1. <em id="vzzs9"></em>
      <tbody id="vzzs9"></tbody>

    2. <span id="vzzs9"></span>
      <progress id="vzzs9"></progress>
      首頁 網絡安全企業安全建設之終端殺毒

      企業安全建設之終端殺毒

      運維派隸屬馬哥教育旗下專業運維社區,是國內成立最早的IT運維技術社區,歡迎關注公眾號:yunweipai
      領取學習更多免費Linux云計算、Python、Docker、K8s教程關注公眾號:馬哥linux運維

      概述

      病毒

      (終端感染熊貓燒香病毒時的場景)

      2007年一款名為熊貓燒香的病毒肆虐互聯網,它主要通過下載的文件傳染,是一款擁有自動傳播、自動感染硬盤能力和強大的破壞能力的病毒,它不但能感染系統中exe,com,pif,src,html,asp等文件,它還能中止大量的反病毒軟件進程并且會刪除GHOST的備份文件。熊貓燒香在辦公網也大肆傳播,造成了大量企業數據損壞且無法恢復。當時相當一部分辦公終端沒有安裝殺毒,所以雖然殺毒軟件很快就通過升級病毒庫具備了查殺熊貓燒香的能力,但是熊貓燒香依然傳播了很長時間。部署終端殺毒是辦公網安全中非?;A的一個防護手段。終端殺毒可以給辦公終端提供基礎的病毒木馬查殺能力,當發生大面積傳染的蠕蟲病毒時,終端殺毒幾乎是唯一的查殺手段。終端殺毒通常使用都是免費或者商業解決方案。

      國內企業級終端殺毒主要廠商

      終端殺毒

      (安全牛統計2017國內終端殺毒主要廠商(一))

      企業安全建設之終端殺毒插圖2

      (安全牛統計2017國內企業級終端殺毒主要廠商(二))

      企業安全建設之終端殺毒插圖3

      (Gartner統計2016國外企業級終端殺毒主要廠商)

      個人版殺毒和企業版殺毒的區別

      終端殺毒通??梢詤^分為個人版和企業版,兩者的主要區別在企業級管理上。

      企業安全建設之終端殺毒插圖4

      (個人版和網絡版殺毒區別)

      選擇企業版殺毒的注意事項

      企業級殺毒的詳細功能非常多,下面將介紹選擇企業級殺毒中需要特別重視的幾點。

      準確率和召回率

      殺毒軟件的基本功能就是病毒查殺,需要重點考核的就是準確率和召回率,常見的檢測方式就是在互聯網上搜集常見的病毒樣本和常見的辦公軟件進行測試,實際使用中這兩個指標都非常重要,如果非要二選一的話,企業網更看重準確率,畢竟狼來了喊多了就沒有權威性了。這塊也可以參考比較權威的評測機構的數據,比如AV-Comparatives、AV-TEST、WestCoastLabs和Virus?Bulletin。

      • AV-Comparatives

      AV-Comparatives是一家國際性獨立測試機構,于2003年成立,測試報告詳細,等級分明。AV-Comparatives每年4個季度會更新報告,給通過AV-Comparatives測試的殺毒軟件授予認證。AV-Comparatives提供一個4個級別的認證系統:TESTED, STANDARD, ADVANCED 和ADVANCED+。AV-Comparatives本著公平公正的原則,所有測試項目均不接受任何贊助,一直保持著良好的信譽。參加測試門檻很高。只有高水準的反病毒軟件才可以參加AV-Comparatives的常規測試,加入其測試,需要產品的病毒檢測率在很長一段時間保持在世界前18位;測試過程十分嚴謹。具有高病毒檢出率,擁有自己的或者是得到許可的引擎,保證在指定的時間,在最高安全配置下不發生重大錯誤完成對整個數據庫的掃描。

      • AV-TEST

      AV-TEST總部位于德國馬德堡,成立至已有近20年歷史,AV-Test測試是世界權威的第三方獨立測試之一,一直以海量病毒庫檢測、獨立客觀的檢測過程和嚴格的標準著稱,是業界公認的世界級殺軟的對決平臺。AV-TEST測試完全基于病毒樣本庫自動進行,最大限度的減少了人為因素對測試結果的影響,其測試結果被國際安全業界公認為獨立客觀。

