终端安全管理 > 趋势科技防毒墙控管中心—TMCM方案

趋势科技防毒墙控管中心—TMCM方案


2017/3/2 11:20:56 分享到:


1.1防病毒体系现状

随着信息化发展的不断深入,企业网络建设规模和应用发展越来越快,导致防毒产品、防毒策略、管理规章都存在很多不统一的地方。这种情况是防病毒工作的大敌,千里之堤,溃于蚁穴,任何一个节点被突破都会给网络整体性能带来巨大的危害。如果网络中个别的客户机系统感染病毒,染毒的客户端会不停地发送垃圾数据到网络上,形成一台机器感染,整个网络瘫痪的恶果。

企业内部的计算机终端逐渐增多,网络安全成为一个日益被关注的话题,其中防病毒是网络安全中最基本也是最为重要的一个环节。因此为了保证某单位的业务连续性、避免病毒对某单位的企业网络带来威胁,必须对某单位的防病毒系统进行完善。

同时,在大型企业网络安全管理中,防病毒管理具有明显的地域性,为了方便集中管理,需要有一套切实可行的集中管理机制,以方便管理员实时掌控全省防病毒状况。同时还要求按下属分支机构进行权限分派管理,不同地市的管理人员在中央控管体系中只能够管理到授权范围内的防病毒软件,包括防病毒策略设定、病毒码及扫描引擎升级等。因此,没有集中管理和统一部署的防毒系统是无效的防毒系统。

趋势科技的控制管理中心是一种多层安全管理解决方案,使管理员能够从一个中心位置控制防毒和内容安全软件或工具,而无论该程序或工具的物理位置或平台如何。此应用程序简化了公司中对病毒和内容安全策略的管理。

随着企业信息化程度的加深,按照某单位的项目要求,且针对某单位网络将来实际运行过程中可能遇到的各种安全威胁,计划在某单位网络使用趋势科技整体解决方案,建立一个全方位并易于管理的安全体系,保内部防病毒系统能够安全、稳定、可靠地运行。

1.2. 管控体系特点简述

本方案系对某单位的整体防病毒安全系统整合提出建议,采用基于业界最领先的防病毒产品――趋势科技(Trend Micro)公司的产品和解决方案。

1. 分级管理,集中控制的三层次防病毒体系:鉴于某单位防病毒体系涉及到了省公司信息中心,下属分地市公司以及大量的防病毒客户端,趋势科技为某单位防病毒所设计的防病毒体系,采用了三层次的架构,从省公司信息中心,到地市分公司,最终到每一个客户端。同时,整个防病毒系统中的病毒日志都可以集中收集到省公司信息中心。通过趋势科技中央控管产品单一的界面将某单位网络中的所有防病毒系统进行整合,做到“以点盖面”,一个IT管理员人员就能够轻松的控制某单位网络中的整个防病毒系统;同时,整个防病毒系统中的病毒日志都可以集中收集。

2. 防病毒体系的完整可管理性:对于整个某单位整体的防病毒系统的中央控管则可以通过趋势科技中央控管软件TMCM来整体中央控管。采用全方位,多层次防毒的方式,部署多层次病毒防线, 

3. 没有集中管理的防毒系统是无效的防毒系统。在某单位的方案中,趋势科技构建了跨子网,跨地市的集中管理系统,保证了整个防毒产品可以从管理系统中及时得到更新,同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。

1.3. 某单位所达到的效果

某单位希望部署趋势科技防病毒整体解决方案后,能够达到以下效果:

所有防毒软件的升级、防毒策略的制定,通过控管系统集中实现,一方面保证所有防毒软件得到即时更新,另一方面保证整个防毒策略的一致。同时生成整个某单位统一的病毒报告日志,便于系统管理人员即时对病毒发现情况进行掌握,制定更加有效的网络平台安全使用策略,实现真正意义上的集中控管。

1.4. 防病毒体系整体管控平台建议 

1.4.1. 管控结构

为了构建一个强壮、有效的防病毒体系,在分析了某单位网络架构及相关应用之后,针对潜在的病毒传播威胁,趋势科技建议采用结合产品、防御策略、服务为一体的防病毒体系。

由于某单位防病毒管理具有明显的地域性,为了方便集中管理,需要有一套切实可行的集中管理机制,以方便管理员实时掌控全省防病毒状况。同时还要求按地市进行权限分派管理,不同地市的管理人员在中央控管体系中只能够管理到本地市范围内的防病毒软件,包括防病毒策略设定、病毒码及扫描引擎升级等。

