McAfee信息安全技術(shù)解決方案

方正證券

McAfee信息安全技術(shù)解決方案

McAfee（中國）公司

Tel:021-

2020年7月12日

目錄

1方案概述....................................................................6

2安全需求分析................................................................8

2.1存在的安全風(fēng)險......................................................8

2.1.1系統(tǒng)終端面臨的安全威脅..........................................8

2.1.2網(wǎng)絡(luò)上存在的安全威脅............................................9

2.1.3現(xiàn)有安全產(chǎn)品的不足..............................................9

2.1.4安全管理問題...................................................10

2.2需求分析...........................................................10

2.2.1在系統(tǒng)層面.....................................................10

2.2.2在網(wǎng)絡(luò)層面.....................................................11

2.2.3整體解決方案...................................................11

3McAfeeSRM整體解決方案...................................................12

3.1方案設(shè)計原則........................................................12

3.2McAfeeSRM安全風(fēng)險管理解決方案...................................12

3.2.1什么是安全風(fēng)險.................................................12

3.2.2McAfeeSRM安全風(fēng)險管理.......................................13

3.2.3安全風(fēng)險管理體系的實現(xiàn).........................................16

3.3McAfeeSRM的實現(xiàn)..................................................18

3.3.1McAfeeSRM部署步驟...........................................18

3.3.2McAfeeSRM部署的產(chǎn)品..........................................18

4McAfeeTOPS及MNAC的部署................................................20

4.1McAfeeTOPS的部署.................................................20

4.1.1ePO的部署.....................................................20

4.1.2防病毒客戶端VSE8.5i及Anti-Spyware8.5的部署.....................22

4.1.3McAfeeHIPS7.0的部署...........................................22

4.1.4SiteAdvisor的部署................................................24

4.1.5部署架構(gòu)圖.....................................................24

4.2MNAC的部署.......................................................25

4.3部署后的維護(hù)建議...................................................28

4.3.1制定嚴(yán)格的病毒防治規(guī)范.........................................29

4.3.2建立快速、有效的病毒應(yīng)急體系...................................30

4.3.3加強(qiáng)計算機(jī)安全培訓(xùn).............................................30

4.3.4建立動態(tài)的系統(tǒng)風(fēng)險評估措施....................................30

4.3.5建立病毒事故分析制度...........................................31

4.3.6確?；謴?fù)，減少損失.............................................31

4.3.7力口強(qiáng)技術(shù)防范措施...............................................31

5McAfeeIntruShield的部署......................................................33

5.1.1McAfeeIntruShield系統(tǒng)功能.......................................33

5.1.2方正證券IntruShield部署方案.....................................35

5.1.3IntruShield產(chǎn)品系列..............................................37

6方案優(yōu)勢....................................................................38

6.1TOPS產(chǎn)品特點......................................................38

6.1.1TOPS集中管理服務(wù)器ePO............................................................................................38

6.1.2McAfeeVirusScanEnterprise8.5i.....................................................................................40

6.1.3主機(jī)入侵防護(hù)HIPS7.0.....................................................................................................45

6.1.4MNAC(McAfeeNetworkAccessControl)............................................................47

6.2IntruShield產(chǎn)品優(yōu)勢..................................................49

6.2.1檢測及防御功能.................................................49

6.2.1.1網(wǎng)絡(luò)攻擊特征檢測.......................................49

6.2.1.2異常檢測...............................................50

6.2.1.3DoS/DDoS攻擊防御....................................51

6.2.1.4入侵防護(hù)功能...........................................51

6.2.2實時過濾蠕蟲病毒和Spyware間諜程序.............................53

6.2.3虛擬IPS...................................................................................................................................54

