XXX网络安全解决方案.doc

XXX网络安全方案McAfee公司广州办事处Tel:10622020年1月12日本文档仅限McAfee公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第 34 页 共 34 页文档说明非常感谢XXX给予McAfee公司机会参与XXX网络安全项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是，本文档所涉及到的文字、图表等，仅限于McAfee公司和XXX内部使用，未经McAfee公司书面许可，请勿扩散到第三方。目 录 1方案概述52现状和需求分析62.1现状和面临的安全威胁62.2需求分析83McAfee建议方案103.1方案设计原则103.2方案描述103.3方案中采用的产品123.4部署方案133.4.1FS1000的部署133.4.2McAfee IntruShield网络入侵防护的部署143.4.3防病毒系统的部署163.4.3.1网络防病毒客户端的部署163.4.3.2防病毒管理服务器的部署173.5主机入侵防护(HIPS)的部署203.6网络访问控制系统（MPE）的部署204安全管理224.1管理角色224.2日常管理流程234.3管理组织架构的划分244.4资产管理244.5弱点评估周期254.6FoundScore和Risk Level254.7修补工作流254.8防病毒管理274.8.1配置epo agent和ePo服务器的通讯间隔274.8.2实时扫描策略274.8.3配置自动更新284.8.4计划手动扫描294.8.5病毒警报294.8.6生成Epo报告295方案优势315.1FS1000安全风险管理的优势315.2IntruShield网络入侵防护的优势325.2.1虚拟IPS功能（VIPS）325.2.2实时过滤蠕虫病毒和Spyware间谍程序325.2.3独特的DOS/DDOS探测方式：自动学习记忆和基于阀值的探测方式321 方案概述本方案为McAfee提供的业界领先的以动态安全风险监控为基础的安全管理方案，其最大的特点是：以自动的量化安全风险等级监控为基础，当安全风险等级变化时， FoundStone风险管理系统提供详细的安全风险变化原因和补救措施，同时，FoundStone风险管理系统将自动由造成风险等级升高的弱点生成修补问题票单，通过电子邮件自动发送给预先定义好的相关管理员，并且自动跟踪该管理员的弱点修补过程，若管理员在规定的时间内修补完成，FoundStone则自动验证和关闭该弱点修补问题票单，否则发送报警。在风险管理过程中，在消除威胁、降低风险的过程中，McAfee提供了主动的系统防护和主动的网络防护系统，帮助用户对抗未知的和将来出现的威胁，包括通过使用McAfee VirusScan Enterprise 8i进行主动的病毒防护，不需要蠕虫病毒签名，就可以阻挡未知的和将来出现的蠕虫病毒。另外就是通过McAfee Policy Enforcer对不遵守XXX安全策略的计算机进行策略强制，在这些计算机连到网络时隔离这些计算机，进行补救符合XXX安全策略后，才允许他们访问网络。本方案涉及以下产品：McAfee FoundStone FS1000：软硬一体化的安全弱点管理和安全风险监控系统。McAfee IntruShield：基于ASIC的硬件的网络入侵防护系统，实时阻止黑客攻击、蠕虫病毒、间谍程序和DOS/DDOS攻击。McAfee Host Intrusion Prevention：McAfee主机入侵防护，提供桌面计算机和关键服务器的主动防护，对抗黑客攻击、异常操作和信息窃取，并且在没有安装安全补丁的情况下保护计算机不受Zdero-Day的威胁攻击.McAfee VirusScan Enterprise 8i：主面计算机和服务器上的防病毒系统。McAfee Policy Enforcer：根据计算机是否遵守企业安全策略来进行网络访问控制的系统。本方案论述了建设XXX完整网络安全系统所应包含的各个方面，XXX可以根据自身的信息系统建设进度分阶段实施。