虚拟化安全解决方案.doc

1、 XXXX虚拟化桌面安全解决方案趋势科技（中国)有限公司2013年5月目录第1章。概述41.1 XXXX虚拟化桌面概述41.2 XXXX虚拟化桌面安全概述传统安全解决方案5第2章.需求分析52。1 传统安全在虚拟化桌面中应用面临威胁分析52.1。1 虚拟机之间的相互攻击52.1。2 随时启动的防护间歇62。1。3 管理成本上升62.1.4 资源争夺72。2 无代理虚拟化桌面安全防护的必要性8第3章.趋势科技虚拟化桌面安全解决方案83.1 安全虚拟机技术及工作原理83.2 与传统安全方案差别103.3 系统架构113.4 产品部署和集成123。5 产品功能133。5。1 恶意软件防护143。5。

2、2 深度数据包检查 （DPI） 引擎143。5。3 入侵检测和防御 (IDS/IPS)143。5。4 WEB 应用程序安全153。5.5 应用程序控制153.5.6 防火墙153。5.7 完整性监控163.6 系统要求17第4章。项目实施方案184.1 项目总体规划184.2 实施组织架构184。3 项目实施内容194.3。1 项目准备194。3.2 项目调研204。3。3 项目实施204。3。4 项目验收214。4 项目实施计划214.4。1 项目实施分工214.4.2 项目实施计划22第5章.售后服务22第6章。总结236.1预防数据泄露和业务中断246。2 实现合规性246.3 支持降低

3、运营成本246.4全面易管理的安全性246.5 虚拟补丁256。6 合规性要求256。7 Web应用防护25附录一 成功案例26文档信息：文档属性内容项目/任务名称项目/任务编号文档名称XXXX虚拟化桌面安全解决方案文档版本号V1文档状态制作人罗海龙保密级别商密管理人罗海龙制作日期2013年5月28日复审人复审日期扩散范围内部使用版本记录:版本编号版本日期创建者/修改者说明文档说明：第1章. 概述1.1 XXXX虚拟化桌面概述计算机的诞生改变了我们的生活,它正以一种前所未有的方式影响着我们的生活和工作.随着技术的发展,我们的生活已经无法脱离计算机了，但是传统计算机桌面的使用有着诸多的限制，这些

4、限制给我们带来了不便。首先，随着客户端设备的不断增加，客户端系统环境变得复杂，造成管理困难，维护成本升高；客户端操作系统、应用客户端需要不断升级、不停打补丁；客户端需防病毒，防恶意软件，防止木马程序将敏感数据窃取，但仍可能百密一疏;客户端的移动性与分布性，造成无法共享资源，利用率低；且随着技术的发展，硬件的更新换代需要巨大的投入等等,这些都造成了没有一种随时,随地，任何设备都可以安全地访问的桌面环境。同时，“集中监控、集中维护、集中管理”已经成为中国移动网络运行维护工作的一个重要工作模式。桌面云解决方案是基于云计算架构的桌面交付解决方案,利用虚拟化技术,通过在云计算服务器集群上部署虚拟桌面交付

5、系统。采用桌面云解决方案可以在数据中心集中化管理桌面,轻松实现安全防护及备份,减少总体拥有成本、加强信息安全、降低维护管理费用，同时响应国家节能减排的号召。在此情况下,自2010年开始，中国移动天津公司为提升桌面终端整体管理水平,对网管维护终端、IT办公、营业厅终端等进行了集中规划、集中管理和集中维护，进行了终端虚拟化一期工程的建设.一期工程包括了IT系统平台单项工程和网管系统平台单项工程两部分，分别针IT终端和网管终端进行了桌面云系统的建设，其中IT系统平台满足了IT系统300个营业终端和100个操作维护终端的接入需求;网管系统平台满足了空港网管监控大厅270个监控终端的接入需求。在中国移动

