漏洞攻擊變種來(lái)保護(hù)公布的軟件漏洞。根據(jù)互聯(lián)網(wǎng)安全威脅報(bào)告(ISTRVolXI)，操作系統(tǒng)或應(yīng)用程序提供商平均需要47天才能發(fā)布公布漏洞的補(bǔ)丁程序。在推出補(bǔ)丁程序之前利用這些漏洞進(jìn)行的攻擊通常稱為前所未見(jiàn)的攻擊或零日攻擊。在檢測(cè)到第一次漏洞攻擊之后的幾小時(shí)，IPS供應(yīng)商會(huì)發(fā)布特征，以防御利用特定漏洞的進(jìn)一步攻擊。這些反應(yīng)性方法會(huì)讓老練的攻擊者擁有大量攻擊機(jī)會(huì)。在發(fā)布漏洞特征之前發(fā)起的第一輪漏洞利用會(huì)讓企業(yè)承受極為慘重的損失。即使已經(jīng)發(fā)布了漏洞利用特征，這些方法對(duì)多態(tài)或自我突變的漏洞利用變種也是毫無(wú)招架能力。另外，這些基于漏洞利用的反應(yīng)性方法無(wú)法防御尚未發(fā)現(xiàn)、尚未報(bào)告或未知的威脅，例如，通常檢測(cè)不到以特定公司為目標(biāo)的隱蔽漏洞利用。為應(yīng)對(duì)前所未見(jiàn)的突變威脅，需要基于漏洞的IPS形式的更主動(dòng)方法。雖然基于漏洞利用的特征只能檢測(cè)到特定漏洞利用，但基于漏洞的特征會(huì)在更高級(jí)別運(yùn)行，不僅檢測(cè)到利用一種漏洞的特定攻擊，而且能夠檢測(cè)到試圖攻擊該漏洞的所有漏洞利用。SymantecEndpointProtection包括：一般漏洞利用禁止(GEB)，即使用一般特征、基于漏洞的IPS技術(shù)。當(dāng)操作系統(tǒng)或應(yīng)用程序供應(yīng)商公布可能導(dǎo)致企業(yè)面臨嚴(yán)重風(fēng)險(xiǎn)的新漏洞時(shí)，賽門鐵克的工程師會(huì)研究該漏洞的特點(diǎn)，并根據(jù)研究結(jié)果總結(jié)并發(fā)布一般特征。由此可幫助在出現(xiàn)漏洞利用之前保護(hù)企業(yè)。基于漏洞的入侵防御非常有效，因?yàn)橐粋€(gè)漏洞定義不僅能防御一種威脅，而且可防御數(shù)百種甚至數(shù)千種威脅（參見(jiàn)下表）。因?yàn)檫@種防御會(huì)查找漏洞特點(diǎn)和行為，所以可防御多種威脅，甚至可防御未知威脅或尚未開(kāi)發(fā)的威脅?；诼┒吹谋Ｗo(hù)還可用于防御以特定行業(yè)或企業(yè)為目標(biāo)的漏洞利用。有目標(biāo)的攻擊通常比較隱蔽，因?yàn)樗鼈兊哪繕?biāo)是在竊取機(jī)密信息時(shí)不會(huì)被發(fā)現(xiàn)，之后還要清除它們自己在系統(tǒng)中留下的痕跡。所以，無(wú)法總結(jié)出這些有目標(biāo)漏洞利用的特征，因?yàn)槠髽I(yè)無(wú)法在它們?cè)斐善茐闹傲私馑鼈??；诼┒吹姆雷o(hù)可以識(shí)別有目標(biāo)攻擊試圖利用的漏洞的高級(jí)特征，所以可檢測(cè)并阻止漏洞利用。SymantecEndpointProtection中的端點(diǎn)安全代理在網(wǎng)絡(luò)層結(jié)合基于漏洞的防護(hù)，可阻止前所未見(jiàn)的漏洞利用或其變種進(jìn)入并感染端點(diǎn)。因?yàn)樗鼈儧](méi)有機(jī)會(huì)感染端點(diǎn)，所以不會(huì)造成損害，也不需要對(duì)其進(jìn)行補(bǔ)救。SymantecEndpointProtection還讓管理員有能力創(chuàng)建自定義的入侵防御特征。所以，他們可以定義基于規(guī)則的特征，根據(jù)他們的特有環(huán)境和自定義應(yīng)用程序的需要而進(jìn)行量身定制?？梢詫⑻卣鲃?chuàng)建為可阻止一些特定操作或更復(fù)雜的操作。如果使用SymantecEndpointProtection，將無(wú)需等待操作系統(tǒng)或應(yīng)用程序供應(yīng)商創(chuàng)建已知漏洞的補(bǔ)丁程序，所以管理員可以對(duì)端點(diǎn)安全和防護(hù)提供全面的主動(dòng)性控制。