XXX公司漏洞管理解決方案(純MVM風(fēng)險管理體系視角切入)

1、文檔說明非常感謝 XXX 給予 McAfee 公司機會參與此次漏洞管理項目，并希望本文檔所提供的解決方案能在整個項目規(guī)劃和建設(shè)中發(fā)揮應(yīng)有的作用。需要指出的是，本文檔所涉及到的文字、圖表等，僅限于 McAfee 公司和 XXX 內(nèi)部使用，未經(jīng) McAfee 公司書面許可，請勿擴散到第三方。目錄1方案概述52XXX 公司需求分析62.1XXX 公司的網(wǎng)絡(luò)現(xiàn)狀62.1.1 網(wǎng)絡(luò)現(xiàn)狀62.1.2 面臨的安全威脅72.1.3 現(xiàn)有安全措施的問題72.1.4 未來的發(fā)展趨勢82.2 需求分析83McAfee 安全風(fēng)險管理解決方案103.1 McAfee 安全風(fēng)險管理體系103.1.1 安全風(fēng)險103.1.

2、2 McAfee 的安全風(fēng)險管理113.1.3 安全風(fēng)險管理體系的實現(xiàn)143.2 McAfee Vulnerability Manager 風(fēng)險管理流程144XXX 公司 McAfee Vulnerability Manager 的部署184.1 McAfee Vulnerability Manager 的部署184.2 MVM 3100194.3 Vulnerability Manager 部署后的效果195XXX 公司 Vulnerability Manager 系統(tǒng)的管理215.1 管理人員及權(quán)限215.2 用戶權(quán)限的設(shè)定225.3 資產(chǎn)管理和重要性劃分235.3.1 資產(chǎn)統(tǒng)計235.3

3、.2 資產(chǎn)分類依據(jù)245.3.3 資產(chǎn)分類應(yīng)收集的信息265.3.4 信息收集技術(shù)275.3.5 資產(chǎn)的組織劃分285.3.6 入侵、非入侵方式弱點發(fā)現(xiàn)285.3.7 用戶弱點規(guī)則自定義(FASL)285.4 風(fēng)險評估策略及周期的設(shè)定295.4.1.風(fēng)險評估策略的設(shè)定295.4.2.網(wǎng)絡(luò)掃描周期295.4.3 掃描結(jié)果通知305.5 修補工作流305.6 報表管理315.6.1Vulnerability Manager 報告類型315.6.2XXX 公司的報表管理325.7 Vulnerability Manager 的更新336同類產(chǎn)品比較的優(yōu)勢341方案概述McAfee Vulnerabi

4、lity Manager 安全風(fēng)險管理解決方案可以幫助 XXX 公司優(yōu)化目前和將來的安全風(fēng)險，實現(xiàn)法規(guī)遵從管理流程，同時，又能夠最大限度地提高其業(yè)務(wù)可用級別、數(shù)據(jù)保護水平并取得最大的投資回報率。本方案根據(jù) XXX 公司目前的信息安全建設(shè)狀況，借助 McAfee 在信息安全領(lǐng)域的先進技術(shù)和解決方案，以動態(tài)安全風(fēng)險管理為基礎(chǔ)，提出了全面的信息安全解決方案及實施步驟。其最大的特點是：以全面的量化安全風(fēng)險為基礎(chǔ)，在系統(tǒng)和網(wǎng)絡(luò)層面構(gòu)建全面的安全威脅 防御體系，完善健全安全措施，當(dāng)安全風(fēng)險等級變化時，風(fēng)險管理管理系統(tǒng)提供詳細的安 全風(fēng)險變化原因和補救措施，同時，調(diào)整系統(tǒng)和網(wǎng)絡(luò)層面的防御策略，真正的做到全面

5、防 御，有的放矢。在本方案中，我們推薦部署 Vulnerability Manager3100，實現(xiàn)整個 XXX 公司增值業(yè)務(wù)綜合網(wǎng)絡(luò)支撐平臺的應(yīng)用系統(tǒng)的安全風(fēng)險管理和控制。在解決方案中，涉及到如下產(chǎn)品：McAfee Vulnerability Manager Appliance 3100：包括軟硬一體化的設(shè)備，硬件使用機架服務(wù)器，OS 系統(tǒng)已經(jīng)按照美國國家安全局安全加固指南加固，所以設(shè)備和軟件自身具有安全性，并且 OS 系統(tǒng)的補丁通過 McAfee 的 SUS 系統(tǒng)更新。在 MVM3100 硬件平臺上安裝了最新版本的 Vulnerability Manager Enterprise 軟件，由

6、四部分組成：Manager、掃描引擎、數(shù)據(jù)庫和用戶 Web 門戶，在整個安全管理方案中起核心作用，進行風(fēng)險監(jiān)控、安全弱點管理、IT 資產(chǎn)管理、威脅管理、安全弱點修補工作流管理和向入侵防護系統(tǒng)提供計算機網(wǎng)絡(luò)中存在的弱點和威脅信息。軟件 IP 許可 License: XXXX 個。2XXX 公司需求分析隨著 XXX 公司業(yè)務(wù)的增長，安全管理部門所面對的威脅種類也同樣日益增多。管理人員每天都會接到有關(guān)系統(tǒng)漏洞、新軟件漏洞或新惡意代碼的警報，所有這些警報的安全 級別很難一下子判斷出來。因此，結(jié)果往往是管理人員不由自主地被這類事務(wù)牽著鼻子走， 采取既耗時又費力的行動，比如查漏洞、打補丁等。然而，這些行動

