【正文】 ....... 33 獨特的 DOS/DDOS 探測方式：自動學(xué)習(xí)記憶和基于閥值的探測方式 .. 33 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴(kuò)散到第三方。 本方案 涉及以下產(chǎn)品： McAfee FoundStone FS1000： 軟硬一體化的 安全弱點管理和安全風(fēng)險監(jiān)控系統(tǒng)。 本方案論述了建設(shè) XXX 完整 網(wǎng)絡(luò) 安全系統(tǒng)所應(yīng)包含的各個方面， XXX 可以根 據(jù)自身的信息系統(tǒng)建設(shè)進(jìn)度分階段實施。 從網(wǎng)絡(luò)結(jié)構(gòu)來看，面臨的外部威脅包括： a） 黑客的攻擊入侵，造成信息泄露，或者破壞網(wǎng)絡(luò)、應(yīng)用和服務(wù)器系統(tǒng)，造成網(wǎng)絡(luò)、應(yīng)用和服務(wù)器系統(tǒng)癱瘓； b） 蠕蟲病毒通過網(wǎng)絡(luò)、 Email 和網(wǎng)絡(luò)文件共享等多種方式傳播，植入 OA 網(wǎng)絡(luò)計算機(jī) 后 為黑客攻擊留下后門，同時造成網(wǎng)絡(luò)擁塞，甚至中斷； c） 蠕蟲利用操作系統(tǒng)、應(yīng)用、 Web 服務(wù)器和郵件系統(tǒng)的弱點進(jìn)行傳播，植入計算機(jī)系統(tǒng)后為黑客攻擊留下后門，同樣，在傳播過程中，產(chǎn)生大量的 TCP、 UDP 或 ICMP 垃圾信息，造成網(wǎng)絡(luò)擁塞，如 Sql Slammer、 Nimda、“沖擊波”和 Nachi 蠕蟲病毒。 第 7 頁 共 34 頁 a）來自 Inter 和外網(wǎng) 的黑客攻擊， 可以通過穿透 管理 網(wǎng)絡(luò)上的計算機(jī)，讓后通過對防火墻的端口掃描，網(wǎng)絡(luò)訪問測試或者 “ 社會工程 ” 的方法，獲得 管理 網(wǎng)路 中 可以訪問生產(chǎn)網(wǎng)的計算機(jī)信息，包括 IP、端口，加密方式等，然后再通過“穿透”這些計算機(jī)，以這些計算機(jī)為 “ 跳板 ” ，最終能夠訪問生產(chǎn)網(wǎng)計算機(jī)。 c） 惡意的掃描，用來發(fā)現(xiàn)開放的端口、網(wǎng)絡(luò)和系統(tǒng)中的漏洞 d） 惡意的針對存在漏洞的攻擊 需求分析 從上面我們可以看到當(dāng)前 XXX 的 網(wǎng)絡(luò) 面臨的威脅，因此，需要采取措施消除這 些威脅，因此，安全需求可以歸納為以下幾方面： 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴(kuò)散到第三方。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴(kuò)散到第三方。 第 11 頁 共 34 頁 件傳播的）； 3）防病毒系統(tǒng)可以不需要病毒簽名的 就可以阻擋未知蠕蟲病毒，防止 ZeroDay 的威脅； 4）網(wǎng)絡(luò)訪問控制 確保有威脅的計算機(jī)能夠被即時隔離和得到及時補救。 McAfee IntruShield：基于 ASIC 芯片的網(wǎng)絡(luò)入侵防護(hù)設(shè)備，部署在網(wǎng)絡(luò)中，其完全透明，探測端口沒有 IP 地址，不需要和網(wǎng)絡(luò)設(shè)備和防火墻互動，其自身能夠探測到攻擊時，直接丟棄攻擊數(shù)據(jù)包和 Drop 攻擊 Session；為了確保探測的準(zhǔn)確性，采用了深層狀態(tài)包檢測技術(shù)、異常探測、 SSL 加密攻擊探測、 Buffer Overflow 攻擊探測和 DOS/DDOS 攻擊探測多種引擎；設(shè)備自身考慮了安全性、可靠性和性能，它能夠在設(shè)備掉電和連續(xù)的系統(tǒng)故障時自動接通網(wǎng)絡(luò)，同時也支持雙機(jī)熱備的功能。 McAfee VirusScan Enterprise 8i（簡稱 VSE 8i） ： VSE 8i 是 McAfee 企業(yè)機(jī)防病毒系統(tǒng)，其最大優(yōu)勢是可以完全做到不需要病毒簽名就可以阻擋任何蠕蟲病毒 ；另外， VSE8i 的內(nèi)存掃描功能可以確保不需要重啟計算機(jī)就可以清除蠕蟲病毒或者后門程序；此外 VSE8i 還集成了 Mc Afee AntiSpyware，探測和清除間諜程序。 