服務(wù)器整體安全防護(hù)解決方案V2.1

效勞器整體平安解決方案目錄一、 重新思考效勞器所面臨的平安問題 31.1 成為企業(yè)生產(chǎn)運(yùn)行和業(yè)務(wù)運(yùn)轉(zhuǎn)的根本 31.2 企業(yè)應(yīng)用改變帶來的挑戰(zhàn) 31.3 受到不斷變化新威脅攻擊的挑戰(zhàn) 31.4 法律法規(guī)帶來的要求 3二、 效勞器整體平安防護(hù)三階段 42.1【階段一：初級階段】：保障業(yè)務(wù)和身纏的連續(xù)性和不間斷 42.2【階段二：中級階段】：確保平安事件可管理和可控制 52.3【階段三：高級階段】：實(shí)現(xiàn)設(shè)定的平安目標(biāo)和提升平安KPI 5三、 平安防護(hù)三階段的實(shí)現(xiàn) 53.1實(shí)現(xiàn)第一階段目標(biāo)的步驟和方法 53.2實(shí)現(xiàn)第二階段目標(biāo)的步驟和方法 63.3實(shí)現(xiàn)第三階段目標(biāo)的步驟和方法 73.4不斷提升效勞器平安PDCA模型 83.5效勞器平安整體平安防護(hù)的技術(shù)實(shí)現(xiàn) 93.5.1DeepSecurity的五大平安模塊 93.5.2DeepSecurity的架構(gòu) 113.5.3DeepSecurity支持的操作系統(tǒng)和應(yīng)用 123.5.4DeepSecurity提供效勞器平安事件統(tǒng)一監(jiān)控平臺 12四、 為企業(yè)定制的效勞器平安防護(hù)的最正確實(shí)踐 144.1效勞器分類 144.2正式上線前的小范圍測試環(huán)節(jié) 144.3正式上線步驟 144.4針對企業(yè)效勞器主要平安策略應(yīng)用最正確實(shí)踐 154.5建立效勞器平安事件管理流程 214.6設(shè)定效勞器平安管理KPI 22五、 防護(hù)虛擬化效勞器的平安 23六、 DeepSecurity對企業(yè)帶來的價值 24七、 效勞器防病毒 25八、 平安策略更新效勞 25重新思考效勞器所面臨的平安問題成為企業(yè)生產(chǎn)運(yùn)行和業(yè)務(wù)運(yùn)轉(zhuǎn)的根本隨著信息化和互聯(lián)網(wǎng)的深入，很難想象脫離了網(wǎng)絡(luò)，現(xiàn)代企業(yè)如何才能進(jìn)行正常運(yùn)轉(zhuǎn)。而效勞器所承載的企業(yè)核心數(shù)據(jù)，核心應(yīng)用甚至企業(yè)的核心知識產(chǎn)權(quán)等等，讓企業(yè)已經(jīng)無法脫離效勞器。企業(yè)應(yīng)用改變帶來的挑戰(zhàn)Web應(yīng)用：80%的具有一定規(guī)模的行業(yè)用戶或者企業(yè)用戶都有會自己的Web網(wǎng)站和基于Web的應(yīng)用。虛擬化應(yīng)用：出于資源利用，系統(tǒng)整合以及綠色I(xiàn)T的需要，虛擬化已經(jīng)在企業(yè)內(nèi)部有了大量的應(yīng)用。私有云計算的應(yīng)用企業(yè)對于計算能力，對于業(yè)務(wù)應(yīng)用等需求，已經(jīng)在公司網(wǎng)絡(luò)內(nèi)部建立的私有云計算系統(tǒng)。以上這些應(yīng)用給效勞器的平安帶來了更大的挑戰(zhàn)，傳統(tǒng)的平安措施已經(jīng)不能滿足現(xiàn)在IT系統(tǒng)，效勞器系統(tǒng)的平安要求。受到不斷變化新威脅攻擊的挑戰(zhàn)從2000年至今，互聯(lián)網(wǎng)的開展日新月異，新的引用層出不窮。從Web1.0到Web2.0，從2G網(wǎng)絡(luò)升級到3G網(wǎng)絡(luò)?；ヂ?lián)網(wǎng)接入從笨重的臺式機(jī)，到輕巧的筆記本電腦，到現(xiàn)在的上網(wǎng)本和終端。