湖南烟草技术方案

湖南烟草技术方案

目录

一、概述...................................................3

1、方案概述.............................................3

1.1、方案特点........................................3

1.2、方案设计思想....................................4

2、湖南省烟草网络安全体系建设后达到的效果..............4

3、湖南烟草网络安全体系建设推荐产品....................5

二、湖南烟草网络安全防护需求分析..........................6

1、湖南烟草网络架构描述.................................6

2、湖南烟草网络潜在的网络威胁分析......................7

3、网络安全对湖南烟草造成的威胁........................8

三、产品部署方案...........................................8

1、推荐产品表...........................................8

2、产品部署建议........................................10

2.1、防病毒VirusScan部署...........................10

2.1.1、防病毒客户端部署..........................10

2.1.2、防病毒管理服务器的部署....................11

2.2、邮件网关一防病毒和垃圾邮件部署................13

2.3sInternetIPS网关IntruShield部署.................15

2.1.1、省局部署.................................16

2.1.2、市州（）局部署............................17

四、推荐产品简介..........................................18

页1/57

1、McAfeeVirusScanEnterprises.Oi防病毒...............18

1.1、McAfee桌面和服务器病毒防护产品...............19

1.2、McAfeeVirusScanEnterprise8.0i简介...........21

2、安全管理中心ePO3.5...........................................................26

3、McAfeeWebShield邮件网关..........................32

3.1、WebShield设备:可靠的网关安全解决方案........32

3.2、为企业提供多方位保护..........................34

3.3、安装与报告:灵活性与选项........................36

4、McAfeeInstrushield入侵检测.........................39

4.1、IntruShield灵活的部署方式......................40

4.2、全面的状态分析.................................42

4.3、签名检测、异常检测以及拒绝服务检测............43

4.4、入侵防护.......................................46

4.5、硬件加速.......................................48

4.6、管理和控制.....................................49

五、McAfee的技术支持与服务..............................50

1、技术支持与服务......................................50

2、培训................................................56

一、概述

1、方案概述

本方案是由McAfee公司建议的，针对湖南省烟草商业系统（包含省局、

十四个市（州）局）的整体安全解决方案。因此本方案完全满足了湖南烟草本次

招标的产品需求，而且还提供了主动安全防护的手段，使得湖南烟草在不需要升

级，就能对抗和消除病毒威胁和入侵威胁。

1.1、方案特点

McAfee建议的湖南省烟草网络安全方案具有以下特点：

1）、多层次的安全防护：通过Internet网关McAfeeInlruShield,企业网络病毒

McAfeeVirusScanEnterprise,邮件防护McAfeeWebShield,安全管理中

心McAfeeePolicyOrchestrator（以下简称ePO）,组成一个多层次的、相互补

充的完整的网络安全解决方案。

2）、网络病毒防护：在湖南烟草商业系统内部部署网络版防病毒系统，能够及时

的检测和控制各种文件、宏、网络蠕虫病毒的传播和破坏，同时不需要病毒签名，

就可以对抗未知的、将出现的新的蠕虫病毒、特洛伊木马和后门程序。

3）、邮件系统防护：通过对湖南烟草商业系统的邮件系统进行实时的防护，可以

阻挡夹杂在邮件中的病毒，同时利用邮件防护系统还能够很好的过滤掉邮件中广

泛传播的垃圾邮件。

3）、Internet边界实时防护：在湖南烟草商业系统的省公司、白沙物流机房及下

属14个地市公司的Interret边界，通过McAfeeIntruShield实时阻挡黑客攻击,

从而阻挡进入烟草系统的内部网络。

4）、安全管理中心：McAfeeePO管理软件，是McAfee所有安全产品的管理平

台，能够对所有的设备进行统一管理。

1.2.方案设计思想

本方案的设计基于湖南烟草计算机网络系统的整个安全防护的设计思想，

包括：

1）、网络病毒防护

因为现在的病毒威胁不再是简单的文件型病毒、宏病毒和引导区病毒等类

型,而主要是通过网络传播的蠕虫病毒,如果是单独的计算机防病毒,则会因为

网络上某一台计算机没有及时升级，造成感染蠕虫病毒或是Spyware间谍程序,

从而可能威胁到整个网络的安全和可用性，因此一个完整的防病毒系统防护是必

要的。

2）、入侵防护

随着网络的不断发展，当前的网络入侵已经不局限于先前的网络模型中四层

及以下的协议，而由低端转移到高端，现阶段所使用的防火墙系统还不能基于四

层以上的安全防护，所以使用入侵检测产品IPS不但能够很好的检测出四层及以

下的协议，而且还能够检测出四层以上的协议，并且对险测出的网络攻击行为进

行实时的阻断，以达到网络入侵行为进入湖南省烟草内部网络。

2、湖南省烟草网络安全体系建设后达到的效果

McAfee建议的湖南烟草网络安全体系建立后，将达到以下安全的效果：

1）、实时的阻挡黑客攻击，McAfeeIntruShieldInternet网关具有实时的阻挡针

对湖南烟草网络内部以知、未知的黑客攻击和DOS/DDOS攻击，而且这些阻挡

不需要互动，完全有IntruShield自身实时完成。

2）、完善的病毒防护，通过湖南烟草网络中计算机（包括各种平台的服务器、桌

面计算机和便携电脑）上的防病毒客户端和防病毒服务器，组成一个全面的防病

毒防护系统。

3）、主动的病毒防护，McAfeeVirusScan防病毒客户端不需要病毒签名就可以

阻挡未知蠕虫病毒，同时还集成了业界最强大的Spyware探测清除模块和类似

防火墙的模块，达到实时的阻挡恶意代码的效果。

