瑞星安全方案

林军安瑞星浙江办事处产品介绍瑞星简介•北京瑞星科技股份有限公司成立于1998年4月，其前身为1991年成立的北京瑞星电脑科技开发部，是中国最早从事计算机病毒防治与研究的大型专业企业。•瑞星以研究、开发、生产及销售计算机反病毒产品、网络安全产品和反“黑客”防治产品为主。06年防病毒市场第一15.0%29.0%12.0%6.5%10.1%13.4%10.6%3.4%SymamtecRisingTrendMicroCAJinchenJiangminOthersKingsoftFounderPanda病毒数量激增漏洞攻击明显增多恶意软件更加肆虐反查杀能力增强混合式攻击呈上升趋势传播手段更多元化“2006”信息安全重灾年一、计算机系统的复杂性和脆弱性；二、各种矛盾激化、经济利益驱使；症结所在：一、缺乏基本的网络防毒知识；二、盲目使用并不适合自身需求的产品；根源所在：网络信息安全之惑网络安全防护误区使用单机版杀毒软件保护网络；认为不用软盘、优盘等移动设备，就不会感染病毒，因而无需选择杀毒软件；认为只要在内外网连接处架设了防毒网关设备，内网中就无需再安装杀毒软件；杀毒软件不及时升级、缺少统一的安全策略和安全规范；重“杀”不重“防”，未建立漏洞修补机制、网络中存在过多不必要的共享和服务等不安全设置；只针对服务器进行重点防护，忽视客户端的安全使用，缺乏对终端用户的安全指导和安全教育；忽视对Unix和Linux系统的病毒防范；……病毒发展现状网络病毒的特点传播途径多传播速度快扩散面广破坏性大难彻底清除……1.未知病毒查杀专利号：ZL01117726.82.硬盘数据恢复专利号：ZL01117730.63.访问文件系统的方法专利号：ZL01142154.14.完全控制文件的方法专利号：ZL01142157.65.软件升级的方法专利号：ZL01142155.X6.内存监控和带毒运行方法专利号：ZL01142156.8世界级反病毒水平全面支持各种平台Windows系列Windows95/98/MeWindowsNTFamilyWindows2000FamilyWindowsXPFamilyWindows2003ServerFamily非Windows系列FreeBSDUNIX（IBMAIX、SUNSolaris、HP-UX等）Linux（RedHatLinux、TurboLinux、红旗Linux等基于Intelx86处理芯片的系统）系统中心瑞星网络防病毒系统信息管理和病毒防护的自动控制核心查杀病毒查杀病毒远程安装实时监控自动升级系统中心网络管理远程报警远程杀毒自动升级客户端服务器端控制台控制服务器端专为网络服务器操作系统而设计的防病毒子系统客户端专为网络工作站（客户机）而设计的防病毒子系统控制台对网络防病毒系统进行设置、使用和控制的操作平台分布式体系结构一、多极层次化管理体系;二、简单高效的分组管理;三、便捷多样的安装部署;四、灵活可控的升级方式;五、增强型全网漏洞管理;六、可定制多种报警机制;七、图形化报表统计分析;八、良好充分的可扩展性;网络版核心功能（上）一、第八代虚拟机脱壳引擎;二、独占式抢先杀毒技术;三、第二代智能提速技术;四、NTFS流隐藏数据查杀;五、一体化实时防护体系;六、IE防漏墙与注册表修复;七、垃圾邮件智能分析过滤;八、文件粉碎技术;网络版核心功能（下）边界边界一级系统中心瑞星升级网站网络版客户端二级系统中心二级系统中心三级系统中心三级系统中心三级系统中心网络版客户端网络版客户端网络版客户端网络版客户端网络版服务器端网络版客户端网络版客户端InternetInternetInternet多中心部署效果图专线连接升级更新远程控制或升级控制台操作瑞星首创的智能“组策略”管理系统，可按照机器名称、IP地址或操作系统等特征，实现自动化逻辑分组，并采取不同的安全设置；“组策略”管理系统允许设置多个管理账号，同时可以对这些账号设定不同的权限和管理范围；还可支持从“网上邻居”或者“活动目录”中导入相关的客户端分组信息；智能化“组策略”全网漏洞管理系统可检测网络中各终端平台的安全漏洞以及用户的设置，并能够下载和分发补丁程序，修复各种不安全设置；并且，可对所有漏洞及不安全信息分类、统计、汇总、备份，方便掌握全网络状况。全网漏洞管理瑞星独创的升级代理功能，允许自动或手动地将客户端设置成升级代理服务器。升级代理服务器从系统中心获取升级数据进行升级，其他客户端可以直接通过升级代理进行升级。边界边界系统中心瑞星升级网站Internet瑞星网络版客户端瑞星网络版客户端瑞星防病毒服务器端另外，用户还可根据实际环境和具体需求，对升级的方式和周期进行任意设定，升级时的数据包大小也可按需定制（256B－64KB）灵活可控的升级通过瑞星日志管理工具，管理员可对病毒、事件、攻击日志进行查询统计和趋势分析，还可以看到本月发作病毒、本月被感染客户端等的排名情况。除提供打印日志的功能外，还可将日志保存为*.txt、*.csv、*.htm、*.xls等格式日志统计分析瑞星防病毒网关反垃圾邮件VPN防病毒内容过滤防火墙流量整形上网管理MAC管理瑞星防病毒网关功能Anti-VirusFirewallAnti-SpamVPN•文件扫毒引擎•6种应用协议•几十万签名•深层防护•还能清除病毒•无比的性能•提供流量控制•带宽管理•接入控制策略•接口灵活•多出口管理•90%+识别率•0.1%以下误报•图片反垃圾•语言无关•行为识别•IPSecVPN•PPTPVPN•L2tpVPN•DES和3DES防病毒网关管理界面防病毒网关分析界面防病毒网关产品型号种类网络规模800个节点200个节点3000个节点1500个节点互联网接入FirewallAntiSpamURL过滤100个节点多链接VPNSOHO/ROBO大型网络中型网络中小型网络小型网络市场边际