【正文】 理多達(dá) 10,000 個(gè)代理；而通過(guò) McAfee ePolicy Orchestrator174。 桌面機(jī)應(yīng)用程序防護(hù) 桌面機(jī)代理的獨(dú)特防護(hù)功能在于，它能防止常見(jiàn)的利用 Inter Explorer 和 Microsoft Outlook 這樣的應(yīng)用程序發(fā)起的攻擊 可自定義的策略模板 HIPS 包含了經(jīng)全面配置的默認(rèn)模板集，便于用戶(hù)快速部署 HIPS 產(chǎn)品。 應(yīng)用程序防護(hù) 可保護(hù)應(yīng)用程序及其數(shù)據(jù)免受攻擊，同時(shí)還可以防止利用應(yīng)用程序來(lái)攻擊其他應(yīng)用程序，即使這種攻擊是由具有 管理權(quán)限的用戶(hù)發(fā)起的?；顒?dòng)規(guī)則可以攔截零時(shí)間攻擊并強(qiáng)制規(guī)定操作系統(tǒng)和應(yīng)用程序的合法活動(dòng)；簽名可以攔截各種已知攻擊，使管理員能夠充分了解他們所面臨的威脅；系統(tǒng)防火墻可以確保對(duì)應(yīng)用程序和系統(tǒng)的訪問(wèn)符合規(guī)定的策略。 降低總擁有成本 — HIPS 通過(guò)緩解部署補(bǔ)丁的緊迫性，最大限度地節(jié)約部署和維護(hù)防護(hù)措施所需的資源，從而降低總擁有成本 確保業(yè)務(wù)的可用性和數(shù)據(jù)的機(jī)密性 — 預(yù)配置和可自定義的策略能夠確保在任何環(huán)境中檢測(cè)攻擊時(shí)都能實(shí)現(xiàn)最大的準(zhǔn)確性，使企業(yè)能保護(hù)關(guān)鍵系統(tǒng)和數(shù)據(jù)，滿(mǎn)足規(guī)定要求 . HIPS 提供以下 產(chǎn)品功能 ： 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 降低風(fēng)險(xiǎn) — 三項(xiàng)互為補(bǔ)充的攻擊防護(hù)技術(shù)：活動(dòng)規(guī)則、攻擊簽名和系統(tǒng)防火墻，使 HIPS 能夠在各種威 脅觸及關(guān)鍵系統(tǒng)和數(shù)據(jù)之前搶先對(duì)其進(jìn)行攔截，而不僅僅是在攻擊發(fā)生之后采取簡(jiǎn)單的檢測(cè)措施 。 缺省的 HIPS 策略即可進(jìn)行主機(jī)安全防護(hù)。 主機(jī)入侵防護(hù) (HIPS)的部署 主機(jī)入侵防護(hù)系統(tǒng)主要部署在管理網(wǎng)的桌面計(jì)算機(jī)上，通過(guò) ePO 進(jìn)行自動(dòng)分發(fā)到管理網(wǎng)的主面計(jì)算機(jī)。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 10） 集中式日志報(bào)告 使用全面的日志可以得到對(duì)防毒和內(nèi)容安全網(wǎng)絡(luò)性能的一個(gè)概覽。 8）微軟安全漏洞檢測(cè)和補(bǔ)丁安裝狀態(tài)檢測(cè) 通過(guò) ePO 檢測(cè) Windows 平臺(tái)計(jì)算機(jī)的安全漏洞和微軟安全補(bǔ)丁安裝狀態(tài)，同時(shí)提供詳細(xì)的報(bào)表。 7） 集中式配置 集中式配置使您可以從一個(gè)單一控制臺(tái)協(xié)調(diào)病毒響應(yīng)和安全措施。 6） 集中式更新控制 集中式更新 策略 規(guī)則、病毒碼和掃描引擎文件，可以確保所有被管理的 防病毒客戶(hù)端 都使用最新的組件。在控制臺(tái)上做出的配置更改會(huì)立即發(fā)送到產(chǎn)品，甚至可以從控制臺(tái)上運(yùn)行手動(dòng)掃描。 4） 管理權(quán)限 管理權(quán)限分成全局、部分的管理域，在不同域上有不同用戶(hù)權(quán)限 。 第 18 頁(yè) 共 34 頁(yè) 控制管理中心使用一種新的通信基礎(chǔ)架構(gòu) — 建立在安全套接層 (SSL) 協(xié)議上。 2）病毒爆發(fā)通知功能 ePO 能夠根據(jù)設(shè)定的閾值自動(dòng)發(fā)出病毒爆發(fā)通知。 