云安全多层次解决方案--趋势科技.doc

基于云安全多层次解决方案-趋势科技xxx趋势科技（中国）有限公司电话务热线：800-820-8876服务邮件：s版本修订日期修订人描述1.02009-8-12michael lu为写方案提供必要的框架目 录1.xxx安全项目综述31.1.项目背景31.2.云安全多层次解决方案给xxx带来的安全提升31.3.多层次安全解决方案组成42.xxx应用云安全多层次防护系统62.1.xxx现有的防病毒系统现状62.2.xxx基于云安全的多层次安全解决方案规划72.3.xxx基于云安全多层次防病毒系统详细设计112.3.1.系统体系架构112.3.2.终端安全防护122.3.3.网关web病毒和内容过滤设备182.3.4.主动式威胁发现设备tda212.3.5.网关smtp邮件防护设备282.3.6.中央控管体系342.3.7.xxx整体解决方案部署示意图383.售后服务383.1.趋势科技承诺xxx的基本服务条款383.1.1.技术支持部分403.1.2.activeupdate自动升级服务403.1.3.新版本更新权利401. xxx安全项目综述1.1. 项目背景从2000年至今，互联网的发展日新月异，新的引用层出不穷。从web1.0到web2.0，从2g网络升级到3g网络。互联网接入从笨重的台式机，到轻巧的笔记本电脑，到现在的上网本和手机终端。随着互联网的发展，人们的工作和生活已经发生了翻天覆地的变化，与此同时，信息技术的发展也带来了安全威胁的发展。安全威胁的攻击，从单纯的攻击单台电脑，到攻击局域网，攻击公司网络，到现在整个互联网充斥着各种攻击威胁。xxx在目前的网络安全大环境下，现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保xxx的业务连续性，避免病毒对xxx的数据，应用和网络带来威胁，必须对xxx的防病毒系统进行结构化的完善。1.2. 云安全多层次解决方案给xxx带来的安全提升在部署应用了云安全多层次解决方案后（以下简称多层次安全解决方案），xxx的系统安全，应用安全和网络安全将进入到一个崭新的阶段。从以下八个角度可以看出，多层次安全解决方案给xxx带来的价值1-完整性多层次安全解决方案提供给xxx，从终端，到应用系统，邮件系统，到web互联网关，甚至iso2-7层多达80多种协议的侦测。彻底阻断的病毒可能入侵和传播的途径。2-有效性多层次安全解决方案彻底杜绝了病毒重复感染，病毒源头无法定位的弊端。使得xxx在病毒安全防护系统有了质的飞跃。3-智能性利用趋势科技未知威胁侦测系统tda,能够7*24小时主动发现和定位xxx网络环境中的未知和已知的威胁攻击。彻底解决了传统防病毒体系无法有效防护新的未知威胁。4-可靠性趋势科技能够为xxx提供7*24小时防病毒系统主动监控，确保整个防病毒系统不间断的进行运作5-稳定性考虑到xxx的计算机可用资源率，内部系统应用和网络架构，趋势科技提出的多层次安全解决方案能够最大程度的减少对xxx各种资源的消耗，并且确保整个解决方案的兼容性。6-管理性趋势科技多层次安全解决方案能够单点登陆(sso),进行全局的管理，能够对终端，服务器，邮件安全的设定，web网关安全的设定和网络层策略设定，日志查询，并且能够统一生成全局报表。进行横向和纵向的安全情况分析，得出相应的加强措施。7-扩展性趋势科技多层次安全解决方案能够连接趋势科技云安全平台，利用趋势科技全球云安全技术平台的海量安全数据，彻底帮助xxx提升现有的安全级别。8-节省人力资源多层次的安全防护系统，因为具有以上特性，故能够让xxx完全摆脱先前的被动式的防护，最大程度的减少xxx之前的防病毒系统需要大量人力资源去维护，去终端查杀病毒等等繁琐的工作，提升xxx安全项目组人均生产力。也侧面提升了所有终端用户的人均生产力。1.3. 多层次安全解决方案组成结合对xxx防病毒安全需求和现状分析以及需要达成的目标，趋势科技的多层次安全解决方案组成如下：趋势公司 trend micro secure cloud layer protection（云安全多层次解决方案） 包括：l 趋势科技防毒墙控管中心：trend micro control managerl 趋势科技防毒墙网络版：officescanl 趋势科技互联网网关安全设备: iwsal 趋势科技威胁发现设备：tdal 趋势科技网关讯息安全设备：imsa 产品简要说明:产品功能及用途产品名称功能对全网防病毒系统实现中央控管trend micro control manager5.0提供sso单一登录的机制，统一管理趋势科技所有的软件和硬件产品，实现对所有防毒软件和硬件的集中设置、集中维护；搭建一个立体化的管理构架；集成临时策略功能，有效阻止爆发初期，病毒在内网的感染和扩散；形成统一报告，提供分析内网漏洞的有效数据。并且提供多用户管理机制。