1、 虛擬化桌面安全解決方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc110794307 第1章.概述 PAGEREF _Toc110794307 h 6 HYPERLINK l _Toc110794308 1.1 XXXX 虛擬化桌面概述 PAGEREF _Toc110794308 h 6 HYPERLINK l _Toc110794309 1.2 XXXX虛擬桌面安全概述傳統(tǒng)安全解決方案 PAGEREF _Toc110794309 h 7 HYPERLINK l _Toc110794310 第2章.需求分析 PAGEREF _Toc110794310 h 7 HYP

2、ERLINK l _Toc110794311 2.1虛擬化桌面中傳統(tǒng)安全應(yīng)用的威脅分析 PAGEREF _Toc110794311 h 7 HYPERLINK l _Toc110794312 2.1.1 虛擬機(jī)相互攻擊 PAGEREF _Toc110794312 h 8 HYPERLINK l _Toc110794313 2.1.2 隨時保護(hù)性間歇啟動 PAGEREF _Toc110794313 h 8 HYPERLINK l _Toc110794314 2.1.3 管理成本上升 PAGEREF _Toc110794314 h 9 HYPERLINK l _Toc110794315 2.1.4

3、 資源競爭 PAGEREF _Toc110794315 h 10 HYPERLINK l _Toc110794316 無代理虛擬化桌面安全保護(hù)的必要性 PAGEREF _Toc110794316 h 11 HYPERLINK l _Toc110794317 第3章.趨勢科技虛擬桌面安全解決方案 PAGEREF _Toc110794317 h 12 HYPERLINK l _Toc110794318 3.1安全虛擬機(jī)技術(shù)及工作原理 PAGEREF _Toc110794318 h 12 HYPERLINK l _Toc110794319 3.2 與傳統(tǒng)安全解決方案的區(qū)別 PAGEREF _Toc1

4、10794319 h 14 HYPERLINK l _Toc110794320 3.3 系統(tǒng)架構(gòu) PAGEREF _Toc110794320 h 16 HYPERLINK l _Toc110794321 3.4 產(chǎn)品部署與集成 PAGEREF _Toc110794321 h 17 HYPERLINK l _Toc110794322 3.5 產(chǎn)品特點(diǎn) PAGEREF _Toc110794322 h 18 HYPERLINK l _Toc110794323 3.5.1 惡意軟件防護(hù) PAGEREF _Toc110794323 h 19 HYPERLINK l _Toc110794324 3.5.2

5、 深度包檢測（DPI）引擎 PAGEREF _Toc110794324 h 19 HYPERLINK l _Toc110794325 3.5.3 入侵檢測與防御（IDS/IPS） PAGEREF _Toc110794325 h 20 HYPERLINK l _Toc110794326 3.5.4 WEB應(yīng)用安全 PAGEREF _Toc110794326 h 20 HYPERLINK l _Toc110794327 3.5.5 應(yīng)用控制 PAGEREF _Toc110794327 h 21 HYPERLINK l _Toc110794328 3.5.6 防火墻 PAGEREF _Toc1107

6、94328 h 21 HYPERLINK l _Toc110794329 3.5.7 完整性監(jiān)控 PAGEREF _Toc110794329 h 22 HYPERLINK l _Toc110794330 3.6 系統(tǒng)要求 PAGEREF _Toc110794330 h 23 HYPERLINK l _Toc110794331 第4章.項(xiàng)目實(shí)施計(jì)劃 PAGEREF _Toc110794331 h 24 HYPERLINK l _Toc110794332 4.1 總體項(xiàng)目規(guī)劃 PAGEREF _Toc110794332 h 24 HYPERLINK l _Toc110794333 4.2 實(shí)施組織

7、架構(gòu) PAGEREF _Toc110794333 h 25 HYPERLINK l _Toc110794334 4.3 項(xiàng)目實(shí)施內(nèi)容 PAGEREF _Toc110794334 h 26 HYPERLINK l _Toc110794335 4.3.1項(xiàng)目準(zhǔn)備 PAGEREF _Toc110794335 h 26 HYPERLINK l _Toc110794336 4.3.2 項(xiàng)目研究 PAGEREF _Toc110794336 h 27 HYPERLINK l _Toc110794337 4.3.3 項(xiàng)目實(shí)施 PAGEREF _Toc110794337 h 28 HYPERLINK l _To

8、c110794338 4.3.4 項(xiàng)目驗(yàn)收 PAGEREF _Toc110794338 h 28 HYPERLINK l _Toc110794339 4.4 項(xiàng)目實(shí)施計(jì)劃 PAGEREF _Toc110794339 h 29 HYPERLINK l _Toc110794340 4.4.1項(xiàng)目實(shí)施分工 PAGEREF _Toc110794340 h 29 HYPERLINK l _Toc110794341 4.4.2 項(xiàng)目實(shí)施計(jì)劃 PAGEREF _Toc110794341 h 30 HYPERLINK l _Toc110794342 第5章.售后服務(wù) PAGEREF _Toc110794342

9、 h 30 HYPERLINK l _Toc110794343 第6章.總結(jié) PAGEREF _Toc110794343 h 31 HYPERLINK l _Toc110794344 6.1防止數(shù)據(jù)泄露和業(yè)務(wù)中斷 PAGEREF _Toc110794344 h 32 HYPERLINK l _Toc110794345 6.2 實(shí)現(xiàn)合規(guī) PAGEREF _Toc110794345 h 33 HYPERLINK l _Toc110794346 6.3 支持降低運(yùn)營成本 PAGEREF _Toc110794346 h 33 HYPERLINK l _Toc110794347 6.4 全面且可管理的安

10、全性 PAGEREF _Toc110794347 h 33 HYPERLINK l _Toc110794348 6.5 虛擬補(bǔ)丁 PAGEREF _Toc110794348 h 35 HYPERLINK l _Toc110794349 6.6 合規(guī)要求 PAGEREF _Toc110794349 h 35 HYPERLINK l _Toc110794350 6.7 Web應(yīng)用保護(hù) PAGEREF _Toc110794350 h 35 HYPERLINK l _Toc110794351 附錄 1 成功案例 PAGEREF _Toc110794351 h 35概述 PAGEREF _Toc3575

