XXX網(wǎng)絡安全預警技術方案

瑞星網(wǎng)絡安全預警系統(tǒng)解決方案北京瑞星信息技術有限公司2012年XX月XX日XXX網(wǎng)絡安全預警系統(tǒng)解決方案北京瑞星信息技術有限公司目錄1 計算機病毒發(fā)展新趨勢 ]前言網(wǎng)絡安全趨勢隨著信息技術的迅猛發(fā)展，信息網(wǎng)絡已應用于社會各個行業(yè)，信息產(chǎn)業(yè)已成為國民經(jīng)濟的重要支柱產(chǎn)業(yè)，信息技術和網(wǎng)絡技術正向政治、經(jīng)濟、軍事、文化等各個領域廣泛滲透，極大地促進我國各個領域的發(fā)展和社會進步，也豐富了人們的生活。同時，黑客攻擊、病毒侵害等給信息網(wǎng)絡特別是關系國計民生的國家基礎設施信息網(wǎng)絡等重點信息網(wǎng)絡造成了嚴重的安全威脅，成為了威脅網(wǎng)絡安全的一大公害。當前的計算機病毒和黑客攻擊行為具有以下特點：具備網(wǎng)絡特性是當前計算機病毒和黑客行為的第一大特征當前，像蠕蟲、木馬/黑客、腳本等類型的病毒，它們都具有網(wǎng)絡傳播的特性，通過網(wǎng)絡進行傳播并實施侵害行為。目前的很多onlineGame病毒都具有ARP欺騙的發(fā)生，一旦在網(wǎng)絡中傳播、蔓延，很難控制，它們不但盜取用戶信息，同理還在網(wǎng)絡中大網(wǎng)發(fā)送ARP欺騙，阻塞網(wǎng)絡甚至網(wǎng)絡癱瘓。當前計算機病毒和黑客攻擊行為大多是利用軟件系統(tǒng)的漏洞漏洞是軟件系統(tǒng)致命的安全缺陷，如果系統(tǒng)存在漏洞，即使有殺毒軟件的保護，病毒或者攻擊依然可以長驅直入，對系統(tǒng)造成破壞。利用漏洞進行的病毒和攻擊的擴撒速度遠遠大于傳統(tǒng)病毒。最近很多病毒通過微軟的MS07-017和MS08-067等漏洞進行掛馬，同時演變到利用時下最為流行的應用軟件漏洞進行掛馬。這其中包括一些播放器軟件漏洞、聊天工具漏洞、網(wǎng)絡電視軟件漏洞、甚至連一些常用的下載工具的漏洞都會成為病毒的傳播途徑。聯(lián)眾游戲漏洞、超星閱讀器0-Day漏洞、迅雷0-Day漏洞、PPlive0-Day漏洞，已經(jīng)成為應用軟件網(wǎng)頁掛馬病毒的一些重要漏洞，這病毒越來越成為主流病毒，同時傳播非常快。病毒和攻擊向多元化、混合化發(fā)展隨著操作系統(tǒng)及各種軟件的發(fā)展，病毒和攻擊也在不停地發(fā)展，混合型病毒和攻擊越來越多，成為趨勢。如非常流行的“熊貓燒香”病毒。安全是風險管理風險管理作為企業(yè)管理的三個要素之一，地位是非常重要的。安全風險導致威脅和系統(tǒng)脆弱點的產(chǎn)生，威脅可以利用暴露的脆弱點，降低企業(yè)的資產(chǎn)價值，并對潛在因素產(chǎn)生影響。如何控制風險，就需要通過包括風險評估、風險控制和風險降低的一系列風險管理來實現(xiàn)。信息安全要考慮投入和收益。信息安全的投入是相當大的，如果安全投入和實現(xiàn)安全之后所帶來的收益不匹配，投入將毫無疑義。安全是相對概念信息系統(tǒng)安全不但與不斷變化的需求聯(lián)系緊密，同時也與不斷發(fā)展的信息技術關系密切。首先，信息系統(tǒng)的新業(yè)務需求和業(yè)務新需求是不斷的，安全是相對于現(xiàn)有需求的。其次，互聯(lián)網(wǎng)技術和信息技術是不斷發(fā)展的，是安全攻擊方式和手段層出不窮，可利用并作為攻擊的漏洞也越來越多。此外，安全包括技術的和非技術的因素。我們不能簡單認為通過技術手段就可以保證安全。相對來說，非技術因素的考慮（安全管理）對于全面的信息安全建設是不可缺少的。因此，掌握最新的安全知識和技能，提高人員的安全意識和安全技能，才是構建全面安全的必要措施。安全是動態(tài)過程計算機只要是用于商業(yè)應用就會存在安全問題，我們認為安全是一個動態(tài)的過程，不是一成不變的。新的系統(tǒng)、新的應用層出不窮。即使采購了安全產(chǎn)品、實施了安全管理、制定了安全策略也不能說系統(tǒng)在某些方面基本沒有安全問題。因為協(xié)議服務固有的問題、主機配置的復雜性、軟件開發(fā)過程中產(chǎn)生的漏洞隨時都有可能導致漏洞和脆弱性的產(chǎn)生。因此，要不斷地跟蹤最新的安全信息，對系統(tǒng)進行評估，并不斷地加固計算機系統(tǒng)。安全產(chǎn)品除了擁有全面的特征庫外，還需要制定合理的策略，策略需要根據(jù)安全技術的發(fā)展進行動態(tài)地調整。同時，要盡量保持產(chǎn)品的版本和特征庫更新，管理上隨著安全的發(fā)展靈活改進。非技術因素帶來的安全問題，比如人員流動、技術操作不規(guī)范、責任不明確等，也會對網(wǎng)絡系統(tǒng)的安全構成極大的風險。安全是保障體系信息安全的技術在不斷發(fā)展，從早期的通信保密，發(fā)展到關注信息安全的保密、完整、可用、可控和不可否認的信息安全，今天發(fā)展到信息保障。單純的保密和靜態(tài)的保護已經(jīng)不能適應今天的需要了。信息保障技術框架提出保障信息安全必須考慮保護、檢測、反應和恢復四個動態(tài)反饋的環(huán)節(jié)。保障體系采用深度防御方式，目的是能夠使攻破一層或一類保護的攻擊行為無法破壞整個信息基礎設施。圖SEQ圖\*ARABIC1信息安全保障技術框架信息安全建設必要性

