KingCloud企业云安全系统建设及服务方案.docx
- 文档编号:24485411
- 上传时间:2023-05-28
- 格式:DOCX
- 页数:14
- 大小:439.77KB
KingCloud企业云安全系统建设及服务方案.docx
《KingCloud企业云安全系统建设及服务方案.docx》由会员分享,可在线阅读,更多相关《KingCloud企业云安全系统建设及服务方案.docx(14页珍藏版)》请在冰豆网上搜索。
KingCloud企业云安全系统建设及服务方案
XXX公司
KingCloud企业云安全系统建设及服务方案
北京金山网络科技有限公司
XXXX年XX月XX日
2.1系统基本架构
2.2系统主要功能描述
2.3系统需要达到的基本要求
3.1客户端架构
3.2客户端扫描逻辑
3.3私有云服务器
4.1硬件配置要求
4.2部署基本流程
5.1云安全系统优化
5.2云安全系统相关管理人员培训
5.3服务及技术支持
第一章综述
1.1项目背景
1.1.1项目现状
计算机数量越来越大,目前普遍的、通用的防病毒防木马方式已滞后于公司的桌面安全需求。
日益增多的系统弱点及第三方软件漏洞,让计算机容易感染木马,特别是针对企业设计的木马,给桌面安全带来了挑战
需要部署一套快速响应的云安全系统,来解决终端桌面的安全问题,提高企业IT应用的安全性。
1.1.2项目目标:
开发属于企业私有的云安全系统,打造企业“云安全”服务。
可以有效扫描桌面系统关键位置,防止木马(特别是有针对性攻击的木马)隐藏其中。
对于文件安全性提供在内网受控的云鉴定服务,即可以快速响应文件安全性鉴定需求,又能防止未经受权的文件外泄。
可以快速提供有效的病毒/木马清除解决方案。
1.2面向对象
企业所有内网用户:
没有小孩的家庭宽带用户
台式机终端
Windows服务器
第二章系统设计要求
2.1系统架构
该系统由云查杀客户端、和私有云平台两部分组成。
示意图如下。
该系统采用金山成熟的云查杀技术、引擎,并定制开发适合企业需求的私有云服务器。
木马云查杀大部分对于文件特征匹配的请求会被发送到内网的私有云服务器上,而不是直接查询互联网。
私有云服务器通过VIP通道向金山云服务器,交得到优先响应的文件特征查询结果。
管理员通过Web页面查看、管理私有云服务器。
2.2系统主要功能描述
组件
主要功能
描述
木马云查杀客户端
快速扫描
对关键位置进行快速扫描,覆盖木马常用修改位置
全面扫描
支持对感染型等传统病毒的扫描
自定义扫描
支持对用户指定的文件或文件夹进行扫描
系统修复
支持修复病毒破坏的系统关键点及常见浏览器设置
私有云服务器
代理查询
作为内网中唯一可连接金山云安全服务器的节点,接受客户端查询请求,提供金山云安全服务器对内网的文件查询的响应
文件上报控制
对于客户端上报的文件进行管理,对于文件是否上报到金山云安全服务器进行控制
私有特征管理
支持管理员对于文件特征进行安全性标识,维护属于企业自有的特征库,
统计报表
提供感染相关的病毒报表
代理修复
支持对系统文件版本查询的请求转发、支持代理下载常见系统文件
代理更新
负责连接到金山升级服务器,实现对修复库、客户端文件、本地特征库的内网分发
2.3.系统需要达到的基本要求
组件
要求
内容
客户端
支持的操作系统
支持WindowsXP/2000/2003
支持WindowsVista
支持Windows2008、Windows7的32及64位版本
安全对抗能力
支持扫描已知Rootkit类木马
支持自保护,防止病毒/木马终止
通过更新,快速支持对病毒创建的启动项的扫描
清除能力
支持修复被病毒篡改的系统文件
对于被占用的病毒文件重启后清除
支持修复被篡改和锁定的浏览器设置项
支持清除感染型病毒
私有云服务器
查询响应
支持最大15万PC查询的响应容量
响应文件查询请求,通过金山云服务器和私有云特征库两部分返回
响应系统文件版本查询请求,连接金山云服务器进行转发相应请求并代理下载需要修复的系统文件
运营及管理能力
对文件上报进行审核管理
显示文件基本信息,以辅助管理员进行鉴定