11、75574 h 錯誤!未定義書簽。文件資料：文檔屬性內(nèi)容項(xiàng)目/任務(wù)名稱項(xiàng)目/任務(wù)編號文件名XXXX 虛擬化桌面安全解決方案文檔版本號V1文件狀態(tài)制片人羅海龍安全級別商業(yè)秘密行政人員羅海龍生產(chǎn)日期2013 年 5 月 28 日審稿人審核日期擴(kuò)散范圍內(nèi)部使用版本記錄：版本號版本日期創(chuàng)建者/修改者闡明文檔說明：概述1.1 XXXX 虛擬化桌面概述計(jì)算機(jī)的誕生改變了我們的生活，它正以前所未有的方式影響著我們的生活和工作。隨著科技的發(fā)展，我們的生活離不開電腦，但傳統(tǒng)電腦桌面的使用存在諸多局限，給我們帶來不便。首先，隨著客戶端設(shè)備的不斷增加，客戶端系統(tǒng)環(huán)境變得復(fù)雜，管理難度大，維護(hù)成本增加；客戶端操作系統(tǒng)

12、和應(yīng)用客戶端需要不斷升級和打補(bǔ)丁；客戶端需要防病毒、防惡意軟件，防止木馬竊取敏感數(shù)據(jù)，但可能還是稀疏；客戶的流動性和分布性使得資源無法共享，利用率低；并且隨著技術(shù)的發(fā)展，硬件更換需要巨額投資等，導(dǎo)致沒有一個可以隨時隨地在任何設(shè)備上安全訪問的桌面環(huán)境。同時，“集中監(jiān)控、集中維護(hù)、集中管理”已成為中國移動網(wǎng)絡(luò)運(yùn)維的重要模式。桌面云解決方案是基于云計(jì)算架構(gòu)的桌面交付解決方案。它使用虛擬化技術(shù)在云計(jì)算服務(wù)器集群上部署虛擬桌面交付系統(tǒng)。使用桌面云解決方案可以集中管理數(shù)據(jù)中心的桌面，輕松實(shí)現(xiàn)安全防護(hù)和備份，降低總擁有成本，加強(qiáng)信息安全，降低維護(hù)管理成本，響應(yīng)國家節(jié)能減排號召.在此情況下，自2010年起，中

13、國移動天津公司對網(wǎng)管維護(hù)終端、 IT辦公營業(yè)廳終端、虛擬化終端進(jìn)行集中規(guī)劃、集中管理和集中維護(hù)，提升桌面終端的整體管理水平。 .一期工程建設(shè)。一期工程包括IT系統(tǒng)平臺單體工程和網(wǎng)管系統(tǒng)平臺單體工程兩部分。分別對IT終端和網(wǎng)管終端進(jìn)行桌面云系統(tǒng)的建設(shè)。 IT系統(tǒng)平臺滿足IT系統(tǒng)300個業(yè)務(wù)終端和100個操作。維護(hù)終端接入要求；網(wǎng)管系統(tǒng)平臺滿足機(jī)場網(wǎng)管監(jiān)控大廳270個監(jiān)控終端的接入需求。在中國移動集中建設(shè)和云計(jì)算快速發(fā)展的背景下，考慮到瘦客戶端相對于傳統(tǒng)終端的優(yōu)勢，集團(tuán)公司發(fā)布了中國移動瘦客戶端逐步全面替代傳統(tǒng)PC的指導(dǎo)意見，明確要求：“對于新的固定終端（傳統(tǒng)PC ）的需求，原則上應(yīng)采用瘦客戶端方

14、案（其中，基于TDM的傳統(tǒng)呼叫中心應(yīng)停止擴(kuò)容，呼叫中心的擴(kuò)容需求應(yīng)使用基于IP的NGCC呼叫中心+瘦客戶端方案） ；對于現(xiàn)有的傳統(tǒng)PC ，瘦客戶端自然要根據(jù)使用壽命逐步更換。 ”1.2 XXXX虛擬桌面安全概述傳統(tǒng)安全解決方案目前，XXXX采用傳統(tǒng)的方式對虛擬桌面進(jìn)行安全防護(hù)，即在每個虛擬桌面的操作系統(tǒng)中安裝殺毒軟件，在網(wǎng)絡(luò)層部署防火墻功能，通過補(bǔ)丁分發(fā)系統(tǒng)進(jìn)行補(bǔ)丁補(bǔ)丁。該方案沒有考慮到虛擬化技術(shù)的特殊性，存在很多安全隱患，具體分析見下文。需求分析2.1虛擬化桌面中傳統(tǒng)安全應(yīng)用的威脅分析虛擬化桌面基礎(chǔ)架構(gòu)也給虛擬系統(tǒng)帶來了自身的安全問題。新的安全威脅的出現(xiàn)自然需要新的方法來應(yīng)對。通過初步調(diào)查，

15、總結(jié)出當(dāng)前XXXX虛擬化環(huán)境存在的幾個安全隱患。2.1.1 虛擬機(jī)相互攻擊虛擬機(jī)之間的相互攻擊由于XXXX對虛擬化環(huán)境仍然采用傳統(tǒng)的保護(hù)模式，所以主要的保護(hù)邊界仍然位于物理主機(jī)的邊緣，從而忽略了同一物理主機(jī)上不同虛擬機(jī)之間的交互。相互攻擊和相互入侵的安全風(fēng)險。2.1.2 隨時保護(hù)性間歇啟動可隨時啟動的間歇性保護(hù)由于XXXX目前大量使用Vmware的虛擬化桌面技術(shù)，因此XXXX的運(yùn)維服務(wù)具有更高的靈活性和負(fù)載均衡。但與此同時，這些虛擬機(jī)由于動態(tài)資源調(diào)整，隨時關(guān)閉或打開，造成間歇性保護(hù)問題。例如，一個一直處于關(guān)機(jī)狀態(tài)的虛擬機(jī)，會在業(yè)務(wù)需要的時候自動啟動，成為后臺服務(wù)器組的一部分，但是當(dāng)這個虛擬機(jī)啟