终端和服务器安全防护officescan10.0officescan10.0提供给xxx全面的终端安全解决方案。实现对终端的病毒、木马、间谍软件、优盘病毒的查杀；针对usb、光盘、软盘、网络资源等传输方式，提供完全访问、仅读和写、仅读和执行、只读、不能访问等多种不同的访问权限；支持以插件方式部署idf主机入侵防御系统，在打补丁之前屏蔽系统漏洞，针对零时差攻击，提供相应保护。整个officescan终端安全解决方案，采用b/s的管理架构，整体实施和运维非常简易。网关web安全设备iwsa趋势科技iwsa是高效的企业级http/ftp应用防护设备，可协助xxx阻止各种通过web浏览或ftp下载导致的病毒感染,url filter,防间谍软件等多种安全防护。同时iwsa能够联动趋势科技”云安全”的技术平台，进一步提高xxx在网关web防护的及时性和低资源占用率。未知威胁发现设备tdal 在网络探测未知或者已知的恶意威胁 l 定位网络中的未知或者已知的威胁攻击源头l 网络内容检测技术l 侦测多达80多种协议l 全面发现 securecloud服务网关邮件安全设备imsa5000imsa趋势科技网关讯息安全解决方案提供了全面的电子邮件安全防护，集成了病毒扫描、垃圾邮件检测、邮件信誉服务、间谍软件、反钓鱼程序和内容过滤功能 ，可以实现完整的防护，对it基础架构进行加固，减少运营成。trend micro 作为网关安全的先驱者和领导者提供成熟、稳定的电子邮件安全解决方案以架构全面的、多层次的网络安全防护体系。2. xxx应用云安全多层次防护系统2.1. xxx现有的防病毒系统现状l xxx防病毒软件应用情况：序号项目内容1终端pc1000台2服务器10台3终端防病毒软件symantec sep11.0l xxx的网络架构：由上图可见，xxx的网络分为内部生产网和外部oa网。l xxx防病毒系统管理现状防病毒管理人员1名兼职管理防病毒系统日常管理流程没有特别的流程基于事件的被动式的防病毒管理工作。网络中的病毒事件没有具体的办法来控制由于整个防病毒体系比较简单，在病毒分析，病毒源头定位等方面没有较好的措施。所以，很难彻底清查病毒事件。防病毒管理人员的培训没有定期的病毒安全防护知识的更新会导致管理员，面对层出不穷的新病毒无法防范终端用户的安全意识培训没有定期的对终端用户进行病毒意识的普及性宣传终端用户安全防范意识薄弱，会造成病毒安全事件无法控制。从xxx防病毒软件应用，网络架构和系统管理现状三方面来分析，目前xxx的防病毒安全系统无法满足，当今世界的病毒攻击，传播和感染的现状。趋势科技基于云安全多层次防护体系架构，能够从技术上，流程上和人员培训这三个方面提升xxx的防病毒安全系统，真正做到100%的安全防护。2.2. xxx基于云安全的多层次安全解决方案规划趋势科技对xxx的方案规划：从三个角度进行提升：1. 技术：即具体的solution2. 流程：结合xxx实际情况，定制各种必要的流程，变被动为主动3. 人员：基于xxx防病毒管理人员和普通终端电脑使用者进行专业性和普及性的防病毒知识培训l 技术规划： 主动防御：趋势科技为xxx设计的基于云安全的多层次安全体系，能够主动防御已知和未知病毒。即使面对新病毒，还没有病毒码的情况下，xxx也在趋势科技防病毒体系下阻挡新病毒。 多层次：网关层-网络2-7层-应用层-终端层集中管理1. 网关层：目前xxx的防病毒系统非常单一，仅部署了基于桌面端的防病毒软件。然后，当今80%的病毒来自互联网。xxx仅仅依靠终端上的防病毒软件根本无法抵御现在多样的病毒传播，所以xxx的互联网出口成为防病毒系统的重中之重。2. 网络2-7层：当病毒进入到xxx内部网络后，可以第一时间侦测病毒流量，定位病毒源头，将病毒事件遏制在源头。3. 应用层：邮件应用以及ftp应用也是病毒传播的主要途径之一，也要做相应的防护。4. 终端层：传统意义上的防病毒软件已经不足以防护当今多样性的病毒，趋势科技会通过防病毒，木马查杀，防火墙和ids等组件给予xxx终端全面的保护。同时，对于u盘，移动硬盘，cd dvd介质以及共享文件夹的防护也必须加强，在整个08年和09年上半年，u盘病毒等类似病毒给xxx也带来了相当大的困扰。5. 集中管理：整个多层次的解决方案，都能够通过趋势科技集中管理平台进行统一管理，策略配置和报表制作。 技术拓展：病毒码匹配-智能扫描引擎云安全技术1. 病毒码匹配：传统技术。2. 智能扫描引擎：利用启发式的扫描引擎和3. 云安全技术：趋势科技利用特别研发出的信誉评估技术，通过实时更新的安全等级信息，在各种威胁入侵前彻底防御这些危险攻击。信誉评估技术是由收录邮件服务器评估数据的“邮件信誉技术”、收录web评估数据的“web信誉技术”，以及收录文件评估数据的“文件信誉服务”三者结合而成。通过云安全技术，xxx网络的安全级别会有一个质的飞跃，在更节省资源的情况下，第一时间获得最新的安全防护。 云安全技术示意图：l 流程规划 流程设计1. 