Dr.Web® 反病毒程序
企业套装
防病毒网络体系解决方案
深圳市福义轩信息技术有限公司
第1章 前 言
随着企业信息化的不断深入,企业的业务对计算机安全的依赖性也不断上升,能否保证数据的安全就变得越来越重要。如果数据因病毒发生丢失,轻则需要耗费大量的人力物力恢复数据,造成业务的长时间停顿;重则造成数据无法恢复,业务无法进行,损失不可估量。造成数据丢失的病毒类型原因很多,最常见的有数据库攻击病毒、木马病毒、硬件性破坏病毒等;且随着企业的规模增大,移动计算使用得越来越频繁,病毒可能分布在从数据中心到普通用户桌面的任何角落,本《方案建议书》则希望能够为企业用户提供一个全面的数据安全保护方案。
保证数据安全最有效的手段虽然是数据备份。但是病毒的侵害可能使得备份的数据依然被感染、破坏。所以病毒防范从另一个侧面来看是保护数据中不可或缺的一环。一旦用户的内网发生大规模病毒侵袭, 再去寻找有利的杀毒软件,那么可以说为时已晚。所以我们需要预先在网络中部署一套可以给予企业最全面、最高效、最经济的杀毒软件。
作为世界互联网安全技术、病毒防范和整体解决方案领域的东欧领导厂商,Dr.Web公司为个人和企业用户提供了全面的病毒防范技术。Dr.Web公司是世界上唯一一家能够脱解4000种以上加壳病毒、多平台支持、多版本通用的企业级病毒安全高可用解决方案的软件公司,在企业生产、传递、接收、管理的整个过程中,Dr.Web公司提供的软件能够确保系统实现高安全性、高扩展性和高可用性。全球众多知名企业在使用Dr.Web公司的软件来达到上述目标。
第2章 企业安全
2.1 企业IT运维系统会碰到的问题
A)不安全的内部网络 —— 直接影响数据的可用性
目前,企业运维系统面临的首要问题就是来自病毒、蠕虫的威胁。病毒、蠕虫很容易通过各种途径入侵企业的内部网络,它们除了利用企业网络安全防护措施的漏洞外,最常见的方式是通过网络用户的各种危险应用,如不安装杀毒软件;安装杀毒软件但未能及时升级;网络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就连接到危险的网络环境中;移动用户计算机位于不明网络环境中,不采取任何措施又连回企业网络;桌面用户在终端使用各种数据介质、软件介质等等,病毒、蠕虫正是通过这些途径在不知不觉中被带入到企业网络中,给企业信息基础设施和企业业务造成无法估量的损失。
B)人为故障 —— 可能对数据可用性造成更大的影响
人为安全因素包括用户由于操作不当造成的数据丢失、破坏或者应用系统的破坏、系统或者应用的用户由于口令选择不当而造成安全漏洞、用户无意泄漏口令或者其它敏感信息、由于对于网络系统访问控制策略的不理解或误操作而将敏感信息暴露给对该信息没有访问权限的人员、系统管理员或者安全管理员,由于安全配置不当或者疏忽造成的网络系统安全漏洞等等 。
对企业网络有意的攻击和破坏可能来源于外部的人员,也可能来源于网络的内部用户。这些行为在技术的实施上可以分为两种:主动攻击和被动攻击。主动攻击指的是通过各种网络技术或手段来破坏网络信息或者系统的机密性、完整性或者可用性。而被动攻击则是指是在不影响网络使用和不破坏信息完整性的情况下对信息进行拦截和窃取。
C)自然灾害和环境干扰
威胁企业网络实体及数据安全的自然因素主要包括两大类:一类是自然灾害,包括地震、水灾、火灾、雷击等自然因素,这些自然因素可以对存储数据的设备和系统造成各种损失;另一类是环境干扰,包括电力中断、电力过载、电压过高、电压过低、电压波动、环境振动、电磁干扰,辐射以及高低温冲击等,这些因素既可能给整个企业网络系统造成服务的中断,也可能只损坏部分的网络设备或主机系统,导致部分网络服务和应用的中断,或者损坏数据存储设备和存储媒体,导致数据的损坏或丢失,还可能干扰数据的传输导致数据完整性受损。
D)硬件自身问题
硬件自身问题一般指物理故障,即造成系统无法正常运行的软硬件损坏,如操作系统故障、应用程序损坏、硬盘故障、主机故障等。常见的几种物理故障包括:
操作系统故障:非法指令造成系统崩溃,系统文件被破坏导致无法重启。
