基于 云安全多層次 解決方案 -趨勢科技 xxx 趨勢科技（中國）有限公司 電話：服務熱線： 800-820-8876 服務郵件： S 版本 修訂日期 修訂人 描述 1.0 2009-8-12 Michael Lu 為寫方案提供必要的框架 目 錄 1. Xxx 安全項目綜述 . 3 1.1. 項目背景 . 3 1.2. 云安全多層次解決方案給 xxx 帶來的安全提升 . 3 1.3. 多層次安全解決方案組成 . 4 2. Xxx 應用云安全多層次防護系統 . 6 2.1. Xxx 現有的防病毒系統現狀 . 6 2.2. Xxx 基于云安全的多層次安全解決方案規劃 . 7 2.3. Xxx 基于云安全多層次防病毒系統詳細設計 . 11 2.3.1. 系統體系架構 . 11 2.3.2. 終端安全防護 .12 2.3.3. 網關 Web 病毒和內容過濾設備 .18 2.3.4. 主動式威脅發現設備 TDA .21 2.3.5. 網關 SMTP 郵件防護設備 .28 2.3.6. 中央控管體系 .34 2.3.7. xxx 整體解決方案部署示意圖 .38 3. 售后服務 . 38 3.1. 趨勢科技承諾 xxx 的基本服務條款 . 38 3.1.1. 技術支持部分 .40 3.1.2. Activeupdate 自動升級服務 .40 3.1.3. 新版本更新權利 .40 1. Xxx 安全 項目綜述 1.1. 項目背景 從 2000 年至今，互聯網的發展日新月異， 新的引用層出不窮。從 Web1.0 到 Web2.0，從 2G 網絡升級到 3G 網絡。互聯網接入從笨 重的臺式機，到輕巧的筆記本電腦，到現在的上網本和手機終端。隨著互聯網的發展，人們的工作和生活已經發生了翻天覆地的變化，與此同時，信息技術的發展也帶來了安全威脅的發展。安全威脅的攻擊，從單純的攻擊單臺電腦，到攻擊局域網，攻擊公司網絡，到現在整個互聯網充斥著各種攻擊威脅。 Xxx 在目前的網絡安全大環境下，現有的防病毒安全系統已經無法承載日新月異的威脅攻擊。 為了確保 xxx 的業務連續性，避免病毒對 xxx 的數據，應用和網絡帶來威脅，必須對 xxx 的防病毒系統進行結構化的完善。 1.2. 云安全多層次 解決方案給 xxx 帶來的安全提 升 在部署 應用了 云安全多層次 解決方案后 （以下簡稱多層次安全解決方案） ， xxx 的系統安全，應用安全和網絡安全將進入到一個嶄新的階段。 從以下八個角度可以看出，多層次安全解決方案給 xxx 帶來的價值 1-完整性 多層次 安全解決方案提供給 xxx，從終端，到應用系統，郵件系統，到 Web互聯網關，甚至 ISO2-7 層多達 80 多種協議的偵測。徹底阻斷的病毒可能入侵和傳播的途徑。 2-有效性 多層次安全解決方案徹底杜絕了病毒重復感染，病毒源頭無法定位的弊端。使得 xxx 在病毒安全防護系統有了質的飛躍。 3-智能性 利用趨勢科 技未知威脅偵測系統 TDA,能夠 7*24 小時主動發現和定位 xxx 網絡環境中的未知和已知的威脅攻擊。徹底解決了傳統防病毒體系無法有效防護新的未知威脅。 4-可靠性 趨勢科技能夠為 xxx 提供 7*24 小時防病毒系統主動監控，確保整個防病毒系統不間斷的進行運作 5-穩定性 考慮到 xxx 的計算機可用資源率，內部系統應用和網絡架構，趨勢科技提出的多層次安全解決方案能夠最大程度的減少對 xxx 各種資源的消耗，并且確保整個解決方案的兼容性。 6-管理性 趨勢科技多層次安全解決方案能夠單點登陸 (SSO),進行全局的管理，能 夠對終端，服務器，郵件安全的設定， Web 網關安全的設定和網絡層策略設定，日志查詢，并且能夠統一生成全局報表。進行橫向和縱向的安全情況分析，得出相應的加強措施。 7-擴展性 趨勢科技多層次安全解決方案能夠連接趨勢科技云安全平臺，利用趨勢科技全球云安全技術平臺的海量安全數據，徹底幫助 xxx 提升現有的安全級別。 8-節省人力資源 多層次的安全防護系統，因為具有以上特性，故能夠讓 xxx 完全擺脫先前的被動式的防護，最大程度的減少 xxx 之前的防病毒系統需要大量人力資源去維護，去終端查殺病毒等等繁瑣的工作，提升 xxx 安全項目組人均生產力。也側面提升了所有終端用戶的人均生產力。 1.3. 多層次 安全解決方案 組成 結合對 xxx 防病毒安全需求和現狀分析以及需要達成的目標，趨勢科技的多層次安全解決方案組成如下： 趨勢公司 Trend Micro Secure Cloud Layer Protection（ 云安全多層次 解決方案） 包括： 趨勢科技 防毒墻控管中心 ： Trend Micro Control Manager 趨勢科技防毒墻網絡版： OfficeScan 趨勢科技 互聯網網關 安全設備 : IWSA 趨勢科技威脅發現設備： TDA 趨勢 科技網關訊息安全設備： IMSA 產品簡要說明 : 產品功能及用途 產品名稱 功能 對全網防病毒 系統 實現中央控管 Trend Micro Control Manager5.0 提供 SSO 單一登錄的機制，統一管理趨勢科技所有的軟件和硬件產品， 實現對所有防毒軟件 和硬件 的集中設置、集中維護；搭建一個立體化 的管理構架；集成臨時策略功能，有效阻止爆發初期，病毒在內網的感染和擴散；形成統一報告，提供分析內網漏洞的有效數據。 并且提供多用戶管理機制。 終端和服務器安全 防護 OfficeScan10.0 Officescan10.0 提供給 xxx 全面的終端安全解決方案。 