虚拟化安全解决方案

1、-. z.- - - z -*虚拟化桌面平安解决方案趋势科技中国2013年5月目录 TOC o 1-3 h z u HYPERLINK l _Toc357575573第1章.概述 PAGEREF _Toc357575573 h 4HYPERLINK l _Toc3575755741.1 *虚拟化桌面概述 PAGEREF _Toc357575574 h 4HYPERLINK l _Toc3575755751.2 *虚拟化桌面平安概述传统平安解决方案 PAGEREF _Toc357575575 h 5HYPERLINK l _Toc357575576第2章.需求分析 PAGEREF _Toc357

2、575576 h 5HYPERLINK l _Toc3575755772.1 传统平安在虚拟化桌面中应用面临威胁分析 PAGEREF _Toc357575577 h 5HYPERLINK l _Toc3575755782.1.1 虚拟机之间的相互攻击 PAGEREF _Toc357575578 h 5HYPERLINK l _Toc3575755792.1.2 随时启动的防护间歇 PAGEREF _Toc357575579 h 6HYPERLINK l _Toc3575755802.1.3 管理本钱上升 PAGEREF _Toc357575580 h 6HYPERLINK l _Toc3575

3、755812.1.4 资源争夺 PAGEREF _Toc357575581 h 7HYPERLINK l _Toc3575755822.2 无代理虚拟化桌面平安防护的必要性 PAGEREF _Toc357575582 h 8HYPERLINK l _Toc357575583第3章.趋势科技虚拟化桌面平安解决方案 PAGEREF _Toc357575583 h 8HYPERLINK l _Toc3575755843.1 平安虚拟机技术及工作原理 PAGEREF _Toc357575584 h 8HYPERLINK l _Toc3575755853.2 与传统平安方案差异 PAGEREF _Toc

4、357575585 h 10HYPERLINK l _Toc3575755863.3 系统架构 PAGEREF _Toc357575586 h 11HYPERLINK l _Toc3575755873.4产品部署和集成 PAGEREF _Toc357575587 h 12HYPERLINK l _Toc3575755883.5 产品功能 PAGEREF _Toc357575588 h 13HYPERLINK l _Toc3575755893.5.1 恶意软件防护 PAGEREF _Toc357575589 h 14HYPERLINK l _Toc3575755903.5.2 深度数据包检查 (

5、DPI) 引擎 PAGEREF _Toc357575590 h 14HYPERLINK l _Toc3575755913.5.3 入侵检测和防御 (IDS/IPS) PAGEREF _Toc357575591 h 14HYPERLINK l _Toc3575755923.5.4 WEB 应用程序平安 PAGEREF _Toc357575592 h 15HYPERLINK l _Toc3575755933.5.5 应用程序控制PAGEREF _Toc357575593 h 15HYPERLINK l _Toc3575755943.5.6 防火墙 PAGEREF _Toc357575594 h 1

6、5HYPERLINK l _Toc3575755953.5.7 完整性监控 PAGEREF _Toc357575595 h 16HYPERLINK l _Toc3575755963.6 系统要求 PAGEREF _Toc357575596 h17HYPERLINK l _Toc357575597第4章.工程实施方案 PAGEREF _Toc357575597 h 18HYPERLINK l _Toc3575755984.1 工程总体规划 PAGEREF _Toc357575598 h 18HYPERLINK l _Toc3575755994.2 实施组织架构 PAGEREF _Toc35757

7、5599 h 18HYPERLINK l _Toc3575756004.3 工程实施容 PAGEREF _Toc357575600 h 19HYPERLINK l _Toc3575756014.3.1 工程准备 PAGEREF _Toc357575601 h 19HYPERLINK l _Toc3575756024.3.2 工程调研 PAGEREF _Toc357575602 h 20HYPERLINK l _Toc3575756034.3.3 工程实施 PAGEREF _Toc357575603 h 20HYPERLINK l _Toc3575756044.3.4 工程验收 PAGEREF

