云安全多层次解决方案--趋势科技

基于 云安全多层次 解决方案 -趋势科技 xxx 趋势科技（中国）有限公司 电话：服务热线： 800-820-8876 服务邮件： S 版本 修订日期 修订人 描述 1.0 2009-8-12 Michael Lu 为写方案提供必要的框架 目 录 1. Xxx 安全项目综述 . 3 1.1. 项目背景 . 3 1.2. 云安全多层次解决方案给 xxx 带来的安全提升 . 3 1.3. 多层次安全解决方案组成 . 4 2. Xxx 应用云安全多层次防护系统 . 6 2.1. Xxx 现有的防病毒系统现状 . 6 2.2. Xxx 基于云安全的多层次安全解决方案规划 . 7 2.3. Xxx 基于云安全多层次防病毒系统详细设计 . 11 2.3.1. 系统体系架构 . 11 2.3.2. 终端安全防护 .12 2.3.3. 网关 Web 病毒和内容过滤设备 .18 2.3.4. 主动式威胁发现设备 TDA .21 2.3.5. 网关 SMTP 邮件防护设备 .28 2.3.6. 中央控管体系 .34 2.3.7. xxx 整体解决方案部署示意图 .38 3. 售后服务 . 38 3.1. 趋势科技承诺 xxx 的基本服务条款 . 38 3.1.1. 技术支持部分 .40 3.1.2. Activeupdate 自动升级服务 .40 3.1.3. 新版本更新权利 .40 1. Xxx 安全 项目综述 1.1. 项目背景 从 2000 年至今，互联网的发展日新月异， 新的引用层出不穷。从 Web1.0 到 Web2.0，从 2G 网络升级到 3G 网络。互联网接入从笨 重的台式机，到轻巧的笔记本电脑，到现在的上网本和手机终端。随着互联网的发展，人们的工作和生活已经发生了翻天覆地的变化，与此同时，信息技术的发展也带来了安全威胁的发展。安全威胁的攻击，从单纯的攻击单台电脑，到攻击局域网，攻击公司网络，到现在整个互联网充斥着各种攻击威胁。 Xxx 在目前的网络安全大环境下，现有的防病毒安全系统已经无法承载日新月异的威胁攻击。 为了确保 xxx 的业务连续性，避免病毒对 xxx 的数据，应用和网络带来威胁，必须对 xxx 的防病毒系统进行结构化的完善。 1.2. 云安全多层次 解决方案给 xxx 带来的安全提 升 在部署 应用了 云安全多层次 解决方案后 （以下简称多层次安全解决方案） ， xxx 的系统安全，应用安全和网络安全将进入到一个崭新的阶段。 从以下八个角度可以看出，多层次安全解决方案给 xxx 带来的价值 1-完整性 多层次 安全解决方案提供给 xxx，从终端，到应用系统，邮件系统，到 Web互联网关，甚至 ISO2-7 层多达 80 多种协议的侦测。彻底阻断的病毒可能入侵和传播的途径。 2-有效性 多层次安全解决方案彻底杜绝了病毒重复感染，病毒源头无法定位的弊端。使得 xxx 在病毒安全防护系统有了质的飞跃。 3-智能性 利用趋势科 技未知威胁侦测系统 TDA,能够 7*24 小时主动发现和定位 xxx 网络环境中的未知和已知的威胁攻击。彻底解决了传统防病毒体系无法有效防护新的未知威胁。 4-可靠性 趋势科技能够为 xxx 提供 7*24 小时防病毒系统主动监控，确保整个防病毒系统不间断的进行运作 5-稳定性 考虑到 xxx 的计算机可用资源率，内部系统应用和网络架构，趋势科技提出的多层次安全解决方案能够最大程度的减少对 xxx 各种资源的消耗，并且确保整个解决方案的兼容性。 6-管理性 趋势科技多层次安全解决方案能够单点登陆 (SSO),进行全局的管理，能 够对终端，服务器，邮件安全的设定， Web 网关安全的设定和网络层策略设定，日志查询，并且能够统一生成全局报表。进行横向和纵向的安全情况分析，得出相应的加强措施。 7-扩展性 趋势科技多层次安全解决方案能够连接趋势科技云安全平台，利用趋势科技全球云安全技术平台的海量安全数据，彻底帮助 xxx 提升现有的安全级别。 8-节省人力资源 多层次的安全防护系统，因为具有以上特性，故能够让 xxx 完全摆脱先前的被动式的防护，最大程度的减少 xxx 之前的防病毒系统需要大量人力资源去维护，去终端查杀病毒等等繁琐的工作，提升 xxx 安全项目组人均生产力。也侧面提升了所有终端用户的人均生产力。 1.3. 多层次 安全解决方案 组成 结合对 xxx 防病毒安全需求和现状分析以及需要达成的目标，趋势科技的多层次安全解决方案组成如下： 趋势公司 Trend Micro Secure Cloud Layer Protection（ 云安全多层次 解决方案） 包括： 趋势科技 防毒墙控管中心 ： Trend Micro Control Manager 趋势科技防毒墙网络版： OfficeScan 趋势科技 互联网网关 安全设备 : IWSA 趋势科技威胁发现设备： TDA 趋势 科技网关讯息安全设备： IMSA 产品简要说明 : 产品功能及用途 产品名称 功能 对全网防病毒 系统 实现中央控管 Trend Micro Control Manager5.0 提供 SSO 单一登录的机制，统一管理趋势科技所有的软件和硬件产品， 实现对所有防毒软件 和硬件 的集中设置、集中维护；搭建一个立体化 的管理构架；集成临时策略功能，有效阻止爆发初期，病毒在内网的感染和扩散；形成统一报告，提供分析内网漏洞的有效数据。 并且提供多用户管理机制。 终端和服务器安全 防护 OfficeScan10.0 Officescan10.0 提供给 xxx 全面的终端安全解决方案。 