6、集中化建设和云计算迅猛发展的大背景下，综合考虑瘦客户端相对传统终端的优势，集团公司下发了关于中国移动瘦客户机逐步全面替代传统PC的指导意见,明确要求：“对于新增固定终端（传统PC）的需求,原则上均应采用瘦客户机方案（其中，基于TDM传统呼叫中心应停止扩容,呼叫中心的扩容需求应采用基于IP的NGCC呼叫中心+瘦客户机方案)；对于现有传统PC应依据使用寿命,逐步采用瘦客户机进行自然替换。”1。2 XXXX虚拟化桌面安全概述传统安全解决方案目前，XXXX对于虚拟化桌面的安全防护采用传统方式，也就是在每台虚拟桌面的操作系统中安装防病毒软件、在网络层部署防火墙功能、通过补丁分发系统进行补丁修补等.这种解

7、决方案没有考虑到虚拟化技术的特殊性，存在很多的安全风险,具体分析见下文。第2章. 需求分析2。1 传统安全在虚拟化桌面中应用面临威胁分析虚拟化桌面基础架构除了具有传统物理服务器的风险之外，同时也会带来其虚拟系统自身的安全问题。新安全威胁的出现自然就需要新方法来处理。通过前期调研，总结了目前XXXX虚拟化环境内存在的几点安全隐患. 2.1.1 虚拟机之间的相互攻击虚拟机之间的互相攻击-由于目前XXXX仍对虚拟化环境使用传统的防护模式，导致主要的防护边界还是位于物理主机的边缘，从而忽视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全隐患。 2.1.2 随时启动的防护间歇随时启动的防护间歇-

8、由于XXXX目前大量使用Vmware的虚拟化桌面技术,让XXXX的运维服务具备更高的灵活性和负载均衡。但同时，这些随时由于资源动态调整关闭或开启虚拟机会导致防护间歇问题。如，某台一直处于关闭状态的虚拟机在业务需要时会自动启动，成为后台服务器组的一部分，但在这台虚拟机启动时，其包括防病毒在内的所有安全状态都较其他一直在线运行的服务器处于滞后和脱节的地位. 2。1。3 管理成本上升系统安全补丁安装-目前XXXX虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行测试和手工安装。虽然虚拟化桌面本身有一定状态恢复的功能机制。但此种做法仍有一定安全风险。1。无法确保系统在测试后发生的变化是否会因为

9、安装补丁导致异常。2。集中的安装系统补丁，前中后期需要大量人力,物力和技术支撑，部署成本较大. 2。1。4 资源争夺防病毒软件对资源的占用冲突导致AV（AntiVirus）风暴-XXXX目前在虚拟化环境中对于虚拟化桌面仍使用每台虚拟操作系统安装SEP防病毒客户端的方式进行病毒防护.在防护效果上可以达到安全标准，但如从资源占用方面考虑存在一定安全风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，并且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈发明显。严重时可能导致ESX服务器宕机。通过以上的分析是我们了解到虽然传统安全设备可以物理网络层和操作系统提供安全防护，但是虚拟环境中新

10、的安全威胁，例如:虚拟主机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题等，传统的安全设备无法提供相关的防护,趋势科技提供创新的安全技术为虚拟环境提供全面的保护。2。2 无代理虚拟化桌面安全防护的必要性XXXX的虚拟化桌面一直承载着最为重要的数据,因此，很容易引起外来入侵者的窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切机会造访服务器系统。XXXX针以前针对桌面端采用集中管理、集中防护的措施，通过传统安全技术在网络侧建立安全防线，如防火墙技术、防病毒技术、入侵检测技术各种安全产品开始被一个一个地加入到安全防线中来。目前XXXX为了降低硬件采购成本，提高服务器资源的利用率，引进虚拟化桌面

11、技术对现有应用服务器的计算资源进行整合,使现有建立的安全防线面临挑战！服务器虚拟化后不但面临着传统物理实机的各种安全问题，同时由于虚拟系统之间的数据交换，以及共享的计算资源池,导致传统的安全技术手段很难针对虚拟系统提供防护，另外使用传统安全技术的使用还带来更大计算资源的消耗和管理运维，导致与引入服务器虚拟化的初衷相违背。通过上一章节的威胁分析发现，为了降低服务器和虚拟服务器的安全威胁必须采用创新的安全技术手段为服务器提供安全加固。因为传统安全技术应用到虚拟服务器防护存在短板效应:任何一点疏忽，都会让XXXX整个信息系统的安全防线功亏一篑,带来经济和企业名誉的损失。更何况，这些被广泛传统安全产品

