McAfee终端安全技术方案ToPsforSecureBusinessv.doc

McAfee终端安全ToPs for Secure Business 技术解决方案McAfee(中国)公司Tel: 021-614588782019年5月18日目录1方案概述82*客户信息安全现状及需求分析92.1网络现状92.2面临的安全威胁92.3需求分析113McAfee SRM整体解决方案143.1McAfee SRM安全风险管理解决方案143.1.1什么是安全风险143.1.2McAfee SRM安全风险管理153.1.3安全风险管理体系的实现173.2McAfee SRM的实现步骤194McAfee TOPS for Secure Business终端防护技术解决方案214.1推荐的终端安全保护系统224.1.1终端安全防护产品概述224.1.2终端保护系统建立后达到的效果244.2推荐的数据保护产品254.2.1我们需要什么254.2.2McAfee数据保护解决方案264.2.3McAfee数据保护产品的具体功能274.2.4McAfee数据保护产品的统一管理284.3McAfee TOPS for Secure Business的部署294.4总体管理架构304.4.1多层次管理314.4.2产品更新314.4.3高可用性配置（冗余设计）324.4.4安全威胁的Lockdown和报警324.5McAfee TOPS for Secure Business和其他安全系统的整合324.5.1同硬件保护产品的互补性324.5.2同信息安全管理平台的整合334.5.3同安全风险管理工具的整合334.5.4和第三方产品的整合334.5.5杰出的安全风险管理整合方案345TOPS for Secure Business解决方案特点355.1桌面计算机及文件服务器防病毒软件McAfee VirusScan Enterprise 8.7i355.2桌面计算机及文件服务器防间谍软件McAfee Anti Spyware 8.7375.3HIPS 7.0桌面防火墙和主机入侵防护技术特点385.4SiteAdvisor395.5McAfee ePolicy Orchestrator 4.0395.6McAfee NAC455.6.1McAfee NAC系统简介465.6.2*客户McAfee NAC部署方案475.6.3McAfee NAC的统一管理495.7McAfee Policy Auditor及Remediation Manager505.8McAfee数据保护产品526典型案例536.1华东地区主要客户536.2国外主要客户53概述(1) 关于McAfeeMcAfee是全球最大的专业致力于网络信息安全和管理的厂商，也是全球最有影响力的十大网络软件公司之一。McAfee在全球75个国家设有分支机构，4000多名雇员，授权代理商、分销商、零售商，发展增值代理（VAR），并配合系统集成商为行业客户服务。同时，在全球六大洲提供咨询（Consulting Service）、教育（Total Education Service）、产品支持（World Wide Product Support）等全面服务方案。McAfee拥有世界权威的反病毒紧急事务响应小组（AVERT）、IntruVert入侵防护响应小组及FoundStone漏洞分析小组，提供7/24的研发和支持服务，并且2006年在中国设立了IntruShield及FoundStone研发中心， McAfee密切关注各类信息安全问题，为各种类型的组织机构提供整体的安全顾问服务，推出网上诊室，是安全研究联盟SRA的主要成员。与Cisco合作为学校培养网络人才，与Verisign和Entrust结成战略联盟提供PKIS支持，与Novell联手提供完善的全面集成的病毒防治能力的网络解决方案。McAfee具有广泛的联盟伙伴，他们是Microsoft，IBM/Tivoli，HP，Dell，Compaq，IBM GIS，IBM Lotus，Novell，PT，Seagate Sotware，Cisco System，ALOL，Worldcom，GTE等。在中国，McAfee建立了深圳研发中心及北京研发中心，来为中国的客户提供更好更全面的技术和产品服务。McAfee Avert作为全球效率最高、覆盖面最广的病毒响应小组，为我们的客户提供更加全面周到的病毒应急响应服务。 (2) McAfee TOPS for Secure Business安全套件TOPS for Secure Business的组件：I. 管理平台： ePO：通过管理控制台ePO的部署，可以管理所有的产品组件，其中包括：病毒防护、SiteAdvisor、SCP、数据保护等；II. 