【導(dǎo)讀】本文檔僅限McAfee公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。供的解決方案能在整個(gè)項(xiàng)目規(guī)劃和建設(shè)中發(fā)揮應(yīng)有的作用。

　　

【正文】 4 頁(yè) Signification（ 4） —— 重要的 IT 資產(chǎn)，通常是一般的應(yīng)用服務(wù)器，如 OA 的郵件服務(wù)器。 Extensive（ 5） —— 最高優(yōu)先等級(jí)的 IT 資產(chǎn)，其安全性、可用性和可靠性會(huì)導(dǎo)致企業(yè)的整個(gè)業(yè)務(wù)的中斷，如 銀行主機(jī) 、數(shù)據(jù)庫(kù)服務(wù) 器等。 弱點(diǎn)評(píng)估周期 弱點(diǎn)評(píng)估的周期不宜太頻繁，也不宜間隔太久，考慮到 XXX 的 IT 環(huán)境和系統(tǒng)復(fù)雜程度，弱點(diǎn)評(píng)估周期選擇一周。 FoundScore 和 Risk Level FoundStone 中使用兩個(gè)量化的值來(lái)表示 IT 系統(tǒng)中的弱點(diǎn)變化和風(fēng)險(xiǎn)等級(jí)的監(jiān)控： FoundScore—— 其分值越高，說(shuō)明漏洞越少，在 FoundStone 實(shí)施初期使用缺省的FoundScore 計(jì)算方法，使用一段時(shí)間后，可以考慮客戶化 FoundScore 的計(jì)算單位（ Metrics）。 風(fēng)險(xiǎn)等級(jí) —— 風(fēng)險(xiǎn)等級(jí)值是根據(jù)資產(chǎn)優(yōu)先級(jí)、漏洞的 FoundScore 和威脅情況計(jì)算出來(lái)的，所以， FoundScore 的計(jì)算單位（ Metrics）會(huì)影響風(fēng)險(xiǎn)等級(jí)，所以，只要客戶化好 FoundScore的計(jì)算單位，風(fēng)險(xiǎn)等級(jí)也就相應(yīng)地調(diào)整。 修補(bǔ)工作流 在安全 風(fēng)險(xiǎn) 管理系統(tǒng)中，弱點(diǎn)的修補(bǔ)管理是一個(gè)重要環(huán)節(jié)。 在 FoundStone 中的安全漏洞修補(bǔ)通過(guò) Remediation 模塊進(jìn)行修補(bǔ)工作流管理，因此，通過(guò)該模塊，可以根據(jù)掃描發(fā)現(xiàn)的新的安全漏洞自動(dòng)產(chǎn)生漏洞修補(bǔ)票單（ Ticket），通過(guò)郵件發(fā)送給漏洞修補(bǔ)崗，漏洞修補(bǔ)崗接收到 Ticket 后，根據(jù) FoundStone 的指示 修補(bǔ)漏洞，可以人工關(guān)閉 Ticket，也可以由 FoundStone 通過(guò)掃描自動(dòng)關(guān)閉 Ticket。另外，若 FoundStone 檢測(cè)到在規(guī)定的期限內(nèi)，漏洞沒(méi)有修補(bǔ)，則向全局管理員、 Remediation 管理員和漏洞修補(bǔ)崗發(fā) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 27 頁(yè) 共 34 頁(yè) 送報(bào)警郵件，提示漏洞修補(bǔ)崗及時(shí)修補(bǔ)。 在修補(bǔ)工作流中，設(shè)置三種角色： 修補(bǔ)監(jiān)督崗 —— 由全局管理員擔(dān)任 分派崗 —— 由 Remediation 管理員擔(dān)任，需要人工分派 Ticket 時(shí)，人工發(fā)送修補(bǔ) Ticket 漏洞修補(bǔ)崗 —— 由系統(tǒng)管理員擔(dān)任，根據(jù) FoundStone 的指示修補(bǔ)安全漏洞。 