6.2.4靈活的部署方式.................................................54

6.2.5具備風(fēng)險識別的入侵防御.........................................56

6.2.6內(nèi)置Web安全保護(hù)...............................................57

6.2.7永遠(yuǎn)在線的管理平臺.............................................57

6.2.8SSL加密攻擊檢測...............................................58

6.2.9領(lǐng)先的虛擬內(nèi)部防火墻...........................................58

6.2.10McAfeeIntruShield所獲最新國際獎項..............................59

7華東地區(qū)金融證券典型案例...................................................60

7.1上海交通銀行.......................................................60

7.2上海浦發(fā)銀行.......................................................64

7.3上海證券交易所.....................................................66

7.4最新案例——上海銀聯(lián)68

1方案概述

McAfee作為全球最大的專業(yè)安全廠商，為全球100多個國家提供業(yè)界領(lǐng)先的基于動態(tài)

安全風(fēng)險管理的安全整體解決方案，其最大的特點是：以安全風(fēng)險的控制為基礎(chǔ)，實時地了

解安全風(fēng)險變化的原因，并且結(jié)合先進(jìn)的系統(tǒng)防御和網(wǎng)絡(luò)防御解決方案，幫助客戶及時消除

各類安全威脅，建設(shè)主動的防御體系和完善的風(fēng)險管理流程。

本方案主要以McAfeeSRM(SecureRiskManagement)風(fēng)險管理解決方案為基礎(chǔ)，同時

根據(jù)中國金融和證券行業(yè)的具體情況，結(jié)合系統(tǒng)安全和網(wǎng)絡(luò)安全解決方案，實現(xiàn)動態(tài)的安全

風(fēng)險管理并構(gòu)架多層次主動的威脅防御體系。

在信息安全系統(tǒng)的建設(shè)過程中，需要遵循一定的規(guī)律，同時，也需要考慮到各個信息安

全產(chǎn)品之間的整合和聯(lián)動，一個完善的解決方案應(yīng)該涉及到系統(tǒng)安全和網(wǎng)絡(luò)安全的方方面

面，同時將多種安全手段結(jié)合起來，以實現(xiàn)更好的效果。

McAfeeSRM整體解決方案正是業(yè)內(nèi)領(lǐng)先的基于安全風(fēng)險管理的綜合性信息安全解決方

案，通過如下解決方案，實現(xiàn)對方正證券網(wǎng)絡(luò)的全面保護(hù)：

系統(tǒng)防御解決方案一McAfeeTOPS解決方案：

?McAfeeVirusScan8.5i(網(wǎng)絡(luò)防病毒產(chǎn)品)：全球領(lǐng)先的網(wǎng)絡(luò)防病毒解決方案，提

供頂級的病毒庫和掃描引擎，能夠幫助客戶抵御針對系統(tǒng)的病毒威脅，同時加

入了防火墻、入侵防護(hù)及防惡意程序功能，為系統(tǒng)提供全面的病毒防護(hù)功能。

?McAfeeAnti-Spyware8.5：McAfeeAnti-Spyware產(chǎn)品專門針對不斷出現(xiàn)的后門程

序、間諜軟件及惡意程序問題，有效保護(hù)系統(tǒng)不被惡意程序感染和危害。

?McAfeeHIPS7.0(HIPS):強(qiáng)大主機(jī)入侵防護(hù)產(chǎn)品(整合了桌面防火墻功能)，

防護(hù)針對主機(jī)系統(tǒng)的各類攻擊行為，同時，能夠提供強(qiáng)大的管理功能和桌面防

火墻功能，并對USB端口進(jìn)行控制。

?McAfeeNAC(NetworkAccessControl)：提供全面的網(wǎng)絡(luò)接入控制功能，能夠?qū)?/p>

接入網(wǎng)絡(luò)的各類終端進(jìn)行安全評估并采取不同的控制動作。

?McAfeeePO4.0(McAfee統(tǒng)一的安全管理平臺)：為所有的McAfee系統(tǒng)防護(hù)產(chǎn)

品及McAfeeSCM提供統(tǒng)一的部署、管理、策略控制及報表功能，也會和網(wǎng)絡(luò)

防護(hù)產(chǎn)品實現(xiàn)完全整合。是McAfee的綜合安全管理平臺。

網(wǎng)絡(luò)防御解決方案：

?McAfeeIntruShield（IPS設(shè)備）：基于ASIC的硬件的網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)，實時阻

