McAfee客户安全风险管理设计方案

上海市中山北路2020号中星经贸大厦19楼电话:(8621)52916000传真:(8621)52949018McAfee客户安全风险管理设计方案上海软盛信息技术有限公司上海市中山北路2020号中星经贸大厦19楼电话:(8621)52916000传真:(8621)52949018目录一、方案概述二、客户信息安全现状及需求分析三、客户安全风险管理设计方案上海市中山北路2020号中星经贸大厦19楼电话:(8621)52916000传真:(8621)52949018一、方案概述本方案根据客户目前的信息安全建设状况，借助McAfee在信息安全领域的先进技术和解决方案，以动态安全风险管理为基础，提出了全面的信息安全解决方案及实施步骤。其最大的特点是：以全面的量化安全风险为基础，在系统和网络层面构建全面的安全威胁防御体系，完善健全安全措施，当安全风险等级变化时，风险管理管理系统提供详细的安全风险变化原因和补救措施，同时，调整系统和网络层面的防御策略，真正的做到全面防御，有的放矢。风险管理的过程中，如何有效地消除威胁、降低风险是关键，因此，我们首先应该建立全面的系统和网络防御体系。客户目前已经建立了一套比较系统的终端安全防御措施，而McAfee提供的先进的网络入侵防护产品，可以帮助客户对抗未知的和将来出现的安全威胁，通过McAfeeIntruShield（即IPS）构建完善的企业安全边界防御体系，在网络边界实时准确的检测和阻断各类网络攻击行为、DoS/DDoS攻击及未知的攻击流量，并对P2P、IM等应用流量进行管理，完善整个客户的网络安全建设。本方案描述中涉及以下产品和解决方案：(1)McAfeeIntruShield：基于ASIC及FPGA芯片的硬件网络入侵防护系统，实时阻止黑客攻击、蠕虫病毒、间谍程序和DOS/DDOS攻击；(2)McAfee终端安全产品：主要是客户目前已经使用的VirusScanEnterprise8.5i等终端安全产品，抵御病毒、蠕虫、恶意程序、黑客攻击；(3)客户现有安全产品：包括客户目前已经部署的网络入侵检测系统（IDS）、防火墙及信息安全管理平台；(4)McAfee风险管理解决方案：方案中还会结合McAfee安全风险管理体系，介绍在客户现有环境下的安全体系建设方案，从而使得各个安全产品协同工作，增强网络安全综合防御能力。本方案论述了构建客户完整的安全风险管理体系所应包含的各个方面，同时重点论述了客户网络边界安全（即入侵防御系统-IPS）的建设和部署方案。二、客户信息安全现状及需求分析上海市中山北路2020号中星经贸大厦19楼电话:(8621)52916000传真:(8621)52949018信息安全现状随着客户信息系统的不断发展壮大，网络的规模和节点数量也在不断增加。在网络的发展过程中，客户一直非常重视信息安全系统的规划和建设，已经建成了非常全面的终端安全防御体系，并部署了覆盖全国的IDS监控网络。客户目前在数据中心部署了防病毒系统的控制中心，并对各个分行的防病毒系统建设和管理提供支持；在总行及全国各个主要分行部署了启明星辰的IDS系统，实时监控网络内部的安全事件；并通过信息安全管理平台进行安全设备的信息收集和实时监控，下边我们从这几个方面简单回顾一下客户的信息安全建设情况。防病毒系统的现状及其功能目前McAfee公司的网络防病毒产品，通过ePO安全管理平台实现集中化管理，降低了整体的安全风险，病毒事件数得到控制，现有的防病毒体系主要可以达到以下几个目的：(1)确保客户端的安全，有效查杀终端上的各类病毒、蠕虫、恶意程序；(2)主动的病毒防护，McAfee防病毒客户端根据漏洞可以阻挡未知蠕虫病毒；(3)Spyware过滤，McAfee防病毒系统集成了业界最强大的Spyware探测清除模块；(4)Windows平台微软安全补丁安装状态检测和报警，并且提供详细的报表；(5)能够自动探测未受保护的计算机；(6)对网络内的应用服务器进行全面防护，包括Unix/Linux服务器，从而切断病毒在服务器内的寄生和传播；(7)通过分层的防病毒管理服务器实现分布式自动更新和分层分地域分权管理；(8)病毒爆发响应机制，通过端口锁定、文件、文件夹锁定和通知功能，使得在病毒爆发阻止和病毒爆发快速响应方面具有完善有效的技术手段，并结合完善的技术服务体系，确保病毒不会大规模爆发。