XXX公司漏洞管理解决方案(纯MVM风险管理体系视角切入)

1、文档说明非常感谢 XXX 给予 McAfee 公司机会参与此次漏洞管理项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是，本文档所涉及到的文字、图表等，仅限于 McAfee 公司和 XXX 内部使用，未经 McAfee 公司书面许可，请勿扩散到第三方。目录1方案概述52XXX 公司需求分析62.1XXX 公司的网络现状62.1.1 网络现状62.1.2 面临的安全威胁72.1.3 现有安全措施的问题72.1.4 未来的发展趋势82.2 需求分析83McAfee 安全风险管理解决方案103.1 McAfee 安全风险管理体系103.1.1 安全风险103.1.

2、2 McAfee 的安全风险管理113.1.3 安全风险管理体系的实现143.2 McAfee Vulnerability Manager 风险管理流程144XXX 公司 McAfee Vulnerability Manager 的部署184.1 McAfee Vulnerability Manager 的部署184.2 MVM 3100194.3 Vulnerability Manager 部署后的效果195XXX 公司 Vulnerability Manager 系统的管理215.1 管理人员及权限215.2 用户权限的设定225.3 资产管理和重要性划分235.3.1 资产统计235.3

3、.2 资产分类依据245.3.3 资产分类应收集的信息265.3.4 信息收集技术275.3.5 资产的组织划分285.3.6 入侵、非入侵方式弱点发现285.3.7 用户弱点规则自定义(FASL)285.4 风险评估策略及周期的设定295.4.1.风险评估策略的设定295.4.2.网络扫描周期295.4.3 扫描结果通知305.5 修补工作流305.6 报表管理315.6.1Vulnerability Manager 报告类型315.6.2XXX 公司的报表管理325.7 Vulnerability Manager 的更新336同类产品比较的优势341方案概述McAfee Vulnerabi

4、lity Manager 安全风险管理解决方案可以帮助 XXX 公司优化目前和将来的安全风险，实现法规遵从管理流程，同时，又能够最大限度地提高其业务可用级别、数据保护水平并取得最大的投资回报率。本方案根据 XXX 公司目前的信息安全建设状况，借助 McAfee 在信息安全领域的先进技术和解决方案，以动态安全风险管理为基础，提出了全面的信息安全解决方案及实施步骤。其最大的特点是：以全面的量化安全风险为基础，在系统和网络层面构建全面的安全威胁 防御体系，完善健全安全措施，当安全风险等级变化时，风险管理管理系统提供详细的安 全风险变化原因和补救措施，同时，调整系统和网络层面的防御策略，真正的做到全面

5、防 御，有的放矢。在本方案中，我们推荐部署 Vulnerability Manager3100，实现整个 XXX 公司增值业务综合网络支撑平台的应用系统的安全风险管理和控制。在解决方案中，涉及到如下产品：McAfee Vulnerability Manager Appliance 3100：包括软硬一体化的设备，硬件使用机架服务器，OS 系统已经按照美国国家安全局安全加固指南加固，所以设备和软件自身具有安全性，并且 OS 系统的补丁通过 McAfee 的 SUS 系统更新。在 MVM3100 硬件平台上安装了最新版本的 Vulnerability Manager Enterprise 软件，由

6、四部分组成：Manager、扫描引擎、数据库和用户 Web 门户，在整个安全管理方案中起核心作用，进行风险监控、安全弱点管理、IT 资产管理、威胁管理、安全弱点修补工作流管理和向入侵防护系统提供计算机网络中存在的弱点和威胁信息。软件 IP 许可 License: XXXX 个。2XXX 公司需求分析随着 XXX 公司业务的增长，安全管理部门所面对的威胁种类也同样日益增多。管理人员每天都会接到有关系统漏洞、新软件漏洞或新恶意代码的警报，所有这些警报的安全 级别很难一下子判断出来。因此，结果往往是管理人员不由自主地被这类事务牵着鼻子走， 采取既耗时又费力的行动，比如查漏洞、打补丁等。然而，这些行动