趋势科技在为某单位设计的防病毒体系中,充分考虑到集中及分权管理的需求,构建逻辑结构为二层的防病毒体系:

                    管控结构示意图

第一层:中央管理层(省中心)

在省中心部署趋势科技中央控管产品TMCM,该管理软件能够对部署在全省范围的防病毒软件进行集中化的监控及管理。借助其层叠全球控制台的分布式管理服务器的功能和全球合并报告的功能,将各个地市的趋势科技中央控管TMCM统一控管起来,即通过省中心的TMCM就能够直接和间接管理到某单位全省网络中所有计算机和所有趋势科技防病毒软件产品。同时各地市的防病毒管理人员可以直接通过部署在该地市TMCM,对该地市内网络中所有计算机和所有趋势科技防病毒软件产品统一控管。通过TMCM和TMCM的结合,就可以做到:省中心的中央控管整个省防病毒系统,各地市分别控管各自网络内部的防病毒系统。

第二层:产品层(省中心、及各地市)

把三层防病毒体系的第二层放在了省中心及各地市(以下简称为各地市),考虑到一方面需要防病毒系统的集中管理,同时也各地市防病毒系统权限下放以及本地化管理的要求,为了减少省中心防病毒工作的压力,将管理工作分发至各地市分完成,建议在各个地市分别设立TMCM,客户机及服务器防护的管理控制中心。这样,各地市的管理人员可根据各地市的实际情况进行管理,而省中心的管理人员可通过TMCM产品对各地市部署TMCM进行集中控管,监控病毒日志,给予指导意见。此外,采用这种架构,可有效降低防病毒系统对原有网络性能的影响。对于网络性能的影响主要表现在病毒码及扫描引擎的更新上,如果采用这种架构,中央控管产品获取该病毒码后,可实时分发至各地市相应的TMCM,然后通过各地市的TMCM再部署至各个产品的服务器段,最后分发到被管理的客户端上。这样就可以保证会占用大量网络带宽的这一分发过程可以在高带宽的条件下完成(LAN 100M)。备注:各地市的防病毒软件产品也可以直接从Internet升级病毒码和扫描引擎。

1.4.2. 集中升级架构

当Internet上有趋势科技发布的新的更新组件时(如预防策略、病毒代码、扫描引擎、清除工具、漏洞特征码等),某单位X的总控管中心可以自动从趋势科技更新服务器上获得更新(如果不能从Internet自动更新,可通过下载更新包运行后完成升级),总控管中心一旦获得更新,就会自动分发给各分控管中心和直属防毒子系统,分控管中心收到后,也会自动分发给各地市局产品层控管中心,产品层控管中心会将更新组件分发至防毒子系统的各个网络节点,整个更新组件的升级过程如下所示:

在整个更新组件分发过程中,总控管中心只需向每个分控管中心分发一份更新组件,分控管中心向产品层控管中心再分发一份更新组件,就可迅速完成整个某单位X防毒组件的更新,大大节省了更新带宽,提高了更新速度。

1.4.3 策略下发机制

总控管中心可以基于整个防毒系统、某一分控管中心、某一产品层控管中心、某一节点等多种情况执行策略下发,当某一层接收到下发策略后,会再逐级下发,直至下发至每个防毒节点,整个下发机制类似防毒组件更新的下发。

在防护策略的下发过程中,总控管中心分发给所有分控管中心和总局直属防毒子系统;分控管中心分发给地市局产品层控管中心和省直属防毒子系统;各地市局产品层控管中心接受到防护策略后,再分发至防毒系统中的每个节点,即每台服务器、每台客户端。

1.4.4日志信息的聚合

当一个防毒节点完成病毒处理、更新、启动等事件后,防毒节点就会将其日志信息发送给防毒产品层控管中心,产品层控管中心接收到后,在保存日志的同时,会根据信息过滤设定将日志发送给分控管中心,分控管中心在保存信息后,会根据信息过滤设定将设定信息发送给总控管中心。

在总控管中心上完成整个防毒系统的信息聚合,在分控管中心上完成省级防毒系统的信息聚合,在产品层控管理中心上完成所辖防毒节点的信息聚合。

1.4.5. 控管系统功能特点

    l 通过TMCM可实现对防毒软件的病毒代码、扫描引擎、升级程序、防护策略、垃圾邮件列表的集中分发、管理。

    2 可实现对病毒侵入情况、各系统防毒情况、防毒软件的工作情况等的集中监控。并且由于TMCM采用Web管理方式,使得管理人员可以通过任何一台联网的计算机方便地访问TMCM,减轻了管理人员的负担。

