安全電子郵件解決方案實(shí)用文檔

安全電子郵件解決方案隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的飛速發(fā)展，信息化的浪潮席卷全球。運(yùn)用信息化手段，個(gè)人、企事業(yè)或政府機(jī)構(gòu)可以通過(guò)信息資源的深入開(kāi)發(fā)和廣泛利用，實(shí)現(xiàn)生產(chǎn)過(guò)程的自動(dòng)化、管理方式的網(wǎng)絡(luò)化、決策支持的智能化和商務(wù)運(yùn)營(yíng)的電子化，有效降低成本，提高生產(chǎn)效率，擴(kuò)大市場(chǎng)，不斷提高生產(chǎn)、經(jīng)營(yíng)、管理、決策的效率和水平，進(jìn)而提高整個(gè)單位的經(jīng)濟(jì)效益和競(jìng)爭(zhēng)力。在這之中，電子郵件起到越來(lái)越重要的作用。然而，電子郵件作為當(dāng)前和未來(lái)網(wǎng)絡(luò)使用者的重要溝通方式，不可避免地涉及到眾多的敏感數(shù)據(jù)，如財(cái)務(wù)報(bào)表、法律文件、電子訂單或設(shè)計(jì)方案等等，通過(guò)傳統(tǒng)電子郵件方式的工作方式，由于互聯(lián)網(wǎng)的開(kāi)放性、廣泛性和匿名性，會(huì)給電子郵件帶來(lái)很多安全隱患：用戶名和口令的弱點(diǎn)：傳統(tǒng)的郵件系統(tǒng)是以用戶名和口令的方式進(jìn)行身份認(rèn)證的，由于用戶名和口令方式本身的不安全因素：口令弱、明文傳輸容易被竊聽(tīng)等造成整個(gè)郵件系統(tǒng)的安全性下降。信息的機(jī)密性：郵件內(nèi)容包括很多商業(yè)或政府機(jī)密，必需保證郵件內(nèi)容的機(jī)密性。然而，傳統(tǒng)的郵件系統(tǒng)是以明文的方式在網(wǎng)絡(luò)上進(jìn)行流通，很容易被不懷好意的人非法竊聽(tīng)，造成損失；而且郵件是以明文的方式存放在郵件服務(wù)器中的，郵件管理員可以查看所有的郵件，根本沒(méi)有任何對(duì)郵件機(jī)密性的保護(hù)。信息的完整性：由于傳統(tǒng)的郵件發(fā)送模式，使得郵件中的敏感信息和重要數(shù)據(jù)在傳輸過(guò)程中有可能被惡意篡改，使得郵件接受者不能收到完整的郵件信息而造成不必要的損失。信息的不可抵賴性：由于傳統(tǒng)的郵件工作模式（用戶名＋口令、明文傳輸?shù)龋瑢?duì)郵件沒(méi)有任何的保護(hù)措施，使得郵件發(fā)送和接受的雙方都不能肯定郵件的真實(shí)性和機(jī)密完整性，同時(shí)雙方都可以否認(rèn)對(duì)郵件的發(fā)送和接受，很難在出現(xiàn)事故的時(shí)候追查某一方的責(zé)任。針對(duì)普通郵件存在的安全隱患，北京天威誠(chéng)信電子商務(wù)服務(wù)（iTruschina）推出了基于PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）技術(shù)的、易于實(shí)施的、完善的安全電子郵件解決方案。采用天威誠(chéng)信的產(chǎn)品和服務(wù)，構(gòu)架客戶的CA認(rèn)證系統(tǒng)（CA：CertificationAuthority，認(rèn)證中心）或?yàn)榭蛻籼峁┼]件證書(shū)服務(wù)，為電子郵件用戶發(fā)放數(shù)字證書(shū)，郵件用戶使用數(shù)字證書(shū)發(fā)送加密和簽名郵件，來(lái)保證用戶郵件系統(tǒng)的安全：使用郵件接收者的數(shù)字證書(shū)（公鑰）對(duì)電子郵件的內(nèi)容和附件進(jìn)行加密，加密郵件只能由接收者持有的私鑰才能解密，只有郵件接收者才能閱讀，確保電子郵件在傳輸?shù)倪^(guò)程中不被他人閱讀、截取和篡改；使用郵件發(fā)送者的數(shù)字證書(shū)（私鑰）對(duì)電子郵件進(jìn)行數(shù)字簽名，郵件接收者通過(guò)驗(yàn)證郵件的數(shù)字簽名以及簽名者的證書(shū)，來(lái)驗(yàn)證郵件是否被篡改，并判斷發(fā)送者的真實(shí)身份，確保電子郵件的真實(shí)性和完整性，并防止發(fā)送者抵賴。天威誠(chéng)信安全電子郵件解決方案考慮用戶的使用習(xí)慣，提供兩種不同的解決方案：在采用傳統(tǒng)的郵件客戶端軟件（如Outlook、OutlookExpress、Netscapemessenger和Notes等）收發(fā)電子郵件時(shí)，郵件客戶端已經(jīng)集成了安全郵件的應(yīng)用，用戶獲取數(shù)字證書(shū)后，對(duì)郵件客戶端進(jìn)行安全設(shè)置，就能夠發(fā)送安全電子郵件。對(duì)于通過(guò)Web方式收發(fā)郵件（簡(jiǎn)稱為Webmail），天威誠(chéng)信提供安全Webmail產(chǎn)品，電子郵件系統(tǒng)配置安全Webmail后，將為Webmail增加安全Web郵件的功能，用戶通過(guò)Web方式就能夠收發(fā)加密簽名郵件。下圖所示為使用傳統(tǒng)郵件客戶端發(fā)送和接收安全電子郵件的示例圖：下圖所示為通過(guò)安全Webmail發(fā)送和接收安全電子郵件的示例圖：天威誠(chéng)信安全電子郵件解決方案為用戶帶來(lái)全面的安全保證和增值服務(wù)。通過(guò)使用數(shù)字證書(shū)對(duì)郵件進(jìn)行簽名和加密，確保了電子郵件的安全，防止了郵件使用者敏感信息（包括人力資源信息、財(cái)務(wù)信息、傭金信息和其他敏感信息）通過(guò)電子郵件被泄漏的危險(xiǎn)，確?？蛻糁匾獢?shù)據(jù)的安全性，而且通過(guò)簽名技術(shù)有效的防止了用戶抵賴行為的發(fā)生；為客戶信息化建設(shè)和無(wú)紙化辦公的推廣提供可靠保障；為郵件服務(wù)提供商提供安全穩(wěn)定的郵件平臺(tái)同時(shí)擴(kuò)展郵件的增值服務(wù)。適用范圍：政府部門(mén)、企業(yè)、事業(yè)單位、郵件提供商和大眾用戶等的電子郵件系統(tǒng)。典型成功案例：新浪企業(yè)漫游郵箱263企業(yè)安全郵箱TCL集團(tuán)安全電子郵件系統(tǒng)天融信安全電子郵件系統(tǒng)XXXX虛擬化桌面安全解決方案趨勢(shì)科技（中國(guó)）2021年5月目錄第1章.概述41.1XXXX虛擬化桌面概述41.2XXXX虛擬化桌面安全概述—傳統(tǒng)安全解決方案5第2章.需求分析52.1傳統(tǒng)安全在虛擬化桌面中應(yīng)用面臨威脅分析52.1.1虛擬機(jī)之間的相互攻擊52.1.2隨時(shí)啟動(dòng)的防護(hù)間歇62.1.3管理成本上升62.1.4資源爭(zhēng)奪72.2無(wú)代理虛擬化桌面安全防護(hù)的必要性8第3章.趨勢(shì)科技虛擬化桌面安全解決方案83.1安全虛擬機(jī)技術(shù)及工作原理83.2與傳統(tǒng)安全方案差別103.3系統(tǒng)架構(gòu)113.4產(chǎn)品部署和集成123.5產(chǎn)品功能133.5.1惡意軟件防護(hù)143.5.2深度數(shù)據(jù)包檢查(DPI)引擎143.5.3入侵檢測(cè)和防御(IDS/IPS)143.5.4WEB應(yīng)用程序安全153.5.5應(yīng)用程序控制153.5.6防火墻153.5.7完整性監(jiān)控163.6系統(tǒng)要求17第4章.