江海证券防病毒解决方案V3.docx

江海证券整体网络病毒防护保障及服务体系建设一期工程解决方案91 目录1.需求分析31.1.江海证券网络系统现状31.2.江海证券潜在病毒威胁分析31.3.病毒对江海证券网络运营威胁62.方案概述72.1.方案特点简述72.2.江海证券整体防毒系统所达到的效果102.3.江海证券整体三期防毒效果规划112.3.1.江海证券一期防毒体系规划112.3.2.江海证券二期防毒体系规划132.3.3.江海证券三期防毒体系规划132.4.一期网络防病毒产品推荐142.5.二期网络防病毒产品推荐162.6.三期网络防病毒产品推荐163.一期整体防病毒体系建议183.1.防毒产品部署情况说明183.2.产品及服务说明203.2.1.趋势科技防毒墙网络版 Office Scan for version203.2.2.趋势科技中央控管产品 Trend Micro Control Manager253.2.3.全面威胁发现系统TDA283.2.4.趋势科技专家服务EOG（Expert On Guard）333.2.5.趋势科技安全健康扫描服务433.2.1.专业防毒服务454.二期整体防病毒体系建议684.1.防毒产品部署情况说明684.2.产品及服务说明684.2.1.趋势科技互联网网关安全设备685.三期整体防病毒体系建议755.1.防毒产品部署情况说明755.2.产品及服务说明755.2.1.趋势科技数据防外泄755.2.2.趋势科技在线杀毒836.附录856.1.趋势科技介绍856.2.趋势科技防病毒系统的整体优势871. 需求分析1.1. 江海证券网络系统现状江海证券包括灾备网和广域网网两部分，会有很多Windows客户端和服务器，Linux服务器，并且在对外提供网络炒股与网银业务。由于江海证券网络结构比较复杂，而且涉及服务器的管理和多部门、多系统之间的协调，如果不加控制病毒可能带来的威胁是相当现实。病毒一旦发作，带来的损失是不可估量的，而在信息被破坏后再杀毒也无法挽回已经造成的损失，所以对于江海证券来说，对计算机病毒的态度将是防毒+杀毒的结合，以防为主。在病毒可能流传的各个渠道中都设有监控，结合定时病毒扫描和自动更新，并与厂商的专家服务和咨询结合，才能保证系统的安全。同时需要结合对应的管理策略，充分发挥趋势产品在病毒防护集中管理、监控中的优势，在江海证券企业网中构建有效的病毒监控体系。1.2. 江海证券潜在病毒威胁分析基于上述病毒入侵途径的分析，评估江海证券目前是否存在以下病毒防护漏洞：n 是否具有良好的防病毒安全策略，且能构成动态自适应防病毒系统构建一个全面有效的网络防病毒系统，应根据特定的网络环境定制病毒防护策略：策略包括预防策略、升级策略、病毒爆发初期管理控制策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系，全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段，能够在病毒爆发生命周期各个阶段对病毒进行有效的控制，将病毒造成的损失降到最低。n 是否部署针对不同操作系统平台及应用防病毒软件在江海证券的网络体系中，各类操作系统平台有大量应用，如Windows/NT/2000/2003系统，Linux等系统，此外还分布有大量应用系统，如邮件系统，数据库系统等。如果没有采取任何病毒防护措施，这样信息交换很难保证该网络系统的安全，会对各类操作系统及关键应用业务产生潜在的安全威胁。n 缺少防病毒中央控管系统由于江海证券网络节点太多，且分布较散，要管理好整个防病毒系统良好运行必须有一个良好的管理控制系统。能通过浏览器方式实现远程异地管理远程防病毒软件，监视该软件的运行状况参数（如防病毒软件病毒库、扫描引擎更新日期，系统配置等）。能实现病毒集中报警，准确定位病毒入侵节点，让管理员对病毒入侵节点做适当处理以防危险扩大。控制中心能与其它网络安全系统实现联动，协同管理工作。n 缺少全网病毒代码统一自动更新功能构建有效病毒防护的关键环节需要保证产品能做到定期升级，网络防病毒软件必须具备主动式、零干预、增量式的自动升级功能，同时具备自动分发功能，能够在单点更新，然后在不需要人为干预的情况下，实现全网所有产品的病毒码更新。n 尚未建立完善的安全制度和制定安全培训机制防病毒工作是一项复杂、长期的任务，需要全体人员配合，提高对病毒的警觉和防范意识。江海证券防病毒系统需要建立良好的安全规范，以制度严格控制不良行为，另外还得提高全体人员的防范病毒的能力。网络安全应急小组至少配备2-3人才能很好的处理网络安全运营的所有事件，应急处理技术和人员管理也需要专业应急小组提供技术培训和长时间的跟踪培训。n 缺乏完善的防病毒信息支援体系防病毒厂商长期提供防病毒信息，新病毒预警信息，安全培训等专业的支持，以提高整个网络使用人员的防病毒素质。江海证券内部尚未建立完善的信息支援系统。