McAfee终端安全
ToPs for Secure Business 技术解决方案
McAfee(中国)公司
Tel: 021-********
2013年7月9日
目录
1方案概述 (8)
2***客户信息安全现状及需求分析 (9)
2.1网络现状 (9)
2.2面临的安全威胁 (9)
2.3需求分析 (11)
3McAfee SRM整体解决方案 (14)
3.1McAfee SRM安全风险管理解决方案 (14)
3.1.1什么是安全风险 (14)
3.1.2McAfee SRM安全风险管理 (15)
3.1.3安全风险管理体系的实现 (17)
3.2McAfee SRM的实现步骤 (19)
4McAfee TOPS for Secure Business终端防护技术解决方案 (21)
4.1推荐的终端安全保护系统 (22)
4.1.1终端安全防护产品概述 (22)
4.1.2终端保护系统建立后达到的效果 (24)
4.2推荐的数据保护产品 (25)
4.2.1我们需要什么 (25)
4.2.2McAfee数据保护解决方案 (26)
4.2.3McAfee数据保护产品的具体功能 (27)
4.2.4McAfee数据保护产品的统一管理 (28)
4.3McAfee TOPS for Secure Business的部署 (29)
4.4总体管理架构 (30)
4.4.1多层次管理 (31)
4.4.2产品更新 (31)
4.4.3高可用性配置(冗余设计) (32)
4.4.4安全威胁的Lockdown和报警 (32)
4.5McAfee TOPS for Secure Business和其他安全系统的整合 (32)
4.5.1同硬件保护产品的互补性 (32)
4.5.2同信息安全管理平台的整合 (33)
4.5.3同安全风险管理工具的整合 (33)
4.5.4和第三方产品的整合 (33)
4.5.5杰出的安全风险管理整合方案 (34)
5TOPS for Secure Business解决方案特点 (35)
5.1桌面计算机及文件服务器防病毒软件McAfee VirusScan Enterprise 8.7i (35)
5.2桌面计算机及文件服务器防间谍软件McAfee Anti Spyware 8.7 (37)
5.3HIPS 7.0桌面防火墙和主机入侵防护技术特点 (38)
5.4SiteAdvisor (39)
5.5McAfee ePolicy Orchestrator 4.0 (39)
5.6McAfee NAC (45)
5.6.1McAfee NAC系统简介 (46)
5.6.2***客户McAfee NAC部署方案 (47)
5.6.3McAfee NAC的统一管理 (49)
5.7McAfee Policy Auditor及Remediation Manager (50)
5.8McAfee数据保护产品 (52)
6典型案例 (53)
6.1华东地区主要客户 (53)
6.2国外主要客户 (53)
概述
(1)关于McAfee
McAfee是全球最大的专业致力于网络信息安全和管理的厂商,也是全球最有影响力的十大网络软件公司之一。
McAfee在全球75个国家设有分支机构,4000多名雇员,授权代理商、分销商、零售商,发展增值代理(VAR),并配合系统集成商为行业客户服务。同时,在全球六大洲提供咨询(Consulting Service)、教育(Total Education Service)、产品支持(World Wide Product Support)等全面服务方案。
McAfee拥有世界权威的反病毒紧急事务响应小组(AVERT)、IntruVert入侵防护响应小组及FoundStone漏洞分析小组,提供7/24的研发和支持服务,并且2006年在中国设立了IntruShield及FoundStone研发中心, McAfee密切关注各类信息安全问题,为各种类型的组织机构提供整体的安全顾问服务,推出网上诊室,是安全研究联盟SRA的主要成员。与Cisco合作为学校培养网络人才,与Verisign和Entrust结成战略联盟提供PKIS支持,与Novell联手提供完善的全面集成的病毒防治能力的网络解决方案。McAfee具有广泛的联盟伙伴,他们是Microsoft,IBM/Tivoli,HP,Dell,Compaq,IBM GIS,IBM Lotus,Novell,PT,Seagate Sotware,Cisco System,ALOL,Worldcom,GTE等。