7、不見能夠真正起到防 護的作用。基于目前的現(xiàn)狀，McAfee 建議 XXX 公司建立一套動態(tài)安全風(fēng)險管理機制，使有限的資源可以集中于應(yīng)對企業(yè)面臨的最大威脅。識別風(fēng)險并確定風(fēng)險的等級，是采取合理有效措施的關(guān)鍵所在。McAfee 認為，任何公司都不會有足夠多的財力和人力用于完全消除所有潛在風(fēng)險。因此，將所面臨的各種風(fēng)險量化，然后據(jù)此確定安全投入的優(yōu)先順序就勢所必然。2.1XXX 公司的網(wǎng)絡(luò)現(xiàn)狀2.1.1 網(wǎng)絡(luò)現(xiàn)狀目前 XXX 公司的網(wǎng)絡(luò)當(dāng)中已經(jīng)形成比較完善的網(wǎng)絡(luò)架構(gòu)，也已經(jīng)部署了一些網(wǎng)絡(luò)安全產(chǎn)品，在現(xiàn)有的網(wǎng)絡(luò)環(huán)境當(dāng)中，仍然面臨不少的安全威脅，同時，也需要一個整合性的安全解決方案或者設(shè)備，能夠構(gòu)建一個

8、完善的安全處理流程，幫助 XXX 公司動態(tài)有效的實現(xiàn)安全風(fēng)險管理。2011 年 XXX 公司更新改造工程(安全漏洞掃描部分)建設(shè)，基于以上 XXX 公司綜合網(wǎng)絡(luò)支撐平臺的網(wǎng)絡(luò)情況，新增漏洞掃描設(shè)備，對 XXX 公司增值業(yè)務(wù)綜合網(wǎng)絡(luò)支撐平臺全網(wǎng)提供一次完整的掃描、提交報告并對系統(tǒng)實施安全加固，使之合規(guī)，需要進行漏洞評估的規(guī)模如下：客戶資產(chǎn)規(guī)模描述2.1.2 面臨的安全威脅(1) 外部威脅： 黑客的攻擊入侵，造成信息泄露，或者破壞網(wǎng)絡(luò)、應(yīng)用和服務(wù)器系統(tǒng)，造成網(wǎng)絡(luò)、應(yīng)用和服務(wù)器系統(tǒng)癱瘓； 蠕蟲利用操作系統(tǒng)、應(yīng)用、Web 服務(wù)器和郵件系統(tǒng)的弱點進行傳播，植入計算機系統(tǒng)后為黑客攻擊留下后門，同樣，在傳播

9、過程中，產(chǎn)生大量的 TCP、UDP 或 ICMP 垃圾信息，造成網(wǎng)絡(luò)擁塞，如 Sql Slammer、Nimda、“沖擊波”和Nachi 蠕蟲病毒。 面臨 Internet 的黑客攻擊，包括 DOS/DDOS 攻擊，造成網(wǎng)絡(luò)服務(wù)中斷。管理網(wǎng)用戶文件拷貝，Internet 訪問帶來：病毒、蠕蟲、間諜程序、后門程序和特洛伊木馬的威脅(2) 內(nèi)部威脅： 系統(tǒng)管理員離職前或者離職后惡意的破壞，如惡意的數(shù)據(jù)刪除，數(shù)據(jù)修改惡意的竊取更高權(quán)限口令，常見的是每天進行口令猜測，同時又不觸發(fā)報警， 如，若知道口令規(guī)則是出錯三次報警，則每天進行兩次口令猜解。 惡意的掃描，用來發(fā)現(xiàn)開放的端口、網(wǎng)絡(luò)和系統(tǒng)中的漏洞 惡意

10、的針對存在漏洞的攻擊2.1.3 現(xiàn)有安全措施的問題現(xiàn)在已經(jīng)部署的網(wǎng)絡(luò)安全產(chǎn)品，主要分為兩種類型： 系統(tǒng)防護類產(chǎn)品系統(tǒng)防護類產(chǎn)品主要包括防病毒、防垃圾郵件等產(chǎn)品，為了解決計算機系統(tǒng)終端的安全問題，往往針對某一個種類的安全威脅提供防護功能。系統(tǒng)防護類產(chǎn)品提供的均為被動的防御機制，是系統(tǒng)防護的最后一道防線，難以預(yù)防安全問題的發(fā)生，一旦升級或者更新滯后，將會帶來嚴(yán)重的安全隱患。網(wǎng)絡(luò)防護類產(chǎn)品網(wǎng)絡(luò)防護類產(chǎn)品提供網(wǎng)絡(luò)層面的入侵保護和防御功能，如防火墻、入侵防護系統(tǒng)等， 主要為企業(yè)構(gòu)建其安全的網(wǎng)絡(luò)邊界，但是網(wǎng)絡(luò)防護類產(chǎn)品忽略了內(nèi)部的安全威脅，而 70% 的攻擊和信息竊取行為均發(fā)生在網(wǎng)絡(luò)內(nèi)部，因此網(wǎng)絡(luò)防護類產(chǎn)

11、品解決了外部的安全威脅， 但是難以在整體上確保企業(yè)網(wǎng)絡(luò)的可靠性。2.1.4 未來的發(fā)展趨勢隨著信息安全領(lǐng)域的發(fā)展，安全風(fēng)險作為整個企業(yè)信息安全狀況的參數(shù)越來越為管理者所重視，只要能夠有效地管理企業(yè)安全風(fēng)險，及時修補網(wǎng)絡(luò)內(nèi)部的各個安全漏洞，就能 夠在面對任何安全威脅的時候從容不迫的解決問題。也就是說，企業(yè)具有了信息化的核心資產(chǎn)（比如有很重要的數(shù)據(jù)保存在服務(wù)器上），這些資產(chǎn)存在弱點和漏洞（比如微軟操作系統(tǒng)的漏洞），又存在被損害的可能（比如病毒、黑客攻擊等等），才可能給企業(yè)造成損失。因此，企業(yè)的安全風(fēng)險和這三個方面相關(guān)，企業(yè)也只有同時管理好這三個方面，才可能真正的確保網(wǎng)絡(luò)安全。而傳統(tǒng)的安全產(chǎn)品（防病

