【正文】 務(wù)器的主動(dòng)防護(hù)，對(duì)抗黑客攻擊、異常操作和信息竊取，并且在沒有安裝安全補(bǔ)丁的情況下保護(hù)計(jì)算機(jī)不受 ZderoDay 的威脅攻擊 . McAfee VirusScan Enterprise 8i：主面計(jì)算機(jī)和服務(wù)器上的防病毒系統(tǒng)。 McAfee Policy Enforcer： 根據(jù)計(jì)算機(jī)是否遵守企業(yè)安全策略來進(jìn)行網(wǎng)絡(luò)訪問控制的系統(tǒng)。 本方案論述了建設(shè) XXX 完整 網(wǎng)絡(luò) 安全系統(tǒng)所應(yīng)包含的各個(gè)方面， XXX 可以根 據(jù)自身的信息系統(tǒng)建設(shè)進(jìn)度分階段實(shí)施。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 6 頁 共 34 頁 2 現(xiàn)狀和需求分析 現(xiàn)狀和面臨的安全威脅 XXX 網(wǎng)絡(luò) 架構(gòu)如下圖所示 ： …… 插入用戶的拓?fù)鋱D …… 由圖中可以看出， XXX 的 網(wǎng)絡(luò) 由 X 個(gè)部分組成 ： XXX 網(wǎng) A、 XXX 網(wǎng) B 和 XXX 網(wǎng) C。這三個(gè)網(wǎng)都間接或直接 和集團(tuán)網(wǎng)絡(luò)互聯(lián)區(qū)連接，最終連接到 Inter。 從網(wǎng)絡(luò)結(jié)構(gòu)來看，面臨的外部威脅包括： a） 黑客的攻擊入侵，造成信息泄露，或者破壞網(wǎng)絡(luò)、應(yīng)用和服務(wù)器系統(tǒng)，造成網(wǎng)絡(luò)、應(yīng)用和服務(wù)器系統(tǒng)癱瘓； b） 蠕蟲病毒通過網(wǎng)絡(luò)、 Email 和網(wǎng)絡(luò)文件共享等多種方式傳播，植入 OA 網(wǎng)絡(luò)計(jì)算機(jī) 后 為黑客攻擊留下后門，同時(shí)造成網(wǎng)絡(luò)擁塞，甚至中斷； c） 蠕蟲利用操作系統(tǒng)、應(yīng)用、 Web 服務(wù)器和郵件系統(tǒng)的弱點(diǎn)進(jìn)行傳播，植入計(jì)算機(jī)系統(tǒng)后為黑客攻擊留下后門，同樣，在傳播過程中，產(chǎn)生大量的 TCP、 UDP 或 ICMP 垃圾信息，造成網(wǎng)絡(luò)擁塞，如 Sql Slammer、 Nimda、“沖擊波”和 Nachi 蠕蟲病毒。 d）面臨 Inter 的黑客攻擊，包括 DOS/DDOS 攻擊 ， 造成 網(wǎng)絡(luò) 服務(wù)中斷。 e） 管理網(wǎng) 用戶文件拷貝， Inter 訪問帶來：病毒、蠕蟲、間諜程序、后門程序和特洛伊木馬的威脅 f）來自 Inter 的 Spyware 的威脅 ，對(duì)于 XXX 系統(tǒng)來說，很多時(shí)候 Spyware 帶來的可能損失要比蠕蟲等的威脅更大。 2） 雖然生產(chǎn)網(wǎng)絡(luò)和 Inter 間有多層防火墻，和 XXX 管理網(wǎng)做緩沖， 但是 生產(chǎn)網(wǎng)絡(luò)一樣 面臨著 外部 威脅 ， 包括： 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 7 頁 共 34 頁 a）來自 Inter 和外網(wǎng) 的黑客攻擊， 可以通過穿透 管理 網(wǎng)絡(luò)上的計(jì)算機(jī)，讓后通過對(duì)防火墻的端口掃描，網(wǎng)絡(luò)訪問測(cè)試或者 “ 社會(huì)工程 ” 的方法，獲得 管理 網(wǎng)路 中 可以訪問生產(chǎn)網(wǎng)的計(jì)算機(jī)信息，包括 IP、端口，加密方式等，然后再通過“穿透”這些計(jì)算機(jī)，以這些計(jì)算機(jī)為 “ 跳板 ” ，最終能夠訪問生產(chǎn)網(wǎng)計(jì)算機(jī)。 