湖南烟草技术方案
湖南烟草技术方案
页 1 1 / 57
目 目
录 一、概述 ......................................................................................... 3 1、方案概述 .............................................................................. 3 1.1、方案特点 ...................................................................... 3 1.2、方案设计思想 ............................................................... 4 2、湖南省烟草网络安全体系建设后达到的效果 ........................ 4 3、湖南烟草网络安全体系建设推荐产品 ................................... 5 二、湖南烟草网络安全防护需求分析 .............................................. 6 1、湖南烟草网络架构描述 ......................................................... 6 2、湖南烟草网络潜在的网络威胁分析 ....................................... 7 3、网络安全对湖南烟草造成的威胁 .......................................... 8 三、产品部署方案 ........................................................................... 8 1、推荐产品表 ........................................................................... 8 2、产品部署建议 ..................................................................... 10 2.1、防病毒 VirusScan 部署 .............................................. 10 2.1.1、防病毒客户端部署 ............................................. 10 2.1.2、防病毒管理服务器的部署 .................................. 11 2.2、邮件网关----防病毒和垃圾邮件部署 ........................... 13 2.3、Internet IPS 网关 IntruShield 部署 ............................. 15 2.1.1、省局部署 ........................................................... 16 2.1.2、市(州)局部署 ................................................. 17 四、推荐产品简介 ......................................................................... 18
1、McAfee VirusScan Enterprise8.0i 防病毒 .......................... 18 1.1、McAfee 桌面和服务器病毒防护产品 .......................... 19 1.2、McAfee VirusScan EnterPrise 8.0i 简介 .................... 21 2、安全管理中心 ePO3.5 ........................................................ 26 3、McAfee WebShield 邮件网关 ............................................. 32 3.1、WebShield 设备:可靠的网关安全解决方案 .............. 32 3.2、为企业提供多方位保护 .............................................. 34 3.3、安装与报告:灵活性与选项 .......................................... 36 4、McAfee Instrushield 入侵检测 ............................................ 39 4.1、IntruShield 灵活的部署方式 ....................................... 40 4.2、全面的状态分析 ......................................................... 42 4.3、签名检测、异常检测以及拒绝服务检测 ..................... 43 4.4、入侵防护 .................................................................... 46 4.5、硬件加速 .................................................................... 48 4.6、管理和控制 ................................................................ 49 五、McAfee 的技术支持与服务 .................................................... 50 1、技术支持与服务 ................................................................. 50 2、培训 ................................................................................... 56