止黑客攻擊、蠕蟲病毒、間諜程序及DOS/DDOS攻擊，并實現(xiàn)整合性的邊界

安全功能。

?McAfeeSCM（安全內(nèi)容管理）：McAfee的SCM產(chǎn)品可以直接部署在數(shù)據(jù)鏈路中，

通過強(qiáng)大的檢測和防御功能，有效抵御各類病毒、蠕蟲、病毒郵件、垃圾郵件

的危害，同時，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)信息進(jìn)行內(nèi)容過濾。

動態(tài)安全風(fēng)險管理解決方案：

?McAfeeFoundStoneFS1000:軟硬一體化的安全弱點管理和安全風(fēng)險管理系統(tǒng)。

部署在網(wǎng)絡(luò)中，能夠評估企業(yè)安全風(fēng)險的狀況和變化請況，并采取主動措施對

安全風(fēng)險實現(xiàn)控制和管理。

通過安全產(chǎn)品的整合及應(yīng)用，在方正證券的網(wǎng)絡(luò)當(dāng)中實現(xiàn)完整的安全風(fēng)險管理流程，有

效地控制整體安全風(fēng)險。

2安全需求分析

2.1存在的安全風(fēng)險

方正證券的網(wǎng)絡(luò)現(xiàn)狀如下圖所示:

圖2.1網(wǎng)絡(luò)現(xiàn)狀

下邊，我們就簡要討論一下目前網(wǎng)絡(luò)中存在的安全風(fēng)險和我們應(yīng)該采取的解決方案。

2.1.1系統(tǒng)終端面臨的安全威脅

(1)終端操作系統(tǒng)可能面臨嚴(yán)重的病毒威脅，病毒或蠕蟲可以通過網(wǎng)絡(luò)傳輸、共享文件、

移動存儲、郵件、應(yīng)用程序等多種方式進(jìn)行傳播，嚴(yán)重威脅終端的安全狀況；

(2)新型的惡意程序(即Spyware)通過內(nèi)部網(wǎng)絡(luò)、Email、互聯(lián)網(wǎng)或網(wǎng)絡(luò)文件共享等多

種方式傳播，不但危害終端安全，還可能對網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)造成影響，而傳統(tǒng)的防病

毒系統(tǒng)根本難以查殺；

(3)黑客針對系統(tǒng)終端的攻擊行為頻繁發(fā)生，隨著攻擊手段的多樣化和攻擊難度的降低,

黑客攻擊行為呈現(xiàn)爆發(fā)的態(tài)勢;

(4)各類非法或不安全的應(yīng)用軟件安裝在系統(tǒng)終端，大量占用企業(yè)帶寬資源的同時，還

帶來大量的安全威脅；

(5)OA網(wǎng)絡(luò)用戶由于出差等原因經(jīng)常離開企業(yè)網(wǎng)絡(luò)，再次接入時會將外部網(wǎng)絡(luò)的威脅

帶入內(nèi)網(wǎng)；

(6)外來人員隨意接入OA網(wǎng)絡(luò)，同樣帶來很大安全隱患；

(7)終端層面的防護(hù)手段多樣化，給管理和配置帶來一定難度，一定程度上造成信息安

全產(chǎn)品的使用效果難以保證。

2.1.2網(wǎng)絡(luò)上存在的安全威脅

在網(wǎng)絡(luò)層面，也存在大量的安全威脅，主要體現(xiàn)在：

(1)黑客的遠(yuǎn)程攻擊，可能針對服務(wù)器，也可能針對各類網(wǎng)絡(luò)設(shè)備；

(2)通過互聯(lián)網(wǎng)傳播的病毒、蠕蟲以及Spaware等；

(3)惡意的掃描，用來發(fā)現(xiàn)開放的端口、網(wǎng)絡(luò)和系統(tǒng)中的漏洞，以便加以利用；

(4)DoS/DDoS攻擊行為;

