1 / 48

校園資訊安全防護的利器 -Symantec 病毒防護系統

校園資訊安全防護的利器 -Symantec 病毒防護系統. 諮安科技股份有限公司 工程師 董家銘. 賽門鐵克病毒分類. 病毒 病蟲 巨集病毒 特洛依木馬 惡作劇 玩笑 反防毒病毒 變種病毒 變異型病毒. 完整的安全防護方案. SAV Ex/Notes. SCS 用戶端安全防護. SAVCE. Firewall. SMTP. Notes. NT Server. Windows 9x. SCS 用戶端安全防護. Gateway. SWS. Exchange. W2K Server. Windows NT. SCS

nichole-malone
Download Presentation

校園資訊安全防護的利器 -Symantec 病毒防護系統

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 校園資訊安全防護的利器-Symantec病毒防護系統 諮安科技股份有限公司 工程師 董家銘

  2. 賽門鐵克病毒分類 • 病毒 • 病蟲 • 巨集病毒 • 特洛依木馬 • 惡作劇 • 玩笑 • 反防毒病毒 • 變種病毒 • 變異型病毒

  3. 完整的安全防護方案 SAV Ex/Notes SCS 用戶端安全防護 SAVCE Firewall SMTP Notes NT Server Windows 9x SCS 用戶端安全防護 Gateway SWS Exchange W2K Server Windows NT SCS 用戶端安全防護 NetWare Windows 2K Gateway Groupware Server Desktop

  4. Server/Client 防護

  5. NT/W2K Workstation NT/W2K Server NetWare Server NT/W2K Workstation NT/W2K Server NetWare Server NT(sp6a)/W2K Workstation NT/W2K Server/XP Win9x(No win95) DOS/Win3x SAVCE架構示意圖 SAV 防毒主機群組 主要 SAV 伺服器 次要 SAV 伺服器 SAV 用戶端

  6. SAV名詞解釋 • 主要伺服器 • 次要伺服器 • 父系伺服器 • 伺服器群組 • 用戶端群組 • 用戶端電腦

  7. SAVCE元件介紹 • SSC中央主控台 • SAV伺服器及用戶端 • AMS2警訊伺服器 • 中央隔離所 • 中央隔離所主控台 • Packager • Live Update管理員

  8. 用戶端種類 • 受管理型 • 分配群組 • 未分配群組 • 有時受管理型 • 未受管理型 • 簡化管理型

  9. SAV Client安裝方式 • NetWare Login Script • Windows NT Logon Script • 從SAV Server分享資料夾VPHOME • 使用Packager部署工具 • 遠端安裝 for NT平台 • 網頁安裝(支援IIS4.0、Apache1.3.12) • 光碟安裝 • 影像檔安裝

  10. 病毒定義檔更新方式

  11. 其他防毒軟體 諾頓防毒軟體 掃毒應用軟體 掃毒應用軟體 掃描引擎 NAVEX 掃描引擎 病毒碼 病毒定義檔 NAVEX • NAVEX (Norton AntiVirus Extension) • 將掃描引擎自掃描軟體中分離出來成為一個可迅速以 LiveUpdate 更新的模組。 • 所有諾頓防毒軟體均共用同一個模組。 • 掃描引擎更新後無須重新啟動電腦。 掃毒軟體更新較複 雜且須長時間測試 掃描引擎必須與掃 毒軟體一起更新 病毒定義檔案更新 通常較容易且迅速

  12. 更新病毒定義檔 • VDTM • 使用LiveUpdate • 外部 • 內部 • 排程更新(不使用LiveUpdate) • 手動更新

  13. 使用VDTM更新 • 優點 • 僅主要伺服器更新即可 • 簡易組態 • 伺服器更新後,用戶端可在短時間內更新 • 一個按鍵可更新企業防毒系統 • 佔用較少頻寬 • 缺點 • 無法作軟體更新

  14. Internet VDTM (Virus Definition Transport Method) 架設 SAV防毒群組 主要 SAV 伺服器 次要 SAV 伺服器 SAV 用戶端

  15. 使用外部更新伺服器 • 優點 • 設定較簡單 • 較少的維護 • 缺點 • 佔用較多對外頻寬,降低效能 • 部署至用戶端前無法測試

  16. 透過 Internet 執行 LiveUpdate 賽門鐵克產品 賽門鐵克產品

  17. 使用內部更新伺服器 • 優點 • 佔用較少對外頻寬 • 套用至用戶端前可先測試 • 缺點 • 需要較多設定 • 需建一台內部更新伺服器 • 需要更多的維護

