防病毒整体技术方案.docx
- 文档编号:11330955
- 上传时间:2023-02-27
- 格式:DOCX
- 页数:40
- 大小:368.81KB
防病毒整体技术方案.docx
《防病毒整体技术方案.docx》由会员分享,可在线阅读,更多相关《防病毒整体技术方案.docx(40页珍藏版)》请在冰豆网上搜索。
防病毒整体技术方案
防病毒软件技术方案
赛门铁克软件(北京)有限公司
2012年10月
第1章恶意代码发展趋势
终端所面临的安全威胁已不再是传统的病毒,而是更加复杂的恶意代码(广义病毒)。
分析恶意代码的发展趋势可以帮助我们更好地构建病毒防护体系,优化现有安全防护体系,从而实现保障终端安全的最终目标。
❒前所未见的恶意代码威胁
当前,终端安全必需要面对的首要问题是越来越多的恶意代码是未知的,前所未见的。
前所未见的威胁之所以剧增,其中一个主要原因是恶意代码系列中出现大量变种。
攻击者普遍都在更新当前的恶意代码,以创建新的变种,而不是“从头开始”创建新的恶意代码。
一些恶意代码系列(如熊猫烧香、Flamer系列)中的变种数量多如牛毛便是这方面淋漓尽致地再现。
恶意代码的编写者创建新变种的方法各式各样,其中包括变形代码进化、更改功能及运行时打包实用程序,以逃避防病毒软件的检测。
前几年,蠕虫和病毒(红色代码、冲击波)的大规模爆发表明,恶意代码无需复杂就可以感染大量计算机。
如今,关注的焦点逐渐转移到目标性攻击和更狡猾的感染方法上。
因此,越来越多的攻击者开始使用复杂的多态技术来逃避检测,为传播助力。
多态病毒可以在复制时更改其字节样式,从而逃避采用简单的字符串扫描防病毒技术进行的检测。
❒特洛伊木马
特洛伊木马是一种不会进行自我复制的程序,但会以某种方式破坏或危害主机的安全性。
特洛伊木马看起来可用于某些目的,从而促使用户下载并运行,但它实际上携带了一个破坏性的程序。
它们可能伪装成可从各个来源下载的合法应用程序,还可能作为电子邮件附件发送给无防备的用户。
根据统计,大部分特洛伊木马是通过恶意网站进行安装的。
它们利用浏览器漏洞,这些漏洞允许恶意代码的作者下载并执行特洛伊木马,而很少或无需与用户交互。
当用户使用MicrosoftInternetExplorer查看其中的恶意的网络页面时,特洛伊木马便会通过浏览器中的多客户端漏洞安装在用户的系统中。
然后,特洛伊木马会记录某些网站的身份验证资料,并将其发送给远程攻击者。
许多新出现的特洛伊木马还会从受感染的系统中窃取特定的消息,如网上银行密码。
❒广告软件/流氓软件
终端用户遭遇的广告软件/流氓软件的几率越来越高,广告软件可执行多种操作,其中包括显示弹出式广告、将用户重引导至色情网站、修改浏览器设置,如默认主页设置以及监视用户的上网活动以显示目标广告。
其影响范围包括单纯的用户骚扰、隐私权侵犯等。
Adware的影响因其固有的特点而难以量化。
但这并不意味着它们不是安全问题。
最严重的影响可能是大范围破坏个别最终用户系统的完整性。
包括:
性能下降、浏览器故障、系统频繁死机等。
❒混合型威胁
混合型威胁可以利用多种方法和技术进行传播。
它们不但能利用漏洞,而且综合了各类恶意代码(病毒、蠕虫和特洛伊木马程序)的特点,从而可以在无需或仅需很少人工干预的情况下,短时间内感染大量系统,迅速造成大范围的破坏。
混合型威胁常用的多传播机制使其可以用灵活多变的方式避开组织的安全措施。
它们可以同时使系统资源超负荷并耗尽网络带宽。
第2章防病毒系统设计思路
2.1基于特征的防病毒技术分析
