McAfee信息安全技术解决方案

方正证券

McAfee信息安全技术解决方案

McAfee（中国）公司

Tel:021-

2020年7月12日

目录

1方案概述....................................................................6

2安全需求分析................................................................8

2.1存在的安全风险......................................................8

2.1.1系统终端面临的安全威胁..........................................8

2.1.2网络上存在的安全威胁............................................9

2.1.3现有安全产品的不足..............................................9

2.1.4安全管理问题...................................................10

2.2需求分析...........................................................10

2.2.1在系统层面.....................................................10

2.2.2在网络层面.....................................................11

2.2.3整体解决方案...................................................11

3McAfeeSRM整体解决方案...................................................12

3.1方案设计原则........................................................12

3.2McAfeeSRM安全风险管理解决方案...................................12

3.2.1什么是安全风险.................................................12

3.2.2McAfeeSRM安全风险管理.......................................13

3.2.3安全风险管理体系的实现.........................................16

3.3McAfeeSRM的实现..................................................18

3.3.1McAfeeSRM部署步骤...........................................18

3.3.2McAfeeSRM部署的产品..........................................18

4McAfeeTOPS及MNAC的部署................................................20

4.1McAfeeTOPS的部署.................................................20

4.1.1ePO的部署.....................................................20

4.1.2防病毒客户端VSE8.5i及Anti-Spyware8.5的部署.....................22

4.1.3McAfeeHIPS7.0的部署...........................................22

4.1.4SiteAdvisor的部署................................................24

4.1.5部署架构图.....................................................24

4.2MNAC的部署.......................................................25

4.3部署后的维护建议...................................................28

4.3.1制定严格的病毒防治规范.........................................29

4.3.2建立快速、有效的病毒应急体系...................................30

4.3.3加强计算机安全培训.............................................30

4.3.4建立动态的系统风险评估措施....................................30

4.3.5建立病毒事故分析制度...........................................31

4.3.6确保恢复，减少损失.............................................31

4.3.7力口强技术防范措施...............................................31

5McAfeeIntruShield的部署......................................................33

5.1.1McAfeeIntruShield系统功能.......................................33

5.1.2方正证券IntruShield部署方案.....................................35

5.1.3IntruShield产品系列..............................................37

6方案优势....................................................................38

6.1TOPS产品特点......................................................38

6.1.1TOPS集中管理服务器ePO............................................................................................38

6.1.2McAfeeVirusScanEnterprise8.5i.....................................................................................40

6.1.3主机入侵防护HIPS7.0.....................................................................................................45

6.1.4MNAC(McAfeeNetworkAccessControl)............................................................47

6.2IntruShield产品优势..................................................49

6.2.1检测及防御功能.................................................49

6.2.1.1网络攻击特征检测.......................................49

6.2.1.2异常检测...............................................50

6.2.1.3DoS/DDoS攻击防御....................................51

6.2.1.4入侵防护功能...........................................51

6.2.2实时过滤蠕虫病毒和Spyware间谍程序.............................53

6.2.3虚拟IPS...................................................................................................................................54