12、虽然可以在物理网络层很好地保护服务器系统,但它们终究无法应对虚拟系统面临新的安全威胁，所以需要采用创新的安全技术才能完善XXXX信息安全防护体系的基础架构,同时具备对最新安全威胁的抵抗力,降低安全威胁出现到可以真正进行防范的时间差，提高服务器的安全性和抗攻击能力，从而提供业务系统应用的可用性。 第3章. 趋势科技虚拟化桌面安全解决方案3.1 安全虚拟机技术及工作原理VMware VShield Endpoint 程序使我们能够部署专用安全虚拟机以及经特别授权访问管理程序的API.这使得创建独特的安全控制虚拟机成为可能,如在Gartner的报告中所述,安全虚拟机技术在虚拟化的世界中从根本上改变安

13、全和管理的概念。这种安全虚拟机是一种在虚拟环境中实现安全控制的新型方法。安全虚拟机利用API来访问关于每一虚拟机的特权状态信息，包括其内存、状态和网络通信流量等.因为在不更改虚拟网络配置的情况下，服务器内部的全部网络通信流量是可见的. 包括防病毒、防火墙、IDS/IPS 和系统完整性监控等在内的安全功能均可以应用于安全虚拟机中。Deep Security通过vShield Endpoint提供的实时扫描、预设扫描、清除修复等数据接口,对虚拟机中的数据进行病毒代码的扫描和判断，并结合防火墙、IDS策略实时对进出虚拟机的数据进行安全过滤；在管理上需要vShield Manager和vCenter的

14、支持；3.2 与传统安全方案差别传统环境下的网络安全拓扑图，在网络出口处部署有防火墙,防毒墙,上网行为管理等安全设备,用来隔离内外网,过滤来自外网的恶意程序，规范内网用户的上网行为，同时在DMZ区使用防火墙隔离，部署IDS监控对服务器的非法访问行为,在服务器上部署防病毒软件，保护核心服务器的安全运行。虚拟化在资源利用率、高可用性、高扩展性上有着诸多优势，实现虚拟化后，直观的来看，是将多台服务器集中到了一台主机内，这一台主机同时运行了多个操作系统，提供不同的应用和服务；系统管理员根据需要可以非常方便的添加新的应用服务器；根据传统的安全设计模型，需要在每个操作系统中安装防毒软件,在网络层部署入防火

15、墙、侵检测或入侵防御系统,但是在这种在传统方式下合理的设计，在虚拟环境下会面临一些新的问题：未激活的虚拟机，物理机下关闭计算机后CPU停止运行，网络关闭，理论上不会有数据的交互，操作系统也就不存在被感染的可能；但是在虚拟环境下，CPU，网络，底层的ESX都在工作中，关闭的操作系统类似于物理环境下的一个应用程序，尽管这个“应用程序”没有运行，但仍然有被病毒感染的可能；资源的冲突,防毒软件在启用预设扫描后，当到了指定时间,会同时进行文件扫描的动作，这个时候防毒软件对CPU和内存的占用急剧增加,当系统资源被耗尽的时候就会导致服务器down机；管理复杂度,由于虚拟化的便利性，系统管理员可以非常方便的根

16、据模板生成新的系统,这些新系统要打补丁，进行病毒代码的更新，也会增加安全管理的复杂度；虚拟化环境的动态特性面临入侵检测/防御系统（IDS/IPS）的新挑战。基于网络的IDS/IPS,也无法监测到同一台ESX服务器上的虚拟机之间的通讯；由于虚拟机能够迅速地恢复到之前的状态，利用VMware VMotion易于在物理服务器之间移动，所以难以获得并维持整体一致的安全性。所以虚拟化已经使“网络边界去除”的挑战更加明显,虚拟化对于安全的需求也更加迫切。3。3 系统架构Deep Security产品由三部分组成,管理控制平台（以下简称DSM)；安全虚拟机（以下简称DSVA）；安全代理程序(以下简称DSA)