一、概述 1 、方案概述 本方案是由 McAfee 公司建议的,针对湖南省烟草商业系统(包含省局、十四个市(州)局)的整体安全解决方案。因此本方案完全满足了湖南烟草本次招标的产品需求,而且还提供了主动安全防护的手段,使得湖南烟草在不需要升级,就能对抗和消除病毒威胁和入侵威胁。
1.1 、方案特点 McAfee 建议的湖南省烟草网络安全方案具有以下特点:
1)、多层次的安全防护:通过 Internet 网关 McAfee IntruShield,企业网络病毒防护 McAfee VirusScan Enterprise,邮件防护 McAfee WebShield,安全管理中心 McAfee ePolicy Orchestrator(以下简称 ePO),组成一个多层次的、相互补充的完整的网络安全解决方案。
2)、网络病毒防护:在湖南烟草商业系统内部部署网络版防病毒系统,能够及时的检测和控制各种文件、宏、网络蠕虫病毒的传播和破坏,同时不需要病毒签名,就可以对抗未知的、将出现的新的蠕虫病毒、特洛伊木马和后门程序。
3)、邮件系统防护:通过对湖南烟草商业系统的邮件系统进行实时的防护,可以阻挡夹杂在邮件中的病毒,同时利用邮件防护系统还能够很好的过滤掉邮件中广泛传播的垃圾邮件。
3)、Internet 边界实时防护:在湖南烟草商业系统的省公司、白沙物流机房及下属 14 个地市公司的 Internet 边界,通过 McAfee IntruShield 实时阻挡黑客攻击,从而阻挡进入烟草系统的内部网络。
4)、安全管理中心:McAfee ePO 管理软件,是 McAfee 所有安全产品的管理平台,能够对所有的设备进行统一管理。
1.2 、方案设计思想 本方案的设计基于湖南烟草计算机网络系统的整个安全防护的设计思想,包括:
1)、网络病毒防护 因为现在的病毒威胁不再是简单的文件型病毒、宏病毒和引导区病毒等类型,而主要是通过网络传播的蠕虫病毒,如果是单独的计算机防病毒,则会因为网络上某一台计算机没有及时升级,造成感染蠕虫病毒或是 Spyware 间谍程序,从而可能威胁到整个网络的安全和可用性,因此一个完整的防病毒系统防护是必要的。
2)、入侵防护 随着网络的不断发展,当前的网络入侵已经不局限于先前的网络模型中四层及以下的协议,而由低端转移到高端,现阶段所使用的防火墙系统还不能基于四层以上的安全防护,所以使用入侵检测产品 IPS 不但能够很好的检测出四层及以下的协议,而且还能够检测出四层以上的协议,并且对检测出的网络攻击行为进行实时的阻断,以达到网络入侵行为进入湖南省烟草内部网络。
2 、湖南省烟草网络安全体系建设后达到的效果 McAfee 建议的湖南烟草网络安全体系建立后,将达到以下安全的效果:
1)、实时的阻挡黑客攻击,McAfee IntruShield Internet 网关具有实时的阻挡针对湖南烟草网络内部以知、未知的黑客攻击和 DOS/DDOS 攻击,而且这些阻挡不需要互动,完全有 IntruShield 自身实时完成。
2)、完善的病毒防护,通过湖南烟草网络中计算机(包括各种平台的服务器、桌面计算机和便携电脑)上的防病毒客户端和防病毒服务器,组成一个全面的防病毒防护系统。
3)、主动的病毒防护,McAfee VirusScan 防病毒客户端不需要病毒签名就可以阻挡未知蠕虫病毒,同时还集成了业界最强大的 Spyware 探测清除模块和类似防火墙的模块,达到实时的阻挡恶意代码的效果。
4)、基于多协议的安全邮件防护,McAfee WebShield 可以对 HTTP、SMTP、
POP3、FTP 做病毒扫描,同时 McAfee WebShield 的 Spamkiller 功能可以起到对垃圾邮件的实时过滤作用。
5)、由于目前 McAfee VirusScan Enterprise 集成了 Access Protection(类似防火墙功能,可以做到基于端口的 inbound,outbound,及对 PC 内部文件的共享、读、写的处理方法等),Buffer Overflow Protection(缓冲区溢出保护),Unwanted Programs Policy(其中包括 Spyware、Adware 等恶意的处理),做到了基于桌面的综合防护系统。
6)、安全管理中心,McAfee ePO 是 McAfee 所有产品的综合管理平台,湖南烟草网络利用 EPO 可以控制、管理内部所有安装 McAfee VirusScan Enterprise Signature 和 Engine 的升级,以及所有电脑的病毒情况、微软漏洞及补丁安装情况,同时可以和 Cisco、checkpoint 网络设备联动做到基于不同的 Policy 有不同的访问权限,还能发现网络中新接入的主机。
3 3 、湖南烟草网络安全体系建设推荐产品
基于湖南烟草需求和安全体系建设原则,我们建议湖南烟草网络采用如下McAfee 产品组成湖南烟草完善的网络安全防护系统:
1)、网络防病毒系统、综合防护系统和安全管理中心 McAfee VirusScan Enterprise 8.0i,包括各种 Windows、Unix 和 Linux 平台的防病毒客户端和管理控制中心 McAfee ePolicy Orchestrator 3.5 两部分。
2)、邮件防护系统
McAfee WebShield,包括 McAfee WebShield 硬件 3)、网络入侵检测防护 McAfee IntruShield,包括 McAfee Intrushield 防护硬件 sensor 和管理端IntruShield Manager。
析 二、湖南烟草网络安全防护需求分析 1 、湖南烟草网络架构描述
