虛擬化安全安全解決方案

1、PAGE27XXXX虛擬化桌面安全解決方案趨勢科技（中國）有限公司2013年5月目錄 TOC o 1-3 h z u HYPERLINK l _Toc3 第1章.概述 PAGEREF _Toc3 h 4 HYPERLINK l _Toc4 XXXX虛擬化桌面概述 PAGEREF _Toc4 h 4 HYPERLINK l _Toc5 XXXX虛擬化桌面安全概述傳統(tǒng)安全解決方案 PAGEREF _Toc5 h 5 HYPERLINK l _Toc6 第2章.需求分析 PAGEREF _Toc6 h 5 HYPERLINK l _Toc7 傳統(tǒng)安全在虛擬化桌面中應(yīng)用面臨威脅分析 PAGEREF _

2、Toc7 h 5 HYPERLINK l _Toc8 虛擬機之間的相互攻擊 PAGEREF _Toc8 h 5 HYPERLINK l _Toc9 隨時啟動的防護間歇 PAGEREF _Toc9 h 6 HYPERLINK l _Toc0 管理成本上升 PAGEREF _Toc0 h 6 HYPERLINK l _Toc1 資源爭奪 PAGEREF _Toc1 h 7 HYPERLINK l _Toc2 無代理虛擬化桌面安全防護的必要性 PAGEREF _Toc2 h 8 HYPERLINK l _Toc3 第3章.趨勢科技虛擬化桌面安全解決方案 PAGEREF _Toc3 h 8 HYPER

3、LINK l _Toc4 安全虛擬機技術(shù)及工作原理 PAGEREF _Toc4 h 8 HYPERLINK l _Toc5 與傳統(tǒng)安全方案差別 PAGEREF _Toc5 h 10 HYPERLINK l _Toc6 系統(tǒng)架構(gòu) PAGEREF _Toc6 h 11 HYPERLINK l _Toc7 產(chǎn)品部署和集成 PAGEREF _Toc7 h 12 HYPERLINK l _Toc8 產(chǎn)品功能 PAGEREF _Toc8 h 13 HYPERLINK l _Toc9 惡意軟件防護 PAGEREF _Toc9 h 14 HYPERLINK l _Toc0 深度數(shù)據(jù)包檢查 (DPI) 引擎 P

4、AGEREF _Toc0 h 14 HYPERLINK l _Toc1 入侵檢測和防御 (IDS/IPS) PAGEREF _Toc1 h 14 HYPERLINK l _Toc2 WEB 應(yīng)用程序安全 PAGEREF _Toc2 h 15 HYPERLINK l _Toc3 應(yīng)用程序控制 PAGEREF _Toc3 h 15 HYPERLINK l _Toc4 防火墻 PAGEREF _Toc4 h 15 HYPERLINK l _Toc5 完整性監(jiān)控 PAGEREF _Toc5 h 16 HYPERLINK l _Toc6 系統(tǒng)要求 PAGEREF _Toc6 h 17 HYPERLINK

5、 l _Toc7 第4章.項目實施方案 PAGEREF _Toc7 h 18 HYPERLINK l _Toc8 項目總體規(guī)劃 PAGEREF _Toc8 h 18 HYPERLINK l _Toc9 實施組織架構(gòu) PAGEREF _Toc9 h 18 HYPERLINK l _Toc0 項目實施內(nèi)容 PAGEREF _Toc0 h 19 HYPERLINK l _Toc1 項目準備 PAGEREF _Toc1 h 19 HYPERLINK l _Toc2 項目調(diào)研 PAGEREF _Toc2 h 20 HYPERLINK l _Toc3 項目實施 PAGEREF _Toc3 h 20 HYP

6、ERLINK l _Toc4 項目驗收 PAGEREF _Toc4 h 21 HYPERLINK l _Toc5 項目實施計劃 PAGEREF _Toc5 h 21 HYPERLINK l _Toc6 項目實施分工 PAGEREF _Toc6 h 21 HYPERLINK l _Toc7 項目實施計劃 PAGEREF _Toc7 h 22 HYPERLINK l _Toc8 第5章.售后服務(wù) PAGEREF _Toc8 h 22 HYPERLINK l _Toc9 第6章.總結(jié) PAGEREF _Toc9 h 23 HYPERLINK l _Toc0 預(yù)防數(shù)據(jù)泄露和業(yè)務(wù)中斷 PAGEREF _

7、Toc0 h 24 HYPERLINK l _Toc1 實現(xiàn)合規(guī)性 PAGEREF _Toc1 h 24 HYPERLINK l _Toc2 支持降低運營成本 PAGEREF _Toc2 h 24 HYPERLINK l _Toc3 全面易管理的安全性 PAGEREF _Toc3 h 24 HYPERLINK l _Toc4 虛擬補丁 PAGEREF _Toc4 h 25 HYPERLINK l _Toc5 合規(guī)性要求 PAGEREF _Toc5 h 25 HYPERLINK l _Toc6 Web應(yīng)用防護 PAGEREF _Toc6 h 25 HYPERLINK l _Toc7 附錄一 成功

8、案例 PAGEREF _Toc7 h 26文檔信息：文檔屬性內(nèi)容項目/任務(wù)名稱項目/任務(wù)編號文檔名稱XXXX虛擬化桌面安全解決方案文檔版本號V1文檔狀態(tài)制作人羅海龍保密級別商密管理人羅海龍制作日期2013年5月28日復(fù)審人復(fù)審日期擴散范圍內(nèi)部使用版本記錄：版本編號版本日期創(chuàng)建者/修改者說明文檔說明：概述 XXXX虛擬化桌面概述計算機的誕生改變了我們的生活，它正以一種前所未有的方式影響著我們的生活和工作。隨著技術(shù)的發(fā)展，我們的生活已經(jīng)無法脫離計算機了，但是傳統(tǒng)計算機桌面的使用有著諸多的限制，這些限制給我們帶來了不便。首先，隨著客戶端設(shè)備的不斷增加，客戶端系統(tǒng)環(huán)境變得復(fù)雜，造成管理困難，維護成本升