8、_Toc357575604 h 21HYPERLINK l _Toc3575756054.4 工程实施方案 PAGEREF _Toc357575605 h 21HYPERLINK l _Toc3575756064.4.1 工程实施分工 PAGEREF _Toc357575606 h 21HYPERLINK l _Toc3575756074.4.2 工程实施方案 PAGEREF _Toc357575607 h 22HYPERLINK l _Toc357575608第5章.售后效劳 PAGEREF _Toc357575608 h 22HYPERLINK l _Toc357575609第6章.总结

9、PAGEREF _Toc357575609 h 23HYPERLINK l _Toc3575756106.1预防数据泄露和业务中断 PAGEREF _Toc357575610 h 24HYPERLINK l _Toc3575756116.2 实现合规性 PAGEREF _Toc357575611 h 24HYPERLINK l _Toc3575756126.3 支持降低运营本钱 PAGEREF _Toc357575612 h 24HYPERLINK l _Toc3575756136.4全面易管理的平安性 PAGEREF _Toc357575613 h 24HYPERLINK l _Toc357

10、5756146.5 虚拟补丁 PAGEREF _Toc357575614 h 25HYPERLINK l _Toc3575756156.6 合规性要求 PAGEREF _Toc357575615 h 25HYPERLINK l _Toc3575756166.7 Web应用防护 PAGEREF _Toc357575616 h 25HYPERLINK l _Toc357575617附录一成功案例 PAGEREF _Toc357575617 h 26文档信息：文档属性容工程/任务名称工程/任务编号文档名称*虚拟化桌面平安解决方案文档版本号V1文档状态制作人罗海龙级别商密管理人罗海龙制作日期2013年

11、5月28日复审人复审日期扩散围部使用版本记录：版本编号版本日期创立者/修改者说明文档说明：概述1.1 *虚拟化桌面概述计算机的诞生改变了我们的生活，它正以一种前所未有的方式影响着我们的生活和工作。随着技术的开展，我们的生活已经无法脱离计算机了，但是传统计算机桌面的使用有着诸多的限制，这些限制给我们带来了不便。首先，随着客户端设备的不断增加，客户端系统环境变得复杂，造成管理困难，维护本钱升高；客户端操作系统、应用客户端需要不断升级、不停打补丁；客户端需防病毒，防恶意软件，防止木马程序将敏感数据窃取，但仍可能百密一疏；客户端的移动性与分布性，造成无法共享资源，利用率低；且随着技术的开展，硬件的更新

12、换代需要巨大的投入等等，这些都造成了没有一种随时，随地，任何设备都可以平安地访问的桌面环境。同时，集中监控、集中维护、集中管理已经成为中国移动网络运行维护工作的一个重要工作模式。桌面云解决方案是基于云计算架构的桌面交付解决方案，利用虚拟化技术，通过在云计算效劳器集群上部署虚拟桌面交付系统。采用桌面云解决方案可以在数据中心集中化管理桌面，轻松实现平安防护及备份，减少总体拥有本钱、加强信息平安、降低维护管理费用，同时响应国家节能减排的号召。在此情况下，自2010年开场，中国移动*公司为提升桌面终端整体管理水平，对网管维护终端、IT办公、营业厅终端等进展了集中规划、集中管理和集中维护，进展了终端虚拟

13、化一期工程的建立。一期工程包括了IT系统平台单项工程和网管系统平台单项工程两局部，分别针IT终端和网管终端进展了桌面云系统的建立，其中IT系统平台满足了IT系统300个营业终端和100个操作维护终端的接入需求；网管系统平台满足了空港网管监控大厅270个监控终端的接入需求。在中国移动集中化建立和云计算迅猛开展的大背景下，综合考虑瘦客户端相对传统终端的优势，集团公司下发了关于中国移动瘦客户机逐步全面替代传统PC的指导意见，明确要求：对于新增固定终端传统PC的需求，原则上均应采用瘦客户机方案其中，基于TDM传统呼叫中心应停顿扩容，呼叫中心的扩容需求应采用基于IP的NGCC呼叫中心+瘦客户机方案)；对