2 现状和需求分析2.1 现状和面临的安全威胁XXX网络架构如下图所示：由图中可以看出，XXX的网络由X 个部分组成：XXX网A、XXX网B和XXX网C。这三个网都间接或直接和集团网络互联区连接，最终连接到Internet。从网络结构来看，面临的外部威胁包括：a）黑客的攻击入侵，造成信息泄露，或者破坏网络、应用和服务器系统，造成网络、应用和服务器系统瘫痪；b）蠕虫病毒通过网络、Email和网络文件共享等多种方式传播，植入OA网络计算机后为黑客攻击留下后门，同时造成网络拥塞，甚至中断；c）蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门，同样，在传播过程中，产生大量的TCP、UDP或ICMP垃圾信息，造成网络拥塞，如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。d）面临Internet的黑客攻击，包括DOS/DDOS攻击，造成网络服务中断。e）管理网用户文件拷贝，Internet访问带来：病毒、蠕虫、间谍程序、后门程序和特洛伊木马的威胁f）来自Internet的Spyware的威胁，对于XXX系统来说，很多时候Spyware带来的可能损失要比蠕虫等的威胁更大。2）虽然生产网络和Internet间有多层防火墙，和XXX管理网做缓冲，但是生产网络一样面临着外部威胁，包括：a）来自Internet和外网的黑客攻击，可以通过穿透管理网络上的计算机，让后通过对防火墙的端口扫描，网络访问测试或者“社会工程”的方法，获得管理网路中可以访问生产网的计算机信息，包括IP、端口，加密方式等，然后再通过“穿透”这些计算机，以这些计算机为“跳板”，最终能够访问生产网计算机。b）通过Spyware窃取生产网主机系统口令，因为很多生产网的系统管理员通常在OA网络上有自己的计算机，黑客最常用的方法是通过Spyware截获这些管理员在OA网络计算机上的键盘输入，然后用截获的键盘输入作为对生产系统服务器字典攻击的“字典”，通过字典攻击最终获取生产系统的password。c）生产网上的蠕虫病毒，造成网络瘫痪，甚至导致生产中断；d）来自管理网络内部人员的恶意攻击和破坏，由于这些人员在OA网络上有自己的计算机，他们可以通过网络扫描或者社会工程的方法，获得哪些计算机可以访问生产网，然后通过IP Spoofing访问生产网，造成生产网数据破坏或被窃取，甚至造成业务中断。3）生产网面临的内部威胁FBI统计，40%的安全威胁都源自于内部，常见的有：a） 系统管理员离职前或者离职后恶意的破坏，如恶意的数据删除，数据修改b） 恶意的窃取更高权限口令，常见的是每天进行口令猜测，同时又不触发报警，如，若知道口令规则是出错三次报警，则每天进行两次口令猜解。c） 恶意的扫描，用来发现开放的端口、网络和系统中的漏洞d） 恶意的针对存在漏洞的攻击2.2 需求分析从上面我们可以看到当前XXX的网络面临的威胁，因此，需要采取措施消除这些威胁，因此，安全需求可以归纳为以下几方面：1） 首先，最重要的是能够发现网络中的安全风险，其次通过量化的安全风险监控及时发现风险的变化和了解安全风险变化的原因；2） 及时识别网络中的安全弱点，并且获得具体的安全弱点的修补建议，并且能够跟踪修补过程、验证修补结果，以便及时了解弱点是不是真正被消除；3） 发现的新的弱点和新的威胁时，能够有手段在Internet入口阻止这些威胁，为补丁安装赢得时间；4） 对于桌面计算机、服务器需要实时的病毒防护，以阻止感染病毒；5） 在Internet边界，阻止黑客攻击、蠕虫、间谍程序、后门程序等；6） 阻挡来自Internet的对XXX网络和计算机的DOS/DDOS攻击；7） 能够监控和记录OA网络上的活动：包括端口扫描、漏洞扫描、异常流量，特别是针对生产网络的非法访问和攻击；8） 监控OA网络上Spyware间谍程序的活动；9） 能够监控和记录生产网络上的端口扫描、漏洞扫描、异常网络流量。10） 监控生产网络上的Spyware间谍程序活动。