数据中心信息安全解决方案.docx
《数据中心信息安全解决方案.docx》由会员分享,可在线阅读,更多相关《数据中心信息安全解决方案.docx(19页珍藏版)》请在冰豆网上搜索。
数据中心信息安全解决方案
数据中心解决方案
(安全)
第一章信息安全保障系统
一.1系统概述
信息安全保障系统是集计算环境安全、安全网络边界、通信网络安全以及安全管理中心于一体的基础支撑系统。
它以网络基础设施为依托,为实现各信息系统间的互联互通,整合各种资源,提供信息安全上的有力支撑.系统的体系架构如图所示:
图1.信息安全保障系统体系架构图
信息系统安全是保障整个系统安全运行的一整套策略、技术、机制和保障制度,它涵盖系统的许多方面,一个安全可靠的系统需要多方面因素共同作用。
一.2安全标准
在数据中心建设中,信息系统安全依据《信息系统等级保护安全设计技术要求》(GB/T24856—2009)二级防护要求进行设计。
该标准依据国家信息安全等级保护的要求,规范了信息系统等级保护安全设计技术要求,标准适用于指导信息系统运营使用单位、信息安全企业、信息安全服务机构开展信息系统等级保护安全技术方案的设计和实施,也可作为信息安全职能部门进行监督、检查和指导的依据.
信息安全等级保护是我国信息安全的基本制度、基本政策、基本方法。
已出台的一系列信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准,为信息安全等级保护工作的开展提供了法律、政策、标准依据。
国家标准《信息安全技术信息系统等级保护安全设计技术要求》是根据中国信息安全等级保护的实际需要,按照信息安全等级保护对信息系统安全整改的要求制订的,对信息系统等级保护安全整改阶段技术方案的设计具有指导和参考作用.
一.3系统架构
智慧城市数据中心依据《信息系统等级保护安全设计技术要求》(GB/T24856—2009),构建“一个中心支撑下的三重防御”的安全防护体系。
信息安全保障系统总体架构如下图所示:
图2.信息安全保障系统总体架构图
信息安全保障系统以网络基础设施为依托,为整个数据中心业务提供计算环境安全、区域边界安全、通信网络安全、安全管理、安全审计及认证授权等服务。
信息安全保障系统的一个中心是指管理中心安全,三重防御是指计算环境安全、区域边界安全和通信网络安全。
计算环境安全主要提供终端和用户的身份认证、访问控制、系统安全审计、恶意代码防范、接入控制、数据安全等安全服务.
区域边界安全主要提供网络边界身份认证、访问控制、病毒防御、安全审计、网络安全隔离与可信交换等安全服务.
通信网络安全主要提供网络通信的安全审计、网络传输的机密性和完整性等安全服务。
管理中心安全主要包括安全管理子系统、CA子系统、认证授权子系统和统一安全审计子系统等,它是系统的安全基础设施,也是系统的安全管控中心.为整个系统提供统一的系统安全管理、证书服务、认证授权、访问控制以及统一的安全审计等服务.