由于湖南烟草网络结构比较复杂,管理又比较分散,网络入侵和病毒带来的威胁是相当现实的。网络入侵和病毒带来的损失是不可估量的,而在信息被破坏后再补救也无法挽回已经造成的损失,所以对湖南烟草网络来说,在网络安全方面我们建议以主动防护的防御方式为主。在湖南烟草网络可能出现网络安全问题的 Internet 入口部署入侵检测防护设备,在湖南烟草网络内部所有计算机上部署网络版的防病毒软件,在邮件系统之前部署病毒邮件过滤系统,将网络入侵和病毒阻挡在系统之外,起到主动防御的目的。
2 、湖南烟草网络潜在的网络威胁分析
基于上述描述,当前湖南烟草网络在以下网络安全防护方面存在一定的缺陷:
缺少病毒防护系统 在湖南烟草网络体系中,各类操作系统平台有大量的应用,此外还分布有大量的应用系统,如果没有采取任何病毒防护措施,这样信息交换很难保证该网络系统的安全,会对各类操作系统及关键应用业务产生潜在的安全威胁。防病毒软件应该是预防为主,而传统的防病毒体系依赖于病毒签名,因此在新的病毒出现到厂商发布病毒特征码之间,这段时间存在很大的漏洞,没有有效的防护,而病毒对湖南烟草网络真正造成损害也是在这段时间,如果不采用技术领先的不依赖于病毒签名的防病毒软件,就无法有效地堵住漏洞。
缺少多层入侵检测防护体系 一个有效的多层的入侵检测防护体系是必要的,而这正是原来湖南烟草网络所缺乏的,因此,构建一个全面的多层次的网络入侵检测防护系统,根据烟草特定的网络环境定制入侵检测防护策略,策略包括:预防策略、升级策略、阻断策略等等。从宏观角度统筹规划网络安全体系,全面顾及到网络系统入侵行为的发生、预防、清除、审核等各个阶段,能够在入侵发生的各个阶段对入侵进行有效的控制,将入侵行为损失降到最低。
缺少有效的中央管理中心 由于湖南烟草网络比较复杂,网络节点太多,且分布较散,要管理好整个网络安全设备的良好运行,必需有一个良好的管理控制系统。能通过远程方式实
现远程异地管理远程防病毒软件、入侵检测软件等,监视该软件的运行状况参数。能实现集中报警,准确的定位安全威胁节点,让管理员对安全威胁节点做适当处理以防危险扩大。
3 、网络安全对湖南烟草造成的威胁 外部威胁——湖南烟草网络有多个点与互联网有直接通道,虽然中间有防火墙验证数据的合法性,但仍会受到来自互联网的黑客攻击、病毒和间谍程序的威胁。
内部威胁——局域网中的工作站及服务器都会受到病毒的感染,病毒的攻击方式多种多样,有通过局域网传播,传统介质(光盘、软盘等)传播等等,一但受到感染,便会迅速传播,会给日常的工作和生产带来极大的威胁。
企业邮件服务面临威胁 —— 目前超过 90%的病毒都是通过邮件传播的,另一方面,垃圾邮件一方面携带病毒、Spyware,另一方面,某些垃圾邮件实际上是“Pishing Mail”,引诱用户连接到黑客网站,同时,垃圾邮件也极大地影响了企业的工作效率,因此,邮件服务给企业带来很大的安全威胁。
网络性能威胁 —— 高速传播和具有网络攻击能力的病毒,能占用有限的网络带宽,导致网络瘫痪。CodeRed、Sql Slammer 就是典型导致网络瘫痪的病毒,能导致网络交换机、路由器、服务器严重过载瘫痪。
三、产品部署方案 1 、推荐产品表 产品类别 产品功能及用途 产品名称 部署建议 备注 安全管理中心 McAfee 产品集中管理 McAfee ePolicy Orchestrator 3.5 基于 NT/2000/2003Server操作系统的专用防护 服务器硬件要求:
P4/512M 服务器
防病毒客户端 桌面综合防护 McAfee VirusScan Enterprise 8.0i 安装在所有 Windows平台客户机和服务器上
Unix /Linux服务器病毒防护 McAfee VirusScan Command Line 安装在 Unix/Linux,包括 AIX 服务器上
防病毒/垃圾邮件邮件网关 阻挡已知病毒邮件和过滤垃圾邮件; 内容过滤阻挡未知病毒邮件 McAfee WebShield 3300 (性能:每小理 时处理 22 万 万封邮件)
使用透明网桥安装在邮件服务器前 不需要修改湖南烟草任何网络、服务器配置 Internet IPS 网关 在 Internet网关处实现阻止已知和未知的黑客攻击、DOS/DDOS攻击; 支持的各种网络协议超过 105 种应用协议; 实现已知/未知蠕虫病毒、间谍程序、“特洛伊木马”、后门程序和恶意脚本的过滤,过滤附带未知蠕虫病毒的邮件 McAfee IntruShield 1200 (处理能力:100M/秒; 并发连接支持:4 万个并发连接)
)
McAfee Intrushield 1200 安装部署在Internet 边界,作为Intenet 网关,支持两个以太网口
IntruShield Manager 安装在一台服务器上,对 IPS 网关进行升级、策略、报警、报表管理。
服务器要求:windows 2000 server/advanced server,P4/1G 内存
2 、产品部署建议 2.1 、防病毒 VirusScan 部署 2.1.1 、防病毒客户端部署 防病毒客户端部署:
平台 安装客户端版本 Windows NT Windows 2000 Windows 2003 Server McAfee VirusScan Enterprise 8.0i Windows XP
Windows 2000 Professional McAfee VirusScan Enterprise 8.0i Unix/Linux/AIX 服务器 McAfee VirusScan Command Line Windows 95/98 McAfee VirusScan Enterprise 4.5.1SP1 策略:
开启集成的防火墙与 HIPS 技术 – 防火墙与入侵防护技术的集成使VirusScan 具有最大限度的前瞻性防护功能,包括 Block 蠕虫病毒发送异常流量的端口和不需新病毒Signature就可以阻止利用应用Buffer Overflow漏洞的蠕虫病毒。