实现对终端的病毒、木马、间谍软件、优盘病毒的查杀；针对 USB、光盘、软盘、网络资源等传输方式，提供完全访问、仅读和写、仅读和执行、只读、不能访问等多种不同的访问权限；支持以插件方式部署 IDF 主机入侵防御系统，在打补丁之前屏蔽系统漏洞，针对零时差攻击，提供相应保护。 整个 OfficeScan 终端安全解决方案，采用 B/S 的管理架构，整体实施和运维非常简易。 网关 Web 安全设备 IWSA 趋势科技 IWSA 是高效的企业级 HTTP/FTP 应用防护设备，可协助 xxx阻 止 各种通过 Web 浏览或 FTP 下载导致的病毒感染 ,URL Filter,防间谍软件等多种安全防护。 同时 IWSA 能够联动趋势科技 ” 云安全 ”的技术平台，进一步提高 xxx 在网关 Web 防护的及时性和低资源占用率。 未知 威胁发现设备 TDA 在网络探测 未知或者已知的 恶意威胁 定位网络中的未知或者已知的威胁攻击源头 网络内容检测技术 侦测多达 80 多种协议 全面发现 SecureCloud 服务 网关邮件安全设备 IMSA5000 IMSA 趋势科技网关讯息安全解决方案提供了全面的电子邮件安全防护，集成了病毒扫描、垃圾邮件 检测、邮件信誉服务、间谍软件、反钓鱼程序和内容过滤功能 ，可以实现完整的防护，对IT 基础架构进行加固，减少运营成。 Trend Micro 作为网关安 全的先驱者和领导者提供成熟、稳定的电子邮件安全解决方案以架构全面的、多层次的网络安全防护体系。 2. Xxx 应用 云安全多层次 防护系统 2.1. Xxx 现有的防病毒系统 现状 xxx 防病毒软件应用情况： 序号 项目 内容 1 终端 PC 1000 台 2 服务器 10 台 3 终端防病毒软件 Symantec SEP11.0 Xxx 的网络架构 ： 由上图可见， xxx 的网 络分为内部生产网和外部 OA 网。 Xxx 防病毒 系统管理现状 防病毒管理人员 1 名 兼职管理防病毒系统 日常管理流程 没有特别的流程 基于事件的被动式的防病毒管理工作。 网络中的病毒事件 没有具体的办法来控制 由于整个防病毒体系比较简单，在病毒分析，病毒源头定位等方面没有较好的措施。所以，很难彻底清查病毒事件。 防病毒管理人员的培训 没有定期的病毒安全防护知识的更新 会导致管理员，面对层出不穷的新病毒无法防范 终端用户的安全意识培训 没有 定期的对终端用户进行病毒意识的普及性宣传 终端用户安全防范意 识薄弱，会造成 病毒安全事件无法控制。 从 xxx 防病毒软件应用，网络架构和系统管理现状三方面来分析，目前 xxx 的防病毒安全系统无法满足，当今世界的病毒攻击，传播和感染的现状。 趋势科技基于 云安全多层次 防护体系架构，能够从技术上，流程上和人员培训这三个方面 提升 xxx 的防病毒安全系统，真正做到 100%的安全防护。 2.2. Xxx 基于云安全的多层次安全解决方案规划 技术 规划 ： 主动防御 ： 趋势科技为 xxx 设计的基于云安全的多层次安全体系，能够主动防御已知和未知趋势科技对 xxx 的方案规划： 从三个角度进行提升： 1. 技术：即具体的 Solution 2. 流程：结合 xxx 实际情况，定制各种必要的流程，变被动为主动 3. 人员：基于 xxx 防病毒管理人员和普通终端电脑使用者进行专业性和普及性的防病毒知识培训 病毒。即使面对新病毒，还没有病毒码的情况下， xxx 也 在 趋势科技防病毒体系下阻挡新病毒。 多层次：网关层 -网络 2-7 层 -应用层 -终端层 集中管理 1. 网关层： 目前 xxx 的防病毒系统非常单一，仅部署了基于桌面端的防病毒软件。然后，当今 80%的病毒来自互联网。 Xxx 仅仅依靠终端上的防病毒软件根本无法抵御现在多样的病毒传播， 所以 xxx 的互联网出口成为防病毒系统的重中之重。 2. 网络 2-7 层： 当病毒进入到 xxx 内部网络后，可以 第一时间侦测病毒流 量 ，定位病毒源头，将病毒事件遏制在源头。 3. 应用层： 邮件应用以及 FTP 应用也是病毒传播的主要途径 之一，也要做相应的防护。 4. 终端层： 传统意 义上的防病毒软件已经不足以防护当今多样性的病毒，趋势科技会通过防病毒，木马查杀，防火墙和 IDS 等组件给予 xxx 终端全面的保护。同时，对于 U 盘，移动硬盘， CD DVD 介质以及共享文件夹的防护也必须加强，在整个08 年和 09 年上半年， U 盘病毒等类似病毒给 xxx 也带来了相当大的困扰。 5. 集中管理：整个多层次的解决方案，都能够通过趋势科技集中管理平台进行统一管理，策略配置和报表制作。 技术拓展 ：病毒码匹配 -智能扫描引擎 云安全技术 1. 病毒码匹配 ：传统技术。 2. 智 能扫描引擎： 利用启发式的扫描引擎和 3. 云安全技术： 趋势科技利用 特别研发出的信誉评估技术，通过实时更新的安全等级信息，在各种威胁入侵前彻底防御这些危险攻击。信誉评估技术是由收录邮件服务器评估数据的 “邮件信誉技术 ”、收录 Web 评估数据的 “Web 信誉技术 ”，以及收录文件评估数据的 “文件信誉服务 ”三者结合而成。 通过云安全技术， xxx 网络的安全级别会有一个质的飞跃，在更节省资源的情况下，第一时间获得最新的安全防护。 云安全技术示意图： 流程规划 流程设计 1. 常规病毒和产品问题处理流程 2. 依托病毒和产品监控服务建立的主动病毒处理流程 3. 紧急恶性病毒 处理流程 4. 异地紧急病毒事件处理流程 5. 病毒预警处理流程 服务体系 设计 1. 800 标准服务 2. 7*24 小时监控服务 3. 防毒顾问服务 4. 专属的服务管理 5. 主动式的服务 6. 快速响应服务 7. 在线服务支持 8. 巡检服务 人员培训规划 防病毒管理人员的培训 1. 