终端安全产品： 防病毒VirusScan Enterprise 8.7i：针对桌面机和文件服务器的病毒防护功能可以为您的系统中最难管理的部分 - 桌面机和文件服务器提供出色的病毒防护； 恶意程序清除产品Anti-Spyware8.7：有效检测和准确清除各类恶意程序，确保终端的绝对安全； HIPS7.0：整合的主机入侵保护系统和桌面防火墙，全面抵御黑客攻击行为（如SQL注入等）并且提供全面的桌面防火墙功能，管理终端的协议和端口调用，并实现对终端程序和进程的管理； McAfee RSD：准确检测接入的非法计算机，并完成详细的统计报告； McAfee SCP：准确评估终端的漏洞状态，查看网络的补丁应用状况； SiteAdvisor：通过ePO进行管理和部署，嵌入用户端的浏览器，可以对用户访问的互联网站点进行安全预警，显示所访问站点的安全级别，并对客户的互联网访问进行管理； McAfee NAC：全面的网络接入控制解决方案；III. 内网安全审计产品： Policy Auditor：终端安全审计系统，扫描和检测终端的安全状况；IV. 数据保护产品： 基于主机的保护（产品名称：McAfee Data Loss Prevention Host）保护公司和移动中（在家里和在路上）的终端、服务器上的数据； 基于磁盘的加密保护可以针对计算机的硬盘进行全面加密，就算笔记本电脑或者移动终端以外丢失，也不会造成任何的数据泄露和丢失，确保企业的核心信息资产绝对安全； 基于文件的加密保护针对文件的加密模块可以根据用户的具体需求，对特定的文件进行加密保护，防止未授权用户的访问，保护文件的机密性；(3) 关于McAfee通过McAfee TOPS for Secure Business全面终端安全解决方案，可以实现对企业系统和终端的全面防护，从威胁、资产、数据、审计等多个角度全方位的解决信息安全问题，有效帮助企业构建全面的安全体系，并且通过ePO管理平台和单一客户端程序提供统一的部署、管理、报表服务，实现管理效率的最大化和管理性能的最优化，真正帮助企业降低成本，提升安全！1 方案概述本方案根据*客户目前的信息安全建设状况，借助McAfee在信息安全领域的先进技术和解决方案，以动态安全风险管理为基础，提出了全面的信息安全解决方案及实施步骤。其最大的特点是：以全面的量化安全风险为基础，在系统和网络层面构建全面的安全威胁防御体系，完善健全安全措施，当安全风险等级变化时，风险管理管理系统提供详细的安全风险变化原因和补救措施，同时，调整系统和网络层面的防御策略，真正的做到全面防御，有的放矢。风险管理的过程中，如何有效地消除威胁、降低风险是关键，因此，我们首先应该建立全面的系统和网络防御体系。而*客户本次项目的主要目的就是建立一套比较完整地安全防御体系。McAfee提供的先进的终端和网络防护产品，可以帮助*客户对抗未知的和将来出现的安全威胁，并通过和安全风险管理产品的整合，进一步完善*客户的网络安全建设。本方案描述中涉及以下产品和解决方案：(1) McAfee TOPS for Secure Business安全套件：包含防病毒、恶意程序清除、补丁评估、非法计算机检测、主机入侵保护、桌面防火墙、互联网访问管理、网络接入控制、终端安全审计、数据保护及加密等产品；(2) McAfee风险管理解决方案：方案中会结合McAfee安全风险管理体系，介绍在*客户现有环境下的安全体系建设方案，从而使得各个安全产品协同工作，增强网络安全综合防御能力。本方案基于安全风险管理解决方案，重点论述了*客户McAfee终端安全系统的建设和部署方案。2 *客户信息安全现状及需求分析2.1 网络现状*客户的网络现状（示意图）如下图所示：图2.1网络现状和总部相连的包括多个全国分中心的网络，整体网络中包含各类服务器和客户端，总的终端数量约2000台。2.2 面临的安全威胁 通过内部网络或者互联网远程黑客发起的攻击入侵，造成信息泄露，或者破坏网络、应用和服务器系统，造成网络、应用和服务器系统瘫痪； 蠕虫病毒通过内部网络、Email、互联网或网络文件共享等多种方式传播，植入OA网络计算机后为黑客攻击留下后门，同时造成网络拥塞，甚至中断； 蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门，同样，在传播过程中，产生大量的TCP、UDP或ICMP垃圾信息，造成网络拥塞，如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒； OA用户文件拷贝，Internet访问带来：病毒、蠕虫、间谍程序、后门程序和特洛伊木马的威胁； 来自Internet的Spyware的威胁，很多时候Spyware带来的可能损失要比蠕虫等的威胁更大； 通过互联网传播的病毒邮件、有害信息和垃圾邮件等； 终端计算机非法添加硬件设备，访问互联网； 不安全的计算机接入内部网络，带来不安全因素； 终端安全状态的检测和排查，有效了解终端系统的应用程序状态； 无论是黑客攻击、还是内部故意泄露，都存在多种数据泄露的风险：o 物理途径从桌面计算机、便捷计算机和服务器拷贝数据到USB，CD/DVD和移动硬盘等移动存储介质上；通过打印机打印带出公司或者通过传真机发送，或者是硬盘及存储介质的丢失；o 网络途径通局域网、无线网络、FTP、HTTP、HTTPS发送数据，这种方式可以是黑客攻击“穿透”计算机后造成，也可能是内部员工从计算机上发送；o 应用途径通过电子邮件、IM即时信息、屏幕拷贝，P2P应用或者“特洛伊木马”窃取信息。