（5）設(shè)備和應(yīng)用程序控制SymantecEndpointProtection結(jié)合了設(shè)備和應(yīng)用程序控制功能，讓管理員能夠拒絕被認(rèn)為存在高風(fēng)險(xiǎn)的特定設(shè)備和應(yīng)用程序活動(dòng)，使企業(yè)能夠根據(jù)用戶位置禁止特定的操作。設(shè)備控制技術(shù)讓管理員能夠決定并控制允許哪些設(shè)備連接端點(diǎn)。例如，它可以鎖定端點(diǎn)，禁止便攜硬盤、CD刻錄機(jī)、打印機(jī)或其它USB設(shè)備連接到系統(tǒng)，以防止將機(jī)密信息從系統(tǒng)復(fù)制到其中。禁止設(shè)備連接的功能還可以幫助防止端點(diǎn)受來(lái)自上述設(shè)備以及其它設(shè)備的病毒感染。應(yīng)用程序控制技術(shù)讓管理員能夠按照用戶和其它應(yīng)用程序，控制對(duì)特定流程、文件和文件夾的訪問(wèn)。它提供應(yīng)用程序分析、流程控制、文件和注冊(cè)表訪問(wèn)控制、模塊和DLL控制。如果管理員希望限制被認(rèn)為可疑或存在高風(fēng)險(xiǎn)的某些活動(dòng)，則可以使用該高級(jí)功能。（6）支持網(wǎng)絡(luò)準(zhǔn)入控制SymantecEndpointProtection中的端點(diǎn)安全代理支持網(wǎng)絡(luò)準(zhǔn)入控制，這意味著該代理已集成網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，而且通過(guò)購(gòu)買SymantecNetworkAccessControl許可證就可以輕松啟用該技術(shù)。所以，在部署SymantecEndpointProtection后，無(wú)需在端點(diǎn)設(shè)備上部署其它代理軟件即可實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制通過(guò)購(gòu)買附加許可證啟用網(wǎng)絡(luò)準(zhǔn)入控制之后，它會(huì)控制對(duì)公司網(wǎng)絡(luò)的訪問(wèn)、實(shí)施端點(diǎn)安全策略并與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)架構(gòu)輕松集成。不管端點(diǎn)以何種方式與網(wǎng)絡(luò)相連，SymantecNetworkAccessControl都能夠發(fā)現(xiàn)并評(píng)估端點(diǎn)遵從狀態(tài)、設(shè)置適當(dāng)?shù)木W(wǎng)絡(luò)訪問(wèn)權(quán)限、提供自動(dòng)補(bǔ)救功能，并持續(xù)監(jiān)視端點(diǎn)以了解遵從狀態(tài)是否發(fā)生了變化。另外，為了簡(jiǎn)化并優(yōu)化管理，管理員為SymantecEndpointProtection和SymantecNetworkAccessControl使用同一管理控制臺(tái)管理所有功能。部署方案部署架構(gòu)（1）在總公司網(wǎng)內(nèi)部署2臺(tái)SEP管理服務(wù)器（以下簡(jiǎn)稱SEPM），一臺(tái)LiveupdateAdministrator（以下簡(jiǎn)稱LUA）服務(wù)器，分別用于：SEP管理服務(wù)器管理總公司所屬的SEP客戶端；2臺(tái)SEPM服務(wù)器其中一臺(tái)為主管理服務(wù)器，包含SQLServer管理數(shù)據(jù)庫(kù)；另外一臺(tái)為備用管理服務(wù)器，起到負(fù)載均衡的作用；LUA服務(wù)器用于病毒定義的更新，總公司LUA服務(wù)器將為總公司SEP服務(wù)器與各省級(jí)分公司LUA服務(wù)器提供病毒定義的更新；（2）如果有分級(jí)部署的必要，在各分公司網(wǎng