實現對終端的病毒、木馬、間諜軟件、優盤病毒的查殺；針對 USB、光盤、軟盤、網絡資源等傳輸方式，提供完全訪問、僅讀和寫、僅讀和執行、只讀、不能訪問等多種不同的訪問權限；支持以插件方式部署 IDF 主機入侵防御系統，在打補丁之前屏蔽系統漏洞，針對零時差攻擊，提供相應保護。 整個 OfficeScan 終端安全解決方案，采用 B/S 的管理架構，整體實施和運維非常簡易。 網關 Web 安全設備 IWSA 趨勢科技 IWSA 是高效的企業級 HTTP/FTP 應用防護設備，可協助 xxx阻 止 各種通過 Web 瀏覽或 FTP 下載導致的病毒感染 ,URL Filter,防間諜軟件等多種安全防護。 同時 IWSA 能夠聯動趨勢科技 ” 云安全 ”的技術平臺，進一步提高 xxx 在網關 Web 防護的及時性和低資源占用率。 未知 威脅發現設備 TDA 在網絡探測 未知或者已知的 惡意威脅 定位網絡中的未知或者已知的威脅攻擊源頭 網絡內容檢測技術 偵測多達 80 多種協議 全面發現 SecureCloud 服務 網關郵件安全設備 IMSA5000 IMSA 趨勢科技網關訊息安全解決方案提供了全面的電子郵件安全防護，集成了病毒掃描、垃圾郵件 檢測、郵件信譽服務、間諜軟件、反釣魚程序和內容過濾功能 ，可以實現完整的防護，對IT 基礎架構進行加固，減少運營成。 Trend Micro 作為網關安 全的先驅者和領導者提供成熟、穩定的電子郵件安全解決方案以架構全面的、多層次的網絡安全防護體系。 2. Xxx 應用 云安全多層次 防護系統 2.1. Xxx 現有的防病毒系統 現狀 xxx 防病毒軟件應用情況： 序號 項目 內容 1 終端 PC 1000 臺 2 服務器 10 臺 3 終端防病毒軟件 Symantec SEP11.0 Xxx 的網絡架構 ： 由上圖可見， xxx 的網 絡分為內部生產網和外部 OA 網。 Xxx 防病毒 系統管理現狀 防病毒管理人員 1 名 兼職管理防病毒系統 日常管理流程 沒有特別的流程 基于事件的被動式的防病毒管理工作。 網絡中的病毒事件 沒有具體的辦法來控制 由于整個防病毒體系比較簡單，在病毒分析，病毒源頭定位等方面沒有較好的措施。所以，很難徹底清查病毒事件。 防病毒管理人員的培訓 沒有定期的病毒安全防護知識的更新 會導致管理員，面對層出不窮的新病毒無法防范 終端用戶的安全意識培訓 沒有 定期的對終端用戶進行病毒意識的普及性宣傳 終端用戶安全防范意 識薄弱，會造成 病毒安全事件無法控制。 從 xxx 防病毒軟件應用，網絡架構和系統管理現狀三方面來分析，目前 xxx 的防病毒安全系統無法滿足，當今世界的病毒攻擊，傳播和感染的現狀。 趨勢科技基于 云安全多層次 防護體系架構，能夠從技術上，流程上和人員培訓這三個方面 提升 xxx 的防病毒安全系統，真正做到 100%的安全防護。 2.2. Xxx 基于云安全的多層次安全解決方案規劃 技術 規劃 ： 主動防御 ： 趨勢科技為 xxx 設計的基于云安全的多層次安全體系，能夠主動防御已知和未知趨勢科技對 xxx 的方案規劃： 從三個角度進行提升： 1. 技術：即具體的 Solution 2. 流程：結合 xxx 實際情況，定制各種必要的流程，變被動為主動 3. 人員：基于 xxx 防病毒管理人員和普通終端電腦使用者進行專業性和普及性的防病毒知識培訓 病毒。即使面對新病毒，還沒有病毒碼的情況下， xxx 也 在 趨勢科技防病毒體系下阻擋新病毒。 多層次：網關層 -網絡 2-7 層 -應用層 -終端層 集中管理 1. 網關層： 目前 xxx 的防病毒系統非常單一，僅部署了基于桌面端的防病毒軟件。然后，當今 80%的病毒來自互聯網。 Xxx 僅僅依靠終端上的防病毒軟件根本無法抵御現在多樣的病毒傳播， 所以 xxx 的互聯網出口成為防病毒系統的重中之重。 2. 網絡 2-7 層： 當病毒進入到 xxx 內部網絡后，可以 第一時間偵測病毒流 量 ，定位病毒源頭，將病毒事件遏制在源頭。 3. 應用層： 郵件應用以及 FTP 應用也是病毒傳播的主要途徑 之一，也要做相應的防護。 4. 終端層： 傳統意 義上的防病毒軟件已經不足以防護當今多樣性的病毒，趨勢科技會通過防病毒，木馬查殺，防火墻和 IDS 等組件給予 xxx 終端全面的保護。同時，對于 U 盤，移動硬盤， CD DVD 介質以及共享文件夾的防護也必須加強，在整個08 年和 09 年上半年， U 盤病毒等類似病毒給 xxx 也帶來了相當大的困擾。 5. 集中管理：整個多層次的解決方案，都能夠通過趨勢科技集中管理平臺進行統一管理，策略配置和報表制作。 技術拓展 ：病毒碼匹配 -智能掃描引擎 云安全技術 1. 病毒碼匹配 ：傳統技術。 2. 智 能掃描引擎： 利用啟發式的掃描引擎和 3. 云安全技術： 趨勢科技利用 特別研發出的信譽評估技術，通過實時更新的安全等級信息，在各種威脅入侵前徹底防御這些危險攻擊。信譽評估技術是由收錄郵件服務器評估數據的 “郵件信譽技術 ”、收錄 Web 評估數據的 “Web 信譽技術 ”，以及收錄文件評估數據的 “文件信譽服務 ”三者結合而成。 通過云安全技術， xxx 網絡的安全級別會有一個質的飛躍，在更節省資源的情況下，第一時間獲得最新的安全防護。 云安全技術示意圖： 流程規劃 流程設計 1. 常規病毒和產品問題處理流程 2. 依托病毒和產品監控服務建立的主動病毒處理流程 3. 緊急惡性病毒 處理流程 4. 異地緊急病毒事件處理流程 5. 病毒預警處理流程 服務體系 設計 1. 800 標準服務 2. 7*24 小時監控服務 3. 防毒顧問服務 4. 專屬的服務管理 5. 主動式的服務 6. 快速響應服務 7. 在線服務支持 8. 巡檢服務 人員培訓規劃 防病毒管理人員的培訓 1. 