9、高；客戶端操作系統(tǒng)、應(yīng)用客戶端需要不斷升級、不停打補??；客戶端需防病毒，防惡意軟件，防止木馬程序?qū)⒚舾袛?shù)據(jù)竊取，但仍可能百密一疏；客戶端的移動性與分布性，造成無法共享資源，利用率低；且隨著技術(shù)的發(fā)展，硬件的更新?lián)Q代需要巨大的投入等等，這些都造成了沒有一種隨時，隨地，任何設(shè)備都可以安全地訪問的桌面環(huán)境。同時，“集中監(jiān)控、集中維護、集中管理”已經(jīng)成為中國移動網(wǎng)絡(luò)運行維護工作的一個重要工作模式。桌面云解決方案是基于云計算架構(gòu)的桌面交付解決方案，利用虛擬化技術(shù)，通過在云計算服務(wù)器集群上部署虛擬桌面交付系統(tǒng)。采用桌面云解決方案可以在數(shù)據(jù)中心集中化管理桌面，輕松實現(xiàn)安全防護及備份，減少總體擁有成本、加強信

10、息安全、降低維護管理費用，同時響應(yīng)國家節(jié)能減排的號召。在此情況下，自2010年開始，中國移動天津公司為提升桌面終端整體管理水平，對網(wǎng)管維護終端、IT辦公、營業(yè)廳終端等進行了集中規(guī)劃、集中管理和集中維護，進行了終端虛擬化一期工程的建設(shè)。一期工程包括了IT系統(tǒng)平臺單項工程和網(wǎng)管系統(tǒng)平臺單項工程兩部分，分別針I(yè)T終端和網(wǎng)管終端進行了桌面云系統(tǒng)的建設(shè)，其中IT系統(tǒng)平臺滿足了IT系統(tǒng)300個營業(yè)終端和100個操作維護終端的接入需求；網(wǎng)管系統(tǒng)平臺滿足了空港網(wǎng)管監(jiān)控大廳270個監(jiān)控終端的接入需求。在中國移動集中化建設(shè)和云計算迅猛發(fā)展的大背景下，綜合考慮瘦客戶端相對傳統(tǒng)終端的優(yōu)勢，集團公司下發(fā)了關(guān)于中國移動瘦

11、客戶機逐步全面替代傳統(tǒng)PC的指導(dǎo)意見，明確要求：“對于新增固定終端（傳統(tǒng)PC）的需求，原則上均應(yīng)采用瘦客戶機方案（其中，基于TDM傳統(tǒng)呼叫中心應(yīng)停止擴容，呼叫中心的擴容需求應(yīng)采用基于IP的NGCC呼叫中心+瘦客戶機方案)；對于現(xiàn)有傳統(tǒng)PC應(yīng)依據(jù)使用壽命，逐步采用瘦客戶機進行自然替換?！?XXXX虛擬化桌面安全概述傳統(tǒng)安全解決方案目前，XXXX對于虛擬化桌面的安全防護采用傳統(tǒng)方式，也就是在每臺虛擬桌面的操作系統(tǒng)中安裝防病毒軟件、在網(wǎng)絡(luò)層部署防火墻功能、通過補丁分發(fā)系統(tǒng)進行補丁修補等。這種解決方案沒有考慮到虛擬化技術(shù)的特殊性，存在很多的安全風(fēng)險，具體分析見下文。需求分析 傳統(tǒng)安全在虛擬化桌面中應(yīng)用

12、面臨威脅分析虛擬化桌面基礎(chǔ)架構(gòu)除了具有傳統(tǒng)物理服務(wù)器的風(fēng)險之外，同時也會帶來其虛擬系統(tǒng)自身的安全問題。新安全威脅的出現(xiàn)自然就需要新方法來處理。通過前期調(diào)研，總結(jié)了目前XXXX虛擬化環(huán)境內(nèi)存在的幾點安全隱患。 虛擬機之間的相互攻擊虛擬機之間的互相攻擊由于目前XXXX仍對虛擬化環(huán)境使用傳統(tǒng)的防護模式，導(dǎo)致主要的防護邊界還是位于物理主機的邊緣，從而忽視了同一物理主機上不同虛擬機之間的互相攻擊和互相入侵的安全隱患。 隨時啟動的防護間歇隨時啟動的防護間歇由于XXXX目前大量使用Vmware的虛擬化桌面技術(shù)，讓XXXX的運維服務(wù)具備更高的靈活性和負載均衡。但同時，這些隨時由于資源動態(tài)調(diào)整關(guān)閉或開啟虛擬機會

13、導(dǎo)致防護間歇問題。如，某臺一直處于關(guān)閉狀態(tài)的虛擬機在業(yè)務(wù)需要時會自動啟動，成為后臺服務(wù)器組的一部分，但在這臺虛擬機啟動時，其包括防病毒在內(nèi)的所有安全狀態(tài)都較其他一直在線運行的服務(wù)器處于滯后和脫節(jié)的地位。 管理成本上升系統(tǒng)安全補丁安裝目前XXXX虛擬化環(huán)境內(nèi)仍會定期采用傳統(tǒng)方式對階段性發(fā)布的系統(tǒng)補丁進行測試和手工安裝。雖然虛擬化桌面本身有一定狀態(tài)恢復(fù)的功能機制。但此種做法仍有一定安全風(fēng)險。1.無法確保系統(tǒng)在測試后發(fā)生的變化是否會因為安裝補丁導(dǎo)致異常。2.集中的安裝系統(tǒng)補丁，前中后期需要大量人力，物力和技術(shù)支撐，部署成本較大。 資源爭奪防病毒軟件對資源的占用沖突導(dǎo)致AV（Anti-Virus）風(fēng)暴

