1. 中国海 集 的虚 化数据中心的安全方案建运 团 拟 议
服 器安全需求 估务 评
序号 服务器虚拟化后将面临的新安全
问题
虚拟化后服务器以及整个虚拟环境所面临的安全风
险
1 传统环境下安全解决方案在虚拟
化环境下的瓶颈
需要基于虚拟化环境下的新安全解决方案，对 VM
进行安全防护。
2 大量 VM 带来安全不可管理性，
策略难以从服务器主机为单位部
部署在虚拟化环境下的新的安全 Solution 提出了要
易管理要求

2. 署
3 传统安全软件资源占用高 要顺应虚拟化的基本特性之一，提高资源利用，故
新的安全 Solution 要能够提升虚拟环境的资源利用
率而不是降低资源利用率。
4 不同安全等级的 VM 混杂 提供安全标准化，即在虚拟化层上统一部署安全软
件，为上层所有虚拟机提供安全年防护
5 拓展到云计算环境下的安全问题 需要基于 Vmware 云操作系统的新安全 Solution
Trend 虚 化安全的拟 优势
序
号
解决方案的功能和优势 [Function-Advantage] 给用户带来的价值
1 功能：DeepSecurity 与 Vcenter，EXS 整合，
优势：底层 API 整合，无缝连接，全球创新技术
既能迈入虚拟化，又可以得到新
环境下的安全防护
2 功能：与 ESX 整合，策略可以以 ESX 为单位。大量的安全
策略模板，快速部署，并且集中管理和运维
优势：管理配置简单，维护方便
B 管理效率，和持续降低运维成
本
3 功能：无需在每台 VM 上安装防病毒软件，只需在 ESX
Server 上安装 DSVA 即可
优势：新技术比传统 Solution，在提供防病毒的同时，资
源利用率提升 50%
在保证安全的前提上，资源利用
率大大提高
4 功能：ESX Server 提供统一安全管理。
优势：安全标准化，
提供统一的虚拟化安全防护标准，
不会因为大量的虚拟机存在，导
致有安全疏漏
5 功能：云操作系统上的安全软件，
优势：配合 Vmware 云计算环境下的所有应用特性，提供
安全防护
让用户在安全方面无缝转化到云
计算平台
1.1 TrendMicro DeepSecurity
Trend Micro Deep Security 解决方案是一种在虚拟、云计算和传统的数据中心环境之

3. 间统一安全性的服务器和应用程序防护软件。它帮助组织预防数据泄露和业务中断，符合包
括 PCI 在内的关键法规和标准，并有助于应当今经济形势之要求降低运营成本。Deep
Security 解决方案使系统能够自我防御，并经过优化，能够帮助您保护机密数据并确保应
用程序的可用性。趋势科技的基于服务器的安全防护软件主要在服务器群上实现以下 6 大模
块的安全控制：
1. 防病毒
 实时和计划任务扫描，病毒，木马和蠕虫等恶意威胁
2. IDS/IPS
 防护未知漏洞，被未知攻击
 防护已知攻击
 防护零日攻击，确保未知漏洞不会被利用
3. Web 应用防护
 防护 web 应用程序的弱点和漏洞
 防护 Web 应用程序的历史记录
 支持 PCI 规范。
4. 应用程序控制
 侦测通过非标准端口进行通讯相关协议
 限制和设定哪些应用程序能通过网络被访问
 侦测和阻断恶意软件通过网络进行访问
5. 防火墙
6. 一致性检查和监控
 重要的操作系统和应用程序文件控制（文件，目录，注册表以及键值等等）
 监控制定的目录
 灵活并且主动实用的监控
 审计日志和报表
7. 日志检查和审计
 搜集操作系统和应用程序的日志，便于安全检查和审计
 可疑行为侦测
 搜集安全行为相关的管理员设定