一.4系统详细设计
一.4.1计算环境安全
一.4.1.1计算环境安全概述
伴随着等级保护工作的持续开展,包括防火墙、安全网关、入侵防御、防病毒等在内的安全产品成功地应用到信息系统中,从很大程度上解决了安全问题,增强了信息安全防御能力.但这些大多重在边界防御,以服务器为核心的计算平台自身防御水平较低,这在信息系统中埋下了很大的安全隐患。
计算环境安全针对的是对系统的信息进行存储、处理及实施安全策略的相关部件,它的重点是为了提高以服务器为核心的计算平台自身防御水平。
数据中心的计算环境安全主要通过部署主机安全防护系统以及使用在管理中心所部署的接入认证系统、网络防病毒系统、漏洞扫描系统等安全防护系统提供的服务,完成终端的身份鉴别、访问控制、安全审计、数据安全保护,恶意代码防护等一系列功能。
计算环境部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。
一.4.1.2计算环境安全功能要求
1)身份鉴别功能
数据中心终端应支持用户标识和用户鉴别。
在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受控的口令或具有相应安全强度的其他机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
2)访问控制功能
在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。
采用基于角色的访问控制技术,实现不同用户、不同角色对不同资源的细粒度访问控制,分别制定了不同的访问控制规则,访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级.访问操作包括对客体的创建、读、写、修改和删除等。
3)安全审计功能
提供安全审计机制,记录系统的相关安全事件。
审计记录包括安全事件的主体、客体、时间、类型和结果等内容。
该功能应提供审计记录查询、分类和存储保护,并可由安全管理与基础支撑功能层统一管理。
4)数据安全保护功能
采用常规校验机制,检验存储的用户数据的完整性,以发现其完整性是否被破坏,可采用密码等技术支持的保密性保护机制,对在计算环境安全中存储和处理的用户数据进行保密性保护。
5)恶意代码防范功能
安装防恶意代码软件或配置具有相应安全功能的操作系统,并定期进行升级和更新,以提供针对不同操作系统的工作站和服务器的全面恶意代码防护。
不仅能够抵御病毒,蠕虫和特洛依木马,还能抵御新攻击,如垃圾邮件,间谍程序,拨号器,黑客工具和恶作剧,以及针对系统漏洞,并提供保护阻止安全冒险等。
一.4.2区域边界安全
一.4.2.1区域边界安全概述
随着应用系统和通讯网络结构日渐复杂,异地跨边界的业务访问、移动用户远程业务访问等复杂的系统需求不断增多,如何对跨边界的数据进行有效的控制与监视已成为越来越关注的焦点,这对系统区域边界防护提出了新的挑战和要求。
区域边界安全针对的是对系统的计算环境安全边界,以及计算环境安全与通信网络安全之间实现连接并实施安全策略的相关部件.数据中心的区域边界安全主要通过在系统边界部署防火墙系统、防毒墙、入侵防御系统、安全接入平台等安全设备和系统以及使用在管理中心所部署的安全审计系统提供的服务,完成边界包过滤、边界安全审计、边界入侵防范、边界完整性保护,边界安全隔离与可信数据交换等一系列功能。
区域边界部署的安全系统均可被安全管理中心统一管理、统一监控,实现协同防护。
一.4.2.2区域边界安全功能要求
1)边界包过滤功能
提供对数据包的进/出网络接口、协议(TCP、UDP、ICMP、以及其他非IP协议)、源地址、目的地址、源端口、目的端口、以及时间、用户、服务(群组)的访问过滤与控制功能,对进入或流出的区域边界的数据进行安全检查,只允许符合安全安全策略的数据包通过,同时对连接网络的流量、内容过滤进行管理。
2)边界安全审计功能
在区域边界设置审计机制,提供对被授权人员和系统的网络行为进行解析、分析、记录、汇报的功能,以帮助用户事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,保障网络及系统的正常运行。
3)边界入侵防范功能
在网络边界处监视以下攻击行为:
端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
4)边界完整性保护功能
在区域边界设置探测器,可对内部网络中出现的内部用户未通过准许私自联到外部网络,以及外部用户未经许可违规接入内部网络的行为进行检查和控制。
5)边界安全隔离与可信数据交换功能
可完成指挥信令的双向流动,以及视频流单向流入公安信息网的安全隔离与控制,同时,还应可采用两头落地的“数据交换”模式,实现公安信息通信网与其它网络间的基于文件和数据库同步的数据安全交换和高强度隔离。
一.4.3通信网络安全
一.4.3.1通信网络安全概述
通信网络是信息系统的基础支撑平台,而如今网络IP化、设备IT化、应用Web化使信息系统业务日益开放,业务安全漏洞更加易于利用。
通信网络的安全保障越来越成为人们关注的重点。
通信网络安全针对的是对系统计算环境安全之间进行信息传输及实施安全策略的相关部件。
数据中心的通信网络安全主要是通过部署入侵防范系统和VPN加密系统等安全设备和系统以及使用管理中心所部署的安全审计系统提供的服务,完成传输网络安全审计、数据传输完整性与机密性保护等一系列功能.通信网络安全采用基于商密算法的网络传输安全防护系统(SSLVPN),实现数据安全传输与安全审计、保障通信两端的可信接入、保障数据传输的完整性和保密性。
一.4.3.2通信网络安全功能要求
1)传输网络安全审计功能
提供通信网络所传输数据在包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息在内的审计功能。
2)数据传输完整性与机密性保护功能
通过在不可信信道上构建安全可靠的虚拟专用网络,为数据传输提供机密性和完整性保护、以及数据源认证、抗重放攻击等安全保障,并且支持采用身份认证、访问控制以及终端安全控制技术,为平联工程的内部网络建立安全屏障.
