IMSA方案模版.doc

Xxx企业级邮件内容安全解决方案趋势科技（中国）公司2009-7-23目 录 1 方案概述 32 企业安全现状及发展趋势 33 电子邮件信息安全分类 73.1 邮件病毒（Malicious Code） 83.2 垃圾邮件（Spam） 83.3 间谍软件/灰色软件(Spyware/Grayware) 113.3.1 间谍软件/灰色软件入侵方式 123.3.2 间谍软件/灰色软件解决方案 123.4 网络钓鱼(Phishing/Pharming) 133.4.1 网络钓鱼的危害 153.4.2 网络钓鱼解决方案 154 企业级邮件安全解决方案－IMSA 164.1 IMSA产品介绍 164.2 IMSA主要功能 175 全球几款主要垃圾邮件防护产品评测结果 186 反垃圾邮件相关知识花絮 196.1 首届反垃圾邮件技术大会（CEAS） 196.2 世界垃圾邮件之王落网 206.3 因对区域与目标攻击－趋势科技推出中国区代码 216.3.1 趋势科技推出中国区病毒码 216.3.2 整合四大服务资源：中国区病毒中心（China Labs）、病毒监测中心（MOC）、技术支持、售前服务 221 方案概述本建议书主要从企业邮件信息安全的角度出发，打破大多数邮件安全厂商所提出的邮件信息安全仅仅是解决病毒和垃圾邮件问题的观点，从各个角度分析企业网络可能面临的各种现代电子邮件信息安全问题、对企业造成的影响以及解决方案。

作为业界领先的专业内容安全厂商，趋势科技企业级邮件安全解决始终走在业界前列，不但在世上第一个推出了邮件病毒安全解决方案，而且极具前瞻性的陆续推出了垃圾邮件安全解决方案、间谍软件解决方案、网络钓鱼解决方案以及对企业更具威胁的Pharming安全解决方案这些解决方案对已经使用和准备使用邮件安全解决方案的企业都极具重要的参考价值当然，邮件安全仅仅是企业整体网络安全中不可分割的一个重要组成部分，因此本建议书偶尔也会涉及到企业整体网络安全知识，以供大家参考2 企业安全现状及发展趋势在对最终用户的持续跟踪过程中，IDC 发现，在用户遇到的 所有安全问题中：排名前三位都是和“安全内容管理”直接相关的安全问题其中以“病毒、木马及恶意代码”最为严重，97.8%的用户遇到过类似的问题，同时，垃圾邮件日渐成为一种严重的安全问题；内部雇员的行为，包括对资源的合理使用和对内部数据的有效保护，已经引起了安全人员的充分注意，类似的问题在企业内部发生，有34.8%的用户曾经遇到类似的问题；直接来自外部的破坏，包括“外部攻击”和“黑客入侵”，仍然时有发生有25.2%和24.9%的用户分别遇到过“外部攻击”和“黑客入侵”。

用户遇到的安全问题统计如下图所示：而在用户对于所遇到安全问题，其严重程度进行排序时，我们可以看到：最严重的安全问题，前三项仍然是和“安全内容管理”直接相关；对于用户而已，黑客入侵是仅次于“安全内容管理”的安全问题，虽然使用了各种网络安全产品，由于种种原因，客户仍然不能很好的防范黑客入侵；用户认为安全问题严重度排名如下图所示：当客户面对各种安全问题，在采取的处理方法中：用户面对安全问题时，购买安全产品成为采取的首要措施，97.8%的用户购买、使用了各种安全产品；当遇到各类安全问题时，有83.1%的用户也采取过“自己解决”的方法同时，安全防护的理念已经慢慢被用户接受，有57.9%的用户在面对安全问题时，成立过安全小组；只有35.6%的用户，在遇到安全问题时会主动咨询专业的安全机构/公司；也有33.8%的客户会“让员工参加安全培训”，以应对各类可能发生的安全问题；“定期请安全公司来培训”，是用户在处理安全时，较少采用的方法当然，一方面，因为目前国内还相对缺乏规范、有效的安全培训体系；另外一方面，安全本身还具有突发性，很少有公司能够从更为长远的角度来考虑面对安全问题用户采取的措施如下：用户已经使用的安全产品中，防病毒系统和防火墙系统是“普及性”最高的产品，相对于其他产品的渗透度非常明显。