应用程序损坏:缺少文件或程序本身不完善导致程序无法运行。
整机损坏:由于掉电、火灾、地震等造成设备无法运行。
硬盘故障:硬盘是精密的机电设备,安装时的无意磕碰、掉电、电流突然波动等原因都有可能造成设备无法运行。
网络设备故障:传输距离过长、设备添加与移动、传输介质的质量问题和 老化都有可能造成故障。
网络安全问题引起的故障:如系统补丁没有安装而引起病毒攻击导致的硬件问题,进而造成数据的读写失败和数据的损害、丢失。
调查表明,在企业灾难中最容易发生故障的是病毒灾难。病毒灾难在一个系统不完善或并没有防病毒系统的企业内部(发生率为82%),其次是硬件(占11%)和人为(占6%),我们不难了解到,没有良好防病毒体系的公司在当今的INTERNET环境中是多么容易被侵害。
2.2 针对风行牛奶公司网络部署
现在的企业基本上都是树型或者星型的网络结构,也是灵活性部署的体现。现就贵公司的实际情况做如下分析:
贵公司通过INTERNET进来,通过一个防火墙,然后连接ROUTER ,在到switch,最后到USER。根据这个情况,我们可以选用本网内的一台硬件服务器做为“防病毒服务器”(如没有指定或者特定的服务器,可选用配置稍高的PC机代替)。把大蜘蛛防病毒软件的服务器端安装在服务器上,并在上面安装控制台(管理中心),为了保障本服务器的安全,可以在本机也安装大蜘蛛的防病毒客户端。
服务器和控制台部署安装完毕后,就可对下面需要安装的客户端进行安装。安装的方式灵活多样,简单省时。每个客户端安装平均耗时1分钟左右。安装完后无需人为干预它的运行,如升级,扫描病毒,监控等。
2.3 企业Windows平台数据安全应达到的要求
2.3.1 灵活和易于使用
灵活性和易实用性体现在:首先,对现有构架无须大的改动,充分利用现有的硬件和网络设备达到最优的扩展部署。
其次,要具有友好的操作界面,同时可以提供任何地点皆可使用的界面,以方便管理人员随时随地进行远程管理。
再次,应具有集中管理的能力,有层次化的结构。当有多台服务器需要管理的时候,能通过一个管理平台把多台服务器的状态监控起来。
最后,要简单易用,以便用户在最短的时间内可以将内网保护起来。同时,要求杀毒软件有像基于日历的任务管理,方便查阅每天的扫描作业。
由于个人计算机用户的技术能力的参差不齐,使用针对客户端计算机的杀毒工具遵循简单易用的原则。不但可以自动定时扫描个人计算机上的预定数据,还可以提供即时扫描和远程控制扫描等。
2.3.2 先进性
企业Windows平台数据备份系统还应具有先进性,表现在:首先,可以根据需求有各种方法控制扫描,并且其对资源的占用量要非常少。
其次,该系统应具有强大的脱壳能力,可以对系统内部任何一种形式想隐藏行踪的病毒不漏啥。
并且还要支持现有的所有Windows平台,如Win98,WinME,NT4,2000,XP,Vista及Windows 2003,快速安装部署。
第3章 Dr.Web可靠的安全技术
3.1 Dr.Web概述
Dr.Web网络版为Windows系统下的电脑,笔记本和服务器提供集中管理的反病毒保护
Dr.Web网络版目标是为那些具备安全意识的企业提供优秀的解决方案,对于某些企业来说,大部分商业活动的日常运行所依靠的IT系统,一旦出现某些漏洞,即便是最小的漏洞也可能引起时间或资金的损失。Dr.Web网络版拥有精心研发的Dr.Web引擎,能够以行业内最快的速度对新的病毒进行检测,创造了最严密的保护水平。
无论你的商业初始规模有多大,Dr.Web网络版都能够实现机构网络的理想保护。它是一种独一无二集中管理的反病毒解决方案,对大型机构和小型企业都同样有效。该企业套装对病毒和其他恶意程序的高扫描率得到了VB100%奖项的认可和无数荣誉。此外,该软件及时的更新功能使用户能够更加专注自身的业务,同时卓越的杀毒能力可以保护企业的非物质财产。
3.2 病毒查杀技术特点
Dr.Web有独一无二的杀毒技术优势。该技术起源于Origins Tracing™,是一种独特的非特征风险程序运算法则。与传统形式以特征分析为基础的扫描和启发式分析相结合,大大提高了对未知病毒的侦查能力。由新法则侦查出来的恶意目标以Origin为扩展名。