16、動時，它的所有安全狀態(tài)，包括殺毒，都比其他。正在運(yùn)行的服務(wù)器處于滯后和脫節(jié)的位置。2.1.3 管理成本上升系統(tǒng)安全補(bǔ)丁安裝目前，XXXX虛擬化環(huán)境仍會定期采用傳統(tǒng)方式測試，手動安裝分階段發(fā)布的系統(tǒng)補(bǔ)丁。雖然虛擬化桌面本身具有一定的狀態(tài)恢復(fù)功能機(jī)制。但是，這種方式仍然存在一定的安全隱患。 1、無法保證測試后系統(tǒng)的變化是否會因安裝補(bǔ)丁而導(dǎo)致異常。 2、系統(tǒng)補(bǔ)丁的集中安裝，前期、中期、后期需要大量的人力、物力和技術(shù)支持，部署成本也比較大。2.1.4 資源競爭每個虛擬操作系統(tǒng)上的SEP防病毒客戶端，用于對虛擬化環(huán)境中的虛擬桌面進(jìn)行病毒防護(hù)。防護(hù)效果可以達(dá)到安全標(biāo)準(zhǔn)，但在資源占用方面存在一定的安全隱患。

17、由于每個殺毒客戶端都會在同一臺物理主機(jī)上產(chǎn)生資源消耗，并且當(dāng)同時發(fā)生客戶端掃描和同時更新時，資源消耗問題變得更加突出。在嚴(yán)重的情況下，ESX 服務(wù)器可能會宕機(jī)。通過以上分析我們知道，雖然傳統(tǒng)的安全設(shè)備可以在物理網(wǎng)絡(luò)層和操作系統(tǒng)上提供安全保護(hù)，但在虛擬環(huán)境中出現(xiàn)了新的安全威脅，例如：虛擬主機(jī)之間通信的訪問控制問題，病毒通過網(wǎng)絡(luò)傳播的問題。虛擬交換機(jī)等。傳統(tǒng)的安全設(shè)備無法提供相關(guān)的保護(hù)，但趨勢科技提供創(chuàng)新的安全技術(shù)，為虛擬環(huán)境提供全面的保護(hù)。無代理虛擬化桌面安全保護(hù)的必要性XXXX的虛擬桌面一直承載著最重要的數(shù)據(jù)。因此，很容易造成外來入侵者窺探、被入侵、病毒和搶劫。各種威脅會抓住一切機(jī)會訪問服務(wù)器

18、系統(tǒng)。 XXXX Pin對桌面端采用集中管理和集中防護(hù)措施，通過防火墻技術(shù)、殺毒技術(shù)、入侵檢測技術(shù)等傳統(tǒng)安全技術(shù)，在網(wǎng)絡(luò)側(cè)建立起一道安全防線各種安全產(chǎn)品開始出現(xiàn)一一添加。安檢線進(jìn)去。目前，為了降低硬件采購成本，提高服務(wù)器資源利用率，XXXX引入了虛擬化桌面技術(shù)，整合現(xiàn)有應(yīng)用服務(wù)器的計(jì)算資源，讓現(xiàn)有的安全防線面臨挑戰(zhàn)！服務(wù)器虛擬化后，不僅面臨傳統(tǒng)物理機(jī)的各種安全問題，而且由于虛擬系統(tǒng)之間的數(shù)據(jù)交換和共享計(jì)算資源池，傳統(tǒng)安全技術(shù)難以為虛擬系統(tǒng)提供保護(hù)。傳統(tǒng)安全技術(shù)的使用也帶來了計(jì)算資源和管理運(yùn)維的更大消耗，與引入服務(wù)器虛擬化的初衷背道而馳。通過前一章的威脅分析發(fā)現(xiàn)，為了降低服務(wù)器和虛擬服務(wù)器的安全

19、威脅，必須采用創(chuàng)新的安全技術(shù)為服務(wù)器提供安全加固。因?yàn)閭鹘y(tǒng)的安全技術(shù)應(yīng)用于虛擬服務(wù)器保護(hù)，存在一個短板效應(yīng)：任何疏忽都會使XXXX整個信息系統(tǒng)的安全防線功虧一簣，造成經(jīng)濟(jì)和企業(yè)聲譽(yù)損失。更重要的是，這些被廣泛使用的傳統(tǒng)安全產(chǎn)品雖然可以在物理網(wǎng)絡(luò)層很好地保護(hù)服務(wù)器系統(tǒng)，但終究無法應(yīng)對虛擬系統(tǒng)面臨的新的安全威脅。因此，需要創(chuàng)新的安全技術(shù)來完善XXXX信息安全保護(hù)體系。同時對最新的安全威脅具有抵抗力，減少安全威脅出現(xiàn)的時間差并能真正防范，提高服務(wù)器的安全和抗攻擊能力，從而提供業(yè)務(wù)系統(tǒng)的可用性應(yīng)用程序。趨勢科技虛擬桌面安全解決方案3.1安全虛擬機(jī)技術(shù)及工作原理VMware V Shield Endpo

20、int程序使我們能夠部署專用的安全虛擬機(jī)，并具有對管理程序 API 的特別授權(quán)訪問權(quán)限。這使得創(chuàng)建獨(dú)特的安全控制虛擬機(jī)成為可能，正如 Gartner 報告中所述，安全虛擬機(jī)技術(shù)從根本上改變了虛擬化世界中的安全和管理概念。這種安全虛擬機(jī)是一種在虛擬環(huán)境中實(shí)現(xiàn)安全控制的新方法。安全虛擬機(jī)利用 API 訪問有關(guān)每個虛擬機(jī)的特權(quán)狀態(tài)信息，包括其內(nèi)存、狀態(tài)和網(wǎng)絡(luò)流量。因?yàn)榉?wù)器內(nèi)部的整個網(wǎng)絡(luò)流量都是可見的，無需更改虛擬網(wǎng)絡(luò)配置。包括防病毒、防火墻、IDS/IPS 和系統(tǒng)完整性監(jiān)控在內(nèi)的安全功能可用于保護(hù)虛擬機(jī)?？萍挤?wù)器深度安全防護(hù)系統(tǒng)通過 vShield Endpoint 提供的實(shí)時掃描、預(yù)設(shè)掃描、清