隨著互聯(lián)網(wǎng)的開展，人們的工作和生活已經(jīng)發(fā)生了翻天覆地的變化，與此同時，信息技術(shù)的開展也帶來了平安威脅的開展。平安威脅的攻擊，從單純的攻擊單臺電腦，到攻擊局域網(wǎng)，攻擊公司網(wǎng)絡(luò)，到現(xiàn)在整個互聯(lián)網(wǎng)充滿著各種攻擊威脅。在目前的網(wǎng)絡(luò)平安大環(huán)境下，現(xiàn)有的防病毒平安系統(tǒng)已經(jīng)無法承載日新月異的威脅攻擊。為了確保企業(yè)的業(yè)務(wù)連續(xù)性，防止病毒對企業(yè)的數(shù)據(jù)，應(yīng)用和網(wǎng)絡(luò)帶來威脅，必須對企業(yè)的平安系統(tǒng)進(jìn)行結(jié)構(gòu)化的完善，尤其在效勞器的平安防護(hù)上，在過去的幾年中，大局部企業(yè)都存在一定的缺乏。法律法規(guī)帶來的要求中國信息平安等級保護(hù)制度和C-SOX，以及國外的PCI,HIPAA,SAS-70,SOX,GLBA等法律法規(guī)，從法律上也要求了企業(yè)在內(nèi)部信息系統(tǒng)上，到達(dá)一定的平安等級和應(yīng)用一定的平安策略。效勞器整體平安防護(hù)三階段趨勢科技根據(jù)20多年來在平安產(chǎn)業(yè)的經(jīng)驗(yàn)，為企業(yè)設(shè)計了效勞器整體平安防護(hù)的三階段，這三個階段的核心是利用PDCA模型，對效勞器的平安進(jìn)行不斷循環(huán)并且前進(jìn)的管理方式。每一個階段都設(shè)定了明確的技術(shù)目標(biāo)或平安管理目標(biāo)。通過部署平安技術(shù)，管理和控制平安事件來實(shí)現(xiàn)最終的平安目標(biāo)和平安的KPI，把效勞器平安用流程管理起來。2.1【階段一：初級階段】：保障業(yè)務(wù)和身纏的連續(xù)性和不間斷階段一的主要目標(biāo)是：主動實(shí)時監(jiān)控或防御效勞器漏洞被攻擊以及內(nèi)容被篡改等平安事件；對效勞器進(jìn)行必要的訪問控制管理2.2【階段二：中級階段】：確保平安事件可管理和可控制階段二的主要目標(biāo)是：提供效勞器平安審計及攻擊事件報告2.3【階段三：高級階段】：實(shí)現(xiàn)設(shè)定的平安目標(biāo)和提升平安KPI階段三的主要目標(biāo)是：建立效勞器平安事件管理流程平安防護(hù)三階段的實(shí)現(xiàn)趨勢科技會根據(jù)企業(yè)的綜合情況，為企業(yè)定制各個細(xì)項(xiàng)的步驟，來協(xié)助企業(yè)實(shí)現(xiàn)效勞器平安防護(hù)三階段。3.1實(shí)現(xiàn)第一階段目標(biāo)的步驟和方法第一階段的主要工作是對和效勞器相關(guān)的所有信息進(jìn)行綜合分析，包括：業(yè)務(wù)分類，應(yīng)用分類和重要性分類等等。所有對效勞器進(jìn)行的平安防護(hù)必須以保障企業(yè)業(yè)務(wù)和生產(chǎn)的穩(wěn)定為前提。所以在第一階段中，趨勢科技建議采用四大步驟來實(shí)現(xiàn)階段一中的所以目標(biāo)：步驟一：對效勞器所承載的企業(yè)業(yè)務(wù)，應(yīng)用和重要性進(jìn)行分類。如此，才能在后續(xù)的步驟中，做到有針對性的分析和防護(hù)，真正的做到有的放矢。步驟二：對效勞器進(jìn)行平安掃描，并設(shè)立平安基準(zhǔn)線。如此，才能保持企業(yè)所有的效勞器有一個最根本的平安閥值，后續(xù)平安管理員可以根據(jù)不同的分類進(jìn)行進(jìn)一步的有針對性的平安策略配置。步驟三：設(shè)計平安策略模板，并根據(jù)步驟一中的分類，分門別類的進(jìn)行應(yīng)用。如此，可以形成一個策略池，在策略池中，根據(jù)效勞器的不同分類，有不同的策略。