提供接口允许管理员自行判定文件安全性,并可维护该特征库
提供有助于判断安全形势的统计报表
更新
支持代理升级修复库、客户端文件及
服务器自身通过Patch方式提供更新
3.1客户端架构
下面是客户端架构图:
安全应用层:
本层是基于金山云安全和安全核心层组件实现具体的功能,木马云查杀对外提供了快速扫描、全盘扫描、自定义扫描三种形式的交互方式,并允许第三方程序调用,以实现产品级功能调用。
安全核心层:
本层功能主要是与病毒对抗的实体,包含多个引擎组件,驱动。
为防止病毒对抗及利用,本层不提供对外的直接调用。
云安全服务层:
本层主要是提供云安全服务,开放的API,可以供第三方程序调用。
针对企业定制的版本,需要修改查询的地址及按需求进行修改。
3.2客户端扫描逻辑
3.2.1预扫描
最先扫描修复的项目,主要处理环境修复及热点病毒
*网络修复
由于系统引擎查杀部分还是依赖于云查杀,所以保证云查杀网络通畅是重中之重。
修复网络有两种情况:
如果需要重启,发现此类存在异常,提示用户是否重启后扫描或者继续扫描。
重启后扫描则立即修复重启,并开机时调用扫描。
若用户选择继续扫描,则修复后进行后续扫描流程,当扫描结束后,进行重启查杀的提醒。
如果不需要重启,,发现此类存在异常,修复后直接进行后续扫描流程,当扫描结束后,在界面中提示扫描出网络异常且修复成功。
*疑难及热点病毒清除
对于现有公共机制不支持的病毒清除逻辑,在预扫描中预先进行处理,才进入主扫描流程。
该处通过模块更新的方式由金山实时提供更新,此处仅针对重大流行病毒。
3.2.2主扫描
主要查杀修复模块,清除大部分的病毒及系统浏览器异常。
*加载项扫描
现有的启动项扫描模块中的各个启动项按需要可以对其处理方式可配置。
加载项主要指系统启动项、服务、驱动、病毒利用的常见应用程序启动方式等。
扫描加载项的主要目的是灭活病毒体,如果病毒的所有加载项都被扫描到并被清除,那么重启该病毒就会完全失去作用。
灭活是金山云查杀一直以来的主要查杀理念,这一理念保证了对抗代价低、对抗周期短、实际效果好的综合结果。
而且采用强对抗(例如在运行时强制结束受保护的进程、卸载服务或底层驱动)的安全软件在面对新病毒时往往由于开发周期过长而无能为力,且稳定性差。
*关键位置扫描
现有的关键位置扫描,针对各个驱动器盘符根目录、桌面等容易被用户误触发的位置进行病毒母体或残留体的扫描,此处扫描是对灭活的一个有效补充。
主要目的不再是清除病毒,而是巩固安全及提高用户体验。
*常用软件位置扫描
现有的常用软件位置扫描支持QQ、迅雷、winrar,后续还得根据病毒的发展趋势支持更多的普及型软件扫描位置。
病毒往往伴生在其他常用软件下,以利用其他应用软件进行启动,此处是对加载项扫描的一个补充,也是金山云查杀体系应对病毒对抗快速响应的一种积累。
*系统修复扫描
现有的系统修复主要针对系统异常及浏览器相关顽固病毒进行处理修复。
后续还得根据病毒的流行破坏趋势进行相应的处理。
*系统文件修复扫描
现有的系统文件修复主要针对病毒长破坏的系统文件进行修复,后续会扩展更多病毒易破坏的系统文件。
*残留文件扫描
任何一个安全软件都不能确保完全清除所有病毒,但一个残留的病毒文件,可能会引起用户恐慌,此处也是一个提供用户体验的补充。
但不是运营的重点。
3.2.3重启后回扫
下面是系统引擎重启后相关流程图
*bc/bs清除
现在大部分借助bc和bs驱动进行对病毒的清理,
|BC驱动启动早于系统绝大多数据驱动,用于清除病毒文件
BS驱动启动时机为注册表加载完成,用于清除和修复注册表项。
*启动处理扩展
由于bc\bs启动时机早,处于系统底层,因此不能承载复杂的逻辑和获取完整的系统环境,具有一定局限性,因此需要在服务中对进行更多的操作,增强处理的成功率。
此处主要针对对我们脚本处理逻辑的增加个线性处理的补充,并对注册表中user的操作、对文件的替换操作等。
*启动回扫处理
现在的回扫处理是服务启动后2分钟,此处是为了巩固清除的成果,对于处理逻辑上没有完全覆盖或发生异常处理不干净时,通过回扫处理可以提升一定的清除成功率。
3.3私有云服务器
3.3.1系统架构
下图是私有云服务器架构
