虛擬化桌面安全解決方案

1、 虛擬化桌面安全解決方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc110794307 第1章.概述 PAGEREF _Toc110794307 h 6 HYPERLINK l _Toc110794308 1.1 XXXX 虛擬化桌面概述 PAGEREF _Toc110794308 h 6 HYPERLINK l _Toc110794309 1.2 XXXX虛擬桌面安全概述傳統(tǒng)安全解決方案 PAGEREF _Toc110794309 h 7 HYPERLINK l _Toc110794310 第2章.需求分析 PAGEREF _Toc110794310 h 7 HYP

2、ERLINK l _Toc110794311 2.1虛擬化桌面中傳統(tǒng)安全應用的威脅分析 PAGEREF _Toc110794311 h 7 HYPERLINK l _Toc110794312 2.1.1 虛擬機相互攻擊 PAGEREF _Toc110794312 h 8 HYPERLINK l _Toc110794313 2.1.2 隨時保護性間歇啟動 PAGEREF _Toc110794313 h 8 HYPERLINK l _Toc110794314 2.1.3 管理成本上升 PAGEREF _Toc110794314 h 9 HYPERLINK l _Toc110794315 2.1.4

3、 資源競爭 PAGEREF _Toc110794315 h 10 HYPERLINK l _Toc110794316 無代理虛擬化桌面安全保護的必要性 PAGEREF _Toc110794316 h 11 HYPERLINK l _Toc110794317 第3章.趨勢科技虛擬桌面安全解決方案 PAGEREF _Toc110794317 h 12 HYPERLINK l _Toc110794318 3.1安全虛擬機技術(shù)及工作原理 PAGEREF _Toc110794318 h 12 HYPERLINK l _Toc110794319 3.2 與傳統(tǒng)安全解決方案的區(qū)別 PAGEREF _Toc1

4、10794319 h 14 HYPERLINK l _Toc110794320 3.3 系統(tǒng)架構(gòu) PAGEREF _Toc110794320 h 16 HYPERLINK l _Toc110794321 3.4 產(chǎn)品部署與集成 PAGEREF _Toc110794321 h 17 HYPERLINK l _Toc110794322 3.5 產(chǎn)品特點 PAGEREF _Toc110794322 h 18 HYPERLINK l _Toc110794323 3.5.1 惡意軟件防護 PAGEREF _Toc110794323 h 19 HYPERLINK l _Toc110794324 3.5.2

5、 深度包檢測（DPI）引擎 PAGEREF _Toc110794324 h 19 HYPERLINK l _Toc110794325 3.5.3 入侵檢測與防御（IDS/IPS） PAGEREF _Toc110794325 h 20 HYPERLINK l _Toc110794326 3.5.4 WEB應用安全 PAGEREF _Toc110794326 h 20 HYPERLINK l _Toc110794327 3.5.5 應用控制 PAGEREF _Toc110794327 h 21 HYPERLINK l _Toc110794328 3.5.6 防火墻 PAGEREF _Toc1107

6、94328 h 21 HYPERLINK l _Toc110794329 3.5.7 完整性監(jiān)控 PAGEREF _Toc110794329 h 22 HYPERLINK l _Toc110794330 3.6 系統(tǒng)要求 PAGEREF _Toc110794330 h 23 HYPERLINK l _Toc110794331 第4章.項目實施計劃 PAGEREF _Toc110794331 h 24 HYPERLINK l _Toc110794332 4.1 總體項目規(guī)劃 PAGEREF _Toc110794332 h 24 HYPERLINK l _Toc110794333 4.2 實施組織

7、架構(gòu) PAGEREF _Toc110794333 h 25 HYPERLINK l _Toc110794334 4.3 項目實施內(nèi)容 PAGEREF _Toc110794334 h 26 HYPERLINK l _Toc110794335 4.3.1項目準備 PAGEREF _Toc110794335 h 26 HYPERLINK l _Toc110794336 4.3.2 項目研究 PAGEREF _Toc110794336 h 27 HYPERLINK l _Toc110794337 4.3.3 項目實施 PAGEREF _Toc110794337 h 28 HYPERLINK l _To

8、c110794338 4.3.4 項目驗收 PAGEREF _Toc110794338 h 28 HYPERLINK l _Toc110794339 4.4 項目實施計劃 PAGEREF _Toc110794339 h 29 HYPERLINK l _Toc110794340 4.4.1項目實施分工 PAGEREF _Toc110794340 h 29 HYPERLINK l _Toc110794341 4.4.2 項目實施計劃 PAGEREF _Toc110794341 h 30 HYPERLINK l _Toc110794342 第5章.售后服務 PAGEREF _Toc110794342

9、 h 30 HYPERLINK l _Toc110794343 第6章.總結(jié) PAGEREF _Toc110794343 h 31 HYPERLINK l _Toc110794344 6.1防止數(shù)據(jù)泄露和業(yè)務中斷 PAGEREF _Toc110794344 h 32 HYPERLINK l _Toc110794345 6.2 實現(xiàn)合規(guī) PAGEREF _Toc110794345 h 33 HYPERLINK l _Toc110794346 6.3 支持降低運營成本 PAGEREF _Toc110794346 h 33 HYPERLINK l _Toc110794347 6.4 全面且可管理的安

