McAfee 产品技术白皮书 - VSE

McAfee VSE&ASE产品技术白皮书
关键词：恶意软件、访问保护、Artemis
摘要：
版本控制：
McAfee（中国）公司
2019年4月5日
目录
1 产品概述 (4)
1.1 面临的挑战 (4)
1.2 主流解决方案的不足之处 (4)
1.2.1 存在防护时间差 (4)
1.2.2 难以应对形形色色的恶意软件 (5)
1.2.3 安全管理成本居高不下 (5)
1.3 McAfee的解决之道 (5)
2 VSE产品特点 (6)
2.1 不间断的实时防护 (6)
2.2 全方位的病毒防护 (6)
2.3 潜在“恶意/间谍程序/广告软件”程序安全 (6)
2.4 缓冲区溢出防护（IPS 功能） (6)
2.5 全面的病毒突发回应 (6)
2.6 集中的管理和完全可定制的报告功能 (7)
3 VSE产品功能 (8)
3.1 OAS 访问扫描技术 (8)
3.2 基于行为的检测技术 (8)
3.3 BOP缓存溢出防护 (8)
3.4 端口阻挡 (8)
3.5 企业级管理 (8)
3.6 感染源追踪和阻挡 (8)
3.7 Rootkit 检测 (8)
3.8 企业级报表 (8)
4 VSE产品的部署方式 (9)
5 主要成功案例 (10)
1 产品概述
1.1 面临的挑战
自从25 年前首次出现病毒以来，计算机安全领域发生了翻天覆地的变化。

病毒一波接一波地袭来，各种恶意漏洞攻击和狡猾的威胁轮番上场。

随着您的网络向远程地点和移动用户扩展，您所面临的风险也将随之扩大。

恶意软件的增长速度如此之快，以致安全厂商的解决方案难以跟上威胁的步伐。

2008年，我们发现的恶意软件数量比之前两年的数量总和还要多。

恶意软件不断增长的主要因素在于不法分子受到越来越多的利益驱使。

他们追逐金钱并不惧以身试法。

Gartner 的调查显示，80% 多的攻击是为了谋取不义之财。

恶意软件编写者所收集的个人及机密信息交易已经导致了高达数十亿美元的网络犯罪。

绝大多数的威胁是悄无声息的——它们被加密或打包，混淆在有效荷载中；缩小了文件的容量；使安全厂商花费更多的时间和成本对其进行分析及防御。

1.2 主流解决方案的不足之处
1.2.1 存在防护时间差
针对更大量、更复杂、更快速的威胁，多数解决方案依靠特征更新的方式进行威胁防护，这通常需要一到三天的时间。

而在防护时间差内，系统无法对新的威胁进行防护。

（如下图）
1.2.2 难以应对形形色色的恶意软件
除了各种各样的病毒、蠕虫、木马以外，当前还存在广告软件、间谍软件、按键记录程序、玩笑程序、拨号程序等等恶意软件。

并且这些恶意程序不断融合，单一的文件检查方式越来越难以应对层出不穷的安全威胁。

1.2.3 安全管理成本居高不下
为了应对各种威胁，企业在信息安全的建设中采用了不同的安全解决方案。

随着采用安全产品的增多，就需要不同的管理界面进行管理，造成管理复杂性不断提升、管理报告也日趋复杂。

不仅如此，企业投入到安全管理的人员成本、设备投资、时间成本也在不断蔓延。

1.3 McAfee的解决之道
这些问题虽然棘手，但McAfee 会帮您一一解决。

我们的系统安全解决方案集成了Artemis 实时防护技术，使您在瞬间即可获得对未知威胁的防护能力。

通过提供全面的恶意软件保护和防病毒爆发控制，能够有效拦截威胁、减轻威胁带来的影响。

通过统一的管理平台ePO，可以极大地提升IT安全管理效率并降低IT安全管理成本。

ePO 整合了对终端、邮件和网络的所有信息，将威胁、漏洞信息全部集中在一个综合的管理平台上面，从而可以快速查找出关于感染事件和威胁事件的信息，缩短响应时间。

ePO的管理框架设计原则为单一控制台，单一代理的模式。

据统计，在大型企业中采用ePO管理平台可以使得安全运营的成本下降62%。

2 VSE产品特点
2.1 不间断的实时防护
McAfee Artemis技术为相关最新研究及响应提供不间断的新交付模式，以缩短防护时间差。

当用户收到一个被扫描代理认定为“可疑”的文件（如加密文件或打包文件），而本地DA T 文件数据库也没有特征码，那么扫描代理就使用Artemis技术发送文件指纹，即时在McAfee Avert Labs的综合数据库进行查询。

如果确认这个指纹是已知恶意软件，就会在几毫秒内向终端用户计算机发回一个响应，从而阻止或隔离该文件。

2.2 全方位的病毒防护
McAfee 防病毒扫描引擎能够拦截各种病毒和恶意代码威胁，包括宏病毒、木马程序、Internet 蠕虫、32 位高级病毒，甚至是恶意的ActiveX 和Java 对象。