b） 通 過 Spyware 竊取生產(chǎn)網(wǎng)主機(jī)系統(tǒng)口令，因?yàn)楹芏嗌a(chǎn)網(wǎng)的系統(tǒng)管理員通常在 OA網(wǎng)絡(luò)上有自己的計(jì)算機(jī)， 黑客 最常用的方法是通過 Spyware 截獲 這些管理員在 OA 網(wǎng)絡(luò)計(jì)算機(jī)上的鍵盤輸入，然后用截獲的鍵盤輸入作為 對(duì)生產(chǎn)系統(tǒng)服務(wù)器 字典攻擊的“字典”， 通過字典攻擊最終獲取生產(chǎn)系統(tǒng)的 password。 c） 生產(chǎn)網(wǎng)上的蠕蟲病毒 ，造成 網(wǎng)絡(luò) 癱瘓， 甚至 導(dǎo)致 生產(chǎn) 中斷； d） 來自 管理 網(wǎng)絡(luò) 內(nèi)部 人員 的惡意攻擊 和破壞 ， 由于這些人員在 OA 網(wǎng)絡(luò)上有自己的計(jì)算機(jī)，他們可以通過網(wǎng)絡(luò)掃描或者社會(huì)工程的方法，獲得哪些計(jì)算機(jī)可以訪問生產(chǎn) 網(wǎng) ， 然后通過 IP Spoofing 訪問生產(chǎn)網(wǎng)， 造成 生產(chǎn)網(wǎng) 數(shù)據(jù)破壞或被竊取， 甚至造成業(yè)務(wù)中斷。 3）生產(chǎn)網(wǎng) 面臨 的內(nèi)部威脅 FBI 統(tǒng)計(jì)， 40%的安全威脅 都源自于內(nèi)部，常見的有： a） 系統(tǒng)管理員離職前或者離職后 惡意的破壞 ，如惡意的數(shù)據(jù)刪除，數(shù)據(jù)修改 b） 惡意的竊取更高權(quán)限口令，常見的是每天進(jìn)行口令猜測(cè)，同時(shí)又不觸發(fā)報(bào)警，如，若知道口令規(guī)則是出錯(cuò)三次報(bào)警，則每天進(jìn)行兩次口令猜解。 c） 惡意的掃描，用來發(fā)現(xiàn)開放的端口、網(wǎng)絡(luò)和系統(tǒng)中的漏洞 d） 惡意的針對(duì)存在漏洞的攻擊 需求分析 從上面我們可以看到當(dāng)前 XXX 的 網(wǎng)絡(luò) 面臨的威脅，因此，需要采取措施消除這 些威脅，因此，安全需求可以歸納為以下幾方面： 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 8 頁 共 34 頁 1） 首先，最重要的是能夠 發(fā)現(xiàn) 網(wǎng)絡(luò) 中的安全風(fēng)險(xiǎn) ，其次通過量化的安全風(fēng)險(xiǎn)監(jiān)控及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)的變化和了解安全風(fēng)險(xiǎn)變化的原因； 2） 及時(shí)識(shí)別 網(wǎng)絡(luò) 中的安全弱點(diǎn)，并且獲得具體的安全弱點(diǎn)的修補(bǔ)建議，并且能夠跟蹤修補(bǔ)過程、驗(yàn)證修補(bǔ)結(jié)果，以便及時(shí)了解弱點(diǎn)是不是真正被消除； 3） 發(fā)現(xiàn)的新的弱點(diǎn) 和新的威脅時(shí)，能夠有手段在 Inter 入口 阻止這些威脅，為補(bǔ)丁安裝贏得時(shí)間； 4） 對(duì)于桌面計(jì)算機(jī)、服務(wù)器需要實(shí)時(shí)的病毒防護(hù)，以阻止感染病毒； 5） 在 Inter 邊界，阻止黑客攻擊、蠕蟲、間諜程序、后門程序等 ； 6） 阻擋來自 Inter 的對(duì) XXX 網(wǎng)絡(luò)和計(jì)算機(jī)的 DOS/DDOS 攻擊； 7） 能夠監(jiān)控 和記錄 OA 網(wǎng)絡(luò)上的活動(dòng)：包括端口掃描、漏洞掃描、異常流量，特別是針對(duì)生產(chǎn)網(wǎng)絡(luò)的非法訪問和攻擊； 8） 監(jiān)控 OA 網(wǎng)絡(luò)上 Spyware 間諜程序的活動(dòng)； 9） 能夠監(jiān)控 和記錄 生產(chǎn)網(wǎng)絡(luò) 上的端口掃描、漏洞掃描、異常網(wǎng)絡(luò)流量 。 10） 監(jiān)控生產(chǎn)網(wǎng)絡(luò)上的 Spyware 間諜程序活動(dòng)。 