4. 1.1.1 产品特点
数据中心服务器安全架构必须解决不断变化的 IT 架构问题，包括虚拟化和整合、新服
务交付模式以及云计算。对于所有这些数据中心模式，Deep Security 解决方案可帮助：
1.1.1.1通过以下方式预防数据泄露和业务中断
 在服务器自身位置提供一道防线 – 无论是物理服务器、虚拟服务器还是云服务器
 针对 Web 和企业应用程序以及操作系统中的已知和未知漏洞进行防护，并阻止对
这些系统的攻击
 帮助您识别可疑活动及行为，并采取主动或预防性的措施
1.1.1.2通过以下方式实现合规性
 满足六大 PCI 合规性要求（包括 Web 应用程序安全、文件完整性监控和服务器日
志收集）及其他各类合规性要求
 提供记录了所阻止的攻击和策略合规性状态的详细可审计报告，缩短了支持审计所
需的准备时间
1.1.1.3通过以下方式支持降低运营成本
 提供漏洞防护，以便能够对安全编码措施排定优先级，并且可以更具成本效益地实
施未预定的补丁
 为组织充分利用虚拟化或云计算并实现这些方法中固有的成本削减提供必要的安全
性
 以单个集中管理的软件代理提供全面的防护 – 消除了部署多个软件客户端的必要性
及相关成本

5. 1.1.2 产品模块及功能
Deep Security 解决方案使您能够部署一个或多个防护模块，提供恰好适度的防护以
满足不断变化的业务需求。您可以通过部署全面防护创建自我防御的服务器和虚拟机，也可
以从完整性监控模块着手发现可疑行为。所有模块功能都通过单个 Deep Security 代理部署
到服务器或虚拟机，该 Deep Security 代理由 Deep Security 管理器软件集中管理，并在
物理、虚拟和云计算环境之间保持一致。
1.1.2.1病毒过滤
DeepSecurity 解决方案能够底层整合 ESX 以及 VShield，提供给虚拟机 Agentless 的病毒
查杀功能，包括，实时和计划任务扫描，病毒，木马蠕虫等等恶意文件。
1.1.2.2深度数据包检查 (DPI) 引擎
实现入侵检测和防御、Web 应用程序防护以及应用程序控制
该解决方案的高性能深度数据包检查引擎可检查所有出入通信流（包括 SSL 通信流）
中是否存在协议偏离、发出攻击信号的内容以及违反策略的情况。该引擎可在检测或防御模
式下运行，以保护操作系统和企业应用程序的漏洞。它可保护 Web 应用程序，使其免受应
用层攻击，包括 SQL 注入攻击和跨站点脚本攻击。详细事件提供了十分有价值的信息，包
括攻击者、攻击时间及意图利用的漏洞。发生事件时，可通过警报自动通知管理员。DPI 用于
入侵检测和防御、Web 应用程序防护以及应用程序控制。
1.1.2.3入侵检测和防御 (IDS/IPS)
在操作系统和企业应用程序安装补丁之前对其漏洞进行防护，以提供及时保护，
使其免受已知攻击和零日攻击
漏洞规则可保护已知漏洞（如 Microsoft 披露的漏洞），使其免受无数次的漏洞攻击。
Deep Security 解决方案对超过 100 种应用程序（包括数据库、Web、电子邮件和 FTP 服务