XXX辦公自動化工作經(jīng)過近年來的努力,取得了可喜的進展。一是計算機應用普及率大幅度提高,辦公業(yè)務管理和信息管理系統(tǒng)已經(jīng)普遍建立和使用,辦公電腦化、網(wǎng)絡化正在逐步推進。二是辦公網(wǎng)絡建設步伐加快,許多單位已建成支持辦公業(yè)務的內部局域網(wǎng)絡,一些部門上下聯(lián)網(wǎng)初具規(guī)模,縱向聯(lián)網(wǎng)等到廣泛發(fā)展。三是初步形成了業(yè)務應用的數(shù)據(jù)庫體系,積累了一定的電子信息資源。注重應用系統(tǒng)和信息資源開發(fā),開通網(wǎng)上綜合業(yè)務,實現(xiàn)辦公業(yè)務的規(guī)范化、電子化、網(wǎng)絡化,全面提高工作質量和工作效率,改善指揮調度手段,增強快速反應能力,為各單位提供多媒體通信服務、綜合信息服務和決策支持服務,促進管理現(xiàn)代化、決策科學化等方面的發(fā)展。項目背景項目背景與現(xiàn)狀根據(jù)用戶實際網(wǎng)絡情況進行描述隨著網(wǎng)絡技術的發(fā)展和網(wǎng)絡應用的快速普及，計算機病毒已經(jīng)向網(wǎng)絡病毒進化，僅采用網(wǎng)絡版殺毒軟件已經(jīng)不能滿足XXX網(wǎng)絡防病毒安全保障的需求，需要大力加強病毒防范和綜合治理的力度。同時，病毒技術和黑客攻擊技術也已經(jīng)基本趨于融合。因此，對病毒的防護必須從單機或普通網(wǎng)絡病毒防護走向整體病毒疫情掌控、病毒趨勢分析、病毒形式評估良性軌道來。面對網(wǎng)絡病毒的威脅，單獨的殺毒軟件的被動殺毒方式已經(jīng)明顯不能滿足目前病毒防范的實際需求，因此，如何充分利用現(xiàn)有安全基礎設施，采納最新的防病毒、反黑客技術手段，建立全網(wǎng)防御、整體作戰(zhàn)的綜合防治體系對整體網(wǎng)絡進行全面監(jiān)控，是目前所面臨的一項重要任務。目前,XXX信息網(wǎng)上主要的風險是存在計算機病毒大面積侵害運行網(wǎng)絡的可能，但，現(xiàn)在還沒有對各種病毒進行全局監(jiān)控和預警、防范的保障措施，沒有全面的對病毒事件的大面積發(fā)作的處理預案，XXX信息網(wǎng)絡的正常運行就會受到嚴重的威脅。因此，必須從全局出發(fā)，以防為主、防殺結合，建立以省局為中心，防病毒廠商為技術支持單位的計算機病毒聯(lián)合防范管理體系，依托集病毒監(jiān)測等技術為一體的強大技術支撐系統(tǒng)，構筑成為整體網(wǎng)絡的病毒預警防范體系。對發(fā)生在XXX信息網(wǎng)絡上的病毒事件做到早預防、早發(fā)現(xiàn)、早報警、早清殺，及時分發(fā)系統(tǒng)漏洞補丁并加以修補，最大程度地降低病毒事件對信息網(wǎng)造成的安全風險。建設目標與任務以XXX信息中心為核心，在XXX信息中心建立起融組織管理和技術支撐為一體的全網(wǎng)病毒預警、防范體系，最大限度地消除計算機病毒在信息網(wǎng)上的生存環(huán)境，有效地清除信息網(wǎng)上的各種病毒，遏制信息網(wǎng)上病毒的大面積發(fā)作。實現(xiàn)整體網(wǎng)絡統(tǒng)一的病毒預警、防范管理，保障信息網(wǎng)安全運行。XXX信息網(wǎng)病毒預警體系建設有以下任務：在省局核心交換節(jié)點上部署網(wǎng)絡病毒監(jiān)測系統(tǒng)，實時檢測和發(fā)現(xiàn)網(wǎng)絡病毒，結合整個網(wǎng)絡IP地址規(guī)劃和計算機注冊定位信息，形成覆蓋全網(wǎng)的網(wǎng)絡病毒宏觀分析、研判與協(xié)調處置系統(tǒng)，建立整體信息網(wǎng)病毒預警和通報機制，并通過計算機病毒處理預案和應急響應、處置環(huán)境的建設，及時處理緊急病毒爆發(fā)事件。項目的主要功能1、計算機病毒監(jiān)測：通過對被監(jiān)控網(wǎng)絡的傳播數(shù)據(jù)進行實時監(jiān)測，對相關協(xié)議進行分析，獲取計算機病毒特征碼，并獲取其傳播源ip和傳播目的Ip，達到監(jiān)測預警的效果。2、分析預警：在XXX信息網(wǎng)絡安全報警處置中心建設網(wǎng)絡安全預警分析系統(tǒng)后臺，匯總網(wǎng)絡安全探針的監(jiān)測預警信息，對整個網(wǎng)絡計算機病毒的傳播的發(fā)作、傳播動態(tài)進行分析，掌握網(wǎng)絡安全動態(tài)，生成網(wǎng)絡安全預警分析報告?？傮w目標1、通過積極防御、綜合防范，全面提高公安網(wǎng)絡安全防護能力，重點防護專用網(wǎng)絡；2、創(chuàng)建安全健康的網(wǎng)絡環(huán)境，重點防范本地重點；3、通過信息化的手段建設XXX信息網(wǎng)絡安全防范監(jiān)測預警系統(tǒng)。