    3 可实现对所有防毒软件的集中管理、集中设置、集中维护。管理人员可以通过TMCM的统一界面管理防毒软件。

    4 可以对被管理的防毒服务器的配置进行复制,保证一台设定好后,可以将相同配置轻松复制给其它多台服务器,保证防毒配置的一致性。

    5 可对整个系统内的病毒入侵情况设置各种消息通报方式,对病毒的爆发进行报警。

    6 可集中获得防毒系统的日志信息。管理人员可方便地对系统情况进行汇总和分析。

    7 TMCM本身具备强大的帐号管理功能,不同级别管理员拥有独立的管理账号,可以对自己的区域进行独立管理,整个管理结构可以根据实际需要进行灵活的调整。

    8 TMCM具备灾后集中清除及漏洞分析功能,不仅可以进行整个网络的集中病毒扫描工作,还可以针对系统漏洞提供报告,使得整个网络更加强健。

    9 通过使用B/S结构的体系架构,TMCM能够对网络中部署的不同应用层次、不同操作系统基础上的全系列趋势科技防病毒产品进行实时监控,建立网络内完整的层次化更新体系,收集和汇总全网络范围内的病毒事件,通过单一节点进行病毒爆发期间的紧急反应。

    10 趋势科技防毒墙总局控管服务器(TMCM)通过与被管辖节点的通讯,采集全网范围内的安全事件信息,这些重要信息到达TMCM服务器后,采用Microsoft SQL或MSDE作为数据库进行存储,不仅数据容量大,而且为管理员进行数据查询创造了条件。趋势科技防毒墙总局控管服务器(TMCM)自带的基于浏览器的管理控制台为管理员提供了预先定义的查询界面,完全能够满足日常管理需要,同时当需要进行特殊的查询时,也允许管理员跨过管理控制台界面,对后台数据库进行直接的操作。

    11 趋势科技防毒墙总局控管服务器(TMCM)基于浏览器的管理控制台,与其对趋势科技全线防病毒产品(包括对Windows、Linux、Unix平台上的各种应用)的管理特性,有效降低了防病毒管理的复杂性,对确保全局性的高安全水准具有重要意义。在此基础上,趋势科技防毒墙总局控管服务器(TMCM)提供的“病毒爆发预防策略(OPP)”,能够在高危险性病毒发作,且防病毒代码库尚未得到更新时,对网络进行前置的防护,控制病毒蔓延态势,为防病毒争取宝贵的时间。

    12 自动报表功能可以在指定的时间,针对指定的范围和指定的项目进行数据汇总操作,并将所形成的安全信息报告发送到指定的管理员邮箱中。这一功能不仅适用于全局性管理,同时可以帮助分区管理员,例如专门的邮件系统管理员、某个院系范围局域网的管理员等,及时了解在其职责范围内发生的安全事件,并及时采取处理措施。

    13 趋势科技防毒墙总局控管服务器(TMCM)的产品管理功能也非常有助于日常管理工作。可以对被管理节点设置心跳检查,当一定时长内被管理节点没有心跳信号报告时,则从总局管理控制台发出警报信息,提醒管理员进行人工干预。所有相关操作信息都将记录到服务器事件日志中,供管理员进行分析。

    14 趋势科技防毒墙总局控管服务器(TMCM)可以作为整个网络范围内的更新源,对所有被管理节点,包括服务器和客户端进行更新请求响应。通过这一工作方式,可以在确保网络内的防毒组件得到及时更新的同时,避免因更新产生巨大和不必要的跨广域网流量。对于节点数量巨大的网络环境来说,这一功能是非常必要的。

    15 上述管理功能通过Web方式实现,管理员可以通过浏览器方便地获取信息和下达指令。后台数据库可以选择内置MSDE数据库或安装MS SQL服务器,可以方便地和主流系统管理软件及报表生成软件配合使用。

    16 针对网络现行的跨广域网多层次管理体系,趋势科技集中管理服务器不仅能够很好地再现网络结构,而且通过提供加密的数据传输和多级的权限管理,很好地保护了管理体系的完整。

    17 TMCM服务与TMCM Agent基于固定端口进行通讯(TCP10319),通过防火墙的配置,可以很容易地实现跨广域网的管理。