11） 管理網(wǎng)上的威脅會(huì)影響到生產(chǎn)網(wǎng)，所以管理網(wǎng)必須有有效的網(wǎng)絡(luò)訪問控制，以確保感染了病毒的計(jì)算機(jī)、有威脅的計(jì)算機(jī)能夠被有效的隔離。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 9 頁 共 34 頁 3 McAfee 建議 方案 方案設(shè)計(jì)原則 方案首先 要考 慮的是安全性，其次要考慮安全設(shè)備、系統(tǒng)的可靠性和可用性，因此， 方案設(shè)計(jì) 依據(jù)以下原則： 1） 方案 設(shè)計(jì)始終考慮 業(yè)務(wù)安全需求和投資的平衡 ； 2） 建議的方案設(shè)施后不會(huì)影響 XXX 現(xiàn)有 網(wǎng)絡(luò) 的安全性，不會(huì)降低現(xiàn)有系統(tǒng)的可靠性和可用性 ，不影響現(xiàn)有系統(tǒng)和網(wǎng)絡(luò)的性能 ； 3） 入侵防護(hù)設(shè)備 探測(cè)準(zhǔn)確：不會(huì)出現(xiàn)誤報(bào)和漏報(bào) 4） 可靠性：確保網(wǎng)絡(luò)不會(huì)因?yàn)樵O(shè)備故障而造成中斷 5） 方案實(shí)施后，不能影響網(wǎng)絡(luò)和計(jì)算機(jī) 性能 6） 在不增加現(xiàn)有工作量的基礎(chǔ)上，能夠提升安全管理工作的效率 方案描述 McAfee 建議的 XXX 網(wǎng)絡(luò) 安全方案由以下幾方面組成： 核心：安全風(fēng)險(xiǎn)管理 系統(tǒng)； 主動(dòng)的網(wǎng)絡(luò)防護(hù)：網(wǎng)絡(luò)入侵探測(cè)防護(hù)系統(tǒng)； 系統(tǒng)防護(hù)：企業(yè)計(jì)算機(jī)防病毒系統(tǒng)和主機(jī)入侵防護(hù)系統(tǒng) 網(wǎng)絡(luò)訪問控制：安全策略違規(guī)檢測(cè)和策略強(qiáng)制。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 10 頁 共 34 頁 通過證明過的度量和基準(zhǔn)去察看策略的遵守執(zhí)行技術(shù)和流程標(biāo)準(zhǔn)主動(dòng)、自動(dòng)地阻止和過濾攻擊，計(jì)劃和實(shí)施補(bǔ)救策略量化風(fēng)險(xiǎn)監(jiān)控R = A x V x TR = C x C x C將有限的資源用于關(guān)鍵資產(chǎn)資產(chǎn)管理 風(fēng)險(xiǎn)監(jiān)控防護(hù)策略強(qiáng)制網(wǎng)絡(luò)防護(hù)系統(tǒng)防護(hù)安全風(fēng)險(xiǎn)管理 方案以安全監(jiān)控為核心， 接近實(shí)時(shí)監(jiān)控 XXX 網(wǎng) A、 XXX 網(wǎng) B 和 XXX 網(wǎng) C 的安全風(fēng)險(xiǎn)等級(jí)，當(dāng)發(fā)現(xiàn)安全風(fēng)險(xiǎn)等級(jí)變化時(shí)，安全風(fēng)險(xiǎn)管理系統(tǒng)自動(dòng)進(jìn)行： 1）提供安全風(fēng)險(xiǎn)等級(jí)變化的原因 2）提供詳細(xì)的補(bǔ)救方案 3）自動(dòng)產(chǎn)生補(bǔ)救工作流問題票單，跟 蹤整個(gè)補(bǔ)救過程 4）自動(dòng)驗(yàn)證補(bǔ)救效果 同時(shí)，主動(dòng) 的 網(wǎng)絡(luò)防護(hù)和系統(tǒng)防護(hù)系統(tǒng)消除 已知、未知和將來出現(xiàn)的威脅，為補(bǔ)救贏得時(shí)間 ，同時(shí)，降低 XXX 的安全風(fēng)險(xiǎn) ： 1）主機(jī)入侵防護(hù)系統(tǒng) HIPS 可以在不需要補(bǔ)丁的情況下確保 95%的針對(duì)微軟漏洞的威脅不起作用； 2）網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)可以阻斷 郵件中傳遞的未知的蠕蟲病毒 （ 90%的蠕蟲病毒是通過郵 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 11 頁 共 34 頁 件傳播的）； 3）防病毒系統(tǒng)可以不需要病毒簽名的 就可以阻擋未知蠕蟲病毒，防止 ZeroDay 的威脅； 4）網(wǎng)絡(luò)訪問控制 確保有威脅的計(jì)算機(jī)能夠被即時(shí)隔離和得到及時(shí)補(bǔ)救。 