McAfee信息安全技术解决方案.docx

McAfee信息安全技术解决方案.docx

《McAfee信息安全技术解决方案.docx》由会员分享，可在线阅读，更多相关《McAfee信息安全技术解决方案.docx（18页珍藏版）》请在冰豆网上搜索。

McAfee信息安全技术解决方案

McAfee信息安全技术解决方案

录1方案概述62安全需求分析

82、1存在的安全风险

82、1、1系统终端面临的安全威胁

82、1、2网络上存在的安全威胁

92、1、3现有安全产品的不足

92、1、4安全管理问题102、2需求分析102、2、1在系统层面102、2、2在网络层面1

12、2、3整体解决方案113McAfeeSRM整体解决方案1

23、1方案设计原则1

23、2McAfeeSRM安全风险管理解决方案1

23、2、1什么是安全风险1

23、2、2McAfeeSRM安全风险管理1

33、2、3安全风险管理体系的实现1

63、3McAfeeSRM的实现1

83、3、1McAfeeSRM部署步骤1

83、3、2McAfeeSRM部署的产品194McAfeeTOPS及MNAC的部署204、1McAfeeTOPS的部署204、1、1ePO的部署204、1、2防病毒客户端VSE

8、5i及Anti-Spyware

8、5的部署2

24、1、3McAfeeHIPS

7、0的部署2

34、1、4SiteAdvisor的部署2

44、1、5部署架构图2

44、2MNAC的部署2

54、3部署后的维护建议2

84、3、1制定严格的病毒防治规范2

94、3、2建立快速、有效的病毒应急体系304、3、3加强计算机安全培训304、3、4建立动态的系统风险评估措施3

14、3、5建立病毒事故分析制度3

14、3、6确保恢复，减少损失3

14、3、7加强技术防范措施315McAfeeIntruShield的部署3

35、1、1McAfeeIntruShield系统功能3

35、1、2方正证券IntruShield部署方案3

55、1、3IntruShield产品系列376方案优势3

86、1TOPS产品特点3

86、1、1TOPS集中管理服务器ePO3

86、1、2McAfeeVirusScanEnterprise

8、5i406、1、3主机入侵防护HIPS

7、04

46、1、4MNAC（McAfeeNetworkAccessControl）4

76、2IntruShield产品优势4

86、2、1检测及防御功能4

96、2、1、1网络攻击特征检测4

96、2、1、2异常检测506、2、1、3DoS/DDoS攻击防御506、2、1、4入侵防护功能5

16、2、2实时过滤蠕虫病毒和Spyware间谍程序5

36、2、3虚拟IPS5

36、2、4灵活的部署方式5

46、2、5具备风险识别的入侵防御5

66、2、6内置Web安全保护5

76、2、7永远在线的管理平台5

76、2、8SSL加密攻击检测5

86、2、9领先的虚拟内部防火墙5

86、2、10McAfeeIntruShield所获最新国际奖项597华东地区金融证券典型案例607、1上海交通银行607、2上海浦发银行6

47、3上海证券交易所6

67、4最新案例上海银联681方案概述McAfee作为全球最大的专业安全厂商，为全球100多个国家提供业界领先的基于动态安全风险管理的安全整体解决方案，其最大的特点是：

以安全风险的控制为基础，实时地了解安全风险变化的原因，并且结合先进的系统防御和网络防御解决方案，帮助客户及时消除各类安全威胁，建设主动的防御体系和完善的风险管理流程。

本方案主要以McAfeeSRM（SecureRiskManagement）风险管理解决方案为基础，同时根据中国金融和证券行业的具体情况，结合系统安全和网络安全解决方案，实现动态的安全风险管理并构架多层次主动的威胁防御体系。

在信息安全系统的建设过程中，需要遵循一定的规律，同时，也需要考虑到各个信息安全产品之间的整合和联动，一个完善的解决方案应该涉及到系统安全和网络安全的方方面面，同时将多种安全手段结合起来，以实现更好的效果。

