安全电子邮件解决方案实用文档

安全电子邮件解决方案随着计算机技术和通信技术的飞速发展，信息化的浪潮席卷全球。运用信息化手段，个人、企事业或政府机构可以通过信息资源的深入开发和广泛利用，实现生产过程的自动化、管理方式的网络化、决策支持的智能化和商务运营的电子化，有效降低成本，提高生产效率，扩大市场，不断提高生产、经营、管理、决策的效率和水平，进而提高整个单位的经济效益和竞争力。在这之中，电子邮件起到越来越重要的作用。然而，电子邮件作为当前和未来网络使用者的重要沟通方式，不可避免地涉及到众多的敏感数据，如财务报表、法律文件、电子订单或设计方案等等，通过传统电子邮件方式的工作方式，由于互联网的开放性、广泛性和匿名性，会给电子邮件带来很多安全隐患：用户名和口令的弱点：传统的邮件系统是以用户名和口令的方式进行身份认证的，由于用户名和口令方式本身的不安全因素：口令弱、明文传输容易被窃听等造成整个邮件系统的安全性下降。信息的机密性：邮件内容包括很多商业或政府机密，必需保证邮件内容的机密性。然而，传统的邮件系统是以明文的方式在网络上进行流通，很容易被不怀好意的人非法窃听，造成损失；而且邮件是以明文的方式存放在邮件服务器中的，邮件管理员可以查看所有的邮件，根本没有任何对邮件机密性的保护。信息的完整性：由于传统的邮件发送模式，使得邮件中的敏感信息和重要数据在传输过程中有可能被恶意篡改，使得邮件接受者不能收到完整的邮件信息而造成不必要的损失。信息的不可抵赖性：由于传统的邮件工作模式（用户名＋口令、明文传输等），对邮件没有任何的保护措施，使得邮件发送和接受的双方都不能肯定邮件的真实性和机密完整性，同时双方都可以否认对邮件的发送和接受，很难在出现事故的时候追查某一方的责任。针对普通邮件存在的安全隐患，北京天威诚信电子商务服务（iTruschina）推出了基于PKI（PublicKeyInfrastructure，公钥基础设施）技术的、易于实施的、完善的安全电子邮件解决方案。采用天威诚信的产品和服务，构架客户的CA认证系统（CA：CertificationAuthority，认证中心）或为客户提供邮件证书服务，为电子邮件用户发放数字证书，邮件用户使用数字证书发送加密和签名邮件，来保证用户邮件系统的安全：使用邮件接收者的数字证书（公钥）对电子邮件的内容和附件进行加密，加密邮件只能由接收者持有的私钥才能解密，只有邮件接收者才能阅读，确保电子邮件在传输的过程中不被他人阅读、截取和篡改；使用邮件发送者的数字证书（私钥）对电子邮件进行数字签名，邮件接收者通过验证邮件的数字签名以及签名者的证书，来验证邮件是否被篡改，并判断发送者的真实身份，确保电子邮件的真实性和完整性，并防止发送者抵赖。天威诚信安全电子邮件解决方案考虑用户的使用习惯，提供两种不同的解决方案：在采用传统的邮件客户端软件（如Outlook、OutlookExpress、Netscapemessenger和Notes等）收发电子邮件时，邮件客户端已经集成了安全邮件的应用，用户获取数字证书后，对邮件客户端进行安全设置，就能够发送安全电子邮件。对于通过Web方式收发邮件（简称为Webmail），天威诚信提供安全Webmail产品，电子邮件系统配置安全Webmail后，将为Webmail增加安全Web邮件的功能，用户通过Web方式就能够收发加密签名邮件。下图所示为使用传统邮件客户端发送和接收安全电子邮件的示例图：下图所示为通过安全Webmail发送和接收安全电子邮件的示例图：天威诚信安全电子邮件解决方案为用户带来全面的安全保证和增值服务。通过使用数字证书对邮件进行签名和加密，确保了电子邮件的安全，防止了邮件使用者敏感信息（包括人力资源信息、财务信息、佣金信息和其他敏感信息）通过电子邮件被泄漏的危险，确保客户重要数据的安全性，而且通过签名技术有效的防止了用户抵赖行为的发生；为客户信息化建设和无纸化办公的推广提供可靠保障；为邮件服务提供商提供安全稳定的邮件平台同时扩展邮件的增值服务。适用范围：政府部门、企业、事业单位、邮件提供商和大众用户等的电子邮件系统。典型成功案例：新浪企业漫游邮箱263企业安全邮箱TCL集团安全电子邮件系统天融信安全电子邮件系统XXXX虚拟化桌面安全解决方案趋势科技（中国）2021年5月目录第1章.概述41.1XXXX虚拟化桌面概述41.2XXXX虚拟化桌面安全概述—传统安全解决方案5第2章.需求分析52.1传统安全在虚拟化桌面中应用面临威胁分析52.1.1虚拟机之间的相互攻击52.1.2随时启动的防护间歇62.1.3管理成本上升62.1.4资源争夺72.2无代理虚拟化桌面安全防护的必要性8第3章.