XXX网络安全预警解决方案模板

admin管理员组

文章数量:1531442

2024年7月31日发(作者：)

网络安全预警系统

解决方案

2012年XX月XX日

XXX网络安全预警系统解决方案

目 录

1

计算机病毒发展新趋势 ................................................................................... 错误!未定义书签。

1.1

1.2

2

计算机病毒发展新动向........................................................................... 错误!未定义书签。

病毒传播带来的威胁 .............................................................................. 错误!未定义书签。

防病毒需求分析 ............................................................................................... 错误!未定义书签。

2.1

2.2

2.3

网络现状 .................................................................................................. 错误!未定义书签。

安全风险分析 .......................................................................................... 错误!未定义书签。

防病毒需求分析 ...................................................................................... 错误!未定义书签。

3

防病毒方案设计 ............................................................................................... 错误!未定义书签。

3.1

3.2

3.3

3.4

3.5

3.6

实现目标 .................................................................................................. 错误!未定义书签。

设计原则 .................................................................................................. 错误!未定义书签。

设计思想 .................................................................................................. 错误!未定义书签。

参考标准 .................................................................................................. 错误!未定义书签。

设计方案 .................................................................................................. 错误!未定义书签。

产品部署方案 .......................................................................................... 错误!未定义书签。

xxx

防病毒体系部署示意图

...........................................................

错误

!

未定义书签。

xxx

网络版杀毒软件部署

...............................................................

错误

!

未定义书签。

xxx

防毒墙部署

...............................................................................

错误

!

未定义书签。

3.6.1

3.6.2

3.6.3

4

5

6

方案实施后可达到的效果 ............................................................................... 错误!未定义书签。

XXX技术支持体系 ......................................................................................... 错误!未定义书签。

附件：XXX产品技术白皮书 ......................................................................... 错误!未定义书签。

6.1

XXX

杀毒软件(网络版)技术白皮书 ........................................................ 错误!未定义书签。

6.1.1

6.1.2

6.1.3

xxx

杀毒软件网络版概述

...............................................................

错误

!

未定义书签。

xxx

集中安全管理主要功能

...........................................................

错误

!

未定义书签。

主要技术特点

.................................................................................

错误

!

未定义书签。

6.1.4

xxx

杀毒软件网络版的升级管理

...................................................

错误

!

未定义书签。

6.2

XXX

防毒墙技术白皮书 ........................................................................... 错误!未定义书签。

6.2.1

xxx

防毒墙功能介绍

.......................................................................

错误

!

未定义书签。

6.2.2

xxx

防毒墙技术参数

.......................................................................

错误

!

未定义书签。

北京xxx信息技术有限公司

XXX网络安全预警系统解决方案

1 前言

1.1 网络安全趋势

随着信息技术的迅猛发展，信息网络已应用于社会各个行业，信息产业已成为国民经济

的重要支柱产业，信息技术和网络技术正向政治、经济、军事、文化等各个领域广泛渗透，

极大地促进我国各个领域的发展和社会进步，也丰富了人们的生活。同时，黑客攻击、病毒

侵害等给信息网络特别是关系国计民生的国家基础设施信息网络等重点信息网络造成了严

重的安全威胁，成为了威胁网络安全的一大公害。当前的计算机病毒和黑客攻击行为具有以

下特点：

 具备网络特性是当前计算机病毒和黑客行为的第一大特征

当前，像蠕虫、木马/黑客、脚本等类型的病毒，它们都具有网络传播的特性，通过网

络进行传播并实施侵害行为。目前的很多online Game病毒都具有ARP欺骗的发生，一旦在

网络中传播、蔓延，很难控制，它们不但盗取用户信息，同理还在网络中大网发送ARP欺

骗，阻塞网络甚至网络瘫痪。

 当前计算机病毒和黑客攻击行为大多是利用软件系统的漏洞

漏洞是软件系统致命的安全缺陷，如果系统存在漏洞，即使有杀毒软件的保护，病毒或

者攻击依然可以长驱直入，对系统造成破坏。利用漏洞进行的病毒和攻击的扩撒速度远远大

于传统病毒。最近很多病毒通过微软的MS07-017和MS08-067等漏洞进行挂马，同时演变

到利用时下最为流行的应用软件漏洞进行挂马。这其中包括一些播放器软件漏洞、聊天工具

漏洞、网络电视软件漏洞、甚至连一些常用的下载工具的漏洞都会成为病毒的传播途径。联

众游戏漏洞、超星阅读器0-Day漏洞、迅雷0-Day漏洞、PPlive 0-Day漏洞，已经成为应用软

件网页挂马病毒的一些重要漏洞，这病毒越来越成为主流病毒，同时传播非常快。

 病毒和攻击向多元化、混合化发展

随着操作系统及各种软件的发展，病毒和攻击也在不停地发展，混合型病毒和攻击越来

越多，成为趋势。如非常流行的“熊猫烧香”病毒。

北京xxx信息技术有限公司

[1]