McAfeeSRM整体解决方案正是业内领先的基于安全风险管理的综合性信息安全解决方案，通过如下解决方案，实现对方正证券网络的全面保护：

系统防御解决方案McAfeeTOPS解决方案：

McAfeeVirusScan

8、5i（网络防病毒产品）：

全球领先的网络防病毒解决方案，提供顶级的病毒库和扫描引擎，能够帮助客户抵御针对系统的病毒威胁，同时加入了防火墙、入侵防护及防恶意程序功能，为系统提供全面的病毒防护功能。

McAfeeAnti-Spyware

8、5：

McAfeeAnti-Spyware产品专门针对不断出现的后门程序、间谍软件及恶意程序问题，有效保护系统不被恶意程序感染和危害。

McAfeeHIPS

7、0（HIPS）：

强大主机入侵防护产品（整合了桌面防火墙功能），防护针对主机系统的各类攻击行为，同时，能够提供强大的管理功能和桌面防火墙功能，并对USB端口进行控制。

McAfeeNAC（NetworkAccessControl）：

提供全面的网络接入控制功能，能够对接入网络的各类终端进行安全评估并采取不同的控制动作。

McAfeeePO

4、0（McAfee统一的安全管理平台）：

为所有的McAfee系统防护产品及McAfeeSCM提供统一的部署、管理、策略控制及报表功能，也会和网络防护产品实现完全整合。

是McAfee的综合安全管理平台。

网络防御解决方案：

McAfeeIntruShield（IPS设备）：

基于ASIC的硬件的网络入侵防护系统，实时阻止黑客攻击、蠕虫病毒、间谍程序及DOS/DDOS攻击，并实现整合性的边界安全功能。

McAfeeSCM（安全内容管理）：

McAfee的SCM产品可以直接部署在数据链路中，通过强大的检测和防御功能，有效抵御各类病毒、蠕虫、病毒邮件、垃圾邮件的危害，同时，对进出网络的数据信息进行内容过滤。

动态安全风险管理解决方案：

lMcAfeeFoundStoneFS1000：

软硬一体化的安全弱点管理和安全风险管理系统。

部署在网络中，能够评估企业安全风险的状况和变化请况，并采取主动措施对安全风险实现控制和管理。

通过安全产品的整合及应用，在方正证券的网络当中实现完整的安全风险管理流程，有效地控制整体安全风险。

2安全需求分析

2、1存在的安全风险方正证券的网络现状如下图所示：

图

2、1网络现状下边，我们就简要讨论一下目前网络中存在的安全风险和我们应该采取的解决方案。

2、1、1系统终端面临的安全威胁

（1）

终端操作系统可能面临严重的病毒威胁，病毒或蠕虫可以通过网络传输、共享文件、移动存储、邮件、应用程序等多种方式进行传播，严重威胁终端的安全状况；

（2）

新型的恶意程序（即Spyware）通过内部网络、Email、互联网或网络文件共享等多种方式传播，不但危害终端安全，还可能对网络正常运转造成影响，而传统的防病毒系统根本难以查杀；（3）

黑客针对系统终端的攻击行为频繁发生，随着攻击手段的多样化和攻击难度的降低，黑客攻击行为呈现爆发的态势；（4）

各类非法或不安全的应用软件安装在系统终端，大量占用企业带宽资源的同时，还带来大量的安全威胁；（5）

OA网络用户由于出差等原因经常离开企业网络，再次接入时会将外部网络的威胁带入内网；（6）

外来人员随意接入OA网络，同样带来很大安全隐患；（7）

终端层面的防护手段多样化，给管理和配置带来一定难度，一定程度上造成信息安全产品的使用效果难以保证。

2、1、2网络上存在的安全威胁在网络层面，也存在大量的安全威胁，主要体现在：

（1）

黑客的远程攻击，可能针对服务器，也可能针对各类网络设备；

（2）

通过互联网传播的病毒、蠕虫以及Spaware等；（3）

恶意的扫描，用来发现开放的端口、网络和系统中的漏洞，以便加以利用；（4）

DoS/DDoS攻击行为；（5）

对各类应用缺乏有效的管理手段，带宽利用不合理；（6）

大量垃圾邮件通过互联网线路进入网络；（7）

通过互联网传播的病毒邮件、有害信息等。

2、1、3现有安全产品的不足现在已经部署的信息安全产品，随着信息安全技术的不断发展，已经难以解决新出现的各类安全问题，原因在于：

（1）

防病毒：

现在部署的传统防病毒产品不能有效查杀Spyware等各类新型的恶意程序，同时，难以抵御针对终端的黑客攻击行为，也不能解决不安全用户的网络接入问题，存在很多安全漏洞；