IDS系统的现状及其功能目前全行网络的重要区域节点（总行及全国各个重要分行）都已经部署了IDS系统，对网络内部的安全事件进行审计和记录，主要可以实现如下功能：(1)对内网发生的黑客攻击事件进行报警；(2)对内网的蠕虫爆发事件进行预警定位；(3)监控内部网络的安全状况，记录发生的安全事件；上海市中山北路2020号中星经贸大厦19楼电话:(8621)52916000传真:(8621)52949018(4)定位内部网络的安全事件源头，查找相应责任人。面临的安全威胁和问题随着互联网的发展和网络服务的拓展，越来越多的新型安全威胁在危害着我们的网络，与此同时，客户已经建设的安全防护系统也存在着一些漏洞和不足，下边我们就论述一下客户面临的安全威胁及存在的问题。面临的安全威胁I.面临的外部安全威胁包括：(1)黑客的攻击入侵，造成信息泄露，或者破坏网络、应用和服务器系统，可能造成网络、应用和服务器系统瘫痪；(2)蠕虫病毒通过网络、Email和网络文件共享等多种方式传播，植入OA网络计算机后为黑客攻击留下后门，同时造成网络拥塞，甚至中断；(3)蠕虫、恶意程序利用操作系统、应用、Web服务器和邮件系统的弱点进行传播，植入计算机系统后为黑客攻击留下后门，同样，在传播过程中，产生大量的TCP、UDP或ICMP垃圾信息，造成网络拥塞，如SqlSlammer、Ni集成商a、“冲击波”和Nachi蠕虫病毒；(4)面临DOS/DDOS攻击，造成网络服务中断；(5)P2P、IM等特殊应用缺乏管理和阻断的手段；(6)越来越多的新型应用，如VoIP、SSL加密数据、IPv6等没有相应的防护手段；(7)来自Internet各类安全威胁，没有有效的手段进行评估，并通过高效的措施将其阻断。II.面临的内部安全威胁包括：据第三方组织的评测，40%的安全威胁都源自于内部，常见的有：(1)系统管理员离职前或者离职后恶意的破坏，如恶意的数据删除，数据修改；(2)恶意的窃取更高权限口令，常见的是每天进行口令猜测，同时又不触发报警；(3)恶意的扫描，用来发现开放的端口、网络和系统中的漏洞；(4)恶意的针对漏洞的攻击。(5)客户目前的内部网络也存在如上的安全威胁。上海市中山北路2020号中星经贸大厦19楼电话:(8621)52916000传真:(8621)52949018现有安全措施的不足I.缺乏网络边界安全防御手段现在已经部署的网络防病毒系统，取得了不错的整体防护效果，但是仍然存在一些安全漏洞：(1)解决终端的病毒问题，难以抵御各类复杂的网络攻击行为；(2)侧重于终端安全防御，没办法保护各类网络设备和基础架构；(3)难以抵御DoS/DDoS攻击；(4)不能解决网络层面的安全问题，在重要的网络边界没有有效的检测和防御手段。II.IDS系统的不足：IDS系统虽然能够检测内部网络的安全事件，但是有几个致命弱点：(1)不能够实时阻断各类攻击行为及安全威胁，不能第一时间解决安全问题；(2)只能被动的报警或通知；(3)检测准确性难以保障；(4)不能提供实时准确的边界安全防护，难以抵御DoS/DDoS攻击；(5)是一种被动的安全手段；III.防火墙系统的不足已经部署的防火墙系统只是实现网络访问控制的功能，而不会识别网络数据中是否存在攻击行为和安全威胁，何况防火墙系统更容易被成功DoS/DDoS攻击。存在的安全问题综上所述，客户目前仍然面临一些安全威胁，并且现有的安全措施难以解决，安全问题主要体现在：(1)网络层面的攻击行为没有有效的防御手段，不能在边界实时阻断黑客攻击；(2)边界安全措施不完善，各类外部安全威胁都可能通过网络边界进入网络；(3)没有有效的DoS/DDoS攻击防护手段；(4)没能将现有的安全措施整合成为一个高效的体系进行管理，对安全风险的管理不够全面。