虛擬化安全解決方案

-.z..--.可修編-****虛擬化桌面安全解決方案趨勢(shì)科技（中國）2013年5月目錄第1章.概述41.1****虛擬化桌面概述41.2****虛擬化桌面安全概述—傳統(tǒng)安全解決方案5第2章.需求分析52.1傳統(tǒng)安全在虛擬化桌面中應(yīng)用面臨威脅分析52.1.1虛擬機(jī)之間的相互攻擊52.1.2隨時(shí)啟動(dòng)的防護(hù)間歇62.1.3管理成本上升62.1.4資源爭(zhēng)奪72.2無代理虛擬化桌面安全防護(hù)的必要性8第3章.趨勢(shì)科技虛擬化桌面安全解決方案83.1安全虛擬機(jī)技術(shù)及工作原理83.2與傳統(tǒng)安全方案差別103.3系統(tǒng)架構(gòu)113.4產(chǎn)品部署和集成123.5產(chǎn)品功能133.5.1惡意軟件防護(hù)143.5.2深度數(shù)據(jù)包檢查(DPI)引擎143.5.3入侵檢測(cè)和防御(IDS/IPS)143.5.4WEB應(yīng)用程序安全153.5.5應(yīng)用程序控制15防火墻153.5.7完整性監(jiān)控163.6系統(tǒng)要求17第4章.項(xiàng)目實(shí)施方案184.1項(xiàng)目總體規(guī)劃184.2實(shí)施組織架構(gòu)184.3項(xiàng)目實(shí)施內(nèi)容194.3.1項(xiàng)目準(zhǔn)備194.3.2項(xiàng)目調(diào)研204.3.3項(xiàng)目實(shí)施204.3.4項(xiàng)目驗(yàn)收214.4項(xiàng)目實(shí)施計(jì)劃214.4.1項(xiàng)目實(shí)施分工214.4.2項(xiàng)目實(shí)施計(jì)劃22第5章.售后服務(wù)22第6章.總結(jié)236.1預(yù)防數(shù)據(jù)泄露和業(yè)務(wù)中斷246.2實(shí)現(xiàn)合規(guī)性246.3支持降低運(yùn)營(yíng)成本246.4全面易管理的安全性246.5虛擬補(bǔ)丁256.6合規(guī)性要求256.7Web應(yīng)用防護(hù)25附錄一成功案例26文檔信息：文檔屬性內(nèi)容項(xiàng)目/任務(wù)名稱項(xiàng)目/任務(wù)編號(hào)文檔名稱****虛擬化桌面安全解決方案文檔版本號(hào)V1文檔狀態(tài)制作人羅海龍**級(jí)別商密管理人羅海龍制作日期2013年5月28日復(fù)審人復(fù)審日期擴(kuò)散*圍內(nèi)部使用版本記錄：版本編號(hào)版本日期創(chuàng)建者/修改者說明文檔說明：概述1.1****虛擬化桌面概述計(jì)算機(jī)的誕生改變了我們的生活，它正以一種前所未有的方式影響著我們的生活和工作。隨著技術(shù)的發(fā)展，我們的生活已經(jīng)無法脫離計(jì)算機(jī)了，但是傳統(tǒng)計(jì)算機(jī)桌面的使用有著諸多的限制，這些限制給我們帶來了不便。首先，隨著客戶端設(shè)備的不斷增加，客戶端系統(tǒng)環(huán)境變得復(fù)雜，造成管理困難，維護(hù)成本升高；客戶端操作系統(tǒng)、應(yīng)用客戶端需要不斷升級(jí)、不停打補(bǔ)??；客戶端需防病毒，防惡意軟件，防止木馬程序?qū)⒚舾袛?shù)據(jù)竊取，但仍可能百密一疏；客戶端的移動(dòng)性與分布性，造成無法共享資源，利用率低；且隨著技術(shù)的發(fā)展，硬件的更新?lián)Q代需要巨大的投入等等，這些都造成了沒有一種隨時(shí)，隨地，任何設(shè)備都可以安全地訪問的桌面環(huán)境。同時(shí)，"集中監(jiān)控、集中維護(hù)、集中管理”已經(jīng)成為中國移動(dòng)網(wǎng)絡(luò)運(yùn)行維護(hù)工作的一個(gè)重要工作模式。桌面云解決方案是基于云計(jì)算架構(gòu)的桌面交付解決方案，利用虛擬化技術(shù)，通過在云計(jì)算服務(wù)器集群上部署虛擬桌面交付系統(tǒng)。采用桌面云解決方案可以在數(shù)據(jù)中心集中化管理桌面，輕松實(shí)現(xiàn)安全防護(hù)及備份，減少總體擁有成本、加強(qiáng)信息安全、降低維護(hù)管理費(fèi)用，同時(shí)響應(yīng)國家節(jié)能減排的號(hào)召。在此情況下，自2010年開始，中國移動(dòng)**公司為提升桌面終端整體管理水平，對(duì)網(wǎng)管維護(hù)終端、IT辦公、營(yíng)業(yè)廳終端等進(jìn)行了集中規(guī)劃、集中管理和集中維護(hù)，進(jìn)行了終端虛擬化一期工程的建設(shè)。一期工程包括了IT系統(tǒng)平臺(tái)單項(xiàng)工程和網(wǎng)管系統(tǒng)平臺(tái)單項(xiàng)工程兩部分，分別針I(yè)T終端和網(wǎng)管終端進(jìn)行了桌面云系統(tǒng)的建設(shè)，其中IT系統(tǒng)平臺(tái)滿足了IT系統(tǒng)300個(gè)營(yíng)業(yè)終端和100個(gè)操作維護(hù)終端的接入需求；網(wǎng)管系統(tǒng)平臺(tái)滿足了空港網(wǎng)管監(jiān)控大廳270個(gè)監(jiān)控終端的接入需求。