服务器整体安全防护解决方案V2.1

效劳器整体平安解决方案目录一、 重新思考效劳器所面临的平安问题 31.1 成为企业生产运行和业务运转的根本 31.2 企业应用改变带来的挑战 31.3 受到不断变化新威胁攻击的挑战 31.4 法律法规带来的要求 3二、 效劳器整体平安防护三阶段 42.1【阶段一：初级阶段】：保障业务和身缠的连续性和不间断 42.2【阶段二：中级阶段】：确保平安事件可管理和可控制 52.3【阶段三：高级阶段】：实现设定的平安目标和提升平安KPI 5三、 平安防护三阶段的实现 53.1实现第一阶段目标的步骤和方法 53.2实现第二阶段目标的步骤和方法 63.3实现第三阶段目标的步骤和方法 73.4不断提升效劳器平安PDCA模型 83.5效劳器平安整体平安防护的技术实现 93.5.1DeepSecurity的五大平安模块 93.5.2DeepSecurity的架构 113.5.3DeepSecurity支持的操作系统和应用 123.5.4DeepSecurity提供效劳器平安事件统一监控平台 12四、 为企业定制的效劳器平安防护的最正确实践 144.1效劳器分类 144.2正式上线前的小范围测试环节 144.3正式上线步骤 144.4针对企业效劳器主要平安策略应用最正确实践 154.5建立效劳器平安事件管理流程 214.6设定效劳器平安管理KPI 22五、 防护虚拟化效劳器的平安 23六、 DeepSecurity对企业带来的价值 24七、 效劳器防病毒 25八、 平安策略更新效劳 25重新思考效劳器所面临的平安问题成为企业生产运行和业务运转的根本随着信息化和互联网的深入，很难想象脱离了网络，现代企业如何才能进行正常运转。而效劳器所承载的企业核心数据，核心应用甚至企业的核心知识产权等等，让企业已经无法脱离效劳器。企业应用改变带来的挑战Web应用：80%的具有一定规模的行业用户或者企业用户都有会自己的Web网站和基于Web的应用。虚拟化应用：出于资源利用，系统整合以及绿色IT的需要，虚拟化已经在企业内部有了大量的应用。私有云计算的应用企业对于计算能力，对于业务应用等需求，已经在公司网络内部建立的私有云计算系统。以上这些应用给效劳器的平安带来了更大的挑战，传统的平安措施已经不能满足现在IT系统，效劳器系统的平安要求。受到不断变化新威胁攻击的挑战从2000年至今，互联网的开展日新月异，新的引用层出不穷。从Web1.0到Web2.0，从2G网络升级到3G网络。互联网接入从笨重的台式机，到轻巧的笔记本电脑，到现在的上网本和终端。随着互联网的开展，人们的工作和生活已经发生了翻天覆地的变化，与此同时，信息技术的开展也带来了平安威胁的开展。平安威胁的攻击，从单纯的攻击单台电脑，到攻击局域网，攻击公司网络，到现在整个互联网充满着各种攻击威胁。在目前的网络平安大环境下，现有的防病毒平安系统已经无法承载日新月异的威胁攻击。为了确保企业的业务连续性，防止病毒对企业的数据，应用和网络带来威胁，必须对企业的平安系统进行结构化的完善，尤其在效劳器的平安防护上，在过去的几年中，大局部企业都存在一定的缺乏。法律法规带来的要求中国信息平安等级保护制度和C-SOX，以及国外的PCI,HIPAA,SAS-70,SOX,GLBA等法律法规，从法律上也要求了企业在内部信息系统上，到达一定的平安等级和应用一定的平安策略。效劳器整体平安防护三阶段趋势科技根据20多年来在平安产业的经验，为企业设计了效劳器整体平安防护的三阶段，这三个阶段的核心是利用PDCA模型，对效劳器的平安进行不断循环并且前进的管理方式。每一个阶段都设定了明确的技术目标或平安管理目标。通过部署平安技术，管理和控制平安事件来实现最终的平安目标和平安的KPI，把效劳器平安用流程管理起来。2.1【阶段一：初级阶段】：保障业务和身缠的连续性和不间断阶段一的主要目标是：主动实时监控或防御效劳器漏洞被攻击以及内容被篡改等平安事件；对效劳器进行必要的访问控制管理2.2【阶段二：中级阶段】：确保平安事件可管理和可控制阶段二的主要目标是：提供效劳器平安审计及攻击事件报告2.3【阶段三：高级阶段】：实现设定的平安目标和提升平安KPI阶段三的主要目标是：建立效劳器平安事件管理流程平安防护三阶段的实现趋势科技会根据企业的综合情况，为企业定制各个细项的步骤，来协助企业实现效劳器平安防护三阶段。3.1实现第一阶段目标的步骤和方法第一阶段的主要工作是对和效劳器相关的所有信息进行综合分析，包括：业务分类，应用分类和重要性分类等等。所有对效劳器进行的平安防护必须以保障企业业务和生产的稳定为前提。所以在第一阶段中，趋势科技建议采用四大步骤来实现阶段一中的所以目标：步骤一：对效劳器所承载的企业业务，应用和重要性进行分类。