云安全多层次防毒解决方案

1.某单位安全项目综述

1.1. 项目背景

从2000年至今，互联网的发展日新月异，新的引用层出不穷。从Web1.0到Web2.0，从2G网络升级到3G网络。互联网接入从笨重的台式机，到轻巧的笔记本电脑，到现在的上网本和手机终端。随着互联网的发展，人们的工作和生活已经发生了翻天覆地的变化，与此同时，信息技术的发展也带来了安全威胁的发展。安全威胁的攻击，从单纯的攻击单台电脑，到攻击局域网，攻击公司网络，到现在整个互联网充斥着各种攻击威胁。

某单位在目前的网络安全大环境下，现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保某单位的业务连续性，避免病毒对某单位的数据，应用和网络带来威胁，必须对某单位的防病毒系统进行结构化的完善。

1.2. 云安全解决方案给某单位带来的安全提升

在部署应用了云安全多层次解决方案后（以下简称多层次安全解决方案），某单位的系统安全，应用安全和网络安全将进入到一个崭新的阶段。从以下八个角度可以看出，多层次安全解决方案给某单位带来的价值

1.3. 多层次安全解决方案组成

结合对某单位防病毒安全需求和现状分析以及需要达成的目标，趋势科技的云安全解决方案组成如下：

趋势公司 Trend Micro Secure Cloud Layer Protection 

包括：

l 趋势科技网络防毒墙设备: NVWE

l 趋势科技威胁发现设备：TDA

产品简要说明:

2. 某单位应用云安全多层次防护系统

2.1. 某单位基于云安全的多层次安全解决方案规划

l 技术规划：

Ø 主动防御：

趋势科技为某单位设计的基于云安全的多层次安全体系，能够主动防御已知和未知病毒。即使面对新病毒，还没有病毒码的情况下，某单位也在趋势科技防病毒体系下阻挡新病毒。

Ø 多层次：网络层-网络2-7层

1. 网络层：通过对终端的防病毒状态检查、重要系统补丁检查、网络病毒检测、网络管理服务和结合威胁发现方案对企业内部进行安全防护。

2. 网络2-7层：当病毒进入到某单位内部网络后，可以第一时间侦测病毒流量，定位病毒源头，将病毒事件遏制在源头。

Ø 多层次方案动态结合：全网威胁发现-网络威胁自动阻断-全网统一部署新病毒码

1. 全网威胁发现：通过全网威胁发现TDA解决方案在威胁发现的深度和广度，及时发现网内病毒传播情况并精确定位。

2. 网络威胁自动阻断：TDA发现威胁后，实时和网络防毒墙NVWE进行同步，并由NVWE在网络关键节点处进行有害流量阻断。

3. 全网统一部署新病毒码：在TDA和NVWE发现威胁同时，通过趋势科技中国防病毒实验室的处理，将发现的未知威胁及时加入Officescan终端的病毒码，在最短时间内将全网终端提升至最新防病毒状态。

2.2. 某单位基于云安全多层次防病毒系统详细设计

2.2.1. 网络防毒墙设备

趋势科技网络防毒墙设备－Network Virus Wall Enforcer

趋势科技网络防毒墙设备（简称NVWE)是一套针对网络病毒和终端安全评估的安全防护和策略控制的综合性网络解决方案。

产品外观：

产品配置：

产品功能：

l 网络蠕虫和僵尸攻击防护

     NVWEE在提供网络准入控制的同时，提供网络蠕虫和僵尸攻击防护。由于采用了漏洞签名识别技术，NVWEE可以广谱拦截网络威胁的变种，将受感染的网段隔离开来，阻止网络威胁的扩散。

l ARP病毒预防与阻止

      关键IP/MAC地址绑定：通过NVWEE控制台，管理员可根据具体情况随意绑定网关、DNS、邮件服务器等IP/MAC地址。当网络中有ARP欺骗广播包时，客户端将不会受到欺骗，保障了客户端的网络畅通。阻断网络中的ARP欺骗包：当网络中爆发ARP病毒时，客户端将阻断本地发送的ARP欺骗包，切断ARP病毒进程，使网络中的其他计算机不会再受到ARP欺骗包的攻击，同时保障整个网络中不再有大量的网络包，彻底杜绝因广播包过载而导致企业网络瘫痪的潜在威胁。ARP病毒源头定位：通过NVWEE控制台，管理员可准确的定位出网络中的ARP病毒源头，帮助管理员获取样本以便彻底清除病。