XXX网络安全预警系统解决方案

1.2 安全是风险管理

风险管理作为企业管理的三个要素之一，地位是非常重要的。安全风险导致威胁和系统

脆弱点的产生，威胁可以利用暴露的脆弱点，降低企业的资产价值，并对潜在因素产生影响。

如何控制风险，就需要通过包括风险评估、风险控制和风险降低的一系列风险管理来实现。

信息安全要考虑投入和收益。信息安全的投入是相当大的，如果安全投入和实现安全之后所

带来的收益不匹配，投入将毫无疑义。

1.3 安全是相对概念

信息系统安全不但与不断变化的需求联系紧密，同时也与不断发展的信息技术关系密切。

➢ 首先，信息系统的新业务需求和业务新需求是不断的，安全是相对于现有需求

的。

➢ 其次，互联网技术和信息技术是不断发展的，是安全攻击方式和手段层出不穷，

可利用并作为攻击的漏洞也越来越多。

➢ 此外，安全包括技术的和非技术的因素。我们不能简单认为通过技术手段就可

以保证安全。相对来说，非技术因素的考虑（安全管理）对于全面的信息安全建设

是不可缺少的。

因此，掌握最新的安全知识和技能，提高人员的安全意识和安全技能，才是构建全面安

全的必要措施。

1.4 安全是动态过程

计算机只要是用于商业应用就会存在安全问题，我们认为安全是一个动态的过程，不是

一成不变的。

➢ 新的系统、新的应用层出不穷。即使采购了安全产品、实施了安全管理、制定

了安全策略也不能说系统在某些方面基本没有安全问题。因为协议服务固有的问题、

主机配置的复杂性、软件开发过程中产生的漏洞随时都有可能导致漏洞和脆弱性的

产生。因此，要不断地跟踪最新的安全信息，对系统进行评估，并不断地加固计算

机系统。

➢ 安全产品除了拥有全面的特征库外，还需要制定合理的策略，策略需要根据安

北京xxx信息技术有限公司

[2]

XXX网络安全预警系统解决方案

全技术的发展进行动态地调整。同时，要尽量保持产品的版本和特征库更新，管理

上随着安全的发展灵活改进。

➢ 非技术因素带来的安全问题，比如人员流动、技术操作不规范、责任不明确等，

也会对网络系统的安全构成极大的风险。

1.5 安全是保障体系

信息安全的技术在不断发展，从早期的通信保密，发展到关注信息安全的保密、完整、

可用、可控和不可否认的信息安全，今天发展到信息保障。单纯的保密和静态的保护已经不

能适应今天的需要了。信息保障技术框架提出保障信息安全必须考虑保护、检测、反应和恢

复四个动态反馈的环节。保障体系采用深度防御方式，目的是能够使攻破一层或一类保护的

攻击行为无法破坏整个信息基础设施。

图 1 信息安全保障技术框架

1.6 信息安全建设必要性

XXX办公自动化工作经过近年来的努力,取得了可喜的进展。一是计算机应用普及率大

幅度提高,办公业务管理和信息管理系统已经普遍建立和使用,办公电脑化、网络化正在逐步

推进。二是办公网络建设步伐加快,许多单位已建成支持办公业务的内部局域网络,一些部门

上下联网初具规模,纵向联网等到广泛发展。三是初步形成了业务应用的数据库体系,积累了

一定的电子信息资源。

注重应用系统和信息资源开发,开通网上综合业务,实现办公业务的规范化、电子化、网

络化,全面提高工作质量和工作效率,改善指挥调度手段,增强快速反应能力,为各单位提供多

北京xxx信息技术有限公司

[3]

XXX网络安全预警系统解决方案

媒体通信服务、综合信息服务和决策支持服务,促进管理现代化、决策科学化等方面的发展。

2 项目背景

2.1 项目背景与现状

根据用户实际网络情况进行描述

随着网络技术的发展和网络应用的快速普及，计算机病毒已经向网络病毒进化，仅采用

网络版杀毒软件已经不能满足XXX网络防病毒安全保障的需求，需要大力加强病毒防范和

综合治理的力度。同时，病毒技术和黑客攻击技术也已经基本趋于融合。因此，对病毒的防

护必须从单机或普通网络病毒防护走向整体病毒疫情掌控、病毒趋势分析、病毒形式评估良

性轨道来。

面对网络病毒的威胁，单独的杀毒软件的被动杀毒方式已经明显不能满足目前病毒防范

的实际需求，因此，如何充分利用现有安全基础设施，采纳最新的防病毒、反黑客技术手段，

建立全网防御、整体作战的综合防治体系对整体网络进行全面监控，是目前所面临的一项重

要任务。

目前, XXX信息网上主要的风险是存在计算机病毒大面积侵害运行网络的可能，但，现

在还没有对各种病毒进行全局监控和预警、防范的保障措施，没有全面的对病毒事件的大面

积发作的处理预案，XXX信息网络的正常运行就会受到严重的威胁。因此，必须从全局出发，

以防为主、防杀结合，建立以省局为中心，防病毒厂商为技术支持单位的计算机病毒联合防

范管理体系，依托集病毒监测等技术为一体的强大技术支撑系统，构筑成为整体网络的病毒

预警防范体系。对发生在XXX信息网络上的病毒事件做到早预防、早发现、早报警、早清

杀，及时分发系统漏洞补丁并加以修补，最大程度地降低病毒事件对信息网造成的安全风险。

2.2 建设目标与任务

以XXX信息中心为核心，在XXX信息中心建立起融组织管理和技术支撑为一体的全网

病毒预警、防范体系，最大限度地消除计算机病毒在信息网上的生存环境，有效地清除信息

网上的各种病毒，遏制信息网上病毒的大面积发作。实现整体网络统一的病毒预警、防范管

理，保障信息网安全运行。

北京xxx信息技术有限公司

[4]

