xxxxxxx客户虚拟化杀毒技术建议书.................................................................................................................................1.1.项目背景 (1)1.2.建设目标 (1)1.3.设计原则 (2)1.4.客户价值 (3).................................................................................................................................2.1.安全威胁分析 (3)2.2.安全必要性分析 (4)2.3.项目建设需求 (5).................................................................................................................................3.1.防病毒能力设计实现 (6)防病毒整体设计实现 (6)防病毒模块设计实现 (7)3.2.防病毒部署设计实现 (8)部署设计 (8)兼容性设计 (9)..........................................................................................................................项目概述1.1.项目背景随着[添加客户名称]市场业务和内部基础服务的极大拓展，现有的基础设施服务已经无法满足日益增长的业务、管理压力，数据中心空间、能耗、运维管理压力日益凸显。

[添加客户名称]借助VMware虚拟化技术，对基础设施服务进行扩展和优化改造，使原有或者新增资源得到更高效的利用，大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。

采用虚拟化技术，解决了企业信息化建设所面临的现有压力，又增强了企业基础设施稳定性和高效性。

虚拟化技术在支撑连续高效业务的同时，[添加客户名称]也面临着比传统基础设施上更严峻的安全挑战。

传统的数据中心病毒木马感染在虚拟化数据中心中仍然存在。

基于虚拟化的特殊性，这类传统的安全问题在虚拟化环境中更难被治理；与此同时，针对虚拟化环境特有的“防病毒风暴”、“升级风暴”、”启动风暴”等问题，传统的安全设计思想已经无法解决。

那么，如何设计和规划新的适应虚拟化环境的安全解决思路成为当前项目考虑的重要环节。

为了解决面向虚拟化环境的杀毒问题，本方案提供基于VMware虚拟化平台的深度结合杀毒方案，提供稳定高效的安全防护能力外，保证整个虚拟化平台性能开销处于较低水平。

1.2.建设目标根据《信息系统等级保护安全设计技术要求》（GB/T25070-2010），符合等级保护三级要求的信息系统硬件能够具备如下的安全防护能力：在统一安全策略下防护系统免受来自外部有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广等）以及其他相当危害程度的威胁（内部人员的恶意威胁、无意失误、较严重的技术故障等）所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

根据[添加客户名称]所在行业《[添加文件名称]》要求：[此处可添加文件、办法、法规的具体要求，可多罗列]基于上述管理办法及法规要求，本项目将为xxx客户建立虚拟化中虚拟主机层面的安全防护体系，实现对现有虚拟化环境中的虚拟机、物理机的统一安全管理，实现对虚拟机的安全防护，满足xxx客户对虚拟主机的安全防护要求。

1.3.设计原则[添加项目方案总体设计原则][单独虚拟化杀毒项目可采用下面内容]本方案设计充分考虑到信息安全系统建设的完整性，实现“分离式部署、集中化防护、统一化管理”大原则。

通过对[添加客户名称]全网虚拟化环境部署虚拟化杀毒系统，保证其虚拟化环境的文件安全，增强其抵御外界恶意文件感染破坏的能力。

实用性本项目防病毒能力建成后，能够为企业虚拟化环境中病毒防治相关制度落到实处。

针对企业内部IT系统的安全管理办法，虚拟化杀毒系统需要很好的支撑其IT相关运维工作和业务流。

先进性病毒、木马的变种、更新非常快，项目技术选择要具备极高的先进性。

病毒、木马的防治核心在于病毒库和病毒引擎的先进性。

建设的虚拟化杀毒系统需要应对新型的已知未知恶意文件的防治，同时保证在隔离情况下的自主主动防治能力。

安全性建设的虚拟化杀毒系统需要具备安全性，包括系统建设、运行的安全和系统管理的安全，当前系统的建设及运行对原网络及虚拟化系统不会造成任何安全风险。

另外，建设的虚拟化杀毒系统自身应具备抗攻击、抗破坏、无漏洞，保证新建系统不成为原有IT结构安全缺失的一环。

可靠性建设的虚拟化杀毒系统需要保证安全能力可靠性，不应该影响整个虚拟化运行和业务运行。

整个系统需要具备完善的逃逸机制：当系统某组件无法工作时，不会造成整体安全能力坍塌；当系统异常时，不会造成整体虚拟化环境运行中断；当系统异常时，不会造成整体业务的中断；当系统异常时，安全日志及配置数据可以逃逸。

可扩展性建设的虚拟化杀毒系统需考虑后期可拓展性，随着虚拟化平台规划和新增扩展，虚拟化杀毒系统需灵活适应，必要时自身能够进行扩展。

1.4.客户价值有机整合，最大化利用现有虚拟化架构衍生或扩展能力整体虚拟化杀毒所用架构主要利用虚拟化厂商目前所具备的扩展能力，无需额外新增其它厂商组件或者系统，最大化利用现有虚拟化架构的特性，将杀毒能力与虚拟化平台自身能力有机整合，实现统一的运营、管理模式。