平安管理員可以很方便的進(jìn)行策略的查詢和應(yīng)用步驟四：管理平安狀態(tài)和監(jiān)控異常。進(jìn)入到平安策略生效和管理中3.2實(shí)現(xiàn)第二階段目標(biāo)的步驟和方法第二階段進(jìn)入了日常運(yùn)營階段，在第二階段中，三個步驟將會采用PDCA的模型進(jìn)行操作。步驟一：延續(xù)階段一進(jìn)入到效勞器平安日常運(yùn)營階段，實(shí)時處理重要平安事件。步驟二：每天/周/月審查整合和分類平安報告。步驟三：根據(jù)平安事件審查結(jié)果進(jìn)行策略的優(yōu)化，形成PDCA循環(huán)往復(fù)的過程。3.3實(shí)現(xiàn)第三階段目標(biāo)的步驟和方法第三階段企業(yè)將進(jìn)入到更高級別的效勞器平安管理階段，在這個主要有四個步驟步驟一：設(shè)定平安目標(biāo)和KPI。不斷加強(qiáng)和穩(wěn)固效勞器的平安性，通過設(shè)定目標(biāo)并且達(dá)成目標(biāo)，以配合企業(yè)業(yè)務(wù)的開展，步驟二：建立流程并且配套資源。為了實(shí)現(xiàn)目標(biāo)和KPI，必須有一套行之有效的流程以及整合必須的資源。在這個步驟中，趨勢科技為企業(yè)設(shè)計了定制的流程，來確保在企業(yè)的資源和能力范圍內(nèi)，能夠到達(dá)平安目標(biāo)。步驟三：評估結(jié)果和目標(biāo)的落差。定期的Review落差，以明確整個效勞器平安體系中，哪些個環(huán)節(jié)有落差。步驟四：協(xié)調(diào)資源彌補(bǔ)落差。在定位到落差后，需要協(xié)調(diào)資源來彌補(bǔ)落差，3.4不斷提升效勞器平安PDCA模型趨勢科技為企業(yè)設(shè)計的效勞器平安模型，整體采用的是以PDCA為核心的體系。如此才能把效勞器的平安目標(biāo)和KPI不斷提升。為企業(yè)業(yè)務(wù)的開展提供穩(wěn)固的支撐。3.5效勞器平安整體平安防護(hù)的技術(shù)實(shí)現(xiàn)3.5.1DeepSecurity的五大平安模塊通過TrendMicro效勞器整體平安防護(hù)解決方案DeepSecurity的五大平安模塊提供：防【毒防護(hù)模塊】：提供平安內(nèi)容過濾【firewall模塊】：提供控制訪問【DPI深度包檢測模塊】：提供監(jiān)控及主動防御攻擊【IntegrityMonitor模塊】：提供檢測系統(tǒng)和應(yīng)用程序運(yùn)行狀態(tài)及恢復(fù)被惡意修改的組件【LogInspection模塊】：審計系統(tǒng)事件和應(yīng)用程序事件底層病毒防護(hù)無需安裝客戶端提供實(shí)時平安內(nèi)容過濾提供手動平安內(nèi)容過濾提供方案平安內(nèi)容過濾給予專用API接口提高運(yùn)行效率3.5.2DeepSecurity的架構(gòu)DeepSecurity的組件序號DeepSecurity的組件組件說明部署1DeepSecurityManager〔DSM〕DeepSecurity效勞器平安防護(hù)系統(tǒng)的管理控制端，負(fù)責(zé)管理和維護(hù)整個系統(tǒng)控制端只需要部署一套2DeepSecurityAgent〔DSA〕DeepSecurity的客戶端，提供四大平安防護(hù)功能直接安裝在效勞器的操作系統(tǒng)上3DeepSecurityVirtualAppliance〔DSVA〕DeepSecurity獨(dú)創(chuàng)的新技術(shù)，用來防護(hù)虛擬效勞器直接安裝在Vmware的ESXServer上，并且能夠和Vcenter效勞器做聯(lián)動4DeepSecuritySecurityCenterDeepSecurity的全球平安策略更新效勞器。