XXX公司漏洞管理解决方案(纯MVM风险管理体系视角切入)

1、 本文档仅限McAfee公司和被呈送方内部使用，未经许可，请勿扩散到第三方。第 PAGE 34 页 共 NUMPAGES 34 页 McAfee漏洞管理安全解决方案为XXX公司设计署名：Author Name, Title, Group or Department, Company TIME yyyy年M月d日 2012年7月9日文档说明非常感谢XXX给予McAfee公司机会参与此次漏洞管理项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是，本文档所涉及到的文字、图表等，仅限于McAfee公司和XXX内部使用，未经McAfee公司书面许可，请勿扩散到第三方。

2、目 录 TOC * MERGEFORMAT 1方案概述 PAGEREF _Toc329613366 h 52XXX公司需求分析 PAGEREF _Toc329613367 h 62.1XXX公司的网络现状 PAGEREF _Toc329613368 h 62.1.1网络现状 PAGEREF _Toc329613369 h 62.1.2面临的安全威胁 PAGEREF _Toc329613370 h 72.1.3现有安全措施的问题 PAGEREF _Toc329613371 h 72.1.4未来的发展趋势 PAGEREF _Toc329613372 h 82.2需求分析 PAGEREF _Toc3

3、29613373 h 83McAfee安全风险管理解决方案 PAGEREF _Toc329613374 h 103.1 McAfee安全风险管理体系 PAGEREF _Toc329613375 h 103.1.1安全风险 PAGEREF _Toc329613376 h 103.1.2 McAfee的安全风险管理 PAGEREF _Toc329613377 h 113.1.3安全风险管理体系的实现 PAGEREF _Toc329613378 h 143.2 McAfee Vulnerability Manager 风险管理流程 PAGEREF _Toc329613379 h 144XXX公司Mc

4、Afee Vulnerability Manager 的部署 PAGEREF _Toc329613380 h 184.1 McAfee Vulnerability Manager 的部署 PAGEREF _Toc329613381 h 184.2 MVM 3100 PAGEREF _Toc329613382 h 194.3 Vulnerability Manager 部署后的效果 PAGEREF _Toc329613383 h 195XXX公司Vulnerability Manager 系统的管理 PAGEREF _Toc329613384 h 215.1管理人员及权限 PAGEREF _To

5、c329613385 h 215.2用户权限的设定 PAGEREF _Toc329613386 h 225.3资产管理和重要性划分 PAGEREF _Toc329613387 h 235.3.1资产统计 PAGEREF _Toc329613388 h 235.3.2资产分类依据 PAGEREF _Toc329613389 h 245.3.3资产分类应收集的信息 PAGEREF _Toc329613390 h 265.3.4信息收集技术 PAGEREF _Toc329613391 h 275.3.5资产的组织划分 PAGEREF _Toc329613392 h 285.3.6入侵、非入侵方式弱点

6、发现 PAGEREF _Toc329613393 h 285.3.7用户弱点规则自定义(FASL) PAGEREF _Toc329613394 h 285.4风险评估策略及周期的设定 PAGEREF _Toc329613395 h 295.4.1.风险评估策略的设定 PAGEREF _Toc329613396 h 295.4.2.网络扫描周期 PAGEREF _Toc329613397 h 295.4.3扫描结果通知 PAGEREF _Toc329613398 h 305.5修补工作流 PAGEREF _Toc329613399 h 305.6报表管理 PAGEREF _Toc32961340

7、0 h 315.6.1Vulnerability Manager 报告类型 PAGEREF _Toc329613401 h 315.6.2XXX公司的报表管理 PAGEREF _Toc329613402 h 325.7 Vulnerability Manager 的更新 PAGEREF _Toc329613403 h 336同类产品比较的优势 PAGEREF _Toc329613404 h 34方案概述McAfee Vulnerability Manager 安全风险管理解决方案可以帮助XXX公司优化目前和将来的安全风险，实现法规遵从管理流程，同时，又能够最大限度地提高其业务可用级别、数据保护