常规病毒和产品问题处理流程2. 依托病毒和产品监控服务建立的主动病毒处理流程3. 紧急恶性病毒处理流程4. 异地紧急病毒事件处理流程5. 病毒预警处理流程 服务体系设计1. 800标准服务2. 7*24小时监控服务3. 防毒顾问服务 4. 专属的服务管理 5. 主动式的服务 6. 快速响应服务 7. 在线服务支持 8. 巡检服务 l 人员培训规划 防病毒管理人员的培训1. 现场培训：通过现在对xxxit管理员的培训，使其获得对趋势科技多层次安全体系管理的技能，同时也提供病毒安全知识的培训，确保其对病毒特性的了解，能够很好的掌握具体的操作。2. web教程的培训：xxxit管理人员能够随时随地点播趋势科及web在线培训教程。 终端电脑使用者的培训1. 通过定期的安全小贴士，用简单易懂的内容，宣传用户病毒基本支持，提升终端电脑使用者的安全意识。2.3. xxx基于云安全多层次防病毒系统详细设计1- iwsa5000网关防护internet的http出口2- imsa5000应用层防护垃圾邮件和病毒邮件3- officescan10.0终端层防护所有计算机的安全4- tda网络2-7层侦测所有网络流量5- 和协议，主动侦测已知或未知病毒，实时报警并监控6- tmcm统一进行集中管理2.3.1. 系统体系架构l 网关层在xxx网关处，对internet的http流量进行实时监控。阻挡80%以上的病毒感染情况。根据xxx的网络结构分析，趋势科技网关设备iwsa5000主要是部署在核心交换机和防火墙之间，采用透明串联的方式。l 应用层对于xxx的邮件应用，将部署趋势科技imsa垃圾邮件和病毒邮件过滤设备。对进出xxx的邮件进行全面过滤l 终端层对于xxx网络中的所有终端pc和服务器进行全面的安全防护。趋势科技officescan10.0提供病毒过滤，木马查杀，防火墙和ids。同时对u盘等移动介质也进行严格的权限管理。l 网络2-7层与其它传统防病毒解决方案最大的不同是，趋势科技的未知病毒侦测设备tda，可以对xxx网络中所有协议的流量进行监控，通过内置文件型病毒扫描引擎，网络型病毒扫描引擎，启发式扫描引擎，俄规则扫描引擎和信誉评估机制引擎五大扫描机制，能够实时监控到xxx网络中的病毒迹象，一旦发觉立刻自动email通知管理员，第一时间阻断病毒的传播和扩散。tda同时还能够解决一直以来，其它解决方案无法处理的病毒源头定位的问题，通过对海量数据的自动分析，tda能够迅速定位网络中的病毒源头，完全杜绝了病毒事件无法彻底处理干净，重复感染一直发生的情况。tda还能够监测网络中是否存在的僵尸网络病毒，确保xxx网络不被黑客利用偷窃机密信息和向外发送攻击包。2.3.2. 终端安全防护趋势科技防毒墙网络版officescan趋势科技officescan 10是一款革命性的防御解决方案，它在利用传统技术的同时，利用趋势科技云安全2.0(smart protection network)中独创的文件信誉技术(frt)管理病毒特征码，当用户访问某文件时，将直接到云端查询该文件的最新安全等级，frt会阻止用户访问低安全等级的文件，从而在最大程度上确保终端无论是否接入企业网络都可以受到保护。同时，也能够提供web信誉评估，当终端在局域网内或离开局域网访问网页时，officescan会自动判断该网页是否安全，是否曾经被检测到感染过病毒。自动阻断终端对恶意网页的访问1- xxx应用了趋势科技officescan10.0中的文件信誉评估技术后，在未来的病毒几年中不会因为病毒威胁的增加而导致病毒码大量占用内存，从而使得终端运行速度变慢。2- xxx在应用了趋势科技的文件信誉评估技术后，面对新的恶意威胁时，获得安全防护或者最新病毒特征码的速度将会变得没有延迟。无论网络多大，只要本地扫描服务器获得更新后，所有内部终端自动获得最新更新，从而零时间防御新病毒。产品功能：l 整合性的计算机安全防护软件：趋势科技防毒墙网络版officescan能够提供给计算机防病毒，防火墙，ids以及防间谍软件、web安全评估等安全防护功能，给予计算机最完整的安全防护。l 业界领先的web信誉评估服务（web reputation services）：趋势科技防毒墙网络版officescan能对客户机上网浏览的web站点进行安全评估，实时保护客户机不受恶意网站的威胁。l 增加rootkit侦测技术l 病毒爆发防御服务（outbreak prevent service）：防病毒软件永远滞后于病毒，这是一个不争的实事，因此防毒软件病毒代码、引擎的快速升级将是阻止最新病毒攻击的有效手段，但病毒代码升级前的“空窗期”是病毒攻击企业网络的最佳时期。趋势科技防毒墙网络版officescan独有的病毒爆发防御服务有效解决了这个问题，它可在防毒代码未完成之前，自动获取趋势科技提供的预防代码，提前对通过端口、共享等方式进行传播的最新病毒，大大降低最新病毒对企业用户造成的损害。