对新威胁增强防护– VirusScan 8.0i 提供了对最新出现的、危及程序安全的恶意威胁(例如, “间谍”软件)、特定程序的缓冲区溢出攻击、及混合病毒攻击的防护。
文件和文件夹锁定功能 – 提供对文件和文件夹的写入、读和执行的访问控制功能,拒绝蠕虫病毒的写入,从而可以实现不需要病毒签名就可以阻挡未知蠕虫病毒。
Spyware 间谍程序探测清除功能 – McAfee VirusScan 8.0i 提供了业界最强大的 Spyware 间谍程序、Adware 广告程序和 Password 破解工具的探测和清除功能。
病毒突发期间的策略 – 先进的 outbreak 功能可在 DAT 文件出现之前就关闭漏洞口,通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最低限度;文件、文件夹锁定功能阻止病毒进入计算机。
McAfee 内存扫描技术 – 屡获殊荣的 McAfee 扫描引擎通过对内存的扫描来拦截那些不会将代码写入磁盘的病毒(如 Netsky 和 CodeRed) 所带来的威胁。
集中式管理和报告编制 – 与 McAfee ePolicy Orchestrator 的集成为用户提供了全面的安全管理解决方案,包括从一个控制台进行详细的图形报告编制的功能。
报警集中发送到 ePO – 由防病毒管理服务器进行统一的报警和日志管理。
升级更新 – 采用任务设置定时更新和 ePO 实时更新通知两种方式。
安装时防病毒在计算机客户端上部署防病毒管理服务器 ePO 的 Agent,然后通过防病毒管理服务器进行自动分发部署。
2.1.2 、防病毒管理服务器的部署 防病毒管理服务器采用 ePolicy Orchestrator 3.5(以下简称 ePO 3.5),既是防病毒系统的集中策略管理中心,同时也是产品、扫描引擎和病毒特征码更新中心。
ePO 3.5 安装平台要求:
Windows 2000/2003 Server CPU:P4 /内存 512MB /硬盘 40GB IE 6.0 ePO 使用三层架构:Manager、Agent 和 Remote Console(客户化的 IE),由于用户接口基于 web 方式,因此更适合远程管理。
部署流程:
实施规划EPO服务器准备通过邮件分发ePO Agent安装包/光盘配置SuperAgent安装ePOAgent配置更新策略分发防病毒客户端分组 配置任务安装ePO服务器更新、任务、分组策略结束安装WebShield防病毒网关安装GroupShield 防病毒管理中心提供以下功能:
1)
积极的爆发预防 使用 ePO 病毒爆发响应中心,使用策略配置,可以采取积极的步骤保护您的网络不受逼近的病毒爆发的威胁。
2)病毒爆发通知功能 ePO 能够根据设定的阈值自动发出病毒爆发通知。
3)
安全通信基础架构 控制管理中心使用一种新的通信基础架构— 建立在安全套接层(SSL) 协议上。
根据使用的安全设置,通信可以加密或使用认证加密。
4)
管理权限 管理权限分成全局、部分的管理域,在不同域上有不同用户权限。
5)
实时和按需扫描策略控制
控制管理中心向您提供实时的产品控制。在控制台上做出的配置更改会立即发送到产品,甚至可以从控制台上运行手动扫描。这种没有等待时间的命令系统在病毒爆发期间是不可缺少的。
6)
集中式更新控制 集中式更新策略规则、病毒码和扫描引擎文件,可以确保所有被管理的防病毒客户端都使用最新的组件。更新方式可以配置为定期任务更新和实时通知更新两种方式。
7)
集中式配置 集中式配置使您可以从一个单一控制台协调病毒响应和安全措施。这确保了整个上海烟草的防毒和内容安全策略的一致实施。
8)微软安全漏洞检测和补丁安装状态检测 通过 ePO 检测 Windows 平台计算机的安全漏洞和微软安全补丁安装状态,同时提供详细的报表。
9)Rouge 计算机和为保护计算机的探测 通过 ePO 可以探测未安装防病毒软件的计算机,同时还可以探测接入上海烟草网络的外来计算机。
10)集中式日志报告 使用全面的日志可以得到对防毒和内容安全网络性能的一个概览。防病毒管理中心可以从所有其管理的产品收集日志;您不再需要检查每个单个产品的日志。
11)防病毒客户端配置修改保护功能 ePO 提供客户端锁定 Password 保护功能,当启用此功能时,客户端修改配置需要输入 Password。
2.2 、邮件网关---- 防病毒和垃圾邮件部署 防病毒邮件和垃圾邮件网关采用 WebShield 3300,使用两个网络端口,采用透明网桥的方式接入到邮件服务器前面,如下图所示:
InternetFirewallLAN内部网络防病毒和防垃圾邮件网关Firewall邮件服务器WebShield 3300透明网桥 邮件网关策略:
1)、所有来自 Internet 的邮件,先经过 WebShield 进行垃圾邮件过滤病毒扫描,扫描完毕后再将“健康”的正常邮件发送到邮件服务器,内部用户通过邮件客户端或浏览器浏览服务器上的邮件; 2)、烟草内部用户向内部用户发送邮件时,邮件首先经过 WebShield 扫描后再发送到邮件服务器; 3)、烟草内部用户向新浪、263 等邮件用户发送邮件时,在部署初期,不对这些邮件进行病毒扫描和垃圾邮件扫描; 4)、内容过滤策略:过滤所有文件扩展为 exe、com、scr 等文件; 5)、WebShield 的日志发送到 ePO 3.5,由 ePO 进行统一集中管理。
2.3 、Internet IPS 网关 IntruShield 部署 IntruShield Manager 2.1 安装在 PC 服务器上,PC服务器要求:P4 1.5GHZ以上,1GB 内存,40G 硬盘 策略、配置、报警、升级管理 省局 Internet 网关保护,采用in-line 的部署方式
实时阻挡来自 Internet 的不法攻击、入侵、已知和未知的蠕虫病毒,阻挡对外网和内部省域网的DOS/DDOS 攻击; 监控发动攻击的原和目的主机 14 所市(州)局 Internet 网关保护,采用in-line 的部署方式
实时阻挡来自 Internet 的不法攻击、入侵、已知和未知的蠕虫病毒,阻挡对外网和内部省域网的DOS/DDOS 攻击; 监控发动攻击的原和目的主机