14、XXXX目前在虛擬化環(huán)境中對于虛擬化桌面仍使用每臺虛擬操作系統(tǒng)安裝SEP防病毒客戶端的方式進行病毒防護。在防護效果上可以達到安全標準，但如從資源占用方面考慮存在一定安全風(fēng)險。由于每個防病毒客戶端都會在同一個物理主機上產(chǎn)生資源消耗，并且當(dāng)發(fā)生客戶端同時掃描和同時更新時，資源消耗的問題會愈發(fā)明顯。嚴重時可能導(dǎo)致ESX服務(wù)器宕機。通過以上的分析是我們了解到雖然傳統(tǒng)安全設(shè)備可以物理網(wǎng)絡(luò)層和操作系統(tǒng)提供安全防護，但是虛擬環(huán)境中新的安全威脅，例如：虛擬主機之間通訊的訪問控制問題，病毒通過虛擬交換機傳播問題等，傳統(tǒng)的安全設(shè)備無法提供相關(guān)的防護，趨勢科技提供創(chuàng)新的安全技術(shù)為虛擬環(huán)境提供全面的保護。 無代理虛擬

15、化桌面安全防護的必要性XXXX的虛擬化桌面一直承載著最為重要的數(shù)據(jù)，因此，很容易引起外來入侵者的窺探，遭入侵、中病毒、搶權(quán)限，各種威脅都會抓住一切機會造訪服務(wù)器系統(tǒng)。XXXX針以前針對桌面端采用集中管理、集中防護的措施，通過傳統(tǒng)安全技術(shù)在網(wǎng)絡(luò)側(cè)建立安全防線，如防火墻技術(shù)、防病毒技術(shù)、入侵檢測技術(shù)各種安全產(chǎn)品開始被一個一個地加入到安全防線中來。目前XXXX為了降低硬件采購成本，提高服務(wù)器資源的利用率，引進虛擬化桌面技術(shù)對現(xiàn)有應(yīng)用服務(wù)器的計算資源進行整合，使現(xiàn)有建立的安全防線面臨挑戰(zhàn)！服務(wù)器虛擬化后不但面臨著傳統(tǒng)物理實機的各種安全問題，同時由于虛擬系統(tǒng)之間的數(shù)據(jù)交換，以及共享的計算資源池，導(dǎo)致傳統(tǒng)

16、的安全技術(shù)手段很難針對虛擬系統(tǒng)提供防護，另外使用傳統(tǒng)安全技術(shù)的使用還帶來更大計算資源的消耗和管理運維，導(dǎo)致與引入服務(wù)器虛擬化的初衷相違背。通過上一章節(jié)的威脅分析發(fā)現(xiàn)，為了降低服務(wù)器和虛擬服務(wù)器的安全威脅必須采用創(chuàng)新的安全技術(shù)手段為服務(wù)器提供安全加固。因為傳統(tǒng)安全技術(shù)應(yīng)用到虛擬服務(wù)器防護存在短板效應(yīng)：任何一點疏忽，都會讓XXXX整個信息系統(tǒng)的安全防線功虧一簣，帶來經(jīng)濟和企業(yè)名譽的損失。更何況，這些被廣泛傳統(tǒng)安全產(chǎn)品雖然可以在物理網(wǎng)絡(luò)層很好地保護服務(wù)器系統(tǒng)，但它們終究無法應(yīng)對虛擬系統(tǒng)面臨新的安全威脅，所以需要采用創(chuàng)新的安全技術(shù)才能完善XXXX信息安全防護體系的基礎(chǔ)架構(gòu)，同時具備對最新安全威脅的抵抗

17、力，降低安全威脅出現(xiàn)到可以真正進行防范的時間差，提高服務(wù)器的安全性和抗攻擊能力，從而提供業(yè)務(wù)系統(tǒng)應(yīng)用的可用性。 趨勢科技虛擬化桌面安全解決方案 安全虛擬機技術(shù)及工作原理VMware VShield Endpoint 程序使我們能夠部署專用安全虛擬機以及經(jīng)特別授權(quán)訪問管理程序的API。這使得創(chuàng)建獨特的安全控制虛擬機成為可能，如在Gartner的報告中所述，安全虛擬機技術(shù)在虛擬化的世界中從根本上改變安全和管理的概念。這種安全虛擬機是一種在虛擬環(huán)境中實現(xiàn)安全控制的新型方法。安全虛擬機利用API來訪問關(guān)于每一虛擬機的特權(quán)狀態(tài)信息，包括其內(nèi)存、狀態(tài)和網(wǎng)絡(luò)通信流量等。因為在不更改虛擬網(wǎng)絡(luò)配置的情況下，服務(wù)

