【正文】 兩種技術(shù)的結(jié)合確保了對(duì)各種 DoS 攻擊的最高檢測(cè)準(zhǔn)確率 — 包括分布式拒絕服務(wù)攻擊（即惡意程序員為了進(jìn)攻企業(yè)或政府網(wǎng)絡(luò)，同時(shí)對(duì)上百個(gè)，甚至上千個(gè)服務(wù)器發(fā)起攻擊）。 獨(dú)特的 DOS/DDOS 探測(cè)方式：自動(dòng)學(xué)習(xí)記憶和基于閥值的探測(cè)方式 IntruShield 綜合利用了基于閥值的 DOS/DDOS 檢測(cè)技術(shù)和獲得專利的、具有自動(dòng) 學(xué)習(xí) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 基于 CIDR 的 VIPS 實(shí)施能夠使用 /32 掩碼具體到單一主機(jī)的水平。 第 33 頁(yè) 共 34 頁(yè) IntruShield 網(wǎng)絡(luò)入侵防護(hù) 的優(yōu)勢(shì) 虛擬 IPS 功能（ VIPS） 虛擬 IPS 能夠?qū)? IntruShield 探測(cè) 器劃分為多個(gè)虛擬 探測(cè) 器，這些虛擬 探測(cè) 器可以 使用不同的探測(cè)和防護(hù)策略保護(hù)不同的 VLAN、子網(wǎng)和主機(jī) （包括自定義的攻擊選擇及相關(guān)響應(yīng)措施）。 5） 部署簡(jiǎn)單，由于采用軟硬件一體化的設(shè)計(jì)，部署時(shí)通過(guò) 10 分鐘的設(shè)置就可以開(kāi)始進(jìn)入正常工作模式。 生成 Epo 報(bào)告 每周生成一次病毒感染報(bào)告， 根據(jù)網(wǎng)絡(luò)中反饋的信息按需要生成圖形或文本匯報(bào)?，F(xiàn)在設(shè)置的是 4： 00 為保證 epo 的更新不致失敗，可以創(chuàng)建額外的一條任務(wù)，時(shí)間間隔為 45 分鐘之后 如：凌晨 4： 45 B 計(jì)劃分布式資料庫(kù)的增量復(fù)制任務(wù) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。時(shí)間間隔越短，客戶機(jī)更新越頻 繁，產(chǎn)生的網(wǎng)絡(luò)通訊量也就越多。 評(píng) 估 任 務(wù)產(chǎn) 生 弱點(diǎn) 修 補(bǔ)T i c k e t郵 件 發(fā) 送T i c k e t系 統(tǒng) 管理 員 修補(bǔ) 漏 洞期 限 內(nèi) 是 否修 補(bǔ)關(guān) 閉 修 補(bǔ)T i c k e t否是系 統(tǒng) 管理 員 接收 T i c k e t全 局 管 理 員R e m e d i a t i o n 管 理 員系 統(tǒng) 管 理 員報(bào) 警新 的 安 全弱 點(diǎn) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 在 FoundStone 中的安全漏洞修補(bǔ)通過(guò) Remediation 模塊進(jìn)行修補(bǔ)工作流管理，因此，通過(guò)該模塊，可以根據(jù)掃描發(fā)現(xiàn)的新的安全漏洞自動(dòng)產(chǎn)生漏洞修補(bǔ)票單（ Ticket），通過(guò)郵件發(fā)送給漏洞修補(bǔ)崗，漏洞修補(bǔ)崗接收到 Ticket 后，根據(jù) FoundStone 的指示 修補(bǔ)漏洞，可以人工關(guān)閉 Ticket，也可以由 FoundStone 通過(guò)掃描自動(dòng)關(guān)閉 Ticket。 弱點(diǎn)評(píng)估周期 弱點(diǎn)評(píng)估的周期不宜太頻繁，也不宜間隔太久，考慮到 XXX 的 IT 環(huán)境和系統(tǒng)復(fù)雜程度，弱點(diǎn)評(píng)估周期選擇一周。 Moderate（ 3） —— 中等優(yōu)先等級(jí)，如 OA 系統(tǒng)的桌面計(jì)算機(jī)。 。 全局管理員月底總結(jié)當(dāng)月的新漏洞和修補(bǔ)情況，向高一級(jí)的領(lǐng)導(dǎo)提交總結(jié)報(bào)表。漏洞修補(bǔ)工作人員在FoundStone 中的權(quán)限僅限通過(guò) WEB 瀏覽修補(bǔ)計(jì)算機(jī) IP、漏洞細(xì)節(jié)和修補(bǔ)方法，其只有瀏覽權(quán)限，沒(méi)有修改任何 FoundStone 策略的權(quán)限。 日常超級(jí)管理員：日常超級(jí)管理員的職責(zé)是資產(chǎn)管理、安全漏洞 指數(shù) FounScore 的監(jiān)控報(bào)表和報(bào)警管理，并且負(fù)責(zé)定期通過(guò) FoundStone 產(chǎn)生安全風(fēng)險(xiǎn)狀況、漏洞發(fā)現(xiàn)和修補(bǔ)結(jié)果報(bào)表提交安全部門主管。