部署 方案 FS1000 的部署 FS1000 的部署如下圖 ： 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴(kuò)散到第三方。 第 14 頁 共 34 頁 網(wǎng)絡(luò)入侵防護(hù)部署生產(chǎn)網(wǎng)管理網(wǎng)寶鋼 /I nt e rne tI n tr u S h ieldI n tr u S h ieldI n tr u S h ield此為案例，需要用戶提供拓?fù)浜?，再放置在合理的位? IntruShield 分別采用不同的部署方式不署在三個地方： 1） Inter 出口 ： 采用 McAfee IntruShield， InLine 方式部署，實時阻止黑客攻擊、蠕蟲病毒、間諜程序和后門程序進(jìn)入 XXX 網(wǎng)絡(luò)。 IntruShield 的自動更新由 IntruShield Manager 進(jìn)行。 ? 對新威脅增強防護(hù) – VirusScan 提供了對最新出現(xiàn)的、危及程序安全的惡意威脅（例如， “間諜”軟件）、特定程序的緩沖區(qū)溢 出攻擊、及混合病毒攻擊的防護(hù)。 ? 集中式管理和報告編制 – 與 McAfee ePolicy Orchestrator 的集成為用戶提供了全面的安全管 理解決方案，包括從一個控制臺進(jìn)行詳細(xì)的圖形報告編制的功能。 防病毒管理服務(wù)器的部署 防病毒管理服務(wù)器 采用 ePolicy Orchestrator （以下簡稱 ePO ） ，既是防病毒系統(tǒng) 的集中策略管理中心，同時也是產(chǎn)品、掃描引擎和病毒特征碼更新中心，單臺 ePO 服務(wù)器支持對 25 萬個防病毒客戶端的集中管理。 部署 分層結(jié)構(gòu)圖 ： 防病毒管理架構(gòu)中心管理e P O 服務(wù)器二級管理服務(wù)器：e P O分布資料庫自動更新自動更新自動更新從 Mc Afee 公司更新服務(wù)器下載更新二級管理服務(wù)器：e P O 分布資料庫二級管理服務(wù)器：e P O分布資料庫 防病毒管理中心提供以下功能： 1） 積極的爆發(fā)預(yù)防 使用 ePO 病毒爆發(fā)響應(yīng) 中心， 使用策略配置， 可以采取積極的步驟保護(hù)您的 網(wǎng)絡(luò)不受逼近的病毒爆發(fā)的威脅。 根據(jù)使用的安全設(shè)置，通信可以加密或使用認(rèn)證加密。這種沒有等待時間的命令系統(tǒng)在病毒爆發(fā)期間是 不可缺少的。這確保了 整個 XXX網(wǎng)絡(luò) 的防毒和內(nèi)容安全策略的一致實施。 防病毒 管理中 心可以從所有其管理的產(chǎn)品收集日志；您不再需要檢查每個單個產(chǎn)品的日志。 HIPS 的日常策略配置、更新、報表和集中的安全事件報警均通過 ePO 進(jìn)行集中管理。同時具有 USB 外設(shè)檢測阻擋的功能，防止機(jī)密信息泄露。 防護(hù)緩沖區(qū)溢出攻擊 McAfee HIPS 的專利技術(shù)能夠有效地防止緩沖區(qū)溢出攻擊導(dǎo)致的代碼執(zhí)行，而這種攻擊正是服務(wù)器和桌面機(jī)目前所面臨的最常見的攻擊方法之一。 它具有強大的自定義功能，您可 以按需要修改策略，而且基本上消除了誤報以及關(guān)鍵業(yè)務(wù)進(jìn)程遭到攔截的風(fēng)險 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴(kuò)散到第三方。 MPE 會自動發(fā)現(xiàn)管理網(wǎng)的局域網(wǎng)交換機(jī)拓?fù)洌?MPE 和交換機(jī)通過 SNMP V2 進(jìn)行互動，當(dāng)管理員在 MPE 服務(wù)器上定義好 XXX 管理網(wǎng)的安全策略后， MPE Sensor 能夠自動發(fā)現(xiàn)連接到網(wǎng)絡(luò)的計算機(jī)，然后通知 MPE 掃描評估引擎 檢測計算機(jī)是否存在威脅，當(dāng)發(fā)現(xiàn)威脅、關(guān)鍵弱點或者違法了企業(yè)其它安全 策略后， MPE 將通過局域網(wǎng)交換將該計算機(jī)自動隔離到隔離 VLAN 進(jìn)行補救工作；若 MPE 評估后發(fā)現(xiàn)計算機(jī)沒有違反企業(yè)安全策略（包括既沒有發(fā)現(xiàn)病毒、后門等威脅，也沒發(fā)現(xiàn)弱點），則 MPE 允許該計算機(jī)訪問管理網(wǎng)，整個掃描評估過程用戶感覺不到明顯的延遲， 在用戶登錄的過程中即已完成。 