【正文】 以全面的量化安全風險為基礎，在系統和網絡層面構建全面的安全威脅防御體系，完善健全安全措施，當安全風險等級變化時，風險管理管理系統提供詳細的安全風險變化原因和補救措施，同時，調整系統和網絡層面的防御策略，真正的做到全面防御，有的放矢。風險管理的過程中，如何有效地消除威脅、降低風險是關鍵，因此，我們首先應該建立全面的系統和網絡防御體系。XXX公司目前已經建立了基礎的網絡架構，而McAfee提供的網絡入侵防護產品，可以幫助XXX公司對抗未知的和將來出現的安全威脅，通過McAfee NSP（即IPS）構建完善的企業(yè)安全邊界防御體系，在網絡邊界實時準確的檢測和阻斷各類網絡攻擊行為、DoS/DDoS攻擊及未知的攻擊流量，并對P2P、IM等應用流量進行管理，完善整個XXX公司的網絡安全建設。本方案描述中涉及以下產品和解決方案：(1) McAfee NSP：基于ASIC及FPGA芯片的硬件網絡入侵防護系統，實時阻止黑客攻擊、蠕蟲病毒、間諜程序和DOS/DDOS攻擊；(2) McAfee 安全風險管理體系：方案中還會結合McAfee安全風險管理體系的發(fā)展前景，介紹在XXX公司現有環(huán)境下的安全體系建設，從而使得各個安全產品協同工作，增強網絡安全綜合防御能力。本方案論述了構建XXX公司完整的安全風險管理體系所應包含的各個方面，同時重點論述了XXX公司網絡邊界安全（即入侵防御系統IPS）的建設和部署方案。3 XXX公司需求分析及部署方案 需求分析隨著XXX公司業(yè)務的不斷擴大，內部網絡的發(fā)展，原本入侵防御系統已經不能符合內部業(yè)務系統對Internet入口接入的需求，故需要將原先的IPS設備升級至千兆入侵防御系統，增強企業(yè)內部的核心應用系統應對黑客攻擊、蠕蟲、網絡病毒、后門木馬、DoS/DDoS等威脅的能力。 部署方案1) 部署建議我們建議M2950設備1A1B口串接在防火墻和DMZ交換機之間，重點保護核心服務器群的安全。因McAfee NSP入侵防護系統是雙向檢測，這樣既保障核心服務器群Internet出口的安全，又可以檢測內部核心網絡到DMZ區(qū)應用程序流量；同時在備用鏈路上也架設一臺M2950做Failover，當主鏈路出現故障網絡中斷時，自動故障轉移到備用鏈路，采用兩臺M2950做HA而不是使用一臺IPS設備兩對端口，主要也考慮不改變整體網絡的HA結構，實現網絡的高可用性。同時M2950型號內置4對failopen功能模塊（Bypass模塊），在采用InLine方式部署時，防止因設備故障而造成網絡中斷。鑒于另一ISP接入線路能力及業(yè)務部署與上圖相同，建議可采用相同的防護方式來進行防護。2) 管理建議由于核心業(yè)務應用存在不同的網絡區(qū)域和應用系統平臺，我們建議使用“虛擬IPS”技術的CIDR表示方法對各個服務站點IP進行不同的分類，細化檢測策略和DoS/DDoS特征流量。比如針對核心業(yè)務群中的WEB服務，制定單獨的策略，提高WEB服務器對外服務的安全性。對于其他內部網絡，我們建議使用M2950的剩余端口作SPAN的方式，連接相應的鏡像端口，可以檢測其他內部網絡安全情況。對于多臺NSP設備，我們建議采用統一管理平臺NSP Manger，這樣對以前DoS等學習的情況，有利于策略的制定及分發(fā)。 推薦的產品在本方案中我們推薦的是NSP M2950，其采用ASIC芯片純硬件架構設計，可以確保在1Gbps的流量下進行正常的異常流量探測、黑客攻擊探測阻斷（包括DOS/DDOS攻擊探測阻斷、蠕蟲病毒阻擋），并且確保造成的延遲在100微秒左右。產品清單：設備設備描述數量1 Sensor M29504M2950設備硬件及參數NSP M2950實物圖吞吐性能：探測端口密度：8個千兆檢測端口（固定銅線端口） 12個千兆檢測端口（SFP端口）端口配置選項： 10 對Inline或者20個Span端口，或者混合端口支持：SFP mini Gigabit連接器，端口 Bypass: 8個端口內置，其余6對需外置FailOpen設備 電源：雙冗余電源 – 可選配置響應端口： 10 個– 用作IDS部署時攔截持續(xù)攻擊連接管理端口： 1 x 100/1000 Mbps 管理端口高可用性：10A用作Heart beat signal provider并發(fā)連接支持: 750,000虛擬 IPS / Firewall 策略: 100個4 McAfee NSP產品簡介NSP基于完整的攻擊分析方法而構建，并引入了業(yè)界最為全面的網絡攻擊特征檢測、異常檢測以及拒絕服務檢測技術，除了可以探測攻擊，還可以探測已知未知蠕蟲和后門程序。 檢測及防御功能 網絡攻擊特征檢測為了實現高性能的網絡攻擊特征檢測，NSP 體系結構不僅采用了創(chuàng)新的專利技術，而且集成了全面的狀態(tài)檢測引擎、完善的特征規(guī)范語言、“用戶自定義特征”以及實時特征更新，確保了 NSP 能夠提供并維護業(yè)界最為全面、更新最及時的攻擊簽名數據庫，目前簽名特征超過4000種，解碼協議超過106種。1) 特征規(guī)范語言NSP以專用的高水平特征規(guī)范語言為強大支持。NSP 能夠從應用程序軟件中分離出攻擊模式特征，在這個獨特的體系結構中，將特征簡單地轉換為表單項，從而可以通過直觀的用戶界面實現實時更新，并可被特征引擎立即使用。目前的 IDS 產品往往通過軟件“補丁程序”來提供新的特征，這不僅降低了部署速度（必須根據整個 IDS 軟件應用程序進行質量保證），而且也不利于安裝（必須重新啟動系統）。而 NSP 通過從傳感器軟件中分離攻擊模式特征，從而確保了高質量的全新特征可以快速部署（無需重新啟動系統）。同時，從傳感