终端用户不知道正确安全的使用规则，因为病毒码防御机制，防病毒系统对新病毒/未知病毒攻击还需要厂商快速服务响应支持，难以有技术人员人负责724看着网络，随时应对可能爆发的安全问题，在系统的配置上不懂得如何配置，很可能出现误报的问题，也缺少专业的安全报告表明KPI和ROI情况真正体现IT对公司的价值。n 缺乏对未知威胁和新病毒的信息支援体系在目前的防病毒体系下，新的威胁和病毒种类出现的速度越来越快，如SPYWARE，如钓鱼软件，新的僵尸病毒，新的攻击模式迅速出现，快速传播。如何应对改变的外部世界，提升产品性能，对于未知威胁也保持防毒体系的有效性。n 缺少统一的病毒监控和防护措施目前，江海证券在全国各地有多家营业网点，整个网络计算机数量已经达到千余台，整个网络还没有统一的防病毒软件，这使得整个江海证券网络无法对整体网络进行病毒防护，目前的防护只是分散防护，没有形成对整体病毒威胁的了解，无法制定整体病毒防护策略。n 缺乏完善的防病毒信息支援体系防病毒厂商长期提供防病毒信息，新病毒预警信息，安全培训等专业的支持，以提高整个网络使用人员的防病毒素质。江海证券内部尚未建立完善的信息支援系统。终端用户不知道正确安全的使用规则，因为病毒码防御机制，防病毒系统对新病毒/未知病毒攻击还需要厂商快速服务响应支持，难以有技术人员人负责724看着网络，随时应对可能爆发的安全问题，在系统的配置上不懂得如何配置，很可能出现误报的问题，也缺少专业的安全报告表明KPI和ROI情况真正体现IT对公司的价值。n 缺乏对未知威胁和新病毒的信息支援体系在目前的防病毒体系下，新的威胁和病毒种类出现的速度越来越快，如SPYWARE，如钓鱼软件，新的僵尸病毒，新的攻击模式迅速出现，快速传播。如何应对改变的外部世界，提升产品性能，对于未知威胁也保持防毒体系的有效性。n 用户在线交易系统安全风险江海证券具有用户在线交易系统，为用户进行交易提供了非常便捷的途径，但随着盗号木马和间谍软件的不断增加，给江海证券用户在进行在线交易时带来了极大地安全风险，如用户主机上感染了盗号木马，在用户进行交易平台的登录时，账户信息将被窃取。n 缺少一个专业与及时的安全服务江海证券缺少有个专业的服务来为江海证券提供专业、及时、可靠的服务与培训。通过专业的服务可以帮助江海证券提高对病毒的防护技巧与技能。能及时可靠的对江海现有的网络运行状况进行详细的监控与防范。1.3. 病毒对江海证券网络运营威胁l 内部 局域网中的工作站及文件服务器都会受到病毒的感染，病毒的攻击方式多种多样，有通过局域网传播、传统介质(光盘、软盘等)传播等等，一旦受到感染，便会迅速传播，会直接影响交易系统的稳定运行。l 网络带宽 高速传播和具有网络攻击能力的病毒，能占用有限的网络带宽，导致网络瘫痪。Code Red就是典型导致网络瘫痪的病毒，能导致网络交换机、路由器、服务器严重过载瘫痪。l 间接损失 病毒造成的间接损失可能更大，病毒造成的事故对江海证券的影响是直接导致江海证券信息资产损失，影响整个网络的正常运行。而病毒事故对江海证券造成严重的间接影响，一次病毒引起网络故障会对江海证券的信誉造成严重影响。l IT部门 病毒持续出现，不断地需要IT部门及时地处理，大量影响IT的正常工作时间来杀毒和恢复系统，不仅占用人力，而且在多份公司，多部门管理权限的情况下，难以及时处理，并留下处理不及时的防护隐患。而且在用户安全意识比较低的情况下，网络中的隐患比较多的情况下，IT部门将面对一次次的病毒发作，造成整体防御水平比较低。l 数据的外泄 由于病毒的入侵与破坏很容易被间谍软件和木马等病毒进行恶意的记录敏感信息并且通过一切手段进行发送给远端的计算机，导致用户的信息进行泄漏财产遭受到损失。l 网络的中断 由于蠕虫病毒和未知病毒的爆发导致网络的大面积甚至全不的拥塞与瘫痪。由于网络的瘫痪会严重的影响江海证券的正常的业务运行。由于江海证券是一个实时在线的金融机构，如果网络的瘫痪将会给他们带来不可估量的经济损失。l 间接的病毒传播 由于江海证券要对股民提供对外的网络服务所以也承担着很大的安全风险，如果对外提供服务的服务器中了病毒在间接的传给股民，很容易引起股民的恐慌和江海证券的信誉间接的给江海证券带来的了不可估量的损失。2. 方案概述2.1. 方案特点简述本技术方案是针对江海证券的网络现状，结合趋势科技在防毒领域的长期经验，提供的江海证券病毒防护系统构建建议。主要针对江海证券目前网络现状、病毒主要入侵管道、病毒主要集散地、部署哪些产品及如何部署、如何管理等方面作了说明，我们非常期望通过双方密切的合作，在江海证券中构建一个严密的整体防毒系统。通过趋势科技整体解决方案可实现江海证券网络中的病毒、木马等恶意程序的实施监控和拦截，满足证券业务网高实时性、连续性的要求，通过趋势科技原厂工程师的技术服务为用户提供快速的应急响应及安全咨询服务。完整的信息安全系统应是系统参与者(人)、技术和制度三者的有机结合，我们提供本技术方案，希望在“整体规划、缜密实施”的方针指导下，通过双方的共同努力，在人、技术和制度三个方面为江海证券网络系统提供良好的安全保障。