6.2.4灵活的部署方式.................................................54

6.2.5具备风险识别的入侵防御.........................................56

6.2.6内置Web安全保护...............................................57

6.2.7永远在线的管理平台.............................................57

6.2.8SSL加密攻击检测...............................................58

6.2.9领先的虚拟内部防火墙...........................................58

6.2.10McAfeeIntruShield所获最新国际奖项..............................59

7华东地区金融证券典型案例...................................................60

7.1上海交通银行.......................................................60

7.2上海浦发银行.......................................................64

7.3上海证券交易所.....................................................66

7.4最新案例——上海银联68

1方案概述

McAfee作为全球最大的专业安全厂商，为全球100多个国家提供业界领先的基于动态

安全风险管理的安全整体解决方案，其最大的特点是：以安全风险的控制为基础，实时地了

解安全风险变化的原因，并且结合先进的系统防御和网络防御解决方案，帮助客户及时消除

各类安全威胁，建设主动的防御体系和完善的风险管理流程。

本方案主要以McAfeeSRM(SecureRiskManagement)风险管理解决方案为基础，同时

根据中国金融和证券行业的具体情况，结合系统安全和网络安全解决方案，实现动态的安全

风险管理并构架多层次主动的威胁防御体系。

在信息安全系统的建设过程中，需要遵循一定的规律，同时，也需要考虑到各个信息安

全产品之间的整合和联动，一个完善的解决方案应该涉及到系统安全和网络安全的方方面

面，同时将多种安全手段结合起来，以实现更好的效果。

McAfeeSRM整体解决方案正是业内领先的基于安全风险管理的综合性信息安全解决方

案，通过如下解决方案，实现对方正证券网络的全面保护：

系统防御解决方案一McAfeeTOPS解决方案：

•McAfeeVirusScan8.5i(网络防病毒产品)：全球领先的网络防病毒解决方案，提

供顶级的病毒库和扫描引擎，能够帮助客户抵御针对系统的病毒威胁，同时加

入了防火墙、入侵防护及防恶意程序功能，为系统提供全面的病毒防护功能。

•McAfeeAnti-Spyware8.5：McAfeeAnti-Spyware产品专门针对不断出现的后门程

序、间谍软件及恶意程序问题，有效保护系统不被恶意程序感染和危害。

•McAfeeHIPS7.0(HIPS):强大主机入侵防护产品(整合了桌面防火墙功能)，

防护针对主机系统的各类攻击行为，同时，能够提供强大的管理功能和桌面防

火墙功能，并对USB端口进行控制。

•McAfeeNAC(NetworkAccessControl)：提供全面的网络接入控制功能，能够对

接入网络的各类终端进行安全评估并采取不同的控制动作。

•McAfeeePO4.0(McAfee统一的安全管理平台)：为所有的McAfee系统防护产

品及McAfeeSCM提供统一的部署、管理、策略控制及报表功能，也会和网络

防护产品实现完全整合。是McAfee的综合安全管理平台。

网络防御解决方案：

•McAfeeIntruShield（IPS设备）：基于ASIC的硬件的网络入侵防护系统，实时阻

止黑客攻击、蠕虫病毒、间谍程序及DOS/DDOS攻击，并实现整合性的边界

安全功能。

•McAfeeSCM（安全内容管理）：McAfee的SCM产品可以直接部署在数据链路中，

通过强大的检测和防御功能，有效抵御各类病毒、蠕虫、病毒邮件、垃圾邮件

的危害，同时，对进出网络的数据信息进行内容过滤。

动态安全风险管理解决方案：

•McAfeeFoundStoneFS1000:软硬一体化的安全弱点管理和安全风险管理系统。

部署在网络中，能够评估企业安全风险的状况和变化请况，并采取主动措施对

安全风险实现控制和管理。

通过安全产品的整合及应用，在方正证券的网络当中实现完整的安全风险管理流程，有

效地控制整体安全风险。

2安全需求分析

2.1存在的安全风险

方正证券的网络现状如下图所示:

图2.1网络现状

下边，我们就简要讨论一下目前网络中存在的安全风险和我们应该采取的解决方案。

2.1.1系统终端面临的安全威胁

(1)终端操作系统可能面临严重的病毒威胁，病毒或蠕虫可以通过网络传输、共享文件、

移动存储、邮件、应用程序等多种方式进行传播，严重威胁终端的安全状况；

(2)新型的恶意程序(即Spyware)通过内部网络、Email、互联网或网络文件共享等多

种方式传播，不但危害终端安全，还可能对网络正常运转造成影响，而传统的防病

毒系统根本难以查杀；

(3)黑客针对系统终端的攻击行为频繁发生，随着攻击手段的多样化和攻击难度的降低,

黑客攻击行为呈现爆发的态势;

(4)各类非法或不安全的应用软件安装在系统终端，大量占用企业带宽资源的同时，还

带来大量的安全威胁；

(5)OA网络用户由于出差等原因经常离开企业网络，再次接入时会将外部网络的威胁

带入内网；

(6)外来人员随意接入OA网络，同样带来很大安全隐患；

(7)终端层面的防护手段多样化，给管理和配置带来一定难度，一定程度上造成信息安

全产品的使用效果难以保证。

2.1.2网络上存在的安全威胁

在网络层面，也存在大量的安全威胁，主要体现在：

(1)黑客的远程攻击，可能针对服务器，也可能针对各类网络设备；

(2)通过互联网传播的病毒、蠕虫以及Spaware等；

(3)恶意的扫描，用来发现开放的端口、网络和系统中的漏洞，以便加以利用；

(4)DoS/DDoS攻击行为;

