终端安全管理 > 云安全多层次防毒解决方案
云安全多层次防毒解决方案
2017/3/15 11:15:33 分享到:
1.某单位安全项目综述
1.1. 项目背景
从2000年至今,互联网的发展日新月异,新的引用层出不穷。从Web1.0到Web2.0,从2G网络升级到3G网络。互联网接入从笨重的台式机,到轻巧的笔记本电脑,到现在的上网本和手机终端。随着互联网的发展,人们的工作和生活已经发生了翻天覆地的变化,与此同时,信息技术的发展也带来了安全威胁的发展。安全威胁的攻击,从单纯的攻击单台电脑,到攻击局域网,攻击公司网络,到现在整个互联网充斥着各种攻击威胁。
某单位在目前的网络安全大环境下,现有的防病毒安全系统已经无法承载日新月异的威胁攻击。为了确保某单位的业务连续性,避免病毒对某单位的数据,应用和网络带来威胁,必须对某单位的防病毒系统进行结构化的完善。
1.2. 云安全解决方案给某单位带来的安全提升
在部署应用了云安全多层次解决方案后(以下简称多层次安全解决方案),某单位的系统安全,应用安全和网络安全将进入到一个崭新的阶段。从以下八个角度可以看出,多层次安全解决方案给某单位带来的价值
1-完整性 | 结合现有的安全产品,多层次安全解决方案提供给某单位,从终端,到应用系统,邮件系统,到Web互联网关,甚至ISO2-7层多达80多种协议的侦测。彻底阻断的病毒可能入侵和传播的途径。 |
2-有效性 | 多层次安全解决方案彻底杜绝了病毒重复感染,病毒源头无法定位的弊端。使得某单位在病毒安全防护系统有了质的飞跃。 |
3-智能性 | 利用趋势科技未知威胁侦测系统TDA,能够7*24小时主动发现和定位某单位网络环境中的未知和已知的威胁攻击。彻底解决了传统防病毒体系无法有效防护新的未知威胁。 |
4-可靠性 | 趋势科技能够为某单位提供7*24小时防病毒系统主动监控,确保整个防病毒系统不间断的进行运作 |
5-稳定性 | 考虑到某单位的计算机可用资源率,内部系统应用和网络架构,趋势科技提出的多层次安全解决方案能够最大程度的减少对某单位各种资源的消耗,并且确保整个解决方案的兼容性。 |
6-管理性 | 趋势科技多层次安全解决方案能够全网任意终端登陆,进行全局的管理、设定和网络层策略设定,日志查询,并且能够统一生成全局报表。进行横向和纵向的安全情况分析,得出相应的加强措施。 |
7-扩展性 | 趋势科技多层次安全解决方案能够连接趋势科技云安全平台,利用趋势科技全球云安全技术平台的海量安全数据,彻底帮助某单位提升现有的安全级别。 |
8-节省人力资源 | 多层次的安全防护系统,因为具有以上特性,故能够让某单位完全摆脱先前的被动式的防护,最大程度的减少某单位之前的防病毒系统需要大量人力资源去维护,去终端查杀病毒等等繁琐的工作,提升某单位安全项目组人均生产力。也侧面提升了所有终端用户的人均生产力。 |
1.3. 多层次安全解决方案组成
结合对某单位防病毒安全需求和现状分析以及需要达成的目标,趋势科技的云安全解决方案组成如下:
趋势公司 Trend Micro Secure Cloud Layer Protection
包括:
l 趋势科技网络防毒墙设备: NVWE
l 趋势科技威胁发现设备:TDA
产品简要说明:
产品功能及用途 | 产品名称 | 功能 |
未知威胁发现设备 | TDA | l 在网络探测未知或者已知的恶意威胁 l 定位网络中的未知或者已知的威胁攻击源头 l 网络内容检测技术 l 侦测多达80多种协议 l 全面发现 SecureCloud服务 |