趋势科技虚拟化桌面安全解决方案83.1安全虚拟机技术及工作原理83.2与传统安全方案差别103.3系统架构113.4产品部署和集成123.5产品功能133.5.1恶意软件防护143.5.2深度数据包检查(DPI)引擎143.5.3入侵检测和防御(IDS/IPS)143.5.4WEB应用程序安全153.5.5应用程序控制153.5.6防火墙153.5.7完整性监控163.6系统要求17第4章.项目实施方案184.1项目总体规划184.2实施组织架构184.3项目实施内容194.3.1项目准备194.3.2项目调研204.3.3项目实施204.3.4项目验收214.4项目实施计划214.4.1项目实施分工214.4.2项目实施计划22第5章.售后服务22第6章.总结236.1预防数据泄露和业务中断246.2实现合规性246.3支持降低运营成本246.4全面易管理的安全性246.5虚拟补丁256.6合规性要求256.7Web应用防护25附录一成功案例26文档信息：文档属性内容项目/任务名称项目/任务编号文档名称XXXX虚拟化桌面安全解决方案文档版本号V1文档状态制作人罗海龙保密级别商密管理人罗海龙制作日期2021年5月28日复审人复审日期扩散范围内部使用版本记录：版本编号版本日期创建者/修改者说明文档说明：概述1.1XXXX虚拟化桌面概述计算机的诞生改变了我们的生活，它正以一种前所未有的方式影响着我们的生活和工作。随着技术的发展，我们的生活已经无法脱离计算机了，但是传统计算机桌面的使用有着诸多的限制，这些限制给我们带来了不便。首先，随着客户端设备的不断增加，客户端系统环境变得复杂，造成管理困难，维护成本升高；客户端操作系统、应用客户端需要不断升级、不停打补丁；客户端需防病毒，防恶意软件，防止木马程序将敏感数据窃取，但仍可能百密一疏；客户端的移动性与分布性，造成无法共享资源，利用率低；且随着技术的发展，硬件的更新换代需要巨大的投入等等，这些都造成了没有一种随时，随地，任何设备都可以安全地访问的桌面环境。同时，“集中监控、集中维护、集中管理”已经成为中国移动网络运行维护工作的一个重要工作模式。桌面云解决方案是基于云计算架构的桌面交付解决方案，利用虚拟化技术，通过在云计算服务器集群上部署虚拟桌面交付系统。采用桌面云解决方案可以在数据中心集中化管理桌面，轻松实现安全防护及备份，减少总体拥有成本、加强信息安全、降低维护管理费用，同时响应国家节能减排的号召。在此情况下，自2021年开始，中国移动天津公司为提升桌面终端整体管理水平，对网管维护终端、IT办公、营业厅终端等进行了集中规划、集中管理和集中维护，进行了终端虚拟化一期工程的建设。一期工程包括了IT系统平台单项工程和网管系统平台单项工程两部分，分别针IT终端和网管终端进行了桌面云系统的建设，其中IT系统平台满足了IT系统300个营业终端和100个操作维护终端的接入需求；网管系统平台满足了空港网管监控大厅270个监控终端的接入需求。在中国移动集中化建设和云计算迅猛发展的大背景下，综合考虑瘦客户端相对传统终端的优势，集团公司下发了《关于中国移动瘦客户机逐步全面替代传统PC的指导意见》，明确要求：“对于新增固定终端（传统PC）的需求，原则上均应采用瘦客户机方案（其中，基于TDM传统呼叫中心应停止扩容，呼叫中心的扩容需求应采用基于IP的NGCC呼叫中心+瘦客户机方案)；对于现有传统PC应依据使用寿命，逐步采用瘦客户机进行自然替换。”1.2XXXX虚拟化桌面安全概述—传统安全解决方案目前，XXXX对于虚拟化桌面的安全防护采用传统方式，也就是在每台虚拟桌面的操作系统中安装防病毒软件、在网络层部署防火墙功能、通过补丁分发系统进行补丁修补等。这种解决方案没有考虑到虚拟化技术的特殊性，存在很多的安全风险，具体分析见下文。需求分析2.1传统安全在虚拟化桌面中应用面临威胁分析虚拟化桌面基础架构除了具有传统物理服务器的风险之外，同时也会带来其虚拟系统自身的安全问题。新安全威胁的出现自然就需要新方法来处理。通过前期调研，总结了目前XXXX虚拟化环境内存在的几点安全隐患。2.1.1虚拟机之间的相互攻击虚拟机之间的互相攻击由于目前XXXX仍对虚拟化环境使用传统的防护模式，导致主要的防护边界还是位于物理主机的边缘，从而忽视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全隐患。2.1.2随时启动的防护间歇随时启动的防护间歇由于XXXX目前大量使用Vmware的虚拟化桌面技术，让XXXX的运维服务具备更高的灵活性和负载均衡。但同时，这些随时由于资源动态调整关闭或开启虚拟机会导致防护间歇问题。如，某台一直处于关闭状态的虚拟机在业务需要时会自动启动，成为后台服务器组的一部分，但在这台虚拟机启动时，其包括防病毒在内的所有安全状态都较其他一直在线运行的服务器处于滞后和脱节的地位。