安全方案的依據(jù)和原則瑞星網(wǎng)絡預警系統(tǒng)設計原則為適應XXX網(wǎng)絡發(fā)展的需要，系統(tǒng)按照XXX網(wǎng)絡安全預警和綜合管理的需求來設計。探針和系統(tǒng)監(jiān)控中心接口通訊格式和開發(fā)接口開放，便于不同廠商產(chǎn)品整合部署。瑞星網(wǎng)絡安全預警系統(tǒng)，采用集中管理的分布式網(wǎng)絡監(jiān)測體系結構，支持多級部署。系統(tǒng)包括系統(tǒng)監(jiān)控中心、多種類型的監(jiān)測探針組成。監(jiān)測探針負責從被檢測網(wǎng)絡上收集特定的安全信息、事件并根據(jù)配置上報到系統(tǒng)監(jiān)控中心，監(jiān)測探針主要收集網(wǎng)絡里的計算機病毒情況。系統(tǒng)監(jiān)控中心負責接收、存儲和分析監(jiān)測探針檢測到的安全事件。XXX網(wǎng)絡部署的瑞星網(wǎng)絡安全預警的設計必須堅持以下原則：1、安全性瑞星網(wǎng)絡安全預警對網(wǎng)絡的順利運行有非常重要的作用，其自身安全性是非常重要的。因此要求瑞星網(wǎng)絡安全預警具有抗攻擊能力，有很好的數(shù)據(jù)傳輸、存儲安全性保障。2、可靠性瑞星網(wǎng)絡安全預警的實施不能影響業(yè)務的正常運行與可靠性，系統(tǒng)自身應能長期穩(wěn)定、可靠的運行，不受其它應用軟件和環(huán)境的影響。3、高效性瑞星網(wǎng)絡安全預警的實施必須最大限度保證網(wǎng)絡中業(yè)務的運行效率，不影響網(wǎng)絡和計算機終端資源的正常使用。4、可擴展性瑞星網(wǎng)絡安全預警的建設在最大限度考慮用戶現(xiàn)有投資的基礎上必須考慮到未來發(fā)展的需要，系統(tǒng)必須基于標準的網(wǎng)絡協(xié)議，具有良好的可擴展性和良好的可升級性。5、易用性瑞星網(wǎng)絡安全預警的實施、安裝應簡單，配置、操作方便，便于升級與維護。6、可管理性瑞星網(wǎng)絡安全預警必須支持集中管理和分級分區(qū)授權管理。系統(tǒng)建設目標為有效防范病毒的入侵、傳播和對系統(tǒng)的破壞，需要引入一套先進的瑞星網(wǎng)絡安全預警系統(tǒng)，實現(xiàn)全方位、多層次的整體防護，瑞星網(wǎng)絡安全預警的建設目標如下：對XXX網(wǎng)絡中的病毒狀況進行統(tǒng)一的病毒監(jiān)測，及時匯總病毒信息，構建完備、協(xié)調、高效的預警體系。實時數(shù)據(jù)流監(jiān)測，有效數(shù)據(jù)的匯總和分析，形成對網(wǎng)絡中的病毒情況的總體報告和趨勢分析，為宏觀決策提供依據(jù)。在本期瑞星網(wǎng)絡安全預警建設中，在省局核心交換機上做端口鏡像，部署瑞星網(wǎng)絡安全預警，對病毒實時數(shù)據(jù)流監(jiān)測系統(tǒng)，在司法廳、省法院、武警部隊及16個監(jiān)獄系統(tǒng)分別在核心交換機上做端口鏡像部署網(wǎng)絡病毒實時數(shù)據(jù)流監(jiān)測設備，監(jiān)測本單位的實時病毒安全狀況。在省局部署一臺總的管理中心管理所有單位的監(jiān)測設備，形成統(tǒng)一管理對網(wǎng)絡中出現(xiàn)的病毒情況（新病毒出現(xiàn)，病毒大規(guī)模爆發(fā)等）進行統(tǒng)一的報警，并具有多種預警方式（聲音提示、電子郵件等），并能夠進行快速應急響應。

XXX網(wǎng)絡安全預警需求分析XXX網(wǎng)絡安全風險分析當前的XXX把眾多的業(yè)務建立在日益復雜的解決方案計劃之上。而核心業(yè)務流程很可能分布在幾個系統(tǒng)之中，這些系統(tǒng)均包含不同的應用程序與技術。當它們以最優(yōu)的性能支持業(yè)務時，這些解決方案在管理能力、可靠性、可用性以及性能方面也蘊含著潛在的風險。安全管理的問題。企業(yè)的安全管理制度是否得到了有效貫徹，安全運作流程是否能夠有效實施，以前無法衡量。安全管理平臺可幫助企業(yè)利用技術與管理手段有效解決安全管理的問題：海量數(shù)據(jù)的問題。企業(yè)面臨著來自異構系統(tǒng)、平臺和應用的安全數(shù)據(jù)的沖擊，它們都以不同方式產(chǎn)生信息，且以不同的格式呈現(xiàn)、存儲在不同的地方，并且報告不同的內容，而這每天數(shù)以百萬條信息淹沒了安全基礎設施；信息孤島的問題。