【導(dǎo)讀】本文檔僅限McAfee公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴散到第三方。供的解決方案能在整個項目規(guī)劃和建設(shè)中發(fā)揮應(yīng)有的作用。

　　

【正文】 4 頁 Signification（ 4） —— 重要的 IT 資產(chǎn)，通常是一般的應(yīng)用服務(wù)器，如 OA 的郵件服務(wù)器。 Extensive（ 5） —— 最高優(yōu)先等級的 IT 資產(chǎn)，其安全性、可用性和可靠性會導(dǎo)致企業(yè)的整個業(yè)務(wù)的中斷，如 銀行主機 、數(shù)據(jù)庫服務(wù) 器等。 弱點評估周期 弱點評估的周期不宜太頻繁，也不宜間隔太久，考慮到 XXX 的 IT 環(huán)境和系統(tǒng)復(fù)雜程度，弱點評估周期選擇一周。 FoundScore 和 Risk Level FoundStone 中使用兩個量化的值來表示 IT 系統(tǒng)中的弱點變化和風(fēng)險等級的監(jiān)控： FoundScore—— 其分值越高，說明漏洞越少，在 FoundStone 實施初期使用缺省的FoundScore 計算方法，使用一段時間后，可以考慮客戶化 FoundScore 的計算單位（ Metrics）。 風(fēng)險等級 —— 風(fēng)險等級值是根據(jù)資產(chǎn)優(yōu)先級、漏洞的 FoundScore 和威脅情況計算出來的，所以， FoundScore 的計算單位（ Metrics）會影響風(fēng)險等級，所以，只要客戶化好 FoundScore的計算單位，風(fēng)險等級也就相應(yīng)地調(diào)整。 修補工作流 在安全 風(fēng)險 管理系統(tǒng)中，弱點的修補管理是一個重要環(huán)節(jié)。 在 FoundStone 中的安全漏洞修補通過 Remediation 模塊進(jìn)行修補工作流管理，因此，通過該模塊，可以根據(jù)掃描發(fā)現(xiàn)的新的安全漏洞自動產(chǎn)生漏洞修補票單（ Ticket），通過郵件發(fā)送給漏洞修補崗，漏洞修補崗接收到 Ticket 后，根據(jù) FoundStone 的指示 修補漏洞，可以人工關(guān)閉 Ticket，也可以由 FoundStone 通過掃描自動關(guān)閉 Ticket。另外，若 FoundStone 檢測到在規(guī)定的期限內(nèi)，漏洞沒有修補，則向全局管理員、 Remediation 管理員和漏洞修補崗發(fā) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴散到第三方。 第 27 頁 共 34 頁 送報警郵件，提示漏洞修補崗及時修補。 在修補工作流中，設(shè)置三種角色： 修補監(jiān)督崗 —— 由全局管理員擔(dān)任 分派崗 —— 由 Remediation 管理員擔(dān)任，需要人工分派 Ticket 時，人工發(fā)送修補 Ticket 漏洞修補崗 —— 由系統(tǒng)管理員擔(dān)任，根據(jù) FoundStone 的指示修補安全漏洞。 評 估 任 務(wù)產(chǎn) 生 弱點 修 補T i c k e t郵 件 發(fā) 送T i c k e t系 統(tǒng) 管理 員 修補 漏 洞期 限 內(nèi) 是 否修 補關(guān) 閉 修 補T i c k e t否是系 統(tǒng) 管理 員 接收 T i c k e t全 局 管 理 員R e m e d i a t i o n 管 理 員系 統(tǒng) 管 理 員報 警新 的 安 全弱 點 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴散到第三方。 第 28 頁 共 34 頁 防病毒管理 配置 epo agent 和 ePo 服務(wù)器的通訊間隔 1. 不顯示 epo Agent 圖標(biāo) 2. 設(shè)置 epo 與 epo agent 通訊時間間隔為 60 分鐘（ 100M 局域網(wǎng)）、 360 分鐘（廣域網(wǎng)） 間隔時間段，單位為分鐘。代理將在每個時間間隔回叫 ePolicyOrchestrator 一次，將屬性發(fā)送到服務(wù)器并收集新的策略變改。在設(shè)置此時間間隔時，必須綜合考慮客戶機安全性和更新能力的需要與網(wǎng)絡(luò)的帶寬限制。