所以， McAfee 提供的安全方案是一個(gè)完善的、主動(dòng)的和可以對(duì)抗未知威脅，以及將來的威脅的 解決方案。 方案中采用的產(chǎn)品 安全風(fēng)險(xiǎn) 管理系統(tǒng)： McAfee FS1000 網(wǎng)絡(luò)入侵探測(cè)防護(hù)系統(tǒng)： McAfee IntruShield 主機(jī)入侵防護(hù)： McAfee Host Intrusion Prevention 計(jì)算機(jī)病毒防護(hù)： McAfee VirusScan Enterprise 8i 網(wǎng)絡(luò)訪問控制： McAfee Policy Enforcer McAfee FS1000：軟硬一體化的設(shè)備，硬件使用 DELL 1U 1865 機(jī)架服務(wù)器， OS 使用為Windows 2020 Server 或者 Windows 2020 Server， OS 系統(tǒng)已經(jīng)安照美國(guó)國(guó)家安全局 Windows 2020 Server 或者 2020 Server 安全加固指南加固，所以設(shè)備和以通自身具有安全性，并且 OS系統(tǒng)的補(bǔ)丁通過 McAfee 的 SUS 系統(tǒng)更新 。在 FS1000 種安裝了最新版本的 FoundStone Enterprise 最新版本的軟件，其有四部分組成： Manager、掃描引擎、數(shù)據(jù)庫(kù)和用戶 Web 門戶，在整個(gè)安全管理方案中起核心作用 ，進(jìn)行風(fēng)險(xiǎn)監(jiān)控、安全弱點(diǎn)管理、 IT 資產(chǎn)管理、威脅管理、安全弱點(diǎn)修補(bǔ)工作流管理和向入侵防護(hù)系統(tǒng)提供 網(wǎng)絡(luò) 中存在的弱點(diǎn) 和威脅信息。 McAfee IntruShield：基于 ASIC 芯片的網(wǎng)絡(luò)入侵防護(hù)設(shè)備，部署在網(wǎng)絡(luò)中，其完全透明，探測(cè)端口沒有 IP 地址，不需要和網(wǎng)絡(luò)設(shè)備和防火墻互動(dòng)，其自身能夠探測(cè)到攻擊時(shí)，直接丟棄攻擊數(shù)據(jù)包和 Drop 攻擊 Session；為了確保探測(cè)的準(zhǔn)確性，采用了深層狀態(tài)包檢測(cè)技術(shù)、異常探測(cè)、 SSL 加密攻擊探測(cè)、 Buffer Overflow 攻擊探測(cè)和 DOS/DDOS 攻擊探測(cè)多種引擎；設(shè)備自身考慮了安全性、可靠性和性能，它能夠在設(shè)備掉電和連續(xù)的系統(tǒng)故障時(shí)自動(dòng)接通網(wǎng)絡(luò)，同時(shí)也支持雙機(jī)熱備的功能。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 12 頁 共 34 頁 McAfee Host Intrusion Prevention （簡(jiǎn)稱 HIPS ） ： 部署在 被 防護(hù)的計(jì)算機(jī)上，通過主機(jī) 防火墻進(jìn)行網(wǎng)絡(luò)控制 ，提供在 OS 系統(tǒng)和核心上的附加層 截獲所有 IO、 RPC 請(qǐng)求和API 調(diào)用，使用 攻擊簽名探測(cè) 、 異常探測(cè) 和的方法探測(cè)黑 客 攻擊 ，并且實(shí)時(shí)阻止黑客攻擊 。HIPS 給主機(jī)提供了附