14、于现有传统PC应依据使用寿命，逐步采用瘦客户机进展自然替换。1.2 *虚拟化桌面平安概述传统平安解决方案目前，*对于虚拟化桌面的平安防护采用传统方式，也就是在每台虚拟桌面的操作系统中安装防病毒软件、在网络层部署防火墙功能、通过补丁分发系统进展补丁修补等。这种解决方案没有考虑到虚拟化技术的特殊性，存在很多的平安风险，具体分析见下文。需求分析2.1 传统平安在虚拟化桌面中应用面临威胁分析虚拟化桌面根底架构除了具有传统物理效劳器的风险之外，同时也会带来其虚拟系统自身的平安问题。新平安威胁的出现自然就需要新方法来处理。通过前期调研，总结了目前*虚拟化环境存在的几点平安隐患。 2.1.1虚拟机之间的相互

15、攻击虚拟机之间的互相攻击由于目前*仍对虚拟化环境使用传统的防护模式，导致主要的防护边界还是位于物理主机的边缘，从而无视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的平安隐患。2.1.2 随时启动的防护间歇随时启动的防护间歇由于*目前大量使用Vmware的虚拟化桌面技术，让*的运维效劳具备更高的灵活性和负载均衡。但同时，这些随时由于资源动态调整关闭或开启虚拟时机导致防护间歇问题。如，*台一直处于关闭状态的虚拟机在业务需要时会自动启动，成为后台效劳器组的一局部，但在这台虚拟机启动时，其包括防病毒在的所有平安状态都较其他一直在线运行的效劳器处于滞后和脱节的地位。2.1.3 管理本钱上升系统平安

16、补丁安装目前*虚拟化环境仍会定期采用传统方式对阶段性发布的系统补丁进展测试和手工安装。虽然虚拟化桌面本身有一定状态恢复的功能机制。但此种做法仍有一定平安风险。1.无法确保系统在测试后发生的变化是否会因为安装补丁导致异常。2.集中的安装系统补丁，前中后期需要大量人力，物力和技术支撑，部署本钱较大。2.1.4 资源争夺防病毒软件对资源的占用冲突导致AVAnti-Virus风暴*目前在虚拟化环境中对于虚拟化桌面仍使用每台虚拟操作系统安装SEP防病毒客户端的方式进展病毒防护。在防护效果上可以到达平安标准，但如从资源占用方面考虑存在一定平安风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗，并

17、且当发生客户端同时扫描和同时更新时，资源消耗的问题会愈创造显。严重时可能导致ES*效劳器宕机。通过以上的分析是我们了解到虽然传统平安设备可以物理网络层和操作系统提供平安防护，但是虚拟环境中新的平安威胁，例如：虚拟主机之间通讯的访问控制问题，病毒通过虚拟交换机传播问题等，传统的平安设备无法提供相关的防护，趋势科技提供创新的平安技术为虚拟环境提供全面的保护。2.2 无代理虚拟化桌面平安防护的必要性*的虚拟化桌面一直承载着最为重要的数据，因此，很容易引起外来入侵者的窥探，遭入侵、中病毒、抢权限，各种威胁都会抓住一切时机造访效劳器系统。*针以前针对桌面端采用集中管理、集中防护的措施，通过传统平安技术在

18、网络侧建立平安防线，如防火墙技术、防病毒技术、入侵检测技术各种平安产品开场被一个一个地参加到平安防线中来。目前*为了降低硬件采购本钱，提高效劳器资源的利用率，引进虚拟化桌面技术对现有应用效劳器的计算资源进展整合，使现有建立的平安防线面临挑战！效劳器虚拟化后不但面临着传统物理实机的各种平安问题，同时由于虚拟系统之间的数据交换，以及共享的计算资源池，导致传统的平安技术手段很难针对虚拟系统提供防护，另外使用传统平安技术的使用还带来更大计算资源的消耗和管理运维，导致与引入效劳器虚拟化的初衷相违背。通过上一章节的威胁分析发现，为了降低效劳器和虚拟效劳器的平安威胁必须采用创新的平安技术手段为效劳器提供平安

19、加固。因为传统平安技术应用到虚拟效劳器防护存在短板效应：任何一点疏忽，都会让*整个信息系统的平安防线功亏一篑，带来经济和企业名誉的损失。更何况，这些被广泛传统平安产品虽然可以在物理网络层很好地保护效劳器系统，但它们终究无法应对虚拟系统面临新的平安威胁，所以需要采用创新的平安技术才能完善*信息平安防护体系的根底架构，同时具备对最新平安威胁的抵抗力，降低平安威胁出现到可以真正进展防的时间差，提高效劳器的平安性和抗攻击能力，从而提供业务系统应用的可用性。 趋势科技虚拟化桌面平安解决方案3.1平安虚拟机技术及工作原理VMware VShield Endpoint 程序使我们能够部署专用平安虚拟机以及经

