服务器整体安全防护解决方案V21.docx
《服务器整体安全防护解决方案V21.docx》由会员分享,可在线阅读,更多相关《服务器整体安全防护解决方案V21.docx(24页珍藏版)》请在冰豆网上搜索。
服务器整体安全防护解决方案V21
服务器整体安全解决方案
一、重新思考服务器所面临的安全问题
1.1成为企业生产运行和业务运转的根本
随着信息化和互联网的深入,很难想象脱离了网络,现代企业如何才能进行正常运转。
而服务器所承载的企业核心数据,核心应用甚至企业的核心知识产权等等,让企业已经无法脱离服务器。
1.2企业应用改变带来的挑战
●Web应用:
80%的具有一定规模的行业用户或者企业用户都有会自己的Web网站和基于Web的应用。
●虚拟化应用:
出于资源利用,系统整合以及绿色IT的需要,虚拟化已经在企业内部有了大量的应用。
●私有云计算的应用
企业对于计算能力,对于业务应用等需求,已经在公司网络内部建立的私有云计算系统。
以上这些应用给服务器的安全带来了更大的挑战,传统的安全措施已经不能满足现在IT系统,服务器系统的安全要求。
1.3受到不断变化新威胁攻击的挑战
从2000年至今,互联网的发展日新月异,新的引用层出不穷。
从Web1.0到Web2.0,从2G网络升级到3G网络。
互联网接入从笨重的台式机,到轻巧的笔记本电脑,到现在的上网本和手机终端。
随着互联网的发展,人们的工作和生活已经发生了翻天覆地的变化,与此同时,信息技术的发展也带来了安全威胁的发展。
安全威胁的攻击,从单纯的攻击单台电脑,到攻击局域网,攻击公司网络,到现在整个互联网充斥着各种攻击威胁。
在目前的网络安全大环境下,现有的防病毒安全系统已经无法承载日新月异的威胁攻击。
为了确保企业的业务连续性,避免病毒对企业的数据,应用和网络带来威胁,必须对企业的安全系统进行结构化的完善,尤其在服务器的安全防护上,在过去的几年中,大部分企业都存在一定的不足。
1.4法律法规带来的要求
中国信息安全等级保护制度和C-SOX,以及国外的PCI,HIPAA,SAS-70,SOX,GLBA等法律法规,从法律上也要求了企业在内部信息系统上,达到一定的安全等级和应用一定的安全策略。
二、服务器整体安全防护三阶段
趋势科技根据20多年来在安全产业的经验,为企业设计了服务器整体安全防护的三阶段,这三个阶段的核心是利用PDCA模型,对服务器的安全进行不断循环并且前进的管理方式。
每一个阶段都设定了明确的技术目标或安全管理目标。
通过部署安全技术,管理和控制安全事件来实现最终的安全目标和安全的KPI,把服务器安全用流程管理起来。
2.1【阶段一:
初级阶段】:
保障业务和身缠的连续性和不间断
阶段一的主要目标是:
主动实时监控或防御服务器漏洞被攻击以及内容被篡改等安全事件;对服务器进行必要的访问控制管理
2.2【阶段二:
中级阶段】:
确保安全事件可管理和可控制
阶段二的主要目标是:
提供服务器安全审计及攻击事件报告
2.3【阶段三:
高级阶段】:
实现设定的安全目标和提升安全KPI
阶段三的主要目标是:
建立服务器安全事件管理流程
三、安全防护三阶段的实现
趋势科技会根据企业的综合情况,为企业定制各个细项的步骤,来协助企业实现服务器安全防护三阶段。
3.1实现第一阶段目标的步骤和方法
第一阶段的主要工作是对和服务器相关的所有信息进行综合分析,包括:
业务分类,应用分类和重要性分类等等。
所有对服务器进行的安全防护必须以保障企业业务和生产的稳定为前提。
所以在第一阶段中,趋势科技建议采用四大步骤来实现阶段一中的所以目标:
●步骤一:
对服务器所承载的企业业务,应用和重要性进行分类。
如此,才能在后续的步骤中,做到有针对性的分析和防护,真正的做到有的放矢。
●步骤二:
对服务器进行安全扫描,并设立安全基准线。
如此,才能保持企业所有的服务器有一个最基本的安全阀值,后续安全管理员可以根据不同的分类进行进一步的有针对性的安全策略配置。
●步骤三:
设计安全策略模板,并根据步骤一中的分类,分门别类的进行应用。
如此,可以形成一个策略池,在策略池中,根据服务器的不同分类,有不同的策略。
安全管理员可以很方便的进行策略的查询和应用
●步骤四:
管理安全状态和监控异常。
进入到安全策略生效和管理中
3.2实现第二阶段目标的步骤和方法
第二阶段进入了日常运营阶段,在第二阶段中,三个步骤将会采用PDCA的模型进行操作。
●步骤一:
延续阶段一进入到服务器安全日常运营阶段,实时处理重要安全事件。
●步骤二:
每天/周/月审查整合和分类安全报告。
●步骤三:
根据安全事件审查结果进行策略的优化,形成PDCA循环往复的过程。
3.3实现第三阶段目标的步骤和方法
第三阶段企业将进入到更高级别的服务器安全管理阶段,在这个主要有四个步骤
●步骤一:
设定安全目标和KPI。
不断加强和稳固服务器的安全性,通过设定目标并且达成目标,以配合企业业务的发展,
●步骤二:
建立流程并且配套资源。
为了实现目标和KPI,必须有一套行之有效的流程以及整合必须的资源。
在这个步骤中,趋势科技为企业设计了定制的流程,来确保在企业的资源和能力范围内,能够达到安全目标。
●步骤三:
评估结果和目标的落差。
定期的Review落差,以明确整个服务器安全体系中,哪些个环节有落差。
●步骤四:
协调资源弥补落差。
在定位到落差后,需要协调资源来弥补落差,
3.4不断提升服务器安全PDCA模型
趋势科技为企业设计的服务器安全模型,整体采用的是以PDCA为核心的体系。
如此才能把服务器的安全目标和KPI不断提升。
为企业业务的发展提供稳固的支撑。
3.5服务器安全整体安全防护的技术实现