XXX网络安全预警系统解决方案

XXX信息网病毒预警体系建设有以下任务：在省局核心交换节点上部署网络病毒监测系

统，实时检测和发现网络病毒，结合整个网络IP地址规划和计算机注册定位信息，形成覆

盖全网的网络病毒宏观分析、研判与协调处置系统，建立整体信息网病毒预警和通报机制，

并通过计算机病毒处理预案和应急响应、处置环境的建设，及时处理紧急病毒爆发事件。

2.3 项目的主要功能

1、计算机病毒监测：通过对被监控网络的传播数据进行实时监测，对相关协议进行分

析，获取计算机病毒特征码，并获取其传播源ip和传播目的Ip，达到监测预警的效果。

2、分析预警：在XXX信息网络安全报警处置中心建设网络安全预警分析系统后台，汇

总网络安全探针的监测预警信息，对整个网络计算机病毒的传播的发作、传播动态进行分析，

掌握网络安全动态，生成网络安全预警分析报告。

2.4 总体目标

1、通过积极防御、综合防范，全面提高公安网络安全防护能力，重点防护专用网络；

2、创建安全健康的网络环境，重点防范本地重点；

3、通过信息化的手段建设XXX信息网络安全防范监测预警系统。

北京xxx信息技术有限公司

[5]

XXX网络安全预警系统解决方案

3 安全方案的依据和原则

3.1 xxx网络预警系统设计原则

为适应XXX网络发展的需要，系统按照XXX网络安全预警和综合管理的需求来设计。

探针和系统监控中心接口通讯格式和开发接口开放，便于不同厂商产品整合部署。

xxx网络安全预警系统，采用集中管理的分布式网络监测体系结构，支持多级部署。系

统包括系统监控中心、多种类型的监测探针组成。监测探针负责从被检测网络上收集特定的

安全信息、事件并根据配置上报到系统监控中心，监测探针主要收集网络里的计算机病毒情

况。系统监控中心负责接收、存储和分析监测探针检测到的安全事件。

XXX网络部署的xxx网络安全预警的设计必须坚持以下原则：

1、安全性

xxx网络安全预警对网络的顺利运行有非常重要的作用，其自身安全性是非常重要的。

因此要求xxx网络安全预警具有抗攻击能力，有很好的数据传输、存储安全性保障。

2、可靠性

xxx网络安全预警的实施不能影响业务的正常运行与可靠性，系统自身应能长期稳定、

可靠的运行，不受其它应用软件和环境的影响。

3、高效性

xxx网络安全预警的实施必须最大限度保证网络中业务的运行效率，不影响网络和计算

机终端资源的正常使用。

4、可扩展性

xxx网络安全预警的建设在最大限度考虑用户现有投资的基础上必须考虑到未来发展的

需要，系统必须基于标准的网络协议，具有良好的可扩展性和良好的可升级性。

5、易用性

xxx网络安全预警的实施、安装应简单，配置、操作方便，便于升级与维护。

6、可管理性

xxx网络安全预警必须支持集中管理和分级分区授权管理。

北京xxx信息技术有限公司

[6]

XXX网络安全预警系统解决方案

3.2 系统建设目标

为有效防范病毒的入侵、传播和对系统的破坏，需要引入一套先进的xxx网络安全预警

系统，实现全方位、多层次的整体防护，xxx网络安全预警的建设目标如下：

对XXX网络中的病毒状况进行统一的病毒监测，及时汇总病毒信息，构建完备、协调、

高效的预警体系。

实时数据流监测，有效数据的汇总和分析，形成对网络中的病毒情况的总体报告和趋势

分析，为宏观决策提供依据。在本期xxx网络安全预警建设中，在省局核心交换机上做端口

镜像，部署xxx网络安全预警，对病毒实时数据流监测系统，在司法厅、省法院、武警部队

及16个监狱系统分别在核心交换机上做端口镜像部署网络病毒实时数据流监测设备，监测

本单位的实时病毒安全状况。

在省局部署一台总的管理中心管理所有单位的监测设备，形成统一管理

对网络中出现的病毒情况（新病毒出现，病毒大规模爆发等）进行统一的报警，并具有

多种预警方式（声音提示、电子邮件等），并能够进行快速应急响应。

北京xxx信息技术有限公司

[7]

