虚拟化安全管理系统（轻代理）V7.0.docVIP

虚拟化安全管理系统（轻代理）V7.0 ?? 虚拟化安全管理系统V7.0　　 产品解决方案　　　　　　地址：北京市西城区西直门外南路26号院1号 邮编：100044 l 版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均为奇安信集团股份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面授权许可，不得以任何方式复制或引用本文的任何片段。 ?? 修订记录 修订日期 修订内容 修订人 2017.11.05 新建 云安全公司　　 目 录 1 项目概述 4 1.1. 项目背景 4 1.2. 建设目标 4 1.3. 设计原则 5 1.4. 客户价值 6 2 需求分析 6 2.1 安全威胁分析 6 2.2 安全必要性分析 7 2.3 项目建设需求 8 3 建设方案 8 3.1 整体安全建设方案 8 3.2 安全能力实现 9 3.2.1 虚拟主机病毒与恶意文件防治 9 3.2.2 虚拟主机网络攻击发现与抵御 10 3.2.3 虚拟主机系统加固 10 3.2.4 虚拟化安全统一安全运维 11 3.3 部署方案 11 4 方案特色与亮点 12 4.1 完善的立体防御体系 12 4.2 未知病毒的查杀能力 13 4.3 降低补丁修复成本 13 4.4 全面防护零日漏洞 13 4.5 混合环境统一管理 14 4.6 安全能力领先性 14 5 服务支持 14　　 1 项目概述 1.1. 项目背景 随着市场业务和内部基础服务的极大拓展，现有的基础设施服务已经无法满足日益增长的业务、管理压力，数据中心空间、能耗、运维管理压力日益凸显。借助虚拟化技术，对基础设施服务进行扩展和优化改造，使原有或者新增资源得到更高效的利用，大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。采用虚拟化技术，解决了企业信息化建设所面临的现有压力，又增强了企业基础设施稳定性和高效性。 ??虚拟化技术在支撑连续高效业务的同时，也面临着比传统基础设施上更严峻的安全挑战。传统的数据中心病毒木马感染在虚拟化数据中心中仍然存在。基于虚拟化的特殊性，这类传统的安全问题在虚拟化环境中更难被治理； ??与此同时，针对虚拟化环境特有的“防病毒风暴”、“升级风暴”、”启动风暴”等问题，传统的安全设计思想已经无法解决。那么，如何设计和规划新的适应虚拟化环境的安全解决思路成为当前考虑的重点。 ??1.2. 建设目标 根据《信息系统等级保护安全设计技术要求》，符合等级保护三级要求的信息系统硬件能够具备如下的安全防护能力：在统一安全策略下防护系统免受来自外部有组织的团体，拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。 ??根据所在行业《》要求： ??基于上述管理办法及法规要求，本项目将为xxx客户建立虚拟化中虚拟主机层面的安全防护体系，实现对现有虚拟化环境中的虚拟机、物理机的统一安全管理，实现对虚拟机的安全防护，满足xxx客户对虚拟主机的安全防护要求。 ??1.3. 设计原则 本方案设计充分考虑到信息安全系统建设的完整性，实现“分离式部署、集中化防护、统一化管理”大原则。通过对全网虚拟化环境部署虚拟化安全系统，保证其虚拟化环境的文件安全、网络安全、系统加固，增强其抵御外界恶意文件、威胁流量的能力。 ??? 实用性 本项目虚拟主机安全能力建成后，能够把企业虚拟化环境中IT安全保护办法落到实处。针对企业内部IT系统的安全管理办法，虚拟主机安全能力需要很好的支撑其IT相关运维工作和业务全流程。 ??? 先进性 病毒、木马的变种、更新非常快、网络攻防频率日益加快，项目技术选择要具备极高的先进性。病毒、木马的防治核心在于病毒库和病毒引擎的先进性，网络攻击防护核心在于攻防情报的快速生产。建设的虚拟主机安全能力需要应对新型的已知未知恶意文件和网络攻击，同时保证在隔离情况下的自主主动防御能力。 ??? 安全性 建设的虚拟主机安全能力需要具备安全性，包括系统建设、运行的安全和系统管理的安全，当前系统的建设及运行对原网络及虚拟化系统不会造成任何安全风险。另外，建设的虚拟主机安全能力自身应具备抗攻击、抗破坏、无漏洞，保证新建系统不成为原有IT结构安全缺失的一环。 ??? 可靠性 建设的虚拟主机安全能力需要保证安全能力可靠性，不应该影响整个虚拟化架构运行和业务运行。整个系统需要具备完善的逃逸机制： ??当系统某组件无法工作时，不会造成整体安全能力坍塌； ??当系统异常时，不会造成整体虚拟化环境运行中断； ??当系统异常时，不会造成整体业务的中断；