长期以来,应对混合型威胁(混合型病毒)的传统做法是,一旦混合型病毒爆发,尽快捕获样本,再尽快写出病毒特征,并尽快去部署该病毒特征,然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。
这种方式曾一度相当有效,但近年来――特别是近年来多次影响XXX的冲击波、Slammer、Netsky、熊猫烧香、Flamer等病毒,已经体现这种基于特征的被动式病毒响应方式效果不佳了。
这一方面因为病毒的快速发展,另一方面更因为传统防病毒技术采取被动跟踪的方式来进行病毒防护。
但是,这种被动的病毒响应方式越来越力不从心。
如下图所示,Symantec公司统计了近十几年来病毒爆发速度和特征响应速度,并对近年的发展趋势做了比较。
附图1.混合型病毒感染与病毒特征响应对比图
该图以计算机病毒/混合威胁的复制速度(蓝色线条,自左上至右下)来显示这些威胁的演变,以响应速度(红色线条,自左下至右上)来显示病毒技术的发展。
横轴以年为单位,时间范围是从1990年至2005年。
纵轴实际上显示两种不同的时间规定(都采用左边纵轴的时间比例来显示)。
左边纵轴(蓝色文本)显示恶意病毒达到“感染”状态所用的时间,在该状态下,恶意病毒已经感染了相当多有漏洞的计算机。
右边纵轴显示提供描述病毒的特征所用的时间。
分析上图的最后一部分可知,对于现在出现的几分钟甚至几秒钟之内就可发作的超速混合威胁而言,其传播速度和实现完全感染相关主机的速度比人工或自动化系统生成和部署病毒特征的速度快得多时,在这样情况下,原有的基于病毒特征的模式已经效果甚微,因为到那时每次混合型病毒的爆发,由于特征响应方式的滞后而让将付出沉重的代价(最近的冲击波、震荡波的例子已经初步证明了这一点),而这是绝对不能接受的。
2.2传统的防病毒产品使用效果分析
传统的单一的防病毒产品在应对新的终端安全威胁时效果往往不佳,其根本原因在于:
❒基于特征的病毒定义滞后性
虽然防病毒技术不断发展,出现了类似启发式扫描、智能检测等新的技术,但是目前防病毒产品还是以基于特征的病毒扫描方式为主要手段。
也即一种新的病毒出现后,防病毒厂商通过各种方式收集到病毒的样本,经过自动地或者专家分析获取病毒特征码,随即发布新的病毒定义供用户下载更新。
而用户通过手动或周期地自动更新获取新的病毒定义以后,才可以有效地防御这种新的病毒。
显然,基于特征的病毒定义更新存在着滞后性,这种滞后表现在:
病毒定义滞后于新病毒的出现,当前的病毒快速、大量变种的特性加剧了这种滞后性所带来的危害。
用户的病毒定义滞后于厂商的病毒定义。
这是由于用户往往使用周期自动更新的方式,甚至由于种种原因部分用户的病毒定义不能正常升级,这些都会导致与最新的病毒定义的时间差。
❒区域性恶意代码增加了样本收集的难度
特洛伊木马等恶意代码当前的一个重要特征是具有很强的目标性和区域性。
特洛伊木马往往以特定用户和群体为目标。
某一种特洛伊木马可能只是针对某个地区的某类型用户。
由于特洛伊木马的目标性强,因此这些攻击只是发送给较小的用户群,从而使其看上去并不显眼,并且不太可能提交给防病毒供应商进行分析。
而如果防病毒厂商不能及时获得最新的病毒样本,也就失去了对这些木马的防护能力。
❒单纯的防病毒技术无法应对混合型威胁
混合型威胁整合了病毒传播和黑客攻击的技术,以多种方式进行传播和攻击。
不需要人工干预,能够自动发现和利用系统漏洞,并自动对有系统漏洞的计算机进行传播和攻击。
越来越多的病毒会自动攻击操作系统或者特定的应用软件的漏洞,在漏洞未修复(未安装补丁)的情况下,会造成病毒反复感染,纯粹的防病毒不足以应付这些新型的病毒事件。
❒复杂的病毒查杀技术与性能需求