(5)对各类应用缺乏有效的管理手段，带宽利用不合理；

(6)大量垃圾邮件通过互联网线路进入网络；

(7)通过互联网传播的病毒邮件、有害信息等。

2.1.3现有安全产品的不足

现在已经部署的信息安全产品，随着信息安全技术的不断发展，已经难以解决新出现的

各类安全问题，原因在于：

(1)防病毒：现在部署的传统防病毒产品不能有效查杀Spyware等各类新型的恶意程序,

同时，难以抵御针对终端的黑客攻击行为，也不能解决不安全用户的网络接入问题,

存在很多安全漏洞；

(2)防火墙：防火墙职能实现访问控制保护功能，但是不能检测恶意行为和程序，只是

被动的防护措施；

⑶WebCache设备：Cache设备的应用极大的提升了网络访问的性能和效率，但同时，

也忽略了Web病毒和恶意程序过滤的问题，如果cache下的网站含有恶意程序，将

造成难以估量的损失；

(4)入侵检测系统：入侵检测系统只能检测黑客攻击行为，却不能实现防护功能，是一

种非常被动的安全手段；而新的黑客攻击和安全威胁却需要我们第一时间就能将他

们阻挡。

综上所述，现有的安全措施存在很多不足，需要有新的解决方案完善信息安全防护系统,

并提供完善的安全风险管理流程。

2.1.4安全管理问题

已经部署的安全产品，如IDS,防病毒系统等只是在被动的抵御或检测安全威胁，缺乏

主动的防护措施和手段；而要实现主动的信息安全策略，则需要对企业整体的安全风险进行

监控和管理，目前的解决方案当中：

(1)不能对安全风险进行准确的评估；

(2)不能对安全风险的变化实现控制；

(3)缺乏整体解决方案，结合所有的信息安全产品，从而实现全面的安全风险管理。

2.2需求分析

结合上面的威胁分析，我们可以看到当前网络存在一些安全隐患；因此，需要采取相应

的措施来消除这些威胁，降低整体安全风险，确保OA和应用网络的安全和高效运行，安全

需求可以归纳为以下几个方面：

2.2.1在系统层面

•部署先进的防病毒和防恶意程序产品，快速高效的查杀各类病毒及恶意程序，

确保终端安全；

•部署主机入侵保护产品，防止黑客对终端系统的攻击行为；

•部署主机防火墙，对终端的网络使用情况进行监控和管理；

•在网络中部署网络接入控制，防止不安全的终端系统接入企业内网;

•系统防护产品必须具有同一的管理平台，且只有一个客户端代理，以最大限度

的节省系统资源，提升管理效率；

•系统防护产品应该能够和网络防护类产品实现整合，以便构建整体安全风险管

理体系。

2.2.2在网络层面

•阻挡从内网或者外网发起的针对网络的DOS/DDOS攻击；

•能够监控和记录内部网络上的活动：包括端口扫描、漏洞扫描、异常流量，特

别是针对生产网络的非法访问和攻击（取代原IDS产品功能）；

•监控内部网络上的Spyware间谍程序活动；

•实时检测和防御各类黑客攻击行为；

•对互联网应用和流量进行监控和管理；

•有效防御垃圾邮件、病毒邮件的威胁；

•对内网用户的互联网访问进行内容过滤和监控。

2.2.3整体解决方案

•需要实现对安全风险的准确评估；

•结合企业的资产、漏洞和威胁状况，形成完善的安全风险变化曲线；

•协调系统防护和网络防护的解决方案，前瞻性地解决安全问题;