10、全性 PAGEREF _Toc110794347 h 33 HYPERLINK l _Toc110794348 6.5 虛擬補丁 PAGEREF _Toc110794348 h 35 HYPERLINK l _Toc110794349 6.6 合規(guī)要求 PAGEREF _Toc110794349 h 35 HYPERLINK l _Toc110794350 6.7 Web應用保護 PAGEREF _Toc110794350 h 35 HYPERLINK l _Toc110794351 附錄 1 成功案例 PAGEREF _Toc110794351 h 35概述 PAGEREF _Toc3575

11、75574 h 錯誤!未定義書簽。文件資料：文檔屬性內(nèi)容項目/任務名稱項目/任務編號文件名XXXX 虛擬化桌面安全解決方案文檔版本號V1文件狀態(tài)制片人羅海龍安全級別商業(yè)秘密行政人員羅海龍生產(chǎn)日期2013 年 5 月 28 日審稿人審核日期擴散范圍內(nèi)部使用版本記錄：版本號版本日期創(chuàng)建者/修改者闡明文檔說明：概述1.1 XXXX 虛擬化桌面概述計算機的誕生改變了我們的生活，它正以前所未有的方式影響著我們的生活和工作。隨著科技的發(fā)展，我們的生活離不開電腦，但傳統(tǒng)電腦桌面的使用存在諸多局限，給我們帶來不便。首先，隨著客戶端設備的不斷增加，客戶端系統(tǒng)環(huán)境變得復雜，管理難度大，維護成本增加；客戶端操作系統(tǒng)

12、和應用客戶端需要不斷升級和打補丁；客戶端需要防病毒、防惡意軟件，防止木馬竊取敏感數(shù)據(jù)，但可能還是稀疏；客戶的流動性和分布性使得資源無法共享，利用率低；并且隨著技術(shù)的發(fā)展，硬件更換需要巨額投資等，導致沒有一個可以隨時隨地在任何設備上安全訪問的桌面環(huán)境。同時，“集中監(jiān)控、集中維護、集中管理”已成為中國移動網(wǎng)絡運維的重要模式。桌面云解決方案是基于云計算架構(gòu)的桌面交付解決方案。它使用虛擬化技術(shù)在云計算服務器集群上部署虛擬桌面交付系統(tǒng)。使用桌面云解決方案可以集中管理數(shù)據(jù)中心的桌面，輕松實現(xiàn)安全防護和備份，降低總擁有成本，加強信息安全，降低維護管理成本，響應國家節(jié)能減排號召.在此情況下，自2010年起，中

13、國移動天津公司對網(wǎng)管維護終端、 IT辦公營業(yè)廳終端、虛擬化終端進行集中規(guī)劃、集中管理和集中維護，提升桌面終端的整體管理水平。 .一期工程建設。一期工程包括IT系統(tǒng)平臺單體工程和網(wǎng)管系統(tǒng)平臺單體工程兩部分。分別對IT終端和網(wǎng)管終端進行桌面云系統(tǒng)的建設。 IT系統(tǒng)平臺滿足IT系統(tǒng)300個業(yè)務終端和100個操作。維護終端接入要求；網(wǎng)管系統(tǒng)平臺滿足機場網(wǎng)管監(jiān)控大廳270個監(jiān)控終端的接入需求。在中國移動集中建設和云計算快速發(fā)展的背景下，考慮到瘦客戶端相對于傳統(tǒng)終端的優(yōu)勢，集團公司發(fā)布了中國移動瘦客戶端逐步全面替代傳統(tǒng)PC的指導意見，明確要求：“對于新的固定終端（傳統(tǒng)PC ）的需求，原則上應采用瘦客戶端方

14、案（其中，基于TDM的傳統(tǒng)呼叫中心應停止擴容，呼叫中心的擴容需求應使用基于IP的NGCC呼叫中心+瘦客戶端方案） ；對于現(xiàn)有的傳統(tǒng)PC ，瘦客戶端自然要根據(jù)使用壽命逐步更換。 ”1.2 XXXX虛擬桌面安全概述傳統(tǒng)安全解決方案目前，XXXX采用傳統(tǒng)的方式對虛擬桌面進行安全防護，即在每個虛擬桌面的操作系統(tǒng)中安裝殺毒軟件，在網(wǎng)絡層部署防火墻功能，通過補丁分發(fā)系統(tǒng)進行補丁補丁。該方案沒有考慮到虛擬化技術(shù)的特殊性，存在很多安全隱患，具體分析見下文。需求分析2.1虛擬化桌面中傳統(tǒng)安全應用的威脅分析虛擬化桌面基礎架構(gòu)也給虛擬系統(tǒng)帶來了自身的安全問題。新的安全威脅的出現(xiàn)自然需要新的方法來應對。通過初步調(diào)查，

15、總結(jié)出當前XXXX虛擬化環(huán)境存在的幾個安全隱患。2.1.1 虛擬機相互攻擊虛擬機之間的相互攻擊由于XXXX對虛擬化環(huán)境仍然采用傳統(tǒng)的保護模式，所以主要的保護邊界仍然位于物理主機的邊緣，從而忽略了同一物理主機上不同虛擬機之間的交互。相互攻擊和相互入侵的安全風險。2.1.2 隨時保護性間歇啟動可隨時啟動的間歇性保護由于XXXX目前大量使用Vmware的虛擬化桌面技術(shù)，因此XXXX的運維服務具有更高的靈活性和負載均衡。但與此同時，這些虛擬機由于動態(tài)資源調(diào)整，隨時關閉或打開，造成間歇性保護問題。例如，一個一直處于關機狀態(tài)的虛擬機，會在業(yè)務需要的時候自動啟動，成為后臺服務器組的一部分，但是當這個虛擬機啟