3.2.1 有效的rootkit抵消技术
最近病毒制造者展开各种恶意软件与自我防卫技术来阻止杀毒程序的运行,这就是rootkit技术。Dr.Web添加了一个新的扫描组件来抵制rootkit,组件的名称是Dr.Web Shield™,该组件作为驱动运行后就可以扫描藏在内部的携带病毒目标或者运行系统。这种威胁是非常严重且不易被发觉的,有些非常有代表性的rootkit变种病毒在网络中隐藏多年都不曾被其他杀毒软件所能发现,但是只有Dr.Web能够做到这一点。
最具代表性的当属Win32.Ntldrbot,Win32.Ntldrbot的主要任务是感染计算机,是把计算机转向垃圾邮件蠕虫的蠕虫网——巨大的垃圾邮件网络。然而,rootkit却不能被侦查到。而且,这种行为在2007年10月已经开始了!据安全工作网站称,由Rustock构建的蠕虫是第三大威胁,每天散发大约300亿的垃圾邮件信息,大部分是关于证券和医药类的。
rootkit的开发者在2005年末或者2006年初开始测试新的技术来阻止网络驱动的功能,并隐藏于系统,当恶意程序的第一个beta版出现后,Rustock.B也在2006年活动了。它可以迂回在防火墙之内,并隐藏垃圾邮件流量。反病毒产品的供应商很容易就会扫描出并清除rootkit的变体。
然而,它的另一个变体--- Win32.Ntldrbot,成为了一个艰难的问题。反病毒厂商和病毒制造者都无法获得恶意程序的样本。并没有相关证据来证实此病毒的存在。所以在蠕虫被显示前, 大部分反病毒产品供应商宣称这个恶意程序根本不存在,并称追逐不存在的病毒是没有意义的。
现在,Win32.Ntldrbot成为了事实。
图
一些反病毒实验室看到了这些病毒并不放弃,最后努力的搜索终于有了结果。自从2008年初,Doctor Web有限公司通过分析发现,自Win32.Ntldrbot以来已经过去了18个月,这期间rootkit在妥协的计算机上疯长并传播蠕虫。假定恶意程序已经从2007年10月自由传播并且不可视,你可以估计一下被感染流量的数量。
Doctor Web有限公司的病毒监视器发现了rootkit的大约600个样本。没有人知道还有多少存在。我们花费了几周时间来分析这些病毒,改进侦查技术。
Win32.Ntldrbot 的一些特征:
1.病毒使用了多态性rootkit技术使自己难于被分析和提取
2.做为底层驱动程序被加载
3.保护自己在运行时不被改变
4.使用了反调试技术,监控硬件断点设置,中断系统级别调试操作(比如Syser, SoftIce),当病毒运行时,WinDbg调试器将无法工作
5.使用非正常方法截取系统函数
6.具有文件型病毒功能并可以感染系统驱动程序
7.每个rootkit病毒都会根据被感染的计算机硬件进行相应的调整,它将无法运行在其它计算机上。
8.使用时间触发器技术防止重复感染
9.过滤掉对感染文件的调用,通过截取FSD文件系统监视器,更改文件调用流程,使用原始文件来替代对感染文件的调用。
10.针对anti-rootkit技术具有自我保护功能
11.将病毒库文件注入到系统进程中,并开始发送垃圾邮件。 驱动程序使用特殊的命令传输机制连接到这个DLL文件。
更多关于Win32.Ntldrbot (aka Rustock.C)的信息:
Win32.Ntldrbot在没有被反病毒产品发现的情况下,隐藏了相当长一段时间。这就意味着没有人可以保证你的机器未被感染,可能恶意程序已经变成了一种蠕虫,并且正在发送垃圾邮件。
3.2.2 正确、高效、深入的扫描文件
Dr.Web的杀毒引擎是东欧最先进的,它能进行快速的代码检索、过滤、校对等操作。而且Dr.Web的脱壳能力极强,目前常见的加壳软件:ASPACK ,UPX,PEcompact和不常用的加壳软件WWPACK32;PE-PACK ;PETITE NEOLITE。所制作的壳类型都可以进行深入脱壳扫描,并且实际可脱壳类型达到4000种以上。