4）、基于多协议的安全邮件防护，McAfeeWebShield可以对HTTP、SMTP、

POP3、FTP做病毒扫描，同时McAfeeWebShield的Spamkiller功能可以起

到对垃圾邮件的实时过滤作用。

5）、由于目前McAfeeVirusScanEnterprise集成了AccessProtection（类似防

火墙功能，可以做到基于端口的inbound,outbound,及对PC内部文件的共享、

读、写的处理方法等），BufferOverflowProtection（缓冲区溢出保护），Unwanted

ProgramsPolicy（其中包括Spyware、Adware等恶意的处理），做到了基于桌

面的综合防护系统。

6）、安全管理中心，McAfeeePO是McAfee所有产品的综合管理平台，湖南烟

草网络利用EPO可以控制、管理内部所有安装McAfeeVirusScanEnterprise

Signature和Engine的升级，以及所有电脑的病毒情况、微软漏洞及补丁安装

情况，同时可以和Cisco、checkpoint网络设备联动做到基于不同的Policy有不

同的访问权限，还能发现网络中新接入的主机。

3、湖南烟草网络安全体系建设推荐产品

基于湖南烟草需求和安全体系建设原则，我们建议湖南烟草网络采用如下

McAfee产品组成湖南烟草完善的网络安全防护系统：

1）、网络防病毒系统、综合防护系统和安全管理中心

McAfeeVirusScanEnterprise8.0i,包括各种Windows、Unix和Linux平

台的防病毒客户端和管理控制中心McAfeeePolicyOrchestrator3.5两部分。

2）、邮件防护系统

McAfeeWebShield,包括McAfeeWebShield硬件

3）、网络入侵检测防护

McAfeeIntruShield,包括McAfeeIntrushield防护硬件sensor和管理端

IntruShieldManager<>

二、湖南烟草网络安全防护需求分析

1、湖南烟草网络架构描述

由于湖南烟草网络结构比较复杂，管理又比较分散，网络入侵和病毒带来的

威胁是相当现实的。网络入侵和病毒带来的损失是不可估量的，而在信息被破坏

后再补救也无法挽回已经造成的损失，所以对湖南烟草网络来说，在网络安全方

面我们建议以主动防护的防御方式为主。在湖南烟草网络可能出现网络安全问题

的Internet入口部署入侵检测防护设备，在湖南烟草网络内部所有计算机上部署

网络版的防病毒软件，在邮件系统之前部署病毒邮件过滤系统，将网络入侵和病

毒阻挡在系统之外，起到主动防御的目的。

2、湖南烟草网络潜在的网络威胁分析

基于上述描述，当前湖南烟草网络在以下网络安全防护方面存在一定的缺

陷：

缺少病毒防护系统

在湖南烟草网络体系〒，各类操作系统平台有大量的应用，此外还分布有大

量的应用系统，如果没有夹取任何病毒防护措施，这样宿息交换很难保证该网络

系统的安全，会对各类操作系统及关键应用业务产生潜在的安全威胁。防病毒软

件应该是预防为主，而传统的防病毒体系依赖于病毒签名，因此在新的病毒出现

到厂商发布病毒特征码之间，这段时间存在很大的漏洞，没有有效的防护，而病

毒对湖南烟草网络真正造成损害也是在这段时间，如果不采用技术领先的不依赖

于病毒签名的防病毒软件，就无法有效地堵住漏洞。

缺少多层入侵检测防护体系

•个有效的多层的入侵检测防护体系是必要的，而这正是原来湖南烟草网络

所缺乏的，因此，构建•个全面的多层次的网络入侵检测防护系统，根据烟草特

定的网络环境定制入侵检测防护策略，策略包括：预防策略、升级策略、阻断策

略等等。从宏观角度统筹规划网络安全体系，全面顾及到网络系统入侵行为的发

生、预防、清除、审核等各个阶段，能够在入侵发生的各个阶段对入侵进行有效

的控制，将入侵行为损失降到最低。

缺少有效的中央管理中心

由于湖南烟草网络比较复杂，网络节点太多，且分布较散，要管理好整个

网络安全设备的良好运行，必需有一个良好的管理控制系统。能通过远程方式实

现远程异地管理远程防病毒软件、入侵检测软件等，监视该软件的运行状况参数。

能实现集中报警，准确的定位安全威胁节点，让管理员对安全威胁节点做适当处

理以防危险扩大。

3、网络安全对湖南烟草造成的威胁

外部威胁——湖南烟草网络有多个点与互联网有直接通道，虽然中间有防

火墙验证数据的合法性，但仍会受到来自互联网的黑客攻击、病毒和间谍程序的

威胁。

内部威胁•一一局域网中的工作站及服务器都会受到病毒的感染，病毒的攻

击方式多种多样，有通过局域网传播，传统介质（光盘、软盘等）传播等等，一

但受到感染，便会迅速传播，会给日常的工作和生产带来极大的威胁。

企业邮件服务面临威胁一一目前超过90%的病毒都是通过邮件传播的，另

一方面，垃圾邮件一方面携带病毒、Spyware,另一方面，某些垃圾邮件实际上

是“PishingMail”，引诱用户连接到黑客网站，同时，垃圾邮件也极大地影响了

企业的工作效率，因此，邮件服务给企业带来很大的安全威胁。

网络性能威胁一一高速传播和具有网络攻击能力的病毒，能占用有限的

网络带宽，导致网络瘫痪,CodeRed、SqlSlammer就是典型导致网络瘫痪的病

毒，能导致网络交换机、路由器、服务器严重过载瘫痪。

三、产品部署方案

1、推荐产品表

产品类产品功能及

产品名称部署建议备注

别用途

McAfee

基于服务器硬件要

安全管McAfee产ePolicy

NT/2000/2003Server求：

理中心品集中管理Orchestrator

操作系统的专用防护P4/512M服务器

3.5

McAfee

安装在所有Windows

桌面综合防VirusScan

平台客户机和服务器

护Enterprise

上

防病毒8.0i

客户端McAfee

Unix/Linux

VirusScan安装在Unix/Lnux,

服务器病毒

Command包括AIX服务器上

防护

Line

阻挡已知病

McAfee

毒邮件和过

防病毒/WebShield

滤垃圾邮不需要修改湖南

垃圾邮3300使用透明网桥安装在

件；烟草任何网络、

件邮件（性能：每小邮件服务器前

内容过滤阻服务器配置

网关时处理22万

挡未知病毒

封邮件）

邮件

在Internet

网关处实现

阻止已知和

未知的黑客

攻击、

DOS/DDOSIntruShield

攻击；McAfeeManager安装在

IntruShield

支持的各种一台服务器上，

1200McAfeeIntrushield

网络协议超对IPS网关进行

1200安装部署在

（处理能力：升级、策略、报

Internet过105种应Internet边界，作为

用协议；100M/秒；警、报表管理。

IPS网Intenet网关，支持两

关

实现已知/未并发连接支个以太网口服务器要求：

知蠕虫病持：4万个并windows2000

毒、间谍程发连接）server/advanced

序、“特洛伊server,P4/1G内

木马”、后门存

程序和恶意

脚本的过

滤，过滤附

带未知蠕虫

病毒的邮件

2、产品部署建议

2.1、防病毒VirusScan部署

2.1・1、防病毒客户端部署

防病毒客户端部署：

平台安装客户端版本

WindowsNT

Windows2000McAfeeVirusScanEnterprise8.0i

Windows2003Server

WindowsXP

McAfeeVirusScanEnterprise8.0i

Windows2000Professional

Unix/Linux/AIX服务器McAfeeVirtsScanCommandLine

Windows95/98McAfeeVirusScanEnterprise

4.5.1SP1

策略:

＞开启集成的防火墙与HIPS技术-防火墙与入侵防护技术的集成使

VirusScan具有最大限度的前瞻性防护功能，包括Block蠕虫病毒发送异常

流量的端口和不需新病毒Signature就可以阻止利用应用BufferOverflow漏

洞的蠕虫病毒。

＞对新威胁增强防护-VirusScan8.0i提供了对最新出现的、危及程序安全

的恶意威胁（例如，“间谍”软件）、特定程序的缓冲区溢出攻击、及混合

病毒攻击的防护。

＞文件和文件夹锁定功能-提供对文件和文件夹的写入、读和执行的访问控

制功能，拒绝蠕虫病毒的写入，从而可以实现不需要病毒签名就可以阻挡未

知蠕虫病毒。

>Spyware间谍程序探测清除功能-McAfeeVirusScan8.0i提供了业界最强

大的Spyware间谍程序、Adware广告程序和Password破解工具的探测和

清除功能。

>病毒突发期间的策略-先进的outbreak功能可在DAT文件出现之前就

关闭漏洞口，通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最

低限度；文件、文件夹锁定功能阻止病毒进入计算机。

>McAfee内存扫描技术-屡获殊荣的McAfee扫描引擎通过对内存的扫

描来拦截那些不会将代码写入磁盘的病毒（如Netsky和CodeRed）所带

来的威胁。

>集中式管理和报告编制-与McAfeeePolicyOrchestrator的集成为用户

提供了全面的安全管理解决方案，包括从一个控制台进行详细的图形报告编

制的功能。

>报警集中发送到ePO-由防病毒管理服务器进行统一的报警和日志管理。

>升级更新-采用任务设置定时更新和ePO实时更新通知两种方式。

安装时防病毒在计算机客户端上部署防病毒管理服务器ePO的Agent,然

后通过防病毒管理服务器进行自动分发部署。

2.1.2,防病毒管理服务器的部署

防病毒管理服务器采用ePolicyOrchestrator3.5（以下简称ePO3.5）,既

是防病毒系统的集中策略管理中心，同时也是产品、扫描引擎和病毒特征码更新

中心。

ePO3.5安装平台要求：

Windows2000/2003Server

CPU：P4/内存512MB/硬盘40GB

IE6.0

ePO使用三层架构：Manager、Agent和RemoteConsole（客尸化的IE）,由

于用户接口基于web方式，因此更适合远程管理。

部署流程：

防病毒管理中心提供以下功能：

1）积极的爆发预防

使用ePO病毒爆发响应中心，使用策略配置，可以采取积极的步骤保护您的网

络不受逼近的病毒爆发的威胁。

2）病毒爆发通知功能

ePO能够根据设定的阈值自动发出病毒爆发通知。

3）安全通信基础架构

控制管理中心使用一种新的通信基础架构一建立在安全套接层（SSL）协议上。

根据使用的安全设置，通信可以加密或使用认证加密。

4）管理权限

管理权限分成全局、部分的管理域，在不同域上有不同用户权限。

5）实时和按需扫描策略控制

控制管理中心向您提供实时的产品控制。在控制台上做出的配置更改会立即发送

到产品，甚至可以从控制台上运行手动扫描。这种没有等待时间的命令系统在病

毒爆发期间是不可缺少的C

6）集中式更新控制

集中式更新策略规则、病毒码和扫描引擎文件，可以确果所有被管理的防病毒客

户端都使用最新的组件。更新方式可以配置为定期任务更新和实时通知更新两种

方式。

7）集中式配置

集中式配置使您可以从一个单一控制台协调病毒响应和安全措施。这确保了整个

上海烟草的防毒和内容安全策略的一致实施。

8）微软安全漏洞检测和补丁安装状态检测

通过ePO检测Windows平台计算机的安全漏洞和微软安全补丁安装状态，同时

提供详细的报表。

9）Rouge计算机和为保护计算机的探测

通过ePO可以探测未安装防病毒软件的计算机，同时亦可以探测接入卜.海烟草

网络的外来计算机。

10）集中式日志报告

使用全面的日志可以得到对防毒和内容安全网络性能的一个概览。防病毒管理中

心可以从所有其管理的产品收集日志；您不再需要检查每个单个产品的日志。

11）防病毒客户端配置修改保护功能

ePO提供客户端锁定Password保护功能，当启用此功能时，客户端修改配置

需要输入Passwordo

2.2、邮件网关一•防病毒和垃圾邮件部署

防病毒邮件和垃圾邮件网关采用WcbShield33OO,使用两个网络端口，采用

透明网桥的方式接入到邮件服务希前面，如下图所示:

Internet

内部网络

邮件网关策略：

1）、所有来自Internet的出件，先经过WebShield进行垃圾邮件过滤病毒扫描,

扫描完毕后再将“健康”的正常邮件发送到邮件服务器，内部用户通过邮件客户

端或浏览器浏览服务器上的邮件；

2）、烟草内部用户向内部用户发送邮件时，邮件首先经过WebShield扫描后再发

送到邮件服务器；

3）、烟草内部用户向新浪、263等邮件用户发送邮件时，在部署初期，不对这些

邮件进行病毒扫描和垃圾邮件扫描；

4）^内容过滤策略：过滤所有文件扩展为exe、com、scr等文件；

5）、WebShield的日志发送到ePO3.5,由ePO进行统一集中管理。

2.3^InternetIPS网关IntruShield部署

安装在PC服务器上，PC

服务器要求：P41.5GHZ策略、配置、报警、升级

IntruShieldManager2.1

以上，1GB内存，40G硬管理

盘

实时阻挡来自Internet

不法攻击、入侵、已知和

Internet网关保护，采用未知的蠕虫病毒，阻挡对

省局in-line的部署方式外网和内部省域网的

DOS/DDOS攻击；

监控发动攻击的原和目

的主机

实时阻挡来自Internet的

不法攻击、入侵、已知和

Internet网关保护，采用未知的蠕虫病毒，阻挡对

14所市（州）局in-line的部署方式外网和内部省域网的

DOS/DDOS攻击；

监控发动攻击的原和日

的主机

2.1.1＞省局部署

McAfeeIntruShield1200

在白沙物流网络部署IntruShield的地方为：白沙物流连接Internet的网关

处C6509与03745之间部署Intrushieldsensor,这种方式采用in-line的部署

模式，检测来自internet网络的入侵，并对这些入侵进行实时的阻挡，保证内部

服务器及用户网络的安全性。

在省烟草公司部署intrushield的地方为：省烟草公司连接Internet的网关

处C6509与C3745之间部署Intrushieldsensor,这种方式采用in-line的部署

模式，检测来自internet网络的入侵，并对这些入侵进行实时的阻挡，保证内部

服务器及用户网络的安全性。

2.1.2,市（州）局部署

McAfeeIntruShield1200

在每个市（州）局需要部署McAfeeIntrushield1200的地方为，在C4507

和C3745之间部署Intrusnieldsensor,这种方式采用in-line的部署模式，检测

来自Internet网络的入侵，并对这些入侵进行实时的阻挡，保护内部服务器及用

户网络的安全性。

通过上述部署，McAfeeIntruShield监控所有来自Internet的进入湖南烟草

网络的网络流量，探测和阻挡已知、未知网络入侵行为及蠕虫病毒、Spyware

间谍程序、“特洛伊木马”，司时监控所有省域网内部的网络入侵行为及蠕虫病毒。

策略：

1）、在部署初期，对探测到黑客攻击采用“Warning模式”报警，运行两周后经

过McAfee工程师评估，将攻击改为“DropPackets”的方式，实现实时阻止；

2）、在部署初期，对蠕虫病毒、邮件中附带未知蠕虫病毒、Spyware间谍程序、

“特洛伊木马”和后门程序采用“DropPackets”的方式，实现实时阻止；

3）、升级更新采用Schedule自动定时从Internet下载到更新到IntruShield

Manager,InlruShieldManager自动Upload到防护Sensor。

四、推荐产品简介

1、McAfeeVirusScanEnterprise8.0i防病毒

病毒防护系统我们推荐使用Mcafee公司的McAfeeActiveVirusSuite（包

括：VirusScan80）,McAfee是成熟而且经受大量考验的防病毒产品，在国际上

很多企业在使用。根据IDC报告，MCAFEE公司的防病毒产品已经连续六年占

据企业级防病毒市场的第一位。

由于防病毒领域是一个动态的发展过程，必须要求今天的防病毒系统不仅仅

能够全面检测到已经发现的病毒，还能接受明天病毒的挑战，MCAFEE防病毒

产品采用了独特的启发式技术，可以检测病毒变体和未知病毒。MCAFEE防病

毒产品有专用的程序，可以自动地分离新的病毒。

可升级能力是衡量防病毒系统是否具有生命力的重要指标。MCAFEE防病

毒产品实现机制将病毒样本文件和引擎分离，企业定期地从Internet上下载最新

的病毒样本文件，保证企业的防病毒系统利MCAFEE公司保持一致。同时，

MCAFEE防病毒产品的管理能力和所包含的组件在功能、性能上都在向前发展。

对于一个企业，采用手工管理防病毒软件的分发、升级、配置和支持是非常

困难的事情，这就要求提供防病毒系统的管理平台，对企业内部的防病毒系统进

行有效的管理。

在一个企业里，计算机使用人员层次差别非常大，而且大部分的使用人员并

非计算机专业人员，这就要求客户端的防病毒软件必须简单易用，自动化程度高,