項(xiàng)目實(shí)施方案184.1項(xiàng)目總體規(guī)劃184.2實(shí)施組織架構(gòu)184.3項(xiàng)目實(shí)施內(nèi)容194.3.1項(xiàng)目準(zhǔn)備194.3.2項(xiàng)目調(diào)研204.3.3項(xiàng)目實(shí)施204.3.4項(xiàng)目驗(yàn)收214.4項(xiàng)目實(shí)施計(jì)劃214.4.1項(xiàng)目實(shí)施分工214.4.2項(xiàng)目實(shí)施計(jì)劃22第5章.售后服務(wù)22第6章.總結(jié)236.1預(yù)防數(shù)據(jù)泄露和業(yè)務(wù)中斷246.2實(shí)現(xiàn)合規(guī)性246.3支持降低運(yùn)營(yíng)成本246.4全面易管理的安全性246.5虛擬補(bǔ)丁256.6合規(guī)性要求256.7Web應(yīng)用防護(hù)25附錄一成功案例26文檔信息：文檔屬性內(nèi)容項(xiàng)目/任務(wù)名稱項(xiàng)目/任務(wù)編號(hào)文檔名稱XXXX虛擬化桌面安全解決方案文檔版本號(hào)V1文檔狀態(tài)制作人羅海龍保密級(jí)別商密管理人羅海龍制作日期2021年5月28日復(fù)審人復(fù)審日期擴(kuò)散范圍內(nèi)部使用版本記錄：版本編號(hào)版本日期創(chuàng)建者/修改者說(shuō)明文檔說(shuō)明：概述1.1XXXX虛擬化桌面概述計(jì)算機(jī)的誕生改變了我們的生活，它正以一種前所未有的方式影響著我們的生活和工作。隨著技術(shù)的發(fā)展，我們的生活已經(jīng)無(wú)法脫離計(jì)算機(jī)了，但是傳統(tǒng)計(jì)算機(jī)桌面的使用有著諸多的限制，這些限制給我們帶來(lái)了不便。首先，隨著客戶端設(shè)備的不斷增加，客戶端系統(tǒng)環(huán)境變得復(fù)雜，造成管理困難，維護(hù)成本升高；客戶端操作系統(tǒng)、應(yīng)用客戶端需要不斷升級(jí)、不停打補(bǔ)?。豢蛻舳诵璺啦《?，防惡意軟件，防止木馬程序?qū)⒚舾袛?shù)據(jù)竊取，但仍可能百密一疏；客戶端的移動(dòng)性與分布性，造成無(wú)法共享資源，利用率低；且隨著技術(shù)的發(fā)展，硬件的更新?lián)Q代需要巨大的投入等等，這些都造成了沒(méi)有一種隨時(shí)，隨地，任何設(shè)備都可以安全地訪問(wèn)的桌面環(huán)境。同時(shí)，“集中監(jiān)控、集中維護(hù)、集中管理”已經(jīng)成為中國(guó)移動(dòng)網(wǎng)絡(luò)運(yùn)行維護(hù)工作的一個(gè)重要工作模式。桌面云解決方案是基于云計(jì)算架構(gòu)的桌面交付解決方案，利用虛擬化技術(shù)，通過(guò)在云計(jì)算服務(wù)器集群上部署虛擬桌面交付系統(tǒng)。采用桌面云解決方案可以在數(shù)據(jù)中心集中化管理桌面，輕松實(shí)現(xiàn)安全防護(hù)及備份，減少總體擁有成本、加強(qiáng)信息安全、降低維護(hù)管理費(fèi)用，同時(shí)響應(yīng)國(guó)家節(jié)能減排的號(hào)召。在此情況下，自2021年開(kāi)始，中國(guó)移動(dòng)天津公司為提升桌面終端整體管理水平，對(duì)網(wǎng)管維護(hù)終端、IT辦公、營(yíng)業(yè)廳終端等進(jìn)行了集中規(guī)劃、集中管理和集中維護(hù)，進(jìn)行了終端虛擬化一期工程的建設(shè)。一期工程包括了IT系統(tǒng)平臺(tái)單項(xiàng)工程和網(wǎng)管系統(tǒng)平臺(tái)單項(xiàng)工程兩部分，分別針I(yè)T終端和網(wǎng)管終端進(jìn)行了桌面云系統(tǒng)的建設(shè)，其中IT系統(tǒng)平臺(tái)滿足了IT系統(tǒng)300個(gè)營(yíng)業(yè)終端和100個(gè)操作維護(hù)終端的接入需求；網(wǎng)管系統(tǒng)平臺(tái)滿足了空港網(wǎng)管監(jiān)控大廳270個(gè)監(jiān)控終端的接入需求。在中國(guó)移動(dòng)集中化建設(shè)和云計(jì)算迅猛發(fā)展的大背景下，綜合考慮瘦客戶端相對(duì)傳統(tǒng)終端的優(yōu)勢(shì)，集團(tuán)公司下發(fā)了《關(guān)于中國(guó)移動(dòng)瘦客戶機(jī)逐步全面替代傳統(tǒng)PC的指導(dǎo)意見(jiàn)》，明確要求：“對(duì)于新增固定終端（傳統(tǒng)PC）的需求，原則上均應(yīng)采用瘦客戶機(jī)方案（其中，基于TDM傳統(tǒng)呼叫中心應(yīng)停止擴(kuò)容，呼叫中心的擴(kuò)容需求應(yīng)采用基于IP的NGCC呼叫中心+瘦客戶機(jī)方案)；對(duì)于現(xiàn)有傳統(tǒng)PC應(yīng)依據(jù)使用壽命，逐步采用瘦客戶機(jī)進(jìn)行自然替換。”1.2XXXX虛擬化桌面安全概述—傳統(tǒng)安全解決方案目前，XXXX對(duì)于虛擬化桌面的安全防護(hù)采用傳統(tǒng)方式，也就是在每臺(tái)虛擬桌面的操作系統(tǒng)中安裝防病毒軟件、在網(wǎng)絡(luò)層部署防火墻功能、通過(guò)補(bǔ)丁分發(fā)系統(tǒng)進(jìn)行補(bǔ)丁修補(bǔ)等。這種解決方案沒(méi)有考慮到虛擬化技術(shù)的特殊性，存在很多的安全風(fēng)險(xiǎn)，具體分析見(jiàn)下文。需求分析2.1傳統(tǒng)安全在虛擬化桌面中應(yīng)用面臨威脅分析虛擬化桌面基礎(chǔ)架構(gòu)除了具有傳統(tǒng)物理服務(wù)器的風(fēng)險(xiǎn)之外，同時(shí)也會(huì)帶來(lái)其虛擬系統(tǒng)自身的安全問(wèn)題。新安全威脅的出現(xiàn)自然就需要新方法來(lái)處理。通過(guò)前期調(diào)研，總結(jié)了目前XXXX虛擬化環(huán)境內(nèi)存在的幾點(diǎn)安全隱患。2.1.1虛擬機(jī)之間的相互攻擊虛擬機(jī)之間的互相攻擊由于目前XXXX仍對(duì)虛擬化環(huán)境使用傳統(tǒng)的防護(hù)模式，導(dǎo)致主要的防護(hù)邊界還是位于物理主機(jī)的邊緣，從而忽視了同一物理主機(jī)上不同虛擬機(jī)之間的互相攻擊和互相入侵的安全隱患。2.1.2隨時(shí)啟動(dòng)的防護(hù)間歇隨時(shí)啟動(dòng)的防護(hù)間歇由于XXXX目前大量使用Vmware的虛擬化桌面技術(shù)，讓XXXX的運(yùn)維服務(wù)具備更高的靈活性和負(fù)載均衡。但同時(shí)，這些隨時(shí)由于資源動(dòng)態(tài)調(diào)整關(guān)閉或開(kāi)啟虛擬機(jī)會(huì)導(dǎo)致防護(hù)間歇問(wèn)題。如，某臺(tái)一直處于關(guān)閉狀態(tài)的虛擬機(jī)在業(yè)務(wù)需要時(shí)會(huì)自動(dòng)啟動(dòng)，成為后臺(tái)服務(wù)器組的一部分，但在這臺(tái)虛擬機(jī)啟動(dòng)時(shí)，其包括防病毒在內(nèi)的所有安全狀態(tài)都較其他一直在線運(yùn)行的服務(wù)器處于滯后和脫節(jié)的地位。2.1.3管理成本上升系統(tǒng)安全補(bǔ)丁安裝目前XXXX虛擬化環(huán)境內(nèi)仍會(huì)定期采用傳統(tǒng)方式對(duì)階段性發(fā)布的系統(tǒng)補(bǔ)丁進(jìn)行測(cè)試和手工安裝。