微点主动防御解决方案

点击数：2491次 2013-03-11 10:56:58　来源: 新疆腾云网络信息技术有限公司

1         微点主动防御软件网络版部署结构

微点主动防御软件网络版由管理中心服务器、网络通讯代理、客户端三部分组成。

1.1      管理中心

管理中心包括管理控制台服务器、文件缓存服务器、日志服务器组成。对于中小企业网络，三种服务器可以集中到一台服务器部署，也可以分别在三台服务器部署。

1)         管理控制台服务器

管理控制台服务器是整个网络版的管理中心，管理员通过控制台或者移动控制台的管理，负责对全网客户端的通讯、策略存储与分发，以及文件缓存服务器和日志服务器的通讯与管理。

2)         文件缓存服务器

文件缓存服务器负责全网升级文件的存储和分发，以及终端拦截未知木马和病毒程序的存储和管理。

3)         日志服务器

日志服务器负责全网日志的存储和统计。

1.2      通讯代理中心

通讯代理中心负责管理中心与通讯代理中心服务器所管辖终端之间的通讯服务，减少通讯代理中心服务器所管辖的终端全部直接与管理中心通讯所带来的网络带宽资源。

对于大型企业网络来说，网络结构非常复杂，部门存在不同地域、不同网段部署和管理，可以采用在不同网段内分别部署通讯代理服务器

通讯代理服务器的设备要求既可以是普通计算机也可以是专用服务器，可以根据网络情况进行相应调整。

1.3      客户端

客户端部署微点主动防御软件，负责本机的安全防护、接受管理中心的管理、上报安全日志。

1.4      适用网络结构

微点主动防御软件网络版适用各种中、小、大型网络结构，包括局域网、城域网、广域网。也适用于部署各种防火墙的网络结构。

1.5      客户端远程安装与卸载

微点主动防御软件网络版为管理员提供了批量远程安装和卸载客户端的功能。

2         微点主动防御软件功能

2.1      智能终端防护  构建主动式动态安全平台

由于当前不断出现的未知木马和新病毒严峻形势，使得企业办公网络更加容易受到攻击，企业数据资产、行业信誉和关键业务面临极大威胁，随着多形态攻击的数量越来越多，传统防护模式已经过于陈旧，安全效果也越来越差，对付复合攻击时也明显的力不从心，已经不能满足保护企业网络的要求。

微点主动防御软件网络版是国际上率先采用 “监控并举、动态防护”的主动防御技术体系，并依据主动防御技术研制开发成功第三代反病毒软件，同时为业界首款依据程序行为分析判断为主特征码为辅的全面的系统安全防护软件，彻底颠覆了传统杀毒软件采用病毒特征码识别病毒的反病毒理念，通过主动防御技术能够自主分析判断病毒，实现了对未知木马和新病毒的自主识别、明确报出和自动清除，主动防杀未知木马和新病毒99%以上，解决了杀毒软件无法防杀层出不穷的未知木马和新病毒的弊端。

2.1.1          智能型安全防护终端，主动防杀各类未知木马和新病毒

采用主动防御技术，依据程序行为能够自主分析判断未知木马和新病毒，实现了对未知木马和新病毒的主动防御，解决了杀毒软件即使频繁升级也无法防范不断出现的未知木马和新病毒的弊端。

2.1.2          对未知木马和新病毒实现自主识别、明确报出、自动清除

对未知木马和新病毒能够自主识别、明确报出、自动清除，无需用户参与判断。

2.1.3          病毒特征码的自动提取，并全网自动分发

采用病毒特征码自动提取技术，实现对未知木马和新病毒特征码的自动提取。当某一终端拦截未知木马和新病毒后，将会自动提取该程序特征码并更新本地特征库，同时将提取的特征码提交到中心服务器，管理中心服务器自动分发到全网终端，解决了传统杀毒软件样本提交、特征分析、软件升级的漫长过程，真正做到特征码“零”响应。

2.1.4          主动防御黑客利用未修补的系统漏洞的攻击入侵

即使在windows系统漏洞未进行修复的情况下，依然能够对黑客利用系统漏洞进行的溢出攻击和入侵做到有效检测、拦截，并同步准确记录远程计算机的IP地址，协助用户迅速准确锁定攻击源，并能够提供攻击计算机准确的地理位置，实现攻击源的全球定位。结合终端实名制管理更能够准确定位计算机的使用者和位置。