16、動時，它的所有安全狀態(tài)，包括殺毒，都比其他。正在運行的服務器處于滯后和脫節(jié)的位置。2.1.3 管理成本上升系統(tǒng)安全補丁安裝目前，XXXX虛擬化環(huán)境仍會定期采用傳統(tǒng)方式測試，手動安裝分階段發(fā)布的系統(tǒng)補丁。雖然虛擬化桌面本身具有一定的狀態(tài)恢復功能機制。但是，這種方式仍然存在一定的安全隱患。 1、無法保證測試后系統(tǒng)的變化是否會因安裝補丁而導致異常。 2、系統(tǒng)補丁的集中安裝，前期、中期、后期需要大量的人力、物力和技術(shù)支持，部署成本也比較大。2.1.4 資源競爭每個虛擬操作系統(tǒng)上的SEP防病毒客戶端，用于對虛擬化環(huán)境中的虛擬桌面進行病毒防護。防護效果可以達到安全標準，但在資源占用方面存在一定的安全隱患。

17、由于每個殺毒客戶端都會在同一臺物理主機上產(chǎn)生資源消耗，并且當同時發(fā)生客戶端掃描和同時更新時，資源消耗問題變得更加突出。在嚴重的情況下，ESX 服務器可能會宕機。通過以上分析我們知道，雖然傳統(tǒng)的安全設備可以在物理網(wǎng)絡層和操作系統(tǒng)上提供安全保護，但在虛擬環(huán)境中出現(xiàn)了新的安全威脅，例如：虛擬主機之間通信的訪問控制問題，病毒通過網(wǎng)絡傳播的問題。虛擬交換機等。傳統(tǒng)的安全設備無法提供相關的保護，但趨勢科技提供創(chuàng)新的安全技術(shù)，為虛擬環(huán)境提供全面的保護。無代理虛擬化桌面安全保護的必要性XXXX的虛擬桌面一直承載著最重要的數(shù)據(jù)。因此，很容易造成外來入侵者窺探、被入侵、病毒和搶劫。各種威脅會抓住一切機會訪問服務器

18、系統(tǒng)。 XXXX Pin對桌面端采用集中管理和集中防護措施，通過防火墻技術(shù)、殺毒技術(shù)、入侵檢測技術(shù)等傳統(tǒng)安全技術(shù)，在網(wǎng)絡側(cè)建立起一道安全防線各種安全產(chǎn)品開始出現(xiàn)一一添加。安檢線進去。目前，為了降低硬件采購成本，提高服務器資源利用率，XXXX引入了虛擬化桌面技術(shù)，整合現(xiàn)有應用服務器的計算資源，讓現(xiàn)有的安全防線面臨挑戰(zhàn)！服務器虛擬化后，不僅面臨傳統(tǒng)物理機的各種安全問題，而且由于虛擬系統(tǒng)之間的數(shù)據(jù)交換和共享計算資源池，傳統(tǒng)安全技術(shù)難以為虛擬系統(tǒng)提供保護。傳統(tǒng)安全技術(shù)的使用也帶來了計算資源和管理運維的更大消耗，與引入服務器虛擬化的初衷背道而馳。通過前一章的威脅分析發(fā)現(xiàn)，為了降低服務器和虛擬服務器的安全

19、威脅，必須采用創(chuàng)新的安全技術(shù)為服務器提供安全加固。因為傳統(tǒng)的安全技術(shù)應用于虛擬服務器保護，存在一個短板效應：任何疏忽都會使XXXX整個信息系統(tǒng)的安全防線功虧一簣，造成經(jīng)濟和企業(yè)聲譽損失。更重要的是，這些被廣泛使用的傳統(tǒng)安全產(chǎn)品雖然可以在物理網(wǎng)絡層很好地保護服務器系統(tǒng)，但終究無法應對虛擬系統(tǒng)面臨的新的安全威脅。因此，需要創(chuàng)新的安全技術(shù)來完善XXXX信息安全保護體系。同時對最新的安全威脅具有抵抗力，減少安全威脅出現(xiàn)的時間差并能真正防范，提高服務器的安全和抗攻擊能力，從而提供業(yè)務系統(tǒng)的可用性應用程序。趨勢科技虛擬桌面安全解決方案3.1安全虛擬機技術(shù)及工作原理VMware V Shield Endpo

20、int程序使我們能夠部署專用的安全虛擬機，并具有對管理程序 API 的特別授權(quán)訪問權(quán)限。這使得創(chuàng)建獨特的安全控制虛擬機成為可能，正如 Gartner 報告中所述，安全虛擬機技術(shù)從根本上改變了虛擬化世界中的安全和管理概念。這種安全虛擬機是一種在虛擬環(huán)境中實現(xiàn)安全控制的新方法。安全虛擬機利用 API 訪問有關每個虛擬機的特權(quán)狀態(tài)信息，包括其內(nèi)存、狀態(tài)和網(wǎng)絡流量。因為服務器內(nèi)部的整個網(wǎng)絡流量都是可見的，無需更改虛擬網(wǎng)絡配置。包括防病毒、防火墻、IDS/IPS 和系統(tǒng)完整性監(jiān)控在內(nèi)的安全功能可用于保護虛擬機。科技服務器深度安全防護系統(tǒng)通過 vShield Endpoint 提供的實時掃描、預設掃描、清