雖然虛擬化桌面本身有一定狀態(tài)恢復(fù)的功能機(jī)制。但此種做法仍有一定安全風(fēng)險(xiǎn)。1.無(wú)法確保系統(tǒng)在測(cè)試后發(fā)生的變化是否會(huì)因?yàn)榘惭b補(bǔ)丁導(dǎo)致異常。2.集中的安裝系統(tǒng)補(bǔ)丁，前中后期需要大量人力，物力和技術(shù)支撐，部署成本較大。2.1.4資源爭(zhēng)奪防病毒軟件對(duì)資源的占用沖突導(dǎo)致AV（Anti-Virus）風(fēng)暴XXXX目前在虛擬化環(huán)境中對(duì)于虛擬化桌面仍使用每臺(tái)虛擬操作系統(tǒng)安裝SEP防病毒客戶端的方式進(jìn)行病毒防護(hù)。在防護(hù)效果上可以達(dá)到安全標(biāo)準(zhǔn)，但如從資源占用方面考慮存在一定安全風(fēng)險(xiǎn)。由于每個(gè)防病毒客戶端都會(huì)在同一個(gè)物理主機(jī)上產(chǎn)生資源消耗，并且當(dāng)發(fā)生客戶端同時(shí)掃描和同時(shí)更新時(shí)，資源消耗的問(wèn)題會(huì)愈發(fā)明顯。嚴(yán)重時(shí)可能導(dǎo)致ESX服務(wù)器宕機(jī)。通過(guò)以上的分析是我們了解到雖然傳統(tǒng)安全設(shè)備可以物理網(wǎng)絡(luò)層和操作系統(tǒng)提供安全防護(hù)，但是虛擬環(huán)境中新的安全威脅，例如：虛擬主機(jī)之間通訊的訪問(wèn)控制問(wèn)題，病毒通過(guò)虛擬交換機(jī)傳播問(wèn)題等，傳統(tǒng)的安全設(shè)備無(wú)法提供相關(guān)的防護(hù)，趨勢(shì)科技提供創(chuàng)新的安全技術(shù)為虛擬環(huán)境提供全面的保護(hù)。2.2無(wú)代理虛擬化桌面安全防護(hù)的必要性XXXX的虛擬化桌面一直承載著最為重要的數(shù)據(jù)，因此，很容易引起外來(lái)入侵者的窺探，遭入侵、中病毒、搶權(quán)限，各種威脅都會(huì)抓住一切機(jī)會(huì)造訪服務(wù)器系統(tǒng)。XXXX針以前針對(duì)桌面端采用集中管理、集中防護(hù)的措施，通過(guò)傳統(tǒng)安全技術(shù)在網(wǎng)絡(luò)側(cè)建立安全防線，如防火墻技術(shù)、防病毒技術(shù)、入侵檢測(cè)技術(shù)……各種安全產(chǎn)品開(kāi)始被一個(gè)一個(gè)地加入到安全防線中來(lái)。目前XXXX為了降低硬件采購(gòu)成本，提高服務(wù)器資源的利用率，引進(jìn)虛擬化桌面技術(shù)對(duì)現(xiàn)有應(yīng)用服務(wù)器的計(jì)算資源進(jìn)行整合，使現(xiàn)有建立的安全防線面臨挑戰(zhàn)！服務(wù)器虛擬化后不但面臨著傳統(tǒng)物理實(shí)機(jī)的各種安全問(wèn)題，同時(shí)由于虛擬系統(tǒng)之間的數(shù)據(jù)交換，以及共享的計(jì)算資源池，導(dǎo)致傳統(tǒng)的安全技術(shù)手段很難針對(duì)虛擬系統(tǒng)提供防護(hù)，另外使用傳統(tǒng)安全技術(shù)的使用還帶來(lái)更大計(jì)算資源的消耗和管理運(yùn)維，導(dǎo)致與引入服務(wù)器虛擬化的初衷相違背。通過(guò)上一章節(jié)的威脅分析發(fā)現(xiàn)，為了降低服務(wù)器和虛擬服務(wù)器的安全威脅必須采用創(chuàng)新的安全技術(shù)手段為服務(wù)器提供安全加固。因?yàn)閭鹘y(tǒng)安全技術(shù)應(yīng)用到虛擬服務(wù)器防護(hù)存在短板效應(yīng)：任何一點(diǎn)疏忽，都會(huì)讓XXXX整個(gè)信息系統(tǒng)的安全防線功虧一簣，帶來(lái)經(jīng)濟(jì)和企業(yè)名譽(yù)的損失。更何況，這些被廣泛傳統(tǒng)安全產(chǎn)品雖然可以在物理網(wǎng)絡(luò)層很好地保護(hù)服務(wù)器系統(tǒng)，但它們終究無(wú)法應(yīng)對(duì)虛擬系統(tǒng)面臨新的安全威脅，所以需要采用創(chuàng)新的安全技術(shù)才能完善XXXX信息安全防護(hù)體系的基礎(chǔ)架構(gòu)，同時(shí)具備對(duì)最新安全威脅的抵抗力，降低安全威脅出現(xiàn)到可以真正進(jìn)行防范的時(shí)間差，提高服務(wù)器的安全性和抗攻擊能力，從而提供業(yè)務(wù)系統(tǒng)應(yīng)用的可用性。趨勢(shì)科技虛擬化桌面安全解決方案3.1安全虛擬機(jī)技術(shù)及工作原理VMwareVShieldEndpoint程序使我們能夠部署專用安全虛擬機(jī)以及經(jīng)特別授權(quán)訪問(wèn)管理程序的API。這使得創(chuàng)建獨(dú)特的安全控制虛擬機(jī)成為可能，如在Gartner的報(bào)告中所述，安全虛擬機(jī)技術(shù)在虛擬化的世界中從根本上改變安全和管理的概念。這種安全虛擬機(jī)是一種在虛擬環(huán)境中實(shí)現(xiàn)安全控制的新型方法。安全虛擬機(jī)利用API來(lái)訪問(wèn)關(guān)于每一虛擬機(jī)的特權(quán)狀態(tài)信息，包括其內(nèi)存、狀態(tài)和網(wǎng)絡(luò)通信流量等。因?yàn)樵诓桓奶摂M網(wǎng)絡(luò)配置的情況下，服務(wù)器內(nèi)部的全部網(wǎng)絡(luò)通信流量是可見(jiàn)的。包括防病毒、防火墻、IDS/IPS和系統(tǒng)完整性監(jiān)控等在內(nèi)的安全功能均可以應(yīng)用于安全虛擬機(jī)中。DeepSecurity通過(guò)vShieldEndpoint提供的實(shí)時(shí)掃描、預(yù)設(shè)掃描、清除修復(fù)等數(shù)據(jù)接口，對(duì)虛擬機(jī)中的數(shù)據(jù)進(jìn)行病毒代碼的掃描和判斷，并結(jié)合防火墻、IDS策略實(shí)時(shí)對(duì)進(jìn)出虛擬機(jī)的數(shù)據(jù)進(jìn)行安全過(guò)濾；在管理上需要vShieldManager和vCenter的支持；3.2與傳統(tǒng)安全方案差別傳統(tǒng)環(huán)境下的網(wǎng)絡(luò)安全拓?fù)鋱D，在網(wǎng)絡(luò)出口處部署有防火墻，防毒墻，上網(wǎng)行為管理等安全設(shè)備，用來(lái)隔離內(nèi)外網(wǎng)，過(guò)濾來(lái)自外網(wǎng)的惡意程序，規(guī)范內(nèi)網(wǎng)用戶的上網(wǎng)行為，同時(shí)在DMZ區(qū)使用防火墻隔離，部署IDS監(jiān)控對(duì)服務(wù)器的非法訪問(wèn)行為，在服務(wù)器上部署防病毒軟件，保護(hù)核心服務(wù)器的安全運(yùn)行。