11） 管理网上的威胁会影响到生产网，所以管理网必须有有效的网络访问控制，以确保感染了病毒的计算机、有威胁的计算机能够被有效的隔离。3 McAfee建议方案3.1 方案设计原则方案首先要考虑的是安全性，其次要考虑安全设备、系统的可靠性和可用性，因此， 方案设计依据以下原则：1） 方案设计始终考虑业务安全需求和投资的平衡；2） 建议的方案设施后不会影响XXX现有网络的安全性，不会降低现有系统的可靠性和可用性，不影响现有系统和网络的性能；3） 入侵防护设备探测准确：不会出现误报和漏报4） 可靠性：确保网络不会因为设备故障而造成中断5） 方案实施后，不能影响网络和计算机性能6） 在不增加现有工作量的基础上，能够提升安全管理工作的效率3.2 方案描述McAfee建议的XXX网络安全方案由以下几方面组成：核心：安全风险管理系统；主动的网络防护：网络入侵探测防护系统；系统防护：企业计算机防病毒系统和主机入侵防护系统网络访问控制：安全策略违规检测和策略强制。方案以安全监控为核心，接近实时监控XXX网A、XXX网B和XXX网C的安全风险等级，当发现安全风险等级变化时，安全风险管理系统自动进行：1）提供安全风险等级变化的原因2）提供详细的补救方案3）自动产生补救工作流问题票单，跟踪整个补救过程4）自动验证补救效果同时，主动的网络防护和系统防护系统消除已知、未知和将来出现的威胁，为补救赢得时间，同时，降低XXX的安全风险：1）主机入侵防护系统HIPS 6.0可以在不需要补丁的情况下确保95%的针对微软漏洞的威胁不起作用；2）网络入侵防护系统可以阻断邮件中传递的未知的蠕虫病毒（90%的蠕虫病毒是通过邮件传播的）；3）防病毒系统可以不需要病毒签名的就可以阻挡未知蠕虫病毒，防止Zero-Day的威胁；4）网络访问控制确保有威胁的计算机能够被即时隔离和得到及时补救。所以，McAfee提供的安全方案是一个完善的、主动的和可以对抗未知威胁，以及将来的威胁的解决方案。3.3 方案中采用的产品安全风险管理系统：McAfee FS1000网络入侵探测防护系统：McAfee IntruShield主机入侵防护：McAfee Host Intrusion Prevention 6.0计算机病毒防护：McAfee VirusScan Enterprise 8i网络访问控制：McAfee Policy EnforcerMcAfee FS1000：软硬一体化的设备，硬件使用DELL 1U 1865机架服务器，OS使用为Windows 2000 Server或者Windows 2003 Server，OS系统已经安照美国国家安全局Windows 2000 Server或者2003 Server安全加固指南加固，所以设备和以通自身具有安全性，并且OS系统的补丁通过McAfee的SUS系统更新。在FS1000种安装了最新版本的FoundStone Enterprise最新版本的软件，其有四部分组成：Manager、扫描引擎、数据库和用户Web门户，在整个安全管理方案中起核心作用，进行风险监控、安全弱点管理、IT资产管理、威胁管理、安全弱点修补工作流管理和向入侵防护系统提供网络中存在的弱点和威胁信息。McAfee IntruShield：基于ASIC芯片的网络入侵防护设备，部署在网络中，其完全透明，探测端口没有IP地址，不需要和网络设备和防火墙互动，其自身能够探测到攻击时，直接丢弃攻击数据包和Drop攻击Session；为了确保探测的准确性，采用了深层状态包检测技术、异常探测、SSL加密攻击探测、Buffer Overflow攻击探测和DOS/DDOS攻击探测多种引擎；设备自身考虑了安全性、可靠性和性能，它能够在设备掉电和连续的系统故障时自动接通网络，同时也支持双机热备的功能。McAfee Host Intrusion Prevention 6.0（简称HIPS 6.0）：部署在被防护的计算机上，通过主机防火墙进行网络控制，提供在OS系统和核心上的附加层截获所有IO、RPC请求和API调用，使用攻击签名探测、异常探测和的方法探测黑客攻击，并且实时阻止黑客攻击。