mcafee企业终端安全防护建议书.docx
《mcafee企业终端安全防护建议书.docx》由会员分享,可在线阅读,更多相关《mcafee企业终端安全防护建议书.docx(23页珍藏版)》请在冰豆网上搜索。
mcafee企业终端安全防护建议书
企业终端安全防护建议书
McAfee(中国)公司
2018年9月22日
文档说明
非常感谢企业给予McAfee公司机会参与终端安全的构建和调整,并希望本文档所提供的终端安全技术解决方案能在整个项目规划和建设中发挥应有的作用。
需要指出的是,本文档所涉及到的文字、图表等,仅限于McAfee公司和企业内部使用,未经McAfee公司书面许可,请勿扩散到第三方。
目录
1方案概述5
2McAfee建议方案6
2.1企业终端安全威胁6
2.2需求分析6
2.3McAfeeTOPSSAVPLUSSPY解决方案7
2.4McAfeeTOPSSAVPLUSSPY的部署7
2.4.1ePO的部署7
2.4.2防病毒客户端的部署9
2.4.3SiteAdvisor的部署10
2.4.4部署架构图10
3McAfeeTOPSSAVPLUSSPY产品功能及优势12
3.1集中管理服务器ePO12
3.2McAfeeVirusScanEnterprise8.7i14
3.3桌面计算机及文件服务器防间谍软件McAfeeAntiSpyware8.718
4产品优势19
4.1McAfeeTOPSSAVPLUSSPY19
4.1.1基本状况19
4.1.2产品指标分析20
4.1.3桌面端产品23
5技术服务25
5.1McAfeeServicePortal25
1方案概述
如今的安全威胁不断演变,已变得日益复杂,它们会窃取用户的宝贵数据、破坏用户的网络,并使员工、客户和合作伙伴无法使用一些重要的资源。
要阻止这些"越发高明"的威胁,我们的网络需要部署能够有效保护终端并降低风险的全面的、集成的终端安全解决方案。
终端安全管理是对软件进行更新以防范最新威胁的简便方法。
通过终端保护解决方案,我们可以针对病毒、蠕虫、木马、bot、黑客等各类安全威胁进行防护。
McAfee®TOPSSAVPLUSSPY(简称TOPSSAVPLUSSPY)解决方案是业界首次领先的终端保护方案,它提供集中管理的安全平台ePO,同时通过VirusScanEnterprise及SiteAdvisor等先进组件,对终端系统实现全面的保护,帮助客户实现完美的终端安全防御和企业内网管理。
TOPSSAVPLUSSPY集成了成熟的技术,可以提供无可比拟的保护。
通过在实施终端策略的同时,持续地、前瞻性地拦截各种威胁,最终可以将风险降至最小程度。
TOPSSAVPLUSSPY的组件:
∙ePO:
通过管理控制台ePO的部署,可以管理所有的产品组件,其中包括:
病毒防护、SiteAdvisor、AntiSpyware等;
∙防病毒VirusScanEnterprise8.7i:
针对桌面机和文件服务器的病毒防护功能可以为您的系统中最难管理的部分-桌面机和文件服务器提供出色的病毒防护;
∙SiteAdvisor:
通过ePO进行管理和部署,嵌入用户端的浏览器,可以对用户访问的互联网站点进行安全预警,显示所访问站点的安全级别;
∙防间谍软件AntispywareEnterprise8.7i:
针对桌面机和文件服务器的病毒防护功能可以为您的系统中最难管理的部分-桌面机和文件服务器提供出色的防间谍软件防护。
2McAfee建议方案
2.1企业终端安全威胁
目前的网络架构,决定了企业面临多种多样的终端安全威胁:
∙蠕虫病毒通过网络、Email和网络文件共享等多种方式传播,植入OA网络计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中断;
∙蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门,同样,在传播过程中,产生大量的TCP、UDP或ICMP垃圾信息,造成网络拥塞,如SqlSlammer、Nimda、“冲击波”和Nachi蠕虫病毒;
∙管理网用户文件拷贝,Internet访问带来:
病毒、蠕虫、间谍程序、后门程序和特洛伊木马的威胁;
∙来自Internet的Spyware的威胁,对于用户系统来说,很多时候Spyware带来的可能损失要比蠕虫等的威胁更大。
2.2需求分析
从上面我们可以看到当前网络面临的威胁,因此,需要采取措施消除这些威胁,安全需求可以归纳为以下几方面:
∙首先,最重要的是能够在系统层面部署有效的防御措施;
∙需要部署技术领先,拥有大规模部署经验的桌面防病毒产品;
∙需要对互联网访问的安全性具有预警功能,防患于未然;
∙对于桌面计算机、服务器需要实时的病毒防护,以阻止感染病毒;
∙所有的系统防护产品需要有统一的安全管理平台,在同一个管理平台进行管理和升级。
2.3McAfeeTOPSSAVPLUSSPY解决方案
McAfee建议企业在现有网络的基础上,部署McAfeeTOPSSAVPLUSSPY终端保护解决方案,包括如下组件:
∙安全管理平台:
McAfeeePolicyOrchestrator
∙计算机病毒防护:
McAfeeVirusScanEnterprise8.7i
∙间谍软件防护:
Anti-spyware8.7i
∙互联网访问预警:
SiteAdvisor
McAfeeePolicyOrchestrator(简称ePO):
集中的安全管理平台,提供部署、策略、配置、自动更新、报表和报警管理,ePO是TOPSSAVPLUSSPY的安全管理中心。
McAfeeVirusScanEnterprise8.7i(简称VSE8.7i):
VSE8.7i是McAfee企业机防病毒系统,在完善的防病毒客户端的基础上,其最大优势是可以完全做到不需要病毒签名就可以阻挡任何蠕虫病毒;另外,VSE的内存扫描功能可以确保不需要重启计算机就可以清除蠕虫病毒或者后门程序;
此外,通过集成的McAfeeAnti-Spyware功能,,可以更加准确和有效的探测和清除间谍程序。
此产品可以通过McAfeeePolicyOrchestrator进行集中管理,包括分发、自动更新、报警、通知和报表管理,同时,ePO可以探测未受防病毒软件保护的计算机,然后发出警报。
McAfeeSiteAdvisor:
通过ePO进行部署和管理,嵌入用户的浏览器,可以对用户访问的站点进行安全预警,并显示网站包含的安全威胁种类。
2.4McAfeeTOPSSAVPLUSSPY的部署
2.4.1ePO的部署
ePolicyOrchestrator(以下简称ePO),是TOPSSAVPLUSSPY的集中策略管理中心,提供TOPSSAVPLUSSPY的集中管理,功能包括TOPSSAVPLUSSPY产品的分发部署、策略配置、自动更新管理、报警和报表管理。
单台ePO服务器支持对25万个客户端的集中管理。
ePO提供以下功能:
1)积极的爆发预防
使用ePO病毒爆发响应中心,使用策略配置,可以采取积极的步骤保护您的网络不受逼近的病毒爆发的威胁。
2)病毒爆发通知功能
ePO能够根据设定的阈值自动发出病毒爆发通知。
3)安全通信基础架构
控制管理中心使用一种新的通信基础架构—建立在安全套接层(SSL)协议上。
根据使用的安全设置,通信可以加密或使用认证加密。
4)管理权限
管理权限分成全局、部分的管理域,在不同域上有不同用户权限。
5)实时和按需扫描策略控制
控制管理中心向您提供实时的产品控制。
在控制台上做出的配置更改会立即发送到产品,甚至可以从控制台上运行手动扫描。
这种没有等待时间的命令系统在病毒爆发期间是不可缺少的。
6)集中式更新控制
集中式更新策略规则、病毒码和扫描引擎文件,可以确保所有被管理的防病毒客户端都使用最新的组件。
更新方式可以配置为定期任务更新和实时通知更新两种方式。
7)集中式配置
集中式配置使您可以从一个单一控制台协调病毒响应和安全措施。
这确保了整个企业网络的防毒和内容安全策略的一致实施。
8)桌面防火墙的策略配置
配置桌面防火墙的允许和阻挡策略,查看允许和阻挡网络访问日志等。
9)HIPS的配置和报警管理
配置HIPS的攻击响应策略,配置HIPS的、不同防护模块的策略,修改配置,查看入侵和异常操作报警;
8)微软安全漏洞检测和补丁安装状态检测
通过ePO检测Windows平台计算机的安全漏洞和微软安全补丁安装状态,同时提供详细的报表。
9)Rouge计算机和为保护计算机的探测
通过ePO可以探测未安装防病毒软件的计算机,同时还可以探测接入企业网络的外来计算机。
10)集中式日志报告
使用全面的日志可以得到对防毒和内容安全网络性能的一个概览。
防病毒管理中心可以从所有其管理的产品收集日志;您不再需要检查每个单个产品的日志。
11)防病毒客户端配置修改保护功能
ePO提供客户端锁定Password保护功能,当启用此功能时,客户端修改配置需要输入Password。
2.4.2防病毒防间谍软件客户端的部署