DSM會定期的去下載最新的平安更新3.5.3DeepSecurity支持的操作系統(tǒng)和應(yīng)用操作系統(tǒng)Windows(2000,XP,2003,Vista),SunSolaris(8,9,10),RedHatEL(4,5),SuSELinux(9)，AIX，HP-Unix數(shù)據(jù)庫Oracle,MySQL,MicrosoftSQLServer,IngresWeb效勞器MicrosoftIIS,Apache,ApacheTomcat,MicrosoftSharepoint郵件效勞器MicrosoftExchangeServer,Merak,IBMLotusDomino,Mdaemon,Ipswitch,Imail,MailEnableProfessionalFTP效勞器Ipswitch,WarFTPDaemon,AlliedTelesis備份效勞器ComputerAssociates,Symantec,EMC存儲效勞器Symantec,VeritasDHCP效勞器ISCDHCPD郵件客戶端OutlookExpress,MSOutlook,WindowsVistaMail,IBMLotusNotes,IpswitchIMailClient其他應(yīng)用Samba,IBMWebsphere,IBMLotusDominoWebAccess,X.Org,XFontServerprior,Rsync,OpenSSL,NovellClient3.5.4DeepSecurity提供效勞器平安事件統(tǒng)一監(jiān)控平臺如下列圖所示，在DeepSecurity整體架構(gòu)中，DeepSecurityManager〔DSM〕除了提供統(tǒng)一策略配置和管理之外，同時還提供效勞器平安事件統(tǒng)一監(jiān)控管理。管理員可以通過DSM對效勞器群的所有平安事件進(jìn)行管理，便于及時采取對應(yīng)的平安防護(hù)措施。同時，DSM也會提供各種平安事件報表。平安事件報警報告攻擊事件報告防火墻事件報告提供取證的計算機(jī)審計報告效勞器信息報告完整性檢查報告完整性檢查詳細(xì)的篡改報告深度包過濾事件報告日志審計報告日志審計詳細(xì)報告效勞器推薦掃描報告疑似應(yīng)用程序活動報告系統(tǒng)事件報告系統(tǒng)報告總結(jié)報告為企業(yè)定制的效勞器平安防護(hù)的最正確實(shí)踐4.1效勞器分類按照應(yīng)用分類WebServer/DBServer/郵件效勞器/OA應(yīng)用效勞器/文件效勞器/生產(chǎn)效勞器等等按照重要性分類不可停機(jī)，可短暫停機(jī)或可停機(jī)。4.2正式上線前的小范圍測試環(huán)節(jié)為了確保效勞器整體的穩(wěn)定性，防止平安系統(tǒng)對效勞器運(yùn)行的影響，故在正式上線前，趨勢科技建議企業(yè)進(jìn)行有代表性效勞器采樣的小范圍測試。測試流程如下：4.3正式上線步驟趨勢科技建議在企業(yè)內(nèi)部部署DeepSecurity效勞器整體平安防護(hù)系統(tǒng)的步驟。4.4針對企業(yè)效勞器主要平安策略應(yīng)用最正確實(shí)踐趨勢科技建議對企業(yè)效勞器針對如下九大方面進(jìn)行有針對性的平安防護(hù)。1、核心應(yīng)用進(jìn)程監(jiān)控：發(fā)現(xiàn)異常立刻通知管理員，進(jìn)行相應(yīng)的處理。2、對Web應(yīng)用：部署XSS攻擊防護(hù)策略3、對數(shù)據(jù)庫應(yīng)用：部署SQLInjection防護(hù)策略4、對系統(tǒng)\效勞\程序漏洞進(jìn)行主動防護(hù)，提供虛擬補(bǔ)丁防護(hù)5、對各類事件進(jìn)行實(shí)時監(jiān)控6、對效勞器進(jìn)行訪問控制7、對核心文件和目錄進(jìn)行監(jiān)控8、對系統(tǒng)操作進(jìn)行審計9、對DDOS攻擊進(jìn)行防護(hù)在進(jìn)行所有的策略部署之前，首先，企業(yè)可以利用DeepSecurity的推薦掃描功能選項(xiàng)對企業(yè)內(nèi)的效勞器進(jìn)行分析，得出初步的平安威脅分析報告，以此為基準(zhǔn)線來進(jìn)行進(jìn)一步的平安配置。