17、。趋势科技Deep Security安全防护系统管理控制中心（DSM）,是管理员用来配置及管理安全策略的集中式管理组件，所有的DSVA及DSA都会注册到DSM,接受统一的管理. 趋势科技Deep Security安全防护系统安全虚拟机(DSVA）是针对 VMware vSphere 环境构建的安全虚拟计算机，可提供防恶意软件、IDS/IPS、防火墙、Web 应用程序防护和应用程序控制防护，数据完整性监控等安全功能. 趋势科技Deep Security安全防护系统安全代理程序（DSA）是安全客户端，直接部署在操作系统中，可提供 IDS/IPS、防火墙、Web 应用程序防护、应用程序控制、完整性监

18、控和日志审查防护等安全功能。 3。4 产品部署和集成 Deep Security 解决方案专为快速的企业部署而设计.它利用现有基础架构并与之集成，以帮助实现更高的操作效率，并支持降低运营成本。VMware 集成：与 VMware vCenter 和 ESX Server 的紧密集成，使得组织和操作信息可以从 vCenter 和 ESX 节点导入到 Deep Security 管理器，并将详细完备的安全应用于企业的 VMware 基础架构。SIEM 集成:通过多个集成选项向 SIEM 提供详细的服务器级安全事件,这些选项包括 ArcSight、Intellitactics、NetIQ、RSA E

19、nvision、Q1Labs、LogLogic 及其他系统。目录集成:与企业目录集成，包括 Microsoft Active Directory.可配置的管理通信：Deep Security 管理器或 Deep Security 代理可发起通信。这可最大限度地减少或消除集中管理系统通常所需要的防火墙更改.软件分发:可通过标准软件分发机制（如 Microsoft SMS、Novell Zenworks 和 Altiris)轻松部署代理软件。最佳过滤：用于处理流媒体(如 Internet 协议电视 （IPTV)的高级功能有助于将性能最大化。DeepSecurity采用集中分布式的管理方式，n De

20、epSecurity服务器端安装服务器控制台n DeepSecurity客户端直接部署在每一台服务器上.对于服务器群所有的安全策略都可以通过统一的管理控制台进行设定，并且按需分发到对应的服务器。整个服务器安全防护体系的管理，监控和运维都可以通过管理控制台进行统一管理.同时，各项安全模块组件的更新都会通过管理控制台自动或者手动派发到每一台服务器上。3。5 产品功能趋势科技Deep Security系统提供了对数据中心（范围遍及虚拟桌面到物理、虚拟或云服务器）的高级保护，包括： l 防恶意软件 l 防火墙l 入侵检测和阻止 (IDS/IPS） l Web 应用程序防护 l 应用程序控制 l 完整性

21、监控 l 日志审计3.5。1 恶意软件防护 防恶意软件模块可提供趋势科技防恶意软件防护，恶意代码包括：病毒、蠕虫、木马后门等，包括实时扫描、预设扫描及手动扫描功能，处理措施包含清除、删除、拒绝访问或隔离恶意软件。检测到恶意软件时，可以生成警报日志。 3.5。2 深度数据包检查 (DPI） 引擎实现入侵检测和防御、Web 应用程序防护以及应用程序控制该解决方案的高性能深度数据包检查引擎可检查所有出入通信流（包括 SSL 通信流）中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。该引擎可在检测或防御模式下运行，以保护操作系统和企业应用程序的漏洞。它可保护 Web 应用程序，使其免受应用层攻

22、击，包括 SQL 注入攻击和跨站点脚本攻击。详细事件提供了十分有价值的信息，包括攻击者、攻击时间及意图利用的漏洞。发生事件时，可通过警报自动通知管理员.DPI 用于入侵检测和防御、Web 应用程序防护以及应用程序控制。3。5.3 入侵检测和防御 （IDS/IPS）在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时保护，使其免受已知攻击和零日攻击 漏洞规则可保护已知漏洞(如 Microsoft 披露的漏洞）,使其免受无数次的漏洞攻击。Deep Security 解决方案对超过 100 种应用程序（包括数据库、Web、电子邮件和 FTP 服务器)提供开箱即用的漏洞防护。在数小时内即可