各種安全設備間缺少信息層互通能力，各自為營。降低了系統(tǒng)整體的運作效率，增加了安全事件的發(fā)現(xiàn)時間和響應時間；實時監(jiān)控的問題。對整個網(wǎng)絡的安全威脅形勢、安全漏洞情況、安全事件情況和綜合安全風險情況無法提供準確、實時的分析數(shù)據(jù)；業(yè)務安全的問題。業(yè)務始終是一個企業(yè)發(fā)展的核心，如何保障業(yè)務的安全至關重要?，F(xiàn)有安全技術側重保障某特定資源，但業(yè)務應用系統(tǒng)一般都由眾多IT資源組合構成，如何從業(yè)務整個流程上進行安全保障尤為關鍵；持續(xù)改進的問題。安全管理需要不斷對處理過的安全事件進行總結，不斷更新安全知識庫，不斷改進安全運維流程，以及不斷完善安全管理制度等，因而需要有效的管理手段來實現(xiàn)持續(xù)改進。XXX網(wǎng)絡安全需求分析需要精準的實時安全威脅阻斷近期的安全事件，均可以穿透已部署的防火墻，嚴重影響關鍵的業(yè)務應用，主要是由于防火墻無法充分防范新的混合型威脅攻擊；同時在企業(yè)內部網(wǎng)絡大面積部署防火墻也是不恰當?shù)摹Ｐ枰獛挶Ｗo措施大量的與業(yè)務無關的無用網(wǎng)絡流量，例如peer-to-peer應用及文件共享等，日益成為聯(lián)通網(wǎng)絡新的威脅來源，它們會明顯的消耗正常的網(wǎng)絡帶寬，破壞網(wǎng)絡的可用性，間接影響正常的業(yè)務運作。需要更少的用戶運維正在試圖運用前瞻性防護應對日益增長的各類威脅，瑞星網(wǎng)絡安全預警系統(tǒng)盡可能的節(jié)省人員的干預和維護成本，將有限的IT資源留給更重要的網(wǎng)絡和系統(tǒng)管理任務。病毒的威脅數(shù)據(jù)在網(wǎng)絡的傳播過程中，很難避免有害信息的侵入，目前對網(wǎng)絡危害程度最大、波及面最廣的是計算機病毒和網(wǎng)絡攻擊，病毒和網(wǎng)絡攻擊的入侵不但造成系統(tǒng)運行效率降低、網(wǎng)絡堵塞，而且會造成信息、數(shù)據(jù)、文件損壞與丟失，還有可能造成信息泄露。

瑞星網(wǎng)絡安全預警系統(tǒng)方案設計綜上所述，XXX把眾多復雜的業(yè)務建立在分散的網(wǎng)絡及應用系統(tǒng)之上。缺少統(tǒng)一的管理，和一套優(yōu)良的風險預警機制。建立一套切實可行的風險預警機制已經(jīng)迫在眉睫。建議采用瑞星公司研發(fā)生產(chǎn)的瑞星網(wǎng)絡安全預警作為解決方案。方案簡述本方案描述了采用瑞星公司的瑞星網(wǎng)絡預警系統(tǒng)為XXX網(wǎng)絡構建的整體的網(wǎng)絡防病毒系統(tǒng)，該方案貫徹了如下三點整體防毒的基本設計思想：風險預警機制建立預警性保護服務大大降低了您的總擁有成本(TotalCostofOwnership,TCO)，并且將故障風險降到最低。我們通過以下服務可以達到這些目的：成熟的產(chǎn)品可以縮短您的項目周期，這樣可以幫助您用最少的資源完成上線投產(chǎn)。提供技術指導以幫助您將不必要的工作減到最少，并且避免其復雜化。確保您的解決方案在運行中始終保持最優(yōu)的性能、最大可用性和可維護性。預防性保護服務節(jié)省了您的時間和金錢。您將分享瑞星網(wǎng)絡預警系統(tǒng)的豐富經(jīng)驗，并且從一開始就避免了系統(tǒng)的復雜化。對您的關鍵任務流程來說，預防性保護服務的價值顯得尤為重要——因為如果這些流程出現(xiàn)問題，您將會遭受巨大的經(jīng)濟損失。集中監(jiān)控管理沒有集中管理的防毒系統(tǒng)是無效的網(wǎng)絡防毒系統(tǒng)。在XXX網(wǎng)絡的網(wǎng)絡防病毒方案中，我們在XXX省局部署了瑞星網(wǎng)絡預警系統(tǒng)總控制中心來管理整個網(wǎng)絡預警系統(tǒng)。包括本級的病毒探針、下級網(wǎng)絡的網(wǎng)絡預警系統(tǒng)分中心。分級監(jiān)控管理根據(jù)XXX的實際情況，我們把XXX的瑞星網(wǎng)絡安全預警劃分為兩級：第一級，即省局；第二級，司法廳、省法院、武警部隊及16個下級系統(tǒng)。其各自在職能上既相對獨立又相互統(tǒng)一，所以在部署防病毒體系時，我們既考慮統(tǒng)一集中管理，也考慮到分級監(jiān)控管理，即建立多級防病毒管理體系。在本方案中，針對XXX網(wǎng)絡，我們考慮建立二級防病毒管理結構。即在XXX的省局信息中心處建立一級網(wǎng)絡預警中心(總中心)，在各二級單位網(wǎng)絡中建立二級預警管理中心(分中心)，各級中心主要負責監(jiān)控和管理本級網(wǎng)絡防病毒情況，同時，上級中心可以監(jiān)控管理下級中心病毒情況。