現場培訓：通過現在對 xxxIT 管理員的培訓，使其獲得對趨勢科技 多層次安全體系管理的技能，同時也提供病毒安全知識的培訓，確保其對病毒特性的了解，能夠很好的掌握具體的操作。 2. Web 教程的培訓： xxxIT 管理人員能夠隨時隨地點播趨勢科及 Web 在線培訓教程。 終端電腦使用者的培訓 1. 通過定期的安全小貼士，用簡單易懂的內容，宣傳用戶病毒基本支持，提升終端電腦使用者的安全意識。 2.3. Xxx 基于云安全多層次防病毒 系統詳細 設計 2.3.1. 系統體系架構 網關層 在 xxx 網關處，對 Internet 的 HTTP 流量進行實時監控 。阻擋 80%以上的病毒感染情況。 根據 xxx 的網絡結構 分析 ，趨勢科技網關設備 IWSA5000 主要是部署在核心交換機和 防火墻之間，采用透明串聯的方式。 應用層 對于 xxx 的 郵件應用， 將部署趨勢科技 IMSA 垃圾郵件和病毒郵件過濾設備。 對進出xxx 的郵件進行全面過濾 終端層 對于 xxx 網絡中的所 有終端 PC 和服務器進行 全面的安全防護。 趨勢科技OfficeScan10.0 提供病毒過濾，木馬查殺，防火墻和 IDS。同時對 U 盤等移動介質也進行嚴格的權限管理。 網絡 2-7 層 1- IWSA5000 網關防護 Internet 的HTTP 出口 2- IMSA5000 應用層防護垃圾郵件和病毒郵件 3- OfficeScan10.0 終端層防護所有計算機的安全 4- TDA網絡 2-7 層偵測所有網絡流量 5- 和協議，主動偵測已知或未知病毒，實時報警并監控 6- TMCM 統一進行集中管理 與其它傳統防病毒解決方案最大的不同是，趨勢科技的未知病毒偵測 設備 TDA，可以對 xxx 網絡中所有協議的流量進行監控，通過內置 文件型 病毒掃描引擎， 網絡型病毒掃描引擎， 啟發式掃描引擎， 俄規則掃描引擎和信譽評估機制引擎五大掃描機制，能夠實時監控到 xxx 網絡中的病毒跡象，一旦發覺立刻自動 Email 通知管理員，第一時間阻斷病毒的傳播和擴散。 TDA 同時 還能夠解決一直以來，其它解決方案無法處理的病毒源頭定位的問題，通過對海量數據的自動分析， TDA 能夠迅速定位網絡中的病毒源頭，完全杜絕了病毒事件無法徹底處理干凈，重復感染一直發生的情況。 TDA 還能夠監測 網絡中是否存在的僵尸網絡病毒，確保 xxx 網絡不被黑客利用偷竊機密信息和向外發送攻擊包。 2.3.2. 終端安全 防護 趨勢科技防毒墻網絡版 OfficeScan 趨勢科技 OfficeScan 10 是一款革命性的防御解決方案，它 在利用傳統技術的同時，利用 趨勢科技云安全 2.0(Smart Protection Network)中獨創的文件信譽技術 (FRT)管理病毒特征碼，當用戶訪問某文件時，將直接到云端查詢該文件的最新安全等級， FRT 會阻止用戶訪問低安全等級的文件，從而在最大程度上確保終端無論是否接入企業網絡都可以受到保護 。 同時，也能夠提供 Web 信譽評估，當終端在局域網內或離開局域網訪問網頁時，OfficeScan 會自動判斷該網頁是否安全，是否曾經被檢測到感染過病毒。自動阻斷終端對惡意網頁的訪問 1- Xxx 應用了趨勢科技 OfficeScan10.0 中的文件信譽評估技術后，在未來的病毒 幾年中 不會因為病毒威脅的增加而導致 病毒碼大量占用 內存，從而使得終端運行速度變慢。 2- Xxx 在應用了趨勢科技的文件信譽評估技術后，面對新的惡意威脅時，獲得安全防護或者最新病毒特征碼的速度將會變得沒有延遲。無論網絡多大，只要本地掃描服務器獲得更新后，所有內部終端自動獲得最新更新，從而零時間防御新病毒。 產品功能： 整合性的計算機安全防護軟件 ： 趨勢科技防毒墻網絡版 OfficeScan 能夠提供給計算機防病毒，防火墻， IDS 以及防間諜軟件 、 Web 安全評估 等安全防護功能，給予計算機最完整的安全防護。 業界領先的 Web 信譽 評估服務（ Web Reputation Services）： 趨勢科技防毒墻網絡版OfficeScan 能對客戶機上網瀏覽的 Web 站點進行安全評估，實時保護客戶機不受惡意網站的威脅。 增加 Rootkit 偵測技術 病毒爆發防御服務（ Outbreak Prevent Service） ： 防病毒軟件永遠滯后于病毒，這是一個不爭的實事，因此防毒軟件病毒代碼、引擎的快速升級將是阻止最新病毒攻擊的有效手段，但病毒代碼升級前的 “ 空窗期 ” 是病毒攻擊企業網絡的最佳時期。趨勢科技防毒墻網絡版 OfficeScan 獨有的病毒爆發防御服務有效解決了這個問題，它可在防毒代碼未 完成之前，自動獲取趨勢科技提供的預防代碼，提前對通過端口、共享等方式進行傳播的最新病毒，大大降低最新病毒對企業用戶造成的損害。 內嵌防火墻自身保護系統 ： 趨勢科技防毒墻網絡版 OfficeScan 具備個人防火墻功能，對多種協議數據包進行阻擋，同時還具備 IDS、網絡病毒掃描（ Network Virus Scanning）、網絡異常監控等功能，滿足各層次用戶的需要。 智能處理措施 ： 趨勢科技防毒墻網絡版 OfficeScan 的智能型處理措施 (ActiveAction)能針對不同類型病毒，設定不同的處理措施，如特洛依型 病毒或蠕蟲就直接執行刪除動作，增加掃描的效能。 智能性掃描技術 ： 趨勢科技防毒墻網絡版 OfficeScan 的智能型掃描 (IntelliScan)功能是以文檔真正內容格式 (True file type)作掃描，且支持 OLE 文檔的掃描，增加偵測病毒的準確性，防止漏掃病毒。 