MCAFEE TEE防病毒技术方案

防病毒解决方案成都优顺科技有限公司2020年4月17日第2页共18页1、McaFeeTEE套件中采用的产品TEE集中安全管理平台：McAfeeePolicyOrchestrator主机入侵防护和桌面防火墙：McAfeeHostIntrusionPrevention7.0计算机病毒防护：McAfeeVirusScanEnterprise8.7i防间谍程序：McAfeeAnti-SpywareLinux版操作系统防病毒:McAfeeCommandLineScanner4.51McAfeeePolicyOrchestrator4.0（简称ePO4.0）：TEE集中的安全管理平台，提供部署、策略、配置、自动更新、报表和报警管理，ePO是TEE的安全管理中心。McAfeeHostIntrusionPrevention6.0（简称HIPS7.0）：部署在被防护的计算机上，通过主机防火墙进行网络控制，提供在OS系统和核心上的附加层截获所有IO、RPC请求和API调用，使用攻击签名探测、异常探测和的方法探测黑客攻击，并且实时阻止黑客攻击。HIPS6.0给主机提供了附加保护层，因此，即使不安装安全漏洞补丁计算机也是安全的，从而为安装计算安全补丁赢得了时间，同时也提供了主动的安全防护手段。McAfeeVirusScanEnterprise8.7i（简称VSE8.7i）和McAfeeAnti-Spyware：VSE8.7i是McAfee企业机防病毒系统，其最大优势是可以完全做到不需要病毒签名就可以阻挡任何蠕虫病毒；另外，VSE8.7i的内存扫描功能可以确保不需要重启计算机就可以清除蠕虫病毒或者后门程序；此外VSE8i还集成了McAfeeAnti-Spyware，探测和清除间谍程序。VSE8.7i通过免费的McAfeeePolicyOrchestrator4.0（简称ePO）进行集中管理，包括分发、自动更新、报警、通知和报表管理，同时，ePO可以探测为首防病毒软件保护的计算机，然后发出警报。McAfeeGroupShield：提供群件服务器的防病毒和防垃圾邮件功能。GroupShield集成第3页共18页到MSExchange或者Domino中，提供邮件的即时扫描，进行防病毒和防垃圾邮件扫描；同时，GroupShield的按需扫描模块按照用户的计划定时扫描邮件数据库和资料数据库。1.1参数1.1.1ePOePolicyOrchestrator4.0（以下简称ePO4.0），是TEE的集中策略管理中心，提供TEE的集中管理，功能包括TEE产品的分发部署、策略配置、自动更新管理、报警和报表管理。单台ePO服务器支持对25万个客户端的集中管理。ePO4.0安装平台要求：Windows2000/2003ServerCPU：P4/内存512MB/硬盘40GBIE6.0ePO使用三层架构：Manager、Agent和RemoteConsole（客户化的IE），由于用户接口基于web方式，因此更适合远程管理。ePO提供以下功能：1）积极的爆发预防使用ePO病毒爆发响应中心，使用策略配置，可以采取积极的步骤保护您的网络不受逼近的病毒爆发的威胁。2）病毒爆发通知功能ePO能够根据设定的阈值自动发出病毒爆发通知。3）安全通信基础架构控制管理中心使用一种新的通信基础架构—建立在安全套接层(SSL)协议上。根据使用的安全设置，通信可以加密或使用认证加密。第4页共18页4）管理权限管理权限分成全局、部分的管理域，在不同域上有不同用户权限。5）实时和按需扫描策略控制控制管理中心向您提供实时的产品控制。在控制台上做出的配置更改会立即发送到产品，甚至可以从控制台上运行手动扫描。这种没有等待时间的命令系统在病毒爆发期间是不可缺少的。6）集中式更新控制集中式更新策略规则、病毒码和扫描引擎文件，可以确保所有被管理的防病毒客户端都使用最新的组件。更新方式可以配置为定期任务更新和实时通知更新两种方式。