现场培训：通过现在对 xxxIT 管理员的培训，使其获得对趋势科技 多层次安全体系管理的技能，同时也提供病毒安全知识的培训，确保其对病毒特性的了解，能够很好的掌握具体的操作。 2. Web 教程的培训： xxxIT 管理人员能够随时随地点播趋势科及 Web 在线培训教程。 终端电脑使用者的培训 1. 通过定期的安全小贴士，用简单易懂的内容，宣传用户病毒基本支持，提升终端电脑使用者的安全意识。 2.3. Xxx 基于云安全多层次防病毒 系统详细 设计 2.3.1. 系统体系架构 网关层 在 xxx 网关处，对 Internet 的 HTTP 流量进行实时监控 。阻挡 80%以上的病毒感染情况。 根据 xxx 的网络结构 分析 ，趋势科技网关设备 IWSA5000 主要是部署在核心交换机和 防火墙之间，采用透明串联的方式。 应用层 对于 xxx 的 邮件应用， 将部署趋势科技 IMSA 垃圾邮件和病毒邮件过滤设备。 对进出xxx 的邮件进行全面过滤 终端层 对于 xxx 网络中的所 有终端 PC 和服务器进行 全面的安全防护。 趋势科技OfficeScan10.0 提供病毒过滤，木马查杀，防火墙和 IDS。同时对 U 盘等移动介质也进行严格的权限管理。 网络 2-7 层 1- IWSA5000 网关防护 Internet 的HTTP 出口 2- IMSA5000 应用层防护垃圾邮件和病毒邮件 3- OfficeScan10.0 终端层防护所有计算机的安全 4- TDA网络 2-7 层侦测所有网络流量 5- 和协议，主动侦测已知或未知病毒，实时报警并监控 6- TMCM 统一进行集中管理 与其它传统防病毒解决方案最大的不同是，趋势科技的未知病毒侦测 设备 TDA，可以对 xxx 网络中所有协议的流量进行监控，通过内置 文件型 病毒扫描引擎， 网络型病毒扫描引擎， 启发式扫描引擎， 俄规则扫描引擎和信誉评估机制引擎五大扫描机制，能够实时监控到 xxx 网络中的病毒迹象，一旦发觉立刻自动 Email 通知管理员，第一时间阻断病毒的传播和扩散。 TDA 同时 还能够解决一直以来，其它解决方案无法处理的病毒源头定位的问题，通过对海量数据的自动分析， TDA 能够迅速定位网络中的病毒源头，完全杜绝了病毒事件无法彻底处理干净，重复感染一直发生的情况。 TDA 还能够监测 网络中是否存在的僵尸网络病毒，确保 xxx 网络不被黑客利用偷窃机密信息和向外发送攻击包。 2.3.2. 终端安全 防护 趋势科技防毒墙网络版 OfficeScan 趋势科技 OfficeScan 10 是一款革命性的防御解决方案，它 在利用传统技术的同时，利用 趋势科技云安全 2.0(Smart Protection Network)中独创的文件信誉技术 (FRT)管理病毒特征码，当用户访问某文件时，将直接到云端查询该文件的最新安全等级， FRT 会阻止用户访问低安全等级的文件，从而在最大程度上确保终端无论是否接入企业网络都可以受到保护 。 同时，也能够提供 Web 信誉评估，当终端在局域网内或离开局域网访问网页时，OfficeScan 会自动判断该网页是否安全，是否曾经被检测到感染过病毒。自动阻断终端对恶意网页的访问 1- Xxx 应用了趋势科技 OfficeScan10.0 中的文件信誉评估技术后，在未来的病毒 几年中 不会因为病毒威胁的增加而导致 病毒码大量占用 内存，从而使得终端运行速度变慢。 2- Xxx 在应用了趋势科技的文件信誉评估技术后，面对新的恶意威胁时，获得安全防护或者最新病毒特征码的速度将会变得没有延迟。无论网络多大，只要本地扫描服务器获得更新后，所有内部终端自动获得最新更新，从而零时间防御新病毒。 产品功能： 整合性的计算机安全防护软件 ： 趋势科技防毒墙网络版 OfficeScan 能够提供给计算机防病毒，防火墙， IDS 以及防间谍软件 、 Web 安全评估 等安全防护功能，给予计算机最完整的安全防护。 业界领先的 Web 信誉 评估服务（ Web Reputation Services）： 趋势科技防毒墙网络版OfficeScan 能对客户机上网浏览的 Web 站点进行安全评估，实时保护客户机不受恶意网站的威胁。 增加 Rootkit 侦测技术 病毒爆发防御服务（ Outbreak Prevent Service） ： 防病毒软件永远滞后于病毒，这是一个不争的实事，因此防毒软件病毒代码、引擎的快速升级将是阻止最新病毒攻击的有效手段，但病毒代码升级前的 “ 空窗期 ” 是病毒攻击企业网络的最佳时期。趋势科技防毒墙网络版 OfficeScan 独有的病毒爆发防御服务有效解决了这个问题，它可在防毒代码未 完成之前，自动获取趋势科技提供的预防代码，提前对通过端口、共享等方式进行传播的最新病毒，大大降低最新病毒对企业用户造成的损害。 内嵌防火墙自身保护系统 ： 趋势科技防毒墙网络版 OfficeScan 具备个人防火墙功能，对多种协议数据包进行阻挡，同时还具备 IDS、网络病毒扫描（ Network Virus Scanning）、网络异常监控等功能，满足各层次用户的需要。 智能处理措施 ： 趋势科技防毒墙网络版 OfficeScan 的智能型处理措施 (ActiveAction)能针对不同类型病毒，设定不同的处理措施，如特洛依型 病毒或蠕虫就直接执行删除动作，增加扫描的效能。 智能性扫描技术 ： 趋势科技防毒墙网络版 OfficeScan 的智能型扫描 (IntelliScan)功能是以文档真正内容格式 (True file type)作扫描，且支持 OLE 文档的扫描，增加侦测病毒的准确性，防止漏扫病毒。 