（2）

防火墙：

防火墙职能实现访问控制保护功能，但是不能检测恶意行为和程序，只是被动的防护措施；（3）

WebCache设备：

Cache设备的应用极大的提升了网络访问的性能和效率，但同时，也忽略了Web病毒和恶意程序过滤的问题，如果cache下的网站含有恶意程序，将造成难以估量的损失；（4）

入侵检测系统：

入侵检测系统只能检测黑客攻击行为，却不能实现防护功能，是一种非常被动的安全手段；而新的黑客攻击和安全威胁却需要我们第一时间就能将他们阻挡。

综上所述，现有的安全措施存在很多不足，需要有新的解决方案完善信息安全防护系统，并提供完善的安全风险管理流程。

2、1、4安全管理问题已经部署的安全产品，如IDS，防病毒系统等只是在被动的抵御或检测安全威胁，缺乏主动的防护措施和手段；而要实现主动的信息安全策略，则需要对企业整体的安全风险进行监控和管理，目前的解决方案当中：

（1）

不能对安全风险进行准确的评估；

（2）

不能对安全风险的变化实现控制；（3）

缺乏整体解决方案，结合所有的信息安全产品，从而实现全面的安全风险管理。

2、2需求分析结合上面的威胁分析，我们可以看到当前网络存在一些安全隐患；因此，需要采取相应的措施来消除这些威胁，降低整体安全风险，确保OA和应用网络的安全和高效运行，安全需求可以归纳为以下几个方面：

2、2、1在系统层面l部署先进的防病毒和防恶意程序产品，快速高效的查杀各类病毒及恶意程序，确保终端安全；l部署主机入侵保护产品，防止黑客对终端系统的攻击行为；l部署主机防火墙，对终端的网络使用情况进行监控和管理；l在网络中部署网络接入控制，防止不安全的终端系统接入企业内网；l系统防护产品必须具有同一的管理平台，且只有一个客户端代理，以最大限度的节省系统资源，提升管理效率；l系统防护产品应该能够和网络防护类产品实现整合，以便构建整体安全风险管理体系。

2、2、2在网络层面l阻挡从内网或者外网发起的针对网络的DOS/DDOS攻击；l能够监控和记录内部网络上的活动：

包括端口扫描、漏洞扫描、异常流量，特别是针对生产网络的非法访问和攻击（取代原IDS产品功能）；l监控内部网络上的Spyware间谍程序活动；l实时检测和防御各类黑客攻击行为；l对互联网应用和流量进行监控和管理；l有效防御垃圾邮件、病毒邮件的威胁；l对内网用户的互联网访问进行内容过滤和监控。

2、2、3整体解决方案l需要实现对安全风险的准确评估；l结合企业的资产、漏洞和威胁状况，形成完善的安全风险变化曲线；l协调系统防护和网络防护的解决方案，前瞻性地解决安全问题；3McAfeeSRM整体解决方案

3、1方案设计原则在设计整体解决方案之前，McAfee安全解决方案首先要考虑的是安全性，其次要考虑部署安全设备及系统的可靠性、可用性；因此，在本次方案的设计过程中，均遵循以下设计原则：

1）方案设计始终考虑业务安全需求；2）建议的方案设施后不会影响现有计算机网络的安全性，不会降低现有系统的可靠性和可用性，不影响现有系统和网络的性能；3）防护类产品探测准确：

不会出现误报和漏报；4）可靠性：

确保网络不会因为设备故障而造成中断；5）安全产品部署后，不出因此出现性能瓶颈；6）在不增加现有工作量的基础上，通过实现安全风险管理，能够全面提升安全管理工作的效率。