HIPS 6.0给主机提供了附加保护层，因此，即使不安装安全漏洞补丁计算机也是安全的，从而为安装计算安全补丁赢得了时间，同时也提供了主动的安全防护手段。McAfee VirusScan Enterprise 8i（简称VSE 8i）：VSE 8i是McAfee企业机防病毒系统，其最大优势是可以完全做到不需要病毒签名就可以阻挡任何蠕虫病毒；另外，VSE8i的内存扫描功能可以确保不需要重启计算机就可以清除蠕虫病毒或者后门程序；此外VSE8i还集成了McAfee Anti-Spyware，探测和清除间谍程序。VSE 8i通过免费的McAfee ePolicy Orchestrator 3.6（简称ePO）进行集中管理，包括分发、自动更新、报警、通知和报表管理，同时，ePO可以探测为首防病毒软件保护的计算机，然后发出警报。McAfee Policy Enforcer（简称MPE）：MPE是McAfee的网络访问控制产品，它的目的是为了确保连接到公司网络的计算机没有威胁存在，从而确保企业的网络安全。所以，MPE会在计算机连接到网络是扫描评估计算机是否存在病毒、蠕虫、是否存在被致命威胁利用的安全漏洞，是否违反企业的安全策略，一旦发现计算机存在威胁或者违反了企业安全策略，MPE机通过局域网交换机隔离该计算机，然后，通过单键点击修补该计算机，经重新评估计算机符合了企业安全策略后，才允许该计算机访问企业网络资源。3.4 部署方案3.4.1 FS1000的部署FS1000的部署如下图：FS1000设备部署在XXX管理网络，通过服务器的LAN 1端口连接到OA网接入交换机上，在生产网络部署Remote Scan Engine，通过SOAP和SSL加密连接到OA网上的FS1000，由FS1000进行统一管理，用户管理通过在OA网络上，通过访问FS1000的Web门户进行管理。FS1000每天自动从McAfee网站，通过SSL加密下载更新，包括OS系统的补丁。3.4.2 McAfee IntruShield网络入侵防护的部署McAfee IntruShield的部署如下图所示：IntruShield分别采用不同的部署方式不署在三个地方：1） Internet出口：采用McAfee IntruShield，In-Line方式部署，实时阻止黑客攻击、蠕虫病毒、间谍程序和后门程序进入XXX网络。2） 管理网络：采用IntruShield，使用SPAN的方式接入，探测管理网络上的攻击、扫描、蠕虫、间谍程序和异常流量，监控对生产网防火墙的扫描、攻击等。3） 生产网络：采用IntruShield，使用SPAN的方式接入，探测生产网络上的攻击、扫描、蠕虫、间谍程序和异常流量。部署在宝钢Internet边界、网A和网B的IntruShield Sensor由安装在管理网的IntruShield Manager进行统一管理。IntruShield的自动更新由IntruShield Manager进行。IntruShield Manager自动从Internet下载更新，通过在IntruShield Manager上设置由Manager到Sensor的自动更新计划，对Sensor进行自动更新。3.4.3 防病毒系统的部署3.4.3.1 网络防病毒客户端的部署防病毒客户端部署：平台安装客户端版本Windows NTWindows 2000Windows 2003 ServerMcAfee VirusScan Enterprise 8.0iWindows XP Windows 2000 ProfessionalMcAfee VirusScan Enterprise 8.0iUnix/Linux服务器McAfee VirusScan Command Line 4.5.1策略：l 开启集成的防火墙与HIPS 技术 防火墙与入侵防护技术的集成使VirusScan具有最大限度的前瞻性防护功能，包括Block蠕虫病毒发送异常流量的端口和不需新病毒Signature就可以阻止利用应用Buffer Overflow漏洞的蠕虫病毒。l 对新威胁增强防护 VirusScan 8.0i 提供了对最新出现的、危及程序安全的恶意威胁（例如， “间谍”软件）、特定程序的缓冲区溢出攻击、及混合病毒攻击的防护。