自动更新软件 ： 趋势科技防毒墙网络版 OfficeScan 自动而且集中式的更新和部署，确保客户端的 OfficeScan 防毒软件维持在最新版；软件的更新与维护，完全不需使用者介入，减轻管理者的负担。 客户端软件可以将整个计算机群组 一次更新，以达 到最佳部署效率，对带宽的冲击可降至最低。 提供远程代理更新（ Remote Agent）功能，可以设定分公司或分支机构的一部计算机成为远程代理主机去更新病毒码及修补程序，增加更新的效率。 采用趋势科技的智能型病毒码更新技术，只针对新增加的病毒码部分进行更新，有助加快更新程序，尤其对使用窄带宽线路的远程办公室收效更大。 移动装置使用者可以直接通过 Internet 下载更新程序，既简单又便利。 集中式管理、配置设置和报表功能 ： 趋势科技防毒墙网络版 OfficeScan 提供 Web 接口的管理控制台，系统人员可以在任 何时间、任何地点通过 Internet，执行软件更新、变更防毒配置和处理紧急状况。 集中式控管功能，系统人员可以锁定客户端配置，计算机使用者无法变更或移除他们的防毒软件，降低错误操作所造成的病毒事件。 系统人员可以针对每一台计算机，设置执行实时、手动或预设的病毒扫描。 定制报表能够更清楚地呈现客户端的安全状态，而且报表可以转换成 SQL 数据形式，以便通过其它数据库进行更有弹性的数据管理。 系统需求： 操作系统： Microsoft Windows 2000 Server with Service Pack 3 or 4、 Microsoft Windows 2000 Advanced Server with Service Pack 3 or 4、 Microsoft Windows Server 2003 32-bit Edition with or without Service Pack 1 or 2、 Microsoft Windows Server 2003 64-bit Edition with or without Service Pack 1 or 2、 Microsoft Windows Server 2003 R2 32-bit Edition with or without Service Pack 1 or 2、 Microsoft Windows Server 2003 R2 64-bit Edition with or without Service Pack 1 or 2、 Microsoft Windows Storage Server 2003 32-bit Edition、 Microsoft Windows Storage Server 2003 64-bit Edition、 Microsoft Cluster Server 2000、 Microsoft Cluster Server 2003 处理器： Intel Pentium 800MHz or above 内存： 512MB 磁盘空间： 至少 1GB 部署建议： Officescan10.0 可以对 Windows 95/98/2000/XP/2003 进行病毒防护 。 趋势科技 网络版防病毒软件的组织架构为： 通过一台 Officescan 服务器去远程的控制和管理局域网内部，甚至广域网中 Officescan 客户端。 Officescan 客户端可以通 过多种方式安装到计算机上： 通过网页远程自动下载安装； 通过制作 Officescan 客户端安装包安装； 通过共享文件夹方式安装 通过集成 Windows 域自动安装客户端 通过微软 SMS 安装； 产品部署架构： 增加部署结构图 ，选择传统模式和 Smart Scan Server 模式 如上图所示： 趋势科技建议 xxx 采用上述结构来部署 Officescan，通过该种方式部署 Officescan， xxx网络中计算机防病毒体系达到如下效果 ： 一体化的管理机制： Officescan 服务器统一控管整个网络的 Officescan 客户端，包括，防病毒策略的设定和配置，日志的收集，病毒码，扫描引擎等组件的更新；以点盖面大大的简化整个防病毒系统，防病毒管理人员只需利用有 IE 浏览器的计算机就可以对Officescan 服务器进行操作，移动的进行远程 Web 管理。从而确保 xxx 能够用最少的人力资源，维护好整个网络的计算机防病毒； 分组管理的机制：根据 xxx 内部不同的部门在 Officescan 中设置不同的管理组，便于xxx 防病毒管理员针对不同的组设定不同的策略，开放不同的权限； 集成病毒专杀工具，清除病毒更彻底：病毒专杀工具和客户端防病毒 软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新；完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；此项技术能够让 xxx 的防病毒管理人员从服务器端主动触发整个网络所有客户机的专杀工具去扫描本机内存和注册表，清除内存中的病毒进程和恢复被病毒修改的注册表键值，从而彻底摆脱传统的清除病毒的工作：针对不同病毒，下载不同的专杀工具，到每一台计算机前，手动执行不同种类的专杀工具，反复重起计算机；同时，客户机也可以手动点击按钮，触发专杀工具清除病毒； 病毒爆发预防策略： Officescan 应用该策略能够有选择性的关闭某些病毒攻击网络，服务器和客户机的端口，或共享文件夹等，从而，阻挡大量的蠕虫病毒，在网络中大面积爆发。从而，保护用户网络中的所有计算机不受到病毒攻击。