20、特别授权访问管理程序的API。这使得创立独特的平安控制虚拟机成为可能，如在Gartner的报告中所述，平安虚拟机技术在虚拟化的世界中从根本上改变平安和管理的概念。这种平安虚拟机是一种在虚拟环境中实现平安控制的新型方法。平安虚拟机利用API来访问关于每一虚拟机的特权状态信息，包括其存、状态和网络通信流量等。因为在不更改虚拟网络配置的情况下，效劳器部的全部网络通信流量是可见的。 包括防病毒、防火墙、IDS/IPS 和系统完整性监控等在的平安功能均可以应用于平安虚拟机中。Deep Security通过vShield Endpoint提供的实时扫描、预设扫描、去除修复等数据接口，对虚拟机中的数据进展病

21、毒代码的扫描和判断，并结合防火墙、IDS策略实时对进出虚拟机的数据进展平安过滤；在管理上需要vShield Manager和vCenter的支持；3.2 与传统平安方案差异传统环境下的网络平安拓扑图，在网络出口处部署有防火墙，防毒墙，上网行为管理等平安设备，用来隔离外网，过滤来自外网的恶意程序，规网用户的上网行为，同时在DMZ区使用防火墙隔离，部署IDS监控对效劳器的非法访问行为，在效劳器上部署防病毒软件，保护核心效劳器的平安运行。虚拟化在资源利用率、高可用性、高扩展性上有着诸多优势，实现虚拟化后，直观的来看，是将多台效劳器集中到了一台主机，这一台主机同时运行了多个操作系统，提供不同的应用和效

22、劳；系统管理员根据需要可以非常方便的添加新的应用效劳器；根据传统的平安设计模型，需要在每个操作系统中安装防毒软件，在网络层部署入防火墙、侵检测或入侵防御系统，但是在这种在传统方式下合理的设计，在虚拟环境下会面临一些新的问题：未激活的虚拟机，物理机下关闭计算机后CPU停顿运行，网络关闭，理论上不会有数据的交互，操作系统也就不存在被感染的可能；但是在虚拟环境下，CPU，网络，底层的ES*都在工作中，关闭的操作系统类似于物理环境下的一个应用程序，尽管这个应用程序没有运行，但仍然有被病毒感染的可能；资源的冲突，防毒软件在启用预设扫描后，当到了指定时间，会同时进展文件扫描的动作，这个时候防毒软件对CPU

23、和存的占用急剧增加，当系统资源被耗尽的时候就会导致效劳器down机；管理复杂度，由于虚拟化的便利性，系统管理员可以非常方便的根据模板生成新的系统，这些新系统要打补丁，进展病毒代码的更新，也会增加平安管理的复杂度；虚拟化环境的动态特性面临入侵检测/防御系统IDS/IPS的新挑战。基于网络的IDS/IPS，也无法监测到同一台ES*效劳器上的虚拟机之间的通讯；由于虚拟机能够迅速地恢复到之前的状态，利用VMware VMotion易于在物理效劳器之间移动，所以难以获得并维持整体一致的平安性。所以虚拟化已经使网络边界去除的挑战更加明显，虚拟化对于平安的需求也更加迫切。3.3 系统架构Deep Secur

24、ity产品由三局部组成，管理控制平台以下简称DSM；平安虚拟机以下简称DSVA；平安代理程序以下简称DSA。趋势科技Deep Security平安防护系统管理控制中心DSM，是管理员用来配置及管理平安策略的集中式管理组件，所有的DSVA及DSA都会注册到DSM，承受统一的管理。趋势科技Deep Security平安防护系统平安虚拟机(DSVA)是针对 VMware vSphere 环境构建的平安虚拟计算机，可提供防恶意软件、IDS/IPS、防火墙、Web 应用程序防护和应用程序控制防护，数据完整性监控等平安功能。趋势科技Deep Security平安防护系统平安代理程序(DSA)是平安客户端，