2.1.3管理成本上升系统安全补丁安装目前XXXX虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行测试和手工安装。虽然虚拟化桌面本身有一定状态恢复的功能机制。但此种做法仍有一定安全风险。1.无法确保系统在测试后发生的变化是否会因为安装补丁导致异常。2.集中的安装系统补丁，前中后期需要大量人力，物力和技术支撑，部署成本较大。2.1.4资源争夺防病毒软件对资源的占用冲突导致AV（Anti-Virus）风暴XXXX目前在虚拟化环境中对于虚拟化桌面仍使用每台虚拟操作系统安装SEP防病毒客户端的方式进行病毒防护。在防护效果上可以达到安全标准，但如从资源占用方面考虑存在一定安全风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，并且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈发明显。严重时可能导致ESX服务器宕机。通过以上的分析是我们了解到虽然传统安全设备可以物理网络层和操作系统提供安全防护，但是虚拟环境中新的安全威胁，例如：虚拟主机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题等，传统的安全设备无法提供相关的防护，趋势科技提供创新的安全技术为虚拟环境提供全面的保护。2.2无代理虚拟化桌面安全防护的必要性XXXX的虚拟化桌面一直承载着最为重要的数据，因此，很容易引起外来入侵者的窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切机会造访服务器系统。XXXX针以前针对桌面端采用集中管理、集中防护的措施，通过传统安全技术在网络侧建立安全防线，如防火墙技术、防病毒技术、入侵检测技术……各种安全产品开始被一个一个地加入到安全防线中来。目前XXXX为了降低硬件采购成本，提高服务器资源的利用率，引进虚拟化桌面技术对现有应用服务器的计算资源进行整合，使现有建立的安全防线面临挑战！服务器虚拟化后不但面临着传统物理实机的各种安全问题，同时由于虚拟系统之间的数据交换，以及共享的计算资源池，导致传统的安全技术手段很难针对虚拟系统提供防护，另外使用传统安全技术的使用还带来更大计算资源的消耗和管理运维，导致与引入服务器虚拟化的初衷相违背。通过上一章节的威胁分析发现，为了降低服务器和虚拟服务器的安全威胁必须采用创新的安全技术手段为服务器提供安全加固。因为传统安全技术应用到虚拟服务器防护存在短板效应：任何一点疏忽，都会让XXXX整个信息系统的安全防线功亏一篑，带来经济和企业名誉的损失。更何况，这些被广泛传统安全产品虽然可以在物理网络层很好地保护服务器系统，但它们终究无法应对虚拟系统面临新的安全威胁，所以需要采用创新的安全技术才能完善XXXX信息安全防护体系的基础架构，同时具备对最新安全威胁的抵抗力，降低安全威胁出现到可以真正进行防范的时间差，提高服务器的安全性和抗攻击能力，从而提供业务系统应用的可用性。趋势科技虚拟化桌面安全解决方案3.1安全虚拟机技术及工作原理VMwareVShieldEndpoint程序使我们能够部署专用安全虚拟机以及经特别授权访问管理程序的API。这使得创建独特的安全控制虚拟机成为可能，如在Gartner的报告中所述，安全虚拟机技术在虚拟化的世界中从根本上改变安全和管理的概念。这种安全虚拟机是一种在虚拟环境中实现安全控制的新型方法。安全虚拟机利用API来访问关于每一虚拟机的特权状态信息，包括其内存、状态和网络通信流量等。因为在不更改虚拟网络配置的情况下，服务器内部的全部网络通信流量是可见的。包括防病毒、防火墙、IDS/IPS和系统完整性监控等在内的安全功能均可以应用于安全虚拟机中。DeepSecurity通过vShieldEndpoint提供的实时扫描、预设扫描、清除修复等数据接口，对虚拟机中的数据进行病毒代码的扫描和判断，并结合防火墙、IDS策略实时对进出虚拟机的数据进行安全过滤；在管理上需要vShieldManager和vCenter的支持；3.2与传统安全方案差别传统环境下的网络安全拓扑图，在网络出口处部署有防火墙，防毒墙，上网行为管理等安全设备，用来隔离内外网，过滤来自外网的恶意程序，规范内网用户的上网行为，同时在DMZ区使用防火墙隔离，部署IDS监控对服务器的非法访问行为，在服务器上部署防病毒软件，保护核心服务器的安全运行。