图2.2数据泄漏的三种途径2.3 需求分析从上面我们可以看到当前*客户的计算机网络面临的各类威胁，因此，需要采取相应的措施来消除这些威胁，确保网络的安全，因此，安全需求可以归纳为以下几方面： 集中监控、重点管理的能力，防病毒管理软件对运行在Windows NT/2000/98/95/ME以及其他平台防病毒软件的集中监控管理功能。对于关键的服务器具有实时的病毒活动参数监控方法； 能够从多层次进行病毒防范，第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护； 安装部署的防病毒软件能够及时阻挡来自网络的病毒入侵、实现自身的病毒检测，最大程度的保障计算机安全； 安装部署的防病毒软件能有效地检测、阻止用户端计算机通过移动介质（如光盘、U盘等）带来的病毒威胁； 当用户端计算机向网络传播病毒时，防病毒软件能通过合理有效的控制措施及时进行预警、隔离，防止病毒引起的网络堵塞等情况发生。 对所有计算机的硬件设备进行管理，禁止私自添加和使用其它硬件。 检测和排查终端系统的安全状况。 构建全面有效的网络接入控制系统。 数据流失保护o 通过数据保护客户端对用户的网络行为进行检测，阻断数据泄漏行为；o 通过数据保护客户端对具体应用进行检测，阻断数据泄漏行为；o 通过客户端程序，有效的审计各类数据调用行为，并记录全部用户行为； 设备控制o 添加数据控制组件，可以对接入计算机的各类外置设备进行控制，防止机密信息通过这类外接设备发生泄漏；o 针对网络打印机、U盘等各类高危外设的使用进行审计并记录；o 一旦发现非法使用，可以第一时间阻断数据泄漏行为； 磁盘和数据加密o 能够对移动终端和笔记本电脑的磁盘进行加密，保证移动数据终端的全面安全，就算笔记本丢失，也不会造成数据泄漏；o 能够对特定的文件进行加密和控制，并通过管理平台设定统一的管理策略，就算数据由于无意的合法行为造成泄漏，非授权用户也无法进行访问； 统一管理服务器可制定分时、分组等灵活有效的升级策略更新终端客户端病毒库，客户端升级情况可满足分组、统一监控，可对病毒安全事件进行审计分析。 需要依照全网的安全策略和管理策略，部署先进高效的终端安全防护产品，并从安全风险管理的角度出发，真正有的放矢地解决信息安全问题； 最后，*客户更需要建立一个安全风险管理体系，通过一定的基本原则和管理流程，整合好目前已经部署和使用的安全产品，真正做到对安全风险的有效管理。3 McAfee SRM整体解决方案3.1 McAfee SRM安全风险管理解决方案McAfee基于国际信息安全标准，结合客户的现实，建议客户在考虑信息安全体系建设的过程中，应该首先根据自身情况，结合国际先进的安全风险管理流程，明确安全风险的三个重要方面及控制手段，有计划有步骤的加强整个信息安全体系的建设，才能达到最好的效果。McAfee凭借在信息安全领域的丰富经验和积累，帮助客户规划和实现完整的安全风险管理（Secure Risk Management：简称SRM）解决方案，真正前瞻性的解决安全问题。 3.1.1 什么是安全风险我们之所以要解决安全问题，是因为信息网络存在被病毒、黑客攻击等各类安全威胁攻击的可能性，也就是说存在安全风险，并随时可能因此给企业造成财产、时间、声誉上的损失，而根据权威机构（数据来源：Gartner）的分析，安全风险得大小主要取决于以下三个方面：图3.1 Gartner安全风险公式也就是说，当企业具有了信息化的核心资产（比如有很重要的数据保存在服务器上），这些资产存在弱点和漏洞（比如微软操作系统的漏洞或空口令），又存在被安全威胁攻击的可能（比如病毒、黑客攻击等等），就会给企业造成损失。因此，企业的安全风险和这三个方面紧密相关，也只有同时解决好这三个方面的问题，才可能真正的确保信息系统的安全。同样，在*客户网络当中，具有重要的信息资产，并且同样面临漏洞和各类安全威胁，如果只是简单的选择和部署安全防护设备，就总是在和安全问题的较量中处于被动，我们必须拥有一整套完善的解决方案，对资产、漏洞及安全威胁进行整体的评估和控制，才能主动的面对安全问题的不断变化。3.1.2 McAfee SRM安全风险管理McAfee根据安全风险的特点和三个关键要素，提出了安全风险管理的方法论，其核心思想是根据企业的基础环境，全面准确的评估安全风险，并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御安全威胁，最终主动的降低整体安全风险。