25、直接部署在操作系统中，可提供 IDS/IPS、防火墙、Web 应用程序防护、应用程序控制、完整性监控和日志审查防护等平安功能。3.4 产品部署和集成Deep Security 解决方案专为快速的企业部署而设计。它利用现有根底架构并与之集成，以帮助实现更高的操作效率，并支持降低运营本钱。VMware 集成：与 VMware vCenter 和 ES* Server 的严密集成，使得组织和操作信息可以从 vCenter 和 ES* 节点导入到 Deep Security 管理器，并将详细完备的平安应用于企业的 VMware 根底架构。SIEM 集成：通过多个集成选项向 SIEM 提供详细的效劳器级

26、平安事件，这些选项包括 ArcSight、Intellitactics、NetIQ、RSA Envision、Q1Labs、LogLogic 及其他系统。目录集成：与企业目录集成，包括 Microsoft Active Directory。可配置的管理通信：Deep Security 管理器或 Deep Security 代理可发起通信。这可最大限度地减少或消除集中管理系统通常所需要的防火墙更改。软件分发：可通过标准软件分发机制如 Microsoft SMS、Novell Zenworks 和 Altiris轻松部署代理软件。最正确过滤：用于处理流媒体如 Internet 协议电视 (IPTV

27、)的高级功能有助于将性能最大化。DeepSecurity采用集中分布式的管理方式，DeepSecurity效劳器端安装效劳器控制台DeepSecurity客户端直接部署在每一台效劳器上。对于效劳器群所有的平安策略都可以通过统一的管理控制台进展设定，并且按需分发到对应的效劳器。整个效劳器平安防护体系的管理，监控和运维都可以通过管理控制台进展统一管理。同时，各项平安模块组件的更新都会通过管理控制台自动或者手动派发到每一台效劳器上。3.5 产品功能趋势科技Deep Security系统提供了对数据中心围普及虚拟桌面到物理、虚拟或云效劳器的高级保护，包括：防恶意软件防火墙入侵检测和阻止 (IDS/IP

28、S) Web 应用程序防护应用程序控制完整性监控日志审计3.5.1 恶意软件防护防恶意软件模块可提供趋势科技防恶意软件防护，恶意代码包括：病毒、蠕虫、木马后门等，包括实时扫描、预设扫描及手动扫描功能，处理措施包含去除、删除、拒绝访问或隔离恶意软件。检测到恶意软件时，可以生成警报日志。3.5.2 深度数据包检查 (DPI) 引擎实现入侵检测和防御、Web 应用程序防护以及应用程序控制该解决方案的高性能深度数据包检查引擎可检查所有出入通信流包括 SSL 通信流中是否存在协议偏离、发出攻击信号的容以及违反策略的情况。该引擎可在检测或防御模式下运行，以保护操作系统和企业应用程序的漏洞。它可保护 Web

29、 应用程序，使其免受应用层攻击，包括 SQL 注入攻击和跨站点脚本攻击。详细事件提供了十分有价值的信息，包括攻击者、攻击时间及意图利用的漏洞。发生事件时，可通过警报自动通知管理员。DPI 用于入侵检测和防御、Web 应用程序防护以及应用程序控制。3.5.3 入侵检测和防御 (IDS/IPS)在操作系统和企业应用程序安装补丁之前对其漏洞进展防护，以提供及时保护，使其免受攻击和零日攻击 漏洞规则可保护漏洞如 Microsoft 披露的漏洞，使其免受无数次的漏洞攻击。Deep Security 解决方案对超过 100 种应用程序包括数据库、Web、电子和 FTP 效劳器提供开箱即用的漏洞防护。在数小

30、时即可提供可对新发现的漏洞进展防护的规则，无需重新启动系统即可在数分钟将这些规则应用到数以千计的效劳器上：智能规则通过检测包含恶意代码的异常协议数据，针对攻击未知漏洞的漏洞攻击行为提供零日防护。漏洞攻击规则可停顿攻击和恶意软件，类似于传统的防病毒软件，都使用签名来识别和阻止的单个漏洞攻击。由于趋势科技是 Microsoft 主动保护方案 (MAPP) 的现任成员，Deep Security 解决方案可在每月平安公揭发布前提前从 Microsoft 收到漏洞信息。这种提前通知有助于预测新出现的威胁，并通过平安更新为双方客户快速有效地提供更及时的防护。3.5.4 WEB 应用程序平安Deep Se