最好无须用户干预。而MCAFEE防病毒产品中的VirusScan自动对病毒实时检

测、清除和报告，简化了使用的复杂度。

防病毒软件基本要覆盖已有各种机器和操作系统，如MicrosoftWindows系

列产品、0S2、各种Unix等。这些机器都可能是潜在的病毒传染源。

防病毒软件应支持较全的产品线，包括桌面防病毒产品，服务器防病毒产品

以及强大的中央管理平台C并且应该支持多种平台和操作系统。

1.1、McAfee桌面和服务器病毒防护产品

McAfee桌面和服务器病毒防护产品主要功能、特点

项目功能描述

MCAFEE针对广域网络进行了优化，是目前业界功能最

强大的防病毒管理软件。基于加密的通信和基于数据库

管理功能简介的报告、统计功能，可为用户提供详细、直观的图形化

报告。MCAFEE服务器的基于目录的管理结构和在单一

服务器上设置多种策略的功能，更适于企业的管理。

MCAFEE不采用域模式管理，不要求企业建立相应的NT

管理方式

域管理模式。MCAFEE只采用TCP/IP作为管理的方法。

服务器的管理能单台MCAFEE服务器最多可管理250,000台客户机。

服

力

务

MCAFEE服务器是基于目录管理的。在一个MCAFEE服

器单台服务器的不

务器上可以针对不同的组设置不同的组策略。也可针对

管同策略管理能力

每台计算机进行策略设置。

理

MCAFEE支持多种客户端防病莓软件安装方式：登录脚

功安装方式

本安装、服务器分发、直接安装。

能

MCAFEE的Agent可自动检测计算机是否已拨号成功，

拨号用户管理

并与Server采用SecureHTTP协议通信。

MCAFEE被设计为可通过局域网/广域网//"feme值行

广域网管理的可

策略管理，MCAFEE的管理采用可靠的TCP协议，客户

靠性

可以通过广域网进行管理工作，甚至可以管理拨号用户。

MCAFEE也支持服务器的远程管理。但充分考虑了安全

远程管理性，Console通过加密对远程服务器进行控制，只传输

结果，不会造成网络压力。

数据统计方法及MCAFEE采用数据库技术，可对Agent收集的信息进行

能力汇总、分析，并可根据需要生成定制报告。

MCAFEE提供38种图形化的报告，并且用户可根据NT

报告能力域名、工作组、IP地址、用户、计算机名、时间、感染

病毒、动作等进行定制报告。

MCAFEE可实现各客户端的自动升级、更新功能。若客

网络升级户端没有执行服务器更新、升级策略，当客户开机或者

连接到网络时，自动地进行更新、升级。

应急恢复客户端软件提供主引导区、引导区备份功能，

压缩文件支持支持多种压缩文件格式

URL过滤提供URL过滤功能，可根据域名或IP进行过滤

客恶意代码过滤功可以过滤恶意Java、ActiveX功能

户能

端MCAFEE采用启发式扫描式技术，可以发现未知的宏病

未知病毒防范

软毒和程序文件病毒

件支持Dos、Win3.x、Win9x>WinNT、Windows2000>

平台的支持能力

功WindowsXP^Windows2003Server

能对不可清除的病毒，放置到隔离区中，利用病毒发送工

隔离功能具发送到MCAFEE病毒研究中心(AVERT),并可对文

件内容进行剥离

卸载功能支持从客户端或管理服务器完全卸载功能

产提供病毒定义码的增量更新功能，每次更新只需100K左

增量更新

品右数据

更支持通过网络自动进行更新升级方式(HTTP、FTP或

多种更新升级方

新UNO和通过软盘或光盘运行更新升级程序进行更新升

法

升级

级统•性所有防病毒产品采用统一的病毒定义码和扫描引擎

功方便性更新或升级后不需要重新启动计算机或应用程序

病毒定义码每周进行更新，若有新病毒爆发时，随时进

更新周期

行更新

MCAFEE采用备份和病毒定义码回退功能，保证更新升

可靠性

级的可靠性

1.2、McAfeeVirusScanEnterprise8.0i简介

MCAFEE防病毒产品中的VirusScan为所有的桌面计算机和Windows服务

器提供所能获得的、最为全面的跨平台病毒保护。

主要功能：

•实时病毒扫描和清除；

•定时/按命令扫描和清除；

•电了邮件病毒扫描；

•Internet下载扫描；

•Internet访问控制和过滤；

•压缩文件支持；

•设置保护；

•启发式扫描；

•配置帮助；

•自动更新；

•自动升级；

•告警和报告；

VirusScanEnterprise8.0i

下一代防病毒软件产品，针对PC和服务器提供创新性的集成入侵防护解

决方案。

恶意代码不仅是在爆发时对企'小产生影响,而且今后也会不断地产生各种问

题和隐患。在初始攻击爆发后，用户还要经过很长的一段时间才能意识到攻击的

后续破坏性，它不仅会影响企业的生产力，而且还会威胁到企、也的净收益。企业

也逐渐认识到，生存的首要条件就是能够有效抵御已知的81,000多种病毒和无

数的恶意代码。而有效抵御的关键就是在攻击爆发前前瞻性地对其进行拦截。

创新的防病毒技术