自動更新軟件 ： 趨勢科技防毒墻網絡版 OfficeScan 自動而且集中式的更新和部署，確保客戶端的 OfficeScan 防毒軟件維持在最新版；軟件的更新與維護，完全不需使用者介入，減輕管理者的負擔。 客戶端軟件可以將整個計算機群組 一次更新，以達 到最佳部署效率，對帶寬的沖擊可降至最低。 提供遠程代理更新（ Remote Agent）功能，可以設定分公司或分支機構的一部計算機成為遠程代理主機去更新病毒碼及修補程序，增加更新的效率。 采用趨勢科技的智能型病毒碼更新技術，只針對新增加的病毒碼部分進行更新，有助加快更新程序，尤其對使用窄帶寬線路的遠程辦公室收效更大。 移動裝置使用者可以直接通過 Internet 下載更新程序，既簡單又便利。 集中式管理、配置設置和報表功能 ： 趨勢科技防毒墻網絡版 OfficeScan 提供 Web 接口的管理控制臺，系統人員可以在任 何時間、任何地點通過 Internet，執行軟件更新、變更防毒配置和處理緊急狀況。 集中式控管功能，系統人員可以鎖定客戶端配置，計算機使用者無法變更或移除他們的防毒軟件，降低錯誤操作所造成的病毒事件。 系統人員可以針對每一臺計算機，設置執行實時、手動或預設的病毒掃描。 定制報表能夠更清楚地呈現客戶端的安全狀態，而且報表可以轉換成 SQL 數據形式，以便通過其它數據庫進行更有彈性的數據管理。 系統需求： 操作系統： Microsoft Windows 2000 Server with Service Pack 3 or 4、 Microsoft Windows 2000 Advanced Server with Service Pack 3 or 4、 Microsoft Windows Server 2003 32-bit Edition with or without Service Pack 1 or 2、 Microsoft Windows Server 2003 64-bit Edition with or without Service Pack 1 or 2、 Microsoft Windows Server 2003 R2 32-bit Edition with or without Service Pack 1 or 2、 Microsoft Windows Server 2003 R2 64-bit Edition with or without Service Pack 1 or 2、 Microsoft Windows Storage Server 2003 32-bit Edition、 Microsoft Windows Storage Server 2003 64-bit Edition、 Microsoft Cluster Server 2000、 Microsoft Cluster Server 2003 處理器： Intel Pentium 800MHz or above 內存： 512MB 磁盤空間： 至少 1GB 部署建議： Officescan10.0 可以對 Windows 95/98/2000/XP/2003 進行病毒防護 。 趨勢科技 網絡版防病毒軟件的組織架構為： 通過一臺 Officescan 服務器去遠程的控制和管理局域網內部，甚至廣域網中 Officescan 客戶端。 Officescan 客戶端可以通 過多種方式安裝到計算機上： 通過網頁遠程自動下載安裝； 通過制作 Officescan 客戶端安裝包安裝； 通過共享文件夾方式安裝 通過集成 Windows 域自動安裝客戶端 通過微軟 SMS 安裝； 產品部署架構： 增加部署結構圖 ，選擇傳統模式和 Smart Scan Server 模式 如上圖所示： 趨勢科技建議 xxx 采用上述結構來部署 Officescan，通過該種方式部署 Officescan， xxx網絡中計算機防病毒體系達到如下效果 ： 一體化的管理機制： Officescan 服務器統一控管整個網絡的 Officescan 客戶端，包括，防病毒策略的設定和配置，日志的收集，病毒碼，掃描引擎等組件的更新；以點蓋面大大的簡化整個防病毒系統，防病毒管理人員只需利用有 IE 瀏覽器的計算機就可以對Officescan 服務器進行操作，移動的進行遠程 Web 管理。從而確保 xxx 能夠用最少的人力資源，維護好整個網絡的計算機防病毒； 分組管理的機制：根據 xxx 內部不同的部門在 Officescan 中設置不同的管理組，便于xxx 防病毒管理員針對不同的組設定不同的策略，開放不同的權限； 集成病毒專殺工具，清除病毒更徹底：病毒專殺工具和客戶端防病毒 軟件無縫集成，專殺工具的掃描引擎和病毒碼可以自動更新；完全擺脫傳統防病毒軟件需要獨立使用專殺工具，并且每一個病毒都有特定的專殺工具，造成數量巨大；此項技術能夠讓 xxx 的防病毒管理人員從服務器端主動觸發整個網絡所有客戶機的專殺工具去掃描本機內存和注冊表，清除內存中的病毒進程和恢復被病毒修改的注冊表鍵值，從而徹底擺脫傳統的清除病毒的工作：針對不同病毒，下載不同的專殺工具，到每一臺計算機前，手動執行不同種類的專殺工具，反復重起計算機；同時，客戶機也可以手動點擊按鈕，觸發專殺工具清除病毒； 病毒爆發預防策略： Officescan 應用該策略能夠有選擇性的關閉某些病毒攻擊網絡，服務器和客戶機的端口，或共享文件夾等，從而，阻擋大量的蠕蟲病毒，在網絡中大面積爆發。從而，保護用戶網絡中的所有計算機不受到病毒攻擊。