第 17 頁(yè) 共 34 頁(yè) 基于 web 方式，因此更適合遠(yuǎn)程管理。 整個(gè) XXX 的防病毒管理分成兩級(jí)， 中心 部署一臺(tái)中心防病毒服務(wù)器，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中各種平臺(tái)上的防病毒客戶(hù)端的集中管理，包括自動(dòng)升級(jí)更新管理、策略管理、報(bào)表管理、報(bào)警管理和病毒爆發(fā)響應(yīng)管理； 在下屬機(jī)構(gòu)部署 設(shè) 立 防病毒分 管理中心， 對(duì) 轄內(nèi)的計(jì)算機(jī)進(jìn)行防病毒管理，包括升級(jí)策略管理、防病毒策略管理、報(bào)表管理、報(bào)警管理 和病毒爆發(fā)響應(yīng)管理。 安裝防病毒客戶(hù)端時(shí)，可以在計(jì)算機(jī)客戶(hù)端上部署防病毒管理服務(wù)器 ePO 的 Agent，然后通過(guò)防病毒管理服務(wù)器進(jìn)行自動(dòng)分發(fā)部署。策略管理都通過(guò)連接在本地局域網(wǎng)上的二級(jí) EPO 防病毒服務(wù)器 ? 報(bào)警集中發(fā)送到 ePO – 由防病毒管理服務(wù)器進(jìn)行統(tǒng)一的報(bào)警和日志管理。 第 16 頁(yè) 共 34 頁(yè) ? McAfee 內(nèi)存 掃描技術(shù) – 屢獲殊榮的 McAfee 掃描引擎通過(guò)對(duì)內(nèi)存的掃描來(lái)攔截那些不會(huì)將代碼寫(xiě)入磁盤(pán)的病毒（如 Netsky 和 CodeRed) 所帶來(lái)的威脅。 ? 病毒突發(fā)期間的 策略 – 先進(jìn)的病毒爆發(fā)響應(yīng)功能可在 DAT 文件出現(xiàn)之前就關(guān)閉漏洞口，通過(guò)阻塞病毒入口和防止突發(fā)病毒蔓延的方法將損失限制在最低限度；文件、文件夾鎖定功能阻止病毒進(jìn)入計(jì)算機(jī)。 防病毒系統(tǒng)的部署 網(wǎng)絡(luò) 防病毒客戶(hù)端的部署 防病毒客戶(hù)端部署： 平臺(tái) 安裝客戶(hù)端版本 Windows NT Windows 2020 Windows 2020 Server McAfee VirusScan Enterprise Windows XP Windows 2020 Professional McAfee VirusScan Enterprise Unix/Linux 服務(wù)器 McAfee VirusScan Command Line 策略： ? 開(kāi)啟 集成的防火墻與 HIPS 技術(shù) – 防火墻與入侵防護(hù)技術(shù)的集成使 VirusScan 具有最大限度的前瞻性防護(hù)功能，包括 Block 蠕蟲(chóng)病毒發(fā)送異常流量的端口和不需新病毒 Signature 就可以阻止利用應(yīng)用 Buffer Overflow 漏洞的蠕蟲(chóng)病毒。 IntruShield Manager 自動(dòng)從 Inter 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 部署在 寶鋼 Inter 邊界、網(wǎng) A和 網(wǎng) B的 IntruShield Sensor 由 安裝在 管理 網(wǎng)的 IntruShield Manager 進(jìn)行統(tǒng)一管理。 2） 管理 網(wǎng)絡(luò) ： 采用 IntruShield，使用 SPAN 的方式接入，探測(cè) 管理 網(wǎng)絡(luò)上的攻擊、掃描、蠕蟲(chóng)、間諜程序和異常流量 ，監(jiān)控對(duì)生產(chǎn)網(wǎng)防火墻的掃描、攻擊等。 McAfee IntruShield 網(wǎng)絡(luò)入侵防護(hù)的部署 McAfee IntruShield 的部署如下圖所示： 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 13 頁(yè) 共 34 頁(yè) FS10 00 部署生產(chǎn)網(wǎng)管理網(wǎng)寶鋼 /I nt e rne tFo u n d S to n eFS1 0 0 0Rem o teS ca n E n g ine此為案例，需要用戶(hù)提供拓?fù)浜?