2.1.1 、省局部署
在白沙物流网络部署 IntruShield 的地方为:白沙物流连接 Internet 的网关处 C6509 与 C3745 之间部署 Intrushield sensor,这种方式采用 in-line 的部署模式,检测来自 internet 网络的入侵,并对这些入侵进行实时的阻挡,保证内部服务器及用户网络的安全性。
在省烟草公司部署 intruShield 的地方为:省烟草公司连接 Internet 的网关处 C6509 与 C3745 之间部署 Intrushield sensor,这种方式采用 in-line 的部署模式,检测来自 internet 网络的入侵,并对这些入侵进行实时的阻挡,保证内部服务器及用户网络的安全性。
2.1.2 、市(州)局部署
在每个市(州)局需要部署 McAfee Intrushield 1200 的地方为,在 C4507和 C3745 之间部署 Intrushield sensor,这种方式采用 in-line 的部署模式,检测来自 Internet 网络的入侵,并对这些入侵进行实时的阻挡,保护内部服务器及用户网络的安全性。
通过上述部署, McAfee IntruShield 监控所有来自 Internet 的进入湖南烟草网络的网络流量,探测和阻挡已知、未知网络入侵行为及蠕虫病毒、Spyware间谍程序、 “特洛伊木马”,同时监控所有省域网内部的网络入侵行为及蠕虫病毒。
策略:
1)、在部署初期,对探测到黑客攻击采用“Warning 模式”报警,运行两周后经过 McAfee 工程师评估,将攻击改为“Drop Packets”的方式,实现实时阻止; 2)、在部署初期,对蠕虫病毒、邮件中附带未知蠕虫病毒、Spyware 间谍程序、“特洛伊木马”和后门程序采用“Drop Packets”的方式,实现实时阻止; 3)、升级更新采用 Schedule 自动定时从 Internet 下载到更新到 IntruShield
Manager,IntruShield Manager 自动 Upload 到防护 Sensor。
四、推荐产品简介 1 、McAfee VirusScan Enterprise8.0i 防病毒 病毒防护系统我们推荐使用 Mcafee 公司的 McAfee Active Virus Suite(包括:VirusScan 8.0i),McAfee 是成熟而且经受大量考验的防病毒产品,在国际上很多企业在使用。根据 IDC 报告,MCAFEE 公司的防病毒产品已经连续六年占据企业级防病毒市场的第一位。
由于防病毒领域是一个动态的发展过程,必须要求今天的防病毒系统不仅仅能够全面检测到已经发现的病毒,还能接受明天病毒的挑战,MCAFEE 防病毒产品采用了独特的启发式技术,可以检测病毒变体和未知病毒。MCAFEE 防病毒产品有专用的程序,可以自动地分离新的病毒。
可升级能力是衡量防病毒系统是否具有生命力的重要指标。MCAFEE 防病毒产品实现机制将病毒样本文件和引擎分离,企业定期地从 Internet 上下载最新的病毒样本文件,保证企业的防病毒系统和 MCAFEE 公司保持一致。同时,MCAFEE 防病毒产品的管理能力和所包含的组件在功能、性能上都在向前发展。
对于一个企业,采用手工管理防病毒软件的分发、升级、配置和支持是非常困难的事情,这就要求提供防病毒系统的管理平台,对企业内部的防病毒系统进行有效的管理。
在一个企业里,计算机使用人员层次差别非常大,而且大部分的使用人员并非计算机专业人员,这就要求客户端的防病毒软件必须简单易用,自动化程度高,最好无须用户干预。而 MCAFEE 防病毒产品中的 VirusScan 自动对病毒实时检测、清除和报告,简化了使用的复杂度。
防病毒软件基本要覆盖已有各种机器和操作系统,如 Microsoft Windows 系列产品、OS2、各种 Unix 等。这些机器都可能是潜在的病毒传染源。
防病毒软件应支持较全的产品线,包括桌面防病毒产品,服务器防病毒产品
以及强大的中央管理平台。并且应该支持多种平台和操作系统。
1.1 、McAfee 桌面和服务器病毒防护产品
McAfee 桌面和服务器病毒防护产品主要功能、特点
项目 功能描述
服务器管理功能 管理功能简介 MCAFEE针对广域网络进行了优化,是目前业界功能最强大的防病毒管理软件。基于加密的通信和基于数据库的报告、统计功能,可为用户提供详细、直观的图形化报告。MCAFEE服务器的基于目录的管理结构和在单一服务器上设置多种策略的功能,更适于企业的管理。
管理方式 MCAFEE不采用域模式管理,不要求企业建立相应的NT域管理模式。MCAFEE只采用TCP/IP作为管理的方法。
服务器的管理能力 单台MCAFEE服务器最多可管理250,000台客户机。
单台服务器的不同策略管理能力 MCAFEE服务器是基于目录管理的。在一个MCAFEE服务器上可以针对不同的组设置不同的组策略。也可针对每台计算机进行策略设置。
安装方式 MCAFEE支持多种客户端防病毒软件安装方式:登录脚本安装、服务器分发、直接安装。
拨号用户管理 MCAFEE的Agent可自动检测计算机是否已拨号成功,并与Server采用Secure HTTP协议通信。
广域网管理的可靠性 MCAFEE被设计为可通过局域网/广域网/Internet进行策略管理,MCAFEE的管理采用可靠的TCP协议,客户可以通过广域网进行管理工作,甚至可以管理拨号用户。
远程管理 MCAFEE也支持服务器的远程管理。但充分考虑了安全性,Console通过加密对远程服务器进行控制,只传输结果,不会造成网络压力。
数据统计方法及能力 MCAFEE采用数据库技术,可对Agent收集的信息进行汇总、分析,并可根据需要生成定制报告。
报告能力 MCAFEE提供38种图形化的报告,并且用户可根据NT域名、工作组、IP地址、用户、计算机名、时间、感染病毒、动作等进行定制报告。
网络升级 MCAFEE可实现各客户端的自动升级、更新功能。若客户端没有执行服务器更新、升级策略,当客户开机或者连接到网络时,自动地进行更新、升级。