實施范圍XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXx系統(tǒng)配置在XXX省局網(wǎng)絡核心交換機上部署一套網(wǎng)絡預警系統(tǒng)，包括瑞星網(wǎng)絡安全預警總中心及分中心中心和病毒探針?？傮w設計建立分級的瑞星網(wǎng)絡安全預警管理體系由于XXX網(wǎng)絡的環(huán)境，在此瑞星網(wǎng)絡安全預警的解決方案中，我們建議使用二級瑞星網(wǎng)絡安全預警管理體系來進行全網(wǎng)病毒集中的監(jiān)控和管理。二級系統(tǒng)中心的劃分可以按地理、行政網(wǎng)段劃分，也可以按計算機數(shù)量劃分，或依照行政單位劃分。在本方案中，二級防病毒體系主要是按照行政單位來劃分的。首先，在XXX的省局網(wǎng)絡信息中心建立一級瑞星網(wǎng)絡安全預警管理中心，同時在XXX網(wǎng)絡核心交換機上部署部署病毒探針及分中心實時監(jiān)測數(shù)據(jù)流中的病毒。其次，在各二級單位部署二級瑞星網(wǎng)絡安全預警的分中心。綜上所設計，在整個內部網(wǎng)絡中構建了一套二級結構的瑞星網(wǎng)絡安全預警管理防范體系。每級系統(tǒng)中心可以獨立運行，實現(xiàn)對屬于本級的防病體系的毒監(jiān)控，并將本中心內病毒爆發(fā)情況的統(tǒng)計信息上報給一級系統(tǒng)中心(總中心)的管理者。多級管理體系實現(xiàn)的功能上級中心可以對下級進行管理，并接收由下級傳送過來的數(shù)據(jù)。下級定時收集本中心系統(tǒng)的病毒信息，在分析處理后上傳到上級中心，以便上級及時得到下級的病毒信息，及時做出相應的處理。這樣既避免了由于過度的信息傳輸給網(wǎng)絡資源造成的影響，也能夠及時讓管理員得到最新的病毒分布情況。匯集網(wǎng)絡版殺毒軟件病毒日志信息統(tǒng)一評估整體病毒趨勢通過對網(wǎng)絡中統(tǒng)一部署的防病毒系統(tǒng)日志的統(tǒng)一收集、匯總和分析，形成對網(wǎng)絡中的病毒情況的總體報告和趨勢分析，為宏觀決策提供依據(jù)。報告具有多種標識功能（說明、圖表、曲線等）。報告能提供報告期內病毒事件的匯總和歸類統(tǒng)計數(shù)據(jù)。報告包括：報告期內病毒分布圖、病毒事件種類、發(fā)生時間、中毒文件傳輸目的地、被感染的機器和文件、病毒清除狀態(tài)。詳細部署設計XXX網(wǎng)絡預警系統(tǒng)項目中心（總中心）監(jiān)控管理體系位置瑞星網(wǎng)絡安全預警管理中心部署位置一級瑞星網(wǎng)絡安全預警中心部署在XXX省局，它位于瑞星網(wǎng)絡安全預警系統(tǒng)的最高層（第一層）。瑞星網(wǎng)絡安全預警探及分中心針部署位置病毒探針及分中心的部署要求為：在各單位核心交換機部署，需要鏡像端口，采用旁路部署病毒探針的數(shù)量與部署位置為：在各單位核心交換機分別部署具有千兆能力的病毒實時數(shù)據(jù)流監(jiān)測設備一套，監(jiān)視病毒傳播狀況；監(jiān)控管理體系的作用瑞星網(wǎng)絡安全預警管理中心實現(xiàn)的主要功能包括：網(wǎng)絡整體安全進行宏觀的調控；幫助網(wǎng)絡安全狀況制定統(tǒng)一的策略，最大限度地利用現(xiàn)有資源，發(fā)揮整體優(yōu)勢，保障網(wǎng)絡安全；瑞星網(wǎng)絡安全預警探針實現(xiàn)的主要功能包括：具備對已知病毒的檢測能力，能夠檢測通過常用網(wǎng)絡協(xié)議(http、pop3、smtp等)傳播的網(wǎng)絡病毒；能夠通過網(wǎng)絡病毒行為分析檢測病毒；具有對未知病毒的檢測能力；病毒實時數(shù)據(jù)流監(jiān)測設備提供每天一次以上的病毒特征庫升級；具備多級和統(tǒng)一集中管理能力，瑞星網(wǎng)絡安全預警管理中心能夠配置病毒實時數(shù)據(jù)流監(jiān)測設備的策略，病毒實時數(shù)據(jù)流監(jiān)測設備具有病毒事件的上報功能，實現(xiàn)病毒預警統(tǒng)一管理。一級防病毒監(jiān)控管理體系主要作用是對XXX網(wǎng)絡整體進行病毒監(jiān)控和管理，同時，可以對下級防病毒監(jiān)控管理體系進行統(tǒng)一監(jiān)控和管理，另外，一級防病毒管理體系也負責接收下級防病毒監(jiān)控管理體系病毒信息，可以對全網(wǎng)病毒部分和爆發(fā)狀況進行統(tǒng)一管理。監(jiān)控管理體系的組成和功能瑞星網(wǎng)絡安全預警系統(tǒng)主要由總中心、分中心、病毒探針協(xié)同工作，共同完成對整個網(wǎng)絡的病毒預警及管理工作。整個系統(tǒng)的功能如下：1、系統(tǒng)采用B/S的管理架構，管理、維護方便，移動性強。