8、水平并取得最大的投资回报率。本方案根据XXX公司目前的信息安全建设状况，借助McAfee在信息安全领域的先进技术和解决方案，以动态安全风险管理为基础，提出了全面的信息安全解决方案及实施步骤。其最大的特点是：以全面的量化安全风险为基础，在系统和网络层面构建全面的安全威胁防御体系，完善健全安全措施，当安全风险等级变化时，风险管理管理系统提供详细的安全风险变化原因和补救措施，同时，调整系统和网络层面的防御策略，真正的做到全面防御，有的放矢。在本方案中，我们推荐部署Vulnerability Manager 3100，实现整个XXX公司增值业务综合网络支撑平台的应用系统的安全风险管理和控制。在解决方案

9、中，涉及到如下产品：McAfee Vulnerability Manager Appliance 3100：包括软硬一体化的设备，硬件使用机架服务器，OS系统已经按照美国国家安全局安全加固指南加固，所以设备和软件自身具有安全性，并且OS系统的补丁通过McAfee的SUS系统更新。在MVM3100硬件平台上安装了最新版本的Vulnerability Manager Enterprise软件，由四部分组成：Manager、扫描引擎、数据库和用户Web门户，在整个安全管理方案中起核心作用，进行风险监控、安全弱点管理、IT资产管理、威胁管理、安全弱点修补工作流管理和向入侵防护系统提供计算机网络中存在的

10、弱点和威胁信息。软件IP许可License: XXXX个。XXX公司需求分析随着XXX公司业务的增长，安全管理部门所面对的威胁种类也同样日益增多。管理人员每天都会接到有关系统漏洞、新软件漏洞或新恶意代码的警报，所有这些警报的安全级别很难一下子判断出来。因此，结果往往是管理人员不由自主地被这类事务牵着鼻子走，采取既耗时又费力的行动，比如查漏洞、打补丁等。然而，这些行动不见能够真正起到防护的作用。基于目前的现状，McAfee建议XXX公司建立一套动态安全风险管理机制，使有限的资源可以集中于应对企业面临的最大威胁。识别风险并确定风险的等级，是采取合理有效措施的关键所在。McAfee认为，任何公司都不

11、会有足够多的财力和人力用于完全消除所有潜在风险。因此，将所面临的各种风险量化，然后据此确定安全投入的优先顺序就势所必然。2.1XXX公司的网络现状2.1.1网络现状目前XXX公司的网络当中已经形成比较完善的网络架构，也已经部署了一些网络安全产品，在现有的网络环境当中，仍然面临不少的安全威胁，同时，也需要一个整合性的安全解决方案或者设备，能够构建一个完善的安全处理流程，帮助XXX公司动态有效的实现安全风险管理。2011年XXX公司更新改造工程(安全漏洞扫描部分)建设，基于以上XXX公司综合网络支撑平台的网络情况，新增漏洞扫描设备，对XXX公司增值业务综合网络支撑平台全网提供一次完整的扫描、提交报

12、告并对系统实施安全加固，使之合规，需要进行漏洞评估的规模如下：客户资产规模描述2.1.2面临的安全威胁外部威胁：黑客的攻击入侵，造成信息泄露，或者破坏网络、应用和服务器系统，造成网络、应用和服务器系统瘫痪；蠕虫利用操作系统、应用、Web服务器和邮件系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门，同样，在传播过程中，产生大量的TCP、UDP或ICMP垃圾信息，造成网络拥塞，如Sql Slammer、Nimda、“冲击波”和Nachi蠕虫病毒。面临Internet的黑客攻击，包括DOS/DDOS攻击，造成网络服务中断。管理网用户文件拷贝，Internet访问带来：病毒、蠕虫、间谍程序、后门

13、程序和特洛伊木马的威胁内部威胁：系统管理员离职前或者离职后恶意的破坏，如恶意的数据删除，数据修改恶意的窃取更高权限口令，常见的是每天进行口令猜测，同时又不触发报警，如，若知道口令规则是出错三次报警，则每天进行两次口令猜解。恶意的扫描，用来发现开放的端口、网络和系统中的漏洞恶意的针对存在漏洞的攻击2.1.3现有安全措施的问题现在已经部署的网络安全产品，主要分为两种类型：系统防护类产品系统防护类产品主要包括防病毒、防垃圾邮件等产品，为了解决计算机系统终端的安全问题，往往针对某一个种类的安全威胁提供防护功能。系统防护类产品提供的均为被动的防御机制，是系统防护的最后一道防线，难以预防安全问题的发生，一