用户已经使用的安全产品如下图所示：2005 年，主要的安全事件——间谍软件、垃圾邮件、资源不合理应用——均与“安全内容管理”有关，这些安全事件，直接成为“安全内容管理硬件”成长的“催化剂”2005 年安全内容管理市场规模与预测如下图所示：3 电子邮件信息安全分类从上面对企业安全现状及发展趋势数据分析可以看出，企业整体安全最重要的是内容安全管理，企业内容安全管理解决方案可分为网关邮件安全、网关Web安全、邮件系统安全、服务器安全及客户端安全，而对内容安全管理解决方案的分析中我们又发现网关邮件内容安全解决方案是企业内容安全解决方案的重中之重；因为根据IDC连续多年的内容安全分析报告中我们得出结论：企业92％的恶意程序都是通过邮件进行传播的，虽然到今天为止恶意程序的传播途径通过邮件方式有所下降，但邮件系统仍然是企业网络内恶意程序快速传播最重要的途径下面就对通过邮件传播的恶意程序进行分析，深刻了解其特性及当今最先进的防护技术和解决方案，以便企业在选择这类安全产品和服务时做出重要参考3.1 邮件病毒（Malicious Code）自从1999年第一只通过邮件方式进行传播的Melissa病毒出现以来，越来越多的病毒作者采用了这种攻击方式，理由非常简单，因为电子邮件成为目前企业使用最多、最重要的信息交流工具，通过邮件为载体，恶意程序转播的速度就最快。

目前市场上针对邮件病毒的产品很多，采用的方案分成两大类，一类是网关邮件解决方案，一类是内部邮件系统解决方案，两种方案作为企业来讲最好能够同时使用，如果择其一的话，首要选择网关解决方案其中缘由相信大多安全管理者都清楚，这里不再赘述而针对方案采用的防毒技术也参差不齐，不过，全球网关市场份额约70％被三大防毒巨头所占据（参考下图），它们分别是趋势科技（TrendMicro），赛门特克（Symantec）以及麦咖啡（McAfee）而在全球500强企业中采用最多的网关邮件防病毒技术还是趋势科技的“空中抓毒”技术，不过有意思的是，由于“空中抓毒”技术乃趋势科技的专利技术，赛门特克（Symantec）以及麦咖啡（McAfee）的网关防毒技术均是购买趋势科技的技术，换句话说，趋势科技的“空中抓毒”技术在全球网关防毒市场暂居了约70％的市场份额，这一点也充分显示出趋势科技的网关技术仍然遥遥领先于其他网关防毒技术全球互联网网关防病毒市场份额Panda Software (4.5%)29.9%Symantec Corp.(24.5%)McAfee(15.4%)Sophos (5.2%)Other (20.5%)3.2 垃圾邮件（Spam）关于SPAM的来历有很多不同的说法，其中最流行的莫过于是美国Hormel公司的一种肉质罐头：SPAM如今的意思来源于一部讽刺剧。

在这部戏中，有一场讲的是有对夫妻俩去餐馆就餐，妻子不想吃Spam，她坚持想点些别的，可是在餐馆里有一大群人，高声地唱着赞美"Spam"的歌，他们越唱越响，很快在这出戏里所能听到的唯一单词就是"Spam"了从此人们将泛滥成灾、喧宾夺主、剥夺他人选择权利的行为称为Spam随着国际互联网的普及，该单词又成了垃圾邮件的专用名词垃圾邮件逐年呈现上升趋势，已经成为企业最头痛的问题，垃圾邮件不但浪费公司资源，而且极易泄露公司机密信息许多垃圾邮件内容过滤技术都会扫描电子邮件的内容，侦测其中是否有任何垃圾邮件特征但垃圾邮件散发者也不断地改良其技术，避免被这些过滤器拦截举例来说，为了隐藏垃圾邮件的特征字词，垃圾邮件散发者会在字母中间加入空格，或是利用符号来代替字母（以 @ 代替 a）另一种逃避过滤器法眼的方式就是利用图片垃圾邮件图片垃圾邮件首见于 2006 年，图片垃圾邮件会在邮件内文中使用图片代替文字来显示垃圾信息以躲避传统文字匹配检测技术的侦测以下范例显示的是图片垃圾邮件的各种变体这些垃圾邮件内只包含一个图片，邮件内甚至没有任何的连结 http://tw-tracychen03/blog/images/07-01-29 SPAM-1.jpg传统的图片垃圾邮件过滤技术通常采用OCR（光学字符识别技术）检测机制。

