效勞器整體平安解決方案目錄一、 重新思考效勞器所面臨的平安問題 31.1 成為企業生產運行和業務運轉的根本 31.2 企業應用改變帶來的挑戰 31.3 受到不斷變化新威脅攻擊的挑戰 31.4 法律法規帶來的要求 3二、 效勞器整體平安防護三階段 42.1【階段一：初級階段】：保障業務和身纏的連續性和不間斷 42.2【階段二：中級階段】：確保平安事件可管理和可控制 52.3【階段三：高級階段】：實現設定的平安目標和提升平安KPI 5三、 平安防護三階段的實現 53.1實現第一階段目標的步驟和方法 53.2實現第二階段目標的步驟和方法 63.3實現第三階段目標的步驟和方法 73.4不斷提升效勞器平安PDCA模型 83.5效勞器平安整體平安防護的技術實現 93.5.1DeepSecurity的五大平安模塊 93.5.2DeepSecurity的架構 113.5.3DeepSecurity支持的操作系統和應用 123.5.4DeepSecurity提供效勞器平安事件統一監控平臺 12四、 為企業定制的效勞器平安防護的最正確實踐 144.1效勞器分類 144.2正式上線前的小范圍測試環節 144.3正式上線步驟 144.4針對企業效勞器主要平安策略應用最正確實踐 154.5建立效勞器平安事件管理流程 214.6設定效勞器平安管理KPI 22五、 防護虛擬化效勞器的平安 23六、 DeepSecurity對企業帶來的價值 24七、 效勞器防病毒 25八、 平安策略更新效勞 25重新思考效勞器所面臨的平安問題成為企業生產運行和業務運轉的根本隨著信息化和互聯網的深入，很難想象脫離了網絡，現代企業如何才能進行正常運轉。而效勞器所承載的企業核心數據，核心應用甚至企業的核心知識產權等等，讓企業已經無法脫離效勞器。企業應用改變帶來的挑戰Web應用：80%的具有一定規模的行業用戶或者企業用戶都有會自己的Web網站和基于Web的應用。虛擬化應用：出于資源利用，系統整合以及綠色IT的需要，虛擬化已經在企業內部有了大量的應用。私有云計算的應用企業對于計算能力，對于業務應用等需求，已經在公司網絡內部建立的私有云計算系統。以上這些應用給效勞器的平安帶來了更大的挑戰，傳統的平安措施已經不能滿足現在IT系統，效勞器系統的平安要求。受到不斷變化新威脅攻擊的挑戰從2000年至今，互聯網的開展日新月異，新的引用層出不窮。從Web1.0到Web2.0，從2G網絡升級到3G網絡。互聯網接入從笨重的臺式機，到輕巧的筆記本電腦，到現在的上網本和終端。隨著互聯網的開展，人們的工作和生活已經發生了翻天覆地的變化，與此同時，信息技術的開展也帶來了平安威脅的開展。平安威脅的攻擊，從單純的攻擊單臺電腦，到攻擊局域網，攻擊公司網絡，到現在整個互聯網充滿著各種攻擊威脅。在目前的網絡平安大環境下，現有的防病毒平安系統已經無法承載日新月異的威脅攻擊。為了確保企業的業務連續性，防止病毒對企業的數據，應用和網絡帶來威脅，必須對企業的平安系統進行結構化的完善，尤其在效勞器的平安防護上，在過去的幾年中，大局部企業都存在一定的缺乏。法律法規帶來的要求中國信息平安等級保護制度和C-SOX，以及國外的PCI,HIPAA,SAS-70,SOX,GLBA等法律法規，從法律上也要求了企業在內部信息系統上，到達一定的平安等級和應用一定的平安策略。效勞器整體平安防護三階段趨勢科技根據20多年來在平安產業的經驗，為企業設計了效勞器整體平安防護的三階段，這三個階段的核心是利用PDCA模型，對效勞器的平安進行不斷循環并且前進的管理方式。每一個階段都設定了明確的技術目標或平安管理目標。通過部署平安技術，管理和控制平安事件來實現最終的平安目標和平安的KPI，把效勞器平安用流程管理起來。2.1【階段一：初級階段】：保障業務和身纏的連續性和不間斷階段一的主要目標是：主動實時監控或防御效勞器漏洞被攻擊以及內容被篡改等平安事件；對效勞器進行必要的訪問控制管理2.2【階段二：中級階段】：確保平安事件可管理和可控制階段二的主要目標是：提供效勞器平安審計及攻擊事件報告2.3【階段三：高級階段】：實現設定的平安目標和提升平安KPI階段三的主要目標是：建立效勞器平安事件管理流程平安防護三階段的實現趨勢科技會根據企業的綜合情況，為企業定制各個細項的步驟，來協助企業實現效勞器平安防護三階段。3.1實現第一階段目標的步驟和方法第一階段的主要工作是對和效勞器相關的所有信息進行綜合分析，包括：業務分類，應用分類和重要性分類等等。所有對效勞器進行的平安防護必須以保障企業業務和生產的穩定為前提。所以在第一階段中，趨勢科技建議采用四大步驟來實現階段一中的所以目標：步驟一：對效勞器所承載的企業業務，應用和重要性進行分類。如此，才能在后續的步驟中，做到有針對性的分析和防護，真正的做到有的放矢。