當 xxx 網絡內部不幸遭遇到 新病毒攻擊而病毒碼還未更新時，利用病毒爆發預防策略能夠將新病毒所利用的網絡漏洞和系統漏洞完全堵死，讓還沒有進來的病毒進不進來，讓已經進來的病毒無法擴散； 集成網絡版防火墻和 IDS： Officescan 網絡版防火墻和通過在客戶機和網絡之間創建屏障，來幫助保護 Officescan 網絡版客戶機免受黑 客和網絡病毒的侵擾， 并且可以在客戶端無法連接 Officescan 主服務器 時，通過 Officescan 備用服務器下發防火墻策略。 同時， IDS確保客戶機不受到內部或外部的入侵攻擊，確保 xxx 內部計算機的系統安全和資料安全； 抵御間諜軟件和其他類型灰件的侵害 ： 防毒墻網絡版下載間諜軟件 /灰件特征碼文件以保護 xxx 的計算機免受病毒之外各種潛在威脅（包括廣告軟件和間諜軟件）的侵害。防毒墻網絡版可以掃描和清除間諜軟件和其他灰件，就像可以掃描和清除客戶計算機上的病毒一樣。 同時提供了 臨界間諜軟件 /灰色軟件例外列表 和普通間諜軟 件 /灰色軟件例外列表，避免 防毒墻網絡版將某些您需要使用 的軟件 被識別 為灰色軟件 ； 分布式的病毒碼更新：鑒于 xxx 網絡中，有部分網絡或者分支機構中的安裝有Officescan 客戶機與 Officescan 服務器之間的連接帶寬比較窄，只有幾十 K 左右。為了避免病毒碼升級時造成網絡帶寬被占用，趨勢科技建議在部分網絡或者分支機構中選擇一臺計算機做更新代理，如上圖所示，其余計算機直接通過更新代理更新而不是通過 Officescan服務器更新，如此就可以確保病毒碼更新時不會占用網絡帶寬，確保 xxx 的正常的業務數據不會因為網絡帶 寬被占用，無法及時同步更新，當然，如果；部分網絡或者分支機構（與Officescan 服務器用窄帶連接的環境）可以直接上 Internet，則也可以通過 Intetnet 進行病毒碼的更新； 病毒爆發監控： “ 病毒爆發監控 ” 可以用來監控網絡上有感染跡象的可疑活動。通過設定病毒爆發監控的敏感度，如：設定的時間段內，網絡上的并發會話數量超過設定的值，這樣在網絡內部出現病毒爆發之前，提前向 xxx 防病毒管理人員預警，防患于未然； 掃描有防病毒漏洞的計算機：通過趨勢科技 Officescan 自帶的 TMVS 客戶機漏洞掃描工具，可以 將 xxx 網絡中所有客戶機做一個整體的掃描，將沒有安裝 Officescan 客戶端軟件的計算機的 IP 地址，計算機名字，操作系統等詳細的信息生成報表，便于 xxx 防病毒管理人員及時定位網絡的未安裝 Officescan 的計算機； 并入趨勢科技整體防病毒體系： Officescan 通過安裝 TMCM 代理程序，就能夠被整合在 TMCM 的管理體系中 。 2.3.3. 網關 Web 病毒和內容過濾設備 趨勢科技 互聯網網關安全設備 InterScan Web Security Appliance 趨 勢科技 互聯網網關安全設備（ 簡稱 IWSA)是一套針 對 HTTP/FTP 應用 進行安全 防護和策略控制的綜合性網關解決方案 。 產品外觀： 產品功能： IWSA 能夠在一個硬件設備中對HTTP/FTP 數硬件規格 IWSA 5000 可擴展性 網絡接口 千兆銅口、千兆光口 端口數量 4 個銅口或 2 個銅口 2 個光口 硬盤 2 x 146GB( RAID1)、熱插撥 高可用性 設備故障檢測 是 硬盤 熱插撥、 RAID1 處理器 雙 2.66G（ 4 核） 鏈接失敗檢測 是 LAN Bypass(故障直通 ) 是 （銅口、光口均支持） 硬件狀態 檢 測 是 管理 內嵌 Web 界面管理 用于單臺設備管理 控制中心 TMCM集中管理 可選，建議用于多臺設備管理 支持在線更新 是 自動策略 /服務更新 是 損害清除服務 可選 URL 過濾和 Applet&ActiveX 安全 是 其他硬件替代部件 無 物理 /運行參數 設備規格 2U 高度 3.4 英寸（ 8.656 厘米） 寬度 17.6 英寸（ 44.7 厘米） 深 度 29.79 英寸（ 75.68 厘米） 重量 59 磅（ 26.76 公斤） 運行環境 50 95 F（ 10 35 ） 非運行（存儲）環境 -40 149 F （ -40 65 ） 據流實現如下 幾大功能 ： 防病毒 防間諜軟件 防網絡釣魚 防 JaveApplet&ActiveX 惡意插件 流量配額管理 惡意 URL 阻止 URL 過濾功能 Web 信譽服務 流量及硬件狀態實時動態 圖形 IWSA 不僅具備全面的安全防護功能，同時由于采用多種智能分析與掃描處理技術，在性能表現上優于同類產品，是企業網絡安全防護的重要防線。 IWSA 支持多種配置運行模式，支持多種未來新的應用系統的設計架構，與趨勢 科技業界領先的企業安全防護策略 (EPS)相結合，擴展了趨勢科技關于 Web 安全的病毒爆發生命周期管理理念，從而 保證用戶 獲取最大的投資回報率。 給 xxx 帶來的價值 ： 集成 Web信譽服務云安全技術 Web 安全網關 IWSA 集成的 Web 信譽服務云安全技術是下一代內容安全防護技術，它與病毒代碼比對技術同時為用戶提供安全保護，但在防護的效果上云安全技術表現得更動態、更主動和更節省系統資源。 趨勢科技通過在 Internet 上構建多達幾萬臺的服務器群，實時動態地收集 Internet 上的風險，生成惡意信息數據庫。當用戶需要訪 問 Internet 資源時，安全子系統會自動到趨勢科技服務器群上針對數據源的安全性進行查詢，如果數據安全，則用戶就可以正常訪問；如果數據風險很高，則用戶的訪問就會被自動阻止，實現惡意程序在侵入網絡或計算機前就被阻止掉。 