如此，才能在后续的步骤中，做到有针对性的分析和防护，真正的做到有的放矢。步骤二：对效劳器进行平安扫描，并设立平安基准线。如此，才能保持企业所有的效劳器有一个最根本的平安阀值，后续平安管理员可以根据不同的分类进行进一步的有针对性的平安策略配置。步骤三：设计平安策略模板，并根据步骤一中的分类，分门别类的进行应用。如此，可以形成一个策略池，在策略池中，根据效劳器的不同分类，有不同的策略。平安管理员可以很方便的进行策略的查询和应用步骤四：管理平安状态和监控异常。进入到平安策略生效和管理中3.2实现第二阶段目标的步骤和方法第二阶段进入了日常运营阶段，在第二阶段中，三个步骤将会采用PDCA的模型进行操作。步骤一：延续阶段一进入到效劳器平安日常运营阶段，实时处理重要平安事件。步骤二：每天/周/月审查整合和分类平安报告。步骤三：根据平安事件审查结果进行策略的优化，形成PDCA循环往复的过程。3.3实现第三阶段目标的步骤和方法第三阶段企业将进入到更高级别的效劳器平安管理阶段，在这个主要有四个步骤步骤一：设定平安目标和KPI。不断加强和稳固效劳器的平安性，通过设定目标并且达成目标，以配合企业业务的开展，步骤二：建立流程并且配套资源。为了实现目标和KPI，必须有一套行之有效的流程以及整合必须的资源。在这个步骤中，趋势科技为企业设计了定制的流程，来确保在企业的资源和能力范围内，能够到达平安目标。步骤三：评估结果和目标的落差。定期的Review落差，以明确整个效劳器平安体系中，哪些个环节有落差。步骤四：协调资源弥补落差。在定位到落差后，需要协调资源来弥补落差，3.4不断提升效劳器平安PDCA模型趋势科技为企业设计的效劳器平安模型，整体采用的是以PDCA为核心的体系。如此才能把效劳器的平安目标和KPI不断提升。为企业业务的开展提供稳固的支撑。3.5效劳器平安整体平安防护的技术实现3.5.1DeepSecurity的五大平安模块通过TrendMicro效劳器整体平安防护解决方案DeepSecurity的五大平安模块提供：防【毒防护模块】：提供平安内容过滤【firewall模块】：提供控制访问【DPI深度包检测模块】：提供监控及主动防御攻击【IntegrityMonitor模块】：提供检测系统和应用程序运行状态及恢复被恶意修改的组件【LogInspection模块】：审计系统事件和应用程序事件底层病毒防护无需安装客户端提供实时平安内容过滤提供手动平安内容过滤提供方案平安内容过滤给予专用API接口提高运行效率3.5.2DeepSecurity的架构DeepSecurity的组件序号DeepSecurity的组件组件说明部署1DeepSecurityManager〔DSM〕DeepSecurity效劳器平安防护系统的管理控制端，负责管理和维护整个系统控制端只需要部署一套2DeepSecurityAgent〔DSA〕DeepSecurity的客户端，提供四大平安防护功能直接安装在效劳器的操作系统上3DeepSecurityVirtualAppliance〔DSVA〕DeepSecurity独创的新技术，用来防护虚拟效劳器直接安装在Vmware的ESXServer上，并且能够和Vcenter效劳器做联动4DeepSecuritySecurityCenterDeepSecurity的全球平安策略更新效劳器。DSM会定期的去下载最新的平安更新3.5.3DeepSecurity支持的操作系统和应用操作系统Windows(2000,XP,2003,Vista),SunSolaris(8,9,10),RedHatEL(4,5),SuSELinux(9)，AIX，HP-Unix数据库Oracle,MySQL,MicrosoftSQLServer,IngresWeb效劳器MicrosoftIIS,Apache,ApacheTomcat,MicrosoftSharepoint邮件效劳器MicrosoftExchangeServer,Merak,IBMLotusDomino,Mdaemon,Ipswitch,Imail,MailEnableProfessionalFTP效劳器Ipswitch,WarFTPDaemon,AlliedTelesis备份效劳器ComputerAssociates,Symantec,EMC存储效劳器Symantec,VeritasDHCP效劳器ISCDHCPD邮件客户端OutlookExpress,MSOutlook,WindowsVistaMail,IBMLotusNotes,IpswitchIMailClient其他应用Samba,IBMWebsphere,IBMLotusDominoWebAccess,X.Org,XFontServerprior,Rsync,OpenSSL,NovellClient3.5.4DeepSecurity提供效劳器平安事件统一监控平台如下列图所示，在DeepSecurity整体架构中，DeepSecurityManager〔DSM〕除了提供统一策略配置和管理之外，同时还提供效劳器平安事件统一监控管理。