12、毒、防入侵等），只是去抵御安全威脅，卻忽視了資產(chǎn)的重要性和對漏洞的管理。企業(yè)目前真正需要的是全面的動態(tài)安全風(fēng)險管理體系。2.2 需求分析從上面我們可以看到當(dāng)前 XXX 公司面臨的主要安全問題和較好的解決方案，因此， 一勞永逸的解決安全問題的最好辦法是：能夠及時發(fā)現(xiàn)計算機網(wǎng)絡(luò)中的安全風(fēng)險，其次通過量化的安全風(fēng)險監(jiān)控及時發(fā)現(xiàn)風(fēng)險的變化和了解安全風(fēng)險變化的原因；及時識別計算機網(wǎng)絡(luò)中的安全弱點，并且獲得具體的安全弱點的修補建議，并且能夠跟蹤修補過程、驗證修補結(jié)果，以便及時了解弱點是不是真正被消除；發(fā)現(xiàn)的新的弱點和新的威脅時，能夠有手段在 Internet 入口阻止這些威脅，為補丁安裝贏得時間（需要和入

13、侵防護類產(chǎn)品整合）；將現(xiàn)有的安全解決方案進行整合，形成完整的安全風(fēng)險管理流程。3McAfee 安全風(fēng)險管理解決方案3.1 McAfee 安全風(fēng)險管理體系實際上，任何企業(yè)的信息安全問題最終都是為了降低核心信息資產(chǎn)面臨的安全風(fēng)險， 避免這些信息資產(chǎn)由于安全威脅而受到損失。因此，McAfee 建議 XXX 公司在考慮信息安全體系建設(shè)的過程中，應(yīng)該首先根據(jù)自身情況，結(jié)合國際先進的安全風(fēng)險管理流程，明確安全風(fēng)險的三個重要方面及控制手段，有計劃有步驟的加強整個信息安全體系的建設(shè)，才能達到最好的效果。3.1.1 安全風(fēng)險我們之所以要解決安全問題，是因為信息網(wǎng)絡(luò)存在被病毒、黑客攻擊等各類安全威脅攻擊的可能性，

14、也就是說存在安全風(fēng)險，并隨時可能因此給企業(yè)造成財產(chǎn)、時間、聲譽上的損失，而根據(jù)權(quán)威機構(gòu)（數(shù)據(jù)來源：Gartner）的分析，安全風(fēng)險得大小主要取決于以下三個方面：Gartner 安全風(fēng)險公式也就是說，當(dāng)企業(yè)具有了信息化的核心資產(chǎn)（比如有很重要的數(shù)據(jù)保存在服務(wù)器上），這些資產(chǎn)存在弱點和漏洞（比如微軟操作系統(tǒng)的漏洞或空口令），又存在被安全威脅攻擊的可能（比如病毒、黑客攻擊等等），就會給企業(yè)造成損失。而 McAfee 認為，一個企業(yè)想要解決好信息安全的問題，也一定要從這三個方面入手， 也就是從有效控制安全風(fēng)險入手，企業(yè)的安全風(fēng)險和這三個方面緊密相關(guān)，也只有同時解決好這三個方面的問題，才可能真正的確保信

15、息系統(tǒng)的安全。下面就結(jié)合 XXX 公司的實際情況，論述一下 McAfee 信息安全風(fēng)險管理的方法論，以及在 XXX 公司信息安全建設(shè)現(xiàn)階段的意義所在。3.1.2 McAfee 的安全風(fēng)險管理McAfee 根據(jù)安全風(fēng)險的特點和三個關(guān)鍵要素，提出了安全風(fēng)險管理的方法論，其核心思想是根據(jù)企業(yè)的基礎(chǔ)環(huán)境，在全面統(tǒng)計資產(chǎn)數(shù)量和整合現(xiàn)有安全措施的基礎(chǔ)上，準(zhǔn)確地評估資產(chǎn)存在的安全漏洞和現(xiàn)狀，并通過系統(tǒng)和網(wǎng)絡(luò)層面的安全防御手段有效抵御安全威脅。(1) 安全風(fēng)險管理方法論McAfee SRM（Secure Risk Management）安全風(fēng)險管理流程如下圖所示：McAfee SRM 風(fēng)險管理簡單流程如上圖所

16、示，不管企業(yè)現(xiàn)在的現(xiàn)實情況如何，都需要一套有效的安全風(fēng)險管理流程， 需要“制定合理可行的安全策略”“有效地評估可能存在的安全風(fēng)險”“通過各類安全防護措施抵御安全威脅”“能夠真正符合企業(yè)的信息安全要求”。而在實現(xiàn) McAfee 安全風(fēng)險管理的過程中，我們需要通過不同的安全防護措施和手段， 才能達到比較好的效果，如下圖所示：McAfee SRM 體系需要的產(chǎn)品和工具通過這些系統(tǒng)防護、網(wǎng)絡(luò)防護、安全風(fēng)險管理的產(chǎn)品和手段，建設(shè)完整的安全風(fēng)險管理體系可以幫助企業(yè)：始終遵守確定的安全政策；基于安全風(fēng)險管理，整合網(wǎng)內(nèi)現(xiàn)有的安全防護產(chǎn)品；提供全面的實時防護手段來準(zhǔn)確檢測并阻止安全威脅；始終一致地衡量法規(guī)遵從性

17、標(biāo)準(zhǔn)，最終幫助企業(yè)達到既定的安全目標(biāo)和安 全標(biāo)準(zhǔn)。(2) McAfee 安全風(fēng)險管理的詳細步驟McAfee 的安全風(fēng)險管理理論，為企業(yè)提供一個風(fēng)險管理的指導(dǎo)性方針和流程，使得企業(yè)能夠整合目前在使用的各類產(chǎn)品，以安全風(fēng)險管理為基礎(chǔ)，做到主動防護、有效管理、防患于未然。安全風(fēng)險管理的詳細流程如下所述：1確立安全標(biāo)準(zhǔn)和方針； 2統(tǒng)計信息資產(chǎn)；3整合并確認資產(chǎn)的商業(yè)價值；4檢測資產(chǎn)存在的安全漏洞；5了解存在的潛在威脅；6分析存在的安全風(fēng)險；7通過安全防御產(chǎn)品實時阻斷各類威脅；8強制安全策略并應(yīng)用補救措施；9評估安全效果和影響；10進行策略符合性比對。McAfee 動態(tài)安全風(fēng)險管理方法論綜上所述，傳統(tǒng)的