在中国,McAfee建立了深圳研发中心及北京研发中心,来为中国的客户提供更好更全面的技术和产品服务。
McAfee Avert作为全球效率最高、覆盖面最广的病毒响应小组,为我们的客户提供更加全面周到的病毒应急响应服务。
(2)McAfee TOPS for Secure Business安全套件
TOPS for Secure Business的组件:
I.管理平台:
ePO:通过管理控制台ePO的部署,可以管理所有的产品组件,其中包括:病
毒防护、SiteAdvisor、SCP、数据保护等;
II.终端安全产品:
?防病毒VirusScan Enterprise 8.7i:针对桌面机和文件服务器的病毒防护功能可以为您的系统中最难管理的部分- 桌面机和文件服务器提供出色的病毒防护;
?恶意程序清除产品Anti-Spyware8.7:有效检测和准确清除各类恶意程序,确保终端的绝对安全;
?HIPS7.0:整合的主机入侵保护系统和桌面防火墙,全面抵御黑客攻击行为(如SQL注入等)并且提供全面的桌面防火墙功能,管理终端的协议和端口调用,
并实现对终端程序和进程的管理;
?McAfee RSD:准确检测接入的非法计算机,并完成详细的统计报告;
?McAfee SCP:准确评估终端的漏洞状态,查看网络的补丁应用状况;
?SiteAdvisor:通过ePO进行管理和部署,嵌入用户端的浏览器,可以对用户访问的互联网站点进行安全预警,显示所访问站点的安全级别,并对客户的互联
网访问进行管理;
?McAfee NAC:全面的网络接入控制解决方案;
III.内网安全审计产品:
?Policy Auditor:终端安全审计系统,扫描和检测终端的安全状况;
IV.数据保护产品:
?基于主机的保护(产品名称:McAfee Data Loss Prevention Host)——保护公司和移动中(在家里和在路上)的终端、服务器上的数据;
?基于磁盘的加密保护——可以针对计算机的硬盘进行全面加密,就算笔记本电脑或者移动终端以外丢失,也不会造成任何的数据泄露和丢失,确保企业的核
心信息资产绝对安全;
?基于文件的加密保护——针对文件的加密模块可以根据用户的具体需求,对特
定的文件进行加密保护,防止未授权用户的访问,保护文件的机密性;(3)关于McAfee
通过McAfee TOPS for Secure Business全面终端安全解决方案,可以实现对企业系统和终端的全面防护,从威胁、资产、数据、审计等多个角度全方位的解决信息安全问题,有效帮助企业构建全面的安全体系,并且通过ePO管理平台和单一客户端程序提供统一的部署、管理、报表服务,实现管理效率的最大化和管理性能的最优化,真正帮助企业降低成本,提升安全!
1 方案概述
本方案根据***客户目前的信息安全建设状况,借助McAfee在信息安全领域的先进技术和解决方案,以动态安全风险管理为基础,提出了全面的信息安全解决方案及实施步骤。其最大的特点是:以全面的量化安全风险为基础,在系统和网络层面构建全面的安全威胁防御体系,完善健全安全措施,当安全风险等级变化时,风险管理管理系统提供详细的安全风险变化原因和补救措施,同时,调整系统和网络层面的防御策略,真正的做到全面防御,有的放矢。
风险管理的过程中,如何有效地消除威胁、降低风险是关键,因此,我们首先应该建立全面的系统和网络防御体系。而***客户本次项目的主要目的就是建立一套比较完整地安全防御体系。McAfee提供的先进的终端和网络防护产品,可以帮助***客户对抗未知的和将来出现的安全威胁,并通过和安全风险管理产品的整合,进一步完善***客户的网络安全建设。
本方案描述中涉及以下产品和解决方案:
(1)McAfee TOPS for Secure Business安全套件:包含防病毒、恶意程序清除、补丁