21、除和修復等數(shù)據(jù)接口對虛擬機中數(shù)據(jù)的病毒代碼進行掃描和判斷，結(jié)合防火墻和 IDS 策略對進入的數(shù)據(jù)進行安全過濾并實時離開虛擬機。 ;在管理方面需要 vShield Manager 和 vCenter 支持；3.2 與傳統(tǒng)安全解決方案的區(qū)別在傳統(tǒng)環(huán)境下的網(wǎng)絡安全拓撲圖中，在網(wǎng)絡出口部署防火墻、殺毒墻、上網(wǎng)行為管理等安全設備，實現(xiàn)內(nèi)外網(wǎng)隔離，過濾外網(wǎng)惡意程序，規(guī)范用戶上網(wǎng)行為。內(nèi)網(wǎng)用戶，同時使用防火墻隔離DMZ，部署IDS監(jiān)控非法訪問服務器，并在服務器上部署殺毒軟件，保障核心服務器安全運行。虛擬化在資源利用率、高可用性、高擴展性等方面具有諸多優(yōu)勢。實現(xiàn)虛擬化后，直觀的感覺就是多臺服務器集中在一臺主機

22、上，而這臺主機同時運行多個操作。系統(tǒng)，提供不同的應用和服務；系統(tǒng)管理員可以根據(jù)需要輕松添加新的應用服務器；按照傳統(tǒng)的安全設計模式，需要在每個操作系統(tǒng)中安裝殺毒軟件，并在網(wǎng)絡層部署防火墻、入侵檢測或入侵防御系統(tǒng)。一些新問題：未激活的虛擬機，物理機下電腦關機后CPU停止運行，網(wǎng)絡關閉。理論上不會有數(shù)據(jù)交互，操作系統(tǒng)不會被感染。但是，在虛擬環(huán)境中，CPU、網(wǎng)絡、底層 ESX 都在工作，封閉的操作系統(tǒng)類似于物理環(huán)境中的應用程序。雖然這個“應用程序”沒有運行，但仍有可能被病毒感染；沖突。殺毒軟件啟用預設掃描后，當指定時間到達時，會同時掃描文件。這時候殺毒軟件對CPU和內(nèi)存的占用急劇增加。當系統(tǒng)資源耗盡時

23、，會導致服務器宕機；管理復雜。由于虛擬化的便利性，系統(tǒng)管理員可以很容易地基于模板生成新系統(tǒng)。這些新系統(tǒng)需要打補丁、更新病毒代碼，也會增加安全管理的復雜度；虛擬化環(huán)境的動態(tài)特性對入侵檢測/預防系統(tǒng)( IDS/IPS )提出了新的挑戰(zhàn)?；诰W(wǎng)絡的 IDS/IPS 也無法監(jiān)控同一 ESX 服務器上的虛擬機之間的通信；由于虛擬機可以快速恢復到以前的狀態(tài)，并且可以使用VMware VMotion 在物理服務器之間輕松移動，因此很難獲得和保持整體一致的安全性。因此，虛擬化讓“消除網(wǎng)絡邊界”的挑戰(zhàn)更加明顯，虛擬化對安全的需求也更加迫切。3.3 系統(tǒng)架構(gòu)趨勢科技服務器深度安全防護系統(tǒng)產(chǎn)品由三部分組成，管理控制

24、平臺（以下簡稱 DSM）；安全虛擬機（以下簡稱DSVA）；安全代理程序（以下簡稱 DSA）。趨勢科技 Deep Security 安全系統(tǒng)管理控制中心 (DSM) 是管理員用來配置和管理安全策略的集中管理組件。所有 DSVA 和 DSA 都將在 DSM 進行注冊，以便統(tǒng)一管理。趨勢科技 Deep Security 安全虛擬機 (DSVA) 是為VMware vSphere環(huán)境構(gòu)建的安全虛擬機，提供反惡意軟件、 IDS/IPS 、防火墻、 Web應用程序保護和應用程序控制保護、數(shù)據(jù)完整性監(jiān)控和其他安全功能。Trend Micro Deep Security Agent (DSA) 是直接部署在操

25、作系統(tǒng)中的安全客戶端，提供IDS/IPS 、防火墻、 Web應用保護、應用控制、完整性監(jiān)控和日志檢查保護等安全功能。3.4 產(chǎn)品部署與集成趨勢科技服務器深度安全防護系統(tǒng)解決方案專為快速企業(yè)部署而設計。它利用現(xiàn)有基礎架構(gòu)并與之集成，以幫助實現(xiàn)更高的運營效率并支持更低的運營成本。VMware 集成：與 VMware vCenter 和 ESX Server 的緊密集成使組織和運營信息能夠從 vCenter 和 ESX 節(jié)點導入到 Deep Security Manager，并將全面的安全性應用于企業(yè)的 VMware 基礎架構(gòu)。SIEM 集成：通過多種集成選項（包括 ArcSight、Intelli