，再放置在合理的位? FS1000 設(shè)備部署在 XXX 管理 網(wǎng) 絡(luò) ，通過(guò)服務(wù)器的 LAN 1 端口連接到 OA 網(wǎng)接入交換機(jī)上 ，在 生產(chǎn) 網(wǎng)絡(luò)部署 Remote Scan Engine，通過(guò) SOAP 和 SSL 加密連接 到 OA 網(wǎng)上的FS1000，由 FS1000 進(jìn)行統(tǒng)一管理，用戶(hù)管理通過(guò) 在 OA 網(wǎng)絡(luò)上，通過(guò)訪問(wèn) FS1000 的 Web門(mén)戶(hù) 進(jìn)行管理。所以，MPE 會(huì)在計(jì)算機(jī)連接到網(wǎng)絡(luò)是掃描評(píng)估計(jì)算機(jī)是否存在病毒、蠕蟲(chóng)、是否存在被致命威脅利用的安全漏洞，是否違反企業(yè)的安全策略，一旦發(fā)現(xiàn)計(jì)算機(jī)存在威脅或者違反了企業(yè)安全策略， MPE 機(jī)通過(guò)局域網(wǎng)交換機(jī)隔離 該計(jì)算機(jī)，然后，通過(guò)單鍵點(diǎn)擊修補(bǔ)該計(jì)算機(jī)，經(jīng)重新評(píng)估計(jì)算機(jī)符合了企業(yè)安全策略后，才允許該計(jì)算機(jī)訪問(wèn)企業(yè)網(wǎng)絡(luò)資源。 VSE 8i 通過(guò)免費(fèi)的 Mc Afee ePolicy Orchestrator （簡(jiǎn)稱(chēng) ePO）進(jìn)行集中管理，包括分發(fā)、自動(dòng)更新、報(bào)警、通知和報(bào)表管理，同時(shí)， ePO 可以探測(cè)為首防病毒軟件保護(hù)的計(jì)算機(jī)，然后發(fā)出警報(bào)。HIPS 給主機(jī)提供了附加保護(hù)層，因此，即使不安裝安全漏洞補(bǔ)丁計(jì)算機(jī)也是安全的，從而為安裝計(jì)算安全補(bǔ)丁贏得了時(shí)間， 同時(shí)也提供了主動(dòng)的安全防護(hù)手段。 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。在 FS1000 種安裝了最新版本的 FoundStone Enterprise 最新版本的軟件，其有四部分組成： Manager、掃描引擎、數(shù)據(jù)庫(kù)和用戶(hù) Web 門(mén)戶(hù)，在整個(gè)安全管理方案中起核心作用 ，進(jìn)行風(fēng)險(xiǎn)監(jiān)控、安全弱點(diǎn)管理、 IT 資產(chǎn)管理、威脅管理、安全弱點(diǎn)修補(bǔ)工作流管理和向入侵防護(hù)系統(tǒng)提供 網(wǎng)絡(luò) 中存在的弱點(diǎn) 和威脅信息。 所以， McAfee 提供的安全方案是一個(gè)完善的、主動(dòng)的和可以對(duì)抗未知威脅，以及將來(lái)的威脅的 解決方案。 第 10 頁(yè) 共 34 頁(yè) 通過(guò)證明過(guò)的度量和基準(zhǔn)去察看策略的遵守執(zhí)行技術(shù)和流程標(biāo)準(zhǔn)主動(dòng)、自動(dòng)地阻止和過(guò)濾攻擊，計(jì)劃和實(shí)施補(bǔ)救策略量化風(fēng)險(xiǎn)監(jiān)控R = A x V x TR = C x C x C將有限的資源用于關(guān)鍵資產(chǎn)資產(chǎn)管理 風(fēng)險(xiǎn)監(jiān)控防護(hù)策略強(qiáng)制網(wǎng)絡(luò)防護(hù)系統(tǒng)防護(hù)安全風(fēng)險(xiǎn)管理 方案以安全監(jiān)控為核心， 接近實(shí)時(shí)監(jiān)控 XXX 網(wǎng) A、 XXX 網(wǎng) B 和 XXX 網(wǎng) C 