服務(wù)器整體安全防護(hù)解決方案V2.1

效勞器整體平安解決方案目錄一、 重新思考效勞器所面臨的平安問題 31.1 成為企業(yè)生產(chǎn)運(yùn)行和業(yè)務(wù)運(yùn)轉(zhuǎn)的根本 31.2 企業(yè)應(yīng)用改變帶來的挑戰(zhàn) 31.3 受到不斷變化新威脅攻擊的挑戰(zhàn) 31.4 法律法規(guī)帶來的要求 3二、 效勞器整體平安防護(hù)三階段 42.1【階段一：初級(jí)階段】：保障業(yè)務(wù)和身纏的連續(xù)性和不間斷 42.2【階段二：中級(jí)階段】：確保平安事件可管理和可控制 52.3【階段三：高級(jí)階段】：實(shí)現(xiàn)設(shè)定的平安目標(biāo)和提升平安KPI 5三、 平安防護(hù)三階段的實(shí)現(xiàn) 53.1實(shí)現(xiàn)第一階段目標(biāo)的步驟和方法 53.2實(shí)現(xiàn)第二階段目標(biāo)的步驟和方法 63.3實(shí)現(xiàn)第三階段目標(biāo)的步驟和方法 73.4不斷提升效勞器平安PDCA模型 83.5效勞器平安整體平安防護(hù)的技術(shù)實(shí)現(xiàn) 93.5.1DeepSecurity的五大平安模塊 93.5.2DeepSecurity的架構(gòu) 113.5.3DeepSecurity支持的操作系統(tǒng)和應(yīng)用 123.5.4DeepSecurity提供效勞器平安事件統(tǒng)一監(jiān)控平臺(tái) 12四、 為企業(yè)定制的效勞器平安防護(hù)的最正確實(shí)踐 144.1效勞器分類 144.2正式上線前的小范圍測(cè)試環(huán)節(jié) 144.3正式上線步驟 144.4針對(duì)企業(yè)效勞器主要平安策略應(yīng)用最正確實(shí)踐 154.5建立效勞器平安事件管理流程 214.6設(shè)定效勞器平安管理KPI 22五、 防護(hù)虛擬化效勞器的平安 23六、 DeepSecurity對(duì)企業(yè)帶來的價(jià)值 24七、 效勞器防病毒 25八、 平安策略更新效勞 25重新思考效勞器所面臨的平安問題成為企業(yè)生產(chǎn)運(yùn)行和業(yè)務(wù)運(yùn)轉(zhuǎn)的根本隨著信息化和互聯(lián)網(wǎng)的深入，很難想象脫離了網(wǎng)絡(luò)，現(xiàn)代企業(yè)如何才能進(jìn)行正常運(yùn)轉(zhuǎn)。而效勞器所承載的企業(yè)核心數(shù)據(jù)，核心應(yīng)用甚至企業(yè)的核心知識(shí)產(chǎn)權(quán)等等，讓企業(yè)已經(jīng)無法脫離效勞器。企業(yè)應(yīng)用改變帶來的挑戰(zhàn)Web應(yīng)用：80%的具有一定規(guī)模的行業(yè)用戶或者企業(yè)用戶都有會(huì)自己的Web網(wǎng)站和基于Web的應(yīng)用。虛擬化應(yīng)用：出于資源利用，系統(tǒng)整合以及綠色I(xiàn)T的需要，虛擬化已經(jīng)在企業(yè)內(nèi)部有了大量的應(yīng)用。私有云計(jì)算的應(yīng)用企業(yè)對(duì)于計(jì)算能力，對(duì)于業(yè)務(wù)應(yīng)用等需求，已經(jīng)在公司網(wǎng)絡(luò)內(nèi)部建立的私有云計(jì)算系統(tǒng)。以上這些應(yīng)用給效勞器的平安帶來了更大的挑戰(zhàn)，傳統(tǒng)的平安措施已經(jīng)不能滿足現(xiàn)在IT系統(tǒng)，效勞器系統(tǒng)的平安要求。受到不斷變化新威脅攻擊的挑戰(zhàn)從2000年至今，互聯(lián)網(wǎng)的開展日新月異，新的引用層出不窮。從Web1.0到Web2.0，從2G網(wǎng)絡(luò)升級(jí)到3G網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)接入從笨重的臺(tái)式機(jī)，到輕巧的筆記本電腦，到現(xiàn)在的上網(wǎng)本和終端。隨著互聯(lián)網(wǎng)的開展，人們的工作和生活已經(jīng)發(fā)生了翻天覆地的變化，與此同時(shí)，信息技術(shù)的開展也帶來了平安威脅的開展。