l 内嵌防火墙自身保护系统：趋势科技防毒墙网络版officescan具备个人防火墙功能，对多种协议数据包进行阻挡，同时还具备ids、网络病毒扫描（network virus scanning）、网络异常监控等功能，满足各层次用户的需要。l 智能处理措施：趋势科技防毒墙网络版officescan 的智能型处理措施(activeaction)能针对不同类型病毒，设定不同的处理措施，如特洛依型病毒或蠕虫就直接执行删除动作，增加扫描的效能。l 智能性扫描技术：趋势科技防毒墙网络版officescan 的智能型扫描(intelliscan)功能是以文档真正内容格式(true file type)作扫描，且支持ole文档的扫描，增加侦测病毒的准确性，防止漏扫病毒。n 自动更新软件：趋势科技防毒墙网络版officescan自动而且集中式的更新和部署，确保客户端的officescan防毒软件维持在最新版；软件的更新与维护，完全不需使用者介入，减轻管理者的负担。 n 客户端软件可以将整个计算机群组 一次更新，以达到最佳部署效率，对带宽的冲击可降至最低。 n 提供远程代理更新（remote agent）功能，可以设定分公司或分支机构的一部计算机成为远程代理主机去更新病毒码及修补程序，增加更新的效率。 n 采用趋势科技的智能型病毒码更新技术，只针对新增加的病毒码部分进行更新，有助加快更新程序，尤其对使用窄带宽线路的远程办公室收效更大。 n 移动装置使用者可以直接通过internet下载更新程序，既简单又便利。l 集中式管理、配置设置和报表功能：趋势科技防毒墙网络版officescan提供web接口的管理控制台，系统人员可以在任何时间、任何地点通过internet，执行软件更新、变更防毒配置和处理紧急状况。 n 集中式控管功能，系统人员可以锁定客户端配置，计算机使用者无法变更或移除他们的防毒软件，降低错误操作所造成的病毒事件。 n 系统人员可以针对每一台计算机，设置执行实时、手动或预设的病毒扫描。 n 定制报表能够更清楚地呈现客户端的安全状态，而且报表可以转换成sql数据形式，以便通过其它数据库进行更有弹性的数据管理。系统需求：l 操作系统：microsoft windows 2000 server with service pack 3 or 4、microsoft windows 2000 advanced server with service pack 3 or 4、microsoft windows server 2003 32-bit edition with or without service pack 1 or 2、microsoft windows server 2003 64-bit edition with or without service pack 1 or 2、microsoft windows server 2003 r2 32-bit edition with or without service pack 1 or 2、microsoft windows server 2003 r2 64-bit edition with or without service pack 1 or 2、microsoft windows storage server 2003 32-bit edition、microsoft windows storage server 2003 64-bit edition、microsoft cluster server 2000、microsoft cluster server 2003l 处理器：intel pentium 800mhz or abovel 内存：512mb l 磁盘空间：至少1gb部署建议：officescan10.0可以对windows 95/98/2000/xp/2003进行病毒防护。趋势科技网络版防病毒软件的组织架构为：通过一台officescan服务器去远程的控制和管理局域网内部，甚至广域网中officescan客户端。officescan客户端可以通过多种方式安装到计算机上：l 通过网页远程自动下载安装；l 通过制作officescan客户端安装包安装；l 通过共享文件夹方式安装l 通过集成windows域自动安装客户端l 通过微软sms安装；产品部署架构：增加部署结构图，选择传统模式和smart scan server模式如上图所示：趋势科技建议xxx采用上述结构来部署officescan，通过该种方式部署officescan，xxx网络中计算机防病毒体系达到如下效果：l 一体化的管理机制：officescan服务器统一控管整个网络的officescan客户端，包括，防病毒策略的设定和配置，日志的收集，病毒码，扫描引擎等组件的更新；以点盖面大大的简化整个防病毒系统，防病毒管理人员只需利用有ie浏览器的计算机就可以对officescan服务器进行操作，移动的进行远程web管理。