虚拟化在资源利用率、高可用性、高扩展性上有着诸多优势，实现虚拟化后，直观的来看，是将多台服务器集中到了一台主机内，这一台主机同时运行了多个操作系统，提供不同的应用和服务；系统管理员根据需要可以非常方便的添加新的应用服务器；根据传统的安全设计模型，需要在每个操作系统中安装防毒软件，在网络层部署入防火墙、侵检测或入侵防御系统，但是在这种在传统方式下合理的设计，在虚拟环境下会面临一些新的问题：未激活的虚拟机，物理机下关闭计算机后CPU停止运行，网络关闭，理论上不会有数据的交互，操作系统也就不存在被感染的可能；但是在虚拟环境下，CPU，网络，底层的ESX都在工作中，关闭的操作系统类似于物理环境下的一个应用程序，尽管这个“应用程序”没有运行，但仍然有被病毒感染的可能；资源的冲突，防毒软件在启用预设扫描后，当到了指定时间，会同时进行文件扫描的动作，这个时候防毒软件对CPU和内存的占用急剧增加，当系统资源被耗尽的时候就会导致服务器down机；管理复杂度，由于虚拟化的便利性，系统管理员可以非常方便的根据模板生成新的系统，这些新系统要打补丁，进行病毒代码的更新，也会增加安全管理的复杂度；虚拟化环境的动态特性面临入侵检测/防御系统（IDS/IPS）的新挑战。基于网络的IDS/IPS，也无法监测到同一台ESX服务器上的虚拟机之间的通讯；由于虚拟机能够迅速地恢复到之前的状态，利用VMwareVMotion™易于在物理服务器之间移动，所以难以获得并维持整体一致的安全性。所以虚拟化已经使“网络边界去除”的挑战更加明显，虚拟化对于安全的需求也更加迫切。3.3系统架构DeepSecurity产品由三部分组成，管理控制平台（以下简称DSM）；安全虚拟机（以下简称DSVA）；安全代理程序（以下简称DSA）。趋势科技DeepSecurity安全防护系统管理控制中心（DSM），是管理员用来配置及管理安全策略的集中式管理组件，所有的DSVA及DSA都会注册到DSM，接受统一的管理。趋势科技DeepSecurity安全防护系统安全虚拟机(DSVA)是针对VMwarevSphere环境构建的安全虚拟计算机，可提供防恶意软件、IDS/IPS、防火墙、Web应用程序防护和应用程序控制防护，数据完整性监控等安全功能。趋势科技DeepSecurity安全防护系统安全代理程序(DSA)是安全客户端，直接部署在操作系统中，可提供IDS/IPS、防火墙、Web应用程序防护、应用程序控制、完整性监控和日志审查防护等安全功能。3.4产品部署和集成DeepSecurity解决方案专为快速的企业部署而设计。它利用现有基础架构并与之集成，以帮助实现更高的操作效率，并支持降低运营成本。 VMware集成：与VMwarevCenter和ESXServer的紧密集成，使得组织和操作信息可以从vCenter和ESX节点导入到DeepSecurity管理器，并将详细完备的安全应用于企业的VMware基础架构。SIEM集成：通过多个集成选项向SIEM提供详细的服务器级安全事件，这些选项包括ArcSight、Intellitactics、NetIQ、RSAEnvision、Q1Labs、LogLogic及其他系统。目录集成：与企业目录集成，包括MicrosoftActiveDirectory。可配置的管理通信：DeepSecurity管理器或DeepSecurity代理可发起通信。这可最大限度地减少或消除集中管理系统通常所需要的防火墙更改。软件分发：可通过标准软件分发机制（如MicrosoftSMS、NovellZenworks和Altiris）轻松部署代理软件。最佳过滤：用于处理流媒体（如Internet协议电视(IPTV)）的高级功能有助于将性能最大化。DeepSecurity采用集中分布式的管理方式，DeepSecurity服务器端安装服务器控制台DeepSecurity客户端直接部署在每一台服务器上。对于服务器群所有的安全策略都可以通过统一的管理控制台进行设定，并且按需分发到对应的服务器。整个服务器安全防护体系的管理，监控和运维都可以通过管理控制台进行统一管理。同时，各项安全模块组件的更新都会通过管理控制台自动或者手动派发到每一台服务器上。3.5产品功能趋势科技DeepSecurity系统提供了对数据中心（范围遍及虚拟桌面到物理、虚拟或云服务器）的高级保护，包括：防恶意软件防火墙入侵检测和阻止(IDS/IPS)Web应用程序防护应用程序控制完整性监控日志审计3.5.1恶意软件防护防恶意软件模块可提供趋势科技防恶意软件防护，恶意代码包括：病毒、蠕虫、木马后门等，包括实时扫描、预设扫描及手动扫描功能，处理措施包含清除、删除、拒绝访问或隔离恶意软件。检测到恶意软件时，可以生成警报日志。3.5.2深度数据包检查(DPI)引擎实现入侵检测和防御、Web应用程序防护以及应用程序控制该解决方案的高性能深度数据包检查引擎可检查所有出入通信流（包括SSL通信流）中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。该引擎可在检测或防御模式下运行，以保护操作系统和企业应用程序的漏洞。