防病毒/防间谍软件客户端的部署:
通过ePO进行分发即可
安装防病毒/防间谍软件客户端时,可以在计算机客户端上部署防病毒管理服务器ePO的Agent,然后通过防病毒管理服务器进行自动分发部署。
2.4.3SiteAdvisor的部署
SiteAdvisor可以直接通过ePO进行分发,会自动嵌入浏览器,并开始正常工作。
SiteAdvisor的日常策略配置、更新、报表和集中的安全事件报警均通过ePO进行集中管理。
2.4.4部署架构图
通过ePO和各个产品组件的部署,最重可以在企业网络内形成完善的终端保护系统,如下图所示:
3McAfeeTOPSSAVPLUSSPY产品功能及优势
3.1集中管理服务器ePO
McAfeeePO的主要优势:
主要优势
∙集中的系统整体防护安全管理平台—ePO是目前业界唯一的能同时管理防病毒、防间谍程序、邮件防病毒、防垃圾邮件、桌面防火墙、主机入侵防护和网络访问控制的唯一产品,统一的管理平台提高了管理效率和策略的一致性,确保整体的安全。
∙前瞻性漏洞评估—ePO能够抢在病毒和蠕虫之前首先发现系统中的安全缺口,它不仅能够对安全策略的一致性进行扫描(包括Microsoft安全补丁),而且能够及时发现系统中隐藏的设备、未受到保护的设备以及容易受到攻击的设备。
∙发现Rogue计算机:
能够探测外部计算机接入网络和未安装防病毒软件的未受保护的计算机,并且向管理员发出报警;
∙成熟高效的企业更新过程—可采用完全自动或完全手动两种模式来完成更新,不仅速度快、占用带宽资源非常少,而且还可以通过一致性报告进行验证;ExpressGlobalUpdate则可以在不到一小时的时间里完成50,000个系统的更新
∙全面的策略管理—管理员可以针对每一个防护级别来定义安全策略(从更新频率到桌面机防火墙设置),并以“每机器”或“每群组”模式来应用这些策略
∙实时的图形化报告功能-用户可以根据自己的特殊要求对报告进行简单的自定义,也可以从40多种预定义的报告中进行选择
∙全面管理多个供应商的安全解决方案—ePO不仅能够帮助您管理McAfeeSecurity产品,而且还能够高效地管理其它第三方产品,例如Symantec和Dr.Ahn的安全解决方案
McAfee®SecurityePolicyOrchestrator™(ePO)是市场上处于领先地位的用来对恶意攻击进行防护的集中式策略管理工具。
您可以使用ePO将防护功能保持为最新状态,配置和增强安全策略,以及通过McAfeeSecurity和第三方产品(包括Symantec和DrAhn的防病毒产品),生成详细的图形报告。
使防护功能保持最新
对安全策略进行前瞻性管理的最大困难是如何在所有系统中都使防护功能保持最新的状态。
使用ePolicyOrchestrator,您可以轻松地了解是否处于最新状态。
只需单击一次按钮,即可在整个网络中实施更新。
在使用分布式数据库的智能化设计时,无需服务器参与更新操作,所有更新都在整个网络范围内实施,从而降低网络流量并提高性能。
可以手动或自动部署对McAfeeSecurityDAT、引擎、服务包、Extra.DATs和修补程序的更新。
快速更新
ePO提供了任务定时更新和全局更新两种方式,全局更新可以实现实时地更新跟新,而且通过分布更新资料库、SuperAgent资料库的技术,一方面提高了更新速度,另一方面节省了网络带宽的使用。
全局透明度
您可以随时使用各种信息,包括仅有一页的安全报告摘要以及有关病毒活动、桌面机防火墙策略和病毒漏洞的详细信息。
轻松地自定义报告以适合您的特定需求。
具有企业级扩展性能的策略管理
ePolicyOrchestrator的设计兼顾了企业级的扩展性能,可以通过每台服务器管理多达250,000个用户,并可以轻松地使用远程控制台从任何位置进行操作。
充分利用在安全方面的投资
可扩展性和业界支持始终是ePolicyOrchestrator核心关注点。
作为首个提供第三方防病毒应用程序管理和报告功能的工具,与Symantec和DrAhn相似,McAfee可通过ePolicyOrchestratorFusionService帮助企业进一步提高安全投资所获得的回报。
这些服务由McAfeeExpertServices工作组提供,允许ePolicyOrchestrator与其他第三方安全程序集成,为其他第三方安全层提供同样水平的集中控制和透明度。
管理跨越多个供应商的全面防护
改变攻击需要改变防护策略。
您可以建立协调、统一的防护。