评估、非法计算机检测、主机入侵保护、桌面防火墙、互联网访问管理、网络接
入控制、终端安全审计、数据保护及加密等产品;
(2)McAfee风险管理解决方案:方案中会结合McAfee安全风险管理体系,介绍在***
客户现有环境下的安全体系建设方案,从而使得各个安全产品协同工作,增强网络
安全综合防御能力。
本方案基于安全风险管理解决方案,重点论述了***客户McAfee终端安全系统的建设和部署方案。
2 ***客户信息安全现状及需求分析
2.1网络现状
***客户的网络现状(示意图)如下图所示:
图2.1网络现状
和总部相连的包括多个全国分中心的网络,整体网络中包含各类服务器和客户端,总的终端数量约2000台。
2.2面临的安全威胁
?通过内部网络或者互联网远程黑客发起的攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,造成网络、应用和服务器系统瘫痪;
?蠕虫病毒通过内部网络、Email、互联网或网络文件共享等多种方式传播,植入OA 网络计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中断;
?蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP 垃圾信息,造成网络拥塞,如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒;?OA用户文件拷贝,Internet访问带来:病毒、蠕虫、间谍程序、后门程序和特洛伊木马的威胁;
?来自Internet的Spyware的威胁,很多时候Spyware带来的可能损失要比蠕虫等的威胁更大;
?通过互联网传播的病毒邮件、有害信息和垃圾邮件等;
?终端计算机非法添加硬件设备,访问互联网;
?不安全的计算机接入内部网络,带来不安全因素;
?终端安全状态的检测和排查,有效了解终端系统的应用程序状态;
?无论是黑客攻击、还是内部故意泄露,都存在多种数据泄露的风险:o物理途径——从桌面计算机、便捷计算机和服务器拷贝数据到USB,CD/DVD 和移动硬盘等移动存储介质上;通过打印机打印带出公司或者通过传真机发送,或者是硬盘及存储介质的丢失;
o网络途径——通局域网、无线网络、FTP、HTTP、HTTPS发送数据,这种方式可以是黑客攻击“穿透”计算机后造成,也可能是内部员工从计算机上发送;
o应用途径——通过电子邮件、IM即时信息、屏幕拷贝,P2P应用或者“特洛伊木马”窃取信息。
图2.2数据泄漏的三种途径
2.3需求分析
从上面我们可以看到当前***客户的计算机网络面临的各类威胁,因此,需要采取相应的措施来消除这些威胁,确保网络的安全,因此,安全需求可以归纳为以下几方面:?集中监控、重点管理的能力,防病毒管理软件对运行在Windows NT/2000/98/95/ME 以及其他平台防病毒软件的集中监控管理功能。对于关键的服务器具有实时的病毒活动参数监控方法;
?能够从多层次进行病毒防范,第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护;
?安装部署的防病毒软件能够及时阻挡来自网络的病毒入侵、实现自身的病毒检测,
最大程度的保障计算机安全;
?安装部署的防病毒软件能有效地检测、阻止用户端计算机通过移动介质(如光盘、U盘等)带来的病毒威胁;
?当用户端计算机向网络传播病毒时,防病毒软件能通过合理有效的控制措施及时进行预警、隔离,防止病毒引起的网络堵塞等情况发生。
?对所有计算机的硬件设备进行管理,禁止私自添加和使用其它硬件。
?检测和排查终端系统的安全状况。
?构建全面有效的网络接入控制系统。
?数据流失保护
o通过数据保护客户端对用户的网络行为进行检测,阻断数据泄漏行为;
o通过数据保护客户端对具体应用进行检测,阻断数据泄漏行为;
o通过客户端程序,有效的审计各类数据调用行为,并记录全部用户行为;?设备控制
o添加数据控制组件,可以对接入计算机的各类外置设备进行控制,防止机密信息通过这类外接设备发生泄漏;