      • WestCoastLabs

      WestCoastLabs 的Checkmark認證始于1996年,是國際上信息安全類產品的最高認證之一。發展到今天,其認證標準已被全球認可為最值得信賴的指標之一。WestCoastLabs的權威認證,包括Checkmark一級(Level1)、二級(Level2)和木馬(Trojan) 三項內容,其中木馬認證要求最高。Checkmark木馬認證要求被評測的產品能夠100%查出西海岸實驗室所有測試木馬樣本,并且掃描誤報測試專用樣本時的誤報率為0。全球范圍內的安全專業人士都相信持有Checkmark證書的任何信息安全產品。認證的通過意味著殺毒軟件的品質得到國際權威檢測機構的認可,其核心技術達到了世界一流水平。其嚴格的測試程序充分表明了Checkmark認證專業性和權威性。

      • Virus Bulletin

      Virus Bulletin1989 年于英國成立。Virus Bulletin 其中一個最大成就,就是提出VB100認證,以獨立公正而嚴謹的態度,定期對各大防毒品牌產品進行測試,其報告備受全世界防毒業界所公認與推崇。VB100認證開設于1998年,距今已有10多年的歷史,發展至今,已成為了全球性反病毒產品的金牌認證。Virus Bulletin是最嚴格,歷史最悠久,可以稱為殺毒軟件認證中的“奧斯卡”。非商業性組織,不收取任何費用,不受任何非技術性因素的影響;Virus Bulletin于1989年成立,至今已有20年歷史。從上個世紀90年代開始,VB100測試就廣泛被業界所認識接受。很多國際、國內上知名的殺毒軟件廠商都有曾被斬落馬下的歷史,由于所有參評廠商的成績都會公開發布,所以缺乏信心的廠商一般都望而卻步;測試過程極其嚴格,Virus Bulletin要求參加該認證的反病毒產品必須完全殺除”WildList(最大病毒庫)”里登記的所有病毒樣本,診斷率100%、誤診率0%,并在掃描過程中沒有任何誤判情況。在Virus Bulletin看來只有兩個結果:通過或者不通過。

      性能

      殺毒軟件進行文件掃描的時候非常消耗性能,尤其是CPU、內存和磁盤IO這三個指標。測試階段要非常重視這三個指標,目前SSD硬盤尚未完全普及,對磁盤IO的消耗要格外重視。

      黑白名單

      殺毒軟件的黑白名單管理非常重要,至少需要支持文件名和文件夾,而且需要支持正則。在企業環境,容易遇到某些辦公軟件誤報或者與殺毒不兼容的情況,這個可以通過添加白名單暫時規避。

      分組與升級

      企業內網環境下,終端殺毒軟件升級病毒庫需要從內網的升級服務器下載。雖然這種機制可以有效減少企業網出口的帶寬壓力,可以充分利用企業內網相對充裕的帶寬資源,但是在部分環境下也會帶來意想不到的麻煩。比如大型企業環境下,分支機構通過專線訪問總部資源,如果也從總部同步病毒庫,非常容易堵塞專線帶寬。這個時候就需要合理對終端殺毒客戶端進行分組,分布式部署升級服務器,保證殺毒客戶端可以從最近的升級服務器進行病毒庫同步。

      病毒文件的隔離與恢復

      正常文件被識別為病毒雖然是一個小概率事件,但是一旦發生并且文件不能恢復,很可能帶來無法彌補的損失。因此終端殺毒必須具備病毒隔離和恢復的功能,這點非常實用。

      報表以及SIEM集成

      企業級殺毒軟件的報表功能,有利于管理員迅速掌握整個企業辦公終端的安全狀況,需要支持按照不同分組、不同時間、不同病毒類型跨度查看病毒感染情況,并能定期以郵件形式發送報告。另外,殺毒終端也是非常重要的一個數據搜集源,可以作為SIEM系統的數據源。

      典型部署架構

      集中式架構

      部署架構

      (集中式部署架構)

      當辦公區域高度集中或者專線帶寬非常充裕時,可以選擇使用集中式架構,全部殺毒終端從同一臺升級服務器同步最新病毒庫。

      分布式架構

      分布式架構

      (分布式部署架構)

      當辦公區分散或者有大量分支機構需要接入時,需要使用分布式架構,典型的方式是在總部部署根升級服務器,然后各個辦公區或者分支機構部署各自的升級服務器,各升級服務器統一從根升級服務器同步病毒庫,殺毒終端從各自辦公區的升級服務器同步病毒庫。升級服務器性能消耗主要集中在磁盤IO、內存和帶寬。

      本文鏈接:http://www.abandonstatusquo.com/24779.html

      網友評論comments

      發表評論

      您的電子郵箱地址不會被公開。

      暫無評論

      Copyright ? 2012-2022 YUNWEIPAI.COM - 運維派 京ICP備16064699號-6
      掃二維碼
      掃二維碼
      返回頂部
      久久久久亚洲国内精品|亚洲一区二区在线观看综合无码|欧洲一区无码精品色|97伊人久久超碰|一级a爱片国产亚洲精品