18、安全產(chǎn)品（防病毒、防火墻等），只是去抵御安全威脅，卻忽視了對整體安全風(fēng)險的考慮，而 McAfee 的安全風(fēng)險管理體系考慮到了可能影響企業(yè)安全風(fēng)險的三個關(guān)鍵要素，并且可以結(jié)合現(xiàn)有的安全產(chǎn)品，通過完善安全風(fēng)險管理流程幫助企業(yè)實時的控制整體安全風(fēng)險，真正的解決安全問題。3.1.3 安全風(fēng)險管理 體系的實現(xiàn)依據(jù) McAfee的安全風(fēng)險管理流程，McAfee 擁有先進的技術(shù)和解決方案能夠幫助客戶實現(xiàn)全面的安全風(fēng)險管理，其中包括：I. 安全威脅的防護手段：終端及網(wǎng)絡(luò)層面的各類安全威脅防御措施，XXX 公司目前已經(jīng)擁有了比較完善的終端防病毒系統(tǒng)及郵件防護系統(tǒng)，這些都是構(gòu)建整個安全風(fēng)險管理體系的重要基礎(chǔ)。II

19、. 安全風(fēng)險管理手段：McAfee Vulnerability Manager 作為全球領(lǐng)先的安全風(fēng)險管理產(chǎn)品，不但提供全面的資產(chǎn)統(tǒng)計管理工具，同時可以幫助企業(yè)實時掃描資產(chǎn)存在的安全漏洞，并通過主動的網(wǎng)絡(luò)防護消除已知、未知和將來出現(xiàn)的威脅，為補救贏得時間，同時，降低整體安全風(fēng)險，同時，通過和 McAfee IntruShield 的整合，可以實現(xiàn)和網(wǎng)絡(luò)防御產(chǎn)品的聯(lián)動，更加主動的去控制安全風(fēng)險。因此，McAfee 建議 XXX 公司以有效控制安全風(fēng)險為目標(biāo)和基礎(chǔ)，通過先進的技術(shù)解決方案及內(nèi)部管理流程，最終實現(xiàn)一個完善的、主動的和可以對抗未知威脅的以安全風(fēng)險管 理為基礎(chǔ)的整體解決方案。3.2 Mc

20、Afee Vulnerability Manager 風(fēng)險管理流程Vulnerability Manager作為全球領(lǐng)先的動態(tài)安全風(fēng)險管理產(chǎn)品，可以幫助用戶實現(xiàn)動態(tài)的安全風(fēng)險評估和管理，完善安全管理流程。Vulnerability Manager 的工作流程如下：Vulnerability Manager 的工作流程如上，Vulnerability Manager是一個動態(tài)的安全風(fēng)險管理系統(tǒng)，持續(xù)不斷的幫助客戶評估和管理網(wǎng)絡(luò)安全風(fēng)險，并且?guī)椭蛻糇粉櫬┒吹男扪a情況。(1) 基于優(yōu)先級的漏洞管理方法有許多潛在的攻擊威脅著企業(yè)的安全。若能集中精力處理最關(guān)鍵的資產(chǎn)和那些風(fēng)險最高的漏洞和威脅，企業(yè)便可

21、以最充分地利用企業(yè)的寶貴資源。資產(chǎn)關(guān)鍵性標(biāo)記、先進的安全指標(biāo)以及其他直觀的報告功能都有助于您衡量企業(yè)的風(fēng)險狀況，并交流基于目標(biāo)決策流程所進行的改進；在最適合的時候、最適合的地方做出響應(yīng)，在威脅影響業(yè)務(wù)可用性之前防患于未然；即時了解新的漏洞或入侵威脅對現(xiàn)有的風(fēng)險降低優(yōu)先級會帶來何種影響；使用一個閉環(huán)系統(tǒng)來取代企業(yè)用于管理漏洞的低效而耗時的流程及獨立產(chǎn)品，為企業(yè)的 IT 人員節(jié)省寶貴的時間；無需特定的 IT 專業(yè)知識即可快捷地安裝零維護的 MVM 3100 遠程掃描引擎設(shè)備， 使 IT 人員可以更專注于消除風(fēng)險。(2) 控制漏洞管理生命周期Vulnerability ManagerEnterpri

22、se 是一款全面的、基于設(shè)備的、即插即用的漏洞管理和風(fēng)險緩解解決方案，它使企業(yè)現(xiàn)有的減少漏洞風(fēng)險的流程更趨自動化，集成化和簡便化。Vulnerability ManagerEnterprise 使企業(yè)可以直接控制漏洞管理生命周期：發(fā)現(xiàn)資產(chǎn)并評估資產(chǎn)的重要性；前瞻性地處理和識別漏洞；實施基于資產(chǎn)的補救措施；評估并報告安全策略的符合性。(3) 威脅降低的評估和管理Vulnerability Manager擁有嵌入式安全技術(shù)和威脅管理工具，即使企業(yè)內(nèi)部缺乏專業(yè)技術(shù)也可進行威脅評估和管理，從而使企業(yè)能夠快捷地評估其安全狀況、對業(yè)務(wù)單位或區(qū)域進行標(biāo)準(zhǔn)檢查以及跟蹤安全策略和計劃的實施進度。 使用簡單易懂的

23、度量標(biāo)準(zhǔn)（例如：FoundScore、MyFound-Score 和 Risk Score）來了解系統(tǒng)和網(wǎng)絡(luò)資源的風(fēng)險。使用模板可以評估是否符合政府或行業(yè)的相關(guān)法規(guī)， 例如 BS7799、FISMA、HIPAA 和 PCI；可擴展至 A 類網(wǎng)絡(luò) 閉環(huán)補救工作流程系統(tǒng)在發(fā)現(xiàn)新漏洞后將自動打開和分配憑證，并在完成補救工作后自動驗證和關(guān)閉憑證；靈活的用戶帳戶系統(tǒng)和細化的基于角色的訪問策略使您可以輕松而有效地管理各種規(guī)模的企業(yè)；無與倫比的威脅可視化功能使您可以定期在所有設(shè)備上深入搜索和分析各種漏洞和錯誤配置情況。綜上所述，通過 Vulnerability Manager 可以全面的解決企業(yè)面臨的安全風(fēng)