新型的恶意代码采取了更多的反检测和清除的技术,包括前文描述的多态病毒以及高级的Rootkit技术。
与传统的恶意代码相比,检测复杂多态病毒和Rootkit对技术的要求更高。
涉及复杂的加密逻辑和统计分析过程,以及代码模拟和数据驱动引擎的设计。
因此,这需要经验丰富的分析师来开发检测和移除技术。
同时,防护时也需要占用更多的终端系统资源。
实际测试包括很多用户实际环境中,防病毒软件通常占用内存50M-60M左右,对于一些老的机器(内存小于256M)会影响系统性能。
部分终端用户往往在安全和性能的抉择中放弃安全,这也导致了防病毒体系整体运行效果不佳。
2.3技术+服务的体系化建设
实践证明,完整有效的终端安全解决方案包括技术、管理和服务三个方面内容。
防病毒技术的部署和实施是“实现用户个人的广义病毒和攻击的防护”的主要力量。
传统的病毒防护方案往往以技术为主,但是仅仅依靠技术是有其局限性,因此指望一套防病毒软件解决所有的病毒问题是不现实的;同时,对于中保协这样的大型企业,防病毒的管理性要求甚至比查杀病毒的能力显得更为重要,如果不能做到全网防病毒的统一管理,再强的防病毒软件也不能发挥应有作用。
此外,我们重点提出“服务”的根本原因是基于一个判断:
即没有任何防病毒厂家能够做到对所有已知病毒和未知病毒的快速准确查杀。
服务是产品的一种补充。
因此,厂家提供的产品+服务的组合才能在根本上保证病毒防护的可靠性。
以下分别予以详细阐述:
2.3.1技术层面:
主动防御
从以上对新的恶意软件发展趋势和传统的病毒防护产品的特性分析,不难看出,传统防病毒技术由于采取被动跟踪的方式来进行病毒防护。
一旦病毒爆发,尽快捕获样本,再尽快写出病毒特征,并尽快去部署该病毒特征,然后寄希望于它能够迅速清除病毒并阻截该威胁的蔓延。
这种被动的防护方式无法应对新的恶意软件的发展。
因此,必须从“主动防御”这一观点出发,建立一个覆盖全网的、可伸缩、抗打击的防病毒体系。
相对于被动式病毒响应技术而言,主动式反应技术可在最新的恶意软件没有出现之前就形成防御墙,静侯威胁的到来而能避免威胁带来的损失。
“主动防御”主要体现在以下几个方面:
❒信誉度技术
❒Symantec会从其数百万用户的全球社区及其全球情报网中收集有关文件的信息。
所收集的信息形成Symantec承载的一个信誉数据库。
Symantec产品利用该信息保护客户端计算机,使其免受新威胁、目标威胁和变异威胁的侵害。
该数据有时称为“在云端”,因为它未驻留在客户端计算机上。
客户端计算机通过请求或查询信誉数据库,可以避免传统的基于特征码的防病毒技术带来的病毒检测的滞后性,做到基于Symantec全球防病毒云计算网络的病毒和恶意软件防护。
❒Symantec使用一项称为“智能扫描”的技术来确定每个文件的风险级别或“安全等级”。
智能扫描通过检查文件及其上下文的以下特征来确定文件的安全等级:
❒■文件的源
❒■文件的新旧程度
❒■文件在社区中的常用程度
❒■其他安全衡量标准,如文件可能与恶意软件的关联程度
❒SymantecEndpointProtection12.1中的扫描功能利用智能扫描做出有关文件和应用程序的决策。
❒
❒基于应用程序的防火墙技术
个人防火墙能够按程序或者通讯特征,阻止/容许任何端口和协议进出。
利用个人防火墙技术,一方面可以防止病毒利用漏洞渗透进入终端,另一方面,更为重要的是,可以有效地阻断病毒传播路径。
以去年大规模爆发的Spybot病毒为例,该病毒利用了多个微软系统漏洞和应用软件漏洞,企业可以在终端补丁尚未完全安装完毕的情况下,通过集中关闭这些存在漏洞的服务端口,阻止病毒进入存在漏洞的终端。