XXX网络安全预警系统解决方案

4 XXX网络安全预警需求分析

4.1 XXX网络安全风险分析

当前的XXX把众多的业务建立在日益复杂的解决方案计划之上。而核心业务流程很可

能分布在几个系统之中，这些系统均包含不同的应用程序与技术。当它们以最优的性能支持

业务时，这些解决方案在管理能力、可靠性、可用性以及性能方面也蕴含着潜在的风险。

➢ 安全管理的问题。企业的安全管理制度是否得到了有效贯彻，安全运作流程是

否能够有效实施，以前无法衡量。安全管理平台可帮助企业利用技术与管理手段有

效解决安全管理的问题：

➢ 海量数据的问题。企业面临着来自异构系统、平台和应用的安全数据的冲击，

它们都以不同方式产生信息，且以不同的格式呈现、存储在不同的地方，并且报告

不同的内容，而这每天数以百万条信息淹没了安全基础设施；

➢ 信息孤岛的问题。各种安全设备间缺少信息层互通能力，各自为营。降低了系

统整体的运作效率，增加了安全事件的发现时间和响应时间；

➢ 实时监控的问题。对整个网络的安全威胁形势、安全漏洞情况、安全事件情况

和综合安全风险情况无法提供准确、实时的分析数据；

➢ 业务安全的问题。业务始终是一个企业发展的核心，如何保障业务的安全至关

重要。现有安全技术侧重保障某特定资源，但业务应用系统一般都由众多IT资源

组合构成，如何从业务整个流程上进行安全保障尤为关键；

➢ 持续改进的问题。安全管理需要不断对处理过的安全事件进行总结，不断更新

安全知识库，不断改进安全运维流程，以及不断完善安全管理制度等，因而需要有

效的管理手段来实现持续改进。

4.2 XXX网络安全需求分析

4.2.1 需要精准的实时安全威胁阻断

近期的安全事件，均可以穿透已部署的防火墙，严重影响关键的业务应用，主要是由于

防火墙无法充分防范新的混合型威胁攻击；同时在企业内部网络大面积部署防火墙也是不恰

北京xxx信息技术有限公司

[8]

XXX网络安全预警系统解决方案

当的。

4.2.2 需要带宽保护措施

大量的与业务无关的无用网络流量，例如peer-to-peer应用及文件共享等，日益成为联

通网络新的威胁来源，它们会明显的消耗正常的网络带宽，破坏网络的可用性，间接影响正

常的业务运作。

4.2.3 需要更少的用户运维

正在试图运用前瞻性防护应对日益增长的各类威胁，xxx网络安全预警系统尽可能的节

省人员的干预和维护成本，将有限的IT资源留给更重要的网络和系统管理任务。

4.2.4 病毒的威胁

数据在网络的传播过程中，很难避免有害信息的侵入，目前对网络危害程度最大、波及

面最广的是计算机病毒和网络攻击，病毒和网络攻击的入侵不但造成系统运行效率降低、网

络堵塞，而且会造成信息、数据、文件损坏与丢失，还有可能造成信息泄露。

北京xxx信息技术有限公司

[9]

XXX网络安全预警系统解决方案

5 xxx网络安全预警系统方案设计

综上所述，XXX把众多复杂的业务建立在分散的网络及应用系统之上。缺少统一的管理，

和一套优良的风险预警机制。建立一套切实可行的风险预警机制已经迫在眉睫。建议采用

xxx公司研发生产的xxx网络安全预警作为解决方案。

5.1 方案简述

本方案描述了采用xxx公司的xxx网络预警系统为XXX网络构建的整体的网络防病毒系

统，该方案贯彻了如下三点整体防毒的基本设计思想：

 风险预警机制建立

预警性保护服务大大降低了您的总拥有成本(Total Cost of Ownership,TCO)，并且将故障

风险降到最低。我们通过以下服务可以达到这些目的：

➢ 成熟的产品可以缩短您的项目周期，这样可以帮助您用最少的资源完成上线投

产。

➢ 提供技术指导以帮助您将不必要的工作减到最少，并且避免其复杂化。

➢ 确保您的解决方案在运行中始终保持最优的性能、最大可用性和可维护性。

预防性保护服务节省了您的时间和金钱。您将分享xxx网络预警系统的丰富经验，并且

从一开始就避免了系统的复杂化。对您的关键任务流程来说，预防性保护服务的价值显得尤

为重要——因为如果这些流程出现问题，您将会遭受巨大的经济损失。

 集中监控管理

没有集中管理的防毒系统是无效的网络防毒系统。在XXX网络的网络防病毒方案中，

我们在XXX省局部署了xxx网络预警系统总控制中心来管理整个网络预警系统。包括本级的

病毒探针、下级网络的网络预警系统分中心。

 分级监控管理

根据XXX的实际情况，我们把XXX的xxx网络安全预警划分为两级：第一级，即省局；

第二级，司法厅、省法院、武警部队及16个下级系统。其各自在职能上既相对独立又相互

统一，所以在部署防病毒体系时，我们既考虑统一集中管理，也考虑到分级监控管理，即建

立多级防病毒管理体系。

在本方案中，针对XXX网络，我们考虑建立二级防病毒管理结构。即在XXX的省局信

北京xxx信息技术有限公司

[10]