网络RSW320RSW1200RSW3200RSW9200RSWB2000多链接WAN500个节点RSW5200中小型网络SystemSpecRSW9200RSW3200RSW1200RSW320FormFactor2U1U1U1UCPU双至强3.2GPentium42.8GPentium42.8GC7Memory/Flash4GB/256MB1GB/256MB1GB/256MB768MB/256MBInternalHD160G160GB160GB160GBThroughput900Mbps400Mbps100Mbps80MbpsNetworkInterfaces4电+2光或8个电口2GE+2FE2GE+2FE5FE产品规格技术规格型号Firewall(Mbps)连接数(Max)AV(Mbps)http并发(Max)用户数(Max)邮件(封/s)最高端10002048K30010000150012092009001500K15070001000903200300512K603000300601200100256K3020002004032080128K1080010020瑞星整体安全解决方案国内安全行业唯一的电信级客户呼叫中心；全球安全行业唯一的在线专家门诊服务系统；拥有百余人规模的强大售后服务队伍；分布全国各主要城市的分公司、办事处；遍布全国的3000多家合作伙伴、服务站；本地化的服务瑞星的优势国内最早、最专业的反病毒厂家国内最大规模的信息安全专业人员组织强大的研发队伍、完全自主知识产权产品技术成熟、体系完善、性能优越、功能强大五大病毒监测体系、迅速对新病毒作出反应通过多项国内外权威机构评测和并获一致推荐快速、及时、方便、高效地产品升级服务本地化服务，提供多种形式的可靠的技术支持庞大的用户群体，中国反病毒软件市场第一品牌防治ARP病毒案例•基本ARP介绍•ARP“AddressResolutionProtocol”（地址解析协议），局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP欺骗原理•在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义，但是当初ARP方式的设计没有考虑到过多的安全问题，给ARP留下很多的隐患，ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞，通过伪造MAC地址实现ARP欺骗的攻击技术。在同一局域网内的电脑都是通过MAC地址进行通讯的。方法为，PC和另一台设备通讯，PC会先寻找对方的IP地址，然后在通过ARP表（ARP表里面有所以可以通讯IP和IP所对应的MAC地址）调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址，而不是IP地址。网内的任何一台机器都可以轻松的发送ARP广播，来宣称自己的IP和自己的MAC.这样收到的机器都会在自己的ARP表格中建立一个他的ARP项，记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。有了这个方法欺骗者只需要做一个软件，就可以在局域网内进行ARP欺骗攻击了。ARP病毒的发现•ARP的通病就是掉线，在掉线的基础上可以通过以下几种方式判别，1.一般情况下不需要处理1分钟之内就可以回复正常上网。因为ARP欺骗是由时限，过了期限就会自动的回复正常。而且现在大多数路由器都会在很短时间内不停广播自己的正确ARP，使受骗的机器回复正常。但是如果出现攻击性ARP欺骗（其实就是时间很短的量很大的欺骗ARP，1秒有个几百上千的），他是不断的通过非常大量ARP欺骗来阻止内网机器上网，即使路由器不断广播正确的包也会被他大量的错误信息给淹没。ARP病毒的发现•2.打开被骗机器的DOS界面，输入ARP-A命令会看到相关的ARP表，通过看到的网关的MAC地址可以去判别是否出现ARP欺骗，但是由于时限性，这个工作必须在机器回复正常之前完成。如果出现欺骗问题，ARP表里面会出现错误的网关MAC地址，和真实的网关MAC一对黑白立分。•当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。解决办法•采用客户机及网关服务器上进行静态ARP绑定的办法来解决。arp–s192.168.100.100-02-ba-0b-04-32•如果网络规模较少，尽量使用手动指定IP设置，而不是使用DHCP来分配IP地址。•有条件的网络可以在交换机内进行IP地址与MAC地址绑定•病毒源，对病毒源头的机器进行处理，杀毒此操作比较重要，解决了ARP攻击的源头PC机的问题，可以保证内网免受攻击。瑞星可杀除该病，病毒命名为：TrojanDropper.Win32.Juntador.f。解决办法•给系统安装补丁程序，通过WindowsUpdate安装好系统补丁程序(关键更新、安全更新和ServicePack)。•给系统管理员帐户设置足够复杂的强密码，也可以禁用/删除一些不使用的帐户。•不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。•国务院•外交部•中共中央对外联络部•北京市政府•上海市政府•南京市政府•中国民航总局•广东省政府办公厅•湖北省审计厅•西安市委•中华人民共和国公安部•北京市公安局•甘肃省公安厅•河南省公安厅•吉林省公安厅•大连市公安局•最高人民检察院办公厅•杭州市司法局•郑州市人民检察院•湖北省人民检察院•中国联通总公司•中国移动湖南分公司•中国联通北京分公司•中国联通浙江分公司•中国联通山东分公司•中国联通四川分公司•中国联通安徽分公司•中国电信广西分公司•中国电信辽宁分公司•中国铁通