(1) 安全风险管理流程McAfee SRM（Secure Risk Management）安全风险管理的方法论如下图所示：图3.2 McAfee SRM安全风险管理要实现对安全风险的管理和控制，需要实现完整的风险管理流程：l 发现安全风险：通过有效的手段，确定存在安全风险的资产和区域，定位安全风险存在的区域；l 评估安全风险：准确高效的评估安全风险，了解安全风险的大小和实质；l 强制措施降低风险：通过管理或强制等安全手段，主动地降低安全风险；l 安全防御：通过各类系统、网络安全设备，防御各类安全威胁；l 修补：主动修补存在的各类漏洞，全面降低安全风险。综上所述，通过完整的SRM流程，对安全风险实现全面的管理和控制，5个步骤缺一不可，同时，SRM风险管理流程根据企业的具体情况，可以有不同的实现方式，最终，通过McAfee SRM解决方案帮助客户：l 始终遵守确定的安全政策；l 基于风险管理，整合网内现有的安全防护产品；l 提供全面的实时防护产品更好的检测并阻止安全威胁；l 始终一致地衡量法规遵从性标准，最终帮助客户达到既定的安全目标和安全标准。(2) McAfee安全风险管理的详细步骤：图3.3 McAfee动态安全风险管理方法论1确立安全标准和方针；2统计信息资产；3整合并确认资产的商业价值；4检测资产存在的安全漏洞；5了解存在的潜在威胁；6分析存在的安全风险；A信息资产 V存在的安全漏洞 T安全威胁7通过安全防御茶品实时阻断安全威胁；8强制安全策略并应用补救措施；9评估安全效果和影响；10针对已有策略进行比对。综上所述，传统的安全产品（防病毒、防火墙等），只是去抵御安全威胁，却忽视了对整体安全风险的考虑，而McAfee的安全风险管理体系考虑到了可能影响企业安全风险的三个关键要素，并且可以结合现有的安全产品，通过完善安全风险管理流程帮助企业实时的控制整体安全风险，真正的解决安全问题。3.1.3 安全风险管理体系的实现依据McAfee 的安全风险管理流程，McAfee拥有先进的技术和解决方案能够帮助客户实现全面的安全风险管理流程，其中包括：图3.4 McAfee SRM的实现(1) 发现安全风险McAfee FoundStone部署在网络中发现和评估安全风险状况，并形成安全风险变化曲线，主动追踪风险控制状况。(2) 评估安全风险McAfee FoundStone & McAfee ePO在FoundStone评估安全风险的基础上，FoundStone还可以通过和McAfee安全管理平台ePO的整合，准确地识别终端系统信息，更加准确地评估企业安全风险。(3) 管理和强制措施McAfee DLP & MNAC & IntruShieldl McAfee DLP：防止企业的核心数据通过各种信息渠道泄露出去，主动确保数据安全；l McAfee NAC：网络接入控制，让所有不安全的客户端不能接入网络；l McAfee IntruShield：网络入侵保护，主动抵御安全威胁，并通过和McAfee NAC整合，实现更好的网络接入控制功能。(4) 安全防护措施McAfee TOPS & McAfee SIG & IntruShield图3.5 McAfee的威胁防御产品及解决方案(5) 修补McAfee Remediation Manager主动修补信息资产存在的各类漏洞，可以和众多第三方的产品联动。McAfee不但提供全面的安全风险管理工具，同时可以帮助企业实时扫描资产存在的安全漏洞，并通过主动的网络防护消除已知、未知和将来出现的威胁，为补救赢得时间，同时，降低企业的安全风险，如： 网络入侵防护系统可以阻断已知攻击、未知攻击及DoS/DDoS攻击，并对异常应有和流量进行管理； FoundStone安全风险评估产品可以第一时间发现内部存在的漏洞，并量化安全风险等级，防患于未然；因此，McAfee建议客户以有效控制安全风险为目标，通过先进的技术解决方案及内部管理流程，最终实现一个完善的、主动的和可以对抗未知威胁的安全风险管理整体解决方案。3.2 McAfee SRM的实现步骤综上所述，McAfee建议*客户根据自身情况，分析现有安全产品和措施，有计划有步骤的完善自身的安全风险管理体系，并且制定相应的安全策略，做到有的放矢。一般来讲，企业在构建安全风险管理体系的时候，有一个基本次序：1) 首先，构建完善的终端安全体系，因为终端安全是基础，任何安全威胁最终影响到的都是终端系统，同时，终端面对的病毒等威胁数量最多；2) 其次，是构建完善的网络防护体系，如防火墙、入侵防护系统、垃圾邮件过滤系统等，从网络层面第一时间抵御安全威胁，同时，还要防御各类终端难以防御的网络攻击行为；3) 最后，当已经建立了高效的防护体系之后，需要建立全面的资产管理和风险管理体系，整合现有的安全设备和手段，形成成熟完备的动态安全风险管理体系。目前，*客户已经部署了终端安全防护体系，但是难以全面抵御终端的各类安全威胁；在网络层面也部署了相应的安全措施，但多数为被动的安全检测手段；由需求分析我们可以得出，现有的安全措施缺乏联系，各自为战，难以从整体上前瞻性的解决安全问题。因此，应该首先完善安全防护体系，在此基础上，逐步实现全面的安全风险管理体系。