在中國移動(dòng)集中化建設(shè)和云計(jì)算迅猛發(fā)展的大背景下，綜合考慮瘦客戶端相對(duì)傳統(tǒng)終端的優(yōu)勢(shì)，集團(tuán)公司下發(fā)了《關(guān)于中國移動(dòng)瘦客戶機(jī)逐步全面替代傳統(tǒng)PC的指導(dǎo)意見》，明確要求："對(duì)于新增固定終端（傳統(tǒng)PC）的需求，原則上均應(yīng)采用瘦客戶機(jī)方案（其中，基于TDM傳統(tǒng)呼叫中心應(yīng)停止擴(kuò)容，呼叫中心的擴(kuò)容需求應(yīng)采用基于IP的NGCC呼叫中心+瘦客戶機(jī)方案)；對(duì)于現(xiàn)有傳統(tǒng)PC應(yīng)依據(jù)使用壽命，逐步采用瘦客戶機(jī)進(jìn)行自然替換?！?.2****虛擬化桌面安全概述—傳統(tǒng)安全解決方案目前，****對(duì)于虛擬化桌面的安全防護(hù)采用傳統(tǒng)方式，也就是在每臺(tái)虛擬桌面的操作系統(tǒng)中安裝防病毒軟件、在網(wǎng)絡(luò)層部署防火墻功能、通過補(bǔ)丁分發(fā)系統(tǒng)進(jìn)行補(bǔ)丁修補(bǔ)等。這種解決方案沒有考慮到虛擬化技術(shù)的特殊性，存在很多的安全風(fēng)險(xiǎn)，具體分析見下文。需求分析2.1傳統(tǒng)安全在虛擬化桌面中應(yīng)用面臨威脅分析虛擬化桌面基礎(chǔ)架構(gòu)除了具有傳統(tǒng)物理服務(wù)器的風(fēng)險(xiǎn)之外，同時(shí)也會(huì)帶來其虛擬系統(tǒng)自身的安全問題。新安全威脅的出現(xiàn)自然就需要新方法來處理。通過前期調(diào)研，總結(jié)了目前****虛擬化環(huán)境內(nèi)存在的幾點(diǎn)安全隱患。2.1.1虛擬機(jī)之間的相互攻擊虛擬機(jī)之間的互相攻擊由于目前****仍對(duì)虛擬化環(huán)境使用傳統(tǒng)的防護(hù)模式，導(dǎo)致主要的防護(hù)邊界還是位于物理主機(jī)的邊緣，從而忽視了同一物理主機(jī)上不同虛擬機(jī)之間的互相攻擊和互相入侵的安全隱患。2.1.2隨時(shí)啟動(dòng)的防護(hù)間歇隨時(shí)啟動(dòng)的防護(hù)間歇由于****目前大量使用Vmware的虛擬化桌面技術(shù)，讓****的運(yùn)維服務(wù)具備更高的靈活性和負(fù)載均衡。但同時(shí)，這些隨時(shí)由于資源動(dòng)態(tài)調(diào)整關(guān)閉或開啟虛擬機(jī)會(huì)導(dǎo)致防護(hù)間歇問題。如，*臺(tái)一直處于關(guān)閉狀態(tài)的虛擬機(jī)在業(yè)務(wù)需要時(shí)會(huì)自動(dòng)啟動(dòng)，成為后臺(tái)服務(wù)器組的一部分，但在這臺(tái)虛擬機(jī)啟動(dòng)時(shí)，其包括防病毒在內(nèi)的所有安全狀態(tài)都較其他一直在線運(yùn)行的服務(wù)器處于滯后和脫節(jié)的地位。2.1.3管理成本上升系統(tǒng)安全補(bǔ)丁安裝目前****虛擬化環(huán)境內(nèi)仍會(huì)定期采用傳統(tǒng)方式對(duì)階段性發(fā)布的系統(tǒng)補(bǔ)丁進(jìn)行測(cè)試和手工安裝。雖然虛擬化桌面本身有一定狀態(tài)恢復(fù)的功能機(jī)制。但此種做法仍有一定安全風(fēng)險(xiǎn)。1.無法確保系統(tǒng)在測(cè)試后發(fā)生的變化是否會(huì)因?yàn)榘惭b補(bǔ)丁導(dǎo)致異常。2.集中的安裝系統(tǒng)補(bǔ)丁，前中后期需要大量人力，物力和技術(shù)支撐，部署成本較大。2.1.4資源爭(zhēng)奪防病毒軟件對(duì)資源的占用沖突導(dǎo)致AV（Anti-Virus）風(fēng)暴****目前在虛擬化環(huán)境中對(duì)于虛擬化桌面仍使用每臺(tái)虛擬操作系統(tǒng)安裝SEP防病毒客戶端的方式進(jìn)行病毒防護(hù)。在防護(hù)效果上可以達(dá)到安全標(biāo)準(zhǔn)，但如從資源占用方面考慮存在一定安全風(fēng)險(xiǎn)。由于每個(gè)防病毒客戶端都會(huì)在同一個(gè)物理主機(jī)上產(chǎn)生資源消耗，并且當(dāng)發(fā)生客戶端同時(shí)掃描和同時(shí)更新時(shí)，資源消耗的問題會(huì)愈發(fā)明顯。嚴(yán)重時(shí)可能導(dǎo)致ES*服務(wù)器宕機(jī)。通過以上的分析是我們了解到雖然傳統(tǒng)安全設(shè)備可以物理網(wǎng)絡(luò)層和操作系統(tǒng)提供安全防護(hù)，但是虛擬環(huán)境中新的安全威脅，例如：虛擬主機(jī)之間通訊的訪問控制問題，病毒通過虛擬交換機(jī)傳播問題等，傳統(tǒng)的安全設(shè)備無法提供相關(guān)的防護(hù)，趨勢(shì)科技提供創(chuàng)新的安全技術(shù)為虛擬環(huán)境提供全面的保護(hù)。2.2無代理虛擬化桌面安全防護(hù)的必要性****的虛擬化桌面一直承載著最為重要的數(shù)據(jù)，因此，很容易引起外來入侵者的窺探，遭入侵、中病毒、搶權(quán)限，各種威脅都會(huì)抓住一切機(jī)會(huì)造訪服務(wù)器系統(tǒng)。****針以前針對(duì)桌面端采用集中管理、集中防護(hù)的措施，通過傳統(tǒng)安全技術(shù)在網(wǎng)絡(luò)側(cè)建立安全防線，如防火墻技術(shù)、防病毒技術(shù)、入侵檢測(cè)技術(shù)……各種安全產(chǎn)品開始被一個(gè)一個(gè)地加入到安全防線中來。目前****為了降低硬件采購成本，提高服務(wù)器資源的利用率，引進(jìn)虛擬化桌面技術(shù)對(duì)現(xiàn)有應(yīng)用服務(wù)器的計(jì)算資源進(jìn)行整合，使現(xiàn)有建立的安全防線面臨挑戰(zhàn)！