McAfee@VirusScan@Enterprise8.0i是创新性的下•代防病毒技术，能够

为PC和服务器提供全面的保护。它不仅能够前瞻性地拦截并清除恶意软件，

而且能够有效地检测出新的安全风险，从而显著降低企业管理爆发响应的成本。

VirusScanEnterprise8.0i防护解决方案突破了传统防病毒软件的局限性，它不

仅有效缩短了修补漏洞的时间，而且即使在没有更新的情况下也能够准确拦截多

种威肋,。修补漏洞的时间是指从首次发现恶意软件开始，到将修补程序部署到网

络中的所有系统上所需要的时间。传统防病毒软件往往使大型企业和中小型企业

处于一种极端薄弱的境地：如今，面对复杂的混合威胁，响应式的防护已远远不

足以确保企业的安全了。企业不能为了等待签名文件的更新而承受这种漏洞修补

时间的存在。

针对PC和服务器增强的集成防护

VirusScanEnterprise8.0i扩展了对新安全威胁的防护范围（包括混合威胁

以及潜在的恶意程序，例如间谍软件），从而增强了针对PC和服务器的集成

保护。扩展的防护范围还包括通过规则和策略对访问进行保护，以及来自入侵防

护和系统防火墙的其它多种集成功能。复杂的混合威胁愈加难以检测，它们常常

能够骗过传统的防病毒解决方案。此外，传统防病毒软件对新安全威胁的抵御能

力较差，即便应用了最新的防病毒签名，它们面对新出现的比较高级的混合攻击

时仍会束手无策，任凭这些攻击肆意破坏您的系统。因此，传统防病海软件程序

是无法有效地抵御这些新的攻击类型的。

VirusScanEnterprise8.0i提供了自动化的系统防护策略和感染跟踪/拦截报

告功能，在对病毒或攻击爆发做出响应时，它能够显著降低安全防护解决方案的

总拥有成本。VirusScanEnterprise8.0i不仅能够自动跟踪并报告感染源（IP地

址），而且能够拦截系统与感染源的后续通信。尽早识别并修补感染源就意味着

节省时间、资源和金钱一或者说确保业务的正常运转。但是，使用传统防病毒

软件来定位感染源却需要耗费很长的时间，不仅导致拥有成本居高不下，而且还

会降低企业的生产力，影响企业的核心业务。

入侵防护的重要性一缓冲区溢出防护技术

VirusScanEnterprise8.0i在防病毒软件行业中率先推出了带有特定于应用

程序缓冲区溢出防护功能的入侵防护解决方案。这就使得用户能够前瞻性地预防

以Microsoft®应用程序和操作系统服务漏洞为目标的缓冲区溢出攻击。对操作

系统漏洞的攻击可能导致终端系统的重复感染，即便应用了最新的签名文件也于

事无补。缓冲区溢出防护功能可以在此类攻击(例如Sasser.SQL以及

Slammer)感染系统之前冗一步对它们进行拦截。降低漏洞的暴露程度就意味着

您不必在每次发现新攻击时都必须进行更新。同样，终瑞系统也可能不需要重启

(或多次重启)来清除感突。防病毒技术与入侵防护和防火墙技术的结合为用户

提供了一种功能更强、更先进的终端系统安全防护解决方案。由此可见，传统的

响应式防病毒解决方案已经过时了。引入入侵防护功能后，VirusScanEnterprise

8.0i就能够确保关键服务器和数据不会受到任何影响，从而确保企业业务的顺利

进行。

VirusScanEnterprise8.0i不仅是值得您信赖的安全产品，而旦也是同行业

中针对PC和服务器的最先进的前I瞻性防护解决方案，它无可比拟的伸缩性能

够充分满足任何规模企业的要求。在病毒或攻击爆发时，企业的业务需要依赖于

VirusScanEnterprise8.0i的关键功能所提供的保护，其中包括：清除内存、

注册表和文件，并防止恶意代码向其它系统扩散或传播。VirusScanEnterprise

8.0i还引入了防病毒、入侵防护以及防火墙等多种功能，能够有效地抵御已知和

未知的攻击。

访问保护一全新的高级功能

VirusScanEnterprise8.0i提供了多种全新的高级功能，它们不仅可以抵御

常规的威胁技术，而且能够有效地拦截多种新的和未知的恶意软件文件。这些新

功能包括：端口拦截(PortBlocking).文件名拦截(FileNameBlocking)、文

件夹/目录锁定(Folder/DirectoryLockdown)、共享锁定(ShareLockdown)以

及感染跟踪和拦截(InfectionTraceandBlock)0

•端口拦截使得管理员或用户能够关闭（拦截）传入或传出网络流量的端口。

对传入的网络流量进行保护就意味着降低它们暴露给蠕虫或黑客的几率和风

险。关闭未被使用的网络端口就可以防止攻击者探测操作系统和应用程序中

的漏洞

­文件名拦截是一种入侵防护功能，它允许管理员通过创建i个或多个策略来

控制系统或网络对特定文件或文件组可以执行的操作

•文件夹利目录锁定也是一种入侵防护功能，它允许管理员通过创建一个或多

个策略来控制系统或网络能够对特定目录或文件夹的内容执行的操作

・共享锁定则使得管理员能够通过创建一个或多个策略来控制系统或网络能够

对共享执行的操作

•如果某个终端系统向运行着VirusScanEnterprise8.0i的系统发送了恶意