23、提供可对新发现的漏洞进行防护的规则，无需重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上：n 智能规则通过检测包含恶意代码的异常协议数据，针对攻击未知漏洞的漏洞攻击行为提供零日防护.n 漏洞攻击规则可停止已知攻击和恶意软件，类似于传统的防病毒软件，都使用签名来识别和阻止已知的单个漏洞攻击.由于趋势科技是 Microsoft 主动保护计划 (MAPP） 的现任成员，Deep Security 解决方案可在每月安全公告发布前提前从 Microsoft 收到漏洞信息。这种提前通知有助于预测新出现的威胁，并通过安全更新为双方客户快速有效地提供更及时的防护。3.5.4 WEB 应用程序安全

24、Deep Security 解决方案符合有关保护 Web 应用程序及其处理数据的 PCI 要求 6。6。Web 应用程序防护规则可防御 SQL 注入攻击、跨站点脚本攻击及其他 Web 应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护.该解决方案使用智能规则识别并阻止常见的 Web 应用程序攻击.根据客户要求进行的一项渗透测试，我们发现，部署 Deep Security 的 SaaS 数据中心可对其 Web 应用程序和服务器中发现的 99 的高危险性漏洞提供防护。3。5.5 应用程序控制 应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规则也可用于识别访问网络的恶

25、意软件或减少服务器的漏洞。3。5。6 防火墙 减小物理和虚拟服务器的受攻击面 Deep Security 防火墙软件模块具有企业级、双向性和状态型特点。它可用于启用正确的服务器运行所必需的端口和协议上的通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。其功能如下： n 虚拟机隔离:使虚拟机能够隔离在云计算或多租户虚拟环境中,无需修改虚拟交换机配置即可提供虚拟分段。n 细粒度过滤：通过实施有关 IP 地址、Mac 地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。n 覆盖所有基于 IP 的协议:通过支持全数据包捕获简化了故障排除，并且可提供宝贵的分析见解

26、，有助于了解增加的防火墙事件 TCP、UDP、ICMP 等。n 侦察检测:检测端口扫描等活动。还可限制非 IP 通信流,如 ARP 通信流。n 灵活的控制：状态型防火墙较为灵活,可在适当时以一种受控制的方式完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题，此问题可能出于正常情况，也可能是攻击的一部分.n 预定义的防火墙配置文件：对常见企业服务器类型（包括 Web、LDAP、DHCP、FTP 和数据库)进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。n 可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告，Deep Security 防火墙软件模块

27、可捕获和跟踪配置更改(如策略更改内容及更改者）,从而提供详细的审计记录.3.5。7 完整性监控 监控未授权的、意外的或可疑的更改 Deep Security 完整性监控软件模块可监控关键的操作系统和应用程序文件(如目录、注册表项和值），以检测可疑行为。其功能如下：n 按需或预定检测：可预定或按需执行完整性扫描.n 广泛的文件属性检查：使用开箱即用的完整性规则可对文件和目录针对多方面的更改进行监控,包括：内容、属性（如所有者、权限和大小）以及日期与时间戳。还可监控对 Windows 注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作，并提供警报。此功能适用于 PCI DSS 10。5

28、。5 要求。n 可审计的报告:完整性监控模块可显示 Deep Security 管理器仪表板中的完整性事件、生成警报并提供可审计的报告。该模块还可通过 Syslog 将事件转发到安全信息和事件管理 （SIEM） 系统。n 安全配置文件分组：可为各组或单个服务器配置完整性监控规则，以简化监控规则集的部署和管理。n 基准设置：可创建基准安全配置文件用于比较更改,以便发出警报并确定相应的操作。n 灵活实用的监控:完整性监控模块提供了灵活性和控制性,可针对您的独特环境优化监控活动.这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。此外，还可根据独特的要求灵活创建自定义规则。3。

29、6 系统要求 l 趋势科技Deep Security系统管理中心 内存：4GB 磁盘空间：1。5GB（建议使用 5GB） 操作系统:Microsoft Windows Server 2008（32 位和 64 位）、Windows Server 2008 R2（64 位）、Windows 2003 Server SP2（32 位和 64 位) 数据库:Oracle 11g、Oracle 10g、Microsoft SQL Server 2008 SP1、Microsoft SQL Server 2005 SP2 Web 浏览器：Mozilla Firefox 3.x（启用 Cookie）、In