時間間隔越短，客戶機更新越頻 繁，產(chǎn)生的網(wǎng)絡(luò)通訊量也就越多。 (167 臺 /分鐘 ) 現(xiàn)在設(shè)置的是 60 分鐘。 3. 采取最少屬性，以減少 epo agent 和 epo 服務(wù)器的通訊量 實時掃描策略 1) 訪問保護(hù)策略（ Directory/policies/） 添加需要阻止的端口 添加需要阻止的操作 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴散到第三方。 第 29 頁 共 34 頁 2) 緩沖區(qū)溢出防護(hù)（ Directory/policies/） ? 啟用緩沖區(qū)溢出防護(hù) ? 清除“ 檢測到溢出防護(hù)時報警”選擇框 ? 可以添加需要排除的應(yīng)用程序，切記 API 和 Process 名稱正確 配置自動更新 1. 計劃 ePO 服務(wù)器的計劃更新 A Epo 服務(wù)器每天更新一次，時間可以放在凌晨?，F(xiàn)在設(shè)置的是 4： 00 為保證 epo 的更新不致失敗，可以創(chuàng)建額外的一條任務(wù)，時間間隔為 45 分鐘之后 如：凌晨 4： 45 B 計劃分布式資料庫的增量復(fù)制任務(wù) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴散到第三方。 第 30 頁 共 34 頁 在第二條 epo 更新任務(wù)的 45 分鐘后創(chuàng)建分布式資料庫的增量復(fù)制任務(wù) ,對各地的分布式資料庫進(jìn)行升級 ,比如：凌晨 5： 30 C 創(chuàng)建 一條對分布式資料庫每周進(jìn)行一次完全復(fù)制的任務(wù)，時間也要放在 epo 更新任務(wù)之后，間隔為 45 分鐘比如：凌晨 6： 30 D 創(chuàng)建一條對非活動代理維護(hù)，每周一次時間是 10 點 2. 創(chuàng)建 McAfee VirusScan Enterprise 的更新任務(wù) A 在 epo 的 Directory 下創(chuàng)建一條 McAfee 的 update 任務(wù)，時間為 8： 30，間隔為每天 B 在 epo 的 Directory 下創(chuàng)建一條 McAfee 的 update 任務(wù)，時間為 11： 30，間隔為每天 計劃 手動掃描 在 directory下創(chuàng)建兩條 VirusScan Enterprise 的按訪問掃描任務(wù)，時間為 8： 35和 11：30，間隔為每天。 在 任務(wù)的高級選項中將 CPU 的利用率設(shè)為 70%。 病毒警報 網(wǎng)絡(luò)中的病毒監(jiān)測和掃描情況，應(yīng)按照最初的配置要求進(jìn)行報警。 生成 Epo 報告 每周生成一次病毒感染報告， 根據(jù)網(wǎng)絡(luò)中反饋的信息按需要生成圖形或文本匯報。 包括前 10 臺主機感染報告，包括 Top 10 種病毒報告等等 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴散到第三方。 第 31 頁 共 34 頁 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴散到第三方。 第 32 頁 共 34 頁 5 方案 優(yōu)勢 FS1000 安全風(fēng)險管理 的優(yōu)勢 FoundStone 的優(yōu)勢首先體現(xiàn)在它是一個完整的企業(yè)級安全弱點管理系統(tǒng)，其包含了完整的資產(chǎn)管理、弱點評估、威脅關(guān)聯(lián)、風(fēng)險等級計算和弱點修補工作流管理，具體包括： 1） 基于資產(chǎn)優(yōu)先級，自動的量化風(fēng)險等級，真實反映企業(yè) IT 資產(chǎn)的安全風(fēng)險； 2） 自動的接近實時的持續(xù)風(fēng)險等級監(jiān)控，顯示風(fēng)險等級變化的原因； 3） 提供威脅關(guān)聯(lián)，例如，單擊鼠標(biāo)就可以了解網(wǎng)絡(luò)中那些計算機會被蠕蟲病毒或黑客威脅； 4） 提供完整的安全弱點修補工作流，自動產(chǎn)生修補票單（ ticket），自動驗證修補，自動關(guān)閉票單，若沒有及時修補則發(fā)出報警。 5） 部署簡單，由于采用軟硬件一體化的設(shè)計，部署時通過 10 分鐘的設(shè)置就可以開始進(jìn)入正常工作模式。 