14、旦升级或者更新滞后，将会带来严重的安全隐患。网络防护类产品网络防护类产品提供网络层面的入侵保护和防御功能，如防火墙、入侵防护系统等，主要为企业构建其安全的网络边界，但是网络防护类产品忽略了内部的安全威胁，而70%的攻击和信息窃取行为均发生在网络内部，因此网络防护类产品解决了外部的安全威胁，但是难以在整体上确保企业网络的可靠性。2.1.4未来的发展趋势随着信息安全领域的发展，安全风险作为整个企业信息安全状况的参数越来越为管理者所重视，只要能够有效地管理企业安全风险，及时修补网络内部的各个安全漏洞，就能够在面对任何安全威胁的时候从容不迫的解决问题。也就是说，企业具有了信息化的核心资产（比如有很重要

15、的数据保存在服务器上），这些资产存在弱点和漏洞（比如微软操作系统的漏洞），又存在被损害的可能（比如病毒、黑客攻击等等），才可能给企业造成损失。因此，企业的安全风险和这三个方面相关，企业也只有同时管理好这三个方面，才可能真正的确保网络安全。而传统的安全产品（防病毒、防入侵等），只是去抵御安全威胁，却忽视了资产的重要性和对漏洞的管理。企业目前真正需要的是全面的动态安全风险管理体系。2.2需求分析从上面我们可以看到当前XXX公司面临的主要安全问题和较好的解决方案，因此，一劳永逸的解决安全问题的最好办法是：能够及时发现计算机网络中的安全风险，其次通过量化的安全风险监控及时发现风险的变化和了解安全风险变

16、化的原因；及时识别计算机网络中的安全弱点，并且获得具体的安全弱点的修补建议，并且能够跟踪修补过程、验证修补结果，以便及时了解弱点是不是真正被消除；发现的新的弱点和新的威胁时，能够有手段在Internet入口阻止这些威胁，为补丁安装赢得时间（需要和入侵防护类产品整合）；将现有的安全解决方案进行整合，形成完整的安全风险管理流程。McAfee安全风险管理解决方案3.1 McAfee安全风险管理体系实际上，任何企业的信息安全问题最终都是为了降低核心信息资产面临的安全风险，避免这些信息资产由于安全威胁而受到损失。因此，McAfee建议XXX公司在考虑信息安全体系建设的过程中，应该首先根据自身情况，结合国

17、际先进的安全风险管理流程，明确安全风险的三个重要方面及控制手段，有计划有步骤的加强整个信息安全体系的建设，才能达到最好的效果。3.1.1安全风险我们之所以要解决安全问题，是因为信息网络存在被病毒、黑客攻击等各类安全威胁攻击的可能性，也就是说存在安全风险，并随时可能因此给企业造成财产、时间、声誉上的损失，而根据权威机构（数据来源：Gartner）的分析，安全风险得大小主要取决于以下三个方面：Gartner安全风险公式也就是说，当企业具有了信息化的核心资产（比如有很重要的数据保存在服务器上），这些资产存在弱点和漏洞（比如微软操作系统的漏洞或空口令），又存在被安全威胁攻击的可能（比如病毒、黑客攻击等

18、等），就会给企业造成损失。而McAfee认为，一个企业想要解决好信息安全的问题，也一定要从这三个方面入手，也就是从有效控制安全风险入手，企业的安全风险和这三个方面紧密相关，也只有同时解决好这三个方面的问题，才可能真正的确保信息系统的安全。下面就结合XXX公司的实际情况，论述一下McAfee信息安全风险管理的方法论，以及在XXX公司信息安全建设现阶段的意义所在。3.1.2 McAfee的安全风险管理McAfee根据安全风险的特点和三个关键要素，提出了安全风险管理的方法论，其核心思想是根据企业的基础环境，在全面统计资产数量和整合现有安全措施的基础上，准确地评估资产存在的安全漏洞和现状，并通过系统和

19、网络层面的安全防御手段有效抵御安全威胁。安全风险管理方法论McAfee SRM（Secure Risk Management）安全风险管理流程如下图所示：McAfee SRM风险管理简单流程如上图所示，不管企业现在的现实情况如何，都需要一套有效的安全风险管理流程，需要“制定合理可行的安全策略”“有效地评估可能存在的安全风险”“通过各类安全防护措施抵御安全威胁”“能够真正符合企业的信息安全要求”。而在实现McAfee安全风险管理的过程中，我们需要通过不同的安全防护措施和手段，才能达到比较好的效果，如下图所示： McAfee SRM体系需要的产品和工具通过这些系统防护、网络防护、安全风险管理的产品