再以Arp木马为例。
正常的Arp请求和响应包是由ndisiuo.sys驱动发出,而arp病毒或者其他arp攻击通常是利用其他的系统驱动伪造arp数据包发出。
因此,通过在防火墙规则中设定,只允许ndisiuo.sys对外发送Arp数据包(协议号0x806),其他的全部禁止。
从而,在没有最新的病毒定义的前提下对病毒进行阻断和有效防护。
统一部署防火墙不仅可以解决以上这些安全问题,同时可以成为企业执行安全策略的有力工具,实现一些企业的安全策略的部署,如突发病毒爆发时,统一开放关闭防火墙相应端口。
❒具备通用漏洞阻截技术的入侵防护
通用漏洞利用阻截技术的思想是:
正如只有形状正确的钥匙才能打开锁一样,只有“形状”相符的混合型病毒才能利用该漏洞进行攻击。
如果对一把锁的内部锁齿进行研究,便可以立即了解到能够打开这把锁的钥匙必需具备的特征——甚至不需要查看实际的钥匙。
类似地,当新漏洞发布时,研究人员可以总结该漏洞的“形状”特征。
也就是说,可以描述经过网络到达漏洞计算机并利用该漏洞实施入侵的数据的特征。
对照该“形状”特征,就可以检测并阻截具有该明显“形状”的任何攻击(例如蠕虫)。
以冲击波蠕虫被阻截为例进行说明。
当2003年7月MicrosoftRPC漏洞被公布时,赛门铁克运用通用漏洞利用研究技术,制作了该漏洞的通用特征。
大约在一个月之后,出现了利用该漏洞进行入侵和蔓延的冲击波蠕虫。
Symantec由于具备了赛门铁克编写的特征在网络环境中能够迅速检测到冲击波蠕虫并立即阻止它。
在前文对恶意软件的发展趋势中,我们分析了木马、流氓软件的一个最主要的传播方式是利用IE浏览器的漏洞,当用户浏览这些恶意站点时,利用IE的漏洞,攻击者可以在用户终端上悄悄安装木马、广告/流氓软件等。
尽管恶意软件的变种数量庞大,但实际上,恶意软件安装过程中利用的IE漏洞种类并不多。
赛门铁克运用通用漏洞利用研究技术,提前制作这些漏洞的通用特征。
恶意软件若想利用这些漏洞进行安装,必须具备特定的形状,而赛门铁克编写的特征可以提前检测到该形状,从而对其进行阻截,避免了恶意软件安装到用户终端上,从而根本无需捕获该病毒样本然后再匆忙响应。
❒应用程序控制技术
通过应用程序行为控制,在系统中实时监控各种程序行为,一旦出现与预定的恶意行为相同的行为就立即进行阻截。
以熊猫烧香为例,如果采用被动防护技术,必须对捕获每一个变种的样本,才能编写适当的病毒定义。
但是,该病毒的传播和发作具有非常明显的行为特征。
熊猫烧香最主要的传播方式是通过U盘传播,其原理是利用操作系统在打开U盘或者移动硬盘时,会根据根目录下的autorun.inf文件,自动执行病毒程序。
SEP系统防护技术可以禁止对根目录下的autorun.inf的读写权限,特别的,当已感染病毒的终端试图往移动设备上写该文件时,可以终止该病毒进程并报告管理员。
再以电子邮件的行为阻截技术应用为例进行说明。
首先,我们知道基于电子邮件的蠕虫的典型操作:
典型的电子邮件计算机蠕虫的工作原理是,新建一封电子邮件,附加上其(蠕虫)本身的副本,然后将该消息发送到电子邮件服务器,以便转发到其他的目标计算机。
那么,当使用了带行为阻截技术的赛门铁克防病毒软件之后,防病毒软件将监视计算机上的所有外发电子邮件。
每当发送电子邮件时,防病毒软件都要检查该邮件是否邮件有附件。
如果该电子邮件有附件,则将对附件进行解码,并将其代码与计算机中启动此次电子邮件传输的应用程序相比较。
常见的电子邮件程序,如Outlook,可以发送文件附件,但绝不会在邮件中附加一份自身程序的可执行文件副本!