31、curity 解决方案符合有关保护 Web 应用程序及其处理数据的 PCI 要求 6.6。Web 应用程序防护规则可防御 SQL 注入攻击、跨站点脚本攻击及其他 Web 应用程序漏洞攻击，在代码修复完成之前对这些漏洞提供防护。该解决方案使用智能规则识别并阻止常见的 Web 应用程序攻击。根据客户要求进展的一项渗透测试，我们发现，部署 Deep Security 的 SaaS 数据中心可对其 Web 应用程序和效劳器中发现的 99% 的高危险性漏洞提供防护。3.5.5 应用程序控制应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规则也可用于识别访问网络的恶意软件或减少效

32、劳器的漏洞。3.5.6 防火墙减小物理和虚拟效劳器的受攻击面 Deep Security 防火墙软件模块具有企业级、双向性和状态型特点。它可用于启用正确的效劳器运行所必需的端口和协议上的通信，并阻止其他所有端口和协议，降低对效劳器进展未授权访问的风险。其功能如下： 虚拟机隔离：使虚拟机能够隔离在云计算或多租户虚拟环境中，无需修改虚拟交换机配置即可提供虚拟分段。细粒度过滤：通过实施有关 IP 地址、Mac 地址、端口及其他容的防火墙规则过滤通信流。可为每个网络接口配置不同的策略。覆盖所有基于 IP 的协议：通过支持全数据包捕获简化了故障排除，并且可提供珍贵的分析见解，有助于了解增加的防火墙事件

33、TCP、UDP、ICMP 等。侦察检测：检测端口扫描等活动。还可限制非 IP 通信流，如 ARP 通信流。灵活的控制：状态型防火墙较为灵活，可在适当时以一种受控制的方式完全绕过检查。它可解决任何网络上都会遇到的通信流特征不明确的问题，此问题可能出于正常情况，也可能是攻击的一局部。预定义的防火墙配置文件：对常见企业效劳器类型包括 Web、LDAP、DHCP、FTP 和数据库进展分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙策略。可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告，Deep Security 防火墙软件模块可捕获和跟踪配置更改如策略更改容及更改者，从而提供

34、详细的审计记录。3.5.7 完整性监控监控未授权的、意外的或可疑的更改 Deep Security 完整性监控软件模块可监控关键的操作系统和应用程序文件如目录、注册表项和值，以检测可疑行为。其功能如下：按需或预定检测：可预定或按需执行完整性扫描。广泛的文件属性检查：使用开箱即用的完整性规则可对文件和目录针对多方面的更改良行监控，包括：容、属性如所有者、权限和大小以及日期与时间戳。还可监控对 Windows 注册表键值、访问控制列表以及日志文件进展的添加、修改或删除操作，并提供警报。此功能适用于 PCI DSS 要求。可审计的报告：完整性监控模块可显示 Deep Security 管理器仪表板中

35、的完整性事件、生成警报并提供可审计的报告。该模块还可通过 Syslog 将事件转发到平安信息和事件管理 (SIEM) 系统。平安配置文件分组：可为各组或单个效劳器配置完整性监控规则，以简化监控规则集的部署和管理。基准设置：可创立基准平安配置文件用于比拟更改，以便发出警报并确定相应的操作。灵活实用的监控：完整性监控模块提供了灵活性和控制性，可针对您的独特环境优化监控活动。这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功能。此外，还可根据独特的要求灵活创立自定义规则。3.6 系统要求趋势科技Deep Security系统管理中心存：4GB 磁盘空间：1.5GB建议使用 5GB

36、操作系统：Microsoft Windows Server 200832 位和 64 位、Windows Server 2008 R264 位、Windows 2003 Server SP232 位和 64 位数据库：Oracle 11g、Oracle 10g、Microsoft SQL Server 2008 SP1、Microsoft SQL Server 2005 SP2 Web 浏览器：Mozilla Firefo* 3.*启用 Cookie、Internet E*plorer 7.*启用 Cookie和 Internet E*plorer 8.*启用 Cookie趋势科技Deep S