20、和手段，建设完整的安全风险管理体系可以帮助企业：始终遵守确定的安全政策；基于安全风险管理，整合网内现有的安全防护产品；提供全面的实时防护手段来准确检测并阻止安全威胁；始终一致地衡量法规遵从性标准，最终帮助企业达到既定的安全目标和安全标准。McAfee安全风险管理的详细步骤McAfee的安全风险管理理论，为企业提供一个风险管理的指导性方针和流程，使得企业能够整合目前在使用的各类产品，以安全风险管理为基础，做到主动防护、有效管理、防患于未然。安全风险管理的详细流程如下所述：确立安全标准和方针；2统计信息资产；3整合并确认资产的商业价值；4检测资产存在的安全漏洞；5了解存在的潜在威胁；6分析存在的安

21、全风险；7通过安全防御产品实时阻断各类威胁；8强制安全策略并应用补救措施；9评估安全效果和影响；10进行策略符合性比对。 McAfee动态安全风险管理方法论综上所述，传统的安全产品（防病毒、防火墙等），只是去抵御安全威胁，却忽视了对整体安全风险的考虑，而McAfee的安全风险管理体系考虑到了可能影响企业安全风险的三个关键要素，并且可以结合现有的安全产品，通过完善安全风险管理流程帮助企业实时的控制整体安全风险，真正的解决安全问题。3.1.3安全风险管理体系的实现依据McAfee 的安全风险管理流程，McAfee拥有先进的技术和解决方案能够帮助客户实现全面的安全风险管理，其中包括：安全威胁的防护手

22、段：终端及网络层面的各类安全威胁防御措施，XXX公司目前已经拥有了比较完善的终端防病毒系统及邮件防护系统，这些都是构建整个安全风险管理体系的重要基础。安全风险管理手段：McAfee Vulnerability Manager 作为全球领先的安全风险管理产品，不但提供全面的资产统计管理工具，同时可以帮助企业实时扫描资产存在的安全漏洞，并通过主动的网络防护消除已知、未知和将来出现的威胁，为补救赢得时间，同时，降低整体安全风险，同时，通过和McAfee IntruShield的整合，可以实现和网络防御产品的联动，更加主动的去控制安全风险。因此，McAfee建议XXX公司以有效控制安全风险为目标和基础

23、，通过先进的技术解决方案及内部管理流程，最终实现一个完善的、主动的和可以对抗未知威胁的以安全风险管理为基础的整体解决方案。3.2 McAfee Vulnerability Manager 风险管理流程Vulnerability Manager 作为全球领先的动态安全风险管理产品，可以帮助用户实现动态的安全风险评估和管理，完善安全管理流程。Vulnerability Manager 的工作流程如下：Vulnerability Manager 的工作流程如上，Vulnerability Manager 是一个动态的安全风险管理系统，持续不断的帮助客户评估和管理网络安全风险，并且帮助客户追踪漏洞的修

24、补情况。基于优先级的漏洞管理方法 有许多潜在的攻击威胁着企业的安全。若能集中精力处理最关键的资产和那些风险最高的漏洞和威胁，企业便可以最充分地利用企业的宝贵资源。 资产关键性标记、先进的安全指标以及其他直观的报告功能都有助于您衡量企业的风险状况，并交流基于目标决策流程所进行的改进； 在最适合的时候、最适合的地方做出响应，在威胁影响业务可用性之前防患于未然； 即时了解新的漏洞或入侵威胁对现有的风险降低优先级会带来何种影响； 使用一个闭环系统来取代企业用于管理漏洞的低效而耗时的流程及独立产品，为企业的 IT人员节省宝贵的时间； 无需特定的 IT 专业知识即可快捷地安装零维护的 MVM 3100 远

25、程扫描引擎设备，使IT 人员可以更专注于消除风险。 控制漏洞管理生命周期 Vulnerability Manager Enterprise 是一款全面的、基于设备的、即插即用的漏洞管理和风险缓解解决方案，它使企业现有的减少漏洞风险的流程更趋自动化，集成化和简便化。Vulnerability Manager Enterprise 使企业可以直接控制漏洞管理生命周期： 发现资产并评估资产的重要性；前瞻性地处理和识别漏洞；实施基于资产的补救措施；评估并报告安全策略的符合性。威胁降低的评估和管理Vulnerability Manager 拥有嵌入式安全技术和威胁管理工具，即使企业内部缺乏专业技术也可进