虛擬化在資源利用率、高可用性、高擴(kuò)展性上有著諸多優(yōu)勢(shì)，實(shí)現(xiàn)虛擬化后，直觀的來(lái)看，是將多臺(tái)服務(wù)器集中到了一臺(tái)主機(jī)內(nèi)，這一臺(tái)主機(jī)同時(shí)運(yùn)行了多個(gè)操作系統(tǒng)，提供不同的應(yīng)用和服務(wù)；系統(tǒng)管理員根據(jù)需要可以非常方便的添加新的應(yīng)用服務(wù)器；根據(jù)傳統(tǒng)的安全設(shè)計(jì)模型，需要在每個(gè)操作系統(tǒng)中安裝防毒軟件，在網(wǎng)絡(luò)層部署入防火墻、侵檢測(cè)或入侵防御系統(tǒng)，但是在這種在傳統(tǒng)方式下合理的設(shè)計(jì)，在虛擬環(huán)境下會(huì)面臨一些新的問(wèn)題：未激活的虛擬機(jī)，物理機(jī)下關(guān)閉計(jì)算機(jī)后CPU停止運(yùn)行，網(wǎng)絡(luò)關(guān)閉，理論上不會(huì)有數(shù)據(jù)的交互，操作系統(tǒng)也就不存在被感染的可能；但是在虛擬環(huán)境下，CPU，網(wǎng)絡(luò)，底層的ESX都在工作中，關(guān)閉的操作系統(tǒng)類似于物理環(huán)境下的一個(gè)應(yīng)用程序，盡管這個(gè)“應(yīng)用程序”沒(méi)有運(yùn)行，但仍然有被病毒感染的可能；資源的沖突，防毒軟件在啟用預(yù)設(shè)掃描后，當(dāng)?shù)搅酥付〞r(shí)間，會(huì)同時(shí)進(jìn)行文件掃描的動(dòng)作，這個(gè)時(shí)候防毒軟件對(duì)CPU和內(nèi)存的占用急劇增加，當(dāng)系統(tǒng)資源被耗盡的時(shí)候就會(huì)導(dǎo)致服務(wù)器down機(jī)；管理復(fù)雜度，由于虛擬化的便利性，系統(tǒng)管理員可以非常方便的根據(jù)模板生成新的系統(tǒng)，這些新系統(tǒng)要打補(bǔ)丁，進(jìn)行病毒代碼的更新，也會(huì)增加安全管理的復(fù)雜度；虛擬化環(huán)境的動(dòng)態(tài)特性面臨入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）的新挑戰(zhàn)?；诰W(wǎng)絡(luò)的IDS/IPS，也無(wú)法監(jiān)測(cè)到同一臺(tái)ESX服務(wù)器上的虛擬機(jī)之間的通訊；由于虛擬機(jī)能夠迅速地恢復(fù)到之前的狀態(tài)，利用VMwareVMotion?易于在物理服務(wù)器之間移動(dòng)，所以難以獲得并維持整體一致的安全性。所以虛擬化已經(jīng)使“網(wǎng)絡(luò)邊界去除”的挑戰(zhàn)更加明顯，虛擬化對(duì)于安全的需求也更加迫切。3.3系統(tǒng)架構(gòu)DeepSecurity產(chǎn)品由三部分組成，管理控制平臺(tái)（以下簡(jiǎn)稱DSM）；安全虛擬機(jī)（以下簡(jiǎn)稱DSVA）；安全代理程序（以下簡(jiǎn)稱DSA）。趨勢(shì)科技DeepSecurity安全防護(hù)系統(tǒng)管理控制中心（DSM），是管理員用來(lái)配置及管理安全策略的集中式管理組件，所有的DSVA及DSA都會(huì)注冊(cè)到DSM，接受統(tǒng)一的管理。趨勢(shì)科技DeepSecurity安全防護(hù)系統(tǒng)安全虛擬機(jī)(DSVA)是針對(duì)VMwarevSphere環(huán)境構(gòu)建的安全虛擬計(jì)算機(jī)，可提供防惡意軟件、IDS/IPS、防火墻、Web應(yīng)用程序防護(hù)和應(yīng)用程序控制防護(hù)，數(shù)據(jù)完整性監(jiān)控等安全功能。趨勢(shì)科技DeepSecurity安全防護(hù)系統(tǒng)安全代理程序(DSA)是安全客戶端，直接部署在操作系統(tǒng)中，可提供IDS/IPS、防火墻、Web應(yīng)用程序防護(hù)、應(yīng)用程序控制、完整性監(jiān)控和日志審查防護(hù)等安全功能。3.4產(chǎn)品部署和集成DeepSecurity解決方案專為快速的企業(yè)部署而設(shè)計(jì)。它利用現(xiàn)有基礎(chǔ)架構(gòu)并與之集成，以幫助實(shí)現(xiàn)更高的操作效率，并支持降低運(yùn)營(yíng)成本。 VMware集成：與VMwarevCenter和ESXServer的緊密集成，使得組織和操作信息可以從vCenter和ESX節(jié)點(diǎn)導(dǎo)入到DeepSecurity管理器，并將詳細(xì)完備的安全應(yīng)用于企業(yè)的VMware基礎(chǔ)架構(gòu)。SIEM集成：通過(guò)多個(gè)集成選項(xiàng)向SIEM提供詳細(xì)的服務(wù)器級(jí)安全事件，這些選項(xiàng)包括ArcSight、Intellitactics、NetIQ、RSAEnvision、Q1Labs、LogLogic及其他系統(tǒng)。目錄集成：與企業(yè)目錄集成，包括MicrosoftActiveDirectory?？膳渲玫墓芾硗ㄐ牛篋eepSecurity管理器或DeepSecurity代理可發(fā)起通信。這可最大限度地減少或消除集中管理系統(tǒng)通常所需要的防火墻更改。軟件分發(fā)：可通過(guò)標(biāo)準(zhǔn)軟件分發(fā)機(jī)制（如MicrosoftSMS、NovellZenworks和Altiris）輕松部署代理軟件。最佳過(guò)濾：用于處理流媒體（如Internet協(xié)議電視(IPTV)）的高級(jí)功能有助于將性能最大化。DeepSecurity采用集中分布式的管理方式，DeepSecurity服務(wù)器端安裝服務(wù)器控制臺(tái)DeepSecurity客戶端直接部署在每一臺(tái)服務(wù)器上。對(duì)于服務(wù)器群所有的安全策略都可以通過(guò)統(tǒng)一的管理控制臺(tái)進(jìn)行設(shè)定，并且按需分發(fā)到對(duì)應(yīng)的服務(wù)器。整個(gè)服務(wù)器安全防護(hù)體系的管理，監(jiān)控和運(yùn)維都可以通過(guò)管理控制臺(tái)進(jìn)行統(tǒng)一管理。同時(shí)，各項(xiàng)安全模塊組件的更新都會(huì)通過(guò)管理控制臺(tái)自動(dòng)或者手動(dòng)派發(fā)到每一臺(tái)服務(wù)器上。3.5產(chǎn)品功能趨勢(shì)科技DeepSecurity系統(tǒng)提供了對(duì)數(shù)據(jù)中心（范圍遍及虛擬桌面到物理、虛擬或云服務(wù)器）的高級(jí)保護(hù)，包括：防惡意軟件防火墻入侵檢測(cè)和阻止(IDS/IPS)Web應(yīng)用程序防護(hù)應(yīng)用程序控制完整性監(jiān)控日志審計(jì)3.5.1惡意軟件防護(hù)防惡意軟件模塊可提供趨勢(shì)科技防惡意軟件防護(hù)，惡意代碼包括：病毒、蠕蟲(chóng)、木馬后門(mén)等，包括實(shí)時(shí)掃描、預(yù)設(shè)掃描及手動(dòng)掃描功能，處理措施包含清除、刪除、拒絕訪問(wèn)或隔離惡意軟件。檢測(cè)到惡意軟件時(shí)，可以生成警報(bào)日志。3.5.2深度數(shù)據(jù)包檢查(DPI)引擎實(shí)現(xiàn)入侵檢測(cè)和防御、Web應(yīng)用程序防護(hù)以及應(yīng)用程序控制該解決方案的高性能深度數(shù)據(jù)包檢查引擎可檢查所有出入通信流（包括SSL通信流）中是否存在協(xié)議偏離、發(fā)出攻擊信號(hào)的內(nèi)容以及違反策略的情況。該引擎可在檢測(cè)或防御模式下運(yùn)行，以保護(hù)操作系統(tǒng)和企業(yè)應(yīng)用程序的漏洞。它可保護(hù)Web應(yīng)用程序，使其免受應(yīng)用層攻擊，包括SQL注入攻擊和跨站點(diǎn)腳本攻擊。詳細(xì)事件提供了十分有價(jià)值的信息，包括攻擊者、攻擊時(shí)間及意圖利用的漏洞。發(fā)生事件時(shí)，可通過(guò)警報(bào)自動(dòng)通知管理員。