服務(wù)器虛擬化后不但面臨著傳統(tǒng)物理實(shí)機(jī)的各種安全問題，同時(shí)由于虛擬系統(tǒng)之間的數(shù)據(jù)交換，以及共享的計(jì)算資源池，導(dǎo)致傳統(tǒng)的安全技術(shù)手段很難針對(duì)虛擬系統(tǒng)提供防護(hù)，另外使用傳統(tǒng)安全技術(shù)的使用還帶來更大計(jì)算資源的消耗和管理運(yùn)維，導(dǎo)致與引入服務(wù)器虛擬化的初衷相違背。通過上一章節(jié)的威脅分析發(fā)現(xiàn)，為了降低服務(wù)器和虛擬服務(wù)器的安全威脅必須采用創(chuàng)新的安全技術(shù)手段為服務(wù)器提供安全加固。因?yàn)閭鹘y(tǒng)安全技術(shù)應(yīng)用到虛擬服務(wù)器防護(hù)存在短板效應(yīng)：任何一點(diǎn)疏忽，都會(huì)讓****整個(gè)信息系統(tǒng)的安全防線功虧一簣，帶來經(jīng)濟(jì)和企業(yè)名譽(yù)的損失。更何況，這些被廣泛傳統(tǒng)安全產(chǎn)品雖然可以在物理網(wǎng)絡(luò)層很好地保護(hù)服務(wù)器系統(tǒng)，但它們終究無法應(yīng)對(duì)虛擬系統(tǒng)面臨新的安全威脅，所以需要采用創(chuàng)新的安全技術(shù)才能完善****信息安全防護(hù)體系的基礎(chǔ)架構(gòu)，同時(shí)具備對(duì)最新安全威脅的抵抗力，降低安全威脅出現(xiàn)到可以真正進(jìn)行防*的時(shí)間差，提高服務(wù)器的安全性和抗攻擊能力，從而提供業(yè)務(wù)系統(tǒng)應(yīng)用的可用性。趨勢(shì)科技虛擬化桌面安全解決方案3.1安全虛擬機(jī)技術(shù)及工作原理VMwareVShieldEndpoint程序使我們能夠部署專用安全虛擬機(jī)以及經(jīng)特別授權(quán)訪問管理程序的API。這使得創(chuàng)建獨(dú)特的安全控制虛擬機(jī)成為可能，如在Gartner的報(bào)告中所述，安全虛擬機(jī)技術(shù)在虛擬化的世界中從根本上改變安全和管理的概念。這種安全虛擬機(jī)是一種在虛擬環(huán)境中實(shí)現(xiàn)安全控制的新型方法。安全虛擬機(jī)利用API來訪問關(guān)于每一虛擬機(jī)的特權(quán)狀態(tài)信息，包括其內(nèi)存、狀態(tài)和網(wǎng)絡(luò)通信流量等。因?yàn)樵诓桓奶摂M網(wǎng)絡(luò)配置的情況下，服務(wù)器內(nèi)部的全部網(wǎng)絡(luò)通信流量是可見的。包括防病毒、防火墻、IDS/IPS和系統(tǒng)完整性監(jiān)控等在內(nèi)的安全功能均可以應(yīng)用于安全虛擬機(jī)中。DeepSecurity通過vShieldEndpoint提供的實(shí)時(shí)掃描、預(yù)設(shè)掃描、清除修復(fù)等數(shù)據(jù)接口，對(duì)虛擬機(jī)中的數(shù)據(jù)進(jìn)行病毒代碼的掃描和判斷，并結(jié)合防火墻、IDS策略實(shí)時(shí)對(duì)進(jìn)出虛擬機(jī)的數(shù)據(jù)進(jìn)行安全過濾；在管理上需要vShieldManager和vCenter的支持；3.2與傳統(tǒng)安全方案差別傳統(tǒng)環(huán)境下的網(wǎng)絡(luò)安全拓?fù)鋱D，在網(wǎng)絡(luò)出口處部署有防火墻，防毒墻，上網(wǎng)行為管理等安全設(shè)備，用來隔離內(nèi)外網(wǎng)，過濾來自外網(wǎng)的惡意程序，規(guī)*內(nèi)網(wǎng)用戶的上網(wǎng)行為，同時(shí)在DMZ區(qū)使用防火墻隔離，部署IDS監(jiān)控對(duì)服務(wù)器的非法訪問行為，在服務(wù)器上部署防病毒軟件，保護(hù)核心服務(wù)器的安全運(yùn)行。虛擬化在資源利用率、高可用性、高擴(kuò)展性上有著諸多優(yōu)勢(shì)，實(shí)現(xiàn)虛擬化后，直觀的來看，是將多臺(tái)服務(wù)器集中到了一臺(tái)主機(jī)內(nèi)，這一臺(tái)主機(jī)同時(shí)運(yùn)行了多個(gè)操作系統(tǒng)，提供不同的應(yīng)用和服務(wù)；系統(tǒng)管理員根據(jù)需要可以非常方便的添加新的應(yīng)用服務(wù)器；根據(jù)傳統(tǒng)的安全設(shè)計(jì)模型，需要在每個(gè)操作系統(tǒng)中安裝防毒軟件，在網(wǎng)絡(luò)層部署入防火墻、侵檢測(cè)或入侵防御系統(tǒng)，但是在這種在傳統(tǒng)方式下合理的設(shè)計(jì)，在虛擬環(huán)境下會(huì)面臨一些新的問題：未激活的虛擬機(jī)，物理機(jī)下關(guān)閉計(jì)算機(jī)后CPU停止運(yùn)行，網(wǎng)絡(luò)關(guān)閉，理論上不會(huì)有數(shù)據(jù)的交互，操作系統(tǒng)也就不存在被感染的可能；但是在虛擬環(huán)境下，CPU，網(wǎng)絡(luò)，底層的ES*都在工作中，關(guān)閉的操作系統(tǒng)類似于物理環(huán)境下的一個(gè)應(yīng)用程序，盡管這個(gè)"應(yīng)用程序”沒有運(yùn)行，但仍然有被病毒感染的可能；資源的沖突，防毒軟件在啟用預(yù)設(shè)掃描后，當(dāng)?shù)搅酥付〞r(shí)間，會(huì)同時(shí)進(jìn)行文件掃描的動(dòng)作，這個(gè)時(shí)候防毒軟件對(duì)CPU和內(nèi)存的占用急劇增加，當(dāng)系統(tǒng)資源被耗盡的時(shí)候就會(huì)導(dǎo)致服務(wù)器down機(jī)；管理復(fù)雜度，由于虛擬化的便利性，系統(tǒng)管理員可以非常方便的根據(jù)模板生成新的系統(tǒng)，這些新系統(tǒng)要打補(bǔ)丁，進(jìn)行病毒代碼的更新，也會(huì)增加安全管理的復(fù)雜度；虛擬化環(huán)境的動(dòng)態(tài)特性面臨入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）的新挑戰(zhàn)?