私有云服务器通过接受客户端HTTP请求,解析并处理各种上报的数据。
通过HTTP协议访问金山云服务器、升级服务器获得相应数据。
采用WEB控制台方式对服务器进行管理。
3.3.2私有云服务器各服务描述
*数据及文件存储
数据库初步选用MySQL,具体可双方协商。
*二进制文件管理
对于客户端上传的文件进行分类存储,并可接受控制指令或计划任务对文件进行管理、流转。
*文件信息管理
通过接受客户端附加的文件信息、自行计算文件的附加信息按需求提供给管理员查看和处理。
*私有云特征处理
维护一个私有的云安全特征库,该库不必要与金山云安全服务器同步。
仅接受用户的指令修改文件安全状态,并下发到客户端。
该模块涉及到误报、应急处理等多种策略,存在一定风险。
*WEB控制台
提供WEB控制台对私有云服务器进行管理。
*文件云代理服务
对于内网不需要上报的文件查询,提供转发请求服务。
对于审核通过的文件提供提供上传代理服务。
对于查询的特征按定义好的策略进行缓存
*数据升级服务
负责接受客户端匹配版本信息的请求
定时下拉客户端文件、病毒库数据、修复库数据
*系统文件修复服务
负责接受客户端匹配文件版本信息的请求,
对有需要的用户分发正确版本的系统文件。
*客户端查询接口
采用HTTP协议通讯,负责对客户端上的多种请求信息进行解析并转发到相应模块,并返回结果。
*统计运营
对于全网的文件查询、上报、安全状态做综合展示
提供评估安全形势的报表
通过组合查询方式获取特点文件、病毒或客户端的安全状态,以协助制定安全策略。
4.1硬件配置要求
*客户端:
WindowsXP/Vista/Windows7
*私有云服务器:
系统要求:
Windows2003及以上版本64位服务器操作系统。
硬件要求:
根据部署时的实际情况,做性能压力测试后确定。
网络环境要求:
可以连接互联网网,且达10M以上带宽
可以连接企业内网,且达100M以上带宽。
4.2部署基本流程
*架设私有云服务器
私有云服务器安装调试
数据库建设
网络环境配置
配置金山云安全特别授权服务、升级服务
部署基础数据:
包括高频白文件特征库、最新本地病毒库、修复库、常用系统文件库。
*部署客户端
提供WEB下载安装方式,可通过邮件、以及企业内网管理支持的各种软件方式分发客户端。
可提前在一个小部门部署测试整体系统功能是否可用。
然后再大规模部署。
*建立企业私有云基础库(生产环境安全基线的初始化)
对于客户端上报的所有文件进行集中处理,建立一个基于企业现状的初始文件库。
*调试安全策略
当每天上报的文件数量、未知文件状况达到一个稳定程度后:
制定文件鉴定计划
建立与金山云安全中心服务的服务流程
微调客户端扫描调度频度、安全策略等参数。
5.1云安全系统优化
5.1.1安全策略优化
每三个月(季)进行评估分析,根据病毒发展形势,以及金山云安全技术的发展,提供优化方案,更新系统,以适应新的安全形势。
5.1.2用户体验优化
根据员工反馈,不断优化安全策略,在保障安全的基础上对用户体验找到平衡点。
5.2云安全系统相关管理人员培训
对于云安全系统相关管理人员进行云安全体系知识的培训,每季度提供最新木马知识培训。
5.3服务及技术支持
5.3.1第一年部署调试期间支持
*专职开发团队5人、专职技术支持1人。
提供全程系统改进开发和技术支持服务。
*服务形式为:
技术支持人员上门常驻,驱动专职开发团队进行改进开发。
并按月提供改进事项列表。
安全专家提供过程支持及电话支持服务
5.3.2后续服务支持
*提供1人年开发支持及一名技术支持人员专职支持
*服务形式:
一名技术支持长期现场支持,驱动开发人员进行技术改进。
提供安全专家远程及电话支持服务。
5.3.3更新与授权
提供的更新数据:
*本地病毒库更新
*云查杀客户端扫描程序更新
*系统修复库更新
金山文件云安全使用授权按年提供
*云端VIP通道快速响应
*文件人工鉴定服务
*疑难病毒详细分析服务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- KingCloud 企业 云安 全系统 建设 服务 方案