評(píng) 估 任 務(wù)產(chǎn) 生 弱點(diǎn) 修 補(bǔ)T i c k e t郵 件 發(fā) 送T i c k e t系 統(tǒng) 管理 員 修補(bǔ) 漏 洞期 限 內(nèi) 是 否修 補(bǔ)關(guān) 閉 修 補(bǔ)T i c k e t否是系 統(tǒng) 管理 員 接收 T i c k e t全 局 管 理 員R e m e d i a t i o n 管 理 員系 統(tǒng) 管 理 員報(bào) 警新 的 安 全弱 點(diǎn) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 28 頁(yè) 共 34 頁(yè) 防病毒管理 配置 epo agent 和 ePo 服務(wù)器的通訊間隔 1. 不顯示 epo Agent 圖標(biāo) 2. 設(shè)置 epo 與 epo agent 通訊時(shí)間間隔為 60 分鐘（ 100M 局域網(wǎng)）、 360 分鐘（廣域網(wǎng)） 間隔時(shí)間段，單位為分鐘。代理將在每個(gè)時(shí)間間隔回叫 ePolicyOrchestrator 一次，將屬性發(fā)送到服務(wù)器并收集新的策略變改。在設(shè)置此時(shí)間間隔時(shí)，必須綜合考慮客戶機(jī)安全性和更新能力的需要與網(wǎng)絡(luò)的帶寬限制。時(shí)間間隔越短，客戶機(jī)更新越頻 繁，產(chǎn)生的網(wǎng)絡(luò)通訊量也就越多。 (167 臺(tái) /分鐘 ) 現(xiàn)在設(shè)置的是 60 分鐘。 3. 采取最少屬性，以減少 epo agent 和 epo 服務(wù)器的通訊量 實(shí)時(shí)掃描策略 1) 訪問(wèn)保護(hù)策略（ Directory/policies/） 添加需要阻止的端口 添加需要阻止的操作 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 29 頁(yè) 共 34 頁(yè) 2) 緩沖區(qū)溢出防護(hù)（ Directory/policies/） ? 啟用緩沖區(qū)溢出防護(hù) ? 清除“ 檢測(cè)到溢出防護(hù)時(shí)報(bào)警”選擇框 ? 可以添加需要排除的應(yīng)用程序，切記 API 和 Process 名稱正確 配置自動(dòng)更新 1. 計(jì)劃 ePO 服務(wù)器的計(jì)劃更新 A Epo 服務(wù)器每天更新一次，時(shí)間可以放在凌晨?，F(xiàn)在設(shè)置的是 4： 00 為保證 epo 的更新不致失敗，可以創(chuàng)建額外的一條任務(wù)，時(shí)間間隔為 45 分鐘之后 如：凌晨 4： 45 B 計(jì)劃分布式資料庫(kù)的增量復(fù)制任務(wù) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 30 頁(yè) 共 34 頁(yè) 在第二條 epo 更新任務(wù)的 45 分鐘后創(chuàng)建分布式資料庫(kù)的增量復(fù)制任務(wù) ,對(duì)各地的分布式資料庫(kù)進(jìn)行升級(jí) ,比如：凌晨 5： 30 C 創(chuàng)建 一條對(duì)分布式資料庫(kù)每周進(jìn)行一次完全復(fù)制的任務(wù)，時(shí)間也要放在 epo 更新任務(wù)之后，間隔為 45 分鐘比如：凌晨 6： 30 D 創(chuàng)建一條對(duì)非活動(dòng)代理維護(hù)，每周一次時(shí)間是 10 點(diǎn) 2. 創(chuàng)建 McAfee VirusScan Enterprise 的更新任務(wù) A 在 epo 的 Directory 下創(chuàng)建一條 McAfee 的 update 任務(wù)，時(shí)間為 8： 30，間隔為每天 B 在 epo 的 Directory 下創(chuàng)建一條 McAfee 的 update 任務(wù)，時(shí)間為 11： 30，間隔為每天 計(jì)劃 手動(dòng)掃描 在 directory下創(chuàng)建兩條 VirusScan Enterprise 的按訪問(wèn)掃描任務(wù)，時(shí)間為 8： 35和 11：30，間隔為每天。 