杀毒能力另外一个表现在于厂家对于病毒的更新和变种做出的反应。Dr.Web的独特引擎对病毒变种的识别能力非常强大,使其可以在厂商发布病毒更新之前就能及时发现并清除,最大程度减少病毒变种所带来的灾难,这是一种对于病毒威胁最为优秀的解决能力。在病毒瞬息万变的当今,这样的软件给我们所能带来的安全感无疑是质的飞跃。
3.2.3 频繁的更新
对于某些厂商承诺的每3个小时一次的病毒更新来说,Dr.Web所能带来的是每小时1-2次的更新,这种效率可以给用户极大的安全保护,在重要病毒更新出来的第一时间可以更新到用户计算机内以保障计算机的安全。用户完全不用担心频繁的更新会给网络带来的压力,在使用差异更新的Dr.Web,即便是重要的更新也不会让用户感觉网络的延迟。
其实频繁的更新除了对Dr.Web数据中心的更新服务器的软硬件的稳定性要求非常高以外,对于用户来说频繁就等于每次更新的数据量非常的小。假如3个小时我们可能会产生一个5MB的更新包,那么其实这5MB的内容是3个小时中的积累,如果每次有了更新内容就由数据中心服务器进行发送,那么其实最终用户根本感受不到Dr.Web已经更新了5MB的内容,所以Dr.Web的优秀有目共睹。
3.2.4 系统空间与资源的节省
速度快、能力强的Dr.Web网络版杀毒软件是不是对于资源的占用非常巨大呢?
其实不然,Dr.Web有着独特的杀毒引擎和检索技术。在同样一台IMB T41的笔记本上面我们测试多款杀毒软件进行全面查杀时候的系统资源占用情况,在Dr.Web操作的时候用户仍然可以使用笔记本进行DOC文档编辑、PPT的制作、听音乐、用IE7浏览网页等操作。几乎难以感觉计算机在进行全面的病毒扫描,而从任务管理器里面我们看到的CPU占用量峰值仅为55%,平均在50%以内。
扫描的同时我们仍然可以进行其他的工作,例如我们在测试的时候就在开启一个VMware虚拟的Windows 2003操作系统、浏览器试听音乐、QQ聊天以及用Photosthp Cs2作图。(如下图)
再来看看Dr.Web单机版杀毒软件在监视与保护期间内存占用量,仅为5MB左右。
在进行全面查杀的时候其自身仅占用35MB左右的内存。进行脱壳扫描的时候内存占用为80MB左右。
这是低配置用户梦寐以求的效果。即便是在一台性能非常卓越的计算机上面,Dr.Web那让人无法察觉的保护也是非常完美的存在。
3.3 Dr.Web邮件监控能力
对于邮件的过滤更能体现Dr.Web的优势,用过诺顿的用户都能够体会,每一封邮件收发的时候诺顿都会弹出窗口提示扫描进度,哪怕一封只有几KB内容的邮件也有5秒左右的时间。这是保护完善还是多此一举?我们不敢妄加评论,但是Dr.Web对邮件的过滤可谓是非常得体的。在邮件发送和接收过程中,Dr.Web之针对自身强大的代码库内的相关内容进行高速扫描,如遇到附件则会根据附件类型再进行进一步扫描,但是这期间邮件的正文被扫描后会最先进入用户的邮箱中,附件则会在随后的几秒钟内完整传说过来。这样不会对用户收发邮件有任何延迟和滞后。
更令人难以相信的是Dr.Web并不是针对一款或几款流行的邮件软件来运行的,而是实实在在的针对邮件进出的端口来进行过滤和保护的,这是任何一个同类产品无法比拟的。
3.3.1 POP3/IMAP4的过滤
反垃圾邮件程序同时支持POP3和IMAP4信息邮件访问的协议。此外,该程序允许持续访问储存在服务器上的信息,并选择下载邮件的标题,主体,或者附件。因此用户不会下载垃圾邮件,也节约了流量。
3.3.2 智能处理侦查的邮件
Dr.Web 反垃圾邮件功能使用不同的过滤技术应付不同类型的未允许邮件-比如垃圾邮件,钓鱼式邮件,有害信息,恶意邮件-以及弹框信息,侦察准确率极高。独立语言分析功能可以侦查垃圾邮件而不考虑它们的语言。在垃圾邮件和正常邮件的结论得出之前,每个邮件的收集特征都会被仔细检测。
3.3.3 设置方便,使用简单
Dr.Web反垃圾邮件的使用方法对电脑初学者来说也很容易接受。垃圾邮件过滤器安装之后,收到第一封邮件时,反垃圾邮件系统就会自动运行!另外,软件有高级设置,它允许用户自行设置。例如,所有东亚代码的邮件都被诊为垃圾邮件 。用户可以自行建立自己的信任名单和黑名单—把信任的和禁止的邮件地址列入名单。
