OSCE11产品白皮书.docx

趋势科技防毒墙网络版OfficeScan11产品白皮书文档信息版权声明本文件所有内容受版权保护并且归趋势科技（中国）有限公司所有。未经趋势科技（中国）有限公司明确书面许可，不得以任何形式复制、传播本文件（全部或部分）。趋势科技及Trend Micro是趋势科技（中国）有限公司的注册商标，本文中涉及到的其它产品名称和品牌为其相关公司或组织的商标或注册商标。趋势科技（中国）有限公司不对本文件的内容、使用，或本文件中说明的产品负担任何责任或保证，特别对有关商业机能和适用任何特殊目的的隐含性保证不负担任何责任。另外，趋势科技（中国）有限公司保留修改本文件和本文件中所描述产品的权力。如有修改，恕不另行通知。信息更新本产品最新版本信息、升级信息以及相关技术文档将在趋势科技（中国）有限公司www.TrendM 网站上及时推出，敬请留意。支持信息如果希望得到关于趋势科技（中国）有限公司产品的报价、产品信息以及技术支持，请查阅公司网站：www.TrendM 。第2页 目 录第一章：概述4第二章：产品特点5第三章：产品功能6第四章：管理和部署11第五章：系统需求14第一章：概述“自带设备办公”（BYOD）正在改变传统的企业网络环境，保护终端免受持续性威胁的侵害已经成为 IT 管理人员一项繁杂而又成本昂贵的工作。随着移动设备和云计算的发展，保护数据免遭丢失或窃取已是当务之急。另外，虚拟桌面基础架构的演进也给传统安全解决方案在性能方面带来了新的挑战。因此，IT部门需要部署和应用更加灵活的终端安全解决方案，从而适应不断变化的环境和日益提高的性能需求。趋势科技防毒墙网络版 OfficeScan 11 终端安全解决方案使用了轻巧而精益的客户端，专为物理和虚拟终端部署而优化，可提供对最新威胁的实时防护。防毒墙网络版凭借基于云的全球威胁情报、集成型数据泄露防护(iDLP)和虚拟化感知客户端来增强终端防护能力。为了支持分层的安全架构，防毒墙网络版 OfficeScan 11集成了趋势科技“全面用户防护”（CUP）解决方案，以提供对多层互连威胁和数据的防护。通过插件可以把如下安全模块的管理界面整合到 OfficeScan 11 的管理控制台上。 数据泄露防护安全模块（iDLP） 入侵防御防火墙模块（IDF） 虚拟桌面基础架构模块（VDI） Mac安全模块 （TMSM） 防毒墙网络版 OfficeScan 11还可以同多种主动式安全技术结合使用，例如应用程序控制、漏洞防护、移动安全和终端加密等技术，以进一步增强威胁防护能力。第二章：产品特点防毒墙网络版 OfficeScan 11 是趋势科技针对企业级终端安全防护的解决方案。不同于传统的桌面防毒产品，OfficeScan 11 是专门为企业级客户设计的安全产品，所以能够更加有效地服务于企业级网络环境。它能够防护计算机和网络病毒、恶意软件、间谍软件、基于Web的威胁，甚至是混合型的攻击。防毒墙网络版 OfficeScan 11 在终端上部署客户端（Agent）程序，通过服务器端（Server）程序来管理众多的客户端。客户端程序对终端系统提供保护，并且向服务器端程序汇报其安全状态。OfficeScan 服务器通过基于Web的管理控制台可以轻松设置企业的安全策略并且集中部署更新到所有的客户端。对病毒和恶意程序的防护源于趋势科技的“智能防护网络”（Smart Protection Network）。“智能防护网络”是新一代基于云计算的安全架构，相比于传统的安全架构提供了更加智能的安全处理手段。独有的云计算技术和更轻量级的客户端降低了对传统病毒特征库下载的依赖性，因此也克服了由客户端更新所造成的延迟。这些改进有利于提高网络带宽，节省功耗和花费。通过“智能防护网络”的部署，OfficeScan客户端的更新将不再受到物理位置的限制。依托于“客户端-服务器”模型，OfficeScan使用分布式的程序架构在服务器和客户端之间分配工作和负载。