当 xxx 网络内部不幸遭遇到 新病毒攻击而病毒码还未更新时，利用病毒爆发预防策略能够将新病毒所利用的网络漏洞和系统漏洞完全堵死，让还没有进来的病毒进不进来，让已经进来的病毒无法扩散； 集成网络版防火墙和 IDS： Officescan 网络版防火墙和通过在客户机和网络之间创建屏障，来帮助保护 Officescan 网络版客户机免受黑 客和网络病毒的侵扰， 并且可以在客户端无法连接 Officescan 主服务器 时，通过 Officescan 备用服务器下发防火墙策略。 同时， IDS确保客户机不受到内部或外部的入侵攻击，确保 xxx 内部计算机的系统安全和资料安全； 抵御间谍软件和其他类型灰件的侵害 ： 防毒墙网络版下载间谍软件 /灰件特征码文件以保护 xxx 的计算机免受病毒之外各种潜在威胁（包括广告软件和间谍软件）的侵害。防毒墙网络版可以扫描和清除间谍软件和其他灰件，就像可以扫描和清除客户计算机上的病毒一样。 同时提供了 临界间谍软件 /灰色软件例外列表 和普通间谍软 件 /灰色软件例外列表，避免 防毒墙网络版将某些您需要使用 的软件 被识别 为灰色软件 ； 分布式的病毒码更新：鉴于 xxx 网络中，有部分网络或者分支机构中的安装有Officescan 客户机与 Officescan 服务器之间的连接带宽比较窄，只有几十 K 左右。为了避免病毒码升级时造成网络带宽被占用，趋势科技建议在部分网络或者分支机构中选择一台计算机做更新代理，如上图所示，其余计算机直接通过更新代理更新而不是通过 Officescan服务器更新，如此就可以确保病毒码更新时不会占用网络带宽，确保 xxx 的正常的业务数据不会因为网络带 宽被占用，无法及时同步更新，当然，如果；部分网络或者分支机构（与Officescan 服务器用窄带连接的环境）可以直接上 Internet，则也可以通过 Intetnet 进行病毒码的更新； 病毒爆发监控： “ 病毒爆发监控 ” 可以用来监控网络上有感染迹象的可疑活动。通过设定病毒爆发监控的敏感度，如：设定的时间段内，网络上的并发会话数量超过设定的值，这样在网络内部出现病毒爆发之前，提前向 xxx 防病毒管理人员预警，防患于未然； 扫描有防病毒漏洞的计算机：通过趋势科技 Officescan 自带的 TMVS 客户机漏洞扫描工具，可以 将 xxx 网络中所有客户机做一个整体的扫描，将没有安装 Officescan 客户端软件的计算机的 IP 地址，计算机名字，操作系统等详细的信息生成报表，便于 xxx 防病毒管理人员及时定位网络的未安装 Officescan 的计算机； 并入趋势科技整体防病毒体系： Officescan 通过安装 TMCM 代理程序，就能够被整合在 TMCM 的管理体系中 。 2.3.3. 网关 Web 病毒和内容过滤设备 趋势科技 互联网网关安全设备 InterScan Web Security Appliance 趋 势科技 互联网网关安全设备（ 简称 IWSA)是一套针 对 HTTP/FTP 应用 进行安全 防护和策略控制的综合性网关解决方案 。 产品外观： 产品功能： IWSA 能够在一个硬件设备中对HTTP/FTP 数硬件规格 IWSA 5000 可扩展性 网络接口 千兆铜口、千兆光口 端口数量 4 个铜口或 2 个铜口 2 个光口 硬盘 2 x 146GB( RAID1)、热插拨 高可用性 设备故障检测 是 硬盘 热插拨、 RAID1 处理器 双 2.66G（ 4 核） 链接失败检测 是 LAN Bypass(故障直通 ) 是 （铜口、光口均支持） 硬件状态 检 测 是 管理 内嵌 Web 界面管理 用于单台设备管理 控制中心 TMCM集中管理 可选，建议用于多台设备管理 支持在线更新 是 自动策略 /服务更新 是 损害清除服务 可选 URL 过滤和 Applet&ActiveX 安全 是 其他硬件替代部件 无 物理 /运行参数 设备规格 2U 高度 3.4 英寸（ 8.656 厘米） 宽度 17.6 英寸（ 44.7 厘米） 深 度 29.79 英寸（ 75.68 厘米） 重量 59 磅（ 26.76 公斤） 运行环境 50 95 F（ 10 35 ） 非运行（存储）环境 -40 149 F （ -40 65 ） 据流实现如下 几大功能 ： 防病毒 防间谍软件 防网络钓鱼 防 JaveApplet&ActiveX 恶意插件 流量配额管理 恶意 URL 阻止 URL 过滤功能 Web 信誉服务 流量及硬件状态实时动态 图形 IWSA 不仅具备全面的安全防护功能，同时由于采用多种智能分析与扫描处理技术，在性能表现上优于同类产品，是企业网络安全防护的重要防线。 IWSA 支持多种配置运行模式，支持多种未来新的应用系统的设计架构，与趋势 科技业界领先的企业安全防护策略 (EPS)相结合，扩展了趋势科技关于 Web 安全的病毒爆发生命周期管理理念，从而 保证用户 获取最大的投资回报率。 给 xxx 带来的价值 ： 集成 Web信誉服务云安全技术 Web 安全网关 IWSA 集成的 Web 信誉服务云安全技术是下一代内容安全防护技术，它与病毒代码比对技术同时为用户提供安全保护，但在防护的效果上云安全技术表现得更动态、更主动和更节省系统资源。 趋势科技通过在 Internet 上构建多达几万台的服务器群，实时动态地收集 Internet 上的风险，生成恶意信息数据库。当用户需要访 问 Internet 资源时，安全子系统会自动到趋势科技服务器群上针对数据源的安全性进行查询，如果数据安全，则用户就可以正常访问；如果数据风险很高，则用户的访问就会被自动阻止，实现恶意程序在侵入网络或计算机前就被阻止掉。 