7、不见能够真正起到防 护的作用。基于目前的现状，McAfee 建议 XXX 公司建立一套动态安全风险管理机制，使有限的资源可以集中于应对企业面临的最大威胁。识别风险并确定风险的等级，是采取合理有效措施的关键所在。McAfee 认为，任何公司都不会有足够多的财力和人力用于完全消除所有潜在风险。因此，将所面临的各种风险量化，然后据此确定安全投入的优先顺序就势所必然。2.1XXX 公司的网络现状2.1.1 网络现状目前 XXX 公司的网络当中已经形成比较完善的网络架构，也已经部署了一些网络安全产品，在现有的网络环境当中，仍然面临不少的安全威胁，同时，也需要一个整合性的安全解决方案或者设备，能够构建一个

8、完善的安全处理流程，帮助 XXX 公司动态有效的实现安全风险管理。2011 年 XXX 公司更新改造工程(安全漏洞扫描部分)建设，基于以上 XXX 公司综合网络支撑平台的网络情况，新增漏洞扫描设备，对 XXX 公司增值业务综合网络支撑平台全网提供一次完整的扫描、提交报告并对系统实施安全加固，使之合规，需要进行漏洞评估的规模如下：客户资产规模描述2.1.2 面临的安全威胁(1) 外部威胁： 黑客的攻击入侵，造成信息泄露，或者破坏网络、应用和服务器系统，造成网络、应用和服务器系统瘫痪； 蠕虫利用操作系统、应用、Web 服务器和邮件系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门，同样，在传播

9、过程中，产生大量的 TCP、UDP 或 ICMP 垃圾信息，造成网络拥塞，如 Sql Slammer、Nimda、“冲击波”和Nachi 蠕虫病毒。 面临 Internet 的黑客攻击，包括 DOS/DDOS 攻击，造成网络服务中断。管理网用户文件拷贝，Internet 访问带来：病毒、蠕虫、间谍程序、后门程序和特洛伊木马的威胁(2) 内部威胁： 系统管理员离职前或者离职后恶意的破坏，如恶意的数据删除，数据修改恶意的窃取更高权限口令，常见的是每天进行口令猜测，同时又不触发报警， 如，若知道口令规则是出错三次报警，则每天进行两次口令猜解。 恶意的扫描，用来发现开放的端口、网络和系统中的漏洞 恶意

10、的针对存在漏洞的攻击2.1.3 现有安全措施的问题现在已经部署的网络安全产品，主要分为两种类型： 系统防护类产品系统防护类产品主要包括防病毒、防垃圾邮件等产品，为了解决计算机系统终端的安全问题，往往针对某一个种类的安全威胁提供防护功能。系统防护类产品提供的均为被动的防御机制，是系统防护的最后一道防线，难以预防安全问题的发生，一旦升级或者更新滞后，将会带来严重的安全隐患。网络防护类产品网络防护类产品提供网络层面的入侵保护和防御功能，如防火墙、入侵防护系统等， 主要为企业构建其安全的网络边界，但是网络防护类产品忽略了内部的安全威胁，而 70% 的攻击和信息窃取行为均发生在网络内部，因此网络防护类产

11、品解决了外部的安全威胁， 但是难以在整体上确保企业网络的可靠性。2.1.4 未来的发展趋势随着信息安全领域的发展，安全风险作为整个企业信息安全状况的参数越来越为管理者所重视，只要能够有效地管理企业安全风险，及时修补网络内部的各个安全漏洞，就能 够在面对任何安全威胁的时候从容不迫的解决问题。也就是说，企业具有了信息化的核心资产（比如有很重要的数据保存在服务器上），这些资产存在弱点和漏洞（比如微软操作系统的漏洞），又存在被损害的可能（比如病毒、黑客攻击等等），才可能给企业造成损失。因此，企业的安全风险和这三个方面相关，企业也只有同时管理好这三个方面，才可能真正的确保网络安全。而传统的安全产品（防病

12、毒、防入侵等），只是去抵御安全威胁，却忽视了资产的重要性和对漏洞的管理。企业目前真正需要的是全面的动态安全风险管理体系。2.2 需求分析从上面我们可以看到当前 XXX 公司面临的主要安全问题和较好的解决方案，因此， 一劳永逸的解决安全问题的最好办法是：能够及时发现计算机网络中的安全风险，其次通过量化的安全风险监控及时发现风险的变化和了解安全风险变化的原因；及时识别计算机网络中的安全弱点，并且获得具体的安全弱点的修补建议，并且能够跟踪修补过程、验证修补结果，以便及时了解弱点是不是真正被消除；发现的新的弱点和新的威胁时，能够有手段在 Internet 入口阻止这些威胁，为补丁安装赢得时间（需要和入