6. 器）提供开箱即用的漏洞防护。在数小时内即可提供可对新发现的漏洞进行防护的规则，无
需重新启动系统即可在数分钟内将这些规则应用到数以千计的服务器上：
 智能规则通过检测包含恶意代码的异常协议数据，针对攻击未知漏洞的漏洞攻击
行为提供零日防护。
 漏洞攻击规则可停止已知攻击和恶意软件，类似于传统的防病毒软件，都使用签
名来识别和阻止已知的单个漏洞攻击。
由于趋势科技是 Microsoft 主动保护计划 (MAPP) 的现任成员，Deep Security 解决方
案可在每月安全公告发布前提前从 Microsoft 收到漏洞信息。这种提前通知有助于预测新出
现的威胁，并通过安全更新为双方客户快速有效地提供更及时的防护。
1.1.2.4WEB 应用程序安全
Deep Security 解决方案符合有关保护 Web 应用程序及其处理数据的 PCI 要求 6.6。W
eb 应用程序防护规则可防御 SQL 注入攻击、跨站点脚本攻击及其他 Web 应用程序漏洞攻
击，在代码修复完成之前对这些漏洞提供防护。该解决方案使用智能规则识别并阻止常见的
Web 应用程序攻击。根据客户要求进行的一项渗透测试，我们发现，部署 Deep Security
的 SaaS 数据中心可对其 Web 应用程序和服务器中发现的 99% 的高危险性漏洞提供防护。
1.1.2.5应用程序控制
应用程序控制规则可针对访问网络的应用程序提供更进一步的可见性控制能力。这些规
则也可用于识别访问网络的恶意软件或减少服务器的漏洞。
1.1.2.6防火墙
减小物理和虚拟服务器的受攻击面
Deep Security 防火墙软件模块具有企业级、双向性和状态型特点。它可用于启用正确
的服务器运行所必需的端口和协议上的通信，并阻止其他所有端口和协议，降低对服务器
进行未授权访问的风险。其功能如下：

7.  虚拟机隔离：使虚拟机能够隔离在云计算或多租户虚拟环境中，无需修改虚拟交换
机配置即可提供虚拟分段。
 细粒度过滤：通过实施有关 IP 地址、Mac 地址、端口及其他内容的防火墙规则过滤
通信流。可为每个网络接口配置不同的策略。
 覆盖所有基于 IP 的协议：通过支持全数据包捕获简化了故障排除，并且可提供宝
贵的分析见解，有助于了解增加的防火墙事件 – TCP、UDP、ICMP 等。
 侦察检测：检测端口扫描等活动。还可限制非 IP 通信流，如 ARP 通信流。
 灵活的控制：状态型防火墙较为灵活，可在适当时以一种受控制的方式完全绕过检
查。它可解决任何网络上都会遇到的通信流特征不明确的问题，此问题可能出于正常情况，
也可能是攻击的一部分。
 预定义的防火墙配置文件：对常见企业服务器类型（包括 Web、LDAP、DHCP、FT
P 和数据库）进行分组，确保即使在大型复杂的网络中也可快速、轻松、一致地部署防火墙
策略。
 可操作的报告：通过详细的日志记录、警报、仪表板和灵活的报告，Deep Security
防火墙软件模块可捕获和跟踪配置更改（如策略更改内容及更改者），从而提供详细的审
计记录。
1.1.2.7完整性监控
监控未授权的、意外的或可疑的更改
Deep Security 完整性监控软件模块可监控关键的操作系统和应用程序文件（如目录、
注册表项和值），以检测可疑行为。其功能如下：
 按需或预定检测：可预定或按需执行完整性扫描。
 广泛的文件属性检查：使用开箱即用的完整性规则可对文件和目录针对多方面的更
改进行监控，包括：内容、属性（如所有者、权限和大小）以及日期与时间戳。还可监控对
Windows 注册表键值、访问控制列表以及日志文件进行的添加、修改或删除操作，并提供警
报。此功能适用于 PCI DSS 10.5.5 要求。
 可审计的报告：完整性监控模块可显示 Deep Security 管理器仪表板中的完整性事
件、生成警报并提供可审计的报告。该模块还可通过 Syslog 将事件转发到安全信息和事件