綜合性的安全管理能力 IWSA 針對 Web 威脅提供綜合性的安全管理能力，全面地解決了當前客戶環境所面臨的復雜的 Web 安全問題，特別是在惡意程序源頭對 Web 威脅進行快速阻止； 高性能、高可用性 IWSA 集合趨勢科技多年來 Web 安全解決方案的經驗與技術，具備高可靠性和高可用性，具備靈活的擴展能 力； 管理方便，配置靈活 IWSA 基于策略制定安全措施，管理人員可以靈活地定制個性化的安全規則； 極低的運維成本 IWSA從整體上對 Web應用進行了全面的防護，幫助管理人員快速地構建起 Web防線，從根本上扭轉 Web 安全防護的被動局面，提高了管理效率，降低了運維成本。 在 xxx 網路環境中的 部署架構： 請基于用戶網絡環境，增加實際的部署圖。并且建議結合用戶的實際情況，把對應的策略配置也在這部分進行說明。 例如： 策略配置 掃描策略， 升級策略， 性能調優 日志查看 等等 2.3.4. 主動式威脅發現設備 TDA 產品 功能介紹 在網絡探測惡意威脅 1. 探測 未知 和已知惡意威脅 2. 發現惡意威脅的信息竊取 3. 探測網絡和電子郵件攻擊 網絡釣魚和網絡漏洞利用 探測網絡中斷行為 1. 中斷性應用 P2P、即時訊息等 2. 中斷性服務 SMTP 中繼、流氓 DNS 等 網絡內容檢測技術 1. 2-7 層協議檢測 ， 80 種以上協議 2. 全面的應用支持（超過 120 種應用） 3. 可疑活動關聯性 4. 文檔內容掃描 聯動云安全 服務 1. 與 Internet 云安全數據庫鏈接 對數據進行 根源分析 &關聯性 對 協議和應用 進行名譽分析 2. 惡意事件 管理和匯報 面向客戶的 惡意事件分析 每日管理報告 事故響應 執行報告 整體安全情況 旁路 部署 通過鏡像數據進行分析 ，不會中斷服務 產品特點 對由惡意威脅造成的數據丟失風險的響應速度更快 清晰的安全狀態可見性所帶來的主動安全架構規劃 盡早發現新威脅并做出響應，從而節省了損害清除費用 破壞性應用程序檢測，從而節省網絡資源 靈活的離線部署將網絡中斷降到最低 個性化的威脅管理經驗帶來更高的客戶滿意度 產品規格 項目 內容 處理器 Quad-Core Intel Xeon Processor X5355 x 2 內存 8 G 硬盤 300 GB X2 , Raid 0 ,熱插撥 網路卡 GigabitEthernet NIC 電源 Redundant Power Supply 流量支撐 700 Mbpts , 10,000 連線數 產品功能細節描述 1、人性化的 Web 管理界面 在 Web 管理界面的 Summary 中可以清晰的體現出當前內網的威脅等級、各種安全威脅事件的計數等信息，并且可以根據安全威脅的種類以及外部、內部攻擊分類。 2、可以提供對各種即時通訊軟件的掃描 3、可以提供對各種 P2P 軟件的監控 4、 可以提供對各種流媒體數據的監控 5、 TDA 內建 24 小時 report 內容，可以按照協議、偵測種類分類顯示各類已知、未知安全隱患 6、 趨勢科技 SecureCloud 提供的每日管理報表。通過報表可以清晰了解當前存在的安全隱患、感染客戶機、以及提供處理建議 每日資安事件列表 事件詳細分析 防范建議 威脅說明及可能影響范圍 建議采取措施 部署說明 ： 請根 據客戶情況詳細說明 TDA 采用離線配置模式，旁路連接在交換機上。交換機需開啟鏡像端口，將數據導入 TDA進行掃描。另外，需要在防火墻上開啟相應策略，允許 TDA 注冊到趨勢科技的 云安全服務器 ，由趨勢科技后端計算中心定期提供威脅評估報表給用戶。 2.3.5. 網關 SMTP 郵件防護 設備 趨勢科技 網關訊息安全設備 InterScan Message Security Appliance 5000 趨勢科技網關訊息安全解決方案提供了全面的電子郵件安全防護，集成了病毒掃描、垃圾郵件檢測、反間諜軟件、反釣魚程序和內容過濾功能 ，可 以實現完整的防護，對 IT基礎架構進行加固，減少運營成本 . Trend Micro 作為網關安全的先驅者和領導者提供成熟、穩定的電子郵件安全解決方案以架構全面的、多層次的網絡安全防護體系。 產品外觀： 產品規格 外觀造型 ： 19 英寸的機架， 2U 高度 處理器 ： 2 x Pentium 4 2.8GHz Xeon 內存 ： 2GB 電源 ： 2 x 熱交換 400 瓦， 90-260 伏 風扇 ： 2 x 熱交換風扇 RAID： 多通道 RAID 1， 128MB 磁盤驅動器 ： 2 x 熱交換 SATA 80G 數據容量 ： 20GB 郵件隊列， 40GB 數據 /日志 以太網 ： 2 x GB 以太網 10/100/1000 自動感應 受管理的以太網 ： 1 x 快速以太網 10/100 自動感應 序列端口 ： 1 x RS232 協議 ： SMTP、 ESMTP、 TLS、 POP3 惡意保護 ： 防病毒、間諜軟件 /灰色軟件、 Intellitrap 信譽服務 (NRS、 IP Profiler)： 趨勢科技網絡信譽服務 垃圾郵件保護 (TMASE)： 趨勢科技防垃圾郵件、防網絡釣魚 網絡管理 ： HTTP 和 HTTPS 網絡管理界面 命令行 ： SSH 命令行管理 產品功能： 病毒過濾 網關訊息安全設備使用掃 描引擎和病毒碼文件來檢測病毒。掃描引擎執行實際掃描工作，并使用包含二進制的已知病毒碼的病毒碼文件來分析流經網關的文件。如果掃描引擎檢測到病毒，則 InterScan 可以通過刪除惡意代碼來嘗試清除文件（如果啟用了清除）。趨勢科技會在檢測到新威脅時定期發行新病毒碼，因此請定期更新網關訊息安全設備。 此外，網關訊息安全設備使用 Trend Micro MacroTrap 來掃描 Microsoft Office 文件。宏病毒陷阱會分析 Microsoft Office 文件中的宏代碼，以幫助掃描引擎檢測宏病毒。 