；诰W(wǎng)絡(luò)的IDS/IPS，也無法監(jiān)測(cè)到同一臺(tái)ES*服務(wù)器上的虛擬機(jī)之間的通訊；由于虛擬機(jī)能夠迅速地恢復(fù)到之前的狀態(tài)，利用VMwareVMotion?易于在物理服務(wù)器之間移動(dòng)，所以難以獲得并維持整體一致的安全性。所以虛擬化已經(jīng)使"網(wǎng)絡(luò)邊界去除”的挑戰(zhàn)更加明顯，虛擬化對(duì)于安全的需求也更加迫切。3.3系統(tǒng)架構(gòu)DeepSecurity產(chǎn)品由三部分組成，管理控制平臺(tái)（以下簡(jiǎn)稱DSM）；安全虛擬機(jī)（以下簡(jiǎn)稱DSVA）；安全代理程序（以下簡(jiǎn)稱DSA）。趨勢(shì)科技DeepSecurity安全防護(hù)系統(tǒng)管理控制中心（DSM），是管理員用來配置及管理安全策略的集中式管理組件，所有的DSVA及DSA都會(huì)注冊(cè)到DSM，接受統(tǒng)一的管理。趨勢(shì)科技DeepSecurity安全防護(hù)系統(tǒng)安全虛擬機(jī)(DSVA)是針對(duì)VMwarevSphere環(huán)境構(gòu)建的安全虛擬計(jì)算機(jī)，可提供防惡意軟件、IDS/IPS、防火墻、Web應(yīng)用程序防護(hù)和應(yīng)用程序控制防護(hù)，數(shù)據(jù)完整性監(jiān)控等安全功能。趨勢(shì)科技DeepSecurity安全防護(hù)系統(tǒng)安全代理程序(DSA)是安全客戶端，直接部署在操作系統(tǒng)中，可提供IDS/IPS、防火墻、Web應(yīng)用程序防護(hù)、應(yīng)用程序控制、完整性監(jiān)控和日志審查防護(hù)等安全功能。3.4產(chǎn)品部署和集成DeepSecurity解決方案專為快速的企業(yè)部署而設(shè)計(jì)。它利用現(xiàn)有基礎(chǔ)架構(gòu)并與之集成，以幫助實(shí)現(xiàn)更高的操作效率，并支持降低運(yùn)營(yíng)成本。 VMware集成：與VMwarevCenter和ES*Server的緊密集成，使得組織和操作信息可以從vCenter和ES*節(jié)點(diǎn)導(dǎo)入到DeepSecurity管理器，并將詳細(xì)完備的安全應(yīng)用于企業(yè)的VMware基礎(chǔ)架構(gòu)。SIEM集成：通過多個(gè)集成選項(xiàng)向SIEM提供詳細(xì)的服務(wù)器級(jí)安全事件，這些選項(xiàng)包括ArcSight、Intellitactics、NetIQ、RSAEnvision、Q1Labs、LogLogic及其他系統(tǒng)。目錄集成：與企業(yè)目錄集成，包括MicrosoftActiveDirectory?？膳渲玫墓芾硗ㄐ牛篋eepSecurity管理器或DeepSecurity代理可發(fā)起通信。這可最大限度地減少或消除集中管理系統(tǒng)通常所需要的防火墻更改。軟件分發(fā)：可通過標(biāo)準(zhǔn)軟件分發(fā)機(jī)制（如MicrosoftSMS、NovellZenworks和Altiris）輕松部署代理軟件。最佳過濾：用于處理流媒體（如Internet協(xié)議電視(IPTV)）的高級(jí)功能有助于將性能最大化。DeepSecurity采用集中分布式的管理方式，DeepSecurity服務(wù)器端安裝服務(wù)器控制臺(tái)DeepSecurity客戶端直接部署在每一臺(tái)服務(wù)器上。對(duì)于服務(wù)器群所有的安全策略都可以通過統(tǒng)一的管理控制臺(tái)進(jìn)行設(shè)定，并且按需分發(fā)到對(duì)應(yīng)的服務(wù)器。整個(gè)服務(wù)器安全防護(hù)體系的管理，監(jiān)控和運(yùn)維都可以通過管理控制臺(tái)進(jìn)行統(tǒng)一管理。同時(shí)，各項(xiàng)安全模塊組件的更新都會(huì)通過管理控制臺(tái)自動(dòng)或者手動(dòng)派發(fā)到每一臺(tái)服務(wù)器上。3.5產(chǎn)品功能趨勢(shì)科技DeepSecurity系統(tǒng)提供了對(duì)數(shù)據(jù)中心（*圍遍及虛擬桌面到物理、虛擬或云服務(wù)器）的高級(jí)保護(hù)，包括：防惡意軟件防火墻入侵檢測(cè)和阻止(IDS/IPS)Web應(yīng)用程序防護(hù)應(yīng)用程序控制完整性監(jiān)控日志審計(jì)3.5.1惡意軟件防護(hù)防惡意軟件模塊可提供趨勢(shì)科技防惡意軟件防護(hù)，惡意代碼包括：病毒、蠕蟲、木馬后門等，包括實(shí)時(shí)掃描、預(yù)設(shè)掃描及手動(dòng)掃描功能，處理措施包含清除、刪除、拒絕訪問或隔離惡意軟件。檢測(cè)到惡意軟件時(shí)，可以生成警報(bào)日志。