26、行威胁评估和管理，从而使企业能够快捷地评估其安全状况、对业务单位或区域进行标准检查以及跟踪安全策略和计划的实施进度。 使用简单易懂的度量标准（例如：FoundScore、MyFound-Score和Risk Score）来了解系统和网络资源的风险。使用模板可以评估是否符合政府或行业的相关法规，例如 BS7799、FISMA、HIPAA 和 PCI；可扩展至 A 类网络 闭环补救工作流程系统在发现新漏洞后将自动打开和分配凭证，并在完成补救工作后自动验证和关闭凭证；灵活的用户帐户系统和细化的基于角色的访问策略使您可以轻松而有效地管理各种规模的企业；无与伦比的威胁可视化功能使您可以定期在所有设备上深

27、入搜索和分析各种漏洞和错误配置情况。综上所述，通过Vulnerability Manager 可以全面的解决企业面临的安全风险问题，主动地、前瞻性的解决各类安全隐患。XXX公司McAfee Vulnerability Manager 的部署综上所述，我们建议在XXX公司综合网络支撑平台的中心部署一台Vulnerability Manager 3100设备,MVM支持对多个不连续的C类、B类、A类网段的扫描，从而实现该平台的应用系统的全面的安全风险管理。4.1 McAfee Vulnerability Manager 的部署Vulnerability Manager 3100系统可以如下图所示部

28、署在XXX公司的任一机房中。仅需配置管理用的IP地址。可以根据实际需要分配扫描用的IP地址，并确保在防火墙上方向扫描用的IP地址能够访问得到需要评估的目标主机即可。XXX公司McAfee Vulnerability Manager 安全风险管理系统部署架构图参考图管理人员可以在任意位置通过浏览器登陆MVM 3100就能够配置和管理MVM系统。4.2 MVM 3100McAfee Vulnerability Manager Enterprise是跨平台，基于IT资产的企业级安全弱点管理系统。它由扫描引擎（Scan Engine）、数据库（MS SQL Server）、管理端（Manager）和用

29、户门户（User Portal）四个部分做成。 McAfee MVM支持对已知各个操作系统版本、网络设备、商业软件、数据库及Web应用的扫描和评估，可以通过独立的Web安全扫描策略检查Web网站上网页应用程序之Web登入账号密码组合、SQL Injection数据库查询弱点、网页程序代码暴露弱点、Hidden / Left-Behind Files网页目录隐藏文件以及网站服务器平台与版本、SSL版本等，以有效掌握网页应用程序漏洞。同时McAfee Vulnerability Manager提供的无线安全扫描模块还可以扫描无线设备的安全风险状况，并提供对SQL、MYSOL、Oracle等多种数据

30、库德扫描策略。McAfee MVM提供专门的windows资产风险管理模块，特别针对windows操作系统设定专用的扫描和评估策略，方便管理员使用。McAfee MVM提供专门的Web应用扫描模板，根据Web应用的特点和处理模式，提供渗透测试功能，提供专用的Web应用配置分析功能。Vulnerability Manager MVM 3100是硬件设备，所以部署非常容易，只需配置指定的IP地址，该IP要求加入XXX公司的DNS服务器，接入XXX公司指定的数据中心的交换机，在半小时内就可以进入配置阶段。通过在XXX公司内部网络部署McAfee Vulnerability Manager MVM 3

31、100产品，实现对XXX公司网络数据中心应用服务器的安全风险评估和管理。4.3 Vulnerability Manager 部署后的效果在部署了Vulnerability Manager 系统之后，可以在XXX公司数据中心的网络架构中实现如下效果：能够发现XXX公司整个综合网络支撑平台网络中的安全风险；通过量化的安全风险对其实施监控，及时发现风险变化和了解安全风险变化原因；及时识别计算机网络中的安全弱点，并且获得具体的安全弱点的修补建议，并且能够跟踪修补过程、验证修补结果，以便及时了解弱点是不是真正被消除；动态的评估和管理XXX公司核心信息资产存在的安全风险，做到防患于未然。XXX公司Vuln