DPI用于入侵檢測(cè)和防御、Web應(yīng)用程序防護(hù)以及應(yīng)用程序控制。3.5.3入侵檢測(cè)和防御(IDS/IPS)在操作系統(tǒng)和企業(yè)應(yīng)用程序安裝補(bǔ)丁之前對(duì)其漏洞進(jìn)行防護(hù)，以提供及時(shí)保護(hù)，使其免受已知攻擊和零日攻擊漏洞規(guī)則可保護(hù)已知漏洞（如Microsoft披露的漏洞），使其免受無(wú)數(shù)次的漏洞攻擊。DeepSecurity解決方案對(duì)超過(guò)100種應(yīng)用程序（包括數(shù)據(jù)庫(kù)、Web、電子郵件和FTP服務(wù)器）提供開(kāi)箱即用的漏洞防護(hù)。在數(shù)小時(shí)內(nèi)即可提供可對(duì)新發(fā)現(xiàn)的漏洞進(jìn)行防護(hù)的規(guī)則，無(wú)需重新啟動(dòng)系統(tǒng)即可在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到數(shù)以千計(jì)的服務(wù)器上：智能規(guī)則通過(guò)檢測(cè)包含惡意代碼的異常協(xié)議數(shù)據(jù)，針對(duì)攻擊未知漏洞的漏洞攻擊行為提供零日防護(hù)。漏洞攻擊規(guī)則可停止已知攻擊和惡意軟件，類似于傳統(tǒng)的防病毒軟件，都使用簽名來(lái)識(shí)別和阻止已知的單個(gè)漏洞攻擊。由于趨勢(shì)科技是Microsoft主動(dòng)保護(hù)計(jì)劃(MAPP)的現(xiàn)任成員，DeepSecurity解決方案可在每月安全公告發(fā)布前提前從Microsoft收到漏洞信息。這種提前通知有助于預(yù)測(cè)新出現(xiàn)的威脅，并通過(guò)安全更新為雙方客戶快速有效地提供更及時(shí)的防護(hù)。3.5.4WEB應(yīng)用程序安全DeepSecurity解決方案符合有關(guān)保護(hù)Web應(yīng)用程序及其處理數(shù)據(jù)的PCI要求6.6。Web應(yīng)用程序防護(hù)規(guī)則可防御SQL注入攻擊、跨站點(diǎn)腳本攻擊及其他Web應(yīng)用程序漏洞攻擊，在代碼修復(fù)完成之前對(duì)這些漏洞提供防護(hù)。該解決方案使用智能規(guī)則識(shí)別并阻止常見(jiàn)的Web應(yīng)用程序攻擊。根據(jù)客戶要求進(jìn)行的一項(xiàng)滲透測(cè)試，我們發(fā)現(xiàn)，部署DeepSecurity的SaaS數(shù)據(jù)中心可對(duì)其Web應(yīng)用程序和服務(wù)器中發(fā)現(xiàn)的99%的高危險(xiǎn)性漏洞提供防護(hù)。3.5.5應(yīng)用程序控制應(yīng)用程序控制規(guī)則可針對(duì)訪問(wèn)網(wǎng)絡(luò)的應(yīng)用程序提供更進(jìn)一步的可見(jiàn)性控制能力。這些規(guī)則也可用于識(shí)別訪問(wèn)網(wǎng)絡(luò)的惡意軟件或減少服務(wù)器的漏洞。3.5.6防火墻減小物理和虛擬服務(wù)器的受攻擊面DeepSecurity防火墻軟件模塊具有企業(yè)級(jí)、雙向性和狀態(tài)型特點(diǎn)。它可用于啟用正確的服務(wù)器運(yùn)行所必需的端口和協(xié)議上的通信，并阻止其他所有端口和協(xié)議，降低對(duì)服務(wù)器進(jìn)行未授權(quán)訪問(wèn)的風(fēng)險(xiǎn)。其功能如下：虛擬機(jī)隔離：使虛擬機(jī)能夠隔離在云計(jì)算或多租戶虛擬環(huán)境中，無(wú)需修改虛擬交換機(jī)配置即可提供虛擬分段。細(xì)粒度過(guò)濾：通過(guò)實(shí)施有關(guān)IP地址、Mac地址、端口及其他內(nèi)容的防火墻規(guī)則過(guò)濾通信流?？蔀槊總€(gè)網(wǎng)絡(luò)接口配置不同的策略。覆蓋所有基于IP的協(xié)議：通過(guò)支持全數(shù)據(jù)包捕獲簡(jiǎn)化了故障排除，并且可提供寶貴的分析見(jiàn)解，有助于了解增加的防火墻事件–TCP、UDP、ICMP等。偵察檢測(cè)：檢測(cè)端口掃描等活動(dòng)。還可限制非IP通信流，如ARP通信流。靈活的控制：狀態(tài)型防火墻較為靈活，可在適當(dāng)時(shí)以一種受控制的方式完全繞過(guò)檢查。它可解決任何網(wǎng)絡(luò)上都會(huì)遇到的通信流特征不明確的問(wèn)題，此問(wèn)題可能出于正常情況，也可能是攻擊的一部分。預(yù)定義的防火墻配置文件：對(duì)常見(jiàn)企業(yè)服務(wù)器類型（包括Web、LDAP、DHCP、FTP和數(shù)據(jù)庫(kù)）進(jìn)行分組，確保即使在大型復(fù)雜的網(wǎng)絡(luò)中也可快速、輕松、一致地部署防火墻策略?？刹僮鞯膱?bào)告：通過(guò)詳細(xì)的日志記錄、警報(bào)、儀表板和靈活的報(bào)告，DeepSecurity防火墻軟件模塊可捕獲和跟蹤配置更改（如策略更改內(nèi)容及更改者），從而提供詳細(xì)的審計(jì)記錄。3.5.7完整性監(jiān)控監(jiān)控未授權(quán)的、意外的或可疑的更改DeepSecurity完整性監(jiān)控軟件模塊可監(jiān)控關(guān)鍵的操作系統(tǒng)和應(yīng)用程序文件（如目錄、注冊(cè)表項(xiàng)和值），以檢測(cè)可疑行為。其功能如下：按需或預(yù)定檢測(cè)：可預(yù)定或按需執(zhí)行完整性掃描。廣泛的文件屬性檢查：使用開(kāi)箱即用的完整性規(guī)則可對(duì)文件和目錄針對(duì)多方面的更改進(jìn)行監(jiān)控，包括：內(nèi)容、屬性（如所有者、權(quán)限和大小）以及日期與時(shí)間戳。還可監(jiān)控對(duì)Windows注冊(cè)表鍵值、訪問(wèn)控制列表以及日志文件進(jìn)行的添加、修改或刪除操作，并提供警報(bào)。此功能適用于PCIDSS10.5.5要求。可審計(jì)的報(bào)告：完整性監(jiān)控模塊可顯示DeepSecurity管理器儀表板中的完整性事件、生成警報(bào)并提供可審計(jì)的報(bào)告。該模塊還可通過(guò)Syslog將事件轉(zhuǎn)發(fā)到安全信息和事件管理(SIEM)系統(tǒng)。安全配置文件分組：可為各組或單個(gè)服務(wù)器配置完整性監(jiān)控規(guī)則，以簡(jiǎn)化監(jiān)控規(guī)則集的部署和管理?；鶞?zhǔn)設(shè)置：可創(chuàng)建基準(zhǔn)安全配置文件用于比較更改，以便發(fā)出警報(bào)并確定相應(yīng)的操作。靈活實(shí)用的監(jiān)控：完整性監(jiān)控模塊提供了靈活性和控制性，可針對(duì)您的獨(dú)特環(huán)境優(yōu)化監(jiān)控活動(dòng)。這包括在掃描參數(shù)中包含/排除文件或通配符文件名以及包含/排除子目錄的功能。此外，還可根據(jù)獨(dú)特的要求靈活創(chuàng)建自定義規(guī)則。