2、通過對網(wǎng)絡中的病毒進行匯總和分析，形成對整個網(wǎng)絡中的病毒情況的總體報告和趨勢分析，為宏觀決策提供依據(jù)。報告需具有多種標識功能（說明、圖表、曲線等）。報告能提供報告期內全網(wǎng)的病毒事件的匯總和歸類統(tǒng)計數(shù)據(jù)。3、具備多級統(tǒng)一集中管理能力，瑞星網(wǎng)絡安全預警管理中心能夠統(tǒng)一管理各下級設備；4、對網(wǎng)絡中出現(xiàn)的病毒情況（新病毒出現(xiàn)、病毒大規(guī)模爆發(fā)等）進行統(tǒng)一的病毒報警。病毒預警重點應為網(wǎng)絡型病毒，并具有多種預警方式（桌面消息、聲音提示、電子郵件、短信等）。5、系統(tǒng)具有可疑病毒文件或代碼的提交功能；6、系統(tǒng)具有對病毒源頭的跟蹤能力；7、系統(tǒng)支持管理權限分配，上級管理員可下發(fā)管理權限，系統(tǒng)應該能夠兼容其它安全、應用系統(tǒng)的授權認證管理，支持用戶實現(xiàn)單點登錄。8、XXX網(wǎng)絡預警系統(tǒng)項目部署的千兆病毒實時數(shù)據(jù)流監(jiān)測設備具備以下能力：具備對已知病毒的檢測能力，能夠檢測通過常用網(wǎng)絡協(xié)議(http、pop3、smtp等)傳播的網(wǎng)絡病毒；能夠通過網(wǎng)絡數(shù)據(jù)流病毒行為分析檢測；具有對未知病毒的檢測能力；病毒實時數(shù)據(jù)流監(jiān)測設備提供至少每天1次的病毒特征庫升級；各二級單位（分中心）監(jiān)控管理體系位置瑞星網(wǎng)絡安全預警分中心部署在XXXXXXXXXXXXXXX系統(tǒng)處，它位于整個瑞星網(wǎng)絡安全預警系統(tǒng)的二級（第二層）。監(jiān)控管理體系的作用瑞星網(wǎng)絡安全預警分中心部署在XXX網(wǎng)絡二級單位，它位于整個瑞星網(wǎng)絡安全預警系統(tǒng)的二級（第二層）。二級瑞星網(wǎng)絡安全預警管理體系主要作用是對本系統(tǒng)內的所有病毒進行監(jiān)測，同時，二級防病毒監(jiān)控管理體系也接受一級防病毒監(jiān)控管理體系的監(jiān)控管理。監(jiān)控管理體系的組成和功能二級瑞星網(wǎng)絡安全預警主要由集中病毒管理分中心構成，共同完成對整個網(wǎng)絡的病毒預警及管理工作。系統(tǒng)采用B/S的管理架構，管理、維護方便，移動性強。通過對本級網(wǎng)絡范圍內的病毒收集、匯總和分析，形成對網(wǎng)中的病毒情況的總體報告和趨勢分析，為宏觀決策提供依據(jù)。報告需具有多種標識功能（說明、圖表、曲線等）。報告能提供報告期內本網(wǎng)絡病毒的匯總和歸類統(tǒng)計數(shù)據(jù)。、部署后達到的效果病毒的發(fā)現(xiàn)可以對網(wǎng)絡中的病毒狀況進行集中統(tǒng)一的病毒監(jiān)測，構建完備、協(xié)調、高效的預警體系。在病毒發(fā)作、網(wǎng)絡攻擊的初期進行提前預警，進行科學的評估，采取各種有效的手段，努力把風險發(fā)生的可能性降到最小，在現(xiàn)代病毒安全事件中，檢測是現(xiàn)代網(wǎng)絡安全模型中重要的一部分，瑞星網(wǎng)絡預警系統(tǒng)可實時檢測網(wǎng)絡內的病毒攻擊；同時網(wǎng)絡蠕蟲病毒發(fā)作時，也會向網(wǎng)絡發(fā)送大量的病毒包，造成整體網(wǎng)絡堵塞和癱瘓，瑞星網(wǎng)絡預警系統(tǒng)可以在蠕蟲爆發(fā)的初期進行報警，采用有效的手段，可以避免對網(wǎng)絡造成的危害。病毒監(jiān)控如下圖：圖SEQ圖\*ARABIC2預警系統(tǒng)管理中心病毒監(jiān)控截圖查找病毒源，定位風險，為有效處理病毒提供依據(jù)瑞星網(wǎng)絡預警系統(tǒng)整理大量的互聯(lián)網(wǎng)真實IP地址所在地相關信息，同時也支持用戶自行導入和添加IP地址庫。在分析網(wǎng)絡安全事件時，可以單擊相關IP確定該IP地址的物理位置，查找病毒源，定位風險，為有效處理病毒提供依據(jù)，準確的定位，如下圖：圖SEQ圖\*ARABIC3預警系統(tǒng)管理中心病毒定位截圖發(fā)現(xiàn)未知病毒，解決新病毒爆發(fā)帶的風險瑞星網(wǎng)絡預警系統(tǒng)擁有網(wǎng)絡行為判斷技術，能夠有效的檢測未知病毒，解決新病毒爆發(fā)帶的風險，對網(wǎng)絡中出現(xiàn)的病毒情況（新病毒出現(xiàn)，病毒大規(guī)模爆發(fā)等）進行統(tǒng)一的報警，并具有多種預警方式（聲音提示、電子郵件等），并能夠進行快速應急響應。