3.5.2深度數(shù)據(jù)包檢查(DPI)引擎實(shí)現(xiàn)入侵檢測(cè)和防御、Web應(yīng)用程序防護(hù)以及應(yīng)用程序控制該解決方案的高性能深度數(shù)據(jù)包檢查引擎可檢查所有出入通信流（包括SSL通信流）中是否存在協(xié)議偏離、發(fā)出攻擊信號(hào)的內(nèi)容以及違反策略的情況。該引擎可在檢測(cè)或防御模式下運(yùn)行，以保護(hù)操作系統(tǒng)和企業(yè)應(yīng)用程序的漏洞。它可保護(hù)Web應(yīng)用程序，使其免受應(yīng)用層攻擊，包括SQL注入攻擊和跨站點(diǎn)腳本攻擊。詳細(xì)事件提供了十分有價(jià)值的信息，包括攻擊者、攻擊時(shí)間及意圖利用的漏洞。發(fā)生事件時(shí)，可通過警報(bào)自動(dòng)通知管理員。DPI用于入侵檢測(cè)和防御、Web應(yīng)用程序防護(hù)以及應(yīng)用程序控制。3.5.3入侵檢測(cè)和防御(IDS/IPS)在操作系統(tǒng)和企業(yè)應(yīng)用程序安裝補(bǔ)丁之前對(duì)其漏洞進(jìn)行防護(hù)，以提供及時(shí)保護(hù)，使其免受已知攻擊和零日攻擊漏洞規(guī)則可保護(hù)已知漏洞（如Microsoft披露的漏洞），使其免受無數(shù)次的漏洞攻擊。DeepSecurity解決方案對(duì)超過100種應(yīng)用程序（包括數(shù)據(jù)庫、Web、電子和FTP服務(wù)器）提供開箱即用的漏洞防護(hù)。在數(shù)小時(shí)內(nèi)即可提供可對(duì)新發(fā)現(xiàn)的漏洞進(jìn)行防護(hù)的規(guī)則，無需重新啟動(dòng)系統(tǒng)即可在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到數(shù)以千計(jì)的服務(wù)器上：智能規(guī)則通過檢測(cè)包含惡意代碼的異常協(xié)議數(shù)據(jù)，針對(duì)攻擊未知漏洞的漏洞攻擊行為提供零日防護(hù)。漏洞攻擊規(guī)則可停止已知攻擊和惡意軟件，類似于傳統(tǒng)的防病毒軟件，都使用簽名來識(shí)別和阻止已知的單個(gè)漏洞攻擊。由于趨勢(shì)科技是Microsoft主動(dòng)保護(hù)計(jì)劃(MAPP)的現(xiàn)任成員，DeepSecurity解決方案可在每月安全公告發(fā)布前提前從Microsoft收到漏洞信息。這種提前通知有助于預(yù)測(cè)新出現(xiàn)的威脅，并通過安全更新為雙方客戶快速有效地提供更及時(shí)的防護(hù)。3.5.4WEB應(yīng)用程序安全DeepSecurity解決方案符合有關(guān)保護(hù)Web應(yīng)用程序及其處理數(shù)據(jù)的PCI要求6.6。Web應(yīng)用程序防護(hù)規(guī)則可防御SQL注入攻擊、跨站點(diǎn)腳本攻擊及其他Web應(yīng)用程序漏洞攻擊，在代碼修復(fù)完成之前對(duì)這些漏洞提供防護(hù)。該解決方案使用智能規(guī)則識(shí)別并阻止常見的Web應(yīng)用程序攻擊。根據(jù)客戶要求進(jìn)行的一項(xiàng)滲透測(cè)試，我們發(fā)現(xiàn)，部署DeepSecurity的SaaS數(shù)據(jù)中心可對(duì)其Web應(yīng)用程序和服務(wù)器中發(fā)現(xiàn)的99%的高危險(xiǎn)性漏洞提供防護(hù)。3.5.5應(yīng)用程序控制應(yīng)用程序控制規(guī)則可針對(duì)訪問網(wǎng)絡(luò)的應(yīng)用程序提供更進(jìn)一步的可見性控制能力。這些規(guī)則也可用于識(shí)別訪問網(wǎng)絡(luò)的惡意軟件或減少服務(wù)器的漏洞。3.5.6防火墻減小物理和虛擬服務(wù)器的受攻擊面DeepSecurity防火墻軟件模塊具有企業(yè)級(jí)、雙向性和狀態(tài)型特點(diǎn)。它可用于啟用正確的服務(wù)器運(yùn)行所必需的端口和協(xié)議上的通信，并阻止其他所有端口和協(xié)議，降低對(duì)服務(wù)器進(jìn)行未授權(quán)訪問的風(fēng)險(xiǎn)。其功能如下：虛擬機(jī)隔離：使虛擬機(jī)能夠隔離在云計(jì)算或多租戶虛擬環(huán)境中，無需修改虛擬交換機(jī)配置即可提供虛擬分段。細(xì)粒度過濾：通過實(shí)施有關(guān)IP地址、Mac地址、端口及其他內(nèi)容的防火墻規(guī)則過濾通信流?？蔀槊總€(gè)網(wǎng)絡(luò)接口配置不同的策略。覆蓋所有基于IP的協(xié)議：通過支持全數(shù)據(jù)包捕獲簡(jiǎn)化了故障排除，并且可提供寶貴的分析見解，有助于了解增加的防火墻事件–TCP、UDP、ICMP等。偵察檢測(cè)：檢測(cè)端口掃描等活動(dòng)。還可限制非IP通信流，如ARP通信流。靈活的控制：狀態(tài)型防火墻較為靈活，可在適當(dāng)時(shí)以一種受控制的方式完全繞過檢查。它可解決任何網(wǎng)絡(luò)上都會(huì)遇到的通信流特征不明確的問題，此問題可能出于正常情況，也可能是攻擊的一部分。預(yù)定義的防火墻配置文件：對(duì)常見企業(yè)服務(wù)器類型（包括Web、LDAP、DHCP、FTP和數(shù)據(jù)庫）進(jìn)行分組，確保即使在大型復(fù)雜的網(wǎng)絡(luò)中也可快速、輕松、一致地部署防火墻策略?？刹僮鞯膱?bào)告：通過詳細(xì)的日志記錄、警報(bào)、儀表板和靈活的報(bào)告，DeepSecurity防火墻軟件模塊可捕獲和跟蹤配置更改（如策略更改內(nèi)容及更改者），從而提供詳細(xì)的審計(jì)記錄。