2.1.5          智能防火墙阻击网络入侵

全网终端部署智能防火墙，通过配置统一安全防护策略，实现全网防御网络入侵，提高网络安全防护能力。智能防火墙不同于其它的传统防火墙，无需每个进程访问网络都要询问用户是否放行，可智能判定正常程序并自动采取相应的放行机制，有效解决了传统防火墙技术对任何程序访问网络都必须报警询问用户是否放行，给用户带来巨大的困惑，不仅降低软件的应用性，甚至由于误判造成更大的网络危害。

2.2      全网高效、集中的统一管理

2.2.1          集中管理与远程控制

微点主动防御软件网络版提供全面的集中管理功能和强大的远程控制功能，管理员通过管理控制台对全网终端实现统一集中管理、策略制定与分发、终端安装部署与卸载，并能够对终端远程操作：开启、关闭主动防御、开启、关闭防火墙、（断网）扫描杀毒、漏洞扫描、可以程序诊断、立即升级等，不但减轻了管理员的工作负担，同时也极大的提高了管理员的工作效率。

2.2.2          管理员远程移动管理

通过“移动式”管理控制台，网络管理员可以在网络内任意终端计算机上实现全网管理，提高了管理员的管理效率。

2.2.3          管理员分级、分权限管理

对于大型企业、网络结构复杂或者异地办公的企业，单一管理人员是远远不够的。微点主动防御软件网络版充分考虑到了企业的这种安全管理需求，引入“分级、分权限管理”机制。它将信息安全的管理权限分为六个权限项：权限分配权、日志维护权限、系统配置权限、管理终端权限、日志查看权限、安装卸载权限等，不同的权限项可进行任意组合形成权限组。超级管理员（admin）可逐级新建多个管理员账户，并根据管理范围、安全要求的不同，对其分配不同的管理权限组，各级管理员以相应权限协同超级管理员管理本级及下级网络内终端；在这种分级、分权限管理模式下，各级管理员的职责、权限明确，使系统管理员的工作变得更加高效和轻松。

2.2.4          终端分组管理

微点主动防御软件网络版拥有较为灵活的分级、分组管理功能。分级、分组管理解决了未分组所带来的终端过多的管理问题，从而大大提高管理效率。网络管理员可以根据安全管理需求对终端进行合理的分级、分组，并对各级、各组进行统一和个性化的安全策略、查杀任务等设置和操作。

2.2.5          终端实名制管理

微点主动防御软件网络版为管理员提供了终端实名制管理机制，将终端计算机与使用者进行绑定，提高管理员的工作效率，对出现问题的终端，管理员能够迅速准确定位，并采取有效措施，防止危险蔓延。

2.2.6          组策略的定制与分发

管理员通过管理控制台对全网或某个分组创建、设置统一的网络安全防护组策略，也可对特定的终端设置单独策略。

2.2.7          锁定终端策略设置

为保证管理员设置安全策略的有效性，管理员可以对某些安全防护策略选项进行锁定，避免下级管理员以及终端用户随意更改。

2.2.8          终端防修改、卸载机制

为保证终端防护的有效性，防止终端用户非法修改安全设置以及卸载微点主动防御软件，管理员使用密码保护功能禁止终端用户非法设置和卸载终端，提高整体网络的安全级别。

2.2.9          组任务的定制与分发

管理员根据管理需要可以为全网和不同层级的组分别创建各自的组任务，管理员可以可以创建一个或多个组任务。

2.2.10      全网统一操作

全网统一操作提高了管理员的工作效率，可以足不出户对网络内终端进行远程操作管理。统一操作包括：开启/关闭主动防御、扫描杀毒、断网扫描杀毒、停止扫描杀毒、漏洞扫描、立即升级等。

2.2.10.1  开启主动防御：

管理员可以远程启动或关闭全网所有终端或指定终端的主动防御监控功能。

2.2.10.2  扫描杀毒：

通过管理控制台，管理员可以对全网终端或指定终端发布扫描指令，终端计算机将自动完成扫描工作并上报扫描结果。即使个别终端没有开机，在下次启动后将自动执行扫描查杀毒指令。