7）集中式配置集中式配置使您可以从一个单一控制台协调病毒响应和安全措施。这确保了整个企业网络的防毒和内容安全策略的一致实施。8）桌面防火墙的策略配置配置桌面防火墙的允许和阻挡策略，查看允许和阻挡网络访问日志等。9）HIPS的配置和报警管理配置HIPS的攻击响应策略，配置HIPS的、不同防护模块的策略，修改配置，查看入侵和异常操作报警；8）微软安全漏洞检测和补丁安装状态检测通过ePO检测Windows平台计算机的安全漏洞和微软安全补丁安装状态，同时提供详细的报表。9）Rouge计算机和为保护计算机的探测通过ePO可以探测未安装防病毒软件的计算机，同时还可以探测接入企业网络的外来计算机。10）集中式日志报告第5页共18页使用全面的日志可以得到对防毒和内容安全网络性能的一个概览。防病毒管理中心可以从所有其管理的产品收集日志；您不再需要检查每个单个产品的日志。11）防病毒客户端配置修改保护功能ePO提供客户端锁定Password保护功能，当启用此功能时，客户端修改配置需要输入Password。1.1.2防病毒系统和防间谍程序防病毒客户端部署：平台安装客户端版本WindowsNTWindows2000Windows2003ServerMcAfeeVirusScanEnterprise8.7i+Anti-SpywareEnterpriseDeskfirewallHISP入侵检测WindowsXPWindows2000ProfessionalMcAfeeVirusScanEnterprise8.7i+AntiSpywareDeskfirewallHISP入侵检测LINUX/Linux服务器McAfeeVirusScanCommandLine4.5.1策略：对新威胁增强防护–VirusScan8.7i提供了对最新出现的、危及程序安全的恶意威胁（例如，“间谍”软件）、特定程序的缓冲区溢出攻击、及混合病毒攻击的防护。病毒突发期间的策略–先进的病毒爆发响应功能可在DAT文件出现之前就关第6页共18页闭漏洞口，通过阻塞病毒入口和防止突发病毒蔓延的方法将损失限制在最低限度；文件、文件夹锁定功能阻止病毒进入计算机。McAfee内存扫描技术–屡获殊荣的McAfee扫描引擎通过对内存的扫描来拦截那些不会将代码写入磁盘的病毒（如Netsky和CodeRed)所带来的威胁。集中式管理和报告编制–与McAfeeePolicyOrchestrator的集成为用户提供了全面的安全管理解决方案，包括从一个控制台进行详细的图形报告编制的功能。策略管理都通过连接在本地局域网上的二级EPO防病毒服务器报警集中发送到ePO–由防病毒管理服务器进行统一的报警和日志管理。升级更新–防病毒客户端到局域网上的二级防病毒管理服务器上下载更新，更新方式有任务设置定时更新和ePO实时更新通知两种方式，用户可根据需求选择。安装防病毒客户端时，可以在计算机客户端上部署防病毒管理服务器ePO的Agent，然后通过防病毒管理服务器进行自动分发部署。1.1.3主机入侵防护(HIPS)的部署主机入侵防护系统主要部署在管理网的桌面计算机上，通过ePO进行自动分发到管理网的主面计算机。HIPS7.0的日常策略配置、更新、报表和集中的安全事件报警均通过ePO进行集中管理。缺省的HIPS策略即可进行主机安全防护。第7页共18页2TEE产品介绍2.1TEE集中管理服务器ePO4.0McAfeeePO4.0的主要优势：主要优势集中的系统整体防护安全管理平台—ePO4.0是目前业界唯一的能同时管理防病毒、防间谍程序、邮件防病毒、防垃圾邮件、桌面防火墙、主机入侵防护和网络访问控制的唯一产品，统一的管理平台提高了管理效率和策略的一致性，确保整体的安全。前瞻性漏洞评估—ePO能够抢在病毒和蠕虫之前首先发现系统中的安全缺口，它不仅能够对安全策略的一致性进行扫描（包括Microsoft安全补丁），而且能够及时发现系统中隐藏的设备、未受到保护的设备以及容易受到攻击的设备。