步驟二：對效勞器進行平安掃描，并設立平安基準線。如此，才能保持企業所有的效勞器有一個最根本的平安閥值，后續平安管理員可以根據不同的分類進行進一步的有針對性的平安策略配置。步驟三：設計平安策略模板，并根據步驟一中的分類，分門別類的進行應用。如此，可以形成一個策略池，在策略池中，根據效勞器的不同分類，有不同的策略。平安管理員可以很方便的進行策略的查詢和應用步驟四：管理平安狀態和監控異常。進入到平安策略生效和管理中3.2實現第二階段目標的步驟和方法第二階段進入了日常運營階段，在第二階段中，三個步驟將會采用PDCA的模型進行操作。步驟一：延續階段一進入到效勞器平安日常運營階段，實時處理重要平安事件。步驟二：每天/周/月審查整合和分類平安報告。步驟三：根據平安事件審查結果進行策略的優化，形成PDCA循環往復的過程。3.3實現第三階段目標的步驟和方法第三階段企業將進入到更高級別的效勞器平安管理階段，在這個主要有四個步驟步驟一：設定平安目標和KPI。不斷加強和穩固效勞器的平安性，通過設定目標并且達成目標，以配合企業業務的開展，步驟二：建立流程并且配套資源。為了實現目標和KPI，必須有一套行之有效的流程以及整合必須的資源。在這個步驟中，趨勢科技為企業設計了定制的流程，來確保在企業的資源和能力范圍內，能夠到達平安目標。步驟三：評估結果和目標的落差。定期的Review落差，以明確整個效勞器平安體系中，哪些個環節有落差。步驟四：協調資源彌補落差。在定位到落差后，需要協調資源來彌補落差，3.4不斷提升效勞器平安PDCA模型趨勢科技為企業設計的效勞器平安模型，整體采用的是以PDCA為核心的體系。如此才能把效勞器的平安目標和KPI不斷提升。為企業業務的開展提供穩固的支撐。3.5效勞器平安整體平安防護的技術實現3.5.1DeepSecurity的五大平安模塊通過TrendMicro效勞器整體平安防護解決方案DeepSecurity的五大平安模塊提供：防【毒防護模塊】：提供平安內容過濾【firewall模塊】：提供控制訪問【DPI深度包檢測模塊】：提供監控及主動防御攻擊【IntegrityMonitor模塊】：提供檢測系統和應用程序運行狀態及恢復被惡意修改的組件【LogInspection模塊】：審計系統事件和應用程序事件底層病毒防護無需安裝客戶端提供實時平安內容過濾提供手動平安內容過濾提供方案平安內容過濾給予專用API接口提高運行效率3.5.2DeepSecurity的架構DeepSecurity的組件序號DeepSecurity的組件組件說明部署1DeepSecurityManager〔DSM〕DeepSecurity效勞器平安防護系統的管理控制端，負責管理和維護整個系統控制端只需要部署一套2DeepSecurityAgent〔DSA〕DeepSecurity的客戶端，提供四大平安防護功能直接安裝在效勞器的操作系統上3DeepSecurityVirtualAppliance〔DSVA〕DeepSecurity獨創的新技術，用來防護虛擬效勞器直接安裝在Vmware的ESXServer上，并且能夠和Vcenter效勞器做聯動4DeepSecuritySecurityCenterDeepSecurity的全球平安策略更新效勞器。DSM會定期的去下載最新的平安更新3.5.3DeepSecurity支持的操作系統和應用操作系統Windows(2000,XP,2003,Vista),SunSolaris(8,9,10),RedHatEL(4,5),SuSELinux(9)，AIX，HP-Unix數據庫Oracle,MySQL,MicrosoftSQLServer,IngresWeb效勞器MicrosoftIIS,Apache,ApacheTomcat,MicrosoftSharepoint郵件效勞器MicrosoftExchangeServer,Merak,IBMLotusDomino,Mdaemon,Ipswitch,Imail,MailEnableProfessionalFTP效勞器Ipswitch,WarFTPDaemon,AlliedTelesis備份效勞器ComputerAssociates,Symantec,EMC存儲效勞器Symantec,VeritasDHCP效勞器ISCDHCPD郵件客戶端OutlookExpress,MSOutlook,WindowsVistaMail,IBMLotusNotes,IpswitchIMailClient其他應用Samba,IBMWebsphere,IBMLotusDominoWebAccess,X.Org,XFontServerprior,Rsync,OpenSSL,NovellClient3.5.4DeepSecurity提供效勞器平安事件統一監控平臺如下列圖所示，在DeepSecurity整體架構中，DeepSecurityManager〔DSM〕除了提供統一策略配置和管理之外，同時還提供效勞器平安事件統一監控管理。