)內(nèi)部署一臺(tái)SEP管理服務(wù)器與一臺(tái)LUA服務(wù)器，分別用于：SEP管理服務(wù)器管理各省級(jí)分公司SEP客戶端；LUA服務(wù)器用于為各省級(jí)分公司SEP管理服務(wù)器與各地市級(jí)分公司SEP管理服務(wù)器提供病毒定義的更新；管理系統(tǒng)功能組件說(shuō)明防病毒軟件管理系統(tǒng)包括兩部分組件：策略管理服務(wù)器策略服務(wù)器實(shí)現(xiàn)所有安全策略、準(zhǔn)入控制規(guī)則的管理、設(shè)定和監(jiān)控，是整個(gè)終端安全標(biāo)準(zhǔn)化管理的核心。通過(guò)使用控制臺(tái)管理員可以創(chuàng)建和管理各種策略、將策略分配給代理、查看日志并運(yùn)行端點(diǎn)安全活動(dòng)報(bào)告。通過(guò)圖形報(bào)告、集中日志記錄和閾值警報(bào)等功能提供全面的端點(diǎn)可見(jiàn)性。統(tǒng)一控制臺(tái)簡(jiǎn)化了端點(diǎn)安全管理，提供集中軟件更新、策略更新、報(bào)告等功能。策略管理服務(wù)器可以完成以下任務(wù)：終端分組與權(quán)限管理；根據(jù)地理位置、業(yè)務(wù)屬性等條件對(duì)終端進(jìn)行分組管理，對(duì)于不同的組可以制定專門的組管理員，并進(jìn)行權(quán)限控制。策略管理與發(fā)布；策略包括自動(dòng)防護(hù)策略、手動(dòng)掃描的策略、手動(dòng)掃描的策略、病毒、木馬防護(hù)策略、惡意腳本防護(hù)策略、電子郵件防護(hù)策略（包括outlook、lotus以及internet郵件）、廣告軟件防護(hù)策略、前瞻性威脅防護(hù)策略、防火墻策略、入侵防護(hù)策略、硬件保護(hù)策略、軟件保護(hù)策略、升級(jí)策略、主機(jī)完整性策略等安全內(nèi)容更新下發(fā)安全內(nèi)容更新包括病毒定義、防火墻規(guī)則、入侵防護(hù)定義、主動(dòng)威脅防護(hù)規(guī)則等日志收集和報(bào)表呈現(xiàn)可以生成日?qǐng)?bào)/周報(bào)/月報(bào)，報(bào)告種類包括：風(fēng)險(xiǎn)報(bào)表（以服務(wù)器組、父服務(wù)器、客戶端組、計(jì)算機(jī)、IP、用戶名為條件識(shí)別感染源、當(dāng)前環(huán)境下高風(fēng)險(xiǎn)列表、按類型劃分的安全風(fēng)險(xiǎn)）、計(jì)算機(jī)狀態(tài)報(bào)表（內(nèi)容定義分發(fā)、產(chǎn)品版本列表、未接受管理客戶端列表）、掃描狀態(tài)報(bào)表、審計(jì)報(bào)表、軟件和硬件控制報(bào)表、網(wǎng)絡(luò)威脅防護(hù)報(bào)表、系統(tǒng)報(bào)表、安全遵從性報(bào)表。強(qiáng)制服務(wù)器管理和策略下發(fā)對(duì)于交換機(jī)強(qiáng)制服務(wù)器和網(wǎng)關(guān)強(qiáng)制設(shè)備進(jìn)行統(tǒng)一的管理和策略定義。終端代理安裝包的維護(hù)和升級(jí)；終端客戶端終端安全管理系統(tǒng)需要在所有的終端上部署安全代理軟件，安全代理是整個(gè)企業(yè)網(wǎng)絡(luò)安全策略的執(zhí)行者，它安裝在網(wǎng)絡(luò)中的每一臺(tái)終端計(jì)算機(jī)上。安全代理實(shí)現(xiàn)端點(diǎn)保護(hù)和準(zhǔn)入控制功能。端點(diǎn)保護(hù)功能包括：防病毒和反間諜軟件—提供病毒防護(hù)、間諜軟件防護(hù)、rootkit防護(hù)。網(wǎng)絡(luò)威脅防護(hù)—提供基于規(guī)則的防火墻引擎和一般漏洞利用禁止功能(GEB)，該功能可以在惡意軟件進(jìn)入系統(tǒng)前將其阻止在外。主動(dòng)威脅防護(hù)—針對(duì)不可見(jiàn)的威脅（即零日威脅）提供防護(hù)。