分级管理，集中控制的三层次防病毒体系：趋势科技为江海证券网络设计的防病毒系统共分为三层架构，第一层是防病毒系统主控端，通过趋势科技中央控管产品单一的界面将江海证券网络中的所有防病毒系统进行整合，做到“以点盖面”，一个管理员人员就能够轻松的控制江海证券网络中的整个防病毒系统；第二层是防病毒产品的服务器层，趋势科技针对江海证券网络中所存在的防病毒漏洞通过部署相应的防病毒产品来弥补漏洞；第三层是防病毒系统的客户机防病毒层，趋势科技将提供网络版防病毒产品Office Scan for version为江海证券网络中的所有客户机提供防病毒，防黑客的整体安全防护。三层次管理体系可以避免采用两个层次的防病毒体系所带来的“单点故障”（单点故障：中心服务器一旦出现故障，整个防病毒体系处于瘫痪）。同时，整个防病毒系统中的病毒日志都可以集中收集。防病毒体系的完整性，领先性：采用全方位，多层次防毒的方式，部署多层次病毒防线，具体来说就是在网络层部署趋势的TDA产品对网络当中的所有层次进行全面的侦测，进行新型病毒和未知病毒进行全方面的监测。针对网络当中计算机对整个江海证券网络中的计算机操作系统病毒和间谍软件安全防护，包括服务器和客户机采用趋势科技Office Scan for version。对于整个江海证券整体的防病毒系统的中央控管则可以通过趋势科技中央控管软件TMCM来整体中央控管。独创的企业保护战略：趋势科技结合当今病毒的特性，提出并应用了针对病毒生命周期的新一代的防病毒体系，将其他防病毒厂商只是针对病毒码更新的解决方案扩展到云防御个阶段：病毒发作防御：趋势科技利用独创的病毒爆发防御策略技术（可更新的数据包），在新病毒爆发而新病毒码还没更新的“防病毒真空期”，趋势科技利用病毒爆发防御策略技术，将网络内部所有病毒可能利用的途径全部关闭，例如：自动关闭病毒的利用和攻击的特定端口，并自动的隔离已经感染病毒的PC，关闭共享文件夹等病毒响应：利用趋势科技全球病毒响应系统，同时，结合全球唯一病毒响应承诺即病毒码制作有严格的时间限制“无论什么病毒2小时给出解决方案”。这也是趋势科技对自己服务和病毒响应信心的体现，从而确保用户在更新病毒码时，有时间上的保证评估与恢复：通过趋势科技中央控管安全平台，收集整个网络所有的计算机的防病毒信息，通过周报表，月报表等方式，对整个网络的防病毒工作做一个整体的评估，同时，利用趋势损害和清理服务从后台自动的将被病毒感染的机器清除干净，避免了人为手动清除病毒，从而将网管从大量的手动清除病毒的状态下解脱出来。厂商和代理商全面的产品服务：趋势科技授权服务商和趋势科技，江海证券相关人员组成专门的防病毒以及安全小组，负责对江海证券的防病毒体系部署，防病毒安全规范的制定。趋势科技授权服务商相关人员将对江海证券的防病毒体系定期进行巡检，在江海证券的病毒爆发造成业务影响的紧急时刻，趋势科技授权服务商工程师将至江海证券现场服务。趋势厂商提供的专家管理服务：趋势科技授权服务商和趋势科技，共同为江海证券用户提供客制化，专业化的在线职守的服务。通过专业认证的趋势安全认证专家和在国内组建的“MOC-趋势专家服务中心”，为江海证券提供防毒服务代管，在线值守服务。趋势科技防病毒体系显著优势：l 厂商优势：趋势科技是目前业界唯一仅专注于防病毒和防病毒安全体系建立的厂商，相对其他的防病毒厂商，趋势科技的产品更具有技术的领先性。其设在菲律宾的，业界唯一获得ISO9002认证的TrendLab病毒实验室提供7*24小时、全年无休的专人专业服务，包括从最早的防毒内容及范围的规划、企业防毒网的建立、人员的教育训练、病毒爆发时保证两小时提供解药的最高等级支持等。l 防范和查杀病毒的自动化：针对像江海证券比较大型的网络，单纯的依靠江海证券的各级网络管理人员进行分散的人为管理不可能将防病毒工作做到完美无缺。趋势科技提供高度自动化的管理和病毒防范，查杀技术。n 扫描在线用户是否已经安装趋势客户端软件，并且可以有选择性的强制用户进行安装；n 扫描在线用户是否安装了微软操作系统的补丁，并且可以有选择性的强制用户进行安装；n 中央控管软件定期自动进行全网络的病毒查杀，自动的更新病毒码和扫描引擎，自动的生成全网络的病毒日志，分析报表，并且通过日志查找网络中的病毒源头等。所有这一切都是通过位于中心的中央控管软件自动进行。l 业界独一无二的病毒防范：针对目前病毒出现影响用户病毒库和防病毒代码的出现这一时间段的病毒最可能蔓延和爆发的“真空期”，其中央控管软件能够在防病毒代码出现之前，就自动的关闭客户端可能引起病毒蔓延的端口，并自动的隔离已经感染病毒的PC，文件夹等。第一时间的做到了病毒的防范。本方案详尽描述了采用趋势科技公司的产品为江海证券构建的整体防病毒系统，该方案贯彻了如下整体防毒的基本思想：l 防毒一定要实现全方位、多层次防毒。在江海证券的方案中，我们部署了多层次病毒防线，分别是网络层防毒、协议防毒、应用服务器防毒和客户端防毒，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面防范；l 网络内部行为安全的管理：利用趋势科技网络病毒墙，强制规范网络内部难以管理的终端计算机的行为安全，例如：是否安装防病毒软件，操作系统补丁是否更新到最新等等。确保防病毒工作的一致性。