趨勢科技 IntelliTrap 是包含在內置防病毒和 eManager 過濾器中的防病毒功能。病毒作者通常使用不同的文件壓縮模式來逃避病毒過濾。 IntelliTrap 可幫助網關訊息安全設備評估可能包含病毒或其他 Internet 威脅的壓縮文件。 由于 IntelliTrap 可能會錯誤地將非威脅文件識別為危險文件，因此趨勢科技建議啟用 IntelliTrap 功能時隔離被歸為此類別的郵件附件。此外，如果用戶經常交換壓縮文件，則您可能會想要禁用此功能。缺省情況下會打開此功能，并且此功能被配置為隔離歸為 此類別的郵件附件。 IntelliTrap 提供了 zero-day 防護 最佳性能 73% 2005 年的 23 次全球病毒爆發事件 , 17 次可由 IntelliTrap 特征碼檢測到 網關最佳防護方案 52% 由于通過網關處傳播， 12 次全球爆發的病毒被過濾 (訊息相關的惡意軟件 ) 競 爭 對 比 啟發式 掃描 McAfee Symantec Sophos 11/23 : 48% 0/23 : 0% 5/23 : 22% 垃圾郵件過濾 趨勢科技反垃圾郵件引擎采用 “雞尾酒 ”方法過濾垃圾郵件。 高級啟發式 （ Advanced Heuristics） 統計分析法（ Statistical Analysis） 黑白名單 簽名過濾法（ Signature Filtering） 多語言檢測（ Detection for Multi-Languages） 除上述幾種過濾垃圾郵件技術外， 趨勢科技提供 NRS 檢測技術，在外部 SMTP 服務器和企業內部 SMTP 服務器建立起連接之前，判斷外部 SMTP 郵件服務器的 IP 地址是否屬于垃圾郵件服務器 IP 地址，若是，則連接被拒絕。同時，該項技術相比其他技術有著非常高的更新頻率，確保用戶能夠阻擋更 多的垃圾郵件。 趨勢科技網絡信譽服務 (Network Reputation Services, NRS)的前身便是在 Internet 最著名的 RBL 服務 - MAPS(Mail Abuse Prevention System, )。 MAPS 即為垃圾郵件 SPAM 英文單詞反過來寫，從 1995 年便已創立， RBL 整個技術概念便是由MAPS 首先倡導，之后變為 業界的標準 。 MAPS 母公司于 2005 年 6 月并入趨勢科技，目前為趨勢科技全球威脅防護網絡部門 (Threat Prevention Network)。 趨勢科技全球威脅防護網絡 (Threat Prevention Network)，維護一個全球性收集超過一百六十億份問題 IP 黑名單數據庫，同時這個數據庫為動態更新，每天都在增加。趨勢科技已經將此技術運用到了網關郵件防護產品 IMSA 中，這不僅提高了 IMSA 的垃圾郵件防護效果，最重要的是大大提高了網關防護產品的性能，徹底解決了大型、中型企業網關產品面臨的性能瓶頸問題。 當因特網上一臺郵件服務器與 IMSA 建立 SMTP 連接時， NRS 會及時查詢該郵件服務器 IP 是否在 IP 黑名單內。如果 在黑名單內 IMSA 會立即中斷 SMTP 連接，這樣就能保證垃圾郵件到達網關前就被阻斷，從而節省 xxx 網絡資源；如果不在黑名單內， IMSA 內置的 TMASE 智能垃圾郵件掃描引擎，就會對郵件進行掃描，過濾垃圾郵件。 郵件內容過濾 強制內容符合 減少法律糾紛 符合企業信息安全策略 信息安全保密性要求 特定的內容過濾 附件類型、大小和名稱 關鍵字 定制化的布爾或常規表達式 選擇授權發送者和接收者 公司 ,部門 , 組 ,個人 指定內容強制處理措施 刪除 , 隔離 , 通知 , 推遲 , 通過 TLS 加密 , 備份 間諜軟件 /灰色 軟件過濾 像間諜軟件 /灰色軟件這類因為網絡使用普及而產生的安全威脅正是目前讓企業所擔心的高風險威脅，在終端安裝防護軟件，僅僅是一個必須的防護手段而已，作為企業用戶來講，應當部署一套完整的解決方案，其中包括能夠在網關端、客戶端、服務器端進行整合式的防毒部署機制來達到有效的防御，這類安全解決方案將成為用來對付以網絡為管道進行惡意入侵的惡意程序的最佳利器。 多層次、多產品的整合將是企業最好的安全防護機制，自從趨勢科技在 2005 年收購了著名的反間諜軟件公司 InterMute 之后，趨勢科技反間諜軟件的研究團隊陣 容更為堅強，也在整合兩間公司所開發的反間諜軟件掃描引擎之后，推出全功能的超強反間諜軟件引擎SSAPI 5。這項技術已經整合到網關硬件產品 IMSA 中，透過 SSAPI 強大的引擎功能，偵測并阻止復雜又多變的間諜軟件。再加上趨勢科技針對大、中型企業所設計的多層次安全解決方案，都能夠透過 TMCM(Trend Micro Control Manager)的單一 Web 管理接口，幫助企業達到最好的安全防護機制。 反網絡釣魚 由于網絡釣魚攻擊橫跨電子郵件和 Web 應用，所以防護方式當然也應從網關郵件及Web 應用著手。由于防護 技術的匱乏以及網絡釣魚的隱蔽性，目前的多數方案，普遍具有以下瓶頸： 掃描技術瓶頸 執行文檔變形偽裝技術的發達 惡意程序制造容易，以病毒碼比對方式的偵測技術漸露缺陷 樣本搜集不易 木馬程序的運作隱匿性 攻擊目標有針對性 偵測技術落后 對于 DLL Injection 的木馬偵測困難 對于 Rootkit 等特殊隱形技術束手無策 因此趨勢科技建議預防網絡釣魚或結合 Pharming 的目標式攻擊，其方案必須涵蓋以下項目： URL 過濾 啟動真實文件格式掃描 啟動 IntelliTrap 智能型啟發式技術偵測壓縮文檔 產品優 勢 ： 即插即用、容易部署 ： 軟件已經預裝在設備中，確保了軟件的兼容性，可以快速、便捷的安裝部署。 