3.3.4 过滤技术
过滤器仔细审查所有访问邮件。它遵循无数的标准。每个检查的信息得到一个点数范围从-5000点(负数,非垃圾邮件)到+5000(正数,垃圾邮件)100点的浮动。根据邮件信息得到的点数,它会作为正常的邮件被发送到邮箱或者标记为垃圾邮件。
垃圾邮件过滤技术包括几千条规则,这些可以被分成几组。
3.3.4.1 <1>启发式分析
Dr.Web垃圾邮件过滤技术是一项极其复杂的高智能的经验分析技术被用来检查信息的各个组件。如果带附件也会被分析。现在新的规则不断加入来改进启发式分析。
3.3.4.2 <2>逃避过滤
逃避过滤是Dr.Web 反垃圾邮件程序最新最有效的技术之一,它可以侦查垃圾邮件发送者用来逃避反垃圾邮件过滤器的技术。
3.3.4.3 <3>HTML特征分析
把包含在信息里的HTML标签与反垃圾邮件实验室里的HTML特征样品进行比较。结合图像大小的数据尤其是垃圾邮件发送者所使用的数据。这可以保护用户远离包含HTML标签和在线图像的垃圾邮件。
3.3.4.4 <4>语义分析
把信息里的文字和句子与储存在词典里的垃圾邮件的常用论调相比较,可以将隐藏的文字,句子,符号连同用户可视文档一同被分析。
3.3.4.5 <5>反计谋程序
计谋程序(有害程序—计谋程序的恶一种)应该是垃圾邮件里面最危险的一种。尤其是一种叫做尼日利亚病毒,隐身为中奖或者现金奖品的通知或银行,信贷公司的伪造信件。Dr.Web反垃圾邮件特殊的模板用来过滤这种信息。
3.3.4.6 <6>技术垃圾邮件
弹窗信息是无需发送的通知信息,因为网络蠕虫的运行或垃圾邮件发送者的活动被接收,所以被认为是垃圾邮件。Dr.Web的一种特殊的反垃圾邮件模块可以侦查此类信息并当作不需要的信息处理。
3.4 服务器的安全保障
我们的发展历程和被世界范围用户的认可证明了Dr.Web 网络版反病毒软件是真正可靠的,并且拥有高性能的反病毒软件,可以被用来保护企业级的服务器。
这个不可缺少的反病毒程序从2000年到2004年在功能和性能的评比中4次获得反病毒世界的British Virus Bulletin 颁发的VB100% 奖项。
DrWeb解决方案可以为这个网络操作系统的广范围版本提供保护-从WinNT4到Win Svr 2008。
3.4.1 针对客户的设置系统
考虑到服务器所执行的复杂而又广泛企业信息的保护功能,因为程序的安装简便,调试容易。所以它的默认设置功能是开发商强力推荐的,其功能包括:
启发式分析法检查病毒
检查打包文档
检查存档文件
检查邮件文档
该系统在安装的第一时间就开始为文档服务器提供全面的反病毒保护。反病毒软件的安装,操作和管理都是通过用户控制面板来实现的。
反病毒程序节省系统资源,在反病毒程序显示的控制处理器运行的选项中,允许在系统设置优选扫描。
3.4.2 对病毒威胁的反应迅速
DrWeb技术下的服务器维护所有DrWeb反病毒产品的使用。我们已经永远摒弃了病毒库更新定期发布的观念。DrWeb是世界上第一个病毒库,每天都数次更新相关软件。这样做的主要原因是由于病毒的爆发并不遵循某种特定规律。新的威胁一经浮现并立即被分析,公司的病毒分析系统立即发布更新到病毒库。
DrWeb世界范围的用户更新只需25分钟-这仅是新的添加组件在国内进行广泛测试所需的时间。
3.4.3 不可超越的病毒侦查
像其他所有DrWeb家族产品一样,网络版反病毒保护一贯保持高性能和卓越的扫描率并且只占用极少的系统资源,而产品的性能只被那些已经被保护的服务器设备所限制。
DrWeb病毒库的激活不需要重启服务器,以及使用不断完善的启发式分析让病毒包括宏病毒,木马和其他恶意代码没有访问计算机数据存储的机会。
根据管理员的要求对文档和应用软件进行不同类型的病毒扫描。
· 动态扫描----当文档从工作站被写入服务器,或者当文档被服务器上的工作站打开,扫描便同时完成,
· 按需扫描
· 按照日程表进行扫描