1、核心應(yīng)用進(jìn)程監(jiān)控：發(fā)現(xiàn)異常立刻通知管理員，進(jìn)行相應(yīng)的處理2、對Web應(yīng)用：部署XSS攻擊防護(hù)策略3、對數(shù)據(jù)庫應(yīng)用：部署SQLInjection防護(hù)策略4、對系統(tǒng)\效勞\程序漏洞進(jìn)行主動防護(hù)如下列圖，選擇所有和MS08-067相關(guān)的DPI條目可以對該漏洞進(jìn)行主動防護(hù)5、對各類事件進(jìn)行實(shí)時監(jiān)控6、對效勞器進(jìn)行訪問控制7、對核心文件和目錄進(jìn)行監(jiān)控8、對系統(tǒng)操作進(jìn)行審計9、對DDOS攻擊進(jìn)行防護(hù)4.5建立效勞器平安事件管理流程從效勞器平安事件角度出發(fā)從管理員監(jiān)控角度出發(fā)4.6設(shè)定效勞器平安管理KPI為整個效勞器平安管理設(shè)定不同目標(biāo)的KPI，分階段實(shí)施，不斷提高效勞器平安等級KPI評估方式第三階段第二階段第一階段操作系統(tǒng)漏洞更新時間間隔應(yīng)用系統(tǒng)漏洞更新時間間隔效勞器停機(jī)時間時間間隔非授權(quán)訪問次數(shù)非授權(quán)修改次數(shù)例如：操作系統(tǒng)漏洞更新〔天〕第三階段第二階段第一階段Critical漏洞KPI=1KPI=3KPI=7Medium漏洞KPI=7KPI=21KPI=30Low漏洞KPI=30KPI=60KPI=90防護(hù)虛擬化效勞器的平安隨著虛擬化技術(shù)的開展和企業(yè)對虛擬化技術(shù)的不斷深入應(yīng)用，在虛擬化環(huán)境下，企業(yè)將會遇到新的平安問題。如下列圖所示：傳統(tǒng)的平安防護(hù)，例如：防火墻等，沒有方法去防護(hù)單臺物理機(jī)上的多臺虛擬機(jī)之前互相傳播病毒或者互相攻擊。企業(yè)在應(yīng)用虛擬技術(shù)時，會在以下五個方面提供遇到新的平安問題，這是傳統(tǒng)的平安軟件或者硬件沒有方法解決的。未激活的虛擬機(jī)資源沖突虛擬系統(tǒng)擴(kuò)展虛擬系統(tǒng)間的通訊vMotion虛擬機(jī)遷移趨勢科技DeepSecurity利用創(chuàng)新的技術(shù)，結(jié)合Vmware的VMsafeAPI，直接把平安防護(hù)組件DSVA，安裝在ESXServer上。直接從虛擬層對上層的所有虛擬機(jī)統(tǒng)一的提供平安防護(hù)。DSVA在底層可以提供。如上圖所示，通過DSVA的防護(hù)，單臺物理機(jī)上的所有虛擬效勞器之間的互相攻擊和病毒傳播就可以直接被DSVA阻斷。徹底解決了企業(yè)在應(yīng)用虛擬技術(shù)時，效勞器所遇到的新的平安問題。所以，DeepSecurity可以在Vmware提供的虛擬環(huán)境下，提供應(yīng)效勞器群新的平安防護(hù)架構(gòu)。如下列圖所示，管理員只需要在ESX主機(jī)上平安DeepSecurity的DSVA組件，就可以提供對這臺ESX主機(jī)上所有的虛擬主機(jī)的平安防護(hù)，而不需要在每一臺虛擬主機(jī)上平安Agent。同時，DSM會對DSVA進(jìn)行統(tǒng)一的監(jiān)控和管理。DeepSecurity對企業(yè)帶來的價值通過部署DeepSecurity，企業(yè)在效勞器的平安性上有了本質(zhì)的改變，傳統(tǒng)的平安僅僅在效勞器上安裝防病毒軟件，非常局限。企業(yè)對于效勞器整體平安性并沒有全面的布防，通過DeepSecurity，企業(yè)的可以獲得：提供深度