8. 管理 (SIEM) 系统。
 安全配置文件分组：可为各组或单个服务器配置完整性监控规则，以简化监控规则
集的部署和管理。
 基准设置：可创建基准安全配置文件用于比较更改，以便发出警报并确定相应的操
作。
 灵活实用的监控：完整性监控模块提供了灵活性和控制性，可针对您的独特环境优
化监控活动。这包括在扫描参数中包含/排除文件或通配符文件名以及包含/排除子目录的功
能。此外，还可根据独特的要求灵活创建自定义规则。
1.1.2.8日志审计
查找日志文件中隐藏的重要安全事件并了解相关信息
使用 Deep Security 日志审计软件模块可收集并分析操作系统和应用程序日志，以查
找安全事件。日志审计规则优化了对多个日志条目中隐藏的重要安全事件进行识别的能力。
这些事件随后会转发到一个 SIEM 系统或集中式的日志记录服务器，以便进行关联、报告和
存档。Deep Security 代理还会将事件信息转发到 Deep Security 管理器。日志审计模块的部
分优势如下：
 可疑行为检测：该模块可检测服务器上可能发生的可疑行为。
 收集您的整个环境中的事件：Deep Security 日志审计模块能够收集许多事件并将
其关联起来，这些事件包括：Microsoft Windows、Linux 和 Solaris 平台间的事件；来自 W
eb 服务器、邮件服务器、SSHD、Samba、Microsoft FTP 等的应用程序事件；自定义应用程
序日志事件。
 关联不同事件：收集各种警告、错误和信息事件并将其关联起来，包括系统消息
（如磁盘已满、通信错误、服务事件、关机和系统更新）、应用程序事件（如帐户登录/注销/
故障/锁定、应用程序错误和通信错误）、管理员操作（如管理员登录/注销/故障/锁定、策略
更改和帐户更改）。
 有关合规性的可审计报告：可生成安全事件的完整审计记录，以帮助满足合规性要
求，如 PCI 10.6。

9. 1.1.3 产品原理及架构
Deep Security 解决方案架构包含三个组件：
 Deep Security 代理，部署在受保护的服务器或虚拟机上。
 Deep Security 管理器，提供集中式策略管理、发布安全更新并通过警报和报告进行
监控。
1.1.3.1安全中心
安全中心是 Deep Security 解决方案中不可或缺的一部分。它包含一支由安全专家组成
的动态团队，这些专家在发现各种新的漏洞和威胁时便提供及时快速的响应，从而帮助客
户对最新威胁做到防患于未然；同时，安全中心还包含一个用于访问安全更新和信息的客
户门户。安全中心专家采用一套由复杂的自动化工具所支持的严格的六步快速响应流程：
 监控：对超过 100 个公共、私有和政府数据源进行系统化的持续监控，以识别新
的相关威胁和漏洞，并将其关联起来。安全中心研究人员利用与不同组织的关系，
获取有关漏洞的早期（有时是预发布）信息，从而向客户提供及时、准确的防护。
这些来源包括 Microsoft、Oracle 及其他供应商顾问 、
SANS 、CERT 、Bugtraq 、VulnWatch、PacketStorm 以及 Securiteam。
 确定优先级：然后根据客户风险评估及服务等级协议确定漏洞的优先级，以作进
一步分析。
 分析：对漏洞执行深入分析，确定需要采取的必要防护措施。
 开发和测试：然后开发出可对漏洞实行防护的软件过滤器以及可推荐过滤器的规
则，并进行广泛的测试，以便最大限度地降低误测率，并确保客户能够快速、顺利
地部署这些过滤器和规则。
 交付：将新过滤器作为安全更新交付给客户。当新的安全更新发布时，客户将通过
Deep Security 管理器中的警报立即收到通知。然后就可以将这些过滤器自动或手
动应用于相应的服务器。
 通信：通过可提供有关新发现安全漏洞的详细描述的安全顾问，可实现与客户之
间的持续通信。