l 没有集中管理的防毒系统是无效的防毒系统。在江海证券的方案中，趋势科技构建了跨子网的集中管理系统，保证了整个防毒产品可以从管理系统中及时得到更新，同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。l 服务是整体防毒系统中极为重要的一环。防病毒系统建立起来之后，能不能对病毒进行有效的防范，实际减轻用户得维护压力，达到购买产品期望的使用效果，与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求厂商要有全球化的防毒体系，与防毒咨询服务提供为基础，另一方面也要求厂商以及本地趋势科技授权服务商能有足够的本地化技术人员作依托，不管是对系统使用中出现的问题，还是防毒系统与服务系统发现的可疑文件，都能进行快速的分析和方案提供。趋势科技作为网络防毒及互联网安全与服务的领导厂商，可以全面满足江海证券多层次的服务要求。2.2. 江海证券整体防毒系统所达到的效果江海证券希望部署趋势科技防病毒整体解决方案后，能够达到以下效果：n 确保江海证券业务的连续性与网络的可用性。n 对所有的客户机采用全方位的防护机制，彻底的拒绝病毒的入侵与破坏，为所有的员工提供一个干净、安全的平台。n 对网内所有的服务器进行全面的部署与防御，彻底斩断来自病毒的威胁。n 所有防毒软件的升级、防毒策略的制定，通过控管系统集中实现，一方面保证所有防毒软件得到即时更新，另一方面保证整个防毒策略的一致。同时生成整个江海证券统一的病毒报告日志，便于系统管理人员即时对病毒发现情况进行掌握，制定更加有效的网络平台安全使用策略，实现真正意义上的集中控管。n 避免未知病毒及最新病毒给江海证券企业带来的影响，通过趋势科技行为检测技术发现未知病毒，并可准确定位病毒爆发源头。n 有效、及时的服务模式，以业界首创的在线值守的服务模式，以厂商的专业人员承担用户方的管理和服务支持，并对用户提供使用中的报告反馈，以主动服务的模式提高用户使用效果。真正达到“三分技术，七分管理”里面的管理完善。n 建立及时、快速的病毒爆发响应机制，能够迅速抑制病毒在网络中传播。n 实现防毒产品的协作处理功能，此方案中的多款趋势产品可实现联动，通过多款产品的协作和联动，将病毒发现、定位、处理、监视有效结合。n 在网上交易系统中部署趋势科技在线扫毒产品，为江海证券的用户提供在线登陆交易系统时的盗号木马及间谍软件的扫描和清除功能。n 对网络当中的位置病毒进行全层次的侦测与预警，并生成详细的解决报表。n 采用多层次的部署与管理方式，可以有调理的、方便的、快捷的、统一的管理网络当中的所有计算机的防毒软件与查看和统计防毒的情况。n 为江海证券提供每四次的上门巡检服务，通过巡检服务来查看最近的一个星期的病毒运行情况与杀毒情况。n 对内部网络当中的FTP、HTTP协议进行有效的过滤同时划分出多个不同的安全域用来降低网络的威胁。n 对内部的数据进行有效的加密和防篡改，保证网络当中的数据的真实性与可靠性。n 对内部的数据进行有效的认认证，确保数据的外泄与流失。n 对外部和内部的临时计算机提供在线扫描。n 提供安全可靠全方位的在健康检查服务。n 提供7*24小时的监控服务与实施响应服务。n 提供定期的用户回放与巡检服务等，详情请查看服务列表。2.3. 江海证券整体三期防毒效果规划2.3.1. 江海证券一期防毒体系规划通过对江海证券一期的网络防毒系统的规划，主要是搭建出整个网络的防毒体系和相应的核心防护层面。能有效的保证核心网络的安全与主体框架的形成，为后期的体系搭建提供了一个对接平台。同时为二期和三期的网络安全防毒部署留下良好的接口。在一期防病毒体系当中能完成如下职能：l 针对核心网络的防护l 搭建多层次的网络防毒体系l 根据网络改造制定详细的网络防毒体系方案l 对整个江海证券的所有计算机进行全方面的防御与保护l 对网络当中的未知病毒进行实时的监控与预警l 全方面的预警整个网络同时生成想详细的检测报告与解决方案l 提供安全可靠的全方位的在线健康检查l 提供原厂的专家服务进行实时的监控与7*24小时的监控l 提供全方位的防毒服务，具体内容请查看服务部分。 一期整体防毒体系安全设备如下：l 全面威胁发现系统TDA l 趋势科技防毒墙网络版 Office Scan l 趋势科技中央控管产品 Trend Micro Control Managerl 趋势科技专家服务EOG（Expert On Guard）l 趋势科技安全健康检查l 专业防毒服务江海证券整体防毒体系（一期）软件拓扑图江海证券整体防毒体系（一期）硬件拓扑图2.3.2. 江海证券二期防毒体系规划江海证券二期网络病毒防护体系对网络系对网络的中间区域进行正整体的防范和构建，有效的保障江海的中间区域的病毒防范，并且与中心的防毒系统进行有效的对接和协同防御保证网络系统防御与统一防御策略。做到网络的控制防御一体化，性能提高化，安全协同化。