3、2McAfeeSRM安全风险管理解决方案McAfee基于国际信息安全标准，结合客户的现实，建议方正证券在考虑信息安全体系建设的过程中，应该首先根据自身情况，结合国际先进的安全风险管理流程，明确安全风险的三个重要方面及控制手段，有计划有步骤的加强整个信息安全体系的建设，才能达到最好的效果。

McAfee凭借在信息安全领域的丰富经验和积累，帮助客户规划和实现完整的安全风险管理（SecureRiskManagement：

简称SRM）解决方案，真正前瞻性的解决安全问题。

3、2、1什么是安全风险我们之所以要解决安全问题，是因为信息网络存在被病毒、黑客攻击等各类安全威胁攻击的可能性，也就是说存在安全风险，并随时可能因此给企业造成财产、时间、声誉上的损失，而根据权威机构（数据来源：

Gartner）的分析，安全风险得大小主要取决于以下三个方面：

图

3、1Gartner安全风险公式也就是说，当企业具有了信息化的核心资产（比如有很重要的数据保存在服务器上），这些资产存在弱点和漏洞（比如微软操作系统的漏洞或空口令），又存在被安全威胁攻击的可能（比如病毒、黑客攻击等等），就会给企业造成损失。

因此，企业的安全风险和这三个方面紧密相关，也只有同时解决好这三个方面的问题，才可能真正的确保信息系统的安全。

同样，在方正证券网络当中，具有重要的信息资产，并且同样面临漏洞和各类安全威胁，如果只是简单的选择和部署安全防护设备，就总是在和安全问题的较量中处于被动，我们必须拥有一整套完善的解决方案，对资产、漏洞及安全威胁进行整体的评估和控制，才能主动的面对安全问题的不断变化。

3、2、2McAfeeSRM安全风险管理McAfee根据安全风险的特点和三个关键要素，提出了安全风险管理的方法论，其核心思想是根据企业的基础环境，全面准确的评估安全风险，并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御安全威胁，最终主动的降低整体安全风险。

（1）

安全风险管理流程McAfeeSRM（SecureRiskManagement）安全风险管理的方法论如下图所示：

图

3、2McAfeeSRM安全风险管理要实现对安全风险的管理和控制，需要实现完整的风险管理流程：

l发现安全风险：

通过有效的手段，确定存在安全风险的资产和区域，定位安全风险存在的区域；l评估安全风险：

准确高效的评估安全风险，了解安全风险的大小和实质；l强制措施降低风险：

通过管理或强制等安全手段，主动地降低安全风险；l安全防御：

通过各类系统、网络安全设备，防御各类安全威胁；l修补：

主动修补存在的各类漏洞，全面降低安全风险。

综上所述，通过完整的SRM流程，对安全风险实现全面的管理和控制，5个步骤缺一不可，同时，SRM风险管理流程根据企业的具体情况，可以有不同的实现方式，最终，通过McAfeeSRM解决方案帮助客户：

l始终遵守确定的安全政策；l基于风险管理，整合网内现有的安全防护产品；l提供全面的实时防护产品更好的检测并阻止安全威胁；始终一致地衡量法规遵从性标准，最终帮助客户达到既定的安全目标和安全标准。

（2）

McAfee安全风险管理的详细步骤：

图

3、3McAfee动态安全风险管理方法论1确立安全标准和方针；2统计信息资产；3整合并确认资产的商业价值；4检测资产存在的安全漏洞；5了解存在的潜在威胁；6分析存在的安全风险；A信息资产V存在的安全漏洞T安全威胁7通过安全防御茶品实时阻断安全威胁；8强制安全策略并应用补救措施；9评估安全效果和影响；10针对已有策略进行比对。

综上所述，传统的安全产品（防病毒、防火墙等），只是去抵御安全威胁，却忽视了对整体安全风险的考虑，而McAfee的安全风险管理体系考虑到了可能影响企业安全风险的三个关键要素，并且可以结合现有的安全产品，通过完善安全风险管理流程帮助企业实时的控制整体安全风险，真正的解决安全问题。