2.2.10.3  断网扫描杀毒

通过管理控制台，管理员可以进行全网或指定终端断网扫描杀毒。此项功能运行后，终端计算扫描查杀病毒时，仅保留管理中心与终端计算机间网络版通讯进程的通讯，屏蔽掉局域网内终端计算机已建立和后续建立的通讯端口，有效控制网络病毒的蔓延扩散和交叉传播。

2.2.10.4  立即升级：

通过管理控制台，管理员可以对网络内的所有计算机或指定计算进行升级，使整个网络中所有计算机保持统一版本。即使本次没有开机的计算机，在下次启动后也会自动进行升级，避免软件版本不同造成网络安全隐患。

2.2.10.5  漏洞扫描:

通过管理控制台，管理员可以检测网络所有终端或指定终端计算机Windows系统漏洞情况，使管理员充分掌握网络终端安全状况，即使修补系统漏洞，加强网络安全。

2.2.11      集中式授权管理

微点主动防御软件网络版的授权管理由系统中心集中统一管理，系统中心自动维护整个网络终端的授权计数，终端安装时无需输入授权号，只有在超出授权计数时终端才会提醒用户。此外微点主动防御软件网络版授权采用“扩容追加机制”，当终端数量超过系统中心授权时，只需在系统中心添加授权扩容即可。

2.2.12      移动终端授权管理

随着笔记本等移动电脑的普及，这些设备存在离开网络不能通过管理中心更新终端主动防御软件的情况。管理员可以为这类终端设备分配移动终端授权序列号，这些设备离开网络后将直接访问微点公司官方网站进行软件更新。

2.3      完善的网络安全事件监控、报警、统计分析机制

2.3.1          全面的终端状态监控

通过管理控制台可实时查看终端的在线状态、主动防御状态、防火墙状态、操作状态等13项相关信息，实现了对终端的全面监控记录，同时当终端存在安全问题或终端软件运行不正常时，管理员能还可远程查看到终端的自启动信息、系统信息，并对终端进行可疑程序诊断操作，远程分析终端所存在的安全威胁，提高终端病毒防御能力。

2.3.2          终端系统信息查询

通过管理控制台可远程查看在线终端的系统信息，了解终端的硬件配置信息以及操作系统的信息，为管理员进行终端安全状况判断提供参考依据。

2.3.3          终端系统自启动信息查询

自启动信息是指未经用户执行，随Windows操作系统启动而在自动加载的文件，绝大多数恶意程序都利用自启动方式实现其危害的目的。管理员可通过管理控制台远程提取到终端自启动信息，作为管理员分析终端系统中某项进程是否为类似于木马或蠕虫等有害程序的判断依据。

2.3.4          病毒与事件报警

管理中心记录整个网络中所有终端发现的病毒报警、网络入侵、溢出攻击、异常网络访问等信息，以便管理员能及时发现安全威胁并做出及时反应。整个网络的病毒报警信息是由管理中心来统一维护的，通过管理控制台能够全面查询和管理各项安全日志记录，对病毒的传播途径进行有效的跟踪，做到了层层防护。

2.3.5          全网安全日志记录、查询、导出

管理中心将各项安全日志进行分类汇总并生成详尽的日志查询报表，并以详细列表、饼型图、曲线图等多种形式显示，支持HTML格式导出功能，可以让管理员更加直观的了解网络内安全情况，并及时进行处理。

2.4      全网网络安全事件统计审核分析

微点主动防御软件网络版提供了完善的的日志统计与分析功能，能够对拦截的已知/未知病毒、拦截网络入侵、拦截溢出攻击等日志自行分析、统计并分别列出拦截次数最多前五名排行榜；同时完善的日志查询、统计功能能够对全网或指定的组在指定时间范围内的病毒趋势、某种或某类病毒在指定范围内的趋势进行统计分析，并生成详细的报表和图表，便于网络管理员直观地掌握网络内病毒感染情况和发作趋势，进一步分析病毒爆发的原因，进而调整安全防护策略，甚至网络结构，确保整体网络的安全性与完整性。