37、ecurity平安虚拟机存：1GB 磁盘空间：20GB VMware 环境：VMware vCenter 5.0ES* 5.0VMware ToolsVMware vShield Manager VMware vShield Endpoint Security 工程实施方案4.1 工程总体规划工程实施总体分为四个阶段，每一个阶段需要一个阶段性总结：一工程准备和调研。主要包括实施工程组的建立和对现有VMware系统进展检查两局部。二工程实施。虚拟化群集的vShield接口(vShield APP及vShield Endpoint)的实施，虚拟机平安解决方案DeepSecurity的实施。按照实施

38、步骤部署vShield和Deep Security产品。配置vShield APP接口进展的平安域划分工作。对整体环境进展分析，并根据实际情况划分平安域，通过APP接口实现平安域的划分。三工程验收。针对产品功能、实施效果等容进展验收。4.2 实施组织架构整个维护保障人员由*和趋势科技共同组成，其中主要涉及到：*信息平安负责人、趋势科技技术工程负责人和渠道工程师组成的一线效劳小组。趋势科技的整个效劳团队，由北方区技术经理作为主管，由工程负责人成为趋势科技方主要联系接口人，为*提供实施的整体协调。当出现紧急事件时，统一由*信息平安负责人联系工程负责人，对事件进展处理。具体人员组织安排参见下列图：趋

39、势科技行业技术经理对趋势科技技术部门资源协调最终决策的人员。工程负责人作为趋势科技针对*在虚拟化平安工程的主要负责人和接口人，协调趋势科技和*之间的工作进程和人员之间的协调工作，同时负责7 * 24小时通过、的方式为*提供技术支持、方案建议等效劳。渠道工程师在实施过程中，有工程的渠道商指定工程师与趋势科技工程师一起完成工程容，负责产品实施各项工作。单位罗海龙行业技术经理Oliver_Luotrendmicro.鹏飞工程负责人Pengfei_Zhangtrendmicro.4.3 工程实施容4.3.1 工程准备为了确保整个实施过程的高效有效，*和趋势科技都需建立专门的工程指导小组并组成联合工程指

40、导小组。趋势科技工程指导小组由趋势销售经理和趋势科技技术经理组成，控制工程的整个实施过程。同时，趋势科技成立工程实施小组，在联合工程指导小组的领导下完成工程各节点的具体实施工作。*的人员须拥有跨部门协调和管理该工程整体的权利。建议*工程指导小组在工程实施完毕后保存下来，作为负责平安问题的专门小组，以便于今后平安工作的协调和管理，也利于与趋势科技建立畅通的沟通渠道。趋势科技工程指导小组成员：趋势科技工程总协调人：炳宏涛趋势科技技术经理：罗海龙工程负责任人：鹏飞4.3.2 工程调研调研目标：获取*信息系统实际的网络状况和虚拟化应用状况，为工程实施做好准备，同时根据实际情况对真实需求进展必要的修正，

41、与相关系统管理员进展必要的前期沟通。按照产品的安装要求以及软件网络平安的规与管理人员进展技术沟通和交流,确定需要调整的网络构造和各种需要增补的软件补丁。调研措施：1、趋势科技提供产品安装系统需求文档； 2、针对虚拟化效劳器进展详细的记录，同时记录各单位管理人员的联系方式。调研文档：趋势科技提供网络调研状况一览表文档，由各级管理员进展填写，汇总至*工程指导小组。4.3.3 工程实施工程实施前，趋势科技与*工程组、集成方详细讨论规划工程进度，趋势科技建议基于如下原则进展：先培训，后测试，再上线；*工程实施步骤工程实施小组确认设备环境是否满足安装需求；工程实施小组与*管理人员配合完成vShield接

42、口的安装与配置；工程实施小组与*管理人员配合完成Deep Security的安装与配置；平安域划分4.3.4 工程验收验收目标：双方确认系统正常功能的完整实现； 双方建立畅通的售后沟通渠道；验收措施：趋势科技与*指导小组制订详细的工程验收方案及日程安排； 趋势科技与集成方、各单位管理人员共同完成整体验收报告。4.4 工程实施方案4.4.1 工程实施分工在工程实施中，趋势科技将在成立假设干工程实施小组。每个小组将遵照推装方案，分别到不同单位与当地管理人员一道完成培训工作和安装工作。整个工程参与人力包括：联合工程指导小组*、集成方工程指导小组趋势科技工程指导小组、工程实施小组、各应用管理人员等。整