13、侵防护类产品整合）；将现有的安全解决方案进行整合，形成完整的安全风险管理流程。3McAfee 安全风险管理解决方案3.1 McAfee 安全风险管理体系实际上，任何企业的信息安全问题最终都是为了降低核心信息资产面临的安全风险， 避免这些信息资产由于安全威胁而受到损失。因此，McAfee 建议 XXX 公司在考虑信息安全体系建设的过程中，应该首先根据自身情况，结合国际先进的安全风险管理流程，明确安全风险的三个重要方面及控制手段，有计划有步骤的加强整个信息安全体系的建设，才能达到最好的效果。3.1.1 安全风险我们之所以要解决安全问题，是因为信息网络存在被病毒、黑客攻击等各类安全威胁攻击的可能性，

14、也就是说存在安全风险，并随时可能因此给企业造成财产、时间、声誉上的损失，而根据权威机构（数据来源：Gartner）的分析，安全风险得大小主要取决于以下三个方面：Gartner 安全风险公式也就是说，当企业具有了信息化的核心资产（比如有很重要的数据保存在服务器上），这些资产存在弱点和漏洞（比如微软操作系统的漏洞或空口令），又存在被安全威胁攻击的可能（比如病毒、黑客攻击等等），就会给企业造成损失。而 McAfee 认为，一个企业想要解决好信息安全的问题，也一定要从这三个方面入手， 也就是从有效控制安全风险入手，企业的安全风险和这三个方面紧密相关，也只有同时解决好这三个方面的问题，才可能真正的确保信

15、息系统的安全。下面就结合 XXX 公司的实际情况，论述一下 McAfee 信息安全风险管理的方法论，以及在 XXX 公司信息安全建设现阶段的意义所在。3.1.2 McAfee 的安全风险管理McAfee 根据安全风险的特点和三个关键要素，提出了安全风险管理的方法论，其核心思想是根据企业的基础环境，在全面统计资产数量和整合现有安全措施的基础上，准确地评估资产存在的安全漏洞和现状，并通过系统和网络层面的安全防御手段有效抵御安全威胁。(1) 安全风险管理方法论McAfee SRM（Secure Risk Management）安全风险管理流程如下图所示：McAfee SRM 风险管理简单流程如上图所

16、示，不管企业现在的现实情况如何，都需要一套有效的安全风险管理流程， 需要“制定合理可行的安全策略”“有效地评估可能存在的安全风险”“通过各类安全防护措施抵御安全威胁”“能够真正符合企业的信息安全要求”。而在实现 McAfee 安全风险管理的过程中，我们需要通过不同的安全防护措施和手段， 才能达到比较好的效果，如下图所示：McAfee SRM 体系需要的产品和工具通过这些系统防护、网络防护、安全风险管理的产品和手段，建设完整的安全风险管理体系可以帮助企业：始终遵守确定的安全政策；基于安全风险管理，整合网内现有的安全防护产品；提供全面的实时防护手段来准确检测并阻止安全威胁；始终一致地衡量法规遵从性

17、标准，最终帮助企业达到既定的安全目标和安 全标准。(2) McAfee 安全风险管理的详细步骤McAfee 的安全风险管理理论，为企业提供一个风险管理的指导性方针和流程，使得企业能够整合目前在使用的各类产品，以安全风险管理为基础，做到主动防护、有效管理、防患于未然。安全风险管理的详细流程如下所述：1确立安全标准和方针； 2统计信息资产；3整合并确认资产的商业价值；4检测资产存在的安全漏洞；5了解存在的潜在威胁；6分析存在的安全风险；7通过安全防御产品实时阻断各类威胁；8强制安全策略并应用补救措施；9评估安全效果和影响；10进行策略符合性比对。McAfee 动态安全风险管理方法论综上所述，传统的

