服务器整体安全防护解决方案一、重新思考服务器所面临的安全问题31、1成为企业生产运行和业务运转的根本31、2企业应用改变带来的挑战31、3受到不断变化新威胁攻击的挑战31、4法律法规带来的要求3二、服务器整体安全防护三阶段42、1【阶段一：初级阶段】XXXXX：保障业务和身缠的连续性和不间断42、2【阶段二：中级阶段】XXXXX：确保安全事件可管理和可控制52、3【阶段三：高级阶段】XXXXX：实现设定的安全目标和提升安全KPI5三、安全防护三阶段的实现53、1实现第一阶段目标的步骤和方法53、2实现第二阶段目标的步骤和方法63、3实现第三阶段目标的步骤和方法73、4 不断提升服务器安全PDCA模型83、5服务器安全整体安全防护的技术实现93、5、1 DeepSecurity的五大安全模块93、5、2 DeepSecurity的架构113、5、3 DeepSecurity支持的操作系统和应用123、5、4 DeepSecurity提供服务器安全事件统一监控平台12四、为企业定制的服务器安全防护的最佳实践144、1 服务器分类144、2 正式上线前的小范围测试环节144、3 正式上线步骤144、4 针对企业服务器主要安全策略应用最佳实践154、5 建立服务器安全事件管理流程214、6 设定服务器安全管理KPI22五、防护虚拟化服务器的安全23六、DeepSecurity对企业带来的价值24七、服务器防病毒25八、安全策略更新服务25一、重新思考服务器所面临的安全问题1、1 成为企业生产运行和业务运转的根本随着信息化和互联网的深入，很难想象脱离了网络，现代企业如何才能进行正常运转。

而服务器所承载的企业核心数据，核心应用甚至企业的核心知识产权等等，让企业已经无法脱离服务器。

1、2 企业应用改变带来的挑战l Web应用：80%的具有一定规模的行业用户或者企业用户都有会自己的Web网站和基于Web的应用。

l 虚拟化应用：出于资源利用，系统整合以及绿色IT的需要，虚拟化已经在企业内部有了大量的应用。

l 私有云计算的应用企业对于计算能力，对于业务应用等需求，已经在公司网络内部建立的私有云计算系统。

以上这些应用给服务器的安全带来了更大的挑战，传统的安全措施已经不能满足现在IT系统，服务器系统的安全要求。

1、3 受到不断变化新威胁攻击的挑战从2000年至今，互联网的发展日新月异，新的引用层出不穷。

从Web1、0到Web2、0，从2G网络升级到3G网络。

互联网接入从笨重的台式机，到轻巧的笔记本电脑，到现在的上网本和手机终端。

随着互联网的发展，人们的工作和生活已经发生了翻天覆地的变化，与此同时，信息技术的发展也带来了安全威胁的发展。

安全威胁的攻击，从单纯的攻击单台电脑，到攻击局域网，攻击公司网络，到现在整个互联网充斥着各种攻击威胁。

在目前的网络安全大环境下，现有的防病毒安全系统已经无法承载日新月异的威胁攻击。

为了确保企业的业务连续性，避免病毒对企业的数据，应用和网络带来威胁，必须对企业的安全系统进行结构化的完善，尤其在服务器的安全防护上，在过去的几年中，大部分企业都存在一定的不足。

1、4 法律法规带来的要求中国信息安全等级保护制度和C-SOX，以及国外的PCI, HIPAA, SAS-70, SOX, GLBA等法律法规，从法律上也要求了企业在内部信息系统上，达到一定的安全等级和应用一定的安全策略。

二、服务器整体安全防护三阶段趋势科技根据20多年来在安全产业的经验，为企业设计了服务器整体安全防护的三阶段，这三个阶段的核心是利用PDCA模型，对服务器的安全进行不断循环并且前进的管理方式。

每一个阶段都设定了明确的技术目标或安全管理目标。

通过部署安全技术，管理和控制安全事件来实现最终的安全目标和安全的KPI，把服务器安全用流程管理起来。

2、1【阶段一：初级阶段】XXXXX：保障业务和身缠的连续性和不间断阶段一的主要目标是：主动实时监控或防御服务器漏洞被攻击以及内容被篡改等安全事件；对服务器进行必要的访问控制管理2、2【阶段二：中级阶段】XXXXX：确保安全事件可管理和可控制阶段二的主要目标是：提供服务器安全审计及攻击事件报告2、3【阶段三：高级阶段】XXXXX：实现设定的安全目标和提升安全KPI阶段三的主要目标是：建立服务器安全事件管理流程三、安全防护三阶段的实现趋势科技会根据企业的综合情况，为企业定制各个细项的步骤，来协助企业实现服务器安全防护三阶段。