18、器內(nèi)部的全部網(wǎng)絡(luò)通信流量是可見的。 包括防病毒、防火墻、IDS/IPS 和系統(tǒng)完整性監(jiān)控等在內(nèi)的安全功能均可以應(yīng)用于安全虛擬機中。Deep Security通過vShield Endpoint提供的實時掃描、預(yù)設(shè)掃描、清除修復(fù)等數(shù)據(jù)接口，對虛擬機中的數(shù)據(jù)進行病毒代碼的掃描和判斷，并結(jié)合防火墻、IDS策略實時對進出虛擬機的數(shù)據(jù)進行安全過濾；在管理上需要vShield Manager和vCenter的支持； 與傳統(tǒng)安全方案差別傳統(tǒng)環(huán)境下的網(wǎng)絡(luò)安全拓撲圖，在網(wǎng)絡(luò)出口處部署有防火墻，防毒墻，上網(wǎng)行為管理等安全設(shè)備，用來隔離內(nèi)外網(wǎng)，過濾來自外網(wǎng)的惡意程序，規(guī)范內(nèi)網(wǎng)用戶的上網(wǎng)行為，同時在DMZ區(qū)使用防火墻

19、隔離，部署IDS監(jiān)控對服務(wù)器的非法訪問行為，在服務(wù)器上部署防病毒軟件，保護核心服務(wù)器的安全運行。虛擬化在資源利用率、高可用性、高擴展性上有著諸多優(yōu)勢，實現(xiàn)虛擬化后，直觀的來看，是將多臺服務(wù)器集中到了一臺主機內(nèi)，這一臺主機同時運行了多個操作系統(tǒng)，提供不同的應(yīng)用和服務(wù)；系統(tǒng)管理員根據(jù)需要可以非常方便的添加新的應(yīng)用服務(wù)器；根據(jù)傳統(tǒng)的安全設(shè)計模型，需要在每個操作系統(tǒng)中安裝防毒軟件，在網(wǎng)絡(luò)層部署入防火墻、侵檢測或入侵防御系統(tǒng)，但是在這種在傳統(tǒng)方式下合理的設(shè)計，在虛擬環(huán)境下會面臨一些新的問題：未激活的虛擬機，物理機下關(guān)閉計算機后CPU停止運行，網(wǎng)絡(luò)關(guān)閉，理論上不會有數(shù)據(jù)的交互，操作系統(tǒng)也就不存在被感染的可

20、能；但是在虛擬環(huán)境下，CPU，網(wǎng)絡(luò)，底層的ESX都在工作中，關(guān)閉的操作系統(tǒng)類似于物理環(huán)境下的一個應(yīng)用程序，盡管這個“應(yīng)用程序”沒有運行，但仍然有被病毒感染的可能；資源的沖突，防毒軟件在啟用預(yù)設(shè)掃描后，當(dāng)?shù)搅酥付〞r間，會同時進行文件掃描的動作，這個時候防毒軟件對CPU和內(nèi)存的占用急劇增加，當(dāng)系統(tǒng)資源被耗盡的時候就會導(dǎo)致服務(wù)器down機；管理復(fù)雜度，由于虛擬化的便利性，系統(tǒng)管理員可以非常方便的根據(jù)模板生成新的系統(tǒng)，這些新系統(tǒng)要打補丁，進行病毒代碼的更新，也會增加安全管理的復(fù)雜度；虛擬化環(huán)境的動態(tài)特性面臨入侵檢測/防御系統(tǒng)（IDS/IPS）的新挑戰(zhàn)?；诰W(wǎng)絡(luò)的IDS/IPS，也無法監(jiān)測到同一臺ESX

21、服務(wù)器上的虛擬機之間的通訊；由于虛擬機能夠迅速地恢復(fù)到之前的狀態(tài)，利用VMware VMotion易于在物理服務(wù)器之間移動，所以難以獲得并維持整體一致的安全性。所以虛擬化已經(jīng)使“網(wǎng)絡(luò)邊界去除”的挑戰(zhàn)更加明顯，虛擬化對于安全的需求也更加迫切。 系統(tǒng)架構(gòu)Deep Security產(chǎn)品由三部分組成，管理控制平臺（以下簡稱DSM）；安全虛擬機（以下簡稱DSVA）；安全代理程序（以下簡稱DSA）。趨勢科技Deep Security安全防護系統(tǒng)管理控制中心（DSM），是管理員用來配置及管理安全策略的集中式管理組件，所有的DSVA及DSA都會注冊到DSM，接受統(tǒng)一的管理。 趨勢科技Deep Security

22、安全防護系統(tǒng)安全虛擬機(DSVA)是針對 VMware vSphere 環(huán)境構(gòu)建的安全虛擬計算機，可提供防惡意軟件、IDS/IPS、防火墻、Web 應(yīng)用程序防護和應(yīng)用程序控制防護，數(shù)據(jù)完整性監(jiān)控等安全功能。 趨勢科技Deep Security安全防護系統(tǒng)安全代理程序(DSA)是安全客戶端，直接部署在操作系統(tǒng)中，可提供 IDS/IPS、防火墻、Web 應(yīng)用程序防護、應(yīng)用程序控制、完整性監(jiān)控和日志審查防護等安全功能。 產(chǎn)品部署和集成 Deep Security 解決方案專為快速的企業(yè)部署而設(shè)計。它利用現(xiàn)有基礎(chǔ)架構(gòu)并與之集成，以幫助實現(xiàn)更高的操作效率，并支持降低運營成本。VMware 集成：與 VM

23、ware vCenter 和 ESX Server 的緊密集成，使得組織和操作信息可以從 vCenter 和 ESX 節(jié)點導(dǎo)入到 Deep Security 管理器，并將詳細完備的安全應(yīng)用于企業(yè)的 VMware 基礎(chǔ)架構(gòu)。SIEM 集成：通過多個集成選項向 SIEM 提供詳細的服務(wù)器級安全事件，這些選項包括 ArcSight、Intellitactics、NetIQ、RSA Envision、Q1Labs、LogLogic 及其他系統(tǒng)。目錄集成：與企業(yè)目錄集成，包括 Microsoft Active Directory?？膳渲玫墓芾硗ㄐ牛篋eep Security 管理器或 Deep Secu