从而确保xxx能够用最少的人力资源，维护好整个网络的计算机防病毒；l 分组管理的机制：根据xxx内部不同的部门在officescan中设置不同的管理组，便于xxx防病毒管理员针对不同的组设定不同的策略，开放不同的权限；l 集成病毒专杀工具，清除病毒更彻底：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新；完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；此项技术能够让xxx的防病毒管理人员从服务器端主动触发整个网络所有客户机的专杀工具去扫描本机内存和注册表，清除内存中的病毒进程和恢复被病毒修改的注册表键值，从而彻底摆脱传统的清除病毒的工作：针对不同病毒，下载不同的专杀工具，到每一台计算机前，手动执行不同种类的专杀工具，反复重起计算机；同时，客户机也可以手动点击按钮，触发专杀工具清除病毒；l 病毒爆发预防策略：officescan应用该策略能够有选择性的关闭某些病毒攻击网络，服务器和客户机的端口，或共享文件夹等，从而，阻挡大量的蠕虫病毒，在网络中大面积爆发。从而，保护用户网络中的所有计算机不受到病毒攻击。当xxx网络内部不幸遭遇到新病毒攻击而病毒码还未更新时，利用病毒爆发预防策略能够将新病毒所利用的网络漏洞和系统漏洞完全堵死，让还没有进来的病毒进不进来，让已经进来的病毒无法扩散；l 集成网络版防火墙和ids：officescan网络版防火墙和通过在客户机和网络之间创建屏障，来帮助保护officescan网络版客户机免受黑客和网络病毒的侵扰，并且可以在客户端无法连接officescan主服务器时，通过officescan备用服务器下发防火墙策略。同时，ids确保客户机不受到内部或外部的入侵攻击，确保xxx内部计算机的系统安全和资料安全；l 抵御间谍软件和其他类型灰件的侵害：防毒墙网络版下载间谍软件/灰件特征码文件以保护xxx的计算机免受病毒之外各种潜在威胁（包括广告软件和间谍软件）的侵害。防毒墙网络版可以扫描和清除间谍软件和其他灰件，就像可以扫描和清除客户计算机上的病毒一样。同时提供了临界间谍软件/灰色软件例外列表和普通间谍软件/灰色软件例外列表，避免防毒墙网络版将某些您需要使用的软件被识别为灰色软件；l 分布式的病毒码更新：鉴于xxx网络中，有部分网络或者分支机构中的安装有officescan客户机与officescan服务器之间的连接带宽比较窄，只有几十k左右。为了避免病毒码升级时造成网络带宽被占用，趋势科技建议在部分网络或者分支机构中选择一台计算机做更新代理，如上图所示，其余计算机直接通过更新代理更新而不是通过officescan服务器更新，如此就可以确保病毒码更新时不会占用网络带宽，确保xxx的正常的业务数据不会因为网络带宽被占用，无法及时同步更新，当然，如果；部分网络或者分支机构（与officescan服务器用窄带连接的环境）可以直接上internet，则也可以通过intetnet进行病毒码的更新；l 病毒爆发监控：“病毒爆发监控”可以用来监控网络上有感染迹象的可疑活动。通过设定病毒爆发监控的敏感度，如：设定的时间段内，网络上的并发会话数量超过设定的值，这样在网络内部出现病毒爆发之前，提前向xxx防病毒管理人员预警，防患于未然；l 扫描有防病毒漏洞的计算机：通过趋势科技officescan自带的tmvs客户机漏洞扫描工具，可以将xxx网络中所有客户机做一个整体的扫描，将没有安装officescan客户端软件的计算机的ip地址，计算机名字，操作系统等详细的信息生成报表，便于xxx防病毒管理人员及时定位网络的未安装officescan的计算机；l 并入趋势科技整体防病毒体系：officescan通过安装tmcm代理程序，就能够被整合在tmcm的管理体系中。2.3.3. 网关web病毒和内容过滤设备趋势科技互联网网关安全设备interscan web security appliance 趋势科技互联网网关安全设备（简称iwsa)是一套针对http/ftp应用进行安全防护和策略控制的综合性网关解决方案。产品外观：硬件规格iwsa 5000可扩展性网络接口千兆铜口、千兆光口端口数量4个铜口或2个铜口2个光口硬盘2 x 146gb( raid1)、热插拨高可用性设备故障检测是硬盘热插拨、raid1处理器双2.66g（4核）链接失败检测是lan bypass(故障直通)是（铜口、光口均支持）硬件状态检测是管理内嵌web界面管理用于单台设备管理控制中心tmcm集中管理可选，建议用于多台设备管理支持在线更新是自动策略/服务更新是损害清除服务可选url过滤和applet&activex安全是其他硬件替代部件无物理/运行参数设备规格2u 高度3.4英寸（8.656厘米）宽度17.6英寸（44.7厘米）深度29.79英寸（75.68厘米）重量59磅（26.76公斤）运行环境50 95f（10 35）非运行（存储）环境-40 149f （-40 65）产品功能：iwsa能够在一个硬件设备中对http/ftp数据流实现如下几大功能：l 防病毒l 防间谍软件l 防网络钓鱼l 防javeapplet&activex恶意插件l 流量配额管理l 恶意url阻止l url过滤功能l web信誉服务l 流量及硬件状态实时动态图形iwsa不仅具备全面的安全防护功能，同时由于采用多种智能分析与扫描处理技术，在性能表现上优于同类产品，是企业网络安全防护的重要防线。