3McAfeeSRM整体解决方案

3.1方案设计原则

在设计整体解决方案之前，McAfee安全解决方案首先要考虑的是安全性，其次要考虑

部署安全设备及系统的可靠性、可用性；因此，在本次方案的设计过程中，均遵循以下设计

原则：

1）方案设计始终考虑业务安全需求；

2）建议的方案设施后不会影响现有计算机网络的安全性，不会降低现有系统的可靠性

和可用性，不影响现有系统和网络的性能；

3）防护类产品探测准确：不会出现误报和漏报；

4）可靠性：确保网络不会因为设备故障而造成中断；

5）安全产品部署后，不出因此出现性能瓶颈；

6）在不增加现有工作量的基础上，通过实现安全风险管理，能够全面提升安全管理工

作的效率。

3.2McAfeeSRM安全风险管理解决方案

McAfee基于国际信息安全标准，结合客户的现实，建议方正证券在考虑信息安全体系

建设的过程中，应该首先根据自身情况，结合国际先进的安全风险管理流程，明确安全风险

的三个重要方面及控制手段，有计划有步骤的加强整个信息安全体系的建设，才能达到最好

的效果。

McAfee凭借在信息安全领域的丰富经验和积累，帮助客户规划和实现完整的安全风险

管理（SecureRiskManagement：简称SRM）解决方案，真正前瞻性的解决安全问题。

3.2.1什么是安全风险

我们之所以要解决安全问题，是因为信息网络存在被病毒、黑客攻击等各类安全威胁攻

击的可能性，也就是说存在安全风险，并随时可能因此给企业造成财产、时间、声誉上的损

失，而根据权威机构（数据来源：Gartner）的分析，安全风险得大小主要取决于以下三个方

面：

安全风险=

■Workstation/Server■藤雷翻SoftwareBug■病毒VirusSpreading

■WirelessLANs/Devices■不必鎏留些UnnecessaryServices■fij&WonnOutbreak

■NetworkDevices■不雷的商熹定WfeakPasswords■酸客攻孽程式ExploitCodes

■酸容壬亘HackerTools

■Database•籍翔钿定Mis-configurations

■Applications■木禹屐『弓Trojanjbackdoor■骇客攻攀HackerAttacks

资产重要性）弱点看重性）威胁片重性）

X----------------------------------X

CM1CM3

防护对策:

•认证Authentication■弱点管理VulnerabilityManagement■防火墙Firewall

■备份Back-up■修补®3PatchManagement•防毒Anti-Virus

■负载均衡LoadBalance•入侵探测，防护IDS/IPS

■监控Monitoring

■加密Encryption

图3.1Gartner安全风险公式

也就是说，当企业具有了信息化的核心资产（比如有很重要的数据保存在服务器上），

这些资产存在弱点和漏洞（比如微软操作系统的漏洞或空口令），又存在被安全威胁攻击的

可能（比如病毒、黑客攻击等等），就会给企业造成损失。

因此，企业的安全风险和这三个方面紧密相关，也只有同时解决好这三个方面的问题，

才可能真正的确保信息系统的安全。

同样，在方正证券网络当中，具有重要的信息资产，并且同样面临漏洞和各类安全威胁,

如果只是简单的选择和部署安全防护设备，就总是在和安全问题的较量中处于被动，我们必

须拥有一整套完善的解决方案，对资产、漏洞及安全威胁进行整体的评估和控制，才能主动

的面对安全问题的不断变化。

3.2.2McAfeeSRM安全风险管理

McAfee根据安全风险的特点和三个关键要素，提出了安全风险管理的方法论，其核心

思想是根据企业的基础环境，全面准确的评估安全风险，并根据安全风险的状况结合系统、

网络层面的安全防御手段有效抵御安全威胁，最终主动的降低整体安全风险。

（1）安全风险管理流程

McAfeeSRM（SecureRiskManagement）安全风险管理的方法论如下图所示:

:确评估安全网险状况

EX/ALUA*

发现安全网险

通过管理强制

酣除在I

图3.2McAfeeSRM安全风险管理

要实现对安全风险的管理和控制，需要实现完整的风险管理流程：

•发现安全风险：通过有效的手段，确定存在安全风险的资产和区域，定位安全

风险存在的区域；

•评估安全风险：准确高效的评估安全风险，了解安全风险的大小和实质；

•强制措施降低风险：通过管理或强制等安全手段，主动地降低安全风险；

•安全防御：通过各类系统、网络安全设备，防御各类安全威胁；

•修补：主动修补存在的各类漏洞，全面降低安全风险。

综上所述，通过完整的SRM流程，对安全风险实现全面的管理和控制，5个步骤缺一

不可，同时，SRM风险管理流程根据企业的具体情况，可以有不同的实现方式，最终，通

过McAfeeSRM解决方案帮助客户：

•始终遵守确定的安全政策；

•基于风险管理，整合网内现有的安全防护产品；

•提供全面的实时防护产品更好的检测并阻止安全威胁；