McAfee 产品技术白皮书 - VSE.doc

1、McAfee VSE&ASE产品技术白皮书关键词：恶意软件、访问保护、Artemis摘要：版本控制：序号修订类型修订内容简述修订日期版本号0创建2009-5-81.0123McAfee（中国）公司2024年12月24日第 11 页 共 11 页目 录1产品概述41.1面临的挑战41.2主流解决方案的不足之处41.2.1存在防护时间差41.2.2难以应对形形色色的恶意软件51.2.3安全管理成本居高不下51.3McAfee的解决之道52VSE产品特点62.1不间断的实时防护62.2全方位的病毒防护62.3潜在“恶意/间谍程序/广告软件”程序安全62.4缓冲区溢出防护（IPS 功能）62.5全面的

2、病毒突发回应62.6集中的管理和完全可定制的报告功能73VSE产品功能83.1OAS 访问扫描技术83.2基于行为的检测技术83.3BOP缓存溢出防护83.4端口阻挡83.5企业级管理83.6感染源追踪和阻挡83.7Rootkit 检测83.8企业级报表84VSE产品的部署方式95主要成功案例101 产品概述1.1 面临的挑战自从 25 年前首次出现病毒以来，计算机安全领域发生了翻天覆地的变化。病毒一波接一波地袭来，各种恶意漏洞攻击和狡猾的威胁轮番上场。随着您的网络向远程地点和移动用户扩展，您所面临的风险也将随之扩大。恶意软件的增长速度如此之快，以致安全厂商的解决方案难以跟上威胁的步伐。200

3、8年，我们发现的恶意软件数量比之前两年的数量总和还要多。恶意软件不断增长的主要因素在于不法分子受到越来越多的利益驱使。他们追逐金钱并不惧以身试法。Gartner 的调查显示，80% 多的攻击是为了谋取不义之财。恶意软件编写者所收集的个人及机密信息交易已经导致了高达数十亿美元的网络犯罪。绝大多数的威胁是悄无声息的它们被加密或打包，混淆在有效荷载中；缩小了文件的容量；使安全厂商花费更多的时间和成本对其进行分析及防御。1.2 主流解决方案的不足之处1.2.1 存在防护时间差针对更大量、更复杂、更快速的威胁，多数解决方案依靠特征更新的方式进行威胁防护，这通常需要一到三天的时间。而在防护时间差内，系统无

4、法对新的威胁进行防护。（如下图）1.2.2 难以应对形形色色的恶意软件除了各种各样的病毒、蠕虫、木马以外，当前还存在广告软件、间谍软件、按键记录程序、玩笑程序、拨号程序等等恶意软件。并且这些恶意程序不断融合，单一的文件检查方式越来越难以应对层出不穷的安全威胁。1.2.3 安全管理成本居高不下为了应对各种威胁，企业在信息安全的建设中采用了不同的安全解决方案。随着采用安全产品的增多，就需要不同的管理界面进行管理，造成管理复杂性不断提升、管理报告也日趋复杂。不仅如此，企业投入到安全管理的人员成本、设备投资、时间成本也在不断蔓延。1.3 McAfee的解决之道这些问题虽然棘手，但 McAfee 会帮您

5、一一解决。我们的系统安全解决方案集成了Artemis实时防护技术，使您在瞬间即可获得对未知威胁的防护能力。通过提供全面的恶意软件保护和防病毒爆发控制，能够有效拦截威胁、减轻威胁带来的影响。通过统一的管理平台ePO，可以极大地提升IT安全管理效率并降低IT安全管理成本。ePO整合了对终端、邮件和网络的所有信息，将威胁、漏洞信息全部集中在一个综合的管理平台上面，从而可以快速查找出关于感染事件和威胁事件的信息，缩短响应时间。ePO的管理框架设计原则为单一控制台，单一代理的模式。据统计，在大型企业中采用ePO管理平台可以使得安全运营的成本下降62%。2 VSE产品特点 2.1 不间断的实时防护McAf

6、ee Artemis技术为相关最新研究及响应提供不间断的新交付模式 ，以缩短防护时间差。当用户收到一个被扫描代理认定为“可疑”的文件（如加密文件或打包文件），而本地DAT 文件数据库也没有特征码，那么扫描代理就使用Artemis技术发送文件指纹，即时在McAfee Avert Labs的综合数据库进行查询。如果确认这个指纹是已知恶意软件，就会在几毫秒内向终端用户计算机发回一个响应，从而阻止或隔离该文件。2.2 全方位的病毒防护McAfee 防病毒扫描引擎能够拦截各种病毒和恶意代码威胁，包括宏病毒、木马程序、Internet 蠕虫、32 位高级病毒，甚至是恶意的 ActiveX 和 Java 对