iwsa支持多种配置运行模式，支持多种未来新的应用系统的设计架构，与趋势科技业界领先的企业安全防护策略(eps)相结合，扩展了趋势科技关于web安全的病毒爆发生命周期管理理念，从而保证用户获取最大的投资回报率。给xxx带来的价值：u 集成web信誉服务云安全技术web安全网关iwsa集成的web信誉服务云安全技术是下一代内容安全防护技术，它与病毒代码比对技术同时为用户提供安全保护，但在防护的效果上云安全技术表现得更动态、更主动和更节省系统资源。趋势科技通过在internet上构建多达几万台的服务器群，实时动态地收集internet上的风险，生成恶意信息数据库。当用户需要访问internet资源时，安全子系统会自动到趋势科技服务器群上针对数据源的安全性进行查询，如果数据安全，则用户就可以正常访问；如果数据风险很高，则用户的访问就会被自动阻止，实现恶意程序在侵入网络或计算机前就被阻止掉。u 综合性的安全管理能力iwsa针对web威胁提供综合性的安全管理能力，全面地解决了当前客户环境所面临的复杂的web安全问题，特别是在恶意程序源头对web威胁进行快速阻止；u 高性能、高可用性iwsa集合趋势科技多年来web安全解决方案的经验与技术，具备高可靠性和高可用性，具备灵活的扩展能力；u 管理方便，配置灵活iwsa基于策略制定安全措施，管理人员可以灵活地定制个性化的安全规则；u 极低的运维成本iwsa从整体上对web应用进行了全面的防护，帮助管理人员快速地构建起web防线，从根本上扭转web安全防护的被动局面，提高了管理效率，降低了运维成本。在xxx网路环境中的部署架构：请基于用户网络环境，增加实际的部署图。并且建议结合用户的实际情况，把对应的策略配置也在这部分进行说明。例如：l 策略配置扫描策略，升级策略，性能调优日志查看等等2.3.4. 主动式威胁发现设备tda产品功能介绍l 在网络探测恶意威胁 1. 探测未知和已知恶意威胁2. 发现恶意威胁的信息窃取3. 探测网络和电子邮件攻击网络钓鱼和网络漏洞利用l 探测网络中断行为1. 中断性应用p2p、即时讯息等2. 中断性服务smtp中继、流氓dns等l 网络内容检测技术1. 2-7层协议检测，80种以上协议2. 全面的应用支持（超过120种应用） 3. 可疑活动关联性4. 文档内容扫描l 联动云安全服务1. 与internet云安全数据库链接 对数据进行根源分析&关联性 对协议和应用进行名誉分析 2. 恶意事件管理和汇报 面向客户的恶意事件分析 每日管理报告事故响应 执行报告整体安全情况l 旁路部署通过镜像数据进行分析，不会中断服务产品特点 对由恶意威胁造成的数据丢失风险的响应速度更快 清晰的安全状态可见性所带来的主动安全架构规划 尽早发现新威胁并做出响应，从而节省了损害清除费用 破坏性应用程序检测，从而节省网络资源 灵活的离线部署将网络中断降到最低 个性化的威胁管理经验带来更高的客户满意度产品规格项目内容处理器quad-core intel xeon processor x5355 x 2内存8 g硬盘300 gb x2 , raid 0 ,热插拨网路卡gigabitethernet nic电源redundant power supply流量支撑700 mbpts , 10,000 连线数产品功能细节描述1、人性化的web管理界面在web管理界面的summary中可以清晰的体现出当前内网的威胁等级、各种安全威胁事件的计数等信息，并且可以根据安全威胁的种类以及外部、内部攻击分类。2、可以提供对各种即时通讯软件的扫描3、可以提供对各种p2p软件的监控 4、可以提供对各种流媒体数据的监控5、tda 内建24 小时 report 内容，可以按照协议、侦测种类分类显示各类已知、未知安全隐患6、趋势科技securecloud提供的每日管理报表。通过报表可以清晰了解当前存在的安全隐患、感染客户机、以及提供处理建议每日资安事件列表事件详细分析防范建议威胁说明及可能影响范围建议采取措施部署说明：请根据客户情况详细说明tda采用离线配置模式，旁路连接在交换机上。交换机需开启镜像端口，将数据导入tda进行扫描。另外，需要在防火墙上开启相应策略，允许tda注册到趋势科技的云安全服务器，由趋势科技后端计算中心定期提供威胁评估报表给用户。2.3.5. 