24、險問題， 主動地、前瞻性的解決各類安全隱患。4XXX 公司 McAfeeVulnerabilityManager的部署綜上所述，我們建議在 XXX 公司綜合網(wǎng)絡(luò)支撐平臺的中心部署一臺 Vulnerability Manager 3100 設(shè)備,MVM 支持對多個不連續(xù)的 C 類、B 類、A 類網(wǎng)段的掃描，從而實現(xiàn)該平臺的應(yīng)用系統(tǒng)的全面的安全風(fēng)險管理。4.1 McAfee Vulnerability Manager 的部署Vulnerability Manager 3100 系統(tǒng)可以如下圖所示部署在 XXX 公司的任一機房中。僅需配置管理用的 IP 地址?？梢愿鶕?jù)實際需要分配掃描用的 IP 地址

25、，并確保在防火墻上方向掃描用的 IP 地址能夠訪問得到需要評估的目標(biāo)主機即可。XXX 公司 McAfee Vulnerability Manager 安全風(fēng)險管理系統(tǒng)部署架構(gòu)圖參考圖管理人員可以在任意位置通過瀏覽器登陸 MVM 3100 就能夠配置和管理 MVM 系統(tǒng)。4.2 MVM 3100McAfee Vulnerability Manager Enterprise 是跨平臺，基于 IT 資產(chǎn)的企業(yè)級安全弱點管理系統(tǒng)。它由掃描引擎（Scan Engine）、數(shù)據(jù)庫（MS SQL Server）、管理端（Manager）和用戶門戶（User Portal）四個部分做成。McAfeeMVM 支

26、持對已知各個操作系統(tǒng)版本、網(wǎng)絡(luò)設(shè)備、商業(yè)軟件、數(shù)據(jù)庫及 Web 應(yīng)用的掃描和評估，可以通過獨立的 Web 安全掃描策略檢查 Web 網(wǎng)站上網(wǎng)頁應(yīng)用程序之 Web 登入賬號密碼組合、SQLInjection 數(shù)據(jù)庫查詢?nèi)觞c、網(wǎng)頁程序代碼暴露弱點、Hidden/ Left-Behind Files 網(wǎng)頁目錄隱藏文件以及網(wǎng)站服務(wù)器平臺與版本、SSL 版本等，以有效掌握網(wǎng)頁應(yīng)用程序漏洞。同時 McAfee Vulnerability Manager 提供的無線安全掃描模塊還可以掃描無線設(shè)備的安全風(fēng)險狀況，并提供對 SQL、MYSOL、Oracle 等多種數(shù)據(jù)庫德掃描策略。McAfee MVM 提供專門

27、的 windows 資產(chǎn)風(fēng)險管理模塊，特別針對 windows 操作系統(tǒng)設(shè)定專用的掃描和評估策略，方便管理員使用。McAfee MVM 提供專門的 Web 應(yīng)用掃描模板，根據(jù) Web 應(yīng)用的特點和處理模式，提供滲透測試功能，提供專用的 Web 應(yīng)用配置分析功能。Vulnerability ManagerMVM 3100 是硬件設(shè)備，所以部署非常容易，只需配置指定的 IP 地址，該 IP 要求加入 XXX 公司的 DNS 服務(wù)器，接入 XXX 公司指定的數(shù)據(jù)中心的交換機，在半小時內(nèi)就可以進入配置階段。通過在 XXX 公司內(nèi)部網(wǎng)絡(luò)部署 McAfee Vulnerability ManagerMVM

28、 3100 產(chǎn)品，實現(xiàn)對 XXX 公司網(wǎng)絡(luò)數(shù)據(jù)中心應(yīng)用服務(wù)器的安全風(fēng)險評估和管理。4.3 Vulnerability Manager 部署后的效果在部署了 Vulnerability Manager 系統(tǒng)之后，可以在 XXX 公司數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)中實現(xiàn)如下效果：(1) 能夠發(fā)現(xiàn) XXX 公司整個綜合網(wǎng)絡(luò)支撐平臺網(wǎng)絡(luò)中的安全風(fēng)險；(2) 通過量化的安全風(fēng)險對其實施監(jiān)控，及時發(fā)現(xiàn)風(fēng)險變化和了解安全風(fēng)險變化原因；(3) 及時識別計算機網(wǎng)絡(luò)中的安全弱點，并且獲得具體的安全弱點的修補建議，并且能夠跟蹤修補過程、驗證修補結(jié)果，以便及時了解弱點是不是真正被消除；(4) 動態(tài)的評估和管理 XXX 公司核心信

29、息資產(chǎn)存在的安全風(fēng)險，做到防患于未然。5XXX 公司 Vulnerability Manager系統(tǒng)的管理在使用 Vulnerability Manager 產(chǎn)品時，首先就要確認產(chǎn)品的組織架構(gòu)和管理方式， 在本次項目中，組織名稱是 XXX 公司，組織的管理由安全管理員管理，整個組織分成多個主要管理域，各個管理域的管理員負責(zé)自己區(qū)域資產(chǎn)的風(fēng)險管理，其中在后續(xù)的漏洞修補過程中，可能需要設(shè)定的安全漏洞補救工作流（Remediation）管理員和漏洞修補工作人員（Help Desk 工作人員），也有可能需要特定的報表審計人員。5.1 管理人員及權(quán)限具體的管理架構(gòu)和權(quán)限設(shè)置可根據(jù) XXX 公司的情況具體

30、設(shè)定，舉例如下：管理組織架構(gòu)舉例可能的管理員權(quán)限劃分如下：1) 安全管理員（可授權(quán)）：由總部的管理人員負責(zé)，對所有的管理員權(quán)限進行配置和設(shè)定，定期對設(shè)備的運行狀況進行查看，并作出相應(yīng)調(diào)整，監(jiān)督各個管理員的職責(zé)履行情況，有權(quán)對設(shè)備的配置或策略設(shè)定隨時作出更改。2) 安全管理員（不可授權(quán)）：作為策略的執(zhí)行和監(jiān)督人員，不能對各個管理員權(quán)限進行配置，但是可以隨時調(diào)整和更改安全風(fēng)險管理策略，作為策略的監(jiān)督和設(shè)定人員， 需要經(jīng)常對策略進行調(diào)整，其下屬的各管理域管理人員只能選擇其設(shè)定的評估策略， 不能擅自更改。3) 網(wǎng)絡(luò)組管理員：負責(zé)對劃分到網(wǎng)絡(luò)組的資產(chǎn)進行掃描設(shè)定，選擇適合的策略，設(shè)定掃描周期，負責(zé)定期察