30、ternet Explorer 7。x（启用 Cookie）和 Internet Explorer 8.x（启用 Cookie） l 趋势科技Deep Security安全虚拟机 内存：1GB 磁盘空间:20GB l VMware 环境： VMware vCenter 5.0 ESX 5。0 VMware Tools VMware vShield Manager VMware vShield Endpoint Security 第4章. 项目实施方案4.1 项目总体规划项目实施总体分为四个阶段,每一个阶段需要一个阶段性总结:（一）项目准备和调研.主要包括实施项目组的建立和对现有VMware系统

31、进行检查两部分.（二）项目实施。虚拟化群集的vShield接口(vShield APP及vShield Endpoint)的实施，虚拟机安全解决方案DeepSecurity的实施。按照实施步骤部署vShield和Deep Security产品.配置vShield APP接口进行的安全域划分工作。对整体环境进行分析，并根据实际情况划分安全域，通过APP接口实现安全域的划分。(三）项目验收。针对产品功能、实施效果等内容进行验收。4.2 实施组织架构整个维护保障人员由XXXX和趋势科技共同组成，其中主要涉及到：XXXX信息安全负责人、趋势科技技术项目负责人和渠道工程师组成的一线服务小组。趋势科技的整

32、个服务团队，由北方区技术经理作为主管,由项目负责人成为趋势科技方主要联系接口人，为XXXX提供实施的整体协调。当出现紧急事件时,统一由XXXX信息安全负责人联系项目负责人,对事件进行处理。具体人员组织安排参见下图：l 趋势科技行业技术经理对趋势科技技术部门内资源协调最终决策的人员.l 项目负责人作为趋势科技针对XXXX在虚拟化安全项目的主要负责人和接口人，协调趋势科技和XXXX之间的工作进程和人员之间的协调工作，同时负责7 x 24小时通过电话、邮件的方式为XXXX提供技术支持、方案建议等服务。l 渠道工程师在实施过程中，有项目的渠道商指定工程师与趋势科技工程师一起完成项目内容，负责产品实施各

33、项工作。姓名单位邮件电话罗海龙行业技术经理Oliver_Luo13911174335张鹏飞项目负责人Pengfei_Zhang。cn186104168154。3 项目实施内容4.3。1 项目准备为了确保整个实施过程的高效有效，XXXX和趋势科技都需建立专门的项目指导小组并组成联合项目指导小组。趋势科技项目指导小组由趋势销售经理和趋势科技技术经理组成,控制项目的整个实施过程。同时，趋势科技成立项目实施小组，在联合项目指导小组的领导下完成项目各节点的具体实施工作。XXXX的人员须拥有跨部门协调和管理该项目整体的权利。建议XXXX项目指导小组在项目实施结束后保留下来，作为负责安全问题的专门小组，以便

34、于今后安全工作的协调和管理，也利于与趋势科技建立畅通的沟通渠道。趋势科技项目指导小组成员：趋势科技项目总协调人:炳宏涛趋势科技技术经理：罗海龙项目负责任人：张鹏飞4。3。2 项目调研调研目标:获取XXXX信息系统实际的网络状况和虚拟化应用状况，为项目实施做好准备，同时根据实际情况对真实需求进行必要的修正,与相关系统管理员进行必要的前期沟通。按照产品的安装要求以及软件网络安全的规范与管理人员进行技术沟通和交流，确定需要调整的网络结构和各种需要增补的软件补丁.调研措施：1、趋势科技提供产品安装系统需求文档； 2、针对虚拟化服务器进行详细的记录,同时记录各单位管理人员的联系方式.调研文档：趋势科技提

35、供网络调研状况一览表文档,由各级管理员进行填写，汇总至XXXX项目指导小组。4.3.3 项目实施项目实施前，趋势科技与XXXX项目组、集成方详细讨论规划项目进度，趋势科技建议基于如下原则进行:先培训，后测试，再上线；XXXX项目实施步骤1. 项目实施小组确认设备环境是否满足安装需求；2. 项目实施小组与XXXX管理人员配合完成vShield接口的安装与配置;3. 项目实施小组与XXXX管理人员配合完成Deep Security的安装与配置；4. 安全域划分4。3。4 项目验收验收目标：1. 双方确认系统正常功能的完整实现； 2. 双方建立畅通的售后沟通渠道;验收措施：1. 趋势科技与XXXX指