它可保护Web应用程序，使其免受应用层攻击，包括SQL注入攻击和跨站点脚本攻击。详细事件提供了十分有价值的信息，包括攻击者、攻击时间及意图利用的漏洞。发生事件时，可通过警报自动通知管理员。DPI用于入侵检测和防御、Web应用程序防护以及应用程序控制。3.5.3入侵检测和防御(IDS/IPS)在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时保护，使其免受已知攻击和零日攻击漏洞规则可保护已知漏洞（如Microsoft披露的漏洞），使其免受无数次的漏洞攻击。DeepSecurity解决方案对超过100种应用程序（包括数据库、Web、电子邮件和FTP服务器）提供开箱即用的漏洞防护。在数小时内即可提供可对新发现的漏洞进行防护的规则，无需重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上：智能规则通过检测包含恶意代码的异常协议数据，针对攻击未知漏洞的漏洞攻击行为提供零日防护。漏洞攻击规则可停止已知攻击和恶意软件，类似于传统的防病毒软件，都使用签名来识别和阻止已知的单个漏洞攻击。由于趋势科技是Microsoft主动保护计划(MAPP)的现任成员，DeepSecurity解决方案可在每月安全公告发布前提前从Microsoft收到漏洞信息。这种提前通知有助于预测新出现的威胁，并通过安全更新为双方客户快速有效地提供更及时的防护。3.5.4WEB应用程序安全DeepSecurity解决方案符合有关保护Web应用程序及其处理数据的PCI要求6.6。Web应用程序防护规则可防御SQL注入攻击、跨站点脚本攻击及其他Web应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护。该解决方案使用智能规则识别并阻止常见的Web应用程序攻击。根据客户要求进行的一项渗透测试，我们发现，部署DeepSecurity的SaaS数据中心可对其Web应用程序和服务器中发现的99%的高危险性漏洞提供防护。3.5.5应用程序控制应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规则也可用于识别访问网络的恶意软件或减少服务器的漏洞。3.5.6防火墙减小物理和虚拟服务器的受攻击面DeepSecurity防火墙软件模块具有企业级、双向性和状态型特点。它可用于启用正确的服务器运行所必需的端口和协议上的通信，并阻止其他所有端口和协议，降低对服务器进行未授权访问的风险。其功能如下：虚拟机隔离：使虚拟机能够隔离在云计算或多租户虚拟环境中，无需修改虚拟交换机配置即可提供虚拟分段。细粒度过滤：通过实施有关IP地址、Mac地址、端口及其他内容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于IP的协议：通过支持全数据包捕获简化了故障排除，并且可提供宝贵的分析见解，有助于了解增加的防火墙事件–TCP、UDP、ICMP等。侦察检测：检测端口扫描等活动。还可限制非IP通信流，如ARP通信流。灵活的控制：状态型防火墙较为灵活，可在适当时以一种受控制的方式完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题，此问题可能出于正常情况，也可能是攻击的一部分。预定义的防火墙配置文件：对常见企业服务器类型（包括Web、LDAP、DHCP、FTP和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告，DeepSecurity防火墙软件模块可捕获和跟踪配置更改（如策略更改内容及更改者），从而提供详细的审计记录。3.5.7完整性监控监控未授权的、意外的或可疑的更改DeepSecurity完整性监控软件模块可监控关键的操作系统和应用程序文件（如目录、注册表项和值），以检测可疑行为。其功能如下：按需或预定检测：可预定或按需执行完整性扫描。广泛的文件属性检查：使用开箱即用的完整性规则可对文件和目录针对多方面的更改进行监控，包括：内容、属性（如所有者、权限和大小）以及日期与时间戳。还可监控对Windows注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作，并提供警报。此功能适用于PCIDSS10.5.5要求。可审计的报告：完整性监控模块可显示DeepSecurity管理器仪表板中的完整性事件、生成警报并提供可审计的报告。该模块还可通过Syslog将事件转发到安全信息和事件管理(SIEM)系统。安全配置文件分组：可为各组或单个服务器配置完整性监控规则，以简化监控规则集的部署和管理。