31、看評估情況及漏洞修補狀況。4) 數(shù)據(jù)庫管理員：負責(zé)對劃分到數(shù)據(jù)庫組的數(shù)據(jù)庫服務(wù)器進行掃描設(shè)定，選擇適合的策略，設(shè)定掃描周期，負責(zé)定期察看評估情況及漏洞修補狀況。5) 主機組管理員：負責(zé)對劃分到主機組的服務(wù)器進行掃描設(shè)定，選擇適合的策略，設(shè)定掃描周期，負責(zé)定期察看評估情況及漏洞修補狀況。6) 區(qū)域管理員：針對不同的應(yīng)用服務(wù)器，則需要設(shè)定一個或多個區(qū)域管理員，并設(shè)定權(quán)限，此權(quán)限還需要和相關(guān)公司及運維部門進一步溝通。7) 補救工作流管理員：對于發(fā)現(xiàn)漏洞后的修補工作，可能需要相關(guān)維護部門的人員配合，而他們需要查看在完成修補動作后的修補效果，因此需要設(shè)定專門的修補工作流管理員，能夠查看特定的表單處理狀況

32、。8) 報告管理員：一般的風(fēng)險管理報告可以由各個資產(chǎn)組的管理員進行處理，但是整個XXX 公司網(wǎng)絡(luò)中的整體安全風(fēng)險變化情況，需要設(shè)定一個報告管理員，定期完成生成和提交工作。當(dāng)然，在實施過程中，具體的權(quán)限設(shè)定還需要和各個部門進一步溝通。5.2 用戶權(quán)限的設(shè)定用戶權(quán)限控制采用基于角色的域、子域的樹形控制方式，默認用戶角色預(yù)定義的有全局管理員、域超級管理員、超級 RemediationAdministrator、子域超級管理員、子域Remediation Administrator 等，通過用戶管理界面可以很方便地定義新的用戶角色。用戶訪問控制定義界面如下圖：用戶訪問控制界面XXX 公司總部和各網(wǎng)絡(luò)掃

33、描管理員用戶訪問通過 Web 瀏覽器使用 Https 加密訪問Vulnerability Manager 的門戶。5.3 資產(chǎn)管理 和重要性劃分在使用Vulnerability Manager 的過程中，對企業(yè)內(nèi)部的信息資產(chǎn)根據(jù)其自身特點和所提供服務(wù)的重要程度進行分類是非常重要的，風(fēng)險管理的成功與否，漏洞修補的效果如何，往往與此相關(guān)。但是，企業(yè)自身的資產(chǎn)，只有企業(yè)內(nèi)部的管理人員最為清楚，因此，此次McAfee Vulnerability Manager實施前的資產(chǎn)分類方法以ISO/IEC17799 資產(chǎn)分類方法為基礎(chǔ)， 結(jié)合XXX公司的實際情況，以保護XXX公司信息資產(chǎn)為核心，結(jié)合XXX公司本

34、身的業(yè)務(wù)特點， 提出了一個概括的風(fēng)險管理流程及信息資產(chǎn)分類建議。5.3.1 資產(chǎn) 統(tǒng)計l確認需要進行風(fēng)險管理的資產(chǎn)組；l提供資產(chǎn)分組的重要信息，這些信息主要包括以下類型：n硬件；n軟件；n系統(tǒng)接口（如內(nèi)部和外部連接）；n數(shù)據(jù)和信息；n支持和使用 IT 系統(tǒng)的人員；n系統(tǒng)的使命（如 IT 系統(tǒng)所起的作用）；n系統(tǒng)和數(shù)據(jù)的關(guān)鍵程度（如系統(tǒng)的價值或?qū)C構(gòu)的重要性）；n系統(tǒng)和數(shù)據(jù)的敏感性。完成這些統(tǒng)計之后，得出資產(chǎn)的最終分組建議。5.3.2 資產(chǎn)分類 依據(jù)在ISO20001體系中，安全的三個特性（機密性C、完整性I、可用性A）是其核心思想，在IT 資產(chǎn)等級定義中也是圍繞著這三個方面展開的，因此對IT

35、資產(chǎn)機密性、完整性和可用性的賦值也是評價IT 資產(chǎn)等級依據(jù)。對IT 資產(chǎn)進行安全屬性賦值的目的就是為了更好地反映資產(chǎn)的業(yè)務(wù)價值，并區(qū)分出各資產(chǎn)的價值等級，為風(fēng)險評估提供量化基礎(chǔ)。機密性、完整性和可用性的定義如下：l 保密性（C）：確保只有經(jīng)過授權(quán)的人才能訪問信息；l 完整性（I）：保護信息和信息的處理方法準(zhǔn)確而完整；l 可用性（A）：確保經(jīng)過授權(quán)的用戶在需要時可以訪問信息并使用相關(guān)IT 資產(chǎn)。在安全屬性賦值時，以XXX公司業(yè)務(wù)為導(dǎo)向，以信息資產(chǎn)的C、I、A 賦值為基礎(chǔ)，對XXX公司IT 資產(chǎn)的C、I、A 屬性進行的賦值。主要方法是：先對信息資產(chǎn)的C、I、A 進行賦值，并以此為基礎(chǔ)，通過對這些承