3.6系統(tǒng)要求趨勢(shì)科技DeepSecurity系統(tǒng)管理中心內(nèi)存：4GB磁盤(pán)空間：1.5GB（建議使用5GB）操作系統(tǒng)：MicrosoftWindowsServer2021（32位和64位）、WindowsServer2021R2（64位）、Windows2003ServerSP2（32位和64位）數(shù)據(jù)庫(kù)：Oracle11g、Oracle10g、MicrosoftSQLServer2021SP1、MicrosoftSQLServer2005SP2Web瀏覽器：MozillaFirefox3.x（啟用Cookie）、InternetExplorer7.x（啟用Cookie）和InternetExplorer8.x（啟用Cookie）趨勢(shì)科技DeepSecurity安全虛擬機(jī)內(nèi)存：1GB磁盤(pán)空間：20GBVMware環(huán)境：VMwarevCenter5.0ESX5.0VMwareToolsVMwarevShieldManagerVMwarevShieldEndpointSecurity項(xiàng)目實(shí)施方案4.1項(xiàng)目總體規(guī)劃項(xiàng)目實(shí)施總體分為四個(gè)階段，每一個(gè)階段需要一個(gè)階段性總結(jié)：（一）項(xiàng)目準(zhǔn)備和調(diào)研。主要包括實(shí)施項(xiàng)目組的建立和對(duì)現(xiàn)有VMware系統(tǒng)進(jìn)行檢查兩部分。（二）項(xiàng)目實(shí)施。虛擬化群集的vShield接口(vShieldAPP及vShieldEndpoint)的實(shí)施，虛擬機(jī)安全解決方案DeepSecurity的實(shí)施。按照實(shí)施步驟部署vShield和DeepSecurity產(chǎn)品。配置vShieldAPP接口進(jìn)行的安全域劃分工作。對(duì)整體環(huán)境進(jìn)行分析，并根據(jù)實(shí)際情況劃分安全域，通過(guò)APP接口實(shí)現(xiàn)安全域的劃分。（三）項(xiàng)目驗(yàn)收。針對(duì)產(chǎn)品功能、實(shí)施效果等內(nèi)容進(jìn)行驗(yàn)收。4.2實(shí)施組織架構(gòu)整個(gè)維護(hù)保障人員由XXXX和趨勢(shì)科技共同組成，其中主要涉及到：XXXX信息安全負(fù)責(zé)人、趨勢(shì)科技技術(shù)項(xiàng)目負(fù)責(zé)人和渠道工程師組成的一線服務(wù)小組。趨勢(shì)科技的整個(gè)服務(wù)團(tuán)隊(duì)，由北方區(qū)技術(shù)經(jīng)理作為主管，由項(xiàng)目負(fù)責(zé)人成為趨勢(shì)科技方主要聯(lián)系接口人，為XXXX提供實(shí)施的整體協(xié)調(diào)。當(dāng)出現(xiàn)緊急事件時(shí)，統(tǒng)一由XXXX信息安全負(fù)責(zé)人聯(lián)系項(xiàng)目負(fù)責(zé)人，對(duì)事件進(jìn)行處理。具體人員組織安排參見(jiàn)下圖：趨勢(shì)科技行業(yè)技術(shù)經(jīng)理對(duì)趨勢(shì)科技技術(shù)部門(mén)內(nèi)資源協(xié)調(diào)最終決策的人員。項(xiàng)目負(fù)責(zé)人作為趨勢(shì)科技針對(duì)XXXX在虛擬化安全項(xiàng)目的主要負(fù)責(zé)人和接口人，協(xié)調(diào)趨勢(shì)科技和XXXX之間的工作進(jìn)程和人員之間的協(xié)調(diào)工作，同時(shí)負(fù)責(zé)7x24小時(shí)通過(guò)、郵件的方式為XXXX提供技術(shù)支持、方案建議等服務(wù)。渠道工程師在實(shí)施過(guò)程中，有項(xiàng)目的渠道商指定工程師與趨勢(shì)科技工程師一起完成項(xiàng)目?jī)?nèi)容，負(fù)責(zé)產(chǎn)品實(shí)施各項(xiàng)工作。姓名單位郵件羅海龍行業(yè)技術(shù)經(jīng)理Oliver_Luo@trendmicr鵬飛項(xiàng)目負(fù)責(zé)人Pengfei_Zhang@trendmicro186104168154.3項(xiàng)目實(shí)施內(nèi)容4.3.1項(xiàng)目準(zhǔn)備為了確保整個(gè)實(shí)施過(guò)程的高效有效，XXXX和趨勢(shì)科技都需建立專門(mén)的項(xiàng)目指導(dǎo)小組并組成聯(lián)合項(xiàng)目指導(dǎo)小組。趨勢(shì)科技項(xiàng)目指導(dǎo)小組由趨勢(shì)銷售經(jīng)理和趨勢(shì)科技技術(shù)經(jīng)理組成，控制項(xiàng)目的整個(gè)實(shí)施過(guò)程。同時(shí)，趨勢(shì)科技成立項(xiàng)目實(shí)施小組，在聯(lián)合項(xiàng)目指導(dǎo)小組的領(lǐng)導(dǎo)下完成項(xiàng)目各節(jié)點(diǎn)的具體實(shí)施工作。XXXX的人員須擁有跨部門(mén)協(xié)調(diào)和管理該項(xiàng)目整體的權(quán)利。建議XXXX項(xiàng)目指導(dǎo)小組在項(xiàng)目實(shí)施結(jié)束后保留下來(lái)，作為負(fù)責(zé)安全問(wèn)題的專門(mén)小組，以便于今后安全工作的協(xié)調(diào)和管理，也利于與趨勢(shì)科技建立暢通的溝通渠道。趨勢(shì)科技項(xiàng)目指導(dǎo)小組成員：趨勢(shì)科技項(xiàng)目總協(xié)調(diào)人：炳宏濤趨勢(shì)科技技術(shù)經(jīng)理：羅海龍項(xiàng)目負(fù)責(zé)任人：張鵬飛4.3.2項(xiàng)目調(diào)研調(diào)研目標(biāo)：獲取XXXX信息系統(tǒng)實(shí)際的網(wǎng)絡(luò)狀況和虛擬化應(yīng)用狀況，為項(xiàng)目實(shí)施做好準(zhǔn)備，同時(shí)根據(jù)實(shí)際情況對(duì)真實(shí)需求進(jìn)行必要的修正，與相關(guān)系統(tǒng)管理員進(jìn)行必要的前期溝通。按照產(chǎn)品的安裝要求以及軟件網(wǎng)絡(luò)安全的規(guī)范與管理人員進(jìn)行技術(shù)溝通和交流,確定需要調(diào)整的網(wǎng)絡(luò)結(jié)構(gòu)和各種需要增補(bǔ)的軟件補(bǔ)丁。調(diào)研措施： 1、趨勢(shì)科技提供產(chǎn)品安裝系統(tǒng)需求文檔； 2、針對(duì)虛擬化服務(wù)器進(jìn)行詳細(xì)的記錄，同時(shí)記錄各單位管理人員的聯(lián)系方式。調(diào)研文檔：趨勢(shì)科技提供網(wǎng)絡(luò)調(diào)研狀況一覽表文檔，由各級(jí)管理員進(jìn)行填寫(xiě)，匯總至XXXX項(xiàng)目指導(dǎo)小組。4.3.3項(xiàng)目實(shí)施項(xiàng)目實(shí)施前，趨勢(shì)科技與XXXX項(xiàng)目組、集成方詳細(xì)討論規(guī)劃項(xiàng)目進(jìn)度，趨勢(shì)科技建議基于如下原則進(jìn)行：先培訓(xùn)，后測(cè)試，再上線；XXXX項(xiàng)目實(shí)施步驟項(xiàng)目實(shí)施小組確認(rèn)設(shè)備環(huán)境是否滿足安裝需求；項(xiàng)目實(shí)施小組與XXXX管理人員配合完成vShield接口的安裝與配置；項(xiàng)目實(shí)施小組與XXXX管理人員配合完成DeepSecurity的安裝與配置；安全域劃分4.3.4項(xiàng)目驗(yàn)收驗(yàn)收目標(biāo)：雙方確認(rèn)系統(tǒng)正常功能的完整實(shí)現(xiàn)；雙方建立暢通的售后溝通渠道；驗(yàn)收措施： 趨勢(shì)科技與XXXX指導(dǎo)小組制訂詳細(xì)的項(xiàng)目驗(yàn)收計(jì)劃及日程安排；趨勢(shì)科技與集成方、各單位管理人員共同完成整體驗(yàn)收?qǐng)?bào)告。