21、除和修復(fù)等數(shù)據(jù)接口對虛擬機(jī)中數(shù)據(jù)的病毒代碼進(jìn)行掃描和判斷，結(jié)合防火墻和 IDS 策略對進(jìn)入的數(shù)據(jù)進(jìn)行安全過濾并實(shí)時離開虛擬機(jī)。 ;在管理方面需要 vShield Manager 和 vCenter 支持；3.2 與傳統(tǒng)安全解決方案的區(qū)別在傳統(tǒng)環(huán)境下的網(wǎng)絡(luò)安全拓?fù)鋱D中，在網(wǎng)絡(luò)出口部署防火墻、殺毒墻、上網(wǎng)行為管理等安全設(shè)備，實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，過濾外網(wǎng)惡意程序，規(guī)范用戶上網(wǎng)行為。內(nèi)網(wǎng)用戶，同時使用防火墻隔離DMZ，部署IDS監(jiān)控非法訪問服務(wù)器，并在服務(wù)器上部署殺毒軟件，保障核心服務(wù)器安全運(yùn)行。虛擬化在資源利用率、高可用性、高擴(kuò)展性等方面具有諸多優(yōu)勢。實(shí)現(xiàn)虛擬化后，直觀的感覺就是多臺服務(wù)器集中在一臺主機(jī)

22、上，而這臺主機(jī)同時運(yùn)行多個操作。系統(tǒng)，提供不同的應(yīng)用和服務(wù)；系統(tǒng)管理員可以根據(jù)需要輕松添加新的應(yīng)用服務(wù)器；按照傳統(tǒng)的安全設(shè)計(jì)模式，需要在每個操作系統(tǒng)中安裝殺毒軟件，并在網(wǎng)絡(luò)層部署防火墻、入侵檢測或入侵防御系統(tǒng)。一些新問題：未激活的虛擬機(jī)，物理機(jī)下電腦關(guān)機(jī)后CPU停止運(yùn)行，網(wǎng)絡(luò)關(guān)閉。理論上不會有數(shù)據(jù)交互，操作系統(tǒng)不會被感染。但是，在虛擬環(huán)境中，CPU、網(wǎng)絡(luò)、底層 ESX 都在工作，封閉的操作系統(tǒng)類似于物理環(huán)境中的應(yīng)用程序。雖然這個“應(yīng)用程序”沒有運(yùn)行，但仍有可能被病毒感染；沖突。殺毒軟件啟用預(yù)設(shè)掃描后，當(dāng)指定時間到達(dá)時，會同時掃描文件。這時候殺毒軟件對CPU和內(nèi)存的占用急劇增加。當(dāng)系統(tǒng)資源耗盡時

23、，會導(dǎo)致服務(wù)器宕機(jī)；管理復(fù)雜。由于虛擬化的便利性，系統(tǒng)管理員可以很容易地基于模板生成新系統(tǒng)。這些新系統(tǒng)需要打補(bǔ)丁、更新病毒代碼，也會增加安全管理的復(fù)雜度；虛擬化環(huán)境的動態(tài)特性對入侵檢測/預(yù)防系統(tǒng)( IDS/IPS )提出了新的挑戰(zhàn)?；诰W(wǎng)絡(luò)的 IDS/IPS 也無法監(jiān)控同一 ESX 服務(wù)器上的虛擬機(jī)之間的通信；由于虛擬機(jī)可以快速恢復(fù)到以前的狀態(tài)，并且可以使用VMware VMotion 在物理服務(wù)器之間輕松移動，因此很難獲得和保持整體一致的安全性。因此，虛擬化讓“消除網(wǎng)絡(luò)邊界”的挑戰(zhàn)更加明顯，虛擬化對安全的需求也更加迫切。3.3 系統(tǒng)架構(gòu)趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)產(chǎn)品由三部分組成，管理控制

24、平臺（以下簡稱 DSM）；安全虛擬機(jī)（以下簡稱DSVA）；安全代理程序（以下簡稱 DSA）。趨勢科技 Deep Security 安全系統(tǒng)管理控制中心 (DSM) 是管理員用來配置和管理安全策略的集中管理組件。所有 DSVA 和 DSA 都將在 DSM 進(jìn)行注冊，以便統(tǒng)一管理。趨勢科技 Deep Security 安全虛擬機(jī) (DSVA) 是為VMware vSphere環(huán)境構(gòu)建的安全虛擬機(jī)，提供反惡意軟件、 IDS/IPS 、防火墻、 Web應(yīng)用程序保護(hù)和應(yīng)用程序控制保護(hù)、數(shù)據(jù)完整性監(jiān)控和其他安全功能。Trend Micro Deep Security Agent (DSA) 是直接部署在操

25、作系統(tǒng)中的安全客戶端，提供IDS/IPS 、防火墻、 Web應(yīng)用保護(hù)、應(yīng)用控制、完整性監(jiān)控和日志檢查保護(hù)等安全功能。3.4 產(chǎn)品部署與集成趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)解決方案專為快速企業(yè)部署而設(shè)計(jì)。它利用現(xiàn)有基礎(chǔ)架構(gòu)并與之集成，以幫助實(shí)現(xiàn)更高的運(yùn)營效率并支持更低的運(yùn)營成本。VMware 集成：與 VMware vCenter 和 ESX Server 的緊密集成使組織和運(yùn)營信息能夠從 vCenter 和 ESX 節(jié)點(diǎn)導(dǎo)入到 Deep Security Manager，并將全面的安全性應(yīng)用于企業(yè)的 VMware 基礎(chǔ)架構(gòu)。SIEM 集成：通過多種集成選項(xiàng)（包括 ArcSight、Intelli

26、tactics、NetIQ、RSA Envision、Q1Labs、LogLogic 等）向 SIEM 提供詳細(xì)的服務(wù)器級安全事件。目錄集成：與公司目錄集成，包括 Microsoft Active Directory?？膳渲玫墓芾硗ㄐ牛黑厔菘萍挤?wù)器深度安全防護(hù)系統(tǒng)管理中心或趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)客戶端可以啟動通信。這最大限度地減少或消除了集中管理系統(tǒng)通常需要的防火墻更改。軟件分發(fā)：代理軟件可以通過Microsoft SMS、Novell Zenworks 和Altiris 等標(biāo)準(zhǔn)軟件分發(fā)機(jī)制輕松部署。最佳過濾：處理流媒體（如互聯(lián)網(wǎng)協(xié)議電視 (IPTV)）的高級功能有助于最大限度地提高