l 病毒突发期间的策略 先进的病毒爆发响应功能可在 DAT 文件出现之前就关闭漏洞口，通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最低限度；文件、文件夹锁定功能阻止病毒进入计算机。l McAfee 内存扫描技术 屡获殊荣的 McAfee 扫描引擎通过对内存的扫描来拦截那些不会将代码写入磁盘的病毒（如 Netsky 和 CodeRed) 所带来的威胁。l 集中式管理和报告编制 与 McAfee ePolicy Orchestrator 的集成为用户提供了全面的安全管理解决方案，包括从一个控制台进行详细的图形报告编制的功能。策略管理都通过连接在本地局域网上的二级EPO防病毒服务器l 报警集中发送到ePO 由防病毒管理服务器进行统一的报警和日志管理。l 升级更新 防病毒客户端到局域网上的二级防病毒管理服务器上下载更新，更新方式有任务设置定时更新和ePO实时更新通知两种方式，用户可根据需求选择。安装防病毒客户端时，可以在计算机客户端上部署防病毒管理服务器ePO的Agent，然后通过防病毒管理服务器进行自动分发部署。3.4.3.2 防病毒管理服务器的部署防病毒管理服务器采用ePolicy Orchestrator 3.6（以下简称ePO 3.6），既是防病毒系统的集中策略管理中心，同时也是产品、扫描引擎和病毒特征码更新中心，单台ePO服务器支持对25万个防病毒客户端的集中管理。整个XXX的防病毒管理分成两级，中心部署一台中心防病毒服务器，实现对网络中各种平台上的防病毒客户端的集中管理，包括自动升级更新管理、策略管理、报表管理、报警管理和病毒爆发响应管理；在下属机构部署设立防病毒分管理中心，对辖内的计算机进行防病毒管理，包括升级策略管理、防病毒策略管理、报表管理、报警管理和病毒爆发响应管理。ePO 3.6安装平台要求：Windows 2000/2003 ServerCPU：P4 /内存512MB /硬盘40GBIE 6.0ePO使用三层架构：Manager、Agent和Remote Console（客户化的IE），由于用户接口基于web方式，因此更适合远程管理。部署分层结构图：防病毒管理中心提供以下功能：1）积极的爆发预防使用ePO病毒爆发响应中心，使用策略配置，可以采取积极的步骤保护您的网络不受逼近的病毒爆发的威胁。2）病毒爆发通知功能ePO能够根据设定的阈值自动发出病毒爆发通知。3）安全通信基础架构控制管理中心使用一种新的通信基础架构 建立在安全套接层(SSL) 协议上。根据使用的安全设置，通信可以加密或使用认证加密。4）管理权限管理权限分成全局、部分的管理域，在不同域上有不同用户权限。5）实时和按需扫描策略控制控制管理中心向您提供实时的产品控制。在控制台上做出的配置更改会立即发送到产品，甚至可以从控制台上运行手动扫描。这种没有等待时间的命令系统在病毒爆发期间是不可缺少的。6）集中式更新控制集中式更新策略规则、病毒码和扫描引擎文件，可以确保所有被管理的防病毒客户端都使用最新的组件。更新方式可以配置为定期任务更新和实时通知更新两种方式。7）集中式配置集中式配置使您可以从一个单一控制台协调病毒响应和安全措施。这确保了整个XXX网络的防毒和内容安全策略的一致实施。8）微软安全漏洞检测和补丁安装状态检测通过ePO检测Windows平台计算机的安全漏洞和微软安全补丁安装状态，同时提供详细的报表。9）Rouge计算机和为保护计算机的探测通过ePO可以探测未安装防病毒软件的计算机，同时还可以探测接入XXX网络的外来计算机。10）集中式日志报告使用全面的日志可以得到对防毒和内容安全网络性能的一个概览。防病毒管理中心可以从所有其管理的产品收集日志；您不再需要检查每个单个产品的日志。11）防病毒客户端配置修改保护功能ePO提供客户端锁定Password保护功能，当启用此功能时，客户端修改配置需要输入Password。3.5 主机入侵防护(HIPS)的部署主机入侵防护系统主要部署在管理网的桌面计算机上，通过ePO进行自动分发到管理网的主面计算机。