26、tactics、NetIQ、RSA Envision、Q1Labs、LogLogic 等）向 SIEM 提供詳細的服務器級安全事件。目錄集成：與公司目錄集成，包括 Microsoft Active Directory?？膳渲玫墓芾硗ㄐ牛黑厔菘萍挤掌魃疃劝踩雷o系統(tǒng)管理中心或趨勢科技服務器深度安全防護系統(tǒng)客戶端可以啟動通信。這最大限度地減少或消除了集中管理系統(tǒng)通常需要的防火墻更改。軟件分發(fā)：代理軟件可以通過Microsoft SMS、Novell Zenworks 和Altiris 等標準軟件分發(fā)機制輕松部署。最佳過濾：處理流媒體（如互聯(lián)網(wǎng)協(xié)議電視 (IPTV)）的高級功能有助于最大限度地提高

27、性能。趨勢科技服務器深度安全防護系統(tǒng)采用集中式和分布式管理方式，趨勢科技服務器深度安全防護系統(tǒng)服務器端安裝服務器控制臺趨勢科技服務器深度安全防護系統(tǒng)客戶端直接部署在每臺服務器上。服務器場的所有安全策略都可以通過統(tǒng)一的管理控制臺進行設置，并根據(jù)需要分發(fā)到相應的服務器上。整個服務器安全防護系統(tǒng)的管理、監(jiān)控和運維都可以通過管理控制臺進行統(tǒng)一管理。同時，各種安全模塊組件的更新將通過管理控制臺自動或手動分發(fā)到每臺服務器。3.5 產(chǎn)品特點趨勢科技 Deep Security 系統(tǒng)為從虛擬桌面到物理、虛擬或云服務器的數(shù)據(jù)中心提供高級保護，包括：反惡意軟件防火墻入侵檢測和防御(IDS/IPS)網(wǎng)絡應用保護應用

28、程序控制完整性監(jiān)控日志審計3.5.1 惡意軟件防護反惡意軟件模塊可以提供趨勢科技的反惡意軟件保護。惡意代碼包括：病毒、蠕蟲、木馬后門等，包括實時掃描、定時掃描和手動掃描功能，處理措施包括清除、刪除、拒絕訪問或隔離惡意軟件。檢測到惡意軟件時可以生成警報日志。3.5.2 深度包檢測（DPI）引擎實施入侵檢測和預防、Web 應用程序保護和應用程序控制該解決方案的高性能深度數(shù)據(jù)包檢測引擎檢查所有傳入和傳出流量，包括 SSL 流量，以檢查協(xié)議偏差、表示攻擊的內(nèi)容和違反策略的情況。該引擎可以在檢測或防御模式下運行，以保護操作系統(tǒng)和企業(yè)應用程序的漏洞。它保護 Web 應用程序免受應用程序?qū)庸簦?SQL

29、 注入攻擊和跨站點腳本攻擊。詳細的事件提供有價值的信息，包括攻擊者、攻擊的時間和預期的漏洞。當事件發(fā)生時，可以通過警報自動通知管理員。 DPI 用于入侵檢測和防御、Web 應用程序保護和應用程序控制。3.5.3 入侵檢測與防御（IDS/IPS）在修補操作系統(tǒng)和企業(yè)應用程序之前保護它們免受漏洞的影響，以提供針對已知和零日漏洞的及時保護漏洞規(guī)則可保護已知漏洞（例如 Microsoft 交底的漏洞）免受無數(shù)攻擊。趨勢科技服務器深度安全防護系統(tǒng)解決方案為 100 多個應用程序（包括數(shù)據(jù)庫、Web、電子郵件和 FTP 服務器）提供開箱即用的漏洞保護。防止新發(fā)現(xiàn)漏洞的規(guī)則可在數(shù)小時內(nèi)獲得，并可在數(shù)分鐘內(nèi)應

30、用于數(shù)千臺服務器，而無需重新啟動系統(tǒng)：智能規(guī)則通過檢測包含惡意代碼的異常協(xié)議數(shù)據(jù)，針對針對未知漏洞的攻擊提供零日保護。漏洞攻擊規(guī)則阻止已知的攻擊和惡意軟件，類似于傳統(tǒng)的防病毒軟件，它們都使用簽名來識別和阻止已知的單個漏洞。由于趨勢科技是 Microsoft 主動保護計劃 (MAPP) 的當前成員，因此趨勢科技服務器深度安全防護系統(tǒng)解決方案會在每月安全公告之前從 Microsoft 接收漏洞信息。此提前通知有助于預測新出現(xiàn)的威脅，并通過快速有效的安全更新為雙方客戶提供更及時的保護。3.5.4 WEB應用安全趨勢科技服務器深度安全防護系統(tǒng)解決方案符合 PCI 要求 6.6，以保護 Web 應用程序