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 則可以管理多達(dá) 250,000 個(gè)代理 是對(duì)現(xiàn)有安全體系架構(gòu)的補(bǔ)充 HIPS 不會(huì)影響現(xiàn)有安全工具的運(yùn)行，也不需要對(duì)操作系統(tǒng)、應(yīng)用程序或數(shù)據(jù)進(jìn)行任何更改。 Web 服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器防護(hù) 服務(wù)器代理包括專門設(shè)計(jì) 用于保護(hù) Web 服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器免受諸如目錄遍歷和 SQL injection 攻擊的獨(dú)特防護(hù)功能 。 第 20 頁(yè) 共 34 頁(yè) 三層防護(hù) HIPS 為企業(yè)提供 了最強(qiáng)大的安全保護(hù)，使其免遭攻擊。 HIPS 具備強(qiáng)大的優(yōu)勢(shì)： 集成個(gè)人防火墻 /入侵防護(hù)系統(tǒng) /基于行為和簽名庫(kù)檢測(cè)等多種防護(hù)合為一體 零時(shí)間攻擊防護(hù) — McAfee HIPS 代理在沒(méi)有更新的情況下也能針對(duì)新攻擊提供零時(shí)間防護(hù)，從而大大緩解了部署補(bǔ)丁的緊迫性，使企業(yè)有足夠的時(shí)間研究、測(cè)試和部署補(bǔ)丁。 第 19 頁(yè) 共 34 頁(yè) 11）防病毒客戶端配置修改保護(hù)功能 ePO 提供客戶端鎖定 Password 保護(hù)功能，當(dāng)啟用此功能時(shí)，客戶端修改配置需要輸入Password。 9） Rouge 計(jì)算機(jī)和為保護(hù)計(jì)算機(jī)的探測(cè) 通過(guò) ePO 可以探測(cè)未 安裝防病毒軟件的計(jì)算機(jī)，同時(shí)還可以探測(cè)接入 XXX 網(wǎng)絡(luò)的外來(lái)計(jì)算機(jī)。 更新方式可以配置為定期任務(wù)更新和實(shí)時(shí)通知更新兩種方式 。 5） 實(shí)時(shí) 和 按需 掃描策略 控制 控制管理中心向您提供實(shí)時(shí)的產(chǎn)品控制。 3） 安全通信基礎(chǔ)架構(gòu) 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 ePO 安裝平臺(tái)要求： Windows 2020/2020 Server CPU： P4 /內(nèi)存 512MB /硬盤(pán) 40GB IE ePO 使用三層架構(gòu)： Manager、 Agent 和 Remote Console（客戶化的 IE），由于用戶接口 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 ? 升級(jí)更新 – 防病毒客戶端 到局域網(wǎng)上的二級(jí)防病毒管理服務(wù)器上下載更新，更新方式有任務(wù)設(shè)置定時(shí)更新和 ePO 實(shí)時(shí)更新通知兩種方式，用戶可根據(jù)需求選擇。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 15 頁(yè) 共 34 頁(yè) 下載更新，通過(guò)在 IntruShield Manager 上設(shè)置由 Manager 到 Sensor 的自動(dòng)更新計(jì)劃，對(duì) Sensor進(jìn)行自動(dòng)更新。 3） 生產(chǎn)網(wǎng)絡(luò) ：采用 IntruShield，使用 SPAN 的方式接入，探測(cè)生產(chǎn)網(wǎng)絡(luò)上的攻擊、掃描、蠕蟲(chóng)、間諜程序和異常流量。 FS1000 每天自動(dòng)從 McAfee 網(wǎng)站，通過(guò) SSL 加密下載更新， 包括 OS 系統(tǒng)的補(bǔ)丁。 McAfee Policy Enforcer（簡(jiǎn)稱 MPE） ： MPE 是 McAfee 的網(wǎng)絡(luò)訪問(wèn)控制產(chǎn)品，它的目的是為了確保連接到公司網(wǎng)絡(luò)的計(jì)算機(jī)沒(méi)有威脅存在，從而確保企業(yè)的網(wǎng)絡(luò)安全。 第 12 頁(yè) 共 34 頁(yè) McAfee Host Intrusion Prevention （簡(jiǎn)稱 HIPS ） ： 部署在 被 防護(hù)的計(jì)算機(jī)上，通過(guò)主機(jī) 防火墻進(jìn)行網(wǎng)絡(luò)控制 ，提供在 OS 系統(tǒng)和核心上的附加層 截獲所有 IO、 RPC 請(qǐng)求和API 調(diào)用，使用 攻擊簽名探測(cè) 、 異常探測(cè) 和的方法探測(cè)黑 客 攻擊 ，并且實(shí)時(shí)阻止黑客攻擊 。 