3.5.7完整性監(jiān)控監(jiān)控未授權(quán)的、意外的或可疑的更改DeepSecurity完整性監(jiān)控軟件模塊可監(jiān)控關(guān)鍵的操作系統(tǒng)和應(yīng)用程序文件（如目錄、注冊(cè)表項(xiàng)和值），以檢測(cè)可疑行為。其功能如下：按需或預(yù)定檢測(cè)：可預(yù)定或按需執(zhí)行完整性掃描。廣泛的文件屬性檢查：使用開箱即用的完整性規(guī)則可對(duì)文件和目錄針對(duì)多方面的更改進(jìn)行監(jiān)控，包括：內(nèi)容、屬性（如所有者、權(quán)限和大?。┮约叭掌谂c時(shí)間戳。還可監(jiān)控對(duì)Windows注冊(cè)表鍵值、訪問控制列表以及日志文件進(jìn)行的添加、修改或刪除操作，并提供警報(bào)。此功能適用于PCIDSS要求?？蓪徲?jì)的報(bào)告：完整性監(jiān)控模塊可顯示DeepSecurity管理器儀表板中的完整性事件、生成警報(bào)并提供可審計(jì)的報(bào)告。該模塊還可通過Syslog將事件轉(zhuǎn)發(fā)到安全信息和事件管理(SIEM)系統(tǒng)。安全配置文件分組：可為各組或單個(gè)服務(wù)器配置完整性監(jiān)控規(guī)則，以簡(jiǎn)化監(jiān)控規(guī)則集的部署和管理?；鶞?zhǔn)設(shè)置：可創(chuàng)建基準(zhǔn)安全配置文件用于比較更改，以便發(fā)出警報(bào)并確定相應(yīng)的操作。靈活實(shí)用的監(jiān)控：完整性監(jiān)控模塊提供了靈活性和控制性，可針對(duì)您的獨(dú)特環(huán)境優(yōu)化監(jiān)控活動(dòng)。這包括在掃描參數(shù)中包含/排除文件或通配符文件名以及包含/排除子目錄的功能。此外，還可根據(jù)獨(dú)特的要求靈活創(chuàng)建自定義規(guī)則。3.6系統(tǒng)要求趨勢(shì)科技DeepSecurity系統(tǒng)管理中心內(nèi)存：4GB磁盤空間：1.5GB（建議使用5GB）操作系統(tǒng)：MicrosoftWindowsServer2008（32位和64位）、WindowsServer2008R2（64位）、Windows2003ServerSP2（32位和64位）數(shù)據(jù)庫：Oracle11g、Oracle10g、MicrosoftSQLServer2008SP1、MicrosoftSQLServer2005SP2Web瀏覽器：MozillaFirefo*3.*（啟用Cookie）、InternetE*plorer7.*（啟用Cookie）和InternetE*plorer8.*（啟用Cookie）趨勢(shì)科技DeepSecurity安全虛擬機(jī)內(nèi)存：1GB磁盤空間：20GBVMware環(huán)境：VMwarevCenter5.0ES*5.0VMwareToolsVMwarevShieldManagerVMwarevShieldEndpointSecurity項(xiàng)目實(shí)施方案4.1項(xiàng)目總體規(guī)劃項(xiàng)目實(shí)施總體分為四個(gè)階段，每一個(gè)階段需要一個(gè)階段性總結(jié)：（一）項(xiàng)目準(zhǔn)備和調(diào)研。主要包括實(shí)施項(xiàng)目組的建立和對(duì)現(xiàn)有VMware系統(tǒng)進(jìn)行檢查兩部分。（二）項(xiàng)目實(shí)施。虛擬化群集的vShield接口(vShieldAPP及vShieldEndpoint)的實(shí)施，虛擬機(jī)安全解決方案DeepSecurity的實(shí)施。按照實(shí)施步驟部署vShield和DeepSecurity產(chǎn)品。配置vShieldAPP接口進(jìn)行的安全域劃分工作。對(duì)整體環(huán)境進(jìn)行分析，并根據(jù)實(shí)際情況劃分安全域，通過APP接口實(shí)現(xiàn)安全域的劃分。（三）項(xiàng)目驗(yàn)收。針對(duì)產(chǎn)品功能、實(shí)施效果等內(nèi)容進(jìn)行驗(yàn)收。4.2實(shí)施組織架構(gòu)整個(gè)維護(hù)保障人員由****和趨勢(shì)科技共同組成，其中主要涉及到：****信息安全負(fù)責(zé)人、趨勢(shì)科技技術(shù)項(xiàng)目負(fù)責(zé)人和渠道工程師組成的一線服務(wù)小組。趨勢(shì)科技的整個(gè)服務(wù)團(tuán)隊(duì)，由北方區(qū)技術(shù)經(jīng)理作為主管，由項(xiàng)目負(fù)責(zé)人成為趨勢(shì)科技方主要聯(lián)系接口人，為****提供實(shí)施的整體協(xié)調(diào)。當(dāng)出現(xiàn)緊急事件時(shí)，統(tǒng)一由****信息安全負(fù)責(zé)人聯(lián)系項(xiàng)目負(fù)責(zé)人，對(duì)事件進(jìn)行處理。具體人員組織安排參見下圖：趨勢(shì)科技行業(yè)技術(shù)經(jīng)理對(duì)趨勢(shì)科技技術(shù)部門內(nèi)資源協(xié)調(diào)最終決策的人員。項(xiàng)目負(fù)責(zé)人作為趨勢(shì)科技針對(duì)****在虛擬化安全項(xiàng)目的主要負(fù)責(zé)人和接口人，協(xié)調(diào)趨勢(shì)科技和****之間的工作進(jìn)程和人員之間的協(xié)調(diào)工作，同時(shí)負(fù)責(zé)7*24小時(shí)通過、的方式為****提供技術(shù)支持、方案建議等服務(wù)。