基准设置：可创建基准安全配置文件用于比较更改，以便发出警报并确定相应的操作。灵活实用的监控：完整性监控模块提供了灵活性和控制性，可针对您的独特环境优化监控活动。这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。此外，还可根据独特的要求灵活创建自定义规则。3.6系统要求趋势科技DeepSecurity系统管理中心内存：4GB磁盘空间：1.5GB（建议使用5GB）操作系统：MicrosoftWindowsServer2021（32位和64位）、WindowsServer2021R2（64位）、Windows2003ServerSP2（32位和64位）数据库：Oracle11g、Oracle10g、MicrosoftSQLServer2021SP1、MicrosoftSQLServer2005SP2Web浏览器：MozillaFirefox3.x（启用Cookie）、InternetExplorer7.x（启用Cookie）和InternetExplorer8.x（启用Cookie）趋势科技DeepSecurity安全虚拟机内存：1GB磁盘空间：20GBVMware环境：VMwarevCenter5.0ESX5.0VMwareToolsVMwarevShieldManagerVMwarevShieldEndpointSecurity项目实施方案4.1项目总体规划项目实施总体分为四个阶段，每一个阶段需要一个阶段性总结：（一）项目准备和调研。主要包括实施项目组的建立和对现有VMware系统进行检查两部分。（二）项目实施。虚拟化群集的vShield接口(vShieldAPP及vShieldEndpoint)的实施，虚拟机安全解决方案DeepSecurity的实施。按照实施步骤部署vShield和DeepSecurity产品。配置vShieldAPP接口进行的安全域划分工作。对整体环境进行分析，并根据实际情况划分安全域，通过APP接口实现安全域的划分。（三）项目验收。针对产品功能、实施效果等内容进行验收。4.2实施组织架构整个维护保障人员由XXXX和趋势科技共同组成，其中主要涉及到：XXXX信息安全负责人、趋势科技技术项目负责人和渠道工程师组成的一线服务小组。趋势科技的整个服务团队，由北方区技术经理作为主管，由项目负责人成为趋势科技方主要联系接口人，为XXXX提供实施的整体协调。当出现紧急事件时，统一由XXXX信息安全负责人联系项目负责人，对事件进行处理。具体人员组织安排参见下图：趋势科技行业技术经理对趋势科技技术部门内资源协调最终决策的人员。项目负责人作为趋势科技针对XXXX在虚拟化安全项目的主要负责人和接口人，协调趋势科技和XXXX之间的工作进程和人员之间的协调工作，同时负责7x24小时通过、邮件的方式为XXXX提供技术支持、方案建议等服务。渠道工程师在实施过程中，有项目的渠道商指定工程师与趋势科技工程师一起完成项目内容，负责产品实施各项工作。姓名单位邮件罗海龙行业技术经理Oliver_Luo@trendmicr鹏飞项目负责人Pengfei_Zhang@trendmicro186104168154.3项目实施内容4.3.1项目准备为了确保整个实施过程的高效有效，XXXX和趋势科技都需建立专门的项目指导小组并组成联合项目指导小组。趋势科技项目指导小组由趋势销售经理和趋势科技技术经理组成，控制项目的整个实施过程。同时，趋势科技成立项目实施小组，在联合项目指导小组的领导下完成项目各节点的具体实施工作。XXXX的人员须拥有跨部门协调和管理该项目整体的权利。建议XXXX项目指导小组在项目实施结束后保留下来，作为负责安全问题的专门小组，以便于今后安全工作的协调和管理，也利于与趋势科技建立畅通的沟通渠道。趋势科技项目指导小组成员：趋势科技项目总协调人：炳宏涛趋势科技技术经理：罗海龙项目负责任人：张鹏飞4.3.2项目调研调研目标：获取XXXX信息系统实际的网络状况和虚拟化应用状况，为项目实施做好准备，同时根据实际情况对真实需求进行必要的修正，与相关系统管理员进行必要的前期沟通。按照产品的安装要求以及软件网络安全的规范与管理人员进行技术沟通和交流,确定需要调整的网络结构和各种需要增补的软件补丁。调研措施： 1、趋势科技提供产品安装系统需求文档； 2、针对虚拟化服务器进行详细的记录，同时记录各单位管理人员的联系方式。调研文档：趋势科技提供网络调研状况一览表文档，由各级管理员进行填写，汇总至XXXX项目指导小组。