  18. 架設企業內部 LiveUpdate 伺服器 LiveUpdate 伺服器 賽門鐵克產品 賽門鐵克產品

  19. 4-1.自動下載病毒定義檔 http://www.symantec.com.tw/

  20. 4-2.手動下載病毒定義檔 Http://www.symantec.com

  21. 如果一切正確, 伺服器不回應。 用戶端預設自開機後 每60分鐘傳送1K的 狀態封包給伺服器。 1K Status Report 用戶端與伺服器的溝通方式(一) SAV 伺服器 SAV 用戶端

  22. 如果設定不正確,伺服器會傳送GRC.DAT檔案給用戶端。如果設定不正確,伺服器會傳送GRC.DAT檔案給用戶端。 GRC.DAT (3K) 用戶端收到並自動處理GRC.DAT後會將其刪除。 用戶端與伺服器的溝通方式(二) SAV 伺服器 SAV 用戶端

  23. 伺服器會依照要求先後順序依次排列。 如果GRC.DAT檔案指出病毒定義必須更新,則用戶端會向伺服器提出更新要求。 Def. Request 用戶端與伺服器的溝通方式(三) SAV 伺服器 SAV 用戶端

  24. 伺服器傳送定義檔案給用戶端。 Def. File (80K) 用戶端自動更新掃描引擎與定義檔案 用戶端與伺服器的溝通方式(四) SAV 伺服器 SAV 用戶端

  25. 賽門鐵克安全回應機制

  26. 掃描與傳送 (Scan & Delivery) • 透過 Internet 自動將可疑的檔案傳送給 SSRC 進行分析與接受解決方案 • 配合保密需求,可自動將文件型檔案的內容在傳送前移除,僅傳送可疑的巨集樣本。

  27. 賽門鐵克安全回應中心-SSRC • 利用 IBM 開發的人工智慧主機提供自動偵測、分析與修復病毒、加速對快速成長的病毒之回應時間。 • 賽門鐵克的新自動化技術曾在不到一個小時內產生梅莉莎(Melissa)病毒的解決方法! • 代替人工處理超過 90%以上的病毒樣本。

  28. 1 2 5 6 3 4 7 賽門鐵克數位免疫系統 病毒警示 工作站 病毒培養皿 NAVCE主機 / 中央隔離所 IBM 主機 分析病毒的 行為與結構 工作站 某企業網路 取得特徵 工作站 工作站 製造解藥 網路管理者主機 工作站 工作站 工作站 個人用戶 其它單位網路

  29. 最佳化防毒政策

  30. 日常維護工作 • 開始病毒掃描 • 手動掃描 • 排程掃描 • 管理者排程 • 使用者排程 • 自訂掃描 • 啟動掃描 • 即時掃描 • 用戶端即時防護選項 • 用戶端限用選項

  31. 警訊類型 • 組態改變 • 預設警訊 • SAV啟動/關閉 • Scan啟動.關閉 • 偵測病毒行為 • 病毒定義檔更新 • 發現病毒

  32. 警訊動作 • 訊息視窗 • 區域網路廣播 • 寄發電子郵件 • 傳送呼叫器 • 執行程式 • 記錄至事件檢視器 • 傳送SNMP

  33. 組態步驟 • 選擇警訊類型 • 選擇警訊的行為 • 組態選擇的行為

  34. SMTP閘道防護

  35. 產品定位 • Symantec AntiVirus for SMTP Gateway 3.0是防護企業 Internet電子郵件的第一道防線,有效攔阻病毒入侵和內容過濾功能 • 提供高效能、自動化掃描與修復的防毒解毒能力。 • 可以單獨使用,或者成為Symantec企業多層次防毒方案的一份子。

  36. Internet 郵件的防毒規劃 Internet 工作站 SMTP伺服器 安裝 SAVGW 前的 SMTP/POP3 網路 SAVGW 伺服器 Internet 工作站 SMTP伺服器 安裝 SAVGW 後的 SMTP/POP3 網路