24、rity 代理可發(fā)起通信。這可最大限度地減少或消除集中管理系統(tǒng)通常所需要的防火墻更改。軟件分發(fā)：可通過標準軟件分發(fā)機制（如 Microsoft SMS、Novell Zenworks 和 Altiris）輕松部署代理軟件。最佳過濾：用于處理流媒體（如 Internet 協(xié)議電視 (IPTV)）的高級功能有助于將性能最大化。DeepSecurity采用集中分布式的管理方式，DeepSecurity服務(wù)器端安裝服務(wù)器控制臺DeepSecurity客戶端直接部署在每一臺服務(wù)器上。對于服務(wù)器群所有的安全策略都可以通過統(tǒng)一的管理控制臺進行設(shè)定，并且按需分發(fā)到對應(yīng)的服務(wù)器。整個服務(wù)器安全防護體系的管理，監(jiān)

25、控和運維都可以通過管理控制臺進行統(tǒng)一管理。同時，各項安全模塊組件的更新都會通過管理控制臺自動或者手動派發(fā)到每一臺服務(wù)器上。 產(chǎn)品功能趨勢科技Deep Security系統(tǒng)提供了對數(shù)據(jù)中心（范圍遍及虛擬桌面到物理、虛擬或云服務(wù)器）的高級保護，包括： 防惡意軟件 防火墻入侵檢測和阻止 (IDS/IPS) Web 應(yīng)用程序防護 應(yīng)用程序控制 完整性監(jiān)控 日志審計 惡意軟件防護 防惡意軟件模塊可提供趨勢科技防惡意軟件防護，惡意代碼包括：病毒、蠕蟲、木馬后門等，包括實時掃描、預(yù)設(shè)掃描及手動掃描功能，處理措施包含清除、刪除、拒絕訪問或隔離惡意軟件。檢測到惡意軟件時，可以生成警報日志。 深度數(shù)據(jù)包檢查 (D

26、PI) 引擎實現(xiàn)入侵檢測和防御、Web 應(yīng)用程序防護以及應(yīng)用程序控制該解決方案的高性能深度數(shù)據(jù)包檢查引擎可檢查所有出入通信流（包括 SSL 通信流）中是否存在協(xié)議偏離、發(fā)出攻擊信號的內(nèi)容以及違反策略的情況。該引擎可在檢測或防御模式下運行，以保護操作系統(tǒng)和企業(yè)應(yīng)用程序的漏洞。它可保護 Web 應(yīng)用程序，使其免受應(yīng)用層攻擊，包括 SQL 注入攻擊和跨站點腳本攻擊。詳細事件提供了十分有價值的信息，包括攻擊者、攻擊時間及意圖利用的漏洞。發(fā)生事件時，可通過警報自動通知管理員。DPI 用于入侵檢測和防御、Web 應(yīng)用程序防護以及應(yīng)用程序控制。 入侵檢測和防御 (IDS/IPS)在操作系統(tǒng)和企業(yè)應(yīng)用程序安裝

27、補丁之前對其漏洞進行防護，以提供及時保護，使其免受已知攻擊和零日攻擊 漏洞規(guī)則可保護已知漏洞（如 Microsoft 披露的漏洞），使其免受無數(shù)次的漏洞攻擊。Deep Security 解決方案對超過 100 種應(yīng)用程序（包括數(shù)據(jù)庫、Web、電子郵件和 FTP 服務(wù)器）提供開箱即用的漏洞防護。在數(shù)小時內(nèi)即可提供可對新發(fā)現(xiàn)的漏洞進行防護的規(guī)則，無需重新啟動系統(tǒng)即可在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到數(shù)以千計的服務(wù)器上：智能規(guī)則通過檢測包含惡意代碼的異常協(xié)議數(shù)據(jù)，針對攻擊未知漏洞的漏洞攻擊行為提供零日防護。漏洞攻擊規(guī)則可停止已知攻擊和惡意軟件，類似于傳統(tǒng)的防病毒軟件，都使用簽名來識別和阻止已知的單個漏洞攻擊

28、。由于趨勢科技是 Microsoft 主動保護計劃 (MAPP) 的現(xiàn)任成員，Deep Security 解決方案可在每月安全公告發(fā)布前提前從 Microsoft 收到漏洞信息。這種提前通知有助于預(yù)測新出現(xiàn)的威脅，并通過安全更新為雙方客戶快速有效地提供更及時的防護。 WEB 應(yīng)用程序安全 Deep Security 解決方案符合有關(guān)保護 Web 應(yīng)用程序及其處理數(shù)據(jù)的 PCI 要求 。Web 應(yīng)用程序防護規(guī)則可防御 SQL 注入攻擊、跨站點腳本攻擊及其他 Web 應(yīng)用程序漏洞攻擊，在代碼修復(fù)完成之前對這些漏洞提供防護。該解決方案使用智能規(guī)則識別并阻止常見的 Web 應(yīng)用程序攻擊。根據(jù)客戶要求進

29、行的一項滲透測試，我們發(fā)現(xiàn)，部署 Deep Security 的 SaaS 數(shù)據(jù)中心可對其 Web 應(yīng)用程序和服務(wù)器中發(fā)現(xiàn)的 99% 的高危險性漏洞提供防護。 應(yīng)用程序控制 應(yīng)用程序控制規(guī)則可針對訪問網(wǎng)絡(luò)的應(yīng)用程序提供更進一步的可見性控制能力。這些規(guī)則也可用于識別訪問網(wǎng)絡(luò)的惡意軟件或減少服務(wù)器的漏洞。 防火墻 減小物理和虛擬服務(wù)器的受攻擊面 Deep Security 防火墻軟件模塊具有企業(yè)級、雙向性和狀態(tài)型特點。它可用于啟用正確的服務(wù)器運行所必需的端口和協(xié)議上的通信，并阻止其他所有端口和協(xié)議，降低對服務(wù)器進行未授權(quán)訪問的風(fēng)險。其功能如下： 虛擬機隔離：使虛擬機能夠隔離在云計算或多租戶虛擬環(huán)境