管理员可以通过DSM对效劳器群的所有平安事件进行管理，便于及时采取对应的平安防护措施。同时，DSM也会提供各种平安事件报表。平安事件报警报告攻击事件报告防火墙事件报告提供取证的计算机审计报告效劳器信息报告完整性检查报告完整性检查详细的篡改报告深度包过滤事件报告日志审计报告日志审计详细报告效劳器推荐扫描报告疑似应用程序活动报告系统事件报告系统报告总结报告为企业定制的效劳器平安防护的最正确实践4.1效劳器分类按照应用分类WebServer/DBServer/邮件效劳器/OA应用效劳器/文件效劳器/生产效劳器等等按照重要性分类不可停机，可短暂停机或可停机。4.2正式上线前的小范围测试环节为了确保效劳器整体的稳定性，防止平安系统对效劳器运行的影响，故在正式上线前，趋势科技建议企业进行有代表性效劳器采样的小范围测试。测试流程如下：4.3正式上线步骤趋势科技建议在企业内部部署DeepSecurity效劳器整体平安防护系统的步骤。4.4针对企业效劳器主要平安策略应用最正确实践趋势科技建议对企业效劳器针对如下九大方面进行有针对性的平安防护。1、核心应用进程监控：发现异常立刻通知管理员，进行相应的处理。2、对Web应用：部署XSS攻击防护策略3、对数据库应用：部署SQLInjection防护策略4、对系统\效劳\程序漏洞进行主动防护，提供虚拟补丁防护5、对各类事件进行实时监控6、对效劳器进行访问控制7、对核心文件和目录进行监控8、对系统操作进行审计9、对DDOS攻击进行防护在进行所有的策略部署之前，首先，企业可以利用DeepSecurity的推荐扫描功能选项对企业内的效劳器进行分析，得出初步的平安威胁分析报告，以此为基准线来进行进一步的平安配置。1、核心应用进程监控：发现异常立刻通知管理员，进行相应的处理2、对Web应用：部署XSS攻击防护策略3、对数据库应用：部署SQLInjection防护策略4、对系统\效劳\程序漏洞进行主动防护如下列图，选择所有和MS08-067相关的DPI条目可以对该漏洞进行主动防护5、对各类事件进行实时监控6、对效劳器进行访问控制7、对核心文件和目录进行监控8、对系统操作进行审计9、对DDOS攻击进行防护4.5建立效劳器平安事件管理流程从效劳器平安事件角度出发从管理员监控角度出发4.6设定效劳器平安管理KPI为整个效劳器平安管理设定不同目标的KPI，分阶段实施，不断提高效劳器平安等级KPI评估方式第三阶段第二阶段第一阶段操作系统漏洞更新时间间隔应用系统漏洞更新时间间隔效劳器停机时间时间间隔非授权访问次数非授权修改次数例如：操作系统漏洞更新〔天〕第三阶段第二阶段第一阶段Critical漏洞KPI=1KPI=3KPI=7Medium漏洞KPI=7KPI=21KPI=30Low漏洞KPI=30KPI=60KPI=90防护虚拟化效劳器的平安随着虚拟化技术的开展和企业对虚拟化技术的不断深入应用，在虚拟化环境下，企业将会遇到新的平安问题。如下列图所示：传统的平安防护，例如：防火墙等，没有方法去防护单台物理机上的多台虚拟机之前互相传播病毒或者互相攻击。企业在应用虚拟技术时，会在以下五个方面提供遇到新的平安问题，这是传统的平安软件或者硬件没有方法解决的。未激活的虚拟机资源冲突虚拟系统扩展虚拟系统间的通讯vMotion虚拟机迁移趋势科技DeepSecurity利用创新的技术，结合Vmware的VMsafeAPI，直接把平安防护组件DSVA，安装在ESXServer上。直接从虚拟层对上层的所有虚拟机统一的提供平安防护。DSVA在底层可以提供。如上图所示，通过DSVA的防护，单台物理机上的所有虚拟效劳器之间的互相攻击和病毒传播就可以直接被DSVA阻断。彻底解决了企业在应用虚拟技术时，效劳器所遇到的新的平安问题。所以，DeepSecurity可以在Vmware提供的虚拟环境下，提供应效劳器群新的平安防护架构。如下列图所示，管理员只需要在ESX主机上平安DeepSecurity的DSVA组件，就可以提供对这台ESX主机上所有的虚拟主机的平安防护，而不需要在每一台虚拟主机上平安Agent。同时，DSM会对DSVA进行统一的监控和管理。DeepSecurity对企业带来的价值通过部署DeepSecurity，企业在效劳器的平安性上有了本质的改变，传统的平安仅仅在效劳器上安装防病毒软件，非常局限。企业对于效劳器整体平安性并没有全面的布防，通过DeepSecurity，企业的可以获得：提供深度