平安威脅的攻擊，從單純的攻擊單臺(tái)電腦，到攻擊局域網(wǎng)，攻擊公司網(wǎng)絡(luò)，到現(xiàn)在整個(gè)互聯(lián)網(wǎng)充滿著各種攻擊威脅。在目前的網(wǎng)絡(luò)平安大環(huán)境下，現(xiàn)有的防病毒平安系統(tǒng)已經(jīng)無法承載日新月異的威脅攻擊。為了確保企業(yè)的業(yè)務(wù)連續(xù)性，防止病毒對(duì)企業(yè)的數(shù)據(jù)，應(yīng)用和網(wǎng)絡(luò)帶來威脅，必須對(duì)企業(yè)的平安系統(tǒng)進(jìn)行結(jié)構(gòu)化的完善，尤其在效勞器的平安防護(hù)上，在過去的幾年中，大局部企業(yè)都存在一定的缺乏。法律法規(guī)帶來的要求中國信息平安等級(jí)保護(hù)制度和C-SOX，以及國外的PCI,HIPAA,SAS-70,SOX,GLBA等法律法規(guī)，從法律上也要求了企業(yè)在內(nèi)部信息系統(tǒng)上，到達(dá)一定的平安等級(jí)和應(yīng)用一定的平安策略。效勞器整體平安防護(hù)三階段趨勢(shì)科技根據(jù)20多年來在平安產(chǎn)業(yè)的經(jīng)驗(yàn)，為企業(yè)設(shè)計(jì)了效勞器整體平安防護(hù)的三階段，這三個(gè)階段的核心是利用PDCA模型，對(duì)效勞器的平安進(jìn)行不斷循環(huán)并且前進(jìn)的管理方式。每一個(gè)階段都設(shè)定了明確的技術(shù)目標(biāo)或平安管理目標(biāo)。通過部署平安技術(shù)，管理和控制平安事件來實(shí)現(xiàn)最終的平安目標(biāo)和平安的KPI，把效勞器平安用流程管理起來。2.1【階段一：初級(jí)階段】：保障業(yè)務(wù)和身纏的連續(xù)性和不間斷階段一的主要目標(biāo)是：主動(dòng)實(shí)時(shí)監(jiān)控或防御效勞器漏洞被攻擊以及內(nèi)容被篡改等平安事件；對(duì)效勞器進(jìn)行必要的訪問控制管理2.2【階段二：中級(jí)階段】：確保平安事件可管理和可控制階段二的主要目標(biāo)是：提供效勞器平安審計(jì)及攻擊事件報(bào)告2.3【階段三：高級(jí)階段】：實(shí)現(xiàn)設(shè)定的平安目標(biāo)和提升平安KPI階段三的主要目標(biāo)是：建立效勞器平安事件管理流程平安防護(hù)三階段的實(shí)現(xiàn)趨勢(shì)科技會(huì)根據(jù)企業(yè)的綜合情況，為企業(yè)定制各個(gè)細(xì)項(xiàng)的步驟，來協(xié)助企業(yè)實(shí)現(xiàn)效勞器平安防護(hù)三階段。3.1實(shí)現(xiàn)第一階段目標(biāo)的步驟和方法第一階段的主要工作是對(duì)和效勞器相關(guān)的所有信息進(jìn)行綜合分析，包括：業(yè)務(wù)分類，應(yīng)用分類和重要性分類等等。所有對(duì)效勞器進(jìn)行的平安防護(hù)必須以保障企業(yè)業(yè)務(wù)和生產(chǎn)的穩(wěn)定為前提。所以在第一階段中，趨勢(shì)科技建議采用四大步驟來實(shí)現(xiàn)階段一中的所以目標(biāo)：步驟一：對(duì)效勞器所承載的企業(yè)業(yè)務(wù)，應(yīng)用和重要性進(jìn)行分類。如此，才能在后續(xù)的步驟中，做到有針對(duì)性的分析和防護(hù)，真正的做到有的放矢。步驟二：對(duì)效勞器進(jìn)行平安掃描，并設(shè)立平安基準(zhǔn)線。如此，才能保持企業(yè)所有的效勞器有一個(gè)最根本的平安閥值，后續(xù)平安管理員可以根據(jù)不同的分類進(jìn)行進(jìn)一步的有針對(duì)性的平安策略配置。步驟三：設(shè)計(jì)平安策略模板，并根據(jù)步驟一中的分類，分門別類的進(jìn)行應(yīng)用。如此，可以形成一個(gè)策略池，在策略池中，根據(jù)效勞器的不同分類，有不同的策略。平安管理員可以很方便的進(jìn)行策略的查詢和應(yīng)用步驟四：管理平安狀態(tài)和監(jiān)控異常。