上海市中山北路2020号中星经贸大厦19楼电话:(8621)52916000传真:(8621)52949018需求分析根据以上的安全威胁分析，我们需要采取相应措施解决这些安全问题，因此，安全需求可以归纳为以下几方面：(1)加强网络边界的安全防护手段，准确的检测入侵行为，并能够实时阻断攻击；(2)能够检测出已知或未知的各种攻击形式，实时阻断黑客攻击；(3)能够探测出已知和未知的蠕虫、病毒及恶意代码，准确定位传染源，并能够阻断蠕虫通过网络进行传播；(4)能够检测异常网络流量，有效阻断DoS/DDoS攻击；(5)能够检测针对网络的加密攻击；(6)能够对整个客户网络进行实时、准确、全面的入侵防护；(7)通过现有系统或新购产品，及时识别网络中的安全弱点，并且获得具体的安全弱点的修补建议；(8)发现新的弱点和新的威胁时，能够有手段在Internet入口及网络边界阻止这些威胁，实时保护内部网络的安全；(9)需要依照全行的安全策略和管理策略，部署先进高效的网络入侵防护产品，并从安全风险管理的角度出发，真正有的放矢地解决网络安全问题；(10)最后，客户更需要建立一个信息安全管理体系，通过一定的基本原则和管理流程，整合好目前已经部署和使用的安全产品，真正做到对安全风险的有效管理。二、客户安全风险管理设计方案McAfee安全风险管理体系实际上，任何企业的信息安全问题最终都是问了降低核心信息资产面临的安全风险，避免这些信息资产由于安全威胁而受到损失。因此，McAfee建议客户在考虑信息安全体系建设的过程中，应该首先根据自身情况，结合国际先进的安全风险管理流程，明确安全风险的三个重要方面及控制手段，有计划有步骤的加强整个信息安全体系的建设，才能达到最好的效果。上海市中山北路2020号中星经贸大厦19楼电话:(8621)52916000传真:(8621)52949018安全风险我们之所以要解决安全问题，是因为信息网络存在被病毒、黑客攻击等各类安全威胁攻击的可能性，也就是说存在安全风险，并随时可能因此给企业造成财产、时间、声誉上的损失，而根据权威机构（数据来源：Gartner）的分析，安全风险得大小主要取决于以下三个方面：图1Gartner安全风险公式也就是说，当企业具有了信息化的核心资产（比如有很重要的数据保存在服务器上），这些资产存在弱点和漏洞（比如微软操作系统的漏洞或空口令），又存在被安全威胁攻击的可能（比如病毒、黑客攻击等等），就会给企业造成损失。而McAfee认为，一个企业想要解决好信息安全的问题，也一定要从这三个方面入手，也就是从有效控制安全风险入手，企业的安全风险和这三个方面紧密相关，也只有同时解决好这三个方面的问题，才可能真正的确保信息系统的安全。下面就结合客户的实际情况，论述一下McAfee信息安全风险管理的方法论，以及在客户信息安全建设现阶段的意义所在。McAfee安全风险管理的方法论McAfee根据安全风险的特点和三个关键要素，提出了安全风险管理的方法论，其核心思想是根据企业的基础环境，在全面统计资产数量和整合现有安全措施的基础上，准确地评估资产存在的安全漏洞和现状，并通过系统和网络层面的安全防御手段有效抵御安全威胁。(1)安全风险管理方法论上海市中山北路2020号中星经贸大厦19楼电话:(8621)52916000传真:(8621)52949018McAfeeSRM（SecureRiskManagement）安全风险管理流程如下图所示：图2McAfeeSRM风险管理简单流程如上图所示，不管企业现在的现实情况如何，都需要一套有效的安全风险管理流程，需要“制定合理可行的安全策略”——〉“有效地评估可能存在的安全风险”——〉“通过各类安全防护措施抵御安全威胁”——〉“能够真正符合企业的信息安全要求”。而在实现McAfee安全风险管理的过程中，我们需要通过不同的安全防护措