36、載信息數(shù)據(jù)的載體，網(wǎng)絡(luò)通信媒介、信息系統(tǒng)及相關(guān)的支撐資產(chǎn)識別，來完成對這些IT 資產(chǎn)的C、I、A 屬性賦值。1) 機密性賦值標(biāo)準(zhǔn)（Confidentiality）根據(jù)IT 資產(chǎn)機密性屬性的不同，將它分為3 個不同的等級，分別對應(yīng)資產(chǎn)在機密性方面的價值或者在機密性方面受到損失時對整個評估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋3高（High）IT 資產(chǎn)為機密信息，對信息的訪問只有必須使用者才予以授權(quán)，IT 資產(chǎn)機密性受破壞影響嚴(yán)重，用戶蒙受損失，并且損失較難彌補。2中（Medium）信息為內(nèi)部信息，公司內(nèi)部可以授權(quán)訪問，對信息潛在未授權(quán)訪問影響重大，但是造成的損失可以彌補。1低（Low）信息為公

37、開信息，對信息的訪問無需特別授權(quán)。并且由于機密性原因造成的損失容易彌補。2) 完整性賦值標(biāo)準(zhǔn)（Integrity）根據(jù)IT 資產(chǎn)完整性屬性的不同，將它分為3個不同的等級，分別對應(yīng)IT 資產(chǎn)在完整性方面的價值或者在完整性方面受到損失時對整個評估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋3高（High）對信息的未經(jīng)授權(quán)的破壞或修改有重大影響，且可能導(dǎo)致對信息價值資產(chǎn)損失嚴(yán)重，難以彌補。2中（Medium）對IT 資產(chǎn)的未經(jīng)授權(quán)的破壞或修改造成影響，且可能導(dǎo)致對IT 資產(chǎn)價值損失，但可以彌補。1低（Low）對IT 資產(chǎn)的未經(jīng)授權(quán)的破壞或修改不會產(chǎn)生重大影響。且可能導(dǎo)致對IT 資產(chǎn)價值輕微損失，但容易彌

38、補。3) 可用性賦值標(biāo)準(zhǔn)（Availability）根據(jù)IT 資產(chǎn)可用性屬性的不同，將它分為3個不同的等級，分別對應(yīng)IT 資產(chǎn)在可用性方面的價值或者在可用性方面受到損失時對整個評估體的影響。賦值標(biāo)準(zhǔn)參照下表：賦值含義解釋3高（High）合法使用者對信息的存取可用度達到年度95%以上。2中（Medium）合法使用者對信息的存取可用度在正常工作時間達到100%。1低（Low）合法使用者對信息的存取可用度在正常工作時間至少達到50%以上。5.3.3 資產(chǎn)分類 應(yīng)收集的信息lIT 系統(tǒng)的功能需求（Functional Requirements）；l系統(tǒng)的用戶，包括為系統(tǒng)提供技術(shù)支持的系統(tǒng)用戶（Syst

39、em Users），和使用系統(tǒng)執(zhí)行業(yè)務(wù)功能的應(yīng)用用戶（Application Users）；l系統(tǒng)安全政策（Security Policy），包括機構(gòu)政策（Organizational Policy）、政府要求（Federal Requirements）、法律法規(guī)（Law）和業(yè)界慣例（Industry Practices）；l系統(tǒng)安全架構(gòu)（System Security Architecture）；l當(dāng)前的網(wǎng)絡(luò)拓撲（Topology）；l保護系統(tǒng)和數(shù)據(jù)可用性、完整性和保密性的信息存儲安全措施；lIT 系統(tǒng)相關(guān)的信息流圖，如系統(tǒng)接口、系統(tǒng)輸入和輸出流程圖（Flowchart）；l用于 IT 系統(tǒng)

40、的技術(shù)控制措施，如支持識別（Identification）和認證（Authentication）、訪問控制（Access Control）、審計（Audit）、殘留（Residual）信息保護、加密（Encryption）的內(nèi)建或附加安全功能；l用于 IT 系統(tǒng)的管理控制措施，如行為規(guī)則（Rules of Behavior）、安全計劃（Security Planning）；l用于 IT 系統(tǒng)的運行控制措施，如人事安全（Personnel Security）、備份（Backup）、應(yīng)急（Contingency）、復(fù)原（Resumption）和恢復(fù)（Recovery）操作、系統(tǒng)維護（System

41、Maintenance）、離站存儲（Off-Site Storage）、用戶賬戶（User Account）建立和刪除規(guī)程、用戶功能隔離（Segregation）控制；lIT 系統(tǒng)的物理安全措施，如設(shè)施安全（Facility Security）、數(shù)據(jù)中心政策（Data Center Policies）；lIT 系統(tǒng)的環(huán)境安全措施，如濕度、溫度、水、能源、污染和化學(xué)品控制。5.3.4 信息收集技術(shù)l問卷（Questionnaire），如評估人員設(shè)計關(guān)于管理和運行控制方面的問卷，將其 發(fā)放給設(shè)計或支持系統(tǒng)的技術(shù)或非技術(shù)管理人員填寫，也可以在現(xiàn)場訪問中使用；l現(xiàn)場訪問（On-Site Intervi

42、ews），與系統(tǒng)支持和管理人員會面了解系統(tǒng)相關(guān)信息，并可以現(xiàn)場了解系統(tǒng)的物理、環(huán)境和運行安全措施；l文檔查看（Document Review），政策文檔，如法律文件（Legislative Documentation）、上級指示（Directive），系統(tǒng)文檔，如系統(tǒng)用戶指南、系統(tǒng)管理手冊、系統(tǒng)設(shè)計和需求文檔、采購文檔，安全相關(guān)文檔，如以前的審計報告、 風(fēng)險評估報告、系統(tǒng)測試結(jié)果、系統(tǒng)安全計劃、安全政策可以提供大量相關(guān)信息；l 使用自動化掃描工具（Automated Scanning Tool），使用如網(wǎng)絡(luò)掃描工具等技術(shù)方法可以快速獲得系統(tǒng)配置信息Vulnerability Manager 提