3.5.1DeepSecurity的五大安全模块
通过TrendMicro服务器整体安全防护解决方案DeepSecurity的五大安全模块提供:
防【毒防护模块】:
提供安全内容过滤
【firewall模块】:
提供控制访问
【DPI深度包检测模块】:
提供监控及主动防御攻击
【IntegrityMonitor模块】:
提供检测系统和应用程序运行状态及恢复被恶意修改的组件
【LogInspection模块】:
审计系统事件和应用程序事件
底层病毒防护
●无需安装客户端
●提供实时安全内容过滤
●提供手动安全内容过滤
●提供计划安全内容过滤
●给予专用API接口提高运行效率
3.5.2DeepSecurity的架构
DeepSecurity的组件
序号
DeepSecurity的组件
组件说明
部署
1
DeepSecurityManager(DSM)
DeepSecurity服务器安全防护系统的管理控制端,负责管理和维护整个系统
控制端只需要部署一套
2
DeepSecurityAgent(DSA)
DeepSecurity的客户端,提供四大安全防护功能
直接安装在服务器的操作系统上
3
DeepSecurityVirtualAppliance(DSVA)
DeepSecurity独创的新技术,用来防护虚拟服务器
直接安装在Vmware的ESXServer上,并且能够和Vcenter服务器做联动
4
DeepSecuritySecurityCenter
DeepSecurity的全球安全策略更新服务器。
DSM会定期的去下载最新的安全更新
3.5.3DeepSecurity支持的操作系统和应用
操作系统
Windows(2000,XP,2003,Vista),SunSolaris(8,9,10),RedHatEL(4,5),SuSELinux(9),AIX,HP-Unix
数据库
Oracle,MySQL,MicrosoftSQLServer,Ingres
Web服务器
MicrosoftIIS,Apache,ApacheTomcat,MicrosoftSharepoint
邮件服务器
MicrosoftExchangeServer,Merak,IBMLotusDomino,Mdaemon,Ipswitch,Imail,MailEnableProfessional
FTP服务器
Ipswitch,War,AlliedTelesis
备份服务器
ComputerAssociates,Symantec,EMC
存储服务器
Symantec,Veritas
DHCP服务器
ISCDHCPD
邮件客户端
OutlookExpress,MSOutlook,WindowsVistaMail,IBMLotusNotes,IpswitchIMailClient
其他应用
Samba,IBMWebsphere,IBMLotusDominoWebAccess,X.Org,XFontServerprior,Rsync,OpenSSL,NovellClient
3.5.4DeepSecurity提供服务器安全事件统一监控平台
如下图所示,在DeepSecurity整体架构中,DeepSecurityManager(DSM)除了提供统一策略配置和管理之外,同时还提供服务器安全事件统一监控管理。
管理员可以通过DSM对服务器群的所有安全事件进行管理,便于及时采取对应的安全防护措施。
同时,DSM也会提供各种安全事件报表。
●安全事件报警报告
●攻击事件报告
●防火墙事件报告
●提供取证的计算机审计报告
●服务器信息报告
●完整性检查报告
●完整性检查详细的篡改报告
●深度包过滤事件报告
●日志审计报告
●日志审计详细报告
●服务器推荐扫描报告
●疑似应用程序活动报告
●系统事件报告
●系统报告
●总结报告
四、为企业定制的服务器安全防护的最佳实践
4.1服务器分类
●按照应用分类
WebServer/DBServer/邮件服务器/OA应用服务器/文件服务器/生产服务器等等
●按照重要性分类
不可停机,可短暂停机或可停机。
4.2正式上线前的小范围测试环节
为了确保服务器整体的稳定性,避免安全系统对服务器运行的影响,故在正式上线前,趋势科技建议企业进行有代表性服务器采样的小范围测试。
测试流程如下:
4.3正式上线步骤
趋势科技建议在企业内部部署DeepSecurity服务器整体安全防护系统的步骤。
4.4针对企业服务器主要安全策略应用最佳实践
趋势科技建议对企业服务器针对如下九大方面进行有针对性的安全防护。
1、核心应用进程监控:
发现异常立刻通知管理员,进行相应的处理。
2、对Web应用:
部署XSS攻击防护策略
3、对数据库应用:
部署SQLInjection防护策略
4、对系统\服务\程序漏洞进行主动防护,提供虚拟补丁防护
5、对各类事件进行实时监控
6、对服务器进行访问控制
7、对核心文件和目录进行监控
8、对系统操作进行审计
9、对DDOS攻击进行防护
在进行所有的策略部署之前,首先,企业可以利用DeepSecurity的推荐扫描功能选项对企业内的服务器进行分析,得出初步的安全威胁分析报告,以此为基准线来进行进一步的安全配置。
1、核心应用进程监控:
发现异常立刻通知管理员,进行相应的处理
2、对Web应用:
部署XSS攻击防护策略
3、对数据库应用:
部署SQLInjection防护策略
4、对系统\服务\程序漏洞进行主动防护
如下图,选择所有和MS08-067相关的DPI条目可以对该漏洞进行主动防护
5、对各类事件进行实时监控
6、对服务器进行访问控制
7、对核心文件和目录进行监控