光学字符辨识 (OCR) 是一种可识别图片中文字的技术，然后针对文字进行过滤，以判断该封电子邮件是否为垃圾邮件但是这种方式不只容易出错，在识别垃圾邮件上更是效果不佳此外，摘取并过滤所有文字将会耗费不少的系统处理资源，更会对邮件系统造成负担因为垃圾邮件散播者会将图片作随机变化，比如使用不同的尺寸大小、背景以及边框等，以突破使用传统垃圾邮件特征码的侦测方式图片垃圾邮件的主题通常涵盖药品 、金融/投资信息 以及奢华商品等，这些图片垃圾邮件也能用于网络钓鱼邮件，在图片中显示特定信息，并提供诈骗网站的链接，使邮件使用者上当由于图片垃圾邮件技术是目前最易躲过垃圾邮件过滤技术的侦测，很多垃圾邮件产品不具备过滤图片垃圾邮件的功能，因此目前得到较大发展，据IDC预测，图片垃圾邮件在 2007 年仍将持续得到较大发展趋势科技垃圾邮件侦测技术采用复合式扫描引擎，包含特征比对、启发式侦测技术以及网络信誉服务相对于传统OCR技术，趋势科技的Adversarial OCR专利应用程序显得更为专业，此技术专为图片垃圾邮件过滤而设计，在防护引擎中纳入了所有的图片变体如此一来，不像传统OCR技术那样摘取全部图片文字，我们只需要套用少数的几个核心特征文件就足以拦截所有的图片变体。

利用这项技术，我们只需要套用几个特征文件，就能够阻止图片中的广告邮件，同时阻止其它更多跟这封邮件版本不同的电子邮件此外，我们也会对图片和 HTML 内容进行分析，以判断图片的结构，然后套用启发性规则来过滤这些电子邮件，将图片变体范围缩小极少数几个核心特征文件的方式，再加上目标启发法，这两种技术目前都已应用在我们最新的垃圾邮件防护解决方案中，且在遏止图片垃圾邮件方面成效卓著另外一个最先进的垃圾邮件防护技术即为网络信誉服务－Network Reputation Services (NRS)和IP ProfilerNRS采用世界最庞大、最受信赖的数据库进行比对，可阻止垃圾邮件进入网关，并使用动态更新，在殭尸计算机与傀儡网络刚出现时便予以封锁，且可将垃圾邮件拦截在进入企业内部之前的交换阶段，也就是在进入网络之前，可先拦阻 80% 以上可能含有网络钓鱼的垃圾邮件IP Profiler运用客户指定的自动化机制，遏阻网络钓鱼垃圾邮件，并可防范账号搜集(Directory Harvest Attacks, DHA)，避免日后再收到网络钓鱼垃圾信件比如用户可以设定在20个小时内，某个IP所寄送的1000封信件，其中有80%的信件收件者数量超过100个，或收件者不存在的信件数超过 10 个时，相关产品便可认为这个来源IP是账号搜集攻击者，且将这个IP封锁 (Block)，参考下图。

藉由本技术的运用，亦可定义出垃圾邮件、病毒邮件及邮件退回攻击的IP封锁原则目前市场上仅少数几个产品具备这种从邮件源头阻挡垃圾邮件的高效率防护产品，大多数产品均只是象征性的有部分功能与此相似，不过这项最新技术将是未来垃圾邮件防护产品最重要的一个发展方向趋势科技网络信誉服务(Network Reputation Services, NRS)的前身便是在Internet最著名的RBL服务 -- MAPS(Mail Abuse Prevention System, www.mail-abuse.org) MAPS即为垃圾邮件SPAM英文单词反过来写，从1995年便已创立，RB。