4 McAfee TOPS for Secure Business终端防护技术解决方案从2005年开始，安全威胁的类型发生了很大的变化，使得传统的信息安全技术出现很大的变化，具体体现在以下几方面：1) 传统的利用弱点的蠕虫病毒仍然存在，但和2005年前不同的是很多蠕虫病毒结合了Rootkit技术，使用通过拦截Windows底层API隐藏自己，这使得防病毒扫描引擎必须具备探测API/ Process Hooking的能力2) 2005年以后，利用Web访问，利用Web浏览器弱点、人为误操作和特洛伊木马安装间谍软件、广告软件急剧增加，使得防病毒软件要能够探测和清除间谍程序和木马，例如当前危害较大的ARP Spoofing木马。3) 传统的利用弱点的蠕虫病毒依然存在， 变种出现的速度增加，使得防病毒软件要具备“Zero-Day”的防护能力。4) 自2004年以来，数据泄漏事件正以1700%的速度增长，平均每起数据泄漏造成的资产损失达到4百80万美金。和金融相关的众所周知的比较著名的数据泄漏事件有：5) 数据泄露造成的根源来自外部黑客攻击和内部数据泄漏，据FBI的统计，70%的数据泄漏是由于内部人员造成的，而这些内部人员大都是有权限访问这些数据，然后窃取滥用这些数据。上述这些原因导致传统的防护产品无法有效对抗这些新的威胁，为了有效对抗这些威胁，企业还需要防间谍软件、桌面防火墙、防Zero-day蠕虫和黑客攻击的主机入侵防护、数据保护以及根据计算机是否遵守企业安全策略评估结果进行网络访问控制功能。因此，根据*客户实际管理的需求，当前安全威胁的变化，我们提供给*客户的产品是目前全球技术领先McAfee Total Protection for Secure Business计算机整体安全防护系统，其集成了企业防病毒、防间谍软件、桌面防火墙、防Zero-day蠕虫和黑客攻击的主机入侵防护、数据保护以及根据计算机是否遵守企业安全策略评估结果进行网络访问控制的功能，所有这些功能的管理均通过McAfee ePolicy Orchestrator进行统一集中管理，这一方面提高了管理效率，另一方面也提高了安全性。此外，基于McAfee ePolicy Orchestrator管理体系还添加了终端安全审计、网络接入控制等多种安全模块，并管理其他第三方的软件产品。由于*客户网络结构比较复杂，而且涉及多部门，多系统之间的协调，如果不加控制，安全威胁一旦发生，带来的损失是不可估量的，而在信息被破坏后再做补救也无法挽回已经造成的损失，所以对于*客户来说，对安全威胁的态度将是防御和管理相结合。在可能造成威胁的各个渠道中都设有监控，结合定时威胁检测和自动更新，才能保证系统的安全。同时需要结合对应的管理策略，充分发挥McAfee产品在病毒防护集中管理、监控中的优势，在*客户企业网中构建有效的终端安全监控体系。4.1 推荐的终端安全保护系统4.1.1 终端安全防护产品概述本方案为McAfee公司根据*客户终端保护要求，建议的系统安全解决方案，方案主要涉及客户机和服务器的安全防护，提供多层次，全面的病毒防护和终端安全解决方案。图4.1 推荐的终端保护系统方案内容涉及：1） 桌面计算机及文件服务器防病毒软件McAfee VirusScan Enterprise 8.7i企业级计算机防病毒系统主要针对*客户的个人桌面计算机、笔记本电脑和应用服务器，在这些计算机上安装VirusScan防病毒客户端，VirusScan 8.7i提供了前瞻的病毒防护，可以完全实现不需要病毒签名既可以防止蠕虫、木马、间谍软件和广告软件，尤其是在VirusScan 8.7中包含了McAfee Anti-Spyware，探测和清除间谍程序。VSE 8.7i通过McAfee ePolicy Orchestrator 4.0（简称ePO）进行集中管理，包括分发、自动更新、报警、通知和报表管理，同时，ePO可以探测未受防病毒软件保护的计算机，然后发出警报。2） 桌面计算机及文件服务器防间谍软件McAfee Anti Spyware 8.7有效检测和阻断恶意程序及后门程序，加强恶意程序的检测和查杀能力，确保终端安全。3） HIPS 7.0桌面防火墙和主机入侵防护技术特点抵御各类黑客攻击行为，提供全面的桌面防火墙功能。4） McAfee RSD准确检测接入的非法计算机，定位不兼容计算机5） McAfee SCP评估终端的漏洞状况，形成全面的漏洞报告。6） McAfee SiteAdvisor管理终端用户的互联网访问行为，确保用户访问的都是安全站点。7） 防病毒系统集中策略管理系统ePolicy Orchestrator 4.0（在下文中简称ePO）8） McAfee NAC：全面高效的网络安全接入控制系统，可以实现对可管理终端及不可管理终端的全面安全接入控制；9） McAfee Policy Auditor 和 McAfee Remediation Manager 使企业能够根据行业及有关部门的法规、企业安全政策、标准和框架，来前瞻性地定义、衡量、报告信息系统的法规和政策遵从情况，并对不符合安全规范的信息系统进行补救。