第 23 頁 共 34 頁 4 安全管理 管理角色 根據(jù)管理功能和權(quán)限的不同， FoundStone 中存在著 多種用戶角色，最基本的包括FoundStone 的全局超級管理員、超級管理員、普通管理員、 Help Desk 工作人員， Remediation管理員。 注：考慮安全部門的人員配備，日常超級管理員和 Remediation 的管理員兩種角色由安全部門的一個人擔(dān)當(dāng)。 第 24 頁 共 34 頁 日常管理流程 日常管理主要由日常超級管理員進(jìn)行，全局管理員進(jìn)行監(jiān)督，系統(tǒng)和網(wǎng)絡(luò)管理員負(fù)責(zé)漏洞的修補。 第 25 頁 共 34 頁 管理組織架構(gòu)的劃分 組織的管理由全局管理員管理，整個組織分成生產(chǎn)系統(tǒng)和辦公自動化系統(tǒng)兩大管理域，每個域 有各自的日常超級管理員、安全漏洞補救工作流（ Remediation）管理員和漏洞修補工作人員（ Help Desk 工作人員）。 資產(chǎn)分類的好處包括： ? 提供安全分類，明確安全保護(hù)的需求和優(yōu)先級 ? 確保信息資產(chǎn)獲得合適的保護(hù)級別 ? 最小化信息變更帶來的安全風(fēng)險 ? 使 FoundStone 產(chǎn)生的量化風(fēng)險等級能真是反映 XXX 的安全風(fēng)險 在 FoundStone 中，資產(chǎn)的優(yōu)先級分成五個等級，分級的依據(jù)是： Low（ 1） —— 在 IT 資產(chǎn)中屬最不重要的，其安全幾乎不影響業(yè)務(wù)，它的漏洞修補優(yōu)先級也是最低的。 第 26 頁 共 34 頁 Signification（ 4） —— 重要的 IT 資產(chǎn)，通常是一般的應(yīng)用服務(wù)器，如 OA 的郵件服務(wù)器。 風(fēng)險等級 —— 風(fēng)險等級值是根據(jù)資產(chǎn)優(yōu)先級、漏洞的 FoundScore 和威脅情況計算出來的，所以， FoundScore 的計算單位（ Metrics）會影響風(fēng)險等級，所以，只要客戶化好 FoundScore的計算單位，風(fēng)險等級也就相應(yīng)地調(diào)整。 第 27 頁 共 34 頁 送報警郵件，提示漏洞修補崗及時修補。代理將在每個時間間隔回叫 ePolicyOrchestrator 一次，將屬性發(fā)送到服務(wù)器并收集新的策略變改。 3. 采取最少屬性，以減少 epo agent 和 epo 服務(wù)器的通訊量 實時掃描策略 1) 訪問保護(hù)策略（ Directory/policies/） 添加需要阻止的端口 添加需要阻止的操作 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴(kuò)散到第三方。 在 任務(wù)的高級選項中將 CPU 的利用率設(shè)為 70%。 第 31 頁 共 34 頁 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴(kuò)散到第三方。 最主要的， FoundStone 是企業(yè)級的安全弱點管理系統(tǒng) ，其融合了很多企業(yè)級的管理思想，比如資產(chǎn)管理、掃描任務(wù)計劃和動態(tài)風(fēng)險監(jiān)控，尤其是在安全漏洞補救方面引入了工作流管理系統(tǒng)，使得弱點的修補可以跟蹤、確認(rèn)和記錄，同時，在需要時，還可以集成到第三方的工作流管理體系中，如和 BMC 的 Remedy 集成等。 IntruShield 體系結(jié)構(gòu)的虛擬 IPS 功能可以通過三種方法來實施。 實時過濾蠕蟲病毒和 Spyware 間諜程序 在 IntruShield 的 Signature 中包含了蠕蟲病毒、 Spyware 間諜程序、“特洛伊木馬”、后門程序的 Signature，當(dāng) IntruShield 采用 InLine 方式部署時，能過過濾掉流經(jīng) IntruShield 的這些惡意程序，而且還能過濾由蠕蟲病毒引起的異常網(wǎng)絡(luò)力量，如 Nachi Ping 等。借助基于閥值的檢測功能，網(wǎng)絡(luò)安全管理員就能夠使用預(yù)先編寫的數(shù)據(jù)流量限制來確保服務(wù)器不會因負(fù)載過重而宕機(jī)