渠道工程師在實(shí)施過程中，有項(xiàng)目的渠道商指定工程師與趨勢(shì)科技工程師一起完成項(xiàng)目?jī)?nèi)容，負(fù)責(zé)產(chǎn)品實(shí)施各項(xiàng)工作。單位羅海龍行業(yè)技術(shù)經(jīng)理Oliver_Luotrendmicro..*鵬飛項(xiàng)目負(fù)責(zé)人Pengfei_Zhangtrendmicro..4.3項(xiàng)目實(shí)施內(nèi)容4.3.1項(xiàng)目準(zhǔn)備為了確保整個(gè)實(shí)施過程的高效有效，****和趨勢(shì)科技都需建立專門的項(xiàng)目指導(dǎo)小組并組成聯(lián)合項(xiàng)目指導(dǎo)小組。趨勢(shì)科技項(xiàng)目指導(dǎo)小組由趨勢(shì)銷售經(jīng)理和趨勢(shì)科技技術(shù)經(jīng)理組成，控制項(xiàng)目的整個(gè)實(shí)施過程。同時(shí)，趨勢(shì)科技成立項(xiàng)目實(shí)施小組，在聯(lián)合項(xiàng)目指導(dǎo)小組的領(lǐng)導(dǎo)下完成項(xiàng)目各節(jié)點(diǎn)的具體實(shí)施工作。****的人員須擁有跨部門協(xié)調(diào)和管理該項(xiàng)目整體的權(quán)利。建議****項(xiàng)目指導(dǎo)小組在項(xiàng)目實(shí)施結(jié)束后保留下來，作為負(fù)責(zé)安全問題的專門小組，以便于今后安全工作的協(xié)調(diào)和管理，也利于與趨勢(shì)科技建立暢通的溝通渠道。趨勢(shì)科技項(xiàng)目指導(dǎo)小組成員：趨勢(shì)科技項(xiàng)目總協(xié)調(diào)人：炳宏濤趨勢(shì)科技技術(shù)經(jīng)理：羅海龍項(xiàng)目負(fù)責(zé)任人：*鵬飛4.3.2項(xiàng)目調(diào)研調(diào)研目標(biāo)：獲取****信息系統(tǒng)實(shí)際的網(wǎng)絡(luò)狀況和虛擬化應(yīng)用狀況，為項(xiàng)目實(shí)施做好準(zhǔn)備，同時(shí)根據(jù)實(shí)際情況對(duì)真實(shí)需求進(jìn)行必要的修正，與相關(guān)系統(tǒng)管理員進(jìn)行必要的前期溝通。按照產(chǎn)品的安裝要求以及軟件網(wǎng)絡(luò)安全的規(guī)*與管理人員進(jìn)行技術(shù)溝通和交流,確定需要調(diào)整的網(wǎng)絡(luò)結(jié)構(gòu)和各種需要增補(bǔ)的軟件補(bǔ)丁。調(diào)研措施： 1、趨勢(shì)科技提供產(chǎn)品安裝系統(tǒng)需求文檔； 2、針對(duì)虛擬化服務(wù)器進(jìn)行詳細(xì)的記錄，同時(shí)記錄各單位管理人員的聯(lián)系方式。調(diào)研文檔：趨勢(shì)科技提供網(wǎng)絡(luò)調(diào)研狀況一覽表文檔，由各級(jí)管理員進(jìn)行填寫，匯總至****項(xiàng)目指導(dǎo)小組。4.3.3項(xiàng)目實(shí)施項(xiàng)目實(shí)施前，趨勢(shì)科技與****項(xiàng)目組、集成方詳細(xì)討論規(guī)劃項(xiàng)目進(jìn)度，趨勢(shì)科技建議基于如下原則進(jìn)行：先培訓(xùn)，后測(cè)試，再上線；****項(xiàng)目實(shí)施步驟項(xiàng)目實(shí)施小組確認(rèn)設(shè)備環(huán)境是否滿足安裝需求；項(xiàng)目實(shí)施小組與****管理人員配合完成vShield接口的安裝與配置；項(xiàng)目實(shí)施小組與****管理人員配合完成DeepSecurity的安裝與配置；安全域劃分4.3.4項(xiàng)目驗(yàn)收驗(yàn)收目標(biāo)：雙方確認(rèn)系統(tǒng)正常功能的完整實(shí)現(xiàn)；雙方建立暢通的售后溝通渠道；驗(yàn)收措施： 趨勢(shì)科技與****指導(dǎo)小組制訂詳細(xì)的項(xiàng)目驗(yàn)收計(jì)劃及日程安排；趨勢(shì)科技與集成方、各單位管理人員共同完成整體驗(yàn)收?qǐng)?bào)告。4.4項(xiàng)目實(shí)施計(jì)劃4.4.1項(xiàng)目實(shí)施分工在項(xiàng)目實(shí)施中，趨勢(shì)科技將在成立若干項(xiàng)目實(shí)施小組。每個(gè)小組將遵照推**裝計(jì)劃，分別到不同單位與當(dāng)?shù)毓芾砣藛T一道完成培訓(xùn)工作和安裝工作。整個(gè)項(xiàng)目參與人力包括：聯(lián)合項(xiàng)目指導(dǎo)小組（****、集成方項(xiàng)目指導(dǎo)小組＋趨勢(shì)科技項(xiàng)目指導(dǎo)小組）、項(xiàng)目實(shí)施小組、各應(yīng)用管理人員等。整個(gè)項(xiàng)目實(shí)施中分工安排如下：項(xiàng)目環(huán)節(jié)項(xiàng)目主導(dǎo)者項(xiàng)目配合者1、設(shè)備訂購與驗(yàn)收****項(xiàng)目指導(dǎo)小組趨勢(shì)科技項(xiàng)目指導(dǎo)小組2、項(xiàng)目準(zhǔn)備聯(lián)合項(xiàng)目指導(dǎo)小組管理人員3、項(xiàng)目調(diào)研聯(lián)合項(xiàng)目指導(dǎo)小組管理人員4、項(xiàng)目實(shí)施聯(lián)合項(xiàng)目指導(dǎo)小組管理人員5、項(xiàng)目驗(yàn)收聯(lián)合項(xiàng)目指導(dǎo)小組管理人員4.4.2項(xiàng)目實(shí)施計(jì)劃售后服務(wù)趨勢(shì)科技可以提供如下服務(wù)內(nèi)容：1、技術(shù)支持部分訪問趨勢(shì)科技中文獲得針對(duì)產(chǎn)品和防病毒問題的自助服務(wù)。