27、性能。趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)采用集中式和分布式管理方式，趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)服務(wù)器端安裝服務(wù)器控制臺趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)客戶端直接部署在每臺服務(wù)器上。服務(wù)器場的所有安全策略都可以通過統(tǒng)一的管理控制臺進(jìn)行設(shè)置，并根據(jù)需要分發(fā)到相應(yīng)的服務(wù)器上。整個服務(wù)器安全防護(hù)系統(tǒng)的管理、監(jiān)控和運(yùn)維都可以通過管理控制臺進(jìn)行統(tǒng)一管理。同時，各種安全模塊組件的更新將通過管理控制臺自動或手動分發(fā)到每臺服務(wù)器。3.5 產(chǎn)品特點(diǎn)趨勢科技 Deep Security 系統(tǒng)為從虛擬桌面到物理、虛擬或云服務(wù)器的數(shù)據(jù)中心提供高級保護(hù)，包括：反惡意軟件防火墻入侵檢測和防御(IDS/IPS)網(wǎng)絡(luò)應(yīng)用保護(hù)應(yīng)用

28、程序控制完整性監(jiān)控日志審計(jì)3.5.1 惡意軟件防護(hù)反惡意軟件模塊可以提供趨勢科技的反惡意軟件保護(hù)。惡意代碼包括：病毒、蠕蟲、木馬后門等，包括實(shí)時掃描、定時掃描和手動掃描功能，處理措施包括清除、刪除、拒絕訪問或隔離惡意軟件。檢測到惡意軟件時可以生成警報日志。3.5.2 深度包檢測（DPI）引擎實(shí)施入侵檢測和預(yù)防、Web 應(yīng)用程序保護(hù)和應(yīng)用程序控制該解決方案的高性能深度數(shù)據(jù)包檢測引擎檢查所有傳入和傳出流量，包括 SSL 流量，以檢查協(xié)議偏差、表示攻擊的內(nèi)容和違反策略的情況。該引擎可以在檢測或防御模式下運(yùn)行，以保護(hù)操作系統(tǒng)和企業(yè)應(yīng)用程序的漏洞。它保護(hù) Web 應(yīng)用程序免受應(yīng)用程序?qū)庸?，包?SQL

29、 注入攻擊和跨站點(diǎn)腳本攻擊。詳細(xì)的事件提供有價值的信息，包括攻擊者、攻擊的時間和預(yù)期的漏洞。當(dāng)事件發(fā)生時，可以通過警報自動通知管理員。 DPI 用于入侵檢測和防御、Web 應(yīng)用程序保護(hù)和應(yīng)用程序控制。3.5.3 入侵檢測與防御（IDS/IPS）在修補(bǔ)操作系統(tǒng)和企業(yè)應(yīng)用程序之前保護(hù)它們免受漏洞的影響，以提供針對已知和零日漏洞的及時保護(hù)漏洞規(guī)則可保護(hù)已知漏洞（例如 Microsoft 交底的漏洞）免受無數(shù)攻擊。趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)解決方案為 100 多個應(yīng)用程序（包括數(shù)據(jù)庫、Web、電子郵件和 FTP 服務(wù)器）提供開箱即用的漏洞保護(hù)。防止新發(fā)現(xiàn)漏洞的規(guī)則可在數(shù)小時內(nèi)獲得，并可在數(shù)分鐘內(nèi)應(yīng)

30、用于數(shù)千臺服務(wù)器，而無需重新啟動系統(tǒng)：智能規(guī)則通過檢測包含惡意代碼的異常協(xié)議數(shù)據(jù)，針對針對未知漏洞的攻擊提供零日保護(hù)。漏洞攻擊規(guī)則阻止已知的攻擊和惡意軟件，類似于傳統(tǒng)的防病毒軟件，它們都使用簽名來識別和阻止已知的單個漏洞。由于趨勢科技是 Microsoft 主動保護(hù)計(jì)劃 (MAPP) 的當(dāng)前成員，因此趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)解決方案會在每月安全公告之前從 Microsoft 接收漏洞信息。此提前通知有助于預(yù)測新出現(xiàn)的威脅，并通過快速有效的安全更新為雙方客戶提供更及時的保護(hù)。3.5.4 WEB應(yīng)用安全趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)解決方案符合 PCI 要求 6.6，以保護(hù) Web 應(yīng)用程序

31、及其處理的數(shù)據(jù)。 Web 應(yīng)用程序保護(hù)規(guī)則可防止 SQL 注入攻擊、跨站點(diǎn)腳本攻擊和其他 Web 應(yīng)用程序攻擊，直到代碼修復(fù)完成。該解決方案使用智能規(guī)則來識別和阻止常見的 Web 應(yīng)用程序攻擊。根據(jù)客戶要求的滲透測試，我們發(fā)現(xiàn)部署 Deep Security 的 SaaS 數(shù)據(jù)中心保護(hù)了其 Web 應(yīng)用程序和服務(wù)器中發(fā)現(xiàn)的 99% 的高嚴(yán)重性漏洞。3.5.5 應(yīng)用控制應(yīng)用程序控制規(guī)則為訪問網(wǎng)絡(luò)的應(yīng)用程序提供了進(jìn)一步的可見性控制。這些規(guī)則還可用于識別訪問網(wǎng)絡(luò)的惡意軟件或減少服務(wù)器漏洞。3.5.6 防火墻減少物理和虛擬服務(wù)器的攻擊面趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)防火墻軟件模塊是企業(yè)級、雙向和有狀態(tài)