HIPS 6.0的日常策略配置、更新、报表和集中的安全事件报警均通过ePO进行集中管理。缺省的HIPS策略即可进行主机安全防护。HIPS 6.0具备强大的优势：集成个人防火墙/入侵防护系统/基于行为和签名库检测等多种防护合为一体零时间攻击防护 McAfee HIPS 6.0 代理在没有更新的情况下也能针对新攻击提供零时间防护，从而大大缓解了部署补丁的紧迫性，使企业有足够的时间研究、测试和部署补丁。降低风险 三项互为补充的攻击防护技术：活动规则、攻击签名和系统防火墙，使 HIPS 6.0 能够在各种威胁触及关键系统和数据之前抢先对其进行拦截，而不仅仅是在攻击发生之后采取简单的检测措施。同时具有USB外设检测阻挡的功能，防止机密信息泄露。降低总拥有成本 HIPS 6.0 通过缓解部署补丁的紧迫性，最大限度地节约部署和维护防护措施所需的资源，从而降低总拥有成本确保业务的可用性和数据的机密性 预配置和可自定义的策略能够确保在任何环境中检测攻击时都能实现最大的准确性，使企业能保护关键系统和数据，满足规定要求. HIPS 6.0提供以下产品功能：三层防护HIPS 6.0 为企业提供了最强大的安全保护，使其免遭攻击。活动规则可以拦截零时间攻击并强制规定操作系统和应用程序的合法活动；签名可以拦截各种已知攻击，使管理员能够充分了解他们所面临的威胁；系统防火墙可以确保对应用程序和系统的访问符合规定的策略。防护缓冲区溢出攻击McAfee HIPS 6.0 的专利技术能够有效地防止缓冲区溢出攻击导致的代码执行，而这种攻击正是服务器和桌面机目前所面临的最常见的攻击方法之一。应用程序防护 可保护应用程序及其数据免受攻击，同时还可以防止利用应用程序来攻击其他应用程序，即使这种攻击是由具有管理权限的用户发起的。Web 服务器和数据库服务器防护 服务器代理包括专门设计用于保护 Web 服务器和数据库服务器免受诸如目录遍历和 SQL injection攻击的独特防护功能。桌面机应用程序防护 桌面机代理的独特防护功能在于，它能防止常见的利用 Internet Explorer 和 Microsoft Outlook 这样的应用程序发起的攻击可自定义的策略模板HIPS 6.0 包含了经全面配置的默认模板集，便于用户快速部署 HIPS 6.0 产品。 它具有强大的自定义功能，您可以按需要修改策略，而且基本上消除了误报以及关键业务进程遭到拦截的风险企业级可伸缩性只需一个 McAfee HIPS 6.0 管理服务器即可部署和管理多达 10,000 个代理；而通过 McAfee ePolicy Orchestrator 3.6 则可以管理多达 250,000 个代理是对现有安全体系架构的补充HIPS 6.0 不会影响现有安全工具的运行，也不需要对操作系统、应用程序或数据进行任何更改。3.6 网络访问控制系统（MPE）的部署MPE服务器可以和ePO 3.6共用一台服务器，所以MPE Server安装在ePO服务器上，同时，还在ePO上安装上Remediation Portal Server，如下图所示，在管理网每台客户机的ePO Agent上安装MPE插件，MPE插件完全和ePO Agent集成。MPE会自动发现管理网的局域网交换机拓扑，MPE和交换机通过SNMP V2进行互动，当管理员在MPE服务器上定义好XXX管理网的安全策略后，MPE Sensor能够自动发现连接到网络的计算机，然后通知MPE扫描评估引擎检测计算机是否存在威胁，当发现威胁、关键弱点或者违法了企业其它安全策略后，MPE将通过局域网交换将该计算机自动隔离到隔离VLAN进行补救工作；若MPE评估后发现计算机没有违反企业安全策略（包括既没有发现病毒、后门等威胁，也没发现弱点），则MPE允许该计算机访问管理网，整个扫描评估过程用户感觉不到明显的延迟，在用户登录的过程中即已完成。MPE部署的意义在于可以将有威胁的计算机挡在管理网络外面，确保威胁不影响到管理网和生产网。