18、安全产品（防病毒、防火墙等），只是去抵御安全威胁，却忽视了对整体安全风险的考虑，而 McAfee 的安全风险管理体系考虑到了可能影响企业安全风险的三个关键要素，并且可以结合现有的安全产品，通过完善安全风险管理流程帮助企业实时的控制整体安全风险，真正的解决安全问题。3.1.3 安全风险管理 体系的实现依据 McAfee的安全风险管理流程，McAfee 拥有先进的技术和解决方案能够帮助客户实现全面的安全风险管理，其中包括：I. 安全威胁的防护手段：终端及网络层面的各类安全威胁防御措施，XXX 公司目前已经拥有了比较完善的终端防病毒系统及邮件防护系统，这些都是构建整个安全风险管理体系的重要基础。II

19、. 安全风险管理手段：McAfee Vulnerability Manager 作为全球领先的安全风险管理产品，不但提供全面的资产统计管理工具，同时可以帮助企业实时扫描资产存在的安全漏洞，并通过主动的网络防护消除已知、未知和将来出现的威胁，为补救赢得时间，同时，降低整体安全风险，同时，通过和 McAfee IntruShield 的整合，可以实现和网络防御产品的联动，更加主动的去控制安全风险。因此，McAfee 建议 XXX 公司以有效控制安全风险为目标和基础，通过先进的技术解决方案及内部管理流程，最终实现一个完善的、主动的和可以对抗未知威胁的以安全风险管 理为基础的整体解决方案。3.2 Mc

20、Afee Vulnerability Manager 风险管理流程Vulnerability Manager作为全球领先的动态安全风险管理产品，可以帮助用户实现动态的安全风险评估和管理，完善安全管理流程。Vulnerability Manager 的工作流程如下：Vulnerability Manager 的工作流程如上，Vulnerability Manager是一个动态的安全风险管理系统，持续不断的帮助客户评估和管理网络安全风险，并且帮助客户追踪漏洞的修补情况。(1) 基于优先级的漏洞管理方法有许多潜在的攻击威胁着企业的安全。若能集中精力处理最关键的资产和那些风险最高的漏洞和威胁，企业便可

21、以最充分地利用企业的宝贵资源。资产关键性标记、先进的安全指标以及其他直观的报告功能都有助于您衡量企业的风险状况，并交流基于目标决策流程所进行的改进；在最适合的时候、最适合的地方做出响应，在威胁影响业务可用性之前防患于未然；即时了解新的漏洞或入侵威胁对现有的风险降低优先级会带来何种影响；使用一个闭环系统来取代企业用于管理漏洞的低效而耗时的流程及独立产品，为企业的 IT 人员节省宝贵的时间；无需特定的 IT 专业知识即可快捷地安装零维护的 MVM 3100 远程扫描引擎设备， 使 IT 人员可以更专注于消除风险。(2) 控制漏洞管理生命周期Vulnerability ManagerEnterpri

22、se 是一款全面的、基于设备的、即插即用的漏洞管理和风险缓解解决方案，它使企业现有的减少漏洞风险的流程更趋自动化，集成化和简便化。Vulnerability ManagerEnterprise 使企业可以直接控制漏洞管理生命周期：发现资产并评估资产的重要性；前瞻性地处理和识别漏洞；实施基于资产的补救措施；评估并报告安全策略的符合性。(3) 威胁降低的评估和管理Vulnerability Manager拥有嵌入式安全技术和威胁管理工具，即使企业内部缺乏专业技术也可进行威胁评估和管理，从而使企业能够快捷地评估其安全状况、对业务单位或区域进行标准检查以及跟踪安全策略和计划的实施进度。 使用简单易懂的

23、度量标准（例如：FoundScore、MyFound-Score 和 Risk Score）来了解系统和网络资源的风险。使用模板可以评估是否符合政府或行业的相关法规， 例如 BS7799、FISMA、HIPAA 和 PCI；可扩展至 A 类网络 闭环补救工作流程系统在发现新漏洞后将自动打开和分配凭证，并在完成补救工作后自动验证和关闭凭证；灵活的用户帐户系统和细化的基于角色的访问策略使您可以轻松而有效地管理各种规模的企业；无与伦比的威胁可视化功能使您可以定期在所有设备上深入搜索和分析各种漏洞和错误配置情况。综上所述，通过 Vulnerability Manager 可以全面的解决企业面临的安全风