10. Trend DeepSecurity7.0 产品资质及技术参数
厂商及产品资质
1. 厂商（和该产品）必须是微软MAPP(Microsoft Active Protections Program)成员，并
可在微软官网可查。
（http://www.microsoft.com/security/msrc/collaboration/mapppartners.aspx）
2. 厂商（和该产品）必须能是VMWare的VMSafe计划的合作伙伴，并在VMWare官网可
查。（http://www.vmware.com/technical-resources/security/vmsafe/partnerships.html ）
3. 厂商（和该产品）必须通过国外知名第三方机构的PCI DSS标准符合性测试。（如
NSS Lab）
4. 所有产品必须是自主开发，拥有自主知识产权。
5. 厂商必须在国内有独立的监控中心。
6. 厂商在国内、国外分别有独立的研发中心。
7. 厂商在国内、国外分别有独立的病毒响应中心。
8. 通过中国信息安全评测认证中心的《信息安全服务资质标准》的信息安全服务一级资质
认证。(提供证明材料)
9. 提供国内的800电话、邮件、传真支持。
10. 当最新病毒爆发时，厂商必须提供应急技术支持，如电话、手机短信、邮件等方式。
11. 厂商可根据用户需求提供高级别的服务承诺，如大客户专署服务、主动式服务、快速响
应服务、在线技术支持服务等，可提供5×8乃至7×24小时的专业防毒服务。
12. 厂商本地化服务体系必须健全，厂商国内技术支持的人员数量不少于50人，在全国不
少于50家授权服务商，能够为客户提供快速的本地化现场服务。
产品技术参数
1. 产品必须具有防火墙功能，并且可集中控管防火墙策略，策略定制可以针对 IP,Mac 地
址或通讯端口，可保护所有基于 IP 通讯协议（TCP、 UDP、 ICMP 等）和所有框架类
型（IP、ARP 等）。
2. 产品必须具有 DPI(深度内容检测)功能，必须可以同时保护操作系统和应用服务（数据
库，Web，DHCP 等）
3. 产品必须能够防御应用层攻击、SQL Injection 及 Cross-site 跨网站程序代码改写的攻

11. 击。
4. 产品必须提供包含攻击来源、攻击时间及试图利用什么方式进行攻击等必要信息，并在
事件发生时，立即自动通知管理员。
5. 产品必须具有操作系统虚拟补丁功能，并且能够保护 Windows (2000, XP, 2003,
Vista), Sun Solaris (8, 9, 10), Red Hat EL (4, 5), SuSE Linux (9)等操作系统。
6. 产品必须可以保护以下类型数据库服务器，Oracle, MySQL, Microsoft SQL Server,
Ingres。
7. 产品必须可以保护以下类型邮件服务器， Microsoft Exchange Server, Merak, IBM
Lotus Domino, Mdaemon, Ipswitch, Imail, MailEnable Professional。
8. 产品必须可以保护以下类型文件服务器，Ipswitch, War FTP Daemon, Allied Telesis。
9. 产品必须可以保护以下类型备份服务器，Computer Associates, Symantec, EMC。
10. 产品必须可以保护以下类型存储服务器，Symantec, Veritas。
11. 产品必须可以安装在虚拟环境中并对虚拟环境中的所有 Guest OS 提供保护，支持的
虚拟环境应该包括 VMWare, Citrix, Hyper-V。
12. 产品必须可以和 VMSafe 集成并提供集成管理功能。
13. 产品可以在虚拟环境的每个 Guest OS 上安装代理程序以保护虚拟环境内单个 Guest
OS 的安全，并可以通过集中控管来统一管理每个 Guest OS 的安全。
14. 产品可以通过在整个虚拟环境中安装单一拷贝来达到保护所有虚拟环境中 Guest OS
和应用的功能。
15. 产品必须和 VMWare 的 WMotion，Storage VMotion 以及 HA 集成，能够自动感知和
保护虚拟环境的变更和迁移。
16. 产品必须能够监控操作系统和关键应用包括注册表项、关键目录、特定目录变更，以防
范恶意修改
17. 产品必须具有集中控管的功能，能够统一的管理和配置，并且日志能够统一的在集中
控管平台上呈现。