网络防毒墙 | NVWE | 趋势科技NVWE是高效的企业级网络层防毒设备,可协助某单位阻止各种通过网络病毒的感染。通过对终端的防病毒状态检查、重要系统补丁检查、网络病毒检测、网络管理服务和结合威胁发现方案对企业内部进行安全防护。 |
2. 某单位应用云安全多层次防护系统
2.1. 某单位基于云安全的多层次安全解决方案规划
l 技术规划:
Ø 主动防御:
趋势科技为某单位设计的基于云安全的多层次安全体系,能够主动防御已知和未知病毒。即使面对新病毒,还没有病毒码的情况下,某单位也在趋势科技防病毒体系下阻挡新病毒。
Ø 多层次:网络层-网络2-7层
1. 网络层:通过对终端的防病毒状态检查、重要系统补丁检查、网络病毒检测、网络管理服务和结合威胁发现方案对企业内部进行安全防护。
2. 网络2-7层:当病毒进入到某单位内部网络后,可以第一时间侦测病毒流量,定位病毒源头,将病毒事件遏制在源头。
Ø 多层次方案动态结合:全网威胁发现-网络威胁自动阻断-全网统一部署新病毒码
1. 全网威胁发现:通过全网威胁发现TDA解决方案在威胁发现的深度和广度,及时发现网内病毒传播情况并精确定位。
2. 网络威胁自动阻断:TDA发现威胁后,实时和网络防毒墙NVWE进行同步,并由NVWE在网络关键节点处进行有害流量阻断。
3. 全网统一部署新病毒码:在TDA和NVWE发现威胁同时,通过趋势科技中国防病毒实验室的处理,将发现的未知威胁及时加入Officescan终端的病毒码,在最短时间内将全网终端提升至最新防病毒状态。
2.2. 某单位基于云安全多层次防病毒系统详细设计
2.2.1. 网络防毒墙设备
趋势科技网络防毒墙设备-Network Virus Wall Enforcer
趋势科技网络防毒墙设备(简称NVWE)是一套针对网络病毒和终端安全评估的安全防护和策略控制的综合性网络解决方案。
产品外观:
产品配置:
产品功能:
l 网络蠕虫和僵尸攻击防护
NVWEE在提供网络准入控制的同时,提供网络蠕虫和僵尸攻击防护。由于采用了漏洞签名识别技术,NVWEE可以广谱拦截网络威胁的变种,将受感染的网段隔离开来,阻止网络威胁的扩散。
l ARP病毒预防与阻止
关键IP/MAC地址绑定:通过NVWEE控制台,管理员可根据具体情况随意绑定网关、DNS、邮件服务器等IP/MAC地址。当网络中有ARP欺骗广播包时,客户端将不会受到欺骗,保障了客户端的网络畅通。阻断网络中的ARP欺骗包:当网络中爆发ARP病毒时,客户端将阻断本地发送的ARP欺骗包,切断ARP病毒进程,使网络中的其他计算机不会再受到ARP欺骗包的攻击,同时保障整个网络中不再有大量的网络包,彻底杜绝因广播包过载而导致企业网络瘫痪的潜在威胁。ARP病毒源头定位:通过NVWEE控制台,管理员可准确的定位出网络中的ARP病毒源头,帮助管理员获取样本以便彻底清除病。
l 可靠的网络准入控制
NVWEE执行下列检查:远程端口检查——通过远程执行网络端口扫描,检查任何与网络相连的设备的安全状态,从而确保每个连接到企业网络的用户——包括合作伙伴、临时工作人员以及访客——都使用了安全的无毒设备。临时动态检查——通过网络浏览器在设备中安装一个临时代理,可以收集更多的与设备安全特征相关的资料——包括与上百种防毒软件和近期Microsoft漏洞有关的信息。此外,临时代理可以检查注册表,从而可使管理员制定出更准确的安全策略。整个检查过程都是自动执行,无需终端用户的干预。随需安全——如果某个网络节点没有安装任何安全防护软件,NVWEE会在设备上自动安装一个安全代理,从而在用户和企业网络保持连接时提供临时的实时保护。