o针对网络打印机、U盘等各类高危外设的使用进行审计并记录;
o一旦发现非法使用,可以第一时间阻断数据泄漏行为;
?磁盘和数据加密
o能够对移动终端和笔记本电脑的磁盘进行加密,保证移动数据终端的全面安全,就算笔记本丢失,也不会造成数据泄漏;
o能够对特定的文件进行加密和控制,并通过管理平台设定统一的管理策略,就算数据由于无意的合法行为造成泄漏,非授权用户也无法进行访问;
?统一管理服务器可制定分时、分组等灵活有效的升级策略更新终端客户端病毒库,
客户端升级情况可满足分组、统一监控,可对病毒安全事件进行审计分析。
?需要依照全网的安全策略和管理策略,部署先进高效的终端安全防护产品,并从安全风险管理的角度出发,真正有的放矢地解决信息安全问题;
?最后,***客户更需要建立一个安全风险管理体系,通过一定的基本原则和管理流程,整合好目前已经部署和使用的安全产品,真正做到对安全风险的有效管理。
3 McAfee SRM整体解决方案
3.1M cAfee SRM安全风险管理解决方案
McAfee基于国际信息安全标准,结合客户的现实,建议客户在考虑信息安全体系建设的过程中,应该首先根据自身情况,结合国际先进的安全风险管理流程,明确安全风险的三个重要方面及控制手段,有计划有步骤的加强整个信息安全体系的建设,才能达到最好的效果。
McAfee凭借在信息安全领域的丰富经验和积累,帮助客户规划和实现完整的安全风险管理(Secure Risk Management:简称SRM)解决方案,真正前瞻性的解决安全问题。3.1.1什么是安全风险
我们之所以要解决安全问题,是因为信息网络存在被病毒、黑客攻击等各类安全威胁攻击的可能性,也就是说存在安全风险,并随时可能因此给企业造成财产、时间、声誉上的损失,而根据权威机构(数据来源:Gartner)的分析,安全风险得大小主要取决于以下三个方面:
图3.1 Gartner安全风险公式
也就是说,当企业具有了信息化的核心资产(比如有很重要的数据保存在服务器上),这些资产存在弱点和漏洞(比如微软操作系统的漏洞或空口令),又存在被安全威胁攻击的
可能(比如病毒、黑客攻击等等),就会给企业造成损失。
因此,企业的安全风险和这三个方面紧密相关,也只有同时解决好这三个方面的问题,才可能真正的确保信息系统的安全。
同样,在***客户网络当中,具有重要的信息资产,并且同样面临漏洞和各类安全威胁,如果只是简单的选择和部署安全防护设备,就总是在和安全问题的较量中处于被动,我们必须拥有一整套完善的解决方案,对资产、漏洞及安全威胁进行整体的评估和控制,才能主动的面对安全问题的不断变化。
3.1.2M cAfee SRM安全风险管理
McAfee根据安全风险的特点和三个关键要素,提出了安全风险管理的方法论,其核心思想是根据企业的基础环境,全面准确的评估安全风险,并根据安全风险的状况结合系统、网络层面的安全防御手段有效抵御安全威胁,最终主动的降低整体安全风险。
(1)安全风险管理流程
McAfee SRM(Secure Risk Management)安全风险管理的方法论如下图所示:
图3.2 McAfee SRM安全风险管理
要实现对安全风险的管理和控制,需要实现完整的风险管理流程:
●发现安全风险:通过有效的手段,确定存在安全风险的资产和区域,定位安全
风险存在的区域;
●评估安全风险:准确高效的评估安全风险,了解安全风险的大小和实质;
●强制措施降低风险:通过管理或强制等安全手段,主动地降低安全风险;
●安全防御:通过各类系统、网络安全设备,防御各类安全威胁;
●修补:主动修补存在的各类漏洞,全面降低安全风险。
综上所述,通过完整的SRM流程,对安全风险实现全面的管理和控制,5个步骤缺一不可,同时,SRM风险管理流程根据企业的具体情况,可以有不同的实现方式,最终,通过McAfee SRM解决方案帮助客户:
●始终遵守确定的安全政策;
●基于风险管理,整合网内现有的安全防护产品;
●提供全面的实时防护产品更好的检测并阻止安全威胁;
●始终一致地衡量法规遵从性标准,最终帮助客户达到既定的安全目标和安全标
准。
(2)McAfee安全风险管理的详细步骤:
图3.3 McAfee动态安全风险管理方法论
——确立安全标准和方针;
2——统计信息资产;
3——整合并确认资产的商业价值;
4——检测资产存在的安全漏洞;
5——了解存在的潜在威胁;
6——分析存在的安全风险;
A——信息资产V——存在的安全漏洞T——安全威胁
7——通过安全防御茶品实时阻断安全威胁;
8——强制安全策略并应用补救措施;
9——评估安全效果和影响;
10——针对已有策略进行比对。
综上所述,传统的安全产品(防病毒、防火墙等),只是去抵御安全威胁,却忽视了对整体安全风险的考虑,而McAfee的安全风险管理体系考虑到了可能影响企业安全风险的三个关键要素,并且可以结合现有的安全产品,通过完善安全风险管理流程帮助企业实时的控制整体安全风险,真正的解决安全问题。
3.1.3安全风险管理体系的实现
依据McAfee 的安全风险管理流程,McAfee拥有先进的技术和解决方案能够帮助客户
实现全面的安全风险管理流程,其中包括:
图3.4 McAfee SRM的实现
(1)发现安全风险——McAfee FoundStone
部署在网络中发现和评估安全风险状况,并形成安全风险变化曲线,主动追踪风险控制状况。
(2)评估安全风险——McAfee FoundStone & McAfee ePO
在FoundStone评估安全风险的基础上,FoundStone还可以通过和McAfee安全管理平台ePO的整合,准确地识别终端系统信息,更加准确地评估企业安全风险。
(3)管理和强制措施——McAfee DLP & MNAC & IntruShield
●McAfee DLP:防止企业的核心数据通过各种信息渠道泄露出去,主动确保数据安
全;
●McAfee NAC:网络接入控制,让所有不安全的客户端不能接入网络;
●McAfee IntruShield:网络入侵保护,主动抵御安全威胁,并通过和McAfee NAC
整合,实现更好的网络接入控制功能。
(4)安全防护措施——McAfee TOPS & McAfee SIG & IntruShield
图3.5 McAfee的威胁防御产品及解决方案
(5)修补——McAfee Remediation Manager
主动修补信息资产存在的各类漏洞,可以和众多第三方的产品联动。
McAfee不但提供全面的安全风险管理工具,同时可以帮助企业实时扫描资产存在的安全漏洞,并通过主动的网络防护消除已知、未知和将来出现的威胁,为补救赢得时间,同时,降低企业的安全风险,如:
?网络入侵防护系统可以阻断已知攻击、未知攻击及DoS/DDoS攻击,并对异常应有和流量进行管理;
?FoundStone安全风险评估产品可以第一时间发现内部存在的漏洞,并量化安全风险等级,防患于未然;
因此,McAfee建议客户以有效控制安全风险为目标,通过先进的技术解决方案及内部管理流程,最终实现一个完善的、主动的和可以对抗未知威胁的安全风险管理整体解决方案。
3.2M cAfee SRM的实现步骤
综上所述,McAfee建议***客户根据自身情况,分析现有安全产品和措施,有计划有步
骤的完善自身的安全风险管理体系,并且制定相应的安全策略,做到有的放矢。
一般来讲,企业在构建安全风险管理体系的时候,有一个基本次序:
1)首先,构建完善的终端安全体系,因为终端安全是基础,任何安全威胁最终影
响到的都是终端系统,同时,终端面对的病毒等威胁数量最多;
2)其次,是构建完善的网络防护体系,如防火墙、入侵防护系统、垃圾邮件过滤
系统等,从网络层面第一时间抵御安全威胁,同时,还要防御各类终端难以防
御的网络攻击行为;
3)最后,当已经建立了高效的防护体系之后,需要建立全面的资产管理和风险管
理体系,整合现有的安全设备和手段,形成成熟完备的动态安全风险管理体系。
目前,***客户已经部署了终端安全防护体系,但是难以全面抵御终端的各类安全威胁;在网络层面也部署了相应的安全措施,但多数为被动的安全检测手段;由需求分析我们可以得出,现有的安全措施缺乏联系,各自为战,难以从整体上前瞻性的解决安全问题。
因此,应该首先完善安全防护体系,在此基础上,逐步实现全面的安全风险管理体系。