综合性的安全管理能力 IWSA 针对 Web 威胁提供综合性的安全管理能力，全面地解决了当前客户环境所面临的复杂的 Web 安全问题，特别是在恶意程序源头对 Web 威胁进行快速阻止； 高性能、高可用性 IWSA 集合趋势科技多年来 Web 安全解决方案的经验与技术，具备高可靠性和高可用性，具备灵活的扩展能 力； 管理方便，配置灵活 IWSA 基于策略制定安全措施，管理人员可以灵活地定制个性化的安全规则； 极低的运维成本 IWSA从整体上对 Web应用进行了全面的防护，帮助管理人员快速地构建起 Web防线，从根本上扭转 Web 安全防护的被动局面，提高了管理效率，降低了运维成本。 在 xxx 网路环境中的 部署架构： 请基于用户网络环境，增加实际的部署图。并且建议结合用户的实际情况，把对应的策略配置也在这部分进行说明。 例如： 策略配置 扫描策略， 升级策略， 性能调优 日志查看 等等 2.3.4. 主动式威胁发现设备 TDA 产品 功能介绍 在网络探测恶意威胁 1. 探测 未知 和已知恶意威胁 2. 发现恶意威胁的信息窃取 3. 探测网络和电子邮件攻击 网络钓鱼和网络漏洞利用 探测网络中断行为 1. 中断性应用 P2P、即时讯息等 2. 中断性服务 SMTP 中继、流氓 DNS 等 网络内容检测技术 1. 2-7 层协议检测 ， 80 种以上协议 2. 全面的应用支持（超过 120 种应用） 3. 可疑活动关联性 4. 文档内容扫描 联动云安全 服务 1. 与 Internet 云安全数据库链接 对数据进行 根源分析 &关联性 对 协议和应用 进行名誉分析 2. 恶意事件 管理和汇报 面向客户的 恶意事件分析 每日管理报告 事故响应 执行报告 整体安全情况 旁路 部署 通过镜像数据进行分析 ，不会中断服务 产品特点 对由恶意威胁造成的数据丢失风险的响应速度更快 清晰的安全状态可见性所带来的主动安全架构规划 尽早发现新威胁并做出响应，从而节省了损害清除费用 破坏性应用程序检测，从而节省网络资源 灵活的离线部署将网络中断降到最低 个性化的威胁管理经验带来更高的客户满意度 产品规格 项目 内容 处理器 Quad-Core Intel Xeon Processor X5355 x 2 内存 8 G 硬盘 300 GB X2 , Raid 0 ,热插拨 网路卡 GigabitEthernet NIC 电源 Redundant Power Supply 流量支撑 700 Mbpts , 10,000 连线数 产品功能细节描述 1、人性化的 Web 管理界面 在 Web 管理界面的 Summary 中可以清晰的体现出当前内网的威胁等级、各种安全威胁事件的计数等信息，并且可以根据安全威胁的种类以及外部、内部攻击分类。 2、可以提供对各种即时通讯软件的扫描 3、可以提供对各种 P2P 软件的监控 4、 可以提供对各种流媒体数据的监控 5、 TDA 内建 24 小时 report 内容，可以按照协议、侦测种类分类显示各类已知、未知安全隐患 6、 趋势科技 SecureCloud 提供的每日管理报表。通过报表可以清晰了解当前存在的安全隐患、感染客户机、以及提供处理建议 每日资安事件列表 事件详细分析 防范建议 威胁说明及可能影响范围 建议采取措施 部署说明 ： 请根 据客户情况详细说明 TDA 采用离线配置模式，旁路连接在交换机上。交换机需开启镜像端口，将数据导入 TDA进行扫描。另外，需要在防火墙上开启相应策略，允许 TDA 注册到趋势科技的 云安全服务器 ，由趋势科技后端计算中心定期提供威胁评估报表给用户。 2.3.5. 网关 SMTP 邮件防护 设备 趋势科技 网关讯息安全设备 InterScan Message Security Appliance 5000 趋势科技网关讯息安全解决方案提供了全面的电子邮件安全防护，集成了病毒扫描、垃圾邮件检测、反间谍软件、反钓鱼程序和内容过滤功能 ，可 以实现完整的防护，对 IT基础架构进行加固，减少运营成本 . Trend Micro 作为网关安全的先驱者和领导者提供成熟、稳定的电子邮件安全解决方案以架构全面的、多层次的网络安全防护体系。 产品外观： 产品规格 外观造型 ： 19 英寸的机架， 2U 高度 处理器 ： 2 x Pentium 4 2.8GHz Xeon 内存 ： 2GB 电源 ： 2 x 热交换 400 瓦， 90-260 伏 风扇 ： 2 x 热交换风扇 RAID： 多通道 RAID 1， 128MB 磁盘驱动器 ： 2 x 热交换 SATA 80G 数据容量 ： 20GB 邮件队列， 40GB 数据 /日志 以太网 ： 2 x GB 以太网 10/100/1000 自动感应 受管理的以太网 ： 1 x 快速以太网 10/100 自动感应 序列端口 ： 1 x RS232 协议 ： SMTP、 ESMTP、 TLS、 POP3 恶意保护 ： 防病毒、间谍软件 /灰色软件、 Intellitrap 信誉服务 (NRS、 IP Profiler)： 趋势科技网络信誉服务 垃圾邮件保护 (TMASE)： 趋势科技防垃圾邮件、防网络钓鱼 网络管理 ： HTTP 和 HTTPS 网络管理界面 命令行 ： SSH 命令行管理 产品功能： 病毒过滤 网关讯息安全设备使用扫 描引擎和病毒码文件来检测病毒。扫描引擎执行实际扫描工作，并使用包含二进制的已知病毒码的病毒码文件来分析流经网关的文件。如果扫描引擎检测到病毒，则 InterScan 可以通过删除恶意代码来尝试清除文件（如果启用了清除）。趋势科技会在检测到新威胁时定期发行新病毒码，因此请定期更新网关讯息安全设备。 此外，网关讯息安全设备使用 Trend Micro MacroTrap 来扫描 Microsoft Office 文件。宏病毒陷阱会分析 Microsoft Office 文件中的宏代码，以帮助扫描引擎检测宏病毒。 