7、象。先进的启发式检测和通用检测技术使 VirusScan 具有了前瞻性的防护能力，能够“提前”防御各种新的、未知的病毒以及其它多种威胁。2.3 潜在“恶意/间谍程序/广告软件”程序安全 VirusScan 能够自动检测“恶意/间谍/广告”程序，有效防止隐藏程序跟踪企业和用户的 Internet 使用记录、访问用户个人数据（例如密码和帐户信息）或者在用户系统中造成安全漏洞。 2.4 缓冲区溢出防护（IPS 功能）VirusScan 8.7i 可防护大约 20 种最常用的软件应用程序和 Microsoft Windows OS 服务，管理员还可以按程序指定例外情况。2.5 全面的病毒突发响应Vir

8、usScan 8.7i 内设的病毒突发回应功能可在生成 DAT 文件之前就提供 有效防护，这使得管理员可以在发现病毒之后、接到 DAT 文件之前对严重的漏洞口采取及时的行动。 突发回应功能包括： l 端口阻塞/锁定（防火墙功能）l 应用程序监控：电子邮件引擎（防火墙功能）l 文件锁闭、目录锁闭、文件夹/share 锁闭（IPS 功能）l 传染追溯与拦截VirusScan 可以发现和追溯将恶意代码发送到运行 ViruScan Enterprise 8.7i 的端点系统的 IP 地址（传染源），并将传染源信息发送会管理控制台。 另外，它还可以使来自传染源端点系统的信息交流被阻塞一段时间（可配置的）

9、或使其始终受阻（直到重新另行设置后）。2.6 集中的管理和完全可定制的报告功能VirusScan 8.7i 集成了 McAfee ePolicy Orchestrator，唯一名副其实易于扩展的安全策略管理工具，可提供策略更新、详细的图形报告编制和软件部署。 ePolicy Orchestrator 具有促进防护实施的集中授权，可提供一个单一的控制台，以管理您的 McAfee 部署。3 VSE产品功能McAfee业内领先的防病毒软件提供下述功能，可以有效地对终端进行防护：3.1 OAS 访问扫描技术 在程序安装时阻止恶意程序和下载插件，阻止恶意程序破坏和感染系统。 3.2 基于行为的检测技术

10、针对特征库中没有的、新出现或未知的威胁进行防护 可以智能地锁定系统文件和文件夹避免被恶意程序篡改 3.3 BOP缓存溢出防护 这种技术可以帮助用户在漏洞已经发布但补丁还没有安装的时候保护系统的安全性 保护针对缓存溢出的漏洞攻击，类似WMF、Sasser、SQL Slammer 等 保护核心的生产应用，例如 IE、MS Offices、Windows OS services、Media Player 等3.4 端口阻挡 阻止病毒通过特定端口进行传播 防止间谍软件或者下载插件将内部资料往外发送3.5 企业级管理 增强的安全管理功能。在ePO的管理框架下，您可以方便的进行部署、配置、更新和报告3.6

11、 感染源追踪和阻挡 发现并报告往外发送恶意代码的终端的IP地址 减少病毒爆发的响应时间 通过识别感染源降低恶意程序的传播3.7 Rootkit 检测 专享的技术保证可以从内存中检测并清除rootkit。3.8 企业级报表 根据恶意程序和下载行为来进行全单位的企业级报表 提供一个整体的终端安全状况评估 针对法规遵从需求提供方便的总揽报表4 VSE产品的部署方式5 主要成功案例案例1：中国建设银行 网络状况中国建行由总行、一级行、二级行组成三级网络架构，全行有3万多台。 整体方案：综合采用桌面客户端的防病毒产品、服务器的防病毒产品、针对群件环境的防病毒产品及EPO统一管理平台，形成了一个立体的、统

12、一完整的企业网病毒防护体系。 整体效果：每一层次都部署ePO服务器，构成上、下级关系，上级行有查看、监控下级行的权限，从而实现集中监控、分级维护的策略。 中国建行自从用McAfee AVD部署全行的防病毒系统部署以来，成功的抵御了包括红色代码、Nimda、求职信等各种病毒的攻击，确保了网络系统的正常运行。案例2：中国网通 企业状况中国网通以ERP系统为中心，生产、系统、办公自动化、邮件等系统与ERP全面集成的应用模式，实现企业的流程化管理，有效提高企业的管理效益。该系统面临日趋严重的安全问题，如病毒、木马、蠕虫、垃圾邮件等各种威胁。 方案选型选用了企业级防病毒产品，包括桌面机和服务器病毒检测和

13、清除解决方案VirusScan和NetShield、群件环境下的电子邮件病毒保护方案GroupShield、具有强大可伸缩性的反病毒管理系统ePO、集成的反病毒网关解决方案等。 整体效果中国网通在部署McAfee安全方案时，总部可以非常及时地得到更新，并快速分发到各个分支机构，从而使整个中国网通公司都能够在第一时间进行防病毒升级和防御。 中国网通通过利用McAfee的ePO统一管理平台，对分布在138个分支机构进行集中的安全管理，有效地阻止病毒的爆发。中国网通能够在总部获得详细的覆盖报告，对脆弱的病毒入口进行监控；能够查明感染源，并对影响企业的病毒爆发进行跟踪。如今，中国网通MIS的38名员工能够轻松管理整个企业网络。