校園資訊安全防護的利器 -Symantec 病毒防護系統

諮安科技股份有限公司 工程師 董家銘

賽門鐵克病毒分類病毒病蟲巨集病毒特洛依木馬惡作劇玩笑反防毒病毒變種病毒變異型病毒

完整的安全防護方案

Firewall SMTP Notes

Exchange W2K Server

NetWare

Windows 9x

Windows NT

Windows 2K

NT Server

DesktopGateway ServerGroupware

SWS Gateway

SCS用戶端安全防護

SCS用戶端安全防護

SCS用戶端安全防護

SAVCESAV

Ex/Notes

Server/Client 防護

SAVCE 架構示意圖

NetWare Server

NT/W2K Workstation

NT/W2K Server

次要 SAV 伺服器

SAV 用戶端

主要 SAV 伺服器

NetWare Server

NT/W2K Workstation

NT/W2K Server

Win9x(No win95)

NT(sp6a)/W2K Workstation

NT/W2K Server/XP

DOS/Win3x

SAV SAV 防毒主機群組防毒主機群組

SAV 名詞解釋主要伺服器次要伺服器父系伺服器伺服器群組用戶端群組用戶端電腦

SAVCE 元件介紹SSC 中央主控台SAV 伺服器及用戶端AMS2 警訊伺服器中央隔離所中央隔離所主控台Packager

Live Update 管理員

用戶端種類受管理型

分配群組未分配群組

有時受管理型未受管理型簡化管理型

SAV Client 安裝方式NetWare Login ScriptWindows NT Logon Script從 SAV Server 分享資料夾 VPHOME使用 Packager 部署工具遠端安裝 for NT 平台網頁安裝 ( 支援 IIS4.0 、 Apache1.3.12)光碟安裝影像檔安裝

病毒定義檔更新方式

NAVEX (Norton AntiVirus Extension)將掃描引擎自掃描軟體中分離出來成為一個可迅速以 LiveUpdate 更新的模組。所有諾頓防毒軟體均共用同一個模組。掃描引擎更新後無須重新啟動電腦。

掃毒應用軟體

NAVEX 掃描引擎

病毒定義檔

諾頓防毒軟體

病毒定義檔案更新通常較容易且迅速

掃描引擎必須與掃毒軟體一起更新

掃毒軟體更新較複雜且須長時間測試掃毒應用軟體

掃描引擎

病毒碼

其他防毒軟體

NAVEXNAVEX

更新病毒定義檔VDTM

使用 LiveUpdate外部內部

排程更新 ( 不使用 LiveUpdate)

手動更新

使用 VDTM 更新優點

僅主要伺服器更新即可簡易組態伺服器更新後，用戶端可在短時間內更新一個按鍵可更新企業防毒系統佔用較少頻寬

缺點無法作軟體更新

VDTM (VDTM (VVirus irus DDefinition efinition TTransport ransport MMethod)ethod)

次要 SAV 伺服器

SAV 用戶端

主要 SAV 伺服器

架設 SAV 防毒群組Internet

使用外部更新伺服器優點

設定較簡單較少的維護

缺點佔用較多對外頻寬，降低效能部署至用戶端前無法測試

透過 Internet 執行 LiveUpdate

賽門鐵克產品

賽門鐵克產品

使用內部更新伺服器優點

佔用較少對外頻寬套用至用戶端前可先測試

缺點需要較多設定需建一台內部更新伺服器需要更多的維護

架設企業內部 LiveUpdate 伺服器

賽門鐵克產品

賽門鐵克產品

LiveUpdate 伺服器

4-1.4-1. 自動下載病毒定義檔 自動下載病毒定義檔 http://www.symantec.com.tw/

4-2.4-2. 手動下載病毒定義檔 手動下載病毒定義檔 Http://www.symantec.com

用戶端與伺服器的溝通方式用戶端與伺服器的溝通方式（一）（一）

SAV 伺服器

SAV 用戶端

1K Status Report

用戶端預設自開機後每 60 分鐘傳送 1K 的狀態封包給伺服器。

如果一切正確，伺服器不回應。

用戶端與伺服器的溝通方式用戶端與伺服器的溝通方式（二）（二）

SAV 伺服器

SAV 用戶端

GRC.DAT (3K)

如果設定不正確，伺服器會傳送 GRC.DAT 檔案給用戶端。

用戶端收到並自動處理 GRC.DAT 後會將其刪除。

用戶端與伺服器的溝通方式用戶端與伺服器的溝通方式（三）（三）

SAV 伺服器

SAV 用戶端

Def. Request

如果 GRC.DAT 檔案指出病毒定義必須更新，則用戶端會向伺服器提出更新要求。

伺服器會依照要求先後順序依次排列。

用戶端與伺服器的溝通方式用戶端與伺服器的溝通方式（四）（四）

SAV 伺服器

SAV 用戶端

Def. File (80K)

伺服器傳送定義檔案給用戶端。

用戶端自動更新掃描引擎與定義檔案

賽門鐵克安全回應機制

透過 Internet 自動將可疑的檔案傳送給 SSRC 進行分析與接受解決方案配合保密需求，可自動將文件型檔案的內容在傳送前移除，僅傳送可疑的巨集樣本。

掃描與傳送 掃描與傳送 (Scan & Deliver(Scan & Deliveryy ））

利用 IBM 開發的人工智慧主機提供自動偵測、分析與修復病毒、加速對快速成長的病毒之回應時間。賽門鐵克的新自動化技術曾在不到一個小時內產生梅莉莎 (Melissa) 病毒的解決方法！代替人工處理超過 90% 以上的病毒樣本。