在 任務(wù)的高級(jí)選項(xiàng)中將 CPU 的利用率設(shè)為 70%。 病毒警報(bào) 網(wǎng)絡(luò)中的病毒監(jiān)測(cè)和掃描情況，應(yīng)按照最初的配置要求進(jìn)行報(bào)警。 生成 Epo 報(bào)告 每周生成一次病毒感染報(bào)告， 根據(jù)網(wǎng)絡(luò)中反饋的信息按需要生成圖形或文本匯報(bào)。 包括前 10 臺(tái)主機(jī)感染報(bào)告，包括 Top 10 種病毒報(bào)告等等 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 31 頁(yè) 共 34 頁(yè) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 32 頁(yè) 共 34 頁(yè) 5 方案 優(yōu)勢(shì) FS1000 安全風(fēng)險(xiǎn)管理 的優(yōu)勢(shì) FoundStone 的優(yōu)勢(shì)首先體現(xiàn)在它是一個(gè)完整的企業(yè)級(jí)安全弱點(diǎn)管理系統(tǒng)，其包含了完整的資產(chǎn)管理、弱點(diǎn)評(píng)估、威脅關(guān)聯(lián)、風(fēng)險(xiǎn)等級(jí)計(jì)算和弱點(diǎn)修補(bǔ)工作流管理，具體包括： 1） 基于資產(chǎn)優(yōu)先級(jí)，自動(dòng)的量化風(fēng)險(xiǎn)等級(jí)，真實(shí)反映企業(yè) IT 資產(chǎn)的安全風(fēng)險(xiǎn)； 2） 自動(dòng)的接近實(shí)時(shí)的持續(xù)風(fēng)險(xiǎn)等級(jí)監(jiān)控，顯示風(fēng)險(xiǎn)等級(jí)變化的原因； 3） 提供威脅關(guān)聯(lián)，例如，單擊鼠標(biāo)就可以了解網(wǎng)絡(luò)中那些計(jì)算機(jī)會(huì)被蠕蟲(chóng)病毒或黑客威脅； 4） 提供完整的安全弱點(diǎn)修補(bǔ)工作流，自動(dòng)產(chǎn)生修補(bǔ)票單（ ticket），自動(dòng)驗(yàn)證修補(bǔ)，自動(dòng)關(guān)閉票單，若沒(méi)有及時(shí)修補(bǔ)則發(fā)出報(bào)警。 5） 部署簡(jiǎn)單，由于采用軟硬件一體化的設(shè)計(jì)，部署時(shí)通過(guò) 10 分鐘的設(shè)置就可以開(kāi)始進(jìn)入正常工作模式。 6） 安全考慮：在 OS 識(shí)別和漏洞掃描時(shí)充分考慮安全性，例如， OS 識(shí)別使用 3 個(gè)標(biāo)準(zhǔn)的 RFC ICMP 數(shù)據(jù)包，而不像其他競(jìng)爭(zhēng)產(chǎn)品使用非 RFC 標(biāo)準(zhǔn)的 ICMP 數(shù)據(jù)包；又比如多子引擎掃描時(shí)，充分考慮掃描流量的負(fù)載均衡；并且將弱點(diǎn)評(píng)估的 NoIntrusive 和 Intrusive的評(píng)估方式分開(kāi)，使用戶可以根據(jù)服務(wù)器的運(yùn)行狀態(tài)選擇是否使用 Intrusive 的掃描方式。 最主要的， FoundStone 是企業(yè)級(jí)的安全弱點(diǎn)管理系統(tǒng) ，其融合了很多企業(yè)級(jí)的管理思想，比如資產(chǎn)管理、掃描任務(wù)計(jì)劃和動(dòng)態(tài)風(fēng)險(xiǎn)監(jiān)控，尤其是在安全漏洞補(bǔ)救方面引入了工作流管理系統(tǒng)，使得弱點(diǎn)的修補(bǔ)可以跟蹤、確認(rèn)和記錄，同時(shí)，在需要時(shí)，還可以集成到第三方的工作流管理體系中，如和 BMC 的 Remedy 集成等。