作为 McAfee 安全风险管理解决方案的重要组件，Policy Auditor 和 Remediation Manager 可以帮助企业将风险和业务中断情况降至最低，同时充分利用企业的 IT 资源、最大限度地发挥安全软件投资的作用。对上述安全组件进行集中式策略管理、升级管理和报警管理。使用 ePO 可以将防护功能保持为最新状态，配置和增强安全策略，实现集中的告警管理，生成详细的图形报告。ePO服务器支持多级管理，可以确保实现分级管理的需求，做到总公司监控到所有的防病毒节点，分公司自行管理自己的客户端，同时，在ePO上还可以加载数据加密、数据保护等多种安全模块，并可管理许多第三方安全软件。4.1.2 终端保护系统建立后达到的效果建议的McAfee终端防护系统建立后，将达到以下效果：1） 主动的病毒防护，McAfee防病毒客户端不需要病毒签名就可以阻挡未知蠕虫病毒、木马和间谍软件；2） 提供完善的间谍软件、木马和灰色软件探测清除功能，McAfee防病毒系统集成了当前业界最强大的Spyware探测清除模块；3） 提供病毒爆发时的避免病毒感染的终极锁定功能，通过在防病毒管理服务器上修改一条策略，策略分发后，即可确保全网修改了策略的计算机在病毒爆发期间不会感染任何病毒、木马和间谍软件。4） 提供了注册表、文件和文件夹的访问控制功能，并且提供注册表木马和蠕虫病毒签名。5） Windows平台微软安全补丁安装状态检测和报警，并且提供详细的报表；6） 能够自动探测未受保护的计算机7） 能够自动探测外来用户电脑接入内部网络；8） 对网络内的应用服务器进行全面防护，从而切断病毒在服务器内的寄生和传播；9） 防病毒管理服务器能够检测微软安全漏洞和补丁安装情况，并且给出详细报表和通知；10） 通过分层的防病毒管理服务器实现分布式自动更新和分层分地域分权管理；11） 技术领先的病毒爆发响应，同过不需签名防护蠕虫病毒技术，端口锁定、文件、文件夹锁定和通知功能，使得在病毒爆发阻止和病毒爆发快速响应方面具有完善有效的技术手段。12） 对接入网络的计算机进行实时检测，只有符合*客户要求的计算机才可以接入内部网络；13） 对计算终端的安全状况进行检测和审计；14） 提供统一的防病毒管理平台，对防病毒系统的策略配置升级更新、报警和报表进行集中的统一管理，节省人力资源。4.2 推荐的数据保护产品McAfee基于国际信息安全标准，结合*客户的现实，建议客户在考虑信息安全体系建设的过程中，应该首先根据自身情况，结合国际先进的数据保护解决方案，明确数据保护的四个重要方面及控制手段，有计划有步骤的加强整个数据保护体系的建设，才能达到最好的效果。McAfee凭借在信息安全领域的丰富经验和积累，帮助客户规划和实现完整的数据保护解决方案，真正前瞻性的解决数据保护问题。 4.2.1 我们需要什么数据保护本身是一个复杂的问题，可能是内部人员故意造成的泄漏，也可能是外来人员的强力窃取，作为*客户，根据自身的情况，主要需要考虑四个方面的内容，如下图：图4.2 全面数据保护功能也就是说，我们必须做好四个方面的工作，才可能真正建立全面的数据保护体系：l 对磁盘及重要文件的机密，保证数据就算泄露，也不会造成非授权的信息泄漏；l 通过安全的传输介质，实现数据在不同平台的交互；l 通过有效的控制手段，防止数据的泄漏和遗失，控制用户对重要数据和信息的审计，并完成全面的日志；l 通过对设备的控制，避免用户通过一些外设及存储介质造成的数据泄漏。因此，企业的数据保护问题和这四个方面紧密相关，也只有同时解决好这四个方面的问题，才可能真正的确保企业信息的安全。同样，在*客户的网络当中，要实现着四个方面的全面数据保护，我们需要先进的技术解决方案，能够全面完成数据保护任务。4.2.2 McAfee数据保护解决方案McAfee根据信息安全风险的特点，提出了安全风险管理的方法论，其核心思想是根据企业的基础环境，全面准确的评估安全风险，并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御安全威胁，最终主动的降低整体安全风险。McAfee Total Protection for Data的具体组件：图4.3 McAfee动态安全风险管理方法论1) McAfee数据流失保护：通过在客户端部署软件产品，全面的控制各类数据调用行为，对用户的操作进行控制，进而保护重要的数据和信息；2) McAfee设备控制：通过整合的代理程序，对客户端的外接设备进行控制和管理，对所有的数据交换进行设计，确保企业的外接设备使用安全；3) 加密U盘：加密U盘使用指纹识别技术，确保数据的合法使用和传输，确保信息的交互安全；4) 终端加密：McAfee终端加密产品支持磁盘和文件加密，就算重要数据丢失，也不可能造成信息丢失。