只有蠕虫才会在电子邮件中发送自己的副本。
因此,如果检测到电子邮件附件与计算机上的发送程序非常相似时,防病毒软件将终止此次传输,从而中断蠕虫的生命周期。
此项技术非常有效,根本无需捕获蠕虫样本然后再匆忙响应,带此项技术的赛门铁克防病毒软件已经成功的在零时间阻截了数十种快速传播的计算机蠕虫,包括最近的Sobig、Novarg和MyDoom。
此外,基于行为的恶意软件阻截技术,还可以锁定IE设置、注册表、系统目录,当木马或者流氓软件试图更改这些设置时会被禁止。
从而,即使用户下载了未知的恶意软件,也无法在终端上正常安装和作用。
基于行为的防护技术非常有效,根本无需捕获恶意软件样本然后再匆忙响应,利用此项技术可以成功的在零时间阻截主流的蠕虫病毒,包括熊猫烧香、威金等。
由于采用了集中的策略部署和控制,无须最终用户的干预,因此不需要用户具备高深的病毒防护技术。
同时,基于行为规则的防护技术非常适合于主机系统环境,主机系统应用单一并且管理专业,采用行为规则的防护是对传统防病毒技术的一个很好的补充。
❒前瞻性威胁扫描
ProactiveThreatScan是一种主动威胁防护技术,可防御利用已知漏洞的多种变种和前所未见的威胁。
ProactiveThreatScan基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。
大多数基于主机的IPS仅检测它们认为的“不良行为”。
所以,它们经常会将可接受的应用程序行为识别为威胁并将它们关闭,严重影响用户和技术支持中心的工作效率,让管理员面临着艰巨的挑战。
不过,ProactiveThreatScan会同时记录应用程序的正常行为和不良行为,提供更加准确的威胁检测,可显著减少误报的数量。
前瞻性地威胁扫描让企业能够检测到任何基于特征的技术都检测不到的未知威胁。
❒终端系统加固
事实上,确保终端安全的一个必须的基础条件时终端自身的安全加固,包括补丁安装、口令强度等。
显然,口令为空、缺少必要的安全补丁的终端,即使有再优秀的防护技术也不可避免地遭受到攻击和病毒感染。
为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞,使整个网络安全不至由于个别软件系统的漏洞而受到危害,必需在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。
建议集中管理企业网络终端的补丁升级、系统配置策略,可以定义终端补丁下载,补丁升级策略以及增强终端系统安全配置策略并下发给运行于各终端设备上的代理,代理执行这些策略,保证终端系统补丁升级、安全配置的完备有效,整个管理过程都是自动完成的,对终端用户来说完全透明,减少了终端用户的麻烦和企业网络的安全风险,提高企业网络整体的补丁升级、安全配置管理效率和效用,使企业网络的补丁及安全配置管理策略得到有效的落实。
❒针对虚拟化和云设计
随着虚拟化和云技术的不断应用和发展,防病毒软件需要适合在虚拟化河运平台下的终端防护,包含以下功能:
❒针对VMware、Citrix和Microsoft虚拟环境而优化
❒易于管理的物理和虚拟客户端
❒最大限度提高了在虚拟化和云平台下性能和密度,同时丝毫不会影响安全性
❒在虚拟化河运平台下最出色的性能和安全性
❒基于特征的病毒防护技术
最后,传统的病毒防护技术仅仅作为主动防御的的一个必要补充,防御已知的病毒,对于已经感染病毒机器进行自动的清除和恢复操作。
综上所述,单纯的防病毒产品都仅仅实现了基于特征的病毒防护功能,必须依靠其他的主动防御技术,才能有效地应对当前的恶意代码威胁。
2.3.2服务层面
企业通过建立网络防病毒体系来防止病毒入侵,即是一个动态的技术对抗过程,也是一个防守方和攻击方的人员较量过程。
在现实的网络环境里,由于攻击方在大多数情况下掌握着主动权,因此部署防病毒产品只是建立了对抗攻击的基础,还不能达到真正意义上的安全,最重要的是对产品进行有效的管理和正确的策略配置,并且时时刻刻关注网络安全的最新动态,根据各种变化及时调整安全策略,加固系统。
只有结合和采用防病毒安全服务,才能使企业的防病毒体系以及整体安全达到一个新的高度。
防病毒厂商提供的服务主要包括以下两个方面:
❒病毒预警服务
病毒预警服务为XXX对于新病毒的提前预警、通知和防范的标准流程,该流程为管理员提供必要的信息和预警,以便在病毒到达企业之前或病毒尚未泛滥之前部署对策并成功抵制攻击,减少病毒事件的数量,降低病毒事件的影响。
❒突发病毒应急响应服务
当用户发现一种未知病毒的传播导致网络服务瘫痪,而现有防病毒客户端对此无能无能为力,或者当病毒客户端发现病毒但既不能隔离也不能有效删除时候,就需要防病毒服务能够帮用户解决这些问题。
而且,用户需要的是一个时限范围内的解决。
用户可以通过提交病毒样本或要求直接上门服务的方式,请防病毒厂家协助解决这些问题,避免病毒在用户的大规模扩散。