30、中，無需修改虛擬交換機配置即可提供虛擬分段。細粒度過濾：通過實施有關(guān) IP 地址、Mac 地址、端口及其他內(nèi)容的防火墻規(guī)則過濾通信流?？蔀槊總€網(wǎng)絡(luò)接口配置不同的策略。覆蓋所有基于 IP 的協(xié)議：通過支持全數(shù)據(jù)包捕獲簡化了故障排除，并且可提供寶貴的分析見解，有助于了解增加的防火墻事件 TCP、UDP、ICMP 等。偵察檢測：檢測端口掃描等活動。還可限制非 IP 通信流，如 ARP 通信流。靈活的控制：狀態(tài)型防火墻較為靈活，可在適當(dāng)時以一種受控制的方式完全繞過檢查。它可解決任何網(wǎng)絡(luò)上都會遇到的通信流特征不明確的問題，此問題可能出于正常情況，也可能是攻擊的一部分。預(yù)定義的防火墻配置文件：對常見企業(yè)服

31、務(wù)器類型（包括 Web、LDAP、DHCP、FTP 和數(shù)據(jù)庫）進行分組，確保即使在大型復(fù)雜的網(wǎng)絡(luò)中也可快速、輕松、一致地部署防火墻策略?？刹僮鞯膱蟾妫和ㄟ^詳細的日志記錄、警報、儀表板和靈活的報告，Deep Security 防火墻軟件模塊可捕獲和跟蹤配置更改（如策略更改內(nèi)容及更改者），從而提供詳細的審計記錄。 完整性監(jiān)控 監(jiān)控未授權(quán)的、意外的或可疑的更改 Deep Security 完整性監(jiān)控軟件模塊可監(jiān)控關(guān)鍵的操作系統(tǒng)和應(yīng)用程序文件（如目錄、注冊表項和值），以檢測可疑行為。其功能如下：按需或預(yù)定檢測：可預(yù)定或按需執(zhí)行完整性掃描。廣泛的文件屬性檢查：使用開箱即用的完整性規(guī)則可對文件和目錄針對多

32、方面的更改進行監(jiān)控，包括：內(nèi)容、屬性（如所有者、權(quán)限和大?。┮约叭掌谂c時間戳。還可監(jiān)控對 Windows 注冊表鍵值、訪問控制列表以及日志文件進行的添加、修改或刪除操作，并提供警報。此功能適用于 PCI DSS 10.5.5 要求?？蓪徲嫷膱蟾妫和暾员O(jiān)控模塊可顯示 Deep Security 管理器儀表板中的完整性事件、生成警報并提供可審計的報告。該模塊還可通過 Syslog 將事件轉(zhuǎn)發(fā)到安全信息和事件管理 (SIEM) 系統(tǒng)。安全配置文件分組：可為各組或單個服務(wù)器配置完整性監(jiān)控規(guī)則，以簡化監(jiān)控規(guī)則集的部署和管理。基準設(shè)置：可創(chuàng)建基準安全配置文件用于比較更改，以便發(fā)出警報并確定相應(yīng)的操作。靈

33、活實用的監(jiān)控：完整性監(jiān)控模塊提供了靈活性和控制性，可針對您的獨特環(huán)境優(yōu)化監(jiān)控活動。這包括在掃描參數(shù)中包含/排除文件或通配符文件名以及包含/排除子目錄的功能。此外，還可根據(jù)獨特的要求靈活創(chuàng)建自定義規(guī)則。 系統(tǒng)要求 趨勢科技Deep Security系統(tǒng)管理中心 內(nèi)存：4GB 磁盤空間：（建議使用 5GB） 操作系統(tǒng)：Microsoft Windows Server 2008（32 位和 64 位）、Windows Server 2008 R2（64 位）、Windows 2003 Server SP2（32 位和 64 位） 數(shù)據(jù)庫：Oracle 11g、Oracle 10g、Microsoft

34、 SQL Server 2008 SP1、Microsoft SQL Server 2005 SP2 Web 瀏覽器：Mozilla Firefox （啟用 Cookie）、Internet Explorer （啟用 Cookie）和 Internet Explorer （啟用 Cookie） 趨勢科技Deep Security安全虛擬機 內(nèi)存：1GB 磁盤空間：20GB VMware 環(huán)境： VMware vCenter ESX VMware Tools VMware vShield Manager VMware vShield Endpoint Security 項目實施方案 項目總體規(guī)劃

35、項目實施總體分為四個階段，每一個階段需要一個階段性總結(jié)：（一）項目準備和調(diào)研。主要包括實施項目組的建立和對現(xiàn)有VMware系統(tǒng)進行檢查兩部分。（二）項目實施。虛擬化群集的vShield接口(vShield APP及vShield Endpoint)的實施，虛擬機安全解決方案DeepSecurity的實施。按照實施步驟部署vShield和Deep Security產(chǎn)品。配置vShield APP接口進行的安全域劃分工作。對整體環(huán)境進行分析，并根據(jù)實際情況劃分安全域，通過APP接口實現(xiàn)安全域的劃分。（三）項目驗收。針對產(chǎn)品功能、實施效果等內(nèi)容進行驗收。 實施組織架構(gòu)整個維護保障人員由XXXX和趨勢