4.2.3 McAfee数据保护产品的具体功能McAfee 数据保护产品的四个组件，分别完成了数据保护流程里边的重要方面，如下所述：(1) 数据流失保护McAfee DLP Hostl 保护敏感资料不被有意或无意的泄漏l 全面控制数据的使用和存储l 使得基础架构和数据本身拥有防护能力l 详细的记录，事件搜集l 实时防护和阻挡l 通知用户和管理员l 隔离敏感数据(2) 设备控制McAfee Device Controll 监控并且只允许授权的设备连接到内网；l 限制并且阻挡未授权的设备连接，比如外部的MP3，U盘；l 强制控制可以被复制到授权设备上的数据内容；l 全面控制数据和设备；l 仅允许指定的设备；l 指定什么数据可以被复制；l 基于用户，组，部门 进行策略制定，例如允许CEO连接任何U盘，而其他员工只能使用特定的U盘；l 详细记录用户和设备的访问信息以符合审计和合规的要求。(3) McAfee终端加密McAfee Endpoint Encryptionl 笔记本电脑，桌面机和移动介质的加密；可以基于文件或文件夹；l 当设备遗失的时候保证存储在上面的数据不被泄漏；l 信息保护的安全港 (例如：丢失了被加密的数据=不需要额外的对外公开，也不会造成轰动效应)；l 笔记本电脑，桌面机和移动介质的全面防护；l 符合审计-合规性要求的审计记录；l 支持全面的强加密保护；l 认证：FIPS 140-2, Common Criteria Level 4 (highest level for software products), BITS, CSIA, 等。综上所述，通过McAfee数据保护解决方案，McAfee可以帮助*客户建立全面的数据保护体系，从软件系统到存储硬件的防护，从内部人员的有意泄露到外部人员的非授权访问，均能够实现全面的保护。4.2.4 McAfee数据保护产品的统一管理任何安全产品均应该尽量减少企业的管理成本和时间投入，数据保护类的解决方案也已一样，McAfee 数据保护产品通过McAfee强大的统一管理平台ePO提供整合性的管理，可以实现如下功能：l ePO管理平台做为管理中心，可以实现对软件产品的统一管理和部署；l 基于合规性的要求来全面保护数据，让管理员通过ePO能够简单方便的应用策略和部署策略，有效的实现实时的数据保护功能；l 全面的记录和审计确保符合内部和外部法规的需求，不但能够第一时间阻断敏感信息的传输，更能够提供详细的数据访问日志，方便企业进行后续的取证和责任追查；l 详细的记录和审计符合法规的要求，让企业的数据保护始终符合标准要求；l 通过加密实现数据的“安全港湾”，并且对加密的磁盘和文件进行统一的管理和报告；l 丰富的策略设定和模板来帮助符合法规，并且提供便捷的远程管理。ePO的统一管理如下图所示：图4.4ePO的统一管理（包含和其他系统的联系）4.3 McAfee TOPS for Secure Business的部署通过和*客户的深入沟通和技术交流，在现有的网络环境中，我们建议按照以下方式部署McAfee TOPS for Secure Business安全防护套件：McAfee TOPS for Secure Business部署如下图所示：图4.5 McAfee TOPS for Secure Business的部署1) 部署建议在*客户的所有客户端和服务器上部署McAfee Agent（所有功能均部署在单一代理程序上），推送所有所需的功能模块，全面防护病毒、恶意程序、黑客攻击、数据泄露产品并通过桌面防火墙管理终端的互联网访问。2) 管理建议采用McAfee ePO进行统一的部署和管理，并生成全面报告。4.4 总体管理架构McAfee推荐的*客户防病毒系统管理架构如下图所示，整个防病毒系统管理采用ePolicy Orchestrator进行集中管理，通过ePO对所有产品组件进行集中的策略管理、升级管理、报警管理和报表管理。图4.6 ePO统一管理架构基于这样的架构，可以使得总公司对整个公司的安全状况统一的得到了解，同时使得分公司自己对本地进行管理，又优化了远程站点的更新流量。4.4.1 多层次管理*客户的网络分多个层次，生产网；办公网；互联接入网络。针对不同的网络，可以分别就其特点进行部署。通过McAfee ePO可以实现对多个网络区域的多层次、多级别、多权限管理。4.4.2 产品更新管理服务器的主库从Internet上的McAfee更新站点下载到更新内容后，在ePO上定制客户端的升级任务，计划他们到ePO服务器下载更新的时间。分公司EPO服务器到总公司服务器获取更新。然后分发到各自所管理的客户端。小型分公司则通过指定一台计算机作为更新代理，由该计算机到总公司服务器更新，其余计算机到更新代理更新即可。VSE等安全模块采用增量更新的技术进行更新，每次的更新量只有几百K的数据。再加上通过分层次更新的技术，所以实际产生的更新流量对整个网络的影响非常小。同时根据业务情况，建议将更新时间设在晚上，以减少对白天的正常业务的影响。4.4.3 高可用性配置（冗余设计）支持故障转移ePolicy Orchestrator 软件现在为 Microsoft 群集服务器 (MSCS) 软件的服务器群集提供了更加便利的条件，支持故障状态的转移功能，确保管理服务器的高可用性。