XXX网络安全预警系统解决方案

息中心处建立一级网络预警中心(总中心)，在各二级单位网络中建立二级预警管理中心(分中

心)，各级中心主要负责监控和管理本级网络防病毒情况，同时，上级中心可以监控管理下

级中心病毒情况。

5.2 实施范围

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXx

5.3 系统配置

在XXX省局网络核心交换机上部署一套网络预警系统，包括xxx网络安全预警总中心及

分中心中心和病毒探针。

5.4 总体设计

5.4.1 建立分级的xxx网络安全预警管理体系

由于XXX网络的环境，在此xxx网络安全预警的解决方案中，我们建议使用二级xxx网

络安全预警管理体系来进行全网病毒集中的监控和管理。二级系统中心的划分可以按地理、

行政网段划分，也可以按计算机数量划分，或依照行政单位划分。在本方案中，二级防病毒

体系主要是按照行政单位来划分的。

首先，在XXX的省局网络信息中心建立一级xxx网络安全预警管理中心，同时在XXX网

络核心交换机上部署部署病毒探针及分中心实时监测数据流中的病毒。

其次，在各二级单位部署二级xxx网络安全预警的分中心。

综上所设计，在整个内部网络中构建了一套二级结构的xxx网络安全预警管理防范体系。

每级系统中心可以独立运行，实现对属于本级的防病体系的毒监控，并将本中心内病毒爆发

情况的统计信息上报给一级系统中心(总中心)的管理者。

5.4.2 多级管理体系实现的功能

上级中心可以对下级进行管理，并接收由下级传送过来的数据。

下级定时收集本中心系统的病毒信息，在分析处理后上传到上级中心，以便上级及时得

北京xxx信息技术有限公司

[11]

XXX网络安全预警系统解决方案

到下级的病毒信息，及时做出相应的处理。这样既避免了由于过度的信息传输给网 络资源

造成的影响，也能够及时让管理员得到最新的病毒分布情况。

5.4.3 汇集网络版杀毒软件病毒日志信息统一评估整体病毒

趋势

通过对网络中统一部署的防病毒系统日志的统一收集、汇总和分析，形成对网络中的病

毒情况的总体报告和趋势分析，为宏观决策提供依据。报告具有多种标识功能（说明、图表、

曲线等）。报告能提供报告期内病毒事件的汇总和归类统计数据。报告包括：报告期内病毒

分布图、病毒事件种类、发生时间、中毒文件传输目的地、被感染的机器和文件、病毒清除

状态。

5.5 详细部署设计

5.5.1 XXX网络预警系统项目中心（总中心）

5.5.1.1 监控管理体系位置

➢ xxx网络安全预警管理中心部署位置

一级xxx网络安全预警中心部署在XXX省局，它位于xxx网络安全预警系统的最高层（第

一层）。

➢ xxx网络安全预警探及分中心针部署位置

病毒探针及分中心的部署要求为：在各单位核心交换机部署，需要镜像端口，采用旁路

部署

病毒探针的数量与部署位置为：在各单位核心交换机分别部署具有千兆能力的病毒实时

数据流监测设备一套，监视病毒传播状况；

5.5.1.2 监控管理体系的作用

xxx网络安全预警管理中心实现的主要功能包括：

➢ 网络整体安全进行宏观的调控；

北京xxx信息技术有限公司

[12]

XXX网络安全预警系统解决方案

➢ 帮助网络安全状况制定统一的策略，最大限度地利用现有资源，发挥整体优势，

保障网络安全；

xxx网络安全预警探针实现的主要功能包括：

➢ 具备对已知病毒的检测能力，能够检测通过常用网络协议( http、pop3、smtp

等)传播的网络病毒；

➢ 能够通过网络病毒行为分析检测病毒；

➢ 具有对未知病毒的检测能力；

➢ 病毒实时数据流监测设备提供每天一次以上的病毒特征库升级；

➢ 具备多级和统一集中管理能力，xxx网络安全预警管理中心能够配置病毒实时

数据流监测设备的策略，病毒实时数据流监测设备具有病毒事件的上报功能，实现

病毒预警统一管理。

一级防病毒监控管理体系主要作用是对XXX网络整体进行病毒监控和管理，同时，可

以对下级防病毒监控管理体系进行统一监控和管理，另外，一级防病毒管理体系也负责接收

下级防病毒监控管理体系病毒信息，可以对全网病毒部分和爆发状况进行统一管理。

5.5.1.3 监控管理体系的组成和功能

xxx网络安全预警系统主要由总中心、分中心、病毒探针协同工作，共同完成对整个网

络的病毒预警及管理工作。整个系统的功能如下：

1、系统采用B/S的管理架构，管理、维护方便，移动性强。

2、通过对网络中的病毒进行汇总和分析，形成对整个网络中的病毒情况的总体报告和

趋势分析，为宏观决策提供依据。报告需具有多种标识功能（说明、图表、曲线等）。报告

能提供报告期内全网的病毒事件的汇总和归类统计数据。

3、具备多级统一集中管理能力，xxx网络安全预警管理中心能够统一管理各下级设备；

4、对网络中出现的病毒情况（新病毒出现、病毒大规模爆发等）进行统一的病毒报警。

病毒预警重点应为网络型病毒，并具有多种预警方式（桌面消息、声音提示、电子邮件、短

信等）。

5、系统具有可疑病毒文件或代码的提交功能；

6、系统具有对病毒源头的跟踪能力；

7、系统支持管理权限分配，上级管理员可下发管理权限，系统应该能够兼容其它安全、

北京xxx信息技术有限公司

[13]