更多安全防護 ： 經過安全與性能方面的優化， IMSA 具備更高的穩定性和可靠性。 高吞吐量 ： 極高的郵件吞吐量 - 150,000 msg/hour 冗余機制 ： 硬件 /軟件監控，冗余電源、風扇、雙熱插拔硬盤。 先進的郵件安全防護技術 ： 郵件符合性檢查 , 反垃圾郵件 , 反釣魚程序 部署建議： 趨勢科技公司給出了一個針對所有基于標準 SMTP 協議的郵件服務器的防病毒方案。由于 xxx 架設了郵件服務器，為了有效對進出郵件進行掃描 ，趨勢科技將 IMSA 旁路在網絡中，在為 IMSA 設定一內網地址的同時對應映射一公網地址，保證 IMSA 與企業郵件服務器可通訊。同時在 DNS 服務器中添加一條優先級別比企業郵件服務器更高的 MX 記錄（與原有郵件郵件服務器所對應的 MX 記錄同屬一個郵件域）。這樣，外部發送過來的郵件在進行完 DNS 解析之后，會先發送至 IMSA，便可對通過郵件傳播的病毒，垃圾郵件和郵件內容進行有效檢測。處理完以后， IMSA 將會把掃描后的郵件傳遞給后端真正的郵件服務器，郵件最終落地。采用此方法也不會使企業郵件產生丟失的危險，一旦設備發生故障，郵 件將會查詢第二條 MX 記錄，這樣將確保企業郵件不會發生丟失現象。 產品部署架構： 2.3.6. 中央控管體系 趨勢科技 防毒墻 控管 中心 Trend Micro Control Manager 趨勢科技 TMCM 是一個管理控制臺，為部署在網絡中的趨勢科技防毒和內容安全產品和服務提供集中的管理和保證它們在整個企業范圍內的協調運行。趨勢科技 TMCM 是企業保護戰略 (EPS)的一個核心的組成部分，它可幫助 IT 管理人員在他們的企業內部實施一致的安全策略，并對病毒爆發周期各個階段做出快速響應 - 對于那些能夠出現在網絡多個區域的 混合型病毒而言，這是對抗它們的一個必要條件。 趨勢科技 TMCM 可通過一個控制臺來管理防毒和內容安全產品和服務，可幫助 IT 管理人員們獲得有關病毒事件或異常活動的準確一致的信息，并創建用于分析和監控的圖形報告。它可將它所支持的防毒和內容安全產品分成組以利于遠程管理；可對各組群中的服務器進行同時配置或通過復制依次配置。通過趨勢科技 TMCM 可將產品信息和任務功能進行映射，使管理員可以快速查看并對新安裝的產品進行控制。 產品功能： 通過 TMCM 可實現對防毒軟件的病毒代碼、掃描引擎、升級程序、預防策略、垃圾郵件列表的集 中分發、管理。 可實現對病毒侵入情況、各系統防毒情況、防毒軟件的工作情況等的集中監控。并且由于 TMCM 采用 Web 管理方式，使得管理人員可以通過任何一臺聯網的計算機方便地訪問 TMCM，減輕了管理人員的負擔。 可實現對所有防毒軟件的集中管理、集中設置、集中維護。管理人員可以通過 TMCM的統一界面管理防毒軟件。 可集中反映整個系統內的病毒入侵情況 ,設置各種消息通報方式，對病毒的爆發進行報警。 可以生成集中式統計報告，便于管理員掌握整個防病毒系統運行狀況 。 漏洞掃描和防御：趨勢科技利用自身產品幫助用戶找出網絡中存在微軟安全漏洞的計算機，同時區分漏洞的輕重緩急，隔離具有系統漏洞的計算機，強制打補丁，以次確保當病毒來臨時，不會因為系統的漏洞造成網絡的受到病毒攻擊而癱瘓 TMCM 具備災后集中清除及漏洞分析功能，不僅可以進行整個網絡的集中病毒掃描工作，還可以針對系統漏洞提供報告，使得整個網絡更加強健。 病毒發作防御：趨勢科技利用獨創的病毒爆發防御策略技術（可更新的數據包），在新病毒爆發而新病毒碼還沒更新的 “防 病毒真空期 ”，趨勢科技利用病毒爆發防御策略技術，將網絡內部所有病毒可能利用的途徑全部關閉，例如：自動關閉病毒的利用和攻擊的特定端口，并自動的隔離已經感染病毒的 PC，關閉共享文件夾等 。 評估與恢復：通過趨勢科技中央控管安全平臺，收集整個網絡所有的計算機的防病毒信息，通過周報表，月報表等方式，對整個網絡的防病毒工作做一個整體的評估，同時，利用趨勢損害和清理服務從后臺自動的將被病毒感染的機器清除干凈，避免了人為手動清除病毒，從而將網管從大量的手動清除病毒的狀態下解脫出來。 獨創的層疊式管理： TMCM 可以直接管 理 TMCM，間接管理趨勢科技其他防病毒軟件產品；而 TMCM 可以直接管理趨勢科技其他防病毒軟件產品。 系統需求： 操作系統： Microsoft Windows 2000 Server/Advanced Server with Service Pack 3/4、Microsoft Windows Server 2003 Standard Edition / Enterprise Edition with Service Pack 1 處理器： Intel Pentium III 600MHz or above 內存： 512MB 磁盤空間： 至少 1GB 部署建議： 企業級用戶與單機用戶對防病毒方案需求的最大區別在于：防病毒策略的快速、有效部署；集中的管理和報警；針對新情況的全網絡產品快速升級。 趨勢科技公司特有的 TMCM 系統，能有效的將跨平臺、跨路由、跨產品的所有防毒產品的管理綜合起來。使管理人員能在單點實現對全網的管理。同時 TMCM 強大的日志和報表功能使管理人員更有效的控制內網病毒防護和病毒爆發的狀態。 該產品的部署也十分便捷。在本案例中，我們只需在 xxx 省 信息 中心專用防病毒服務器上安裝 TMCM 產品，同時將 TMCM 的安裝至分布于省中心及各 地市 中 ，在通過每一個地市的 TMCM 去管理各地市 的 IMSS、 ServerProtect 信息服務器