3.4.4 即时通告系统
灵活的设置可以使程序的选择最优化。当DrWeb反病毒程序侦查到一个带病毒的感染文档或者恶意程序时,用户可以选择修复,删除,或移植到隔离区做分析,关于这些用户都会得到通知。对于不能修复的文档,除了不需要的修复选项,其他类似的选项都可以提供。当病毒威胁从服务器访问用户电脑时,还有一个选项是关闭工作站。根据任务状况,反病毒操作者可以设置格式化扫描文档,解压指定列表扫描,它可以把个别的目录或者多卷文档排除在外,还可以指定所有的目标进行扫描。解决方案支持NetWare 命名空间。主动扫描过程列表可以在监视器菜单项目找到。
3.4.5 简便的管理
反病毒软件管理的进程与保护服务器活动的监控是根据企业功能的实际情况来作最优化设置的,还有关于病毒事件的通告系统的调节可以在服务器控制台或远程控制台完成,且不需要服务器重启,这使服务器管理员增强了控制力。
程序包括通过邮件与系统管理员联系的即时通知系统。此外,通过操作系统的一流功能这样的通知可以被发送到病毒攻击的来源。也可以设置一个用户或用户组的列表,如此可以强制接收通知和此类通知的文本。
扫描过程中的统计信息动态会显示关于时间,检查的文档数量,扫描的病毒情况和其他有用的信息。 日志文档包括保护服务器储存数据的所有反病毒活动。
Dr.Web 企业套装能为公司计算机提供全面的反病毒保护,而不论计算机是否集成到局域网中。
Dr.Web ES(Enterprise Suite,企业套装)提供了以下功能:
在计算机上集中安装反病毒程序包,无需用户干预;
集中设置反病毒程序包;
在受保护计算机上集中更新病毒库和程序文件;
监视所有受保护计算机上的病毒事件以及反病毒程序包和操作系统的状态。
Dr.Web ES 可以授予受保护计算机用户在其计算机上设置和管理反病毒程序包的权限,还可以灵活地限制用户的权限(包括完全禁止)。
Dr.Web® ES 使用“客户端/服务器”体系结构。ES 组件安装在用户和管理员的计算机以及用作反病毒服务器的计算机上,通过网络协议 TCP/IP、IPX/SPX、NetBIOS 来交换信息。安装了 Dr.Web ES 协作组件的计算机群称为反病毒网络。
反病毒网络包括以下组件:
反病毒服务器,用于存储适用于不同操作系统的受保护计算机的反病毒程序包发行软件包、病毒库更新、反病毒程序包和反病毒代理、用户密钥以及受保护计算机的程序包设置。反病毒服务器根据代理的请求向相应计算机发送所需的信息,并保留整个反病毒网络中各种事件的常规日志。
反病毒控制台,通过编辑反病毒服务器设置、存储在反病毒服务器上的受保护计算机设置以及受保护计算机的设置等方法来远程管理反病毒网络。
内建 Web 服务器,在安装反病毒服务器时自动安装。它是服务器的标准 Web 页的特定功能扩展,可执行以下操作:
- 查看 ES 服务器的常规信息;
- 读取文档;
- 查看资料档案库。
反病毒 ES 代理,安装在受保护计算机上。它根据反病毒服务器的指示,安装、更新和控制反病毒程序包。ES 代理向反病毒服务器报告有关受保护计算机的病毒事件以及其他所需信息。
3.5.1 Dr.Web ES 具备以下优点:
• 跨平台的服务器软件,可用于安装 Windows 和 Unix 系统的计算机;
• 为 Windows 和 Unix 计算机提供保护;
• 可以最大程度地减少网络通信量,可以采用特殊压缩算法;
• 可以对系统组件之间传输的数据进行加密;
• 对反病毒工作站进行分组,有利于管理反病毒网络;
• 管理员的工作界面(反病毒控制台)几乎可以安装在使用任意操作系统的任意计算机上;
• 可以直接从系统管理员的控制台远程安装和删除程序包软件(适用于 Windows NT/2000/XP Professional/ 2003/Vista);
• 集中安装反病毒代理,代理软件可以在安装到客户端计算机之前设置;
• 反病毒工作站上可以使用垃圾邮件过滤器(需要通过获得的许可证进行授权);
• 使用 Dr.Web 企业套装服务器可以及时高效地将病毒库和程序模块更新发布到客户端计算机;