6） 安全考慮：在 OS 識別和漏洞掃描時充分考慮安全性，例如， OS 識別使用 3 個標(biāo)準(zhǔn)的 RFC ICMP 數(shù)據(jù)包，而不像其他競爭產(chǎn)品使用非 RFC 標(biāo)準(zhǔn)的 ICMP 數(shù)據(jù)包；又比如多子引擎掃描時，充分考慮掃描流量的負(fù)載均衡；并且將弱點評估的 NoIntrusive 和 Intrusive的評估方式分開，使用戶可以根據(jù)服務(wù)器的運行狀態(tài)選擇是否使用 Intrusive 的掃描方式。 最主要的， FoundStone 是企業(yè)級的安全弱點管理系統(tǒng) ，其融合了很多企業(yè)級的管理思想，比如資產(chǎn)管理、掃描任務(wù)計劃和動態(tài)風(fēng)險監(jiān)控，尤其是在安全漏洞補救方面引入了工作流管理系統(tǒng)，使得弱點的修補可以跟蹤、確認(rèn)和記錄，同時，在需要時，還可以集成到第三方的工作流管理體系中，如和 BMC 的 Remedy 集成等。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴散到第三方。 第 33 頁 共 34 頁 IntruShield 網(wǎng)絡(luò)入侵防護(hù) 的優(yōu)勢 虛擬 IPS 功能（ VIPS） 虛擬 IPS 能夠?qū)? IntruShield 探測 器劃分為多個虛擬 探測 器，這些虛擬 探測 器可以 使用不同的探測和防護(hù)策略保護(hù)不同的 VLAN、子網(wǎng)和主機 （包括自定義的攻擊選擇及相關(guān)響應(yīng)措施）。 VIPS 可以根據(jù)一組 IP 地址、一個或多個 VLAN 標(biāo)記來定義，也可以通過 探測器上的特定端口來定義。 IntruShield 體系結(jié)構(gòu)的虛擬 IPS 功能可以通過三種方法來實施。第一，將虛擬局域網(wǎng) (VLAN) 標(biāo)志分配給一組網(wǎng)絡(luò)資源；第二，使用無類別域內(nèi)路由 (CIDR) 標(biāo)志來保護(hù)一組 IP 地址；第三，將 IntruShield 系統(tǒng)接口專門用于保護(hù)特定部門、地區(qū)機構(gòu)或組織職能部門的網(wǎng)絡(luò)資源。 基于 CIDR 的 VIPS 實施能夠使用 /32 掩碼具體到單一主機的水平。例如，可以使用單一主機的特有策略 來識別 DoS 攻擊，并做出響應(yīng)。 實時過濾蠕蟲病毒和 Spyware 間諜程序 在 IntruShield 的 Signature 中包含了蠕蟲病毒、 Spyware 間諜程序、“特洛伊木馬”、后門程序的 Signature，當(dāng) IntruShield 采用 InLine 方式部署時，能過過濾掉流經(jīng) IntruShield 的這些惡意程序，而且還能過濾由蠕蟲病毒引起的異常網(wǎng)絡(luò)力量，如 Nachi Ping 等。 而且 IntruShield 的郵件未知蠕蟲 Signature 可以探測郵件中夾帶的未知蠕蟲病毒，并且將其丟棄，從而使得 IntruShield 可以對抗新的、將來出現(xiàn)的蠕蟲病毒。 獨特的 DOS/DDOS 探測方式：自動學(xué)習(xí)記憶和基于閥值的探測方式 IntruShield 綜合利用了基于閥值的 DOS/DDOS 檢測技術(shù)和獲得專利的、具有自動 學(xué)習(xí) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請勿擴散到第三方。 第 34 頁 共 34 頁 記憶功能的基于配置文件的檢測技術(shù)，從而使 DOS 拒絕服務(wù)檢測更具智能化。借助基于閥值的檢測功能，網(wǎng)絡(luò)安全管理員就能夠使用預(yù)先編寫的數(shù)據(jù)流量限制來確保服務(wù)器不會因負(fù)載過重而宕機。 自動 學(xué)習(xí) 記憶功能使得 IntruShield 體系結(jié)構(gòu)能夠分析網(wǎng)絡(luò)使用方法和流量的模式，了解合法網(wǎng)絡(luò)操作中發(fā)生的多種合法，但不常 見的使用模式。 兩種技術(shù)的結(jié)合確保了對各種 DoS 攻擊的最高檢測準(zhǔn)確率 — 包括分布式拒絕服務(wù)攻擊（即惡意程序員為了進(jìn)攻企業(yè)或政府網(wǎng)絡(luò)，同時對上百個，甚至上千個服務(wù)器發(fā)起攻擊）。