圖SEQ圖\*ARABIC4瑞星行為判斷技術示意圖獨有的智能分析技術，發(fā)現(xiàn)異常網(wǎng)絡安全問題對http協(xié)議、pop3協(xié)議、Smtp協(xié)議完整的協(xié)議解析，對正常網(wǎng)絡建模，提供異常網(wǎng)絡流對比分析，結合管理中心所生成的動態(tài)策略杜絕網(wǎng)絡中黑客攻擊的一切來源，同時還能夠追蹤攻擊的源頭，以便網(wǎng)絡警察取證。圖SEQ圖\*ARABIC5異常流量分析截圖安全事件的關聯(lián)分析針對病毒探針和防攻擊探針所報告的大量網(wǎng)絡安全事件，在無法人為的對其進行分析和整理時，就需要管理系統(tǒng)能夠將各類網(wǎng)絡安全事件歸納總結在一起，然后存入數(shù)據(jù)庫，方便進行管理查詢。網(wǎng)絡安全預警系統(tǒng)的管理中心所具有的大容量存儲空間完全能夠長時間存儲網(wǎng)絡安全事件。將各種安全事件集中到管理中心后，對于某些網(wǎng)絡安全事件來說，一臺或者兩臺探針無法探測或者發(fā)現(xiàn)針對整個網(wǎng)絡的安全事件。但是將網(wǎng)絡安全事件結合在一起后并進行歸納總結后，就有可能發(fā)現(xiàn)網(wǎng)絡安全事件的源頭。例如某個網(wǎng)段的攻擊探針發(fā)現(xiàn)該網(wǎng)絡被掃描，可以確定是公司內部一臺主機A所為。但同時，病毒探針發(fā)現(xiàn)另外一臺主機B通過遠程植入方式,將木馬或者掃描程序植入主機A，管理中心即可根據(jù)這兩條網(wǎng)絡安全事件判斷掃描特定網(wǎng)絡的真正源頭是B而不是A,從而確定真正的影響網(wǎng)絡的源頭。圖SEQ圖\*ARABIC6安全事件關聯(lián)分析示意圖實時數(shù)據(jù)流監(jiān)測，有效數(shù)據(jù)的匯總和分析瑞星網(wǎng)絡預警系統(tǒng)可以實時數(shù)據(jù)流監(jiān)測，有效數(shù)據(jù)的匯總和分析，形成對網(wǎng)絡中的病毒情況的總體報告和趨勢分析，為宏觀決策提供依據(jù)，動態(tài)調整安全防護體系。病毒信息總覽圖圖SEQ圖\*ARABIC7病毒信息總覽統(tǒng)計圖管理員也可以根據(jù)關心的數(shù)據(jù)項來生成報表，比如所關心的源IP、目的IP或者病毒名稱等。管理員也可以查詢一段特定時間內的網(wǎng)絡安全事件，并生成報告，對以往的安全事件進行匯總，預見未來病毒的趨勢。如圖;圖SEQ圖\*ARABIC8病毒來源統(tǒng)計表和餅形圖圖SEQ圖\*ARABIC9病毒趨勢分析截圖集中管理和控制，瑞星網(wǎng)絡安全預警系統(tǒng)是一套集中管理的網(wǎng)絡安全系統(tǒng)，并且所有管理功能都是基于瀏覽器來完成，無需另外安裝附加軟件，僅需要瀏覽器和SSL支持，管理員可以通過總中心可對整個網(wǎng)絡安全預警系統(tǒng)進行安全管理，總中心負責接收管理員的命令，然后分發(fā)到各個相關網(wǎng)絡預警分中心，分中心再自動分發(fā)給病毒探針，大大減少了管理工作。同時可以幫助網(wǎng)絡安全狀況制定統(tǒng)一的策略，最大限度地利用現(xiàn)有資源，發(fā)揮整體優(yōu)勢，保障網(wǎng)絡安全。

瑞星網(wǎng)絡安全預警系統(tǒng)功能介紹零拷貝技術在現(xiàn)在的操作系統(tǒng)中，因為安全等因素將用戶空間和內核空間完全分離。在用戶進程和內核進程交換數(shù)據(jù)時，就需要將數(shù)據(jù)從兩個空間來回拷貝。為了提高交換數(shù)據(jù)的效率，很多操作系統(tǒng)都是直接用匯編來實現(xiàn)這一功能。但是在拷貝過程還是會影響程序的運行性能，不過這在一些通常的應用過程中體現(xiàn)了極大的安全優(yōu)勢。但是在用戶空間和內核空間進行大量數(shù)據(jù)交換時，數(shù)據(jù)拷貝過程將占用程序CPU運行時間的很大的比例。這樣勢必會極大的影響程序處理數(shù)據(jù)的能力。通過對系統(tǒng)內核程序的修改和驅動程序的修改與優(yōu)化，以及對用戶空間的程序的修改與優(yōu)化，瑞星研發(fā)了一種特殊的拷貝技術，即：數(shù)據(jù)在內核和用戶空間內共享的數(shù)據(jù)“零拷貝”技術。通過特殊的技術在用戶空間和內核空間共享數(shù)據(jù)，同時又利用一種良好的安全策略來保證內核和用戶程序分別對共享的數(shù)據(jù)進行讀寫而不會產(chǎn)生安全問題。在不損失操作系統(tǒng)原有的安全性的情況下，減少拷貝數(shù)據(jù)的時間，使整個系統(tǒng)將時間片全部集中在數(shù)據(jù)處理上。不但有效的利用CPU時間，而且也減少了系統(tǒng)資源的占用。利用零拷貝技術，使病毒監(jiān)測探針的監(jiān)測能力呈數(shù)量級的提升。由原來的百兆到現(xiàn)在的千兆！圖SEQ圖\*ARABIC10零拷貝技術原理圖能夠查獲1000000種的病毒引擎完全自主開發(fā)的瑞星殺毒引擎是查獲病毒的有力保障，每一版病毒引擎的推出，都意味著更多的平臺支持，更多的功能，更完美的實現(xiàn)。