賽門鐵克安全回應中心賽門鐵克安全回應中心 -SSRC-SSRC

賽門鐵克數位免疫系統

某企業網路

其它單位網路個人用戶工作站

工作站

工作站網路管理者主機

NAVCE 主機/ 中央隔離所

工作站

病毒警示工作站

工作站

工作站

IBM主機

病毒培養皿

分析病毒的行為與結構

取得特徵

製造解藥

12

3

5

6

7

4

最佳化防毒政策

日常維護工作開始病毒掃描手動掃描排程掃描

管理者排程使用者排程

自訂掃描啟動掃描即時掃描用戶端即時防護選項用戶端限用選項

警訊類型組態改變預設警訊SAV啟動 /關閉Scan啟動 .關閉偵測病毒行為病毒定義檔更新發現病毒

警訊動作訊息視窗區域網路廣播寄發電子郵件傳送呼叫器執行程式記錄至事件檢視器傳送 SNMP

組態步驟選擇警訊類型選擇警訊的行為組態選擇的行為

SMTP 閘道防護

產品定位1. Symantec AntiVirus for SMTP Gateway 3.0是防護企業 Internet 電子郵件的第一道防線，有效攔阻病毒入侵和內容過濾功能

2. 提供高效能、自動化掃描與修復的防毒解毒能力。

3. 可以單獨使用，或者成為 Symantec 企業多層次防毒方案的一份子。

Internet 郵件的防毒規劃Internet

Internet

工作站

工作站

SMTP 伺服器

SMTP 伺服器

SAVGW 伺服器

安裝 SAVGW 前的 SMTP/POP3 網路

安裝 SAVGW 後的 SMTP/POP3 網路

Internet 郵件的防毒規劃

Internet

Internet 工作站

工作站

SMTP 伺服器

SMTP 伺服器

SAVGW 伺服器

群組軟體伺服器

群組軟體伺服器

安裝 SAVGW 前的 SMTP 與群組軟體網路

安裝 SAVGW 後的 SMTP 與群組軟體網路

WEB 化管理介面http://IP Address:8003

即時狀態監視

Relay 設定內建 SMTP 伺服器能力可設定 Mail Relay ，避免成為廣告信件轉信站

彈性化的中央控管可排程的 LiveUpdate 更新

按時由網路 (Internet 或企業內自定的 LiveUpdate 伺服器 ) 下載、執行、更新最新的防毒需求。更新內容包括：• 最新病毒定義檔案• 掃描引擎更新

詳實的活動紀錄系統活動－登入、登出、定義檔案更新。郵件活動－接受、拒絕、退回、傳送、傳送失敗、完成病毒活動－修復、刪除、隔離。

完整的報告能力提供各式使用者可以自訂的報告與統計值。 協助分析企業內的病毒事件並了解防毒投資的有效性。

郵件過濾的條件一、根據電子郵件主旨阻斷郵件 允許管理者根據主旨阻斷訊息 . 支援使用萬用字元 “ *” 和 “ ?”. ， 提供管理者在新病毒未有解藥前的最大防護

二、根據電子郵件附件阻斷郵件

允許管理者根據附件名稱刪除訊息 . 支援使用萬用字元 “ *”

和 “ ?” ，提供管理者在新病毒未有解藥前的最大防護

三、根據電子郵件訊息大小阻斷郵件

允許管理者根據郵件大小阻斷訊息 . 提供管理者避免大檔案進

入公司，浪費頻寬，特別是公司當防火牆未提供此功能時 .

四、根據電子郵件寄件者位址及網域阻斷郵件

允許管理者根據特定寄件者電子郵件位址及特定網域進行攔阻

五、針對收件者電子郵件位址中的特殊字元，進行攔阻

六、可依情況彈性“暫停”或“拒絕”電子郵件接收或傳

遞

七、阻擋垃圾郵件MAPS = Mail Abuse Prevention System LLCLists 支援 : RBL, DUL, RSS, RBL+

郵件過濾的條件

改善 Spam Relay 處理 1. SAVGW 不掃描或處理該郵件，直接送出 bounce back 訊息 . 節省主機資源 ( 降低暴露 DoS 攻擊危險 )

2. ‘Deny-all’ 功能已被移除 . 目前已 Allow from listed host 取代，確認哪個 Domains 和 hosts 是 “ local” ，避免被欺騙當作 Relay 主機 .

3. 為避免此種欺騙行為，請規劃 Symantec AntiVirus for SMTP Gateways 使用 ‘ Allow from listed host’ 特性，並列出允許 Relay 的對象。 萬用字元可使用在 Domain名稱前 (如 *.mydomain.com) 或 IP 位址後 . ( 如 . 192.168.1.*)

其他功能輸出紀錄檔產生圖形報表 :

提供將紀錄檔輸出成 *.CSV,方便載入Excel /Access 產生自訂圖形報表 .

改善 Solaris 執行效率 :增加 Solaris 執行效能，並不增加 CPU 利用率 . 管理者可在同一台機器上執行郵件轉送功能 ( 如 Sendmail) 和 SAV GW.

最容易落實政策˙預先防患的完整保護

需有完整的防毒保護及有效攔阻未知病毒與駭客入侵機制

˙ 日常注意事項 1. 對來源不明的檔案及 E-MAIL 拒絕存取，並刪除之

2. 時時更新 Windows Update( 2~3天一次 )

3. 每 2~3個月更換個人密碼

4. 密碼長度須 6個以上，最好有特殊字元 (!@#$%)

5. 移除沒有使用的 Service( 服務 )

˙不可避免的風險評估 緊急應變計劃─須有災難回復計畫