一.4.4管理中心安全
一.4.4.1管理中心安全概述
安全管理平台是对定级系统的安全策略及计算环境安全、区域边界安全和通信网络安全上的安全机制实施统一管理的平台。
它是一个集合的概念,其核心的内容是实现“集中管理”与“基础支撑”.数据中心的管理中心安全主要是通过部署安全审计系统、接入认证系统、PKI/CA身份认证系统、网络防病毒系统、漏洞扫描系统和安全管理平台等安全设备和系统,完成证书管理、实时监控、统计分析、配置管理、密钥管理、日志管理、系统管理、统一用户管理、统一身份认证、资源授权及访问控制管理、单点登录管理、网络安全审计、主机安全审计、数据库安全审计、应用系统安全审计等一系列功能。
一.4.4.2管理中心安全功能要求
1)证书管理功能
主要涵盖数字证书的申请、审核、签发、注销、更新、查询等的综合管理,证书管理应遵循X。
509规范和国家PKI标准,采用成熟的已经通过鉴定的服务器密码机做加、解密及签名运算,为用户提供高密级的信息安全服务。
证书管理应不仅能够提供用户注册、审核,密钥产生、分发,证书签发、制证及发布等基本功能,还应能为其它应用系统提供证书下载,在线证书状态查询、可信时间等服务,并进行综合管理,使其它系统能够更方便的利用电子认证基础设施实现安全应用。
2)实时监控功能
能从总体上对各安全构件提供简便、易用的导向式监控,能从总体上和细节两个层面实时把握安全系统整体运行情况。
实时监控应可按照业务和资产进行分类,可依据分类进行简单、直观的实时监控。
提供逻辑视图、物理视图两种实时监控模式和多种不同的图形化及文字报警方式。
提供实时监控页面即时切换,并可对实时监控项和图形化统计项进行自定义布局,完成管理员最关心的实时监控和事件统计配置和显示。
3)统计分析功能
提供事件统计,并可将结果生成统计报表。
可提供了预定义统计和自定义统计模式。
预定义统计分析主要针对系统自身信息的统计报表,可主要包括事件统计、密钥统计、设备统计、用户统计和日志统计五大类。
根据实际的统计需求,对统计项进行自定义配置。
配置后,统计信息可在实时监控页面中实时显示,也可以通过统计分析进行查看。
统计结果以图形化方式呈现,呈现方式多样,至少可支持柱图、饼图、趋势图等,并为关联分析提供支撑.
4)配置管理功能
能够对应用系统中的安全设备进行统一配置管理.配置管理应可按照业务和资产重要程度和管理域的方式对业务和资产进行统一配置管理,提供便捷的添加、修改、删除、查询功能,便于管理员能方便地查找所需的业务和资产信息,并对业务和资产属性进行维护。
5)密钥管理功能
对密钥全生命周期(产生、存储、分发、更新、撤销、停用、备份和恢复)的统一管理,确保密钥全生命周期的安全。
6)日志管理功能
使审计员可以通过日志管理对密钥日志、系统日志进行事后审计和追踪,作为日志审计的依据.密钥日志应主要包括密钥生成日志和密钥分发日志;系统日志应主要包括操作日志、监控日志和运行日志。
日志管理应可提供强大、完善的日志查询和检索功能,满足审计员对日志的审计和查询需求.