第3章产品选型推荐
根据以上防病毒系统设计思路,我们推荐采用SymantecEndpointProtection12.1终端防护软件。
3.1SEP12组件及功能说明
SEP12主要功能模块如下:
(1)防病毒和反间谍软件
防病毒和反间谍软件解决方案一般采用基于扫描的传统技术,来识别端点设备上的病毒、蠕虫、特洛伊木马、间谍软件和其它恶意软件。
典型的防病毒和反间谍软件解决方案会在系统中搜索与已知威胁的特点(或称威胁特征)匹配的文件,从而检测这些威胁。
在检测到威胁后,该解决方案会对其进行补救,通常是删除或控制威胁。
多年来,该方法在针对已知威胁保护端点时一直非常有效。
虽然该方法不足以防御未知威胁和零日威胁,但它仍然是整体端点安全中的基本要素。
Symantec从2011年7月份发布的SymantecEndpointProtection12.1版本开始,把原本在个人版诺顿防病毒软件使用成熟的信誉度技术和主动式防御技术增加到企业版SymantecEndpointProtection产品之中,做到了真正的基于Symantec全球云计算网络的病毒和恶意软件检测。
该技术不仅是传统的基于特征码的防病毒技术的一个重要补充,随着使用者数目的增多和信誉度数据库的不断丰富完善,正在成为Symantec的主要的病毒和恶意软件检测技术。
由于整个行业日益重视端点安全,所以防病毒和反间谍软件市场中最近新出现了各种产品。
在这些第一代和第二代解决方案中,虽然有许多产品可以提供一定程度的防护,但它们往往无法提供全面防护。
许多技术仅在一种操作系统上工作。
其它技术缺少与防火墙、设备控制和入侵防御等其它基本端点安全技术互操作的功能。
无论是从质量还是级别来看,SymantecEndpointProtection提供的防护都远远超越了竞争对手的产品。
与第一代打包解决方案相比,SymantecEndpointProtection提供更高级别的实时防护,而且赛门铁克的表现比许多老牌安全解决方案提供商更胜一筹。
例如,赛门铁克是1999年以来唯一连续获得40多项VB100奖的供应商。
在Gartner评比中,SymantecEndpointProtection始终位列领导者象限的领先地位。
另外,SymantecEndpointProtection由赛门铁克全球情报网络提供支持,该集成式服务为客户提供了必需的情报,让他们能够降低安全风险、提高法规遵从性并改善整体安全状况。
赛门铁克全球情报服务提供了对全球、行业和本地最新威胁与攻击的洞察,以便企业可以主动响应新出现的威胁。
通过将威胁预警和赛门铁克托管安全服务完美结合,赛门铁克全球情报服务可以对整个企业中的恶意活动进行实时分析,从而帮助企业保护关键信息资产。
(2)主动威胁防护技术
虽然基于特征和信誉度的文件扫描和网络扫描技术覆盖了主要的必备保护领域,但仍然需要并非基于特征或信誉度的技术,来防御隐蔽攻击使用的不断增多的未知威胁。
这类技术被称为主动威胁防护技术。
SymantecEndpointProtection包括ProactiveThreatScan,它是一种主动威胁防护技术,可防御利用已知漏洞的多种变种和前所未见的威胁。
它具有独特的主机入侵防御功能,让企业有能力针对未知或零日威胁保护自己。
ProactiveThreatScan基于分析系统所运行进程的行为来检测潜在威胁的启发式技术。
大多数基于主机的IPS仅检测它们认为的“不良行为”。
所以,它们经常会将可接受的应用程序行为识别为威胁并将它们关闭,严重影响用户和技术支持中心的工作效率,让管理员面临着艰巨的挑战。
不过,ProactiveThreatScan会同时记录应用程序的正常行为和不良行为,提供更加准确的威胁检测,可显著减少误报的数量。
所以,SymantecEndpointProtection让企业能够检测到任何基于特征的技术都检测不到的未知威胁。
(3)网络威胁防护
端点上的网络威胁防护对于防御混合型威胁和阻止爆发至关重要。
为保证有效性,绝不能仅仅依赖防火墙。
网络威胁防护应包含多种先进防护技术,包括入侵防御以及先进的网络通信控制功能。
过去,安全专家争论的焦点是:
是否需要在企业网络边界本身或个别台式机上部署防火墙。
由于目前的威胁极为复杂,而且移动办公人员已经扩展到企业计算基础架构的边界以外,所以端点已成为漏洞利用和攻击的主要目标。
威胁通常首先感染网络边界以外的一台笔记本电脑,之后,在这台笔记本电脑连接到内部网络时,该威胁就会传播到其它端点。
可以利用端点防火墙,不仅阻止内部网络攻击入侵连接到网络的任何端点,甚至阻止这些威胁离开最初感染的端点。
SymantecEndpointProtection端点安全代理结合最佳的防火墙
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防病 整体 技术 方案