客户端和服务器之间的交互通过网络来进行（OfficeScan服务器上也需要部署客户端来进行安全防护）。OfficeScan服务器为客户端提供更新、管理和报表服务。一台OfficeScan服务器理想情况下可以管理最多50,000台客户端。在典型的使用“客户端-服务器”架构的企业网络环境中，OfficeScan的组件必须遵循相应的标准来保障连通性和网络交互。最初，OfficeScan只支持Windows的网络环境。这些年来，非Windows的网络部件（例如移动设备和Mac操作系统）越来越流行，因此OfficeScan也通过插件管理器来扩展了操作系统的支持性。第三章：产品功能OfficeScan拥有诸多实用的企业级产品特性： 管理特性集中式管理是在大型企业网环境中轻松管理众多终端的基础。OfficeScan可以使用多种方式通过集中的管理控制台来远程部署大量的客户端程序。 基于Web的管理控制台：OfficeScan使用基于浏览器的管理控制台来部署客户端的更新、配置和紧急事件响应。通过管理控制台可以使用SQL方式生成实时和最新的报表。 信息汇总“控制台”里通过小组件的形式来显示产品使用授权状态和安全相关的事件信息。基于Web的管理控制台能够把众多的客户端以“组”和“域”的方式组织起来实现轻松管理。 多种服务器和客户端部署方式：可以借助安装向导来实施本地或远程安装OfficeScan服务器。客户端的部署方式包括七种 - “基于浏览器”、“基于UNC”、“远程”、“登录脚本安装”、“客户端打包程序”、“镜像安装工具”和“漏洞扫描程序”。 Active Directory集成：OfficeScan与微软的活动目录AD深度集成，可以轻松制订和实施企业的安全规则。OfficeScan支持多目录林、信任域、嵌套的目录和组，并且可以创建定制化的客户端组。 TMCM集成：OfficeScan还可以同趋势科技的防毒墙控制管理中心（TMCM）配合以实现更多的管理功能。 配置数据库备份：OfficeScan服务器上的数据库存储着服务器和客户端的所有信息，可以通过基于Web的管理控制台来对数据库进行备份配置。 防护特性终端防护是OfficeScan最主要的功能。除了提供常见的恶意程序识别和清除功能，OfficeScan还拥有“智能防护”和恶意程序爆发阻止的解决方案。 智能防护和更新管理：可以采用传统的增量方式进行更新，或者通过可扩展的“智能防护服务器”（Smart Protection Server）。把OfficeScan客户端配置成“更新代理”能够节约网络带宽。OfficeScan还使用了“智能扫描”，这是一种基于云计算的安全解决方案，依托于趋势科技的“智能防护网络”提供更快速和更广泛的检测而又降低了资源利用率。 事件和爆发通知：一旦发生大面积终端感染或“爆发”，通过定义爆发的条件并执行相应的处理动作，OfficeScan可以有效地控制疫情的扩散。 服务器隔离文件夹：为了能够更有效地监测、研究和备份受感染的文件，OfficeScan客户端会自动把已受感染和可疑文件上传到服务器的隔离文件夹。一旦发生误报，管理员可以远程一键恢复被隔离的文件。 防火墙： OfficeScan客户端防火墙提供了有状态的数据包级别的侦测，能够有效防范基于TCP、UDP和ICMP的网络攻击。防火墙还提供了过滤“安全软件认证列表”和“例外列表”的功能。 高级安全技术：OfficeScan支持新的安全技术应用，例如SSL、IPv6、MD5消息认证、NTFS ADS扫描和Web信誉服务。还支持更多的趋势科技高级技术，例如IntelliScan、IntelliTrap、ActiveAction和DCS。 设备管控和行为监控：通过严格控制移动存储设备和网络资源的访问可以有效防止数据外泄，部署集成性数据外泄防护（iDLP）模块可以过滤敏感数据在网络当中的传播。OfficeScan还可以监控和严格控制相关的行为，包括保护应用程序文件、注册表键值和安全相关的进程等。 