包括不依賴特征的主動(dòng)威脅掃描。病毒定義升級(jí)防病毒系統(tǒng)初建后第一次升級(jí)方案防病毒系統(tǒng)在建設(shè)完成后第一次升級(jí)占用帶寬較大，一般需要升級(jí)100M~200M左右的軟件更新和病毒定義升級(jí)，如果在廣域鏈路上進(jìn)行并發(fā)更新容易造成鏈路擁塞，在這種情況下可考慮采用以下辦法予以避免：根據(jù)實(shí)施時(shí)間，針對(duì)山西農(nóng)信定制軟件安裝包，包含當(dāng)前最新的病毒定義；或者防病毒服務(wù)器安裝完成后立即手動(dòng)升級(jí)其病毒定義庫(kù)；原則上不允許客戶端進(jìn)行手動(dòng)的防病毒定義升級(jí)。正常運(yùn)維狀態(tài)下的升級(jí)方案防病毒系統(tǒng)經(jīng)過(guò)初次升級(jí)進(jìn)入到日常運(yùn)維狀態(tài)，后期的防病毒定義更新包一般很?。?50Kbytes～200Kbytes不等），在運(yùn)維狀態(tài)下自動(dòng)化的病毒定義更新是非常必要的。在運(yùn)維狀態(tài)下自動(dòng)化的病毒定義更新是非常必要的：首先升級(jí)山西農(nóng)信數(shù)據(jù)中心SEPM的病毒定義碼、掃描引擎、特征庫(kù)（漏洞特征庫(kù)和攻擊特征庫(kù)）和安全規(guī)則（防火墻策略）。通過(guò)Internet到防病毒產(chǎn)品提供商網(wǎng)站升級(jí)最新的病毒定義碼和掃描引擎。正常情況下升級(jí)周期為每天一次，時(shí)間設(shè)定為凌晨，避免升級(jí)流量對(duì)廣域網(wǎng)絡(luò)帶寬的影響；當(dāng)有突發(fā)的病毒事件或嚴(yán)重級(jí)別的病毒威脅，可實(shí)時(shí)升級(jí)病毒定義并下發(fā)。采用這種升級(jí)方式，一方面可以確保山西農(nóng)信整個(gè)網(wǎng)絡(luò)內(nèi)的病毒定義碼和掃描引擎的更新基本保持同步。另一方面，由于整個(gè)網(wǎng)絡(luò)的病毒定義碼和掃描引擎的更新、升級(jí)自動(dòng)完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中某些機(jī)器或某個(gè)網(wǎng)絡(luò)因?yàn)闆](méi)有及時(shí)更新最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力，同時(shí)也避免了各下屬單位自行到Internet升級(jí)而帶來(lái)的不便和安全隱患。Symantec病毒定義升級(jí)頻率缺省情況下，賽門鐵克公司每日在官方網(wǎng)站上發(fā)布可供防病毒系統(tǒng)自動(dòng)更新的病毒定義碼（正常狀態(tài)下每日3次更新；對(duì)于高危險(xiǎn)性病毒爆發(fā)的情況，每日會(huì)更新多次）。網(wǎng)絡(luò)帶寬影響服務(wù)器與客戶端之間策略通信流量，取決于管理員配置的操作系統(tǒng)保護(hù)策略的復(fù)雜程度，一個(gè)正常的策略文件在20K—80K之間變化，加密壓縮后實(shí)際傳輸大校在5K—10K左右。以500臺(tái)終端（一個(gè)分支機(jī)構(gòu)的終端通常少于500臺(tái)）為例，在一次心跳時(shí)間（一小時(shí)）內(nèi)發(fā)生的實(shí)際流量為10K*500=5M，每秒服務(wù)器的策略下載流量為5M/(3600s)=1.4Kbyte，需要占用帶寬為11.2Kbps。事實(shí)上，策略更新僅在策略發(fā)生變化時(shí)發(fā)起，平時(shí)帶寬占用可以忽略不計(jì)。服務(wù)器和客戶端之間的日志流量，默認(rèn)設(shè)置的客戶端日志大小限制為512K，每次上傳的日志都是自上一次和服務(wù)器通訊后發(fā)生過(guò)的日志。