在二期防病毒体系当中能完成如下职能：l 对核心网络进行协议防护，针对FTP与HTTP进行详细的病毒过滤l 在一期的基础上划分出多个不同的安全域有效的降低了网络的风险二期整体防毒体系安全设备如下：l 趋势科技互联网网关安全设备：InterScan Web Security Appliance IWSA 2500l 趋势科技互联网网关安全设备：InterScan Web Security Appliance IWSA 5000江海证券整体防毒体系（二期）拓扑图2.3.3. 江海证券三期防毒体系规划江海证券三期网络规划当中主要的防范措施与手段是对外部网络的整体规范与边界防护，把整个体系的边界安全系统进行整体加固。在二期防病毒体系当中能完成如下职能：l 对江海证券内部的所有敏感数据进行安全加密与防篡改l 防止数据的外泄，有效的保护内部重要的数据l 对外部访问江海证券网络的股民提供在线杀毒服务l 对内部临时用户提供在杀毒服务保障恶搞接入网络的计算机的安全性二期整体防毒体系安全设备如下：l 趋势科技数据防外泄：Trend Micro Leak Proofl 趋势科技互在线杀毒江海证券整体防毒体系（三期）拓扑图2.4. 一期网络防病毒产品推荐基于上述原则及对该领域技术发展前景、产品的性价比等综合因素，趋势科技建议江海证券计算机网络采用如下产品配置：l 趋势科技中央控管系统：Trend Micro Control Manager TMCMl 趋势科技全面威胁发现系统：Total Discovery Appliance TDAl 趋势科技防毒墙网络版：Office Scan for versionl 趋势科技服务包括：n 趋势科技专家值守服务 EOG：Expert on Guardn AHC安全健康检查n 专业防病毒服务产品简要说明:产品功能及用途产品名称功能和部署建议未知病毒发现TDAn 在网络探测恶意威胁 探测新型和已知恶意威胁发现恶意威胁的信息窃取探测网络和电子邮件攻击网络钓鱼和网络漏洞利用n 探测网络中断行为中断性应用P2P、即时信息等中断性服务SMTP中继、流氓DNS等n 网络内容检测技术2-7层协议检测全面的应用支持（超过120种应用） 可疑活动关联性文档内容扫描n 全面发现 Secure Cloud服务与威胁情报网络联手威胁管理和汇报部署：网络旁路监听桌面机的病毒防护与服务器病毒防护Office Scan for versionOffice scan for version服务器端安装在江海证券的防病毒专用服务器上，Office scan for version安装在客户机与服务器上,透过Web接口的管理主控台，管理人员可以从网络上的任何地点，来管理和设置整个网络客户机防毒策略，并且也能迅速响应各种紧急事件。对全网防病毒软件实现中央控管Trend Micro ControlManager基于NT/2000操作系统的专用防毒服务器或其它空闲服务器,本服务器建议放置在江海证券信息中心。统一管理所有趋势产品，实现对所有防毒软件的集中管理、集中设置、集中维护；在江海证券搭建一个三层的病毒防护、管理构架；集成临时策略功能，有效阻止爆发初期，病毒在内网的感染和扩散；形成统一报告，提供分析内网漏洞的有效数据。提供漏洞评估工具，为整个网络内部的计算机做一次整体的扫描，结合趋势科技提供趋势科技损害清除服务，从后台自动的将被病毒感染的机器清除干净，避免了人为手动清除病毒，从而将网管从大量的手动清除病毒的状态下解脱出来。提供病毒爆发防御服务，将网络内部所有病毒可能利用的途径全部关闭，例如：自动关闭病毒的利用和攻击的特定端口，并自动的隔离已经感染病毒的PC，关闭共享文件夹等2.5. 二期网络防病毒产品推荐基于一期防毒网络的搭建和实施完毕，趋势科技根据用户的整体防毒网络的构架，推荐二期的网络防毒产品如下：趋势公司 Trend Micro Antivirus Total Solution包括：l 趋势科技互联网网关安全设备：InterScan Web Security Appliance IWSA 2500l 趋势科技互联网网关安全设备：InterScan Web Security Appliance IWSA 5000产品功能及用途产品名称功能和部署建议趋势科技网关Http/Ftp安全设备IWSA趋势科技IWSA-2500是一款高效的企业级HTTP/FTP应用防护设备，可协助企业阻止各种通过Web浏览或FTP下载导致的病毒感染,URL Filter,防间谍软件等多种安全防护2.6. 三期网络防病毒产品推荐在部署了江海证券网络防病毒方案的一期与二期后，为了完善江海证券的整个网络防病毒体系，趋势科技为江海证券提供了如下安全防毒产品部署：趋势公司 Trend Micro Antivirus Total Solution包括：l 趋势科技数据防外泄：Trend Micro Leak Proofl 趋势科技在线杀毒：Trend Micro online Scan产品功能及用途产品名称功能和部署建议防止内部的重要文件的外泄DLPLeakProof具备以下主要特性，可以为企业提供敏感数据和知识产权的有效保护：敏感信息检测灵活、精细的安全策略、端点拓扑发现和管理、设备和应用程序控制、监测和报表、法规遵从模板、管理方便性和可扩展性提供在线杀毒服务在线杀毒提供在线杀毒与清除病毒服务3. 