McAfee还意识到各个组织可能选择使用来自多个供应商的防病毒产品,因此ePolicyOrchestrator可管理和报告Symantec和DrAhn的桌面机和服务器防护功能。
保护移动用户
ePolicyOrchestrator使您可以轻松地管理和保护移动用户,就像管理和保护通过局域网连接的用户一样。
即使膝上型电脑没有连接到网络,通过加强策略以及在连接到Internet时进行更新,ePolicyOrchestrator也可以有效地管理您无法管理的项目。
由于移动用户要求更高的灵活性,ePolicyOrchestrator可以从最近的数据库中以最有效利用带宽资源的方式为移动用户提供更新,并允许延迟更新和重新开始更新。
突发响应
单击按钮,系统即可执行“立即更新”命令,使策略更改生效—此操作可以针对所有系统,也可以仅针对网关等主要问题区域。
ePolicyOrchestrator使您能够做出快速响应,并可以集中处理当前的任务。
提供丰富的报表
ePO可以提供详细丰富的各种报表,包括图形、文本、图形文本结合、CSV、Excel、Html等格式的报表。
3.2McAfeeVirusScanEnterprise8.7i
McAfee®VirusScan®8.7i进一步提高了病毒防护功能,将入侵防护功能与防火墙技术集成于针对计算机和文件服务器的单一解决方案中。
这种强有力的结合为用户提供了极具前瞻性的防护,使其免受当今最新威胁的侵扰—包括缓冲区溢出和混合病毒的攻击—并提供先进的病毒突发管理响应功能,从而能够减少损失和病毒突发带来的成本费用。
McAfeeePolicyOrchestrator®提供全面管理,便于遵守易于扩展的安全策略,并进行图形报告编制。
主要优势:
∙集成的防火墙与IPS技术–防火墙与入侵防护技术的集成使单一集成包具有最大限度的前瞻性防护功能。
∙对新威胁增强防护–VirusScan8.7i提供了对最新出现的、危及程序安全的恶意威胁(例如,“间谍”软件)、特定程序的缓冲区溢出攻击、及混合病毒攻击的防护。
∙病毒突发期间的低成本响应–先进的outbreak功能可在DAT文件出现之前就关闭漏洞口,通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最低限度。
∙McAfee扫描技术–屡获殊荣的McAfee扫描引擎通过对内存的扫描来拦截那些不会将代码写入磁盘的病毒(如Netsky和CodeRed)所带来的威胁。
∙集中式管理和报告编制–与McAfeeePolicyOrchestrator和ProtectionPilot的集成为用户提供了全面的安全管理解决方案,包括从一个控制台进行详细的图形报告编制的功能
全方位的McAfee病毒防护
McAfee防病毒扫描引擎能够拦截各种病毒和恶意代码威胁,包括宏病毒、木马程序、Internet蠕虫、32位高级病毒,甚至是恶意的ActiveX和Java对象。
VirusScan采用的防病毒技术能够对压缩数据进行深入分析,因而能够检测出隐藏在.zip或其他类型压缩文件中的威胁。
先进的启发式检测和通用检测技术使VirusScan具有了前瞻性的防护能力,能够“提前”防御各种新的、未知的病毒以及其它多种威胁。
潜在“恶意/间谍程序/广告软件”程序安全
VirusScan能够自动检测“恶意/间谍/广告”程序,有效防止隐藏程序跟踪企业和用户的Internet使用记录、访问用户个人数据(例如密码和帐户信息)或者在用户系统中造成安全漏洞。
当ViruScan侦测到“垃圾”程序时,用户或管理员可选择让ViruScan作出下列回应之一(警告、清除、删除、和隔离)。
管理员甚至可以按公司定义一个“垃圾”程序列单,如“Spyware、Adware、dialers、PassworkCrack或joke程序。
缓冲区溢出防护(IPS功能)
VirusScan8.7i可防护大约20种最常用的软件应用程序和Microsoft®Windows®OS服务,其中包括MicrosoftWord、Excel、InternetExplorer、Outlook和SQLServer。
必要时,管理员还可以按程序指定例外情况。
全面的病毒突发回应
VirusScan8.7i内设的病毒突发回应功能可在生成DAT文件之前就提供有效防护,这使得管理员可以在发现病毒之后、接到DAT文件之前对严重的漏洞口采取及时的行动。
突发回应功能包括:
●端口阻塞/锁定(防火墙功能)