4.4項(xiàng)目實(shí)施計(jì)劃4.4.1項(xiàng)目實(shí)施分工在項(xiàng)目實(shí)施中，趨勢(shì)科技將在成立若干項(xiàng)目實(shí)施小組。每個(gè)小組將遵照推廣安裝計(jì)劃，分別到不同單位與當(dāng)?shù)毓芾砣藛T一道完成培訓(xùn)工作和安裝工作。整個(gè)項(xiàng)目參與人力包括：聯(lián)合項(xiàng)目指導(dǎo)小組（XXXX、集成方項(xiàng)目指導(dǎo)小組＋趨勢(shì)科技項(xiàng)目指導(dǎo)小組）、項(xiàng)目實(shí)施小組、各應(yīng)用管理人員等。整個(gè)項(xiàng)目實(shí)施中分工安排如下：項(xiàng)目環(huán)節(jié)項(xiàng)目主導(dǎo)者項(xiàng)目配合者1、設(shè)備訂購(gòu)與驗(yàn)收XXXX項(xiàng)目指導(dǎo)小組趨勢(shì)科技項(xiàng)目指導(dǎo)小組2、項(xiàng)目準(zhǔn)備聯(lián)合項(xiàng)目指導(dǎo)小組管理人員3、項(xiàng)目調(diào)研聯(lián)合項(xiàng)目指導(dǎo)小組管理人員4、項(xiàng)目實(shí)施聯(lián)合項(xiàng)目指導(dǎo)小組管理人員5、項(xiàng)目驗(yàn)收聯(lián)合項(xiàng)目指導(dǎo)小組管理人員4.4.2項(xiàng)目實(shí)施計(jì)劃售后服務(wù)趨勢(shì)科技可以提供如下服務(wù)內(nèi)容：1、技術(shù)支持部分訪問(wèn)趨勢(shì)科技中文網(wǎng)站獲得針對(duì)產(chǎn)品和防病毒問(wèn)題的自助服務(wù)。網(wǎng)站：://trendmicro產(chǎn)品技術(shù)支持服務(wù)：通過(guò)E-mail或、免費(fèi)熱線方式，獲得免費(fèi)技術(shù)支持服務(wù)。病毒問(wèn)題支持服務(wù)：通過(guò)E-mail或、免費(fèi)熱線方式，獲得免費(fèi)支持服務(wù)。技術(shù)支持郵箱：service@trendmicro；：021-6384-1899熱線：800-8208839(021-6100-6656)；服務(wù)時(shí)間︰周一至周五（國(guó)定節(jié)假日除外）9:00-12:00；13:00-17:302、Activeupdate自動(dòng)升級(jí)服務(wù)在有效服務(wù)期內(nèi)，客戶所使用的產(chǎn)品的安全組件可免費(fèi)合法進(jìn)行自動(dòng)或手工升級(jí)?？筛碌陌踩M件包括：特征碼(pattern)，掃描引擎(Engine)，產(chǎn)品本身的修補(bǔ)程序(Hotfix、Patch、ServicePack)，等等。3、新版本更新權(quán)利在有效服務(wù)期內(nèi)，針對(duì)客戶正在使用的產(chǎn)品中，如果趨勢(shì)科在市場(chǎng)上推出了相應(yīng)的新版本，則客戶享有在服務(wù)期內(nèi)免費(fèi)使用該新版本的權(quán)利。客戶可隨時(shí)免費(fèi)下載最新版產(chǎn)品或服務(wù)升級(jí)包，使用所購(gòu)產(chǎn)品的最新版本。項(xiàng)目驗(yàn)收之日起由軟硬件原廠商提供一年免費(fèi)設(shè)備軟硬件維保服務(wù)、版本升級(jí)服務(wù)、支持、技術(shù)支持、臨時(shí)備機(jī)。4、現(xiàn)場(chǎng)培訓(xùn)軟件原廠商為我司相關(guān)安全人員提供軟件使用、維護(hù)及相應(yīng)vShield接口使用和維護(hù)的現(xiàn)場(chǎng)技術(shù)培訓(xùn)；提供產(chǎn)品運(yùn)維手冊(cè)。5、應(yīng)急響應(yīng)服務(wù)提高（7×24）現(xiàn)場(chǎng)應(yīng)急服務(wù)?？偨Y(jié)雖然虛擬化IT基礎(chǔ)設(shè)施將與物理服務(wù)器環(huán)境共同面對(duì)相同的安全挑戰(zhàn)，但用戶可以充分利用多處理器、多核體系結(jié)構(gòu)和虛擬化軟件提供安全機(jī)制對(duì)其進(jìn)行防護(hù)。此外，現(xiàn)在和將來(lái)都可以通過(guò)采用由諸如VshieldAPIs在虛擬化平臺(tái)中的不斷演化來(lái)實(shí)現(xiàn)安全性增強(qiáng)策略，從而保護(hù)虛擬化IT資源。通過(guò)采用由趨勢(shì)科技所提供的安全軟件以及靈活的方法，能夠優(yōu)化防護(hù)迅速部署解決方案，并且在不引入瓶頸或冗余控制的前提下，可以確保全部虛擬機(jī)的安全基線。趨勢(shì)科技能夠幫助用戶擴(kuò)展虛擬化部署以保護(hù)全部關(guān)鍵任務(wù)系統(tǒng)。DeepSecurity物理器只需安裝一次，以無(wú)代理形式提供安全防護(hù)，提升了服務(wù)器使用率，相同硬件能提高搭載虛機(jī)量。簡(jiǎn)化管理；主機(jī)一次性安裝，部署；虛擬機(jī)：無(wú)代理配置，即便裸機(jī)也能立即保護(hù)。數(shù)據(jù)中心服務(wù)器安全架構(gòu)必須解決不斷變化的IT架構(gòu)問(wèn)題，包括虛擬化和整合、新服務(wù)交付模式以及云計(jì)算。對(duì)于所有這些數(shù)據(jù)中心模式，DeepSecurity解決方案可幫助：預(yù)防數(shù)據(jù)泄露和業(yè)務(wù)中斷在服務(wù)器自身位置提供一道防線–無(wú)論是物理服務(wù)器、虛擬服務(wù)器還是云服務(wù)器針對(duì)Web和企業(yè)應(yīng)用程序以及操作系統(tǒng)中的已知和未知漏洞進(jìn)行防護(hù)，并阻止對(duì)這些系統(tǒng)的攻擊幫助您識(shí)別可疑活動(dòng)及行為，并采取主動(dòng)或預(yù)防性的措施6.2實(shí)現(xiàn)合規(guī)性滿足六大PCI合規(guī)性要求（包括Web應(yīng)用程序安全、文件完整性監(jiān)控和服務(wù)器日志收集）及其他各類合規(guī)性要求提供記錄了所阻止的攻擊和策略合規(guī)性狀態(tài)的詳細(xì)可審計(jì)報(bào)告，縮短了支持審計(jì)所需的準(zhǔn)備時(shí)間6.3支持降低運(yùn)營(yíng)成本提供漏洞防護(hù)，以便能夠?qū)Π踩幋a措施排定優(yōu)先級(jí)，并且可以更具成本效益地實(shí)施未預(yù)定的補(bǔ)丁為組織充分利用虛擬化或云計(jì)算并實(shí)現(xiàn)這些方法中固有的成本削減提供必要的安全性以單個(gè)集中管理的軟件代理提供全面的防護(hù)–消除了部署多個(gè)軟件客戶端的必要性及相關(guān)成本6.4全面易管理的安全性DeepSecurity解決方案使用不同的模塊滿足了關(guān)鍵服務(wù)器和應(yīng)用程序的防護(hù)要求：DeepSecurity模塊據(jù)中心要求深度數(shù)據(jù)包檢查防火墻完整性監(jiān)控日志審計(jì)IDS/IPSWeb應(yīng)用程序防護(hù)應(yīng)用程序控制服務(wù)器防護(hù)–預(yù)防已知攻擊和零日攻擊