先进的启发式检测和通用检测技术使VirusScan 具有了前瞻性的防护能力，能够“提前”防御各种新的、未知的病毒以及其它多种威胁。

2.3 潜在“恶意/间谍程序/广告软件”程序安全
VirusScan 能够自动检测“恶意/间谍/广告”程序，有效防止隐藏程序跟踪企业和用户的Internet 使用记录、访问用户个人数据（例如密码和帐户信息）或者在用户系统中造成安全漏洞。

2.4 缓冲区溢出防护（IPS 功能）
VirusScan 8.7i 可防护大约20 种最常用的软件应用程序和Microsoft® Windows® OS 服务，管理员还可以按程序指定例外情况。

2.5 全面的病毒突发响应
VirusScan 8.7i 内设的病毒突发回应功能可在生成DAT 文件之前就提供有效防护，这使得管理员可以在发现病毒之后、接到DAT 文件之前对严重的漏洞口采取及时的行动。

突发回应功能包括：
端口阻塞/锁定（防火墙功能）
●应用程序监控：电子邮件引擎（防火墙功能）
●文件锁闭、目录锁闭、文件夹/share 锁闭（IPS 功能）
●传染追溯与拦截
VirusScan 可以发现和追溯将恶意代码发送到运行ViruScan Enterprise 8.7i 的端点系统的IP 地址（传染源），并将传染源信息发送会管理控制台。

另外，它还可以使来自传染源端点系统的信息交流被阻塞一段时间（可配置的）或使其始终受阻（直到重新另行设置后）。

2.6 集中的管理和完全可定制的报告功能
VirusScan 8.7i 集成了McAfee ePolicy Orchestrator，唯一名副其实易于扩展的安全策略管理工具，可提供策略更新、详细的图形报告编制和软件部署。

ePolicy Orchestrator 具有促进防护实施的集中授权，可提供一个单一的控制台，以管理您的McAfee 部署。

3 VSE产品功能
McAfee业内领先的防病毒软件提供下述功能，可以有效地对终端进行防护：
3.1 OAS 访问扫描技术
∙在程序安装时阻止恶意程序和下载插件，阻止恶意程序破坏和感染系统。

3.2 基于行为的检测技术
∙针对特征库中没有的、新出现或未知的威胁进行防护
∙可以智能地锁定系统文件和文件夹避免被恶意程序篡改
3.3 BOP缓存溢出防护
∙这种技术可以帮助用户在漏洞已经发布但补丁还没有安装的时候保护系统的安全性
∙保护针对缓存溢出的漏洞攻击，类似WMF、Sasser、SQL Slammer 等
∙保护核心的生产应用，例如IE、MS Offices、Windows OS services、Media Player 等3.4 端口阻挡
∙阻止病毒通过特定端口进行传播
∙防止间谍软件或者下载插件将内部资料往外发送
3.5 企业级管理
∙增强的安全管理功能。

在ePO的管理框架下，您可以方便的进行部署、配置、更新和报告
3.6 感染源追踪和阻挡
∙发现并报告往外发送恶意代码的终端的IP地址
∙减少病毒爆发的响应时间
∙通过识别感染源降低恶意程序的传播
3.7 Rootkit 检测
∙专享的技术保证可以从内存中检测并清除rootkit。

3.8 企业级报表
∙根据恶意程序和下载行为来进行全单位的企业级报表
∙提供一个整体的终端安全状况评估
∙针对法规遵从需求提供方便的总揽报表
4 VSE产品的部署方式
5 主要成功案例
案例1：中国建设银行
•网络状况
中国建行由总行、一级行、二级行组成三级网络架构，全行有3万多台。

•整体方案：
综合采用桌面客户端的防病毒产品、服务器的防病毒产品、针对群件环境的防病毒产品及EPO统一管理平台，形成了一个立体的、统一完整的企业网病毒防护体系。

•整体效果：
每一层次都部署ePO服务器，构成上、下级关系，上级行有查看、监控下级行的权限，从而实现集中监控、分级维护的策略。

中国建行自从用McAfee AVD部署全行的防病毒系统部署以来，成功的抵御了包括红色代码、Nimda、求职信等各种病毒的攻击，确保了网络系统的正常运行。

.
案例2：中国网通
•企业状况
中国网通以ERP系统为中心，生产、系统、办公自动化、邮件等系统与ERP全面集成的应用模式，实现企业的流程化管理，有效提高企业的管理效益。

该系统面临日趋严重的安全问题，如病毒、木马、蠕虫、垃圾邮件等各种威胁。

•方案选型
选用了企业级防病毒产品，包括桌面机和服务器病毒检测和清除解决方案VirusScan和NetShield、群件环境下的电子邮件病毒保护方案GroupShield、具有强大可伸缩性的反病毒管理系统ePO、集成的反病毒网关解决方案等。

•整体效果
中国网通在部署McAfee安全方案时，总部可以非常及时地得到更新，并快速分发到各个分支机构，从而使整个中国网通公司都能够在第一时间进行防病毒升级和防御。

中国网通通过利用McAfee的ePO统一管理平台，对分布在138个分支机构进行集中的安全管理，有效地阻止病毒的爆发。

中国网通能够在总部获得详细的覆盖报告，对脆弱的病毒入口进行监控；能够查明感染源，并对影响企业的病毒爆发进行跟踪。

如今，中国网通MIS的38名员工能够轻松管理整个企业网络。

..。