XXX网络安全预警系统解决方案

应用系统的授权认证管理，支持用户实现单点登录。

8、XXX网络预警系统项目部署的千兆病毒实时数据流监测设备具备以下能力：

➢ 具备对已知病毒的检测能力，能够检测通过常用网络协议( http、pop3、smtp

等)传播的网络病毒；

➢ 能够通过网络数据流病毒行为分析检测；

➢ 具有对未知病毒的检测能力；

➢ 病毒实时数据流监测设备提供至少每天1次的病毒特征库升级；

5.5.2 各二级单位（分中心）

5.5.2.1 监控管理体系位置

xxx网络安全预警分中心部署在XXXXXXXXXXXXXXX系统处，它位于整个xxx网络安全预

警系统的二级（第二层）。

5.5.2.2 监控管理体系的作用

xxx网络安全预警分中心部署在XXX网络二级单位，它位于整个xxx网络安全预警系统

的二级（第二层）。

二级xxx网络安全预警管理体系主要作用是对本系统内的所有病毒进行监测，同时，二

级防病毒监控管理体系也接受一级防病毒监控管理体系的监控管理。

5.5.2.3 监控管理体系的组成和功能

二级xxx网络安全预警主要由集中病毒管理分中心构成，共同完成对整个网络的病毒预

警及管理工作。

➢ 系统采用B/S的管理架构，管理、维护方便，移动性强。

➢ 通过对本级网络范围内的病毒收集、汇总和分析，形成对网中的病毒情况的总

体报告和趋势分析，为宏观决策提供依据。报告需具有多种标识功能（说明、图表、

曲线等）。报告能提供报告期内本网络病毒的汇总和归类统计数据。、

北京xxx信息技术有限公司

[14]

XXX网络安全预警系统解决方案

5.6 部署后达到的效果

5.6.1 病毒的发现

可以对网络中的病毒状况进行集中统一的病毒监测，构建完备、协调、高效的预警体系。

在病毒发作、网络攻击的初期进行提前预警，进行科学的评估，采取各种有效的手段，努力

把风险发生的可能性降到最小，在现代病毒安全事件中，检测是现代网络安全模型中重要的

一部分，xxx网络预警系统可实时检测网络内的病毒攻击；同时网络蠕虫病毒发作时，也会

向网络发送大量的病毒包，造成整体网络堵塞和瘫痪，xxx网络预警系统可以在蠕虫爆发的

初期进行报警，采用有效的手段，可以避免对网络造成的危害。

病毒监控如下图：

图 2 预警系统管理中心病毒监控截图

5.6.2 查找病毒源，定位风险，为有效处理病毒提供依据

xxx网络预警系统整理大量的互联网真实IP地址所在地相关信息，同时也支持用户自行

导入和添加IP地址库。在分析网络安全事件时，可以单击相关IP确定该IP地址的物理位置，

查找病毒源，定位风险，为有效处理病毒提供依据，准确的定位，如下图：

图 3 预警系统管理中心病毒定位截图

北京xxx信息技术有限公司

[15]

XXX网络安全预警系统解决方案

5.6.3 发现未知病毒，解决新病毒爆发带的风险

xxx网络预警系统拥有网络行为判断技术，能够有效的检测未知病毒，解决新病毒爆发

带的风险，对网络中出现的病毒情况（新病毒出现，病毒大规模爆发等）进行统一的报警，

并具有多种预警方式（声音提示、电子邮件等），并能够进行快速应急响应。

图 4 xxx行为判断技术示意图

5.6.4 独有的智能分析技术，发现异常网络安全问题

对http协议、pop3协议、Smtp协议完整的协议解析，对正常网络建模，提供异常网络

流对比分析，结合管理中心所生成的动态策略杜绝网络中黑客攻击的一切来源，同时还能够

追踪攻击的源头，以便网络警察取证。

北京xxx信息技术有限公司

[16]

XXX网络安全预警系统解决方案

图 5 异常流量分析截图

5.6.5 安全事件的关联分析

针对病毒探针和防攻击探针所报告的大量网络安全事件，在无法人为的对其进行分析和

整理时，就需要管理系统能够将各类网络安全事件归纳总结在一起，然后存入数据库，方便

进行管理查询。网络安全预警系统的管理中心所具有的大容量存储空间完全能够长时间存储

网络安全事件。将各种安全事件集中到管理中心后，对于某些网络安全事件来说，一台或者

两台探针无法探测或者发现针对整个网络的安全事件。但是将网络安全事件结合在一起后并

进行归纳总结后，就有可能发现网络安全事件的源头。例如某个网段的攻击探针发现该网络

被扫描，可以确定是公司内部一台主机A所为。但同时，病毒探针发现另外一台主机B通

过远程植入方式, 将木马或者扫描程序植入主机A，管理中心即可根据这两条网络安全事件

判断扫描特定网络的真正源头是B而不是A, 从而确定真正的影响网络的源头。

图 6 安全事件关联分析示意图

北京xxx信息技术有限公司

[17]

XXX网络安全预警系统解决方案

5.6.6 实时数据流监测，有效数据的汇总和分析

xxx网络预警系统可以实时数据流监测，有效数据的汇总和分析，形成对网络中的病毒

情况的总体报告和趋势分析，为宏观决策提供依据，动态调整安全防护体系。

病毒信息总览图

图 7 病毒信息总览统计图

管理员也可以根据关心的数据项来生成报表，比如所关心的源IP、目的IP或者病毒名

称等。管理员也可以查询一段特定时间内的网络安全事件，并生成报告，对以往的安全事件

进行汇总，预见未来病毒的趋势。 如图;

图 8 病毒来源统计表和饼形图

北京xxx信息技术有限公司

[18]