36、科技共同組成，其中主要涉及到：XXXX信息安全負責(zé)人、趨勢科技技術(shù)項目負責(zé)人和渠道工程師組成的一線服務(wù)小組。趨勢科技的整個服務(wù)團隊，由北方區(qū)技術(shù)經(jīng)理作為主管，由項目負責(zé)人成為趨勢科技方主要聯(lián)系接口人，為XXXX提供實施的整體協(xié)調(diào)。當(dāng)出現(xiàn)緊急事件時，統(tǒng)一由XXXX信息安全負責(zé)人聯(lián)系項目負責(zé)人，對事件進行處理。具體人員組織安排參見下圖：趨勢科技行業(yè)技術(shù)經(jīng)理對趨勢科技技術(shù)部門內(nèi)資源協(xié)調(diào)最終決策的人員。項目負責(zé)人作為趨勢科技針對XXXX在虛擬化安全項目的主要負責(zé)人和接口人，協(xié)調(diào)趨勢科技和XXXX之間的工作進程和人員之間的協(xié)調(diào)工作，同時負責(zé)7 x 24小時通過電話、郵件的方式為XXXX提供技術(shù)支持、方案

37、建議等服務(wù)。渠道工程師在實施過程中，有項目的渠道商指定工程師與趨勢科技工程師一起完成項目內(nèi)容，負責(zé)產(chǎn)品實施各項工作。姓名單位郵件電話羅海龍行業(yè)技術(shù)經(jīng)理張鵬飛項目負責(zé)人 項目實施內(nèi)容 項目準備為了確保整個實施過程的高效有效，XXXX和趨勢科技都需建立專門的項目指導(dǎo)小組并組成聯(lián)合項目指導(dǎo)小組。趨勢科技項目指導(dǎo)小組由趨勢銷售經(jīng)理和趨勢科技技術(shù)經(jīng)理組成，控制項目的整個實施過程。同時，趨勢科技成立項目實施小組，在聯(lián)合項目指導(dǎo)小組的領(lǐng)導(dǎo)下完成項目各節(jié)點的具體實施工作。XXXX的人員須擁有跨部門協(xié)調(diào)和管理該項目整體的權(quán)利。建議XXXX項目指導(dǎo)小組在項目實施結(jié)束后保留下來，作為負責(zé)安全問題的專門小組，以便于今

38、后安全工作的協(xié)調(diào)和管理，也利于與趨勢科技建立暢通的溝通渠道。趨勢科技項目指導(dǎo)小組成員：趨勢科技項目總協(xié)調(diào)人：炳宏濤趨勢科技技術(shù)經(jīng)理：羅海龍項目負責(zé)任人：張鵬飛 項目調(diào)研調(diào)研目標：獲取XXXX信息系統(tǒng)實際的網(wǎng)絡(luò)狀況和虛擬化應(yīng)用狀況，為項目實施做好準備，同時根據(jù)實際情況對真實需求進行必要的修正，與相關(guān)系統(tǒng)管理員進行必要的前期溝通。按照產(chǎn)品的安裝要求以及軟件網(wǎng)絡(luò)安全的規(guī)范與管理人員進行技術(shù)溝通和交流,確定需要調(diào)整的網(wǎng)絡(luò)結(jié)構(gòu)和各種需要增補的軟件補丁。調(diào)研措施：1、趨勢科技提供產(chǎn)品安裝系統(tǒng)需求文檔； 2、針對虛擬化服務(wù)器進行詳細的記錄，同時記錄各單位管理人員的聯(lián)系方式。調(diào)研文檔：趨勢科技提供網(wǎng)絡(luò)調(diào)研狀況

39、一覽表文檔，由各級管理員進行填寫，匯總至XXXX項目指導(dǎo)小組。 項目實施項目實施前，趨勢科技與XXXX項目組、集成方詳細討論規(guī)劃項目進度，趨勢科技建議基于如下原則進行：先培訓(xùn)，后測試，再上線；XXXX項目實施步驟項目實施小組確認設(shè)備環(huán)境是否滿足安裝需求；項目實施小組與XXXX管理人員配合完成vShield接口的安裝與配置；項目實施小組與XXXX管理人員配合完成Deep Security的安裝與配置；安全域劃分 項目驗收驗收目標：雙方確認系統(tǒng)正常功能的完整實現(xiàn)； 雙方建立暢通的售后溝通渠道； 驗收措施：趨勢科技與XXXX指導(dǎo)小組制訂詳細的項目驗收計劃及日程安排； 趨勢科技與集成方、各單位管理人員

40、共同完成整體驗收報告。 項目實施計劃 項目實施分工在項目實施中，趨勢科技將在成立若干項目實施小組。每個小組將遵照推廣安裝計劃，分別到不同單位與當(dāng)?shù)毓芾砣藛T一道完成培訓(xùn)工作和安裝工作。整個項目參與人力包括：聯(lián)合項目指導(dǎo)小組（XXXX、集成方項目指導(dǎo)小組趨勢科技項目指導(dǎo)小組）、項目實施小組、各應(yīng)用管理人員等。整個項目實施中分工安排如下：項目環(huán)節(jié)項目主導(dǎo)者項目配合者1、設(shè)備訂購與驗收XXXX項目指導(dǎo)小組趨勢科技項目指導(dǎo)小組2、項目準備聯(lián)合項目指導(dǎo)小組管理人員3、項目調(diào)研聯(lián)合項目指導(dǎo)小組管理人員4、項目實施聯(lián)合項目指導(dǎo)小組管理人員5、項目驗收聯(lián)合項目指導(dǎo)小組管理人員 項目實施計劃售后服務(wù)趨勢科技可以提