代码，那么感染跟踪和报告功能就可以帮助管理员快速发现并报告（跟踪）

该终端系统的IP地址，并自动拦截来自该IP地址的后续通信

前瞻性地处理新混合威胁意味着有效减少病毒或攻击爆发的情况。攻击的多

种因素都可以通过VirusScanEnterprise8.0i的不同功能得到有效的解决：端

口拦截、文件/目录/共享锁定以及缓冲区溢出防护。管理员可以从此摆脱对传统

产品更新响应的依赖。

增强的电子邮件扫描功能

VirusScanEnterprise8.0i新增了针对LotusNotes客户端系统的电子邮件

扫描功能。它能够扫描LotusNotes客户端发送给桌面机的所有电子邮件

（HTML文本和附件）。无论客户使用哪种电子邮件客户端，都可以通过单一

的配置面板完成配置。VirusScanEnterprise8.0i既支持安装了Outlook的系

统，也支持安装了LotusNotes客户端的系统.

脚本扫描程序（Java脚本和VisualBasic脚本）

脚本扫描程序能够检测并防止系统执行利用了Java脚本和VBScript脚本

的恶意代码（例如尼姆达（Nimda）、JS.NoClose以及LoveLetter）,从而能够

有效地防止系统感染。脚本扫描程序还能够阻止恶意代码通过网站，或者使用

Java和VisualBasic脚本功能感染终端系统。

潜在恶意程序安全防护

VirusScanEnterprise8.0i使得用户和管理员能够从容应对某些最常见的潜

在恶意软件程序。VirusScanEnterprise8.0i扩展了对新类型恶意代码的检测功

能，这就意味着它能够为企业的敏感信息和资产提供更有效、更强大的保护。该

产品在初始配置情况下能够防护约200种最具危险性的潜在恶意程序，用户还

可以按照计划在潜在恶意程序安全列表中添加新发现的恶意程序。VirusScan

Enterprise8.0i所包含的操作在细化程度上有了显著的提升：警告/通知、清除、

删除/移除、移动/隔离以及操作提示。VirusScanEnterprise8.0i还允许用户和

管理员根据企业的实际情况来添加、定义或创建恶意程序列表，例如广告软件、

拨号软件、恶意玩笑程序、密码破解程序以及间谍软件等。潜在恶意程序安全防

护功能可以帮助企业确保终端系统符合COE的要求，并便于用户和管理员进

行控制和管理。

产品的大小问题

VirusScanEnterprise8.0i是一种单一的、高度集成的软件安全代理，它占

用的空间非常小（约10Mb）,与多个安全代理相比，VirusScanEnterprise8.0i

更易于部署、配置和管理cVirusScanEnterprise8.0i采用增量更新模式，不仅

大大节省了磁盘空间,而且可以节省带宽资源并加快更新速度。

对速度的需求

目前已知的病毒已有81,000多种，根据ICSALabs的报告，病毒数量正

在以每个月200多种的速度迅速增长，由此可见，威胁的数量越多，扫描病毒、

蠕虫以及其它恶意代码时所面临的压力也就越大。到目前为止，病毒扫描速度没

有逐渐减缓甚至停止的主要原因就是硬件性能的不断提升。与以往的版本相比，

VirusScanEnterprise8.0i进一步提升了按需扫描的速展。通过使用最先进的技

术和基础架构，VirusScanEnterprise8.0i的性能不但没有下降，反而得到了极

大的提升。高风险性应用程序，如电子邮件、浏览器和Office应用程序将得到

全面高强度的扫描，而备份软件和数据库则可以划分到低风险性类别，其要求的

扫描强度也相对较小。

潜在的威胁

VirusScanEnterprise8.0i针对移动用户和远程办公机构提供了全面的控制

和防护功能。许多移动办公人员通过低带宽和低速的拨号连接来保持互联状态，

并在此基础上完成自己的工作。在他们进出网络中受保护的区域时，就很容易受

到恶意攻击的威胁。VirusScanEnterprise8.0i的设计消除了您的这种顾虑，使

他们不会成为一种潜在的威胁。

有效防护的关键所在

抵御威胁仅仅是这场战争的一半。确保防护方案的有效性才能帮助您赢得最

终的胜利。有效防护的关键就在于集中管理和强制执行，为此，VirusScan

Enterprise8.0i实现了与多种McAfee管理工具的无缝集成。无论是中小型企

业(SMB)还是大型企业，McAfee总有一款管理工具能够适合您的要求。同时,

McAfeeProtectionPilot™(SMB)和McAfeeePolicyOrchestrator®

(Enterprise)都能够帮助VirusScanEnterprise8.0i提供集中的部署功能、策略

配置和强制实施、以及详细的报告功能。这些工具将帮助您全面控制自一的系统,

使您的组织能够有效抵御各种已知的和未知的威胁，。

强大功能的动力引擎

VirusScanEnterprise8.0i采用了经用户验证的、全球知名的McAfee扫描

引擎。McAfee恶意软件防护扫描引擎提供了对病毒、嚅虫以及其他恶意代码攻

击的全面防护。McAfee针对目前的各种威胁提供了一套全面的“发现-修补”