XXX网络安全预警系统解决方案

图 9 病毒趋势分析截图

5.6.7 集中管理和控制，

xxx网络安全预警系统是一套集中管理的网络安全系统，并且所有管理功能都是基于浏

览器来完成，无需另外安装附加软件，仅需要浏览器和SSL支持，管理员可以通过总中心可

对整个网络安全预警系统进行安全管理，总中心负责接收管理员的命令，然后分发到各个相

关网络预警分中心，分中心再自动分发给病毒探针，大大减少了管理工作。同时可以帮助网

络安全状况制定统一的策略，最大限度地利用现有资源，发挥整体优势，保障网络安全。

北京xxx信息技术有限公司

[19]

XXX网络安全预警系统解决方案

6 xxx网络安全预警系统功能介绍

6.1 零拷贝技术

在现在的操作系统中，因为安全等因素将用户空间和内核空间完全分离。在用户进程和

内核进程交换数据时，就需要将数据从两个空间来回拷贝。为了提高交换数据的效率，很多

操作系统都是直接用汇编来实现这一功能。但是在拷贝过程还是会影响程序的运行性能，不

过这在一些通常的应用过程中体现了极大的安全优势。但是在用户空间和内核空间进行大量

数据交换时，数据拷贝过程将占用程序CPU运行时间的很大的比例。这样势必会极大的影

响程序处理数据的能力。通过对系统内核程序的修改和驱动程序的修改与优化，以及对用户

空间的程序的修改与优化，xxx研发了一种特殊的拷贝技术，即：数据在内核和用户空间内

共享的数据“零拷贝”技术。

通过特殊的技术在用户空间和内核空间共享数据，同时又利用一种良好的安全策略来保

证内核和用户程序分别对共享的数据进行读写而不会产生安全问题。在不损失操作系统原有

的安全性的情况下，减少拷贝数据的时间，使整个系统将时间片全部集中在数据处理上。不

但有效的利用CPU时间，而且也减少了系统资源的占用。利用零拷贝技术，使病毒监测探

针的监测能力呈数量级的提升。由原来的百兆到现在的千兆！

图 10 零拷贝技术原理图

6.2 能够查获1000000种的病毒引擎

完全自主开发的xxx杀毒引擎是查获病毒的有力保障，每一版病毒引擎的推出，都意味

着更多的平台支持，更多的功能，更完美的实现。病毒探针所用的病毒查杀引擎完全使用

xxx最优化和改进的病毒查杀引擎。优化和改进主要针对以下方面：

病毒探针是完全基于网络的防病毒系统，传统杀毒引擎不能处理网络数据，无法对网络

北京xxx信息技术有限公司

[20]

XXX网络安全预警系统解决方案

中的数据进行病毒的查获。这需要在处理网络数据方面对病毒引擎做改进，使其能够分析网

络数据流中包含的病毒。病毒探针所应用的病毒引擎为xxx最新杀毒引擎改进而成，不但拥

有xxx病毒杀毒引擎的所有功能和特点，而且是能够查获网络数据流中的病毒的“流引擎”。

6.3 能够查获未知病毒引擎

病毒探针由于反病毒引擎采用了虚拟机技术，发现在对捕获的疑似病毒样本定义时，系

统的病毒库中没有所匹配的病毒特征码而无法确定名称，将这类病毒确认为未知病毒并上报

到管理控制中心。这种机制保证了系统不会放过任何有危险的病毒。

6.4 支持千兆网络的处理能力

通过定制千兆网卡驱动，系统捕包的能力几乎达到了现有千兆网络设备的极限。完全可

以应用于电信机房等中心骨干网络中。

图 11千兆处理能力测试结果

6.5 检测口无IP地址

理论上，任何网络安全设备在能够连通外部网络情况下，都不能保证100％的安全。但

是对于病毒探针和防攻击探针来说，监测口在能够获取网络数据的前提下，拥有一个不完全

的TCP/IP实现。不完全的TCP/IP实现保证了监测口无法和外部通讯，同时，管理口完全可

以处在和外部网络物理隔绝的核心网络，达到管理和监测分离的部署方式。

北京xxx信息技术有限公司

[21]