增值特性为了进一步提升管理员和终端用户的使用体验，OfficeScan提供如下特性使产品工作更加有效。 插件架构：由于使用了优秀的插件架构，OfficeScan能够更加轻松地应用新的安全技术和扩展支持新的操作系统，而不必对主程序进行大幅度改动。新的应用或服务可以通过插件管理器集成到OfficeScan的软件架构中。插件管理器可集中配置、部署和管理这些新的安全模块，提供增值的安全特性 日志：通过预先定义好的系统更新和扫描，OfficeScan可以把侦测到的安全事件和安全威胁，以详实的日志方式记录下来，管理人员可以对这些信息进行分析并生成合规性报告。 扩展的平台和使用模式支持：OfficeScan支持32位和64位的Intel和AMD处理芯片和与之对应的多种终端操作系统。同时还支持各种虚拟平台，包括VMware vCenter Server、Microsoft Hyper-V和Citrix XenServer。 OfficeScan 11 服务器增强特性 SQL数据库迁移工具：管理员可以使用迁移工具将已有的CodeBase服务器数据库迁移至SQL服务器数据库。 增强型智能防护服务器SPS：OfficeScan 11支持增强型的SPS 3.0。增强型SPS加强了文件信誉服务FRS的功能，提供如下的优化。 有效降低了内存占用 病毒特征库的增量更新和增强型文件信誉服务特征识别，极大地降低了对网络带宽的占用 服务器验证:增强的服务器验证秘钥可确保所有同服务器进行的交互都是安全可信的。 基于角色的管理：同趋势科技防毒墙控制管理中心TMCM高度集成，可实现基于用户角色的管理。 Web服务器需求：OfficeScan 11 可以同Apache 2.2.25 Web服务器进行集成。 重新设计的OfficeScan服务器界面：重新设计的OfficeScan服务器管理界面给管理员提供了更加易用，更加统一和更加具有时代感的使用经验。从前版本上的所有功能在OfficeScan 11中依然存在。 将管理菜单移至顶部释放了更多显示管理部件的空间 “添加到收藏夹”功能帮助管理员记录常用的管理页面 “播放选项卡幻灯片”循环播放控制台的各种小部件及相关数据，不需要管理员手动进行页面的切换 基于云的在线帮助系统：基于云的在线帮助系统可以进行上下文的自动匹配，确保管理员总是能够查询到最新的帮助信息。如果无法连接到互联网，OfficeScan 11会自动切换到本地的在线帮助系统。 OfficeScan 11 客户端增强特性 可疑文件恢复：管理员可以恢复之前检测到的可疑文件，并且把这些文件添加到域级别的白名单中以防止对这些文件的进一步处理。如果某个程序或文件被检测隔离，管理员可以统一恢复到所有客户端或只恢复到个别客户端。通过进一步的SHA1识别可确保恢复的文件没有以任何形式被修改。OfficeScan可以自动地把恢复的文件添加至域级别的例外列表中从而避免这些文件在将来被进一步扫描。 高级防护服务：高级防护服务提供了如下新的扫描特性。 浏览器安全漏洞防御（Browser Exploit Prevention）使用沙盒技术来实时测试Web页面访问行为并且检测任何恶意脚本或程序，因此有效避免了OfficeScan的客户端受到相关的威胁。 增强型的内存扫描和行为管理模块协同工作，可以在实时扫描过程中检测到恶意程序的变种，并且采用相应的隔离手段。 数据防护增强：增强的数据防护提供如下的特性。 同“控制管理中心”TMCM集成可进行数据发现。管理员通过在“控制管理中心”上配置数据泄露防护策略，能够在OfficeScan客户端上扫描发现敏感信息。一旦发现含有敏感信息的文件，“控制管理中心”就会把文件位置记录在日志中，并且通过集成型的终端加密软件对OfficeScan客户端含有敏感信息的文件进行加密。 用户理由支持：管理员可以允许用户提供理由来放行敏感信息数据，否则将阻止敏感信息的传输。OfficeScan会把尝试传输敏感信息的行为和用户提供的理由记录到日志中。 