方案中采用的產(chǎn)品 安全風(fēng)險(xiǎn) 管理系統(tǒng)： McAfee FS1000 網(wǎng)絡(luò)入侵探測(cè)防護(hù)系統(tǒng)： McAfee IntruShield 主機(jī)入侵防護(hù)： McAfee Host Intrusion Prevention 計(jì)算機(jī)病毒防護(hù)： McAfee VirusScan Enterprise 8i 網(wǎng)絡(luò)訪問(wèn)控制： McAfee Policy Enforcer McAfee FS1000：軟硬一體化的設(shè)備，硬件使用 DELL 1U 1865 機(jī)架服務(wù)器， OS 使用為Windows 2020 Server 或者 Windows 2020 Server， OS 系統(tǒng)已經(jīng)安照美國(guó)國(guó)家安全局 Windows 2020 Server 或者 2020 Server 安全加固指南加固，所以設(shè)備和以通自身具有安全性，并且 OS系統(tǒng)的補(bǔ)丁通過(guò) McAfee 的 SUS 系統(tǒng)更新 。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 10） 監(jiān)控生產(chǎn)網(wǎng)絡(luò)上的 Spyware 間諜程序活動(dòng)。 c） 生產(chǎn)網(wǎng)上的蠕蟲(chóng)病毒 ，造成 網(wǎng)絡(luò) 癱瘓， 甚至 導(dǎo)致 生產(chǎn) 中斷； d） 來(lái)自 管理 網(wǎng)絡(luò) 內(nèi)部 人員 的惡意攻擊 和破壞 ， 由于這些人員在 OA 網(wǎng)絡(luò)上有自己的計(jì)算機(jī)，他們可以通過(guò)網(wǎng)絡(luò)掃描或者社會(huì)工程的方法，獲得哪些計(jì)算機(jī)可以訪問(wèn)生產(chǎn) 網(wǎng) ， 然后通過(guò) IP Spoofing 訪問(wèn)生產(chǎn)網(wǎng)， 造成 生產(chǎn)網(wǎng) 數(shù)據(jù)破壞或被竊取， 甚至造成業(yè)務(wù)中斷。 e） 管理網(wǎng) 用戶文件拷貝， Inter 訪問(wèn)帶來(lái)：病毒、蠕蟲(chóng)、間諜程序、后門程序和特洛伊木馬的威脅 f）來(lái)自 Inter 的 Spyware 的威脅 ，對(duì)于 XXX 系統(tǒng)來(lái)說(shuō)，很多時(shí)候 Spyware 帶來(lái)的可能損失要比蠕蟲(chóng)等的威脅更大。 第 6 頁(yè) 共 34 頁(yè) 2 現(xiàn)狀和需求分析 現(xiàn)狀和面臨的安全威脅 XXX 網(wǎng)絡(luò) 架構(gòu)如下圖所示 ： …… 插入用戶的拓?fù)鋱D …… 由圖中可以看出， XXX 的 網(wǎng)絡(luò) 由 X 個(gè)部分組成 ： XXX 網(wǎng) A、 XXX 網(wǎng) B 和 XXX 網(wǎng) C。 McAfee Host Intrusion Prevention： McAfee 主機(jī)入侵防護(hù)，提供桌面計(jì)算機(jī)和關(guān)鍵服務(wù)器的主動(dòng)防護(hù)，對(duì)抗黑客攻擊、異常操作和信息竊取，并且在沒(méi)有安裝安全補(bǔ)丁的情況下保護(hù)計(jì)算機(jī)不受 ZderoDay 的威脅攻擊 . McAfee VirusScan Enterprise 8i：主面計(jì)算機(jī)和服務(wù)器上的防病毒系統(tǒng)。 在風(fēng)險(xiǎn)管理過(guò)程中，在消除威脅、降低風(fēng)險(xiǎn)的過(guò)程中， McAfee 提供了主動(dòng)的系統(tǒng)防護(hù)和主動(dòng)的網(wǎng)絡(luò)防護(hù)系統(tǒng)，幫助用戶對(duì)抗未知的和將來(lái)出現(xiàn)的威脅，包括通過(guò)使用 McAfee VirusScan Enterprise 8i 進(jìn)行主動(dòng)的病 毒防護(hù)，不需要蠕蟲(chóng)病毒簽名，就可以阻擋未知的和將來(lái)出現(xiàn)的蠕蟲(chóng)病毒。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 XXX 網(wǎng)絡(luò) 安全方案 McAfee 公司廣州 辦事處 Tel: 020388606681062 2020 年 11 月 17 日 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 3 頁(yè) 共 34 頁(yè) 目 錄 1 方案概述 ................................................................................................................... 5 2 現(xiàn)狀和需求分析 ........................................................................................................ 6 現(xiàn)狀和面臨的安全威脅 ..............................................