4.3.3项目实施项目实施前，趋势科技与XXXX项目组、集成方详细讨论规划项目进度，趋势科技建议基于如下原则进行：先培训，后测试，再上线；XXXX项目实施步骤项目实施小组确认设备环境是否满足安装需求；项目实施小组与XXXX管理人员配合完成vShield接口的安装与配置；项目实施小组与XXXX管理人员配合完成DeepSecurity的安装与配置；安全域划分4.3.4项目验收验收目标：双方确认系统正常功能的完整实现；双方建立畅通的售后沟通渠道；验收措施： 趋势科技与XXXX指导小组制订详细的项目验收计划及日程安排；趋势科技与集成方、各单位管理人员共同完成整体验收报告。4.4项目实施计划4.4.1项目实施分工在项目实施中，趋势科技将在成立若干项目实施小组。每个小组将遵照推广安装计划，分别到不同单位与当地管理人员一道完成培训工作和安装工作。整个项目参与人力包括：联合项目指导小组（XXXX、集成方项目指导小组＋趋势科技项目指导小组）、项目实施小组、各应用管理人员等。整个项目实施中分工安排如下：项目环节项目主导者项目配合者1、设备订购与验收XXXX项目指导小组趋势科技项目指导小组2、项目准备联合项目指导小组管理人员3、项目调研联合项目指导小组管理人员4、项目实施联合项目指导小组管理人员5、项目验收联合项目指导小组管理人员4.4.2项目实施计划售后服务趋势科技可以提供如下服务内容：1、技术支持部分访问趋势科技中文网站获得针对产品和防病毒问题的自助服务。网站：://trendmicro产品技术支持服务：通过E-mail或、免费热线方式，获得免费技术支持服务。病毒问题支持服务：通过E-mail或、免费热线方式，获得免费支持服务。技术支持邮箱：service@trendmicro；：021-6384-1899热线：800-8208839(021-6100-6656)；服务时间︰周一至周五（国定节假日除外）9:00-12:00；13:00-17:302、Activeupdate自动升级服务在有效服务期内，客户所使用的产品的安全组件可免费合法进行自动或手工升级。可更新的安全组件包括：特征码(pattern)，扫描引擎(Engine)，产品本身的修补程序(Hotfix、Patch、ServicePack)，等等。3、新版本更新权利在有效服务期内，针对客户正在使用的产品中，如果趋势科在市场上推出了相应的新版本，则客户享有在服务期内免费使用该新版本的权利。客户可随时免费下载最新版产品或服务升级包，使用所购产品的最新版本。项目验收之日起由软硬件原厂商提供一年免费设备软硬件维保服务、版本升级服务、支持、技术支持、临时备机。4、现场培训软件原厂商为我司相关安全人员提供软件使用、维护及相应vShield接口使用和维护的现场技术培训；提供产品运维手册。5、应急响应服务提高（7×24）现场应急服务。总结虽然虚拟化IT基础设施将与物理服务器环境共同面对相同的安全挑战，但用户可以充分利用多处理器、多核体系结构和虚拟化软件提供安全机制对其进行防护。此外，现在和将来都可以通过采用由诸如VshieldAPIs在虚拟化平台中的不断演化来实现安全性增强策略，从而保护虚拟化IT资源。通过采用由趋势科技所提供的安全软件以及灵活的方法，能够优化防护迅速部署解决方案，并且在不引入瓶颈或冗余控制的前提下，可以确保全部虚拟机的安全基线。趋势科技能够帮助用户扩展虚拟化部署以保护全部关键任务系统。DeepSecurity物理器只需安装一次，以无代理形式提供安全防护，提升了服务器使用率，相同硬件能提高搭载虚机量。简化管理；主机一次性安装，部署；虚拟机：无代理配置，即便裸机也能立即保护。数据中心服务器安全架构必须解决不断变化的IT架构问题，包括虚拟化和整合、新服务交付模式以及云计算。对于所有这些数据中心模式，DeepSecurity解决方案可帮助：预防数据泄露和业务中断在服务器自身位置提供一道防线–无论是物理服务器、虚拟服务器还是云服务器针对Web和企业应用程序以及操作系统中的已知和未知漏洞进行防护，并阻止对这些系统的攻击帮助您识别可疑活动及行为，并采取主动或预防性的措施6.2实现合规性满足六大PCI合规性要求（包括Web应用程序安全、文件完整性监控和服务器日志收集）及其他各类合规性要求提供记录了所阻止的攻击和策略合规性状态的详细可审计报告，缩短了支持审计所需的准备时间6.3支持降低运营成本提供漏洞防护，以便能够对安全编码措施排定优先级，并且可以更具成本效益地实施未预定的补丁为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供必要的安全性以单个集中管理的软件代理提供全面的防护–消除了部署多个软件客户端的必要性及相关成本6.4全面易管理的安全性DeepSecurity解决方案使用不同的模块满足了关键服务器和应用程序的防护要求：DeepSecurity模块据中心要求深度数据包检查防火墙完整性监控日志审计IDS/IPSWeb应用程序防护应用程序控制服务器防护–预防已知攻击和零日攻击

