新一代防病毒挑战与防病毒理念.ppt

新一代防病毒挑战与防病毒理念 议 题 复杂网络环境下防病毒所需考虑的问题 只有防病毒软件就够了吗？ 防病毒的管理理念 防病毒所需考虑的问题 病毒定义库的更新问题 新病毒的响应 防病毒软件的管理与管理的费用 选择解决方案的原则 防病毒软件的结构 防病毒软件的3个组成部分 防病毒软件的结构 防病毒软件的结构 第一代： 全部更新 防病毒软件的结构 第二代： 扫描应用和扫描引擎同时更新 病毒定义码的更新不需过多的费用 病毒定义由不定期到定期更新 上述软件构架的缺点 新病毒要新的版本 若不是简单的指纹更新，需要重装整个程序 每种平台的软件均需重装 对于厂商，每种平台的软件均需更新 整个重新部署的过程费时，费资源 软件结构的不足导致防病毒措施的不足 由于上述作法花费太高 选择部分病毒防治，有无法杀的病毒 发布单一的，独立的补丁工具，还是麻烦 等一段时间，统一发布一个阶段性的软件, 等的阶段会被感染 现代防病毒软件的结构 新的构架的好处 扫描引擎是独立于操作系统平台的 可以对扫描引擎单独更新 只要使用统一的扫描引擎，就可统一更新 更新的同时，不会导致操作系统停机 便于引擎的发送，一台更新，全网更新 赛门铁克独有的专利 新病毒的响应-第二代软件 某计算机出现问题，呼叫管理员 管理员怀疑是病毒，将感染文件送到厂商 厂商分析，确定为新病毒， 临时的权宜软件 管理员2天杀毒干净 更多的感染，管理员使用权宜软件杀毒 一个月，工作站杀毒软件 几个月，服务器杀毒软件 新病毒的响应-第二代软件问题 时间长，1到若干个月 动扫描全部机器，再重新安装应用软件 在这过程中，病毒可能会再次发作 新病毒的响应-第三代软件 某计算机出现问题，呼叫管理员 管理员怀疑是病毒 防病毒软件将感染文件送到厂商 厂商确定为新病毒，承诺24-48小时内解决 更多的计算机感染 厂商将扫描引擎升级，不用权宜软件 管理员内部统一自动升级，全部杀掉新病毒 新病毒的响应-第三代软件特点 处理新病毒快捷有效 两者的分析时间是一样的，但第三代人工干预少 一个扫描引擎的更新，可以使全部计算机升级 防病毒软件的管理与管理的费用 统一集中管理的重要性：降低费用 一个控制台管理全部防病毒软件 独立于平台地分发、更新和警报 自动化的更新软件，实时防护 自动识别病毒定义码是否已过期 自动识别防护是否启动， 自动识别是否做过完整扫描 中心强制执行某些规定 管理的费用 原则 完整性 层次性 统一性 持续性 本地化 安全事件正在上升 频率和复杂性正在增加 什么是混合型威胁？ 用多种方法和技术来传播和实施的攻击或威胁， 因而必须有多种方法来保护和压制这种攻击或威胁 什么是混合式威胁（ Blended Threat）? 什么是混合式威胁（ Blended Threat）? 什么是混合式威胁（ Blended Threat）? 尼姆达攻击手法 如何防止混合进攻 一种使用多种方法和技术来传播和攻击的安全威胁或攻击，因而需要采用多重方式的防护才能真正的根除这种全新方式的威胁。 如何防止混合进攻 如何防止混合进攻 防范方式 纵深防御与混合式攻击 什么位置可以阻止混合型威胁 尼姆达安全解决方案 最好的方法就是屏蔽绝大多数的攻击 实施 7 层的、完整检查的防火墙 网关、服务器和客户端的防病毒自动更新 保证安全补丁及时打上 保证密码的强度 关闭不必要的网络服务 小 结 防病毒是整个安全链中的一个环节 整体的解决方案才能提高整个系统的安全 管理是安全链中最重要的环节 赛门铁克企业安全解决方案 工作站 工作站 网站服务器 网站服务器 邮件中恶意附件 攻破多个网站服务器 以前攻破的网站服务器 浏览器进攻 文件共享 Internet hub 路由器 综合解决方案 防病毒 入侵检测 风险管理 防火墙 工作站 通过电子邮件 文件服务器 工作站 邮件服务器 Internet 网站服务器通过网页 工作站 邮件网关 防病毒 防火墙 入侵检测 风险管理 尼姆达蠕虫案例 网站服务器 工作站 通过电子邮件 文件服务器 工作站 邮件服务器 Internet 网站服务器通过网页 工作站 邮件网关 尼姆达蠕虫案例 网站服务器 防病毒 防火墙 入侵检测 风险管理 工作站 工作站 网站服务器 hub 风险管理 防火墙技术 Internet 路由器 防火墙 防病毒技术 发现和清楚恶意代码 在邮件网关和系统级可以解决 网站服务器 预防 (Prevention) 检测 (Detection) 响应 (Response) 成本 防火墙漏洞检测 內容过滤 防毒入侵检测 修復工具 更改配置