趋势科技 IntelliTrap 是包含在内置防病毒和 eManager 过滤器中的防病毒功能。病毒作者通常使用不同的文件压缩模式来逃避病毒过滤。 IntelliTrap 可帮助网关讯息安全设备评估可能包含病毒或其他 Internet 威胁的压缩文件。 由于 IntelliTrap 可能会错误地将非威胁文件识别为危险文件，因此趋势科技建议启用 IntelliTrap 功能时隔离被归为此类别的邮件附件。此外，如果用户经常交换压缩文件，则您可能会想要禁用此功能。缺省情况下会打开此功能，并且此功能被配置为隔离归为 此类别的邮件附件。 IntelliTrap 提供了 zero-day 防护 最佳性能 73% 2005 年的 23 次全球病毒爆发事件 , 17 次可由 IntelliTrap 特征码检测到 网关最佳防护方案 52% 由于通过网关处传播， 12 次全球爆发的病毒被过滤 (讯息相关的恶意软件 ) 竞 争 对 比 启发式 扫描 McAfee Symantec Sophos 11/23 : 48% 0/23 : 0% 5/23 : 22% 垃圾邮件过滤 趋势科技反垃圾邮件引擎采用 “鸡尾酒 ”方法过滤垃圾邮件。 高级启发式 （ Advanced Heuristics） 统计分析法（ Statistical Analysis） 黑白名单 签名过滤法（ Signature Filtering） 多语言检测（ Detection for Multi-Languages） 除上述几种过滤垃圾邮件技术外， 趋势科技提供 NRS 检测技术，在外部 SMTP 服务器和企业内部 SMTP 服务器建立起连接之前，判断外部 SMTP 邮件服务器的 IP 地址是否属于垃圾邮件服务器 IP 地址，若是，则连接被拒绝。同时，该项技术相比其他技术有着非常高的更新频率，确保用户能够阻挡更 多的垃圾邮件。 趋势科技网络信誉服务 (Network Reputation Services, NRS)的前身便是在 Internet 最著名的 RBL 服务 - MAPS(Mail Abuse Prevention System, )。 MAPS 即为垃圾邮件 SPAM 英文单词反过来写，从 1995 年便已创立， RBL 整个技术概念便是由MAPS 首先倡导，之后变为 业界的标准 。 MAPS 母公司于 2005 年 6 月并入趋势科技，目前为趋势科技全球威胁防护网络部门 (Threat Prevention Network)。 趋势科技全球威胁防护网络 (Threat Prevention Network)，维护一个全球性收集超过一百六十亿份问题 IP 黑名单数据库，同时这个数据库为动态更新，每天都在增加。趋势科技已经将此技术运用到了网关邮件防护产品 IMSA 中，这不仅提高了 IMSA 的垃圾邮件防护效果，最重要的是大大提高了网关防护产品的性能，彻底解决了大型、中型企业网关产品面临的性能瓶颈问题。 当因特网上一台邮件服务器与 IMSA 建立 SMTP 连接时， NRS 会及时查询该邮件服务器 IP 是否在 IP 黑名单内。如果 在黑名单内 IMSA 会立即中断 SMTP 连接，这样就能保证垃圾邮件到达网关前就被阻断，从而节省 xxx 网络资源；如果不在黑名单内， IMSA 内置的 TMASE 智能垃圾邮件扫描引擎，就会对邮件进行扫描，过滤垃圾邮件。 邮件内容过滤 强制内容符合 减少法律纠纷 符合企业信息安全策略 信息安全保密性要求 特定的内容过滤 附件类型、大小和名称 关键字 定制化的布尔或常规表达式 选择授权发送者和接收者 公司 ,部门 , 组 ,个人 指定内容强制处理措施 删除 , 隔离 , 通知 , 推迟 , 通过 TLS 加密 , 备份 间谍软件 /灰色 软件过滤 像间谍软件 /灰色软件这类因为网络使用普及而产生的安全威胁正是目前让企业所担心的高风险威胁，在终端安装防护软件，仅仅是一个必须的防护手段而已，作为企业用户来讲，应当部署一套完整的解决方案，其中包括能够在网关端、客户端、服务器端进行整合式的防毒部署机制来达到有效的防御，这类安全解决方案将成为用来对付以网络为管道进行恶意入侵的恶意程序的最佳利器。 多层次、多产品的整合将是企业最好的安全防护机制，自从趋势科技在 2005 年收购了著名的反间谍软件公司 InterMute 之后，趋势科技反间谍软件的研究团队阵 容更为坚强，也在整合两间公司所开发的反间谍软件扫描引擎之后，推出全功能的超强反间谍软件引擎SSAPI 5。这项技术已经整合到网关硬件产品 IMSA 中，透过 SSAPI 强大的引擎功能，侦测并阻止复杂又多变的间谍软件。再加上趋势科技针对大、中型企业所设计的多层次安全解决方案，都能够透过 TMCM(Trend Micro Control Manager)的单一 Web 管理接口，帮助企业达到最好的安全防护机制。 反网络钓鱼 由于网络钓鱼攻击横跨电子邮件和 Web 应用，所以防护方式当然也应从网关邮件及Web 应用着手。由于防护 技术的匮乏以及网络钓鱼的隐蔽性，目前的多数方案，普遍具有以下瓶颈： 扫描技术瓶颈 执行文档变形伪装技术的发达 恶意程序制造容易，以病毒码比对方式的侦测技术渐露缺陷 样本搜集不易 木马程序的运作隐匿性 攻击目标有针对性 侦测技术落后 对于 DLL Injection 的木马侦测困难 对于 Rootkit 等特殊隐形技术束手无策 因此趋势科技建议预防网络钓鱼或结合 Pharming 的目标式攻击，其方案必须涵盖以下项目： URL 过滤 启动真实文件格式扫描 启动 IntelliTrap 智能型启发式技术侦测压缩文档 产品优 势 ： 即插即用、容易部署 ： 软件已经预装在设备中，确保了软件的兼容性，可以快速、便捷的安装部署。 