7)系统管理功能
通过系统管理中配置对系统自身进行各种参数配置和管理,应主要包括服务器管理、组件管理、监控策略管理等.
8)统一用户管理功能
根据用户的数字证书,提供对用户的管理功能,包括用户的主账号(代表用户身份的唯一帐号)和从账号(不同应用系统中的用户帐号)的对应管理,用户属性的统一管理,以及实现用户整个生命周期管理,包括对人员入职、调动、离职等过程中的用户身份的创建、修改、删除等操作的管理等。
统一用户管理应支持分级管理功能。
9)统一身份认证功能
基于数字证书完成用户与客户端认证设备之间的认证,实现基于PKI的握手协议,实现不同系统和设备之间的身份认证有效统一,保护系统访问的安全性.统一身份认证还应支持多级认证功能。
10)资源授权及访问控制管理功能
基于数字证书,并采用基于RBAC的技术,在用户进行信息系统的资源访问及使用时,实现不同用户、不同角色对不同资源的细粒度访问控制。
资源授权及访问控制应支持分级管理功能.
11)单点登录管理功能
基于数字证书,使用户能够方便地跨越多个站点或安全域实现单点登录,即用户登录到网络以后,便能在安全可靠的前提下,访问任何应用程序而无需再次进行身份验证;单点登录应同时提供针对B/S系统与C/S应用系统的单点登录功能。
12)网络安全审计功能
配合网管系统,实现对网络异常行为及安全事件的审计.
13)主机安全审计功能
实现用户对主机操作行为的审计。
14)数据库安全审计功能
实现对数据库操作行为的审计。
15)应用系统安全审计功能
实现对应用系统操作行为的审计。
一.5安全设备及系统
根据智慧城市的业务发展的需要,为保障数据中心的计算环境安全、区域边界安全、通信网络安全以及管理中心安全,在数据中心建设过程中需要部署VPN加密系统、入侵防御系统、防火墙系统、安全审计系统、漏洞扫描系统、网络防病毒系统、PKI/CA身份认证平台、接入认证系统、安全管理平台等安全设备及系统来保障整个数据中心系统的安全运行.各安全设备及系统的功能要求如下:
一.5.1VPN加密系统
VPN的身份认证通过LADP协议可以与认证服务器建立认证关系,也可以与PKI/CA服务器建立联系在终端导入证书,VPN加密技术采用DES、3DES、AES、IDEA、RC4等加密技术,通过上述的加密技术,保证视频、信令、数据在公共网络中传输安全.
智慧城市数据中心VPN加密系统功能要求如下:
1.支持丰富的C/S、B/S应用;
2.支持多种认证方式,如用户名+口令、RADIUS、AD、LDAP、USBKey;
3.证书、证书+口令、双因子认证等;
4.支持多种终端设备接入(包括window平台、linux平台、andriod平台);
5.支持IP层隧道模式,支持VoIP;
6.支持多ISP连接;
7.支持统一安全管理系统的统一管理;
8.支持双机备份和负载均衡;
9.终端安全接入控制;
10.基于角色的访问控制;
11.完善的信息与状态监控;
12.支持主机绑定;
13.客户端安全控制;
14.支持基于用户的终端安全检查;
15.支持分支机构的局域网接入.