的安全風(fēng)險(xiǎn)等級(jí)，當(dāng)發(fā)現(xiàn)安全風(fēng)險(xiǎn)等級(jí)變化時(shí)，安全風(fēng)險(xiǎn)管理系統(tǒng)自動(dòng)進(jìn)行： 1）提供安全風(fēng)險(xiǎn)等級(jí)變化的原因 2）提供詳細(xì)的補(bǔ)救方案 3）自動(dòng)產(chǎn)生補(bǔ)救工作流問(wèn)題票單，跟 蹤整個(gè)補(bǔ)救過(guò)程 4）自動(dòng)驗(yàn)證補(bǔ)救效果 同時(shí)，主動(dòng) 的 網(wǎng)絡(luò)防護(hù)和系統(tǒng)防護(hù)系統(tǒng)消除 已知、未知和將來(lái)出現(xiàn)的威脅，為補(bǔ)救贏得時(shí)間 ，同時(shí)，降低 XXX 的安全風(fēng)險(xiǎn) ： 1）主機(jī)入侵防護(hù)系統(tǒng) HIPS 可以在不需要補(bǔ)丁的情況下確保 95%的針對(duì)微軟漏洞的威脅不起作用； 2）網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)可以阻斷 郵件中傳遞的未知的蠕蟲(chóng)病毒 （ 90%的蠕蟲(chóng)病毒是通過(guò)郵 本文檔僅限 McAfee 公司和被呈送方內(nèi)部使用，未經(jīng)許可，請(qǐng)勿擴(kuò)散到第三方。 第 9 頁(yè) 共 34 頁(yè) 3 McAfee 建議 方案 方案設(shè)計(jì)原則 方案首先 要考 慮的是安全性，其次要考慮安全設(shè)備、系統(tǒng)的可靠性和可用性，因此， 方案設(shè)計(jì) 依據(jù)以下原則： 1） 方案 設(shè)計(jì)始終考慮 業(yè)務(wù)安全需求和投資的平衡 ； 2） 建議的方案設(shè)施后不會(huì)影響 XXX 現(xiàn)有 網(wǎng)絡(luò) 的安全性，不會(huì)降低現(xiàn)有系統(tǒng)的可靠性和可用性 ，不影響現(xiàn)有系統(tǒng)和網(wǎng)絡(luò)的性能 ； 3） 入侵防護(hù)設(shè)備 探測(cè)準(zhǔn)確：不會(huì)出現(xiàn)誤報(bào)和漏報(bào) 4） 可靠性：確保網(wǎng)絡(luò)不會(huì)因?yàn)樵O(shè)備故障而造成中斷 5） 方案實(shí)施后，不能影響網(wǎng)絡(luò)和計(jì)算機(jī) 性能 6） 在不增加現(xiàn)有工作量的基礎(chǔ)上，能夠提升安全管理工作的效率 方案描述 McAfee 建議的 XXX 網(wǎng)絡(luò) 安全方案由以下幾方面組成： 核心：安全風(fēng)險(xiǎn)管理 系統(tǒng)； 主動(dòng)的網(wǎng)絡(luò)防護(hù)：網(wǎng)絡(luò)入侵探測(cè)防護(hù)系統(tǒng)； 系統(tǒng)防護(hù)：企業(yè)計(jì)算機(jī)防病毒系統(tǒng)和主機(jī)入侵防護(hù)系統(tǒng) 網(wǎng)絡(luò)訪問(wèn)控制：安全策略違規(guī)檢測(cè)和策略強(qiáng)制。 11） 管理網(wǎng)上的威脅會(huì)影響到生產(chǎn)網(wǎng)，所以管理網(wǎng)必須有有效的網(wǎng)絡(luò)訪問(wèn)控制，以確保感染了病毒的計(jì)算機(jī)、有威脅的計(jì)算機(jī)能夠被有效的隔離。 第 8 頁(yè) 共 34 頁(yè) 1） 首先，最重要的是能夠 發(fā)現(xiàn) 網(wǎng)絡(luò) 中的安全風(fēng)險(xiǎn) ，其次通過(guò)量化的安全風(fēng)險(xiǎn)監(jiān)控及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)的變化和了解安全風(fēng)險(xiǎn)變化的原因； 2） 及時(shí)識(shí)別 網(wǎng)絡(luò) 中的安全弱點(diǎn)，并且獲得具體的安全弱點(diǎn)的修補(bǔ)建議，并且能夠跟蹤修補(bǔ)過(guò)程、驗(yàn)證修補(bǔ)結(jié)果，以便及時(shí)了解弱點(diǎn)是不是真正被消除； 3） 發(fā)現(xiàn)的新的弱點(diǎn) 和新的威脅時(shí)，能夠有手段在 Inter 入口