4 安全管理4.1 管理角色根据管理功能和权限的不同，FoundStone中存在着多种用户角色，最基本的包括FoundStone的全局超级管理员、超级管理员、普通管理员、Help Desk工作人员，Remediation管理员。根据XXX的人员配备和管理功能，划分了四种不同的用户角色：全局管理员：超级管理员为XXXFoundStone弱点管理系统的顶级管理员，其职责是组织管理、用户管理和风险监控，并且负责将日常超级管理员提交的安全风险状况、漏洞发现和修补结果报表提交更高级的主管领导，全局管理员角色由XXX的安全部门负责人担当。日常超级管理员：日常超级管理员的职责是资产管理、安全漏洞指数FounScore的监控报表和报警管理，并且负责定期通过FoundStone产生安全风险状况、漏洞发现和修补结果报表提交安全部门主管。安全漏洞补救工作流（Remediation）管理员：职责是制定和调整工作流模版、跟踪监控修补工作的执行情况，包括浏览漏洞修补票单（Ticket）的自动开启、分配、关闭和漏洞修补的验证工作。注：考虑安全部门的人员配备，日常超级管理员和Remediation的管理员两种角色由安全部门的一个人担当。漏洞修补工作人员（Help Desk工作人员）：由系统管理员担当，负责漏洞的修补，包括不同的下载和安装，或者是系统安全策略、注册表和配置等的修改。漏洞修补工作人员在FoundStone中的权限仅限通过WEB浏览修补计算机IP、漏洞细节和修补方法，其只有浏览权限，没有修改任何FoundStone策略的权限。4.2 日常管理流程日常管理主要由日常超级管理员进行，全局管理员进行监督，系统和网络管理员负责漏洞的修补。管理流程如下图：日常超级管理员通过FoundStone Web门户的Dashboard监控FoundScore的值是否变化，当FoundScore值降低时，查看当前评估结果报表中的Short Term报表，检查FoundScore降低的原因，查看新出现的漏洞，然后检查Remediation中的漏洞修补票单“OPEN”和“Closce”情况，检查是否有逾期“Ticket”的报警，让后将新漏洞、修补票单分发、开启和关闭情况汇总，发送给全局管理员。全局管理员月底总结当月的新漏洞和修补情况，向高一级的领导提交总结报表。4.3 管理组织架构的划分组织的管理由全局管理员管理，整个组织分成生产系统和办公自动化系统两大管理域，每个域有各自的日常超级管理员、安全漏洞补救工作流（Remediation）管理员和漏洞修补工作人员（Help Desk工作人员）。4.4 资产管理资产的组织划分资产划分按照管理网络和生产系统分组，生产系统又可以按照地域分炼铁、炼钢、轧钢和计量等分组。资产优先级划分标准在安全风险管理中，资产分类和重要等级划分是一个不可缺少的部分。资产分类的好处包括：l 提供安全分类，明确安全保护的需求和优先级l 确保信息资产获得合适的保护级别l 最小化信息变更带来的安全风险l 使FoundStone产生的量化风险等级能真是反映XXX的安全风险在FoundStone中，资产的优先级分成五个等级，分级的依据是：Low（1）在IT资产中属最不重要的，其安全几乎不影响业务，它的漏洞修补优先级也是最低的。Limited（2）有限的优先等级。Moderate（3）中等优先等级，如OA系统的桌面计算机。Signification（4）重要的IT资产，通常是一般的应用服务器，如OA的邮件服务器。Extensive（5）最高优先等级的IT资产，其安全性、可用性和可靠性会导致企业的整个业务的中断，如银行主机、数据库服务器等。4.5 弱点评估周期弱点评估的周期不宜太频繁，也不宜间隔太久，考虑到XXX的IT环境和系统复杂程度，弱点评估周期选择一周。4.6 FoundScore和Risk LevelFoundStone中使用两个量化的值来表示IT系统中的弱点变化和风险等级的监控：FoundScore其分值越高，说明漏洞越少，在FoundStone实施初期使用缺省的FoundScore计算方法，使用一段时间后，可以考虑客户化FoundScore的计算单位（Metrics）。