网关smtp邮件防护设备趋势科技网关讯息安全设备interscan message security appliance 5000趋势科技网关讯息安全解决方案提供了全面的电子邮件安全防护，集成了病毒扫描、垃圾邮件检测、反间谍软件、反钓鱼程序和内容过滤功能 ，可以实现完整的防护，对it基础架构进行加固，减少运营成本. trend micro作为网关安全的先驱者和领导者提供成熟、稳定的电子邮件安全解决方案以架构全面的、多层次的网络安全防护体系。产品外观：产品规格l 外观造型：19英寸的机架，2u高度l 处理器：2 x pentium 4 2.8ghz xeonl 内存：2gbl 电源：2 x 热交换400瓦，90-260伏l 风扇：2 x 热交换风扇l raid：多通道raid 1，128mbl 磁盘驱动器：2 x 热交换 sata 80gl 数据容量：20gb邮件队列，40gb数据/日志l 以太网：2 x gb以太网10/100/1000自动感应l 受管理的以太网：1 x 快速以太网10/100自动感应l 序列端口：1 x rs232l 协议：smtp、esmtp、tls、pop3l 恶意保护：防病毒、间谍软件/灰色软件、intellitrapl 信誉服务(nrs、ip profiler)：趋势科技网络信誉服务l 垃圾邮件保护(tmase)：趋势科技防垃圾邮件、防网络钓鱼l 网络管理：http和https网络管理界面l 命令行：ssh命令行管理产品功能：病毒过滤网关讯息安全设备使用扫描引擎和病毒码文件来检测病毒。扫描引擎执行实际扫描工作，并使用包含二进制的已知病毒码的病毒码文件来分析流经网关的文件。如果扫描引擎检测到病毒，则 interscan 可以通过删除恶意代码来尝试清除文件（如果启用了清除）。趋势科技会在检测到新威胁时定期发行新病毒码，因此请定期更新网关讯息安全设备。此外，网关讯息安全设备使用trend micro macrotrap 来扫描 microsoft office 文件。宏病毒陷阱会分析 microsoft office 文件中的宏代码，以帮助扫描引擎检测宏病毒。趋势科技 intellitrap 是包含在内置防病毒和 emanager 过滤器中的防病毒功能。病毒作者通常使用不同的文件压缩模式来逃避病毒过滤。intellitrap 可帮助网关讯息安全设备评估可能包含病毒或其他 internet 威胁的压缩文件。由于 intellitrap 可能会错误地将非威胁文件识别为危险文件，因此趋势科技建议启用 intellitrap 功能时隔离被归为此类别的邮件附件。此外，如果用户经常交换压缩文件，则您可能会想要禁用此功能。缺省情况下会打开此功能，并且此功能被配置为隔离归为此类别的邮件附件。intellitrap 提供了 zero-day 防护最佳性能73% 2005年的23次全球病毒爆发事件, 17次可由intellitrap特征码检测到 网关最佳防护方案52% 由于通过网关处传播，12次全球爆发的病毒被过滤 (讯息相关的恶意软件)竞 争 对 比启发式扫描mcafeesymantecsophos11/23 : 48%0/23 : 0%5/23 : 22%垃圾邮件过滤趋势科技反垃圾邮件引擎采用“鸡尾酒”方法过滤垃圾邮件。 高级启发式（advanced heuristics） 统计分析法（statistical analysis） 黑白名单 签名过滤法（signature filtering） 多语言检测（detection for multi-languages）除上述几种过滤垃圾邮件技术外，趋势科技提供nrs检测技术，在外部smtp服务器和企业内部smtp服务器建立起连接之前，判断外部smtp邮件服务器的ip地址是否属于垃圾邮件服务器ip地址，若是，则连接被拒绝。同时，该项技术相比其他技术有着非常高的更新频率，确保用户能够阻挡更多的垃圾邮件。趋势科技网络信誉服务(network reputation services, nrs)的前身便是在internet最著名的rbl服务 - maps(mail abuse prevention system, )。 maps即为垃圾邮件spam英文单词反过来写，从1995年便已创立，rbl整个技术概念便是由maps首先倡导，之后变为业界的标准。maps母公司于2005年6月并入趋势科技，目前为趋势科技全球威胁防护网络部门(threat prevention network)。 趋势科技全球威胁防护网络(threat prevention network)，维护一个全球性收集超过一百六十亿份问题ip黑名单数据库，同时这个数据库为动态更新，每天都在增加。趋势科技已经将此技术运用到了网关邮件防护产品imsa中，这不仅提高了imsa的垃圾邮件防护效果，最重要的是大大提高了网关防护产品的性能，彻底解决了大型、中型企业网关产品面临的性能瓶颈问题。 当因特网上一台邮件服务器与imsa建立smtp连接时，nrs会及时查询该邮件服务器ip是否在ip黑名单内。