客户端软件功能 应急恢复 客户端软件提供主引导区、引导区备份功能, 压缩文件支持 支持多种压缩文件格式 URL过滤 提供URL过滤功能,可根据域名或IP进行过滤 恶意代码过滤功能 可以过滤恶意Java、Activex功能 未知病毒防范 MCAFEE采用启发式扫描式技术,可以发现未知的宏病毒和程序文件病毒 平台的支持能力 支持Dos、Win3.x、Win9x、WinNT、Windows2000、Windows XP、Windows 2003 Server 隔离功能 对不可清除的病毒,放置到隔离区中,利用病毒发送工具发送到MCAFEE病毒研究中心(AVERT),并可对文件内容进行剥离 卸载功能 支持从客户端或管理服务器完全卸载功能 产品更新升级功增量更新 提供病毒定义码的增量更新功能,每次更新只需100K左右数据 多种更新升级方法 支持通过网络自动进行更新升级方式(HTTP、FTP或UNC)和通过软盘或光盘运行更新升级程序进行更新升级 统一性 所有防病毒产品采用统一的病毒定义码和扫描引擎 方便性 更新或升级后不需要重新启动计算机或应用程序
能 更新周期 病毒定义码每周进行更新,若有新病毒爆发时,随时进行更新 可靠性 MCAFEE采用备份和病毒定义码回退功能,保证更新升级的可靠性
1.2 、McAfee VirusScan EnterPrise 8.0i 简介 MCAFEE防病毒产品中的VirusScan为所有的桌面计算机和Windows服务器提供所能获得的、最为全面的跨平台病毒保护。
主要功能:
实时病毒扫描和清除; 定时/按命令扫描和清除; 电子邮件病毒扫描; Internet 下载扫描; Internet 访问控制和过滤; 压缩文件支持; 设置保护; 启发式扫描; 配置帮助; 自动更新; 自动升级; 告警和报告; VirusScan EnterPrise 8.0i 下一代防病毒软件产品 , 针对 PC 和服务器提供创新性的集成入侵防护解决方案。
恶意代码不仅是在爆发时对企业产生影响,而且今后也会不断地产生各种问题和隐患。在初始攻击爆发后,用户还要经过很长的一段时间才能意识到攻击的后续破坏性,它不仅会影响企业的生产力,而且还会威胁到企业的净收益。企业
也逐渐认识到,生存的首要条件就是能够有效抵御已知的 81,000 多种病毒和无数的恶意代码。而有效抵御的关键就是在攻击爆发前前瞻性地对其进行拦截。
创新的防病毒技术
McAfee® VirusScan® Enterprise 8.0i 是创新性的下一代防病毒技术,能够为 PC 和服务器提供全面的保护。它不仅能够前瞻性地拦截并清除恶意软件,而且能够有效地检测出新的安全风险,从而显著降低企业管理爆发响应的成本。VirusScan Enterprise 8.0i 防护解决方案突破了传统防病毒软件的局限性,它不仅有效缩短了修补漏洞的时间,而且即使在没有更新的情况下也能够准确拦截多种威胁。修补漏洞的时间是指从首次发现恶意软件开始,到将修补程序部署到网络中的所有系统上所需要的时间。传统防病毒软件往往使大型企业和中小型企业处于一种极端薄弱的境地:如今,面对复杂的混合威胁,响应式的防护已远远不足以确保企业的安全了。企业不能为了等待签名文件的更新而承受这种漏洞修补时间的存在。
针对 PC 和服务器增强的集成防护
VirusScan Enterprise 8.0i 扩展了对新安全威胁的防护范围(包括混合威胁以及潜在的恶意程序,例如间谍软件),从而增强了针对 PC 和服务器的集成保护。扩展的防护范围还包括通过规则和策略对访问进行保护,以及来自入侵防护和系统防火墙的其它多种集成功能。复杂的混合威胁愈加难以检测,它们常常能够骗过传统的防病毒解决方案。此外,传统防病毒软件对新安全威胁的抵御能力较差,即便应用了最新的防病毒签名,它们面对新出现的比较高级的混合攻击时仍会束手无策,任凭这些攻击肆意破坏您的系统。因此,传统防病毒软件程序是无法有效地抵御这些新的攻击类型的。
VirusScan Enterprise 8.0i 提供了自动化的系统防护策略和感染跟踪/拦截报告功能,在对病毒或攻击爆发做出响应时,它能够显著降低安全防护解决方案的总拥有成本。VirusScan Enterprise 8.0i 不仅能够自动跟踪并报告感染源(IP 地址),而且能够拦截系统与感染源的后续通信。尽早识别并修补感染源就意味着节省时间、资源和金钱 — 或者说确保业务的正常运转。但是,使用传统防病毒
软件来定位感染源却需要耗费很长的时间,不仅导致拥有成本居高不下,而且还会降低企业的生产力,影响企业的核心业务。
入侵防护的重要性 — 缓冲区溢出防护技术
VirusScan Enterprise 8.0i 在防病毒软件行业中率先推出了带有特定于应用程序缓冲区溢出防护功能的入侵防护解决方案。这就使得用户能够前瞻性地预防以 Microsoft® 应用程序和操作系统服务漏洞为目标的缓冲区溢出攻击。对操作系统漏洞的攻击可能导致终端系统的重复感染,即便应用了最新的签名文件也于事无补。缓冲区溢出防护功能可以在此类攻击(例如 Sasser、SQL 以及 Slammer)感染系统之前先一步对它们进行拦截。降低漏洞的暴露程度就意味着您不必在每次发现新攻击时都必须进行更新。同样,终端系统也可能不需要重启(或多次重启)来清除感染。防病毒技术与入侵防护和防火墙技术的结合为用户提供了一种功能更强、更先进的终端系统安全防护解决方案。由此可见,传统的响应式防病毒解决方案已经过时了。引入入侵防护功能后,VirusScan Enterprise 8.0i 就能够确保关键服务器和数据不会受到任何影响,从而确保企业业务的顺利进行。
VirusScan Enterprise 8.0i 不仅是值得您信赖的安全产品,而且也是同行业中针对 PC 和服务器的最先进的前瞻性防护解决方案,它无可比拟的伸缩性能够充分满足任何规模企业的要求。在病毒或攻击爆发时,企业的业务需要依赖于 VirusScan Enterprise 8.0i 的关键功能所提供的保护,其中包括:
清除内存、注册表和文件,并防止恶意代码向其它系统扩散或传播。VirusScan Enterprise 8.0i 还引入了防病毒、入侵防护以及防火墙等多种功能,能够有效地抵御已知和未知的攻击。