–安裝補(bǔ)丁之前對(duì)漏洞進(jìn)行防護(hù)●●●〇Web應(yīng)用程序防護(hù)

–預(yù)防SQL注入、跨站點(diǎn)腳本攻擊及強(qiáng)力攻擊等Internet攻擊

–滿足PCIDSS6.5要求-Web應(yīng)用程序防火墻●●〇●虛擬化安全

–預(yù)防已知攻擊和零日攻擊

–安裝補(bǔ)丁之前對(duì)漏洞進(jìn)行防護(hù)

–VMwarevCenter集成增強(qiáng)了可見(jiàn)性和管理●〇●●〇可疑行為檢測(cè)

–預(yù)防偵察掃描

–檢測(cè)是否在不合適的端口上使用允許的協(xié)議

–針對(duì)可能發(fā)出攻擊信號(hào)的操作系統(tǒng)及應(yīng)用程序錯(cuò)誤發(fā)出警報(bào)

–針對(duì)關(guān)鍵操作系統(tǒng)及應(yīng)用程序更改發(fā)出警報(bào)〇●●●●云計(jì)算安全

–使用防火墻策略隔離虛擬機(jī)器

–預(yù)防已知攻擊和零日攻擊

–安裝補(bǔ)丁之前對(duì)漏洞進(jìn)行防護(hù)●〇●●●合規(guī)性報(bào)告

–有關(guān)對(duì)關(guān)鍵服務(wù)器所做的所有更改的可見(jiàn)性和審計(jì)記錄

–檢查和關(guān)聯(lián)重要安全事件并將其轉(zhuǎn)發(fā)到日志記錄服務(wù)器，以便進(jìn)行補(bǔ)救、報(bào)告和存檔

–有關(guān)配置、檢測(cè)到的活動(dòng)及已阻止的活動(dòng)的報(bào)告〇●〇〇●●6.5虛擬補(bǔ)丁用戶一般要花費(fèi)數(shù)周或數(shù)月的時(shí)間來(lái)充分測(cè)試和部署補(bǔ)丁，有時(shí)系統(tǒng)補(bǔ)丁不能被第三方軟件供應(yīng)商的產(chǎn)品支持，較老舊的應(yīng)用系統(tǒng)也不能打補(bǔ)?。徊捎肈eepSecurity虛擬補(bǔ)丁功能不但可以在減少補(bǔ)丁更新的頻率，而且可以保護(hù)不能打補(bǔ)丁的遺留程序，使系統(tǒng)免受零日攻擊。保護(hù)IT投資，使用虛擬補(bǔ)丁功能可以降低50%-75%的IT成本。6.6合規(guī)性要求DeepSecurity提供的防火墻、DPI、文件完整性檢查、日志審計(jì)等功能符合多項(xiàng)法規(guī):PCI,HIPAA,SAS-70,SOX,GLBA等可以滿足企業(yè)內(nèi)部及外部審計(jì)人員的要求；6.7Web應(yīng)用防護(hù)根據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)“34%的數(shù)據(jù)攻擊都是和Web應(yīng)用相關(guān)”，“75%的攻擊都發(fā)生在應(yīng)用層”傳統(tǒng)的外圍防護(hù)如：防火墻等無(wú)法保護(hù)，識(shí)別和彌補(bǔ)這些Web應(yīng)用漏洞需要花費(fèi)時(shí)間和資源，DeepSecurity可以在漏洞被修補(bǔ)前防護(hù)針對(duì)這些漏洞的攻擊行為，避免高昂的遺留程序重寫(xiě)或服務(wù)中斷費(fèi)用。附錄一成功案例DeepSecurity部分用戶列表電力／能源廣州供電局廣東電網(wǎng)公司佛山供電局廣東電網(wǎng)公司惠州供電局港華燃?xì)鈴V東電網(wǎng)公司梅州供電局重慶市電力公司海南省電網(wǎng)公司廣東電網(wǎng)公司珠海供電局廣東電網(wǎng)公司廣州供電局天津中油燃?xì)廛?chē)用燃料技術(shù)山東能源集團(tuán)金融信誠(chéng)基金中信證券海通證券北京農(nóng)商行君龍人壽華融湘江銀行龍灣農(nóng)村合作社桂林市銀行交通大眾交通蘇州軌道天津港上海滬東集裝箱碼頭制造普利司通青島啤酒長(zhǎng)春客車(chē)廠本田汽車(chē)研究院廣汽本田汽車(chē)研究開(kāi)發(fā)江淮汽車(chē)陜西漢德車(chē)橋湖南中煙工業(yè)有限責(zé)任公司蘇州軌道交通無(wú)錫市軌道交通發(fā)展醫(yī)療福鼎醫(yī)院瑞安市紅十字醫(yī)院南海婦幼連云港中醫(yī)院佛山市南海區(qū)婦幼保健院阜寧人民醫(yī)院教育吳江市教育局寶山圖書(shū)館鎮(zhèn)江教育大學(xué)安徽汽車(chē)職業(yè)技術(shù)學(xué)院福州大學(xué)萊西市中小學(xué)校北京教育網(wǎng)絡(luò)和信息中心江西教育學(xué)院深圳職業(yè)技術(shù)學(xué)院安徽省教育出版社安徽警官職業(yè)學(xué)院東北大學(xué)江蘇科技大學(xué)寶山區(qū)圖書(shū)館吉林工商學(xué)院政府云南省電子政務(wù)網(wǎng)絡(luò)管理中心上海市普陀區(qū)科學(xué)技術(shù)委員會(huì)鎮(zhèn)江國(guó)土資源局常州中級(jí)人民法院鎮(zhèn)江市煙草專賣(mài)局山西藥監(jiān)局上海市盧灣區(qū)政府上海市金山區(qū)政府上海市普陀區(qū)政府無(wú)錫市衛(wèi)生局新華通訊社安徽省旅游局海陽(yáng)市教育體育局河北省道路運(yùn)輸管理局寧波市公安局江東分局運(yùn)營(yíng)商新疆移動(dòng)廣西移動(dòng)上海電信山西移動(dòng)湖南移動(dòng)山東電信企業(yè)中智北京船舶通訊導(dǎo)航名氣通智能科技（深圳）山東樂(lè)拍商業(yè)大眾交通(集團(tuán))股份海輝國(guó)際天津天獅生物云南銅業(yè)股份百安居云南鴻翔上海滬東集裝箱碼頭管理深圳市深航貨運(yùn)天津廣播電視電影集團(tuán)國(guó)際客戶百思買(mǎi)Bestbuy萬(wàn)豪國(guó)際marriottSalesforceING荷蘭國(guó)際集團(tuán)美泰集團(tuán)Mattel杰藝科GEICOKohl’s美國(guó)國(guó)際集團(tuán)AIG花旗銀行CITI威睿信息VMware美國(guó)HCA公司蘇格蘭皇家銀行RBS英國(guó)石油BP美國(guó)航空A&A波音BOEING煙草湖南中煙軍方西安應(yīng)用光學(xué)研究所北信源打印安全監(jiān)控審計(jì)系統(tǒng)解決方案北京北信源軟件股份前言隨著網(wǎng)絡(luò)應(yīng)用的不斷普及和發(fā)展，網(wǎng)絡(luò)應(yīng)用向多層次、立體化、空間化方向發(fā)展，網(wǎng)絡(luò)空間數(shù)據(jù)的安全問(wèn)題越來(lái)越突出，電子文檔和敏感信息被有意無(wú)意的竊取、丟失、泄密等給建設(shè)高效、安全的網(wǎng)絡(luò)空間帶來(lái)很大挑戰(zhàn)。而縱觀目前各個(gè)政府、企事業(yè)單位的信息安全建設(shè)狀況，數(shù)據(jù)安全防御理念往往局限在網(wǎng)關(guān)級(jí)別、網(wǎng)絡(luò)邊界（防火墻、IDS、漏洞掃描）等方面，重要的安全設(shè)施大致集中于機(jī)房或網(wǎng)絡(luò)入口處，在這些設(shè)備的嚴(yán)密監(jiān)控下，來(lái)自網(wǎng)絡(luò)外部的安全威脅大大減小。相反，來(lái)自網(wǎng)絡(luò)內(nèi)部計(jì)算機(jī)終端的數(shù)據(jù)安全防護(hù)卻往往被忽視。在國(guó)家行業(yè)信息化推進(jìn)的大環(huán)境下，信息安全在國(guó)民經(jīng)濟(jì)建設(shè)中日益顯得舉足輕重。特別是在政府機(jī)關(guān)網(wǎng)絡(luò)中，工作秘密的泄露會(huì)使政府機(jī)關(guān)工作遭受損失，帶來(lái)不必要的被動(dòng)；而國(guó)家秘密的泄露會(huì)使國(guó)家的安全和利益遭到嚴(yán)重?fù)p害，泄密者也難免受到降職、降銜的嚴(yán)肅處理，甚至移交司法機(jī)關(guān)處理。由此，如何應(yīng)對(duì)數(shù)據(jù)安全問(wèn)題，減少直至杜絕內(nèi)部敏感信息的泄漏和重要數(shù)據(jù)的丟失而引發(fā)的安全事故，建設(shè)面向網(wǎng)絡(luò)空間的、安全和諧的終端運(yùn)行環(huán)境，形成有效的數(shù)據(jù)安全防護(hù)體系，則成為了政府機(jī)關(guān)網(wǎng)絡(luò)、行業(yè)信息網(wǎng)絡(luò)主管領(lǐng)導(dǎo)日常工作的重中之重。而根據(jù)《計(jì)算機(jī)犯罪與安全調(diào)查報(bào)告》的調(diào)查結(jié)果顯示，泄密的主要途徑有三種：電子郵件泄密、移動(dòng)存儲(chǔ)泄密、打印信息泄密。通常，電子郵件泄密和移動(dòng)存儲(chǔ)泄密都得到了較好的控制，而來(lái)自內(nèi)部的網(wǎng)絡(luò)打印安全卻很容易受到忽視，打印信息泄密，涉及到了用戶較高等級(jí)甚至是核心級(jí)的機(jī)密，破壞力大，破案率低，極大地?fù)p害了個(gè)人、集體的利益，甚至是國(guó)家。北信源公司由此推出自主研發(fā)的新產(chǎn)品—北信源打印安全監(jiān)控審計(jì)系統(tǒng)，為用戶徹底解決以打印方式造成數(shù)據(jù)泄漏的問(wèn)題。打印安全審計(jì)解決方案產(chǎn)品背景近年來(lái)，文檔的控制成為了保密控制的主流。文檔控制的核心是文檔中的內(nèi)容的控制，但對(duì)于打印后的文檔的管理目前形成產(chǎn)品的還很少。傳統(tǒng)的打印有以下問(wèn)題：分散的打印輸出方式難以管理；打印設(shè)備使用權(quán)限無(wú)法控制；涉密文件銷毀流程復(fù)雜，效率低下；涉密文件的生命周期安全管理嚴(yán)重依賴于人工，無(wú)法形成信息化管理；難以形成全面、細(xì)致的日志審計(jì)和統(tǒng)計(jì)報(bào)表輸出；無(wú)法準(zhǔn)確統(tǒng)計(jì)打印數(shù)量、效率和成本，造成打印浪費(fèi)。文檔控制并不是傳統(tǒng)的控制，它需要管理流程控制和管理制度雙層保障。通過(guò)完備的文檔打印審批流程和監(jiān)管制度來(lái)實(shí)現(xiàn)文檔的可控性，才能做到安全、可靠和人性化管理目標(biāo)。為了有效地控制和減少涉密信息外泄，故而決定開(kāi)發(fā)“北信源打印監(jiān)控審計(jì)系統(tǒng)”。產(chǎn)品概述北信源打印監(jiān)控審計(jì)系統(tǒng)，嚴(yán)格按照國(guó)家公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心檢驗(yàn)規(guī)范，進(jìn)行獨(dú)立開(kāi)發(fā)的系統(tǒng)產(chǎn)品。系統(tǒng)采用先進(jìn)的數(shù)字條形碼技術(shù)及打印機(jī)管理技術(shù)，實(shí)現(xiàn)了對(duì)涉密文檔在打印申請(qǐng)、審批、輸出、回收全生命過(guò)程的監(jiān)控和管理，并且形成了完備的打印、操作等日志記錄，方便對(duì)文檔使用和輸出情況進(jìn)行統(tǒng)計(jì)和追溯。切實(shí)從技術(shù)手段實(shí)現(xiàn)了文件輸出安全保密制度，保障了文檔安全輸出及閉環(huán)管理。解決了文檔的隨意打印和打印后的文檔流轉(zhuǎn)歸處。做到有據(jù)可查，責(zé)任到人。規(guī)范和增強(qiáng)申請(qǐng)