36、导小组制订详细的项目验收计划及日程安排；2. 趋势科技与集成方、各单位管理人员共同完成整体验收报告。4.4 项目实施计划4。4.1 项目实施分工在项目实施中，趋势科技将在成立若干项目实施小组。每个小组将遵照推广安装计划，分别到不同单位与当地管理人员一道完成培训工作和安装工作.整个项目参与人力包括：联合项目指导小组（XXXX、集成方项目指导小组趋势科技项目指导小组）、项目实施小组、各应用管理人员等。整个项目实施中分工安排如下：项目环节项目主导者项目配合者1、设备订购与验收XXXX项目指导小组趋势科技项目指导小组2、项目准备联合项目指导小组管理人员3、项目调研联合项目指导小组管理人员4、项目实施联

37、合项目指导小组管理人员5、项目验收联合项目指导小组管理人员4。4。2 项目实施计划第5章. 售后服务趋势科技可以提供如下服务内容：1、技术支持部分l 访问趋势科技中文网站获得针对产品和防病毒问题的自助服务. 网站：http:/www。trendmicro。 l 产品技术支持服务:通过E-mail或传真、免费热线电话方式，获得免费技术支持服务。l 病毒问题支持服务：通过Email或传真、免费热线电话方式，获得免费支持服务。l 技术支持邮箱：service。cn;传真:02163841899l 热线电话：800-8208839 (02161006656)；l 服务时间周一至周五（国定节假日除外）9

38、:00 12：00；13:00 - 17:302、Activeupdate自动升级服务l 在有效服务期内，客户所使用的产品的安全组件可免费合法进行自动或手工升级。l 可更新的安全组件包括：特征码(pattern），扫描引擎(Engine)，产品本身的修补程序（Hotfix、Patch、Service Pack)，等等.3、新版本更新权利l 在有效服务期内，针对客户正在使用的产品中，如果趋势科在市场上推出了相应的新版本，则客户享有在服务期内免费使用该新版本的权利.l 客户可随时免费下载最新版产品或服务升级包,使用所购产品的最新版本。l 项目验收之日起由软硬件原厂商提供一年免费设备软硬件维保服务、

39、版本升级服务、电话支持、技术支持、临时备机。4、现场培训l 软件原厂商为我司相关安全人员提供软件使用、维护及相应vShield接口使用和维护的现场技术培训;l 提供产品运维手册。5、应急响应服务l 提高（724）现场应急服务。第6章. 总结虽然虚拟化IT基础设施将与物理服务器环境共同面对相同的安全挑战,但用户可以充分利用多处理器、多核体系结构和虚拟化软件提供安全机制对其进行防护。此外，现在和将来都可以通过采用由诸如Vshield APIs在虚拟化平台中的不断演化来实现安全性增强策略，从而保护虚拟化IT资源。通过采用由趋势科技所提供的安全软件以及灵活的方法，能够优化防护迅速部署解决方案，并且在不

40、引入瓶颈或冗余控制的前提下，可以确保全部虚拟机的安全基线。趋势科技能够帮助用户扩展虚拟化部署以保护全部关键任务系统。Deep Security物理器只需安装一次,以无代理形式提供安全防护，提升了服务器使用率，相同硬件能提高搭载虚机量.简化管理；主机一次性安装,部署;虚拟机：无代理配置，即便裸机也能立即保护.数据中心服务器安全架构必须解决不断变化的 IT 架构问题，包括虚拟化和整合、新服务交付模式以及云计算。对于所有这些数据中心模式，Deep Security 解决方案可帮助：6.1 预防数据泄露和业务中断n 在服务器自身位置提供一道防线 无论是物理服务器、虚拟服务器还是云服务器 n 针对 We

41、b 和企业应用程序以及操作系统中的已知和未知漏洞进行防护，并阻止对这些系统的攻击 n 帮助您识别可疑活动及行为，并采取主动或预防性的措施 6.2 实现合规性n 满足六大 PCI 合规性要求(包括 Web 应用程序安全、文件完整性监控和服务器日志收集）及其他各类合规性要求 n 提供记录了所阻止的攻击和策略合规性状态的详细可审计报告，缩短了支持审计所需的准备时间 6。3 支持降低运营成本n 提供漏洞防护，以便能够对安全编码措施排定优先级，并且可以更具成本效益地实施未预定的补丁 n 为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供必要的安全性 n 以单个集中管理的软件代理提供全面的防护