l 可靠的网络准入控制

      NVWEE执行下列检查：远程端口检查——通过远程执行网络端口扫描，检查任何与网络相连的设备的安全状态，从而确保每个连接到企业网络的用户——包括合作伙伴、临时工作人员以及访客——都使用了安全的无毒设备。临时动态检查——通过网络浏览器在设备中安装一个临时代理，可以收集更多的与设备安全特征相关的资料——包括与上百种防毒软件和近期Microsoft漏洞有关的信息。此外，临时代理可以检查注册表，从而可使管理员制定出更准确的安全策略。整个检查过程都是自动执行，无需终端用户的干预。随需安全——如果某个网络节点没有安装任何安全防护软件，NVWEE会在设备上自动安装一个安全代理，从而在用户和企业网络保持连接时提供临时的实时保护。

l 灵活隔离和自动修复

      一旦发现终端设备存在违反安全策略的状况，NVWEE就会将其隔离以进行修复。对于本地或远程机器，自动修复能够移除恶意代码和间谍软件，修复系统文件和注册表，终止系统内存中的病毒进程，恢复受损害的文件。一旦设备满足安全策略要求，就可以马上访问网络资源。

l 结合TDA威胁发现解决方案

      TDA发现威胁后，实时和网络防毒墙NVWEE进行同步，并由NVWE在网络关键节点处进行有害流量阻断。

l 易管理性

   无论是单台部署还是多台部署，NVWEE都可以为用户提供高度灵活的管理配置选项。单台设备的部署能够通过一个内置的Web控制台进行管理，而多台NVWEE设备部署的复杂性则可以借助趋势科技防毒墙控管中心TMCM实现单点集中管理。

l 用户认证

为了加强安全，NVWEE通过LDAP或Active Directory提供用户认证功能。

2.2.2. 主动式威胁发现设备

趋势科技威胁发现设备-Threat Discovery Appliance

产品外观：

产品规格：

产品功能：

l 在网络探测恶意威胁 

1. 探测未知和已知恶意威胁

2. 发现恶意威胁的信息窃取

3. 探测网络和电子邮件攻击——网络钓鱼和网络漏洞利用

l 探测网络中断行为

     1.中断性应用——P2P、即时讯息等

2. 中断性服务——SMTP中继、流氓DNS等

l 网络内容检测技术

1. 2-7层协议检测，80种以上协议

2. 全面的应用支持（超过120种应用） 

3. 可疑活动关联性

4. 文档内容扫描

l 联动云安全服务

1. 与Internet云安全数据库链接

• 对数据进行根源分析&关联性

• 对协议和应用进行名誉分析 

2.   恶意事件管理和汇报

• 面向客户的恶意事件分析

• 每日管理报告——事故响应

• 执行报告——整体安全情况

l 旁路部署

通过镜像数据进行分析，不会中断服务

产品特点：

• 对由恶意威胁造成的数据丢失风险的响应速度更快

• 清晰的安全状态可见性所带来的主动安全架构规划 

• 尽早发现新威胁并做出响应，从而节省了损害清除费用

• 破坏性应用程序检测，从而节省网络资源 

• 灵活的离线部署将网络中断降到最低

• 个性化的威胁管理经验带来更高的客户满意度

2.3. 某单位基于云安全多层次防病毒系统部署拓扑图

    如上图所示，在内网的核心交换上启用2个镜像端口，TDA直接与镜像端口连接，负责监控整个内网的数据流量；另外在服务器群之前部署NVWE可以有效控制病毒对于核心应用的影响。

 'yes'">联动云安全服务

1. 与Internet云安全数据库链接

• 对数据进行根源分析&关联性

• 对协议和应用进行名誉分析 

2.   恶意事件管理和汇报

• 面向客户的恶意事件分析

• 每日管理报告——事故响应

• 执行报告——整体安全情况

l 旁路部署

通过镜像数据进行分析，不会中断服务

产品特点：

• 对由恶意威胁造成的数据丢失风险的响应速度更快

• 清晰的安全状态可见性所带来的主动安全架构规划 

• 尽早发现新威胁并做出响应，从而节省了损害清除费用

• 破坏性应用程序检测，从而节省网络资源 

• 灵活的离线部署将网络中断降到最低

• 个性化的威胁管理经验带来更高的客户满意度

2.3. 某单位基于云安全多层次防病毒系统部署拓扑图

如上图所示，在内网的核心交换上启用2个镜像端口，TDA直接与镜像端口连接，负责监控整个内网的数据流量；另外在服务器群之前部署NVWE可以有效控制病毒对于核心应用的影响。