31、及其處理的數(shù)據(jù)。 Web 應用程序保護規(guī)則可防止 SQL 注入攻擊、跨站點腳本攻擊和其他 Web 應用程序攻擊，直到代碼修復完成。該解決方案使用智能規(guī)則來識別和阻止常見的 Web 應用程序攻擊。根據(jù)客戶要求的滲透測試，我們發(fā)現(xiàn)部署 Deep Security 的 SaaS 數(shù)據(jù)中心保護了其 Web 應用程序和服務器中發(fā)現(xiàn)的 99% 的高嚴重性漏洞。3.5.5 應用控制應用程序控制規(guī)則為訪問網(wǎng)絡的應用程序提供了進一步的可見性控制。這些規(guī)則還可用于識別訪問網(wǎng)絡的惡意軟件或減少服務器漏洞。3.5.6 防火墻減少物理和虛擬服務器的攻擊面趨勢科技服務器深度安全防護系統(tǒng)防火墻軟件模塊是企業(yè)級、雙向和有狀態(tài)

32、的。它可用于啟用正確服務器操作所需的端口和協(xié)議上的通信，并阻止所有其他端口和協(xié)議，從而降低未經(jīng)授權(quán)訪問服務器的風險。其功能如下：虛擬機隔離：使虛擬機能夠在云計算或多租戶虛擬環(huán)境中進行隔離，在不修改虛擬交換機配置的情況下提供虛擬分段。細粒度過濾：通過對 IP 地址、Mac 地址、端口等實施防火墻規(guī)則來過濾流量?？梢詾槊總€網(wǎng)絡接口配置不同的策略。涵蓋所有基于 IP 的協(xié)議：通過支持完整的數(shù)據(jù)包捕獲來簡化故障排除，并為增加的防火墻事件（TCP、UDP、ICMP 等）提供有價值的分析見解。偵察檢測：檢測端口掃描等活動。您還可以限制非 IP 流量，例如 ARP 流量。靈活的控制：狀態(tài)防火墻足夠靈活，可以

33、在適當?shù)臅r候以受控的方式完全繞過檢查。它解決了在任何網(wǎng)絡上遇到的特征不良的流量，無論是在正常情況下還是作為攻擊的一部分。預定義的防火墻配置文件：對常見的企業(yè)服務器類型進行分組，包括 Web、LDAP、DHCP、FTP 和數(shù)據(jù)庫，即使在大型復雜網(wǎng)絡中也能確?？焖?、輕松和一致地部署防火墻策略?？刹僮鞯膱蟾妫和ㄟ^詳細的日志記錄、警報、儀表板和靈活的報告，趨勢科技服務器深度安全防護系統(tǒng)防火墻軟件模塊捕獲和跟蹤配置更改，例如更改策略的內(nèi)容和人員，提供詳細的審計跟蹤。3.5.7 完整性監(jiān)控監(jiān)控未經(jīng)授權(quán)、意外或可疑的更改趨勢科技服務器深度安全防護系統(tǒng)完整性監(jiān)控軟件模塊監(jiān)控關鍵操作系統(tǒng)和應用程序文件，例如目錄

34、、注冊表項和值，以檢測可疑行為。其功能如下：按需或計劃檢查：可以按需計劃或執(zhí)行完整性掃描。廣泛的文件屬性檢查：使用開箱即用的完整性規(guī)則來監(jiān)視文件和目錄的各個方面的更改，包括：內(nèi)容、屬性（如所有者、權(quán)限和大?。┮约叭掌诤蜁r間戳。它還監(jiān)視 Windows 注冊表項、訪問控制列表和日志文件的添加、修改或刪除并提供警報。此功能適用于 PCI DSS10.5.5要求。可審計報告：完整性監(jiān)控模塊在趨勢科技服務器深度安全防護系統(tǒng)管理中心儀表板中顯示完整性事件、生成警報并提供可審計報告。該模塊還通過 Syslog 將事件轉(zhuǎn)發(fā)到安全信息和事件管理 (SIEM) 系統(tǒng)。安全配置文件分組：可以為組或單個服務器配置完

35、整性監(jiān)控規(guī)則，以簡化監(jiān)控規(guī)則集的部署和管理?；€設置：可以創(chuàng)建基線安全配置文件來比較警報的更改并確定適當?shù)牟僮?。靈活實用的監(jiān)控：完整性監(jiān)控模塊提供靈活性和控制力，以優(yōu)化針對您獨特環(huán)境的監(jiān)控活動。這包括在掃描參數(shù)中包含/排除文件或通配符文件名以及包含/排除子目錄的能力。此外，還可以靈活地根據(jù)獨特的要求創(chuàng)建自定義規(guī)則。3.6 系統(tǒng)要求趨勢科技 Deep Security 系統(tǒng)管理器內(nèi)存： 4GB磁盤空間： 1.5GB（推薦5GB ）操作系統(tǒng)： Microsoft Windows Server 2008 （ 32位和64位）、 Windows Server 2008 R2 （ 64位）、 Windo

36、ws 2003 Server SP2 （ 32位和64位）數(shù)據(jù)庫： Oracle 11g 、 Oracle 10g 、 Microsoft SQL Server 2008 SP1 、 Microsoft SQL Server 2005 SP2Web瀏覽器： Mozilla Firefox 3.x （啟用 cookie ）、 Internet Explorer 7.x （啟用 cookie ）和Internet Explorer 8.x （啟用 cookie ）趨勢科技 Deep Security 安全虛擬機內(nèi)存： 1GB磁盤空間： 20GBVMware環(huán)境：VMware vCenter 5.0