進(jìn)入到平安策略生效和管理中3.2實(shí)現(xiàn)第二階段目標(biāo)的步驟和方法第二階段進(jìn)入了日常運(yùn)營階段，在第二階段中，三個(gè)步驟將會(huì)采用PDCA的模型進(jìn)行操作。步驟一：延續(xù)階段一進(jìn)入到效勞器平安日常運(yùn)營階段，實(shí)時(shí)處理重要平安事件。步驟二：每天/周/月審查整合和分類平安報(bào)告。步驟三：根據(jù)平安事件審查結(jié)果進(jìn)行策略的優(yōu)化，形成PDCA循環(huán)往復(fù)的過程。3.3實(shí)現(xiàn)第三階段目標(biāo)的步驟和方法第三階段企業(yè)將進(jìn)入到更高級(jí)別的效勞器平安管理階段，在這個(gè)主要有四個(gè)步驟步驟一：設(shè)定平安目標(biāo)和KPI。不斷加強(qiáng)和穩(wěn)固效勞器的平安性，通過設(shè)定目標(biāo)并且達(dá)成目標(biāo)，以配合企業(yè)業(yè)務(wù)的開展，步驟二：建立流程并且配套資源。為了實(shí)現(xiàn)目標(biāo)和KPI，必須有一套行之有效的流程以及整合必須的資源。在這個(gè)步驟中，趨勢(shì)科技為企業(yè)設(shè)計(jì)了定制的流程，來確保在企業(yè)的資源和能力范圍內(nèi)，能夠到達(dá)平安目標(biāo)。步驟三：評(píng)估結(jié)果和目標(biāo)的落差。定期的Review落差，以明確整個(gè)效勞器平安體系中，哪些個(gè)環(huán)節(jié)有落差。步驟四：協(xié)調(diào)資源彌補(bǔ)落差。在定位到落差后，需要協(xié)調(diào)資源來彌補(bǔ)落差，3.4不斷提升效勞器平安PDCA模型趨勢(shì)科技為企業(yè)設(shè)計(jì)的效勞器平安模型，整體采用的是以PDCA為核心的體系。如此才能把效勞器的平安目標(biāo)和KPI不斷提升。為企業(yè)業(yè)務(wù)的開展提供穩(wěn)固的支撐。3.5效勞器平安整體平安防護(hù)的技術(shù)實(shí)現(xiàn)3.5.1DeepSecurity的五大平安模塊通過TrendMicro效勞器整體平安防護(hù)解決方案DeepSecurity的五大平安模塊提供：防【毒防護(hù)模塊】：提供平安內(nèi)容過濾【firewall模塊】：提供控制訪問【DPI深度包檢測(cè)模塊】：提供監(jiān)控及主動(dòng)防御攻擊【IntegrityMonitor模塊】：提供檢測(cè)系統(tǒng)和應(yīng)用程序運(yùn)行狀態(tài)及恢復(fù)被惡意修改的組件【LogInspection模塊】：審計(jì)系統(tǒng)事件和應(yīng)用程序事件底層病毒防護(hù)無需安裝客戶端提供實(shí)時(shí)平安內(nèi)容過濾提供手動(dòng)平安內(nèi)容過濾提供方案平安內(nèi)容過濾給予專用API接口提高運(yùn)行效率3.5.2DeepSecurity的架構(gòu)DeepSecurity的組件序號(hào)DeepSecurity的組件組件說明部署1DeepSecurityManager〔DSM〕DeepSecurity效勞器平安防護(hù)系統(tǒng)的管理控制端，負(fù)責(zé)管理和維護(hù)整個(gè)系統(tǒng)控制端只需要部署一套2DeepSecurityAgent〔DSA〕DeepSecurity的客戶端，提供四大平安防護(hù)功能直接安裝在效勞器的操作系統(tǒng)上3DeepSecurityVirtualAppliance〔DSVA〕DeepSecurity獨(dú)創(chuàng)的新技術(shù)，用來防護(hù)虛擬效勞器直接安裝在Vmware的ESXServer上，并且能夠和Vcenter效勞器做聯(lián)動(dòng)4DeepSecuritySecurityCenterDeepSecurity的全球平安策略更新效勞器。