l 灵活隔离和自动修复
一旦发现终端设备存在违反安全策略的状况,NVWEE就会将其隔离以进行修复。对于本地或远程机器,自动修复能够移除恶意代码和间谍软件,修复系统文件和注册表,终止系统内存中的病毒进程,恢复受损害的文件。一旦设备满足安全策略要求,就可以马上访问网络资源。
l 结合TDA威胁发现解决方案
TDA发现威胁后,实时和网络防毒墙NVWEE进行同步,并由NVWE在网络关键节点处进行有害流量阻断。
l 易管理性
无论是单台部署还是多台部署,NVWEE都可以为用户提供高度灵活的管理配置选项。单台设备的部署能够通过一个内置的Web控制台进行管理,而多台NVWEE设备部署的复杂性则可以借助趋势科技防毒墙控管中心TMCM实现单点集中管理。
l 用户认证
为了加强安全,NVWEE通过LDAP或Active Directory提供用户认证功能。
2.2.2. 主动式威胁发现设备
趋势科技威胁发现设备-Threat Discovery Appliance
产品外观:
产品规格:
产品功能:
l 在网络探测恶意威胁
1. 探测未知和已知恶意威胁
2. 发现恶意威胁的信息窃取
3. 探测网络和电子邮件攻击——网络钓鱼和网络漏洞利用
l 探测网络中断行为
1.中断性应用——P2P、即时讯息等
2. 中断性服务——SMTP中继、流氓DNS等
l 网络内容检测技术
1. 2-7层协议检测,80种以上协议
2. 全面的应用支持(超过120种应用)
3. 可疑活动关联性
4. 文档内容扫描
l 联动云安全服务
1. 与Internet云安全数据库链接
• 对数据进行根源分析&关联性
• 对协议和应用进行名誉分析
2. 恶意事件管理和汇报
• 面向客户的恶意事件分析
• 每日管理报告——事故响应
• 执行报告——整体安全情况
l 旁路部署
通过镜像数据进行分析,不会中断服务
产品特点:
• 对由恶意威胁造成的数据丢失风险的响应速度更快
• 清晰的安全状态可见性所带来的主动安全架构规划
• 尽早发现新威胁并做出响应,从而节省了损害清除费用
• 破坏性应用程序检测,从而节省网络资源
• 灵活的离线部署将网络中断降到最低
• 个性化的威胁管理经验带来更高的客户满意度
2.3. 某单位基于云安全多层次防病毒系统部署拓扑图
如上图所示,在内网的核心交换上启用2个镜像端口,TDA直接与镜像端口连接,负责监控整个内网的数据流量;另外在服务器群之前部署NVWE可以有效控制病毒对于核心应用的影响。
'yes'">联动云安全服务
1. 与Internet云安全数据库链接
• 对数据进行根源分析&关联性
• 对协议和应用进行名誉分析
2. 恶意事件管理和汇报
• 面向客户的恶意事件分析
• 每日管理报告——事故响应
• 执行报告——整体安全情况
l 旁路部署
通过镜像数据进行分析,不会中断服务
产品特点:
• 对由恶意威胁造成的数据丢失风险的响应速度更快
• 清晰的安全状态可见性所带来的主动安全架构规划
• 尽早发现新威胁并做出响应,从而节省了损害清除费用
• 破坏性应用程序检测,从而节省网络资源
• 灵活的离线部署将网络中断降到最低
• 个性化的威胁管理经验带来更高的客户满意度
2.3. 某单位基于云安全多层次防病毒系统部署拓扑图
如上图所示,在内网的核心交换上启用2个镜像端口,TDA直接与镜像端口连接,负责监控整个内网的数据流量;另外在服务器群之前部署NVWE可以有效控制病毒对于核心应用的影响。