如果在黑名单内imsa会立即中断smtp连接，这样就能保证垃圾邮件到达网关前就被阻断，从而节省xxx网络资源；如果不在黑名单内，imsa内置的tmase智能垃圾邮件扫描引擎，就会对邮件进行扫描，过滤垃圾邮件。邮件内容过滤强制内容符合 减少法律纠纷 符合企业信息安全策略 信息安全保密性要求特定的内容过滤 附件类型、大小和名称 关键字 定制化的布尔或常规表达式选择授权发送者和接收者 公司,部门, 组,个人指定内容强制处理措施 删除, 隔离, 通知, 推迟, 通过 tls加密, 备份间谍软件/灰色软件过滤像间谍软件/灰色软件这类因为网络使用普及而产生的安全威胁正是目前让企业所担心的高风险威胁，在终端安装防护软件，仅仅是一个必须的防护手段而已，作为企业用户来讲，应当部署一套完整的解决方案，其中包括能够在网关端、客户端、服务器端进行整合式的防毒部署机制来达到有效的防御，这类安全解决方案将成为用来对付以网络为管道进行恶意入侵的恶意程序的最佳利器。多层次、多产品的整合将是企业最好的安全防护机制，自从趋势科技在 2005 年收购了著名的反间谍软件公司intermute 之后，趋势科技反间谍软件的研究团队阵容更为坚强，也在整合两间公司所开发的反间谍软件扫描引擎之后，推出全功能的超强反间谍软件引擎ssapi 5。这项技术已经整合到网关硬件产品imsa中，透过ssapi 强大的引擎功能，侦测并阻止复杂又多变的间谍软件。再加上趋势科技针对大、中型企业所设计的多层次安全解决方案，都能够透过tmcm(trend micro control manager)的单一web管理接口，帮助企业达到最好的安全防护机制。反网络钓鱼由于网络钓鱼攻击横跨电子邮件和web应用，所以防护方式当然也应从网关邮件及web应用着手。由于防护技术的匮乏以及网络钓鱼的隐蔽性，目前的多数方案，普遍具有以下瓶颈： 扫描技术瓶颈 执行文档变形伪装技术的发达 恶意程序制造容易，以病毒码比对方式的侦测技术渐露缺陷 样本搜集不易 木马程序的运作隐匿性 攻击目标有针对性 侦测技术落后 对于dll injection的木马侦测困难 对于rootkit等特殊隐形技术束手无策因此趋势科技建议预防网络钓鱼或结合 pharming 的目标式攻击，其方案必须涵盖以下项目： url 过滤 启动真实文件格式扫描 启动intellitrap智能型启发式技术侦测压缩文档产品优势：l 即插即用、容易部署：软件已经预装在设备中，确保了软件的兼容性，可以快速、便捷的安装部署。l 更多安全防护：经过安全与性能方面的优化，imsa 具备更高的稳定性和可靠性。 l 高吞吐量：极高的邮件吞吐量 - 150,000 msg/hour l 冗余机制：硬件/软件监控，冗余电源、风扇、双热插拔硬盘。l 先进的邮件安全防护技术：邮件符合性检查, 反垃圾邮件, 反钓鱼程序部署建议：趋势科技公司给出了一个针对所有基于标准smtp协议的邮件服务器的防病毒方案。由于xxx架设了邮件服务器，为了有效对进出邮件进行扫描，趋势科技将imsa旁路在网络中，在为imsa设定一内网地址的同时对应映射一公网地址，保证imsa与企业邮件服务器可通讯。同时在dns服务器中添加一条优先级别比企业邮件服务器更高的mx记录（与原有邮件邮件服务器所对应的mx记录同属一个邮件域）。这样，外部发送过来的邮件在进行完dns解析之后，会先发送至imsa，便可对通过邮件传播的病毒，垃圾邮件和邮件内容进行有效检测。处理完以后，imsa将会把扫描后的邮件传递给后端真正的邮件服务器，邮件最终落地。采用此方法也不会使企业邮件产生丢失的危险，一旦设备发生故障，邮件将会查询第二条mx记录，这样将确保企业邮件不会发生丢失现象。产品部署架构：2.3.6. 中央控管体系趋势科技防毒墙控管中心trend micro control manager趋势科技tmcm是一个管理控制台，为部署在网络中的趋势科技防毒和内容安全产品和服务提供集中的管理和保证它们在整个企业范围内的协调运行。趋势科技tmcm是企业保护战略(eps)的一个核心的组成部分，它可帮助it管理人员在他们的企业内部实施一致的安全策略，并对病毒爆发周期各个阶段做出快速响应 - 对于那些能够出现在网络多个区域的混合型病毒而言，这是对抗它们的一个必要条件。趋势科技tmcm可通过一个控制台来管理防毒和内容安全产品和服务，可帮助it管理人员们获得有关病毒事件或异常活动的准确一致的信息，并创建用于分析和监控的图形报告。它可将它所支持的防毒和内容安全产品分成组以利于远程管理；可对各组群中的服务器进行同时配置或通过复制依次配置。通过趋势科技tmcm可将产品信息和任务功能进行映射，使管理员可以快速查看并对新安装的产品进行控制。产品功能：l 通过tmcm可实现对防毒软件的病毒代码、扫描引擎、升级程序、预防策略、垃圾邮件列表的集中分发、管理。l 可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等