24、险问题， 主动地、前瞻性的解决各类安全隐患。4XXX 公司 McAfeeVulnerabilityManager的部署综上所述，我们建议在 XXX 公司综合网络支撑平台的中心部署一台 Vulnerability Manager 3100 设备,MVM 支持对多个不连续的 C 类、B 类、A 类网段的扫描，从而实现该平台的应用系统的全面的安全风险管理。4.1 McAfee Vulnerability Manager 的部署Vulnerability Manager 3100 系统可以如下图所示部署在 XXX 公司的任一机房中。仅需配置管理用的 IP 地址。可以根据实际需要分配扫描用的 IP 地址

25、，并确保在防火墙上方向扫描用的 IP 地址能够访问得到需要评估的目标主机即可。XXX 公司 McAfee Vulnerability Manager 安全风险管理系统部署架构图参考图管理人员可以在任意位置通过浏览器登陆 MVM 3100 就能够配置和管理 MVM 系统。4.2 MVM 3100McAfee Vulnerability Manager Enterprise 是跨平台，基于 IT 资产的企业级安全弱点管理系统。它由扫描引擎（Scan Engine）、数据库（MS SQL Server）、管理端（Manager）和用户门户（User Portal）四个部分做成。McAfeeMVM 支

26、持对已知各个操作系统版本、网络设备、商业软件、数据库及 Web 应用的扫描和评估，可以通过独立的 Web 安全扫描策略检查 Web 网站上网页应用程序之 Web 登入账号密码组合、SQLInjection 数据库查询弱点、网页程序代码暴露弱点、Hidden/ Left-Behind Files 网页目录隐藏文件以及网站服务器平台与版本、SSL 版本等，以有效掌握网页应用程序漏洞。同时 McAfee Vulnerability Manager 提供的无线安全扫描模块还可以扫描无线设备的安全风险状况，并提供对 SQL、MYSOL、Oracle 等多种数据库德扫描策略。McAfee MVM 提供专门

27、的 windows 资产风险管理模块，特别针对 windows 操作系统设定专用的扫描和评估策略，方便管理员使用。McAfee MVM 提供专门的 Web 应用扫描模板，根据 Web 应用的特点和处理模式，提供渗透测试功能，提供专用的 Web 应用配置分析功能。Vulnerability ManagerMVM 3100 是硬件设备，所以部署非常容易，只需配置指定的 IP 地址，该 IP 要求加入 XXX 公司的 DNS 服务器，接入 XXX 公司指定的数据中心的交换机，在半小时内就可以进入配置阶段。通过在 XXX 公司内部网络部署 McAfee Vulnerability ManagerMVM

28、 3100 产品，实现对 XXX 公司网络数据中心应用服务器的安全风险评估和管理。4.3 Vulnerability Manager 部署后的效果在部署了 Vulnerability Manager 系统之后，可以在 XXX 公司数据中心的网络架构中实现如下效果：(1) 能够发现 XXX 公司整个综合网络支撑平台网络中的安全风险；(2) 通过量化的安全风险对其实施监控，及时发现风险变化和了解安全风险变化原因；(3) 及时识别计算机网络中的安全弱点，并且获得具体的安全弱点的修补建议，并且能够跟踪修补过程、验证修补结果，以便及时了解弱点是不是真正被消除；(4) 动态的评估和管理 XXX 公司核心信

29、息资产存在的安全风险，做到防患于未然。5XXX 公司 Vulnerability Manager系统的管理在使用 Vulnerability Manager 产品时，首先就要确认产品的组织架构和管理方式， 在本次项目中，组织名称是 XXX 公司，组织的管理由安全管理员管理，整个组织分成多个主要管理域，各个管理域的管理员负责自己区域资产的风险管理，其中在后续的漏洞修补过程中，可能需要设定的安全漏洞补救工作流（Remediation）管理员和漏洞修补工作人员（Help Desk 工作人员），也有可能需要特定的报表审计人员。5.1 管理人员及权限具体的管理架构和权限设置可根据 XXX 公司的情况具体

30、设定，举例如下：管理组织架构举例可能的管理员权限划分如下：1) 安全管理员（可授权）：由总部的管理人员负责，对所有的管理员权限进行配置和设定，定期对设备的运行状况进行查看，并作出相应调整，监督各个管理员的职责履行情况，有权对设备的配置或策略设定随时作出更改。2) 安全管理员（不可授权）：作为策略的执行和监督人员，不能对各个管理员权限进行配置，但是可以随时调整和更改安全风险管理策略，作为策略的监督和设定人员， 需要经常对策略进行调整，其下属的各管理域管理人员只能选择其设定的评估策略， 不能擅自更改。3) 网络组管理员：负责对划分到网络组的资产进行扫描设定，选择适合的策略，设定扫描周期，负责定期察