解决方案，并采用先进的启发式技术和多种通用技术实现了对新威胁的前瞻性防

护。McAfee恶意软件防护扫描引擎所采用的技术能够向下搜索全部数据，包括

压缩文件、归档文件和打包文件，从而能够发现隐藏在最深处的威胁。所有这些

功能都具有高度的可靠件，不会;11现误报问题O

2、安全管理中心ePO3.5

ePO是业界领先的、具有强大可扩展能力的的防病毒软件管理系统，可以同

时为25万台客户提供策略管理、软件分发等基本功能.并可为用户生成详细的

图形化报告。ePO采用Cl^nt-Server工作模式，客户端计算机需要安装ePO的

代理程序（Agent）,由代理程序与ePO服务器进行联系。ePO为用户提供了基

于TCP/IP的解决方案，安装Agent的计算机只需要通过IP与ePO服务器建立

连接，用户可通过Internet对远端的主机进行管理。ePO的代理程序（Agent）

采用先进的PGP加密用法与ePO服务器进行通信，可有效地保护数据的安全性。

用户通过网络远程安装、配置、管理、升级和删除防病毒软件，通过集中地升级

网络上的防病毒软件、集中地报告检测到的病毒攻击来保护网络免受病毒破坏。

现代的企业大多采用网络进行工作，病毒可通过网络在内联网络内部快速地

传播。对病毒的清除工作要花费大量的人力、物力。ePO可帮助用户检测、清

除和删除病毒，阻止病毒的传播，使客户节省费用，提高工作效率。

ePO支持通过多种通信链路与远程的安装代理软件的客户机或控制台进行

连接，如微软述程接入服务（RAS）,虚拟专用网（VPN）,或ISP等。单台ePO

服务器可管理250,000台计算机，可管理VirusScan.NetShield.GroupShield.

WebShield和Norton防病毒软件等产品。可根据用户的需求，设置不同的策略。

并生成相应的报告。

利用ePO提供的图形化报告，管理员可获得网络中各种计算机的信息，如

计算机的内存、CPUsIP地址、工作组、计算机名等，同时也可知道已安装防

病毒软件的佶息，如扫描引擎的版本、病毒数据文件的版本。利用报告可按照不

同的策略生成内容丰富的报告，并可生成3D柱状图、饼图、线图和报表等各种

图表。报告与SeagateCrystalRePOrts技术和微软MSDE/SQL7.0/SQL2000

相结合，提供企业级的保护功能。

在企业中部署ePOlicyOrchestrator是非常容易的，因为它采用单一服务器

模式且具有管理VirusScan>NetShield>GroupShield>WebShield和Norton

防病毒软件等产品的能力C所有的管理操作可通过一台远程控制台实现。利用熟

悉的McAfee接口，为企业配置安全策略只需几分钟。策略可以是针对某台计算

机或某组计算机，所有这些完全取决管理员。

ePOlicyOrchestrator是非常灵活的，其灵活性体现在ePOlicyOrchestrator

产品的各个方面，包括为计算机设置目录组以便管理、部署Agent,以及为单个

或一组计算机设置安全策略。

ePO的特点：

集中管理您的系统安全

网络系统必须时刻警惕各种恶意威胁和攻击一威胁和攻击在网络中无处不

在，它们在不断地探测网络的薄弱环节，并伺机对您的安全防护系统发起冲击。

因此，管理员的工作就更像是一种取得“平衡”的任务。一方面是业务的要求一

既要管理不断增加的设备，又要对不断增多的移动用户的需求做出响应。另一方

面是安全性的要求一既要保证系统符合安全性要求，又要对下一代防护解决方

案和产品（用于抵御不断翻新的威胁）的多个层级进行管理。

因此，全面掌控系统的安全性，并对已有的安全部署进行增加，就成为了至

关重要的一个环节。从根本上说，这些要求都是持续的，而且具有同等的重要性。

忽视其中的任何一个都会使您陷入完全失衡的窘境。

McAfee@ePolicyOrchestrator®3.5（ePO™）是一款在行业111居领先地位

的系统安全管理解决方案一它为企业提供了一种协同的、前瞻性的防护手段，

能够帮助企业有效抵御各种恶意威胁和攻击。ePO3.5是McAfee系统防护解

决方案的核心，管理员可以通过它来降低恶意系统或不符合安全要求的系统所造

成的风险、保持防护体系的最新状态、配置并强制实施防护策略、并通过一个真

正企业级的、可伸缩的中央控制台对系统的安全状态进行全天候（24X7）的监

控。

降低恶意系统和不符合安全要求的系统所造成的风险

对于所有的安全防护团队来说，减少易受攻击的漏洞数量应该是优先级最高

的一项工作。一个缺乏合理防护管理的未知系统会给整个网络带来严重的威胁

—未知威胁的不断重复感染、新漏洞的出现、潜在