一期整体防病毒体系建议3.1. 防毒产品部署情况说明n Office Scan for vesion在江海证券整个网络中的所有主机部署Office Scan for vesion客户端，在每个营业部内部署一台Office Scan服务端，各个营业部可自行对营业部的Office Scan for vesion客户端进行管理和日志分析等工作；在总部机房部署一台Office Scan服务器，用于对总部机房和IDC机房的Office Scan for version客户端进行管理。n 总部OSCE服务器配置建议此服务器只作为OSCE服务器使用，以下是此服务器建议配置：CPU1X四核2.0GHZ或2X双核2.0GHZ内存2GB硬盘大于100G网卡使用 100Mbps、32 位适配器。最好是设计有总线管理、直接内存访问（DMA）的适配器（DMA）的适配器操作系统要求 Microsoft Windows 2000 Server or Advanced Server with Service Pack 3 or 4 Microsoft Windows Server 2003 32-bit or 64-bit Edition or Service Pack 1 Microsoft Windows Server 2003 R2 32-bit or 64-bit Edition Microsoft Windows Storage Server 2003 32-bit or 64-bit Editionn 营业所OSCE服务器配置营业所由于客户机数量不多，可将OSCE服务器装在现有应用服务器上，安装前请确认以下服务器信息：剩余内存大于512M剩余磁盘空间大于1G操作系统要求 Microsoft Windows 2000 Server or Advanced Server with Service Pack 3 or 4 Microsoft Windows Server 2003 32-bit or 64-bit Edition or Service Pack 1 Microsoft Windows Server 2003 R2 32-bit or 64-bit Edition Microsoft Windows Storage Server 2003 32-bit or 64-bit Edition Microsoft Cluster Server 2000 or 2003n TMCM在总部机房部署一台TMCM服务器用于对整个网络中的Office Scan服务器及客户端进行管理、策略下发和病毒码升级。此服务器建议只用做TMCM服务器使用，以下是服务器建议配置：CPU1X四核2.0GHZ或2X双核2.0GHZ内存4GB硬盘大于150G网卡使用 100Mbps、32 位适配器。最好是设计有总线管理、直接内存访问（DMA）的适配器（DMA）的适配器操作系统要求 Microsoft Windows 2000 Server SP 3/SP 4 Windows 2000 Advanced Server SP 3/SP 4 Windows 2003 Server Standard Edition SP 1/SP 2 不含 Patch/SP 1 的 Windows 2003 Server Standard Edition R2 Windows 2003 Server Enterprise Edition SP 1/SP 2 不含 Patch/SP 1 的 Windows 2003 Server Enterprise Edition R2 Windows 2003 Standard/Enterprise 64 位体系结构n TDA通过分别在江海证券6509和3750的核心交换上部署4台TDA，用于发现网络中的僵尸病毒及未知病毒，监控并发现整个网络的病毒风险。n EOG使用TMCM接入到趋势科技监控中心，由趋势科技监控中心的工程师负责7 X 24小时监控OSCE日志情况，如发现有病毒爆发迹象将主动通知用户进行处理。n 安全健康检查服务提供专业的安全评估问卷和分析，以及行业对比评估，帮助标定企业目前的安全层级，为设定进一步的改进目标和KPI提供依据。整体部署情况如下图所示：3.2. 产品及服务说明3.2.1. 趋势科技防毒墙网络版 Office Scan for version趋势科技的Office Scan for version理,配置与部署的功能集中到服务器端（Office scan服务器端）。透过Office scan for version理主控台，管理人员可以从网络上的任何地点，来管理和设置全公司的防毒策略（每一台计算机都安装了Office scan for version也能迅速响应各种紧急事件。