一.5.2入侵防御系统
入侵防御系统是一种软、硬结合的计算机系统,它能通过攻击特征库匹配、漏洞机理分析、应用还原重组、网络异常分析等主要技术实现了精确抵御黑客攻击、蠕虫、木马、后门,抑制间谍软件、灰色软件、网络钓鱼的泛滥,全面防止拒绝服务攻击和服务溢出分布式攻击。
智慧城市数据中心入侵防御系统功能要求如下:
1.坚固的入侵防御体系:
完善的攻击特征库;漏洞机理分析技术,精确抵御黑客攻击、蠕虫、木马、后门;应用还原重组技术,抑制间谍软件、灰色软件、网络钓鱼的泛滥;网络异常分析技术,全面防止拒绝服务攻击;
2.动、静态检测功能:
动态检测与静态检测融合,基于原理的检测方法与基于特征的检测方法并存;
3.网络防病毒技术:
文件感染病毒、宏病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件,病毒库;病毒类型根据危害程度划分为:
流行库、高危库、普通库;
4.防DoS攻击能力:
有效抗拒绝服务攻击,阻断绝大多数的DoS攻击行为。
一.5.3防火墙系统
防火墙是传输与网络安全中最基本、最常用的手段之一,防火墙可以实现数据中心内部、外部网络之间的逻辑隔离,达到有效的控制对网络访问的作用。
防火墙可以做到网络间的单向访问需求,过滤一些不安全服务;防火墙可以针对协议、端号、时间、流量等条件实现安全的访问控制。
防火墙具有很强的记录日志的功能.可以对不同通信网络所要求的策略来记录所有不安会的访问行为.
智慧城市数据中心防火墙系统功能要求如下:
1.攻击防范能力:
能防御DoS/DDoS攻击(如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等)、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击,同时支持黑名单、MAC绑定、内容过滤等功能;
2.状态安全过滤:
支持基础、扩展和基于接口的状态检测包过滤技术;支持应用层报文过滤协议,支持对每一个连接状态信息的维护监测并动态地过滤数据包,支持对应用层协议的状态监控;
3.完善的访问控制特性:
支持基于源IP、目的IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;支持流量管理、连接数控制、IP+MAC绑定、用户认证等;
4.应用层内容过滤:
可以有效的识别网络中各种P2P模式的应用,并且对这些应用采取限流的控制措施,有效保护网络带宽;支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTPURL和内容过滤;
5.NAT应用支持:
提供多对一、多对多、静态网段、双向转换、IP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT功能;
6.认证服务:
支持本地用户、RADIUS、TACACS等认证方式.支持基于用户身份的管理,实现不同身份的用户拥有不同的命令执行权限,并且支持用户视图分级,对于不同级别的用户赋予不同的管理配置权限;
7.集中管理与审计:
提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能.
一.5.4安全审计系统
安全审计系统是按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。
它是记录与审查用户操作计算机及网络系统活动的过程,是提高系统安全性的重要举措。
智慧城市数据中心安全审计系统功能要求如下:
1.敏感行为记录:
支持用户可基于网络应用的具体情况,自定义敏感的网络访问行为数据特征,系统可以根据策略对于敏感事件实时记录、显示和阻断;
2.特定网络连接实时监视功能:
支持用户通过会话监控功能对正在进行的连接会话内容进行实时监控,并支持手工阻断、自动阻断功能;
3.流量审计:
支持对IP、TCP、UDP、ICMP、P2P等应用协议的流量监测,提供基于IP地址、用户组、应用协议类型、时间、端口等组合流量审计策略;可分析网络流量最大值、均值、总值、实时流量、TOPN等;
4.网络管理行为审计:
支持TELNET、FTP访问审计,记录TELNET、FTP访问的时间、地址、账号、命令等信息;对违反审计策略的操作行为实时报警、记录;
5.互联网行为审计:
支持对网页访问、论坛、即时通讯、在线视频、P2P下载、网络游戏、炒股、文件上传下载等行为进行全面监控管理;
6.HTTP协议审计:
中英文URL数据库,超过十种分类,如不良言论、色情暴力等;可过滤非法不良网站,并支持用户添加自定义URL;支持针对URL、HTTP网页页面内容、HTTP搜索引擎的关键字过滤;
7.SMTP协议审计:
支持SMTP、POP3、WEBMAIL等协议,支持基于邮箱地址、邮件主题、邮件内容、附件名的关键字审计策略;针对符合审计策略的事件,提供实时告警、阻断和信息还原;
8.FTP协议审计:
支持基于IP地址、用户组、时间、命令关键字等组合审计策略,可记录源IP地址、目的IP地址、帐号、命令及上传下载文件名等;
9.数据库访问行为审计:
支持对ORALCE、SQLSERVER、MYSQL、DB2、Sybase、Infomix等数据库,实时审计用户对数据库的所有操作(如创建、插入、删除等),精细还原操作命令,并及时告警响应;
10.Windows远程访问行为审计:
支持对NETBIOS协议审计,记录具体时间、地址、具体操作等;
11.认证审计功能:
支持在不修改原系统配置的情况下,对访问用户进行基于CA证书的强身份认证,并支持统基于授权认证按访问者的身份进行为审计;
12.通讯加密:
与安全中心间的通信采用强加密传输告警日志与控制命令,避免可能存在的嗅探行为,实现了数据传输的安全.