先进技术，值得依赖的国内首屈一指的杀毒安防能力。

基于奇安信云端大数据+多引擎结合的方式，拥有全球最大的病毒木马特征库和黑白名单库，本地内置多种专利杀毒引擎，全面应对已知病毒、未知病毒威胁，并提供主动防御能力。

灵活扩展，安全能力持续附加虚拟化杀毒系统功能采用模块化设计，具备灵活的安全功能扩展能力。

客户可根据自身情况，灵活选择安全能力。

同时奇安信在云上的安全能力能够通过虚拟化杀毒系统持续附加给客户，帮助客户在应对应急事件、突发问题时能够进行快速决策和有效响应。

需求分析2.1.安全威胁分析数据中心虚拟化后，虚拟化基础架构除具有传统物理服务器的所有风险之外，同时也具备虚拟化新型技术下衍生出的安全问题。

通过奇安信在虚拟化、云计算上的丰富安全防治经验，结合目前互联网整体安全态势发展，我们认为目前虚拟化环境中病毒木马的安全威胁主要有以下几点：新型具备定向攻击性的病毒木马开始流行爆发近年爆发的勒索病毒和普通的病毒木马相比更具针对性和攻击性，主要针对内网进行感染破坏。

传统的静态防病毒体系无法全面防治勒索病毒，对各大政府、企业、高效造成了大面积的影响。

对于新型的病毒木马，需要采用更全、更快、更准的病毒库和更智能化的病毒引擎才能解决应对这类快速攻击型的病毒。

变形、加密类极具逃逸性的病毒木马增加了病毒防护难度随着病毒木马的产业链化，很多病毒木马为了逃脱杀毒系统的拦截，病毒木马自身进行了很强的隐匿和变形，以此混淆杀毒系统。

传统基于特征的杀毒引擎和病毒库已经无法应对这种弱特征的病毒木马恶意程序。

虚拟化环境成为病毒木马感染流行的温床虚拟化环境相比于传统IT架构，其系统单位呈指数级上升。

虚拟机临间隔离措施弱。

病毒木马传播和横向攻击难度低，一旦虚拟化环境某台虚拟机感染病毒，整个虚拟化环境都极有可能被感染。

针对虚拟化这种特殊的IT架构，传统的防病毒解决方案很难做到全面拦截和应对。

杀毒能力的高要求和虚拟化追求性能稳定相悖为了提高杀毒能力和杀毒效果，需要系统提供尽可能高的资源支撑。

在虚拟化环境资源利用率成倍增加的前提下，单位虚拟机所拥有的资源很有限。

目前传统的杀毒解决方案仍然立足于主机层面，此时杀毒能力的资源消耗和虚拟机有限的资源形成了矛盾。

虚拟化杀毒所引起的性能消耗，很可能导致虚拟化环境的不稳定，更严重导致整个业务中断。

总体上讲，在虚拟化环境中上，建设虚拟化杀毒能力，杀毒能力是首要考虑的指标，另外如何平衡杀毒能力和资源消耗成为衡量虚拟化中杀毒解决方案的重要指标。

2.2.安全必要性分析不管是虚拟化服务器还是物理服务器，它们都承载着最重要的数据。

因此，这些服务器很容易被内部外部的各种力量进行窥探、破坏、盗用。

服务器作为信息数据存储的最终载体，倘若服务器系统被入侵和破坏，整个数据也没有安全可言。

那么，防护服务器系统安全成为整个安全防护的最后一环。

通常，大部分的安全风险的直接受害者都是主机系统，例如病毒木马感染、网络入侵、数据破坏等。

所以，对于虚拟化环境的安全，服务器安全是必须进行防护的重要环节。

为了降低硬件的采购成本，提高服务器资源的利用率。

引入虚拟化技术带来IT基础架构的巨大更新，但并没有改变整个IT安全的防护范围，反而增加了虚拟化下IT基础设施的安全防护难度。

虚拟化中虚拟主机的灵活状态性，导致传统基于操作系统的安全防护方案失效。

加上，虚拟化的数据交换、内存交换、网络交换的复杂实时性，传统的基于文件和静态主体的防护模式很难针对虚拟化进行有效的防护。

因此，针对虚拟化特殊环境，不能采用传统的基于操作系统的安全防护模式，转而需要更贴合虚拟化环境特性的安全方案。

虚拟化技术的创新推进了硬件资源使用率的革新，资源利用率的高效使用是使用虚拟化技术的初衷。

通过前面分析，虚拟化的安全重要性不言而喻。

附加安全能力后，随之带来的是性能的耗损。

那么，在虚拟化中建设安全能力，将比传统的安全建设有更高的要求。

虚拟化的安全能力首先保证安全能力最大化的同时，不能对虚拟化整体资源造成巨大影响。

针对虚拟化环境，通过虚拟化技术解决虚拟化安全问题，才是虚拟化安全建设的核心思路。

建成基于虚拟化的虚拟化安全防护体系，才是虚拟化安全的必要建设目标。

2.3.项目建设需求[添加项目方案总体建设需求][单独虚拟化杀毒项目可采用下面内容]本次xxxx项目主要针对业务系统在虚拟化或云环境中面临的安全问题风险，依据云安全相关标准及行业最佳实践，为虚拟化或者云环境提供安全解决方案，提升整体虚拟化环境的安全防护能力。

主要包括防病毒木马防治、恶意文件防护、爆发型威胁主动防御，进一步保障业务系统在虚拟化环境的安全性，整体监控虚拟化环境的文件安全态势，管理和维护虚拟化环境的主机系统安全。

技术建议3.1.防病毒能力设计实现防病毒整体设计实现图1虚拟化防病毒系统整体设计实现本项目虚拟化防病毒系统通过与VMware vShield Endpoint（现在已经整合进VMware NSX）平台在虚拟化环境中对防病毒解决方案进行优化，在此平台的基础上，通过整合VMware vShield Endpoint，实现无代理形式的安全解决方案，为VMware虚拟化产品的用户提供相应的防护。