42、 消除了部署多个软件客户端的必要性及相关成本 6.4全面易管理的安全性Deep Security 解决方案使用不同的模块满足了关键服务器和应用程序的防护要求：Deep Security 模块据中心要求深度数据包检查 防火墙完整性监控日志审计IDS/IPSWeb 应用程序防护应用程序控制服务器防护 预防已知攻击和零日攻击 安装补丁之前对漏洞进行防护Web 应用程序防护 预防 SQL 注入、跨站点脚本攻击及强力攻击等 Internet 攻击 满足 PCI DSS 6。5 要求 Web 应用程序防火墙虚拟化安全 预防已知攻击和零日攻击 安装补丁之前对漏洞进行防护 VMware vCenter 集成增

43、强了可见性和管理可疑行为检测 预防侦察扫描 检测是否在不合适的端口上使用允许的协议 针对可能发出攻击信号的操作系统及应用程序错误发出警报 针对关键操作系统及应用程序更改发出警报云计算安全 使用防火墙策略隔离虚拟机器 预防已知攻击和零日攻击 安装补丁之前对漏洞进行防护合规性报告 有关对关键服务器所做的所有更改的可见性和审计记录 检查和关联重要安全事件并将其转发到日志记录服务器，以便进行补救、报告和存档 有关配置、检测到的活动及已阻止的活动的报告6.5 虚拟补丁用户一般要花费数周或数月的时间来充分测试和部署补丁，有时系统补丁不能被第三方软件供应商的产品支持，较老旧的应用系统也不能打补丁；采用Dee

44、p Security虚拟补丁功能不但可以在减少补丁更新的频率，而且可以保护不能打补丁的遗留程序，使系统免受零日攻击.保护IT投资，使用虚拟补丁功能可以降低50-75的IT成本。6.6 合规性要求Deep Security提供的防火墙、DPI、 文件完整性检查、 日志审计等功能符合多项法规: PCI， HIPAA， SAS-70， SOX, GLBA等可以满足企业内部及外部审计人员的要求；6.7 Web应用防护根据权威机构统计“34的数据攻击都是和Web应用相关 ” ，“75的攻击都发生在应用层 ” 传统的外围防护如:防火墙等无法保护，识别和弥补这些Web应用漏洞需要花费时间和资源，Deep S

45、ecurity 可以在漏洞被修补前防护针对这些漏洞的攻击行为， 避免高昂的遗留程序重写或服务中断费用。附录一 成功案例DeepSecurity部分用户列表电力能源广州供电局广东电网公司佛山供电局广东电网公司惠州供电局港华燃气广东电网公司梅州供电局重庆市电力公司海南省电网公司广东电网公司珠海供电局广东电网公司广州供电局天津中油燃气车用燃料技术有限公司山东能源集团有限公司金融信诚基金中信证券海通证券北京农商行君龙人寿华融湘江银行龙湾农村合作社桂林市银行交通大众交通 苏州轨道天津港上海沪东集装箱码头制造普利司通 青岛啤酒长春客车厂本田汽车研究院广汽本田汽车研究开发有限公司江淮汽车陕西汉德车桥有限公司湖南中烟工业有限责任公司苏州轨道交通有限公司无锡市轨道交通发展有限公司医疗福鼎医院瑞安市红十字医院南海妇幼连云港中医院佛山市南海区妇幼保健院阜宁人民医院教育吴江市教育局 宝山图书馆镇江教育大学安徽汽车职业技术学院福州大学莱西市中小学校北京教育网络和信息中心江西教育学院深圳职业技术学院安徽省教育出版社安徽警官职业学院东北大学江苏科技大学宝山区图书馆吉林工商学院政府云南省电子政务网络管理中心上海市普陀区科学技术委员会镇江国土资源局常州中级人民法院镇江市烟草专卖局山西药监局上海市卢湾区政府上海市金山区政府上海