3、2、3安全风险管理体系的实现依据McAfee的安全风险管理流程，McAfee拥有先进的技术和解决方案能够帮助客户实现全面的安全风险管理流程，其中包括：

图

3、4McAfeeSRM的实现

（1）

发现安全风险McAfeeFoundStone部署在网络中发现和评估安全风险状况，并形成安全风险变化曲线，主动追踪风险控制状况。

（2）

评估安全风险McAfeeFoundStone&McAfeeePO在FoundStone评估安全风险的基础上，FoundStone还可以通过和McAfee安全管理平台ePO的整合，准确地识别终端系统信息，更加准确地评估企业安全风险。

（3）

管理和强制措施McAfeeDLP&MNAC&IntruShieldlMcAfeeDLP：

防止企业的核心数据通过各种信息渠道泄露出去，主动确保数据安全；lMcAfeeNAC：

网络接入控制，让所有不安全的客户端不能接入网络；lMcAfeeIntruShield：

网络入侵保护，主动抵御安全威胁，并通过和McAfeeNAC整合，实现更好的网络接入控制功能。

（4）

安全防护措施McAfeeTOPS&McAfeeSIG&IntruShield图

3、5McAfee的威胁防御产品及解决方案（5）

修补McAfeeRemediationManager主动修补信息资产存在的各类漏洞，可以和众多第三方的产品联动。

McAfee不但提供全面的安全风险管理工具，同时可以帮助企业实时扫描资产存在的安全漏洞，并通过主动的网络防护消除已知、未知和将来出现的威胁，为补救赢得时间，同时，降低企业的安全风险，如：

因此，McAfee建议客户以有效控制安全风险为目标，通过先进的技术解决方案及内部管理流程，最终实现一个完善的、主动的和可以对抗未知威胁的安全风险管理整体解决方案。

3、3McAfeeSRM的实现

3、3、1McAfeeSRM部署步骤综上所述，McAfee建议方正证券根据自身情况，分析现有安全产品和措施，有计划有步骤的完善自身的安全风险管理体系，并且制定相应的安全策略，做到有的放矢。

一般来讲，企业在构建安全风险管理体系的时候，有一个基本次序：

1）

首先，构建完善的终端安全体系，因为终端安全是基础，任何安全威胁最终影响到的都是终端系统，同时，终端面对的病毒等威胁数量最多；2）

其次，是构建完善的网络防护体系，如防火墙、入侵防护系统、垃圾邮件过滤系统等，从网络层面第一时间抵御安全威胁，同时，还要防御各类终端难以防御的网络攻击行为；3）

最后，当已经建立了高效的防护体系之后，需要建立全面的资产管理和风险管理体系，整合现有的安全设备和手段，形成成熟完备的动态安全风险管理体系。

目前，多数金融机构已经部署了终端安全防护体系，但是难以全面抵御终端的各类安全威胁；在网络层面也部署了相应的安全措施，但多数为被动的安全检测手段；由需求分析我们可以得出，现有的安全措施缺乏联系，各自为战，难以从整体上前瞻性的解决安全问题。

因此，应该首先完善安全防护体系，在此基础上，逐步实现全面的安全风险管理体系。

3、3、2McAfeeSRM部署的产品

（1）

系统防御McAfeeTOPSMcAfeeTOPS包含组件如下：

McAfeeVirusScan

8、5i（网络防病毒产品）：

全球领先的网络防病毒解决方案，提供顶级的病毒库和扫描引擎，能够帮助客户抵御针对系统的病毒威胁，同时加入了防火墙、入侵防护及防恶意程序功能，为系统提供全面的病毒防护功能。

