九鼎银行虚拟化系统安全防护软件DeepSecurity部署实施方案.docx

九鼎银行虚拟化系统安全防护软件DeepSecurity 部署实施方案一、 背景描述九鼎银行目前计划采用虚拟桌面办公系统作为员工日常办公应用，以避免用户使用普通PC终端所面临的诸如准入，防泄密，补丁安装等终端安全问题。该系统采用Citrix相关软件作为虚拟化后台服务器虚拟化系统以及前端桌面虚拟化应用。为了保障整个虚拟化平台的安全性，计划部署趋势科技的Deep Security 产品对整套系统进行安全防护。DeepSecurity是一款针对虚拟化平台开发的专用安全防护软件，主要解决传统安全软件在虚拟化平台下存在的扫描风暴，重复安装，资源占用高等问题。其通过在每一台物理机上安装一个安全虚拟机，并通过虚拟化驱动接口，实现对每台虚拟机的安全防护，避免在每台虚拟机上安装安全防护软件，提高了扫描效率，减少了重复安装带来的资源消耗，并简化了管理成本。本文针对虚拟化安全防护产品Deep Security的部署和实施进行相关描述和说明。二、 系统规划此次九鼎银行部署的虚拟化系统网络规划示意图如下所示：本项目共涉及17台物理主机，物理机配置为2C12核，64G内存。其中2台物理机作为DMZ区的物理机平台，另外15台物理机作为内网区物理机平台。所有物理机安装Xen Server以便实现虚拟化。虚拟化安全防护产品DeepSecurity（简称DS）通过在每台物理机上部署安全虚拟机DSVA来实现每台物理机上虚拟机的安全防护功能；DS系统的管理端服务器简称为DSM，计划部署在内网区，采用两台双机的形式提高可用性；计划在DMZ区部署一台更新代理服务器（简称DSR）,该服务器从公网更新病毒特征码以及其他安全组件，然后再为内网区的DSM等进行更新。三、 策略规划DS这款产品包括多个安全模块，其中病毒防护模块和深度安全防护模块计划在本次实施中实行。具体实施原则如下：1、 针对内网区虚拟桌面系统的虚拟机启用病毒防护和深度安全防护模块；2、 针对DMZ区以及内网区服务器虚拟机暂时先启用病毒防护功能。具体策略设置如下：1. 桌面虚拟化策略防病毒策略：桌面虚拟化病毒扫描策略参考下表所示，扫描类型配置选项配置策略备注实时扫描扫描时间文件读写执行是均触发扫描扫描设置Intelliscan 扫描设置例外目录无处理措施第一处理措施清除第二处理措施删除警告发现病毒弹出警告目标Windows客户端（win7）预设扫描扫描目录所有目录扫描设置Intelliscan扫描设置扫描例外无处理措施第一处理措施清除第二处理措施删除警告发现病毒弹出警告预设时间每周五12点开始深度包检测防护策略：深度包检测防护是DS系统的一套系统加固功能，能够对虚拟机的安全状况进行扫描和检查，并提供建议的防护策略。建议先对一台虚拟机客户端模板文件进行扫描，扫描完毕之后，选择显示为风险等级为高的风险，并启用相关防护，在验证相关规则启用完毕不影响正常应用后，以该规则为模板制定针对客户端的深度防御规则，并应用至客户端虚拟机。2. 服务器虚拟化策略防病毒策略：服务器虚拟机目前考虑仅开启病毒防护策略，相比客户端主要却别为不弹出病毒提示，预设扫描设置为凌晨时间，建议将日志类文件和数据库目录设置为例外目录。扫描类型配置选项配置策略备注实时扫描扫描时间文件读写执行是均触发扫描扫描设置Intelliscan 扫描设置例外目录建议将数据库或者日志文件设置为例外处理措施第一处理措施清除第二处理措施隔离警告发现病毒不弹出警告目标Windows服务器端（win2008/2012）预设扫描扫描目录所有目录扫描设置Intelliscan扫描设置扫描例外建议将数据库或者日志文件设置为例外处理措施第一处理措施清除第二处理措施隔离警告发现病毒不弹出警告预设时间每周六凌晨2点开始四、 实施计划及安排DS系统属于安全防护类产品，其部署于虚拟化平台之上，因此其需要具备一定的实施前提，主要有以下几个前提：1、 虚拟化主机安装完毕：此次涉及17台物理主机实施虚拟化，采用Xen Server系统，需要这17台物理主机安装完毕Xen Server，并确认系统可用；2、 Xen Center安装完毕：Xen center用来管理Xen server，为整个虚拟化平台的核心系统，DS系统也是通过该服务器获取虚拟化相关数据。因此Xen Center必须先于DS系统安装完毕，并且将所有Xen Server添加至数据中心；3、 DNS server安装完毕：DS系统需要通过DNS来解析各物理主机的信息，因此整个系统中的DNS服务器需要先搭建出来，并且确认整个解析过程正确，如此才能保证DS系统正确解析资源。4、 DSM虚拟机分配，IP地址分配以及网络开通；5、 DSVAIP地址分配以及网络开通。具备以上条件后，DS系统即可安排进行安装和部署工作。具体安装和部署工作由厂商完成。DS的安装和配置工作初步计划如下表所示:序号工作内容时间规划1DSM安装（双机）1工作日2DSVA部署（17台）DSR搭建1工作日3DS系统策略讨论确认以及单台设备配置验证1工作日4虚拟机应用测试以及策略推广2工作日5DS系统管理简要培训1工作日6系统文档整理及日常运维工作整理2工作日五、 附件-DS系统测试要点1. 安装部署项目测试要点测试结果备注1DSM安装，DSVA部署2组件及特征库更新与部署2. 病毒检测测试项目测试要点测试结果备注1实时扫描测试：在已经开启防护的虚拟机上，释放测试病毒，确认检测结果2手动扫描测试：先在测试虚拟机上多层目录放置测试病毒，然后开启安全防护，在管理端启用手动扫描，确认扫描结果3预设扫描测试：设置虚拟机预设扫描，并事先在虚拟机上放置测试病毒，测试扫描结果4实时资源消耗记录（主要为虚拟机，物理机包括CPU，内存，IO）5手动扫描资源消耗记录（主要为虚拟机，物理机包括CPU，内存，IO）6预设扫描资源消耗记录（主要为虚拟机，物理机包括CPU，内存，IO）3. 深度防御测试项目测试要点测试结果备注1功能激活前扫描:使用DS系统的扫描功能，对虚拟机终端进行扫描，对扫描结果进行记录，确认其存在相关风险以及描述；2激活相关风险防御功能：针对发现的风险，启用相关防御保护功能；之后再次对该虚拟机进行安全扫描，确认相应风险已经处于安全状态。 4. 虚拟机基本应用测试项目测试要点测试