一般客戶端一天（工作時(shí)間）發(fā)生的日志量是20條--200條（視網(wǎng)絡(luò)中安全事件發(fā)生的頻率而變化），我們以每心跳時(shí)間內(nèi)發(fā)生200條日志這個(gè)極限來(lái)計(jì)算。200條日志壓縮后的大小大概在20K左右，每次心跳發(fā)生時(shí)服務(wù)器收到的流量大小為500用戶*20K=10M，每秒流量為10M/（3600s）=2.8byte，需要占用帶寬為22Kbps，對(duì)于現(xiàn)有網(wǎng)絡(luò)帶寬影響很小。服務(wù)器和客戶端的安全內(nèi)容更新數(shù)據(jù)量比較大，雖然采用了增量更新技術(shù)，每次更新的數(shù)據(jù)報(bào)仍然在200K左右。對(duì)遠(yuǎn)程分支機(jī)構(gòu)的終端，可以利用管理系統(tǒng)“組升級(jí)”方式進(jìn)行更新，減輕對(duì)廣域網(wǎng)帶寬的影響。這種方式下，策略服務(wù)器上可以設(shè)定終端從指定的臨近的“組升級(jí)”終端上進(jìn)行病毒定義等安全內(nèi)容更新下載操作。即遠(yuǎn)程市分支機(jī)構(gòu)一臺(tái)終端獲得內(nèi)容更新后，其他的終端無(wú)需再到地市二級(jí)服務(wù)器進(jìn)行更新，只需要從那臺(tái)已經(jīng)更新的終端上下載內(nèi)容更新即可。安全管理策略設(shè)計(jì)管理權(quán)限策略根據(jù)山西農(nóng)信的實(shí)際情況，創(chuàng)建一個(gè)域管理員帳號(hào)。系統(tǒng)的常見(jiàn)維護(hù)操作，如策略備份與恢復(fù)、站點(diǎn)重裝等只需要有服務(wù)器操作系統(tǒng)管理員帳號(hào)即可?？蛻舳朔纸M策略在計(jì)算機(jī)全局組下，默認(rèn)只有臨時(shí)組，另外創(chuàng)建四個(gè)新組，分別為特權(quán)組、隔離組、維護(hù)組、測(cè)試組。這幾個(gè)組為特殊功能組，做一些策略測(cè)試和一些非常態(tài)計(jì)算機(jī)的臨時(shí)性管理。還可以增加一些普通用戶組，網(wǎng)絡(luò)中的常態(tài)計(jì)算機(jī)都集中在普通用戶組中；分組可以按地域、部門、職能、類型、應(yīng)用來(lái)分組。應(yīng)該盡量保持扁平的組結(jié)構(gòu)。備份和數(shù)據(jù)庫(kù)維護(hù)策略安排一些策略備份的調(diào)度計(jì)劃。在服務(wù)器軟硬件出現(xiàn)故障時(shí)，可以快速恢復(fù)整個(gè)系統(tǒng)。安排數(shù)據(jù)庫(kù)事務(wù)日志的維護(hù)計(jì)劃，防止事務(wù)日志無(wú)限制膨脹，吞噬掉所有硬盤空間，導(dǎo)致系統(tǒng)無(wú)法正常工作。安全策略防病毒策略防病毒管理服務(wù)器的病毒定義碼更新時(shí)間規(guī)劃防病毒客戶端的病毒定義碼更新時(shí)間規(guī)劃防病毒客戶端的實(shí)時(shí)防護(hù)設(shè)置，配置病毒檢測(cè)的類型、操作處理方式、警報(bào)方式防病毒客戶端的日志記錄時(shí)間設(shè)置防病毒客戶端的隔離區(qū)參數(shù)設(shè)置防病毒客戶端的篡改選項(xiàng)設(shè)置防病毒客戶端的調(diào)度掃描設(shè)置，包括掃描的類型和對(duì)病毒的處理方式防火墻策略在該策略庫(kù)中做了2個(gè)策略模版分別為：隔離區(qū)策略、內(nèi)網(wǎng)限制策略。在這些策略模版中包括以下幾個(gè)策略：受限的應(yīng)用程序：禁用一些與工作無(wú)關(guān)的應(yīng)用程序運(yùn)行。