41、供如下服務(wù)內(nèi)容：1、技術(shù)支持部分訪問趨勢科技中文網(wǎng)站獲得針對產(chǎn)品和防病毒問題的自助服務(wù)。 網(wǎng)站： 產(chǎn)品技術(shù)支持服務(wù)：通過E-mail或傳真、免費熱線電話方式，獲得免費技術(shù)支持服務(wù)。病毒問題支持服務(wù)：通過E-mail或傳真、免費熱線電話方式，獲得免費支持服務(wù)。技術(shù)支持；傳真：02熱線電話：800-8208839 (02)；服務(wù)時間周一至周五（國定節(jié)假日除外）9:00 - 12:00；13:00 - 17:302、Activeupdate自動升級服務(wù)在有效服務(wù)期內(nèi)，客戶所使用的產(chǎn)品的安全組件可免費合法進行自動或手工升級?？筛碌陌踩M件包括：特征碼(pattern)，掃描引擎(Engine)，產(chǎn)品

42、本身的修補程序(Hotfix、Patch、Service Pack)，等等。3、新版本更新權(quán)利在有效服務(wù)期內(nèi)，針對客戶正在使用的產(chǎn)品中，如果趨勢科在市場上推出了相應(yīng)的新版本，則客戶享有在服務(wù)期內(nèi)免費使用該新版本的權(quán)利?？蛻艨呻S時免費下載最新版產(chǎn)品或服務(wù)升級包，使用所購產(chǎn)品的最新版本。項目驗收之日起由軟硬件原廠商提供一年免費設(shè)備軟硬件維保服務(wù)、版本升級服務(wù)、電話支持、技術(shù)支持、臨時備機。4、現(xiàn)場培訓(xùn)軟件原廠商為我司相關(guān)安全人員提供軟件使用、維護及相應(yīng)vShield接口使用和維護的現(xiàn)場技術(shù)培訓(xùn)；提供產(chǎn)品運維手冊。5、應(yīng)急響應(yīng)服務(wù)提高（724）現(xiàn)場應(yīng)急服務(wù)?？偨Y(jié)雖然虛擬化IT基礎(chǔ)設(shè)施將與物理服務(wù)器環(huán)

43、境共同面對相同的安全挑戰(zhàn)，但用戶可以充分利用多處理器、多核體系結(jié)構(gòu)和虛擬化軟件提供安全機制對其進行防護。此外，現(xiàn)在和將來都可以通過采用由諸如Vshield APIs在虛擬化平臺中的不斷演化來實現(xiàn)安全性增強策略，從而保護虛擬化IT資源。通過采用由趨勢科技所提供的安全軟件以及靈活的方法，能夠優(yōu)化防護迅速部署解決方案，并且在不引入瓶頸或冗余控制的前提下，可以確保全部虛擬機的安全基線。趨勢科技能夠幫助用戶擴展虛擬化部署以保護全部關(guān)鍵任務(wù)系統(tǒng)。Deep Security物理器只需安裝一次，以無代理形式提供安全防護，提升了服務(wù)器使用率，相同硬件能提高搭載虛機量。簡化管理；主機一次性安裝，部署；虛擬機：無代

44、理配置，即便裸機也能立即保護。數(shù)據(jù)中心服務(wù)器安全架構(gòu)必須解決不斷變化的 IT 架構(gòu)問題，包括虛擬化和整合、新服務(wù)交付模式以及云計算。對于所有這些數(shù)據(jù)中心模式，Deep Security 解決方案可幫助：預(yù)防數(shù)據(jù)泄露和業(yè)務(wù)中斷在服務(wù)器自身位置提供一道防線 無論是物理服務(wù)器、虛擬服務(wù)器還是云服務(wù)器 針對 Web 和企業(yè)應(yīng)用程序以及操作系統(tǒng)中的已知和未知漏洞進行防護，并阻止對這些系統(tǒng)的攻擊 幫助您識別可疑活動及行為，并采取主動或預(yù)防性的措施 實現(xiàn)合規(guī)性滿足六大 PCI 合規(guī)性要求（包括 Web 應(yīng)用程序安全、文件完整性監(jiān)控和服務(wù)器日志收集）及其他各類合規(guī)性要求 提供記錄了所阻止的攻擊和策略合規(guī)性狀態(tài)

45、的詳細可審計報告，縮短了支持審計所需的準備時間 支持降低運營成本提供漏洞防護，以便能夠?qū)Π踩幋a措施排定優(yōu)先級，并且可以更具成本效益地實施未預(yù)定的補丁 為組織充分利用虛擬化或云計算并實現(xiàn)這些方法中固有的成本削減提供必要的安全性 以單個集中管理的軟件代理提供全面的防護 消除了部署多個軟件客戶端的必要性及相關(guān)成本 全面易管理的安全性Deep Security 解決方案使用不同的模塊滿足了關(guān)鍵服務(wù)器和應(yīng)用程序的防護要求：Deep Security 模塊據(jù)中心要求深度數(shù)據(jù)包檢查 防火墻完整性監(jiān)控日志審計IDS/IPSWeb 應(yīng)用程序防護應(yīng)用程序控制服務(wù)器防護 預(yù)防已知攻擊和零日攻擊 安裝補丁之前對漏洞進行防護Web 應(yīng)用程序防護 預(yù)防 SQL 注入、跨站點腳本攻擊及強力攻擊等 Internet 攻擊 滿足 PCI DSS 要求 - Web 應(yīng)用程序防火墻虛擬化安全 預(yù)防已知攻擊和零日攻擊 安裝補丁之前對漏