• 对服务器的重要数据(数据库、配置文件等)进行备份。
3.6 企业成功案例
3.6.1 政务安全需求分析
政府部门网络的信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对国家的信息安全和利益构成直接威胁。为保证该网络系统的安全,有必要对其网络进行专门的安全考察和设计。
以某政府部门为例,在其内部网络中,办公系统网络和各人所用计算机上都有涉密信息,即使内部网络的一台机器安全受损,就会影响在同一网络上的其它计算机,影响其他使用者的正常工作。通过网络传播,还会影响到与本系统网络有连接的其他高等级网络,影响所及甚至还可能涉及安全敏感领域。
在部署Dr.Web 防毒产品之前,某政府部门已经采用了国内某厂商的防病毒产品,但网络中仍有病毒传播和感染事件发生,尤其是冲击波、震荡波等恶性蠕虫病毒时常发作。经过多方考虑,该部门决定更换原有防病毒产品,重新部署具有俄罗斯军方认证的杀毒软件:Dr.Web 杀毒软件网络版。
3.6.2 网络安全分析
1.该部门网络划分成内外两网:外网与互联网相联,为用户提供访问互联网应用和收发外网邮件的服务,内网与政府网相联,为用户提供日常的工作和内部信息的发布。内外两网实行物理隔离。
2.网络内部主要包括的设备有:文件服务器,邮件服务器,Web服务器,客户机。
3.所有客户机都有内外两套系统,用户可以手动切换内外网。
4.此次实施包括的系统平台:
客户机系统:Win98、Winme、Win2000Pro、WinXP、WinVista
服务器系统:Win2000Server、Win2003Server、Linux8.0
某政府部门网络安全体系的实施:
根据客户的网络划分情况,分别为内外两个网络安装了独立的防毒产品。即在外网网络中选择一台服务器安装部署Dr.Web 杀毒软件网络版外网系统中心;在内网网络中选择一台服务器安装部署内网系统中心。
部署完系统中心后,在其他所有客户端部署Dr.Web 杀毒软件网络版代理端,内网客户安装成功后由系统中心添加至管理组进行统一管理监事,外网客户端全部指向外网系统中心。
升级是考察一个杀毒软件优劣的重要指标,Dr.Web 公司承诺每小时1-2次。针对该政府部门网络结构特点,外网可直接接入互联网,由外网系统中心自动通过Dr.Web 升级网站进行在线升级,然后再由外网系统中心通知所属外网客户端进行自动升级,完全不需要用户参与。
内网与外网、互联网进行了物理隔离,所以不能进行这种在线自动升级模式,只能通过外网机器定期到Dr.Web 网站手动下载升级包,然后把升级包复制到内网系统中心服务器上进行手工升级,当内网系统中心升级完成后,所属内网客户端会自动从内网系统中心进行升级。
3.6.3 多服务器控制环境示意图
3.6.4 实施效果呈现
在部署Dr.Web 防毒产品之前,该政府部门已经采用了国内某厂商的防病毒产品,刚刚全网卸载完以前的防毒软件时,网内出现了大量震荡波病毒攻击,部分机器出现重启现象。
经过分析,Dr.Web 反病毒专家认为,这是因为以前安装的国内反病毒产品并没有能力彻底根除震荡波病毒,只是通过自带的防火墙堵住了病毒向外发送攻击包,暂时遏制了机器出现被攻击的现象,只是治表而没有治本。
自从部署了Dr.Web 防病毒软件以后,从Dr.Web 防病毒系统中心显示出,很多网内客户机查杀出了大量的病毒,尤其是外网系统。由此可以看出Dr.Web 防毒软件在此次实施中的有效性,把以前没有处理完全的病毒更加彻底清除掉了。
在网络防病毒体系实施的第二天,Dr.Web 反病毒工程师在信息中心进行了24小时密切观察,从早上到下午用户申报的问题数越来越少。基本达到预期的效果。
第4章 系统软硬件要求
4.1 系统软件要求
Dr.Web网络版服务器端支持的操作系统
|
Windows 操作系统
|
服务器
|
|
Windows Server™2008
|
O
|
|
Windows Server™ 20033
|
O
|
|
Small Business Server 2003
|
O
|
|