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 33 頁(yè) 共 34 頁(yè) IntruShield 網(wǎng)絡(luò)入侵防護(hù) 的優(yōu)勢(shì) 虛擬 IPS 功能（ VIPS） 虛擬 IPS 能夠?qū)? IntruShield 探測(cè) 器劃分為多個(gè)虛擬 探測(cè) 器，這些虛擬 探測(cè) 器可以 使用不同的探測(cè)和防護(hù)策略保護(hù)不同的 VLAN、子網(wǎng)和主機(jī) （包括自定義的攻擊選擇及相關(guān)響應(yīng)措施）。 VIPS 可以根據(jù)一組 IP 地址、一個(gè)或多個(gè) VLAN 標(biāo)記來(lái)定義，也可以通過(guò) 探測(cè)器上的特定端口來(lái)定義。 IntruShield 體系結(jié)構(gòu)的虛擬 IPS 功能可以通過(guò)三種方法來(lái)實(shí)施。第一，將虛擬局域網(wǎng) (VLAN) 標(biāo)志分配給一組網(wǎng)絡(luò)資源；第二，使用無(wú)類別域內(nèi)路由 (CIDR) 標(biāo)志來(lái)保護(hù)一組 IP 地址；第三，將 IntruShield 系統(tǒng)接口專門用于保護(hù)特定部門、地區(qū)機(jī)構(gòu)或組織職能部門的網(wǎng)絡(luò)資源。 基于 CIDR 的 VIPS 實(shí)施能夠使用 /32 掩碼具體到單一主機(jī)的水平。例如，可以使用單一主機(jī)的特有策略 來(lái)識(shí)別 DoS 攻擊，并做出響應(yīng)。 實(shí)時(shí)過(guò)濾蠕蟲(chóng)病毒和 Spyware 間諜程序 在 IntruShield 的 Signature 中包含了蠕蟲(chóng)病毒、 Spyware 間諜程序、“特洛伊木馬”、后門程序的 Signature，當(dāng) IntruShield 采用 InLine 方式部署時(shí)，能過(guò)過(guò)濾掉流經(jīng) IntruShield 的這些惡意程序，而且還能過(guò)濾由蠕蟲(chóng)病毒引起的異常網(wǎng)絡(luò)力量，如 Nachi Ping 等。 而且 IntruShield 的郵件未知蠕蟲(chóng) Signature 可以探測(cè)郵件中夾帶的未知蠕蟲(chóng)病毒，并且將其丟棄，從而使得 IntruShield 可以對(duì)抗新的、將來(lái)出現(xiàn)的蠕蟲(chóng)病毒。 獨(dú)特的 DOS/DDOS 探測(cè)方式：自動(dòng)學(xué)習(xí)記憶和基于閥值的探測(cè)方式 IntruShield 綜合利用了基于閥值的 DOS/DDOS 檢測(cè)技術(shù)和獲得專利的、具有自動(dòng) 學(xué)習(xí) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 34 頁(yè) 共 34 頁(yè) 記憶功能的基于配置文件的檢測(cè)技術(shù)，從而使 DOS 拒絕服務(wù)檢測(cè)更具智能化。借助基于閥值的檢測(cè)功能，網(wǎng)絡(luò)安全管理員就能夠使用預(yù)先編寫的數(shù)據(jù)流量限制來(lái)確保服務(wù)器不會(huì)因負(fù)載過(guò)重而宕機(jī)。 自動(dòng) 學(xué)習(xí) 記憶功能使得 IntruShield 體系結(jié)構(gòu)能夠分析網(wǎng)絡(luò)使用方法和流量的模式，了解合法網(wǎng)絡(luò)操作中發(fā)生的多種合法，但不常 見(jiàn)的使用模式。 兩種技術(shù)的結(jié)合確保了對(duì)各種 DoS 攻擊的最高檢測(cè)準(zhǔn)確率 — 包括分布式拒絕服務(wù)攻擊（即惡意程序員為了進(jìn)攻企業(yè)或政府網(wǎng)絡(luò)，同時(shí)對(duì)上百個(gè)，甚至上千個(gè)服務(wù)器發(fā)起攻擊）。