智能手机和平板电脑支持：数据泄露防护和设备管控可以对敏感信息的传输进行监控，并且采用相应的动作来允许或阻止敏感信息传输到智能移动设备上。 更新的数据识别和模板库：数据泄露防护模板库更新了2个新的关键字列表和93个新的模板库。 设备管控日志同“控制管理中心”TMCM有效集成。 可疑连接设置增强：命令和控制、连接告警（Command&Control Contact Alert）服务提供如下的增强特性。 可定义全局黑白IP地址列表 恶意程序网络指纹可以检测到“命令和控制”C&C回拨 检测到可疑连接后能够进行更加细粒度的配置 “命令和控制”C&C服务器和客户端日志能够记录C&C回拨的过程 爆发阻止增强：爆发阻止新增了如下两种防护类型 可执行的压缩文件 互斥进程 自我保护功能增强：OfficeScan 11 提供了更轻量级和更高安全级别的自我保护功能解决方案，用以保护OfficeScan服务器和客户端程序。 轻量级解决方案：缺省情况下，服务器能够保护OfficeScan客户端的进程和注册表键值，并且不影响服务器的性能。 高级别安全解决方案：相比于前一版本，客户端自我保护功能有如下增强。 IPC命令验证 病毒库文件保护和验证 病毒库文件更新保护 行为监控进程防护 扫描性能和侦测增强：扫描性能和侦测有如下增强的特性。 实时扫描持续性维护扫描缓存，每次OfficeScan客户端启动的时候都会重新装载这个扫描缓存，并且追踪从上一次客户端卸载后任何文件或文件夹的变化，将变化的文件从扫描缓存中移除。 OfficeScan 11 把Windows的系统文件、可信来源的数字签名的文件和经过趋势科技验证过的文件添加至全局白名单。一旦识别出是这些已知的安全文件，OfficeScan将不会对它们进行扫描和采取相应的动作。 增强的损害清除服务（Damage Cleanup Service）对Rootkit威胁提供了改进的侦测能力，并且有效降低了误报率。 压缩文件扫描从实时扫描和按需扫描中分离出来，极大地提升了性能。 当管理员希望检察日志细节时，两层日志结构可提供更加详实的侦测记录 OfficeScan客户端界面重新设计：重新设计的OfficeScan客户端给用户带来了更加易用，更加统一和更加具有时代感的使用经验。从前版本上的所有功能在OfficeScan 11中依然存在。新的客户端管理界面允许管理员直接在客户端控制台“解锁”管理功能并快速解决问题而无需打开服务器端的Web控制台。第四章：管理和部署在设计OfficeScan部署环境时需要认真考虑如下的4个主要的组件。 OfficeScan服务器：服务器提供了管理控制台并且把信息存储在本地的CodeBase数据库或者本地/远程的SQL服务器中。它使用标准的HTTP或HTTPS协议同客户端进行通讯并管理客户端的更新。OfficeScan服务器有以下3个基本功能： 配置客户端（权限和策略配置） 提供程序、扫描引擎和病毒特征文件更新 集中处理日志、报表和隔离的功能 OfficeScan客户端：客户端需要注册到OfficeScan服务器。可以配置客户端从OfficeScan服务器、客户端更新代理或者直接通过互联网从趋势科技的ActiveUpdate服务器上下载更新。还可以配置客户端使用集成型的SPS或者独立的SPS服务器进行智能扫描，从而取代传统的扫描方式。云计算技术从最大程度上减小了病毒库文件下载到本地的大小。 更新代理：可以配置一个OfficeScan客户端成为一个专用的更新代理，更新代理能够从OfficeScan服务器上下载更新并分发到其它的OfficeScan客户端。在OfficeScan服务器管理控制台上可以配置任何一个OfficeScan客户端成为更新代理，并且配置相应的IP地址段内的OfficeScan客户端都从这个更新代理下载更新。代理更新可以推送程序部件、配置和补丁更新至OfficeScan客户端。运行之前版本的OfficeScan客户端可以从运行Offic