昆明威士科技有限公司

计算机病毒防御系统

　　随着计算机网络的不断发展及应用，计算机病毒及恶意程序也从单一的单机病毒逐渐演变成通过网络途径进行传播，病毒对于计算机的应用安全影响也大大增加。

传统病毒：

　　指传统概念的计算机病毒和恶意程序。传统概念的计算机病毒是一段可执行代码，运行时会隐藏或附着在其他可执行代码上，并自行复制。当病毒被激活时，可能盗窃计算机内的重要资料，也可能直接破坏信息资源。计算机病毒可分为六大类——它们是：引导型病毒、DOS病毒、Windows病毒、宏病毒、Script病毒和Java病毒。除计算机病毒外，还有能攻击计算机系统的其他类型的恶意程序，如：特洛伊木马、蠕虫、玩笑程序、黑客工具和病毒释放工具。

混合型威胁：

　　混合型威胁结合了病毒、蠕虫、特洛伊木马和恶意代码的特性，利用服务器和 Internet 漏洞来启动、传送和扩散攻击。混合型威胁通过利用多种方法和技术，可以快速地进行扩散并造成覆盖面更广的破坏。混合型威胁的特性包括：

造成破坏：在目标 IP 地址启动拒绝服务攻击、破坏 Web 服务器或植入特洛伊木马程序以便伺机执行。
通过多种方法传播：扫描漏洞以威胁系统的安全（如在服务器上的 html 文件中嵌入代码）、感染访问者以威胁网站的安全或从受到安全威胁的服务器发送带有蠕虫附件的非授权电子邮件。
从多个点进行攻击：将恶意代码注入系统上的 .exe 文件中，提高来宾帐户的权限级别，创建可被广泛读写的网络共享，进行大量的注册表更改，以及在 html 文件中加入脚本代码。
无需人工干预即可传播：不断扫描 Internet 以查找可被攻击的服务器。
利用安全漏洞：利用已知的安全漏洞，如缓冲区溢出、http 输入校验漏洞和已知的默认密码等来获得非法的管理员访问权限。

病毒发展趋势　　

　　利用恶意代码和漏洞进行网络攻击的混合型威胁日渐流行，其依然是今年各公司所面临的最大的网络安全威胁。最新的互联网安全威胁报告数据分析显示，在2004年，恶意代码中混合型威胁的比例高达60%，在数量上提高了20%，混合型威胁的传播速度也有显著增加，例如，Slammer蠕虫在短短几个小时之内就扩散到了全世界的系统；此外，最近爆发的Blaster蠕虫仅在一小时内就感染2500台计算机。预计，未来会有更大规模的蠕虫传播，感染速度愈来愈快，进而造成网络硬件超负荷、网络通信瘫痪并且严重妨碍个人和企业使用互联网。

对混合型威胁的防治能力将成为我们对防病毒软件部署的首要考虑问题。由于混合型威胁集中了病毒、入侵、黑客等多方面的技术，因此要对混合型威胁进行有效的防御，需要具有多层防御和响应机制的综合安全解决方案。

通过集成的防病毒、防火墙和入侵检测，为远程、移动和联网客户端系统提供威胁防护

　　病毒防御系统具备集成的防病毒、防火墙和入侵检测功能（通过中央控制台进行管理），能提供更好的前瞻性保护，以防范当今不断演化的混合型威胁，如 Blaster。该解决方案可提供重要的端点安全性，以防止入侵攻击通过连接的和未连接的远程用户、移动用户以及关键系统进行传播或进入这些系统。

　　与仅限于防病毒的解决方案相比，增强型功能可提供更多防护，从而保护客户端系统免遭有害网络入侵、黑客攻击、病毒、特洛伊木马和蠕虫的侵扰。多项交互安全技术确保了一致的响应，实现了最大的囊括范围与覆盖面，以及先进的客户端安全策略管理。位置识别使客户端防火墙能够根据计算机的位置调整策略。扩展威胁检测可检测到未经授权的程序，如间谍软件和广告软件。高级的行为禁止功能可以防止客户端系统被恶意出站活动所利用，如通过电子邮件发送蠕虫病毒。使用 Symantec VPN Sentry 技术，管理员可以确保通过 VPN 连接到公司资源的移动和远程系统符合安全策略。客户端配置功能还可确保客户端防火墙对最终用户无干扰，而广告禁止功能可确保员工实现最高的工作效率。

改进的管理功能（包括集中式事件管理和响应功能），减轻了管理负担，并有助于降低总拥有成本。通过提供来自单一供应商的防病毒、防火墙和入侵检测的单一更新，企业能够更迅速地响应复杂的安全爆发，保护客户端计算机免受感染。

结构和工作原理：

部署模式

1. 客户端的安装方法：（可以有多种方法）

包部署，推送。
登录脚本自动安装。
从服务器的客户端安装文件夹运行。
基于WEB安装。
采用光盘直接安装。
预先配置的安装包。
从网站下载安装。
第三方工具。
NetWare服务器自动安装。

技术特点

　　病毒防御系统集成了多项技术，不但可以在企业范围内对客户端安全性进行更高效的管理，而且只需通过一个更新软件包即可对防火墙规则、入侵检测签名及病毒定义的更新进行更有效的管理。如果病毒发作，赛门铁克会利用集成的技术（防火墙、入侵检测和防病毒）测试并验证其解决方案。这种防护措施是全面的，不同厂商之间的互操作性问题不会危及安全性，因为 IT 人员并不需要解决多个厂商的产品问题。

集成的防护。集成的防火墙、入侵检测及病毒防护会扫描所有通信，检查是否存在病毒、蠕虫、特洛伊木马、未授权入侵以及防火墙违规，有助于为客户端提供卓有成效的高水平防护。

　　真正将客户端病毒防护、防火墙、入侵检测集成于一体，可以在防病毒、特洛依木马的同时，防护黑客的入侵，监控网络的流量。
　　所有这些功能都能集中在控制中心SSC集中管理，在SSC可以定制Client Firewall的规则然后分发下去。
　　一个升级按钮可是实现病毒库、防火墙规则和攻击库的同时升级，简单明了，实现同步升级，对混合型威胁从多方面同时得到防护更新。
　　入侵检测和防火墙的集成功能使得，发现攻击时，防火墙会自动更新规则，针攻击来源的IP地址阻断30分钟，自动防止攻击进一步继续。