31、看评估情况及漏洞修补状况。4) 数据库管理员：负责对划分到数据库组的数据库服务器进行扫描设定，选择适合的策略，设定扫描周期，负责定期察看评估情况及漏洞修补状况。5) 主机组管理员：负责对划分到主机组的服务器进行扫描设定，选择适合的策略，设定扫描周期，负责定期察看评估情况及漏洞修补状况。6) 区域管理员：针对不同的应用服务器，则需要设定一个或多个区域管理员，并设定权限，此权限还需要和相关公司及运维部门进一步沟通。7) 补救工作流管理员：对于发现漏洞后的修补工作，可能需要相关维护部门的人员配合，而他们需要查看在完成修补动作后的修补效果，因此需要设定专门的修补工作流管理员，能够查看特定的表单处理状况

32、。8) 报告管理员：一般的风险管理报告可以由各个资产组的管理员进行处理，但是整个XXX 公司网络中的整体安全风险变化情况，需要设定一个报告管理员，定期完成生成和提交工作。当然，在实施过程中，具体的权限设定还需要和各个部门进一步沟通。5.2 用户权限的设定用户权限控制采用基于角色的域、子域的树形控制方式，默认用户角色预定义的有全局管理员、域超级管理员、超级 RemediationAdministrator、子域超级管理员、子域Remediation Administrator 等，通过用户管理界面可以很方便地定义新的用户角色。用户访问控制定义界面如下图：用户访问控制界面XXX 公司总部和各网络扫

33、描管理员用户访问通过 Web 浏览器使用 Https 加密访问Vulnerability Manager 的门户。5.3 资产管理 和重要性划分在使用Vulnerability Manager 的过程中，对企业内部的信息资产根据其自身特点和所提供服务的重要程度进行分类是非常重要的，风险管理的成功与否，漏洞修补的效果如何，往往与此相关。但是，企业自身的资产，只有企业内部的管理人员最为清楚，因此，此次McAfee Vulnerability Manager实施前的资产分类方法以ISO/IEC17799 资产分类方法为基础， 结合XXX公司的实际情况，以保护XXX公司信息资产为核心，结合XXX公司本

34、身的业务特点， 提出了一个概括的风险管理流程及信息资产分类建议。5.3.1 资产 统计l确认需要进行风险管理的资产组；l提供资产分组的重要信息，这些信息主要包括以下类型：n硬件；n软件；n系统接口（如内部和外部连接）；n数据和信息；n支持和使用 IT 系统的人员；n系统的使命（如 IT 系统所起的作用）；n系统和数据的关键程度（如系统的价值或对机构的重要性）；n系统和数据的敏感性。完成这些统计之后，得出资产的最终分组建议。5.3.2 资产分类 依据在ISO20001体系中，安全的三个特性（机密性C、完整性I、可用性A）是其核心思想，在IT 资产等级定义中也是围绕着这三个方面展开的，因此对IT

35、资产机密性、完整性和可用性的赋值也是评价IT 资产等级依据。对IT 资产进行安全属性赋值的目的就是为了更好地反映资产的业务价值，并区分出各资产的价值等级，为风险评估提供量化基础。机密性、完整性和可用性的定义如下：l 保密性（C）：确保只有经过授权的人才能访问信息；l 完整性（I）：保护信息和信息的处理方法准确而完整；l 可用性（A）：确保经过授权的用户在需要时可以访问信息并使用相关IT 资产。在安全属性赋值时，以XXX公司业务为导向，以信息资产的C、I、A 赋值为基础，对XXX公司IT 资产的C、I、A 属性进行的赋值。主要方法是：先对信息资产的C、I、A 进行赋值，并以此为基础，通过对这些承