32、的。它可用于啟用正確服務(wù)器操作所需的端口和協(xié)議上的通信，并阻止所有其他端口和協(xié)議，從而降低未經(jīng)授權(quán)訪問服務(wù)器的風(fēng)險。其功能如下：虛擬機(jī)隔離：使虛擬機(jī)能夠在云計(jì)算或多租戶虛擬環(huán)境中進(jìn)行隔離，在不修改虛擬交換機(jī)配置的情況下提供虛擬分段。細(xì)粒度過濾：通過對 IP 地址、Mac 地址、端口等實(shí)施防火墻規(guī)則來過濾流量?？梢詾槊總€網(wǎng)絡(luò)接口配置不同的策略。涵蓋所有基于 IP 的協(xié)議：通過支持完整的數(shù)據(jù)包捕獲來簡化故障排除，并為增加的防火墻事件（TCP、UDP、ICMP 等）提供有價值的分析見解。偵察檢測：檢測端口掃描等活動。您還可以限制非 IP 流量，例如 ARP 流量。靈活的控制：狀態(tài)防火墻足夠靈活，可以

33、在適當(dāng)?shù)臅r候以受控的方式完全繞過檢查。它解決了在任何網(wǎng)絡(luò)上遇到的特征不良的流量，無論是在正常情況下還是作為攻擊的一部分。預(yù)定義的防火墻配置文件：對常見的企業(yè)服務(wù)器類型進(jìn)行分組，包括 Web、LDAP、DHCP、FTP 和數(shù)據(jù)庫，即使在大型復(fù)雜網(wǎng)絡(luò)中也能確?？焖?、輕松和一致地部署防火墻策略?？刹僮鞯膱蟾妫和ㄟ^詳細(xì)的日志記錄、警報、儀表板和靈活的報告，趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)防火墻軟件模塊捕獲和跟蹤配置更改，例如更改策略的內(nèi)容和人員，提供詳細(xì)的審計(jì)跟蹤。3.5.7 完整性監(jiān)控監(jiān)控未經(jīng)授權(quán)、意外或可疑的更改趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)完整性監(jiān)控軟件模塊監(jiān)控關(guān)鍵操作系統(tǒng)和應(yīng)用程序文件，例如目錄

34、、注冊表項(xiàng)和值，以檢測可疑行為。其功能如下：按需或計(jì)劃檢查：可以按需計(jì)劃或執(zhí)行完整性掃描。廣泛的文件屬性檢查：使用開箱即用的完整性規(guī)則來監(jiān)視文件和目錄的各個方面的更改，包括：內(nèi)容、屬性（如所有者、權(quán)限和大?。┮约叭掌诤蜁r間戳。它還監(jiān)視 Windows 注冊表項(xiàng)、訪問控制列表和日志文件的添加、修改或刪除并提供警報。此功能適用于 PCI DSS10.5.5要求?？蓪徲?jì)報告：完整性監(jiān)控模塊在趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)管理中心儀表板中顯示完整性事件、生成警報并提供可審計(jì)報告。該模塊還通過 Syslog 將事件轉(zhuǎn)發(fā)到安全信息和事件管理 (SIEM) 系統(tǒng)。安全配置文件分組：可以為組或單個服務(wù)器配置完

35、整性監(jiān)控規(guī)則，以簡化監(jiān)控規(guī)則集的部署和管理?；€設(shè)置：可以創(chuàng)建基線安全配置文件來比較警報的更改并確定適當(dāng)?shù)牟僮?。靈活實(shí)用的監(jiān)控：完整性監(jiān)控模塊提供靈活性和控制力，以優(yōu)化針對您獨(dú)特環(huán)境的監(jiān)控活動。這包括在掃描參數(shù)中包含/排除文件或通配符文件名以及包含/排除子目錄的能力。此外，還可以靈活地根據(jù)獨(dú)特的要求創(chuàng)建自定義規(guī)則。3.6 系統(tǒng)要求趨勢科技 Deep Security 系統(tǒng)管理器內(nèi)存： 4GB磁盤空間： 1.5GB（推薦5GB ）操作系統(tǒng)： Microsoft Windows Server 2008 （ 32位和64位）、 Windows Server 2008 R2 （ 64位）、 Windo

36、ws 2003 Server SP2 （ 32位和64位）數(shù)據(jù)庫： Oracle 11g 、 Oracle 10g 、 Microsoft SQL Server 2008 SP1 、 Microsoft SQL Server 2005 SP2Web瀏覽器： Mozilla Firefox 3.x （啟用 cookie ）、 Internet Explorer 7.x （啟用 cookie ）和Internet Explorer 8.x （啟用 cookie ）趨勢科技 Deep Security 安全虛擬機(jī)內(nèi)存： 1GB磁盤空間： 20GBVMware環(huán)境：VMware vCenter 5.0

37、ESX 5.0VMware工具VMware vShield 管理器VMware vShield 端點(diǎn)安全項(xiàng)目實(shí)施計(jì)劃4.1 總體項(xiàng)目規(guī)劃項(xiàng)目整體實(shí)施分為四個階段，每個階段都需要分階段總結(jié)：（一）項(xiàng)目準(zhǔn)備與研究。主要包括組建實(shí)施項(xiàng)目組和對現(xiàn)有VMware系統(tǒng)的檢查。（二）項(xiàng)目實(shí)施。虛擬化集群的vShield接口（vShield APP和vShield Endpoint）的實(shí)現(xiàn)，虛擬機(jī)安全解決方案DeepSecurity的實(shí)現(xiàn)。按照實(shí)施步驟部署 vShield 和趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)產(chǎn)品。配置vShield APP界面執(zhí)行的安全域劃分。分析整體環(huán)境，根據(jù)實(shí)際情況劃分安全域，通過APP接口

38、實(shí)現(xiàn)安全域劃分。（三）項(xiàng)目驗(yàn)收。產(chǎn)品功能驗(yàn)收、實(shí)施效果等4.2 實(shí)施組織架構(gòu)整個維護(hù)保障人員由XXXX和趨勢科技組成，主要包括：由XXXX信息安全負(fù)責(zé)人、趨勢科技技術(shù)項(xiàng)目負(fù)責(zé)人和渠道工程師組成的一線服務(wù)團(tuán)隊(duì)。趨勢科技整個服務(wù)團(tuán)隊(duì)由北部地區(qū)的技術(shù)經(jīng)理帶領(lǐng)，項(xiàng)目負(fù)責(zé)人成為趨勢科技的主要聯(lián)系界面，為XXXX提供整體協(xié)調(diào)實(shí)施。發(fā)生緊急情況時，XXXX的信息安全負(fù)責(zé)人將聯(lián)系項(xiàng)目負(fù)責(zé)人處理事件。具體人員組織安排如下圖所示：趨勢科技行業(yè)技術(shù)經(jīng)理協(xié)調(diào)趨勢科技技術(shù)集團(tuán)內(nèi)部資源最終決定的人。專案經(jīng)理作為趨勢科技對XXXX在虛擬化安全項(xiàng)目中的主要負(fù)責(zé)人和接口人，協(xié)調(diào)趨勢科技與XXXX之間的工作流程和人員協(xié)調(diào)，負(fù)責(zé)為