风险等级风险等级值是根据资产优先级、漏洞的FoundScore和威胁情况计算出来的，所以，FoundScore的计算单位（Metrics）会影响风险等级，所以，只要客户化好FoundScore的计算单位，风险等级也就相应地调整。4.7 修补工作流在安全风险管理系统中，弱点的修补管理是一个重要环节。在FoundStone中的安全漏洞修补通过Remediation模块进行修补工作流管理，因此，通过该模块，可以根据扫描发现的新的安全漏洞自动产生漏洞修补票单（Ticket），通过邮件发送给漏洞修补岗，漏洞修补岗接收到Ticket后，根据FoundStone的指示修补漏洞，可以人工关闭Ticket，也可以由FoundStone通过扫描自动关闭Ticket。另外，若FoundStone检测到在规定的期限内，漏洞没有修补，则向全局管理员、Remediation管理员和漏洞修补岗发送报警邮件，提示漏洞修补岗及时修补。在修补工作流中，设置三种角色：修补监督岗由全局管理员担任分派岗由Remediation管理员担任，需要人工分派Ticket时，人工发送修补Ticket漏洞修补岗由系统管理员担任，根据FoundStone的指示修补安全漏洞。4.8 防病毒管理4.8.1 配置epo agent和ePo服务器的通讯间隔1. 不显示epo Agent图标2. 设置epo与epo agent通讯时间间隔为60分钟（100M局域网）、360分钟（广域网）间隔时间段，单位为分钟。代理将在每个时间间隔回叫 ePolicyOrchestrator 一次，将属性发送到服务器并收集新的策略变改。在设置此时间间隔时，必须综合考虑客户机安全性和更新能力的需要与网络的带宽限制。时间间隔越短，客户机更新越频繁，产生的网络通讯量也就越多。(167台/分钟) 现在设置的是60分钟。3. 采取最少属性，以减少epo agent和epo服务器的通讯量4.8.2 实时扫描策略1) 访问保护策略（Directory/policies/vse8.0/Access Protection policies）添加需要阻止的端口添加需要阻止的操作2) 缓冲区溢出防护（Directory/policies/vse8.0/Buffer Overflow Protection ）n 启用缓冲区溢出防护n 清除“检测到溢出防护时报警”选择框n 可以添加需要排除的应用程序，切记API和Process名称正确4.8.3 配置自动更新1. 计划ePO服务器的计划更新A Epo服务器每天更新一次，时间可以放在凌晨。现在设置的是4：00为保证epo的更新不致失败，可以创建额外的一条任务，时间间隔为45分钟之后如：凌晨4：45B 计划分布式资料库的增量复制任务在第二条epo更新任务的45分钟后创建分布式资料库的增量复制任务,对各地的分布式资料库进行升级,比如：凌晨5：30C 创建一条对分布式资料库每周进行一次完全复制的任务，时间也要放在epo更新任务之后，间隔为45分钟比如：凌晨6：30D 创建一条对非活动代理维护，每周一次时间是10点2. 创建McAfee VirusScan Enterprise的更新任务A 在epo的Directory下创建一条McAfee的update任务，时间为8：30，间隔为每天B 在epo的Directory下创建一条McAfee的update任务，时间为11：30，间隔为每天4.8.4 计划手动扫描在directory下创建两条VirusScan Enterprise 8.0的按访问扫描任务，时间为8：35和 11：30，间隔为每天。在VSE8.0任务的高级选项中将CPU的利用率设为70%。4.8.5 病毒警报网络中的病毒监测和扫描情况，应按照最初的配置要求进行报警。4.8.6 生成Epo报告每周生成一次病毒感染报告，根据网络中反馈的信息按需要生成图形或文本汇报。包括前10台主机感染报告，包括Top 10种病毒报告等等5 方案优势5.1 FS1000安全风险管理的优势FoundStone的优势首先体现在它是一个完整的企业级安全弱点管理系统，其包含了完整的资产管理、弱点评估、威胁关联、风险等级计算和弱点修补工作流管理，具体包括：1）基于资产