2000 Advanced Server(SP4 或更高版本)
|
O
|
|
2000 Server(SP4 或更高版本)
|
O
|
|
2000 Professional(SP4 或更高版本)
|
O
|
|
2000 Small Business Server(SP4 或更高版本)
|
O
|
|
Windows Vista
|
X
|
|
XP Professional(SP1 或更高版本)
|
X
|
|
Windows ME
|
X
|
|
Windows 98
|
X
|
对于64位的系统平台则需要单独购买64位产品
Dr.Web客户端与控制台支持的操作系统
|
Windows 操作系统
|
控制台
|
客户端
|
|
Windows Server™2008
|
O
|
O
|
|
Windows Server™ 20033
|
O
|
O
|
|
Small Business Server 2003
|
O
|
O
|
|
2000 Advanced Server(SP4 或更高版本)
|
O
|
O
|
|
2000 Server(SP4 或更高版本)
|
O
|
O
|
|
2000 Small Business Server(SP4 或更高版本)
|
O
|
O
|
|
Windows Vista
|
O
|
O
|
|
XP Professional(SP1 或更高版本)
|
O
|
O
|
|
Windows NT™(SP6a,带 IE 5.5)
|
O
|
O
|
|
Windows ME
|
X
|
O
|
|
Windows 98
|
X
|
O
|
4.2 系统硬件要求
客户端
• 计算机具备奔腾III-667处理器或者更高;
• 内存128MB或者更高(如果使用内置数据库,需要256MB)推荐512MB
• 30 MB 可用硬盘空间(推荐 40 MB)
服务器
• Intel® Pentium® III 1 GHz 或更高频率处理器
• 1 GB 内存
• 2 GB 可用硬盘空间(推荐 4 GB)
磁盘空间
• 服务器代理:3 MB 可用硬盘空间
• 控制台:5 MB 可用硬盘空间
• 主模块:20 MB 可用硬盘空间
控制台
• Pentium III 1 GHz 或更高频率处理器
• 内存:256 MB 加上操作系统所需的最小内存
• 20 MB 可用硬盘空间
• Microsoft .NET Framework 1.1 还需要 110 MB 硬盘空间,如果未安装 .NET Framework,则还需要 40 MB 硬盘空间用于安装程序(总共 60 MB)建议150MB空间
第5章 Dr.Web公司介绍
公司简介
作为防病毒安全技术领域的全球领先厂商,Dr.Web为个人、企业和服务提供商提供全面广泛的内容和网络安全软件以及设备解决方案。在客户端、网关与服务器安全领域提供病毒防护、入侵检测、互联网内容和电子邮件过滤、远程管理技术,在为企业与服务供应商提供安全服务等方面,Dr.Web均居于东欧领导地位。Dr.Web品牌推出的个人用户安全产品是东欧零售领域的领导者,屡获多项行业大奖。
重要大事记
4月21日,全球顶级安全软件开发商俄罗斯Dr.Web有限公司与中国软件发行服务商“新贵”安迈尔(北京)信息技术有限公司联手,在北京隆重举行“Dr.Web大蜘蛛反病毒2008专业版震撼上市”新闻发布会。通过此次战略合作,Dr.Web的安全产品将由安迈尔(北京)信息技术有限公司独家发行。此举证明了俄罗斯Dr.Web有限公司的中国战略已全面启动,而作为其在中国区的独家合作伙伴安迈尔(北京)信息技术有限公司将成为此次战略合作的核心部分。
技术简介
随着来自各方的信息系统安全威胁在数量与复杂度上的与日俱增,企业客户清楚地认识到,仅靠增强网络边界安全还远远不够。Dr.Web为各层网络提供一流的安全解决方案,在网络和外部世界之间的网关上,在作为网络重要组件的服务器上,以及最终用户设备包括台式 PC 机、笔记本电脑和手持设备上,Dr.Web都有适合的解决方案。