43、个工程实施中分工安排如下：工程环节工程主导者工程配合者1、设备订购与验收*工程指导小组趋势科技工程指导小组2、工程准备联合工程指导小组管理人员3、工程调研联合工程指导小组管理人员4、工程实施联合工程指导小组管理人员5、工程验收联合工程指导小组管理人员4.4.2 工程实施方案售后效劳趋势科技可以提供如下效劳容：1、技术支持局部访问趋势科技中文获得针对产品和防病毒问题的自助效劳。：.trendmicro. 产品技术支持效劳：通过或 、免费热线方式，获得免费技术支持效劳。病毒问题支持效劳：通过或 、免费热线方式，获得免费支持效劳。技术支持：servicetrendmicro.； ：021-6384-

44、1899热线： (021-6100-6656)；效劳时间周一至周五国定节假日除外9:00 - 12:00；13:00 - 17:302、Activeupdate自动升级效劳在有效效劳期，客户所使用的产品的平安组件可免费合法进展自动或手工升级。可更新的平安组件包括：特征码(pattern)，扫描引擎(Engine)，产品本身的修补程序(Hotfi*、Patch、Service Pack)，等等。3、新版本更新权利在有效效劳期，针对客户正在使用的产品中，如果趋势科在市场上推出了相应的新版本，则客户享有在效劳期免费使用该新版本的权利。客户可随时免费下载最新版产品或效劳升级包，使用所购产品的最新版本。

45、工程验收之日起由软硬件原厂商提供一年免费设备软硬件维保效劳、版本升级效劳、支持、技术支持、临时备机。4、现场培训软件原厂商为我司相关平安人员提供软件使用、维护及相应vShield接口使用和维护的现场技术培训；提供产品运维手册。5、应急响应效劳提高724现场应急效劳。总结虽然虚拟化IT根底设施将与物理效劳器环境共同面对一样的平安挑战，但用户可以充分利用多处理器、多核体系构造和虚拟化软件提供平安机制对其进展防护。此外，现在和将来都可以通过采用由诸如Vshield APIs在虚拟化平台中的不断演化来实现平安性增强策略，从而保护虚拟化IT资源。通过采用由趋势科技所提供的平安软件以及灵活的方法，能够优化

46、防护迅速部署解决方案，并且在不引入瓶颈或冗余控制的前提下，可以确保全部虚拟机的平安基线。趋势科技能够帮助用户扩展虚拟化部署以保护全部关键任务系统。Deep Security物理器只需安装一次，以无代理形式提供平安防护，提升了效劳器使用率，一样硬件能提高搭载虚机量。简化管理；主机一次性安装，部署；虚拟机：无代理配置，即便裸机也能立即保护。数据中心效劳器平安架构必须解决不断变化的 IT 架构问题，包括虚拟化和整合、新效劳交付模式以及云计算。对于所有这些数据中心模式，Deep Security 解决方案可帮助：预防数据泄露和业务中断在效劳器自身位置提供一道防线 无论是物理效劳器、虚拟效劳器还是云效劳

47、器 针对 Web 和企业应用程序以及操作系统中的和未知漏洞进展防护，并阻止对这些系统的攻击 帮助您识别可疑活动及行为，并采取主动或预防性的措施 6.2 实现合规性满足六大 PCI 合规性要求包括 Web 应用程序平安、文件完整性监控和效劳器日志收集及其他各类合规性要求 提供记录了所阻止的攻击和策略合规性状态的详细可审计报告，缩短了支持审计所需的准备时间 6.3 支持降低运营本钱提供漏洞防护，以便能够对平安编码措施排定优先级，并且可以更具本钱效益地实施未预定的补丁 为组织充分利用虚拟化或云计算并实现这些方法中固有的本钱削减提供必要的平安性 以单个集中管理的软件代理提供全面的防护 消除了部署多个软件客户端的必要性及相关本钱 6.4全面