访问保护 — 全新的高级功能
VirusScan Enterprise 8.0i 提供了多种全新的高级功能,它们不仅可以抵御常规的威胁技术,而且能够有效地拦截多种新的和未知的恶意软件文件。这些新功能包括:
端口拦截 (Port Blocking)、文件名拦截 (File Name Blocking)、文件夹/目录锁定 (Folder/Directory Lockdown)、共享锁定 (Share Lockdown) 以及感染跟踪和拦截 (Infection Trace and Block)。
• 端口拦截使得管理员或用户能够关闭(拦截)传入或传出网络流量的端口。对传入的网络流量进行保护就意味着降低它们暴露给蠕虫或黑客的几率和风险。关闭未被使用的网络端口就可以防止攻击者探测操作系统和应用程序中的漏洞 • 文件名拦截是一种入侵防护功能,它允许管理员通过创建一个或多个策略来控制系统或网络对特定文件或文件组可以执行的操作 • 文件夹和目录锁定也是一种入侵防护功能,它允许管理员通过创建一个或多个策略来控制系统或网络能够对特定目录或文件夹的内容执行的操作 • 共享锁定则使得管理员能够通过创建一个或多个策略来控制系统或网络能够对共享执行的操作 • 如果某个终端系统向运行着 VirusScan Enterprise 8.0i 的系统发送了恶意代码,那么感染跟踪和报告功能就可以帮助管理员快速发现并报告(跟踪)该终端系统的 IP 地址,并自动拦截来自该 IP 地址的后续通信
前瞻性地处理新混合威胁意味着有效减少病毒或攻击爆发的情况。攻击的多种因素都可以通过 VirusScan Enterprise 8.0i 的不同功能得到有效的解决:
端口拦截、文件/目录/共享锁定以及缓冲区溢出防护。管理员可以从此摆脱对传统产品更新响应的依赖。
增强的电子邮件扫描功能
VirusScan Enterprise 8.0i 新增了针对 Lotus Notes 客户端系统的电子邮件扫描功能。它能够扫描 Lotus Notes 客户端发送给桌面机的所有电子邮件(HTML 文本和附件)。无论客户使用哪种电子邮件客户端,都可以通过单一的配置面板完成配置。VirusScan Enterprise 8.0i 既支持安装了 Outlook 的系统,也支持安装了 Lotus Notes 客户端的系统. 脚本扫描程序 (Java 脚本和 Visual Basic 脚本)
)
脚本扫描程序能够检测并防止系统执行利用了 Java 脚本和 VBScript 脚本的恶意代码(例如尼姆达 (Nimda)、JS.NoClose 以及 LoveLetter),从而能够
有效地防止系统感染。脚本扫描程序还能够阻止恶意代码通过网站,或者使用 Java 和 Visual Basic 脚本功能感染终端系统。
潜在恶意程序安全防护
VirusScan Enterprise 8.0i 使得用户和管理员能够从容应对某些最常见的潜在恶意软件程序。VirusScan Enterprise 8.0i 扩展了对新类型恶意代码的检测功能,这就意味着它能够为企业的敏感信息和资产提供更有效、更强大的保护。该产品在初始配置情况下能够防护约 200 种最具危险性的潜在恶意程序,用户还可以按照计划在潜在恶意程序安全列表中添加新发现的恶意程序。VirusScan Enterprise 8.0i 所包含的操作在细化程度上有了显著的提升:
警告/通知、清除、删除/移除、移动/隔离以及操作提示。VirusScan Enterprise 8.0i 还允许用户和管理员根据企业的实际情况来添加、定义或创建恶意程序列表,例如广告软件、拨号软件、恶意玩笑程序、密码破解程序以及间谍软件等。潜在恶意程序安全防护功能可以帮助企业确保终端系统符合 COE 的要求,并便于用户和管理员进行控制和管理。
产品的大小问题
VirusScan Enterprise 8.0i 是一种单一的、高度集成的软件安全代理,它占用的空间非常小(约 10Mb),与多个安全代理相比,VirusScan Enterprise 8.0i 更易于部署、配置和管理。VirusScan Enterprise 8.0i 采用增量更新模式,不仅大大节省了磁盘空间,而且可以节省带宽资源并加快更新速度。
对速度的需求
目前已知的病毒已有 81,000 多种,根据 ICSA Labs 的报告,病毒数量正在以每个月 200 多种的速度迅速增长,由此可见,威胁的数量越多,扫描病毒、蠕虫以及其它恶意代码时所面临的压力也就越大。到目前为止,病毒扫描速度没有逐渐减缓甚至停止的主要原因就是硬件性能的不断提升。与以往的版本相比,VirusScan Enterprise 8.0i 进一步提升了按需扫描的速度。通过使用最先进的技术和基础架构,VirusScan Enterprise 8.0i 的性能不但没有下降,反而得到了极大的提升。高风险性应用程序,如电子邮件、浏览器和 Office 应用程序将得到
全面高强度的扫描,而备份软件和数据库则可以划分到低风险性类别,其要求的扫描强度也相对较小。
潜在的威胁
VirusScan Enterprise 8.0i 针对移动用户和远程办公机构提供了全面的控制和防护功能。许多移动办公人员通过低带宽和低速的拨号连接来保持互联状态,并在此基础上完成自己的工作。在他们进出网络中受保护的区域时,就很容易受到恶意攻击的威胁。VirusScan Enterprise 8.0i 的设计消除了您的这种顾虑,使他们不会成为一种潜在的威胁。
有效防护的关键所在
抵御威胁仅仅是这场战争的一半。确保防护方案的有效性才能帮助您赢得最终的胜利。有效防护的关键就在于集中管理和强制执行,为此,VirusScan Enterprise 8.0i 实现了与多种 McAfee 管理工具的无缝集成。无论是中小型企业 (SMB) 还是大型企业,McAfee 总有一款管理工具能够适合您的要求。同时,McAfee ProtectionPilot™ (SMB) 和 McAfee ePolicy Orchestrator® (Enterprise) 都能够帮助 VirusScan Enterprise 8.0i 提供集中的部署功能、策略配置和强制实施、以及详细的报告功能。这些工具将帮助您全面控制自己的系统,使您的组织能够有效抵御各种已知的和未知的威胁。