39、XXXX提供724小時電話和郵件的技術(shù)支持、節(jié)目建議等服務(wù)。渠道工程師在實(shí)施過程中，項(xiàng)目的渠道商指定工程師與趨勢科技工程師共同完成項(xiàng)目內(nèi)容，并負(fù)責(zé)產(chǎn)品實(shí)施工作。姓名單元郵件電話羅海龍行業(yè)技術(shù)經(jīng)理Oliver_Lu鵬飛專案經(jīng)理鵬飛_張186104168154.3 項(xiàng)目實(shí)施內(nèi)容4.3.1項(xiàng)目準(zhǔn)備為了保證整個實(shí)施過程的效率和效果， XXXX和趨勢科技都需要成立專門的項(xiàng)目指導(dǎo)組，組成聯(lián)合項(xiàng)目指導(dǎo)組。由趨勢科技銷售經(jīng)理和趨勢科技技術(shù)經(jīng)理組成的趨勢科技項(xiàng)目指導(dǎo)團(tuán)隊(duì)控制著項(xiàng)目的整個實(shí)施過程。同時，趨勢科技成立了項(xiàng)目實(shí)施小組，在聯(lián)合項(xiàng)目指導(dǎo)組的領(lǐng)導(dǎo)下，完成項(xiàng)目各節(jié)點(diǎn)的具體實(shí)施工作。X

40、XXX有權(quán)跨部門協(xié)調(diào)管理整個項(xiàng)目。建議項(xiàng)目實(shí)施后保留XXXX項(xiàng)目指導(dǎo)組作為專門負(fù)責(zé)安全問題的小組，以方便日后安全工作的協(xié)調(diào)和管理，與趨勢科技建立暢通的溝通渠道。趨勢科技項(xiàng)目指導(dǎo)團(tuán)隊(duì)成員：趨勢科技項(xiàng)目協(xié)調(diào)人：兵洪濤趨勢科技技術(shù)經(jīng)理：羅海龍項(xiàng)目負(fù)責(zé)人：張鵬飛4.3.2 項(xiàng)目研究研究目標(biāo)：獲取XXXX信息系統(tǒng)的實(shí)際網(wǎng)絡(luò)狀態(tài)和虛擬化應(yīng)用狀態(tài)，為項(xiàng)目實(shí)施做好準(zhǔn)備，根據(jù)實(shí)際需要對實(shí)際需求進(jìn)行必要的修正，并與相關(guān)系統(tǒng)管理員進(jìn)行必要的初步溝通。根據(jù)產(chǎn)品的安裝要求和軟件網(wǎng)絡(luò)安全規(guī)范，與管理人員進(jìn)行技術(shù)溝通和交流，確定需要調(diào)整的網(wǎng)絡(luò)結(jié)構(gòu)和需要補(bǔ)充的各種軟件補(bǔ)丁。研究措施：1、趨勢科技提供產(chǎn)品安裝系統(tǒng)需求文檔；虛擬

41、化服務(wù)器進(jìn)行詳細(xì)記錄，記錄各單位管理人員的聯(lián)系方式。研究文件：趨勢科技提供網(wǎng)絡(luò)調(diào)研狀態(tài)文檔列表，由各級管理員填寫并匯總至 XXXX 項(xiàng)目指導(dǎo)組。4.3.3 項(xiàng)目實(shí)施在項(xiàng)目實(shí)施過程中，趨勢科技與XXXX項(xiàng)目團(tuán)隊(duì)和集成商進(jìn)行了詳細(xì)討論，以規(guī)劃項(xiàng)目的進(jìn)展。趨勢科技提出以下原則：先培訓(xùn)，后測試，再上線；XXXX項(xiàng)目實(shí)施步驟項(xiàng)目實(shí)施組確認(rèn)設(shè)備環(huán)境是否滿足安裝要求；項(xiàng)目實(shí)施團(tuán)隊(duì)配合XXXX管理人員完成vShield接口的安裝和配置；項(xiàng)目實(shí)施團(tuán)隊(duì)配合XXXX經(jīng)理完成Deep Security的安裝和配置；安全域劃分4.3.4 項(xiàng)目驗(yàn)收驗(yàn)收目標(biāo)：雙方確認(rèn)系統(tǒng)正常功能的完整實(shí)現(xiàn)；雙方建立暢通的售后溝通渠道；驗(yàn)收

42、措施：趨勢科技與 XXXX 指導(dǎo)小組制定詳細(xì)的項(xiàng)目驗(yàn)收計(jì)劃和時間表；集成商和各單位的經(jīng)理一起完成整體驗(yàn)收報告。4.4 項(xiàng)目實(shí)施計(jì)劃4.4.1項(xiàng)目實(shí)施分工在項(xiàng)目實(shí)施過程中，趨勢科技將成立多個項(xiàng)目實(shí)施團(tuán)隊(duì)。各組將按照推廣安裝計(jì)劃，到不同單位與當(dāng)?shù)毓芾砣藛T一起完成培訓(xùn)安裝工作。整個項(xiàng)目涉及的人力資源包括：聯(lián)合項(xiàng)目指導(dǎo)組（XXXX 、集成商項(xiàng)目指導(dǎo)組+趨勢科技項(xiàng)目指導(dǎo)組） 、項(xiàng)目實(shí)施組、應(yīng)用經(jīng)理等。整個項(xiàng)目實(shí)施中的分工如下：項(xiàng)目鏈接項(xiàng)目負(fù)責(zé)人項(xiàng)目合作者一、設(shè)備訂購及驗(yàn)收XXXX 項(xiàng)目指導(dǎo)組趨勢科技項(xiàng)目指導(dǎo)組2.項(xiàng)目準(zhǔn)備聯(lián)合項(xiàng)目指導(dǎo)小組經(jīng)理3.項(xiàng)目研究_聯(lián)合項(xiàng)目指導(dǎo)小組經(jīng)理4.項(xiàng)目實(shí)施_聯(lián)合項(xiàng)目指導(dǎo)小組