36、载信息数据的载体，网络通信媒介、信息系统及相关的支撑资产识别，来完成对这些IT 资产的C、I、A 属性赋值。1) 机密性赋值标准（Confidentiality）根据IT 资产机密性属性的不同，将它分为3 个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释3高（High）IT 资产为机密信息，对信息的访问只有必须使用者才予以授权，IT 资产机密性受破坏影响严重，用户蒙受损失，并且损失较难弥补。2中（Medium）信息为内部信息，公司内部可以授权访问，对信息潜在未授权访问影响重大，但是造成的损失可以弥补。1低（Low）信息为公

37、开信息，对信息的访问无需特别授权。并且由于机密性原因造成的损失容易弥补。2) 完整性赋值标准（Integrity）根据IT 资产完整性属性的不同，将它分为3个不同的等级，分别对应IT 资产在完整性方面的价值或者在完整性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释3高（High）对信息的未经授权的破坏或修改有重大影响，且可能导致对信息价值资产损失严重，难以弥补。2中（Medium）对IT 资产的未经授权的破坏或修改造成影响，且可能导致对IT 资产价值损失，但可以弥补。1低（Low）对IT 资产的未经授权的破坏或修改不会产生重大影响。且可能导致对IT 资产价值轻微损失，但容易弥

38、补。3) 可用性赋值标准（Availability）根据IT 资产可用性属性的不同，将它分为3个不同的等级，分别对应IT 资产在可用性方面的价值或者在可用性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释3高（High）合法使用者对信息的存取可用度达到年度95%以上。2中（Medium）合法使用者对信息的存取可用度在正常工作时间达到100%。1低（Low）合法使用者对信息的存取可用度在正常工作时间至少达到50%以上。5.3.3 资产分类 应收集的信息lIT 系统的功能需求（Functional Requirements）；l系统的用户，包括为系统提供技术支持的系统用户（Syst

39、em Users），和使用系统执行业务功能的应用用户（Application Users）；l系统安全政策（Security Policy），包括机构政策（Organizational Policy）、政府要求（Federal Requirements）、法律法规（Law）和业界惯例（Industry Practices）；l系统安全架构（System Security Architecture）；l当前的网络拓扑（Topology）；l保护系统和数据可用性、完整性和保密性的信息存储安全措施；lIT 系统相关的信息流图，如系统接口、系统输入和输出流程图（Flowchart）；l用于 IT 系统

40、的技术控制措施，如支持识别（Identification）和认证（Authentication）、访问控制（Access Control）、审计（Audit）、残留（Residual）信息保护、加密（Encryption）的内建或附加安全功能；l用于 IT 系统的管理控制措施，如行为规则（Rules of Behavior）、安全计划（Security Planning）；l用于 IT 系统的运行控制措施，如人事安全（Personnel Security）、备份（Backup）、应急（Contingency）、复原（Resumption）和恢复（Recovery）操作、系统维护（System

41、Maintenance）、离站存储（Off-Site Storage）、用户账户（User Account）建立和删除规程、用户功能隔离（Segregation）控制；lIT 系统的物理安全措施，如设施安全（Facility Security）、数据中心政策（Data Center Policies）；lIT 系统的环境安全措施，如湿度、温度、水、能源、污染和化学品控制。5.3.4 信息收集技术l问卷（Questionnaire），如评估人员设计关于管理和运行控制方面的问卷，将其 发放给设计或支持系统的技术或非技术管理人员填写，也可以在现场访问中使用；l现场访问（On-Site Intervi

42、ews），与系统支持和管理人员会面了解系统相关信息，并可以现场了解系统的物理、环境和运行安全措施；l文档查看（Document Review），政策文档，如法律文件（Legislative Documentation）、上级指示（Directive），系统文档，如系统用户指南、系统管理手册、系统设计和需求文档、采购文档，安全相关文档，如以前的审计报告、 风险评估报告、系统测试结果、系统安全计划、安全政策可以提供大量相关信息；l 使用自动化扫描工具（Automated Scanning Tool），使用如网络扫描工具等技术方法可以快速获得系统配置信息Vulnerability Manager 提

43、供自动的资产发现。在 Vulnerability Manager 的实施过程中，我们依照 Vulnerability Manager 自动发现的资产和类别，使用问卷作为主要的信息收集方式，同时结合现场访问及文档查看。5.3.5 资产的组织划分通过在 XXX 公司的资产调查和信息比对，我们最终会将需要安全风险管理的资产划分为四个级别，如下所述：1) 低 Low（1）在 IT 资产中属最不重要的，其安全几乎不影响业务，它的漏洞修补优先级也是最低的；2) 中 Moderate（2）中等优先等级，如一般的服务器或应用；3) 高 Signification（3）重要的 IT 资产，通常是重要的应用服务器