McAfeeAnti-Spyware

8、5：

McAfeeAnti-Spyware产品专门针对不断出现的后门程序、间谍软件及恶意程序问题，有效保护系统不被恶意程序感染和危害。

McAfeeIPS

7、0（HIPS）：

强大主机入侵防护产品（整合了桌面防火墙功能），防护针对主机系统的各类攻击行为，同时，能够提供强大的管理功能和桌面防火墙功能，并对USB端口进行控制。

McAfeeNAC（NetworkAccessControl）：

提供全面的网络接入控制功能，能够对接入网络的各类终端进行安全评估并采取不同的控制动作。

McAfeeePO

4、0（McAfee统一的安全管理平台）：

为所有的McAfee系统防护产品及McAfeeSCM提供统一的部署、管理、策略控制及报表功能，也会和网络防护产品实现完全整合。

是McAfee的综合安全管理平台。

（2）

网络防御解决方案主要包括：

McAfeeIntruShield（IPS设备）：

基于ASIC的硬件的网络入侵防护系统，实时阻止黑客攻击、蠕虫病毒、间谍程序和DOS/DDOS攻击。

McAfeeSCM（安全内容管理）：

McAfee的SCM产品可以直接部署在数据链路中，通过强大的检测和防御功能，有效抵御各类病毒、蠕虫、病毒邮件、垃圾邮件的危害，同时，对进出网络的数据信息进行内容过滤。

（3）

动态安全风险管理解决方案FoundStoneMcAfeeFoundStoneFS1000：

软硬一体化的动态安全风险管理系统。

4McAfeeTOPS及MNAC的部署McAfee建议方正证券在现有网络的基础上，部署McAfeeTOPS终端保护解决方案，包括如下组件：

安全管理平台：

McAfeeePolicyOrchestrator计算机病毒防护：

McAfeeVirusScanEnterprise

8、5i恶意程序防护：

McAfeeAnti-Spyware

8、5主机入侵保护及桌面防火墙：

HIPS

7、0网络接入控制系统：

MNAC互联网访问预警：

SiteAdvisor

4、1McAfeeTOPS的部署

4、1、1ePO的部署ePolicyOrchestrator（以下简称ePO），是TOPS的集中策略管理中心，提供TOPS的集中管理，功能包括所有产品的分发部署、策略配置、自动更新管理、报警和报表管理。

单台ePO服务器支持对25万个客户端的集中管理。

ePO安装平台要求：

Windows2000/2003ServerCPU：

P4/内存2G/硬盘40GBePO提供以下功能：

1）积极的爆发预防使用ePO病毒爆发响应中心，使用策略配置，可以采取积极的步骤保护您的网络不受逼近的病毒爆发的威胁。

2）病毒爆发通知功能ePO能够根据设定的阈值自动发出病毒爆发通知。

3）安全通信基础架构控制管理中心使用一种新的通信基础架构—建立在安全套接层（SSL）

协议上。

根据使用的安全设置，通信可以加密或使用认证加密。

4）管理权限管理权限分成全局、部分的管理域，在不同域上有不同用户权限。

5）实时和按需扫描策略控制控制管理中心向您提供实时的产品控制。

在控制台上做出的配置更改会立即发送到产品，甚至可以从控制台上运行手动扫描。

这种没有等待时间的命令系统在病毒爆发期间是不可缺少的。

6）集中式更新控制集中式更新策略规则、病毒码和扫描引擎文件，可以确保所有被管理的防病毒客户端都使用最新的组件。

更新方式可以配置为定期任务更新和实时通知更新两种方式。

7）集中式配置集中式配置使您可以从一个单一控制台协调病毒响应和安全措施。

这确保了整个企业网络的防毒和内容安全策略的一致实施。

8）桌面防火墙的策略配置配置桌面防火墙的允许和阻挡策略，查看允许和阻挡网络访问日志等。

9）HIPS的配置和报警管理配置HIPS的攻击响应策略，配置HIPS的、不同防护模块的策略，修改配置，查看入侵和异常操作报警；8）微软安全漏洞检测和补丁安装状态检测通过ePO检测Windows平台计算机的安全漏洞和微软安全补丁安装状态，同时提供详细的报表。

9）Rouge计算机和为保护计算机的探测通过ePO可以探测未安装防病毒软件的计算机，同时还可以探测接入企业网络的外来计算机。

10）集中式日