(5)對各類應(yīng)用缺乏有效的管理手段，帶寬利用不合理；

(6)大量垃圾郵件通過互聯(lián)網(wǎng)線路進(jìn)入網(wǎng)絡(luò)；

(7)通過互聯(lián)網(wǎng)傳播的病毒郵件、有害信息等。

2.1.3現(xiàn)有安全產(chǎn)品的不足

現(xiàn)在已經(jīng)部署的信息安全產(chǎn)品，隨著信息安全技術(shù)的不斷發(fā)展，已經(jīng)難以解決新出現(xiàn)的

各類安全問題，原因在于：

(1)防病毒：現(xiàn)在部署的傳統(tǒng)防病毒產(chǎn)品不能有效查殺Spyware等各類新型的惡意程序,

同時，難以抵御針對終端的黑客攻擊行為，也不能解決不安全用戶的網(wǎng)絡(luò)接入問題,

存在很多安全漏洞；

(2)防火墻：防火墻職能實現(xiàn)訪問控制保護(hù)功能，但是不能檢測惡意行為和程序，只是

被動的防護(hù)措施；

⑶WebCache設(shè)備：Cache設(shè)備的應(yīng)用極大的提升了網(wǎng)絡(luò)訪問的性能和效率，但同時，

也忽略了Web病毒和惡意程序過濾的問題，如果cache下的網(wǎng)站含有惡意程序，將

造成難以估量的損失；

(4)入侵檢測系統(tǒng)：入侵檢測系統(tǒng)只能檢測黑客攻擊行為，卻不能實現(xiàn)防護(hù)功能，是一

種非常被動的安全手段；而新的黑客攻擊和安全威脅卻需要我們第一時間就能將他

們阻擋。

綜上所述，現(xiàn)有的安全措施存在很多不足，需要有新的解決方案完善信息安全防護(hù)系統(tǒng),

并提供完善的安全風(fēng)險管理流程。

2.1.4安全管理問題

已經(jīng)部署的安全產(chǎn)品，如IDS,防病毒系統(tǒng)等只是在被動的抵御或檢測安全威脅，缺乏

主動的防護(hù)措施和手段；而要實現(xiàn)主動的信息安全策略，則需要對企業(yè)整體的安全風(fēng)險進(jìn)行

監(jiān)控和管理，目前的解決方案當(dāng)中：

(1)不能對安全風(fēng)險進(jìn)行準(zhǔn)確的評估；

(2)不能對安全風(fēng)險的變化實現(xiàn)控制；

(3)缺乏整體解決方案，結(jié)合所有的信息安全產(chǎn)品，從而實現(xiàn)全面的安全風(fēng)險管理。

2.2需求分析

結(jié)合上面的威脅分析，我們可以看到當(dāng)前網(wǎng)絡(luò)存在一些安全隱患；因此，需要采取相應(yīng)

的措施來消除這些威脅，降低整體安全風(fēng)險，確保OA和應(yīng)用網(wǎng)絡(luò)的安全和高效運(yùn)行，安全

需求可以歸納為以下幾個方面：

2.2.1在系統(tǒng)層面

?部署先進(jìn)的防病毒和防惡意程序產(chǎn)品，快速高效的查殺各類病毒及惡意程序，

確保終端安全；

?部署主機(jī)入侵保護(hù)產(chǎn)品，防止黑客對終端系統(tǒng)的攻擊行為；

?部署主機(jī)防火墻，對終端的網(wǎng)絡(luò)使用情況進(jìn)行監(jiān)控和管理；

?在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)接入控制，防止不安全的終端系統(tǒng)接入企業(yè)內(nèi)網(wǎng);

?系統(tǒng)防護(hù)產(chǎn)品必須具有同一的管理平臺，且只有一個客戶端代理，以最大限度

的節(jié)省系統(tǒng)資源，提升管理效率；

?系統(tǒng)防護(hù)產(chǎn)品應(yīng)該能夠和網(wǎng)絡(luò)防護(hù)類產(chǎn)品實現(xiàn)整合，以便構(gòu)建整體安全風(fēng)險管