DSM會(huì)定期的去下載最新的平安更新3.5.3DeepSecurity支持的操作系統(tǒng)和應(yīng)用操作系統(tǒng)Windows(2000,XP,2003,Vista),SunSolaris(8,9,10),RedHatEL(4,5),SuSELinux(9)，AIX，HP-Unix數(shù)據(jù)庫Oracle,MySQL,MicrosoftSQLServer,IngresWeb效勞器MicrosoftIIS,Apache,ApacheTomcat,MicrosoftSharepoint郵件效勞器MicrosoftExchangeServer,Merak,IBMLotusDomino,Mdaemon,Ipswitch,Imail,MailEnableProfessionalFTP效勞器Ipswitch,WarFTPDaemon,AlliedTelesis備份效勞器ComputerAssociates,Symantec,EMC存儲(chǔ)效勞器Symantec,VeritasDHCP效勞器ISCDHCPD郵件客戶端OutlookExpress,MSOutlook,WindowsVistaMail,IBMLotusNotes,IpswitchIMailClient其他應(yīng)用Samba,IBMWebsphere,IBMLotusDominoWebAccess,X.Org,XFontServerprior,Rsync,OpenSSL,NovellClient3.5.4DeepSecurity提供效勞器平安事件統(tǒng)一監(jiān)控平臺(tái)如下列圖所示，在DeepSecurity整體架構(gòu)中，DeepSecurityManager〔DSM〕除了提供統(tǒng)一策略配置和管理之外，同時(shí)還提供效勞器平安事件統(tǒng)一監(jiān)控管理。管理員可以通過DSM對(duì)效勞器群的所有平安事件進(jìn)行管理，便于及時(shí)采取對(duì)應(yīng)的平安防護(hù)措施。同時(shí)，DSM也會(huì)提供各種平安事件報(bào)表。平安事件報(bào)警報(bào)告攻擊事件報(bào)告防火墻事件報(bào)告提供取證的計(jì)算機(jī)審計(jì)報(bào)告效勞器信息報(bào)告完整性檢查報(bào)告完整性檢查詳細(xì)的篡改報(bào)告深度包過濾事件報(bào)告日志審計(jì)報(bào)告日志審計(jì)詳細(xì)報(bào)告效勞器推薦掃描報(bào)告疑似應(yīng)用程序活動(dòng)報(bào)告系統(tǒng)事件報(bào)告系統(tǒng)報(bào)告總結(jié)報(bào)告為企業(yè)定制的效勞器平安防護(hù)的最正確實(shí)踐4.1效勞器分類按照應(yīng)用分類WebServer/DBServer/郵件效勞器/OA應(yīng)用效勞器/文件效勞器/生產(chǎn)效勞器等等按照重要性分類不可停機(jī)，可短暫停機(jī)或可停機(jī)。4.2正式上線前的小范圍測(cè)試環(huán)節(jié)為了確保效勞器整體的穩(wěn)定性，防止平安系統(tǒng)對(duì)效勞器運(yùn)行的影響，故在正式上線前，趨勢(shì)科技建議企業(yè)進(jìn)行有代表性效勞器采樣的小范圍測(cè)試。測(cè)試流程如下：4.3正式上線步驟趨勢(shì)科技建議在企業(yè)內(nèi)部部署DeepSecurity效勞器整體平安防護(hù)系統(tǒng)的步驟。4.4針對(duì)企業(yè)效勞器主要平安策略應(yīng)用最正確實(shí)踐趨勢(shì)科技建議對(duì)企業(yè)效勞器針對(duì)如下九大方面進(jìn)行有針對(duì)性的平安防護(hù)。1、核心應(yīng)用進(jìn)程監(jiān)控：發(fā)現(xiàn)異常立刻通知管理員，進(jìn)行相應(yīng)的處理。2、對(duì)Web應(yīng)用：部署XSS攻擊防護(hù)策略3、對(duì)數(shù)據(jù)庫應(yīng)用：部署SQLInjection防護(hù)策略4、對(duì)系統(tǒng)\效勞\程序漏洞進(jìn)行主動(dòng)防護(hù)，提供虛擬補(bǔ)丁防護(hù)5、對(duì)各類事件進(jìn)行實(shí)時(shí)監(jiān)控6、對(duì)效勞器進(jìn)行訪問控制7、對(duì)核心文件和目錄進(jìn)行監(jiān)控8、對(duì)系統(tǒng)操作進(jìn)行審計(jì)9、對(duì)DDOS攻擊進(jìn)行防護(hù)在進(jìn)行所有的策略部署之前，首先，企業(yè)可以利用DeepSecurity的推薦掃描功能選項(xiàng)對(duì)企業(yè)內(nèi)的效勞器進(jìn)行分析，得出初步的平安威脅分析報(bào)告，以此為基準(zhǔn)線來進(jìn)行進(jìn)一步的平安配置。