3、1实现第一阶段目标的步骤和方法第一阶段的主要工作是对和服务器相关的所有信息进行综合分析，包括：业务分类，应用分类和重要性分类等等。

所有对服务器进行的安全防护必须以保障企业业务和生产的稳定为前提。

所以在第一阶段中，趋势科技建议采用四大步骤来实现阶段一中的所以目标：l 步骤一：对服务器所承载的企业业务，应用和重要性进行分类。

如此，才能在后续的步骤中，做到有针对性的分析和防护，真正的做到有的放矢。

l 步骤二：对服务器进行安全扫描，并设立安全基准线。

如此，才能保持企业所有的服务器有一个最基本的安全阀值，后续安全管理员可以根据不同的分类进行进一步的有针对性的安全策略配置。

l 步骤三：设计安全策略模板，并根据步骤一中的分类，分门别类的进行应用。

如此，可以形成一个策略池，在策略池中，根据服务器的不同分类，有不同的策略。

安全管理员可以很方便的进行策略的查询和应用l 步骤四：管理安全状态和监控异常。

进入到安全策略生效和管理中3、2实现第二阶段目标的步骤和方法第二阶段进入了日常运营阶段，在第二阶段中，三个步骤将会采用PDCA的模型进行操作。

l 步骤一：延续阶段一进入到服务器安全日常运营阶段，实时处理重要安全事件。

l 步骤二：每天/周/月审查整合和分类安全报告。

l 步骤三：根据安全事件审查结果进行策略的优化，形成PDCA循环往复的过程。

3、3实现第三阶段目标的步骤和方法第三阶段企业将进入到更高级别的服务器安全管理阶段，在这个主要有四个步骤l 步骤一：设定安全目标和KPI。

不断加强和稳固服务器的安全性，通过设定目标并且达成目标，以配合企业业务的发展，l 步骤二：建立流程并且配套资源。

为了实现目标和KPI，必须有一套行之有效的流程以及整合必须的资源。

在这个步骤中，趋势科技为企业设计了定制的流程，来确保在企业的资源和能力范围内，能够达到安全目标。

l 步骤三：评估结果和目标的落差。

定期的Review落差，以明确整个服务器安全体系中，哪些个环节有落差。

l 步骤四：协调资源弥补落差。

在定位到落差后，需要协调资源来弥补落差，3、4 不断提升服务器安全PDCA模型趋势科技为企业设计的服务器安全模型，整体采用的是以PDCA为核心的体系。

如此才能把服务器的安全目标和KPI 不断提升。

为企业业务的发展提供稳固的支撑。

3、5服务器安全整体安全防护的技术实现3、5、1 DeepSecurity的五大安全模块通过TrendMicro服务器整体安全防护解决方案DeepSecurity的五大安全模块提供：防【毒防护模块】XXXXX：提供安全内容过滤【firewall模块】XXXXX：提供控制访问【DPI深度包检测模块】XXXXX：提供监控及主动防御攻击【Integrity Monitor模块】XXXXX：提供检测系统和应用程序运行状态及恢复被恶意修改的组件【Log Inspection模块】XXXXX：审计系统事件和应用程序事件底层病毒防护l 无需安装客户端l 提供实时安全内容过滤l 提供手动安全内容过滤l 提供计划安全内容过滤l 给予专用API接口提高运行效率3、5、2 DeepSecurity的架构DeepSecurity的组件序号DeepSecurity的组件组件说明部署1DeepSecurity Manager（DSM）DeepSecurity服务器安全防护系统的管理控制端，负责管理和维护整个系统控制端只需要部署一套2DeepSecurity Agent（DSA）DeepSecurity的客户端，提供四大安全防护功能直接安装在服务器的操作系统上3DeepSecurity Virtual Appliance（DSVA）DeepSecurity独创的新技术，用来防护虚拟服务器直接安装在Vmware的ESX Server上，并且能够和Vcenter服务器做联动4DeepSecurity Security CenterDeepSecurity的全球安全策略更新服务器。

DSM会定期的去下载最新的安全更新3、5、3 DeepSecurity支持的操作系统和应用操作系统 Windows (2000, XP,2003, Vista), Sun Solaris (8,9,10), Red Hat EL (4,5), SuSE Linux (9)，AIX，HP-Unix数据库 Oracle, MySQL, Microsoft SQL Server, Ingres Web 服务器 Microsoft IIS, Apache, Apache Tomcat, Microsoft Sharepoint邮件服务器Microsoft Exchange Server, Merak, IBM Lotus Domino, Mdaemon, Ipswitch, Imail, MailEnable Professional FTP 服务器 Ipswitch, War FTP Daemon, Allied Telesis备份服务器 Computer Associates, Symantec, EMC 存储服务器 Symantec, Veritas DHCP 服务器 ISC DHCPD 邮件客户端 Outlook Express, MS Outlook, Windows Vista Mail, IBM Lotus Notes, Ipswitch IMail Client 其他应用 Samba, IBM Websphere, IBM Lotus Domino Web Access, X、Org, X Font Server prior, Rsync, OpenSSL, Novell Client3、5、4 DeepSecurity提供服务器安全事件统一监控平台如下图所示，在DeepSecurity整体架构中，DeepSecurity Manager（DSM）除了提供统一策略配置和管理之外，同时还提供服务器安全事件统一监控管理。

管理员可以通过DSM 对服务器群的所有安全事件进行管理，便于及时采取对应的安全防护措施。

同时，DSM也会提供各种安全事件报表。

l 安全事件报警报告l 攻击事件报告l 防火墙事件报告l 提供取证的计算机审计报告l 服务器信息报告l 完整性检查报告l 完整性检查详细的篡改报告l 深度包过滤事件报告l 日志审计报告l 日志审计详细报告l 服务器推荐扫描报告l 疑似应用程序活动报告l 系统事件报告l 系统报告l 总结报告四、为企业定制的服务器安全防护的最佳实践4、1 服务器分类l 按照应用分类Web Server/DB Server/邮件服务器/OA 应用服务器/文件服务器/生产服务器等等l 按照重要性分类不可停机，可短暂停机或可停机。