37、ESX 5.0VMware工具VMware vShield 管理器VMware vShield 端點安全項目實施計劃4.1 總體項目規(guī)劃項目整體實施分為四個階段，每個階段都需要分階段總結(jié)：（一）項目準備與研究。主要包括組建實施項目組和對現(xiàn)有VMware系統(tǒng)的檢查。（二）項目實施。虛擬化集群的vShield接口（vShield APP和vShield Endpoint）的實現(xiàn)，虛擬機安全解決方案DeepSecurity的實現(xiàn)。按照實施步驟部署 vShield 和趨勢科技服務器深度安全防護系統(tǒng)產(chǎn)品。配置vShield APP界面執(zhí)行的安全域劃分。分析整體環(huán)境，根據(jù)實際情況劃分安全域，通過APP接口

38、實現(xiàn)安全域劃分。（三）項目驗收。產(chǎn)品功能驗收、實施效果等4.2 實施組織架構(gòu)整個維護保障人員由XXXX和趨勢科技組成，主要包括：由XXXX信息安全負責人、趨勢科技技術(shù)項目負責人和渠道工程師組成的一線服務團隊。趨勢科技整個服務團隊由北部地區(qū)的技術(shù)經(jīng)理帶領，項目負責人成為趨勢科技的主要聯(lián)系界面，為XXXX提供整體協(xié)調(diào)實施。發(fā)生緊急情況時，XXXX的信息安全負責人將聯(lián)系項目負責人處理事件。具體人員組織安排如下圖所示：趨勢科技行業(yè)技術(shù)經(jīng)理協(xié)調(diào)趨勢科技技術(shù)集團內(nèi)部資源最終決定的人。專案經(jīng)理作為趨勢科技對XXXX在虛擬化安全項目中的主要負責人和接口人，協(xié)調(diào)趨勢科技與XXXX之間的工作流程和人員協(xié)調(diào)，負責為

39、XXXX提供724小時電話和郵件的技術(shù)支持、節(jié)目建議等服務。渠道工程師在實施過程中，項目的渠道商指定工程師與趨勢科技工程師共同完成項目內(nèi)容，并負責產(chǎn)品實施工作。姓名單元郵件電話羅海龍行業(yè)技術(shù)經(jīng)理Oliver_Lu鵬飛專案經(jīng)理鵬飛_張186104168154.3 項目實施內(nèi)容4.3.1項目準備為了保證整個實施過程的效率和效果， XXXX和趨勢科技都需要成立專門的項目指導組，組成聯(lián)合項目指導組。由趨勢科技銷售經(jīng)理和趨勢科技技術(shù)經(jīng)理組成的趨勢科技項目指導團隊控制著項目的整個實施過程。同時，趨勢科技成立了項目實施小組，在聯(lián)合項目指導組的領導下，完成項目各節(jié)點的具體實施工作。X

40、XXX有權(quán)跨部門協(xié)調(diào)管理整個項目。建議項目實施后保留XXXX項目指導組作為專門負責安全問題的小組，以方便日后安全工作的協(xié)調(diào)和管理，與趨勢科技建立暢通的溝通渠道。趨勢科技項目指導團隊成員：趨勢科技項目協(xié)調(diào)人：兵洪濤趨勢科技技術(shù)經(jīng)理：羅海龍項目負責人：張鵬飛4.3.2 項目研究研究目標：獲取XXXX信息系統(tǒng)的實際網(wǎng)絡狀態(tài)和虛擬化應用狀態(tài)，為項目實施做好準備，根據(jù)實際需要對實際需求進行必要的修正，并與相關系統(tǒng)管理員進行必要的初步溝通。根據(jù)產(chǎn)品的安裝要求和軟件網(wǎng)絡安全規(guī)范，與管理人員進行技術(shù)溝通和交流，確定需要調(diào)整的網(wǎng)絡結(jié)構(gòu)和需要補充的各種軟件補丁。研究措施：1、趨勢科技提供產(chǎn)品安裝系統(tǒng)需求文檔；虛擬

41、化服務器進行詳細記錄，記錄各單位管理人員的聯(lián)系方式。研究文件：趨勢科技提供網(wǎng)絡調(diào)研狀態(tài)文檔列表，由各級管理員填寫并匯總至 XXXX 項目指導組。4.3.3 項目實施在項目實施過程中，趨勢科技與XXXX項目團隊和集成商進行了詳細討論，以規(guī)劃項目的進展。趨勢科技提出以下原則：先培訓，后測試，再上線；XXXX項目實施步驟項目實施組確認設備環(huán)境是否滿足安裝要求；項目實施團隊配合XXXX管理人員完成vShield接口的安裝和配置；項目實施團隊配合XXXX經(jīng)理完成Deep Security的安裝和配置；安全域劃分4.3.4 項目驗收驗收目標：雙方確認系統(tǒng)正常功能的完整實現(xiàn)；雙方建立暢通的售后溝通渠道；驗收