2.4.1          拦截病毒分类统计

拦截病毒分类统计是以病毒类别为单位进行病毒疫情统计。管理员可以针对某一时间段内终端拦截的病毒、木马、蠕虫、溢出、网络入侵、异常网络访问的数量及百分比进行统计分析，使管理员随时了解网络内各类病毒爆发情况，并能够根据病毒类别的特点分析网络安全薄弱环节，进而完善并加强网络安全。

2.4.2          拦截病毒排行榜

拦截病毒排行榜是以病毒为单位进行的病毒疫情统计排名。管理员可以针对某一时间段内网络版终端拦截的各种病毒数量进行统计分析，并对拦截数量排名前10名的病毒生成拦截病毒排行榜，使管理员随时了解网络内各种病毒爆发情况，并能够根据病毒排名情况了解各病毒的传播及破坏特点，分析网络安全薄弱环节，进而完善并加强网络安全。

2.4.3          终端拦截病毒排行榜

终端病毒拦截排行榜是以终端为单位进行的病毒疫情统计排名。管理员可以针对某一时间段内各台终端所拦截的病毒数量进行统计分析，并对拦截数量排名前10名的终端生成终端拦截病毒排行榜。根据终端排名，管理员能够重点分析该终端存在哪些安全防护问题，进而加强该终端的安全防护措施，提高整体网络安全防护级别。

2.4.4          组拦截病毒统计

组拦截病毒统计是以组为单位进行的病毒疫情统计。管理员可以针对某一时间段内各客户端组内终端所拦截的病毒数量进行统计分析。根据组排名，管理员能够重点分析各组的安全防护存在哪些问题，进而根据该组网络使用环境、计算机应用特点分析并加强该组的安全防护能力，提高整体网络的安全防护级别。

2.5      网络安全事件应急处理机制

2.5.1          网络隔离应对突发事件

任何安全产品不可能做到100%安全，一旦发生突发网络安全事件，管理员可以将出现重大疫情的计算机进行网络隔离，被隔离的终端计算机除微点主动防御软件的程序可以访问网络及接受管理中心的管理外，其他程序将无法访问网络，该终端也无法被网络其他计算机访问。管理员可以对单台计算机进行网络隔离，也可以对全网和指定组的计算机进行全部隔离。

微点主动防御软件网络版采用终端实名制，在突发问题出现后可瞬间定位终端使用者和问题终端位置。

2.5.2          管理员远程诊断终端安全

对怀疑存在安全问题的终端进行隔离后，管理员能够远程查看到终端的自启动信息、系统信息，并对终端进行远程可疑程序诊断操作，远程解除客户端所存在的安全威胁，提高客户端病毒防御能力。

2.5.3          断网扫描杀毒

对怀疑存在安全问题的终端，管理员可以执行终端断网扫描杀毒操作，有效解决网络病毒的交叉传播感染，防止突发事件进一步扩散，迅速提升系统安全防护能力。

2.6      高效的安装部署

2.6.1          适用网络结构

微点主动防御软件网络版采用C/S架构，具有交互性强、存取安全等众多优点，适用各种中、小、大型网络结构，包括局域网、城域网、广域网，以及部署各种防火墙等网络安全设备的复杂网络结构；其采用双连接（主连接、备用连接）方式进行通信连接，大幅度提升通信连接的稳定性。

2.6.2          兼容性良好，资源占用少

微点主动防御软件网络版很好的兼容Windows2000及以上版本的windows操作系统，并且采用了SQL2005大型数据库，具有良好的产品扩容能力。同时，管理员控制通信各终端的升级、病毒的查杀只占用少量网络和系统资源，不影响网络正常运转。

2.6.3          及时的升级保障

微点主动防御软件网络版具有较为完善的系统通信架构和合理的升级机制，可以实现全网终端的快速、稳定的版本升级，大幅度减少升级时间，同时也降低了网络带宽的占用。管理中心升级提供微点官方网站在线升级和本地升级包离线升级两种互补的升级方式。

2.6.4          多种安装部署方式

管理员可以根据企业网络环境采用本地安装、共享安装、远程安装等方式，在较短的时间内完成网络内大量客户端的安装，简单快速的实现整个网络安全体系的部署，最大限度贴合网络实际环境。