一.5.5漏洞扫描系统
通过部署漏洞扫描系统,可以对数据中心主机服务器系统(LINUX、数据库、UNIX、WINDOWS)、交换机、路由器、防火墙、入侵防御、安全审计、边界接入平台等等设备,实现不同内容、不同级别、不同程度、不同层次的扫描。
对扫描结果,可以报表和图形的方式进行分析。
实现了隐患扫描、安全评估、脆弱性分析和解决方案.
智慧城市数据中心漏洞扫描系统功能要求如下:
1.能够对网络(安全)设备、主机系统和应用服务的漏洞进行扫描,指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议;
2.漏洞管理功能
漏洞管理的循环过程划分为漏洞预警、漏洞分析、漏洞修复、漏洞审计四个阶段。
Ø漏洞预警:
最新的高风险漏洞信息公布之际,在第一时间通过邮件或者电话的方式向用户进行通告,并且提供相应的预防措施;
Ø漏洞分析:
对网络中的资产进行自动发现,并且按照资产重要性进行分类。
再采用业界权威的风险评估模型对资产的风险进行评估;
Ø漏洞修复:
提供可操作性很强的漏洞修复方案,同时提供二次开发接口给第三方的补丁管理产品进行联动,方便用户及时高效地对漏洞进行修复;
Ø漏洞审计:
通过发送邮件通知的方式督促相应的安全管理人员对漏洞进行修复,同时启动定时扫描任务对漏洞进行审计。
3.安全管理功能
Ø系统将所发现的隐患和漏洞依照风险等级进行分类,向用户发出不同的警告提示,提交风险评估报告,并给出详细的解决办法;
Ø系统对可扫描的IP地址进行了严格地限定,有效地防止系统被滥用和盗用;
Ø扫描数据结果与升级包文件采用专用的算法加密,实现扫描漏洞信息的保密性,升级数据包的合法来源性;
Ø系统具有定时扫描功能,用户可以定制扫描时间,从而实现自动化扫描,生成报表。
4.策略管理功能
Ø系统可定义丰富的扫描策略,包括完全扫描、LINUX、数据库、UNIX、WINDOWS、不含拒绝服务、网络设备、路由器、防火墙、20大常见漏洞等内置策略。
实现不同内容、不同级别、不同程度、不同层次的扫描;
Ø系统针对不同用户的需求,可定义扫描(端口)范围、扫描使用的参数集、扫描并发主机数等具体扫描选项,对扫描策略进行合理的组合,更快、更有效地帮助不同用户构建自己专用的安全策略。
一.5.6网络防病毒系统
在数据中心核心交换上部署一台网络防毒服务器对全网制定完善的防病毒策略,实施统一的防病毒策略,使分布在数据中心每台计算机上的防病毒系统实施相同的防病毒策略,全网达到统一的病毒防护强度。
同时防毒服务器实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息,根据管理员控制台的设置,实现对整个防护系统的自动控制。
智慧城市数据中心网络防病毒系统功能要求如下:
1.病毒防范和查杀能力:
开启实时监控后能完全预防已知病毒的危害;可防范、检测并清除隐藏于电子邮件、公共文件夹及数据库中的计算机病毒、恶性程序、病毒邮件;
升级会员 