理體系。

2.2.2在網(wǎng)絡(luò)層面

?阻擋從內(nèi)網(wǎng)或者外網(wǎng)發(fā)起的針對網(wǎng)絡(luò)的DOS/DDOS攻擊；

?能夠監(jiān)控和記錄內(nèi)部網(wǎng)絡(luò)上的活動：包括端口掃描、漏洞掃描、異常流量，特

別是針對生產(chǎn)網(wǎng)絡(luò)的非法訪問和攻擊（取代原IDS產(chǎn)品功能）；

?監(jiān)控內(nèi)部網(wǎng)絡(luò)上的Spyware間諜程序活動；

?實時檢測和防御各類黑客攻擊行為；

?對互聯(lián)網(wǎng)應(yīng)用和流量進(jìn)行監(jiān)控和管理；

?有效防御垃圾郵件、病毒郵件的威脅；

?對內(nèi)網(wǎng)用戶的互聯(lián)網(wǎng)訪問進(jìn)行內(nèi)容過濾和監(jiān)控。

2.2.3整體解決方案

?需要實現(xiàn)對安全風(fēng)險的準(zhǔn)確評估；

?結(jié)合企業(yè)的資產(chǎn)、漏洞和威脅狀況，形成完善的安全風(fēng)險變化曲線；

?協(xié)調(diào)系統(tǒng)防護(hù)和網(wǎng)絡(luò)防護(hù)的解決方案，前瞻性地解決安全問題;

3McAfeeSRM整體解決方案

3.1方案設(shè)計原則

在設(shè)計整體解決方案之前，McAfee安全解決方案首先要考慮的是安全性，其次要考慮

部署安全設(shè)備及系統(tǒng)的可靠性、可用性；因此，在本次方案的設(shè)計過程中，均遵循以下設(shè)計

原則：

1）方案設(shè)計始終考慮業(yè)務(wù)安全需求；

2）建議的方案設(shè)施后不會影響現(xiàn)有計算機(jī)網(wǎng)絡(luò)的安全性，不會降低現(xiàn)有系統(tǒng)的可靠性

和可用性，不影響現(xiàn)有系統(tǒng)和網(wǎng)絡(luò)的性能；

3）防護(hù)類產(chǎn)品探測準(zhǔn)確：不會出現(xiàn)誤報和漏報；

4）可靠性：確保網(wǎng)絡(luò)不會因為設(shè)備故障而造成中斷；

5）安全產(chǎn)品部署后，不出因此出現(xiàn)性能瓶頸；

6）在不增加現(xiàn)有工作量的基礎(chǔ)上，通過實現(xiàn)安全風(fēng)險管理，能夠全面提升安全管理工

作的效率。

3.2McAfeeSRM安全風(fēng)險管理解決方案

McAfee基于國際信息安全標(biāo)準(zhǔn)，結(jié)合客戶的現(xiàn)實，建議方正證券在考慮信息安全體系

建設(shè)的過程中，應(yīng)該首先根據(jù)自身情況，結(jié)合國際先進(jìn)的安全風(fēng)險管理流程，明確安全風(fēng)險

的三個重要方面及控制手段，有計劃有步驟的加強(qiáng)整個信息安全體系的建設(shè)，才能達(dá)到最好

的效果。

McAfee憑借在信息安全領(lǐng)域的豐富經(jīng)驗和積累，幫助客戶規(guī)劃和實現(xiàn)完整的安全風(fēng)險

管理（SecureRiskManagement：簡稱SRM）解決方案，真正前瞻性的解決安全問題。

3.2.1什么是安全風(fēng)險

我們之所以要解決安全問題，是因為信息網(wǎng)絡(luò)存在被病毒、黑客攻擊等各類安全威脅攻

擊的可能性，也就是說存在安全風(fēng)險，并隨時可能因此給企業(yè)造成財產(chǎn)、時間、聲譽(yù)上的損

失，而根據(jù)權(quán)威機(jī)構(gòu)（數(shù)據(jù)來源：Gartner）的分析，安全風(fēng)險得大小主要取決于以下三個方

面：

安全風(fēng)險=

■Workstation/Server■藤雷翻SoftwareBug■病毒VirusSpreading

■WirelessLANs/Devices■不必鎏留些UnnecessaryServices■fij&WonnOutbreak

■NetworkDevices■不雷的商熹定WfeakPasswords■酸客攻孽程式ExploitCodes

■酸容壬亙HackerTools

■Database?籍翔鈿定Mis-configurations

■Applications■木禹屐『弓Trojanjbackdoor■駭客攻攀HackerAttacks

資產(chǎn)重要性）弱點看重性）威脅片重性）

X----------------------------------X

CM1CM3

防護(hù)對策:

?認(rèn)證Authentication■弱點管理VulnerabilityManagement■防火墻Firewall

■備份Back-up■修補(bǔ)?3PatchManagement?防毒Anti-Virus

■負(fù)載均衡LoadBalance?入侵探測，防護(hù)IDS/IPS

■監(jiān)控Monitoring

■加密Encryption

圖3.1Gartner安全風(fēng)險公式

也就是說，當(dāng)企業(yè)具有了信息化的核心資產(chǎn)（比如有很重要的數(shù)據(jù)保存在服務(wù)器上），

這些資產(chǎn)存在弱點和漏洞（比如微軟操作系統(tǒng)的漏洞或空口令），又存在被安全威脅攻擊的

可能（比如病毒、黑客攻擊等等），就會給企業(yè)造成損失。

因此，企業(yè)的安全風(fēng)險和這三個方面緊密相關(guān)，也只有同時解決好這三個方面的問題，

才可能真正的確保信息系統(tǒng)的安全。

同樣，在方正證券網(wǎng)絡(luò)當(dāng)中，具有重要的信息資產(chǎn)，并且同樣面臨漏洞和各類安全威脅,

如果只是簡單的選擇和部署安全防護(hù)設(shè)備，就總是在和安全問題的較量中處于被動，我們必

須擁有一整套完善的解決方案，對資產(chǎn)、漏洞及安全威脅進(jìn)行整體的評估和控制，才能主動

的面對安全問題的不斷變化。

3.2.2McAfeeSRM安全風(fēng)險管理

McAfee根據(jù)安全風(fēng)險的特點和三個關(guān)鍵要素，提出了安全風(fēng)險管理的方法論，其核心

思想是根據(jù)企業(yè)的基礎(chǔ)環(huán)境，全面準(zhǔn)確的評估安全風(fēng)險，并根據(jù)安全風(fēng)險的狀況結(jié)合系統(tǒng)、

網(wǎng)絡(luò)層面的安全防御手段有效抵御安全威脅，最終主動的降低整體安全風(fēng)險。

（1）安全風(fēng)險管理流程

McAfeeSRM（SecureRiskManagement）安全風(fēng)險管理的方法論如下圖所示:

:確評估安全網(wǎng)險狀況

EX/ALUA*

發(fā)現(xiàn)安全網(wǎng)險

通過管理強(qiáng)制

酣除在I

圖3.2McAfeeSRM安全風(fēng)險管理

要實現(xiàn)對安全風(fēng)險的管理和控制，需要實現(xiàn)完整的風(fēng)險管理流程：

?發(fā)現(xiàn)安全風(fēng)險：通過有效的手段，確定存在安全風(fēng)險的資產(chǎn)和區(qū)域，定位安全

風(fēng)險存在的區(qū)域；

?評估安全風(fēng)險：準(zhǔn)確高效的評估安全風(fēng)險，了解安全風(fēng)險的大小和實質(zhì)；

?強(qiáng)制措施降低風(fēng)險：通過管理或強(qiáng)制等安全手段，主動地降低安全風(fēng)險；

?安全防御：通過各類系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備，防御各類安全威脅；

?修補(bǔ)：主動修補(bǔ)存在的各類漏洞，全面降低安全風(fēng)險。

綜上所述，通過完整的SRM流程，對安全風(fēng)險實現(xiàn)全面的管理和控制，5個步驟缺一

不可，同時，SRM風(fēng)險管理流程根據(jù)企業(yè)的具體情況，可以有不同的實現(xiàn)方式，最終，通

過McAfeeSRM解決方案幫助客戶：

?始終遵守確定的安全政策；

?基于風(fēng)險管理，整合網(wǎng)內(nèi)現(xiàn)有的安全防護(hù)產(chǎn)品；

?提供全面的實時防護(hù)產(chǎn)品更好的檢測并阻止安全威脅；