强大功能的动力引擎
VirusScan Enterprise 8.0i 采用了经用户验证的、全球知名的 McAfee 扫描引擎。McAfee 恶意软件防护扫描引擎提供了对病毒、蠕虫以及其他恶意代码攻击的全面防护。McAfee 针对目前的各种威胁提供了一套全面的“发现-修补”解决方案,并采用先进的启发式技术和多种通用技术实现了对新威胁的前瞻性防护。McAfee 恶意软件防护扫描引擎所采用的技术能够向下搜索全部数据,包括压缩文件、归档文件和打包文件,从而能够发现隐藏在最深处的威胁。所有这些功能都具有高度的可靠性,不会出现误报问题。
2 、安全管理中心 ePO3.5 ePO 是业界领先的、具有强大可扩展能力的的防病毒软件管理系统,可以同
时为 25 万台客户提供策略管理、软件分发等基本功能,并可为用户生成详细的图形化报告。ePO 采用 Client-Server 工作模式,客户端计算机需要安装 ePO 的代理程序(Agent),由代理程序与 ePO 服务器进行联系。ePO 为用户提供了基于 TCP/IP 的解决方案,安装 Agent 的计算机只需要通过 IP 与 ePO 服务器建立连接,用户可通过 Internet 对远端的主机进行管理。ePO 的代理程序(Agent)采用先进的PGP加密用法与ePO服务器进行通信,可有效地保护数据的安全性。用户通过网络远程安装、配置、管理、升级和删除防病毒软件,通过集中地升级网络上的防病毒软件、集中地报告检测到的病毒攻击来保护网络免受病毒破坏。
现代的企业大多采用网络进行工作,病毒可通过网络在内联网络内部快速地传播。对病毒的清除工作要花费大量的人力、物力。ePO 可帮助用户检测、清除和删除病毒,阻止病毒的传播,使客户节省费用,提高工作效率。
ePO 支持通过多种通信链路与远程的安装代理软件的客户机或控制台进行连接,如微软远程接入服务(RAS),虚拟专用网(VPN),或 ISP 等。单台 ePO服务器可管理 250,000 台计算机,可管理 VirusScan、NetShield、GroupShield、WebShield 和 Norton 防病毒软件等产品。可根据用户的需求,设置不同的策略。并生成相应的报告。
利用 ePO 提供的图形化报告,管理员可获得网络中各种计算机的信息,如计算机的内存、CPU、IP 地址、工作组、计算机名等,同时也可知道已安装防病毒软件的信息,如扫描引擎的版本、病毒数据文件的版本。利用报告可按照不同的策略生成内容丰富的报告,并可生成 3D 柱状图、饼图、线图和报表等各种图表。报告与 Seagate Crystal RePOrts 技术和微软 MSDE/SQL7.0/SQL2000相结合,提供企业级的保护功能。
在企业中部署 ePOlicyOrchestrator 是非常容易的,因为它采用单一服务器模式且具有管理 VirusScan、NetShield、GroupShield、WebShield 和 Norton防病毒软件等产品的能力。所有的管理操作可通过一台远程控制台实现。利用熟悉的 McAfee 接口,为企业配置安全策略只需几分钟。策略可以是针对某台计算机或某组计算机,所有这些完全取决管理员。
ePOlicyOrchestrator 是非常灵活的,其灵活性体现在 ePOlicyOrchestrator
产品的各个方面,包括为计算机设置目录组以便管理、部署 Agent,以及为单个或一组计算机设置安全策略。
ePO 的特点:
集中管理您的系统安全
网络系统必须时刻警惕各种恶意威胁和攻击 — 威胁和攻击在网络中无处不在,它们在不断地探测网络的薄弱环节,并伺机对您的安全防护系统发起冲击。因此,管理员的工作就更像是一种取得“平衡”的任务。一方面是业务的要求 — 既要管理不断增加的设备,又要对不断增多的移动用户的需求做出响应。另一方面是安全性的要求 — 既要保证系统符合安全性要求,又要对下一代防护解决方案和产品(用于抵御不断翻新的威胁)的多个层级进行管理。
因此,全面掌控系统的安全性,并对已有的安全部署进行增加,就成为了至关重要的一个环节。从根本上说,这些要求都是持续的,而且具有同等的重要性。忽视其中的任何一个都会使您陷入完全失衡的窘境。
McAfee® ePolicy Orchestrator® 3.5 (ePO™) 是一款在行业中居领先地位的系统安全管理解决方案 — 它为企业提供了一种协同的、前瞻性的防护手段,能够帮助企业有效抵御各种恶意威胁和攻击。ePO 3.5 是 McAfee 系统防护解决方案的核心,管理员可以通过它来降低恶意系统或不符合安全要求的系统所造成的风险、保持防护体系的最新状态、配置并强制实施防护策略、并通过一个真正企业级的、可伸缩的中央控制台对系统的安全状态进行全天候(24X7)的监控。
降低恶意系统和不符合安全要求的系统所造成的风险
对于所有的安全防护团队来说,减少易受攻击的漏洞数量应该是优先级最高的一项工作。一个缺乏合理防护管理的未知系统会给整个网络带来严重的威胁 — 未知威胁的不断重复感染、新漏洞的出现、潜在的威胁攻击目标或者传播点都是这些恶意系统所表现出来的病征和风险。因此,了解连接到该网络的所有系统对于确保企业安全性来说是至关重要的。
有时,恶意系统的问题还会被其它因素进一步恶化,例如,在绝大多数网络中,接入网络的唯一要求就是物理连接。承包商、外包员工、会议室的访客或者一些已被遗忘的系统都有同等的机会连接到企业网络,而且会在不经意之间对网络的完整性和可用性构成严重的威胁。
ePO 3.5 能够通过一种独特的方法来降低恶意系统或不符合安全要求的系统所造成的风险。通过分布式传感器,ePO 3.5 能够被动式地监控网络中任何一个基于局域网的连接,快速判断出这些连接当前是否由 ePO 3.5 进行管理,并能够向没有被 ePO 3.5 管理的恶意系统提供多种基于策略...
上一篇:旅游业推广营销策划方案