更多安全防护 ： 经过安全与性能方面的优化， IMSA 具备更高的稳定性和可靠性。 高吞吐量 ： 极高的邮件吞吐量 - 150,000 msg/hour 冗余机制 ： 硬件 /软件监控，冗余电源、风扇、双热插拔硬盘。 先进的邮件安全防护技术 ： 邮件符合性检查 , 反垃圾邮件 , 反钓鱼程序 部署建议： 趋势科技公司给出了一个针对所有基于标准 SMTP 协议的邮件服务器的防病毒方案。由于 xxx 架设了邮件服务器，为了有效对进出邮件进行扫描 ，趋势科技将 IMSA 旁路在网络中，在为 IMSA 设定一内网地址的同时对应映射一公网地址，保证 IMSA 与企业邮件服务器可通讯。同时在 DNS 服务器中添加一条优先级别比企业邮件服务器更高的 MX 记录（与原有邮件邮件服务器所对应的 MX 记录同属一个邮件域）。这样，外部发送过来的邮件在进行完 DNS 解析之后，会先发送至 IMSA，便可对通过邮件传播的病毒，垃圾邮件和邮件内容进行有效检测。处理完以后， IMSA 将会把扫描后的邮件传递给后端真正的邮件服务器，邮件最终落地。采用此方法也不会使企业邮件产生丢失的危险，一旦设备发生故障，邮 件将会查询第二条 MX 记录，这样将确保企业邮件不会发生丢失现象。 产品部署架构： 2.3.6. 中央控管体系 趋势科技 防毒墙 控管 中心 Trend Micro Control Manager 趋势科技 TMCM 是一个管理控制台，为部署在网络中的趋势科技防毒和内容安全产品和服务提供集中的管理和保证它们在整个企业范围内的协调运行。趋势科技 TMCM 是企业保护战略 (EPS)的一个核心的组成部分，它可帮助 IT 管理人员在他们的企业内部实施一致的安全策略，并对病毒爆发周期各个阶段做出快速响应 - 对于那些能够出现在网络多个区域的 混合型病毒而言，这是对抗它们的一个必要条件。 趋势科技 TMCM 可通过一个控制台来管理防毒和内容安全产品和服务，可帮助 IT 管理人员们获得有关病毒事件或异常活动的准确一致的信息，并创建用于分析和监控的图形报告。它可将它所支持的防毒和内容安全产品分成组以利于远程管理；可对各组群中的服务器进行同时配置或通过复制依次配置。通过趋势科技 TMCM 可将产品信息和任务功能进行映射，使管理员可以快速查看并对新安装的产品进行控制。 产品功能： 通过 TMCM 可实现对防毒软件的病毒代码、扫描引擎、升级程序、预防策略、垃圾邮件列表的集 中分发、管理。 可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控。并且由于 TMCM 采用 Web 管理方式，使得管理人员可以通过任何一台联网的计算机方便地访问 TMCM，减轻了管理人员的负担。 可实现对所有防毒软件的集中管理、集中设置、集中维护。管理人员可以通过 TMCM的统一界面管理防毒软件。 可集中反映整个系统内的病毒入侵情况 ,设置各种消息通报方式，对病毒的爆发进行报警。 可以生成集中式统计报告，便于管理员掌握整个防病毒系统运行状况 。 漏洞扫描和防御：趋势科技利用自身产品帮助用户找出网络中存在微软安全漏洞的计算机，同时区分漏洞的轻重缓急，隔离具有系统漏洞的计算机，强制打补丁，以次确保当病毒来临时，不会因为系统的漏洞造成网络的受到病毒攻击而瘫痪 TMCM 具备灾后集中清除及漏洞分析功能，不仅可以进行整个网络的集中病毒扫描工作，还可以针对系统漏洞提供报告，使得整个网络更加强健。 病毒发作防御：趋势科技利用独创的病毒爆发防御策略技术（可更新的数据包），在新病毒爆发而新病毒码还没更新的 “防 病毒真空期 ”，趋势科技利用病毒爆发防御策略技术，将网络内部所有病毒可能利用的途径全部关闭，例如：自动关闭病毒的利用和攻击的特定端口，并自动的隔离已经感染病毒的 PC，关闭共享文件夹等 。 评估与恢复：通过趋势科技中央控管安全平台，收集整个网络所有的计算机的防病毒信息，通过周报表，月报表等方式，对整个网络的防病毒工作做一个整体的评估，同时，利用趋势损害和清理服务从后台自动的将被病毒感染的机器清除干净，避免了人为手动清除病毒，从而将网管从大量的手动清除病毒的状态下解脱出来。 独创的层叠式管理： TMCM 可以直接管 理 TMCM，间接管理趋势科技其他防病毒软件产品；而 TMCM 可以直接管理趋势科技其他防病毒软件产品。 系统需求： 操作系统： Microsoft Windows 2000 Server/Advanced Server with Service Pack 3/4、Microsoft Windows Server 2003 Standard Edition / Enterprise Edition with Service Pack 1 处理器： Intel Pentium III 600MHz or above 内存： 512MB 磁盘空间： 至少 1GB 部署建议： 企业级用户与单机用户对防病毒方案需求的最大区别在于：防病毒策略的快速、有效部署；集中的管理和报警；针对新情况的全网络产品快速升级。 趋势科技公司特有的 TMCM 系统，能有效的将跨平台、跨路由、跨产品的所有防毒产品的管理综合起来。使管理人员能在单点实现对全网的管理。同时 TMCM 强大的日志和报表功能使管理人员更有效的控制内网病毒防护和病毒爆发的状态。 该产品的部署也十分便捷。在本案例中，我们只需在 xxx 省 信息 中心专用防病毒服务器上安装 TMCM 产品，同时将 TMCM 的安装至分布于省中心及各 地市 中 ，在通过每一个地市的 TMCM 去管理各地市 的 IMSS、 ServerProtect 信息服务器