4.4.4 安全威胁的Lockdown和报警LockDown功能是指当出现中高级别的安全威胁时，通过修改控管中心的一个策略，当策略分发到客户端时，客户端在实施Lockdown策略时，绝对无法感染病毒、木马和间谍软件。McAfee VirusScan Enterprise 8.7提供了这种病毒爆发时的Lockdown功能，操作流程是这样的，当发现Internet上由病毒爆发的新闻，或者管理员接到ePO发送的病毒爆发通知，修改ePO中的防病毒客户端的访问控制策略，即用鼠标点击“最大保护”选项，然后保存，ePO机会下发由“标准保护”变成“最大保护”策略，在实施最大保护策略的过程中，计算机不会感染任何病毒，包括蠕虫、木马、间谍软件和广告软件。当场上发布爆发病毒的特征码并且更新后，则可以将“最大保护”改回“标准保护”。4.5 McAfee TOPS for Secure Business和其他安全系统的整合McAfee的所有安全产品在设计和研发的过程中，均考虑到企业管理和使用整合性需求，McAfee TOPS for Secure Business产品也是一样，下边详细叙述一下McAfee TOPS for Secure Business同*客户现有安全产品的整合特性，以及对将来所要构建的整体解决方案的支持。4.5.1 同硬件保护产品的互补性McAfee TOPS for Secure Business可以和McAfee防病毒网关MWS及网络入侵防护系统NSP实现整合，如下所述：(1) McAfee ePO可以统一管理所有的防病毒网关MWS系统；(2) NSP可以自动导入ePO上的信息，提高网络边界的防护准确性；4.5.2 同信息安全管理平台的整合McAfee TOPS for Secure Business提供良好的兼容性，并且提供开放的数据库，可以和现有的信息安全管理平台实现：(1) 日志实时传输，及时上报设备状态及相关运行信息；(2) 报警上报，使得信息安全管理平台可以整合网络边界的各类安全预警信息；(3) 报表提交，为信息安全管理平台提供周全的各项数据；(4) McAfee ePO还支持各类自定义动作，以完成和第三方程序的深度整合。4.5.3 同安全风险管理工具的整合McAfee ePO可以实现和安全风险评估和管理工具的数据共享，并和检测到的安全威胁相关联，实现更好的检测准确性：4.5.4 和第三方产品的整合McAfee ePO可管理的第三方产品如下所示： API APIAPI API Risk ManagementSIM/SEM &Log ManagementTheft &ForensicsApplicationAudit & ControlNACDatabaseSecurityEncryptionVoIPSecurityAPIAPIAPIAPI图4.7 ePO可管理的其他产品4.5.5 杰出的安全风险管理整合方案通过McAfee TOPS for Secure Business同各个产品的整合，围绕*客户的信息安全产品将会形成一整套完善的风险管理流程，为*客户提供更加出众的整合性能，让目前的安全风险管理体系更加紧凑，并融合更多的第三方产品。5 TOPS for Secure Business解决方案特点McAfee TOPS for Secure Business安全防护套件，具有多方面的特点和优势。5.1 桌面计算机及文件服务器防病毒软件McAfee VirusScan Enterprise 8.7i企业级计算机防病毒系统主要针对*客户的个人桌面计算机、笔记本电脑和应用服务器，在这些计算机上安装VirusScan防病毒客户端，VirusScan 8.7i提供了前瞻的病毒防护，可以完全实现不需要病毒签名既可以防止蠕虫、木马、间谍软件和广告软件，尤其是在VirusScan 8.7中包含了McAfee Anti-Spyware，探测和清除间谍程序。VSE 8.7i通过McAfee ePolicy Orchestrator 4.0（简称ePO）进行集中管理，包括分发、自动更新、报警、通知和报表管理，同时，ePO可以探测未受防病毒软件保护的计算机，然后发出警报。技术特点如下：1) 操作系统支持支持主流操作系统：windows NT/2000/2003/XP等。支持64位Windows操作系统。2) 客户端软件卸载能够在服务器端命令客户端完成卸载，方便远程维护管理。3) 客户端软件注册客户端能够在安装完成后自动完成向统一管理平台的注册，方便集中管理。4) 防病毒软件密码保护客户端防毒程序运行受到密码保护，用户不能随意停止，保持防病毒策略完整性。5) 防病毒软件安装保护客户端自行卸载了防病毒软件后能够迅速被强制重新安装防病毒软件，保持防病毒策略完整性。6) 内存扫描支持扫描内存，不许进入安全模式就能够扫描和清除内存中的病毒和蠕虫，清除驻留内存病毒、蠕虫。7) 缓冲区溢出防护利用防病毒软件的缓冲区溢出防护技术，防御蠕虫病毒利用操作系统或应用程