42、措施：趨勢科技與 XXXX 指導小組制定詳細的項目驗收計劃和時間表；集成商和各單位的經(jīng)理一起完成整體驗收報告。4.4 項目實施計劃4.4.1項目實施分工在項目實施過程中，趨勢科技將成立多個項目實施團隊。各組將按照推廣安裝計劃，到不同單位與當?shù)毓芾砣藛T一起完成培訓安裝工作。整個項目涉及的人力資源包括：聯(lián)合項目指導組（XXXX 、集成商項目指導組+趨勢科技項目指導組） 、項目實施組、應用經(jīng)理等。整個項目實施中的分工如下：項目鏈接項目負責人項目合作者一、設備訂購及驗收XXXX 項目指導組趨勢科技項目指導組2.項目準備聯(lián)合項目指導小組經(jīng)理3.項目研究_聯(lián)合項目指導小組經(jīng)理4.項目實施_聯(lián)合項目指導小組

43、經(jīng)理5.項目驗收_聯(lián)合項目指導小組經(jīng)理4.4.2 項目實施計劃售后服務趨勢科技可以提供以下服務：一、技術(shù)支持部分有關產(chǎn)品和防病毒問題的自助服務，請訪問趨勢科技中文網(wǎng)站。網(wǎng)址： http :/產(chǎn)品技術(shù)支持服務：可通過電子郵件或傳真和免費熱線電話獲得免費技術(shù)支持服務。病毒問題支持服務：通過電子郵件或傳真、免費熱線獲得免費支持服務。技術(shù)支持郵箱： service ；傳真： 021-6384-1899熱線： 800-8208839（021-6100-6656） ；服務時間：周一至周五（節(jié)假日除外） 9:00-12:00 ； 13:00 - 17:302.Activeupdate自動升級服務在有效服務期

44、內(nèi)，客戶使用的產(chǎn)品的安全組件可以免費、合法地自動或手動升級?？筛碌陌踩M件包括：模式（pattern） 、掃描引擎（Engine） 、產(chǎn)品自帶的補?。℉otfix 、 Patch 、 Service Pack）等。3.新版本更新權(quán)在有效服務期內(nèi)，如果趨勢科技在客戶正在使用的產(chǎn)品市場上推出相應的新版本，客戶有權(quán)在服務期內(nèi)免費使用新版本?？蛻艨梢噪S時免費下載最新版本的產(chǎn)品或服務升級包，以使用所購買產(chǎn)品的最新版本。自項目驗收之日起，原軟硬件廠商免費提供一年的設備軟硬件維護服務、版本升級服務、電話支持、技術(shù)支持、臨時備機。4、現(xiàn)場培訓vShield接口使用維護的現(xiàn)場技術(shù)培訓；提供產(chǎn)品操作和維護手冊。

45、5. 應急響應服務增強 (7x24) 現(xiàn)場緊急服務?？偨Y(jié)雖然虛擬化 IT 基礎架構(gòu)將面臨與物理服務器環(huán)境相同的安全挑戰(zhàn)，但用戶可以利用多處理器、多核架構(gòu)和虛擬化軟件來提供安全機制來保護它。此外，通過在虛擬化平臺中使用 V shield等 API 的不斷演進來保護虛擬化 IT 資源，現(xiàn)在和未來都可以實施安全增強策略。通過使用趨勢科技提供的安全軟件和靈活的方法，可以快速部署解決方案，優(yōu)化保護，確保所有虛擬機的安全基線，不會引入瓶頸或冗余控制。趨勢科技可以幫助用戶擴展虛擬化部署以保護所有關鍵任務系統(tǒng)。趨勢科技服務器深度安全防護系統(tǒng)物理設備只需安裝一次，以無代理的形式提供安全保護，提高服務器利用率，增

46、加同一硬件上的虛擬機數(shù)量。簡化管理；一次性主機安裝、部署；虛擬機：無代理配置，即使是裸機也可以立即得到保護。數(shù)據(jù)中心服務器安全架構(gòu)必須解決不斷變化的 IT 架構(gòu)問題，包括虛擬化和整合、新的服務交付模式和云計算。對于所有這些數(shù)據(jù)中心模型，趨勢科技服務器深度安全防護系統(tǒng)解決方案可以提供幫助：防止數(shù)據(jù)泄露和業(yè)務中斷在服務器自己的位置提供一道防線無論是物理的、虛擬的還是云的防范 Web 和企業(yè)應用程序和操作系統(tǒng)中的已知和未知漏洞，并防止對這些系統(tǒng)的攻擊幫助您識別可疑活動和行為并采取主動或預防措施6.2 實現(xiàn)合規(guī)滿足六大 PCI 合規(guī)要求（包括 Web 應用程序安全、文件完整性監(jiān)控和服務器日志收集）和其

47、他合規(guī)要求提供詳細的可審計報告，記錄被阻止的攻擊和策略合規(guī)狀態(tài)，減少支持審計所需的準備時間6.3 支持降低運營成本提供漏洞保護，以便可以優(yōu)先考慮安全編碼措施，并且可以更經(jīng)濟高效地實施計劃外補丁為組織提供必要的安全性，以充分利用虛擬化或云計算并實現(xiàn)這些方法固有的成本降低通過單個集中管理的軟件代理提供全面的保護消除部署多個軟件客戶端的需求和相關成本6.4 全面且可管理的安全性趨勢科技服務器深度安全防護系統(tǒng)解決方案使用不同的模塊滿足關鍵的服務器和應用程序保護要求：趨勢科技服務器深度安全防護模塊根據(jù)中心要求深度包檢測防火墻完整性監(jiān)控日志審計入侵檢測系統(tǒng)/IPS網(wǎng)絡應用保護應用程序控制服務器保護 針對已知漏