竞争优势：n 综合性的防护能力：免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，同时具备防火墙和入侵检测的能力；n 支持防护策略的自动/手动配置：有效控制病毒扩散（通过主控服务器，在设定的时间段内，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改）；n 集成网络版防火墙：通过Office scan for version每个计算上安装的网络版网络墙；n 防火墙策略应用程序的备用服务器：客户计算机可能无法连接到防毒墙网络版服务器，但仍可连接到您指定的备用防毒墙网络版服务器上，以提供防火墙策略更新。n 集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；n 防御间谍软件和其他类型的灰色软件：防毒墙网络版可以帮助保护您的计算机远离被趋势科技视为灰色软件的各种威胁和损害，包括众所周知的类型 间谍软件；n 临界间谍软件/灰色软件例外列表：防毒墙网络版可能将特定类型的文件识别为灰色软件，尽管您计算机上合法的应用程序可能需要使用这些文件。为防止防毒墙网络版将这些文件识别为灰色软件，可以配置应用于所有扫描类型的临界间谍软件/灰色软件例外列表。n 支持不同处理器体系结构上的 Windows 服务器平台：全面支持IPF和IA64架构的安腾处理器，以及EM64T和AMD64架构的64-bit处理器；n 实时更新病毒日志：方便而简单的配置管理与实时报告；n 支持 Cisco NAC 2.0 版：随着 Cisco Trust Agent 的升级，防毒墙网络版客户机可以继续将防病毒信息发送到 Cisco NAC 2.0 版系统中的访问控制服务器（4.0 版）和策略服务器。并且同时支持Cisco NAC 1.0 版；n 自动更新：先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动；支持客户端自行上互联网更新防毒组件；n 灵活的更新代理设置：通过设定网络中任意计算机作为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效；n 检测为安装防病毒软件的计算机：支持网段扫描侦测尚未安装Office Scan的用户机,杜绝防毒漏洞；n 强大的数据库管理：支持将纪录数据导入SQL服务器方便数据分析与管理；n 灵活的客户端迁移：支持在客户端可以在不同的Office Scan服务器中转移,不需重新安装；n 定位病毒源头病毒：客户机的排行榜功能，帮助网管了解毒源、善后处理、报告领导；n POP3病毒邮件的查杀；n 支持多种Web Server: IIS 和 Apache;部署建议：Office scan可以针对Windows 2000/XP/2003全系列防范病毒。趋势科技网络版防病毒软件的组织架构为：通过一台Office scan服务器去远程的控制和管理局域网内部，甚至广域网中Office scan客户端。Office scan客户端可以通过多种方式安装到计算机上：l 通过网页远程自动下载安装；l 通过制作Office scan客户端安装包安装；l 通过共享文件夹方式安装l 通过集成Windows域自动安装客户端l 通过微软SMS安装；如此部署OfficeScan8.0就可以为江海证券的网络内部计算机提供综合性的安全防护，免受病毒，特洛伊，蠕虫和现在的间谍软件的攻击，以及具备防火墙和入侵检测的能力。从根本上对应用层的病毒文件以及网络层的病毒数据包进行防护，同时防护各种对于计算机的攻击.产品部署架构：针对江海证券目前的网络架构，建议在江海证券总部及各营业网点增加一台专用的防病毒服务器，将Office Scan服务器端软件安装在该专用的防病毒服务器。网络中的计算机可以通过上述方式安装客户机防病毒软件。如上图所示：趋势科技建议江海证券采用上述结构来部署Office scan，通过该种方式部署Office scan，江海证券网络中计算机防病毒体系达到如下效果:1. 一体化的管理机制：Office scan服务器统一控管整个网络的Office scan客户端，包括，防病毒策略的设定和配置，日志的收集，病毒码，扫描引擎等组件的更新；以点盖面大大的简化整个防病毒系统，防病毒管理人员只需利用有IE浏览器的计算机就可以对Office scan服务器进行操作，移动的进行远程Web管理。从而确保江海证券能够用最少的人力资源，维护好整个网络的计算机防病毒；2. 分组管理的机制：根据江海证券内部不同的部门在Office scan中设置不同的管理组，便于江海证券防病毒管理员针对不同的组设定不同的策略，开放不同的权限；3. 集成病毒专杀工具，清除病毒更彻底：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新；完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；此项技术能够让江海证券的防病毒管理人员从服务器端主动触发整个网络所有客户机的专杀工具去扫描本机内存和注册表，清除内存中的病毒进程和恢复被病毒修改的注册表键值，从而彻底摆脱传统的清除病毒的工作：针对不同病毒，下载不同的专杀工具，到每一台计算机前，手动执行不同种类的专杀工具，反复重起计算机；同时，客户机也可以手动点击按钮，触发专杀工具清除病毒；4. 