43、經(jīng)理5.項(xiàng)目驗(yàn)收_聯(lián)合項(xiàng)目指導(dǎo)小組經(jīng)理4.4.2 項(xiàng)目實(shí)施計(jì)劃售后服務(wù)趨勢科技可以提供以下服務(wù)：一、技術(shù)支持部分有關(guān)產(chǎn)品和防病毒問題的自助服務(wù)，請?jiān)L問趨勢科技中文網(wǎng)站。網(wǎng)址： http :/產(chǎn)品技術(shù)支持服務(wù)：可通過電子郵件或傳真和免費(fèi)熱線電話獲得免費(fèi)技術(shù)支持服務(wù)。病毒問題支持服務(wù)：通過電子郵件或傳真、免費(fèi)熱線獲得免費(fèi)支持服務(wù)。技術(shù)支持郵箱： service ；傳真： 021-6384-1899熱線： 800-8208839（021-6100-6656） ；服務(wù)時間：周一至周五（節(jié)假日除外） 9:00-12:00 ； 13:00 - 17:302.Activeupdate自動升級服務(wù)在有效服務(wù)期

44、內(nèi)，客戶使用的產(chǎn)品的安全組件可以免費(fèi)、合法地自動或手動升級?？筛碌陌踩M件包括：模式（pattern） 、掃描引擎（Engine） 、產(chǎn)品自帶的補(bǔ)丁（Hotfix 、 Patch 、 Service Pack）等。3.新版本更新權(quán)在有效服務(wù)期內(nèi)，如果趨勢科技在客戶正在使用的產(chǎn)品市場上推出相應(yīng)的新版本，客戶有權(quán)在服務(wù)期內(nèi)免費(fèi)使用新版本?？蛻艨梢噪S時免費(fèi)下載最新版本的產(chǎn)品或服務(wù)升級包，以使用所購買產(chǎn)品的最新版本。自項(xiàng)目驗(yàn)收之日起，原軟硬件廠商免費(fèi)提供一年的設(shè)備軟硬件維護(hù)服務(wù)、版本升級服務(wù)、電話支持、技術(shù)支持、臨時備機(jī)。4、現(xiàn)場培訓(xùn)vShield接口使用維護(hù)的現(xiàn)場技術(shù)培訓(xùn)；提供產(chǎn)品操作和維護(hù)手冊。

45、5. 應(yīng)急響應(yīng)服務(wù)增強(qiáng) (7x24) 現(xiàn)場緊急服務(wù)?？偨Y(jié)雖然虛擬化 IT 基礎(chǔ)架構(gòu)將面臨與物理服務(wù)器環(huán)境相同的安全挑戰(zhàn)，但用戶可以利用多處理器、多核架構(gòu)和虛擬化軟件來提供安全機(jī)制來保護(hù)它。此外，通過在虛擬化平臺中使用 V shield等 API 的不斷演進(jìn)來保護(hù)虛擬化 IT 資源，現(xiàn)在和未來都可以實(shí)施安全增強(qiáng)策略。通過使用趨勢科技提供的安全軟件和靈活的方法，可以快速部署解決方案，優(yōu)化保護(hù)，確保所有虛擬機(jī)的安全基線，不會引入瓶頸或冗余控制。趨勢科技可以幫助用戶擴(kuò)展虛擬化部署以保護(hù)所有關(guān)鍵任務(wù)系統(tǒng)。趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)物理設(shè)備只需安裝一次，以無代理的形式提供安全保護(hù)，提高服務(wù)器利用率，增

46、加同一硬件上的虛擬機(jī)數(shù)量。簡化管理；一次性主機(jī)安裝、部署；虛擬機(jī)：無代理配置，即使是裸機(jī)也可以立即得到保護(hù)。數(shù)據(jù)中心服務(wù)器安全架構(gòu)必須解決不斷變化的 IT 架構(gòu)問題，包括虛擬化和整合、新的服務(wù)交付模式和云計(jì)算。對于所有這些數(shù)據(jù)中心模型，趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)解決方案可以提供幫助：防止數(shù)據(jù)泄露和業(yè)務(wù)中斷在服務(wù)器自己的位置提供一道防線無論是物理的、虛擬的還是云的防范 Web 和企業(yè)應(yīng)用程序和操作系統(tǒng)中的已知和未知漏洞，并防止對這些系統(tǒng)的攻擊幫助您識別可疑活動和行為并采取主動或預(yù)防措施6.2 實(shí)現(xiàn)合規(guī)滿足六大 PCI 合規(guī)要求（包括 Web 應(yīng)用程序安全、文件完整性監(jiān)控和服務(wù)器日志收集）和其

47、他合規(guī)要求提供詳細(xì)的可審計(jì)報告，記錄被阻止的攻擊和策略合規(guī)狀態(tài)，減少支持審計(jì)所需的準(zhǔn)備時間6.3 支持降低運(yùn)營成本提供漏洞保護(hù)，以便可以優(yōu)先考慮安全編碼措施，并且可以更經(jīng)濟(jì)高效地實(shí)施計(jì)劃外補(bǔ)丁為組織提供必要的安全性，以充分利用虛擬化或云計(jì)算并實(shí)現(xiàn)這些方法固有的成本降低通過單個集中管理的軟件代理提供全面的保護(hù)消除部署多個軟件客戶端的需求和相關(guān)成本6.4 全面且可管理的安全性趨勢科技服務(wù)器深度安全防護(hù)系統(tǒng)解決方案使用不同的模塊滿足關(guān)鍵的服務(wù)器和應(yīng)用程序保護(hù)要求：趨勢科技服務(wù)器深度安全防護(hù)模塊根據(jù)中心要求深度包檢測防火墻完整性監(jiān)控日志審計(jì)入侵檢測系統(tǒng)/IPS網(wǎng)絡(luò)應(yīng)用保護(hù)應(yīng)用程序控制服務(wù)器保護(hù) 針對已知漏