：.trendmicro..產(chǎn)品技術(shù)支持服務(wù)：通過或傳真、免費(fèi)熱線方式，獲得免費(fèi)技術(shù)支持服務(wù)。病毒問題支持服務(wù)：通過或傳真、免費(fèi)熱線方式，獲得免費(fèi)支持服務(wù)。技術(shù)支持：servicetrendmicro..；傳真：021-6384-1899熱線：(021-6100-6656)；服務(wù)時(shí)間︰周一至周五（國定節(jié)假日除外）9:00-12:00；13:00-17:302、Activeupdate自動(dòng)升級(jí)服務(wù)在有效服務(wù)期內(nèi)，客戶所使用的產(chǎn)品的安全組件可免費(fèi)合法進(jìn)行自動(dòng)或手工升級(jí)?？筛碌陌踩M件包括：特征碼(pattern)，掃描引擎(Engine)，產(chǎn)品本身的修補(bǔ)程序(Hotfi*、Patch、ServicePack)，等等。3、新版本更新權(quán)利在有效服務(wù)期內(nèi)，針對(duì)客戶正在使用的產(chǎn)品中，如果趨勢(shì)科在市場(chǎng)上推出了相應(yīng)的新版本，則客戶享有在服務(wù)期內(nèi)免費(fèi)使用該新版本的權(quán)利?？蛻艨呻S時(shí)免費(fèi)下載最新版產(chǎn)品或服務(wù)升級(jí)包，使用所購產(chǎn)品的最新版本。項(xiàng)目驗(yàn)收之日起由軟硬件原廠商提供一年免費(fèi)設(shè)備軟硬件維保服務(wù)、版本升級(jí)服務(wù)、支持、技術(shù)支持、臨時(shí)備機(jī)。4、現(xiàn)場(chǎng)培訓(xùn)軟件原廠商為我司相關(guān)安全人員提供軟件使用、維護(hù)及相應(yīng)vShield接口使用和維護(hù)的現(xiàn)場(chǎng)技術(shù)培訓(xùn)；提供產(chǎn)品運(yùn)維手冊(cè)。5、應(yīng)急響應(yīng)服務(wù)提高（7×24）現(xiàn)場(chǎng)應(yīng)急服務(wù)。總結(jié)雖然虛擬化IT基礎(chǔ)設(shè)施將與物理服務(wù)器環(huán)境共同面對(duì)相同的安全挑戰(zhàn)，但用戶可以充分利用多處理器、多核體系結(jié)構(gòu)和虛擬化軟件提供安全機(jī)制對(duì)其進(jìn)行防護(hù)。此外，現(xiàn)在和將來都可以通過采用由諸如VshieldAPIs在虛擬化平臺(tái)中的不斷演化來實(shí)現(xiàn)安全性增強(qiáng)策略，從而保護(hù)虛擬化IT資源。通過采用由趨勢(shì)科技所提供的安全軟件以及靈活的方法，能夠優(yōu)化防護(hù)迅速部署解決方案，并且在不引入瓶頸或冗余控制的前提下，可以確保全部虛擬機(jī)的安全基線。趨勢(shì)科技能夠幫助用戶擴(kuò)展虛擬化部署以保護(hù)全部關(guān)鍵任務(wù)系統(tǒng)。DeepSecurity物理器只需安裝一次，以無代理形式提供安全防護(hù)，提升了服務(wù)器使用率，相同硬件能提高搭載虛機(jī)量。簡(jiǎn)化管理；主機(jī)一次性安裝，部署；虛擬機(jī)：無代理配置，即便裸機(jī)也能立即保護(hù)。數(shù)據(jù)中心服務(wù)器安全架構(gòu)必須解決不斷變化的IT架構(gòu)問題，包括虛擬化和整合、新服務(wù)交付模式以及云計(jì)算。對(duì)于所有這些數(shù)據(jù)中心模式，DeepSecurity解決方案可幫助：預(yù)防數(shù)據(jù)泄露和業(yè)務(wù)中斷在服務(wù)器自身位置提供一道防線–無論是物理服務(wù)器、虛擬服務(wù)器還是云服務(wù)器針對(duì)Web和企業(yè)應(yīng)用程序以及操作系統(tǒng)中的已知和未知漏洞進(jìn)行防護(hù)，并阻止對(duì)這些系統(tǒng)的攻擊幫助您識(shí)別可疑活動(dòng)及行為，并采取主動(dòng)或預(yù)防性的措施6.2實(shí)現(xiàn)合規(guī)性滿足六大PCI合規(guī)性要求（包括Web應(yīng)用程序安全、文件完整性監(jiān)控和服務(wù)器日志收集）及其他各類合規(guī)性要求提供記錄了所阻止的攻擊和策略合規(guī)性狀態(tài)的詳細(xì)可審計(jì)報(bào)告，縮短了支持審計(jì)所需的準(zhǔn)備時(shí)間6.3支持降低運(yùn)營(yíng)成本提供漏洞防護(hù)，以便能夠?qū)Π踩幋a措施排定優(yōu)先級(jí)，并且可以更具成本效益地實(shí)施未預(yù)定的補(bǔ)丁為組織充分利用虛擬化或云計(jì)算并實(shí)現(xiàn)這些方法中固有的成本削減提供必要的安全性以單個(gè)集中管理的軟件代理提供全面的防護(hù)–消除了部署多個(gè)軟件客戶端的必要性及相關(guān)成本6.4全面易管理的安全性DeepSecurity解決方案使用不同的模塊滿足了關(guān)鍵服務(wù)器和應(yīng)用程序的防護(hù)要求：DeepSecurity模塊據(jù)中心要求深度數(shù)據(jù)包檢查防火墻完整性監(jiān)控日志審計(jì)IDS/IPSWeb應(yīng)用程序防護(hù)應(yīng)用程序控制服務(wù)器防護(hù)–預(yù)防已知攻擊和零日攻擊

–安裝補(bǔ)丁之