管理員可以通過DSM對效勞器群的所有平安事件進行管理，便于及時采取對應的平安防護措施。同時，DSM也會提供各種平安事件報表。平安事件報警報告攻擊事件報告防火墻事件報告提供取證的計算機審計報告效勞器信息報告完整性檢查報告完整性檢查詳細的篡改報告深度包過濾事件報告日志審計報告日志審計詳細報告效勞器推薦掃描報告疑似應用程序活動報告系統事件報告系統報告總結報告為企業定制的效勞器平安防護的最正確實踐4.1效勞器分類按照應用分類WebServer/DBServer/郵件效勞器/OA應用效勞器/文件效勞器/生產效勞器等等按照重要性分類不可停機，可短暫停機或可停機。4.2正式上線前的小范圍測試環節為了確保效勞器整體的穩定性，防止平安系統對效勞器運行的影響，故在正式上線前，趨勢科技建議企業進行有代表性效勞器采樣的小范圍測試。測試流程如下：4.3正式上線步驟趨勢科技建議在企業內部部署DeepSecurity效勞器整體平安防護系統的步驟。4.4針對企業效勞器主要平安策略應用最正確實踐趨勢科技建議對企業效勞器針對如下九大方面進行有針對性的平安防護。1、核心應用進程監控：發現異常立刻通知管理員，進行相應的處理。2、對Web應用：部署XSS攻擊防護策略3、對數據庫應用：部署SQLInjection防護策略4、對系統\效勞\程序漏洞進行主動防護，提供虛擬補丁防護5、對各類事件進行實時監控6、對效勞器進行訪問控制7、對核心文件和目錄進行監控8、對系統操作進行審計9、對DDOS攻擊進行防護在進行所有的策略部署之前，首先，企業可以利用DeepSecurity的推薦掃描功能選項對企業內的效勞器進行分析，得出初步的平安威脅分析報告，以此為基準線來進行進一步的平安配置。1、核心應用進程監控：發現異常立刻通知管理員，進行相應的處理2、對Web應用：部署XSS攻擊防護策略3、對數據庫應用：部署SQLInjection防護策略4、對系統\效勞\程序漏洞進行主動防護如下列圖，選擇所有和MS08-067相關的DPI條目可以對該漏洞進行主動防護5、對各類事件進行實時監控6、對效勞器進行訪問控制7、對核心文件和目錄進行監控8、對系統操作進行審計9、對DDOS攻擊進行防護4.5建立效勞器平安事件管理流程從效勞器平安事件角度出發從管理員監控角度出發4.6設定效勞器平安管理KPI為整個效勞器平安管理設定不同目標的KPI，分階段實施，不斷提高效勞器平安等級KPI評估方式第三階段第二階段第一階段操作系統漏洞更新時間間隔應用系統漏洞更新時間間隔效勞器停機時間時間間隔非授權訪問次數非授權修改次數例如：操作系統漏洞更新〔天〕第三階段第二階段第一階段Critical漏洞KPI=1KPI=3KPI=7Medium漏洞KPI=7KPI=21KPI=30Low漏洞KPI=30KPI=60KPI=90防護虛擬化效勞器的平安隨著虛擬化技術的開展和企業對虛擬化技術的不斷深入應用，在虛擬化環境下，企業將會遇到新的平安問題。如下列圖所示：傳統的平安防護，例如：防火墻等，沒有方法去防護單臺物理機上的多臺虛擬機之前互相傳播病毒或者互相攻擊。企業在應用虛擬技術時，會在以下五個方面提供遇到新的平安問題，這是傳統的平安軟件或者硬件沒有方法解決的。未激活的虛擬機資源沖突虛擬系統擴展虛擬系統間的通訊vMotion虛擬機遷移趨勢科技DeepSecurity利用創新的技術，結合Vmware的VMsafeAPI，直接把平安防護組件DSVA，安裝在ESXServer上。直接從虛擬層對上層的所有虛擬機統一的提供平安防護。DSVA在底層可以提供。如上圖所示，通過DSVA的防護，單臺物理機上的所有虛擬效勞器之間的互相攻擊和病毒傳播就可以直接被DSVA阻斷。徹底解決了企業在應用虛擬技術時，效勞器所遇到的新的平安問題。所以，DeepSecurity可以在Vmware提供的虛擬環境下，提供應效勞器群新的平安防護架構。如下列圖所示，管理員只需要在ESX主機上平安DeepSecurity的DSVA組件，就可以提供對這臺ESX主機上所有的虛擬主機的平安防護，而不需要在每一臺虛擬主機上平安Agent。同時，DSM會對DSVA進行統一的監控和管理。DeepSecurity對企業帶來的價值通過部署DeepSecurity，企業在效勞器的平安性上有了本質的改變，傳統的平安僅僅在效勞器上安裝防病毒軟件，非常局限。企業對于效勞器整體平安性并沒有全面的布防，通過DeepSecurity，企業的可以獲得：提供深度