32、erability Manager 系统的管理在使用Vulnerability Manager 产品时，首先就要确认产品的组织架构和管理方式，在本次项目中，组织名称是XXX公司，组织的管理由安全管理员管理，整个组织分成多个主要管理域，各个管理域的管理员负责自己区域资产的风险管理，其中在后续的漏洞修补过程中，可能需要设定的安全漏洞补救工作流（Remediation）管理员和漏洞修补工作人员（Help Desk工作人员），也有可能需要特定的报表审计人员。5.1管理人员及权限具体的管理架构和权限设置可根据XXX公司的情况具体设定，举例如下：管理组织架构举例可能的管理员权限划分如下：安全管理员（可授权

33、）：由总部的管理人员负责，对所有的管理员权限进行配置和设定，定期对设备的运行状况进行查看，并作出相应调整，监督各个管理员的职责履行情况，有权对设备的配置或策略设定随时作出更改。安全管理员（不可授权）：作为策略的执行和监督人员，不能对各个管理员权限进行配置，但是可以随时调整和更改安全风险管理策略，作为策略的监督和设定人员，需要经常对策略进行调整，其下属的各管理域管理人员只能选择其设定的评估策略，不能擅自更改。网络组管理员：负责对划分到网络组的资产进行扫描设定，选择适合的策略，设定扫描周期，负责定期察看评估情况及漏洞修补状况。数据库管理员：负责对划分到数据库组的数据库服务器进行扫描设定，选择适合的

34、策略，设定扫描周期，负责定期察看评估情况及漏洞修补状况。主机组管理员：负责对划分到主机组的服务器进行扫描设定，选择适合的策略，设定扫描周期，负责定期察看评估情况及漏洞修补状况。区域管理员：针对不同的应用服务器，则需要设定一个或多个区域管理员，并设定权限，此权限还需要和相关公司及运维部门进一步沟通。补救工作流管理员：对于发现漏洞后的修补工作，可能需要相关维护部门的人员配合，而他们需要查看在完成修补动作后的修补效果，因此需要设定专门的修补工作流管理员，能够查看特定的表单处理状况。报告管理员：一般的风险管理报告可以由各个资产组的管理员进行处理，但是整个XXX公司网络中的整体安全风险变化情况，需要设定

35、一个报告管理员，定期完成生成和提交工作。当然，在实施过程中，具体的权限设定还需要和各个部门进一步沟通。5.2用户权限的设定用户权限控制采用基于角色的域、子域的树形控制方式，默认用户角色预定义的有全局管理员、域超级管理员、超级Remediation Administrator、子域超级管理员、子域Remediation Administrator等，通过用户管理界面可以很方便地定义新的用户角色。用户访问控制定义界面如下图：用户访问控制界面XXX公司总部和各网络扫描管理员用户访问通过Web浏览器使用Https加密访问Vulnerability Manager 的门户。5.3资产管理和重要性划分在使

36、用Vulnerability Manager 的过程中，对企业内部的信息资产根据其自身特点和所提供服务的重要程度进行分类是非常重要的，风险管理的成功与否，漏洞修补的效果如何，往往与此相关。但是，企业自身的资产，只有企业内部的管理人员最为清楚，因此，此次McAfee Vulnerability Manager 实施前的资产分类方法以ISO/IEC17799 资产分类方法为基础，结合XXX公司的实际情况，以保护XXX公司信息资产为核心，结合XXX公司本身的业务特点，提出了一个概括的风险管理流程及信息资产分类建议。5.3.1资产统计确认需要进行风险管理的资产组； 提供资产分组的重要信息，这些信息主要

37、包括以下类型： 硬件； 软件； 系统接口（如内部和外部连接）； 数据和信息； 支持和使用IT系统的人员； 系统的使命（如IT系统所起的作用）； 系统和数据的关键程度（如系统的价值或对机构的重要性）； 系统和数据的敏感性。 完成这些统计之后，得出资产的最终分组建议。5.3.2资产分类依据在ISO20001体系中，安全的三个特性（机密性C、完整性I、可用性A）是其核心思想，在IT 资产等级定义中也是围绕着这三个方面展开的，因此对IT 资产机密性、完整性和可用性的赋值也是评价IT 资产等级依据。对IT 资产进行安全属性赋值的目的就是为了更好地反映资产的业务价值，并区分出各资产的价值等级，为风险评估提