–安装补丁之前对漏洞进行防护●●●〇Web应用程序防护

–预防SQL注入、跨站点脚本攻击及强力攻击等Internet攻击

–满足PCIDSS6.5要求-Web应用程序防火墙●●〇●虚拟化安全

–预防已知攻击和零日攻击

–安装补丁之前对漏洞进行防护

–VMwarevCenter集成增强了可见性和管理●〇●●〇可疑行为检测

–预防侦察扫描

–检测是否在不合适的端口上使用允许的协议

–针对可能发出攻击信号的操作系统及应用程序错误发出警报

–针对关键操作系统及应用程序更改发出警报〇●●●●云计算安全

–使用防火墙策略隔离虚拟机器

–预防已知攻击和零日攻击

–安装补丁之前对漏洞进行防护●〇●●●合规性报告

–有关对关键服务器所做的所有更改的可见性和审计记录

–检查和关联重要安全事件并将其转发到日志记录服务器，以便进行补救、报告和存档

–有关配置、检测到的活动及已阻止的活动的报告〇●〇〇●●6.5虚拟补丁用户一般要花费数周或数月的时间来充分测试和部署补丁，有时系统补丁不能被第三方软件供应商的产品支持，较老旧的应用系统也不能打补丁；采用DeepSecurity虚拟补丁功能不但可以在减少补丁更新的频率，而且可以保护不能打补丁的遗留程序，使系统免受零日攻击。保护IT投资，使用虚拟补丁功能可以降低50%-75%的IT成本。6.6合规性要求DeepSecurity提供的防火墙、DPI、文件完整性检查、日志审计等功能符合多项法规:PCI,HIPAA,SAS-70,SOX,GLBA等可以满足企业内部及外部审计人员的要求；6.7Web应用防护根据权威机构统计“34%的数据攻击都是和Web应用相关”，“75%的攻击都发生在应用层”传统的外围防护如：防火墙等无法保护，识别和弥补这些Web应用漏洞需要花费时间和资源，DeepSecurity可以在漏洞被修补前防护针对这些漏洞的攻击行为，避免高昂的遗留程序重写或服务中断费用。附录一成功案例DeepSecurity部分用户列表电力／能源广州供电局广东电网公司佛山供电局广东电网公司惠州供电局港华燃气广东电网公司梅州供电局重庆市电力公司海南省电网公司广东电网公司珠海供电局广东电网公司广州供电局天津中油燃气车用燃料技术山东能源集团金融信诚基金中信证券海通证券北京农商行君龙人寿华融湘江银行龙湾农村合作社桂林市银行交通大众交通苏州轨道天津港上海沪东集装箱码头制造普利司通青岛啤酒长春客车厂本田汽车研究院广汽本田汽车研究开发江淮汽车陕西汉德车桥湖南中烟工业有限责任公司苏州轨道交通无锡市轨道交通发展医疗福鼎医院瑞安市红十字医院南海妇幼连云港中医院佛山市南海区妇幼保健院阜宁人民医院教育吴江市教育局宝山图书馆镇江教育大学安徽汽车职业技术学院福州大学莱西市中小学校北京教育网络和信息中心江西教育学院深圳职业技术学院安徽省教育出版社安徽警官职业学院东北大学江苏科技大学宝山区图书馆吉林工商学院政府云南省电子政务网络管理中心上海市普陀区科学技术委员会镇江国土资源局常州中级人民法院镇江市烟草专卖局山西药监局上海市卢湾区政府上海市金山区政府上海市普陀区政府无锡市卫生局新华通讯社安徽省旅游局海阳市教育体育局河北省道路运输管理局宁波市公安局江东分局运营商新疆移动广西移动上海电信山西移动湖南移动山东电信企业中智北京船舶通讯导航名气通智能科技（深圳）山东乐拍商业大众交通(集团)股份海辉国际天津天狮生物云南铜业股份百安居云南鸿翔上海沪东集装箱码头管理深圳市深航货运天津广播电视电影集团国际客户百思买Bestbuy万豪国际marriottSalesforceING荷兰国际集团美泰集团Mattel杰艺科GEICOKohl’s美国国际集团AIG花旗银行CITI威睿信息VMware美国HCA公司苏格兰皇家银行RBS英国石油BP美国航空A&A波音BOEING烟草湖南中烟军方西安应用光学研究所北信源打印安全监控审计系统解决方案北京北信源软件股份前言随着网络应用的不断普及和发展，网络应用向多层次、立体化、空间化方向发展，网络空间数据的安全问题越来越突出，电子文档和敏感信息被有意无意的窃取、丢失、泄密等给建设高效、安全的网络空间带来很大挑战。而纵观目前各个政府、企事业单位的信息安全建设状况，数据安全防御理念往往局限在网关级别、网络边界（防火墙、IDS、漏洞扫描）等方面，重要的安全设施大致集中于机房或网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。相反，来自网络内部计算机终端的数据安全防护却往往被忽视。在国家行业信息化推进的大环境下，信息安全在国民经济建设中日益显得举足轻重。特别是在政府机关网络中，工作秘密的泄露会使政府机关工作遭受损失，带来不必要的被动；而国家秘密的泄露会使国家的安全和利益遭到严重损害，泄密者也难免受到降职、降衔的严肃处理，甚至移交司法机关处理。由此，如何应对数据安全问题，减少直至杜绝内部敏感信息的泄漏和重要数据的丢失而引发的安全事故，建设面向网络空间的、安全和谐的终端运行环境，形成有效的数据安全防护体系，则成为了政府机关网络、行业信息网络主管领导日常工作的重中之重。而根据《计算机犯罪与安全调查报告》的调查结果显示，泄密的主要途径有三种：电子邮件泄密、移动存储泄密、打印信息泄密。通常，电子邮件泄密和移动存储泄密都得到了较好的控制，而来自内部的网络打印安全却很容易受到忽视，打印信息泄密，涉及到了用户较高等级甚至是核心级的机密，破坏力大，破案率低，极大地损害了个人、集体的利益，甚至是国家。北信源公司由此推出自主研发的新产品—北信源打印安全监控审计系统，为用户彻底解决以打印方式造成数据泄漏的问题。打印安全审计解决方案产品背景近年来，文档的控制成为了保密控制的主流。文档控制的核心是文档中的内容的控制，但对于打印后的文档的管理目前形成产品的还很少。传统的打印有以下问题：分散的打印输出方式难以管理；打印设备使用权限无法控制；涉密文件销毁流程复杂，效率低下；涉密文件的生命周期安全管理严重依赖于人工，无法形成信息化管理；难以形成全面、细致的日志审计和统计报表输出；无法准确统计打印数量、效率和成本，造成打印浪费。文档控制并不是传统的控制，它需要管理流程控制和管理制度双层保障。通过完备的文档打印审批流程和监管制度来实现文档的可控性，才能做到安全、可靠和人性化管理目标。为了有效地控制和减少涉密信息外泄，故而决定开发“北信源打印监控审计系统”。产品概述北信源打印监控审计系统，严格按照国家公安部计算机信息系统安全产品质量监督检验中心检验规范，进行独立开发的系统产品。系统采用先进的数字条形码技术及打印机管理技术，实现了对涉密文档在打印申请、审批、输出、回收全生命过程的监控和管理，并且形成了完备的打印、操作等日志记录，方便对文档使用和输出情况进行统计和追溯。切实从技术手段实现了文件输出安全保密制度，保障了文档安全输出及闭环管理。解决了文档的随意打印和打印后的文档流转归处。做到有据可查，责任到人。规范和增强申请