允许管理员或用户“关闭”(阻塞)特定的端口,使传出或传入的网络流量无法进行端口(例如,对于MyDoom,应该堵塞端口#3196;而对于Bagel.n,应堵塞是端口port#2556)。
●应用程序监控:
电子邮件引擎(防火墙功能)
允许管理员阻塞传出端口,但制定允许某些程序通过已阻塞端口进行交流。
例如,管理员有可能阻塞了传出流量的端口25,但却允许outlook.exe通过该端口进行传出交流。
如果开启了该功能,NetSky和MyDoom当时就不可能溜出系统了。
●文件锁闭、目录锁闭、文件夹/share锁闭(IPS功能)
按系统或传入的网络程序来生成用策略,用以控制已获授权、可能发生在特定文件、目录或文件夹/share等(所使用的名称格式中含文字、通配符)的行动。
例如,为名为Sasser的蠕虫制定的策略有可能会影响到阻塞avserve*.exe,skynetave.exe,lsasss.exe,napatch.exe,*_up.exe,cmd.ftp,ftplog.txt,winlog2.*,和win*.log。
●传染追溯与拦截
VirusScan可以发现和追溯将恶意代码发送到运行ViruScanEnterprise8.7i的端点系统的IP地址(传染源),并将传染源信息发送会管理控制台。
另外,它还可以使来自传染源端点系统的信息交流被阻塞一段时间(可配置的)或使其始终受阻(直到重新另行设置后)。
强大的内存扫描
VirusScan8.7i增强了扫描功能,包括可以对病毒、蠕冲和木马进行“按需扫描”或“定时的存储扫描”。
也就是说,VirusScan能够抵御多种诸如CodeRed和SQLSlammer的威胁因素,虽然此类威胁不会将代码写入到磁盘中,但VirusScanEnterprise却可以从内存中直接清除掉它们的进程。
集中的管理和报告功能
VirusScan8.7i集成了McAfeeePolicyOrchestrator,唯一名副其实易于扩展的安全策略管理工具之一,从而可提供策略干练、详细的图形报告编制和软件部署。
ePolicyOrchestrator具有促进防护实施的集中授权,可提供一个单一的控制台,以管理您的McAfee部署。
另外,小型和中型企业还可以利用用户友好的McAfeeProtectionPilot管理控制台来简化管理和监控程序。
增强的电子邮件扫描功能
VirusScan8.7i除了对MicrosoftOutlook的邮件进行扫描外,还可以将发送到桌面机的所有LotusNotesClients电子邮件(包括HTML文本和附件)进行扫描。
还可以对安装了Outlook和Lotus这两种电子邮件接发软件的系统提供支持。
对使用脚本带来的威胁的防护
VirusScan8.7i可以通过侦测和防止利用JavaScript和(或)VisualBasic(VB)脚本(例如,Nimda或LoveLetter)实施的恶意代码而导致的感染。
针对移动用户的优化功能
区域服务器路由使得用户能够根据地理位置和连接速度对现场更新进行优化,较小的文件规模也使得用户能够轻松地通过连接速度较慢的网络(例如拨号连接)来下载更新文件。
借助于可恢复的更新功能,即使远程用户的网络连接被中断,他们也仍然能够在其它时间从中断处继续下载更新文件。
完全自动化的更新
☐McAfeeAutoUpdateTM保证通过http,ftp,UNC共享,本地或映射驱动进行快速更新。
☐更新信息包括小型增量DAT,完整DAT,引擎更新,Extra.DAT,SP或hot-fix等。
☐可恢复更新,是那些使使用缓慢、不稳定连接的‘工作狂’的理想选择。
报告
☐VirusScan可以集中管理,配置,并可由ePolicyOrchestratorTM提供针对性的图形化报告。
☐以丰富、直观和灵活的图表方式,动态实时表现防病毒软件的运行状况,和病毒活动情况。
在ePO中央控制台很容易统计出某一时间段的某一网络病毒爆发频度最高的几种病毒、病毒发作频度最高的几台计算机或者统计病毒发作频率最高的网络。
增强的性能
☐通过按业务需要对性能进行均衡来提高用户生产率。
☐支持文件扫描高速缓存技术,保证不把处理能力浪费在对‘清洁’文件的重复扫描上。
基于风险的扫描
☐对如电子邮件、浏览器和办公室应用等高风险应用进行严格扫描;而备分软件和数据库作为低风险应用,可进行相对来说不太严格的扫描。
3.3桌面计算机及文件服务器防间谍软件McAfeeAntiSpyware8.7
1)间谍软件扫描
支持间谍软件的基于签名
升级会员 