38、供量化基础。机密性、完整性和可用性的定义如下：保密性（C）：确保只有经过授权的人才能访问信息；完整性（I）：保护信息和信息的处理方法准确而完整；可用性（A）：确保经过授权的用户在需要时可以访问信息并使用相关IT 资产。在安全属性赋值时，以XXX公司业务为导向，以信息资产的C、I、A 赋值为基础，对XXX公司IT 资产的C、I、A 属性进行的赋值。主要方法是：先对信息资产的C、I、A 进行赋值，并以此为基础，通过对这些承载信息数据的载体，网络通信媒介、信息系统及相关的支撑资产识别，来完成对这些IT 资产的C、I、A 属性赋值。机密性赋值标准（Confidentiality）根据IT 资产机密性属

39、性的不同，将它分为3 个不同的等级，分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释3高（High）IT 资产为机密信息，对信息的访问只有必须使用者才予以授权，IT 资产机密性受破坏影响严重，用户蒙受损失，并且损失较难弥补。2中（Medium）信息为内部信息，公司内部可以授权访问，对信息潜在未授权访问影响重大，但是造成的损失可以弥补。1低（Low）信息为公开信息，对信息的访问无需特别授权。并且由于机密性原因造成的损失容易弥补。完整性赋值标准（Integrity）根据IT 资产完整性属性的不同，将它分为3个不同的等级，分别对应IT 资产在

40、完整性方面的价值或者在完整性方面受到损失时对整个评估体的影响。赋值标准参照下表：赋值含义解释3高（High）对信息的未经授权的破坏或修改有重大影响，且可能导致对信息价值资产损失严重，难以弥补。2中（Medium）对IT 资产的未经授权的破坏或修改造成影响，且可能导致对IT 资产价值损失，但可以弥补。1低（Low）对IT 资产的未经授权的破坏或修改不会产生重大影响。且可能导致对IT 资产价值轻微损失，但容易弥补。可用性赋值标准（Availability）根据IT 资产可用性属性的不同，将它分为3个不同的等级，分别对应IT 资产在可用性方面的价值或者在可用性方面受到损失时对整个评估体的影响。赋值标

41、准参照下表：赋值含义解释3高（High）合法使用者对信息的存取可用度达到年度95%以上。2中（Medium）合法使用者对信息的存取可用度在正常工作时间达到100%。1低（Low）合法使用者对信息的存取可用度在正常工作时间至少达到50%以上。5.3.3资产分类应收集的信息IT系统的功能需求（Functional Requirements）； 系统的用户，包括为系统提供技术支持的系统用户（System Users），和使用系统执行业务功能的应用用户（Application Users）； 系统安全政策（Security Policy），包括机构政策（Organizational Policy）、政

42、府要求（Federal Requirements）、法律法规（Law）和业界惯例（Industry Practices）； 系统安全架构（System Security Architecture）； 当前的网络拓扑（Topology）； 保护系统和数据可用性、完整性和保密性的信息存储安全措施； IT系统相关的信息流图，如系统接口、系统输入和输出流程图（Flowchart）； 用于IT系统的技术控制措施，如支持识别（Identification）和认证（Authentication）、访问控制（Access Control）、审计（Audit）、残留（Residual）信息保护、加密（Encry

43、ption）的内建或附加安全功能； 用于IT系统的管理控制措施，如行为规则（Rules of Behavior）、安全计划（Security Planning）； 用于IT系统的运行控制措施，如人事安全（Personnel Security）、备份（Backup）、应急（Contingency）、复原（Resumption）和恢复（Recovery）操作、系统维护（System Maintenance）、离站存储（Off-Site Storage）、用户账户（User Account）建立和删除规程、用户功能隔离（Segregation）控制； IT系统的物理安全措施，如设施安全（Facili

44、ty Security）、数据中心政策（Data Center Policies）； IT系统的环境安全措施，如湿度、温度、水、能源、污染和化学品控制。 5.3.4信息收集技术问卷（Questionnaire），如评估人员设计关于管理和运行控制方面的问卷，将其发放给设计或支持系统的技术或非技术管理人员填写，也可以在现场访问中使用； 现场访问（On-Site Interviews），与系统支持和管理人员会面了解系统相关信息，并可以现场了解系统的物理、环境和运行安全措施； 文档查看（Document Review），政策文档，如法律文件（Legislative Documentation）、上级指