病毒爆发预防策略：Office scan应用该策略能够有选择性的关闭某些病毒攻击网络，服务器和客户机的端口，或共享文件夹等，从而，阻挡大量的蠕虫病毒，在网络中大面积爆发。从而，保护用户网络中的所有计算机不受到病毒攻击。当江海证券网络内部不幸遭遇到新病毒攻击而病毒码还未更新时，利用病毒爆发预防策略能够将新病毒所利用的网络漏洞和系统漏洞完全堵死，让还没有进来的病毒进不进来，让已经进来的病毒无法扩散；5. 集成网络版防火墙和IDS：Office scan网络版防火墙和通过在客户机和网络之间创建屏障，来帮助保护Office scan网络版客户机免受黑客和网络病毒的侵扰，并且可以在客户端无法连接Office scan主服务器时，通过Office scan用服务器下发防火墙策略。同时，IDS确保客户机不受到内部或外部的入侵攻击，确保江海证券内部计算机的系统安全和资料安全；6. 抵御间谍软件和其他类型灰件的侵害：防毒墙网络版下载间谍软件/灰件特征码文件以保护江海证券的计算机免受病毒之外各种潜在威胁（包括广告软件和间谍软件）的侵害。防毒墙网络版可以扫描和清除间谍软件和其他灰件，就像可以扫描和清除客户计算机上的病毒一样。同时提供了临界间谍软件/灰色软件例外列表和普通间谍软件/灰色软件例外列表，避免防毒墙网络版将某些您需要使用的软件被识别为灰色软件。7. 病毒爆发监控：“病毒爆发监控”可以用来监控网络上有感染迹象的可疑活动。通过设定病毒爆发监控的敏感度，如：设定的时间段内，网络上的并发会话数量超过设定的值，这样在网络内部出现病毒爆发之前，提前向江海证券防病毒管理人员预警，防患于未然；8. 扫描有防病毒漏洞的计算机：通过趋势科技Office scan自带的TMVS客户机漏洞扫描工具，可以将江海证券网络中所有客户机做一个整体的扫描，将没有安装Office scan客户端软件的计算机的IP地址，计算机名字，操作系统等详细的信息生成报表，便于江海证券防病毒管理人员及时定位网络的未安装Office scan的计算机；9. 并入趋势科技整体防病毒体系：Office scan可直接被整合在TMCM的管理体系中；3.2.2. 趋势科技中央控管产品 Trend Micro Control Manager趋势科技TMCM是一个管理控制台，为部署在网络中的趋势科技防毒和内容安全产品和服务提供集中的管理和保证它们在整个企业范围内的协调运行。趋势科技TMCM是企业保护战略(EPS)的一个核心的组成部分，它可帮助IT管理人员在他们的企业内部实施一致的安全策略，并对病毒爆发周期各个阶段做出快速响应 - 对于那些能够出现在网络多个区域的混合型病毒而言，这是对抗它们的一个必要条件。趋势科技TMCM可通过一个控制台来管理防毒和内容安全产品和服务，可帮助IT管理人员们获得有关病毒事件或异常活动的准确一致的信息，并创建用于分析和监控的图形报告。它可将它所支持的防毒和内容安全产品分成组以利于远程管理；可对各组群中的服务器进行同时配置或通过复制依次配置。通过趋势科技TMCM可将产品信息和任务功能进行映射，使管理员可以快速查看并对新安装的产品进行控制。系统需求：n TMCM 服务器：NT Server 4.0/2000/2003 server上，Microsoft IIS 5.0 或更高版本，50MB 硬盘空间来储存软件程序，200MB 硬盘空间来储存纪录文件。 n TMCM 代理程序(Agent)：NT Workstation 或 Server 3.51 或更新版本，20MB 硬盘空间来储存软件程序。 n 浏览器：Netscape Navigator 3.0 或更新版本， 或者用 Microsoft Internet Explorer 3.02 或更新版本。 n 其它： TCP/IP 网络联机。通过呼叫器(Pager)来做病毒扩散警报通知，还需要有调制解调器联机。n 基于内部局域网或广域网（带宽大于128K即可）n 功能描述：n 通过TMCM可实现对防毒软件的病毒代码、扫描引擎、升级程序、预防策略、垃圾邮件列表的集中分发、管理。n 可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控。并且由于TMCM采用Web管理方式，使得管理人员可以通过任何一台联网的计算机方便地访问TMCM，减轻了管理人员的负担。n 可实现对所有防毒软件的集中管理、集中设置、集中维护。管理人员可以通过TMCM的统一界面管理防毒软件。n 可集中反映整个系统内的病毒入侵情况,设置各种消息通报方式，对病毒的爆发进行报警。n 漏洞扫描和防御：趋势科技利用自身产品帮助用户找出网络中存在微软安全漏洞的计算机，同时区分漏洞的轻重缓急，隔离具有系统漏洞的计算机，强制打补丁，以次确保当病毒来临时，不会因为系统的漏洞造成网络的受到病毒攻击而瘫痪TMCM具备灾后集中清除及漏洞分析功能，不仅可以进行整个网络的集中病毒扫描工作，还可以针对系统漏洞提供报告，使