43、供自動的資產(chǎn)發(fā)現(xiàn)。在 Vulnerability Manager 的實施過程中，我們依照 Vulnerability Manager 自動發(fā)現(xiàn)的資產(chǎn)和類別，使用問卷作為主要的信息收集方式，同時結(jié)合現(xiàn)場訪問及文檔查看。5.3.5 資產(chǎn)的組織劃分通過在 XXX 公司的資產(chǎn)調(diào)查和信息比對，我們最終會將需要安全風(fēng)險管理的資產(chǎn)劃分為四個級別，如下所述：1) 低 Low（1）在 IT 資產(chǎn)中屬最不重要的，其安全幾乎不影響業(yè)務(wù)，它的漏洞修補優(yōu)先級也是最低的；2) 中 Moderate（2）中等優(yōu)先等級，如一般的服務(wù)器或應(yīng)用；3) 高 Signification（3）重要的 IT 資產(chǎn)，通常是重要的應(yīng)用服務(wù)器

44、；4) 極高 Extensive（4）最高優(yōu)先等級的 IT 資產(chǎn)，其安全性、可用性和可靠性會導(dǎo)致企業(yè)的整個業(yè)務(wù)的中斷，如 XXX 公司的業(yè)務(wù)主機、數(shù)據(jù)庫服務(wù)器等。5.3.6 入侵、非入侵方式弱點發(fā)現(xiàn)McAfee 的 MVM 產(chǎn)品具有強大的漏洞、弱點發(fā)現(xiàn)和識別能力，且根據(jù)不同行業(yè)和不同用戶的需求，能根據(jù)用戶的需求制定入侵模式和非入侵模式的檢查策略，高效靈活的掃描檢查各類資產(chǎn)漏洞或弱點驗證。完全覆蓋所有 Windows、Unix、Linux 等各種系統(tǒng)或嵌入式系統(tǒng)檢查能力；且根據(jù)不同環(huán)境中的上層應(yīng)用針對性的掃描和暴露各類應(yīng)用層、數(shù)據(jù)庫層面等潛在的弱點；同時具備豐富的網(wǎng)絡(luò)設(shè)備和虛擬化環(huán)境的識別能力，

45、能精準(zhǔn)的識別各類網(wǎng)絡(luò)設(shè)備包括路由器、交換機、負載均衡、防火墻等網(wǎng)絡(luò)設(shè)備以及虛擬化環(huán)境下的虛擬系統(tǒng)以及虛擬應(yīng)用；同時對于常見的企業(yè)網(wǎng)絡(luò)中無線 AP 節(jié)點設(shè)備的安全潛在漏洞也具備準(zhǔn)確和高效的識別能力。5.3.7 用戶弱點規(guī)則自定義 (FASL)McAfee 的 MVM 產(chǎn)品為開放式設(shè)計，用戶可以購買使用相關(guān)攻擊腳本自定義模塊。用戶可根據(jù)實際情況，結(jié)合相關(guān)安全專家的意見，通過 FASL 腳本語言，制定出完全自定義的掃描驗證腳本，極大提高了 MVM 的產(chǎn)品的準(zhǔn)確性和適應(yīng)性。備注：缺省不含此模塊。5.4 風(fēng)險評估策略及周期的設(shè)定5.4.1.風(fēng)險評估策略的設(shè)定Vulnerability Manager 中

46、內(nèi)置了二十種的掃描策略模版，包括 SANS/FBI TOP 20 掃描模版。更重要的是 Vulnerability Manager 還提供了簡單容易的客戶化報表的功能，在定制掃描任務(wù)時，用戶可以依據(jù)平臺選擇設(shè)定網(wǎng)絡(luò)掃描任務(wù)：定制掃描任務(wù)5.4.2.網(wǎng)絡(luò)掃描周期弱點評估的周期不宜太頻繁，也不宜間隔太久，根據(jù)各個資產(chǎn)組的不同情況，分別設(shè) 定：1) 網(wǎng)絡(luò)設(shè)備：由于網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的變化小，漏洞少，因此評估周期可以在 1-2 周；2) 主機：一般資產(chǎn) 1-2 周，關(guān)鍵性資產(chǎn)保證 1 次/周；3) 數(shù)據(jù)庫及服務(wù)器：1 次/周；4) 區(qū)域：需要根據(jù)網(wǎng)絡(luò)區(qū)域的具體情況，另行設(shè)定。McAfee MVM 提供掃描窗

47、口功能，能夠確保掃描任務(wù)僅在“掃描窗口”中工作。5 . 4 . 3 掃描結(jié)果通知當(dāng)弱點評估掃描完成后,系統(tǒng)會通過預(yù)設(shè)的策略,通過指定的 Mail 或 SNMP 方式通知管理員當(dāng)前掃描的結(jié)果.5.5 修補工作流在安全風(fēng)險管理系統(tǒng)中，弱點的修補管理是一個重要環(huán)節(jié)。在 Vulnerability Manager 中的安全漏洞修補通過 Remediation 模塊進行修補工作流管理，因此，通過該模塊，可以根據(jù)掃描發(fā)現(xiàn)的新的安全漏洞自動產(chǎn)生漏洞修補票單（Ticket），通過郵件發(fā)送給漏洞修補崗，漏洞修補崗接收到 Ticket 后，根據(jù) VulnerabilityManager的指示修補漏洞，可以人工關(guān)閉

48、 Ticket，也可以由Vulnerability Manager 通過掃描自動關(guān)閉 Ticket。另外，若 Vulnerability Manager 檢測到在規(guī)定的期限內(nèi)，漏洞沒有修補，則向全局管理員、Remediation 管理員和漏洞修補崗發(fā)送報警郵件，提示漏洞修補崗及時修補。我們建議在 XXX 公司的修補工作流中，設(shè)置三種角色：1) 修補監(jiān)督崗由安全管理員擔(dān)任2) 分派崗由各個資產(chǎn)組管理員擔(dān)任，需要人工分派 Ticket 時，人工發(fā)送修補Ticket3) 漏洞修補崗由資產(chǎn)管理員擔(dān)任，根據(jù) Vulnerability Manager 的指示修補安全漏洞。是標(biāo)準(zhǔn)的修補工作流在現(xiàn)有的網(wǎng)絡(luò)環(huán)境中，各個資產(chǎn)組的漏洞修補可能涉及到不同的系統(tǒng)維護人員，也涉及到是否需要和第三方的漏洞修補程序進行聯(lián)動，在實施過程中，確認下來的漏洞修補責(zé)任人將會以補充文檔的形式進行記錄，最終形成完整的修補工