惡意程序黑名單：禁用一些嚴(yán)重的病毒、木馬、惡意程序禁止撥號(hào)和無(wú)線網(wǎng)絡(luò)連接：防止非法外連互聯(lián)網(wǎng)網(wǎng)址屏蔽策略：杜絕與公網(wǎng)IP的通訊操作系統(tǒng)防護(hù)策略設(shè)備禁用示例USB存儲(chǔ)設(shè)備只讀防止USB木馬傳播防止IE加載惡意插件示例禁止程序運(yùn)行示例注冊(cè)表鍵保護(hù)示例文件修改審計(jì)示例主機(jī)完整性策略防病毒軟件的安裝與運(yùn)行檢測(cè)規(guī)則分發(fā)防病毒軟件示例補(bǔ)丁檢查策略分發(fā)補(bǔ)丁示例卸載指定補(bǔ)丁示例安全加固設(shè)置針對(duì)SANtop10所列漏洞的檢查及修復(fù)針對(duì)IIS漏洞的檢查及修復(fù)針對(duì)Internetexplorer漏洞的檢查及修復(fù)其他常見(jiàn)服務(wù)和應(yīng)用的漏洞常見(jiàn)系統(tǒng)設(shè)置弱點(diǎn)禁止匿名訪問(wèn)禁止空連接統(tǒng)一桌面管理設(shè)置統(tǒng)一墻紙統(tǒng)一屏保IE主頁(yè)設(shè)置IE代理設(shè)置IE安全級(jí)別設(shè)置Registrytool限制添加刪除程序限制禁止更改IP設(shè)置時(shí)間同步設(shè)置，禁止更改系統(tǒng)時(shí)間桌面鎖定、默認(rèn)主頁(yè)設(shè)定策略服務(wù)器的硬件配置需求建議在本部部署2臺(tái)SEPM服務(wù)器；結(jié)合實(shí)際工程經(jīng)驗(yàn)，硬件服務(wù)器的配置推薦如下：SEPM防病毒服務(wù)器CPU：3.0GHz以上，2個(gè)四核CPU內(nèi)存：16GRAM硬盤：400G硬盤操作系統(tǒng)：WindowsServer2008R2數(shù)據(jù)庫(kù)：MicrosoftSQLServer2005數(shù)量：1臺(tái)實(shí)施方案項(xiàng)目工作范圍本項(xiàng)目的工作范圍如下：完成防病毒服務(wù)器的部署：包括總部SEPM管理服務(wù)器，總部LUA服務(wù)器的部署，必要的分公司SEPM服務(wù)器和LUA服務(wù)器的部署。完成防病毒客戶端的部署。完成終端安全防護(hù)策略的制定及應(yīng)用。完成必要的技術(shù)轉(zhuǎn)移和應(yīng)用技能培訓(xùn)。實(shí)施計(jì)劃項(xiàng)目里程碑本項(xiàng)目將包含以下里程碑：項(xiàng)目啟動(dòng)和項(xiàng)目計(jì)劃完成方案設(shè)計(jì)完成試點(diǎn)階段完成部署完成項(xiàng)目結(jié)束項(xiàng)目工作進(jìn)度計(jì)劃與安排T為開(kāi)始時(shí)間，按照工作日計(jì)算。任務(wù)號(hào)任務(wù)負(fù)責(zé)方配合方時(shí)間1項(xiàng)目啟動(dòng)T1.1項(xiàng)目組織建立1.1.1項(xiàng)目團(tuán)隊(duì)成立1.1.2項(xiàng)目領(lǐng)導(dǎo)團(tuán)隊(duì)成立1.2項(xiàng)目啟動(dòng)會(huì)議1.3項(xiàng)目計(jì)劃制定1.3.1項(xiàng)目工作范圍明確1.3.2項(xiàng)目進(jìn)度制定1.3.3項(xiàng)目變更計(jì)劃制定1.3.4項(xiàng)目溝通計(jì)劃制定2方案設(shè)計(jì)2.1需求確認(rèn)2.1.1完成病毒防護(hù)需求說(shuō)明書(shū)編寫2.1.2完成病毒防護(hù)需求說(shuō)明書(shū)上報(bào)確認(rèn)（通過(guò)項(xiàng)目經(jīng)理）2.2方案設(shè)計(jì)2.2.1完成病毒防護(hù)試點(diǎn)方案設(shè)計(jì)初稿編寫（PPT）2.2.2完成病毒防護(hù)試點(diǎn)方案設(shè)計(jì)項(xiàng)目組內(nèi)部討論（會(huì)議）3部署實(shí)施3.1試點(diǎn)階段3.1.1完成病毒防護(hù)防護(hù)試點(diǎn)設(shè)備及環(huán)境到位3.1.2完成病毒防護(hù)試點(diǎn)實(shí)施方案初稿編寫3.1.3完成病毒防護(hù)試點(diǎn)實(shí)施方案項(xiàng)目組內(nèi)部討論（會(huì)議）3.1.4完成病毒防護(hù)-全面試點(diǎn)3.1.5完成病毒防護(hù)-測(cè)試報(bào)告3.2推廣階段3.2.2完成病毒防護(hù)標(biāo)準(zhǔn)實(shí)施方案編寫并上報(bào)(標(biāo)準(zhǔn)實(shí)施方案上報(bào))3.2.3完成病毒防護(hù)相關(guān)制度初稿編寫3.2.4完成病毒防護(hù)-郵件系統(tǒng)投產(chǎn)4項(xiàng)目交維4.1.1完成病毒防護(hù)郵件系統(tǒng)的監(jiān)控及備份4.1.2完成病毒防護(hù)系統(tǒng)的管理員培訓(xùn)4.1.3完成病毒防護(hù)相關(guān)制度編寫5項(xiàng)目結(jié)束5.1.1驗(yàn)收文檔準(zhǔn)備5.1.2完成病毒防護(hù)郵件系統(tǒng)的文檔交付項(xiàng)目人員安排項(xiàng)目組織機(jī)構(gòu)項(xiàng)目人員組成山西農(nóng)信防病毒項(xiàng)目組由以下人員組成：序號(hào)角色資質(zhì)與技能要求姓名職責(zé)電話郵件1項(xiàng)目經(jīng)理1）有豐富的項(xiàng)目管理經(jīng)驗(yàn)

2）具有網(wǎng)絡(luò)及安全方面工作、技術(shù)和管理經(jīng)驗(yàn)

3）具有高度項(xiàng)目管理和溝通、協(xié)調(diào)能力和執(zhí)行能力4）具有大型銀行的信息防泄漏項(xiàng)目管理經(jīng)驗(yàn)。1）負(fù)責(zé)項(xiàng)目的日常管理工作，項(xiàng)目資源的申請(qǐng)和管理，根據(jù)項(xiàng)目需要，確定項(xiàng)目組成員

2）負(fù)責(zé)組織制定項(xiàng)目方案和項(xiàng)目計(jì)劃

3）對(duì)項(xiàng)目狀態(tài)進(jìn)行跟蹤和控制，提交項(xiàng)目狀態(tài)報(bào)告

4）確保項(xiàng)目按時(shí)、保質(zhì)完成

5）其他項(xiàng)目管理工作2技術(shù)經(jīng)理1）具有網(wǎng)絡(luò)或安全方面工作和技術(shù)經(jīng)驗(yàn)

2）具有高度項(xiàng)目管理和溝通、協(xié)調(diào)能力和執(zhí)行能力

3）要求高級(jí)技術(shù)經(jīng)理以上資質(zhì)4）具有大型銀行的郵件信息防泄漏項(xiàng)目方案設(shè)計(jì)及架構(gòu)經(jīng)驗(yàn)。1）負(fù)責(zé)組織技術(shù)方案、配套制度的制定和有關(guān)試點(diǎn)工作

2）根據(jù)項(xiàng)目經(jīng)理的安排和項(xiàng)目計(jì)劃完成項(xiàng)目工作，負(fù)責(zé)向項(xiàng)目經(jīng)理匯報(bào)項(xiàng)目進(jìn)展情況3工程師1）3年以上安全、系統(tǒng)或網(wǎng)絡(luò)方面技術(shù)工作經(jīng)驗(yàn)2）具有郵件安全推廣及運(yùn)行管理經(jīng)驗(yàn)3）具有大型銀行的郵件信息防泄漏項(xiàng)目實(shí)施經(jīng)驗(yàn)。1）根據(jù)項(xiàng)目經(jīng)理的安排和項(xiàng)目計(jì)劃完成項(xiàng)目工作，負(fù)責(zé)向項(xiàng)目經(jīng)理匯報(bào)項(xiàng)目進(jìn)展情況變更管理項(xiàng)目變更管理控制過(guò)程項(xiàng)目變更審批流程提出修改方將首先填寫變更申請(qǐng)表（REQUESFORCHANGE，以下簡(jiǎn)稱RFC）。RFC需提交評(píng)審小組確認(rèn)。評(píng)審小組將就RFC的技術(shù)可靠性以及對(duì)整個(gè)項(xiàng)目的影響作出評(píng)估。評(píng)審小組主席由山西農(nóng)信指定。評(píng)審小組成員由山西農(nóng)信和集成商項(xiàng)目小組人員組成。評(píng)審小組成員的資格確認(rèn)及人員的變更將以書(shū)面的形式通知對(duì)方。