发现Rogue计算机：能够探测外部计算机接入网络和未安装防病毒软件的未受保护的计算机，并且向管理员发出报警；成熟高效的企业更新过程—可采用完全自动或完全手动两种模式来完成更新，不仅速度快、占用带宽资源非常少，而且还可以通过一致性报告进行验证；ExpressGlobalUpdate则可以在不到一小时的时间里完成50,000个系统的更新全面的策略管理—管理员可以针对每一个防护级别来定义安全策略（从更新频率到桌面机防火墙设置），并以“每机器”或“每群组”模式来应用这些策略实时的图形化报告功能－用户可以根据自己的特殊要求对报告进行简单的自定义，也可以从40多种预定义的报告中进行选择全面管理多个供应商的安全解决方案—ePO不仅能够帮助您管理McAfeeSecurity产品，而且还能够高效地管理其它第三方产品，例如Symantec和Dr.Ahn的安全解决方案第8页共18页McAfee®SecurityePolicyOrchestrator™(ePO)是市场上处于领先地位的用来对恶意攻击进行防护的集中式策略管理工具。您可以使用ePO将防护功能保持为最新状态，配置和增强安全策略，以及通过McAfeeSecurity和第三方产品（包括Symantec和DrAhn的防病毒产品），生成详细的图形报告。使防护功能保持最新对安全策略进行前瞻性管理的最大困难是如何在所有系统中都使防护功能保持最新的状态。使用ePolicyOrchestrator，您可以轻松地了解是否处于最新状态。只需单击一次按钮，即可在整个网络中实施更新。在使用分布式数据库的智能化设计时，无需服务器参与更新操作，所有更新都在整个网络范围内实施，从而降低网络流量并提高性能。可以手动或自动部署对McAfeeSecurityDAT、引擎、服务包、Extra.DATs和修补程序的更新。快速更新ePO提供了任务定时更新和全局更新两种方式，全局更新可以实现实时地更新跟新，而且通过分布更新资料库、SuperAgent资料库的技术，一方面提高了更新速度，另一方面节省了网络带宽的使用。全局透明度您可以随时使用各种信息，包括仅有一页的安全报告摘要以及有关病毒活动、桌面机防火墙策略和病毒漏洞的详细信息。轻松地自定义报告以适合您的特定需求。具有企业级扩展性能的策略管理ePolicyOrchestrator的设计兼顾了企业级的扩展性能，可以通过每台服务器管理多达250,000个用户，并可以轻松地使用远程控制台从任何位置进行操作。充分利用在安全方面的投资可扩展性和业界支持始终是ePolicyOrchestrator核心关注点。作为首个提供第三方防病毒应用程序管理和报告功能的工具，与Symantec和DrAhn相似，McAfee可通过第9页共18页ePolicyOrchestratorFusionService帮助企业进一步提高安全投资所获得的回报。这些服务由McAfeeExpertServices工作组提供，允许ePolicyOrchestrator与其他第三方安全程序集成，为其他第三方安全层提供同样水平的集中控制和透明度。管理跨越多个供应商的全面防护改变攻击需要改变防护策略。您可以建立协调、统一的防护。McAfee还意识到各个组织可能选择使用来自多个供应商的防病毒产品，因此ePolicyOrchestrator可管理和报告Symantec和DrAhn的桌面机和服务器防护功能。保护移动用户ePolicyOrchestrator使您可以轻松地管理和保护移动用户，就像管理和保护通过局域网连接的用户一样。即使膝上型电脑没有连接到网络，通过加强策略以及在连接到Internet时进行更新，ePolicyOrchestrator也可以有效地管理您无法管理的项目。由于移动用户要求更高的灵活性，ePolicyOrchestrator可以从最近的数据库中以最有效利用带宽资源的方式为移动用户提供更新，并允许延迟更新和重新开始更新。突发响应单击按钮，系统即可执行“立即更新”命令，使策略更改生效—此