44、；4) 极高 Extensive（4）最高优先等级的 IT 资产，其安全性、可用性和可靠性会导致企业的整个业务的中断，如 XXX 公司的业务主机、数据库服务器等。5.3.6 入侵、非入侵方式弱点发现McAfee 的 MVM 产品具有强大的漏洞、弱点发现和识别能力，且根据不同行业和不同用户的需求，能根据用户的需求制定入侵模式和非入侵模式的检查策略，高效灵活的扫描检查各类资产漏洞或弱点验证。完全覆盖所有 Windows、Unix、Linux 等各种系统或嵌入式系统检查能力；且根据不同环境中的上层应用针对性的扫描和暴露各类应用层、数据库层面等潜在的弱点；同时具备丰富的网络设备和虚拟化环境的识别能力，

45、能精准的识别各类网络设备包括路由器、交换机、负载均衡、防火墙等网络设备以及虚拟化环境下的虚拟系统以及虚拟应用；同时对于常见的企业网络中无线 AP 节点设备的安全潜在漏洞也具备准确和高效的识别能力。5.3.7 用户弱点规则自定义 (FASL)McAfee 的 MVM 产品为开放式设计，用户可以购买使用相关攻击脚本自定义模块。用户可根据实际情况，结合相关安全专家的意见，通过 FASL 脚本语言，制定出完全自定义的扫描验证脚本，极大提高了 MVM 的产品的准确性和适应性。备注：缺省不含此模块。5.4 风险评估策略及周期的设定5.4.1.风险评估策略的设定Vulnerability Manager 中

46、内置了二十种的扫描策略模版，包括 SANS/FBI TOP 20 扫描模版。更重要的是 Vulnerability Manager 还提供了简单容易的客户化报表的功能，在定制扫描任务时，用户可以依据平台选择设定网络扫描任务：定制扫描任务5.4.2.网络扫描周期弱点评估的周期不宜太频繁，也不宜间隔太久，根据各个资产组的不同情况，分别设 定：1) 网络设备：由于网络基础架构的变化小，漏洞少，因此评估周期可以在 1-2 周；2) 主机：一般资产 1-2 周，关键性资产保证 1 次/周；3) 数据库及服务器：1 次/周；4) 区域：需要根据网络区域的具体情况，另行设定。McAfee MVM 提供扫描窗

47、口功能，能够确保扫描任务仅在“扫描窗口”中工作。5 . 4 . 3 扫描结果通知当弱点评估扫描完成后,系统会通过预设的策略,通过指定的 Mail 或 SNMP 方式通知管理员当前扫描的结果.5.5 修补工作流在安全风险管理系统中，弱点的修补管理是一个重要环节。在 Vulnerability Manager 中的安全漏洞修补通过 Remediation 模块进行修补工作流管理，因此，通过该模块，可以根据扫描发现的新的安全漏洞自动产生漏洞修补票单（Ticket），通过邮件发送给漏洞修补岗，漏洞修补岗接收到 Ticket 后，根据 VulnerabilityManager的指示修补漏洞，可以人工关闭

48、 Ticket，也可以由Vulnerability Manager 通过扫描自动关闭 Ticket。另外，若 Vulnerability Manager 检测到在规定的期限内，漏洞没有修补，则向全局管理员、Remediation 管理员和漏洞修补岗发送报警邮件，提示漏洞修补岗及时修补。我们建议在 XXX 公司的修补工作流中，设置三种角色：1) 修补监督岗由安全管理员担任2) 分派岗由各个资产组管理员担任，需要人工分派 Ticket 时，人工发送修补Ticket3) 漏洞修补岗由资产管理员担任，根据 Vulnerability Manager 的指示修补安全漏洞。是标准的修补工作流在现有的网络环境中，各个资产组的漏洞修补可能涉及到不同的系统维护人员，也涉及到是否需要和第三方的漏洞修补程序进行联动，在实施过程中，确认下来的漏洞修补责任人将会以补充文档的形式进行记录，最终形成完整的修补工