XXX网络安全预警系统解决方案

图 12 预警系统不完全TCP/IP实现方式

6.6 完善的升级机制和迅速更新的特征库

xxx防病毒监测网遍布全世界，能够在最短时间内得到病毒样本，完全独立的24小时

反病毒小组确保在最短时间分析出新的病毒特征并经过测试后加入我们的病毒特征库，然后

提供网上升级。使病毒在小规模或者局部地区爆发后被扼杀在摇篮。虽然我们的病毒引擎具

有未知病毒的查获能力和病毒行为的预判断能力，也不能保证在病毒以一种非常规的或者以

一种全新的方式来运行和传播时都能够对其有效的查获。这就需要用户定期更新病毒库让病

毒探针工作在最好的状态，让病毒在大规模爆发前就被扼杀在摇篮之中，起到网络安全预警

系统真正的预警功能。

网络预警系统的管理中心可以按照预先设定的时间间隔定期访问xxx网站，一旦发现新

的更新数据，将立即下载到本地，然后分发到特定的探针，保证每个模块处于最良好的状态。

不会对影响网络安全的事件视而不见。如果在一些核心的应用中，网络安全预警系统所处的

网络是和互联网物理隔绝的，管理中心无法自动升级，管理员可以选择手动升级的方式来升

级整个系统。

6.7 安全事件的关联分析

针对病毒探针所报告的大量网络安全事件，在无法人为的对其进行分析和整理时，就需

要管理中戏能够将各类网络安全事件归纳总结在一起，然后存入数据库，方便进行管理查询。

网络安全预警系统的管理中心所具有的大容量存储空间完全能够长时间存储网络安全事件。

在各种安全事件集中到管理中心后，对于某些网络安全事件来说，一台或者两台探针无

法探测或者发现针对整个网络的安全事件。但是将网络安全事件结合在一起后并进行归纳总

结后，就有可能发现网络安全事件的源头。例如，某个网段的防攻击探针发现该网络被扫描，

可以确定是公司内部一台主机A所为。但同时，病毒探针发现另外一台主机A通过远程植

入方式，将木马或者扫描程序植入主机B，管理中心即可根据这两条网络安全事件判断扫描

特定网络的真正源头是A而不是B,，从而确定真正的影响网络的源头。

6.8 迅速定位安全事件相关IP地址的物理位置

xxx公司整理了大量的互联网真实IP地址所在地相关信息，同时也支持用户自行导入和

北京xxx信息技术有限公司

[22]

XXX网络安全预警系统解决方案

添加IP地址库。在分析网络安全事件时，可以点击相关IP确定该IP地址的物理位置。

图 13 安全事件定位截图

6.9 详细的安全事件信息

对于每一条影响网络安全的事件都有详细记录说明。比如病毒和黑客攻击等消息。

让用户充分了解该事件的详细信息才能从根本上杜绝类似的安全事件继续的发生。

图 14 详细事件信息截图

6.10 完善安全事件报告系统

管理中心的日志系统负责记录管理员的操作日志，以便查询，防止由于误操作引起整个

安全预警系统不能正常工作。同时也记录了非法用户访问日志，防止由于非法用户破解密码

而进入系统。

巨大的存储空间为长时期储存网络事件提供了有力保障。同时，详细的安全事件记录能

够长时间的保存也为在发生安全事件时为取证提供保障。简明又扼要的安全报告不但能让管

理员迅速了解一段时间内的网络事件，也能让管理者明白近期网络中所发生的安全事件。带

有人工智能的分析系统还可以针对特定主机等特定条件来形成网络安全事件报告。

网络安全预警系统所支持的报表非常完善，还可以支持各种图形化的报表。可以设定重

点IP或者IP地址段来根据时间或者源地址、目的地址等数据来建立报表。下图就是根据病

毒来源而产生的报表：

北京xxx信息技术有限公司

[23]

XXX网络安全预警系统解决方案

(注：由于数据采集于互联网，在生成报表时，故意更改了IP地址)

图 15 根据病毒来源产生的报表截图

点击页面上的小图标，可以根据图形的方式来查看报表，使报表更加直观和明了。系统

支持以下几种典型图示：

饼形图：

图 16 饼形图

区域走向图：

图 17柱状图

管理员也可以根据关心的数据项来生成报表，比如所关心的源IP目的IP或者病毒名称

等。

北京xxx信息技术有限公司

[24]

XXX网络安全预警系统解决方案

图 18 病毒查询过滤条件截图

管理员也可以查询一段特定时间内的网络安全事件，并生成报告：

图 19 一段时间内的安全事件报告

6.11 集中管理和控制

随着网络设备的增多，有效地管理这些设备也不是一件容易的事情。能够集中有效的管

理这些网络设备是大势所趋。xxx网络安全预警系统是一套集中管理的网络安全系统，并且

所有管理功能都是基于浏览器来完成无需另外安装附加软件，仅需要浏览器和SSL支持。

管理员只需登录到管理中心即可对整个网络安全预警系统进行安全管理。管理中心负责

接收管理员的命令，然后分发到各个相关网络预警模块。管理中心和各个模块之间的通讯采

取xxx独立研发的加密通讯协议。管理员不需要记住多个的密码，只需记住一个密码，大大

减少管理工作。

xxx公司根据客户需求，制定了很多通用性很强的安全策略模板。管理员只需对预先制

定的模板做出少量的修改即可应用，减少了管理员的系统初期安装设置工作。简单的模板和

安装向导让管理员迅速熟悉和了解整个系统，保证系统更可靠的运行。同时，当网络增加新

的网络安全监测设备时，管理员只需将现有的类似模板导出并做少量修改后即可导入到新加

设备中，大大简化配置和部署工作。

由于不可抗力等原因，比如网络设备、气温、湿度等，导致系统不能正常运行。管理中

北京xxx信息技术有限公司

[25]

XXX网络安全预警系统解决方案

心的监控模块可以及时报告以便管理员迅速作出反应，人为保障系统可靠运行。xxx精心选

取的工控机系统保证能够在恶劣的环境下运行，使网络安全预警系统有了可靠运行的硬件保

障。xxx精心编写和测试的软件是整个网络安全预警系统可靠运行的软件保障。再加上对系

统运行环境的监测和监控保证整个系统24×7的可靠运行时间。

北京xxx信息技术有限公司

[26]

本文标签： 病毒网络系统预警