集成商將在接到RFC的7個(gè)工作日內(nèi)提交收訖說(shuō)明和相應(yīng)的項(xiàng)目修改建議書(shū)（ENGINEERINGCHANGEPROPOSAL），及評(píng)審小組的評(píng)審報(bào)告。經(jīng)山西農(nóng)信確認(rèn)雙方授權(quán)代表簽署授權(quán)并發(fā)放實(shí)施通知單。項(xiàng)目組予以實(shí)施變更。變更評(píng)審小組的成員名單單位姓名職責(zé)PICC集成商變更申請(qǐng)表樣式變更申請(qǐng)序號(hào)#：申請(qǐng)人：日期：申請(qǐng)變更內(nèi)容：申請(qǐng)變更原因：變更將對(duì)原協(xié)議價(jià)格、時(shí)程、條款產(chǎn)生以下方面影響：項(xiàng)目溝通計(jì)劃由于本項(xiàng)目的關(guān)鍵性和復(fù)雜性，項(xiàng)目的溝通管理就特別重要。我們不但需要保持項(xiàng)目?jī)?nèi)部的溝通順暢，同時(shí)需要對(duì)項(xiàng)目外部的各干系人進(jìn)行積極主動(dòng)的溝通。對(duì)此，我們建議安排相關(guān)項(xiàng)目人員召開(kāi)雙周項(xiàng)目例會(huì)，并及時(shí)把項(xiàng)目狀態(tài)報(bào)告通報(bào)各方。提交文檔以郵件和紙質(zhì)文件（有簽名）為主。項(xiàng)目周報(bào) 每周提交項(xiàng)目組及相關(guān)項(xiàng)目干系人項(xiàng)目雙周例會(huì) 每雙周初舉行項(xiàng)目月報(bào) 每月底提交相關(guān)項(xiàng)目干系人項(xiàng)目里程碑報(bào)告 里程碑結(jié)束后提交項(xiàng)目干系人項(xiàng)目風(fēng)險(xiǎn)和異常報(bào)告 按實(shí)際情況提交項(xiàng)目干系人項(xiàng)目完工報(bào)告 項(xiàng)目結(jié)束后提交項(xiàng)目干系人項(xiàng)目周報(bào)模板如下：本周原定工作計(jì)劃本周實(shí)際工作進(jìn)展存在的風(fēng)險(xiǎn)及需要PICC協(xié)調(diào)的內(nèi)容下周工作計(jì)劃DLP實(shí)施進(jìn)度培訓(xùn)方案防病毒系統(tǒng)的培訓(xùn)的對(duì)象是山西農(nóng)信SymantecEndpointProtection終端防護(hù)系統(tǒng)管理員，相關(guān)運(yùn)維人員以及防病毒項(xiàng)目組成員。具體培訓(xùn)內(nèi)容包括SEP系統(tǒng)的安裝，策略制定，性能優(yōu)化，問(wèn)題排查等部分。培訓(xùn)內(nèi)容的提綱如下：第一部分:SymantecEndpointProtection介紹Lesson1:什么是SymantecEndpointProtection?Lesson2:服務(wù)器和客戶端的安裝Lesson3:管理員基礎(chǔ)操作Lesson4:客戶端通信原理Lesson5:客戶端分組結(jié)構(gòu)Lesson7:查看日志Lesson9:查看報(bào)表第二部分:防護(hù)技術(shù)和策略制定Lesson1:病毒防護(hù)和郵件掃描Lesson2:信譽(yù)度惡意軟件防護(hù)Lesson3:主動(dòng)型威脅防護(hù)Lesson4:設(shè)備和應(yīng)用程序控制Lesson5:網(wǎng)絡(luò)威脅防護(hù)第三部分:故障排查L(zhǎng)esson1:常見(jiàn)問(wèn)題排查方法Lesson2:如何聯(lián)系Symantec技術(shù)支持解決問(wèn)題Lesson3:如何對(duì)應(yīng)病毒爆發(fā)問(wèn)題服務(wù)方案賽門鐵克公司不僅是全球最大的防病毒公司，也是全球最大的網(wǎng)絡(luò)安全公司，在提供防病毒專業(yè)服務(wù)的同時(shí)，也有能力支持服務(wù)