病毒探針所用的病毒查殺引擎完全使用瑞星最優(yōu)化和改進的病毒查殺引擎。優(yōu)化和改進主要針對以下方面：病毒探針是完全基于網(wǎng)絡的防病毒系統(tǒng)，傳統(tǒng)殺毒引擎不能處理網(wǎng)絡數(shù)據(jù)，無法對網(wǎng)絡中的數(shù)據(jù)進行病毒的查獲。這需要在處理網(wǎng)絡數(shù)據(jù)方面對病毒引擎做改進，使其能夠分析網(wǎng)絡數(shù)據(jù)流中包含的病毒。病毒探針所應用的病毒引擎為瑞星最新殺毒引擎改進而成，不但擁有瑞星病毒殺毒引擎的所有功能和特點，而且是能夠查獲網(wǎng)絡數(shù)據(jù)流中的病毒的“流引擎”。能夠查獲未知病毒引擎病毒探針由于反病毒引擎采用了虛擬機技術，發(fā)現(xiàn)在對捕獲的疑似病毒樣本定義時，系統(tǒng)的病毒庫中沒有所匹配的病毒特征碼而無法確定名稱，將這類病毒確認為未知病毒并上報到管理控制中心。這種機制保證了系統(tǒng)不會放過任何有危險的病毒。支持千兆網(wǎng)絡的處理能力通過定制千兆網(wǎng)卡驅動，系統(tǒng)捕包的能力幾乎達到了現(xiàn)有千兆網(wǎng)絡設備的極限。完全可以應用于電信機房等中心骨干網(wǎng)絡中。圖SEQ圖\*ARABIC11千兆處理能力測試結果檢測口無IP地址理論上，任何網(wǎng)絡安全設備在能夠連通外部網(wǎng)絡情況下，都不能保證100％的安全。但是對于病毒探針和防攻擊探針來說，監(jiān)測口在能夠獲取網(wǎng)絡數(shù)據(jù)的前提下，擁有一個不完全的TCP/IP實現(xiàn)。不完全的TCP/IP實現(xiàn)保證了監(jiān)測口無法和外部通訊，同時，管理口完全可以處在和外部網(wǎng)絡物理隔絕的核心網(wǎng)絡，達到管理和監(jiān)測分離的部署方式。圖SEQ圖\*ARABIC12預警系統(tǒng)不完全TCP/IP實現(xiàn)方式完善的升級機制和迅速更新的特征庫瑞星防病毒監(jiān)測網(wǎng)遍布全世界，能夠在最短時間內得到病毒樣本，完全獨立的24小時反病毒小組確保在最短時間分析出新的病毒特征并經(jīng)過測試后加入我們的病毒特征庫，然后提供網(wǎng)上升級。使病毒在小規(guī)模或者局部地區(qū)爆發(fā)后被扼殺在搖籃。雖然我們的病毒引擎具有未知病毒的查獲能力和病毒行為的預判斷能力，也不能保證在病毒以一種非常規(guī)的或者以一種全新的方式來運行和傳播時都能夠對其有效的查獲。這就需要用戶定期更新病毒庫讓病毒探針工作在最好的狀態(tài)，讓病毒在大規(guī)模爆發(fā)前就被扼殺在搖籃之中，起到網(wǎng)絡安全預警系統(tǒng)真正的預警功能。網(wǎng)絡預警系統(tǒng)的管理中心可以按照預先設定的時間間隔定期訪問瑞星網(wǎng)站，一旦發(fā)現(xiàn)新的更新數(shù)據(jù)，將立即下載到本地，然后分發(fā)到特定的探針，保證每個模塊處于最良好的狀態(tài)。不會對影響網(wǎng)絡安全的事件視而不見。如果在一些核心的應用中，網(wǎng)絡安全預警系統(tǒng)所處的網(wǎng)絡是和互聯(lián)網(wǎng)物理隔絕的，管理中心無法自動升級，管理員可以選擇手動升級的方式來升級整個系統(tǒng)。安全事件的關聯(lián)分析針對病毒探針所報告的大量網(wǎng)絡安全事件，在無法人為的對其進行分析和整理時，就需要管理中戲能夠將各類網(wǎng)絡安全事件歸納總結在一起，然后存入數(shù)據(jù)庫，方便進行管理查詢。網(wǎng)絡安全預警系統(tǒng)的管理中心所具有的大容量存儲空間完全能夠長時間存儲網(wǎng)絡安全事件。在各種安全事件集中到管理中心后，對于某些網(wǎng)絡安全事件來說，一臺或者兩臺探針無法探測或者發(fā)現(xiàn)針對整個網(wǎng)絡的安全事件。但是將網(wǎng)絡安全事件結合在一起后并進行歸納總結后，就有可能發(fā)現(xiàn)網(wǎng)絡安全事件的源頭。例如，某個網(wǎng)段的防攻擊探針發(fā)現(xiàn)該網(wǎng)絡被掃描，可以確定是公司內部一臺主機A所為。但同時，病毒探針發(fā)現(xiàn)另外一臺主機A通過遠程植入方式，將木馬或者掃描程序植入主機B，管理中心即可根據(jù)這兩條網(wǎng)絡安全事件判斷掃描特定網(wǎng)絡的真正源頭是A而不是B,，從而確定真正的影響網(wǎng)絡的源頭。迅速定位安全事件相關IP地址的物理位置瑞星公司整理了大量的互聯(lián)網(wǎng)真實IP地址所在地相關信息，同時也支持用戶自行導入和添加IP地址庫。在分析網(wǎng)絡安全事件時，可以點擊相關IP確定該IP地址的物理位置。圖SEQ圖\*ARABIC13安全事件定