1、核心應(yīng)用進(jìn)程監(jiān)控：發(fā)現(xiàn)異常立刻通知管理員，進(jìn)行相應(yīng)的處理2、對(duì)Web應(yīng)用：部署XSS攻擊防護(hù)策略3、對(duì)數(shù)據(jù)庫應(yīng)用：部署SQLInjection防護(hù)策略4、對(duì)系統(tǒng)\效勞\程序漏洞進(jìn)行主動(dòng)防護(hù)如下列圖，選擇所有和MS08-067相關(guān)的DPI條目可以對(duì)該漏洞進(jìn)行主動(dòng)防護(hù)5、對(duì)各類事件進(jìn)行實(shí)時(shí)監(jiān)控6、對(duì)效勞器進(jìn)行訪問控制7、對(duì)核心文件和目錄進(jìn)行監(jiān)控8、對(duì)系統(tǒng)操作進(jìn)行審計(jì)9、對(duì)DDOS攻擊進(jìn)行防護(hù)4.5建立效勞器平安事件管理流程從效勞器平安事件角度出發(fā)從管理員監(jiān)控角度出發(fā)4.6設(shè)定效勞器平安管理KPI為整個(gè)效勞器平安管理設(shè)定不同目標(biāo)的KPI，分階段實(shí)施，不斷提高效勞器平安等級(jí)KPI評(píng)估方式第三階段第二階段第一階段操作系統(tǒng)漏洞更新時(shí)間間隔應(yīng)用系統(tǒng)漏洞更新時(shí)間間隔效勞器停機(jī)時(shí)間時(shí)間間隔非授權(quán)訪問次數(shù)非授權(quán)修改次數(shù)例如：操作系統(tǒng)漏洞更新〔天〕第三階段第二階段第一階段Critical漏洞KPI=1KPI=3KPI=7Medium漏洞KPI=7KPI=21KPI=30Low漏洞KPI=30KPI=60KPI=90防護(hù)虛擬化效勞器的平安隨著虛擬化技術(shù)的開展和企業(yè)對(duì)虛擬化技術(shù)的不斷深入應(yīng)用，在虛擬化環(huán)境下，企業(yè)將會(huì)遇到新的平安問題。如下列圖所示：傳統(tǒng)的平安防護(hù)，例如：防火墻等，沒有方法去防護(hù)單臺(tái)物理機(jī)上的多臺(tái)虛擬機(jī)之前互相傳播病毒或者互相攻擊。企業(yè)在應(yīng)用虛擬技術(shù)時(shí)，會(huì)在以下五個(gè)方面提供遇到新的平安問題，這是傳統(tǒng)的平安軟件或者硬件沒有方法解決的。未激活的虛擬機(jī)資源沖突虛擬系統(tǒng)擴(kuò)展虛擬系統(tǒng)間的通訊vMotion虛擬機(jī)遷移趨勢(shì)科技DeepSecurity利用創(chuàng)新的技術(shù)，結(jié)合Vmware的VMsafeAPI，直接把平安防護(hù)組件DSVA，安裝在ESXServer上。直接從虛擬層對(duì)上層的所有虛擬機(jī)統(tǒng)一的提供平安防護(hù)。DSVA在底層可以提供。如上圖所示，通過DSVA的防護(hù)，單臺(tái)物理機(jī)上的所有虛擬效勞器之間的互相攻擊和病毒傳播就可以直接被DSVA阻斷。徹底解決了企業(yè)在應(yīng)用虛擬技術(shù)時(shí)，效勞器所遇到的新的平安問題。所以，DeepSecurity可以在Vmware提供的虛擬環(huán)境下，提供應(yīng)效勞器群新的平安防護(hù)架構(gòu)。如下列圖所示，管理員只需要在ESX主機(jī)上平安DeepSecurity的DSVA組件，就可以提供對(duì)這臺(tái)ESX主機(jī)上所有的虛擬主機(jī)的平安防護(hù)，而不需要在每一臺(tái)虛擬主機(jī)上平安Agent。同時(shí)，DSM會(huì)對(duì)DSVA進(jìn)行統(tǒng)一的監(jiān)控和管理。DeepSecurity對(duì)企業(yè)帶來的價(jià)值通過部署DeepSecurity，企業(yè)在效勞器的平安性上有了本質(zhì)的改變，傳統(tǒng)的平安僅僅在效勞器上安裝防病毒軟件，非常局限。企業(yè)對(duì)于效勞器整體平安性并沒有全面的布防，通過DeepSecurity，企業(yè)的可以獲得：提供深度