入侵防御系统解决方案.pdf
13页
入侵防御系统解决方案入侵防御系统解决方案 (McAfee IntruShield 及 SRM 智能安全风险管理) McAfee(中国)公司(中国)公司 Tel: 021- 61458878 2009 年 11 月 14 日 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 本文档仅限 McAfee 公司和被呈送方内部使用,未经许可,请勿扩散到第三方 第 2 页 共 13 页 文档说明文档说明 非常感谢 XXXXXX 给予 McAfee 公司机会参与信息安全项目,并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用 需要指出的是,本文档所涉及到的文字、图表等,仅限于 McAfee 公司和 XXXXXX 内部使用,未经 McAfee 公司书面许可,请勿扩散到第三方 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 本文档仅限 McAfee 公司和被呈送方内部使用,未经许可,请勿扩散到第三方 第 3 页 共 13 页 目目 录录 1 方案概述 ..................................................................................................................................5 2 XXXXXX 信息安全现状及需求分析....................................................................................6 2.1 信息安全现状...........................................................................................................6 2.1.1 面临的安全威胁...............................................................................................6 2.1.2 存在的安全问题...............................................................................................6 2.2 需求分析...................................................................................................................7 3 McAfee IntruShield 网络入侵防护解决方案..........................................................................8 3.1 方案设计原则...........................................................................................................8 3.2 入侵防护系统简介...................................................................................................8 3.3 推荐产品...................................................................................................................9 3.4 入侵防护部署方案...................................................................................................9 3.4.1 IntruShield 部署................................................................................................9 3.4.2 IPS 部署后可靠性的保证..............................................................................10 4 方案优势 ................................................................................................................................11 4.1 IntruShield 网络入侵防护的优势..........................................................................11 4.1.1 网络攻击特征检测.........................................................................................11 4.1.2 异常检测.........................................................................................................11 4.1.3 DoS/DDoS 攻击防御......................................................................................12 4.1.4 入侵防护功能.................................................................................................12 4.1.5 实时过滤蠕虫病毒和 Spyware 间谍程序.....................................................13 4.1.6 灵活的部署方式.............................................................................................13 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 本文档仅限 McAfee 公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
第 4 页 共 13 页 PDF 文件使用 “pdfFactory Pro“ 试用版本创建 本文档仅限 McAfee 公司和被呈送方内部使用,未经许可,请勿扩散到第三方 第 5 页 共 13 页 1 方案概述方案概述 本方案根据 XXXXXX 目前的信息安全建设状况,借助 McAfee 在信息安全领域的先进技术和解决方案,以动态安全风险管理为基础,提出了全面的信息安全解决方案及实施步骤其最大的特点是: 以全面的量化安全风险为基础, 在系统和网络层面构建全面的安全威胁防御体系,完善健全安全措施,当安全风险等级变化时,风险管理管理系统提供详细的安全风险变化原因和补救措施,同时,调整系统和网络层面的防御策略,真正的做到全面防御,有的放矢 本方案描述中涉及以下产品: McAfee IntruShield::基于 ASIC 的硬件的网络入侵防护系统,实时阻止黑客攻击、蠕虫病毒、间谍程序和 DOS/DDOS 攻击; PDF 文件使用 “pdfFactory Pro“ 试用版本创建 本文档仅限 McAfee 公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
第 6 页 共 13 页 2 XXXXXX 信息安全现状及需求分析信息安全现状及需求分析 2.1 信息安全现状信息安全现状 随着 XXXXXX 的不断发展壮大,网络的规模和节点数量也在不断增加在网络的发展过程中,XXXXXX 一直非常重视信息安全系统的规划和建设,已经建成有了基本的防护措施,但是在网络出口的入侵防护较为薄弱 2.1.1 面临的安全威胁面临的安全威胁 I. 面临的外部威胁包括:面临的外部威胁包括: 1) 黑客的攻击入侵,造成信息泄露,或者破坏网络、应用和服务器系统,可能造成网络、应用和服务器系统瘫痪; 2) 蠕虫病毒通过网络、 Email 和网络文件共享等多种方式传播, 植入数据中心的计算机后为黑客攻击留下后门,同时造成网络拥塞,甚至中断; 3) 蠕虫、恶意程序利用操作系统、应用、Web 服务器和邮件系统的弱点进行传播,植入计算机系统后为黑客攻击留下后门, 同样, 在传播过程中, 产生大量的 TCP、 UDP或 ICMP 垃圾信息, 造成网络拥塞, 如最近造成巨大影响的 SQL Slammer 蠕虫病毒; II. 面临的内部威胁包括:面临的内部威胁包括: 据第三方组织的评测,40%的安全威胁都源自于内部,常见的有: 1) 系统管理员离职前或者离职后恶意的破坏,如恶意的数据删除,数据修改; 2) 恶意的窃取更高权限口令,常见的是每天进行口令猜测,同时又不触发报警; 3) 恶意的扫描,用来发现开放的端口、网络和系统中的漏洞; 4) 恶意的针对存在漏洞的攻击。
2.1.2 存在的安全问题存在的安全问题 综上所述,XXXXXX 目前仍然面临一些安全威胁,并且现有的安全措施难以解决,安全问题主要体现在: PDF 文件使用 “pdfFactory Pro“ 试用版本创建 本文档仅限 McAfee 公司和被呈送方内部使用,未经许可,请勿扩散到第三方 第 7 页 共 13 页 1) 网络层面的攻击行为没有有效的防御手段,不能在边界实时阻断黑客攻击; 2) 没有有效的 DoS/DDoS 攻击防护手段; 3) 没能将现有的安全措施整个成为一个高效的体系进行管理,对安全风险的管理不够全面 2.2 需求分析需求分析 根据以上的安全威胁分析,我们需要采取相应措施消除这些安全隐患,因此,安全需求可以归纳为以下几方面: 1) 加强网络边界的安全防护手段,准确的检测入侵行为,并能够实时阻断攻击; 2) 能够检测出已知或未知的各种攻击形式,实时阻断黑客攻击; 3) 能够探测出已知和未知的蠕虫、病毒及恶意代码,准确定位传染源,并能够阻断蠕虫通过网络进行传播; 4) 通过现有系统或新购产品,及时识别网络中的安全弱点,并且获得具体的安全弱点的修补建议; PDF 文件使用 “pdfFactory Pro“ 试用版本创建 本文档仅限 McAfee 公司和被呈送方内部使用,未经许可,请勿扩散到第三方。
第 8 页 共 13 页 3 McAfee IntruShield 网络入侵防护解决方案网络入侵防护解决方案 McAfee IntruShield:基于 ASIC 芯片的网络入侵防护设备,部署在网络中,其完全透明,探测端口没有 IP 地址,不需要和网络设备和防火墙互动,其自身能够探测到攻击时,直接丢弃攻击数据包和 Drop 攻击 Session;为了确保探测的准确性,采用了深层状态包检测技术、异常探测、SSL 加密攻击探测、Buffer 。
