XXX网络安全解决方案.doc

XXX网络安全方案 McAfee公司广州办事处 Tel: 0201062 2006年4月6日 文档说明 非常感谢XXX给予McAfee公司机会参与《XXX网络安全》项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。 需要指出的是，本文档所涉及到的文字、图表等，仅限于McAfee公司和XXX内部使用，未经McAfee公司书面许可，请勿扩散到第三方。 目 录 1 方案概述 5 2 现状和需求分析 6 2.1 现状和面临的安全威胁 6 2.2 需求分析 8 3 McAfee建议方案 10 3.1 方案设计原则 10 3.2 方案描述 10 3.3 方案中采用的产品 12 3.4 部署方案 13 3.4.1 FS1000的部署 13 3.4.2 McAfee IntruShield网络入侵防护的部署 14 3.4.3 防病毒系统的部署 16 3.4.3.1 网络防病毒客户端的部署 16 3.4.3.2 防病毒管理服务器的部署 17 3.5 主机入侵防护(HIPS)的部署 20 3.6 网络访问控制系统（MPE）的部署 20 4 安全管理 22 4.1 管理角色 22 4.2 日常管理流程 23 4.3 管理组织架构的划分 24 4.4 资产管理 24 4.5 弱点评估周期 25 4.6 FoundScore和Risk Level 25 4.7 修补工作流 25 4.8 防病毒管理 27 4.8.1 配置epo agent和ePo服务器的通讯间隔 27 4.8.2 实时扫描策略 27 4.8.3 配置自动更新 28 4.8.4 计划手动扫描 29 4.8.5 病毒警报 29 4.8.6 生成Epo报告 29 5 方案优势 31 5.1 FS1000安全风险管理的优势 31 5.2 IntruShield网络入侵防护的优势 32 5.2.1 虚拟IPS功能（VIPS） 32 5.2.2 实时过滤蠕虫病毒和Spyware间谍程序 32 5.2.3 独特的DOS/DDOS探测方式：自动学习记忆和基于阀值的探测方式 32 方案概述 本方案为McAfee提供的业界领先的以动态安全风险监控为基础的安全管理方案，其最大的特点是：以自动的量化安全风险等级监控为基础，当安全风险等级变化时， FoundStone风险管理系统提供详细的安全风险变化原因和补救措施，同时，FoundStone风险管理系统将自动由造成风险等级升高的弱点生成修补问题票单，通过电子邮件自动发送给预先定义好的相关管理员，并且自动跟踪该管理员的弱点修补过程，若管理员在规定的时间内修补完成，FoundStone则自动验证和关闭该弱点修补问题票单，否则发送报警。 在风险管理过程中，在消除威胁、降低风险的过程中，McAfee提供了主动的系统防护和主动的网络防护系统，帮助用户对抗未知的和将来出现的威胁，包括通过使用McAfee VirusScan Enterprise 8i进行主动的病毒防护，不需要蠕虫病毒签名，就可以阻挡未知的和将来出现的蠕虫病毒。另外就是通过McAfee Policy Enforcer对不遵守XXX安全策略的计算机进行策略强制，在这些计算机连到网络时隔离这些计算机，进行补救符合XXX安全策略后，才允许他们访问网络。 本方案涉及以下产品： McAfee FoundStone FS1000：软硬一体化的安全弱点管理和安全风险监控系统。 McAfee IntruShield：基于ASIC的硬件的网络入侵防护系统，实时阻止黑客攻击、蠕虫病毒、间谍程序和DOS/DDOS攻击。 McAfee Host Intrusion Prevention：McAfee主机入侵防护，提供桌面计算机和关键服务器的主动防护，对抗黑客攻击、异常操作和信息窃取，并且在没有安装安全补丁的情况下保护计算机不受Zdero-Day的威胁攻击. McAfee VirusScan Enterprise 8i：主面计算机和服务器上的防病毒系统。 McAfee Policy Enforcer：根据计算机是否遵守企业安全策略来进行网络访问控制的系统。 本方案论述了建设XXX完整网络安全系统所应包含的各个方面，XXX可以根据自身的信息系统建设进度分阶段实施。 现状和需求分析 现状和面临的安全威胁 XXX网络架构如下图所示： ……插入用户的拓扑图…… 由图中可以看出，XXX的网络由X 个部分组成：XXX网A、XXX网B和XXX网C。这三个网都间接或直接和集团网络互联区连接，最终连接到Internet。 从网络结构来看，面临的外部威胁包括： a） 黑客的攻击入侵，造成信息泄露，或者破坏网络、应用和服务器系统，造成网络、应用和服务器系统瘫痪； b） 蠕虫病毒通过网络、Email和