  37. Internet 郵件的防毒規劃 Internet SMTP伺服器 群組軟體伺服器 工作站 安裝 SAVGW 前的 SMTP 與群組軟體網路 SAVGW 伺服器 Internet 群組軟體伺服器 工作站 SMTP伺服器 安裝 SAVGW 後的 SMTP 與群組軟體網路

  38. WEB化管理介面 http://IP Address:8003

  39. 即時狀態監視

  40. Relay設定 • 內建 SMTP 伺服器能力 • 可設定 Mail Relay, • 避免成為廣告信件轉信站

  41. 彈性化的中央控管 • 可排程的 LiveUpdate 更新 • 按時由網路 (Internet 或企業內自定的 LiveUpdate 伺服器) 下載、執行、更新最新的防毒需求。 • 更新內容包括: • 最新病毒定義檔案 • 掃描引擎更新

  42. 詳實的活動紀錄 • 系統活動-登入、登出、定義檔案更新。 • 郵件活動-接受、拒絕、退回、傳送、傳送失敗、完成 • 病毒活動-修復、刪除、隔離。

  43. 完整的報告能力 • 提供各式使用者可以自訂的報告與統計值。 • 協助分析企業內的病毒事件並了解防毒投資的有效性。

  44. 郵件過濾的條件 • 一、根據電子郵件主旨阻斷郵件 • 允許管理者根據主旨阻斷訊息. 支援使用萬用字元 “*” 和 “?”. , • 提供管理者在新病毒未有解藥前的最大防護 • 二、根據電子郵件附件阻斷郵件 • 允許管理者根據附件名稱刪除訊息. 支援使用萬用字元 “*” 和 “?” ,提供管理者在新病毒未有解藥前的最大防護 • 三、根據電子郵件訊息大小阻斷郵件 • 允許管理者根據郵件大小阻斷訊息. 提供管理者避免大檔案進入公司,浪費頻寬,特別是公司當防火牆未提供此功能時.

  45. 郵件過濾的條件 • 四、根據電子郵件寄件者位址及網域阻斷郵件 • 允許管理者根據特定寄件者電子郵件位址及特定網域進行攔阻 • 五、針對收件者電子郵件位址中的特殊字元,進行攔阻 • 六、可依情況彈性“暫停”或“拒絕”電子郵件接收或傳遞 • 七、阻擋垃圾郵件 • MAPS = Mail Abuse Prevention System LLC • Lists 支援: RBL, DUL, RSS, RBL+

  46. 改善 Spam Relay 處理 1. SAVGW 不掃描或處理該郵件,直接送出 bounce back訊息. 節省主機資源 (降低暴露 DoS 攻擊危險) 2. ‘Deny-all’ 功能已被移除. 目前已Allow from listed host取代,確認哪個Domains 和 hosts 是 “local” ,避免被欺騙當作 Relay主機.   3. 為避免此種欺騙行為,請規劃 Symantec AntiVirus for SMTP Gateways 使用 ‘Allow from listed host’ 特性,並列出允許Relay的對象。 萬用字元可使用在Domain名稱前 (如 *.mydomain.com) 或 IP 位址後. (如. 192.168.1.*)

  47. 其他功能 輸出紀錄檔產生圖形報表: 提供將紀錄檔輸出成*.CSV,方便載入Excel /Access產生自訂圖形報表. 改善 Solaris 執行效率: 增加 Solaris 執行效能,並不增加 CPU 利用率. 管理者可在同一台機器上執行郵件轉送功能 (如 Sendmail) 和 SAV GW.

  48. 最容易落實政策 • ˙預先防患的完整保護 • 需有完整的防毒保護及有效攔阻未知病毒與駭客入侵機制 • ˙日常注意事項 • 1. 對來源不明的檔案及E-MAIL拒絕存取,並刪除之 • 2. 時時更新Windows Update( 2~3天一次 ) • 3. 每2~3個月更換個人密碼 • 4. 密碼長度須6個以上,最好有特殊字元(!@#$%) • 5. 移除沒有使用的Service(服務) • ˙不可避免的風險評估 • 緊急應變計劃─須有災難回復計畫

More Related