45、示（Directive），系统文档，如系统用户指南、系统管理手册、系统设计和需求文档、采购文档，安全相关文档，如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全政策可以提供大量相关信息； 使用自动化扫描工具（Automated Scanning Tool），使用如网络扫描工具等技术方法可以快速获得系统配置信息Vulnerability Manager 提供自动的资产发现。在Vulnerability Manager 的实施过程中，我们依照Vulnerability Manager 自动发现的资产和类别，使用问卷作为主要的信息收集方式，同时结合现场访问及文档查看。5.3.5资产的组

46、织划分通过在XXX公司的资产调查和信息比对，我们最终会将需要安全风险管理的资产划分为四个级别，如下所述：低Low（1）在IT资产中属最不重要的，其安全几乎不影响业务，它的漏洞修补优先级也是最低的；中Moderate（2）中等优先等级，如一般的服务器或应用；高Signification（3）重要的IT资产，通常是重要的应用服务器；极高Extensive（4）最高优先等级的IT资产，其安全性、可用性和可靠性会导致企业的整个业务的中断，如XXX公司的业务主机、数据库服务器等。5.3.6入侵、非入侵方式弱点发现McAfee的MVM产品具有强大的漏洞、弱点发现和识别能力，且根据不同行业和不同用户的需求，

47、能根据用户的需求制定入侵模式和非入侵模式的检查策略，高效灵活的扫描检查各类资产漏洞或弱点验证。完全覆盖所有Windows、Unix、Linux等各种系统或嵌入式系统检查能力；且根据不同环境中的上层应用针对性的扫描和暴露各类应用层、数据库层面等潜在的弱点；同时具备丰富的网络设备和虚拟化环境的识别能力，能精准的识别各类网络设备包括路由器、交换机、负载均衡、防火墙等网络设备以及虚拟化环境下的虚拟系统以及虚拟应用；同时对于常见的企业网络中无线AP节点设备的安全潜在漏洞也具备准确和高效的识别能力。5.3.7用户弱点规则自定义(FASL)McAfee的MVM产品为开放式设计，用户可以购买使用相关攻击脚本自

48、定义模块。用户可根据实际情况，结合相关安全专家的意见，通过FASL脚本语言，制定出完全自定义的扫描验证脚本，极大提高了MVM的产品的准确性和适应性。备注：缺省不含此模块。5.4风险评估策略及周期的设定5.4.1.风险评估策略的设定Vulnerability Manager 中内置了二十种的扫描策略模版，包括SANS/FBI TOP 20扫描模版。更重要的是Vulnerability Manager 还提供了简单容易的客户化报表的功能，在定制扫描任务时，用户可以依据平台选择设定网络扫描任务：定制扫描任务5.4.2.网络扫描周期弱点评估的周期不宜太频繁，也不宜间隔太久，根据各个资产组的不同情况，分

49、别设定：网络设备：由于网络基础架构的变化小，漏洞少，因此评估周期可以在1-2周；主机：一般资产1-2周，关键性资产保证1次/周；数据库及服务器：1次/周；区域：需要根据网络区域的具体情况，另行设定。McAfee MVM提供扫描窗口功能，能够确保扫描任务仅在“扫描窗口”中工作。5.4.3扫描结果通知当弱点评估扫描完成后,系统会通过预设的策略,通过指定的Mail 或SNMP方式通知管理员当前扫描的结果.5.5修补工作流在安全风险管理系统中，弱点的修补管理是一个重要环节。在Vulnerability Manager 中的安全漏洞修补通过Remediation模块进行修补工作流管理，因此，通过该模块，

50、可以根据扫描发现的新的安全漏洞自动产生漏洞修补票单（Ticket），通过邮件发送给漏洞修补岗，漏洞修补岗接收到Ticket后，根据Vulnerability Manager 的指示修补漏洞，可以人工关闭Ticket，也可以由Vulnerability Manager 通过扫描自动关闭Ticket。另外，若Vulnerability Manager 检测到在规定的期限内，漏洞没有修补，则向全局管理员、Remediation管理员和漏洞修补岗发送报警邮件，提示漏洞修补岗及时修补。我们建议在XXX公司的修补工作流中，设置三种角色：修补监督岗由安全管理员担任分派岗由各个资产组管理员担任，需要人工分派Ticket时，人工发送修补Ticket漏洞修补岗由资产管理员担任，根据Vulnerability Manager 的指示修补